국가미래연구원에서는 연구진의 논문 및 자료와 함께 연구원 주최 세미나의 주제발표 및 토론내용 등을 PDF 파일로 서비스하고 있습니다.

중국 개인정보 보호법의 주요 내용과 전망 본문듣기

작성시간

  • 기사입력 2022년03월05일 17시00분

메타정보

  • 0

본문

<주요 내용 요약>

 ▶ 최근 중국정부는 정보 보안 분야에 대한 법제화를 속도감 있게 추진하고 있으며, 디지털 경제의 근간인 데이터의 수집 및 처리에 관한 규제를 강화하고 있는 상황

- 그동안 중국정부는 ‘사이버 보안법’을 통해 사이버 공간에 대해 규제해 왔으며, 디지털 경제전환 시대 주요국간 디지털 통상정책에 대응하기 위해 관련 법률에 대한 수요가 존재해 왔음. - 이에 중국정부는 사이버 보안, 데이터 보안, 개인정보 보호에 대한 제도적 보장이 가능한 법적 토대를 확립하기 위해 ‘개인정보 보호법’을 시행함. 

▶ 중국의 ‘개인정보 보호법’은 다양한 법률에 산재되어 있던 개인정보에 관한 규제 내용을 종합한 최초의 법률로 △개인 정보 처리원칙 △개인정보의 역외 전송 제한 △온라인 플랫폼기업 규제 △법률 책임 등에 대해 규정
- 중국의 ‘개인정보 보호법’은 EU GDPR(General Data Protection Regulation)과 유사하며 △미성년자 연령 규정 △민감 개인정보 범위 △정보 보존 연한 △공공안전을 위한 개인정보 활용 조항 등이 포함되어 더욱 엄격함. 
- 중국의 ‘개인정보 보호법’에서는 개인정보 처리자가 수집한 데이터를 중국 내에 저장하는 것이 원칙이며 역외 전송 시 중국 국가기관의 기준을 충족해야함. 
- 또한 온라인 플랫폼 기업이 개인정보 처리 시 추가 의무를 부여하여 빅테크 기업에 대한 데이터 보안 규제를 더욱 강화함. 

▶ 중국정부는 ‘개인정보 보호법’ 시행으로 사이버 보안 분야의 법적 근거를 보강하는 동시에 외교적 수단으로 활용할 수 있는 토대를 구축함으로써 관련 분야에 대한 통제력이 더욱 강화될 가능성이 있음. 
- 전방위적인 미·중 갈등 상황에서 중국정부는 재정비된 사이버 보안 관련법을 외교적 수단으로 활용할 가능성이 있음. 
- 국가 간 데이터 이동과 개인정보의 역외 전송이 디지털 통상에 주요한 이슈로 부상하면서 중국정부는 국제규범 제정에 참여하는 방식으로 데이터 보안 관련 법률을 선별적으로 시행할 것으로 예상됨. 

- 향후 사이버 보안 분야에 대한 가이드라인 및 세부 조치 시행이 예상됨에 따라 대중 비즈니스를 영위하는 한국기업은 중국 내 소비자에 대한 개인정보 처리에 대한 점검과 대책이 필요함.​


1. 개요

■ 최근 중국정부는 디지털 경제의 건전한 발전을 위한 법적 장치를 마련하기 위해 사이버 보안 관련 법률체계를 재정비하고 있음. 
- 중국은 2015년 ‘국가 보안법’을 통해 국가 안보의 영역을 사이버 공간상의 안보 영역으로 확장함. 
ㅇ ‘사이버 보안법’(2017년 6월 제정)을 통해 사이버 공간상의 안보 영역을 구체적으로 명시하였음. 이는사이버 보안과 관련된 중국 최초의 법률로 가장 광범위하게 사이버 보안에 관해 규정하고 있으며 사이버공간상의 데이터 보안 및 관련 중요 인프라 시설에 대해 규제
- 또한 중국정부는 데이터 보안 강화를 위해 2021년 9월 ‘데이터 보안법’을 시행하여 데이터 및 그에 대한 보안의 개념을 확립하고 데이터 처리 활동에 대한 의무와 책임을 규정함. 
ㅇ ‘데이터 보안법’은 데이터 등급 분류, 데이터의 해외 이전 관리·감독 강화를 핵심으로 데이터의 저장 및 보관에 대해 규제

■ 2021년 11월부터 개인정보 처리 및 개인정보 주체의 권리를 명문화한 ‘개인정보 보호법’이 시행됨에 따라 중국 사이버 보안 관련 법률 체계가 완비됨. 
- 중국의 ‘개인정보 보호법’은 그동안 다양한 법률에 산재되어 있던 개인정보에 관한 규제 내용을 종합한 최초의 법률임. 
- 중국의 사이버 보안 법률 체계를 구성하고 있는 3대 법률인 ‘사이버 보안법’, ‘데이터 보안법’, ‘개인정보 보호법’은 모두 전국인민대표대회 상무위원회(全国人民代表大会常务委员会)에서 제정한 성문법으로 3개 법률은 상충되지 않으며 동등한 법률적 효력을 지님.1) 
- 다만 중국은 사이버 공간상의 정보 보안의 범주를 ‘사이버 보안 > 정보 보안 > 개인정보’로 간주하고 있어 법률의 대상 범위 기준으로는 ‘사이버 보안법’이 상대적으로 포괄적임. 
ㅇ ‘사이버 보안법’의 개인정보 및 중요 데이터 보호에 대한 내용은 각각 ‘개인정보 보호법’과 ‘데이터 보안법’에서 보다 명확하고 구체적으로 명시

■ 이하에서는 ‘개인정보 보호법’의 입법 과정과 주요 내용을 살펴보고 우리에게 주는 시사점을 도출하였음.
66b73819bc9a2442dbf46fabf5b35b1a_1646190

2. 입법 배경

■ 데이터를 기반으로 하여 급성장한 중국 빅테크 기업의 데이터 보안에 대한 필요성이 증대됨에 따라 중국정부는 데이터 보안 관련 관리·감독 정책을 시행함. 
- 2021년 7월 「사이버보안 심사방법」(의견 수렴안)을 발표하여 온라인 플랫폼 기업의 핵심 데이터 국외유출 단속을 강화2)하고, 중국 최대 승차 공유 플랫폼 업체인 ‘디디추싱(滴滴出行)’에 대해 개인정보수집 위반 혐의로 신규 사용자 등록을 금지3)하는 등 일련의 규제 조치를 발표함. 
- 2021년 8월 23일 중국의 최대 전자상거래 업체 알리바바가 운영하는 알리 클라우드에서 과거(2019년11월) 사용자 등록정보를 제3자 협력업체에 유출한 사례를 적발하고, ‘사이버 보안법’ 제42조에 근거하여 시정을 명령함. 
- 2021년 11월 중국정부는 개인정보를 과도하게 수집하는 온라인 플랫폼의 앱(app) 38개에 대해 행정처분을 발표함.4)

■ 따라서 중국정부는 ‘데이터 보안법’에 이은 ‘개인정보 보호법’ 시행을 통해 사이버 보안, 데이터 보안, 개인정보 보호에 대해 제도적 보장이 가능한 법적 토대를 마련함.
- 기존 법규에서 산발적으로 다양하게 보호하고 있는 개인정보 관련 규정을 종합하고, 통일적으로 적용할 수 있는 가장 상위 법률의 제정을 통해 데이터 이동 및 관리에 대한 체계를 공고히 함. 
ㅇ 중국의 ‘개인정보 보호법’은 2012년 ‘전인대 온라인 정보보호 강화 결정(全国人大关于加强网络信息保护的决定)’을 시작으로 ‘사이버 보안법’, ‘인터넷 개인정보 안전보호 지침’ 등 다양한 법률에 개인정보 보호내용이 규정되어 있지만, 개인정보를 위한 단일화된 법적 제도가 제대로 갖춰지지 않은 상황 
- 이에 3년 여간 세 차례 심의를 거쳐 2021년 8월 20일 중국 전국인민대표대회 상무위원회에 통과된 ‘개인정보 보호법’은 △개인정보 처리원칙 △개인정보 보호에 대한 해외이전 △민감정보에 관한 정의 △온라인 플랫폼 기업의 특별 의무 부여 △법률 책임 등에 대해 규정하고 있음. 
- 한편 ‘개인정보 보호법’은 데이터 및 데이터 처리활동과 개인정보 및 개인정보 처리활동이 상호 포함관계에 있다고 볼 수 있어, 기존 ‘데이터 보안법’의 특별법으로 해석도 가능함. 

66b73819bc9a2442dbf46fabf5b35b1a_1646190
66b73819bc9a2442dbf46fabf5b35b1a_1646190

3. 주요 내용 

[개인정보 정의] 이번 ‘개인정보 보호법’에서는 기존 법규에서 정의하고 있는 개인정보의 범위를 확대하여 명문화함. 
- 개인정보는 “전자(电子) 또는 기타 방법으로 기록하여 이미 식별하였거나 식별 가능한 개인과 관련된각종 정보”로 정의됨.
ㅇ 중국은 그동안 ‘사이버 보안법’을 시작으로, ‘전자상거래법’, ‘민법전’, ‘데이터 보안법’에서 개인정보를 정의하고 개인정보 보호를 위해 관련 규정을 마련
- 중국은 EU의 GDPR을 참고하여 ‘개인정보 보호법’을 제정하여, 기존 법규에서 정의하고 있는 개인정보의 범위를 확대하고 개인정보의 처리 목적 등에 관해 명확히 규정함으로써 개인정보 보호를 강화함.

66b73819bc9a2442dbf46fabf5b35b1a_1646190
66b73819bc9a2442dbf46fabf5b35b1a_1646190

[민감정보 보호] ‘개인정보 보호법’에서는 민감정보에 대해 규정하고 보호하고 있음. 
- ‘개인정보 보호법’에서는 민감정보(제28조)를 “일단 누설되거나 적법하게 사용되지 않으면 개인의 존엄성에 손해를 입거나 혹은 재산상에 손해를 입는 개인정보”로 정의함. 
- 개인정보 처리자는 ‘특정한 목적’과 ‘충분한 필요성’에 근거하여 민감정보를 처리할 수 있으며, 개인정보 주체에게 고지 및 동의를 취득하여야 처리 가능함.(제17조, 제29조, 제30조)
ㅇ 개인정보 처리자는 법률·행정 규정에 따라 민감정보 처리시 반드시 개인의 서면 동의가 필요
- 한편 중국 ‘개인정보 보호법’에는 금융정보가 포함되어 있다는 점에 유의해야 하며, 금융정보를 처리하는 개인정보 처리자는 특별한 주의가 필요함. 
ㅇ EU GDPR은 개인의 금용정보를 민감정보로 분류하지 않으며, 한국은 별도의 ‘신용정보의 이용 및 보호에 관한 법률’을 통해 개인의 금융정보를 보호

[미성년 보호] 이번 ‘개인정보 보호법’에서는 만 14세 미만 미성년의 개인정보를 민감 정보에 포함시켜, 개인정보 처리자에게 해당 미성년자의 부모 또는 기타 보호자의 동의를 받아야 하는 미성년자 보호 의무를 부여하고 있음. 
- 2019년 10월부터 만 14세 미만 미성년자 개인정보 보호규정(儿童个人信息网络保护规定)을 발효 중이며, 미성년자의 친권자가 미성년자의 개인정보를 보호 및 관리하고 있음.13)
- 이번 ‘개인정보 보호법’에 미성년자에 대한 보호규정을 명시함으로써 미성년에 대한 보호를 더욱 강화함. 
ㅇ 한편 EU GDPR에서도 미성년자의 개인정보 보호 관련 조항을 포함(국가별로 미성년자 나이가 상이)하고있으며, 한국은 중국과 동일하게 만 14세 미만으로 미성년자를 규정하여 보호
66b73819bc9a2442dbf46fabf5b35b1a_1646190

[개인정보 역외 이전] ‘개인정보 보호법’에서는 개인정보 처리자가 수집한 데이터를 국내에 저장하는 것이 원칙이며, 특별한 경우 개인정보의 해외 전송이 가능함. 
- 개인정보 처리자는 업무 등의 필요에 의해 개인정보를 역외로 이전하는 경우 다음 사항 중 하나의 조건을 충족해야 함.(제38조)
ㅇ △(국가 인터넷정보판공실 진행) 안전성 평가 통과 △(국가 인터넷정보판공실 규정에 따라) 전문기관을 통해 개인정보 보호 인증을 진행 △(국가 인터넷정보판공실이 제정한 표준계약에 근거) 중국 역외 수령자와 계약 및 양자간 권리와 의무 약정 △법률, 행정법규 혹은 국가 인터넷정보판공실이 규정한 기타 조건

66b73819bc9a2442dbf46fabf5b35b1a_1646190

- 한국은 개인정보 주체의 동의를 구하면 개인정보의 역외 이전이 가능한 반면 EU는 EU 집행위원회의 결정 또는 EU 개인정보 감독기구의 기준을 충족할 경우에 역외 이전이 가능함. 
ㅇ 한국의 경우, 개인정보 처리자가 개인정보를 국외 제3자에게 제공 시 정보주체에게 △개인정보를 제공받는 자 △개인정보를 제공받는 자의 개인정보 이용 목적 △제공하는 개인정보의 항목 △개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 △동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알리고 동의를 받을 경우 개인정보의 국외 이전이 가능(한국 개인정보 보호법 제17조 2~3항)
ㅇ EU GDPR에서는 주요하게 △적정성 결정(adequacy decision)에 따른 이전(제45조) △적절한 보호조치에 의한 이전(제46조)으로 구분하여 개인정보의 역외 이전을 결정

■ [개인정보의 역외 적용] 이번 중국 ‘개인정보 보호법’은 중국 역외에서 중국 내 자연인(개인)의 개인정보를 처리하는 행위에 대해서도 규율할 수 있도록 하는 역외 적용 조항을 마련함. 
- ‘데이터 보안법’(제2조)에서 역외 적용을 규정한 이후, ‘개인정보 보호법’에서 관련 규정을 구체적으로 명시함.(제3조)
ㅇ 중국 내 자연인의 개인정보를 처리하는 경우에 역외 적용 조항이 적용되므로, 중국 소비자를 포함하여 중국 내 외국인도 상기 법률을 적용
- EU GDPR의 경우 적용 대상을 EU 회원국의 ‘국적’이 아닌, ‘EU 거주자’로 명시하고 있어 EU 회원국 내 외국인도 동일하게 GDPR에 적용됨. 
ㅇ 한국의 경우, ‘전기통신사업법’에서 국외 행위에 대한 적용을 규정하여 국외에서 이루어진 전기통신사업 관련 행위라도 국내시장 또는 국내의 이용자에게 영향을 미치는 경우 적용

66b73819bc9a2442dbf46fabf5b35b1a_1646190

[온라인 플랫폼 기업 규제] 온라인 플랫폼 기업은 최소한의 범위로 개인정보를 수집할 수 있으며, 개인정보 처리 시 특별 의무를 부여하여 개인정보 보호를 강화함. 
- ‘개인정보 보호법’은 개인정보 수집 범위를 ‘개인의 권익에 최소한의 영향이 미치는 방법’으로 제한(제6조)하여, 그동안 일부 빅테크 기업이 방대한 데이터를 수집함에 따라 야기된 개인정보 장악, 데이터 소스 독점, 핵심 데이터, 마케팅 채널 통제 등에 대한 규제가 가능해짐. 
- 또한 ‘개인정보 보호법’에서는 다수의 사용자에게 서비스를 제공하는 온라인 플랫폼 사업자에게 정기적 모니터링 의무와 부가적으로 추가 의무를 부과함.14)(제58조)
- 한편 ‘개인정보 보호법’ 최종안인 중국 인민대표대회의 상무위원회 3차 심의에서는 2차까지 없었던개인정보의 이동성 및 이전에 관한 조항을 최초로 추가함. ㅇ 새로 추가된 개인정보 이동권 규정에 따르면 개인은 개인정보 취급자에게 정보 이전을 요청하고, 개인정보 처리자는 관리부서인 국가인터넷관리 부문의 규정에 맞춰 이전 경로를 제공해야 한다고 명시(제45조)
ㅇ 이는 EU GDPR의 정보 이동권(기업이 데이터의 이점을 이용하여 독점을 형성하는 것을 방지하고 정보주체의 개인정보 결정권을 부여)과 유사하며, 이를 통해 특정 플랫폼의 데이터 독점을 통한 불공정 경쟁을 방지
ㅇ 한국에서는 별도 법안(‘정보통신망 이용촉진 및 정보보호에 관한 법률’)을 통해 온라인 플랫폼 기업의 개인정보 처리에 관해 규정하고 있으나 온라인 플랫폼의 개인정보 독과점에 관한 법률은 논의 중으로 파악

4. 평가 및 전망

■ 중국정부는 ‘개인정보 보호법’의 시행을 통해 사이버 법 보장체계를 재정비하고, 중국 내 개인정보 보호 강도를 강화하여 시장 질서를 확립할 것으로 전망됨. 
- 중국정부는 ‘개인정보 보호법’의 시행을 통해 개인정보 처리원칙과 보호범위를 확정하여 사이버 안전과 국내 디지털 산업의 발전 기반을 마련할 계획임. 
- 한편 입법 초기인 ‘개인정보 보호법’은 다양한 해석의 여지가 존재하므로, 지속적인 후속 조치 발표를 통해 입법 규제를 지속할 것으로 예상됨. 
ㅇ ‘개인정보 보호법’ 적용에 따른 가이드라인과 세부 조치들이 시행될 것으로 예상되면서, 이에 대한 면밀한 분석이 필요
- 특히 대중 비즈니스를 영위하는 우리 기업은 중국 소비자를 대상으로 하는 개인정보 처리방침, 개인정보 수집 문구 등에 대한 점검과 대책이 필요하며, 제3의 서비스 업체에 개인정보를 위탁하거나 적용하는 경우 역시 대비가 필요함. 

■ 이번에 발표된 중국의 ‘개인정보 보호법’은 EU GDPR과 유사하며, 일부 규정의 경우 보다 엄격한 것으로 평가됨. 
- 중국 ‘개인정보 보호법’은 2018년에 발효된 EU GDPR을 참고하여 민간기관과 공공기관의 의무와 책임을 통합하고, 개인정보의 보호와 사용을 고려하여 중국에 적합한 방식을 채택하여 제정됨.15)
- 중국 ‘개인정보 보호법’은 △미성년자 연령 규정 △민감 개인정보 범위 △정보 보존 연한 △공공안전을 위한 개인정보 활용 조항 등이 EU GDPR보다 엄격함. 
ㅇ 중국은 △ 미성년자의 연령을 만 14세로 규정 △금융 내역, 개인 행적 등을 민감 개인정보에 포함 △개인정보 영향평가서 및 처리 기록 최소 3년 의무 보존 △공공안전을 위해 사전 고지 없이 개인정보 활용 등을 포함하고 있어 EU보다 높은 수준의 개인정보 관리를 시행

■ 또한 중국 내 온라인 플랫폼 기업이 개인정보를 독점하는 것을 방지하고, 개인정보 처리 시 추가 의무를 부여하여 빅테크 기업에 대한 데이터 보안 규제를 더욱 강화할 것으로 예상됨. 
- 이번 ‘개인정보 보호법’에서 마련된 개인정보 이동 규정(제45조)에 근거하여 온라인 플랫폼에 대한 규제가 가능해짐. 
ㅇ 개인정보 이동권 규정은 개인이 자신의 정보를 통제하고, 개인의 동의 없이 플랫폼간 정보를 전송할 수 없도록 보호되며, 특히 과도한 개인정보 수집, 빅데이터, 불법거래 및 앱에 의한 개인정보 공개에 대한 규칙을 명시16) 
- 추가로 온라인 데이터 관련 정책의 시행 준비를 통해 온라인상 개인정보 처리에 대한 규제도 강화됨. 
ㅇ 중국정부는 2021년 11월 ‘사이버 보안법’, ‘데이터 보안법’, ‘개인정보 보호법’에 근거하여, 「데이터 안전관리 조례(의견수렴안)(《网络数据安全管理条例征求意见稿》」를 발표하여 의견을 수렴 중17)

■ 최근 국가간 데이터 이동과 개인정보의 역외 전송이 디지털 통상의 새로운 이슈로 부각되면서 중국정부는 국제규범 제정에 참여하는 방식으로 데이터 보안 관련 법률을 선별적으로 시행할 것으로 예상됨.18) 
- 미국은 기술 안보를 내세워 중국 첨단기업의 수출입 규제를 시행하고 있으며, 특히 디지털 무역 활성화에 장애 요소인 데이터 국지화를 반대함. 
- 반면 중국은 ‘데이터 주권론’으로 자국 데이터 관련 산업의 육성과 국내 정치적 안정을 위해 ‘초국적 데이터 이동’을 반대하는 입장임.19)
- 이러한 상황에서 한국과 중국을 포함한 15개 국가가 체결한 RCEP(Regional Comprehensive EconomicPartnership, 역내포괄적 경제동반자협정)에 데이터 국지화 금지, 국경간 데이터 이동 제한 금지 등 규정이 포함되어 있어 향후 중국이 국별로 상이한 기준을 적용할 가능성이 있음. 
ㅇ RCEP에서 컴퓨팅 설비의 지역화 요구 금지 조항은 의무규정이나, 국가 안보를 위해서는 예외적으로 면제가 가능하다고 명시하여 중국 ‘데이터 보안법’과 상충되지 않는 상황
ㅇ 또한 중국은 ‘개인정보 보호법’에서 국경간 데이터 이동을 제한하고 있으나 상호주의에 따른 국제협약에 근거하여 이동이 가능한 것으로 명시하고 있어 RCEP과 같은 협약에 따른 국경간 데이터 이동이 가능

■ 중국은 이번 ‘개인정보 보호법’ 시행으로 사이버 보안 분야의 법적 근거를 강화하는 동시에 외교적 수단으로 활용할 수 있는 토대를 구축함으로써 향후 관련 분야에 대한 통제력이 더욱 강화될 가능성도 존재
- 중국 공안기관은 2021년 12월 29일 선전시 월마트에 대해 ‘사이버 보안법’ 위반을 적발하고 시정명령을 내린 바 있어,20) 향후 데이터 보안, 개인정보 보호와 관련된 추가적인 조치를 시행할 수 있음을 시사
ㅇ 이번 '개인정보 보호법'에 중국에 대한 차별금지 조항(개인정보 보호법 제43조)이 명시되어 있어 향후 데이터 보안, 개인정보 보호를 근거로 자국 기업을 보호하는 외교적 수단으로 활용될 가능성이 존재21)

66b73819bc9a2442dbf46fabf5b35b1a_1646191
66b73819bc9a2442dbf46fabf5b35b1a_1646191

-----------------------------------------
1) 중국의 전국인민대표대회는 중국의 최고 권력기구로 전국의 성/자치구/직할시/특별행정구/군(军)에서 선출되는 대표로 구성되어 입법부, 행정부 역할을 수행함. 임기는 5년으로 1년에 1번 공식적인 회의를 개최하고 있으며, 주요 권한으로는 헌법 수정, 민사/형사/국가 기본법률의 제정, 국가 주석 및 국무원 총리 등 국가기구의 주요 구성원 선거 및 임명 등임. 전국 인민대표대회가 폐회 중인 평상시에는 상설기관인 상무위원회를 설치하여 주요 법률의 제/개정을 포함한 주요 사항을 결정함.

2) http://www.cac.gov.cn/2021-07/10/c_1627503724456684.htm(검색일: 2022. 2. 7).

3) http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm(검색일: 2022. 2. 7).

4) 공업정보화부가 발표한 38개 앱 목록에는 텐센트뮤직(QQ音乐), 텅쉰신문(腾讯新闻), 알리바바의 UC 모바일 인터넷 브라우저(UC浏览器极速版),샤오홍수(小红书) 등이 포함됨. 「关于APP超范围索取权限、过度收集用户个人信息等问题“回头看”的通报」, https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_1b4410dcdc9743edae30b6429bd76d22.html(검색일: 2022. 2. 7).

5) 电信和互联网用户个人信息保护规定. 

6) 个人信息出境安全评估办法(征求意见稿).

7) App违法违规收集使用个人信息自评估指南. 

8) 互联网个人信息安全保护指南. 

9) 信息安全技术 个人信息安全规范(征求意见稿).

10) 个人信息出境安全评估办法(征求意见稿).

11) 儿童个人信息网络保护规定. 

12) 信息安全技术个人信息安全规范.

13)「儿童个人信息网络保护规定」, http://www.cac.gov.cn/2019-08/23/c_1124913903.htm(검색일: 2022. 2. 10).

14) 온라인 플랫폼 사업자는 다음의 규정을 준수해야 함. 1) 국가 규정에 따라 개인정보 보호 준수 시스템을 구축 및 개선하고 개인정보 보호를 감독하기 위해 주로 외부 구성원으로 구성된 독립적인 조직을 설치(제 58조 1항), 2) 공개, 공정 및 정의의 원칙을 따르고 플랫폼 규칙을 공식화하고 플랫폼에서 제품 또는 서비스 제공자의 개인정보 처리 표준과 개인정보 보호 의무를 명확히 함.(제58조 2항) 3) 법률 및 행정 규정을 심각하게 위반하는 개인정보를 처리하는 플랫폼에서 제품 또는 서비스 제공자에 대한 서비스 제공을 중단함.(제58조3항), 4) 개인정보 보호에 관한 사회적 책임 보고서를 정기적으로 발간하고 사회적 감독을 받음.(제58조 4항)

15) 「专家解读|个人信息保护法的深远意义:中国与世界」, http://www.cac.gov.cn/2021-08/25/c_1631491542896651.htm(검색일: 2022. 2. 7).

16) 「个人信息保护法来了!首次增加重要条款,侵害个人隐私将被严厉打击,互联网严监管时代来临」, https://baijiahao.baidu.com/s?id=1
708755642825589900&wfr=spider&for=pc(검색일: 2022. 2. 7).

17) 온라인 데이터 관련 법률인 ‘인터넷 데이터 보안 관리 조례(의견수렴안)(网络数据安全管理条例)’에서는 약정한 목적, 범위, 처리 방식을 통해서만 개인정보를 처리해야 한다고 규정(제3장)하고 있으며, 데이터 처리자는 온라인상에서 △개인정보의 처리 목적이 달성되었거나 더 이상 처리 목적을 달성할 필요가 없는 경우 △이용자가 동의하거나 개인정보 처리방침에 명시된 보관기간에 도달한 경우 △서비스종료 또는 개인 계정 해지 △자동수집기술 등의 이용으로 인하여 필수적이지 않은 개인정보나 개인의 동의 없이 개인정보를 수집하는 것이 불가능한 경우, 영업일 기준 15일 이내 개인정보를 삭제하거나 익명 처리조치를 시행해야 함. 개인정보의 주체는 △정보를 제공받을 권리 △정보주체의 열람권 △정정권 △삭제권 △처리제한권 △개인정보 이동권 △반대권에 대해 세부적으로 명문화하고 있음 [한국, EU있음]. 100만 명 이상의 개인정보를 취급하고 있는 핵심정보 인프라 시설(제4장)과 1일 사용자가 1억 명 이상인 대규모 플랫폼(제6장)에 관해서는 개인정보 보호 이용 및 이전 등에 관해 구체적으로 제시하고 있음. 「国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》 公开征求意见的通知」, http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm(검색일: 2022. 2. 7).

18) ‘역내 포괄적 경제 동반자(RCEP: Regional Comprehensive Economic Partnership)’는 캄보디아, 라오스, 미얀마, 인도네시아, 필리핀, 태국, 싱가포르, 브루나이, 말레이시아, 베트남이 속한 ASEAN 10개국과 한국, 중국, 일본, 호주, 뉴질랜드를 포함한 총 15개국의 역내무역 자유화를 위한 협정(2020년 11월 15일 정식 서명).

19) 데이터의 해외 이전에 대한 제한은 주요국별로 상이함. 중국, 러시아, 베트남 등은 국가 내 데이터가 저장되어야 한다고 명시적으로 요구함으로써 매우 엄격하게 제한하는 것에 반해 미국, 일본 등은 사실상 데이터 현지화 의무가 없음. EU의 경우도 개인정보의 국외 이전을 법령으로 제한함으로써 사실상 데이터 현지화를 준수하고 있으며, 한국의 경우는 국외 이전할 수 없는 정보의 종류를 지정하거나 정보의 국외 이전에 정보주체의 동의를 요함으로써 부분적으로 제한하고 있음. “DATA LOCALIZATION :A CHALLENGE TO GLOBAL COMMERCE AND THE FREE FLOW OF INFORMATION”(2015), ALBRIGHT STONEBRIDGE GROUP, p. 5.

20) 중국정부는 선전시 월마트에 ‘중국 사이버 보안법’을 근거로 네트워크 보안 의무 위반(사이버 보안법 제 25조, 제 59조 1항)에 대한행정처벌을 결정하고 시정명령을 부과 「沃尔玛违反网络安全法被行政处罚」, http://k.sina.com.cn/article_1645773865_62188429040010qj4.html (검색일: 2022. 2. 7); 「沃尔玛违反网络安全法被公安部门警告去年因产品质量违法等多次被罚」, http://finance.sina.com.cn/jjxw/2022-01-05/doc-ikyakumx8481740.shtml(검색일: 2022. 2. 7).

21) ‘어떤 국가나 지역이 개인정보 보호에 있어서 중화인민공화국에 대해 차별적인 금지, 규제, 기타 유사한 조치를 취하는 경우, 중화인민공화국은 상황에 따라 그 국가나 지역을 대등하게 조치할 수 있다’는 조항을 명시(중국 개인정보 보호법 제43조).

22) 국가기관이 개인정보를 처리하는 경우 원칙적으로 정보주체에 대해 사실을 알리고 동의하는 것이 원칙이나, 국가기관이 법으로 정한 직무를 수행하는 데 장애가 되는 경우 예외

 


 

 이 보고서는 대외경제정책연구원(KIEP)이 발간한 세계경제 포커스 [22-07](2022.2.28.)에 실린 것으로 연구원의 동의를 얻어 게재합니다. <편집자>​

 

0
  • 기사입력 2022년03월05일 17시00분
  • 검색어 태그 1

댓글목록

등록된 댓글이 없습니다.