중국 개인정보보호법(PIPL) 시사점

중국의 경우 그간 개인정보에 대해서는 2017. 6.부터 시행된 네트워크안전법 제40조 내지 제45조 등에서 부분적으로 규율하고 있었으나, 최근 전면적인 입법 개정을 통해서 체계적인 개인정보보호가 시작되었다.

2020. 5. 개정되어 2021. 1. 1.부터 시행된 개정 민법 제6장은 프라이버시와 개인정보 관련 조항을 신설하여 민사법적으로 개인정보를 규율하는 기본틀을 마련하고, 2020. 10. 초안을 공개한 개인정보보호법(PIPL)은 마침내 2021. 8. 21. 제정되었고, 오는 11. 1.부터 시행할 예정이다.

CHINA BRIEFING VERSION

Personal Information Protection Law of the People's Republic of China

.pdf

Download PDF • 185KB

STANFORD VERSION

Translation_PIPL (Effective Nov.1, 2021)_DigiChina

.pdf

Download PDF • 1.15MB

CHINA BRIRFING VERSION (1st draft, 2nd draft, final document comparison)

China’s PIPL_A Comparison of the First Draft, the Second Draft, and the Final Document

.pdf

Download PDF • 1.07MB

중국의 개인정보보호법을 간략하게 표현하면, EU의 GDPR과 한국의 개인정보보호법에서 강한 규제만을 골라다 잘 섞어 놓은 느낌이다. 아래에서는 한국의 개인정보보호법에 비추어 주의할 점 등을 정리하면서 이를 기준으로 시사점을 도출해 보고자 한다.

첫째, 한국의 개인정보보호법이나 EU의 GDPR은 민간기업뿐 아니라 공공기관에 대한 규제를 거의 동등하거나 공공기관을 상대적으로 엄격하게 규율하여 정보주체의 개인정보가 민간권력뿐 아니라 공공권력에 의하여 남용되지 않도록 하고 있으나, 중국의 개인정보보호법은 글로벌 인터넷기업 등의 민간기업에 대한 통제를 주된 목적으로 하고 있어 공공기관으로부터의 정보주체 보호 취지는 상대적으로 약하다. EU에서 시작된 개인정보보호라는 개념이 원래 국가권력으로부터의 보호라는 관점에서 출발했다는 점을 고려하면 중국의 개인정보보호법은 그 사상적 기반이 다른 법체계라 평가할 수 있다.

둘째, GDPR의 영향을 받은 중국의 개인정보보호법은 역외적용 규정이 존재한다. 예컨대 역외기업이 중국의 개인에 대한 상품 또는 서비스를 제공하는 것을 목적으로 하거나 중국 개인의 행위를 분석하여 평가하기 위한 목적이라면 그 기업에게도 중국 개인정보보호법이 적용된다. 법위반시 부과될 강력한 벌금을 고려하면 가볍게 볼 내용은 아니며, 더불어 역외기업에게는 국내대리인과 유사한 전문기구를 설치할 의무가 있다는 점도 유념해야 한다.

셋째, 중국의 개인정보보호법은 옵트인 체제를 가지고 있다. 옵트인이라는 것은 정보주체의 동의를 전제로 개인정보 처리가 가능한 형태이고, 옵트아웃이라는 것은 원래 처리가 가능하지만 정보주체의 의사에 따라 처리가 제한되는 형태이다. 한국의 개인정보보호법이나 EU의 GDPR이 옵트인 체제를 가지고 있으므로 이를 참조한 중국 개인정보보호법에게 이는 당연한 결론이라 할 수 있지만, 강력한 중국 개인정보보호법을 이해하는 가장 중요한 키워드 중의 하나라 할 수 있다.

넷째, 한국의 개인정보보호법이나 EU의 GDPR과 비교해서 중국 개인정보보호법의 특징으로 꼽히는 것은 바로 국가안보 또는 데이터 주권의 강조 조문이다. 핵심정보인프라시설 운영자 또는 일정 수량 이상의 개인정보를 처리하는 자는 중국 역내에서 수집하거나 발생한 개인정보를 중국 역내에 보존해야 하고(데이터 현지화), 만일 역외로 제공할 필요가 있는 경우에는 정부 당국의 안전평가를 통과해야만 한다. 나아가 정보주체 권리 또는 국가안보, 공공이익을 침해하는 기업을 블랙리스트로 관리할 수 있고, 중국 기업에 대하여 차별적 조치를 취하는 국가에 대해서는 상응조치를 취할 수 있도록 하였다. 이는 해외의 중국 기업을 보호하고 동시에 글로벌 인터넷 기업이나 미국 정부를 겨냥한 것으로 보이는바, 프라이버시 전쟁을 위한 총알 역할을 할 것으로 보인다.

다섯째, 개인정보의 국외이전에 대한 엄격한 제한 규정이 있는바, 안전성 평가를 통과한 경우, 전문기관의 개인정보보호 인증을 받은 경우, 당국이 마련한 표준에 부합하는 계약을 체결한 경우, 기타 법령이 정한 조건에 부합한 경우에만 국외이전이 가능하다. 추측건대 당국이 마련한 표준에 부합하는 계약이 가장 많이 사용될 것으로 보이는바, 당국이 마련한 표준의 수준에 따라서 강력한 장벽이 생길 수도 있어 보인다.

여섯째, 중국 개인정보보호법을 위반한 경우 중하게는 5천만 위안(한화 약 85억원) 이상 또는 전년도 매출액의 5% 이하의 벌금이 부과될 수 있다. 중대한 위반시 GDPR의 과징금이 전세계 매출액의 4% 또는 2,000만 유로(한화 약 250억원) 중 높은 금액인바, 단순 비교하더라도 결코 가벼운 수치는 아닌 것으로 평가된다.

기존 각국의 법령과 비교하건대, 중국 개인정보보호법의 가장 큰 특징은 공공기관의 의무를 약화하고 정부의 통제 권한을 강화했다는 점에 있다고 본다. 개인정보보호법의 역할이 단순히 정보주체의 보호만에 국한되지 않고 한 국가의 정치 상황, 국가안보, 경제정책이나 IT산업 정책에 있어 중요한 지렛대 역할을 할 수 있다는 점을 보여준 것이라 평가된다.

* 법무법인 민후 김경환 변호사 작성, 블로그(2021. 9. 14.), 전자신문(2021. 9. 14.) 기고.