아시아 각국의 정보보호법 비교: 중국

0
123

정보 시대에서 정보란 일종의 석유(oil)라 할 수 있다. 사회경제적 및 정치적 여건이 서로 다르고 복잡함에도 불구하고, 많은 아시아 국가들이 개인정보 보호장치를 한층 강화하는 조치를 적극적으로 취하고 있다.

인도

태국

필리핀 제도

2021 개인정보보호법(PIPL)은 개인정보 보호에 관한 중국 최초의 포괄법(包括法)이다. 사적인 개인정보는 민법에 의거하여 프라이버시 권리로서 보호를 받고, 사적인 또는 공적인 개인 정보에 대한 개별 권리는 PIPL에 의거하여 보호를 받는다.

정보 보안(개인정보가 아닌 데이터 포함)과 사이버보안은 정보 보안법과 사이버보안법에 의거하여 규제를 받는데, 이는 PIPL과 함께 중국의 개인정보보호 및 정보 보안에 관한 법적 체제를 구성한다.

정보 관리 기관

정보 관리 업무를 시행하고 이를 실행하는 주무 기관은 국가사이버정보국(中华人民共和国国家互联网信息办公室; CAC)이다. 기타 산업별 지역별 여러 규제기관들이 관련 규칙의 시행을 공포한다.

정보 분류

Amigo L Xie, K&L Gates
Amigo L Xie
파트너
홍콩 K&L Gates
전화: +852 2230 3510
이메일: amigo.xie@klgates.com

중국의 정보 국가 보안 및 개인정보 보호 규칙을 시행할 수 있도록, 위험성과 중요성 정도에 따라 정보에 등급을 부여했다. 정보보안법에는 정보를 그 형태에 따라 그룹으로 분류하고 각 그룹의 정보에 개별 중요성을 할당하여 “분류하고 등급을 부여한” 정보 보호 시스템이 명시되어 있다. 국가 정보 보안 통합 장치를 통해 전반적인 계획을 수립하고, 국가위원회의 관련 부서들은 “중요 정보” 항목을 정하여 이들에 대한 보호 강화를 위해 협조한다.

PIPL은 ‘개인정보’와 ‘민감한 개인정보’를 구분하고 있다. 개인정보란 전자방식으로 또는 달리 기록되어 신원이 확인되거나 신원을 확인할 수 있는 자연인과 관련한 모든 종류의 정보를 의미한다(익명 처리된 정보는 제외). 민감한 개인정보란 공개되거나 불법적으로 이용하면 인간의 존엄성이 침해되거나 자연인에게 피해를 줄 수 있는 개인정보를 의미하고, 여기에는 생체 인식, 종교적 믿음, 의료 및 건강, 금융 계좌, 개인 위치 추적 및 기타 이와 유사한 정보와 14세 미만의 미성년자에 대한 개인정보가 포함된다.

정보 취급자

정보 관리 시스템에는 정보 관리자와 정보 처리자에 대한 정의가 따로 마련되어 있지 않다. PIPL은 개인정보의 처리 목적과 방법을 독립적으로 결정하는 조직이나 개인을 개인정보 취급자(PIH)로 정의한다. PIH는 개인정보 처리 업무를 다른 사람에게 위임할 수 있지만, 해당인의 작위(作爲) 및 부작위(不作爲)에 대해 책임져야 한다. PIH는 개인정보 보호에 필요한 조치를 취하고, 제3자 처리자가 관련 법을 준수하고 합의된 목적을 벗어나 개인정보를 처리하지 않도록 해야 한다.

법적 근거

PIPL은 다음의 경우에 PIH가 개인정보를 처리할 수 있는 것으로 명시하고 있다.

  • 정보 주체로부터 합법적으로 동의를 받은 경우
  • 계약의 체결이나 이행, 고용계약 등에 의거하는 인적 자원 관리와 관련하여 필요한 경우
  • 법적 의무 이행에 필요한 경우
  • 공중보건 비상사태, 생명 보호, 건강이나 재산의 안전 위험에 대응하기 위해 필요한 경우
  • 뉴스 보도 또는 공익에 필요한 경우
  • 개인에 의해 또는 법에 따라 개인정보가 공개되었으나 해당 정보를 합리적인 범위 내에서 처리할 수 있는 경우

국외 정보 이전

Susan Munro, K&L Gates
Susan Munro
등록된 법
홍콩 K&L Gates
전화: +852 2230 3518
이메일: susan.munro@klgates.com

사이버보안법에는 중요정보 인프라 사업자(CIIO)가 생성하고 수집한 개인정보 및 중요 정보의 국외 이전에 적용되는 조항이 포함되어 있고, 예의 CIIO는 관련 기관에서 지정한다. 이와는 달리, PIPL에는 개인정보의 국외 이전에 필요한 포괄적인 기준이 명시되어 있다.

관련 규칙과 가이드라인을 실행하는 일부 법규(네트워크 정보 보안 관리에 관한 규정(NDSM), 국외 정보 이전의 보안 평가 조치(MSA) 포함)는 역외 정보 이전 문제를 다루고 있다. 몇몇 산업 분야의 법규와 규정은 특정 형태의 정보의 국외 이전을 제한하거나 금지하고 있다. PIH에 필요한 일반적인 요건은 다음과 같다.

  • 개인정보의 국외 이전은 법적 근거가 있어야 한다.
  • PIH는 이전된 개인정보가 PIPL에서 정한 것과 동일한 기준으로 해외의 수취인이 처리하고 보호할 수 있도록 이에 필요한 모든 조치를 취해야 한다.
  • 중국 본토 밖으로 개인정보를 이전하기 전에 개인정보 보호와 관련한 영향 평가를 실시해야 한다.

또한, 정보 현지화 및 국가 보안 평가의 경우에는 특정의 PIH에게 다음과 같은 구체적인 요건이 필요하다.

  • CIIO는 중국에서 업무를 진행하는 동안 수집하고 생성한 개인정보와 중요한 정보를 보관해야 한다.
  • PIH의 개인정보 처리가 CAC에서 정한 상한선에 도달하면 정보 현지화 요건을 따라야 한다. 관련 규칙의 현재 상한선은 100만명 이상의 정보를 의미한다.
  • 관련 법과 중국인민은행에 의해 구체적으로 허용되지 않는 한, 은행업무를 수행하는 금융기관은 개인금융정보를 해외로 제공할 수 없다.
  • 개인정보 처리가 법적 상한선에 도달한 CIIO 또는 PIH가 해외 수취인에게 해당 정보를 제공하고자 하는 경우에는 국가 보안 평가를 통과해야 한다.
  • 이전되는 정보에 “중요한 정보”가 포함되는 경우, 관련 규칙은 국가 보안 평가 요건을 다른 PIH까지 확대한다.
  • MSA에서도 100,000명 이상의 개인정보 또는 10,000명 이상의 “민감한 개인정보”의 해외 이전에 국가 보안 평가 요건을 적용한다. 이러한 상한선은 누적되는 방식으로 적용된다.

국가 보안 평가가 필요하지 않은 경우, PIH는 지정된 전문 기관으로부터 개인정보 보호 인증서를 취득하거나 CAC가 정한 표준 조항이 포함된 정보 이전 계약서를 해외 수취인과 체결해야 한다. NDSM은 이러한 요건을 개인정보와 무관한 정보 취급자에게 확대한다.

먼저 관련 기관의 승인을 받지 않으면 어떠한 개인이나 조직도 중국 본토에 소재하는 정보를 외국의 사법기관이나 법 집행기관에 제공할 수 없다.

위반 및 책임

PIPL에는 다음과 같은 처벌 조항이 명시되어 있다.

  • 1차 처벌에는 시정 명령, 경고, 불법소득 몰수 및 서비스 중단이 포함된다.
  • 시정되지 않는 경우, 위반 사항에 대해서는 최대 100만 위안($150,000), 위반 사항을 초래하였거나 이에 대해 달리 책임져야 하는 사람에 대해서는 10,000~100,000 위안의 벌금이 부과된다.
  • 심각한 위반의 경우, 5,000만 위안 또는 전년도 수익의 5%에 해당하는 벌금이 부과되고, 사업 중단이나 사업허가 취소의 처벌을 받는다.
  • 정보 주체에게 피해가 발생하는 경우, PIH는 자신이 개인정보와 관련한 권리를 침해하지 않았다는 것을 입증해야 한다.
  • PIH가 많은 사람의 권리를 침해하는 경우, CAC는 검사 또는 특정 기관에게 PIH를 고소할 수 있는 권한을 부여할 수 있다.

정보보안법과 사이버보안법에도 위반과 관련한 처벌 조항이 명시되어 있다.

정보 침해

사이버보안법은 체계적으로 분류된 보호 시스템을 실행한다. 정보 침해가 발생하면, 정보 관리 시스템에 따라 정보 취급자와 네트워크 사업자는 즉시 비상계획을 수립하고, 해당하는 시정 조치를 취하고, 필요한 바 대로 정보 주체에게 통지하며, 해당 사안을 CAC와 관련 규제기관에 보고해야 한다.

사이버보안 사고에 필요한 국가 비상계획 및 공공 인터넷의 예기치 않은 네트워크 보안 사고에 필요한 긴급 대응 계획에 의거하여, 사이버보안 사고는 그 정도에 따라 (1) 매우 중대한 사고, (2) 중대한 사고, (3) 비교적 중대한 사고 및 (4) 일반적인 사고로 분류된다. 관련 규정에는 규제기관, 모니터링 및 조기 경고 시스템, 비상 및 보고 시스템, 조사 및 평가, 보호 조치와 관련한 규칙이 구체적으로 명시되어 있다.

정보보호책임자(DPO)

PIPL에는 정보보호책임자(DPO) 지정이 명시되어 있는데, DPO의 역할과 책임은 다음과 같다.

  • PIH의 정보 처리 활동과 보호 조치 등을 감독한다.
  • PIH의 책임자에게 직접 보고한다.
  • 개인 책임에는 위반의 경중에 따라 10,000~100만 위안의 벌금이 포함된다. 또한, DPO는 상위 직급으로 승진할 수 없거나, 사회적 신용 관련 문서에 부정적으로 기록되거나, 일반 대중에게 공개되거나, 최악의 경우에는 행정 구금이나 형사 고발의 위험도 부담한다.
  • PIPL에는 DPO의 구체적인 업무가 명시되어 있지 않지만, 역할과 관련한 지침은 PIS 세부 자료에서 확인할 수 있다.
K&L Gates Logo

K&L GATES
44/F Edinburgh Tower, The Landmark
15 Queen’s Road Central, Hong Kong
전화: +852 2230 3500
www.klgates.com