중국 개인정보보호법 체계
중국 자연인(개인정보 주체)의 개인정보의 수집, 처리 등 활동에 대한 법령이다. 주요 내용으로는 개인정보 처리원칙, 개인정보 주체의 권리, 개인정보처리자의 의무 등을 담고 있다. 다만 우리나라의 개인정보보호법은 법령-시행령-시행규칙-고시로 이어지는 체계를 갖추고 있으나, 중국의 개인정보보호법은 법률 이후 행정규칙, 국가표준 등이 구체적으로 갖추져 있지 않고, 이제 점차 만들어지고 있는 단계라 보면 되겠다.
이에 이 글에서는 지금까지 나온 것(‘23.9 기준)들 위주로 이야기를 해보고자 한다.
중국 국가표준(GB)에 대하여
중국의 표준은 국가기술기준으로 작용한다. 즉 법률에 의해 강제성을 가진다. 다만 대부분의 국가표준은 중국 인터넷 검색을 통해 식별할 수 있으나, 국가표준의 경우 원칙적으로 구매하여야 한다. 사실 일반적인 용도로는 이런 오픈되어 있는 데이터를 활용해도 되나, 당국에 의한 현장 점검 시 관련 체계 및 절차를 갖추었는지 확인하는 단계에서 각종 규범을 갖고 있는지 확인할 수 있으며, 이 때 구매한 것이 아니면 인정이 안되는 경우도 있으니 구매해서 비치하도록 하자.(트집잡힐 일은 하지 말자) 중국 국가표준은 얼마 안한다.
중국 개인정보보호법 관련 세부규칙
여러가지 루트를 통해 다양한 세부규칙을 식별해보았다. 다만 관련 법규가 체계화되어 있는 것이 아닌, 행정규칙, 국가표준, 지침(네트워크위원회 등)이 혼재되어 있고, 각 지침 간 상호 보완적인 형태를 하고 있어 현재 시점에서 도식화 하는 것은 무리라고 판단하였다. 일단 여기에서는 어떤 지침들이 있는지 간략하게 소개해보고자 한다.
정보보안기술-개인정보보안규범(GBT 35273)
개인정보 처리 등 세부지침은 아래 세칙을 따르면 된다. 즉 위의 개인정보보호법에서는 법에 의한 의무를 정한다면, 이 규범에서는 해당 의무를 따르기 위한 세부적인 사항을 담고 있다고 보면 되겠다. 여기에는 부록으로 개인정보의 실제 예, 개인정보 보호 정책 예시 등이 포함되어 있으므로 만약 중국 관련 기업의 개인정보보호 책임자 역할을 맡았다면 한번 들여다 볼 필요는 있겠다.
개인정보 고지 및 동의 가이드라인(个人信息告知同意指南)
개인정보를 수집 및 처리하기 위해서는 개인정보 주체의 동의가 필요하고, 처리 시 처리되는 사안에 대해 고지하여야 한다. 이 가이드라인은 개인정보 고지 및 동의에 대한 방법론이다. 다만 아직 확정되지는 않았고 현재 의견수렴 진행중이다.
개인정보 비식별화 지침(GB/T 37964)
개인정보 보유기간이 끝나 개인정보를 파기할 경우, 삭제를 통해 파기를 하는 경우도 있지만 비식별화를 통해 파기를 하는 방법도 있다.
이에 이 지침에서 개인정보를 구체적으로 어떻게 비식별화할 수 있을까 방법을 이야기한다.
우리나라에서도 개인정보 비식별 조치 가이드라인(행안부) 를 통해서 동일한 내용을 정하고 있다.
개인정보보안 비식별화 효과 등급 구분 평가 규볌(GB/T 미정)
위의 지침과 연관된다. GB/T 37964에 따라 비식별화된 개인정보가 얼마나 적절하게 비식별화되어 있는지 검증하는 툴이다.
개인정보 보안 영향평가지침(GB/T 39335)
개인정보처리자는 자체적으로 개인정보 보안영향평가를 연1회 실시하여 주무부처에 제출해야 한다.
즉 개인정보 처리 및 인프라(조직, 인원, 장비)가 개인정보 보호 목적을 달성하는데 적절한지 확인하는 지침이라 보면 되겠다.
데이터 역외이전 안전평가방법(数据出境安全评估办法)
개인정보 등 데이터를 역외(중국 영내가 아닌 해외 또는 마카오, 홍콩 등)로 이전할 경우, 이전하는 개인정보의 수효가 100만건이 넘거나 민감개인정보가 포함이 되어 있다면, 개인정보보호법과 데이터안전법에 따라 안전평가를 받아야 한다. 여기에서는 준비해야 할 서류, 평가받는 항목 등을 알 수는 있지만, 국가에서 직접 수행하는 안전평가의 세부 지침-평가항목-절차 등을 알수가 없어 대응이 정말 까다롭다.
개인정보안전인증 시행규칙(个人信息保护认证实施规则) 및 개인정보 역외이전 처리활동 안전인증 규범(TC260-PG-20222A)
개인정보 역외이전 시, 안전평가 대상이 아닌 자는 안전인증 또는 표준계약 중 하나를 택하여야 한다. 두가지 방법의 차이는 제3자에 의한 검증인지, 아니면 표준계약서를 통해 스스로 약정하는지이다. 이 시행규칙과 규범은 안전인증의 대략적인 가이드라인을 제시하는 것이라 보면 되겠다. 다만 실제 인증을 하는 전문기관이 정해지지 않아, 아직 작동한다고 볼 수 없다.
개인정보 역외이전 표준계약 방법(个人信息出境标准合同办法) 및 표준계약서(个人信息出境标准合同)
개인정보 역외이전 시, 중국 법인-이전받고자 하는 해외회사 간 계약(표준계약서 양식 활용)을 통해 가능하다. 다만 표준계약의 형태를 하고 있으나, 실제 표준계약서를 관할관청에 제출하고 심사를 통해 확인되어야 실제 역외이전이 가능하다. 즉 붙임에 붙어있는 표준계약서를 활용한 허가로 이해하면 될 것 같다. 실제로 대부분의 양식이 정해져 있어 실제 적용 자체는 어렵지 않다.
대응 주의사항
이 외로 상황별 지침(아동에 적용되는 것, APP에 적용되는 것, 인터넷 서비스에 적용되는 것 등)이 다수 존재한다. 만약 중국 개인정보보호책임자로서 관련 체계를 수립하거나 운영할 필요가 있는 경우 해당되는 사항에 관한 지침을 찾아 적용할 필요가 있다.
또한 개인정보에 관해서는 이와 같고… 만약 개인정보의 수집 및 처리가 네트워크를 통해 수행된다면 데이터안전법 및 네트워크안전법에 따른 의무도 준수하여야 한다. 데이터등급, 네트워크안전평가와 같은 절차도 추가되므로 적절히 대응하여야 한다.
우리나라의 경우 개인정보 등 데이터의 관리를 자율적으로 실시하도록 하고 있으나, 중국의 경우 국가가 관리하려는 모습을 하고 있으므로 주의가 필요하다. 함께 중국의 개인정보보호법은 다수의 자료가 오픈되어 있지 않고, 이제 막 만들어지는 단계인지라 규제 변화가 크므로 적극적인 모니터링이 필요하다.