국가정보_중국
법률체계
1 개요
중국에는 단일화된 개인정보보호법이 존재하지 않고 다양한 법률과 규범에 따라 보호조치를 취해 왔다. 그러나 지속적인 개인정보 보호 법률체계의 필요성이 제기됨에 따라 중국의 입법기관인 전국 인민대표대회가 2020년 10월 개인정보보호법 초안을 발표한 이후 두 차례의 의견수렴을 거쳐 2021년 8월 20일 법안을 최종 승인하고 11월 1일부터 시행되었다. 개인정보보호법 제정으로 중국은 디지털경제의 법률적 지원 체계를 갖춘 것으로 평가된다. 즉, 사이버보안과 관련된 ‘네트워크안전법’(2017년), 데이터 보안과 시장화를 위한 ‘데이터안전법’(2021년), 개인정보보호를 위한 ‘개인정보보호법’(2021년) 등 데이터3법을 통해 디지털 거버넌스의 기반을 마련하였다.
중국에는 단일화된 개인정보보호법이 존재하지 않고 다양한 법률과 규범에 따라 보호조치를 취해 왔다. 그러나 지속적인 개인정보 보호 법률체계의 필요성이 제기됨에 따라 중국의 입법기관인 전국 인민대표대회가 2020년 10월 개인정보보호법 초안을 발표한 이후 두 차례의 의견수렴을 거쳐 2021년 8월 20일 법안을 최종 승인하고 11월 1일부터 시행되었다. 개인정보보호법 제정으로 중국은 디지털경제의 법률적 지원 체계를 갖춘 것으로 평가된다. 즉, 사이버보안과 관련된 ‘네트워크안전법’(2017년), 데이터 보안과 시장화를 위한 ‘데이터안전법’(2021년), 개인정보보호를 위한 ‘개인정보보호법’(2021년) 등 데이터3법을 통해 디지털 거버넌스의 기반을 마련하였다.
2중국 법률 체계
중국의 입법법(立法法)에서는 중국 법률을 헌법, 법률, 행정법규, 지방성법규, 자치조례, 단행조례, 부문규장으로 정의하고 있다. 각각은 입법 주체에 따라 구분되며, 상세한 내용은 아래 표와 같다. 특이한 점은 법률이라고 하더라도, 법이라는 명칭을 사용하지 않는 경우도 있고, 각 법률에서 결의(決議), 결정(決定), 규정(規定), 방법(辦法) 등의 명칭을 혼용하는 경우도 있다는 것이다.
중국의 법률 체계
| 유형 | 입법 주체 | 예시 |
|---|---|---|
| 헌법 | 전국인민대표대회 | 헌법 |
| 법률 | 전국인민대표대회 | 기본법률(민법통칙, 형법) |
| 전국인민대표대회 상무위원회 | 기본법률 이외(상표법) | |
| 행정법규 | 국무원 | 인터넷 정보 서비스 관리 방법 |
| 지방성 법규 | 지방 인민대표대회 및 상무위원회 | 북경시 식품 안전 조례 |
| 자치조례, 단행조례, 부문규장 | 민족자치구역 자치기관 | 연길 조선족 자치주 자치 조례 |
| 국무원 산하 부처 | 인터넷 뉴스 정보 서비스 관리 규정 |
3개인정보보호법
개인정보보호법(中华人民共和国个人信息保护法, Personal Information Protection Law)은 중국에서 처음으로 입법화 된 개인정보보호 관련 법률로서, 기존의 다양한 법률, 법규에서 보장하던 개인정보 보호를 일반법으로 규정한 것이다. 총 8장 74조로 구성된 동 법은 2021년 8월 20일 제 13기 전국인민대표대회 상무위원회 제30차 회의에서 통과되어 당일 공표되었으며, 11월 1일부터 시행 되었다.
가. 의의
개인정보보호법 제정의 의의는 첫째, 개인정보보호법은 개인정보를 법으로 보호하고자 하는 객관적 요구를 한층 강화하는 것이다. 중국은 <네트워크 정보보호 강화에 관한 결정>, <네트워크안전법>, <전자상거래법>, <소비자권익보호법 개정> 등을 통해 개인정보보호의 주요 원칙을 세웠으며, <형법>을 개정하여 개인정보 침해 범죄에 대한 법률 제도를 개선하였고, <민법전> 개정을 통해 개인정보가 법률적 보호를 받는 중요한 민사적 권리임을 규정하였다. 그럼에도 정보화 사회의 부단한 발전에 따라 개인정보 보호를 위한 전문법률의 필요, 개인정보 보호의 시스템화 등의 필요성에 의거 개인정보 보호의 제도화를 추진한 것이다.
둘째, 개인정보보호법 제정을 통해 사이버 공간에서의 양호한 생태계를 보호 육성하고자 하는 현실적 수요를 수용하였다. 사이버 공간에서의 위법적인 개인정보의 수집과 사용 등 불법행위는 시민의 중대한 이익을 해치는 것이며, 상거래의 안전을 위협하고 시장경쟁을 방해하는 것으로 사이버 공간의 질서를 파괴하는 것이다. 따라서 전문법 체계를 구축함으로써 엄밀한 제도, 엄격한 표준, 무거운 책임으로 개인정보 처리 활동을 규범하여, 기업과 기관 등 개인정보처리자의 법률적 의무와 책임을 내실화하고 사이버 공간의 양호한 생태계를 유지 보호하여야 한다.
셋째, 개인정보보호법의 제정은 디지털경제의 건강한 발전을 촉진하는 중요한 조치이다. 최근 데이터는 새로운 생산요소의 하나로서 디지털경제 발전을 촉진하며, 데이터 경쟁은 이미 국제적 경쟁의 중요 부분으로 개인정보는 빅데이터의 핵심적인 기초이다. 중국이 당면한 사이버 강국, 디지털 중국, 스마트 사회를 향한 요구는 개인정보 보호와 이용을 전제로 하고 있어 입법을 통한 권한과 책임, 보호의 효율성, 이용 규범의 제도화가 필요하다. 따라서 개인정보 권익을 보장하는 기초 위에 개인정보의 합법적이고 유효한 이용을 촉진하는 것이 디지털경제의 지속적이며 건강한 발전을 보장하는 것이다.
나. 내용
총 8장 74조로 구성된 동 법은 제1장 총칙, 제2장 개인정보처리 규칙, 제3장 개인정보 국외제공 규칙, 제4장 개인정보처리 활동 중 개인의 권리, 제5장 개인정보처리자의 의무, 제6장 개인정보보호 책임 부서, 제7장 법률 책임, 제8장 부칙으로 구성되어 있으며, 주요한 내용은 다음과 같다.
개인정보보호법의 주요 내용
| 분야 | 조문 | 내용 |
|---|---|---|
| 적용대상 | 제3조 |
중국 내에서 개인정보를 처리하는 경우뿐만 아니라 중국 외에서 중국 내의 개인정보를 처리하는 다음 기준에 해당하는 경우에도 적용 가능
|
| 개인정보 정의 | 제4조 |
개인정보는 전자 혹은 기타 방식으로 기록되고 이미 식별 가능한 자연인과 관련된 각종 유형의 정보 개인정보처리는 개인정보의 수집, 보관, 사용, 가공, 전송, 제공, 공개, 삭제 등이 포함됨 |
| 개인정보처리원칙 | 제5조 제6조 제7조 |
개인정보 처리는 합법적이고 정당한 방식, 명확하고 합리적 목적, 처리 목적에 부합하는 최소 수집 원칙, 공개적이고 투명한 원칙 준수, 개인정보 처리 규칙, 범위의 명시 등이 필요 |
| 제13조 |
개인정보처리는 ①개인의 동의 ②계약의 수립 및 이행, 법에 따른 노동제도와 법에 따른 집합적 계약을 실시하기 위한 인력자원관리의 필요 ③법적 의무 이행 ④공공 위생 또는 위급 상황 ⑤공공의 이익을 위한 보도, 여론 감독 ⑥법에 따라 공개된 개인정보 ⑦기타 법률 규정 등에 해당하는 경우 가능 제②-⑦ 항의 경우 개인동의를 필요로 하지 않음 |
|
| 제17조 |
개인정보 처리를 위해서는 ①개인정보처리자의 신분과 연락방식 ②목적, 처리방식, 처리할 정보유형, 보존기간 ③개인이 본 규정에 따른 권리를 행할 수 있는 경로와 방식 ④법률과 법규에서 사전통지를 요하는 사항 등의 개인에게 고지. 변경사항이 발생하는 경우, 개인에게 변경사항을 고지하여야함 |
|
| 제18조 |
개인정보처리자는 법률과 행정법규에 따라 기밀을 요하거나 고지할 필요가 없는 경우, 개인에게 제17조 규정 사항을 고지하지 않아도 되며, 긴급 상황에서 자연인의 생명과 재산안전을 위해 고지할 수 없을 경우, 개인정보처리자는 비상상황이 종료된 후 고지하여야 함 |
|
| 제20조 |
복수의 개인정보처리자가 개인정보로 처리 목적과 방식을 결정하는 경우, 각자의 권리와 의무를 정하며, 개인권익 침해 시 연대 책임을 짐 |
|
| 제21조 |
개인정보처리자가 개인정보 처리를 위탁한 경우, 수탁인과 처리의 목적, 기한, 처리방식, 개인정보 유형, 보호조치 및 쌍방 간의 권리와 의무 등에 대해 계약하여야 하며, 수탁인의 개인정보처리 활동을 감독하여야 함. 개인정보처리자의 동의 없이 수탁인은 타인에게 개인정보처리를 위탁할 수 없음 |
|
| 제22조 제23조 |
개인정보처리자가 합병, 분할, 해산, 파산 등의 이유로 개인정보를 이전하여야 하거나, 제3자에게 처리된 개인정보를 제공하는 경우, 반드시 고지하고 새롭게 동의를 얻어야 함 |
|
| 제24조 |
개인정보처리자가 개인정보를 자동화된 의사결정에 이용하는 경우, 그 의사결정의 투명성, 결과의 공평, 공정성 등을 보장하여야 하며, 자동화된 의사결정을 진행하는 경우, 개인을 특정할 수 있는 항목을 제공하여서는 안되며, 개인이 거절할 수 있는 방식을 제공하여야 함 |
|
| 제26조 |
공공장소에 설치된 영상 수집 장치, 개인 식별 장치는 공공안전을 위해서만 사용되어야 하며, 수집된 영상, 개인 식별 정보는 공공안전의 목적으로만 사용하여야 하며 개인의 동의 없이 다른 목적에 사용될 수 없음 |
|
| 민감 개인정보 처리 | 제28조 |
민간정보는 생물학적 특징, 종교 신앙, 특정 신분, 의료건강, 금융계좌, 개인 행적 등의 정보와 14세 미만 미성년자의 개인정보를 의미 |
| 제29조 |
민감 개인정보처리에는 개인으로부터 규정에 따라 별도의 서면 동의를 얻어야 함 |
|
| 국가기관의 개인정보 처리 | 제35조 |
국가기관이 법적 책임 이행을 위해 개인정보를 처리하는 경우, 본 규정에 따른 고지의무를 이행하여야 하며, 제18조 규정에 따른 경우, 혹은 국가기관의 법적 책임 이행을 방해할 수 있는 경우 고지 의무를 제외함 |
| 제36조 |
국가기관이 개인정보를 처리하는 경우 국내에 저장하여야 하며, 국외 제공이 필요한 경우 안정평가를 수행하여야 함 |
|
| 개인정보 국외 제공 규칙 | 제38조 |
개인정보처리자가 개인정보를 국외에 제공하고자 할 경우 ①국가 네트워크정보부처 조직의 안정평가 ②국가 네트워크정보 부처의 규정에 따라 전문 기관이 개인정보 보호 인증 ③국가 네트워크정보 부처가 제정한 표준 계약서에 따라 국외 제공받는 자와 계약을 통해 양측의 권리와 의무를 계약한 경우 ④법률, 행정법규 또는 국가 네트워크정보 부처에서 규정한 기타 조건의 항목 중 하나에 부합할 경우 가능 |
| 제39조 |
개인정보처리자가 국회 개인정보를 제공하는 경우, 개인에게 국외 제공받는 자의 명칭 또는 성명, 연락방식, 처리목적, 처리방식, 개인정보 유형 및 개인에게 국외 제공받는 자에 대한 본 법 규정에 따른 권리의 행사 방식과 절차를 고지하여야 하며, 개별 동의를 얻어야 함 |
|
| 제40조 |
국가 네트워크정보 부처가 규정한 범위 내에서 개인정보를 처리하는 중요 정보인프라의 운영자와 개인정보처리자는 중국내에서 생성되고 수집된 개인정보는 국내에 저장하여야 함. 국외에 제공하게 될 경우, 국가 네트워크정보 부처 조직의 안정평가를 거쳐야 함. |
|
| 제42조 |
국외 조직이나 개인이 중국 국민의 개인정보 권익을 침해하거나 중국의 국가안전과 공공의 이익을 위해하는 개인정보처리 활동의 경우, 국가 네트워크정보 부처는 개인정보 제공 제한 혹은 금지 명단에 포함시키고, 이를 공표하여 개인정보 제공을 제한하거나 금지하는 조치를 취함 |
|
| 개인의 권리 | 제44조 제45조 제46조 |
개인은 법률 도는 행정 규정에 달리 규정되지 않는 한, 개인정보 처리에 대해 알권리와 결정권을 가지며, 타인이 개인정보 처리를 제한하거나 거절할 권리를 가짐. 개인은 18조와 35조에 규정된 경우를 제외하고 개인정보처리자에게 개인정보를 열람하고 복사할 권리, 부정확할 경우 정정을 요구할 권리가 있으며, 개인정보 이전을 요구할 권리가 있음 |
| 제47조 |
개인정보처리자는 ①처리의 목적이 실현되었거나 실현할 수 없거나 처리 목적 실현을 위하 다시 필요치 않은 경우 ②개인정보처리자가 제품이나 서비스 제공을 중단하거나 보존기한이 만료된 경우 ③개인이 동의를 철회한 경우 ④개인정보처리자가 법률, 행정법규를 위반하거나 약속한 개인정보처리를 위반한 경우 ⑤법률, 행정법규 규정에 따른 경우 중 하나에 해당하는 경우, 개인정보를 삭제하여야 하며, 개인은 개인정보처리자에게 삭제를 요구할 수 있음 |
|
| 제50조 |
개인정보처리자가 개인의 권리행사 요청을 거부하는 경우, 개인은 법에 따라 인민법원에 제소할 수 있음 |
|
| 개인정보 처리자의 의무 | 제51조 |
개인정보처리자는 개인정보처리 활동이 개인정보 처리 목적, 처리 방법, 개인정보의 유형, 개인권익에 미치는 영향, 안전위험성 등에 따라 법률, 행정법규를 준수하도록 하고 다음의 조치를 취하여야 함 ①내부 관리 제도 및 운영절차 수립 ②개인정보의 분류 관리의 실행 ③암호화, 비식별화 등 안전 기술 조치 채택 ④개인정보 처리 운영 권한 확보 및 정기적인 종사자 훈련 실시 ⑤개인정보 안전사고 응급 계획 수립 ⑥법률, 행정 법규에 따른 기타 조치 |
| 제52조 |
국가 네트워크정보 부처가 규정한 수량의 개인정보를 처리하는 개인정보처리자는 개인정보 보호 책임자를 임명 |
|
| 제55조 |
개인정보처리자는 ①민감 개인정보처리 ②자동화 의사결정에 개인정보 이용 ③개인정보처리의 위탁, 기타 개인정보처리자에 개인정보를 제공, 개인정보 공개 ④국외 개인정보 제공 ⑤개인 권익에 중대한 영향이 있는 개인정보 처리 활동 중 하나의 경우에 해당되면 개인정보 보호 영향평가를 진행하고, 처리상황을 기록하여야 함 |
|
| 제58조 |
중요한 인터넷 플랫폼 서비스제공자, 사용자 수가 큰 경우, 업무 유형이 복잡한 경우의 개인정보처리자는 ①국가 규정에 따라 투명한 개인정보보호 규정 제도를 수립하고, 주로 외부 인원으로 구성된 독립적인 기구로 개인정보 상황을 감독 ②공개, 공정, 공평한 원칙을 준수하고, 플랫폼 규칙을 수립하며, 플랫폼 내 제품 혹은 서비스 제공자의 개인정보 처리 규범과 개인정보 보호 의무를 명확히 하며 ③엄중한 법규나 행정법규 위반하여 개인정보를 처리하는 플랫폼 내 제품과 서비스 제공자에 대해서는 서비스를 중지하고 ④정기적으로 개인정보 보호 의 사회적 책임 보고서를 발표하고 사회적 감독을 받아야 함 |
|
| 개인정보보호 책임 부서 | 제60조 |
국가 네트워크정보 부처가 개인정보 보호 및 관련 감독과 관리를 총괄하고 국무원의 유관부처는 동 법과 관련 법률 및 행정 법규에 의거 각자의 책임 영역 내에서 개인정보 보호와 감독 관리를 수행. 개인정보보호 책임 부서(履行个人信息保护职责的部门)라 칭함 |
| 제61조 |
개인정보보호 책임 부서는 ①개인정보 보호 교육의 전개, 개인정보처리자에 대한 지도, 감독 ②개인정보 보호 관련 불만, 고발 접수 ③응용프로그램(App) 등 개인정보 보호 상황의 진행 평가와 평가 결과 공개 ④위법한 개인정보처리 활동의 조사와 처리 ⑤법률, 행정법규가 지정하는 기타 책임 등을 수행함 |
|
| 제62조 |
국가 네트워크정보 부처는 유관 부분을 총괄 조정하면서 ①개인정보보호에 관한 구체적인 규칙과 표준의 제정 ②소규모 개인정보처리자, 민감 개인정보 처리 및 안면인식, 인공지능 등 새로운 기술과 새로운 응용에 맞추어 전문적인 개인정보 보호 규칙과 표준을 제정 ③전자 신분 인증 기술의 안전하고 편리한 응용의 확산과 연구개발을 지원하여 네트워크 신분증명 서비스 건설을 추진 ④개인정보보호의 사회화 서비스 시스템 건설을 추진하여 관련기관이 개인정보보호 평가, 인증 서비스를 전개하도록 지원 ⑤개인정보보호 민원 및 신고 업무 메커니즘을 개선함 |
|
| 제63조 |
개인정보보호 책임 부서는 개인정보 보호 업무 수행 시 관계자 조사, 관계자 계약 및 기록 등 관련 자료의 열람과 복사, 불법 활동이 의심되는 현장 조사 등의 실시 가능 |
|
| 법률책임 | 제66조 |
규정을 위반하여 개인정보를 처리하거나 개인정보 처리가 본 법 규정에 따른 개인정보 보호 의무를 이행하지 못하였을 경우, 개인정보보호 책임 부서는 시정을 명령하고 경고를 내리며, 불법이익을 몰수하고, 개인정보를 처리를 위반한 응용프로그램에 대해서는 서비스 제공 중단을 명령함. 시정을 거부하는 경우 100만 위안 이하의 벌금과 직접 책임이 있는 주관 인원과 기타 직접 책임 인원에 대해서는 1만 위안 이상 10만 위안 이하의 벌금에 처함 위반 행위가 엄중한 경우, 성급 이상의 개인정보보호 담당 부서는 시정명령을 내리고 불법 이익을 몰수하며, 이에 더해 5천만 위안 이하 혹은 전년 매출액의 5% 이내 벌금에 처하며, 관련 업무를 잠정 중지 혹은 시정을 위한 업무 중지를 명령하고, 주관 부문에 관련 업무 취소나 영업 허가 취소를 통고할 수 있음. 또한 직접 책임이 있는 주관 인원과 기타 직접 책임자에 대해서는 10만 위안 이상 100만 위안 이하의 벌금에 처하고 일정기간 내 관련 기업의 이사, 감사, 고위 직책과 개인정보보호 책임자를 담당하는 것을 금지 |
| 제69조 |
개인정보 처리로 개인정보 권익에 손해를 야기한 경우, 개인정보처리자가 명백히 자기의 과실이 없음을 입증할 수 없는 경우, 손해배상 책임을 져야함. 손해배상 책임은 개인이 입은 손실 혹은 개인정보처리자가 얻은 이익에 따라 결정함 |
|
| 부칙 | 제72조 |
자연인이 개인 혹은 가사 문제로 개인정보를 처리하는 경우 본 법을 적용하지 않음함 |
다. 특징
중국의 개인정보보호법은 이상과 같은 내용을 담고 있는 바, 특징적인 것을 살펴보면, 첫째, 적용대상으로는 국내에서 자연인을 대상으로 개인정보를 처리하거나, 국외의 기업이나 조직이 국내의 자연인의 개인정보를 처리하는 경우를 모두 포함한다. 둘째, 사전고지와 동의 취득의 예외는 ① 계약의 이행⋅체결에 필요한 경우, ② 법적 직책⋅의무 수행에 필요한 경우, ③ 돌발적인 공공위생 사건 대응 또는 이와 유사한 긴급상황에서 개인의 생명과 재산안전 보호에 필요한 경우, ④ 공공의 이익을 위해 합법적인 범위 내에서 신문보도나 여론의 감독에 필요한 경우, ⑤ 적법하게 제정된 근로제도와 체결된 집단계약에서 인력자원 관리상 필요한 경우 등으로 규정하고 있다. 셋째, 개인정보 분석에 있어 자동화된 의사결정 방식을 사용할 경우, 결과의 투명성과 공정⋅공평성을 보장하며, 거래 조건에 있어 차별대우를 하여서는 안 된다고 규정하고 있다. 넷째, 만 14세 미만 아동의 개인정보를 민감정보로 규정하고 후견인의 동의 취득을 필요로 하고 있다. 다섯째, 온라인 플랫폼 서비스를 제공하고 일정규모 이상의 대규모 이용자를 보유하고, 여러 유형의 서비스를 제공하는 플랫폼 기업은 개인정보처리에 있어 독립적인 외부감독 기구의 설립, 개인정보보호 사회책임보고서의 정기 발간 등 보다 엄격한 보호 의무를 규정하고 있다. 여섯째, 개인이 자신의 개인정보를 본인이 지정한 개인정보처리자에 이전 요청할 수 있도록 규정함으로써 개인정보 이동권을 도입하고 있다. 일곱째, 개인정보의 국외이전에 관해 엄격한 제한을 두어, 담당 기관이나 인증기관의 안정성 평가(보안 평가)를 확보해야 이전이 가능하도록 하고 있다.
라. 시사점
중국의 개인정보보호법은 국내외 입법 동향과 산업 트렌드를 반영하고 있어, 인터넷 플랫폼 사업자에 대한 규제를 강화한 것이 특징이며, 미국과 유럽의 데이터 수집과 활용에 대한 규제 흐름을 반영하고 있어 빅테크 기업들의 타격이 불가피할 것으로 보인다.
해외 언론은 이번 중국의 개인정보보호법에 대해 유럽의 GDPR과 유사하게 강력한 수준이라고 평가했으며, 위반 시 처벌은 보다 엄격한 기준이 될 수 있다고 보도하고 있다. 특히 GDPR은 위반 시 최대 과징금이 2,000만 유로 또는 전 세계 매출액의 4% 중 큰 쪽을 적용하나, 중국의 개인정보보호법은 위반 시 벌금은 5,000만 위안 이하 또는 전년도 매출액의 5% 이하로 규정되어 있으며, 추가적으로 소득 몰수, 관련 업무정지, 영업 중단, 영업허가 취소 등의 처벌이 가능하도록 되어 있다.
개인정보보호법이 개인정보 보호에 관한 최상위 법이기는 하나 구체적인 법 적용은 담당 부처인 국가인터넷판공실(CAC)이 발간할 세부 규정과 가이드라인, 그리고 관련 정부 부처의 규정에 따라 이루어질 것이므로 지속적인 관심이 필요할 것이다.
아울러 중국 역 내에 위치한 기업뿐만 아니라 해외에서 중국 시민의 개인정보를 처리하는 경우에도 적용되는 만큼, 중국인을 대상으로 사업을 영위하는 기업들은 대비가 필요할 것이다. 특히 국가중요정보인프라 시설의 운영자나 개인정보처리자의 개인정보 국외 이전의 경우, 반드시 안전성 평가를 받도록 되어 있는 만큼 사전 주의가 필요하다.
4데이터안전법
중국 입법기관인 전국인민대표대회는 2020년 7월 3일 <데이터안전법>(中华人民共和国数据安全法) 초안을 발표하고 그해 8월 16일까지 의견수렴을 실시하였다. 동 법안은 2018년에 입법계획을 수립하고 태스크포스를 구성하여 현장조사, 외국 입법사례, 국내외 각 분야 전문가와 기업인 의견 수렴 등을 바탕으로 마련된 것이다. <데이터안전법> 제정은 대내적으로는 2015년 중국 국무원이 ‘빅데이터 발전 촉진 행동 강요’를 통해 빅데이터 이용을 규범화하고 데이터 안전을 보장할 것을 촉구한 것과 2016년 4월 시진핑 총서기가 데이터 관리의 강화, 데이터 안전에 대한 중시를 강조한 것에 영향을 받았다. 대외적으로는 EU와 미국 등 주요국이 데이터의 국외 이전을 규율하는 「GDPR」과 「CLOUD 법」 등 데이터 관련법 제정을 완료한 것에도 자극을 받았다. 중국은 자국의 데이터 주권 보호를 위한 <데이터안전법> 제정을 서둘렀으며, 이에 전국인민대표대회 상무위원회는 3차례에 걸친 심의회를 개최하였고, 5개 항목의 수정을 거친 후, 2021년 6월 10일 제13기 전국인민대표대회 상무위원회 제29차 회의에서 최종 통과시켰다. 동법은 2021년 9월 1일부터 시행 되었다.
가. 법률의 내용
데이터안전법은 전체 7장으로 구성되어 있으며, 총칙, 데이터 안전과 발전, 데이터 안전제도, 데이터 안전보호 의무, 공공데이터의 안전과 개방, 법률책임, 부칙 등 총 55개 조로 구성되어 있다.
데이터안전법 상의 정의(제3조)
| 구분 | 내용 |
|---|---|
| 데이터 |
전자 또는 기타 방식으로 된 정보에 대한 기록 |
| 데이터 처리 |
국데이터의 수집, 저장, 사용, 가곡, 전송, 제공, 공개 등 |
| 데이터 안전 |
국데이터가 효과적으로 보호되고 합법적으로 사용되는지 확인하고 지속적인 안전상태를 보장하는 능력을 구비하는 것 |
동법은 제1조에서 데이터 안전을 보장하고 데이터 개방과 이용을 촉진하며, 국가 주권과 안보, 발전 이익을 보장하기 위함이 목적이라고 밝히고 있으며, 제2조에서는 중국 내에서 이루어지는 모든 데이터 활동에 적용되며, 중국 이외의 지역에서도 전개되는 조직과 개인의 데이터 관련 활동이 중국의 국가안전과 공공의 이익, 그리고 중국 시민과 조직의 합법적 권익을 해칠 경우에도 법적 책임을 추구할 수 있도록 규정되어 있다. 제3장 데이터의 안전관리 제도에서는 등급별·유형별 데이터 보호제도와 데이터 안전 위험관리 제도, 데이터 안전 비상대응 제도, 데이터 안전심사제도, 데이터 수출관리 제도 등을 마련하고 있다.(제19조~제23조)
[표] 데이터안전법 상의 데이터 안전관리 제도(제3장)
| 구분 | 내용 |
|---|---|
| 데이터 등급별 ·유형별 안전관리 제도 |
국가는 경제사회 발전에서 데이터가 갖는 중요성 및 데이터의 무단 변경·파괴·유출 또는 불법 취득·이용 시 국가안전, 공공이익 또는 국민과 조직의 권익에 초래하는 침해 정도에 따라 등급별·유형별 보호를 시행 각 지역 정부와 부처는 중요 데이터 보호목록을 작성하고 중요 데이터에 대한 특별 보호를 진행 |
| 데이터 안전 위험관리 제도 |
국가는 중앙집중형의 효율적이고 권위 있는 데이터 안전 위험평가, 보고, 정보공유, 모니터링과 조기경고 체계를 구축하고 데이터 안전 위험 정보의 확보와 분석, 조사와 판단, 조기경고를 강화 |
| 데이터 안전 비상대응 제도 |
국가는 데이터 보안 비상대응 제도를 구축하여 데이터 안전사고 발생 시 관할당국이 상응하는 비상대응 조치를 취하여 위험을 제거하고 관련 정보를 공개 |
| 데이터 안전심사 제도 |
국가는 데이터 안전 심사제도를 수립하여 국가 안전에 영향을 미칠 수 있는 데이터 활동에 대해 국가안전심사를 진행 |
| 데이터 수출관리 제도 |
국가는 국제 의무의 이행과 국가 안보 유지와 관련된 데이터를 관제 대상 데이터로 취급하여 수출관리 제도를 적용 |
동법 제4장에서는 데이터의 안전보호 의무를 규정하고 있는데, 조직과 개인이 데이터 활동 시, 데이터의 안전관리 제도를 수립하고 데이터의 안전교육과 훈련을 실시하며, 데이터의 안전을 보장하기 위한 기술조치와 기타 필요조치를 취하여야 한다고 규정하고 있다. 또한 중요 데이터 처리자는 데이터 안전 책임자와 관리조직을 지정하게 함으로써 데이터의 안전보호 책임을 부과하고 있다.(제27조) 아울러 데이터 활동 시 위험 모니터링을 강화하고 보안 결함과 취약점 등의 위험 발견 시 시정조치를 취하며, 데이터 보안사고 발생 시 적시에 사용자에게 알리고 당국에 보고해야 하는 의무를 부과하였다.(제29조) 중요 데이터 처리자는 정기적으로 위험평가를 실시하고 당국에 위험평가 보고서를 제출해야 하며, 보고서에는 조직이 보유하고 있는 중요 데이터의 유형과 규모, 데이터의 수집·저장·처리·사용 내역과 데이터 보안 위험 및 대책을 포함하여야 한다고 규정하고 있다.(제30조) 데이터 거래 중개서비스 사업자는 서비스 제공 시 데이터 제공자에게 데이터의 출처를 요구해야 하며, 거래 양방의 신원을 확인하고 심사와 거래 기록을 보관해야 한다.(제33조) 온라인 데이터 처리 등의 서비스 사업자는 법에 의거해 경영허가증이나 등록을 받아야 하며, 구체적인 방법은 국무원 통신주관 부서가 관련 부서와 공동으로 정한다.(제34조) 공안기관과 국가 안보기관이 국가 안보 또는 범죄 수사 목적으로 데이터 확보가 필요한 경우, 관련 규정에 의거해 엄격한 승인절차를 거쳐 진행하며, 관련 조직과 개인은 이에 협조해야 한다.(제35조) 해외 법 집행기관이 중국 내에 저장된 데이터를 요청하는 경우, 관련 조직과 개인은 관할 당국에 신고하고 승인받은 경우에만 제공할 수 있다.(제36조)
법적 책임과 관련해서는 제6장에 규정되어 있는데, 데이터 안전관리 제도(안전책임자 및 기구) 마련, 데이터 위험 모니터링 및 위험 보고, 위험평가 보고 등의 의무를 이행하지 않을 경우, 시정 명령과 함께 5만 위안 이상 50만 위안의 벌금을 부과할 수 있으며, 직접 담당한 인원에 대해서는 1만 위안 이상 10만 위안 이하의 벌금을 부과할 수 있도록 규정하였다. 또한 국가 중요 데이터 관리 제도를 위반하여 국가 주권, 안전과 발전이익을 저해하면, 주관 부서가 200만 위안 이상 1,000만 위안 이하의 벌금에 처하고, 상황에 근거하여 업무 중단, 영업정지, 허가 취소 등의 명령을 내릴 수 있으며, 형사책임을 부과할 수 있다고 규정하였다. 이밖에도 역외에 중요 데이터를 제공할 경우, 데이터 거래 중개서비스 기구의 위법행위, 데이터 취득 협조 거부, 승인 받지 않은 외국의 사법기관에 데이터 제공행위 등도 벌금에 처하고, 영업 정지, 허가 취소 등의 명령이 가능하도록 규정하고 있다.
나. 특징
데이터안전법은 보다 광범위한 영역에서 개인과 기업, 정부의 데이터 보호의무를 포괄적으로 규정하고 있으며, 각 분야별 데이터 보호와 관리 감독을 강화하고, 중요 데이터 보호 목록을 작성하여 특별 보호를 진행하는 한편, 데이터 안전 위험관리 제도, 비상대응 제도, 안전심사 제도 등 각종 제도적 장치를 마련하고 있다. 동 법은 데이터를 국가발전을 뒷받침하는 전략적 기초 자원으로 규정하고 데이터 주권 강화를 위한 각종 규정을 마련한 것이 특징이다.
개인정보보호법이 개인의 사생활과 인격 보호에 중점 둔 것과는 달리 데이터안전법은 국가 안보와 사회적 공익을 유지함을 그 지향점으로 하고 있어, 보호 대상의 범위와 분야는 훨씬 더 광범위하다. 특히 보호 대상이 되는 데이터를 ‘전자적 혹은 비전자적 형태의 정보 기록’을 대상으로 하고 있다. 그리고 적용 범위를 중국 역내에서 발생하는 데이터 활동뿐만 아니라 해외에서 진행하는 데이터 활동이 중국의 국가안전, 공공이익 도는 중국 국민⋅조직의 합법적 권익을 침해하는 경우도 적용범위에 포함된다고 규정하고 있다.
5네트워크안전법
네트워크안전법(中华人民共和国网络安全法, People's Republic of China Network Security Law)은 번역에 따라 인터넷 안전법, 인터넷 보안법, 사이버 안전법, 사이버보안법 등으로 번역할 수 있다. 중국어의 “网络”는 네트워크, “互联网”은 인터넷을 의미하나, 혼재되어 사용되기도 한다. 또한 “安全”은 안전을 의미하나, 보안으로 번역하여도 무방하다. 이하에서는 네트워크안전법이란 명칭을 사용한다.
동법의 적용대상은 중국 내 네트워크 사업자, 핵심 정보 인프라 시설 운영자 등이다. 네트워크 사업자(网络运营者)는 인터넷 서비스 제공자(Internet Service Provider), 유선전화․ 휴대전화 운영자, 정보 발표 및 메신저 서비스 제공 사업자를 포함하며, 한국 정보통신망법의 정보통신서비스 제공자와 유사한 개념이다. 핵심 정보 인프라 시설(关键信息基础设施)은 파괴, 데이터 유출 시, 국가 안전에 중대한 손실이 발생하는 시설로, 한국 정보통신기반 보호법의 정보통신기반시설과 유사한 개념이다. 이외 주요 용어들은 다음 표와 같다.
네트워크 안전법의 주요 용어
| 용어 | 정의 | 법률 |
|---|---|---|
| 네트워크(网络) | 컴퓨터 또는 기타 정보 단말기 및 관련 장비로 구성된 일정한 규칙과 프로세스에 따라 정보에 대한 수집, 저장, 전송, 교환, 처리를 진행하는 네트워크 | 제76조 |
| 네트워크 안전(网络安全) | 필요한 조치를 취해 네트워크에 대한 공격, 침입, 방해, 파괴와 불법 사용 및 의외의 사고를 방지하고 네트워크가 안정된 운영 상태를 유지하고 네트워크 데이터의 완결성, 비밀 유지성, 유용성 능력 보장 | 제76조 |
| 네트워크 사업자(网络运营者) | 네트워크의 소유자, 관리자와 네트워크 서비스 제공자 | 제76조 |
| 네트워크 데이터(网络数据) | 네트워크를 통해 수집, 저장, 전송, 처리와 생성되는 각종 전자 데이터 | 제76조 |
| 개인정보(个人信息) | 전자 또는 다른 방식으로 기록되는 단독 또는 기타 정보와 결합하여 자연인의 개인신분을 식별할 수 있는 각종 정보를 지칭하는데, 이름, 출생일, 신분증번호, 개인생물식별정보, 주소, 전화번호 등을 포함 | 제76조 |
| 핵심 정보 인프라 시설(关键信息基础设施) | 공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정부 등 중요 산업과 영역에서 일단 파괴, 기능 상실, 데이터 유출이 발생하면 국가 안전, 국가 경제, 국민 생활, 공공이익에 중대한 손상을 줄 수 있는 시설 | 제31조 |
동법은 총 7장 79조로 구성되어 있으며, 네트워크 운영 안전, 핵심 정보 인프라 시설 보호, 개인정보보호, 불법 정보 단속, 네트워크 제한 조치, 법률 책임 등을 규정하고 있다. 목적은 “네트워크 안전을 보장하고 네트워크 공간 주권과 국가 안보, 사회 공공 이익을 수호하고 공민, 법인과 기타 조직의 합법적 권익을 보호하면서 경제 사회 정보화의 건전한 발전을 촉진”하는 것이다.
적용 범위는 “중화인민공화국 경내에서의 네트워크 구축, 운영, 유지와 사용 및 네트워크 안전의 감독 관리”이다. 법의 주요 내용 중 개인정보 보호와 관련된 내용은 제4장 네트워크 정보안전(网络信息安全) 부문에 집중되어 있다.
네트워크 안전법의 주요 내용 중 개인정보보호 관련 조항
| 분야 | 항목 | 조항 | 내용 |
|---|---|---|---|
| 개인정보 보호 | 이용자 비밀 유지 | 40조 |
네트워크 사업자는 수집한 이용자 정보에 대해 반드시 엄격하게 비밀을 유지하고, 이용자 정보보호 제도를 정착 |
| 개인정보 수집 및 사용 | 41조 |
네트워크 사업자의 개인정보 수집 및 사용은 합법, 정당, 필요의 원칙을 준수하고 정보 수집과 사용의 목적, 방식과 범위를 공지하고 수집 대상자의 동의 필요 네트워크 사업자는 제공 서비스와 무관한 개인정보를 수집해서는 안 됨 네트워크 사업자는 법률, 행정법규의 규정과 쌍방의 약정을 어기면서 개인정보를 수집 및 사용해서는 안 됨 네트워크 사업자는 법률, 행정법규의 규정 또는 이용자와의 약정을 준수하면서 저장 및 보관하고 있는 개인정보를 처리 |
|
| 개인정보 유출, 변조, 훼손 금지 | 42조 |
네트워크 사업자는 수집한 개인 정보를 유출, 변조, 훼손해서는 안 되며, 수집 동의를 받지 않으면, 타인에게 개인 정보를 제공해서는 안 됨. 특정 개인을 식별할 수 없도록 처리하여 복원할 수 없는 경우는 제외 네트워크 사업자는 기술 조치와 기타 필요한 조치를 취해 수집한 개인정보의 안전을 확실히 보장하고 그가 수집한 개인정보의 유출, 훼손, 분실을 방지 개인정보 유출, 훼손, 분실 상황이 발생하거나 또는 발생할 가능성이 있을 경우, 즉시 보완조치를 취하고, 적시에 이용자에게 고지 및 관련 주관 부문에 보고 |
|
| 개인정보 삭제 및 정정 요구 권리 | 43조 |
개인은 네트워크 사업자가 규정 또는 약정을 어기고, 개인정보를 수집, 사용하는 것을 발견할 경우, 개인정보 삭제를 요구할 수 있으며, 본인의 개인정보 오류 존재 시, 정정 요구 가능 |
|
| 개인정보 매매 등 금지 | 44조 |
개인정보 절도, 취득, 불법 판매, 불법 제공 금지 |
|
| 개인정보 비밀 유지 | 45조 |
유관 부문은 직책 이행 과정에서 알게 된 개인정보, 사생활 등의 비밀 유지, 유출․판매․제공 금지 |
|
| 법률 책임 | 법 위반에 따른 처벌 | 59~69조 |
위반 조항 및 정도에 따라서 벌금 부과, 불법 소득 몰수, 구류, 업무 일시 중단, 영업 중단 및 정돈, 웹 사이트 폐쇄, 관련 서비스 인허가 취소, 사업자 등록 말소 등 조치 |
한편, 중국 국가인터넷정보판공실은 2022년 9월 14일 네트워크안전법 개정에 관한 결정(의견수렴안)을 발표했다. 개정 목적은 데이터안전법, 개인정보보호법 등 관련 법률과의 연계를 원활히 하고 위법 시의 법적 책임을 개선하여 네트워크 안전을 강화하기 위함으로, 기업의 법률 위반 시 벌금 등의 처벌 규정을 강화한 것이 핵심 특징이다. 개인정보보호와 관련해 개정안은 네트워크 사업자의 개인정보보호 관련 의무 및 핵심정보 인프라 사업자의 개인정보와 중요 데이터의 국내 보관에 관한 법적 책임을 삭제하고 관련 법률과 행정법규의 규정에 따라 처벌하도록 수정하였다. 즉, 기존에 네트워크안전법을 통해 규율해 왔던 개인정보보호와 데이터 관련 법적 책임을 개인정보보호 및 데이터 관련 전문 법률인 개인정보보호법과 데이터안전법에 이관하여 관련 법률과의 연계성을 강화한 것이다.
6관련 법규⋅표준
네트워크안전법과 데이터안전법, 개인정보보호법 제정 이후 법의 주요 내용을 상세히 규정한 하위 법령과 표준 제정 동향은 아래와 같다.
개인정보보호 법규⋅표준 목록
| 제정 일자 | 이름(국문) | 이름(중문) | 성격 | 제정 주체 |
|---|---|---|---|---|
| 2017.5.27. | 정보 안전 기술, 데이터 국외 반출 안전 평가 지침 | 信息安全技术数据出境安全评估指南 | 국가 표준 | 전국정보안전 표준화기술위원회 |
| 2019.4.10. | 인터넷개인정보안전보호지침 | 互联网个人信息安全保护指南 | 부문규장 | 공안부 |
| 2019.5.28. | 데이터안전관리방법 (의견수렴안) |
数据安全管理办法 (征求意见稿) |
부문규장 | 국가 인터넷 정보 판공실 |
| 2019.6.13. | 개인정보 국외전송 안전평가방법(의견 수렴안) | 个人信息出境安全评估办法(征求意见稿) | 부문규장 | 국가 인터넷 정보 판공실 |
| 2020.11.19. | 정보안전기술-개인정보안전영향평가 지침 | 信息安全技术 个人信息安全影响评估指南 | 국가표준 | 국가표준화관리위원회 |
| 2020.3.7. | 정보안전기술-개인정보안전규범 | 信息安全技术 个人信息安全规范 | 국가표준 | 국가표준화관리위원회 |
| 2021.4.26. | 모바일 인터넷 응용프로그램의 개인정보보호 관리 잠정규정(의견수렴) | 移动互联网应用程序个人信息保护管理暂行规定(征求意见稿) | 부문규장 | 공업정부화부 |
| 2022.6.24. | 개인정보 국외처리활동 보안 인증규격 | 网络安全标准实践指南—个人信息跨境处理活动安全认证规范》 | 국가표준 | 전국정보안전 표준화기술위원회 |
| 2022.6.30. | 개인정보 구외이전 표준계약규정(의견수렴안) | 个人信息出境标准合同规定(征求意见稿) | 부문규장 | 국가인터넷 정보판공실 |
| 2022.7.7. | 데이터 국외이전 안전평가방법 | 数据出境安全评估办法 | 부문규장 | 국가인터넷 정보판공실 |
특이한 점은 한국의 법령 명명 체계와 방식이 상이하다는 점이다. 한국에서는 일반적으로 법, 시행령, 시행규칙, 고시 등이 동일한 이름을 사용한다. 예를 들어, 개인정보 보호법, 개인정보 보호법 시행령, 개인정보 보호법 시행규칙 등으로 명명하고, 상위 법령에서 “상세한 사항은 하위 법령에서 정한다.”라고 명시하여 법령간의 계층 구조가 비교적 분명한 편이다. 그러나 중국 법령은 비록 본문에서 상위 법령을 명시하고 있지만, 이름만으로는 관련성을 확인하기 어렵다는 특징을 가진다.
