중국은 그동안 지난 2017년 6월 시행된 네트워크안전법 제40조 내지 제45조 등에서 부분적으로 규율하고 있었지만
최근 2021년 11월 1일 개인정보보호법(PIPL)이 시행되었습니다.
중국 개인정보보호법과 한국의 개인정보보호법을 비교하여 주의할 사항 등을 정리하면 다음과 같습니다.
첫째, GDPR 영향을 받은 중국의 PIPL은 역외 규정이 존재합니다.
법 위반시 부과되는 벌금을 고려할 경우 이 역외규정은 가볍게 보아서는 아니됩니다.
또한 역외기업에는 국내대리인과 유사한 전문기구를 설치할 의무가 있다는 점도 생각해야 합니다.(제53조)
둘째, 옵트인 체제를 하고 있습니다.
옵트인이란 정보주체의 동의를 전제로 개인정보 처리가 가능한 형태입니다.
반대인 옵트아웃은 일단 처리는 가능하나 정보주체의 의사에 따라 처리가 제한되는 형태입니다.
한국의 개인정보보호법과 EU의 GDPR 또한 옵트인 체제입니다.
< (참고) 개인의 동의가 필요한 조항 >
| 구분 | 비고 |
| 개인정보 처리시 | 제13조 |
| 개인정보 처리 목적, 방식, 유형에 변경이 발생한 경우 | 제14조 |
| 개인정보 이전 시(고지)-기존 처리 목적 등이 변경된 경우 | 제22조 |
| 제3자 제공시, 제공받는 자의 처리 목적 등이 변경된 경우 | 제23조 |
| 처리한 개인정보 공개 시 | 제25조 |
| 개인 영상정보-타인에게 제공 시 | 제26조 |
| 공개된 개인정보 이용-개인에게 중대한 영향을 미치는 경우 | 제27조 |
| 개인 민감 개인정보 처리 시(만14세 미만 미성년자의 개인정보) | 제29조 |
| 해외에 개인정보 제공 시 | 제39조 |
셋째, 국가안보 및 데이터 주권에 대한 강조 조문입니다.
핵심 정보에 대한 인프라 시설 운영자 또는 일정 수량 이상의 개인정보 처리자는 중국 역내에서 수집하거나 발생한 개인정보를 중국 역내에서 보존해야 합니다.(데이터 현지화)
만일 역외 제공이 필요한 경우 정부 당국의 안전성 평가를 통과해야 합니다.
정보 주체 권리 또는 국가 안보 및 공공이익을 침해하는 기업은 블랙리스트로 관리할 수 있습니다.
중국 기업에 차별적 조치를 취하는 국가에 대해서는 상응 조치를 할 수도 있습니다.
넷째, 국외 이전에 대한 강력한 통제입니다.
안전성 평가를 통과한 경우, 전문기관의 개인정보보호 인증을 받은 경우, 당국이 마련한 표준에 부합하는 계약을 체결한 경우, 기타 법령이 정한 조건에 부합하는 경우에만 국외 이전이 가능합니다.
다섯째, PIPL 위반 시 최대 5,000만 위안 또는 전년도 매출액의 5%이하 벌금이 부과될 수 있습니다.
참고로 한국인터넷진흥원에서 발표한 중국 개인정보보호법(초안)과 한국 개인정보보호법을 비교한 표입니다.
[참고자료]
- 2021 개인정보보호 동향분석보고서 제2호(2021.02.26)
- [김경환 변호사의 IT법] <16> 중국 개인정보보호법(PIPL) 시사점
- 중국 개인정보보호법 시행에 따른 우리기업 유의사항(2021.09.10)_한국인터넷진흥원 윤석웅 수석연구원
'정보보안컨설팅 > 개인정보 보호' 카테고리의 다른 글
| 증권사의 개인정보(거래정보 등) 삭제 가능할까? (0) | 2021.11.04 |
|---|