중국의 개인정보보호법이란? 제정 배경부터 일본 기업이 취해야 할 대책을 해설

중국에서 사업을 전개할 예정이거나 이미 사업을 전개하고 있는 기업의 법무 담당자 분들 중에는 중국의 개인정보 보호에 대해 고민하는 경우가 많으실 것입니다.

본 기사에서는 중국에 사업을 전개할 때 알아두어야 할 법규제를 종합적으로 소개합니다. 또한, 대응 방법과 일본 기업이 대응해야 할 점도 이해하기 쉽게 설명드립니다. 중국의 개인정보 보호법을 이해하고 대책을 세우는 데 참고하시기 바랍니다.

중국 개인정보보호법의 제정 배경 및 목적

지금까지 중국에는 일본의 개인정보보호법과 같이 개인정보 보호를 포괄적으로 정한 법률이 존재하지 않았습니다. 그러나 이전부터 개인정보보호법을 마련하려는 움직임이 있었고, 2021년 11월 1일에 ‘중국 개인정보보호법’이라는 이름으로 중국에서 처음으로 개인정보 보호를 포괄적으로 규정한 법률이 시행되었습니다.

특히 ‘사이버보안법’이나 ‘데이터보안법’은 국가안보 요소가 짙은 법률이지만, 중국의 개인정보보호법은 개인의 권리 보호에 중점을 둔 내용으로 되어 있습니다.

중국의 개인정보보호법의 틀은 ‘EU 일반데이터보호규정(GDPR)’ 등, 최근 여러 외국의 법규제의 영향을 크게 받고 있는 것으로 보입니다. 그러나 적법성의 근거로 인정되는 포인트나, 본인의 권리 등의 세부사항은 독자적인 내용이기 때문에, 개별적인 대응책이 요구됩니다.

중국의 개인정보보호법 규제 대상

이 장에서는 중국의 개인정보보호 규제 대상에 대해 설명합니다.
아래 조건을 충족하는 경우 규제 대상이 되므로 주의해야 합니다.

• 중국 내 개인에게 상품 또는 서비스를 제공하는 것을 목적으로 하는 경우
• 중국 내 개인의 행동을 분석, 평가하는 것을 목적으로 하는 경우
• 법령이 정하는 기타의 경우

중국의 개인정보보호법은 경우에 따라 중국 내뿐만 아니라 외국에도 효력이 미치는 경우가 있습니다. 또한, 국외에 있더라도 중국에 있는 ‘개인’을 대상으로 한 판매 사업이나 행동 분석을 실시하는 경우에는 해당 법이 적용되므로 주의해야 합니다.

중국의 개인정보보호법 이해를 위한 핵심 포인트

이 장에서는 중국의 개인정보보호법을 이해하기 위한 8가지 핵심 포인트를 각각 설명합니다.

적법성의 근거

기업은 중국 개인정보보호법(Chinese Personal Information Protection Law)에서 정한 적법성의 근거 중 하나에 해당하는 경우에만 개인정보를 처리할 수 있습니다.

근거가 되는 7가지는 다음과 같습니다.

• 본인 동의
• 계약의 이행
• 법적 의무의 이행
• 공중 보건
• 공공의 이익
• 공개된 개인정보의 처리
• 법령 등에 정해진 기타 사정

여기서 알 수 있듯이, GDPR에 있는 ‘정당한 이익’은 포함되어 있지 않습니다. 따라서 GDPR과 비교할 때, 본인의 동의를 근거로 개인정보를 처리해야 하는 경우가 많아질 것으로 예상됩니다.

또한, 동의 자체가 ‘본인이 언제든지 쉽게 철회할 수 있는 것’이어야 한다고 정의되어 있습니다. 동의 철회를 간단하게 할 수 있는 UI를 마련하거나, 철회 방법을 간결하고 이해하기 쉽게 기술하는 등의 배려가 필요합니다.

정보 제공

기업은 개인정보를 취급하기 전에, 내용에 관하여 중국 개인정보 보호법에서 요구하는 사항을 명확하고 이해하기 쉬운 언어로 본인에게 통지해야 합니다.

또한, 취급 목적뿐만 아니라 처리 방법이나 개인정보의 종류, 보관 기간, 권리 행사 방법 및 절차 등 상세한 정보 제공이 요구됩니다.

위탁처와의 합의

개인정보를 위탁 처리할 경우, 위탁처와 처리 목적, 기한, 방법, 보호 조치 등에 대해 위탁 계약 등을 통해 사전에 합의해 두어야 합니다.

또한, 위탁 처리에 대한 감독 책임도 지게 됩니다. 다른 기업과 공동으로 개인정보를 처리할 경우에도 위탁 시와 마찬가지로 처리 목적, 방법, 양측의 권리와 의무에 대해 사전에 합의해 두는 것이 중요합니다.

국경을 넘는 이전에 있어서의 규제

중국 내에서 수집한 개인정보를 해외의 제3자에게 제공할 때는 다음의 두 가지 대응이 요구됩니다.

첫 번째는 개인정보의 제공 대상의 명칭, 연락처, 처리 목적, 처리 방법, 개인정보의 종류, 개인이 제공 대상에 대해 권리를 행사하는 방법과 절차 등을 통지하고, 본인의 동의를 개별적으로 취득해야 합니다.

두 번째는 아래의 네 가지 조치 중 하나를 실행해야 합니다.

• 국가의 안전 평가에 합격하고 있음
• 전문 기관에 의한 개인정보 보호 인증을 획득하고 있음
• 표준 계약에 기초하여 지역 외의 제공 대상과 계약을 체결하고 있음
• 국가 인터넷 정보 부문이 규정하는 기타 조건을 충족하고 있음

이전하는 개인정보의 내용에 따라서는 국가의 안전 평가가 필수입니다. 따라서 ‘데이터 국외 이전 안전 평가 방법’에 따라 국가의 안전 평가 필요 여부를 확인한 후, 취할 조치를 선택합시다.

권리에 대하여

중국 개인정보보호법은 본인에게 알 권리, 열람 권리, 복제 권리, 철회 권리, 포터빌리티, 정정 권리, 삭제 권리 등 다양한 권리를 인정하고 있습니다.

또한, GDPR에서는 인정되지 않는 ‘사망자의 권리’도 인정되고 있습니다. ‘사망자의 권리’란 본인이 사망한 경우에 가족이 사망자를 대신하여 그 권리를 행사할 수 있는 것을 말합니다. 따라서, 고인의 정보 보호에 대해서도 유의해야 합니다.

사고 보고 의무

개인정보 유출을 방지하기 위해, 기업은 ISMS(정보보안경영시스템)에서 요구하는 사항과 유사한 대응을 해야 합니다.

다음은 요구되는 대응 예시입니다.

• 내부 규정의 수립
• 기밀도에 따른 분류 관리
• 필요에 따른 암호화
• 가명 처리 등의 실시
• 직원 교육의 실시
• 사고 대응 프로세스의 수립 등

안전 관리 조치에 대해서는, 사이버보안법과 데이터보안법에서 각각 규정하고 있으므로, 이 세 가지 법의 요건을 철저히 정리하여 대책을 확인해 두는 것이 좋습니다.

관련 기사: 중국 사이버보안법이란? 준수하는 데 있어서의 포인트를 해설[ja]

관련 기사: 중국 데이터보안법이란? 일본 기업이 취해야 할 대책을 해설[ja]

DPO 및 대표자 설치 의무

기업은 취급하는 개인정보의 건수가 일정 수량에 도달할 경우, DPO(데이터 보호 책임자)의 임명을 의무화하고 있습니다.

또한, 영역 외 적용 대상이 되는 기업은 중국 내에 대표자를 설치하고, 이름과 연락처 등을 주관 당국에 신고할 필요가 있습니다.

개인정보보호 영향평가의 실시 의무

기업은 다음의 5가지 경우 중 하나에 해당할 때, 사전에 리스크 평가를 실시하고 리스크를 적절히 통제할 필요가 있습니다.

실시 의무가 필요한 경우는 다음과 같습니다.

• 민감 정보를 취급하는 경우
• 자동화된 의사결정을 수행하는 경우
• 개인정보의 취급을 위탁하거나 개인정보를 제3자에게 제공하는 경우
• 국외로 개인정보를 이전하는 경우
• 개인의 권리 및 이익에 중대한 영향을 미치는 경우

중국의 개인정보보호법 위반 시 부과되는 벌칙

위반 시에는 고액의 제재금(최대 5,000만 위안 또는 전년도 매출의 5%에 해당하는 벌금)이 부과될 위험이 있습니다. 영역 외에도 적용되므로, 중국에서 사업을 전개하는 일본 기업은 신속한 대응이 필요합니다.

일본 기업이 해야 할 개인정보 보호법 대책

이 장에서는 일본 기업이 해야 할 개인정보 보호 대책을 네 가지 소개합니다.

사내 체계를 재검토하다

먼저, 사내 체계의 재검토를 고려해야 합니다. 대표자나 DPO(개인정보 보호 책임자)의 설치 의무가 있기 때문에 사내 체계를 재검토할 필요가 있습니다.

예를 들어, 개인정보를 포함한 데이터 전반의 컴플라이언스 업무를 담당하는 법무 및 기술 전문 부서의 설치, 업무 흐름의 정리, 상세한 데이터 매핑의 실시 등 다양한 것들이 있습니다.

규정 및 정책을 갱신하다

규정 및 정책의 갱신도 중요합니다. 중국 데이터 3법을 준수한 규정 및 정책의 갱신이 필요합니다.

또한, 단순히 법령 요건을 반영한 규정을 마련하는 것뿐만 아니라, 모든 직원이 실행 가능한 운영을 갖추는 것이 요구됩니다.

운영의 실체를 파악하다

개인정보 보호법은 2021년(레이와 3년) 11월 1일에 제정되어 아직 시간이 많지 않기 때문에, 운영의 실체를 파악하면서 지속적으로 대책을 세워야 합니다. 또한, 기업에 속한 직원에게도 적절한 처리와 법령의 엄수가 규칙으로 정해져 있습니다.

그러므로 기업은 직원에게도 정기적인 교육을 실시하고, 최신의 법령과 절차에 대한 인식을 깊게 해야 합니다.

전문가와의 협력 체계를 구축하다

전문가와의 협력 체계 구축 및 강화도 필수적입니다. 중국의 법규제에 정통한 전문가와 협력 체계를 구축함으로써, 신속한 대응이 가능할 것입니다. 또한, 기업은 개인정보 보호의 컴플라이언스 상태를 정기적으로 감시·평가할 필요가 있습니다. 그러므로 외부 전문가의 협력 체계 구축은 필수라고 할 수 있습니다.

요약: 다양한 법규제를 이해하고 정확한 대응을

2021년 11월 1일, 중국에서는 처음으로 개인정보 보호를 포괄적으로 규정한 ‘중국 개인정보 보호법’이 시행되었습니다. 글로벌로 사업을 전개하는 기업에게 중국 데이터 관련 법규제(사이버보안법, 데이터 보안법, 개인정보 보호법)는 시장의 중요성이나 규제의 엄격함을 고려할 때, 간과할 수 없는 법률입니다. 경우에 따라서는 전문가의 도움을 받으며 필요한 실무를 수행할 수 있는 체계를 탄탄히 구축해 나가야 합니다.

저희 법무소의 대책 안내

모노리스 법무소는 IT, 특히 인터넷과 법률 분야에서 풍부한 경험을 가진 법무소입니다. 최근 글로벌 비즈니스는 점점 확대되고 있으며, 전문가에 의한 리걸 체크의 필요성이 점점 증가하고 있습니다. 저희 법무소에서는 국제법무에 관한 솔루션을 제공하고 있습니다.

모노리스 법무소의 분야: 국제법무 및 해외사업[ja]