2021.09.02

중국, 새 개인정보보호법 제정… 미·중 간 '규제 충돌' 가능성도

Cynthia Brumfield | CSO
중국 정부의 IT 분야에 대한 관여가 확대되는 가운데 오는 11월 1일부터 시행되는 개인정보보호법(PIPL)이 8월 21일 제정했다. 이에 앞서 제정된 중국의 데이터 보호 법안은 오는 9월 1일 시행을 앞두고 있다. 이러한 변화는 중국에서 사업을 하는 모든 미국 및 글로벌 기업에 새로운 데이터 개인 정보 보호, 보안 및 보호 의무를 부과할 것으로 보인다.
 
이들 법은 중국의 광범위한 ‘정보화 정책’에 따른 것이다. 하지만 구체적으로 보면 데이터 보호법은 PIPL보다 사이버 보안법에 더 가깝다. 시진핑 중국 국가 주석은 중국을 ‘사이버 초강대국’ 지위로 끌어올리는 과정에서 '사이버 보안과 정보화는 한 몸의 두 날개이자 한 엔진의 두 바퀴'라고 발언하기도 했다.
 

국가 안보와 공공의 이익

중국의 PIPL은 EU의 엄격하면서 잘 정의된 일반 데이터 보호 규정(GDPR)에서 일부 영향을 받았다. 즉, 국가 안보와 공익의 관점에서 모든 데이터에 적용되는 법적 체제를 구축한다. 중국의 PIPL은 다음 4가지를 목표로 한다.
 
  • 개인의 권익 보호
  • 사적 정보처리 활동 규제
  • 데이터의 합법적이고 ‘질서 있는 흐름’ 보호
  • 개인 정보의 합리적 이용 촉진

이 법이 GDPR이나 캘리포니아 소비자 프라이버시법(CCPA) 등 서구의 프라이버시 프레임워크와 다른 점은 국가 안보에 초점을 맞춘다는 점이다. 실제로 PIPL에는 중국의 디지털 주권을 다루는 조항이 포함돼 있다. 이 조항은 중국 시민의 권리를 침해할 수 있는 해외 기업의 활동을 제한하고 국가 안보에 대한 위험을 제한하는 내용으로 구성돼 있다.
 

중국 시민의 데이터를 처리하는 기업이 지켜야 할 조건

PIPL은 중국 시민의 개인 데이터를 처리하는 기업 혹은 실무자, 즉 ‘개인 정보 처리자(personal information processors)’가 다음 조건 중 하나를 충족하는 경우에만 해당 정보를 처리할 수 있다고 규정한다.
 
  1. 정보처리자가 개인적 동의를 얻은 경우
  2. 정보가 법률에 따라 제정된 노동 규칙과 규정, 법에 따라 체결된 단체계약에 따라 개인이 당사자이거나 인적자원관리 이행에 필요한 계약의 체결 및 이행에 필요한 경우
  3. 정보가 법적 의무 또는 법적 의무를 수행하는 데 필요한 경우
  4. 정보가 공중 보건 비상사태에 대응하거나 비상시 자연인의 생명, 건강 및 재산 안전을 도모하기 위해 필요한 경우
  5. 정보가 뉴스 보도, 여론감독, 기타 공익을 위한 행위를 수행하고 개인정보를 합리적인 범위 내에서 처리하기 위해 필요한 경우
  6. 개인 또는 기타 법적으로 공개된 개인정보가 합리적인 범위 내에서 개인 정보를 처리하는 것은 이 법의 규정에 따라 수행되는 경우
  7. 정보가 법률 및 행정 규정에 의해 명시된 기타 상황에서 처리되는 경우

PIPL 법에 따르면 사용자의 데이터 처리를 허용하려면 사용자의 동의가 있어야 하며 사용자에게 충분한 정보를 제공해야 한다. 개인에게는 언제든지 동의를 철회할 권리가 있고, 정보처리자는 정보처리나 사용을 거부하는 개인에게 상품이나 서비스 제공을 중단할 수 없다.
 

PIPL을 준수하는 방법은 여전히 모호

중국에서 사업을 하는 기업이 PIPL의 복잡한 조항을 어떻게 준수할 수 있을지는 명확하지 않다. 규정 준수가 어떻게 이루어지는지 구체화하는 많은 규제 사례가 아직 충분히 쌓이지 않았기 때문이다.

인터내셔널 트레이드 프랙티스 그룹( International Trade Practice Group)의 공동 회장인 주디스 앨리슨 리는 CSO와의 인터뷰에서 “이는 매우 새로운 법이고 매우 복잡하기 때문에 중국에서 사업을 하는 미국 기업은 이제 막 대응 방안을 마련하는 중이다. 이 법이 앞으로 사업에 어떤 영향을 줄지를 점검하고 있는 정도다”고 말했다.

뉴 아메리카(New America)의 중국 디지털경제 펠로우인 로지에 크리머스도 이에 동의했다. 그는 “PIPL이 올해 11월에 시행되더라도, 중국의 여러 부처가 규정을 발표할 때까지는 이 법이 어떻게 작동할지에 관한 세부 내용은 확인하기 어려울 것이다. PIPL 등을 비롯해 중국의 많은 법이 마치 기본법처럼 작동하고 있다”고 말했다.

예를 들어, 새로운 법률은 개인 데이터의 추출에 대한 보안 검토를 의무화하는 내용을 담고 있는데, 이 분야의 규제 기관인 중국의 국가 인터넷정보 판공실이 규칙을 만드는 권한을 가지고 있다. 결국 이 기관이 만든 구체적인 규칙이 나오기 전까지는 어떤 상황이 벌어질지 알 수 없는 것이다.
 

국경 간 정보 흐름과 제재 회피가 가장 중요

그러나 중국에서 어떠한 형태로든 개인 데이터를 다루는 기업이 규제의 명확성에 앞서 더 주목하는 부분이 있다. 크리머스는 “가장 중요한 조항은 국경을 넘어선 개인정보의 흐름을 다루는 부분이다. 이 조항이 핵심이다”라고 말한다.

리를 이를 더 구체적으로 지적했다. 그동안 미국 기업은 OFAC(재무부 해외자산통제국) 제재에 초점이 맞춰왔는데 중국의 새 PIPL 법이 OFAC 제재를 준수하기 위한 기업의 노력을 방해하지 않을지 가장 우려된다는 것이다.

그는 "일반적으로 이런 노력에는 고객과 공급업체, 직원 및 비즈니스 파트너의 개인 정보를 선별하는 작업이 포함된다. 그런데 때로는 중국 외에서 이 선별 작업을 해야 하는 경우도 있다. 기업이 OFAC 제재를 위반할 경우 상당한 민사적, 금전적 처벌을 받아야 하는 상황에서 미·중 법률이 어긋나면 기업만 십자포화를 맞을 수 있다"라고 말했다.

PIPL 법안의 최종 모습이 어떤 것이든 많은 기업이 이 법의 조항 중 최소한 일부를 충족하기 위해 인력을 새로 충원해야 하는 것은 명확해 보인다. 실제로, 이 법은 중국인의 개인정보를 처리하는 중국 외부의 데이터 처리자에게 정보 처리와 관련된 문제에 대한 책임을 지는 중국 내 전담 법인을 설립하거나 중국 내 대표자를 임명하도록 강제한다. editor@itworld.co.kr


2021.09.02

중국, 새 개인정보보호법 제정… 미·중 간 '규제 충돌' 가능성도

Cynthia Brumfield | CSO
중국 정부의 IT 분야에 대한 관여가 확대되는 가운데 오는 11월 1일부터 시행되는 개인정보보호법(PIPL)이 8월 21일 제정했다. 이에 앞서 제정된 중국의 데이터 보호 법안은 오는 9월 1일 시행을 앞두고 있다. 이러한 변화는 중국에서 사업을 하는 모든 미국 및 글로벌 기업에 새로운 데이터 개인 정보 보호, 보안 및 보호 의무를 부과할 것으로 보인다.
 
이들 법은 중국의 광범위한 ‘정보화 정책’에 따른 것이다. 하지만 구체적으로 보면 데이터 보호법은 PIPL보다 사이버 보안법에 더 가깝다. 시진핑 중국 국가 주석은 중국을 ‘사이버 초강대국’ 지위로 끌어올리는 과정에서 '사이버 보안과 정보화는 한 몸의 두 날개이자 한 엔진의 두 바퀴'라고 발언하기도 했다.
 

국가 안보와 공공의 이익

중국의 PIPL은 EU의 엄격하면서 잘 정의된 일반 데이터 보호 규정(GDPR)에서 일부 영향을 받았다. 즉, 국가 안보와 공익의 관점에서 모든 데이터에 적용되는 법적 체제를 구축한다. 중국의 PIPL은 다음 4가지를 목표로 한다.
 
  • 개인의 권익 보호
  • 사적 정보처리 활동 규제
  • 데이터의 합법적이고 ‘질서 있는 흐름’ 보호
  • 개인 정보의 합리적 이용 촉진

이 법이 GDPR이나 캘리포니아 소비자 프라이버시법(CCPA) 등 서구의 프라이버시 프레임워크와 다른 점은 국가 안보에 초점을 맞춘다는 점이다. 실제로 PIPL에는 중국의 디지털 주권을 다루는 조항이 포함돼 있다. 이 조항은 중국 시민의 권리를 침해할 수 있는 해외 기업의 활동을 제한하고 국가 안보에 대한 위험을 제한하는 내용으로 구성돼 있다.
 

중국 시민의 데이터를 처리하는 기업이 지켜야 할 조건

PIPL은 중국 시민의 개인 데이터를 처리하는 기업 혹은 실무자, 즉 ‘개인 정보 처리자(personal information processors)’가 다음 조건 중 하나를 충족하는 경우에만 해당 정보를 처리할 수 있다고 규정한다.
 
  1. 정보처리자가 개인적 동의를 얻은 경우
  2. 정보가 법률에 따라 제정된 노동 규칙과 규정, 법에 따라 체결된 단체계약에 따라 개인이 당사자이거나 인적자원관리 이행에 필요한 계약의 체결 및 이행에 필요한 경우
  3. 정보가 법적 의무 또는 법적 의무를 수행하는 데 필요한 경우
  4. 정보가 공중 보건 비상사태에 대응하거나 비상시 자연인의 생명, 건강 및 재산 안전을 도모하기 위해 필요한 경우
  5. 정보가 뉴스 보도, 여론감독, 기타 공익을 위한 행위를 수행하고 개인정보를 합리적인 범위 내에서 처리하기 위해 필요한 경우
  6. 개인 또는 기타 법적으로 공개된 개인정보가 합리적인 범위 내에서 개인 정보를 처리하는 것은 이 법의 규정에 따라 수행되는 경우
  7. 정보가 법률 및 행정 규정에 의해 명시된 기타 상황에서 처리되는 경우

PIPL 법에 따르면 사용자의 데이터 처리를 허용하려면 사용자의 동의가 있어야 하며 사용자에게 충분한 정보를 제공해야 한다. 개인에게는 언제든지 동의를 철회할 권리가 있고, 정보처리자는 정보처리나 사용을 거부하는 개인에게 상품이나 서비스 제공을 중단할 수 없다.
 

PIPL을 준수하는 방법은 여전히 모호

중국에서 사업을 하는 기업이 PIPL의 복잡한 조항을 어떻게 준수할 수 있을지는 명확하지 않다. 규정 준수가 어떻게 이루어지는지 구체화하는 많은 규제 사례가 아직 충분히 쌓이지 않았기 때문이다.

인터내셔널 트레이드 프랙티스 그룹( International Trade Practice Group)의 공동 회장인 주디스 앨리슨 리는 CSO와의 인터뷰에서 “이는 매우 새로운 법이고 매우 복잡하기 때문에 중국에서 사업을 하는 미국 기업은 이제 막 대응 방안을 마련하는 중이다. 이 법이 앞으로 사업에 어떤 영향을 줄지를 점검하고 있는 정도다”고 말했다.

뉴 아메리카(New America)의 중국 디지털경제 펠로우인 로지에 크리머스도 이에 동의했다. 그는 “PIPL이 올해 11월에 시행되더라도, 중국의 여러 부처가 규정을 발표할 때까지는 이 법이 어떻게 작동할지에 관한 세부 내용은 확인하기 어려울 것이다. PIPL 등을 비롯해 중국의 많은 법이 마치 기본법처럼 작동하고 있다”고 말했다.

예를 들어, 새로운 법률은 개인 데이터의 추출에 대한 보안 검토를 의무화하는 내용을 담고 있는데, 이 분야의 규제 기관인 중국의 국가 인터넷정보 판공실이 규칙을 만드는 권한을 가지고 있다. 결국 이 기관이 만든 구체적인 규칙이 나오기 전까지는 어떤 상황이 벌어질지 알 수 없는 것이다.
 

국경 간 정보 흐름과 제재 회피가 가장 중요

그러나 중국에서 어떠한 형태로든 개인 데이터를 다루는 기업이 규제의 명확성에 앞서 더 주목하는 부분이 있다. 크리머스는 “가장 중요한 조항은 국경을 넘어선 개인정보의 흐름을 다루는 부분이다. 이 조항이 핵심이다”라고 말한다.

리를 이를 더 구체적으로 지적했다. 그동안 미국 기업은 OFAC(재무부 해외자산통제국) 제재에 초점이 맞춰왔는데 중국의 새 PIPL 법이 OFAC 제재를 준수하기 위한 기업의 노력을 방해하지 않을지 가장 우려된다는 것이다.

그는 "일반적으로 이런 노력에는 고객과 공급업체, 직원 및 비즈니스 파트너의 개인 정보를 선별하는 작업이 포함된다. 그런데 때로는 중국 외에서 이 선별 작업을 해야 하는 경우도 있다. 기업이 OFAC 제재를 위반할 경우 상당한 민사적, 금전적 처벌을 받아야 하는 상황에서 미·중 법률이 어긋나면 기업만 십자포화를 맞을 수 있다"라고 말했다.

PIPL 법안의 최종 모습이 어떤 것이든 많은 기업이 이 법의 조항 중 최소한 일부를 충족하기 위해 인력을 새로 충원해야 하는 것은 명확해 보인다. 실제로, 이 법은 중국인의 개인정보를 처리하는 중국 외부의 데이터 처리자에게 정보 처리와 관련된 문제에 대한 책임을 지는 중국 내 전담 법인을 설립하거나 중국 내 대표자를 임명하도록 강제한다. editor@itworld.co.kr


X