105개 인터넷 플랫폼은 개인정보 무단 또는 과잉 수집, 서비스와 무관한 개인정보 수집, 개인의 동의를 얻지 않았거나 개인정보 수집의 사용 목적 미공개 등의 방식으로 개인정보를 침해한 문제가 있었다. 이 중 가장 많은 불법적으로 개인정보를 수집한 것은 구인구직 플랫폼인 즈렌자오핀(智联招聘), 첸청우요(前程无忧) 등을 포함한 51개사였다.
이번에 명단에 오른 기업들은 15일 이내에 모든 지적 사항을 시정할 것을 요구받았으며, 규정 기간 동안 별다른 조치가 이뤄지지 않을 시 법적 처벌을 받을 수 있다. 이처럼 중국 내 개인정보보호 강도는 점차 높아지고 있으며 10억 명 이상의 인터넷 사용자를 보유한 중국은 향후에도 지속적으로 합법적이고 안전한 개인정보의 활용을 촉진하여 디지털 경제를 더욱 활성화할 것으로 전망된다.
중국은 이미 지난해 10월 <중국판 GDPR(General Data Protection Regulation), <중국인민공화국 개인정보 보호법(초안)>을 공표하고 이어 2021년 4월, 제13차 전국인민대표대회 상임위원회 제28차 회의에서 <중화인민공화국 개인정보 보호법(초안 제2차 심의초안)>을 추가로 발표해 개인정보의 수집, 이용규칙의 불투명성, 개인정보의 과도한 수집 및 이용과 같은 현안을 재검토한 바 있다.
이에 시행을 앞두고 있는 개인정보법 대비 한국기업들이 특히 유의해야 할 사항은 개인정보의 수집 및 이용에 관한 부분이다.
개인정보처리자가 개인정보 처리를 위탁하는 경우에 수탁 처리의 목적, 방식, 개인정보 유형, 보호 조치 및 양측의 권리 의무 등을 수탁자와 약정해야 하며 수탁자의 개인정보 처리 행위에 대하여 감독을 실시해야 한다. 개인정보처리자가 제3자에게 처리한 개인정보를 제공하는 경우에 개인에게 제3자의 신분, 연락처, 처리 목적, 처리 방식 및 개인정보 유형을 고지하고 개인으로부터 별도의 동의를 받아야 한다. 개인정보를 이전 받은 제3자는 위에서 언급한 처리 목적, 처리 방식 및 개인정보 유형 등 범위 내에서 개인정보를 처리해야 하며 제3자가 기존의 처리 목적, 처리 방식을 변경하는 경우 본 법의 규정에 근거하여 개인에게 다시 고지하고 동의를 받아야 한다.
마지막으로 개인정보보호는 생각보다 광범위한 점을 유의해 개인정보 수집 시 각 항을 잘 구분하여 동의를 받아야한다. 개인정보 취득 과정에서 개인정보보호법 위반 시 개별 소송 및 행정, 사법기관 조사가 발생할 수 있므로 개인정보를 수집에 신중해야 하며, 우리 기업은 중국 개인정보보호법의 동향을 지속적으로 모니터링해야 한다. 특히 개인(个人/ individual)정보는 '개인'의 문제에 한정하지 않는다고 규정된 점을 주의해야 하며, 기업은 개인정보보호법의 본격적인 시행에 앞서 아래와 같은 진단 및 개선방안을 참고하여 자가 진단을 시행할 필요가 있다.
중국 개인정보보호법 초안에 따르면 심각한 개인정보 침해 행위에 대해 최대 5000만 위안, 또는 매출 5%에 상당하는 벌금을 부과할 수 있어 법안 통과 시 중국 내 개인정보보호와 처벌 수준이 강화될 전망이다.
또한 초안은 개인정보 국외 이전과 관련, 규제당국이 정한 수량을 초과하는 경우 보안 심사를 받도록 요구하고 있어 기존 네트워크안전법의 국외 이전 제한규정과 함께 우리 기업의 주의가 필요하다.
편도욱 로이슈 기자 toy1000@hanmail.net