"한국기업들 중국에서 '이것' 조심하라"
충정 기술정보통신팀 변호사들이 말해주는 ‘혁신 기술과 법’ 이야기
손가람 변호사(법무법인 충정)
2018.08.15 05:15
/사진제공=이미지투데이
2017년 5월 바이두 (百度)는 계정 실명인증을 거친 이용자만 인터넷 서비스를 이용하게 하는 방침을 발표했다. 중국 최대 포털 기업인 바이두의 이러한 조치는 큰 화제가 되었는데, 이는 사실 2017년 6월부터 시행된 네트워크 안전법(이하 ‘법’)을 준수하기 위한 것이었다. 국내 기업들도 중국에 직·간접적으로 많은 사업을 진행하고 있는 바, 네트워크 안전법의 조문 중 국내기업에게 영향을 미칠 수 있는 주요 내용은 다음과 같다.
우선 네트워크 운영자는 각종 안전에 대한 의무를 부담한다. 우선 안전등급 보호제도에 따라 등급별 안전보호 의무를 이행해야 하며(법 제21조), 안전 위험에 적시에 대처하고(제25조), 공안기관에 협조하는 등(법 제28조) 의무를 부담하게 된다. 또한 중국 내에서 악용되어온 개인정보의 매매 등이 명시적으로 금지된다(법 제44조). 또한 응용 소프트웨어 등에 불법 정보(악성 프로세스)를 포함하는 것도 동 법상 명시적으로 금지되고 있다(법 제48조).
특히 유의할 것은 “핵심 정보 인프라 시설” 운영자는 중요 업무 데이터를 반드시 중국 내 저장해야 한다는 점이다. 해당 조문은 2019년 1월 1일부터 시행될 예정인데, “핵심정보 인프라”는 동 법상 ‘영역 및 기타의 파괴, 기능 상실 또는 데이터 유출로 국가의 안전, 국가계획과 국민 생활, 공공이익이 심하게 손해 받을 가능성이 있는 시설’로 명시(법 제31조)되어 있으나, 상세한 범위는 향후 국무원에서 제정할 예정이다. 이러한 인프라시설로 지정되는 경우 다국적 기업이 계열사간 정보를 중국 외 서버에 저장하는 경우, 동 법의 벌칙인 벌금, 영업정지, 사이트 폐쇄 등 조치를 받을 수 있으므로, 그 범위에 대한 지속적인 모니터링이 필요할 것으로 보인다. 현재 외국계 기업들의 상당수는 데이터 서버를 중국으로 이전한 것으로 알려져 있다.
또한 “네트워크 서비스 안전 심사 방법”에 의하면, 개인정보 주체의 동의를 거치지 않았거나 이익을 침해할 가능성이 있는 경우 등 경외반출이 불가능하다고 판단될 경우 개인정보를 중국 외부로 반출할 수 없도록 하고 있다.
이러한 네트워크 안전법에 대해 중국 정부의 사이버 공간에 대한 통제가 강화되며 사실상 국가에 의한 검열이라는 우려의 목소리도 있었으나, 개인정보와 관련된 규제 강화흐름은 국제적인 현상으로 보인다(다만 중국의 네트워크 안전법은 개인정보를 넘어 “네트워크 안전에 유해한 정보”도 관리대상에 포함시켜 그 범위가 보다 포괄적이다).
다른 입법사례를 보면, EU는 2016년 5월 GDPR이 제정하였고, 2018년 5월부터 효력을 발생시키고 있다. GDPR은 일반 개인정보 외 개인의 업무수행, 관심사 등을 분석하는 자동화된 처리 결과(프로파일링)도 규제하며, 개인정보의 삭제를 컨트롤러에게 요구할 수 있는 삭제권(잊힐 권리), 개인정보를 여러 다른 서비스에 걸쳐 재사용할 수 있도록 다른 컨트롤러에게 제공할 것을 요구하는 개인정보 이동권 등 정보주체의 권리를 보다 강화하고 있다. 또한 EU내 설립되지 않은 컨트롤러 등은 EU 역내 대리인을 지정하도록 함으로써, 위 EU 거주민의 권리보호를 위해 분쟁을 역내에서 신속하게 해결할 수 있도록 하였다.
GDPR도 네트워크 안전법과 마찬가지로 국외이전에 대하여 강한 제한을 하고 있는데, EU 외부로 개인정보가 이전되기 위해서는 “적절성 결정” 혹은 “적절한 보호조치”가 필요하며, 위반시 최대 2000만 유로의 과징금을 부과할 수 있도록 함으로써 개인정보와 관련된 문제를 기업이 방치하지 못하도록 하고 있다.
한국 개인정보보호법 역시 점차적으로 강화되어 왔는데, 주민등록번호의 처리가 원칙적으로 금지되고, 국외이전에 있어서 제한을 받으며, 개인정보 유출의 경우 구체적인 피해액 입증이 없이도 일정금액을 보상할 수 있도록 하는 법정 손해배상 제도(개인정보보호법 제39조의2), 고의/중과실로 개인정보를 유출한 경우 피해액의 3배까지 배상액을 부과할 수 있도록 하는 징벌적 손해배상 제도(개인정보보호법 제39조 제3항) 등이 그 예이다.
국내 개인정보 보호법이 역외 적용된 예는 현재까지 많지 않고, 주로 국내 소재 기업의 행위를 규율하고 있다. 그러나 가까운 시일 내에 개인정보의 국제적 이동에 대하여도 많은 분쟁이 발생할 것으로 보이며, 특히 중국의 네트워크 안전법을 위반하는 경우 과태료를 넘어 영업정지, 사이트 폐쇄 등 영업 자체가 어려워 질 수 있다는 점에 유의하여, 해당 규제 국가에 사업을 하고 있는 국내 기업들은 국제적인 규제경향을 주시하여야 할 것이다.
<저작권자 © ‘법을 읽어주는 친절한 도우미’ THE L, 무단전재 및 재배포 금지>
