1. 개인정보안전규범의 주요 내용

 

  (1) 개인정보 수집 시 권한 부여 동의 취득

 

  개인정보 수집 시 : 사전에 정보주체에게 수집 가능한 개인정보 유형과 수집 빈도, 저장 지역 및 기한, 데이터 안전 능력, 외부 공유 등 개인정보의 수집 및 사용 규칙 등을 정확히 고지하고 동의를 취득해야 한다.

 

  ○ 예외 상황

  - 국가 안전, 공공 안전 등과 직접 관련이 있거나 개인의 생명, 재산 등 중대한 합법적 권익 보호가 필요한 상황에서 본인의 동의를 받기 어려운 경우

  - 정보주체의 요구에 따른 계약 체결 및 이행에 필요한 경우,

  - 제품 고장이나 서비스 장애의 인지, 조치 등 제품이나 서비스의 안전하고 안정적인 사용 지원을 위해 필요한 경우 등

 

  (2) 개인 민감정보 수집 시 명시적 동의 취득

 

  개인 민감정보 수집 시, 정보주체의 명시적 동의를 받아야 하며, 명시적 동의는 정보주체가 관련 사항을 완전히 이해한 상황에서 자주적으로 제공한, 구체적이고 명확한 의사표시를 말한다. 또한 제공하는 제품이나 서비스의 핵심 업무 기능, 필수적으로 수집해야 하는 개인 민감정보, 제공 거절이나 동의 거부로 인한 영향을 사전에 고지해야 하며, 정보 제공 및 자동수집 동의 여부에 대한 선택권을 부여해야 한다.

 

  (3) 개인정보 보호정책 고지

 

  개인정보 보호정책은 공개적으로 발표하고 용이하게 조회할 수 있도록 해야 하며 진실성, 정확성, 완전성을 갖추어야 한다.

 

  ○ 개인정보 보호정책에 포함되어야 하는 주요 항목

 

  - 개인정보 처리자의 기본 정보 및 개인정보 수집·사용의 목적

  - 수집 방식, 빈도, 저장 지역 등 개인정보 처리 규칙 및 수집하는 개인정보의 범위

  - 개인정보 공유, 양도, 공개의 목적 및 해당 개인정보 유형, 제3의 정보 수령자 유형, 관련 법적 책임

  - 조회, 정정, 삭제, 계정말소 방법 등 정보주체의 권리 및 보장체제

  - 개인정보를 제공하는 경우 잠재 보안 리스크, 개인정보를 제공하지 않는 경우 그 영향

 

  (4) 개인정보 저장 관련 준수 사항

 

  목적 달성에 필요한 최소한의 기간 동안 저장하고, 저장기간 만료 후 삭제 또는 익명화 처리를 해야 한다. 수집 후 즉시 비식별화 처리를 하고 이를 복원 가능한 개인정보와 분리하여 저장해야 하며 개인 민감정보 전송 및 저장 시 암호화 등 안전조치를 해야 하고, 개인 생체특징 정보는 일정한 기술적 조치를 취한 후 저장해야 한다.

 

  (5) 개인정보 사용 관련 준수 사항

 

  내부 데이터 취급자에게 필요 최소한의 범위 내에서 권한을 부여해야 하고 중요 작업을 진행하는 경우 내부 결재 프로세스를 수립해야 하며, 개인 민감정보의 조회·정정은 필요한 경우에만 업무 프로세스에 따라 권한을 부여한다.

  수집 시 고지한 범위 내에서 개인정보를 사용해야 하며, 업무상 필요에 의해 해당 범위를 초과하여 사용해야 하는 경우 당연히 다시 정보주체의 동의를 받아야 한다. 또한 정보주체에게 자신의 정보에 대해 조회하거나 수집 및 사용 동의를 철회할 수 있는 방법을 알려주어야 하고 정보주체의 요청에 따라 해당 정보를 정정 또는 삭제해야 한다.

 

  정보주체가 요청하는 경우에는 개인 기본 자료, 신분 정보, 건강·근무·교육 관련 정보의 사본을 제공해야 하며, 기술적으로 가능한 경우 제3자에게 전달해야 한다. 그리고 개인정보 처리자는 정보주체의 요청을 ‘30일’ 내에 처리해야 한다.

 

  (6) 개인정보의 위탁, 공유, 양도, 공개 관련 준수 사항

 

  개인정보 처리 위탁 시 정보주체가 동의한 범위 내에서 위탁해야 하고, 위탁 행위가 개인정보 안전에 미칠 영향을 평가해야 하며 수탁자가 충분한 개인정보 보안 능력을 갖추도록 해야 한다.

  개인정보 공유, 양도, 공개 시에는 정보주체의 사전 동의를 받아야 하며, 정보 안전에 대한 사전 영향평가를 진행하고 평가 결과에 따라 보호 조치를 실행해야 한다. 또한 개인정보 공유, 양도, 공개 상황에 대해 일시, 규모, 목적, 범위, 정보 수령자 등을 정확하게 기록하고 보존해야 한다.

 

  (7) 개인정보 보안사고 대응

 

  개인정보 보안사고 응급 대응 방안을 수립하고 정기적으로 내부 교육 및 훈련을 실시해야 한다. 또한 개인정보 보안사고 발생 시, 그 내용을 기록하고 영향 평가 및 필수 조치를 실시하며 정보주체에게 통지한다.

 

  (8) 조직의 관리에 대한 요구사항

 

  법정대표 또는 주요 책임자는 개인정보 보안에 대해 포괄적인 관리 책임을 부담한다. 개인정보 보호 책임자 및 담당조직을 지정해야 하며, 주요 업무가 개인정보 처리와 관련 있으면서 직원수가 200명 이상인 경우, 50만명 이상의 개인정보를 처리하거나 12개월 내에 50만 이상의 개인정보를 처리할 것으로 예상되는 경우 전담 인력 및 조직을 두어야 한다. 또한 개인정보 안전영향 평가 제도를 수립하고 정기적으로 안전영향 평가를 진행해야 한다.

 

  2. 개인정보안전규범 대응전략

 

  중국은 개인정보보호와 관련하여 통합된 법이 존재하지 않고 산업별 또는 영역별로 개별 법률, 규정, 가이드를 통해 규율하여 왔는데, 개인정보안전규범은 개인정보 보호에 대한 전반적인 내용을 규율하였다는 점에 있어서 개인정보 보호 영역에 큰 영향을 미칠 것으로 예상된다.

 

  개인정보안전규범의 실질적인 법적 효력이 어느 정도일지, 적용 대상 범위는 어떠할지, 미준수 시 불이익은 어떠할지 등에 대해서는 시행 후 실무 동향을 주시하고 그에 따라 적절한 조치를 취해야 할 것으로 보인다.

 

  특히 중국에서 B2C 사업을 영위하는 기업, 개인정보를 수집해야 하는 기업은 개인정보안전규범의 내용을 숙지하고 제시된 표준 양식에 따라 개인정보 관련 정책 및 절차를 제정 또는 개편할 필요가 있어 보인다.

 

 

 

(출처: 중국 정부망(中国政府网), 중국 허쉰과기(中国和讯科技), 중국 신랑(中国新浪) 등)