1. 개인정보란 무엇인가? 개인정보 처리에는 어떠한 방식들이 포함되는가?
개인정보란 전자 또는 기타 방식으로 기록한 이미 식별되였거나 식별 가능한 자연인과 관련되는 각종 정보를 말한다. 다만 닉명화 처리 후의 정보는 포함되지 않는다. 개인정보의 처리에는 개인정보의 수집, 저장, 사용, 가공, 전송, 제공, 공개, 삭제 등 방식이 포함된다.
2. 개인정보 처리자는 개인정보 처리에 있어서 어떠한 규칙을 지켜야 하는가?
개인정보보호법은 개인정보 처리활동의 규범화와 개인정보권익 보장과 관련하여 ‘고지(告知)-동의’를 핵심으로 하는 개인정보 처리규칙을 마련했다. ‘고지-동의’는 법률이 확립한 개인정보보호의 핵심규칙으로서 개인이 자신의 개인정보처리에 관한 알 권리와 결정권을 보장하는 중요한 수단이다. 개인정보보호법에 따르면 정보처리자가 개인정보를 처리할 때에는 사전에 충분한 고지를 전제로 개인의 동의를 받아야 하며 개인정보 처리의 중요한 사항이 변경된 경우에는 다시 개인에게 고지와 동의를 받아야 한다.
동시에 일괄허가, 강제동의 등의 문제를 해결하기 위해 개인정보보호법은 특히 개인정보 처리자가 민감한 개인정보를 처리하고 타인에게 개인정보를 제공 또는 공개하며 개인정보를 해외로 이전하는 등의 단계에서 개인의 단독 동의를 받도록 규정하고 있다. 또한 개인정보 처리자는 개인정보를 과도하게 수집해서는 안되며 개인이 동의하지 않는다는 리유로 제품이나 봉사의 제공을 거부해서는 안된다. 본 법은 개인에게 동의를 철회할 권리를 부여하며 개인이 동의를 철회할 경우 개인정보 처리자는 처리를 중지하거나 적시에 개인정보를 삭제해야 한다.
이 밖에 경제, 사회 생활의 복잡성과 개인정보의 처리상황이 날로 다양해지고 있는 점을 고려하여 개인정보보호법은 공공리익을 수호하고 사회의 정상적인 생산과 생활을 보장하는 각도에서 개인의 동의를 얻는 경우외의 개인정보를 합법적으로 처리할 수 있는 특정상황에 대하여 규정하고 있다. 공동처리, 위탁처리 등 실천가운데서 비교적 흔히 보는 처리상황에 대해서도 상응한 규정을 하고 있다.
3. 〈중화인민공화국 개인정보보호법〉은 개인의 ‘민감한 정보’에 관하여 어떠한 규정을 하고 있는가?
개인정보보호법은 민감한 개인정보의 처리에 대해 명확히 규정하고 있다. 본 법 제28조는 “민감한 개인정보란 일단 루설되거나 불법적으로 사용되면 자연인의 인격존엄이 침해받거나 인신, 재산의 안전이 위해를 받게 되기 쉬운 개인정보를 말하며 여기에는 생체인식, 종교, 특정 신분, 의료건강, 금융구좌, 행적궤적 등의 정보 및 14세 미만 미성년자의 개인정보가 포함된다.”고 규정하고 있다. 개인정보보호법의 규정에 의하면 특정한 목적과 충분한 필요성이 있고 엄격한 보호조치를 취하는 상황에서만 민감한 개인정보를 처리할 수 있다. 이러한 경우에는 사전에 영향평가를 진행해야 하고 처리의 필요성 및 개인권익에 주는 영향을 개인에게 고지해야 한다. 이러한 엄격한 규정에는 “민감한 개인정보는 일단 루설되거나 불법적으로 사용되면 자연인의 인격존엄을 침해하거나 인신, 재산 안전을 해치기 쉬운바 이런 정보를 다루는 행위에 대하여 더욱 엄격한 규제가 이루어져야 한다.”는 리념이 밑받침되여있다. 특히 주목할 것은 미성년자의 개인정보권익과 심신건강을 보호하기 위하여 14세 미만 미성년자의 개인정보를 민감한 개인정보로 규정하고 있으며 미성년자보호법의 관련 규정과 맞물려 14세 미만 미성년자의 개인정보를 처리할 경우 미성년자의 부모 또는 기타 후견인의 동의를 얻어야 한다는 점이다.
4. 〈중화인민공화국 개인정보보호법〉은 기업이 개인정보를 리용하여 실시하는 상업적 경영 및 매출 행위에 대해 어떠한 규제를 하고 있는가?
현재 많은 기업들이 빅데이터를 리용해 소비자의 개인적 특징을 분석, 평가하여 상업적 경영 및 매출에 활용하고 있다. 일부 기업은 소비자의 경제상황, 소비습관, 가격에 대한 민감도 등 정보를 파악하여 소비자에 대해 거래가격 등 면에서 차별적인 대우를 실시하여 소비자를 오도하거나 기만하는 사건도 발생한다. 그중 가장 전형적인 것이 바로 사회적 이슈로 떠오른 ‘빅데이터 등쳐먹기(大数据杀熟)’이다. ‘빅데이터 등쳐먹기’ 같은 상품이나 봉사라도 단골고객은 오히려 신규고객보다 더 비싼 가격을 지불해야 하는 현상을 말한다. 2018년 12월 20일, ‘빅데이터 등쳐먹기’가 2018년도 사회생활 분야 10대 류행어로 선정되였다. ‘빅데이터 등쳐먹기’ 행위는 성실신용의 원칙을 위반하였고 소비자권익보호법에서 규정한 소비자의 공정거래조건 향유권을 침범하였으므로 법률상 응당 금지해야 한다. 따라서 개인정보보호법은 “개인정보 처리자는 개인정보를 리용하여 자동화된 의사결정을 할 때 의사결정의 투명성과 결과의 공평성 및 공정성을 보장해야 하며 개인에게 거래가격 등 거래조건면에서 불합리한 차별대우를 하여서는 안된다.”고 명확히 규정하고 있다.
5. 개인은 개인정보 처리활동에 있어서 어떠한 권리를 향유하는가?
개인정보보호법은 개인정보 처리활동중에서 개인이 향유하는 각종 권리(례컨대 개인정보 처리규칙 및 처리사항에 대한 알 권리, 동의 및 동의 철회권, 개인정보의 조회, 복제, 정정, 삭제 등 권리)를 알 권리, 결정권으로 격상시키고 개인정보 처리를 제한할 수 있는 개인의 권리를 명확히 하고 있다. 구체적으로 말하면 개인정보 처리활동에 있어서 개인은 다음과 같은 몇가지 권리를 향유한다.
첫째, 알 권리와 결정권. 개인은 타인이 자신의 정보를 처리시 이에 대하여 알 권리와 결정권을 가지며 타인의 개인정보 처리를 제한하거나 거부할 권리가 있다.
둘째, 열람 복제권. 개인은 개인정보 처리자로부터 자신의 개인정보를 열람하고 복제할 권리가 있다.
셋째, 정정 보충 청구권. 개인은 자신의 개인정보가 부정확하거나 불완전함을 발견한 경우 개인정보 처리자에게 정정 보충을 청구할 권리가 있다.
넷째, 삭제 청구권. 개인정보 처리자는 이미 처리목적을 달성하였거나 처리목적을 실현할 수 없거나 처리목적을 달성할 필요가 없는 경우, 제품 또는 봉사의 제공을 중지하거나 보존기간이 만료되여 개인이 동의를 철회하는 등 경우에 자발적으로 개인정보를 삭제해야 한다. 개인정보 처리자가 삭제하지 않을 경우 개인은 삭제를 요청할 권리가 있다.
다섯째, 해석 청구권. 개인은 개인정보 처리자에게 자신의 개인정보 처리규칙에 대한 해석을 요구할 권리가 있다.
여섯째, 소송권. 개인정보 처리자가 개인의 권리행사 청구를 거절할 경우 개인은 법에 따라 인민법원에 소송을 제기할 수 있다.
6. 개인정보 처리자는 어떠한 법적 의무를 져야 하는가?
개인정보 처리자는 개인정보보호의 일차적 책임자이다. 따라서 개인정보보호법은 개인정보 처리자가 자신의 개인정보 처리활동에 대하여 책임을 져야 하며 처리된 개인정보의 안전을 보장하기 위하여 필요한 조치를 취해야 한다고 강조하고 있다. 개인정보보호법에서는 따로 장을 설치하여 개인정보 처리자의 준법관리, 개인정보 안전보장 등 의무를 명확히 하고 있다. 례컨대 개인정보 처리자는 규정에 따라 내부관리제도와 처리절차 규정을 제정해야 하고 상응한 안전기술 조치를 취해야 하며 책임자를 지정하여 개인정보 처리활동을 감독하게 해야 한다. 또한 자신들의 개인정보 처리활동에 대해 정기적으로 감찰을 진행해야 하고 민감한 개인정보의 처리, 개인을 리용한 자동화 의사결정, 개인정보의 대외제공 또는 공개 등 고위험 업무처리 활동에 관해서는 사전에 영향평가를 진행해야 하며 개인정보 루설에 관한 통지 및 구제 의무를 리행해야 한다.
7. 개인정보보호에 있어서 인터넷 플랫폼은 어떠한 법적 의무를 져야 하는가?
인터넷 플랫폼 봉사는 디지털경제가 전통경제와 구별되는 뚜렷한 특징이다. 인터넷 플랫폼은 상품과 봉사의 거래를 위해 기술지원, 거래장소, 정보발표와 거래매칭 등의 봉사를 제공한다. 개인정보처리에 있어서 인터넷 플랫폼은 플랫폼내 사업자가 개인정보를 처리할 수 있는 기초기술 봉사를 제공하고 기본적인 처리규칙을 설정하는 등 개인정보보호의 관건적인 부분이다. 인터넷 플랫폼에 있어서의 개인정보 처리자는 중요한 인터넷 플랫폼 봉사를 제공하고 있고 그 사용자수가 거대하며 업무류형 또한 복잡한바 플랫폼내의 거래와 개인정보처리 활동에 대해 강력한 지배력을 가지고 있으며 개인정보보호에 있어서 더 많은 법적 의무를 져야 한다. 개인정보보호법은 이러한 대형 인터넷 플랫폼에 대해 아래와 같은 특별한 개인정보보호 의무를 규정하고 있다. 국가규정에 따라 개인정보 보호준칙 제도체계를 구축하고 건전히 해야 하며 외부 회원들로 구성된 독립기구를 만들어 개인정보보호 상황을 감독해야 한다. 공개, 공평, 공정의 원칙에 따라 플랫폼 규칙을 제정해야 한다. 심각하게 위법적으로 개인정보를 처리한 플랫폼내의 제품 또는 봉사 제공자에 대해서는 봉사제공을 중지해야 한다. 개인정보보호 사회책임보고서를 정기적으로 발표하고 사회의 감독을 받아야 한다. 개인정보보호법의 상기 규정은 대형 인터넷 플랫폼 경영업무의 투명도를 높이고 플랫폼 관리를 보완하며 외부감독을 강화하고 전사회가 공동으로 참여하는 개인정보보호 시스템을 형성하는 데 취지를 두고 있다.
8. 개인정보보호법을 위반할 경우 어떠한 법적 책임을 져야 하는가?
개인정보보호법의 관련 규정을 위반했을 경우 개인정보보호 직책리행부문에서 시정을 명하고 경고를 주며 위법소득을 몰수한다. 그리고 개인정보를 위법적으로 처리한 앱에 관해서는 봉사 잠정이나 중지를 명한다. 시정을 거부할 경우에는 100만원 이하의 벌금을 병과하며 직접책임 주관자와 기타 직접책임자에게는 1만원 이상 10만원 이하의 벌금을 부과한다. 정상이 심각할 경우에는 성급 이상 개인정보 보호직책리행 부문에서 시정을 명하고 위법소득을 몰수하며 5만원 이하의 벌금을 병과하거나 전년도 매출액의 5% 이하의 벌금을 병과한다. 이와 동시에 관련 업무 중지 또는 휴업정돈을 명하거나 관련 주관부문에 통보하여 관련 업무허가를 취소할 수도 있고 영업허가증을 취소할 수 있다. 직접책임주관자와 기타 직접책임자에게는 10만원 이상 100만원 이하의 벌금을 부과하며 일정기간 관련 기업의 리사, 감사, 고위관리자와 개인정보 보호책임자로 재직하는 것을 금지할 수 있다.
개인정보란 전자 또는 기타 방식으로 기록한 이미 식별되였거나 식별 가능한 자연인과 관련되는 각종 정보를 말한다. 다만 닉명화 처리 후의 정보는 포함되지 않는다. 개인정보의 처리에는 개인정보의 수집, 저장, 사용, 가공, 전송, 제공, 공개, 삭제 등 방식이 포함된다.
2. 개인정보 처리자는 개인정보 처리에 있어서 어떠한 규칙을 지켜야 하는가?
개인정보보호법은 개인정보 처리활동의 규범화와 개인정보권익 보장과 관련하여 ‘고지(告知)-동의’를 핵심으로 하는 개인정보 처리규칙을 마련했다. ‘고지-동의’는 법률이 확립한 개인정보보호의 핵심규칙으로서 개인이 자신의 개인정보처리에 관한 알 권리와 결정권을 보장하는 중요한 수단이다. 개인정보보호법에 따르면 정보처리자가 개인정보를 처리할 때에는 사전에 충분한 고지를 전제로 개인의 동의를 받아야 하며 개인정보 처리의 중요한 사항이 변경된 경우에는 다시 개인에게 고지와 동의를 받아야 한다.
동시에 일괄허가, 강제동의 등의 문제를 해결하기 위해 개인정보보호법은 특히 개인정보 처리자가 민감한 개인정보를 처리하고 타인에게 개인정보를 제공 또는 공개하며 개인정보를 해외로 이전하는 등의 단계에서 개인의 단독 동의를 받도록 규정하고 있다. 또한 개인정보 처리자는 개인정보를 과도하게 수집해서는 안되며 개인이 동의하지 않는다는 리유로 제품이나 봉사의 제공을 거부해서는 안된다. 본 법은 개인에게 동의를 철회할 권리를 부여하며 개인이 동의를 철회할 경우 개인정보 처리자는 처리를 중지하거나 적시에 개인정보를 삭제해야 한다.
이 밖에 경제, 사회 생활의 복잡성과 개인정보의 처리상황이 날로 다양해지고 있는 점을 고려하여 개인정보보호법은 공공리익을 수호하고 사회의 정상적인 생산과 생활을 보장하는 각도에서 개인의 동의를 얻는 경우외의 개인정보를 합법적으로 처리할 수 있는 특정상황에 대하여 규정하고 있다. 공동처리, 위탁처리 등 실천가운데서 비교적 흔히 보는 처리상황에 대해서도 상응한 규정을 하고 있다.
3. 〈중화인민공화국 개인정보보호법〉은 개인의 ‘민감한 정보’에 관하여 어떠한 규정을 하고 있는가?
개인정보보호법은 민감한 개인정보의 처리에 대해 명확히 규정하고 있다. 본 법 제28조는 “민감한 개인정보란 일단 루설되거나 불법적으로 사용되면 자연인의 인격존엄이 침해받거나 인신, 재산의 안전이 위해를 받게 되기 쉬운 개인정보를 말하며 여기에는 생체인식, 종교, 특정 신분, 의료건강, 금융구좌, 행적궤적 등의 정보 및 14세 미만 미성년자의 개인정보가 포함된다.”고 규정하고 있다. 개인정보보호법의 규정에 의하면 특정한 목적과 충분한 필요성이 있고 엄격한 보호조치를 취하는 상황에서만 민감한 개인정보를 처리할 수 있다. 이러한 경우에는 사전에 영향평가를 진행해야 하고 처리의 필요성 및 개인권익에 주는 영향을 개인에게 고지해야 한다. 이러한 엄격한 규정에는 “민감한 개인정보는 일단 루설되거나 불법적으로 사용되면 자연인의 인격존엄을 침해하거나 인신, 재산 안전을 해치기 쉬운바 이런 정보를 다루는 행위에 대하여 더욱 엄격한 규제가 이루어져야 한다.”는 리념이 밑받침되여있다. 특히 주목할 것은 미성년자의 개인정보권익과 심신건강을 보호하기 위하여 14세 미만 미성년자의 개인정보를 민감한 개인정보로 규정하고 있으며 미성년자보호법의 관련 규정과 맞물려 14세 미만 미성년자의 개인정보를 처리할 경우 미성년자의 부모 또는 기타 후견인의 동의를 얻어야 한다는 점이다.
4. 〈중화인민공화국 개인정보보호법〉은 기업이 개인정보를 리용하여 실시하는 상업적 경영 및 매출 행위에 대해 어떠한 규제를 하고 있는가?
현재 많은 기업들이 빅데이터를 리용해 소비자의 개인적 특징을 분석, 평가하여 상업적 경영 및 매출에 활용하고 있다. 일부 기업은 소비자의 경제상황, 소비습관, 가격에 대한 민감도 등 정보를 파악하여 소비자에 대해 거래가격 등 면에서 차별적인 대우를 실시하여 소비자를 오도하거나 기만하는 사건도 발생한다. 그중 가장 전형적인 것이 바로 사회적 이슈로 떠오른 ‘빅데이터 등쳐먹기(大数据杀熟)’이다. ‘빅데이터 등쳐먹기’ 같은 상품이나 봉사라도 단골고객은 오히려 신규고객보다 더 비싼 가격을 지불해야 하는 현상을 말한다. 2018년 12월 20일, ‘빅데이터 등쳐먹기’가 2018년도 사회생활 분야 10대 류행어로 선정되였다. ‘빅데이터 등쳐먹기’ 행위는 성실신용의 원칙을 위반하였고 소비자권익보호법에서 규정한 소비자의 공정거래조건 향유권을 침범하였으므로 법률상 응당 금지해야 한다. 따라서 개인정보보호법은 “개인정보 처리자는 개인정보를 리용하여 자동화된 의사결정을 할 때 의사결정의 투명성과 결과의 공평성 및 공정성을 보장해야 하며 개인에게 거래가격 등 거래조건면에서 불합리한 차별대우를 하여서는 안된다.”고 명확히 규정하고 있다.
5. 개인은 개인정보 처리활동에 있어서 어떠한 권리를 향유하는가?
개인정보보호법은 개인정보 처리활동중에서 개인이 향유하는 각종 권리(례컨대 개인정보 처리규칙 및 처리사항에 대한 알 권리, 동의 및 동의 철회권, 개인정보의 조회, 복제, 정정, 삭제 등 권리)를 알 권리, 결정권으로 격상시키고 개인정보 처리를 제한할 수 있는 개인의 권리를 명확히 하고 있다. 구체적으로 말하면 개인정보 처리활동에 있어서 개인은 다음과 같은 몇가지 권리를 향유한다.
첫째, 알 권리와 결정권. 개인은 타인이 자신의 정보를 처리시 이에 대하여 알 권리와 결정권을 가지며 타인의 개인정보 처리를 제한하거나 거부할 권리가 있다.
둘째, 열람 복제권. 개인은 개인정보 처리자로부터 자신의 개인정보를 열람하고 복제할 권리가 있다.
셋째, 정정 보충 청구권. 개인은 자신의 개인정보가 부정확하거나 불완전함을 발견한 경우 개인정보 처리자에게 정정 보충을 청구할 권리가 있다.
넷째, 삭제 청구권. 개인정보 처리자는 이미 처리목적을 달성하였거나 처리목적을 실현할 수 없거나 처리목적을 달성할 필요가 없는 경우, 제품 또는 봉사의 제공을 중지하거나 보존기간이 만료되여 개인이 동의를 철회하는 등 경우에 자발적으로 개인정보를 삭제해야 한다. 개인정보 처리자가 삭제하지 않을 경우 개인은 삭제를 요청할 권리가 있다.
다섯째, 해석 청구권. 개인은 개인정보 처리자에게 자신의 개인정보 처리규칙에 대한 해석을 요구할 권리가 있다.
여섯째, 소송권. 개인정보 처리자가 개인의 권리행사 청구를 거절할 경우 개인은 법에 따라 인민법원에 소송을 제기할 수 있다.
6. 개인정보 처리자는 어떠한 법적 의무를 져야 하는가?
개인정보 처리자는 개인정보보호의 일차적 책임자이다. 따라서 개인정보보호법은 개인정보 처리자가 자신의 개인정보 처리활동에 대하여 책임을 져야 하며 처리된 개인정보의 안전을 보장하기 위하여 필요한 조치를 취해야 한다고 강조하고 있다. 개인정보보호법에서는 따로 장을 설치하여 개인정보 처리자의 준법관리, 개인정보 안전보장 등 의무를 명확히 하고 있다. 례컨대 개인정보 처리자는 규정에 따라 내부관리제도와 처리절차 규정을 제정해야 하고 상응한 안전기술 조치를 취해야 하며 책임자를 지정하여 개인정보 처리활동을 감독하게 해야 한다. 또한 자신들의 개인정보 처리활동에 대해 정기적으로 감찰을 진행해야 하고 민감한 개인정보의 처리, 개인을 리용한 자동화 의사결정, 개인정보의 대외제공 또는 공개 등 고위험 업무처리 활동에 관해서는 사전에 영향평가를 진행해야 하며 개인정보 루설에 관한 통지 및 구제 의무를 리행해야 한다.
7. 개인정보보호에 있어서 인터넷 플랫폼은 어떠한 법적 의무를 져야 하는가?
인터넷 플랫폼 봉사는 디지털경제가 전통경제와 구별되는 뚜렷한 특징이다. 인터넷 플랫폼은 상품과 봉사의 거래를 위해 기술지원, 거래장소, 정보발표와 거래매칭 등의 봉사를 제공한다. 개인정보처리에 있어서 인터넷 플랫폼은 플랫폼내 사업자가 개인정보를 처리할 수 있는 기초기술 봉사를 제공하고 기본적인 처리규칙을 설정하는 등 개인정보보호의 관건적인 부분이다. 인터넷 플랫폼에 있어서의 개인정보 처리자는 중요한 인터넷 플랫폼 봉사를 제공하고 있고 그 사용자수가 거대하며 업무류형 또한 복잡한바 플랫폼내의 거래와 개인정보처리 활동에 대해 강력한 지배력을 가지고 있으며 개인정보보호에 있어서 더 많은 법적 의무를 져야 한다. 개인정보보호법은 이러한 대형 인터넷 플랫폼에 대해 아래와 같은 특별한 개인정보보호 의무를 규정하고 있다. 국가규정에 따라 개인정보 보호준칙 제도체계를 구축하고 건전히 해야 하며 외부 회원들로 구성된 독립기구를 만들어 개인정보보호 상황을 감독해야 한다. 공개, 공평, 공정의 원칙에 따라 플랫폼 규칙을 제정해야 한다. 심각하게 위법적으로 개인정보를 처리한 플랫폼내의 제품 또는 봉사 제공자에 대해서는 봉사제공을 중지해야 한다. 개인정보보호 사회책임보고서를 정기적으로 발표하고 사회의 감독을 받아야 한다. 개인정보보호법의 상기 규정은 대형 인터넷 플랫폼 경영업무의 투명도를 높이고 플랫폼 관리를 보완하며 외부감독을 강화하고 전사회가 공동으로 참여하는 개인정보보호 시스템을 형성하는 데 취지를 두고 있다.
8. 개인정보보호법을 위반할 경우 어떠한 법적 책임을 져야 하는가?
개인정보보호법의 관련 규정을 위반했을 경우 개인정보보호 직책리행부문에서 시정을 명하고 경고를 주며 위법소득을 몰수한다. 그리고 개인정보를 위법적으로 처리한 앱에 관해서는 봉사 잠정이나 중지를 명한다. 시정을 거부할 경우에는 100만원 이하의 벌금을 병과하며 직접책임 주관자와 기타 직접책임자에게는 1만원 이상 10만원 이하의 벌금을 부과한다. 정상이 심각할 경우에는 성급 이상 개인정보 보호직책리행 부문에서 시정을 명하고 위법소득을 몰수하며 5만원 이하의 벌금을 병과하거나 전년도 매출액의 5% 이하의 벌금을 병과한다. 이와 동시에 관련 업무 중지 또는 휴업정돈을 명하거나 관련 주관부문에 통보하여 관련 업무허가를 취소할 수도 있고 영업허가증을 취소할 수 있다. 직접책임주관자와 기타 직접책임자에게는 10만원 이상 100만원 이하의 벌금을 부과하며 일정기간 관련 기업의 리사, 감사, 고위관리자와 개인정보 보호책임자로 재직하는 것을 금지할 수 있다.
(필자는 연변대학 법학원 교수)
