연세대 경영학·법학, 베이징대 법학 박사, 사법연수원 33기, 전 법무법인 율촌 상하이 대표처 대표
2024년 9월 18일 중국의 전국 인터넷 보안 표준화 기술위원회는 ‘인터넷 보안 표준 실무 가이드-민감 개인 정보 식별 가이드(網絡安全標準實踐指南-敏感個人信息識別指南)’ 를 반포했다.
중국의 개인정보보호법은 일단 누설되거나 불법적으로 사용되면 자연인의 인격 존엄에 쉽게 침해를 일으키거나 신체, 재산의 안전에 위험을 줄 수 있는 개인 정보를 민감 개인 정보로 규정하고 있는데(제28조), 이번에 반포한 가이드는 민감 개인 정보를 분류하는 구체적인 기준을 제시한 데 의미가 있다고 할 수 있다.
가이드에 따르면, 민감 개인 정보는 개인의 유전자·얼굴·성문·걸음걸이·지문·장문· 홍채·귓불·망막 등의 생물 식별 정보, 개인의 종교, 가입한 종교 조직, 종교 조직에서의 지위, 참가한 종교 활동, 특정 종교의 풍습 등의 종교 신앙 정보, 장애인의 신분, 공개하기 어려운 직업 등의 특정 신분 정보, 개인의 신체 또는 심리상의 질병·장애·질병의 위험 또는 프라이버시 관련 정보, 질병의 예방·진단·치료·간호·회복 등 의료 서비스 과정에서 수집 또는 생성된 정보와 검사 데이터 등의 의료 기록 정보, 개인의 은행·증권·펀드·보험 계좌와 비밀번호, 이와 관련한 전자 기록, 개인 수입 명세와 같은 금융 계좌 정보, 차량과 사람의 이동 경로와 운행 정보, 14세 미만 미성년자의 개인 정보, 그 외에 신분증 사진, 성적 취향, 성생활, 신용, 범죄 기록, 신체의 은밀한 부위를 찍은 사진 또는 동영상 정보 등의 기타 민감 개인 정보를 포함한다.
민감 개인 정보는 신상 털기, 보이스 피싱, 딥페이크와 같은 각종 범죄 내지는 차별적 대우 등에 악용되어 사람들의 재산권, 인격권, 프라이버시권에 직접적인 침해를 야기할 가능성이 크기 때문에 개인정보보호법은 민감 개인 정보의 처리에 더욱 엄격한 준법 의무를 부과하고 있다. 구체적으로는 민감 개인 정보의 처리는 특정한 목적과 필요성의 원칙하에 엄격한 보호조치를 취하고, 그 처리의 필요성과 개인의 권익에 미칠 수 있는 영향을 정보 주체에게 고지하고 개별 동의를 득해야 하며 개인 정보 보호 영향 평가도 실시해야 한다.
그런데 민감 개인 정보는 취급에 대한 규제가 엄격한 만큼 그 판단에도 신중을 기한다. 예를 들면, 배달원이나 택배 같은 특정 직업 영역에서는 그들의 이동 경로가 실시간으로 앱을 통해 소비자나 판매자에게 공유되는데 이러한 경우를 민감 개인 정보로 분류할 수는 없다. 즉, 민감 개인 정보로 판단하기 위해서는 정보가 누설되거나 불법적으로 사용된 상황을 전반적으로 고려해야 한다.
한편, 2024년 9월 7일 중국 상무부 등이 공포한 ‘의료 분야 개방 확대의 시범 업무에 관한 통지(關於在醫療領域開展擴大開放試點工作的通知)’에 따르면, 베이징·상하이 등의 도시에 100% 외자 병원의 설립이 가능해졌다. 그런데 앞에서 살펴본 바와 같이 개인의 질병 같은 의료 정보는 민감 개인 정보에 속하고 이러한 정보의 수집·사용·관리에는 법률적인 측면에서 상당히 복잡한 문제가 발생할 가능성이 크다.
앞으로 중국에서 활동하고 있거나 진출하고자 하는 우리 기업들에 개인 정보 보호와 관련한 이슈가 가장 큰 도전이 될 것으로 예상되는 바, 이에 대한 각별한 주의와 대비가 필요하다. 여러 분야에서 중국의 문이 활짝 열리는 것은 환영할 일이나 열린 문만 보고 서두르다가 문턱에 걸릴 일은 없는지 세심히 살펴야 한다.