• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 ‘개인정보보호 지침’ 제정...국가표준 추진 2012.04.06

“기업, 개인정보 사용 후 즉시 지워야”


[보안뉴스 온기홍=중국 베이징] 중국이 개인정보보호를 위한 지침을 제정하고 이를 국가표준으로 삼기로 했다. 이는 중국에서 대규모 개인정보 유출 사건이 잇달아 발생해 피해가 잇따르고 국민들의 불안감이 커지고 있기 때문이다.


중국에서 아직 개인정보보호에 관한 전문적인 법률 규범이 없는 가운데 개인정보 보호 지침의 국가표준 제정이 추진됨에 따라 개인정보보호가 강화될 것으로 예상된다.

‘개인정보보호 지침’ 제정...국가표준 추진

중국 공업·정보화부는 최근 기업들이 개인정보보호를 위해 지켜야 할 행동 준칙인 ‘정보보안 기술, 공공 및 상용 서비스 정보시스템 개인정보보호 지침’(이하 개인정보 보호 지침)을 제정하고 이를 국가표준으로 정하기로 했다고 중국 언론매체들이 5일 일제히 전했다.


공업·정보화부 산하 중국소프트웨어(S/W)평가센터는 최근 30여 개 기업들과 공동으로 초안을 마련한 ‘개인정보 보호 지침’에 대해 상급 기관의 심사·평가를 거쳐 국가표준 심의를 위해 제출해 놓은 상태다.


뤄원 중국S/W평가센터 주임 겸 중국전자정보산업발전연구원 원장은 “이번 개인정보보호 지침은 지난해 정식으로 정부의 심사·평가를 통과했으며 국가표준으로 허가해 달라고 보고했다”고 밝혔다.


뤄원 원장은 “조만간 이 지침에 대한 국가표준 허가 발표가 나올 예정이며 올해 이 지침이 국가표준으로 제정됨으로써 개인정보보호의 체계가 넓어지길 바란다”고 덧붙였다.


공업·정보화부 안전협조사(司)의 어우양우 부사장은 “이 지침은 업계의 자율적인 개인정보보호에 매우 좋은 참고가 될 것이다”고 밝혔다. 황즈허 중국S/W평가센터 상무부주임도 이 지침이 중국에서 첫 ‘개인정보 보호’ 전문 국가표준이 될 것이라고 의미를 부여했다.


앞서 공업·정보화부가 주도한 ‘전국 정보보안 표준화 기술위원회’(위원장 양쉐샨 공업·정보화부 부부장)은 지난해 ‘개인정보보호 지침’ 문건을 내놓았다. 중국 정부가 개인정보보호를 위해 국가표준을 제정키로 한 것은 최근 들어 대량의 개인정보 누출 사건이 부쩍 늘면서 사회 문제화하고 있기 때문이다.


이번 ‘개인정보보호 지침’은 기업 등의 개인정보의 처리에 대해 △수집 △가공 △이전 △삭제 등 4개 주요 부분을 포함하고 있으며 개인정보보호의 원칙을 제시하고 있다. 원칙은 △분명한 목적 △최소한으로 사용 △공개적으로 통지 △당사자 동의 △품질 보증 △안전 보장 △성실한 이행 △분명한 책임 등 8개 항을 담고 있다.


이 중 ‘최소한으로 사용’ 원칙은 개인 정보를 얻을 때 사용 목적에 필요한 정보만을 요구해야 한다는 것이다. 황즈허 센터 부주임은 “예컨대 일부 웹 사이트들은 필요 이상으로 이용자에게 집 주소, 이동전화 번호와 같은 많은 정보를 기입하라고 하는데 이는 ‘최소한으로 사용’ 원칙에 부합하지 않는다”고 지적했다.


또 ‘안전 보장’ 원칙은 개인정보 관리자가 개인정보를 수집한 다음, 개인정보 보호 제도를 반드시 마련해야 하고 책임자와 내부관리자 계통을 분명히 해야 하며 개인정보 누출의 위험에 대해 책임을 져야 한다고 강조하고 있다.


이와 관련 가오츠양 중국SW평가센터 부주임은 “개인정보 누출 가운데 70~80%는 내부에서 범죄를 저질러 발생한다”며 “이는 ‘안전 보장’ 원칙을 지키지 않아 일어난다”고 지적했다. 가오 부주임은 이어 “일부 기업들은 대량의 개인정보를 갖고 있으면서도 관리 제도를 갖추지 않고 있다’면서 “이 때문에 일부 내부 직원이 권한을 받지 않고 고객정보를 손에 넣을 수 있다”고 덧붙였다.


또한 이번 ‘개인정보 보호 지침’에 따르면 기업·기관들은 개인정보 수집 단계에서 고지한 ‘사용 목적’을 이룬 후에는 즉시 해당 개인정보를 지워야 한다.


“개인정보보호 지침, 강제성 표준 아니다”

이번 ‘개인정보 보호 지침’은 강제성 표준이 아닌데다 ‘추천성’ 표준도 아니라는 점에서 각계의 우려를 낳고 있다. 구속력이 약해질 수 밖에 없기 때문이다. 따라서 이 지침이 국제표준으로 제정되더라도 기업에 영향력을 끼칠 지는 당분간 지켜봐야 할 것으로 관측된다.


황즈허 중국S/W평가센터 상무부주임은 “이 지침은 국가의 강제성 표준이 아니며 이 국가표준은 ‘기술 지도 문건’에 속한다”고 확인했다. 중국에서 국가표준은 크게 3가지로 나눠진다. 즉 강제성 표준, 추천성 표준, 그리고 지도성 기술 문건이다. 가장 수위가 높은 강제성 표준은 중국 사회의 큰 병폐로 지적되는 식품 안전 분야에 주로 적용되고 있다.


황즈허 센터 상무부주임은 “표준은 정부 기관 등 공공관리를 행사하는 직능 외의 각종 조직과 기업에 적용되며 특히 통신·의료 등 개인의 정보가 비교적 많은 서비스 기업들에 적용된다”고 설명했다.


“中 현재 법규로 개인정보 유출 막기 어려워”

현재 중국의 개인정보보호와 관련한 법규들은 불법적인 개인정보 유출 사고를 막고 정보를 보호하는 데 부족하다는 지적이 지배적이다. 공업·정보화부 전자과기정보연구소의 류쥬루 부소장은 “현재 중국에 약 40건의 법률을 비롯해, 30여건의 법규, 약 200건의 규정이 개인정보 보호와 관련돼 있으며 여기에는 인터넷 정보 규정, 의료 정보 규정, 개인정보 관리방법 등에 대한 규범도 들어 있다”고 밝혔다.


류쥬류 부소장은 이어 “개인정보에 관한 법률·법규는 적지 않지만 내용은 분산돼 있는 편이며 법률·법규 등급도 낮은 편이다”고 평가했다. 이와 관련, 중국 개인정보 입법의 상징으로 평가 받고 있는 형법수정안(7조, 2009년)는 ‘공민 개인정보 불법 판매·제공 죄’, ‘공민 개인정보 불법 획득죄’와 같은 죄명을 확정했다.


이로써 처음으로 공민 개인정보를 형법 보호 범주에 넣었으며 공민 개인정보의 누출·절취·판매 행위에 대한 형사 책임을 규정했다. 하지만 중국의 많은 법률 전문가들은 이 형법이 범죄의 구체적 범주를 확정하는 표준을 분명히 하지 않았다며 이 조항에는 여전히 개선해야 할 여지가 많다고 지적하고 있다. 또한 법률 가운데 정보 누출자에 대한 처벌 기제도 부족하다는 지적이다.


베이징과기대학 경영학부 메이샤오주 교수는 “지난해 말 600만 여명 이용자 정보 유출 사고가 일어난 ‘CSDN’ 사이트에 대한 처벌은 단지 행정 경고뿐인데 이는 너무 가볍다”며 “이 같은 처벌은 구속력이 거의 없다”고 지적했다.


지난 12월 중국 최대 S/W 개발자 커뮤니티인 ‘CSDN’내 이용자 600만 여명의 이름과 비밀번호가 유출된 사건이 발생했으며, 경찰이 최근 범인들을 붙잡았다. 또한 지난 2009년 통과된 ‘권익 침범 책임법’은 이른바 ‘인육검색’(네티즌들의 특정 인물에 대한 신상 털기)이 피해자 권리를 침범한다고 명시했다. 인터넷 사이트의 경우 피해자가 제출한 차폐·삭제 요구를 무시하게 되면 연대 책임을 지게 된다.


하지만 이에 대해 중국사회과학원 법학연구소의 저우한화 연구원은 “중국 ‘형법’과 ‘권익 침범 책임법’은 모두 ‘사후 구제’에 속하는데 온라인 시대에서는 온라인 안전과 개인정보에 관해 모든 과정에서 감독 관리를 진행해야만 더욱 효력이 있게 된다”고 지적했다.


정부 ‘개인정보보호법’ 입법 속도 낼 것

중국 정부가 이번에 개인정보 보호를 위해 국가표준을 제정키로 했지만 ‘개인정보 보호법’ 제정은 아직까지 별다른 진전을 보지 못하고 있다. 최근 대량의 개인정보 유출·판매·전파 사건들이 늘어나면서 개인정보보호법을 신속히 제정할 것을 정부에 요구하는 각계의 목소리가 커지고 있는 실정이다.


양쉐샨 공업·정보화부 부부장(차관)은 “지난 2003년 4월 당시 국무원 정보화사무실이 개인정보 입법 연구과제에 대해 전문적으로 검토에 나선데 이어 2005년 ‘개인정보 보호법’ 전문가 의견이 제출됐었다”고 밝혔다. 하지만 이들 입법 건의는 지금까지 정식 입법 절차에 들어가지 못했다고 양 부부장은 덧붙였다.


당시 ‘전문가 의견’에 참여했던 메이샤오주 베이징과기대학 경영학부 교수는 “당시 국무원 정보화사무실에서 해당 문건을 국무원 법제사무실에 보고했지만 정식 입법 절차에 들어가지 못한 원인은 무엇보다 긴박성 면에서 이 문제를 크게 주목하지 않은 때문이다”고 지적했다.


메이샤오주 교수는 “현재 중국에서 개인정보 누출과 절취, 개인 프라이버시 침범, 개인정보 불법거래 사건이 갈수록 심해지고 있고 이는 전체 사회 경제 활동에 영향을 끼칠 수 있다”고 지적하고 “하지만 일부 부서나 기관에서 이 문제를 그다지 긴박한 문제로 판단하지 않고 있는 것으로 보인다”고 덧붙였다.


이런 가운데 양쉐샨 부부장은 최근 “(개인정보보호법) 입법에 속도를 내겠다”고 밝혔다. 양 부부장은 “반드시 법적 각도에서 규범화 해야만 개인정보보호의 실행 업무가 법률상에서 근거를 갖게 된다”며 이 같이 밝혔다. 양 부부장은 이어 “정부와 각계에서 개인정보 입법을 위한 정식 절차에 속도를 내기 위해 노력하고 있다”며 “특히 현재 개인정보 보호는 사회 절박한 문제가 됐기 때문에 입법 과정도 빨라질 것이다”고 강조했다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>