‘개인정보 침범 형사사건 단속·처리에 관한 사법해석’ 발표, 이달부터 실시
개인정보 침범 범죄 관련 양형 기준 처음으로 명확히 해
7월 시행 ‘사이버 보안법’도 개인정보 불법 매매 처벌 규정 담아

[보안뉴스 온기홍= 중국 베이징] 중국 상하이시 질병예방통제센터에서 일하는 한 직원은 얼마 전 상하이시 전체 신생아 정보들을 몰래 빼냈다. 이 직원이 불법으로 훔친 신생아 정보는 30만여 건에 달했다. 그는 인터넷과 SNS에서 신생아 정보를 팔았다. 일부 불법조직은 인터넷을 통해 신생아 개인정보 1만여 건을 샀다.


중국에서 최근 정부와 기업들이 국민 개인정보를 수집하고 이용하는 일이 많아지고 있는 동시에 개인정보 유출 위험도 커져가고 있다. 정보 불법 유출로 야기되는 사건들도 많이 일어나면서 사회 문제화하고 있다. 이에 따라 중국 법원과 검찰은 ‘공민 개인정보 보호’를 목표로 내걸고 불법 개인정보 절취·판매 행위에 대한 처벌을 강화하기로 했다.

중국 최고인민법원과 최고인민검찰원은 이달부터 ‘공민 개인정보 침범 형사사건의 단속·처리에 관한 사법 해석’(이하 사법 해석)을 발표하고 정식 시행에 착수했다. 이번 사법 해석은 개인정보 침범 범죄에 대한 판결과 양형의 첫 명확한 표준이라고 두 기관은 밝혔다.

아울러 6월 1일부터 정식 실시된 ‘중화인민공화국 사이버 보안법’도 개인정보 보호 강화와 개인정보 불법 매매 처벌에 대한 규정을 담고 있다. 빅데이터 시대에 들어서면서 개인정보 보안·보호는 피할 수 없는 추세이며 중국은 법률 부분부터 시작해 공민 정보 보호네트워크를 짤 것이라고 두 기관과 중국 매체들은 전했다.

“개인정보 불법 매매 범죄 관련 양형 기준 명확히 해”
최근 궈슈앙사법 빅데이터 센터가 중국 재판문서 사이트에서 2013~2016년 공민 개인정보 침범류와 관련된 형사 사건에 대한 데이터를 분석한 결과, 개인정보 침범류 형사사건은 이 기간 5배 가까이 급증한 것으로 나타났다. 이를 놓고 볼 때, 이번에 ‘사법 해석’과 ‘사이버 보안법’의 정식 시행은 제때 이뤄졌다고 중국 전문가들은 평가했다.

최고인민법원과 최고인민검찰원이 이달 내놓은 ‘사법 해석’의 효력이 발생한 직후, 개인정보 불법 매매 사건 관련 첫 판결이 저쟝성 원저우시 용쟈현 인민법원에서 나와 관심을 모았다.

이 사건의 피고인 판 모씨는 2015년 11월부터 중국 온라인 메신저인 ‘QQ’에서 채팅을 통해 공인 개인정보를 구매·교환·수집하고, 이를 판매한 것으로 드러났다. 판 모씨의 자백에 따르면, 사건 발생 이후 지금까지 그가 판매한 개인정보는 20만 건에 달했다. 이 정보들은 이름, 신분증 번호, 차량 번호, 주소, 직업 등을 담고 있다. 판 모씨는 이를 팔아 2만 위안을 챙겼다. 판 모씨는 이달 열린 법정 공개 심리에서 공민 개인정보를 침범한 것이 인정돼 3년 4개월의 징역형과 5만 위안의 벌금형을 선고 받았다.

중국에서는 이름, 신분증 번호, 연락처, 주소, 금융 계좌 비밀번호, 재산 상황, 과거 행적 등은 모두 법률의 보호를 받는 공민 개인정보로 보고 있다. 공민 개인정보는 전자 또는 기타 방식으로 기록되고 단독 혹은 기타 정보와 결합해 특정 자연인의 신분을 식별하거나 특정 자연인의 활동 상황을 알 수 있는 각종 정보다.

쉬쟨위 용쟈현법원 부원장은 “형법 수정안(9)은 공민 개인정보 침범죄의 최고 형기를 7년으로 규정하고 있는데, 하지만 이전에는 ‘경위 엄중’과 유죄 요건이 무엇인지 명백하지 않은데다 원칙성 규정에 속하고 적용 기준도 통일되지 않아 사건 처리에 영향을 끼쳤다”고 지적했다. 그러나 이번 ‘사법 해석’은 ‘경위 엄중’과 ‘경위 특히 엄중’에 대해 명확하게 규정하고 있다고 그는 덧붙였다.

이번 ‘사법 해석’은 ‘경위 엄중’에 대해 ‘불법 소득 5,000위안 이상’ 등 10개 항의 인정 기준을 구체적으로 정했다. 동시에 여러 유형의 공민 개인정보의 중요 정도에 근거해 여러 기준을 마련했다.

예컨대 과거행적 정보, 통신 내용, 신용조회 정보, 재산 정보 등을 50건 이상 판매·제공한 경우 ‘경위 엄중’으로 판정했다. 또 숙박 정보, 통신 기록, 건강 생리 정보, 금융 거래 정보 등 사람·재산 안전에 영향을 끼칠 수 있는 기타 공민 개인정보의 경우에는 기준이 500건 이상이다. 기타 공인 개인정보에 대해서는 기준이 5,000건 이상이다.

이어 ‘경위 특히 엄중’의 정보 수량과 액수 기준은 ‘경위 엄중’의 10배로, 각각 500건, 5,000건, 5만 건이다. 피해자 사망, 중상, 정신 이상 또는 납치 등 심각한 결과 및 중대 경제 손실, 사회 악영향 등을 야기한 경우는 ‘경위 특히 엄중’의 범주에 포함된다.

시앤지에 최고인민검찰원 법률정책연구실 부주임은 “판결과 양형 기준의 확인, 법률의 통일, 정확한 실시는 공민 개인정보 침범 범죄를 엄하게 단속하기 위한 유력한 법률 무기를 제공했다”고 설명했다.

이번 ‘사법 해석’에서 눈에 띄는 또 다른 점은 개인정보 침범 범죄의 벌금 적용 규칙이다. 개인정보 침범 범죄는 위해 정도, 불법 소득 액수, 피고인의 전과 상황, 죄를 인정하고 뉘우치는 태도 등을 종합적으로 고려하며, 법에 의거해 판결을 내리고 벌금을 부과해야 한다고 이번 사법 해석은 규정하고 있다. 벌금 액수는 일반적으로 불법 소득의 1배 이상에서 5배 이하다.

션쿼 베이징사범대학 형사법률과학연구원 겸 법학원 부교수는 “이번 사법 해석이 공민 개인정보 침범 범죄행위 단속에 대해 명확한 사법 적용 기준을 제공했다”며 “멀리 봤을 때 공민 개인정보 침범 범죄행위의 발생을 유효하게 억제하고 감소시킬 것”이라고 말했다.

“일부 인터넷업체, 개인정보 감독관리 느슨해...불법세력에 ‘백도어’ 제공하는 셈”
중국에서도 모바일 인터넷의 발전에 따라 정보를 수집하는 경로는 오프라인에서 온라인으로 향해 가고 있다. 정보 수집의 장소와 방식도 나날이 많아지고 있다. 이는 개인정보 안전이 더 큰 위험에 직면하게 만들었다.

황뎬중 중국정보보안측정평가센터 전문가위원회 부주임은 “빅데이터 시대에 쇼핑 소비, 온라인 채팅 등 사소한 일이든지 주택 구매, 결혼, 자녀 출산 등 인생 대사든지 모두 ‘데이터 발자취’로 남는 게 불가피해졌다”며, “일단 이들을 한데 모아 취합하면 민감한 정보로 빠르게 환원되고 개인 프라이버시가 드러나게 된다”고 지적했다.

중국 일부 인터넷 운영업체들은 많은 공민 개인정보를 수집하고 있지만. 기술 낙후, 관리 소홀 때문에 정보의 감독관리가 느슨하고 심지어 제어하지 못하는 상태에 놓여 있다. 이는 불법 세력에게 ‘백도어’를 제공한 셈이 되고 있다. 개별 인터넷 회사의 내부 직원은 심지어 자기가 관리하는 정보를 몰래 빼내 제 3자에게 불법 매매함으로써 사기, ‘피싱’ 등 불법 범죄 현상을 일으키고 있다.

중국 정보보안업체인 치후360이 발표한 데이터에 따르면, 올해 제1분기 중국에서 이동전화 방해·보이스피싱류 전화 건수는 전년 동기 대비 65.8% 증가했다. 그만큼 방해·보이스피싱류 전화 및 금전 사기는 이동전화기 사용자의 안전을 위협하는 양대 요인이 됐다.

실제 중국인터넷협회의 보고에 따르면, 지난해 중국 대륙 누리꾼들이 개인정보 유출 등으로 입은 경제 손실액은 모두 합해 약 915억 위안에 달했다. 중국 전문가들은 최근 몇 년 사이 온라인 범죄가 이익화·산업화·집단화로 변모하고 있으며, 체계화·전문화 추세를 띠고 있다고 평가했다.

네트워크 운영업체, 정보망 보안관리의무 및 직원의 정보 절취·유출 방지 강화
중국은 이번 ‘사법 해석’과 ‘사이버 보안법’에서 정보 유출의 각종 경로를 겨냥한 요구를 내놓았다. 이를 통해 정보 유출 경로의 취약점을 막겠다는 목표다. 먼저 네트워크(인터넷) 운영업체들의 기술 수준 부족, 관리 미숙으로 정보의 ‘수동적 유출’이 초래되는 것에 대해, ‘사이버 보안법’은 네트워크 운영업체들의 문턱을 높였다. 사이버 보안법(제23조)은 네트워크 핵심 설비와 네트워크 보안 전용 제품은 반드시 유관 국가 기준의 강제성 요구에 따라야 하며 보안 인증 또는 검사를 거친 후에야 비로소 판매 또는 제공될 수 있다고 규정했다.

네트워크 운영업체의 보안책임도 명확히 했다. 사이버 보안법(제25조)은 네트워크 운영업체는 반드시 네트워크 보안 사건에 대한 응급 대응책을 제정하고, 시스템 취약점, 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 등 보안 위험을 즉시 처치해야 한다고 규정하고 있다.

이번 ‘사법 해석’도 인터넷 서비스 제공업체가 정보 네트워크 보안관리의무를 이행하지 않아 공민 개인정보 유출을 일으키고 엄중한 결과를 초래할 경우 정보 네트워크 보안관리의무 불이행죄로 처벌을 받게 된다고 명시했다.

또한 네트워크 운영회사 관계자의 데이터 판매와 경제이익 획득 같은 ‘능동적 유출’과 관련, 사이버 보안법(제27조)은 타인이 네트워크 보안을 해치는 활동을 하고 있다는 것을 분명히 알게 됐을 경우, 그에게 기술 지원, 광고 확산, 금전 지불 결제 등 도움을 제공해서는 안 된다고 규정하고 있다.

이번 사법 해석도 네트워크 회사의 이른바 ‘내부 범법자’를 엄중히 단속하고 내부 직원의 정보 절취와 외부 유출을 방지해야 한다고 강조했다. 사법 해석은 직책 이행 또는 서비스 제공 과정에서 획득한 공민 개인정보를 판매하거나 타인에게 제공할 경우, 수량 또는 액수가 ‘사법 해석’이 규정한 유관 기준의 절반 이상에 달하면 형법에서 규정한 ‘경위 엄중’으로 인정돼 범죄를 구성한다고 명시했다.

개인정보 수집·개발·이용 중 존재하는 유출 위험과 관련, 사이버 보안법(제41조)은 네트워크 운영업체가 개인정보를 수집·사용하는 과정에서 합법·정당·필요한 사용원칙, 공개 수집·사용 원칙을 따라야 한다고 규정했다. 또 정보의 수집·사용 목적과 방식, 범위를 명시해야 하며, 정보 수집 대상자의 동의를 거쳐야 한다고 강조했다. 업체는 제공 서비스와 무관한 개인정보를 수집해서는 안 된다.

“개인정보 보호 위한 입체적 방공 체계 구축해야”
중국에서도 최근 빅데이터는 외부 이동, 환경보호, 건강 등 방면에서 사람들의 생활에 많은 편리함을 제공하고 있으며 정부의 관리와 서비스에도 근거를 제공하고 있다. 이와 동시에 데이터의 위험도 따라오고 있다는 게 전문가들의 지적이다.

전문가들은 정부 기관이 빅데이터 수집, 저장, 처리, 이용 과정에 대한 규제와 단속을 반드시 강화해야 한다고 강조하고 있다. 전문가들은 “개인 데이터의 보호망을 짜는 것은 빅데이터 관리 과정에서 회피할 수 없는 도전과 과제”라며, “공민 개인정보 보호를 위한 입체화된 방공 체계를 구축해야 한다”고 목소리를 높이고 있다.

이와 관련해 중국 공업정보화부는 지난 5월 온라인 데이터 보안관리 체계를 건립해 이용자 개인정보 보호를 강화하고 데이터와 개인정보 유출 공고와 보호 기제를 갖출 계획이라고 밝혔다. 창의적 방비 차단 기술과 온라인 보안 핵심 관건 기술 방면에서 성과를 거둬 정보보안 보호를 강화하겠다는 목표다.

천쟈오숑 공업정보화부 부부장(차관)은 온라인 데이터 보안관리체계 건립, 이용자 개인정보 보호 강화, 데이터와 개인정보 유출 공고 및 보고 기제 건립 등 세 방면을 중점적으로 추진해 온라인 데이터와 이용자 정보 보호를 대대적으로 강화하겠다고 말했다.

또한 전문가들은 “정보 네트워크와 핵심 영역의 중요 정보시스템의 데이터 보호를 강화해야 하며, 빅데이터 사용 중 각 주체들의 권한과 책임 의무를 명확하게 해야 한다”고 건의하고 있다. 이어 빅데이터 남용, 개인 프라이버시 침범에 대한 처리와 징계도 강화해야 한다고 덧붙였다.

쟈덩쉰 란저우대학 법학원 교수는 “개인정보 보호 실현을 위해서는 신고 기제와 보완 조치를 완전하게 갖추는 게 필요하다”며 “더욱 간편한 온라인 신고와 접수 제도를 마련해 정보 유출자들이 숨을 곳이 없게 만들어야 한다”고 말했다.

이와 함께 전문 기금을 마련해 정보 권리 침해 사건의 피해자에게 우선 배상금을 지불한 뒤 유출자에게 책임을 추궁해야 한다고 전문가들은 건의했다. 앞서 지난 3월 열린 최대 정치 행사인 ‘양회’ 기간에 정식 통과된 민법 총칙은 개인정보 보호 원칙도 분명히 했다. 처음으로 민사 기본법 차원에서 개인정보권을 제시했으며, 개인정보 보호의 기본행위 규범을 명확히 했다.

중국내 학자와 전문가들은 다음 단계에서 시스템적인 공민 개인정보 보호 법률 체계 형성을 추진하고 전문적인 개인정보 보호법을 제정하며 유관 법률 기준과 규정을 통일하면서 공민 개인정보 보호의 주체의 책임을 명확히 해야 한다고 건의했다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>