[참고자료]중국 APP을 통한 개인정보 수집이용 자체평가지침 발표(법무법인(유한) 태평양 9.14)
중국 APP을 통한 개인정보 수집이용 자체평가지침 발표
- 네트워크 안전 기준 실행 지침
1. 중국의 APP 개인정보보호 관련 현황
2016년 11월 7일 발표된 <중화인민공화국 네트워크안전법>(이하 “네트워크안전법”)에 따라 중국의 네트워크(인터넷) 안전보호와 개인정보보호에 관한 체계적 규율이 시작되었습니다. 특히 9억명에 육박하는 중국 네티즌 중 99% 이상이 모바일 애플리케이션(이하 “APP”)을 통해 인터넷을 이용하고 있고 APP관련 불법행위가 크게 이슈화 되고 있는 현황을 감안하여, 2019년 중국 중공중앙 네트워크안전 및 정보화위원회 판공실(中国中共中央网络安全和信息化委员会办公室), 중화인민공화국 공업 및 정보화부(中华人民共和国工业和信息化部), 중화인민공화국 공안부(中华人民共和国公安部) 및 국가시장감독관리총국(国家市场监督管理总局)은 중국 전역을 대상으로 APP을 통한 개인정보 수집이용에 관한 불법행위에 대한 특별관리를 실시하기로 하였고 이에 “APP특별관리업무소조(APP专项治理工作组)”를 조직하였습니다. APP특별관리업무소조는 2019년 1년간 (이하 “APP불법행위판정방법”), (이하 “2019년 자체평가지침”) 등 기준규범을 잇따라 제정 및 발표하였습니다.
또한 전국정보안전표준화기술위원회는 7월 25일 (이하 “2020년 자체평가지침”)을 발표함으로써, APP을 통한 개인정보 수집이용에 관한 불법행위를 점검하고 관리하기 위하여 보다 상세한 가이드라인을 제시하였습니다.
2. 2020년 자체평가지침 발표 이전의 규제상황
<네트워크안전법> 제41조에 의하면 네트워크 사업자는 개인정보의 수집이용에 있어 반드시 (1) 적법, 정당, 필요의 원칙을 준수해야 하고, (2) 개인정보 수집이용규칙을 공개해야 하며, (3) 개인정보 수집이용의 목적, 방법 및 범위를 명시해야 하며, (4) 개인정보주체의 동의를 받아야 한다고 규정하고 있고, 동법 제42조상 네트워크 사업자는 (5) 개인정보주체의 동의가 없는 한 타인에게 개인정보를 제공할 수 없다고 규정하였으며, 동법 제43조에 따르면 (6) 개인이 네트워크 사업자의 개인정보 수집이용에 관한 불법행위를 발견하면 해당 개인정보 삭제를 요구할 수 있고, 수집 및 저장된 개인정보에 오류가 있을 경우 정정할 것을 요구할 수 있다고 규정하였습니다.
<2019년 자체평가지침>은 APP 사업자들에게 개인정보 수집이용관련 불법행위의 존재여부를 자체점검 후 시정할 수 있도록 (1) 개인정보처리방침에 대한 요구사항, (2) 개인정보 수집이용 행위에 대한 요구사항, (3) 이용자 권리보장에 관한 요구사항 별로 총 32개의 평가요점을 제시하였습니다. 또한, 에서는 <네트워크안전법> 제41조, 제42조 및 제43조의 규정에 기하여 위 6가지 불법행위에 해당되는 경우를 각각 구체적으로 나열하는 방식으로 관련기관의 법률집행과 관련하여 보다 자세한 판단기준을 마련하였습니다. 즉 <2019년 자체평가지침>에서 주로 APP 사업자로서 지켜야 하는(Do) 요점들을 규정하였다면, 에서는 APP 사업자가 하지 말아야 하는(Don’t)는 행위들을 규정한 것입니다.
3. 2020년 자체평가지침의 주요내용
<2020년 자체평가지침>은 및 <네트워크안전법>의 내용에 따라 개인정보보호의 활용주기(즉 개인정보의 수집이용으로부터 개인정보의 공유 및 이용자 권리보장까지) 전반에 거쳐 APP 사업자가주의해야 할 요점들을 정리하여 제시하였고, 그 내용면에서는 대부분 <2019년 자체평가지침>상 관련 규정을 참조하여 보다 구체적으로 정하였으며, 평가요점 별로 예시를 추가함으로써 그 집행 기준을 구체화하였습니다. 이하에서는 <2020년 자체평가지침>의 목차순서에 따라 및 <2019년 자체평가지침> 대비주요 변경사항에 대해 살펴보도록 하겠습니다.
(1) 평가요점1: 개인정보 수집이용규칙의 공개여부
이 부분에서는 (i) “아동개인정보 수집이용에 관한 업무제공 시, 아동에 관한 개인정보보호규칙 제정”을 신설하였는바, 이는 최근 온라인을 통한 교육열풍으로 교육용 APP 사용의 급증 및 관련 불법행위 속출에 따른 실무현황을 반영한 것이고 2019년 10월 1일부터 실행된 <아동개인정보인터넷보호규정>상의 요구사항을 반영한 것입니다. 제품을 구매하거나 서비스(온라인 게임 등)를 이용하는 아동의 개인정보를 수집하려는 기업도 이에 유의하여야 할 것입니다. 또한, (ii) 웹 페이지의 고정된 위치에 개인정보처리방침(隐私政策)을 게시하도록 요구하는 한편, 주석으로 “개인정보처리방침 최초 게시 시 해당 개인정보처리방침의 조회방법 또는 경로를 설명할 것”을 권장하면서 이용자가 개인정보처리방침을 쉽게 찾아볼 수 있도록 요구하였습니다. 이 밖에도 (iii) APP 사업자가 이용자의 초상화, 개인프로필(个性化展示) 등을 취급하게 될 경우 그 사용처 및 이로 인해 이용자권익에 초래될 영향에 대해 설명하도록 하는 내용을 신설하였습니다.
(2) 평가요점2: 개인정보 수집이용의 목적, 방법 및 범위의 명시여부
개인정보의 수집이용 과정에, (i) APP 사업자가 직접 Cookie 등 기술을 이용하여 개인정보를 수집하는 경우와 제3자 코드 또는 플러그인(plug-in)을 삽입하여 개인정보를 수집하는 경우를 구분하여 각각 이용자에게 명시해야 하고, (ii) 이용자에게 개인정보 수집권한의 부여를 요청하거나(위치추적, 연락처, 사진 등에 대한 접근) 민감한 정보의 제공을 요청할 때에는, 명확한 방식으로 그 수집이용의 목적을 함께 명시해야 한다고 규정하였습니다. 즉 APP 사업자는 개인정보처리방침에 의한 개인정보 수집이용의 목적, 방법 및 범위를 명시해야 할 뿐만 아니라, 위 개인정보를 수집함과 동시에 구체적 내용에 대해서는 별도로 팝업창 등방식을 취해 이용자가 명확하게 알 수 있도록 보장해야 할 것입니다.
(3) 평가요점3: 이용자 동의 후 개인정보를 수집이용 할 수 있는지 여부
APP 사업자가 개인정보 수집이용에 대한 동의를 받는 것과 관련하여, (i) “다음 단계”, “로그인”, “로그인시 동의(登录即代表同意)” 등 방법으로 이용자의 동의를 받을 때, 명확한 방법으로 개인정보처리방침 등을 게시해야 할 뿐만 아니라, 위 행위와 개인정보처리방침 동의여부 간의 관계를 명확히 제시하여 이용자로 하여금 자율적으로 개인정보처리방침에 대해 확인한 후 동의할 수 있도록 해야 합니다. 또한, (ii) 이용자가 개인정보 수집에 대한 동의를 취소할 때 서비스제공에 대한 영향을 명시하여야 하는바, <2019년 자체평가지침>에서 “거절 시 개인정보의 제공을 거절한 것과 관련된 업무기능에만 영향을 줄 것”으로 규정한 것과 달리 <2020년 자체평가지침>에서는 제공을 거절한 개인정보가 다른 서비스제공의 필수요건인지 여부에 따라 기타 서비스의 계속 제공여부를 결정할 수 있도록 허용하였습니다.
(4) 평가요점4: 필요원칙에 따라 제공서비스와 관련된 개인정보만 수집해야 하는지 여부
이 부분에서는 (i) 최근 APP분야 관련 실무추세에 비추어 “회원가입 없이 사용할 수 있는 서비스의 경우 (열람전용, 게스트모드 등), 이용자가 해당 서비스 외의 개인정보 수집행위에 대한 동의를 거부하더라도, 이용자가 열람전용 등 기능을 사용하는 것에 대해 영향을 미쳐서는 아니 된다”고 규정하였고, (ii) 중 “개인정보 수집빈도 등은 업무기능의 실제 필요를 초과하지 말아야 한다”는 규정에 이어 “APP이 실행되지 않거나 백그라운드 상태로 실행될 때 특별한 사유가 없는 한 개인정보를 수집하지 말아야 한다”, (APP사업자는) “이용자가 제3자 APP에 접속할 때 무단으로 제3자 APP이 수집한 개인정보를 확보(截留)하여서는 아니 된다”고 규정함으로써 개인정보의 “수집 빈도”에 대해 보다 구체적인 기준을 제시하였습니다.
(5) 평가요점5: 이용자 동의 후 제3자에게 개인정보를 제공해야 하는지 여부
제3자에게 개인정보를 제공하는 것과 관련하여 (i) “직접 제3자에게 개인정보를 제공”하는 경우와 “서버를 통해 제3자에게 개인정보를 제공”하는 경우로 구분하여 각각 별도로 이용자의 동의를 받도록 규정하였고, (ii) 어떠한 APP을 통하여 제3자 APP에 접속해야 할 경우, 그러한 APP 사업자는 제3자 APP의 개인정보 수집행위의 적법성, 정당성, 필요성 등에 대해 심사한 후 “관련 업무기능은 제3자 APP이 제공한다”라는 점을 명확히 표기하여 이용자로 하여금 제3자 APP의 개인정보수집규칙에 유의할 수 있도록 할 것을 권장하였습니다.
(6) 평가요점6: 이용자 권리보장 관련
인터넷의 신속한 발전으로 통신방법 및 알림방법(提示方式)에도 많은 변화가 발생한 점을 감안하여, <2019년 자체평가지침>과 비교하면 이용자의 신고방법과 관련하여 “팩스”, “서신”, “전화” 등을 통한 신고내용이 삭제되고 “인스턴트 메세징 계정(IM)”, “팝업창” 등 방법이 추가되었습니다.
4. 시사점
APP 특별관리업무소조에 의한 중국내 각종 APP 관련 불법행위 단속이 보편화되고 향후 “개인정보”, “데이터” 등에 대한 관리감독이 보다 강화될 것으로 예상됩니다. 및 <2019년 자체평가지침>에 이어 금번 <2020년 자체평가지침>은 기술적, 집행가능성 측면에서 보다 명확한 기준을 제시하고 있으므로, 중국 소비자를 상대로 APP을 운영하는 기업들은 이러한 최신 법률 규제 동향에 따라 개인정보의 수집, 사용, 처리 등 전 과정에 걸쳐 compliance를 점검해야 할 것입니다.
|
