By MATT BURGESS, WIRED US

중국 내 인터넷 사용자 9억 8,900만 명은 디지털 프라이버시에 익숙하지 않지만, 이제는 달라질 듯하다. 2021년 11월 1일, 중국 최초 포괄적인 데이터 프라이법의 효력이 시행되면서 소비자 수억 명에게 주어진 보호 수준이 강화됐다. 해당 법률은 중국 기업의 사업 방식을 재구성하면서 세계 각지에 상당한 파급 효과를 전할 것이다.

개인정보 보호법(PIPL)의 형태로 시행된 새로운 법률은 기업과 개인 모두 데이터로 개인정보를 다루는 방식을 더 엄격히 제한한다. 개인정보 보호법은 중국이 그동안 위챗 운영사인 텐센트와 틱톡, 더우인(Douyin) 등의 모기업인 바이트댄스 등 자국 테크 업계 대기업의 통제되지 않은 성장세를 장악하려는 가장 최근 급격히 이루어진 강력한 일련의 조치이다.

개인정보 보호법이 중국 내 인증되지 않은 데이터 거래, 탈취를 막는 데 도움이 되는 것은 아니지만, 중국 정부의 국가 안보 이익, 최근의 사이버 보안 법률, 데이터 안보법 제정과 밀접한 관련이 있다. 해외 기업은 중국의 개인정보 보호법 시행 대상이 아니다. 중국의 국가 안보를 해쳤다는 이유로 중국 개인 데이터 처리 과정 금지 효력이 발생하게 되는 블랙리스트로 지정돼, 기업 제재와 관련 국제적 보복 조치 발생 위험성이 발생할 일이 없다. 개인정보 보호법 도입 당일 야후는 중국에서 운영하던 일부 서비스를 폐쇄하며, “갈수록 어려운 사업 환경과 법률 환경”을 이유로 언급했다. 2021년 10월, 링크드인도 중국 사업 철수 당시 야후와 같은 우려 사항을 지적했다.

정보기술 업계 위원회 정책 관리자이자 중국의 개인정보 보호법 규정 영문 번역 작업을 진행하는 스탠퍼드대학교 디지차이나(DigiChina) 프로젝트 부편집장인 알렉스 리(Alexa Lee)는 “개인정보 보호법을 자세히 보면, 실제로 개인과 사회, 국가 안보 보호에 초점을 맞추었다. 중국 만의 고유한 정치 체계이기 때문이다”라고 설명했다.
 
중국의 개인 프라이버시 관련 법률은 특정 측면에서 유럽의 포괄적인 개인정보 보호 규정(GDPR)과 닮았다. 개인에게는 중국의 개인정보 보호법 표현 상당수가 GDPR의 표현을 따라 한 것처럼 보이기 때문이다. 그러나 중국의 개인정보 보호법과 유럽연합의 GDPR은 개인이 자신의 정보에 접근해, 개인정보 수정과 삭제 요청을 허용한다. 또, 기업에 개인정보 관리 합의 사항 철회를 요구할 수도 있다. 간혹 중국 법의 표현이 GDPR의 내용과 매우 똑같기도 하다.
 
기업에는 사용자 개인정보 보호를 요구한다. 중국에서 사업을 운영하는 기업은 데이터 보호 관리자를 무조건 채용해야 한다. 이 때문에 데이터 보호 담당 역할 수요에 대한 분노의 목소리가 확산됐다. 또, GDPR 규정을 따라 한 부분 중 하나로 거액의 과징금을 언급할 수 있다. 개인정보 보호법 규정 위반 기업은 최대 5,000만 위안(780만 달러) 혹은 기업 연 매출의 5%를 과징금으로 부과받는다. 2,300만 달러, 기업 연 매출의 4%를 최고 수준의 과징금으로 지정한 GDPR과 거의 똑같은 수준의 벌금이다.

개인정보 보호법을 담당하는 기관은 여러 가지 요소 중 승인된 뉴스 출처 목록을 통제하는 인터넷 규제기관인 중국 국가인터넷정보판공실(CAC)이다. 국가의 지원을 받는 규제기관에 보고한다는 점은 유럽연합 전역에 존재하는 유럽의 독립 데이터 규제기관이 담당하는 GDPR과의 확연히 대비되는 부분이다. GDPR의 법률 집행 속도는 느렸으나 CAC는 법률 위반 기업에 더 엄격하게 대응한다. 2021년 여름, CAC는 현지 차량 공유 서비스 대기업인 디디(DiDi)가 뉴욕 주식상장을 추진할 당시 데이터 관리 관행 검토 인력을 파견했다.

중국의 개인 데이터 관련 법률의 피할 수 없는 결점은 국가가 중국 인민의 개인정보에 접근할 수 있는 지위를 막지 못한다는 사실이다. 중국에 거주하는 이들은 세계에서 가장 심각한 수준의 감시와 검열 대상이 된다. 법무법인 굿윈(Goodwin)의 데이터, 프라이버시, 사이버 보안 전문 파트너인 오메르 테네(Omer Tene)는 “중국 정부의 개인 프라이버시 위협 수준이 더 심각하다. 정부가 개인정보 보호법의 영향을 받을지는 확실하지 않다”라고 말했다.

개인정보 보호법은 중국이 국가 차원에서 집행하고자 하는 광범위한 정치적 목표 반영 방식 측면에서 다른 데이터 규제 법안과 다르다. 테네는 “유럽연합의 GDPR이 근본적인 권리를, 미국의 프라이버시 법률이 소비자 보호를 기반으로 둔다면, 중국의 법률은 국가 안보와 밀접한 관련이 있다. 개인적으로 중국 개인정보 보호법이 국가 안보를 기반으로 한다고 본다”라고 설명했다.

사실, 개인정보 보호법은 중국에 개인 데이터를 보관한 중국 사이버 보안 법률의 요구사항을 확장한 법률이다. 이동통신사와 대중교통 기업, 금융 기업 등 여러 기관을 이미 중요한 정보 인프라로 본다. 그러나 이제는 해당 요구사항이 특정 데이터이면서도 정의할 수 없을 정도로 많은 양의 사용자 데이터를 수집하는 모든 기업에 적용된다. 야후와 링크드인이 중국을 떠난 뒤, 애플은 중국에 남아있는 얼마 되지 않는 거물급 다국적 테크 기업 중 하나가 되었다. 애플은 수익성이 높은 중국 시장에서의 입지를 유지하고자 과거, 중국 정부에 매우 심각한 수준으로 양보했다. 이제는 개인정보 보호법이 애플의 중국 사업에 어떤 영향을 미칠 것인지 확실하지 않다.

법무법인 버드&버드(Bird & Bird)의 중국 파트너인 제임스 공(James Gong)은 중국 이외 국가로 데이터 공유를 원하는 기업도 국가 안보 검토를 시행해야만 한다고 언급했다. 디지차이나가 번역한 별도의 지침에는 해외에 ‘중요한 데이터’를 전송하는 기업을 포함한 광범위한 기업이 국가 안보 검토 대상이 될 것이라는 점이 명시됐다. 중국 안팎에서 사업을 운영하는 규모가 큰 기업이 국가 안보 검토 과정에서 사라질 수 있다.

기업은 국가 안보 검토의 한 과정으로 기업과 데이터를 받은 해외 협력사 간의 연락 정보를 제출하고, 자체 평가를 마쳐야만 한다. 해외로 데이터를 전송한 이유와 해외로 전송한 데이터 종류 및 위험성을 구체적으로 설명한 내용도 포함돼야 한다. 공은 개인정보 보호법이 요구하는 국가 안보 검토의 모든 요구사항을 합하면, 중국에서 사업을 운영하는 기업에 어느 정도 불확실성이 생겨날 수 있다고 분석했다. 이어, “현재의 사업과 운영 방식, IT 구조, 관련 비용 모두 개편하는 것을 고려할 필요가 있을 것”이라고 덧붙였다.

개인정보 보호법이 중국 기업의 데이터 관리 방법을 개선할 수밖에 없도록 만들 수 있어도 마찬가지로 세계 각지의 포괄적인 데이터 규정에도 영향을 미칠 수 있다. 중국 법률과 유럽연합의 GDPR, 미국 법률의 프라이버시 접근 방식 모두 핵심 차이점이 있다. 리는 “중국 법률은 그저 정치적 전망일 뿐이다. 세계 다른 국가의 프라이버시 법안에서는 찾아볼 수 없는 사항이다”라고 말했다.

중국의 개인정보 보호법과 법률 옹호 세력, 정치적 영향력 행사 시도가 가장 큰 영향을 미치는 부분은 여전히 자체 데이터 보호 정책을 고안 중이거나 디지털 시대에 맞추어 개정하고자 하는 다른 여러 국가의 행보이다. 리는 “아시아의 다른 여러 국가가 자국 데이터 보호법을 통해 중국의 데이터 현지 관리 조치라는 접근 방식을 따를 가능성을 우려한다. 인도와 베트남의 프라이버시 법률 초안 모두 중국과 어느 정도 비슷한 접근 방식을 제안한 것을 예시로 말할 수 있다”라고 설명했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Ignore China’s New Data Privacy Law at Your Peril