1. 시행일
2025년 2월 14일, 국가인터넷정보판공실은 <개인정보 보호 컴플라이언스 감사 관리방법>(이하 ‘관리방법’)을 발표하고, 그 부속 문서로 <개인정보 보호 컴플라이언스 감사 지침>(이하 ‘지침’)을 제정하였으며, 관리방법은 2025년 5월 1일부터 시행됩니다.
2. 배경상황
디지털 경제의 급속한 발전에 따라 개인정보가 광범위하게 수집·이용되고 있으나 과도한 수집·남용·유출 등의 문제가 빈번히 발생하여 개인의 권익을 심각하게 침해하고 있습니다. 이러한 배경 하에 <중화인민공화국 개인정보보호법>과 <네트워크 데이터 보안 관리 조례> 등 상위 법률은 개인정보처리자의 감사 의무를 원칙적으로 규정하고 있지만, 구체적인 실무 지침은 부족한 실정이었습니다.
상위 법률의 요구를 이행하고 개인정보 보호 수준을 제고하며 디지털 경제의 건강한 발전을 추진하기 위해, 국가인터넷정보판공실은 관리방법을 제정하였습니다. 이 문서는 감사에 대한 구체적인 요건을 명확히 하고 감사 메커니즘 및 책임을 제도화하였으며, 국제적 모범사례도 참고하여 기업의 책임을 강화하고 실무적인 중국식 개인정보 보호 모델을 제시하고자 했습니다.
3. 요점 해석
(1) 적용범위
□ 적용되는 행위: 개인정보 보호 컴플라이언스 감사는 개인정보처리자의 행위가 법률과 행정법규를 준수하고 있는지를 점검·평가하는 것임(제2조)
□ 적용 대상자: 중국 내에서 개인정보 보호 컴플라이언스 감사를 진행하는 모든 개인정보처리자(제2조)
(2) 감사 실시 조건 및 빈도
□ 법정 감사 실시 요건: 1천만 명 이상의 개인정보를 처리하는 기업은 2년마다 최소 1회 감사를 실시해야 함(제4조)
□ 감독/관리 요구에 따른 감사: 개인정보 보호부서(이하 ‘보호부서’)가 직책을 이행하는 과정에서 심각한 권익 침해, 보안조치 미흡, 다수 개인에 대한 권익 침해를 발견하거나 100만 명 이상 개인정보 또는 10만 명 이상 민감정보 유출 안전사고가 발생하였을 경우에는 감사 명령을 내릴 수 있음(제5조)
(3) 개인정보처리자의 의무
□ 지원 의무: 감사에 필요한 지원을 제공하고 비용을 부담해야 함(제8조)
□ 기한 내 완료 의무: 보호부서가 요청할 경우, 지정된 기간 내에 감사를 완료해야 하며, 사안이 복잡한 경우 보호부서의 승인을 거쳐야 기간 연장이 가능함(제9조)
□ 보고 및 시정 의무:
● 감사를 수행한 전문기관의 보고서를 보호부서에 제출해야 함(제10조)
● 문제 시정 후 15근무일 이내에 시정 보고서를 보호부서에 제출해야 함(제11조)
(4) 전문 감사기관의 요건 및 제한
□ 자격 요건: 인력·장소·자금 등 감사 수행 역량을 갖추어야 함(제7조)
□ 독립성과 비밀유지 의무: 법률을 준수하고, 성실하고 신용을 지키며, 정직하고 공정하며, 객관적으로 감사를 수행해야 함. 그리고 취득한 개인정보·영업비밀 등을 비밀로 유지해야 함.(제13조)
□ 재위탁 금지: 감사 업무의 재위탁(하도급)은 금지됨(제14조)
□ 순환 제한: 동일한 기관 또는 동일한 책임자가 동일한 대상을 3회 연속 감사할 수 없음(제15조)
(5) 대규모 개인정보처리자에 대한 강화된 요구
□ 개인정보 보호 책임자 지정 의무: 100만 명 이상 개인정보를 처리하는 경우, 책임자를 지정하여 감사 업무를 담당하도록 해야 함(제12조)
□ 독립적 감독기구 설치: 중요한 인터넷 플랫폼을 운영하거나 사용자 수가 많고, 업무가 복잡한 경우 외부 인원을 주축으로 하는 감사감독기구를 설치해야 함(제12조)
(6) 감독 및 법적 책임
□ 감독·검사: 보호부서는 감독·검사를 진행하고, 대중은 신고할 권리가 있음(제16, 제17조)
□ 법률위반책임: 개인정보처리자 또는 전문기관이 관리방법의 규정을 위반하였을 경우에는 법적 책임을 부담해야 함, 범죄를 구성한 경우에는 형사책임을 추궁함(제18조)
(7) 감사 내용 및 핵심 포인트
□ 감사 내용:
● 자율적 또는 위탁 감사를 수행할 경우, 반드시 지침을 참고해야 함(제6조)
● 지침은 8대 유형, 26개 세부 감사 항목을 포함.
□ 중점 항목: 개인정보 처리 합법성, 규칙, 위탁처리, 공동처리, 자동화 결정, 미성년자, 민감정보 등 전통적 항목 외에 다음 4개 항목에 주의하여야 함
① 공공장소 영상 수집 및 개인 신원 식별 장비 설치(제11조)
-> 감사 점검 항목:
● 공공 안전 유지 목적의 필요성 여부
● 명확한 표지 설치 여부
● 공공 안전 목적 외 사용 시 개인의 명시적 동의 확보 여부
-> 추가 법적 요구사항:
● <공공안전 영상정보 시스템 관리 조례>(2025년 4월 1일 시행) 제14조에 따라 장비 설치 시 소재지 관할 현급 공안기관에 신고해야 함
② 개인정보의 해외 이전(제15조)
-> 사업자 유형에 따른 감사 기준:
● 중요정보기반시설 운영자(CIIO): 국가인터넷정보부서 보안 평가 통과 필요
● CIIO 이외 일반 기업: 2025년 1월 1일 이후 누적 처리 규모 기준으로 나뉨
◆ 100만 명 이상 일반 개인정보 또는 1만 명 이상 민감정보 해외 제공→ 보안 평가 통과 필요
◆ 10만~100만 명 일반 개인정보 또는 1만 명 미만 민감정보 제공→ 개인정보 보호 인증 또는 표준계약 체결 및 등록 필요
③ 개인정보 보안사고 대응체계 (제24조, 제25조)
-> 감사 점검 항목:
● 보안위험인식, 대응조치, 지원체계
● 직원교육 및 모의 훈련 여부
● 피해확산 방지조치 및 통보채널 구축 여부
-> 관련 법령:
● <개인정보보호법> 제51조: 모든 개인정보처리자는 보안사고 대응계획 수립 의무 있음
● <공업 및 정보화 분야 데이터 보안 사고 대응 예비안(시행안)>(2024년 10월 29일 발표)
- 각 기업은 데이터 보안사고 예방·감지·대응·보고 체계를 구축해야 하며, 자체 대응계획 수립 필수
- 각 지방 통신관리국 및 무선통신관리기관에서 발표하는 지역 및 산업별 대응 계획도 함께 검토할 필요가 있음
4. 요약
관리방법의 시행은 중국의 개인정보 보호 규제 체계를 한층 더 정비한 중요한 조치로서, 개인정보처리자에게 명확한 실무 가이드를 제공할 뿐 아니라 감독관리기관의 집행 근거도 보강하였습니다.
이 문서는 감사의 독립성과 전문성을 강조하고, 감사기관의 자격 및 책임, 감사 발생 조건과 주기를 명시하였습니다. 그리고 다양한 처리 시나리오에 따른 감사 요점을 세분화함으로써, 감사를 형식적으로 수행하는 것을 방지하고 개인정보 보호 수준의 실질적인 향상을 도모하였습니다.
아울러 기업은 개인정보 감사 관련 법적 의무를 이행함에 있어, 관리방법과 지침을 참조하여 감사 내용과 절차를 체계화할 필요가 있습니다.
출처: 리팡 데이터 컴플라이언스팀 작성