#2016년 8월 대학 입학을 앞둔 중국 산둥성 여학생이 심장마비로 숨졌다. 교육국을 사칭해 “정부 장학금 지원 대상으로 선정됐다”며 170만 원을 송금하면 학자금을 보태 다시 보내주겠다는 전화를 받은 지 이틀 만이었다. 개인정보를 속속들이 알고 있어 보이스피싱으로 의심하지 못했다.
#중국 시장감독관리국은 2월 온라인 플랫폼 기업들의 ‘빅데이터 살숙(殺熟ㆍ친한 사람 등쳐 먹기)’ 행위를 적발했다. 장기이용 고객에게 더 높은 가격을 매기는 역차별이다. 5월에는 바이두, 텐센트 등 33개 애플리케이션(앱)이 동의 없이 개인정보를 수집하다 덜미가 잡혔다.
#지난 6월 말 미국 뉴욕증시 상장을 강행한 차량공유업체 디디추싱은 괘씸죄에 걸렸다. 강도 높은 보안심사와 신규회원 모집이 금지되는 제재를 받았다. 개인정보 해외 유출을 우려하는 당국의 자제령을 무시한 탓이다.
중국이 11월 1일 ‘개인정보보호법(PIPL)’을 시행한다. 위 사례에서 문제로 드러난 △이용자 권리를 지키고 △빅테크 기업들의 횡포를 막고 △무분별한 해외 이전을 차단하기 위한 것이다. 2008년 국무원에 초안을 제출했다가 무산된 지 13년 만이다. 2017년 6월 사이버보안법, 올해 6월 데이터안전법에 이어 중국 데이터 주권을 수호할 법체계의 완결성을 갖췄다. 다만 개인정보의 또 다른 위협인 정부 기관에 대한 견제장치가 미흡하다는 지적도 적지 않다.
중국 인터넷네트워크정보센터에 따르면 6월 현재 중국 인터넷 이용자 수는 10억 명을 넘었다. 인터넷 사이트는 422만 개, 앱은 302만 개에 달한다. 하지만 이용자의 78%가 앱을 설치할 때 개인정보보호 약관을 읽지 않는 것으로 나타났다. 조사 대상 150개 앱 중 30%는 이용자의 프라이버시 관련 조항을 제대로 명시하지 않았다.
PIPL은 사용자 동의와 충분한 정보 제공을 데이터 처리의 전제조건으로 규정했다. 개인정보 이용 동의를 철회하더라도 상품이나 서비스 제공을 거부하지 못한다(16조). 소비자의 권리를 보호하기 위한 것이다. 또 공공장소에 신분 식별장치를 설치하는 경우 공공안전 보호를 위한 필수적 조치에 국한하도록 했다(26조). 지난해 상반기 중국 전역 폐쇄회로(CC)TV는 3억 대로, 내년 말까지 6억4,000만 대로 늘어날 전망이다.
PIPL은 2018년 시행된 ‘유럽연합(EU) 개인정보보호법(GDPR)’을 본떴다. 중국 내에서 수집한 개인정보를 해외에서 취급할 때도 법의 적용을 받는다. 이른바 ‘역외 적용’ 규정이다.
다만 초점이 다르다. GDPR는 사생활 보호와 EU 회원국 간 정보의 자유로운 이동에 초점을 맞춘 반면 중국 PIPL은 국가 안보를 강조했다. 핵심 정보나 일정 규모 이상의 개인정보는 중국에 보관하고, 개인정보를 해외로 이전하려면 국가 네트워크 정보담당 부처의 안전성 평가를 거쳐야 한다(36, 38, 40조). 정부가 사전 심의를 통해 데이터 이동의 길목을 틀어쥐겠다는 것이다. PIPL과 GDPR의 개인정보 보호수준은 비슷하지만 중국의 규제가 더 엄격한 것으로 평가받는 이유다.
처벌 수위도 다르다. EU는 2,000만 유로(약 271억 원) 또는 직전 회계연도 전 세계 매출의 4% 가운데 높은 금액을 부과하도록 규정했다. 중국은 5,000만 위안(약 91억 원) 또는 전년 매출의 5%를 벌금으로 내야 한다. 가령, 알리바바가 법을 위반할 경우 지난해 매출(125조 원)의 5%인 6조2,500억 원을 납부할 수도 있다. 특히 중국은 금전적 처벌 외에 서비스 중지명령(66조)까지 내릴 수 있어 해당 기업의 타격이 더 크다.
파이낸셜타임스는 9월 “시진핑 주석은 인류 최초의 디지털 독재자가 될 것”이라고 전했다. 중국 당국이 알리바바를 비롯해 고객 개인정보를 무기로 영향력을 넓혀온 국내 IT 기업을 한참 옥죌 때다. PIPL이 8월 전국인민대표대회를 통과하면서 정부가 규제의 칼날을 휘두를 법적 기반도 갖췄다. 시 주석은 지난 18일 공산당 정치국 집단학습 자리에서 “디지털 경제 발전과정에서 대중의 이익 훼손과 독점ㆍ불공정 행위, 자본의 무질서한 확장을 방지해야 한다”고 강조했다.
이를 반영하듯 PIPL은 정부가 개인정보를 처리할 수 있는 특별규정을 아예 별도로 적시했다. 국가기관의 법적 직무 이행을 위한 경우에는 당사자 고지 의무를 지키지 않아도 된다(35조). 직무의 한도를 초과해서는 안 된다는 단서를 달긴 했지만 내용이 모호해 사실상 정부는 개인정보보호의 법망에서 벗어난 셈이다.
아울러 중국인의 권익을 침해하거나 공공이익을 위협할 경우 블랙리스트에 올리고 중국 정부가 대등한 조치를 취할 수 있도록 규정했다(42, 43조). 해외 기업이 미국 정부의 대중 제재에 보조를 맞춘다면 중국이 이를 구실로 불이익을 줄 수 있는 것이다. 중국 텅쉰왕은 31일 “앞으로 개인정보를 더 잘 보호하는 기업은 더 큰 신뢰와 이익을 얻을 것”이라고 했지만, 미중 갈등 상황에서 자칫 곤란한 처지에 놓일 우려 또한 커졌다.