8월 20일 제13기 전국인민대표대회 상무위원회 제30차 회의에서 <중화인민공화국 개인정보보호법>이 가결되었으며, 2021년 11월 1일부터 정식 시행되었습니다.
<중화인민공화국 개인정보보호법>은 다음과 같이 명시하고 있습니다.
자동화된 방식을 통하여 개인에게 정보 푸쉬, 마케팅, 개인의 특성과 관련이 없는 옵션을 제공하거나 거부할 수 있는 방법을 제공해야 합니다.
생체정보, 의료건강, 금융계정, 소재위치정보 등 민감한 개인정보에 대해 처리를 할 경우 반드시 개별 동의를 받아야 합니다.
개인정보를 불법적으로 처리하는 서비스에 대해서는 서비스 정지 혹은 해지를 할 수 있습니다.
개인정보보호법은 총 8장 74조로 구성되어 있으며, 관련 법령을 기반으로 더 정교하고 완전하게 개인정보보호에서 준수해야 할 원칙과 개인정보처리규정에 대해 정의하고 있습니다.
개인정보보호법의 10가지 주요 내용은 다음과 같습니다.
개인정보보호 원칙을 수립한다.
이는 개인정보의 수집 및 이용에 대한 기본적인 준수사항이며, 개인정보보호를 위한 구제척인 규정을 위한 제도적 기초이다. <개인정보보호법>은 반드시 적법, 정당, 필요 및 신의성실의 원칙에 따라 개인정보를 처리하고, 명확하고 합리적인 목적을 가지고 목적과 직접적으로 관련이 있어야 하며, 개인의 권익에 최소한의 영향을 주는 방식으로 최소한의 처리목적으로 한정한다. 처리방침, 정보의 품질보증 및 보호조치 등에 대한 정보를 공개해야 한다.
권익을 보장하기 위한 처리활동을 표준화 한다.
<개인정보보호법>은 개인정보처리활동, 개인의 정보권익의 보장, 고지 및 동의를 핵심으로 하는 개인정보처리규칙을 표준화 하고 있다. 예를들어 개인정보를 처리함에 있어 반드시 충분한 고지가 되었다는 전제조건 하에서 개인의 동의를 받고, 만약 개인정보처리의 중요사항에 대해 변경이 되었을 경우 반드시 개인에게 다시 고지를 하고 재동의를 받아야 한다.
빅데이터를 통한 가격차별을 금지하고, 자동화 된 의사결정을 표준화 한다.
이전까지 많은 기업들에서 빅데이터를 통하여 소비자의 개인특성을 분석 및 평가하여 이 결과를 마케팅에 사용하였다. 가장 대표적인 예가 사회적 논란을 일으킨 "빅데이터를 통한 가격차별"이다. 이에 대해, <개인정보보호법>에서는 개인정보처리자가 개인정보에 대해 자동화된 표준을 결정할때는 반드시 표준의 투명성과 결과의 공정성, 공평성이 확보되어야 하며, 개인의 거래가격 등 거래과정에서 부당한 차별대우를 받아서는 안된다고 규정하고 있다.
민감한 개인정보에 대해서는 철저히 보호해야 한다.
<개인정보보호법>에서는, 특정한 목적과 충분한 필요성이 있을 경우, 철저한 보호조치가 되어있는 상황에서 민감정보에 대해 처리를 할 수 있으며, 동시에 사전 영향평가도 함께 진행되어야 한다. 또한 개인에게 민감 개인정보처리에 대한 필요성과 개인의 권익에 대한 영향성을 고지하여야 한다. 이 밖에 <개인정보보호법>에서는 만 14세 이하의 미성년자의 개인정보에 대해서는 민감한 개인정보로 분류하여 엄격한 보호조치를 요구하고 있다.
국가기관의 처리활동에 대해 규정하고 있다.
<개인정보보호법>은 국가기관의 개인정보 처리활동에 대해 규정하고 있으며, 특히 국가기관이 개인정보를 처리하는 활동을 함에 있어 반드시 해당 법을 적용해야 하며, 법률 및 행정규칙에서 규정하는 권한과 절차에 따라 처리해야 하며, 법률에서 명시하고 있는 범위와 한도를 초과해서는 안된다.
개인에게 충분한 권리를 부여한다.
<개인정보보호법>에서는 개인정보를 처리함에 있어 개인의 알권리, 결정할 권리를 강화하여 개인이 개인정보처리에 대해 제한을 할 수 있음을 명시하였다. 동시에 국가사이버정보부의 규정조건에 부합한다는 전제조건 하에 개인정보처리자는 반드시 개인에게 개인정보를 이전할 수 있는 방법을 제공해야 한다. 이 밖에도 <개인정보보호법>에는 망자의 개인정보보호에 대한 내용도 함께 규정하고 있다.
개인정보처리자의 의무를 강화하였다.
<개인정보보호법>에서는 개인정보처리자의 관리준수 및 개인정보의 안정성 확보 의무를 명시하고, 개인정보처리자가 규정에 따라 내부관리시스템 및 운영절차를 수립하고 알맞는 보안기술조치를 취하도록 한다. 또한 책임자를 지정하여 개인정보처리활동에 대한 감독, 주기적인 개인정보처리활동에 대한 감사 및 민감한 개인정보, 개인정보를 이용한 자동화된 정책 결정, 제공 혹은 개인정보의 공개 등 고위험 처리활동에 대한 사전영향평가, 개인정보 유출통지 및 보완의무 이행 등을 수행해야 한다.
대형 플랫폼 사업자에게는 특별한 의무를 부여한다.
<개인정보보호법>에서는 대형 플랫폼 사업자에게 특별한 개인정보보호의 의무를 규정해 놓았다. 국가규정에 따라 개인정보보호 준수 시스템을 구축 및 개선하고, 외부 인원으로 구성된 독립적인 조직을 설립하여 개인정보보호 현황에 대해 감독한다. 공개, 공평, 공정의 원칙을 준수하여 플랫폼 규칙을 제정해야 한다. 개인정보를 위법적으로 처리하는 플랫폼 내 서비스 제공자에 대해서는 해당 서비스를 중지해야 한다. 주기적으로 개인정보보호 사회적 책임 보고서를 발행하며, 사회감독을 받아야 한다.
개인정보의 국가간 이동을 규범하였다.
개인정보의 국가 간 이동이 빈번하게 발생하고 있다. 하지만 지리적 거리 및 국가별로 상이한 법률제도, 보호수준의 차이 때문에 국외로 이전된 개인정보들의 통제가 점점 어려워 지고 있다. <개인정보보호법>에서는 명확하고 체계화된 개인정보의 국가 간 이동에 대한 규정을 만들어 개인정보 권익과 보호에 대한 객관적인 요구에 대한 만족을 보장하고, 국제 무역의 필요한 현실적 요구를 충족시켰다.
개인정보보호의 매커니즘을 완성하였다.
개인정보보호법에서 국가인터넷부문 및 국무원의 유관부문의 각자책임범위 내에서 개인정보보호 및 관리감독에 대한 책임을 지며, 동시에 개인정보보호 홍보 및 교육, 개인정보보호 업무의 지도 및 감독, 관련 불만 및 처리, 프로그램에 대한 평가, 개인정보 불법 처리행위에 대한 조사 등 개인정보보호 및 감독책임에 대해 규정하고 있다.
HelloKitty 랜섬웨어, 피해자에 DDoS 공격도 수행해 (0) | 2021.11.02 |
---|---|
기기 160만대 이상을 감염시킨 Pink 봇넷 악성코드 발견 (0) | 2021.11.02 |
Linux, FreeBSD를 암호화하는 Hive 랜섬웨어 변종 발견돼 (0) | 2021.11.01 |
새로운 'Shrootless' 버그, macOS 시스템에 루트킷을 설치하도록 허용해 (0) | 2021.11.01 |
루팅 기능이 포함된 새로운 안드로이드 악성코드인 AbstractEmu 발견 (0) | 2021.10.29 |
댓글 영역