중국 개인정보보호법 이해하기

중국의 개인정보보호법(Personal Information Protection Law, PIPL)은 2021년 11월 1일 발효되었으며, 유럽 밖에서 가장 영향력이 큰 데이터 프라이버시 규제 중 하나입니다. 특히 중국 방문자가 있거나 중국에서 운영을 하는 글로벌 웹사이트의 경우, PIPL은 GDPR과는 독립적으로 — 때로는 상충되기도 하는 — 동의 의무를 새로이 부과합니다.

PIPL은 중국 내 개인의 개인정보 처리에 적용됩니다. 그 적용 범위는 매우 넓어, 개인정보를 처리하는 조직이 어디에 소재하든 상관없이 중국에 위치한 사람들의 개인정보를 처리하는 모든 조직에 적용됩니다. 귀하의 웹사이트에 중국 사용자가 접속할 수 있고, 그들로부터 어떤 형태로든 개인정보를 수집한다면, PIPL은 귀하와 관련이 있습니다.

PIPL vs. GDPR: 실무에 중요한 핵심 차이점

PIPL은 종종 “중국판 GDPR”이라고 불리지만, 이러한 단순 비교는 실제 동의 구현 방식에 영향을 미치는 중요한 차이들을 가립니다.

• 동의가 기본 법적 근거: GDPR은 정당한 이익을 포함해 여섯 가지 처리 근거를 제공합니다. PIPL은 훨씬 더 동의 중심적입니다. 계약 이행 필요성, 법적 의무, 공익 등 다른 법적 근거도 인정하지만, 정당한 이익의 범위는 훨씬 좁고, 대부분의 상업적 데이터 처리에 대해 기본값으로 동의를 요구하는 구조입니다.
• 민감정보에 대한 별도 동의: PIPL은 생체정보, 금융정보, 위치 추적 정보, 14세 미만 미성년자의 데이터 등을 포함하는 민감 개인정보 처리에 대해 별도의 명시적 동의를 요구합니다. 쿠키 기반의 행동 추적은 이 범주에 포함될 수 있습니다.
• 의무적인 데이터 현지화: 핵심 정보 인프라 운영자 및 중국 국가인터넷정보판공실(CAC)이 정한 일정 규모 이상의 개인정보를 처리하는 조직은 데이터를 중국 내에 저장해야 합니다. 이는 분석 및 쿠키 데이터를 어디에서 처리할 수 있는지에 직접적인 영향을 미칩니다.
• 국경 간 이전 제한: ���인정보를 중국 밖으로 이전하려면 CAC 보안 심사를 통과하거나, 공인 기관의 인증을 받거나, CAC가 공표한 표준계약조항을 체결하는 세 가지 메커니즘 중 하나를 충족해야 합니다. 이는 GDPR의 이전 메커니즘보다 더 엄격한 구조입니다.
• 중국적 특색을 가진 정보주체 권리: PIPL은 접근, 정정, 삭제, 이동권 등 GDPR과 유사한 권리를 부여하는 동시에, 자동화된 의사결정에 대한 거부권과 자동화 처리 규칙에 대한 설명 요구권을 추가로 인정합니다.

PIPL이 쿠키와 트래킹에 의미하는 것

PIPL은 EU의 ePrivacy Directive처럼 “쿠키”를 명시적으로 언급하지는 않습니다. 그러나 “식별되었거나 식별 가능한 자연인과 관련된 모든 정보”를 개인정보로 보는 광범위한 정의 때문에, 대부분의 쿠키 기반 추적은 PIPL의 적용 대상이 됩니다.

• 분석 쿠키는 로그인 여부와 관계없이 페이지 간 사용자 행동을 추적하므로, PIPL의 정의상 개인정보를 수집하는 것으로 간주됩니다.
• 광고 쿠키와 사이트 간 추적 픽셀은 기기 식별자에 연계된 프로파일을 구축하므로 명백히 적용 대상에 포��됩니다.
• 세션 쿠키는 장바구니, 로그인 상태 유지 등 기본 기능을 위해 사용되는 경우, GDPR과 마찬가지로 계약 이행 필요성에 근거해 일반적으로 허용될 수 있습니다.
• 서드파티 쿠키는 데이터를 외부 제3자와 공유하므로, 제3자 제공 관련 PIPL 요건과 경우에 따라 국경 간 이전 규정을 추가로 촉발합니다.

PIPL 집행: 현실적인 결과

일부 형식적인 프라이버시 법과 달리, PIPL은 실제 집행이 활발하고 점점 강화되는 추세입니다. 중국 국가인터넷정보판공실(CAC)은 공안부 등 다른 기관과 함께 다음과 같은 구체적 조치를 취해 왔습니다.

• 중국 주요 앱 스토어는 과도한 데이터 수집이나 적절한 동의를 받지 않은 앱을 제거했습니다. 집행 캠페인에서 수백 개의 앱이 목록에서 삭제되었습니다.
• 회사가 공지한 목적을 넘어선 범위로 개인정보를 수집한 사례에 대해 과징금이 부과되었습니다.
• CAC는 데이터 처리 활동을 충분히 설명하지 않은 개인정보 처리방침을 가진 기업에 대해 공개 경고를 발령했습니다.
• 중대한 위반의 경우, PIPL은 최대 5,000만 위안(약 700만 달���) 또는 전년도 매출의 5%까지의 벌금, 그리고 영업 정지 등의 제재를 허용합니다.

국제 기업에게 위험은 규제적 측면뿐 아니라 상업적 측면에서도 큽니다. 비준수는 중국 앱 스토어에서의 앱 삭제, 서비스 차단, 10억 명이 넘는 인터넷 사용자를 보유한 시장에서의 평판 훼손으로 이어질 수 있습니다.

중국 방문자에 대한 지오 타게팅

웹사이트가 중국 사용자를 포함한 글로벌 이용자를 대상으로 한다면, 지오 타게팅된 동의 전략이 필요합니다. 이는 방문자가 중국에 위치해 있는지를 감지하고, PIPL 요건을 충족하는 동의 메커니즘을 제공하는 것을 의미합니다.

• IP 기반 감지: IP 지리 정보를 사용해 중국 본토에서 접속하는 방문자를 식별합니다. 이는 EEA 방문자에 대한 GDPR 지오 타게팅에 사용되는 방식과 동일합니다.
• 언어 기반 신호: 사용자의 브라우저 언어가 중국어(zh-CN 또는 zh-TW)로 설정되어 있다면 보조적인 신호로 활용할 수 있지만, 단독 기준으로 사용해서는 안 됩니다.
• 동의 배너 내용: 중국 사용자에게 표시되는 동의 알림은 간체 중국어로 제공��어야 하며, 데이터 수집 목적을 명확히 설명하고, 데이터 컨트롤러를 식별하며, 필수적이지 않은 처리에 대해 실제로 거부할 수 있는 수단을 제공해야 합니다.
• 민감 처리에 대한 별도 동의: 행동 프로파일링이나 위치 추적을 위해 쿠키를 사용하는 경우, 중국 사용자는 이러한 범주에 대해 더 세분화된 별도의 동의 프롬프트를 볼 수 있어야 합니다.

하나의 CMP로 GDPR과 PIPL 모두 처리하기

대부분의 글로벌 웹사이트는 여러 프라이버시 규제를 동시에 준수해야 합니다. 과제는 별도의 시스템을 유지하지 않고도, 각 사용자에게 적절한 동의 경험을 제공하는 것입니다. 통합 접근 방식은 다음과 같이 작동합니다.

기반이 되는 지역 감지

CMP는 먼저 방문자의 위치를 파악해야 합니다. 이를 바탕으로 적절한 동의 규칙을 적용합니다.

• EEA/영국 방문자: TCF 2.3 동의 배너와 Consent Mode V2, 옵트인 모델, 모든 GDPR 요건 적용.
• 중국 방문자: 간체 중국어로 된 PIPL 준수 동의 알림, 비필수 처리에 대한 옵트인, 데이터가 중국을 벗어나는 경우 국경 간 이전에 대한 명확�� 고지.
• 미국 방문자: 캘리포니아의 CCPA/CPRA, 콜로라도·코네티컷·버지니아 등 주별 법에 따른 규칙, 일반적으로 옵트아웃 모델.
• 기타 지역: 퍼블리셔의 리스크 허용도와 해당 지역 법률에 따른 기본 동작.

동의 저장에 대한 고려사항

PIPL의 데이터 현지화 요건으로 인해, 중국 사용자에 대한 동의 기록은 CAC가 정한 처리 규모 기준을 초과하는 경우 중국 내 서버에 저장해야 할 수 있습니다. 중국 트래픽이 우발적으로 소량 발생하는 대부분의 국제 웹사이트는 이 기준에 미치지 않을 가능성이 크지만, 중국을 주요 타깃으로 하는 대형 사이트는 현지 법률 자문과 상의해야 합니다.

국경 간 이전 문서화

중국 사용자가 중국 밖 서버로 데이터를 전송하는 쿠키(사실상 대부분의 서구 분석·광고 플랫폼이 이에 해당)에 동의하는 경우, CMP는 이 동의를 국경 간 이전 정당화의 일부로 문서화해야 합니다. 동의 알림에는 데이터가 국제적으로 이전된다는 내용을 명시적으로 포함해야 합니다.

글로벌 컴플라이언스를 위한 실무 단계

다음은 GDPR과 함께 PIPL도 고려해야 하��� 웹사이트를 위한 우선순위별 실행 계획입니다.

• 중국 트래픽 점검: 분석 도구를 통해 방문자의 몇 퍼센트가 중국에서 오는지 확인합니다. 비율이 매우 낮다면 리스크는 상대적으로 작지만, 0은 아닙니다.
• 쿠키를 PIPL 범주에 매핑: 어떤 쿠키가 PIPL의 정의상 개인정보를 처리하는지, 그리고 그 중 민감 개인정보가 포함되는 것이 있는지 파악합니다.
• 지오 타게팅 동의 구현: 방문자 위치에 따라 다른 동의 경험을 제공할 수 있고, 각 지역에 맞는 언어와 법적 근거를 설정할 수 있는 CMP를 사용합니다.
• 개인정보 처리방침 업데이트: PIPL에 따른 권리와 중국 사용자를 위한 데이터 처리 관행을 별도 섹션으로 추가합니다.
• 국경 간 이전 검토: 중국 사용자의 개인정보가 어떻게 국제적으로 이전·처리되는지 문서화하고, 유효한 이전 메커니즘을 보유하고 있는지 확인합니다.

중요 참고: 중국을 대상으로 하는 웹사이트의 PIPL 준수는 복잡할 수 있으며, 규제 가이드라인도 계속 진화하고 있습니다. 이 글은 일반적인 ��요를 제공할 뿐이며, 중국 내 운영 규모가 크거나 중국 사용자 기반이 상당한 조직은 반드시 개별 상황에 맞는 법률 자문을 구해야 합니다.

FlexyConsent는 지역별 규칙이 적용된 지오 타게팅 동의 경험을 지원하여, 하나의 플랫폼에서 GDPR, PIPL, CCPA 및 기타 프라이버시 법을 함께 다룰 수 있도록 합니다. 무료 플랜에서도 지오 감지와 다지역 동의 구성이 포함됩니다.