테크레시피

中판 GDPR? 기업 사용자 데이터 보호법 통과

중국이 사용자 데이터 보호법 PIPL(Personal Information Protection Law) 안을 가결했다는 보도가 나왔다. PIPL은 기업이 사용자 데이터를 어떻게 수집, 처리, 보호할지에 대한 포괄적 규칙을 정하는 것으로 유럽 GDPR에 해당하는 것이다.

이 법에선 데이터 최소화 그러니까 데이터 수집을 특정 목적에 필요한 정보에만 한정하는 걸 규정하고 있다. 또 개인 정보 사용 방법을 사용자가 제어할 수 있도록 의무하고 있다. 예를 들어 사용자는 타깃 광고를 거붛할 선택을 얻을 수 있다. PIPL은 기업이 명확하고 합리적인 목적 하에 개인 정보를 취급해야 하며 취득 정보는 목적을 위해 최소한 범위로 한정된다고 한다.

또 이 법은 제3국으로의 데이터 전송에 관한 규정도 있고 데이터 호보 책임자 DPO로 포스트를 설치하고 개인 정보 보호 안정성에 대한 정기적 감사가 이뤄지게 된다. 중국에선 PIPL 외에도 데이터 보안 관련 법률이 통과되어 9월 1일부터 시행된다. 이들은 기업이 갖는 경제적 가치와 국가 안보와의 관련성에 따라 데이터를 관리하기 위한 명확한 틀을 정하자는 움직임이 있다는 점에서 PIPL은 유럽 시민 정보를 취급하는 모든 기업에 적용되는 GDPR과는 다른 것이다.

중국이 이런 법률을 준비하는 건 거대화된 자국 내 기술 기업에 대한 규제를 강화하는 것으로 간주된다. 중국 최대 e커머스 기업인 알리바바는 지난 4월 지배적 지위를 남용했다며 182억 2,800만 위안 행정 처벌을 부과받았다. 또 인터넷 배차 서비스 디디추싱도 7월 뉴욕증권거래소에 기업공개를 실시한 직후 중국사이버공간관리국 CAC가 사용자 프라이버시를 침해한 혐의가 있다며 조사에 들어갔다. 8월 7일에는 위챗 유스모드(Youth Mode)가 아동보호법을 위반했다는 제기가 텐센트에 지적되기도 했다.

PIPL은 2021년 11월 1일 발효하기 때문에 기업이 해당 법에 대응하기 위한 유예기간은 2개월 남짓 밖에 여유가 없다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사