최근 중국 법원은 해외 기업의 중국 내 사용자 개인정보 해외 이전과 관련하여 중요한 최초 판결을 내렸습니다. 프랑스에 소재한 다국적 호텔 운영 그룹이 운영하는 앱에서 중국 사용자의 개인정보를 명확한 고지 및 별도의 동의 없이 해외로 이전한 사건이 그 핵심입니다.
본 사건의 주요 쟁점은 중국 「개인정보보호법」의 역외 적용 여부였습니다. 법원은 프랑스 소재 해외 기업이라 할지라도 중국 내 자연인을 대상으로 제품 또는 서비스를 제공하면서 개인정보를 처리할 경우, 중국 「개인정보보호법」의 적용을 받는다고 명확히 판단했습니다. 이는 중국 「개인정보보호법」 제3조에 따른 최초의 역외 적용 사례로, 중국 내 사업을 진행하는 해외 기업들에게 중요한 준법 기준을 제시하였습니다.
법원은 다음과 같은 주요 법률적 쟁점을 검토하였습니다.
본 사건의 주요 쟁점은 중국 「개인정보보호법」의 역외 적용 여부였습니다. 법원은 프랑스 소재 해외 기업이라 할지라도 중국 내 자연인을 대상으로 제품 또는 서비스를 제공하면서 개인정보를 처리할 경우, 중국 「개인정보보호법」의 적용을 받는다고 명확히 판단했습니다. 이는 중국 「개인정보보호법」 제3조에 따른 최초의 역외 적용 사례로, 중국 내 사업을 진행하는 해외 기업들에게 중요한 준법 기준을 제시하였습니다.
법원은 다음과 같은 주요 법률적 쟁점을 검토하였습니다.
- 소송 가능성 여부 : 법원은 개인정보 권익 침해 소송을 진행하는 데 권리행사 거부가 반드시 전제조건이 아니며, 개인정보 주체는 직접적으로 소송을 제기할 수 있다고 판단했습니다.
- 고지 및 동의의 법적 효력 : 포괄적이고 일반적인 개인정보보호 약관에 대한 동의는 개인정보 해외 이전에 대한 법적 효력을 인정받지 못하며, 개인정보의 수신자 및 이전 목적이 구체적으로 명시되고 별도의 명확한 동의가 요구됩니다.
- ‘계약 이행에 필수적인 경우’에 대한 엄격한 제한 : 개인정보의 해외 이전이 계약 이행에 필수적인 경우라 할지라도, 처리 목적과 범위를 최소 필요 원칙에 따라 엄격히 제한해야 하며, 계약 목적 이외의 마케팅 등을 위한 개인정보 이전은 반드시 별도의 동의를 필요로 한다고 판단했습니다.
이번 판결은 중국 「개인정보보호법」의 역외 적용에 대한 실무적 해석을 처음으로 구체화한 사례로, 중국 내 사업을 운영하는 다국적 기업들에게 개인정보 보호 정책 현지화 및 엄격한 준법 기준의 중요성을 분명히 보여주었습니다. 앞으로 해외 기업은 중국 내 사용자 개인정보를 처리하거나 해외로 이전할 때 관련 법적 요건을 엄격히 준수해야 하며, 명확한 별도 동의 절차와 투명한 고지 방식을 필수적으로 구축해야 합니다.