Inside China’s unexpected quest to protect data privacy

중국의 개인 정보 보호 모순

중국의 개인 정보 보호법은 유럽의 개인 정보 보호 규정(GDPR)과 비슷해 보이지만, 과연 중국 정부의 감시를 제한할 수 있을까?

2016년 늦은 여름, 슈유유는 그녀의 인생을 바꿔놓을 만한 한 통의 전화를 받았다. 난징 대학교 우편통신부 영문학과 합격 소식이었다. 슈는 중국 베이징 남동부 해안 지방인 산둥성의 린이라는 도시에서 아버지의 벌어오는 적은 수입으로 살아가는 가난한 집안 출신이었다. 그녀의 부모님은 어려운 상황 속에도 딸의 학비를 마련하기 위해 노력했다. 그녀의 친척들 중 대학에 간 사람은 얼마 되지 않았다.

며칠 뒤, 슈는 대학으로부터 장학금을 받게 됐다는 전화를 받았다. 그런데 장학금 2600위안을 수령하기 위해서는 대학교 계좌로 ‘활성화비’ 9900위안 을 먼저 입금해야 한다고 했다. 불과 며칠 전에 학자금 지원을 신청했던 그녀는 전화에서 알려준 계좌로 돈을 입금했다. 그날 저녁, 슈와 그녀의 가족들은 경찰서로 달려가 사기 신고를 했다. 후에 슈의 아버지는 그가 경찰에게 돈을 되돌려 받을 수 있을지 물어본 것이 가장 후회가 된다고 했다. 아버지에게 돌아온 대답은 “그렇지 못할 가능성이 큽니다” 였고, 이는 슈에게 엄청난 충격이었다. 경찰서에서 집에 돌아오던 중 슈는 심장마비를 입었고, 이틀 뒤 병원에서 사망했다.

수사 보고서에 따르면 그녀에게 처음 걸려온 합격 전화는 사실이었지만, 두 번째 걸려온 전화는 해커에게 의뢰해 슈의 번호, 합격 여부, 그리고 학자금 신청 여부를 알아낸 사기 조직의 범행이었다.

개인 정보를 이골이 난 중국 소비자들 사이 슈는 상징적인 존재가 되었다. 그녀의 죽음으로 중국 전역에서 개인 정보 보호 강화를 요구하는 목소리가 터져 나왔다. 불과 몇 달 전, 유럽 연합은 유럽 시민들에게 각자의 개인 정보 사용 방식에 관한 권한을 주기 위해 개인 정보 보호 규정(GDDR)을 채택했다. 같은 기간, 미국의 트럼프 대통령은 대통령 선거에서 이기기 직전이었다. 한 가지 이유는 유권자 개인 정보를 광범위하게 이용한 선거 캠페인 덕분이었다. 이 캠페인에는 케임브리지 애널리티카(Cambridge Analytica)라는 컨설팅 기업이 불법 취득한 페이스북 사용자 8700만 명의 개인 정보 역시 포함되어 있었다. 중국의 법률학자와 규제 전문가들은 이러한 사건을 면밀히 살피고 있었다.

서양에서는 중국 정부는 물론 시민들 역시 개인 정보 보호에 대하여 크게 관심이 없다고 생각한다. 미국의 기술 대기업들은 소위 이런 무관심을 근거로 들며 엄격한 개인 정보 보호법이 중국의 회사들과의 경쟁에서 불리하게 작용한다고 주장한다. 2018년 케임브리지 애널리티카 스캔들 이후, 페이스북의 대표 이사 마크 저커버그는 의회 증언대에서 규제 기관에 안면 인식과 같은 기술에 너무 많은 제재를 하지 말아 달라고 부탁하며 “그런 기술을 개발해야 미국 기업들이 이 같은 분야에서 혁신을 이어갈 수 있다. 그렇지 못할 경우 중국은 물론 세계 다른 나라에 뒤쳐질 것”이라고 말했다.

사실 개인 정보 보호에 관한 중국의 이 같은 생각은 시대에 뒤떨어져 있다. 최근 몇 년간 중국 정부는 디지털 경제에서 소비자들의 신뢰와 참여를 강화하기 위하여 현재 미국과 유럽과의 개인 정보 보호법과 많은 면에서 유사한 개인 정보 보호법을 시행하기 시작했다.

하지만 중국 정부는 소비자 개인정보 보호를 강화하는 동시에 감시 역시 늘렸다. 중국 정부는 DNA 표본 등과 같은 안면 인식, 지문 등 생체 인식을 통해 국민을 감시한다. 또한 인터넷 검열을 강화하고 사회적 안정을 위협하는 행위를 처벌하기 위한 ‘사회 신용’ 제도를 도입했다. 최근 코로나 바이러스 감염 확산 기간에도 ‘건강 코드’ 앱 시스템으로 바이러스 감염 위험을 바탕으로 여행 가능 여부를 판단했다. 또한 중국 정부는 많은 감시 기술을 사용하여 신장 북서부 지역의 무슬림 위그르족 탄압 시에도 사용했다.

이 같은 모순은 중국의 개인 정보 보호 제도의 대표적인 특징이 되었다. 예일 대학교와 워싱턴 DC에 있는 싱크 탱크 ‘뉴 아메리카 ’ 의 중국 대표 학자인 샘 색스의 말이다. 이는 한 가지 중요한 문제를 제기한다. 과연 이 제도는 소비자의 개인 정보를 보호하는 동시에 정부의 감시를 버텨낼 수 있을까? 질문의 답이 영향을 미치는 건 다만 중국만이 아니다. 중국의 기술 기업은 계속해서 외국으로 사업을 확장해 나가고 있으며, 전 세계의 규제 당국 역시 중국 정부의 결정을 주시하고 있다.

2000년 11월은 현대 중국 감시 국가의 시작이라고 할 수 있다. 그때, 일상적인 법 집행을 감독하는 정부 기관인 중국 공안부는 베이징에서 열린 무역 박람회에서 새로운 프로젝트를 발표했다. 공안부는 최신 기술을 이용해, 디지털 감시와 물리적 감사를 모두 통합하는 중앙 집권형 시스템을 구상했다. 프로젝트 명은 황금 방패(Golden Shield)였다,

돈 냄새를 맡은 미국 대기업 시스코, 핀란드 최대 통신업체 노키아, 그리고 캐나다의 노텔 네트웍스 등 수많은 서양 기업들은 중국 공안부의 프로젝트에 뛰어들었다. 이들 기업은 중국 내 모든 성인의 정보를 저장할 데이터베이스를 구축했고, 후에 ‘만리 방화벽’이란 이름이 붙은, 인터넷 정보 흐름을 통제할 수 있는 정교한 시스템을 개발했다. 여기에 사용된 대다수 장비는 1994년 미국에서 감시를 최적화하기 위한 사법기간 통신지원 법안(CALEA)이 통과되면서 이미 표준화된 장비였다.

중국 정부는 오늘날 미국과 유럽의 보호법과 유사한 개인 정보 보호법을 시행하기 시작했다.

표준화된 장비에도 불구하고 중국 정부의 황금 방패 프로젝트는 중국 정부 내의 데이터 파편화 현상과 다툼으로 난항을 겪었다. 점차 공안부가 추진하던 하나로 통합된 시스템은 40여 개 이상의 정부 기관이 참여하는 사회 신용 제도와 정보 수집과 저장을 주목적으로 하는 감시 및 데이터베이스 시스템으로 나뉘었다. 무단 횡단부터 기업의 부패까지 누군가 금지된 일을 되풀이해서 할 때 사회 신용 점수가 낮아지며, 이렇게 되면 기차표나 항공권 구입 또는 대출을 받을 때도 불리하게 작용할 수 있다.

공안부가 황금 방해 프로젝트를 발표한 해에 홍은 베이징에 있는 공안부 직속 경찰대학에 입학했다. 하지만 7년 뒤 학사와 석사 과정을 마친 그는 경찰이 되기로 했던 생각을 바꾸기 시작한다. 대신 해외 유학을 결심한다. 2007년 가을, 그는 네덜란드에서 중국 정부의 허가와 보조를 받고 국제 인권법 박사 과정을 밟게 된다.

이후 4년간 여러 국제 기구에서 인턴 경험을 하고 박사 연구 논문을 준비하며 서양 법률을 공부한다. 국제 노동 기구에서 해외 노동자 차별법, 그리고 국제 보건 기구에서 중국의 도로 안전법과 관련된 일을 했다. “서양은 법률 문화가 굉장히 발달되어 있어 놀랐다. 사람들이 법정에 정말 많이 가는 것 같다. 가령 인권법을 공부할 때 교과서의 상당 부분이 인권 문제에 관한 법정의 주요 소송 사례였다.” 홍은 이렇게 말했다.

홍은 이 같은 방식이 굉장히 비효율적이라고 생각했다. 법정에 가는 것은 법의 단점을 메우는 최후의 수단이지, 애초에 법을 제정하는 주된 도구가 아니라고 봤다. 또한 보다 철저하고 심사숙소를 거쳐 나온 법안이 미국처럼 판례를 되는대로 모아 짜맞춘 방식보다 더 나은 결과를 낼 것이라고 믿었다.

졸업한 뒤인 2012년, 홍은 이 생각을 간직한 채 베이징으로 돌아왔다. 시진핑이 주석으로 취임하기 직전이었다. 홍은 유엔개발계획(UNDP)와 중국 최대의 국영 신문사인 <인민일보> 기자로 일했다.

시진핑 주석은 중국 정부의 검열 범위를 급속도로 확대했다. 당시 중국에서는 영향력 있는 논평가이자 소셜 미디어에 많은 팔로어를 갖춘 유명 마이크로블로거, 소위 ‘빅V’가 중국 공산당을 아무렇지 않게 비판하고 조롱하는 일이 많아졌다. 2013년 가을, 공산당은 수백 명의 마이크로 블로거를 ‘악성 소문 유포자’라는 명목으로 체포하고, 그 중 가장 영향력 있는 블로거를 전국 방송에 내보내며 본보기로 삼았다.

그 순간은 새로운 검열 시대의 시작이었다. 이듬해에는 중국 사이버 관리국이 창립되었다. 이 새로운 중앙 기관은 국가 보안, 언론 검열, 개인 정보 보호 등 인터넷 규제에 관련된 모든 일을 감독졌다. 홍은 <인민일보>를 떠나 중국 사이버 관리국의 국제 업무 부서에서 일하기 시작했다. UN은 물론 다른 국제 기구에서 중국 대표로 참여해 다른 나라 정부들과 사이버 보안 협력을 논의했다.

2015년 7월, 사이버 관리국은 첫 번째 법 초안을 내놓았다. 2017년 7월 시행된 이 법에 따르면 기업은 개인 정보 수집 이전 고객의 동의를 받아야 했다. 동시에 익명 사용을 금지해 인터넷 검열을 강화했다. 법 조항에 따라 인터넷 서비스 제공업체는 정부의 주기적인 개인 정보 점검을 받게 되어 있었다.

2016년 봄, 홍은 학계에 복귀를 원했지만 사이버 관리국은 계속 일할 것을 요구한다. 이러한 사이버 보안법은 의도적으로 개인 정보 보호에 관한 규정을 모호하게 만들었지만, 이 탓에 소비자 개인 정보 관리 위반과 도용이 극심한 수준에 이르렀다. 2016년 중국 인터넷 협회가 조사한 결과에 따르면, 무려 84% 이상의 응답자들이 전화번호, 주소, 은행 계좌 정보 등의 개인 정보 유출 경험이 있다고 답했다. 이는 차량 공유, 음식 배달, 그리고 금융 앱 등 개인 정보를 요구하는 디지털 서비스 업체에 대한 불신으로 이어졌고, 슈유유의 죽음은 이를 더욱 키우는 도화선이 되었다.

중국 정부는 국민들의 이러한 불신이 디지털 경제 참여를 약화할까 우려했다. 디지털 경제는 둔화세를 보이는 경제를 부양하는 중국 정부의 주요 전략이었기 때문이다. GDPR 시행으로 중국 정부는 국내 기술 기업이 해외로 진출하기 위해서는 해외 개인 정보 보호 규정을 준수해야 한다는 사실을 깨달았다.

홍은 이러한 문제를 해결하기 위해 개인 정보 보호 관리 체계(PIPS)를 구축하는 새로운 대책 위원회를 책임지게 되었다. PIPS는 비록 법적 구속력은 없지만, 중국의 기업에 규제 기관들이 사이버 보안법을 어떤 식으로 시행할지 알려 준다. 정부는 이 과정에서 기업들이 스스로 새로운 개인 정보 보호 규정을 준수하도록 유도하고자 했다.

홍이 이끄는 대책 위원회는 사이버 보안에 관한 모든 관련 문서를 번역해 중국 환경에 맞게 활용하려는 방침이다. 그들은 경제협력개발기구(OECD)와 아시아태평양경제협력체(APEC)가 내놓은 개인 정보 보호 지침은 물론 GDPR과 캘리포니아 소비자 개인 정보 보호법(CCPA)의 번역을 완료했다. 심지어 2012년 오바마 정부가 내놓았지만 법안이 통과하지는 못했던 백악관 소비자 보호 권리 장전까지 번역했다. 그 과정에서 홍은 유럽과 미국의 개인 정보 보호 규제 전문가와 학자들을 주기적으로 만났다.

홍은 수많은 문서와 협의를 통해 서서히 선택의 폭이 좁혀졌다고 말했다. 홍은 “간단하게 설명하자면, 사람들은 우리가 유럽과 미국의 모델을 둘 다 가지고 있다고 말한다”고 전했다. 두 법률은 철학은 물론 시행 면에서도 매우 다르다. 어떠한 법률을 채택할지가 홍이 이끄는 대책 위원회의 첫 논의 주제이다.

유럽 모델의 중심에는 모든 사람은 개인 정보를 보호받을 기본 권리가 있다는 전제가 있다. GDPR은 기업 등 개인 정보 수집 기관에 개인 정보가 필요한 이유를 설명할 입증 책임을 지운다. 반면, 미국 모델은 소비자 개인 정보에 대한 권한을 업계에 준다. 기업들이 적당한 개인 정보 수집 기준을 정하고, 소비자는 다만 그 기업을 이용할지 여부를 선택한다. 이러한 미국의 개인 정보 보호 규정은 유럽보다 훨씬 단편적이며, 각 산업 부문별 규제 기관과 특정 주에 따라 나뉘어진다.

질병 관리청 직원이 베이징 중심부 시청 지역에서
코로나 검사를 위해 대기 중인 사람들의 체온을 재고 있다.

당시 개인 정보 보호를 책임지는 정부법과 지정 기관이 없던 중국 모델은 미국의 보호법과 더 유사했다. 하지만 홍의 대책 위원회는 유럽의 모델이 더 설득력 있다고 보았다. 홍은 “유럽 모델의 관리 체계가 더 명확하다”라고 말했다.

하지만 대책 위원회 위원들은 대부분 바이두, 알리바바, 화웨이 등 중국 기술 대기업 직원들이었으며, GDPR은 너무 제한적이라고 생각했다. 따라서 개인 정보 수집 기준, 저장과 삭제 조건 등 전체적인 구조는 가져가되 몇몇 부분은 완화했다. 예를 들어, GDPR의 개인 정보 최소화 원칙은 꼭 필요한 개인 정보만을 수집한 뒤 서비스를 제공하도록 되어 있었다. 하지만, PIPS는 서비스 제공에 필요한 다른 개인 정보 수집도 허용한다.

2018년 5월, 마침내 PIPS와 GDPR 둘 다 시행되었다. 하지만 페이스북과 케임브리지 애널리티카 스캔들로 미국이 겪은 파동을 지켜본 중국 당국은 법적 구속력이 없는 동의서만으로는 부족하다는 사실을 깨달았다. 사이버 보안법은 개인 정보 보호를 시행하는 강한 규제책이 아니었다. 규제 기관은 법을 어긴 기업에 최대 100만 위안(14만 달러)의 벌금을 물릴 수 있도록 하였지만, 이는 대기업에는 그다지 큰 금액이 아니었다.

얼마 뒤, 중국의 최고 입법 기관인 전국 인민 대표 대회는 현 5년의 입법 기간 내 개인 정보 보호법 초안을 작성하기로 했다. 이를 통해 개인 정보 보호 조항과 처벌을 강화하고, 어쩌면 새로운 집행 기관 설립도 기대할 수 있으리라 예상했다.

홍에 따르면 케임브리지 애널리티카 스캔들 이후 “사이버 관리국은 ‘개인 정보 보호법을 시행하지 않으면 정치 파문으로 번질 수 있는 굵직한 스캔들이 터질 수 있다’는 사실을 이해했다.”

현재 경찰은 수사 끝에 슈유유를 죽음으로 이끈 사기 조직을 찾아냈다. 이들은 7명으로 구성된 조직으로 슈 외에도 많은 희생자에게 56만 위안이 넘는 위안을 뜯어냈다. 중국 법원은 슈의 죽음의 직접적인 원인은 집안에서 저축한 돈을 잃은 스트레스 때문이라고 판결하고 이같이 지속적인 범행을 해온 22세 챈원휘는 무기징역에 처하고, 나머지 일당들에게도 3-15년형의 징역을 선고했다.

용기를 얻은 중국 미디어와 소비자들은 개인 정보 침해를 더 공개적으로 비판하기 시작했다. 2018년 3월, 인터넷 검색 엔진 대기업인 바이두의 대표 이사 로빈 리는 중국인들은 “개인 정보를 안전, 편리함, 그리고 능률과 기꺼이 교환할 의향이 있다”는 발언을 한 뒤 소셜 미디어에서 집중포화를 받았다. <인민일보>는 한 소셜 미디어 사용자의 말을 인용해 이렇게 보도했다, “말도 안 된다. 더 정확히는 우리의 개인 정보를 보호하는 것이 사실상 불가능하다.”

2019년 10월 말, 소셜 미디어 사용자들은 집중력과 학습 능력 향상을 위해 뇌파 측정기를 끈 한 학생이 사진이 떠돌자 또 한 번 분노했다. 지방 교육 당국은 결국 해당 학교에 학생들의 개인 정보를 침해한다는 이유로 뇌파 측정기 사용을 중단하게 했다. 그리고 일주일 뒤, 한 법대 교수는 항저우 동물원이 지문 인식 시스템 대신 안면 인식 시스템으로 교체하면서 그의 얼굴을 저장한다는 동의를 구하지 않았다며 동물원 측을 고소했다.

하지만 소비자 개인 정보 위반을 시민들이 점차 민감하게 받아들이는 이런 상황에서도 중국 정부의 검열에 대한 제재로는 이어지지 않았다. 국제 인권 감시 단체 ‘휴먼 라이츠 워치’의 연구자인 마야 왕은 중국인들은 대부분 중국 정부의 감시 규모나 범위를 정확히 알지 못하기 때문이라고 지적한다. 미국과 유럽에서처럼 중국에서도 공공 치안과 국가 보안은 개인 정보 보호법의 면책 사항이 된다. 가령 사이버 보안법은 정부로 하여금 민간 주체에서 개인 정보를 받아 범죄 수사에 사용할 수 있도록 허용한다. 중국 공안부 역시 엄청난 양의 개인 정보를 직접 수집한다. 따라서 산업계의 개인 정보 보호 규정은 정부의 정보 접근 권한을 크게 제한하지 않고도 강화될 수 있다.

하지만 코로나바이러스가 확산되며 이 불안한 균형이 무너졌다.

2월 11일, 중국 상하이 남서부에 있는 도시 항저우에 본사를 둔 앤트 파이낸셜은 알리페이 헬스 코드라는 앱 구축 플랫폼을 출시했다. 같은 날, 항저우 시정부는 이 플랫폼을 이용해 만든 앱을 출시했다. 시정부는 이 앱을 통해 항저우 시민들에게 최근 다녀온 곳과 건강 정보를 입력하도록 하여 각각 빨강, 노랑, 초록의 점수를 준다. 갑작스럽게 1000만 명에 이르는 항저우 시민들은 지하철, 마트, 쇼핑몰 같은 공공 시설에 입장하기 위해 초록색 코드를 보여 줘야 했다. 불과 1주일 만에 100개 이상의 도시들이 알리페이 헬스 코드를 이용해 각자 앱을 구축하기 시작했다. 인터넷 포털 사이트 텐센트 역시 빠르게 자신들만의 플랫폼을 구축했다.

이러한 앱들은 위험한 수준의 정부 감시를 드러나게 했으며, 이는 또 다시 국민들 사이 열띤 토론 주제가 되었다. 3월에는 베이징 대학교의 저널리즘 교수이자 웨이보의 영향력 있는 블로거인 후용은 정부가 전염병 관리 목적으로 수집한 개인 정보가 선을 넘었다고 주장했다. 또한 그는 정부가 수집한 개인 정보가 도난 당했을 뿐 아니라 원래 목적 외의 용도로 사용될 수 있다고 주장하며 다음과 같은 질문을 던졌다 : “역사상 감시 도구를 갖춘 정부가 이 감시 도구를 조심스럽고 신중하게 사용했던 적이 있던가?”

“역사상 감시 도구를 갖춘 정부가 이 감시 도구를
조심스럽고 신중하게 사용했던 적이 있던가?”

실제로 5월 말, 항저우 시정부에서 유출된 한 문서에 따르면 정부가 국민의 운동, 수면, 흡연 등과 시민들의 행동에 점수를 매기는 또 다른 건강 앱을 만들 계획이었다는 사실이 밝혀졌다. 거센 반발 후, 시 당국 관계자들은 이 프로젝트를 취소했다. 국영 언론 매체 역시 그 앱이 도움이 되었을 것이라고 비판하는 기사를 내기도 냈다.

이 사건은 이내 중앙 정부의 귀에 들어갔다. 그 달, 중국 전국 인민 대표 대회는 개인 정보 보호법을 빠르게 통과시키겠다고 발표했다. 대회 대표들은 코로나 확산 시기 동안 정부가 수집한 개인 정보의 규모 때문에 강한 법률의 시행이 더 시급하며, 특별 비상 사태 시 정부의 개인 정보 수집 및 삭제의 범위를 규정할 필요가 있다고 강조했다. 7월, 전국 인민 대표 대회는 정부 당국이 민간 플랫폼에서 개인 정보를 가져오기 전 ‘엄격한 승인’ 절차를 거쳐야 한다고 제안했다. 이번에도 구속력이 없는 문서인 탓에 조항이 애매해 후에 더 다듬을 필요가 있지만, 하지만 이런 움직임은 기존 정부의 국가 보안 면제 조항의 ‘광범위한 범위를 한정하는 데 중요한 진전이라 할 수 있다’고 뉴 아메리카의 색스와 동료 중국 학자들은 전했다.

홍 역시 기업과 산업 데이터 수집에 적용되는 규정의 차이는 오랜 기간 지속될 수 없다고 주장했다. “어느 단체를 제외하면서 다른 단체의 문제를 해결할 수는 없다”며 그것은 “과학적 해결 방법이라고 할 수 없다”라고 주장했다.

하지만 다른 전문가들의 생각은 다르다. 휴먼 라이츠 워치의 왕은 정부가 공안부의 프로젝트의 핵심은 건들지 않고 개인 정보 수집에 대한 대중의 반발을 해소하기 위해 표면적인 노력을 할 수 있다고 주장했다. 또한 그녀는 어떠한 법도 고르지 않게 시행될 가능성이 있다며 “신장위구르 자치구의 튀르크계 무슬림들은 자신들이 어떡한 대우를 받았는지 말할 수조차 없다”고 덧붙였다.

하지만 홍은 여전한 상황을 낙관한다. 그는 7월 베이징 대학교 법대에서 학생들을 가르치기 시작했고, 지금은 사이버 보안과 개인 정보 보호에 관한 블로그를 운영하고 있다. 매달 중국의 개인 정보 보호 담당자들과 만나고 있다. 그들은 전 세계의 개인 정보 보호 관리 방식이 어떤 식으로 발전하는지 주의 깊게 살핀다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.