DeepSeek와 중국의 개인정보 보호법에 대한 고찰

최근 이슈인 중국의 언어모델인 DeepSeek와 중국의 개인정보 보호법에 관한 고찰을 진행합니다.

2025-02-11

Write By HyunSang Park

개요

  • 최근 중국의 항저우 심도구색 인공지능 기초기술 연구 유한공사에서 개발한 DeepSeek 서비스가 많은 인기를 끌고 있는 가운데 중국의 개인정보 보호 문제가 이슈화가 되고 있습니다.
  • 세계 각국의 정부기관 및 기업에서는 업무용 인터넷에서 개인정보 보호의 중국의 규제와 법과 관련되어 의문점이 있는 가운데 DeepSeek 서비스를 사용할 수 없도록 차단하고 있습니다.
  • 이러한 이슈 가운데 중국의 개인정보 보호 문제와 그와 관련된 중국의 다양한 규제 및 법에 대하여 살펴보고자 합니다.

중국 서비스의 대한 개인정보 보호는?

  • 중국 대륙에서는 개인정보 보호법 및 기타 법으로 중국 대륙에서의 개인정보와 관련되어서는 필수적으로 개인정보 보호법 및 기타 법을 지켜야지만 서비스를 운영할 수 있습니다.
  • 중국정부는 '개인정보 보호법' 시행으로 사이버 보안 분야의 법적 근거를 보강하는 동시에 외교적 수단으로 활용할 수 있는 토대를 구축함으로써 관련 분야에 대한 통제력이 강화되었습니다.
    • 국가 간 데이터 이동과 개인정보의 역외 전송이 디지털 통상에 주요한 이슈로 부상하면서 중국정보는 국제규범 제정에 참여하는 방식으로 데이터 보안 관련 법률을 선별적으로 시행되고 있습니다.
  • 중국은 2015년 국가 보안법을 통하여 국가 안보의 영역을 사이버 공간상의 안보 영역으로 확장하였습니다.
    • 중국은 하위법을 신설 및 제정하여 데이터와 관련된 보안 개념을 확립하고 데이터 처리 활동에 대한 의무와 책임을 규정하고 있으며, 데이터의 해외 이전 관리 및 감독 강화를 핵심으로 데이터의 저장 및 보관에 대해 규제하고 있습니다.

개인정보 보호법 제 38조 업무 등의 필요로 중화인민공화국 국외에 개인정보를 제공하여야만 하는 경우 개인정보처리자는 다음 조건 중 하나를 갖추어야 한다.
(1) 이 법 제 40조에 따라 국가정보통신 담당부서의 안전평가를 받는다. (2) 국가정보통신 담당부서 규정에 따라 전문기관의 개인정보 보호 인증을 진행한다.
(3) 국가정보팅신 담당부서에서 제정한 표준계약에 따라 국외에서 개인정보를 제공받는 자와 계약을 체결하고 당사자 쌍방의 권리와 의무를 약정한다.
(4) 법률・행정법규 또는 국가 정보통신 담당부서에서 정하는 그 밖의 조건을 준수한다. 중화인민공화국이 체결 또는 참가하는 국제조약・협정에 중화인민공화국 국외로 개인정보를 제공하는 조건 등의 규정이 있는 경우 그 규정에 따라 집행한다. 개인정보처리자는 국외에서 개인정보를 제공받는 자의 개인정보 처리 활동이 이 법에 따른 개인정보 보호기준을 충족하는데 필요한 조치를 취하여야 한다.

  • 중국의 개인정보 보호법 제 38조에서 다루고 있는 업무 등의 필요로 중국 이외 중국 국가로 개인정보를 이전하는 경우, 중국 당국에서 주관하는 안정성 평가 또는 중국 당국이 인정하는 전문 기관으로부터 개인정보보호 인증을 취득하는 등의 조치를 취하여야 다른 국가로의 개인정보 이전을 할 수 있습니다.
  • 중국 대륙과 홍콩, 마카오, 대만 간의 개인정보 전송도 국외 이전에 해당하며, 홍콩, 마카오, 대만 지역에 위치한 자에게 중국 대륙 지역의 개인정보를 제공하는 행위도 국외 이전에 해당됩니다.

개인정보 보호법 제 40조 핵심정보기반시설 운영자와 개인정보 처리량이 국가정보통신 담당부서에서 정한 처리한도에 도달한 개인정보처리자는 중화인민공화국 국경 내에서 수집 및 생산된 개인정보를 국내에 저장하여야 한다.
국외에 정보를 제공하는 것이 반드시 필요한 경우에는 국가정보통신 담당부서의 안전평가에 합격하여야 한다.
안전평가를 하지 않아도 된다고 법률 · 행정법규에 명시되어 있는 경우 또는 국가정보통신 담당부서가 안전평가를 면제할 수 있다고 정하는 경우 그에 따른다.

사이버 보안법 제 28조 네트워크 운영자는 국가안전과 범죄수와 관련되는 공안기관, 국가안전기관의 법적 활동에 기술지원과 협조를 제공해야 한다.

사이버 보안법 제 37조 제37조 핵심 정보 인프라 운영자는 중화인민공화국 경내 운영 과정에서 수집 및 생성된 개인정보와 중요한 데이터를 마땅히 경내에 저장해야 한다. 업무의 수요로 인해 해외에 저장할 필요가 있는 경우에는 국가 네트워크안전 및 정보화 부문이 국무원 유관부문과 공동으로 제정한 방법에 따라 안전평가를 받아야 한다.

데이터안전법 제35조 공안 기관 및 국가 안전 기관은 법에 따라 국가 안전을 지키거나 범죄를 수사하기 위해 데이터를 수집해야 할 경우 관련 국가 규정에 근거해 엄격한 비준 수속을 거쳐 법에 따라 진행해야 한다. 관련 조직과 개인은 이에 협조해야 한다.

  • 중국의 수많은 법령에선 공안 기관 및 국가 안전기관에서 법에 따라 국가 안전 및 범죄 수사 목적으로 개인정보를 열람할 수 있는 규정이 있습니다.
    • 공공익의 이유로 너무나도 광범위한 개인정보 접근이 가능합니다. 국가 안보와 관련된 경우 별도의 법원 영장 없이도 요구가 가능합니다.
  • 중국은 정부의 요청을 거부할 수 없습니다. 법령 내에 정부의 요구에 협조해야한다고 서술되어 있으며, 거부할 경우 영업정지, 벌금, 형사 처 등의 위험이 있습니다.

기술적 보안 유의사항

  • '25.02.10.(화) 국가정보원에서는 DeepSeek와 관련하여 국내 사용이 증가하는 가운데 기술 검증을 실시하였습니다.
  1. 과도한 개인정보 수집 : 여타 생성형 AI 서비스와 달리 개인을 식별할 수 있는 키보드 입력 패턴 등을 수집하여, 중국 업체 서버(volce.applog.com 등)와 통신하는 기능이 포함돼 있어 채팅 기록 등이 전송될 수 있음을 확인하였습니다.
  2. 모든 입력데이터가 서비스 학습데이터로 활용 : 사용자 입력 데이터를 학습데이터로 활용하는 것을 차단하는 기능이 없어, 사용자의 모든 정보가 학습데이터로 유입 및 활용되는 문제점을 확인하였습니다.
  3. 광고주 등과의 제한없는 정보공유 : 사용자의 서비스 이용 정보를 광고주와 무조건 공유하도록 되어 있으며, 보유기간도 명시되어 있지 않아 광고주 등과의 제한없는 사용자 정보 공유 및 무제한 보관이 가능합니다.
  4. 개인정보 국외서버 저장 : 딥시크 이용 약관 상 우리 국민들의 개인정보 및 입력데이터 등이 중국내 서버에 저장되며, 중국 법률에 따라 중국 정부 요청 시 제공할 수 있도록 되어 있음을 확인하였습니다.

요약

  • 중국의 법은 국가 안보와 공공이익이 우선되고 있으며, 이러한 법으로 인하여 개인의 권리를 침해할 수 있다는 점이 있습니다.
  • 국가안보나 공공이익을 이유로 정부가 쉽게 개인정보를 열람할 수 있도록 되어 있으며, 중국 내에서 서비스를 하는 경우 중국 내에 서버가 있어야 하는 것을 법제하여 개인정보가 해외에 저장되지 못하도록 강력하게 제지하고 있습니다.
  • 국가 안보 및 범죄 수사를 하는 경우 영장을 신청하여 열람하는 것과 달리 중국은 법원의 별도의 영장 없이 개인정보를 열람할 수 있고, 기업에서 과도한 열람을 하지 못하도록 거부할 수 있는 권리가 없습니다.
  • 우리나라에서는 모든 개인정보 열람은 법원의 영장이 필요하며, 과도한 경우 개인정보를 제공하는 회사에서 거부할 수 있는 권리가 있습니다. 또한 열람을 한 경우, 개인에게 사후 통지하도록 되어 있습니다.

참고한 글