중국 <데이터 경외이전의 촉진과 규범화에 관한 규정>(이하 “본 규정”)의 의견수렴안이 2023. 9. 28. 제정된 이후 공시 및 보완 절차를 거쳐 지난 2024. 3. 22. 부터 공식 공표 및 시행되었습니다. 본 규정은 데이터 처리자의 데이터 경외1 전송 시 다소 과도하게 부과되어 왔던 기존의 (i) 안전평가, (ii) 전문기관의 개인정보보호인증 취득, (iii) 표준계약 체결 및 신고 등 의무(이하 통칭하여 “경외이전 신고의무”)를 완화하는데 목적이 있습니다.
이러한 규제의 완화로 인하여, 외국계 기업들의 중국 현지법인이 데이터나 소속 직원들의 개인정보를 경외로 이전하는 과정에서 거쳐야 할 절차가 간소화되면서 데이터 컴플라이언스 부담을 크게 덜어줄 것으로 예상됩니다.
본 뉴스레터에서는 본 규정의 주요내용과 그 시사점에 대해 살펴보도록 하겠습니다.
1. 주요내용
(1) 데이터 안전 차원의 영향이 크지 않은 데이터에 대한 경외이전 신고의무 면제
본 규정에서는 아래 어느 하나에 해당할 경우 관련 데이터에 대한 경외이전 신고의무를 면제하기로 하였습니다.
- 개인을 일방 당사자로 하는 계약의 체결 및 이행을 위하여 개인정보를 경외로 제공할 필요가 명확히 존재하는 경우(예컨대, 해외쇼핑, 국제택배, 해외송금, 해외지급, 해외계좌 개설, 항공권·호텔 예약, 비자발급, 시험 관련 서비스 등을 위하여 필요한 경우)
- 법에 따라 제정한 노동규칙2과 법에 근거하여 체결한 단체계약에 따라 국경간 인적자원관리를 실시하기 위하여, 직원의 개인정보를 경외로 이전할 필요가 명확히 존재하는 경우
- 긴급한 상황에서 자연인의 생명건강 및 재산안전을 보호하기 위하여, 개인정보를 경외로 이전할 필요가 명확히 존재하는 경우
- 핵심정보 인프라3 운영자(CIIO) 외의 기타 데이터 처리자가 당해 년도 1월 1일부터 경외로 누계 10만명 미만의 개인정보(민감개인정보4 제외)를 제공하는 경우
- 국제무역, 국제운수, 학술합작, 글로벌 제조 및 마케팅 등 사업 과정에서 수집 또는 발생한 데이터에 개인정보 또는 중요데이터5가 포함되지 아니할 경우
- 그 외, 경외에서 수집 및 발생한 개인정보를 중국 내에서 처리하고, 다시 경외로 제공하는 과정에서 중국 내의 개인정보 또는 중요데이터가 추가되지 않는 경우
(2) 경외이전 신고의무 면제대상 외 데이터에 대한 경외이전 신고의무 완화
본 규정에서는 경외이전 신고의무 면제대상 이외의 데이터에 대하여도 경외이전 신고의무를 일부 완화하였습니다. 주요 변경내용은 다음과 같습니다.
| 구분 | 기존 규정 | 본 규정 |
|---|---|---|
| 안전평가 의무 대상 범위 축소 |
(i) 데이터 처리자가 경외로 중요데이터를 제공하는 경우 (ii) 핵심정보 인프라 운영자와 100만명 이상의 개인정보를 처리하는 데이터 처리자가 경외로 개인정보를 제공하는 경우 (iii) 직전 년도 1월 1일부터 경외로 누적 10만명 이상의 개인정보 또는 1만명 이상의 민감개인정보를 제공한 데이터 처리자가 경외로 개인정보를 제공하는 경우 (iv) 국가의 인터넷 정보 부서가 규정한 것으로 기타 데이터 경외이전 안전평가가 필요한 경우 (<데이터 경외이전 안전평가 방법> 제4조) |
(i) 핵심정보 인프라 운영자가 경외로 개인정보 또는 중요데이터를 제공하는 경우 (ii) 핵심정보 인프라 운영자 외의 데이터 처리자가 경외로 중요데이터를 제공하거나, 당해 년도 1월 1일부터 경외로 누적 100만명 이상의 개인정보(민감개인정보 제외) 또는 1만명 이상의 민감개인정보를 제공하는 경우 (<본 규정> 제7조) |
| 안전평가 유효기간 연장 |
데이터 경외이전 안전평가 결과는 평가 결과가 발부된 날로부터 2년간 유효함. 유효기간이 만료된 후, 데이터 경외이전활동을 계속 수행해야 하는 경우, 데이터 처리자는 유효기간이 만료되기 60영업일 전에 재평가를 신청해야 함. (<데이터 경외이전 안전평가 방법> 제14조) |
데이터 경외이전 안전평가 결과는 평가 결과가 발부된 날로부터 3년간 유효함. 유효기간이 만료된 후, 데이터 경외이전활동을 계속 수행해야 하고 데이터 경외이전 안전평가를 다시 받아야 하는 상황이 발생하지 않은 경우6, 데이터 처리자는 유효기간이 만료되기 60영업일 전에 평가결과 유효기간 연장(3년)을 신청할 수 있음. (<본 규정> 제9조) |
| 표준계약 체결 대상 축소 |
(i) 핵심정보 인프라 운영자가 아닌 경우 (ii) 처리하는 개인정보가 100만명 미만인 경우 (iii) 직전 년도 1월 1일부터 경외로 제공한 개인정보가 누적 10만명 미만인 경우 (iv) 직전 년도 1월 1일부터 경외로 제공한 민감개인정보가 1만명 미만인 경우 (<개인정보 경외이전 표준계약방법> 제4조) |
핵심정보 인프라 운영자 외의 데이터 처리자가 당해 년도 1월 1일부터 경외로 누적 10만명 이상, 100만명 미만의 개인정보(민감개인정보 제외) 또는 1만명 미만의 민감개인정보를 제공하는 경우 (<본 규정> 제8조) |
| 개인정보보호인증 대상 명시 |
개인정보보호인증 대상에 대한 명확한 기준이 없었음. | 핵심정보 인프라 운영자 외의 데이터 처리자가 당해 년도 1월 1일부터 경외로 누적 10만명 이상, 100만명 미만의 개인정보(민감개인정보 제외) 또는 1만명 미만의 민감개인정보를 제공하는 경우 (<본 규정> 제8조) |
(3) 자유무역시험구 네거티브 리스트 제도 도입
자유무역시험구는 국가의 인터넷 정보 부서의 승인을 거친 후 자주적으로 경외이전 신고의무가 필요한 데이터 리스트(이하 “네거티브 리스트”)를 작성할 수 있습니다. 이 경우 자유무역시험구 내의 데이터 처리자는 네거티브 리스트 범위 외의 데이터를 경외이전 신고없이 자유롭게 경외로 이전할 수 있습니다.
2. 시사점
(1) 핵심정보 인프라 운영자 외 데이터 처리자의 경외이전 신고의무 완화
기존 규정에 의하면, 과거에는 핵심정보 인프라 운영자가 아닌 (i) 100만명 이상의 개인정보를 처리하는 데이터 처리자가 경외로 단 1건의 개인정보를 제공하더라도 안전평가 의무를 이행해야 하고, (ii) 100만명 미만의 개인정보를 처리하는 데이터 처리자가 경외로 단 1건의 개인정보를 제공하더라도 표준계약을 체결해야 했으며, 표준계약 체결에 관한 신고(비안) 절차를 이행해야 했습니다. 하지만, 본 규정에서는 이러한 내용을 완화 또는 삭제함으로써, 데이터 처리자가 처리하는 데이터의 수량 기준이 아닌, 경외로 제공하는 데이터의 수량 기준으로 경외이전 신고의무를 부과하게 되었고, 이에 따라 일반 기업들의 데이터 경외이전 관련 의무가 대폭 완화되었습니다.
또한, 기존 규정에 의하면, 과거에는 (iii) 경외로 제공하는 개인정보가 누적 10만명 이상, 100만명 미만인 경우 난이도가 높은 안전평가 의무를 이행해야 했으나, 본 규정에서는 난이도가 훨씬 낮은 표준계약 체결 또는 개인정보보호인증 취득 의무로 대폭 완화하였고, (iv) 데이터 경외이전의 수량 기준을 직전 년도부터 누적하여 계산하는 것을 당해 년도부터 누적 계산하는 것으로 변경함으로써, 경외이전 데이터의 수량 기준도 완화하였으며, (v) 안전평가에 관한 일반조항(즉, 기타 국가의 인터넷 정보 부서가 데이터 경외이전 안전평가가 필요한 것으로 규정한 경우)을 삭제함으로써, 기업들이 예상하지 못하게 안전평가를 받아야 하는 상황이 발생할 가능성을 차단하였습니다.
(2) 기존 규정 중 불명확한 내용을 보완하여 실무적 부담 경감
기존 규정에는 중요데이터에 대한 개념상 정의만 있었을 뿐, 이에 대한 명확한 판단 근거나 이러한 판단을 주관하는 담당부서도 명확히 규정하지 않아 기업들이 중요데이터에 해당하는지 여부를 판단함에 있어 실무적인 어려움을 겪었습니다. 본 규정에서는 정부부서가 중요데이터 여부에 대해 판단하고, 고지하거나 공개하도록 함으로써, 일반 기업들이 취급하는 데이터가 중요데이터에 해당하는지 여부를 판단하는 과정에서의 실무적인 부담이 대폭 줄었습니다.
한편, 기존 규정에는 개인정보보호인증 대상에 대한 명확한 기준도 없어 실무적으로 개인정보보호인증 업무를 진행하기 어려운 상황이었습니다. 하지만 본 규정에서는 표준계약 체결 대상과 동일한 기준으로 개인정보보호인증 대상을 명확히 정함으로써, 향후 실무적으로 개인정보보호인증 업무도 활발하게 진행될 것으로 예상됩니다.
(3) 데이터 처리자의 개인정보 경외이전 시 유의사항
본 규정에 따라 개인정보 경외이전 신고의무가 면제 또는 완화는 되었으나, 이와 관련한 다른 의무(가령, (i) 개인정보주체에 대한 고지 및 동의 취득 의무, (ii) 개인정보보호 영향평가 진행 의무, (iii) 기타 <개인정보보호법> 등 관련 법률/법규에 따른 컴플라이언스 준수 의무)까지 면제 또는 완화된 것은 아닙니다. 따라서, 기업들이 향후 중국 현지법인으로부터 개인정보를 제공받거나 개인정보에 직접 접근하고자 하는 경우, 개인정보 경외이전과 관련한 컴플라이언스에 문제가 생기지 않도록 구체적인 상황에 입각한 종합적인 검토가 필요하다는 점에 유의하실 필요가 있습니다.
또한, 본 규정에는 여전히 명확하지 않은 부분이 있습니다. 가령, 경외이전 신고의무가 면제되는 조건 중 “국경간 인적자원관리를 실시”(어떠한 경우가 국경간 인적관리를 실시하는 경우에 해당하는지 명확하지 않음), “경외로 이전할 필요가 명확히 존재”(어떤 경우가 이전 필요성이 명확히 존재하는 경우인지 분명하지 않음) 등 문구의 해석상 논란의 여지가 있는 부분이 적지 않습니다. 이러한 부분에 대한 해석과 관련하여서는 시행세칙, 가이드라인 등 주관부서의 실무지침이나 실제 운용 실무가 중요할 것으로 보이는 바, 향후 이와 관련된 정책과 실무 동향을 지속적으로 파악할 필요가 있습니다.
마지막으로, 자유무역시험구에 소재한 기업의 경우, 해당 자유무역시험구의 구체적인 관련 규정 및 네거티브 리스트 등에 대한 지속적인 모니터링을 통해 경외로 이전할 데이터의 신고의무 이행 필요 여부 등을 확인할 필요가 있겠습니다. 아울러, 경외로의 데이터 이전 수요가 많은 기업의 경우, 자유무역시험구 내에 현지법인을 설립하거나 이미 설립한 현지법인을 자유무역시험구 내로 이전하는 것도 고려할 수 있어 보입니다.
1 “경외”라 함은 중국 이외의 국가와 홍콩, 마카오, 대만 지역을 포함한 개념임.
2 직원수책이나 사규로 이해하시면 됨.
3 “핵심정보 인프라”는 공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정무, 국방과학기술공업 등 중요한 산업과 영역의 네트워크 인프라, 정보 시스템 및 기타 파괴되거나 기능을 상실하거나 데이터가 유출될 경우 국가안전, 국가경제와 민생, 공공이익에 심각한 위해를 끼칠 수 있는 중요 네트워크 인프라, 정보 시스템 등을 말함(<핵심정보 인프라 안전보호조례> 제2조).
4 “민감개인정보”란 유출되거나 불법적으로 사용될 시, 자연인의 인격존엄이 침해를 받거나 신체, 재산의 안전이 위해를 받을 수 있는 개인정보로서, 생체인식, 종교신앙, 특정신분, 의료건강, 금융계좌, 이동경로 등 정보와 만 14세 미만 미성년자의 개인정보가 포함됨(<개인정보보호법> 제28조).
5 “중요데이터”란 일단 변조, 파괴, 누설, 불법취득, 불법이용 등의 상황 발생할 시 국가안전, 경제운영, 사회안전, 공공보건 및 안전 등에 위해를 초래할 수 있는 데이터를 의미함(<데이터 경외이전 안전평가 방법> 제19조). 다만, 본 규정에 의하면, 정부부서가 중요데이터에 해당한다고 알리거나 공개한 데이터가 아니면, 데이터 처리자는 안전평가 의무를 부담하지 않음(<데이터 경외이전의 촉진과 규범화에 관한 규정> 제2조).
6 안전평가를 다시 받아야 하는 상황은 다음과 같음(<데이터 경외이전 안전평가 방법> 제14조).
(i) 경외로 데이터를 제공하는 목적, 방식, 범위, 종류 및 경외 수령자가 데이터 처리 용도, 방식 등을 변경하여 경외이전 데이터 안전에 영향을 주거나 개인정보와 중요데이터의 경외 보존기간을 연장한 경우
(ii) 경외 수령자 소재 국가 또는 지역의 데이터 안전보호 정책, 법규 및 네트워크 안전환경이 변경되거나 기타 불가항력적인 상황이 발생하거나, 데이터 처리자 또는 경외 수령자의 실제지배권이 변경되거나 데이터 처리자와 경외 수령자의 법률문서가 변경되는 등 경외이전 데이터 안전에 영향을 주는 경우
(iii) 기타 경외이전 데이터 안전에 영향을 주는 경우
