1. 본 규정의 제정 배경

중국 정부는 2021년 11월 1일 ‘개인정보보호법’ 발효 이후, 경외 데이터 전송에 대한 실무 세칙으로 ‘데이터 경외이전 보안 평가 방법¹’과 ‘개인 정보 경외이전 표준 계약 방법²’을 공포 및 시행하였습니다.

그런데 상기 규정들에 의하면, 중국에서 단 1건의 개인정보를 해외에 전송하더라도 <개인정보 경외이전 표준계약>을 체결하고 신고해야 하는 등 과도한 의무를 부담해야 했습니다. 이로 인해 중국에 진출한 외국계 기업들은 중국 자회사 소속 직원들의 개인정보를 제공받기 위해서는 상당히 까다로운 절차를 거쳐야 하는 등의 문제가 있었고, 실무적으로는 상기 규정들을 제대로 준수하지 않는 경우도 종종 발생하게 되었습니다.

이러한 문제를 해소하기 위하여, 2023년 9월 28일, 중국 국가인터넷정보국은 ‘데이터 경외이전의 규범화와 촉진에 관한 규정(의견수렴안)(이하 “본 규정안”이라 함)’을 발표하였습니다. 본 규정안에서는 중국에서 데이터를 경외로 전송할 때 보안평가를 받지 않거나, 개인정보의 경외전송 표준계약을 체결하지 않아도 되는 경우를 명확히 규정하여 규제측면에서 융통성을 도모할 수 있도록 하였습니다. 본 뉴스레터에서는 본 규정안의 주요내용과 시사점을 말씀드리고자 합니다. 

2. 본 규정의 주요내용

본 규정안에서는 경외이전하는 데이터의 수량이 적고 영향력이 크지 않은 경우 (i)데이터 경외이전 보안평가, (ii)개인정보 경외이전 표준계약의 체결, (iii)개인정보보호인증 의무를 면제하였습니다. 구체적으로 이러한 의무가 면제되는 경우는 아래와 같습니다.

(1) 영향력이 크지 않은 경우에 대한 의무 면제

(i) 국제무역, 학술협력, 다국적 생산제조, 마케팅 등의 활동에서 생성된 데이터의 경외이전에 개인정보 또는 중요 데이터³가 포함되지 않은 경우

(ii) 관련 정부부서 또는 지방정부가 중요데이터로 고지하였거나 공개적으로 반포한 데이터가 아닌 경우 

(iii) 경내에서 수집하여 생성된 개인정보가 아닌 경우

(iv) 다음 각 호의 어느 하나에 해당하는 경우

• 해외 쇼핑, 경외 송금, 항공권 및 호텔 예약, 비자 발급 등 개인이 당사자인 계약의 체결 및 이행에 필요한 개인 정보를 해외에 제공하는 경우
• 법에 따라 제정된 노동 규칙 및 규정과 법률에 따라 체결된 단체 계약에 따라 인적 자원 관리를 위해 내부 직원의 개인 정보를 경외에 제공해야 하는 경우
• 긴급한 상황에서 생명건강과 재산을 보호하기 위해 개인정보를 경외에 제공해야 하는 경우

(2) 데이터 수량이 많지 않은 경우에 대한 의무 면제

(i) 1년 이내에 경외에 1만명 미만의 개인정보를 제공할 것으로 예상되는 경우

(ii) 1년 이내에 1만명 이상 100만명 미만의 개인정보를 경외에 제공할 것으로 예상되는 경우에는 여전히 해외 수령자와 개인정보 경외이전 표준계약을 체결하고 성급 인터넷 정보보호부서에 등록하거나 개인정보보호 인증을 통과해야 하나, 데이터 경외이전 보안 평가는 받지 않아도 됩니다⁴.

(3) 자유무역시범구 관련 특례

자유무역시범구는 데이터 경외이전 보안 평가, 개인정보 경외이전 표준 계약, 개인정보 보호 인증 관리 범위에 들어가는 데이터 리스트(이하 “네거티브 리스트”)를 별도로 작성할 수 있도록 하여, 자유무역시범구에 관리 범위에 대한 재량권을 부여하였습니다. 이에 따라 자유무역시범구에서 네거티브 리스트에 포함되지 않은 데이터를 경외이전 할 경우에는 데이터 경외이전과 관련한 의무가 면제됩니다. 

3. 시사점

본 규정안에 의하면 본 규정은 ‘데이터 경외이전 보안 평가 방법’ 및 ‘개인 정보 경외이전 표준계약 방법’보다 우선 적용됩니다. 이는 기존 규정에서 정한 데이터 경외이전에 대한 과도한 의무를 완화하고 기업들의 데이터 경외이전과 관련한 불필요한 장애를 줄여줌으로써 정상적인 기업활동을 촉진하기 위한 것으로 보입니다. 

다만, 유의할 점은 본 규정안에는 여전히 일부 명확하지 않은 부분(예를 들면, “1년 이내 경외에 1만명 미만의 개인정보를 제공”에서의 1년은 언제부터 산정하는지 등)이 존재하고, 최종 공포될 규정에서 경외이전 데이터의 중요도나 수량 등에 대한 기준이 달라질 수도 있다는 점입니다. 따라서 본 규정안과 관련한 입법 진행상황에 대해서 지속적으로 관심을 가질 필요가 있어 보입니다.

또한, 본 규정안에서 개인정보보호법상의 데이터 경외이전에 대한 모든 의무를 완화한 것은 아니며, 개인정보를 경외이전하기 전에 이행해야 하는 자체평가, 개인정보 주체의 동의취득 등 의무사항은 여전히 존재합니다. 따라서 기업들이 중국으로부터 개인정보를 제공받고자 하는 경우 개인정보보호와 관련한 컴플라이언스에 문제가 생기지 않도록 구체적인 상황에 입각한 종합적인고 전체적인 법 규정 검토가 필요하다는 점에 유의하시기 바랍니다. 
 

¹ 해당 규정에 따르면 데이터 처리자가 (1) 경외에 중요데이터를 제공하거나, (2) 핵심정보기초시설 운영자와 100만 명 이상의 개인정보 데이터 처리자가 경외에 개인정보를 제공하는 경우, (3) 전년 1월 1일부터 경외에 누적 10만 명의 개인정보 또는 1만 명의 민감개인정보 데이터 처리자가 경외에 개인정보를 제공하는 경우, (4) 국가의 인터넷 정보 부서가 기타 데이터 경외이전 보안평가가 필요하다고 인정한 경우에는 소재지의 성급 인터넷 정보부서를 통해 국가 인터넷 정보 부서에 데이터 경외이전 보안평가를 신청해야 합니다(제4조).
² 해당 규정에 따르면 개인정보처리자는 (1) 핵심정보기초시설 운영자가 아닌 경우, (2) 개인정보 처리량이 100만 명 미만인 경우, (3) 전년 1월 1일부터 경외로 제공한 누적 개인정보가 10만 명 미만인 경우, (4) 전년 1월 1일부터 경외로 제공한 민감개인정보가 1만명 미만인 경우에는 경외로 개인정보를 제공할 때 표준계약의 형식에 따라야 합니다. 또한 개인정보처리자는 개인정보를 경외로 제공하기 전에는 개인정보보호영향평가를 시행해야 합니다(제4조, 제5조)
³ 중요데이터란 일단 변조, 파괴, 누설 또는 불법취득, 이용되면 국가안전, 경제운영, 사회의 안정, 공공건강과 안전에 위해를 끼칠 수 있는 데이터를 가리킵니다(데이터 경외이전 보안 평가 방법 제19조).
⁴ 100만명 이상의 개인정보를 경외에 제공한 경우에는 여전히 데이터 경외이전 보안 평가를 신청해야 합니다.