빅데이터와 디지털 경제 시대를 맞이하여 데이터는 국가안전, 산업발전 및 개인의 일상생활 등 각 분야와 관련되는 핵심 요소로 자리잡게 되었습니다. 유럽 GDPR이 제정된 후 데이터와 개인정보에 관한 전세계적인 관심이 높아지고 있고, 최근 많은 주목을 받고 있는 ESG (Environmental, Social, Governance) 경영과 관련하여서도 데이터와 개인정보는 Social (사회) 및 Governance (지배구조) 차원에서 논의되고 있습니다.
중국 정부도 데이터를 중요한 경제적 생산요소로 취급[1] 하여 데이터 관리제도를 구축하고 있습니다. 특히 <데이터안전법>[2] (이하 “데이터안전법”) 이 2021년 9월 1일부터, <개인정보보호법>[3] (이하 “개인정보보호법”)이 2021년 11월 1일부터 연이어 시행되면서, 2017년 6월 1일부터 시행된 <네트워크안전법>[4] (이하 “네트워크안전법”)과 함께 소위 데이터 3법이 완성되었습니다. 특히 중국의 데이터 관련 법령에는 역외적용에 관한 조항도 포함되어 있기 때문에 중국에 자회사를 두고 있지 아니한 한국 기업들도 중국 데이터 3법에 관한 이해가 필요합니다.
중국에 자회사를 두고 있는 외국 기업의 경우 중국에서 수집한 데이터를 해외로 이전(Cross-border data transfer)[5] 하여야 하는 경우가 많으므로 데이터의 해외 이전을 포함한 내부관리제도를 구축할 필요가 있게 되었습니다.
중국의 데이터 관련 법률체제는 (1) 전국인민대표대회 및 상무위원회에서 제정한 법률, (2) 국가인터넷정보판공실[6] 에서 제정한 세부 규정, 그리고 (3) 지역 및 산업별 규정으로 구성되어 있는바, 데이터의 해외 이전과 관련하여 차례로 살펴보도록 하겠습니다.
I. 전국인민대표대회 및 상무위원회에서 제정한 법률
1. 네트워크안전법상 핵심정보인프라시설 운영자의 데이터 해외 이전 조치
네트워크안전법은 주로 사이버 공간의 안전과 질서를 유지하기 위해 제정한 법률로서 네트워크 운영의 안전과 네트워크 정보의 안전, 안전사고 대응방안 등에 관한 기본적인 사항을 규정한 중요한 법률입니다.
특히 자원/통신/금융/교통/공공사업 등 산업의 핵심정보인프라시설[7] 에 안전사고가 발생할 경우 주요 산업에 영향을 미칠 뿐만 아니라 국가안보와 사회경제에 심각한 손실을 끼칠 수 있습니다.
네트워크안전법 제37조에 의하면, 핵심정보인프라시설 운영자는 중국 역내에서 운영 중에 수집하고 생성한 개인정보와 중요 데이터[8]를 중국 역내에 저장하여야 하고 업무 수요로 인해 중국 역외에 제공해야 하는 경우 국가네트워크정보부서에서 국무원 유관부서와 함께 제정한 방법에 따라 안전평가를 진행해야 합니다.
2. 데이터안전법상 핵심정보인프라시설 운영자 및 기타 데이터처리자의 중요 데이터 해외 이전 조치
데이터안전법은 주로 전자 또는 기타 방식으로 된 정보에 대한 기록(즉, 데이터)[9] 의 처리를 규범화하여 데이터 안전을 보호하고자 제정된 법률로서 데이터 해외 이전의 원칙을 규정하였습니다.
데이터안전법 제31조에 의하면, (i) 핵심정보인프라시설 운영자가 중국 역내 운영 중에 수집하고 생성한 중요 데이터는 네트워크안전법의 규정을 적용하고(위 1항(1) 참조), (ii) 그 밖의 데이터 처리자가 중국 역내 운영 중에 수집하고 생성한 중요 데이터의 해외 이전은 국가네트워크정보부서가 국무원 유관부서와 함께 제정하는 안전관리방법(아래 2항 참조)을 따라야 합니다. 즉, ‘핵심정보인프라시설 운영자’를 포함하는 모든 데이터 처리자가 중국 역외에 중요 데이터를 제공하는 경우 모두 국가네트워크정보부서의 관련 규정을 준수해야 합니다.
3. 개인정보보호법상 개인정보의 해외 이전 조치
개인정보보호법은 개인정보권익을 보호하고 개인정보의 처리를 규범화 하여 개인정보의 합리적인 이용을 촉진하기 위해 제정된 법률로서 주로 개인정보의 처리 규칙, 개인정보주체의 권리, 개인정보처리자의 의무 등을 규정하여 개인정보를 보호하고 있습니다.
특히 개인정보의 해외 이전과 관련하여 개인정보주체의 별도 동의를 구하고 개인정보보호영향평가를 진행하며 기타 법정 요건을 충족해야 하는 등 우리 기업이 유의해야 하는 점들이 많습니다[10] .
II. 국가인터넷정보판공실에서 제정한 세부 규정
국가인터넷정보판공실은 데이터 해외 이전과 관련된 세부 규정에 대해 아래와 같이 5개의 의견수렴안을 공표하였으나 본 뉴스레터 작성일 현재 아직 확정되어 정식으로 공표되지는 아니하였습니다.
- 2017. 4. 11.자 <개인정보와 중요 데이터의 해외 이전 안전평가방법(의견수렴안)>
- 2019. 5. 28.자 <데이터안전관리방법(의견수렴안)>
- 2019. 6. 13.자 <개인정보 해외 이전 안전평가방법(의견수렴안)>
- 2021. 10. 29.자 <데이터 해외 이전 안전평가방법(의견수렴안)>(이하 “데이터 해외 이전 안전평가방법”)
- 2021. 11. 14.자 <네트워크 데이터 안전관리조례(의견수렴안)>(이하 “네트워크 데이터 안전관리조례”)
위 5건의 의견수렴안 중 2021년에 데이터 3법을 기반으로 작성된 데이터 해외 이전 안전평가방법과 네트워크 데이터 안전관리조례의 내용에 대해 살펴보도록 하겠습니다.
1. 데이터 해외 이전 안전평가방법
데이터 해외 이전 안전평가방법은 주로 데이터 처리자가 데이터를 해외로 이전하고자 하는 경우 중요 데이터 및 법에 따라 안전평가를 진행해야 하는 개인정보에 대해 안전평가를 진행하는 대상, 평가내용, 데이터 해외 이전 계약내용 등 안전평가방법을 규정하고 있습니다. 본 의견수렴안이 정식으로 통과되어 시행될 경우 한국 기업의 중국내 자회사들이 해외(한국 포함)로 데이터를 이전함에 있어 따라야 하는 필수 지침이 될 것으로 보입니다.
▶ 데이터 해외 이전 안전평가 신청 대상
데이터 해외 이전 안전평가방법 제4조에 의하면, 데이터 처리자가 중국 역외로 데이터를 제공함에 있어 다음 중 하나에 해당되는 경우 소재지 성급(省级) 네트워크정보부서를 통해 국가네트워크정보부서에 데이터 해외 이전 안전평가를 신고해야 합니다.
- 핵심정보인프라시설운영자(CIIO)가 수집하고 생성한 개인정보와 중요 데이터
- 중국 역외로 이전되는 데이터에 중요 데이터가 포함되는 경우
- 처리되는 개인정보가 100만명 개인의 개인정보에 도달하고, 개인정보처리자가 중국 역외로 개인정보를 이전하는 경우
- 중국 역외로 제공하는 개인정보가 누계 10만명 이상의 개인정보를 포함하거나 누계 1만명 이상의 민감 개인정보를 포함하는 경우
- 국가네트워크정보부서가 정한 기타 데이터 해외 이전 안전평가가 필요한 경우
|
▶ 데이터 해외 이전 리스크에 대한 자체평가
데이터 해외 이전 안전평가방법 제5조에 의하면, 중국 역외로 데이터를 제공하기 전, 사전에 데이터 해외 이전 리스크에 대해 자체평가를 진행해야 하며, 중점적으로 아래 사항에 대해 평가해야 합니다.
- 데이터 해외 이전 및 역외 수령자가 데이터를 처리하는 목적, 범위, 방식 등의 적법성, 정당성, 필요성
- 해외 이전 데이터의 수량, 범위, 종류, 민감 정도 및 데이터의 해외 이전으로 인해 국가안전, 공공이익, 개인 또는 조직의 적법한 권익에 미치는 위험
- 데이터 처리자의 데이터 이전 과정에서의 관리, 기술조치, 능력 등이 데이터 유출, 데이터 훼손 등 위험을 방지할 수 있는지 여부
- 중국 역외 수령자가 확약한 책임의무 및 책임의무를 이행하는 관리, 기술조치, 능력 등이 역외로 이전되는 데이터의 안전을 보장할 수 있는지 여부
- 데이터 해외 이전과 재차 이전 후의 유출, 훼손, 변조, 남용 등 위험 및 개인이 개인정보권익을 유지하는 채널이 원활한지 여부
- 중국 역외 수령자와 체결하는 데이터 해외 이전 관련 계약상 데이터 안전 보호 책임의무가 충분히 약정되었는지 여부
|
▶ 데이터 해외 이전 계약 중 데이터 안전 보호의무
데이터 해외 이전 안전평가방법 제9조에 의하면, 데이터 처리자는 중국 역외 데이터 수령자와 체결한 계약에 다음의 데이터 안전보호 의무를 충분히 약정해야 합니다.
- 데이터 해외 이전 목적, 방법, 데이터 범위, 해외 수령자의 데이터 처리 용도, 방법 등
- 데이터가 중국 역외에 보관되는 주소, 기한, 보관기간 만료, 약정 목적 완성 또는 계약 종료 후 해외 이전 데이터의 처리 조치
- 중국 역외 수령자가 이전 받은 데이터를 다른 조직, 개인에게 이전하는 것을 제한하는 조항
- 중국 역외 수령자의 실제 지배권 또는 영업범위에 실질적 변화가 발생하거나 국가, 지역 법률에 변화가 발생하여 데이터 안전을 보장하기 어려운 경우 취해야 하는 안전조치 관련 약정
- 데이터 안전 보호의무 위반의 위약책임 및 법적 구속력이 있고 집행 가능한 분쟁해결 조항
- 데이터 유출 등 리스크 발생 시 응급조치를 취하여 개인정보권익을 보호할 수 있도록 개인정보주체의 접근방법을 보장
|
2. 네트워크 데이터 안전관리조례
네트워크 데이터 안전관리조례는 주로 사이버 공간에서 네트워크를 이용하여 진행되는 데이터 처리행위에 대한 전반적인 안전관리의 구체적 내용에 대해 규정하고 데이터 해외 이전과 관련해서는 데이터 처리자의 연간 안전보고서 제출 의무 및 기타 의무사항을 규정하였습니다. 본 의견수렴안이 정식으로 통과되어 시행될 경우 데이터를 해외로 이전한 데이터 처리자는 매년 안전보고서를 제출하는 등 주관당국의 지속적인 감독관리를 받을 것으로 예상됩니다.
▶ 데이터처리자의 매년 안전보고서 제출 의무
네트워크 데이터 안전관리조례 제40조에 의하면, 중국 역외로 개인정보 및 중요 데이터를 제공한 데이터 처리자는 매년 1월 31일 전까지 데이터 해외 이전 안전보고서를 작성하여 구(區)를 설치한 시 급(市級) 네트워크정보부서에 아래 내용을 포함하는 전년도 데이터 해외 이전 상황을 보고해야 합니다.
- 모든 데이터 수령자의 명칭, 연락처
- 해외 이전 데이터의 유형, 수량 및 목적
- 데이터 해외 보관 주소, 보관 기간, 사용 범위 및 방법
- 데이터 해외 이전과 관련된 고객의 신고 및 처리 상황
- 데이터 안전사건의 발생 상황 및 처리 상황
- 데이터 해외 이전 후 재 이전 상황
- 국가네트워크정보부서가 명확히 요구한 데이터 해외 이전에 보고해야 하는 기타 사항.
|
III. 지역 및 산업별 규정
위 중국 전역에 적용되는 법률·법규 외에 각 지방 정부 및 각 산업 협회와 산업별 주관 당국에서도 데이터 관련 세부 규정을 제정하고 있습니다.
1) 특히 상해시와 심천시 정부는 이미 해당 지역 내에서의 데이터 처리 및 보호에 관한 규정을 제정하였는바, 기타 지방 정부에서도 잇달아 데이터 관련 규정을 공표할 것으로 예상됩니다.
-
2022. 1. 1. 상해시 인민대표대회상무위원회 <상해시 데이터 조례> 공표
-
상해시는 국가 법률규정에 따라 임강신구역(临港新片区)내에서 저(低)리스크 데이터의 국가 간 이전 리스트를 작성하여 데이터의 해외 이전 안전과 자유로운 이전을 촉진하고 임강신구역 내에서 법에 따라 데이터의 해외 이전 활동을 영위하는 자연인, 법인 및 비(非)법인조직은 정부당국의 요구에 따라 관련 정보를 신고해야 합니다.
2) 한편, 금융업, 의료건강, 교통, 자동차 등 다양한 산업별 데이터 관련 규정도 다수 시행 중이거나 의견수렴 중에 있으며, 해당 산업에 소속되어 있는 우리 기업들은 관련 규제 동향에 유의할 필요가 있습니다.
-
금융산업 관련
-
<중국인민은행의 은행업 금융기구의 개인 금융정보 보호 사업에 대한 통지>[11] 에 의하면, 중국 역내에서 수집된 개인금융정보의 저장, 처리, 분석은 중국 역내에서 진행되어야 합니다. 법률법규 및 중국인민은행의 별도 규정이 있는 경우를 제외하고 은행업 금융기구는 중국 역외로 개인의 금융정보를 제공하지 못합니다.
-
<신용평가업 관리조례>[12] 에 의하면, 신용평가기구가 중국 역내에서 수집한 정보의 정리, 저장, 가공은 중국 역내에서 진행되어야 하며 신용평가기구는 중국 역외 조직이나 개인에게 정보를 제공함에 있어 법률 및 행정 법규와 국무원 신용평가감독관리부처의 관련 규정을 준수하여야 합니다.
-
<보험회사 개업 검수 지침>[13] 에 의하면, 업무 데이터, 재무 데이터 등 중요 데이터는 중국 역내에 보관되어야 하며 독립된 데이터 저장 설비를 갖추고 그에 상응한 안전보호 조치 및 타지에서의 백업 조치를 취할 것을 요구합니다.
-
의료건강산업 관련
-
<인구건강정보관리방법(시행)>[14] 에 의하면, 개인의 건강정보를 해외 서버에 저장하는 것은 금지되고 해외 서버를 신탁, 임대하는 것도 금지됩니다.
-
<인류유전자원관리조례>[15] 에 의하면, 외국 조직, 개인 및 그가 설립 또는 실제로 지배하는 기구가 중국 역내에서 인류 유전자원을 수집, 저장하는 것을 금지하고 중국 역외에 중국의 인체유전자원을 이전하는 것도 금지합니다.
-
교통산업 관련
-
<지도관리조례>[16] 에 의하면, 온라인 지도 서비스 업체는 지도 데이터 서버를 중국 역내에 설치해야 하고 온라인 지도 데이터 안전관리제도 및 보호조치를 취해야 합니다.
-
<네트워크 예약 택시 영업 서비스 관리 잠행방법>[17] 에 의하면, 온라인 차량 예약 플랫폼 업체는 국가 규정에 따라 수집한 개인정보와 생성된 업무 데이터를 중국 역내에서 저장, 사용해야 하며 그 저장기간은 최소 2년이며 법률법규가 따로 규정하는 경우를 제외하고 위 정보와 데이터의 해외 이전을 금지합니다.
-
자동차 산업 관련
-
<자동차 데이터 안전 관리 약간 규정(시행)>[18] 에 의하면, 자동차 산업 관련 중요 데이터는 역내에 저장해야 하며 업무 수요로 인해 중국 역외로 이전해야 하는 경우에 국가네트워크정보부서와 국무원 유관부서의 안전평가에 통과해야 합니다.
IV. 시사점
현재 국가인터넷정보판공실에서는 <네트워크 데이터 안전 조례>, <데이터 해외 이전 안전평가방법>, <개인정보 해외 이전 표준계약 규정>, <안면인식기술응용 안전관리 잠행규정> 및 데이터안전, 개인정보보호 관련 준법감사제도와 관련 표준, 데이터 등급분류 지침과 규칙 등 데이터안전법, 개인정보보호법 관련 제반 규정들의 제정 작업에 박차를 가하고 있습니다. 따라서, 2022년에는 실무적으로 매우 중요한 세부 규정들이 다수 제정될 것으로 예상됩니다.
이에 우리 기업으로서는 위와 같은 세부 규정, 특히 각 산업별 세부 규칙의 입법 동향을 모니터링하면서 데이터 관련 내부 compliance 제도를 구축하고 지속적으로 update 할 필요가 있게 되었습니다.
- 2021년 12월 21일 발표한 <국무원 판공청의 요소 시장화 배치 종합 개혁 시범 총체 방안에 대한 통지>(国务院办公厅关于印发要素市场化配置综合改革试点总体方案的通知(国办发〔2021〕51号)) 참고
- 《中华人民共和国数据安全法》
- 《中华人民共和国个人信息保护法》
- 《中华人民共和国网络安全法》
- <개인정보와 중요 데이터 해외 이전 안전평가방법(의견수렴안) > 제17조에 의하면, “데이터의 해외 이전”이라 함은 네트워크 운영자가 중국 역내의 운영 과정에서 수집하고 발생한 개인정보와 중요 데이터를 중국 역외에 위치한 기관, 조직, 개인에게 제공하는 것을 가리킵니다.
- 国家互联网信息办公室
- 핵심정보인프라시설 범위 및 운영자 의무 등 관련 내용은 본 법무법인의 2021. 10. 15.자 뉴스레터를 참고하시기 바랍니다.
- <데이터 안전 관리방법> 제38조 제5항에 의하면, “중요 데이터”란 일단 유출되면 국가안전, 경제안전, 사회안정, 공공건강과 안전에 직접적 영향을 미치는 데이터를 가리킵니다.
- 데이터안전법이 규율하는 데이터(정보)는 개인정보에 한하지 아니하고 개인과 무관한 정보도 포함됩니다.
- <개인정보보호법> 관련 내용은 본 법무법인의 2021. 10. 29.자 뉴스레터를 참고하시기 바랍니다.
- 《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》
- 《征信业管理条例》
- 《保险公司开业验收指引》
- 《人工健康信息管理办法(试行)》
- 《人类遗传资源管理条例》
- 《地图管理条例》
- 《网络预约出租汽车经营服务管理暂行办法》
- 《汽车数据安全管理若干规定(试行)》