중국 국가인터넷정보사무실[1]은 2022. 7. 7. 「데이터 역외 이전 안전 평가방법」[2](이하 “「안전평가방법」”)을 공포하였고, 「안전평가방법」은 2022. 9. 1.부터 시행됩니다.
중국 「네트워크안전법」 제37조[3], 「데이터안전법」 제31조 [4] 및 「개인정보보호법」 제31조[5](이상의 3개 법률을 총칭하여 편의상 “데이터 3법”)는 핵심정보인프라시설운영자(Critical Information Infrastructure Operator: CIIO) 또는 국가네트워크정보부서가 정한 수량 이상의 개인정보를 처리하는 개인정보 처리자가 중국 역외에 중요 데이터 또는 개인정보를 제공하는 경우 안전평가를 받도록 규정하고 있었으나, 데이터 3법이 시행된 이래 국가네트워크정보부서에서 안전평가 관련 세부규정을 제정하지 아니하여 실무상 중국 내 기업들이 중요 데이터와 개인정보 역외 이전 업무를 처리함에 있어 명확한 가이드라인이 없었습니다.
이에 중국 국가인터넷정보사무실[6]은 2017년 「개인정보와 중요 데이터 역외 이전 안전평가방법(의견수렴안)」, 2019년 「개인정보 역외 이전 안전평가방법(의견수렴안)」, 2021년 「데이터 역외 이전 안전평가방법(의견수렴안)」을 거쳐, 이번에 「안전평가방법」을 제정 및 공포하기에 이르렀습니다.
「안전평가방법」은 총 20조로 구성되었으며, 데이터 처리자가 중국 역외로 중요 데이터와 개인정보를 제공할 때 안전평가의 적용범위, 안전평가원칙, 자체안전평가 및 절차, 안전평가요점, 안전평가신고 등 내용을 포함하고 있습니다. 아래에서는 「안전평가방법」의 핵심 내용과 「안전평가방법」 시행으로 인해 우리 기업에 미치는 영향에 대해 간략히 살펴보겠습니다.
I. “데이터 역외 이전”의 의미
「안전평가방법」에서는 “데이터 역외 이전”의 정의를 두지 않았으나, 국가 네트워크정보부서의 「안전평가방법」에 관한 답변에서 “데이터 역외 이전”은 주로 다음과 같은 2가지 경우를 의미한다고 설명하였습니다.
1) 데이터 처리자가 중국 역내 운영 중에 수집하고 생성한 데이터를 중국 역외에 전송 또는 저장한 경우
2) 데이터 처리자가 수집 및 생성한 데이터가 중국 역내에 저장되었으나, 중국 역외 기구, 조직 또는 개인이 접속 또는 사용할 수 있는 경우
II. 데이터 처리자의 안전평가 신고의무를 명시
1. 데이터 처리자는 중국 역외에 데이터를 제공함에 있어 아래의 하나에 해당하는 경우, 사전 역외 이전 리스크에 대한 자체 평가를 진행한 후, 성급(省級) 네트워크부서를 통해 국가 네트워크 정보부서에 데이터 역외 이전 안전평가를 신고해야 합니다(제4조, 제5조).
1) 데이터 처리자가 역외에 중요 데이터[7] 를 제공하는 경우
2) 핵심정보인프라시설운영자(CIIO)와 100만명 이상의 개인정보를 처리하는 데이터 처리자가 역외에 개인정보를 제공하는 경우
3) 전년도 1. 1.부터 역외에 제공한 개인정보가 누계 10만명 이상이거나 역외에 제공한 민감 개인정보가 누계 1만명 이상인 경우
4) 국가네트워크정보부서가 정한 기타 데이터 역외 이전 안전 평가가 필요한 경우
2. 데이터 처리자는 중점적으로 아래 사항에 대해 평가해야 합니다(제5조).
1) 데이터 역외 이전 및 데이터 역외 수령자의 데이터 처리목적, 범위, 방식 등의 적법성, 정당성 및 필요성
2) 역외로 이전되는 데이터의 규모, 범위, 유형, 민감 정도, 데이터 역외 이전이 국가안전, 공공이익, 개인 또는 조직의 합법적 권익에 가져다 주는 리스크
3) 역외 데이터 수령자가 부담할 것을 약속한 책임 및 의무, 책임 및 의무를 이행함에 있어서의 관리 조치, 기술 조치, 능력 등이 데이터 역외 이전 안전을 보장할 수 있는지 여부
4) 데이터의 역외 이전 중 및 역외 이전 후 변조, 파괴, 유출, 분실, 이전 또는 불법 취득, 불법 이용 등 리스크에 노출되는 경우에 개인정보권익이 보호받는 채널이 원활한지 여부 등
5) 데이터 처리자가 역외 데이터 수령자와 체결 예정인 데이터 역외 이전 관련 계약 또는 기타 법적 효력을 가지는 서류 등에서 데이터 안전 보호 책임 및 의무를 충분하게 약정하였는지 여부
※ 해당 계약에는 적어도 다음의 내용을 포함해야 함(제9조).
① 데이터 역외 이전의 목적, 방식 및 데이터 범위, 역외 수령자가 데이터를 처리하는 용도, 방식 등
② 데이터의 역외 저장 장소, 기간 및 저장기간 만료 후, 약정한 목적을 달성한 후 또는 법률문서가 종료된 후의 데이터에 대한 처리 조치
③ 역외 데이터 수령자가 해당 데이터를 기타 조직, 개인에게 재차 이전함에 대한 제약 관련 요구사항
④ 역외 수령자에게 실제 지배권 또는 경영 범위의 실질적인 변화가 발생하였거나 소재 국가, 지역의 데이터 안전보호 정책 법규 및 네트워크 안전환경에 변화가 발생 및 기타 불가항력 사항으로 인해 데이터 안전을 보장하기 어려운 경우, 반드시 취해야 하는 안전조치
⑤ 법률문서에서 약정한 데이터 안전보호 의무를 위반함에 따른 구제조치, 계약위반책임 및 법적 구속력이 있고 집행 가능한 분쟁 해결 방식
⑥ 데이터가 변조, 파괴, 유출, 분실, 이전 또는 불법 취득, 불법 이용되는 등 리스크에 노출되는 경우, 긴급 대응조치를 적절히 취할 것에 관한 요구 및 개인이 자신의 개인정보권익을 보장할 수 있는 채널 및 방식을 보장
6) 기타 데이터 역외 이전 안전에 영향 줄 수 있는 사항
3. 데이터 처리자는 안전평가신고 시 아래 서류를 제출해야 합니다(제6조).
1) 신고서
2) 데이터 역외 이전 리스크에 대한 자체 평가 보고서
3) 데이터 처리자가 역외 수취자와 체결 예정인 법률문서
4) 안전평가 작업에 필요한 기타 자료
III. 네트워크부서의 안전평가 심사 절차 및 기한
1. 성급(省級) 네트워크부서의 신고자료 완전성에 대한 심사
성급 네트워크정보부서는 신고자료를 수령한 날로부터 5 영업일 내에 신고자료의 완전성에 대한 심사를 완료해야 합니다. 신고 자료가 완전한 경우, 신고 자료를 국가네트워크부서에 회부하고, 신고 자료가 불완전한 경우, 데이터 처리자에게 반송하여 보충 자료를 한번에 고지해야 합니다(제7조).
2. 국가 네트워크부서의 신고 접수 및 심사
1) 국가 네트워크정보부서는 신고자료를 수령한 날로부터 7 영업일 내에 신고 접수 여부를 결정하여 서면으로 데이터 처리자에게 통지하고, 해당 통지를 발송한 날로부터 45 영업일 내에 데이터 역외 이전 관련 안전평가를 완료해야 합니다. 단, 사안이 복잡하거나 자료 보충, 변경이 필요한 경우, 안전평가 심사기간을 적절히 연장할 수 있습니다(제7조, 제12조).
2) 국가 네트워크정보부서는 데이터 역외 이전 안전평가를 진행함에 있어, 중점적으로 데이터 역외 이전 활동이 국가안전, 공공이익, 개인 또는 조직의 합법적 권익에 일으킬 수 있는 리스크에 대해 평가할 수 있고, 주로 다음과 같은 사항을 포함합니다(제8조).
① 데이터 역외 이전의 목적, 범위, 방식 등 적법성, 정당성, 필요성
② 역외 수령자 소재 국가 또는 지역의 데이터 안전 보호 정책 법규 및 네트워크 안전 환경이 데이터 역외 이전에 미치는 영향, 역외 수령자의 데이터 보호 수준이 중국 법률, 법규 및 강제성 국가 기준의 요구에 부합되는지 여부
③ 역외로 이전되는 데이터의 규모, 범위, 유형, 민감 정도, 역외 이전 중 및 역외 이전 후 변조, 파괴, 유출, 분실, 이전 또는 불법 취득, 불법 이용되는 등 리스크가 존재하는지 여부
④ 데이터 안전 및 개인정보권익이 충분하고 효과적으로 보장될 수 있는지 여부
⑤ 데이터 처리자와 역외 수령자가 체결 예정인 법률문서에서 데이터 안전보호 책임 및 의무를 충분하게 약정하였는지 여부
⑥ 중국 법률, 행정 법규, 부서 규정을 준수한 상황
⑦ 국가 네트워크정보부서에서 평가가 필요하다고 판단한 기타 사항
IV. 안전평가 결과
데이터 역외 이전 안전평가에 통과한 결과의 유효기간은 자체 평가결과를 제출한 날로부터 기산하여 2년으로 합니다. 만약 유효기간 내 아래 하나의 경우에 해당하는 경우, 데이터 처리자는 재차 평가신고를 진행해야 합니다(제14조).
1) 역외에 데이터를 제공하는 목적, 방식, 범위, 유형 및 역외 수령자가 데이터를 처리하는 용도, 방식에 변화가 발생하여 데이터 역외 이전 안전에 영향을 미치는 경우, 또는 개인정보 및 중요 데이터의 역외 저장기간을 연장하는 경우
2) 역외 수령자 소재 국가 또는 지역의 데이터 안전보호 정책 및 네트워크 안전환경에 변화가 발생 및 기타 불가항력 사항이 발생한 경우, 데이터 처리자 또는 역외 수령자의 실제 지배권에 변화가 발생, 데이터 처리자와 역외 데이터 수령자 간의 법률문서가 변경되는 경우 등 역외로 이전된 데이터의 안전에 영향을 미치는 경우
3) 데이터 역외 이전 안전에 영향을 미치는 기타 사정이 발생하는 경우
유효기간 만료 후 지속적으로 데이터 역외 이전 업무를 진행하는 경우, 데이터 처리자는 유효기간 만료 후 60 영업일 내에 재차 평가신고를 진행해야 합니다.
V. 우리 기업에 대한 시사점
「안전평가방법」이 정식으로 공포 및 시행됨에 따라, 데이터 역외 이전 업무를 진행하는 중국에 진출한 한국 기업으로서는 실무상 데이터 3법 및 「안전평가방법」에서 정한 절차에 따라 엄격히 관련 조치를 취해야 할 것입니다.
특히, 「안전평가방법」에서는 2022. 9. 1 정식 시행 이전에 이미 진행된 데이터 역외 이전 업무가 「안전평가방법」 규정에 부합되지 아니하는 경우, 6 개월 내(2023. 3. 1 전까지)에는 시정되어야 한다고 규정하였습니다(제20조). 따라서, 우리 기업들은 조속히 자체적으로 또는 제3의 컨설팅업체를 통해 기존에 진행된 데이터 역외 이전(중국에서 한국으로 이전)에 대해 전면적으로 점검하여 미리 「안전평가방법」 에서 정한 자체평가 진행 등 관련 조치를 취할 필요가 있게 되었습니다.
* * *
법무법인(유한) 태평양은 중국 개인정보보호 및 데이터안전 분야와 관련하여 다양한 업무 경험과 노하우를 축적하였으며, Compliance 시스템 구축 내지 사고대응 등과 관련하여 탁월한 전문성과 풍부한 실무경험을 가지고 있습니다. 법무법인(유한) 태평양은 중국 데이터 3법 시행과 더불어 관련 세부규정을 지속적으로 모니터링 및 분석하고 우리기업에 미치는 영향, Compliance 시스템 구축 점검 및 향후 대응 방안 등에 대하여 자문을 제공하고 있으므로, 이와 관련한 문의사항이 있으시면 언제든지 연락 주시기 바랍니다.
- 国家互联网信息办公室
- 《数据出境安全评估办法》
- 《网络安全法》(2017. 6. 1부터 시행) 제37조: 핵심정보인프라시설운영자(CIIO)는 중국 역내 운영 중에 수집하고 생성한 개인정보와 중요 데이터를 중국 역내에 저장해야 한다. 업무 수요로 인해 중국 역외에 제공해야 하는 경우, 국가네트워크정보부서(国家网信部门)가 국무원 관련 부서와 함께 제정한 방법에 따라 안전평가를 진행해야 하며 법률, 행정법규상 별도 규정이 있는 경우 이에 따른다.
- 《数据安全法》(2021. 9. 1부터 시행) 제31조: 핵심정보인프라시설운영자(CIIO)가 중국 역내 운영 중에 수집하고 생성한 중요 데이터의 역외 이전 안전관리는 중국 「네트워크안전법」의 규정을 적용하며, (핵심정보인프라시설운영자가 아닌) 기타 데이터 처리자가 중국 역내 운영 중에 수집하고 생성한 중요 데이터의 역외 이전 안전관리방법은 국가네트워크정보부서가 국무원 유관부서와 함께 제정한다.
- 《个人信息保护法》(2021. 11. 1부터 시행) 제40조: 핵심정보인프라시설운영자(CIIO)와 처리하는 개인정보 수량이 국가네트워크정보부서가 정한 수량에 도달하는 개인정보 처리자는 중국 역내에서 수집되고 생성된 개인정보를 중국 역내에 저장해야 한다. 중국 역외 제공이 반드시 필요한 경우, 국가네트워크정부부서가 조직하는 안전평가에 통과되어야 하며, 법률, 행정법규와 국가네트워크정부부서가 안전평가가 필요하지 않다고 규정한 경우에는 그에 따른다.
- 国家互联网信息办公室
- 「안전평가방법」 제19조: 중요 데이터란 일단 변조, 파괴, 유출 또는 불법 취득, 불법 이용되는 등 경우 국가안전, 경제운행, 사회안정, 공공건강과 안전 등에 영향을 미칠 수 있는 데이터를 가리킨다.