I. 중국 「데이터 역외 유동 규범화 및 촉진 규정(의견수렴안)[1]」 (이하 “「데이터 역외 유동 규정」”)의 공포 배경
중국 정부는 데이터 3법[2]을 기반으로 한 개인정보보호 및 데이터안전에 관한 기본 틀을 마련하였고, 2022년 및 2023년에 「데이터 역외 이전 안전평가방법[3]」(이하 “「안전평가방법」”), 「개인정보 역외제공 표준계약 규정[4]」(이하 “「표준계약규정」”) 등 세부규정을 공표하여 개인정보와 데이터의 역외 이전(cross-border transfer)에 관한 세부 가이드라인을 발표하였습니다.
중국 「네트워크안전법」 제37조, 「데이터안전법」 제31조 및 「개인정보보호법」 제40조 등에 의하면, 핵심정보인프라시설운영자(Critical Information Infrastructure Operator: CIIO) 또는 국가네트워크정보부서가 정한 수량 이상의 개인정보를 처리하는 개인정보처리자/데이터처리자가 중국 역외에 중요 데이터 또는 개인정보를 제공하는 경우 안전평가를 받도록 규정하고 있는 바, 「안전평가방법」 제4조는 다음과 같은 경우 데이터 역외 이전 안전평가 의무가 있다고 규정하였습니다.
또한, 상기 안전평가 신고요건에 미달하는 수량의 개인정보를 처리하는 경우, (i) 국가네트워크정보부처가 제정한 개인정보 역외이전 표준계약(이하 “표준계약”)에 따라 중국 역외 수령자와 계약을 체결하고 이를 신고하거나, (ii) 국가네트워크정보부처의 규정에 따라 전문기관을 통해 개인정보보호인증을 진행(이하 “개인정보 역외이전 의무”)해야 합니다(「개인정보보호법」 제38조, 「표준계약규정」 제4조).
하지만 중국에 진출한 외국 기업들의 경우, 실무상 효율적인 경영을 위해 중국 자회사 소속 직원들의 개인정보, 경영 데이터 등을 본사 소재지인 중국 역외로 이전할 필요가 있는데, 현행 중국 법규정에 따르면 직원 1명의 개인정보를 역외로 이전하더라도 표준계약을 체결하여 중국정부에 신고하는 등 복잡한 절차적 의무를 이행해야 하며, 이에 대해 업계에서는 기업의 데이터 유동(역외 이전)에 관한 컴플라이언스 부담이 과중하다는 견해가 지속적으로 제기되었습니다.
이에 합리적인 데이터 유동과 데이터 안전보장 간의 조화를 도모하고 기업의 컴플라이언스 부담을 줄이고자 중국 국가인터넷정보사무실은 2023. 9. 28. 「데이터 역외 유동 규정」 (의견수렴안)을 공포하여 2023. 10. 15. 까지 의견을 수렴하였습니다. 아래에서는 「데이터 역외 유동 규정」의 핵심내용과 중국에 진출한 외국 기업들이 주목해야 할 시사점들에 대해 살펴보겠습니다.
II. 주요내용
「데이터 역외 유동 규정」은 총 11개 조항으로 구성되고, (i) 개인정보 역외이전 의무와 (ii) 데이터 역외이전 안전평가 의무의 적용 예외에 관한 내용을 보완하였습니다.
1. 개인정보 역외이전 의무 적용 예외
「데이터 역외 유동 규정」에서는 「개인정보보호법」 제38조, 「표준계약규정」 제4조에 따른 개인정보 역외이전 의무를 완화하여 아래의 경우 (i) 안전평가, (ii) 표준계약 신고 또는 (iii) 개인정보보호인증을 진행하지 않아도 된다고 명시적으로 규정하고 있습니다.
1) 개인정보 수집 및 생성 지역에 따른 적용 예외
- 중국 역내에서 수집 및 생성하지 아니한 개인정보를 역외 제공하는 경우.
즉, 개인정보처리자가 역외에서 직접 중국 역내 개인정보를 수집하는 경우는 ‘중국 역내에서 수집 및 생성하지 아니한 개인정보를 역외 제공하는 경우’로 보아 개인정보 역외이전 의무로부터 제외된다는 의미입니다. 가령, 중국 역외에 위치한 서버를 통해 구축한 웹사이트에서 중국 역내 이용자 또는 소비자를 대상으로 역직구 전자상거래 형태로 물품을 판매하거나 서비스를 제공하는 경우, 개인정보 역외이전 의무가 적용되지 않습니다.
2) 적법한 필요성에 따른 적용 예외
① 개인이 일방 당사자로서 체결한 계약의 이행을 위해 반드시 중국 역외로 개인정보를 제공해야 하는 경우, 가령 국경간 쇼핑, 국경간 송금, 항공편 및 호텔 예약, 비자 신청 등
② 적법하게 제정된 노동규장제도 및 적법하게 체결된 단체근로계약에 따라 인력자원 관리를 위해 반드시 중국 역외로 내부 직원들의 개인정보를 제공해야 하는 경우
③ 긴급상황에서 자연인(개인)의 생명건강과 재산안전을 보호하기 위해 반드시 역외로 개인정보를 제공해야 하는 경우
위 ①의 경우 국경간 전자상거래, 결재대행, 해외여행 등 서비스를 제공하는 사업자가 계약의 이행을 위해 이용자의 개인정보를 수집하는 경우, 개인정보 역외이전 의무가 적용되지 않는다는 의미이며, ②의 경우 외국기업의 중국 자회사 직원들의 개인정보를 중국 역외의 본사에 이전하는 경우, 적법하게 제정된 노동규장제도 등에 명시 규정되어 있다면 역시 개인정보 역외이전 의무가 적용되지 않는다는 의미입니다.
3) 개인정보 역외 제공 수량에 따른 적용 예외
- 1년 내에 1만 명 미만의 개인정보를 역외에 제공할 것으로 예상되는 경우.
「안전평가방법」 제4조에 따르면, 전년도 1. 1.부터 역외에 제공한 개인정보가 누계 10만명 이상의 개인정보를 중국 역외로 이전하는 경우에는 데이터 역외이전 안전평가를 받도록 규정하였습니다. 동 규정에 따르면, 전년도 1. 1.부터 누계 10만명 미만의 개인정보를 중국 역외로 이전하는 경우 데이터 역외이전 안전평가를 받을 필요는 없고 개인정보 역외이전 표준계약을 체결 및 신고하거나 개인정보보호인증을 받아야 합니다.
하지만 「데이터 역외 유동 규정」에서는 위 규정에 대해 (i) 1만명 미만의 개인정보를 역외로 제공하는 경우와 (ii) 1만명 이상 10만명 미만의 개인정보를 역외로 제공하는 경우로 구분하였으며, (i) 1만명 미만의 개인정보를 중국 역외로 제공하는 경우 개인정보처리자는 개인정보 역외이전 의무를 부담하지 않는다고 규정함으로써 개인정보의 역외 이전 관련 의무요건이 보다 완화되었습니다.
4) 자유무역시험구 데이터 네거티브리스트에 따른 적용 제외
- 자유무역시험구의 데이터 네거티브리스트에 포함되지 않는 데이터의 역외 이전의 경우
「데이터 역외 유동 규정」에서 중국의 자유무역시험구에서는 자체적으로 별도 데이터 역외이전 안전평가, 표준계약 체결, 개인정보보호인증 관리 범위에 포함시켜야 하는 “데이터 네거티브리스트”를 제정하여 관리할 수 있다는 규정을 신설하면서, 해당 데이터 네거티브리스트에 포함되지 않는 데이터를 중국 역외로 이전하는 경우 개인정보 역외이전 의무가 적용되지 않는다고 규정하였습니다.
따라서, 자유무역시험구에 소재한 외국기업은 추후 소재 지역의 주관부서에서 발표하는 “데이터 네거티브리스트”를 주시할 필요가 있으며, 해당 데이터 네거티브리스트에 포함되지 아니한 개인정보 및 데이터를 중국 역외로 이전한다면, 관련 법상 개인정보 역외 이전 의무를 이행하지 않아도 될 것으로 보입니다.
2. 데이터 역외이전 안전평가 의무의 적용 제외
「데이터 역외 유동 규정」에서는 나아가 아래의 경우 데이터 역외이전 안전평가 의무를 이행할 필요가 없음을 명시적으로 규정하고 있습니다.
1) 중요 데이터 미취급에 따른 적용 제외
- 기업이 취급하는 데이터가 관련 주관부서 또는 지역에서 공개 발표된 중요 데이터에 해당하지 않거나 별도 고지를 받은 바가 없는 경우
「안전평가방법」의 규정에 따르면 (i) CIIO 또는 (ii) 국가네트워크정보부서가 정한 수량 이상의 개인정보를 처리하는 개인정보처리자가 중국 역외에 중요 데이터 또는 개인정보를 제공하는 경우 안전평가를 받아야 합니다. 다만, “중요 데이터”에 대한 기준이 명확하지 아니하여 실무상 기업이 취급하는 데이터가 중요 데이터에 해당되는지 여부 및 데이터의 역외 이전 안전평가 의무를 부담해야 하는지 여부에 대해서는 기업이 자체로 판단하기 어려운 문제점이 존재하였습니다.
이에 「데이터 역외 유동 규정」에서는 “중요 데이터”의 경우 관련 주무부서, 지역에서 공시하거나 사업자에게 별도로 고지하는 중요 데이터에 해당하는 경우에만 한정된다고 명확히 규정하였습니다.
2) 개인정보 역외 제공 수량에 따른 적용 예외
- 1년 내 역외에 제공하는 개인정보가 1만명 이상, 100만명 이하로 예상되어, 이미 역외 수령자와 표준계약을 체결하고 성급 네트워크정보부서에 신고를 완료하였거나 개인정보보호 인증을 완료한 경우
이 경우, 중국 역내 데이터처리자(개인정보처리자 포함)는 데이터 역외 이전 안전평가를 진행할 필요가 없으나 이는 역외 수령자와 표준계약을 체결 및 신고하였거나 개인정보보호인증을 진행함을 전제로 합니다.
III. 시사점
「데이터 역외 유동 규정」은 데이터의 역외 이전에 관한 기존의 법규정들을 완화하는 것을 목적으로 하는 예외 규정들을 두고 있습니다. 「데이터 역외 유동 규정」이 현재 의견수렴안 내용대로 확정되어 시행된다면 기업의 일상 업무과정에 데이터 역외이전과 관련된 컴플라이언스 부담이 상당히 줄어들 것으로 예상되며 우리 기업들은 향후 관련 입법 동향에 대해 지속적으로 모니터링 할 필요가 있습니다.
한편, 「데이터 역외 유동 규정」이 시행되더라도 개인정보 역외 이전에 따른 개인정보보호 영향평가 의무 등 「개인정보보호법」에서 정한 관련 의무가 전부 면제되는 것은 아니므로 중국 내 우리 기업들로서는 개인정보 역외이전 시 여전히 (i) 개인정보주체의 동의를 받고 (ii) 개인정보보호 영향평가를 진행하는 등 의무[5]들을 계속하여 이행하여야 함에 유의할 필요가 있고, 중국 역외 사법기관에 개인정보 또는 데이터를 제공하는 경우 중국 주관당국의 승인을 받아야 한다는 점(「데이터안전법」 제36조)을 유의하시기 바랍니다.
- 《规范和促进数据跨境流动规定(征求意见稿)》
- 「네트워크안전법」(网络安全法), 「데이터안전법」(数据安全法), 「개인정보보호법」(个人信息保护法)
- 数据出境安全评估办法
- 个人信息出境标准合同办法
- 「개인정보보호법」상 법정 의무의 구체적인 내용은 본 법무법인의 2021.10.29.자 뉴스레터를 참고하시기 바랍니다