중국 「개인정보보호법」[1] 제38조는 개인정보를 역외로 제공할 경우 4가지 사항[2] 중의 하나를 구비하도록 규정하고 있었고, 그 중 하나인 개인정보처리자가 국가인터넷정보부서에서 제정한 표준계약(이하 “표준계약”)에 따라 역외 수령자와 계약을 체결하는 경우가 가장 효율적이고 편리한 방법이 될 것이라고 업계의 많은 전문가들이 예상하고 있었습니다. 그런데, 지금까지 중국정부는 표준계약을 발표하지 아니하여 실무상 중국 내 기업들이 개인정보 역외제공 업무를 처리함에 있어 갈피를 잡지 못하고 관망하는 경우가 많았습니다. 이에 중국 국가인터넷정보사무실은 「개인정보출경(出境: 역외제공) 표준계약 규정(의견수렴안)」(이하 “「표준계약규정」”)[3]을 작성하여 2022. 6. 30.에 공표하였고 2022. 7. 29.까지 공개의견 수렴 중입니다.
「표준계약규정」은 총 13조로 구성되었으며 개인정보처리자가 역외로 개인정보를 제공할 때 역외 수령자와 표준계약을 체결해야 하는 대상범위, 주요내용, 계약 신고제도, 개인정보 영향평가 등 내용을 포함하고 있으며 「표준계약 양식(중문본)」도 별지로서 포함하고 있습니다. 아래에서는 「표준계약규정」의 핵심 내용에 대해 살펴보겠습니다.
I. 표준계약을 체결할 수 있는 경우를 명시
개인정보처리자는 아래 요건을 모두 충족하는 경우에 한하여, 중국 역외 수령자와 표준계약을 체결하는 방식을 통해 자신이 수집한 개인정보를 역외 수령자에게 제공할 수 있습니다(제4조).
-
1) 핵심정보인프라시설운영자가 아닐 것
-
2) 처리하는 개인정보가 100만명 이하일 것
-
3) 전년도 1. 1.부터 누적하여 역외로 제공한 개인정보가 10만명 이하일 것
-
4) 전년도 1. 1.부터 누적하여 역외로 제공한 민감개인정보가 1만명 이하일 것
이는 「개인정보보호법」 제40조[4]의 규정에 따른 것으로 이해되며, (i) 핵심정보인프라시설운영자 또는 (ii) 처리하는 개인정보/민감개인정보가 위 규정에서 정한 범위를 초과하는 개인정보처리자는 중국 인터넷정보부서가 조직하는 안전평가에 통과해야 개인정보를 역외로 제공할 수 있을 것으로 사료됩니다.
II. 표준계약에 포함되어야 하는 주요내용
「표준계약규정」 제6조에 의하면, 표준계약은 주로 다음 내용들을 포함해야 합니다.
-
1) 개인정보처리자 및 역외 수령자의 기본정보로서 명칭, 주소, 연락인 성명, 연락처 등을 포함하나 이에 한하지 아니함
-
2) 개인정보 역외제공의 목적, 범위, 유형, 민감정도, 수량, 방식, 저장기간, 저장장소 등
-
3) 개인정보처리자와 역외 수령자가 개인정보를 보호하는 책임과 의무 및 개인정보 역외제공으로 인해 초래할 수 있는 안전리스크를 방지하기 위해 취하는 기술 및 관리 조치 등
-
4) 역외 수령자 소재 국가 또는 지역의 개인정보보호 정책, 법규가 본 계약 조항을 준수하는데 미치는 영향
-
5) 개인정보주체의 권리, 및 개인정보주체의 권리를 보장하기 위한 경로와 방식
-
6) 구제 수단, 계약해지, 위약책임, 분쟁해결 등
개인정보처리자 및 역외 수령자의 의무, 개인정보주체의 권리, 구제조치, 계약해지, 계약위반책임 등과 관련하여, 「표준계약규정」의 별지 「표준계약 양식(중문본)」에서 구체적으로 규정하고 있으며, 실무상 중국 내 개인정보처리자와 역외 수령자는 본 양식을 참고하여 계약서를 작성하면 될 것으로 보입니다.
III. 개인정보보호 영향 평가기준을 구체화 함
「개인정보보호법」 제55조 제(4)호에서는 역외로 개인정보 제공 시 사전 영향평가 의무를 규정하고 있고, 동법 제56조에서 이러한 개인정보보호 영향평가에 포함되어야 하는 내용을 규정하였습니다. 나아가 「표준계약규정」 제5조에서는 아래와 같이 보다 구체적인 평가기준(밑줄 부분이 새로 추가된 내용임)을 규정하고 있습니다.
-
1) 개인정보처리자 및 역외 수령자의 개인정보 처리 목적, 범위, 방식 등의 적법성, 정당성, 필요성
-
2) 역외제공 개인정보의 수량, 범위, 유형, 민감정도 및 개인정보의 역외제공이 개인정보 권리에 미치는 리스크
-
3) 역외 수령자가 부담하기로 확약한 책임과 의무 및 책임과 의무를 이행하는 관리 및 기술조치, 능력 등이 역외제공하는 개인정보의 안전을 보장할 수 있는지 여부.
-
4) 개인정보를 역외에 제공 후 유출, 훼손, 변조, 남용될 리스크 및 개인이 개인정보 권리를 행사하기 위한 경로가 원활한지 여부 등
-
5) 역외 수령자 소재 국가 또는 지역의 개인정보보호 정책, 법규가 표준계약의 이행에 미치는 영향
-
6) 개인정보 역외제공의 안전에 영향이 미칠 수 있는 기타 사항
또한, 이러한 영향평가 보고서를 신고하도록 함으로써 역외에 제공되는 개인정보에 대한 보호를 강화하고자 하는 것으로 사료됩니다.
IV. 표준계약/개인정보보호 영향평가보고서 신고 제도 신설
「표준계약규정」 제7조에서는 “개인정보처리자가 표준계약을 체결하는 경우 효력발생일로부터 10 영업일 내 소재지 성(省)급 인터넷정보부서에 (i) 표준계약, (ii) 개인정보보호 영향평가보고서를 제출하여 신고해야 한다”고 규정하였습니다. 또한, 아래의 사유 중 하나가 발생하는 경우, 개인정보처리자는 표준계약을 다시 체결하고 신고해야 합니다(제8조).
-
1) 역외로 제공하는 개인정보의 목적, 범위, 유형, 민감정도, 수량, 방식, 저장기한, 저장장소 및 역외 수령자가 개인정보를 처리하는 용도, 방식이 변경되는 경우, 또는 개인정보의 역외 저장기한을 연장하는 경우
-
2) 역외 수령자 소재 국가 또는 지역의 개인정보보호 정책, 법규가 변경되는 등으로 인해 개인정보 권리에 영향이 미치는 경우
-
3) 개인정보 권리에 영향이 미칠 수 있는 기타 상황
표준계약 신고 제도는 「개인정보보호법」에 규정되지 아니한, 「표준계약규정」상 신설 제도이며, 이는 개인정보 역외제공에 대한 감독을 보다 철저하게 하고자 하는 중국정부의 의지인 것으로 이해됩니다.
V. 시사점
이번 「표준계약규정」은 기존에 ‘표준계약 양식’만 발표되면 그에 따라 바로 체결하여 적법하게 개인정보를 역외로 제공하면 될 것이라는 예상과는 달리, 표준계약 신고 제도와 함께 사전 개인정보보호 영향평가 의무도 구체화함으로써, 중국 내 관련 기업들의 개인정보 역외 제공에 대한 사전 컴플라이언스 의무가 더욱 강화되었습니다.
본 「표준계약규정」이 정식으로 통과되면 중국에 진출한 한국기업은 실무상 이에 따라 개인정보 역외제공 관련 업무에 필요한 조치를 엄격히 준수할 필요가 있으며, 관련 입법 동향을 계속하여 유의하면서 대응 작업을 진행하여야 하겠습니다.
* * *
법무법인(유한) 태평양은 중국 개인정보보호 및 데이터안전 분야 관련 다양한 업무 경험과 노하우를 축적하였으며, Compliance 시스템 구축 내지 사고대응 등과 관련하여 탁월한 전문성과 풍부한 실무경험을 가지고 있습니다. 법무법인(유한) 태평양은 중국 개인정보보호법 시행과 더불어 관련 세부규정을 꾸준히 모니터링 및 분석하고 우리기업에 미치는 영향, Compliance 시스템 구축 점검 및 향후 대응 방안 등에 대하여 자문을 제공하고 있으므로, 이와 관련한 문의사항이 있으시면 언제든지 연락 주시기 바랍니다.
- 《个人信息保护法》. 2021. 11. 1.부터 시행
- 「개인정보보호법」 제38조 제1항:
개인정보처리자가 업무 등의 수요로 인해 반드시 중국 역외로 개인정보를 제공해야 하는 경우 아래 조건 중 하나를 충족해야 한다.
1) 본법 제40조에 따라 국가 인터넷정보부서에서 조직한 안전평가에 통과하였을 것
2) 국가 인터넷정보부서의 규정에 따라 전문기구의 개인정보보호 인증을 받았을 것
3) 국가인터넷정보부서에서 제정한 표준계약에 따라 역외 수령자와 계약을 체결하여 당사자들의 권리와 의무를 약정하였을 것
4) 법률, 행정법규 또는 국가 인터넷정보부서에서 규정한 기타 조건
- 《个人信息出境标准合同规定(征求意见稿)》
- 「개인정보보호법」 제40조:
핵심정보인프라시설운영자 및 처리하는 개인정보가 국가 인터넷정보부서에서 규정한 수량을 초과하는 개인정보처리자는 중국내에서 수집하고 발생한 개인정보를 중국 역내에 저장하여야 하며, 반드시 역외에 제공해야 하는 경우 국가 인터넷정보부서에서 조직한 안전평가에 통과해야 한다. 법률, 행정법규 및 국가 인터넷정보부서의 규정에 따라 안전평가를 진행하지 않아도 되는 경우에는 그 규정에 따른다.