• Legalinsight
  • Legaledu
  • 법률신문 법률정보

  • 상시채용
  • 기사제보
  • 율촌

    중국 개인정보 해외이전 안전평가 방법 의견 수렴안의 공표와 시사점

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [ 2019.07.02. ]


    Ⅰ. 서론

    2019년 6월 13일 중국의 국가 네트워크 정보사무처는 “개인정보 해외이전 안전평가방법(의견수렴안)”(이하 “방법(안)”이라고 약칭함)을 공표하고 2019년 7월 13일까지 일반의 의견 수렴절차에 들어갔습니다. 본 방법(안)은 데이터의 해외이전 과정에서의 개인정보의 안전을 보장하기 위하여 중화인민공화국 사이버안전법(??安全法)등 관련 법률법규에 따라 제정되는 것으로, 개인정보를 해외로 이전하는 경우의 안전평가와 해당 정보의 이전 주체인 네트워크 운영자와 수령자의 책임과 의무, 개인정보 주체의 권익보호를 주요 내용으로 하고 있습니다. 이미 2017년 4월 “개인정보와 중요데이터 해외이전 안전평가방법”(이하 “구 방법”이라고 약칭함)이 반포되어 있었는데 이번에 구 방법 중에서 개인정보의 해외이전 부분에 대해서 별도로 본 방법(안)을 제정, 공표한 것입니다. 본 뉴스레터에서는 본 방법의 내용을 소개해 드리고 시사점을 말씀드리고자 합니다.



    Ⅱ. 방법(안)의 주요 내용

    1. 방법의 적용과 정의

    (1) 네트워크 운영자1)가 중화인민공화국 경내에서 수집한 개인정보를 경외로 제공(이하 “개인정보 해외이전”이라 약칭함)하는 경우에는 본 방법(안)에 규정된 안전평가에 따라야 합니다. 안전평가를 거친 결과, 개인정보의 해외이전이 국가안전에 영향을 주거나 공공의 이익에 손해를 줄 가능성이 있거나 개인정보의 안전을 효과적으로 보장하기 어렵다고 인정된 경우에는, 개인정보는 해외이전을 할 수 없습니다. 개인정보의 해외이전에 관하여 별도의 법령이 있는 경우에는 그 규정에 의하고(제2조), 네트워크 운영자가 본 방법(안)에 위반하여 해외에 개인정보를 제공하는 경우에는 관련 법률법규에 따라 처리합니다(제18조).


    [각주 1] 중국의 네트워크안전법과 본 방법(안)에서 말하는 네트워크 운영자는 상당히 포괄적인 개념입니다. 원래적 의미에서 네트워크 운영자란 인터넷 접속서비스 제공자(ISP)와 인터넷 컨텐츠 제공자(ICP) 두 부류를 포함하는 개념이었는데, 네트워크안전법 등에서 보호대상인 네트워크에는 인터넷뿐만이 아니라 LAN(구역망, Local Area Networks), 산업통제시스템을 포함하는 것으로, 그러한 시스템(서버)의 소유자, 관리자도 법의 적용 대상이 됩니다.


    (2) 중국이 참여하거나 다른 국가 또는 지역, 국제조직과 체결한 조약, 합의 등에 개인정보의 해외이전에 관한 명확한 규정이 있는 경우에는 그 규정을 적용합니다. 다만 중국이 유보조항을 둔 경우에는 예외로 합니다(제19조).


    (3) 경외기구가 경영활동 중에 네트워크 등을 통하여 경내 이용자의 개인정보를 수집하는 경우에는, 경내에서 법정대표자 또는 기구를 통해 본 방법(안)상의 네트워크 운영자의 책임과 의무를 이행해야 합니다(제20조).


    (4) 본 방법(안)에서 ① 네트워크 운영자는 네트워크의 소유자, 관리자와 네트워크 서비스 제공자를 의미하고, ② 개인정보란 전자 또는 기타방법으로 기록된 단독으로 또는 다른 정보와 결합하여 자연인인 개인의 신분을 식별해 낼 수 있는 각종 정보, 자연인의 성명, 출생일자. 신분증 번호, 개인생물식별정보, 주소, 전화번호 등을 의미하며, ③ 개인의 민감정보란 일단 누설, 절취, 수정, 불법사용되면 개인정보주체의 신분, 재산안전을 해하거나 또는 개인정보주체의 명예, 심신건강에 손해 등을 끼칠 수 있는 개인정보를 의미합니다(제21조).



    2. 개인정보 해외이전에 관한 신고 및 평가

    (1) 사전신고의무와 제출서류

    개인정보를 해외로 이전하기 전에 네트워크 운영자는 해외 이전과 관련된 안전 리스크와 안전보장조치 분석을 자체적으로 시행하고, 그 결과를 기초로 소재지의 성급 네트워크 정보부문에 개인정보 해외이전 안전평가를 받기 위한 신고를 해야 합니다. 서로 다른 별개의 수령자에 대해 개인정보를 제공하는 경우에는, 각각 별도로 신고해야 하고, 동일한 수령자에 대해 여러 차례 또는 연속적으로 개인정보를 제공하는 경우에는 반복해서 신고를 할 필요는 없습니다. 그리고 매 2년마다, 그리고 2년이 되지 않더라도 개인정보 해외이전의 목적, 유형과 경외2)에서의 보존 시간에 변화가 있는 경우에는 그 때마다 다시 평가를 거쳐야 합니다(제3조). 네트워크 운영자가 개인정보 해외이전 안전평가 신고를 할 때에는, ① 신고서, ② 네트워크 운영자와 수령자 간에 체결한 계약, ③ 개인정보 해외이전 안전 리스크와 안전보장 조치 분석보고, ④ 국가 네트워크 정보부문이 제공을 요구한 기타 자료(제4조)를 제출해야 하고, 자료의 진실성, 정확성에 대해 책임을 집니다.


    [각주 2] 境外경외란, 중국 대륙 본토이외의 지역으로 홍콩, 마카오, 대만도 이에 경외에 포함됩니다.


    (2) 주관부문의 심사

    성급 네트워크 정보부문은 개인정보 해외이전 안전평가 신고자료를 수령하고, 서류가 모두 구비된 것을 확인한 후에 전문가 또는 기술인력을 조직하여 안전평가를 진행합니다. 안전평가는 15영업일 내에 완성하는 것이 원칙이나, 상황이 복잡한 경우는 적절하게 연장할 수 있습니다(제5조). 중점 평가대상은 ① 개인정보 해외이전이 국가의 관련 법률법규와 정책규정에 부합하는지, ② 계약3) 조항이 개인정보 주체의 합법적인 권익을 충분히 보호하는지, ③ 계약이 유효하게 집행될 수 있는지, ④ 네트워크 운영자 또는 수령자가 개인정보 주체의 합법적인 권익에 손해를 입혔던 적이 있는지, 중대한 네트워크 보안 사건이 발생했던 적이 있는지, ⑤ 네트워크 운영자가 개인정보를 합법적이고 정당하게 획득한 것인지, ⑥ 기타 평가해야 할 내용입니다(제6조).


    [각주 3] 상술한 방법 제4조의 제②호 네트워크 운영자와 수령자간에 체결한 계약을 의미합니다.


    성급 네트워크 정보부문은 개인정보 해외이전 안전평가 결론을 네트워크 운영자에게 통보함과 동시에 개인정보 해외이전 안전평가 상황을 국가 네트워크 정보부문에 보고해야 합니다. 네트워크 운영자가 성급 네트워크 정보부문의 개인정보 해외이전 안전평가의 결론에 이의가 있는 경우에는, 국가 네트워크 정보부문에 심판(申?)을 청구할 수 있습니다(제7조).


    네트워크 운영자는 개인정보 해외이전 기록을 작성하고 최소 5년간 보존해야 합니다. 기록에는 ① 경외에 제공한 개인정보의 일자와 시간, ② 수령자의 신분, 수령자의 명칭, 주소, 연락방법 등, ③ 경외에 제공하는 개인정보의 유형과 수량, 민감정도, ④ 국가 네트워크 정보부문에서 규정한 기타 내용이 포함되어야 합니다(제8조).



    3. 보고 의무 및 관련부문, 일반사회의 감독관리

    (1) 네트워크 운영자는 매년 12월 31일 전에 당해 연도의 개인정보의 해외이전 상황, 계약 이행상황 등을 소재지의 성급 네트워크 정보부문에 보고하여야 하고, 비교적 큰 데이터 안전 사건이 발생하는 경우에는 적시에 소재지의 성급 네트워크 정보부문에 보고하여야 합니다(제9조).


    (2) 성급 네트워크 정보부문은 정기적으로 운영자의 개인정보 해외이전 기록 등의 개인정보 해외이전 상황, 중점 검사 대상인 데이터 계약 규정 의무의 이행상황, 국가의 규정에 위반하여 개인정보주체의 합법적인 권익에 손해를 끼치는 행위는 없는지 등을 검사해야 합니다(제10조). 개인정보주체의 합법적인 권익에 손해를 끼치거나 데이터 누설 안전사건 등을 발견한 경우에는, 적시에 네트워크 운영자에게 시정을 요구하고 네트워크 운영자를 통해 수령자에게도 시정을 촉구해야 합니다(제10조).


    (3) 나아가 ① 네트워크 운영자 또는 수령자에 비교적 큰 데이터의 누설, 데이터 남용 사건 등이 발생하는 경우, ② 개인정보 주체가 개인의 합법적인 권익을 수호하기가 불가능하거나 어려운 경우, ③ 네트워크 운영자 또는 수령자가 개인정보의 안전을 보장할 수 없는 경우와 같은 상황 중에 하나가 발생하면, 네트워크 정보부문은 네트워크 운영자에게 경외에 개인정보의 제공의 잠정중단 또는 종료를 요구할 수 있습니다(제11조).


    (4) 모든 개인과 조직은 본 방법에 위반하여 경외로 개인정보를 제공하는 행위를 성급 이상의 네트워크 정보부문 또는 관련 부문에 고발할 권리가 있습니다(제12조).



    4. 데이터 계약의 체결

    네트워크 운영자와 개인정보 수령자는 데이터의 해외이전에 관하여 계약 또는 기타 법률적인 효력이 있는 문건(통칭하여 “계약”이라 칭함)을 체결하여야 하며, 그 계약에 아래와 같은 내용들을 명시하여야 합니다.


    (1) 기본적인 기재 사항

    계약서에는 다음과 같은 기본적인 사항을 명확하게 규정해야 합니다(제13조). ① 개인정보 해외이전의 목적, 유형, 보존시한, ② 개인정보주체가 개인정보주체의 권익 관련 조항의 수익자라는 점, ③ 개인정보주체는 합법적인 권익이 손해를 입을 경우에 자체적으로 또는 대리인에 위임하여 네트워크 운영자니 수령자 또는 쌍방에 손해배상을 청구할 수 있다는 점, 네트워크 운영자 또는 수령자는 책임이 없음을 입증한 경우를 제외하고는 배상책임이 있다는 점, ④ 수령자가 소재국가 법률환경의 변화로 인해 계약을 이행하기가 힘든 경우에는 계약을 종료하고 다시 안전평가를 진행해야 하는 점. ⑤ 계약의 종료로 인해 계약 중 개인정보주체의 합법적인 권익조항이 규정한 네트워크 운영자와 수령자의 책임과 의무를 면제하지 못한다는 점(단 수령자가 이미 수령한 개인정보를 삭제하였거나 익명화 처리를 한 경우는 제외), ⑥ 쌍방이 약정한 기타 내용 등 을 기재해야 합니다.


    (2) 네트워크 운영자의 의무

    계약에는 네트워크 운영자의 다음과 같은 의무를 명시해야 합니다(제14조) ① 이메일, 인스턴트 메시지, 서신, 팩스 등의 방식으로 개인정보주체에게 네트워크 운영자와 수령자의 기본상황, 해외에 개인정보를 제공하는 목적, 유형과 보존시간을 고지하고, ② 개인정보주체의 청구가 있으면 본 계약의 부본을 제공하며, ③ 수령자에 대한 손해배상청구를 포함하여 개인정보주체의 요청을 수령자에게 전달하고 개인정보주체가 수령자로부터 배상을 받지 못할 경우에는 먼저 배상을 해야 합니다.


    (3) 정보 수령자의 의무

    계약에는 아래와 같은 수령자의 책임과 의무를 명확히 규정해야 합니다(제15조). ① 개인정보주체를 위해 그 개인정보의 전달 경로를 검색할 수 있게 하고, 개인정보주체가 그 개인정보의 수정 또는 삭제를 요구할 때에는 합리적인 범위와 시한 내에 응답, 수정 또는 삭제해야 하고, ② 개인정보의 해외 보존 기한은 계약에서 약정한 시한을 초과해서는 안되며, ③ 계약의 체결과 이행이 수령자 소재국가의 법률 요구를 위반하지 않음을 확인하고, 수령자 소재지 국가와 지역의 법률 환경에 변화로 인해 계약의 집행에 영향을 끼칠 수 있을 경우에는 네트워크 운영자에 적시에 통보하고, 네트워크 운영자를 통해 네트워크 운영자 소재지 성급 네트워크 정보부문에 보고해야 합니다.


    (4) 제3자에 대한 재전송 제한

    계약에는 수령자가 수령한 개인정보를 다음과 같은 조건을 충족하지 않는 한 제3자에게 재전송할 수 없음을 명확히 규정해야 합니다(제16조). ① 네트워크 운영자가 이미 메일, 인스턴트 메시지, 서신, 팩스 등의 방식으로 개인정보를 제3자에 재전송하는 목적, 제3자의 신분과 국적과 재전송하는 개인정보의 유형, 제3자의 보존시한 등을 개인정보주체에게 통지할 것, ② 수령자가, 개인정보주체가 제3자에 대한 재전송의 중단을 청구한 경우 이를 중단하고 제3자가 이미 수령한 개인정보를 삭제하기로 확약할 것, ③ 개인 민감정보의 경우는 미리 개인정보주체의 동의를 얻을 것, ④ 제3자에게 재전송한 개인정보로 인해 개인정보주체의 합법적인 권익에 손해가 발생한 경우에는 네트워크 운영자가 먼저 배상책임을 부담할 것에 동의를 해야 합니다.



    5. 리스크 분석 보고의 내용

    위에서 말씀 드린 것처럼 개인정보를 해외에 이전하고자 하는 경우 네트워크 운영자는 개인정보 해외이전 안전 리스크와 안전보장조치를 자체적으로 분석하고, 그 분석 보고를 안전평가 신고서에 첨부하여야 합니다. 이 보고에는 최소한 ① 네트워크 운영자와 수령자의 소개, 규모, 업무, 재무, 신용, 네트워크 안전능력 등, ② 개인정보 해외이전 계획, 지속시간, 관련된 개인정보주체의 수량, 해외로 제공되는 개인정보의 규모, 개인정보 해외이전 후에 다시 제3자에게 재전송이 되는지 여부 등, ③ 개인정보 해외이전 리스크 분석과 개인정보안전과 개인정보주체의 합법적인 권익을 보장하기 위한 조치와 같은 내용들을 포함해야 합니다(제17조).



    Ⅲ. 시사점

    1. 2017년에 제정된 구 방법에서는 개인정보를 해외로 이전하기 위해서는 개인정보주체에게 데이터 해외이전 사항을 설명하고 사전 동의를 얻도록 했는데, 본 방법(안)은 네트워크 운영자가 개인정보주체에게 데이터 해외이전 상황을 고지하면 되도록 수정하여, 데이터 해외이전을 보다 용이하게 할 수 있도록 변경하였습니다. 이러한 변화는 최근의 데이터의 무국경화라는 추세와 감독관리 당국의 기본 이념의 변화에 기인한 것이라고 볼 수 있습니다.


    2. 다만 본 방법(안)이 정식 제정되면, 개인정보 해외이전을 위한 안전평가 제도가 도입되고, 위법한 상황이 발생한 경우 네트워크 정보부문은 네트워크 운영자에게 경외 개인정보 제공을 일시 중단 또는 종료하게 요구할 수 있고, 네트워크 운영자는 매년 12월 31일 전에 당해 연도의 개인정보 해외이전 상황, 계약 이행 상황 등을 소재지의 성급 네트워크 정보부문에 보고해야 하고. 개인정보의 해외이전에 관한 기록을 작성 보관해야 하는 등 개인정보의 해외이전의 매 단계에서 감독규제가 크게 강화됩니다. 따라서 앞으로 개인정보를 해외로 이전하기 위한 기업들의 규제 준수 비용도 많이 높아질 전망입니다.


    3. 본 방법(안)은 네트워크 운영자가 성급 네트워크 정보부문의 개인정보 해외이전 안전평가 결과에 대해 이의가 있는 경우, 국가 네트워크 정보부문에 심판(申?)을 청구할 수 있도록 구제절차를 규정하고는 있지만, 심판결과에 불복할 경우의 구체적인 구제방법을 규정하고 있지 않습니다. 최종안에는 이러한 경우에 법원에 소송을 제기할 수 있도록 하는 규정을 두는 것이 필요해 보입니다.


    4. 본 방법(안)에 따르면, 중국의 지사나 계열사가 본 방법에 따라 중국 현지의 고객 정보를 한국 본사와 공유하려고 할 경우에는, 본사와 데이터 계약을 체결하고 이를 중국의 관련 당국에 신고하여야 합니다. 이러한 계약을 체결하는 경우 중국과 한국의 개인정보 보호 법규가 동시에 적용되기 때문에, 한국과 중국의 개인정보 보호 관련 법규를 사전에 모두 꼼꼼하게 검토해야 합니다.


    5. 최근 중국에서는 인터넷 환경하에서 데이터 및 개인정보의 보호와 관련된 규정들이 쏟아져 나오고 있는데, 이러한 규정들은 앞으로 4차산업, 빅데이터, 인공지능 시대에서 중국에서의 중요한 컴플라이언스의 내용이 될 것으로 보이므로, 우리나라 기업들의 각별한 주의를 요합니다.



    강희철 변호사 (hckang@yulchon.com)

    허욱 변호사 (whuh@yulchon.com)

    변웅재 변호사 (ujbyun@yulchon.com)

    김중부 중국변호사 (zfjin@yulchon.com)