[2023.03.10.]
중국정부가 2022. 6. 30.에 공표한 「개인정보 역외제공(出境) 표준계약 규정(의견수렴안)」(이하 “「의견수렴안」”)이 2023. 2. 24. 중국 국가인터넷정보부서(이하 “인터넷정보부서”)에 의해 통과되어 「개인정보 역외제공(出境) 표준계약 규정」(이하 “「표준계약규정」”)으로 확정되었으며 2023. 6. 1.부터 시행될 예정입니다.
중국 「개인정보보호법」 제38조는 개인정보를 역외로 제공할 수 있는 4가지 방식을 규정하고 있는데, 「표준계약규정」은 4가지 방식 중 가장 효율적이고 편리한 방법으로 평가되었던 중국 역내 제공자와 역외 수령자 간에 개인정보역외제공 표준계약(이하 “「표준계약」”)을 체결하는 방식에 대한 세부적인 지침, 표준계약 양식 등 규정을 명확히 함으로써, 실무적 가이드라인을 마련하였습니다. 아래에서는 「표준계약규정」의 핵심내용과 중국에 진출한 기업들이 주목해야 할 점들에 대해 대해 살펴보겠습니다.
I. 개인정보의 역외제공시 표준계약을 체결할 수 있는 경우를 명확히 함
개인정보처리자가 표준계약을 체결하는 방식을 통해 중국내의 개인정보를 역외로 제공할 경우, 아래 요건을 모두 충족하여야 합니다(제4조).
1. 핵심정보인프라시설운영자가 아닐 것
2. 처리하는 개인정보가 100만명 미만일 것
3. 전년도 1. 1.부터 누적하여 역외로 제공한 개인정보가 10만명 미만일 것
4. 전년도 1. 1.부터 누적하여 역외로 제공한 민감개인정보가 1만명 미만일 것
위 요건들은 「의견수렴안」의 내용과 동일하지만, 「표준계약규정」 제4조 후단에서는 추가로 “개인정보처리자는 정보수량의 분할 등 수단을 취하여 안전평가를 받아야 하는 개인정보를 표준계약의 체결방식을 통해 역외로 제공할 수 없다”고 규정하고 있습니다. 즉, 이는 중국 역내 개인정보처리자(제공자)의 “역외로 제공하는 개인정보 수량이 위 각항에서 정한 수량을 초과하는 경우에는 중국 인터넷정보부서가 조직하는 안전평가에 통과되어야 한다”는 규정(<개인정보보호법> 제40조)을 회피하는 행위에 대해 규제, 단속하려는 중국 인터넷정보부서의 의지를 보여주고 있습니다.
II. 사전 개인정보보호 영향평가 기준 확정
「표준계약규정」 제5조는 「의견수렴안」의 내용을 대부분 그대로 인용하고 있는바, 중국 역내 개인정보처리자는 역외로 개인정보를 제공하기 전에 영향평가를 진행해야 하며 중점 평가내용은 아래와 같습니다.
1. 개인정보처리자 및 역외 수령자의 개인정보 처리 목적, 범위, 방식 등의 적법성, 정당성, 필요성
2. 역외제공 개인정보의 규모, 범위, 유형, 민감정도 및 개인정보의 역외제공이 개인정보 권리에 미치는 리스크
3. 역외 수령자가 부담하기로 확약한 의무 및 의무를 이행하는 관리 및 기술조치, 능력 등이 역외제공하는 개인정보의 안전을 보장할 수 있는지 여부
4. 개인정보를 역외에 제공한 후 변조, 훼손, 유출, 분실, 불법적으로 이용되는 등의 리스크 및 개인정보의 권익유지를 위한 경로가 원활한지 여부 등
5. 역외 수령자 소재 국가 또는 지역의 개인정보보호 정책, 법규가 표준계약의 이행에 미치는 영향
6. 개인정보 역외제공의 안전에 영향이 미칠 수 있는 기타 사항
III. 표준계약/개인정보보호 영향평가보고서 신고의무
「표준계약규정」 제7조, 제8조에서도 「의견수렴안」의 내용을 대부분 그대로 인용하고 있는 바, 개인정보처리자는 역외 수령자와 표준계약을 체결한 후 효력발생일로부터 10 영업일 내 소재지 성(省)급 인터넷정보부서에 (i) 표준계약 및 (ii) 개인정보보호 영향평가보고서를 제출하여 신고해야 합니다. 「의견수렴안」에서는, 표준계약 유효기간 내에 아래의 사유 중 하나가 발생하는 경우, 개인정보처리자는 “표준계약을 다시 체결하여 신고해야 한다”고 하였으나, 「표준계약규정」에서는 “이 경우 개인정보보호 영향평가를 다시 실시한 후 표준계약을 ‘보완”하거나 다시 체결해야 한다”고 규정함으로써, 중국 개인정보처리자의 영향평가 의무를 추가하였습니다.
1. 역외로 제공하는 개인정보의 목적, 범위, 유형, 민감정도, 방식, 저장장소 또는 역외 수령자가 개인정보를 처리하는 용도, 방식이 변경되는 경우, 또는 개인정보의 역외 저장기간을 연장하는 경우
2. 역외 수령자 소재 국가 또는 지역의 개인정보보호 정책, 법규가 변경되는 등으로 인해 개인정보 권리에 영향이 미칠 가능성이 있는 경우
3. 개인정보 권리에 영향이 미칠 수 있는 기타 상황
위와 같은 신고제도는 「의견수렴안」에서 처음으로 규정되었고 이번 「표준계약규정」에서 그대로 유지된 점에 비추어 보면, 개인정보의 역외 제공에 대해 엄격히 감독할 것이라는 중국 인터넷정보부서의 강한 의지를 엿볼 수 있습니다.
VI. 표준계약의 주요내용
「의견수렴안」과 달리 「표준계약규정」에서는 표준계약에 포함되어야 하는 내용을 정한 조항을 삭제하고, “「표준계약」은 엄격히 「표준계약규정」 첨부 「표준계약양식(중문본)」에 따라 엄격히 체결되어야 한다”고 규정하면서, “중국 개인정보처리자와 역외 수령자 간에 다른 약정을 하는 경우 표준계약과 상충되어서는 아니 된다”는 점을 명시하였습니다(제6조).
「표준계약」은 총 9조, 별첨1(개인정보의 역외 이전 설명) 및 별첨2(양자가 약정한 특별 조항(있을경우))로 구성되었으며, 주요내용은 아래와 같습니다.
「표준계약」의 내용에 따르면, “개인정보처리자”는 “독립적으로 개인정보 처리목적, 방식을 결정할 수 있는 조직, 개인을 가리킨다”고 정의하고 있으나, “역외 수령자”는 “개인정보처리자부터 개인정보를 수령하는 조직, 개인을 가리킨다”고 정의하고 있습니다. 즉, “역외 수령자”에는 (i) 독립적으로 처리목적, 방식을 결정할 수 있는 조직, 개인과 (ii) 개인정보처리자의 위탁을 받아 개인정보를 처리하는 수탁인도 포함하고 있습니다. 따라서, 「표준계약」의 “당사자”는 (1) “중국 역내 개인정보 처리자”와 “중국 역외 개인정보처리자(수령인)” 또는 (2) “중국 역내 개인정보처리자”와 “중국 역외 수탁인”의 두 가지 경우로만 체결이 가능합니다. 즉, 중국 역내 개인정보처리자로부터 위탁을 받아 개인정보를 처리하는 “중국 역내 수탁인”은 표준계약의 당사자가 될 수 없으며, “중국 역내 수탁인”이 다시 중국 역외의 어떠한 조직 또는 개인에게 재위탁하여 개인정보를 처리해서는 아니 됩니다.
V. 시사점
이번 정식으로 통과된 「표준계약규정」은 기존 「의견수렴안」의 대부분 내용을 그대로 인용하였습니다. 중국에 진출한 우리 기업으로서는 중국 역외(한국)로 개인정보를 제공함에 있어 우선적으로 표준계약을 체결하는 방식을 고려할 수 있으며, 이 경우 본 규정에 따라 역외 수령자(한국본사 또는 한국계열사)와 「표준계약」을 체결해야 할 필요가 있습니다.
특히, 「표준계약규정」에 따르면, 중국 기업으로서는 「표준계약」 효력이 발생된 후에야 비로소 개인정보 역외 이전 관련 활동을 진행할 수 있고, (i) 사전(역외 이전하기 전) 개인정보보호 영향평가, (ii) 사후(표준계약 효력 발생 후 10영업일 내) 표준계약/개인정보보호 영향평가보고서 신고의무를 이행해야 할 것입니다.
한편, 「표준계약규정」 제13조에 따르면, 본 규정이 정식으로 시행되기 전에 진행되었던 개인정보 역외 이전 활동이 본 규정에 부합되지 않을 경우 6개월 내 시정을 완료되어야 합니다. 따라서, 중국에 진출한 우리 기업이 이미 중국 역외에 개인정보를 제공하고 있다면 이에 대해 본 규정에 따라 전반적으로 재점검하고, 그에 따라 개선조치를 취할 필요가 있습니다.
중국 국가데이터국 신설
중국정부는 2023. 3. 7. 국무원의 제도개혁 방안 심의에 관한 국가데이터국을 신설하기로 하였습니다. 국가데이터국은 데이터 인프라 제도를 건설하고, 데이터 자원의 통합, 공유, 개발 및 이용을 조정 및 촉진하며 디지털 중국, 디지털 경제, 디지털 사회 계획 및 건설을 조정 및 촉진하는 책임이 있으며, 중국 중앙정부 부서인 국가발전 및 개혁위원회에서 관리하게 됩니다. 중앙사이버안전정보화위원회 사무실(中央??安全和信息化委???公室)이 담당하던 디지털 중국 건설방안 연구, 공공서비스와 사회 거버넌스 정보화 조정 추진, 스마트시티 건설 조정, 국가중요정보자원 개발이용 및 공유 조정, 산업간 부서간 정보자원의 상호연결 추진 등의 책무와 국가발전 및 개혁위원회가 담당하던 디지털경제발전 총괄추진, 국가 빅데이터전략 조직실시, 데이터 요소 인프라 제도건설 추진, 디지털 인프라배치 추진 등의 책무를 국가데이터국에 편입시켰습니다.
중국 국가데이터국은 빅데이터 시대에 정부 주도로, 정부 중심으로 데이터를 관리하고 발전시키겠다는 의미로 이해됩니다.
김성욱 변호사 (sungwook.kim@bkl.co.kr)
김응걸 외국변호사 (yingjie.jin@bkl.co.kr)
구천을 외국변호사 (tianyi.qiu@bkl.co.kr)
