손덕중 법무법인(유) 지평 파트너변호사

 

지난 2021년 8월 20일, <중화인민공화국 개인정보보호법>(中华人民共和国个人信息保护法)(이하 “본 법”)이 중국 전국인민대표대회 상무위원회에서 의결돼 2021년 11월 1일부 시행되었다. 본 법은 중국 최초의 개인정보보호 관련 법률로서 향후 기업들의 중국 내 개인정보 처리에 대한 중요 지침으로 자리할 것으로 예상되며 중국과 밀접한 경제무역 관계를 가진 우리 기업로 하여금 개인정보 처리와 관련, 컴플라이언스 이슈를 가져올 것으로 예상된다. 이에 본 기고문에서는 중국 개인정보보호법이 우리 기업에 미치는 영향 요인에 대해 살펴보고 나아가 중국 현지에 법인을 둔 우리 기업이 중국 현지법인으로부터 개인정보를 이전 받을 경우 필요한 조치에 대해 안내코자 한다. 

1. 개인정보보호법의 적용범위 

개인정보보호호법은 중국 경내에서 자연인(이하 ‘정보주체’)의 정보를 처리하는 자(이하 ‘정보처리자’)에게는 모두 적용되며 여기서 '처리'라 함은 개인정보의 수집, 보존, 사용, 가공, 전송, 제공, 공개, 삭제 등을 포함하는 포괄적인 개념이다. 따라서 경내 법인이라면 개인정보 수집 목적을 불문하고 대부분 개인정보보호법의 적용을 받게 되는 점을 유의해야 한다. 단, 중국 경외 법인이라고 하더라도 아래와 같은 요건에 해당할 경우에는 역외 적용 규정에 따라 중국 개인정보보호법이 직접 적용된다.

  (1) 중국 경내 자연인에게 제품 또는 서비스를 제공하기 위한 목적

  (2) 중국 경내 자연인의 활동을 분석, 평가하기 위한 목적

  (3) 법률, 행정법규에서 규정한 기타 상황에 해당하는 경우

예를 들어, 중국 경내 자연인에게 온라인 스트리밍 방식으로 교육 서비스를 제공하는 한국 기업의 경우에 온라인 게이밍 업체, 또는 중국 경내 자연인에게 직접 제품을 판매하는 한국 기업의 경우, 상기 (1) 항목에 해당하므로 개인정보보호법의 적용을 받게 된다. 다만, 제품/서비스를 '직접' 제공하는 것이 요건이므로, 경외 업체의 업무가 궁극적으로 자연인에 대한 제품/서비스 제공으로 연결된다고 하더라도 이는 간접적인 제품/서비스 제공에 불과할 뿐이므로 이러한 경외 업체에 개인정보보호법이 적용될 여지가 없다. 예를 들어 경외 소재 기업이 개인 소비자용 제품/서비스를 중국 법인에 공급하고 중국 법인이 이를 최종 소비자에게 판매하는 경우, 해당 경외 업체가 일부 개인정보를 처리하더라도 개인정보보호법이 직접 적용된다고 보기는 어렵다. (*단, 아래 상황을 염두에 두면 경외 업체에 대한 개인정보 제공 등의 이슈가 발생할 수도 있음.)

 

중국 경내 자연인에게 직접 제품이나 서비스를 공급하지 않더라도 상기 (2) 항목과 같이 자연인 활동을 분석/평가 목적에서 개인정보를 처리하는 경우에는 개인정보보호법이 적용된다. 앞서 본 예시에서 경외 업체가 경영전략 수립을 위해 개인정보를 이용하는 경우에는 개인정보보호법이 적용되는 것이다. 특히 개인정보를 바탕으로 시장 리서치 업무를 하는 회사, 빅데이터 업체 등은 여기에 해당되므로 주의해야 한다.  

*(예시) 온라인 게임서비스를 중국 법인을 통해 퍼블리싱하는 경우, 한국 회사가 비용을 받기 위해 일부 개인정보를 제공받게 되더라도 한국회사가 개인에게 직접 서비스를 제공하지는 않으므로 개인정보보호법이 직접 적용되지는 않는다. 하지만 한국 회사가 중국 내 이용자의 플레이 타임, 접속 시간 등을 분석, 평가하여 경영전략을 수립하고자 한다면 이 경우에는 개인정보보호법의 적용 대상이다.

 

만약 중국 개인정보보호법이 경외 법인에게 적용될 경우, 해당 경외 법인은 중화인민공화국 역내에 전문 기관을 설립하거나 대표자를 지정하여 개인정보보호 관련 사무를 담당하도록 해야 하고 유관 기관의 명칭 또는 대표자의 이름, 연락처 등을 개인정보보호 직무수행 부처에 보고해야 하며(법 제53조에 의거), 개인정보보호법 상의 규정 또한 준수해야 한다. 또 개인정보보호법이 경외 업체에 직접 적용되지 않더라도 중국 법인으로부터 중국 경내 자연인의 개인정보를 제공받게 되는 경우 중국 법인은 법률에 따라 경외 업체와의 표준계약을 체결해야 하므로 경외 업체는 해당 표준계약에 따른 의무를 준수하지 않을 경우 계약위반 이슈가 발생할 수는 있다.

 

2. 개인정보의 경외 이전 관련 컴플라이언스

한국 회사가 사업상 필요에 따라 중국 법인으로부터 중국인의 개인정보를 이전 받아야 하는 경우 혹은 중국 현지법인 관리를 위해 중국인의 개인정보를 제공받아야 하는 경우를 가정 시 가장 흔히 발생할 수 있는 사례는 중국 현지직원 관련 개인정보를 이전 받는 경우일 것이다. 이런 경우 중국 법인은 아래와 같은 사항을 준수해야 한다. 이해를 돕기 위해 질의응답 방식으로 작성하였다. 

Q: 중국 현지 법인이 직원을 고용하는 과정에서 직원의 개인정보를 수집하게 되었다. 이 경우 한국 모회사도 중국의 개인정보보호법 적용을 받게 될까? A: 중국 현지 법인이 경내에서 개인정보를 수집하게 된 경우에 해당하므로 당연히 개인정보보호법이 적용된다. 그러나 앞서 본 바와 같이 한국 모회사가 중국 내 자연인에게 직접 제품/서비스를 제공하지 않고 중국인의 활동을 분석, 평가하는 목적에서 개인정보를 이용하지 않는 이상 한국 모회사에게 직접 개인정보보호법이 적용되지는 않는다. Q: 중국 현지 법인이 한국 모회사에게 직원의 개인정보를 이전한다면 어떤 이슈가 있는지?  A: 한국 모회사가 중국 현지 법인으로부터 개인정보를 이전받는다 하더라도 앞서 언급한 요건에 해당하지 않는 이상 중국 개인정보보호법의 적용을 받지않는다. 중국 현지 법인의 입장에서 보면 개인정보보호법상 직원의 별도 동의가 없더라도 직원의 개인정보를 수집하거나 처리할 수는 있으나(법 제13조 2항), 이를 제3자에게 제공하거나 또는 경외 이전 하는 경우에는 개인정보보호법 상의 조치를 취해야 한다.

 

가. 개인정보주체의 단독 동의

정보처리자가 개인정보를 수집할 때에는 정보 주체에 대한 동의를 받아야 하는데 특히 개인정보를 경외로 전송하고자 하는 경우에는 별도의 '단독 동의'를 받아야 한다. 이 때 정보처리자는 경외 개인정보 접수 측의 명칭, 연락처 처리 목적, 처리방식, 개인정보의 유형 및 개인이 경외 접수 측에 개인정보 처분권*을 행사하는 방법 및 절차 등 사항을 고지하고 개인으로부터 '단독 동의'를 받아야 한다. 참고로, 현재 제정된 중국의 개인정보보호법에서는 '단독 동의'라는 표현이 자주 등장하나 구체적으로 어떤 방식의 동의를 받아야 하는지에 대해서는 법률상 구체적으로 정해진 바는 없다. 이에 현재 실무적으로는 동의서 상에 별도의 항목을 두어 이에 동의를 구하는 방식이 일반적으로 사용되고 있다.

 

주: 개인정보 처리에 대한 알 권리 및 결정권, 제한/거부권(제44조): 자신의 개인정보 처리에 대해 알권리와 결정권을 가지며, 타인에 의한 자신의 개인정보 처리를 제한하거나 거절할 권리를 가짐.   - 열람/복제권(제45조): 개인정보처리자에게 자신의 개인정보 열람, 복제를 요구할 권리   - 정정권(제46조): 자신의 개인정보가 부정확하거나 불완전하다는 사실을 발견한 경우, 개인정보처리자에게 정정, 보완을 요구할 권리   - 삭제청구권(제47조): (1) 약정한 보관 기간이 이미 만료되었거나 처리 목적이 실현된 경우 (2) 개인정보처리자가 상품 또는 서비스 제공을 중지한 경우 (3) 개인이 동의를 철회한 경우에 개인정보처리자가 법률, 행정법규를 위반하거나 약정을 위반해 개인정보를 처리한 경우 (4) 법률, 행정법규에서 규정된 기타 사항   - 해석/설명 요구권(제48조): 개인정보처리자에게 개인정보 처리 규칙에 대한 해석, 설명을 요구   - 자동화 결정 관련 권리(제25조)     (1) 개인정보를 이용하여 자동 의사 결정을 하는 경우 의사 결정의 투명성과 처리 결과의 공정성, 합리성을 보장해야 하고 개인이 자동 의사결정이 자신의 권익에 중대한 영향을 미친다고 판단하는 경우 개인정보처리자에게 설명을 요구할 권리를 가짐     (2) 개인정보처리자가 자동 의사 결정 방식만을 통해 의사를 결정하는 것을 거절할 권리

나. 개인정보 안전영향평가 실시 

개인정보 경외이전을 위해서는 사전에 개인정보 안전영향평가를 실시해야 한다(법 제55조(4)). 이는 개인정보보호법 준수사항에 대한 확인과 더불어 데이터 보호 능력 확보, 개인정보의 유출·훼손·분실·변조를 방지하는데 필요한 관리적, 기술적 조치를 채택하고 있는지를 확인하는 절차이다. 이에 대한 구체적으로 평가방법은 2021년 6월 1일 실시된 개인정보안전영향평가가이드(个人信息安全影响评估指南)(이하 ‘평가방법’)에 상세하게 명시돼 있다. 개인정보 안전영향평가는 주로 처리 활동이 개인정보안전의 기본원칙에 따르고 있는지에 대한 평가 부분과 기술적 부분으로 이뤄지며, 주요 평가내용은 다음과 같다:

 - 개인정보를 수집하는 단계에서 목적의 명확성, 동의 여부 선택, 최저필요성 등 원칙에 부합하는지

 - 개인정보처리는 개인정보주체의 합법적 권익에게 불리한 영향을 미치는지 또는 신체적·재산적 안전에 피해를 주는지, 개인 명예와 심리적·신체적 건강에 손해를 미치는지와 차별적인 대우가 초래되는지 등

 - 개인정보안전조치의 유효성

 - 익명화 또는 표지를 제거한 데이터를 이용하여 다시 개인정보를 식별할 수 있거나 다른 데이터와 결합한 후에 이를 이용하여 개인정보주체를 식별할 수 있는 위험

 - 개인정보의 공유, 양도, 공개함으로써 개인 정보 주체의 합법적 권익에 미칠 수 있는 악영향

 - 보안 사건이 발생할 경우 개인정보주체의 합법적 권익에 미칠 수 있는 악영향

 

현재까지는 평가 주체에 대해서 국가에서 인증을 한 독립적 기관이나 정부 부문이 없으나 법률이나 규정에 평가주체에 대해 정해진 바가 없으므로 기업이 스스로 평가를 하거나 제3자 평가기관을 통해서 진행할 수 있다고 해석된다. 현지 기업은 법규준수나 관리적 조치에 대해서는 실제 로펌과 같은 법률자문회사를 통해서 영향평가를 받고 있으며, 기술적 조치에 대해서는 정보보안업체 등을 통해서 진행하고 있는 것이 일반적인 관행이다.

따라서 철저한 컴플라이언스 관점에서는 로펌과 정보보안 업체 등을 통해 발급받은 개인정보 안전영향평가보고를 받는 것이 이상적이나 기업이 자체적으로 작성한 개인정보 안전영향평가보고가 효력이 없다고 볼 수도 없으므로 상황에 맞춰 적절한 방식으로 개인정보 안전영향평가를 진행하는 것을 권장한다. 

 

개인정보 경외 이전 관련 필요 조치 : 개인정보를 경외로 이전 하기 위해서는 사전에 아래 중 하나의 조치를 취해야 한다(법 제38조) 

 (1) 국가인터넷정보부처 기구의 안전평가 통과

 (2) 전문 기관을 통해 개인정보보호 인증 진행

 (3) 국가인터넷정보부처가 제정한 표준계약에 따라 경외접수자와 계약을 체결(법 제38조) 

 단, ① 누적 100만 명 이상 개인의 정보를 처리하는 자가 경외접수자에게 개인정보를 제공하는 경우, ② 경외 접수자에게 누적 10만 명 이상 개인의 정보를 제공하거나 1만 명 이상 개인의 민간정보를 제공하는 경우, 또는 ③ 전기, 수도와 같은 기간시설 등을 위해 서비스를 제공하는 네트워크 사업자, 정보기술 사업자 등 핵심정보인프라 운영자의 경우에는 반드시 국가인터넷정보부처 기구의 안전평가를 통과해야 한다.

 

구체적인 절차는 다음과 같다.

 

 (1) 국가인터넷정보부처 기구의 안전 평가

  (가) 신청필요서류(평가방법 제6조) 

  - 신고서

  - 데이터 경외이전 위험성 자체 평가 보고서

  - 데이터 처리자와 경외 접수자가 체결한 계약 내지 다른 법적 문서

  - 안전평가업무에 필요한 기타 서류

  (나) 자체 평가 보고서 작성 요령 : 정보처리자가 경외 사업자에게 데이터를 제공하기 전, 사전에 데이터 경외이전 자체평가를 해야 하며, 평가 사항은 다음과 같다(평가방법 제5조)

  - 개인정보 경외이전의 방식과 경외 접수자가 해당 개인정보에 대한 이용 목적, 범위, 수단 등의 적법성, 정당성, 필요성

  - 경외이전 개인정보의 수량, 범위, 종류, 민간정도 등과 데이터의 경외이전은 국가안전, 공공이익, 개인이나 조직의 합법권익에 초래 가능한 리스크

  - 정보처리자가 개인정보 이전하는 단계에서 실시하고 있는 관리와 기술적인 조치와 능력, 그리고 이는 개인정보의 누출을 방지할 수 있는지에 대한 자체평가

  - 경외 접수자의 책임, 승낙과 접수자의 기술적인 조치, 이런 조치로 개인정보의 누출을 방지할 수 있는지에 대한 자체평가

  - 경외이전·재이전된 개인정보 데이터의 누출·훼손·변조·남용 위험, 또는 침해를 입을 때 개인 권익 보호 방법에 대한 사항

  - 경외 접수자와 정보처리자 간의 계약에 개인정보에 대한 책임에 대한 약정 내용

  (다) 신청 절차

  - 국가인터넷과 정보 부서는 신고 서류 받은 날로부터 7일(근무일) 이내에 접수 여부를 결정하며, 서면 통지로 결정을 고지한다(평가방법 제7조).

 

국외이전 안전평가 절차는 구체적으로 다음과 같다.

 

(2) 전문기관 인증: 전문기관을 통한 인증방법에 대해서는 아직 정부의 자세한 공지나 규정이 없으므로 추후 정부의 공식적인 발표를 기다려야 할 것으로 보인다.

 

(3) 표준계약: 이 또한 현재까지 국가인터넷정보부처 제정 표준 계약에 대한 공지나 규정이 없으므로 추후 정부의 공식적인 발표를 기다려야 할 것으로 보인다. 다만, 평가방법 제9조에 표준 계약의 내용과 관련하여 참고할 만한 내용이 있으므로 현재 단계에서는 다음의 내용을 참고하여 경외이전에 대한 계약서를 체결하는 것이 최선일 것으로 보인다.

데이터 처리자와 경외 접수자가 체결한 계약에는 데이터 보안 책임과 의무를 충분히 약정하여야 하며, 특히 아래의 사항들이 포함돼 있어야 한다:

 - 데이터 경외이전의 목적, 방법 및 데이터 범위, 경외 접수자가 데이터를 처리하는 용도, 방법 등

 - 경외이전된 데이터를 보존하는 장소, 기간 및 보존 기간 만료되거나 합의 목적 달성되거나 계약 종료될 때 데이터에 대한 처리 방법

 - 경외 접수자가 해당 정보를 또 다른 조직이나 개인에게 다시 이전할 때의 제한 조항

 - 경외 접수자가실제 통제권이나 경영 범위에 실질적인 변화가 있거나 해당 국가, 지역 법률 환경의 변화로 인해 데이터 보안이 어려워질 경우 취해야 할 보안 조치

 - 데이터 보안 의무 위반에 대한 위약 책임 및 구속력 있고 실행 가능한 분쟁 해결 조항

 - 데이터 누출 등 위험이 발생할 경우의 응급 조치 및 개인으로 하여금 개인정보권익을 보호받을 수 있는 원활한 절차와 방법에 대한 보장

 

3. 시사점

중국개인정보보호법은 위반하는 개인정보처리 행위가 있는 경우, 최대 5000만 위안(약 94억 원) 이하 또는 전년도 매출액의 5% 이하의 과징금이 부과될 수 있다(법 제66조). 특히 앞서 본 역외적용 규정에 따라 중국 경내에 사업장이 없는 우리 기업에도 적용될 수 있으므로 기업으로서는 중국개인정보보호법의 적용 가능성에 대해서 사전 검토와 영향요인 분석이 이루어져야 한다. 

또한 중국 현지 법인을 두고 있는 기업의 경우 중국 현지 법인 관리를 위해서라도 개인정보를 이전받는 경우가 있을 수 있으므로 이와 관련된 절차를 준수하도록 유의해야 한다. 현재 개인정보보호법 시행 초기로 구체적인 하부 규정이나 지침이 마련되지 않은 부분이 있어 실무상 혼선이 있는 상태이나 향후 구체적인 규정 등이 공표될 것으로 예상되므로 관련 법규 동향을 수시로 살펴야 할 필요가 있다. 

 

 

※ 해당 원고는 외부 전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.