마광 중국 절강대 국제법연구소 소장, 교수, 변호사

2023년 3월 1일부터 데이터의 국외이전 활동에 대해 전방위적이고 엄격한 안전평가가 시행될 예정이므로 해당 기업의 주의가 필요하다. 2022년 7월 7일 “데이터 국외이전 안전평가방법”(아래 “방법”으로 약칭)의 제정을 통해 중국은 데이터의 국외이전에 대한 안전평가제도를 마련했다. 동 “방법”은 오는 9월 1일부터 시행되며 시행 전 이미 진행된 데이터의 국외이전 활동에 대해서 6개월의 유예기간을 부여했다. 데이터의 국외 이전에 대한 안전평가제도와 관련하여 2016년에 제정된 “사이버안전법”에서 다룬 바 있었다. 단 핵심정보 기초시설, 중요 데이터 등 핵심용어에 대한 정의 및 시행세칙의 부족으로 동 제도는 실제로 시행되지 못했다. 2021년 제정된 “데이터안전법”과 “개인정보보호법” 역시 유사한 관련 제도를 다뤘으나 시행세칙의 부족으로 본격적으로 도입되지는 못하고 베이징, 상하이, 선전, 하이난 등 지역에서 시범 운행되는데 그쳤다.

“데이터의 국외이전 활동”에는 두 가지 경우가 있다. 첫째는 데이터 처리자가 국내운영 중 수집 및 생성한 데이터를 국외로 전송, 저장하는 경우이다. 둘째는 데이터 처리자가 수집 및 생성한 데이터를 국내에 저장하지만 국외의 기관, 조직 또는 개인이 방문 및 이용 가능하도록 하는 경우이다. 예를 들어 중국에 투자한 한국의 모 회사가 중국 내 경영에서 수집한 데이터를 한국 본사로 이전하거나 한국 본사에서 중국 내 저장된 상술한 데이터를 열람하는 경우 모두 데이터의 국외이전에 속한다.

안전평가가 필요한 데이터는 다음과 같은 경우가 있다.

  1. 국가 및 개인의 이익에 영향을 줄 수 있는 중요데이터

  2. 핵심정보 기초시설의 운영자가 수집한 개인정보

  3. 국가 기관이 처리한 개인정보

  4. 100만 명 이상의 개인정보를 처리하는 데이터 처리자가 국외로 개인정보를 제공하는 경우

  5. 전년 1월 1일부터 누적으로 10만 명의 개인정보를 국외로 제공하였거나 1만 명의 민감한 개인정보를 국외로 제공한 데이터 처리자가 국외로 개인정보를 제공하는 경우

  6. 소량의 임직원 데이터를 국외로 이전하더라도 데이터 처리자가 100만 명 이상의 개인정보를 처리한 경우 등

그룹회사에서 처리하는 개인정보의 수량을 계열사별로 계산할지, 아니면 그룹회사 전체로 계산할지에 대해서는 계열사별로 계산하는게 맞다는 관점이 우세하다. 다만 현재 중요데이터와 핵심정보 기초시설의 범위가 불분명하고 그 대상이 너무 광범위하다는 평가도 있는 상황이다. 이는 과도한 안전평가가 진행되면 업무용 일반 데이터의 국외이전에 영향을 미치게 되며 더 나아가 디지털무역 내지 디지털경제에 방해가 되지 않을까 하는 우려도 적지 않기 때문이다.

중국은 개인금융정보, 인터넷 차량 예약 플랫폼이 수집한 데이터, 국민의 건강정보, 공업과 IT산업정보, 인터넷 출판과 지도 관련 정보 등에 대해서는 더 엄격한 제한을 두어 원칙적으로 데이터 현지화를 전제로 국외 이전은 엄격히 제한된다. 따라서 상술한 분야와 관련되는 데이터의 국외이전 시에는 각 분야에서 별도로 제정한 규정들을 면밀히 검토해야 한다. 특히 개인정보의 국외 이전은 기업의 운영과 가장 밀접한 연관이 있는데 이와 관련해 안전평가가 필요하지 않다 하더라도 다음의 요건 중 한 가지에 해당해야 한다.

  1. 중국 인터넷정보 판공실이 규정한 전문기관의 개인정보보호인증에 통과할 것

  2. 국외의 개인정보 접수자와 중국 인터넷정보 판공실이 제정한 표준계약서를 체결하여 양측의 권리, 의무를 약정할 것

  3. 법률, 행정법규 또는 중국 인터넷정보 판공실이 규정한 기타 요건을 충족할 것

안전평가제도는 사전평가와 사후감독 방식으로 진행되는데 기업자체의 사전평가가 중요하다. 따라서 기업에서는 사전에 철저한 데이터 안전평가를 진행함으로 추후 있게될 정부의 안전평가에 대응해야 한다. 중국 데이터 국외이전 안전평가기관은 중국 사이버정보 판공실인데 기업은 소재한 성급 사이버정보부서를 통해 중국 사이버정보 판공실에 안전평가를 신청하게 된다. 성급 사이버정보부서는 신청자료를 받은 후 근무일 기준 5일 내 서류를 구비하였는지에 대한 예비심사를 마치고 중국 사이버정보 판공실에 이첩하며 후자는 근무일 기준 7일 내 심사진행 여부를 고지하며 고지 후 근무일 기준 45일 내 심사를 마치게 된다.

기업이 제출해야 하는 자료에는 다음이 포함된다.

  1. 신청서

  2. 데이터 국외이전 리스크에 대한 자체평가보고서

  3. 데이터처리자와 국외 접수자 사이에 체결된 법적문서

  4. 안전평가업무에 필요한 기타 자료 등

만약 데이터 처리자가 평가결과에 대해 이의가 있을 경우, 재평가를 요구할 수 있으나 재평가 결과는 최종결정이 된다.

위에서 언급했듯이 2022년 9월 1일부터 시행될 “방법”은 기업에 6개월의 유예기간이 제공되는데 이 기간을 잘 활용해 준법 경영을 강화해야 할 것이다. 안전평가는 기업에서 해외이전할 데이터를 자발적으로 신고해야 한다. 신고하지 않고 적발 되었을 경우 중국 정부의 벌금 처벌 등이 있을 것이다. 중국의 데이터 국외이전 안전평가제도는 아직 도입초기이므로 시행세칙의 보완 및 업데이트가 필요한 부분이 있으므로 우리 기업은 해당 법규를 지속적인 모니터링 해야 할 필요가 있다.

※ 해당 원고는 외부 전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.