중국 데이터 해외 이전 완화를 위한 규정 공포


법무법인(유한) 대륙아주 박동매 외국변호사^*
법무법인(유한) 대륙아주 김승진 변호사



Ⅰ. 본건 규정의 공포 배경

  중국은 2017년부터 정보보안 관련 网络安全法(사이버안전법), 个人信息保护法(개인정보보호법), 数据出境安全评估办法(데이터 반출 안전평가방법), 网信部门行政执法程序规定(인터넷통신부 행정집행절차 규정), 个人信息标准合同办法(개인정보표준계약방법) 등 데이터 해외반출 관련 일련의 제도를 구축하여 사이버 테러와 해킹 등 인터넷 범죄 차단, 통신, 에너지, 교통, 금융, 국방 등 중요 인프라의 안전보장, 개인정보보호 등에 관한 규제를 강화했습니다.

  특히 데이터 해외반출은 중국감독관리기관의 중요 규제 대상입니다. 데이터 해외이전 시 이전되는 정보의 성질 등에 따라 정부의 승인 및 신고 절차가 필요합니다.

  그러나 2024. 3. 22. 중국 국가사이버정보기관(CAC)이 공포한 <데이터 해외유동 촉진 및 규범화 규정>(促进和规范数据跨境流动规定)은 데이터 해외이전을 엄격하게 규제해온 조치를 대폭 완화했습니다. 예컨대, 다국적 기업이 인사관리 차원의 직원 개인정보의 해외 이전 시, 또는 국제 무역, 해외 운송, 학술 협력, 다국적 생산 제조 및 마케팅 등의 활동에서 수집된 데이터가 개인정보나 안보 등의 “중요 데이터”를 포함하지 않는 경우 해외 이전 시 승인 및 신고 절차가 면제됩니다.

  이와 같이 규제를 완화하는 것은 데이터안전을 보장하는 한편, 기업의 컴플라이언스 관리부담을 줄여주고 대외개방을 보다 확대하기 위한 것으로 볼 수 있습니다.

  아래에서는 본건 규정의 주요 내용에 관하여 말씀드리겠습니다.




Ⅱ. 본건 규정의 주요내용

  기존의 규정에 따르면 데이터 해외 이전 시 안전평가, 개인정보 해외 이전 표준계약 신고, 개인정보보호인증 등 세 가지의 이전 방식이 있었습니다.

  그러나 본건 규정 제3조~제6조에서는 아래에 해당하는 경우 승인이나 신고 절차 없이 이전할 수 있습니다.


1. 개인정보나 중요데이터가 포함되지 않는 경우

  본건 규정 제3조는 국제무역, 국제운송, 학술협력, 다국적 생산제조 및 마케팅 등의 활동에서 수집, 생성된 데이터의 경우 개인정보 또는 중요 데이터가 포함하지 않은 경우에는 안전평가, 개인정보 이전 표준계약 체결, 개인정보보호 인증(이하 승인/신고/인증) 등을 면제한다고 명시했습니다.


2. 데이터 경유의 경우

  본건 규정 제4조는 중국 경외에서 수집 및 생성된 개인정보를 중국 경내에서 처리 후 다시 중국 경외로 제공한 경우, 처리과정에서 중국 경내 개인정보나 중요 데이터를 추가하지 않았다면 승인/신고/인증 등을 하지 않아도 된다고 규정했습니다.

  예컨대, 중국 경외에 클라우드 서비스를 제공하는 다국적 기업의 경우 중국 경외에서 이전된 데이터를 처리할 시 중국내 개인정보나 중요 데이터 삽입 없이 처리한 후 다시 해외로 이전한 경우, 즉 데이터 경유의 경우 승인/신고/인증을 하지 않아도 됩니다.


3. 개인정보 해외 이전 시 아래의 경우 승인/신고/인증 면제

  “개인정보보호법”은 개인정보의 해외 이전에 대해 이유를 불문하고 개인의 동의를 필수로 하고, 또 일정한 수량에 달하는 개인의 일반정보나 민감정보의 경우 승인절차를 따라야 하고, 그 외의 경우 신고나 인증절차를 따라야 한다고 규정하고 있습니다.

  그러나 본건 규정 제5조에서는 아래의 경우 승인/신고/인증을 면제한다고 명시되어 있습니다.
 

가. 개인이 계약을 체결하기 위한 경우
  데이터 시대에 흔히 이루어지는 경제활동으로서 개인이 해외 온라인 쇼핑몰에서의 쇼핑 및 결제, 국제우편물 발송, 해외 호텔 예약 등의 경우 개인정보가 필연적으로 중국 경외로 이전되는데 이 경우 승인/신고/인증을 하지 않아도 됩니다.

나. 적법하게 제정된 근로 제도 및 체결된 단체계약에 따라 다국적 인력관리를 위한 직원의 개인정보 이전이 필요한 경우
  이 경우에도 승인/신고/인증을 하지 않아도 됩니다. 이는 다국적 기업의 인력관리의 부담을 줄이기 위한 취지입니다.
  
다. 긴급상황에 개인의 생명건강 및 재산 안전을 위해 개인정보 해외 이전이 필요한 경우
 
라. 중요 정보 인프라 운영자 이외의 데이터처리자가 당해 1월 1일부터 해외에 이전한 개인정보가 10만건 미만인 경우(민감개인정보 제외)

  다만, 상기 가, 나, 다의 경우는 승인/신고/인증을 면제받기 위해 해당 이전의 필요성을 설명해야 한다는 점에 유의해야 합니다.

  그러나 필요성에 대한 판단기준은 본건 규정에 규정되어 있지 아니합니다. 일부 견해는 위의 가.의 경우 해당 개인정보 처리를 해야만 계약 목적을 달성할 수 있을 때 필요성이 있다고 합니다. 아울러 필요성을 판단함에 있어 개인정보 보호 범위, 또는 사회적 통념 등을 참작해야 한다고 합니다. 위 나.의 경우 직원과의 평등한 협상, 공회(한국의 노조)나 직원대표대회의 협의 등의 과정을 거쳤는지 여부에 따라 필요성을 판단해야 한다는 의견입니다.



4. 자유무역지역의 특혜조치 

  본건 규정 제6조는 자유무역지역은 성급 인터넷안전 및 정보화위원회의 승인을 받아 데이터 해외 이전의 승인/신고/인증 리스트(네거티브리스트)를 별도로 마련할 수 있고, 네거티브리스트 이외의 데이터 해외 이전 시 승인/신고/인증을 면제한다고 명시했습니다.

  2024. 4. 기준 중국은 북경, 상해, 산동 등 총 21개의 자유무역지역을 승인했습니다. 상해임항구（上海临港区）의 경우 지능형 네트워크 연결 자동차의 원격 진단, 다국적 기업 관리, 생물의약 임상실험 및 개발 등의 환경의 데이터 해외이전 관련 네거티브리스트를 편성했습니다.




Ⅲ. 마치며

  본건 규정은 장기적으로 보았을 때 기업에게 이로운 것임은 틀림없습니다. 그러나 시행 초기에 기업은 적응하기 위한 컴플라이언스 관리부담이 오리려 가중될 수 있습니다. 왜냐하면 기존 규제방식의 경우 대부분의 데이터 해외이전은 사전 규제를 받아야 하는 불편함이 따르지만 명확한 법규정에 따라 승인/신고/인증만 받으면 되었기 때문입니다.

  그러나 본건 완화규정에 따른 사후 규제의 경우 승인/신고/인증 등을 받아야 하는지 여부에 대한 판단은 온전히 기업의 몫입니다. 예컨대, 앞에서 말씀드렸던 기업인력관리차원의 개인정보 해외 이전에 관한 규정의 모호함으로 인해 기업은 승인/신고/인증이 필요한지 여부에 대한 판단을 해야 하므로, 컴플라이언스 관리부담이 증가하게 됩니다.

  이와 관련하여 입법기관에서는 보다 섬세한 제도적 추가 장치를 마련할 필요가 있어 보이고, 기업의 입장에서는 규제기관과의 보다 긴밀한 소통이 중요해 보입니다.

 

*         법무법인 대륙아주 중국변호사, 성균관대학교 법학박사