CSF 중국전문가포럼

중국의 개인정보 국외 이전 제한과 우리의 대응

임종천 소속/직책 : 한국소비자원 정책연구실 책임연구원(법학박사) 2023-08-31

인쇄

Ⅰ. 들어가며

중국은 2021년 8월 20일 제13기 전국인민대표대회 상무위원회 제30차 회의에서 「개인정보보호법(个人信息保护法)」(이하 ‘동법’으로 약칭함)을 제정하고 같은 해 11월 1일부터 시행하고 있다. 이것은 2003년 중국 국무원에서 개인정보 보호 법제 마련을 위한 입법 연구를 공식적으로 시작한 이래 약 20년 만에 이룬 입법적 성과이다. 동법의 제정은 중국이 개인정보 보호를 위한 통일된 법률적 근거를 마련하였을 뿐만 아니라 중국식 데이터 3법¹⁾을 완성했다는 것을 의미한다.

중국 「개인정보보호법」에서 특히 주목할 부분은 중국 국내에서 수집 ·생성된 개인정보²⁾의 국외 이전(移轉)은 엄격히 제한된다는 점이다. 즉 중국 국내에서 수집·생성된 개인정보를 국외로 이전하기 위해서는 중국 「개인정보보호법」에서 정한 '개인정보 국외 제공 규칙'의 법정 조건을 준수해야만 비로소 가능하다(동법 제38조).

중국과의 교역량이 많은 우리나라 기업은 중국 「개인정보보호법」 관련 규정, 특히 개인정보 국외 이전 제한 규정을 반드시 준수하여야 한다. 만약 동법 규정을 위반하는 경우에는 행위의 경중에 따라 100만 위안(한화 약 1억 8천만원) 이하의 과징금, 5천만 위안(한화 약 90억원) 이하 또는 전년도 영업이익 100분의 5 이하에 상당하는 과징금을 부과받거나 영업정지 명령도 받을 수 있다(동법 제66조).

따라서 중국 「개인정보보호법 」상 개인정보 국외 이전 제한 규정³⁾의 주요 내용 검토와 이를 통한 우리의 대응 방안 수립은 어느 때보다 중요하다.

Ⅱ. 중국 「개인정보보호법」상 개인정보 국외 이전 주요 내용

중국 「개인정보보호법」은 개인정보의 권익을 보호하고, 개인정보 처리활동을 규범화하며, 개인정보의 합리적인 이용을 위해 제정되었고(동법 제1조),⁴⁾ 총 8장(총칙 · 개인정보 처리 규칙 · 개인정보 국외 제공의 규칙 · 개인정보 처리활동 중 개인의 권리 · 개인정보처리자의 의무 · 개인정보 보호 직무 수행의 부처 · 법적 책임 · 부칙) 74개 조문으로 구성된다.

개인정보 국외 이전을 제한하는 법률적 근거는 동법 ‘제3장 개인정보 국외 제공의 규칙(제38조~제43조)’에서 정하며, 이와 관련된 실무적 · 구체적 사항은 「데이터 국외 이전 안전평가방법」, 「개인정보 국외 이전 표준계약 방법」 등에서 정한다.

1. 「개인정보보호법」 상 개인정보 국외 이전 허용 조건

중국 「개인정보보호법」제38조에서 정한 사유 중 하나에 해당되면 개인정보의 국외 이전은 허용된다.

안전평가와 관련하여, 국가 인터넷 통신부처에 안전평가를 신청할 수 있는 자는 ‘핵심정보기반시설 운영자’와 ‘개인정보 처리량이 국가 인터넷 통신부처의 규정에 부합하는 개인정보처리자’로 제한된다.⁷⁾

2. 「데이터 국외 이전 안전평가방법」을 통한 안전평가 절차의 구체화

중국 국가인터넷정보판공실은 「개인정보보호법」 제38조 등에 규정된 안전평가의 세부 시행사항을 정하기 위해 2022년 7월 7일 총19개 조문으로 구성된 「데이터 국외 이전 안전평가방법(数据出境安全评估办法)」을 제정하였다.⁸⁾ <표 2>, <표 3>, <표 4> 등 주요 내용은 다음과 같다.

개인정보 국외 이전을 원하는 자는 「데이터 국외 이전 안전평가방법」제4조의 사유 중 하나에 해당되는 경우 소재지 성(省)급 인터넷 통신부처를 통하여 국가 인터넷 통신부처에 대하여 국외 데이터 안전평가를 신고하여야 한다(「데이터 국외 이전 안전평가방법」제4조).

한편, 개인정보 국외 이전 신청자는 안전평가 신청 전에 ‘위험성 사전 평가를 스스로 실시’하여야 한다(「데이터 국외 이전 안전평가방법」제5조)¹¹⁾.

「데이터 국외 이전 안전평가방법」제5조, 제7조, 제12조 등을 종합해 보면 개인정보 국외 이전 안전평가 절차를 순조롭게 완료하는 데 적어도 약 150일이 걸린다(<표 3> 참조). 즉 ‘위험성 사전 평가 완료를 위한 사전 작업 기간 3개월, 성급 인터넷 통신부처의 신고자료 수리 여부 결정 5일, 국가 인터넷 통신부처의 신고자료 수리 여부 결정 7일, 국가 인터넷 통신부처의 안전평가 심사기간 45일 등’이다. 이 150일은 개인정보 국외 이전 안전평가를 위한 최소한의 기간이며, 주무부처의 재량에 따라 얼마든지 연장될 수 있다.

데이터 국외 이전 안전평가의 유효기간은 2년이며, 유효기간 만료 60일 전(前)에 재평가 신청이 가능하다.

3. 「개인정보 국외 이전 표준계약 방법」을 통한 개인정보의 국외 이전

중국 국가인터넷정보판공실은 「개인정보보호법」 제38조 등에 규정된 표준계약의 세부사항을 규정하기 위해 2023년 2월 22일 총 13개 조문으로 구성된 「개인정보 국외이전 표준계약 방법(个人信息出境标准合同办法)」을 제정하면서 표준계약서식도 함께 마련하였다. <표 5>, <표 6> 등 주요 내용은 다음과 같다.

여기서 표준계약 신청을 하기 위해서는 제4조제1항 각 호의 규정 모두를 동시에 만족하여야 한다는 것에 주목하여야 한다(「개인정보 국외 이전 표준계약 방법」제4조제1항). 생각건대 「개인정보 국외 이전 표준계약 방법」을 통한 개인정보 국외 이전은 개인정보를 전문적으로 취급하지 않는 일반 기업체들에게 개인정보 국외 이전을 위한 일종의 편의를 제공하기 위한 목적으로 마련된 것으로 보이기 때문에 안전평가 요건보다는 덜 엄격하다. 하지만 이 표준계약에 의해 개인정보를 국외로 이전한다고 하더라도 사전에 “개인정보보호 영향평가”¹³⁾를 실시하여야 하는 별도의 절차가 필요하다(「개인정보 국외 이전 표준계약 방법」제5조).

개인정보 국외 이전 표준계약의 효력이 발생한 때에는 개인정보처리자가 소재지 성급 인터넷 통신부처에 10일 이내에 이를 보고하고, ‘표준계약서’와 ‘개인정보영향평가보고서’도 동시에 제출하여야 한다.

Ⅲ. 우리의 대응

중국은 「개인정보보호법」 등을 통해 개인정보의 국외 이전을 엄격히 제한하고 있다. 다만, 국가인터넷정보판공실에서 정한 안전평가를 거치거나 표준계약을 통해 계약을 체결한 경우, 중국이 체결한 조약이나 협정이 있는 경우 등에 한하여 개인정보의 국외 이전을 예외적으로 허용한다.

하지만 본문에서 확인한 것처럼 개인정보 국외 이전을 위해 안전평가를 거치는 경우에는 신청요건을 갖춘다고 하더라도 최소 150여 일의 기간이 필요하며, 표준계약을 이용하는 때에는 별도의 개인정보보호 영향평가를 거쳐야 하는 등 관련 절차에 상당한 시간과 노력이 투입될 것으로 보인다. 무엇보다 주무부처인 국가인터넷정보판공실의 행정 재량권이 넓어 개인정보 국외 이전이 허용되지 않을 가능성이 늘 존재하여 중국과의 교류가 많은 우리나라 기업 입장에서는 적지 않은 부담이 될 것으로 보인다.

따라서 ‘한중 간 개인정보 보호 및 이용 협정’의 체결을 조심스럽게 제안해 본다. 한국과 중국 모두 조약 또는 국제협정에 따라 개인정보의 국외 이전에 관한 규정이 있는 경우에는 그 규정에 따르도록 하고 있기 때문에¹⁴⁾관련 협정 체결을 위한 법적 근거는 이미 마련되었다고 볼 수 있다. 한중 양국 정책 당국 간 개인정보 국외 이전 편의성 제고의 필요성과 공감대가 형성되어 개인정보 보호 및 이용 협정을 위한 협의체가 조속히 구성되기를 희망해 본다.

----

1) ｢네트워크안전법｣(2017.6.1. 시행), ｢데이터안전법｣(2021.9.1. 시행), ｢개인정보보호법｣(2021. 11. 1. 시행)으로 구성된 중국 데이터 3법은 중국 데이터 법체계(개인정보 보호 + 데이터 보안) 구축에 중추적인 역할을 하고 있다(이상우, “중국 데이터의 역외 적용”, 「법학논총(숭실대학교 법학연구소)」제54집, 2022, 162면).

2) 동법 제4조제1항은 “개인정보란 전자적 또는 기타의 방식으로 기록된 식별되거나 식별 가능한 자연인과 관련된 각종의 정보를 말하며, 익명화 처리된 후의 정보는 이에 포함하지 않는다.”고 정한다. 이에 따라 중국 국내에서 수집·생성된 개인정보는 중국 공민의 개인정보를 포함하여 국적 불문 모든 자연인의 개인정보를 포함하는 것으로 보는 것이 타당한 해석일 것이다.

3) 중국에서 개인정보 국외 이전 제한 규정은 「네트워크안전법」제37조에서 ‘핵심정보기반시설의 운영자는 중화인민공화국 경내에서 수집하거나 발생한 개인정보와 중요 데이터를 중국 내에 저장해야 한다. 사업적인 필요로 중국 경외로 전송해야 하는 경우에는 반드시 보안평가를 진행한다.’고 규정하면서부터 시작되었다. 이에 관한 자세한 내용은 서의경, “중국의 개인정보보호 입법에 관한 연구-사이버보안법을 중심으로”, 「中國硏究」제72권, 2017, 146면 이하 참조. 다만, 본문에서는 「개인정보보호법」을 중심으로 살펴본다. 참고로, 핵심정보기반시설이란 공공통신과 정보서비스 등 중요 산업 분야의 기능 파괴 또는 데이터가 유출되면 국가안전·공공이익에 심각한 위험이 될 수 있는 중요 네트워크 시설·정보시스템 등을 말한다. 이와 관련된 자세한 내용은 임종천·한지민, “중국의 데이터 국외 이전(移轉) 법적 절차에 관한 소고”, 「현대중국연구」제24집3호, 2022, 104면 이하 참조.

4) 중국 「개인정보보호법」 제정 배경 및 주요 내용 등에 관한 자세한 사항은 배덕현, “중국의 개인정보보호 법제 구축에 대한 소고” -중화인민공화국 개인정보보호법(초안)을 중심으로-,「IT와 法연구」제22집, 2021, 250면 이하 참조.

5) 국가 인터넷 통신부처란 중국 국무원 조직 구성 상 ‘국가인터넷정보판공실(国家互联网信息办公室)’로 보는 것이 합리적이다.

6) 2022년 11월 4일 중국 국가시장감독관리총국과 국가인터넷정보판공실은 합동으로 「개인정보보호인증 실시규칙(个人信息保护认证实施规则)」을 마련하였지만, 구체적인 절차 규정이 미비하여 본문에서는 다루지 않는다.

7) 동법 제40조는 “핵심정보기반시설 운영자와 개인정보 처리량이 국가 인터넷 통신부처의 규정에 부합하는 개인정보처리자는 중화인민공화국 역내에서 수집하거나 생산한 개인정보는 역내에 보관하여야 한다. 국외 제공의 필요가 있는 때에는 국가 인터넷 통신부처에서 행하는 안전평가를 거쳐야만하나, 법률ㆍ행정법규와 국가 인터넷 통신부처 규정에 따라 안전평가를 진행하지 않는 때에는 그에 따른다.”고 정한다.

8) 이에 관한 자세한 사항은 임종천·한지민, 앞의 논문, 110면 이하 참조.

9)「데이터 국외 이전 안전평가방법」제4조제2항은 「개인정보보호법」제40조의 요건을 구체화하였다.

10) 이 규정은 개인정보를 전문적으로 취급하지 않는 일반 기업체들도 데이터 국외 이전 안전평가방법의 규제 대상에 포함시키기 위한 조치로 보인다.

11)「데이터 국외이전 안전평가방법」에 필요한 첨부자료 및 실무절차 등을 정한 「데이터 국외 이전 안전평가방법 가이드라인(제1판)」에서는 위험성 사전평가를 데이터 국외 이전 안전평가 실시 전(前) 3개월 이내에 완료하여야 함을 정한다.

12) 이 경우 ‘기간을 적절히 연장한다.’로 규정되어 있기 때문에 국가인터넷정보판공실의 재량 범위는 상당히 넓다.

13) 중국 「개인정보보호법」제55조에는 민감한 개인정보를 처리하거나 개인정보를 국외에 제공하는 경우 등에는 ‘개인정보보호 영향평가’를 거치도록 정하며, 동법 제56조에는 개인정보보호 영향평가 사항에 포함되어야 하는 내용들을 규정한다.

14) 한국 「개인정보보호법」 제28조의 8; 중국 「개인정보보호법」 제38조.

[참고문헌]

배덕현, “중국의 개인정보보호 법제 구축에 대한 소고” -중화인민공화국 개인정보보호법(초안)을 중심으로-,「IT와 法연구」제22집, 2021.

서의경, “중국의 개인정보보호 입법에 관한 연구-사이버보안법을 중심으로”, 「中國硏究」제72권, 2017.

- 이상우, “중국 데이터의 역외 적용”, 「법학논총(숭실대학교 법학연구소)」제54집, 2022.

임종천·한지민, “중국의 데이터 국외 이전(移轉) 법적 절차에 관한 소고”, 「현대중국연구」제24집3호, 2022.