법무법인[유] 지평 || [중국] 중국 개인정보보호법 개인정보 해외이전 절차

법률정보|칼럼

[중국] 중국 개인정보보호법 개인정보 해외이전 절차

2023.11.04

최근 중국정부는 정보 보안 분야에 대한 법제화에 박차를 가하고 있다. 특히 중국정부는 개인정보 보호에 대한 제도적 보장을 위하여 지난 2021. 11. 1.부터 '개인정보 보호법'을 시행하고 있으며, 이에 관한 세부규정인 중국 「개인정보 해외이전 표준계약 규정」을 정식 공표하여 2023. 6. 1.부터 시행되고 있다. 위 규정에 따르면 개인정보 처리자는 2023. 12. 1.까지 개인정보 해외이전 관련 컴플라이언스 관련 체계를 정비해야 한다. 
 
 
1. 개인정보 해외이전 절차의 개괄 
 
<img alt="" height="336" src="https://www.jipyong.com/uploads/editor/image/2023/11/20231107072856_001(84).jpg" width="600" /> 
 
개인정보처리자가 해외로 개인정보를 전송하기 위해서는 기본적으로 ① 정보주체의 단독 동의를 얻어야 하며, ② 개인정보영향평가보고서를 작성해야 한다. 
 
나아가 정보처리자는 표준계약 체결, 전문 기관 개인정보보호 인증, 국가인터넷정보부처 안전평가 중 하나를 통과해야 한다. 
 
 
2. 정보주체의 단독동의 
 
개인정보처리자가 개인정보의 처리에 앞서 원칙적으로 해당 정보주체의 동의를 받아야 하며, 이와 동시에 개인정보 처리 방식에 대한 고지를 해야 한다. 그런데 개인정보의 해외이전에 대해서는 일반적인 동의만으로는 부족하고, 해외이전에 대한 '단독 동의'를 받아야 한다. 단독동의는 일반적인 동의와는 구별되는 방식으로 이뤄져야 하므로, 해외이전과 관련된 모든 사항을 정보주체에게 고지하고, 이에 대한 동의를 받고 처리를 해야 한다. 즉, “개별 고지 - 개별 동의 - 개별 처리”의 절차를 거쳐야 한다. 
 
 
3. 개인정보보호 영향평가 
 
가. 영향평가 의무 
 
개인정보 해외이전을 위해서는 개인정보보호 영향평가를 받아야 한다(법 제55조). 개인정보보호 영향평가는 개인정보 관련 법률 준수사항을 확인하고, 개인정보보호에 필요한 관리적, 기술적 조치를 채택하고 있는지를 확인하는 절차다.  개인정보보호 영향평가보고서는 최소 3년간 보관해야 한다(법 제55조)  
 
나. 평가내용 
 
「개인정보 해외이전 표준계약 규정」에 따르면 해외이전용 개인정보보호 영향평가 보고서의 내용에는 다음 사항이 포함되어야 한다. 
 
<div style="background:#eeeeee;border:1px solid #cccccc;padding:20px;">개인정보보호 영향평가 보고서 (해외이전용 양식)  
 
1. 평가업무 요지 
평가 업무 기간, 평가 주체 및 관련 조직 상황, 평가 업무 실시 방식 등 
 
2. 해외이전 현황 
(1) 개인정보처리자 기본현황 
- 조직 또는 개인 기본 정보  
- 지분구조와 실제 지배인 정보  
- 조직 구조 정보  
- 개인정보보호기관 정보 
- 전반적인 업무 내용 및 개인정보 처리 현황 
- 국내외 투자 상황 
 
(2) 개인정보의 해외이전과 관련된 업무 및 정보시스템 상황 
- 관련 업무의 기본 현황  
- 개인정보 수집 및 이용 현황 
- 정보시스템 현황 
- 데이터 센터 (클라우드 서비스 포함) 현황  
- 개인정보 해외이전 링크 관련 현황 
 
(3) 해외이전 예정인 개인정보 상황 
- 개인정보 이전 목적, 범위, 방식 및 그 합법, 정당, 필요성 
- 해외이전 대상 개인정보의 규모, 범위, 종류, 민감도 
- 해외이전 예정인 개인정보가 저장된 데이터 센터, 해외이전 후 저장되는 데이터 센터  
- 개인정보 해외이전 후 제3자에 대한 제공 여부 
 
(4) 개인정보처리자의 개인정보보호능력 현황 
- 관리 조직 체계와 제도 구축 상황, 응급 상황에 대한 처리방침, 개인 정보 권익 보호 등 제도 및 이행 상황, 개인 정보 안전 관리 능력 
- 개인정보의 수집, 저장, 사용, 가공, 전송, 제공, 공개, 삭제 등에 대한 보안기술능력 
- 개인정보보호조치의 유효성 증명(인증, 준법감사, 네트워크 안전등급보호평가 등 상황) 
- 관련 법령을 준수 여부 
 
(5) 해외 수신인의 상황 
- 개인정보를 처리하는 목적, 용도, 범위 
- 개인정보 보호능력 
- 소재 국가 또는 지역 개인정보보호 정책 법규 상황  
- 개인 정보 처리 프로세스 설명 
 
3. 해외이전 예정 활동의 영향 평가 상황 
- 개인정보처리자와 해외수신자가 개인정보를 처리하는 목적, 범위, 방식 등의 적법성, 정당성, 필요성 
- 해외이전 개인정보의 규모, 범위, 종류, 민감도 
- 해외 수신자의 약정 의무 및 관련 관리적, 기술적 조치 
- 해외이전 후 개인정보 변조, 누설, 불법 이용 등 리스크 
- 해외 수신자 소재 국가/지역의 법규가 표준계약 이행에 미치는 영향 
 
4. 해외이전에 대한 영향평가 결론</div>
 
다. 평가주체  
 
개인정보보호 영향평가의 평가 주체에 대해서 특별한 정함이 없다.  따라서 개인정보처리자가 자체적으로 또는 외부 업체(로펌, IT업체)를 통해서 진행할 수 있다. 
 
 
4. 표준계약체결 
 
가. 표준계약체결은 개인정보를 해외로 이전하는 당사자(‘전송자’) 및 해당 개인정보를 해외에서 제공받는 당사자(‘수신자’) 간에 국가인터넷정보부처에서 발행한 표준계약 양식에 따른 ‘개인정보 해외이전 계약’을 체결하는 것을 말한다. 이는 개인정보 해외이전에 있어 가장 간명한 절차이자, 반드시 필요한 절차이다. 
 
나. 표준계약의 내용  
 
표준계약 내용은 국가인터넷정보부서가 공표한 양식을 따라야 한다. 이에 따르면, 표준계약은 중국 개인정보보호법의 역외 적용을 위한 ‘법률적 통로’ 역할을 하게 됩니다.  표준계약을 체결하면 해외 수신자는 표준계약에서 약정한 방법에 따라서 개인정보를 처리해야 하고, 해외 수신자는 개인정보 처리와 관련하여 중국 개인정보보호법을 준수해야 한다.  해외 수신자는 3년간 개인정보 처리기록을 보관해야 하며, 중국 정부의 감독에 응할 계약상 의무가 있다.  단, 해외 수신자에게 중국 당국의 행정력이 미치지는 않기 때문에 표준계약을 위반 하더라도 수신자는 원칙적으로 계약상대방에 대한 위반 의무만 부담할 뿐이다.  
 
다. 정보주체의 청구권 
 
표준계약 중 정보주체와 관련된 내용은 ‘제3자를 위한 계약’에 해당한다. 따라서 개인정보 정보주체는 표준계약의 당사자가 아니지만 정보 처리자와 해외 수신자에게 정보주체의 알권리와 처분권(개인정보 처리내역 열람, 개인정보 삭제 요청 등)을 행사할 수 있다.  
 
해외 수신자의 표준계약 위반으로 정보주체에게 손해가 발생한 경우 정보주체는 개인정보 제공자와 해외 수신자에게 중국 법원에서 소송을 통해 연대책임을 추궁할 수 있다.  다만, 실제 소송이 진행된 사례는 아직 없는 것으로 보이며, 향후 외국 법원에서 이러한 중국 법원의 판결을 승인/집행할지에 대해서도 미지수이다. 
 
라. 표준계약의 비안 
 
표준계약은 체결 즉시 계약은 효력이 발생하며, 개인정보처리자는 효력 발생 즉시 개인정보 해외이전을 진행할 수 있다.  
 
표준계약 체결일로부터 10영업일 내에 개인정보처리자 소재지의 성급 인터넷정보부서에 영향평가보고서와 표준계약을 비안해야 한다. 비안(备案)은 한국법상 ‘신고’와 유사한 개념이다. 비안 수리 기관은 비안내용에 대해 형식적 심사만 할 뿐 실질적 심사는 하지 않는다.  
 
 
5. 전문기관 인증 
 
전문기관 인증은 주로 개인정보 유출위험이 있어 관련 인증을 받아야 하는 제품(핸드폰, PC) 생산자가 진행하는 것이 일반적이다. 공표된 전문기관은 중국인터넷 안전 심사 기술 및 인증 센터(中国网路安全审查技术与认证中心. https://www.isccc.gov.cn) 뿐이다. 
 
 
6. 국가인터넷정보부서 안전평가 
 
안전평가는 개인정보 해외이전과 관련하여 가장 엄격한 절차이며, 앞서 본 모든 절차를 이미 진행했다는 것을 전제로 한다. 현장조사 및 사후 감독이 포함된 매우 엄격한 절차이다.  
 
다음에 각 해당하는 경우 반드시 안전평가를 신청해야 하며, 안전평가 통과한 후에만 개인정보 해외이전을 할 수 있다. 
 
<img alt="" height="348" src="https://www.jipyong.com/uploads/editor/image/2023/11/20231107072327_002(71).jpg" width="600" /> 
 
 
<div style="background:#eeeeee;border:1px solid #cccccc;padding:20px;">개인정보 해외이전 절차 간소화에 대한 당국의 통지 
 
국가인터넷정보부서는 2023. 9. 28. 개인정보 해외이전 요건을 간소화하는 취지의 “데이터의 국경 간 이전 규정의 규범화 및 촉진에 대한 통지”(이하 ‘통지’)에 대한 의견청취본을 발행했다. 이에 향후 개인정보 해외이전 요건이 상당부분 간소화될 것으로 예상된다. 
 
아래의 각 경우에는 표준계약체결, 전문기관 인증 절차가 면제된다.  
 
1) 해당 정보가 중국 내에서 수집했거나 발생한 개인정보가 아닌 경우  
예: 홍콩 법인이 홍콩에서 수집한 개인정보가 중국을 거쳐 다시 한국으로 이전되는 경우 
 
2) 국경 간 쇼핑, 국경 간 송금, 항공권 호텔 예약, 비자 발급 등 개인이 일방 당사자로서의 계약을 체결, 이행하기 위하여 해외에 개인정보를 제공한 경우 
 
개인이 ‘직접’ 제공하는 경우로 한정되며, 개인정보 수집 업체가 이를 다시 제3자에게 제공하는 것은 여기에 해당하지 않음. 
 
3) 법에 따라 제정한 노동규장제도(취업규칙)와 법에 따라 체결한 단체계약(단체협약)에 따른 인력관리를 위해 해외에 내부직원의 개인정보를 제공해야 하는 경우 
 
4) 1년 내에 1만 명 미만의 개인정보를 해외에 제공할 것으로 예상되는 경우 
 
업무내용 및 개인정보 이전 목적에 비추어, 작은 규모의 개인정보만 이전하는 경우</div>

동향 [헌법 · 행정 · 규제대응] 민원인 - 정비사업 조합의 대의원이 해당 사업으로 건설된 공동주택의 동별 대표자가 될 수 있는지 여부(「공동주택관리법 시행령」 제11조 등) 2023.11.07

최신 법령 [건설 · 부동산] 건축법 시행규칙(개정 2023. 11. 1. / 시행 2023. 11. 1.) 2023.11.01

목록으로

JIPYONG 법무법인[유] 지평

관련 업무분야

관련 구성원