전문
<데이터 국경간 이전 촉진 및 규범화에 관한 규정(의견 수렴안)>이 발표된 지 반년이 지난 2024년 3월 22일, 국가 인터넷정보부서에서 많은 기업들이 고대하던 <데이터 국경간 이전 규범화 및 촉진에 관한 규정>(이하 “<규정>”)을 발표하였다. 공식 <규정>은 일부 데이터 역외 이전 시나리오가 데이터 역외 이전 안전평가신고, 개인정보 역외 이전 표준계약 체결, 개인정보 보호인증(이하 “데이터 역외 이전의 전치성 규정”)등 데이터 컴플라이언스 의무를 이행할 필요가 없음을 다시 한번 강조했으며, 이는 중소 국경간 투자 기업의 비즈니스 부담을 덜어주는 중요한 조치이다. <규정>은 일부 세부 사항을 조정하여 공포일부터 시행했으며, 이는 또한 인터넷정보부서의 국경간 데이터 흐름을 더욱 지원하는 태도를 보여준다. 본 문장은 일반 실무경험과 결합하여 <규정> 조항을 하나씩 자세히 논평할 것이다.
제1조
데이터 안전을 보장하고 개인정보 권익을 보호하며 법률에 따라 데이터의 질서 있고 자유로운 흐름을 촉진하기 위해 본 규정은 <중화인민공화국 네트워크보안법>, <중화인민공화국 데이터보안법>, <중화인민공화국 개인정보보호법> 및 기타 법률 및 규정에 따라 제정되었다.
Comment:
이 조항은 본 <규정>의 취지로써 데이터 보안, 개인정보 보호에 관한 관련 법률의 모호하고 분쟁이 발생할 수 있는 관련 규정을 명확히 하기 위한 것이다.
제2조
데이터 처리자는 관련 규정에 따라 중요한 데이터를 식별하고 보고해야 한다. 관련 부서 또는 지역에서 통보하거나 공표한 중요한 데이터가 아닌 경우, 데이터 처리자는 당해 데이터에 관해 중요한 데이터의 데이터 역외 이전 안전평가를 보고할 필요가 없다.
Comment:
첫째, 이 조항은 중요한 데이터의 식별 및 보고에 대한 데이터 처리자의 책임을 강조하며, <규정>이 발표되기 하루 전에 “중요한 데이터”의 특정 정의 기준에 관한 국가표준 <데이터 보안 기술 데이터 분류 및 분류 규칙(GB/T 43697-2024)>이 공식적으로 발표되었으며, 이 규칙의 부록 G 에는 “중요한 데이터”의 17가지 고려 사항 및 해당 예를 명확하게 나열하여 기업이 중요한 데이터를 판단하는 데 정책 기반을 제공하였다. 둘째, 이 조항은 중요한 데이터를 신고해야 하는지 여부에 대한 “입증 책임”을 각 지역 및 관련 부서로 이전하고, 기업이 관련 부서 및 지역으로부터 중요한 데이터를 처리해야 한다는 통지를 받지 않았거나, 관련 부서 및 지역에서 중요한 데이터 목록 및 리스트를 공표하지 않은 경우, 기업은 특정 유형의 데이터를 중요한 데이터로 보고할 필요가 없다. 이는 한편으로는 기업의 컴플라이언스 압력을 완화하고, 다른 한편으로는 관련 부서 및 지역에서 최대한 빨리 데이터 레벨링 체계를 구축 및 개선하고 중요한 데이터 목록 및 리스트를 공표하도록 독촉할 수 있다.
제3조
국제 무역, 국경간 운송, 학술 협력, 역외 제조 및 마케팅 활동 과정에서 수집 및 생성된 역외에 제공하는 데이터가 개인정보 또는 중요 데이터를 포함하지 않는 경우, 데이터 역외이전 안전평가신고, 개인정보 역외이전 표준계약 체결 및 개인정보 보호인증 통과가 면제된다.
Comment
이 규정은 국제 무역, 국경간 운송, 학술 협력, 역외 제조 및 마케팅 활동 등 데이터 역외이전의 전치 규정을 면제하는 데이터 시나리오를 명시하였다. 의견수렴안과 비교할 때, 이 규정은
(1)데이터 시나리오를 확대하였다. 인터넷정보부서는 “국경간 운송”을 데이터 역외이전의 전치 규정을 면제하는 데이터 시나리오에 포함시켰으며;
(2)대부분의 시나리오에서 데이터의 생성과 수집이 함께 이루어지기 때문에 데이터 생명주기의 범위를 확대하여 본 조항이 실질적으로 더 의미 있는 조항이 될 수 있도록 하였다. 의견수렴안에서는 특정 데이터 시나리오에서 “생성된” 데이터가 중국 외부로 제공될 경우 데이터 역외이전의 전치 규정이 면제될 수 있다고만 규정하고 있는데, 이 조항에서는 데이터의 “수집”도 본 조항의 범위에 포함됨을 명확히 하였다(예: 해외 기업이 국내 스토리지 클라우드 서비스를 사용하는 경우 데이터 역외이전의 전치 규정이 면제될 수 있음). 단, 역외 이전 데이터에 “개인정보 또는 중요한 데이터”가 포함되어서는 안 된다는 점에 유의해야 한다.
제4조
데이터 처리자는 해외에서 수집 및 생성된 개인정보를 국내로 전송하여 처리한 후 국외로 제공하는 경우, 처리 과정에 국내 개인정보 또는 중요한 데이터가 유입되지 않을 경우 데이터 역외이전 안전평가신고, 개인정보 역외이전 표준계약 체결 및 개인정보 보호인증 통과가 면제된다.
Comment
해외에서 수집 및 생성된 개인정보가 중국에서 처리하는 동안 개인정보나 중요한 데이터가 포함되지 않은 경우, 신고를 면제한다고 명시하였다. 동시에 기업은 향후 당해 면제 규정이 적용될 수 있는 경우 해외에서 수집 및 생성된 데이터를 국내 데이터에서 분리하여 처리 과정의 국내외 데이터의 혼동으로 “데이터만 통과”로 간주되지 않아 면제 기회를 놓치는 경우를 방지해야 한다.
제5조
데이터 처리자가 해외에 개인정보를 제공하고 다음 조건 중 하나에 해당하는 경우 데이터 역외이전 안전평가신고, 개인정보 역외이전 표준계약 체결 및 개인정보 보호인증 통과가 면제된다.
(1)
국경간 쇼핑, 국경간 우편, 국경간 송금, 국경간 지불, 국경간 계좌 개설, 항공권 및 호텔 예약, 비자 발급, 시험 서비스 등과 같은 개인이 일방 당사자로서 계약을 체결하고 이행하기 위해 해외에 개인 정보를 제공해야 하는 경우.
(2)
법에 따라 제정된 노동 규칙 및 법에 따라 체결된 단체 계약에 따라 실시하는 국경간 인적자원 관리로 해외에 직원의 개인정보를 제공해야 하는 경우.
(3)
긴급상황에서 자연인의 생명, 건강 및 재산안전을 보호하기 위하여 해외에 개인정보를 제공할 필요가 있는 경우.
(4)
핵심정보 인프라 운영자 이외의 데이터 처리자는 당해 연도 1월 1일부터 누적 10만명 미만의 개인정보(민감한 개인정보 제외)를 해외에 제공하는 경우.
전항에서 언급한 해외에 제공되는 개인정보에는 중요한 데이터가 포함되지 않는다.
Comment
제1항 “계약 이행을 위해 개인이 반드시 제공해야 하는” 시나리오는 국경간 쇼핑, 국경간 우편, 국경간 송금, 국경간 지불, 국경간 계좌 개설, 항공권 및 호텔 예약, 비자 발급, 시험 서비스 등 해외에 개인정보를 제공해야 하는 경우를 포함한다. 이는 개인이 해외 플랫폼에 계약을 이행하기 위한 목적으로 인한 상황이며 국내기관이 개인정보를 수집하고 해외기관에 개인정보를 제공하는 경우 여전히 데이터 역외이전의 전치 규정을 준수해야 한다.
제2항 <의견수렴안>과 동일하다. 법률 법규에 따라 인적자원의 관리에 필요한 데이터는 역외 이전 시 면제될 수 있지만, 직원 개인정보를 해외에 제공하는 것이 “필요한” 것임을 어떻게 입증할 수 있는지에 대해서는 아직 제대로 된 답변이 없다.
제3항은 긴급상황에서 자연인의 생명, 건강 및 재산 안전을 보호하기 위해 면제 제도를 채택할 수 있음을 강조하지만 면제를 위한 “긴급”의 정도는 여전히 확정되지 않았다. 이 조항이 남용될 경우 중국 환자의 건강 데이터가 해외 세력에 의해 통제될 수 있으므로 환자의 의료 데이터를 보유한 기관이나 조직은 이 조항을 신중하게 사용해야 한다.
제4항은 처음으로 비핵심정보 인프라 운영자가 해외에 대량 개인정보를 전송하는 경우의 면제 원칙을 명확히 하였지만 동시에 민감한 개인정보를 포함하지 않는다는 것을 명확히 하였다.
제6조
자유무역시범구는 국가 데이터 분류 및 레벨링 보호제도에 따라 데이터 역외이전 안전평가, 개인정보 역외이전 표준계약 체결 및 개인정보 보호인증 관리 범위에 포함되어야 하는 데이터 리스트(이하 네거티브 리스트)를 자체적으로 작성할 수 있으며 성급 인터넷안전 및 정보화위원회의 승인을 받은 후 국가 인터넷정보부서 및 국가 데이터관리부서에 보고 및 등기해야 한다.
자유무역시범구 내에서 네거티브 리스트 외의 데이터를 해외에 제공하는 데이터 처리자는 데이터 역외이전 안전평가, 개인정보 역외이전 표준계약 체결 및 개인정보 보호인증 통과를 면제한다.
Comment
<규정>은 자유무역시범구의 네거티브 리스트 체계를 설계했으며, 이는 자유무역시범구의 기업이 네거티브 리스트 외의 데이터를 해외에 제공할 경우, 데이터 역외이전의 전치 규정을 면제할 수 있음을 의미한다. 이는 자유무역시범구의 기회이자 도전이며 모든 지역의 자유무역시범구는 데이터 안전을 보장하면서 데이터 흐름을 촉진하기 위해 최대한 빨리 네거티브 리스트 제도를 개선해야 한다. 상해시 임항신구는 선두주자로서 2024년 2월 8일 <중국(상해) 자유무역시범구 임항신편구 데이터 역외이전 분류 및 레벨링 관리조치(시행)>를 편찬하고 발표했으며, 중요한 데이터 리스트 및 일반 데이터 리스트에 대한 관리 요구 사항을 규정하였다. 기업은 중요한 데이터 리스트와 일반 데이터 리스트에 있는 데이터를 관리위원회에 신청하여 등기해야 하며 이는 기타 자유무역시범구의 <규정>의 이행을 촉진하고 제도를 수립하는 데 새로운 아이디어를 제공하였다.
제7조
데이터 처리자가 해외에 개인정보를 제공하고 다음 조건 중 하나에 해당하는 경우 소재지 성급 인터넷정보부서를 통해 국가 인터넷정보부서에 데이터 역외이전 보안평가를 신청해야 한다.
(1)
핵심정보 인프라 운영자가 개인정보 또는 중요한 데이터를 해외에 제공하는 경우.
(2)
핵심정보 인프라 운영자 이외의 데이터 처리자가 중요한 데이터를 해외에 제공하거나 당해 연도 1월 1일부터 총 100만명 이상의 개인정보(민감한 개인정보 제외) 또는 1만명 이상의 민감한 개인정보를 해외에 제공하는 경우.
본 규정의 제3조, 제4조, 제5조 및 제6조에 규정된 상황에 해당하는 경우 당해 조항에 따른다.
제8조
핵심정보 인프라 운영자 이외의 데이터 처리자가 당해 연도 1월 1일부터 누적 10만명 이상, 100만명 미만의 개인정보(민감한 개인정보는 제외) 또는 1만명 미만의 민감한 개인정보를 국외에 제공한 경우에는 법에 따라 해외 수취자와 개인정보 역외이전 표준계약을 체결하거나 개인정보 보호인증을 받아야 한다.
본 규정의 제3조, 제4조, 제5조 및 제6조에 규정된 상황에 해당하는 경우 당해 조항에 따른다.
Comment
제7조 및 제8조는 데이터 유형 및 특정 데이터 수출량에 대한 제한 규정이며 자세한 내용은 다음 표를 참조. 인터넷정보부서는 특히 <규정>에 관한 질문의 답변에서 상술한 누적 데이터 역외이전 수량을 계산하는 과정에서 하나는 자연인을 기준으로 계산되고 다른 하나는 면제 상황(규정의 제3조, 제4조, 제5조 제1항 (1)-(3) 및 제6조에 규정된 상황)은 포함될 필요가 없음을 명확히 하였다.
정보유형 | 누적 역외이전 수량(당해 연도 1월 1일부터) | 이행해야 할 전치성 데이터 컴플라이언스 의무 |
핵심정보 인프라 운영자 | ≥1명의 개인정보 | 데이터 역외이전 보안평가 |
비핵심정보 인프라 운영자 | ≥100만명 개인정보 (민감한 개인정보 불포함) | 데이터 역외이전 보안평가 |
≥1만명 민감한 개인정보 | 데이터 역외이전 보안평가 | |
10만명부터 100만명 개인정보 (민감한 개인정보 불포함) | 개인정보 역외이전 표준계약을 체결하거나 개인정보 보호인증 | |
<1만명 민감한 개인정보 | 개인정보 역외이전 표준계약을 체결하거나 개인정보 보호인증 | |
<10만명 개인정보 (민감한 개인정보 불포함) | 데이터 역외이전 전치성 의무 면제 |
제9조
데이터 역외이전 보안평가 결과는 평가 결과 발표일부터 3년간 유효하다. 유효기간이 만료된 후, 데이터 역외이전 활동을 계속해야 하고 데이터 역외이전 보안평가를 재신청해야 하는 상황이 발생하지 않은 경우, 데이터 처리자는 유효기간 만료 60영업일 이내에 소재지 성급 인터넷정보부서를 통해 국가 인터넷정보부서에 평가 결과의 유효기간 연장 신청서를 제출할 수 있다. 평가 결과의 유효기간은 국가 인터넷정보부서의 인허가를 통해 3년 연장될 수 있다.
Comment
기존 2년과 비교할 때, <규정>은 데이터 역외이전 보안평가 결과에 대한 유효 기간을 3년으로 연장하고 국가 인터넷정보부서의 인허가를 거쳐 최대 6년까지 연장할 수 있다. 이는 기업의 데이터 역외이전 컴플라이언스 부담을 크게 감소하였다.
제10조
데이터 처리자가 개인정보를 해외에 제공하는 경우 법률 및 행정 규정에 따라 통지, 개인의 개별적 동의 취득, 개인정보 보호 영향평가 등의 의무를 수행해야 한다.
Comment
데이터 처리자의 데이터 역외이전 컴플라이언스 의무를 다시 한 번 명확히 하였으며 특히는 개인정보를 해외에 제공하는 경우 데이터 처리자가 데이터 역외이전 면제 조항에 해당하더라도 개인정보 보호 영향평가, 통지 및 개인의 개별적 동의를 취득해야 한다.
제11조
데이터 처리자가 해외에 데이터를 제공하는 경우 법률 법규를 준수하고 데이터 안전보호 의무를 이행하며 해외 데이터의 안전을 보장하기 위해 기술적 조치 및 기타 필요한 조치를 취해야 한다. 데이터 보안 사고가 발생하거나 발생할 가능성이 있는 경우, 시정 조치를 취하고 적시에 성급 이상 인터넷정보부서 및 기타 관련 당국에 보고해야 한다.
Comment
데이터 처리자의 데이터 안전보호 의무 및 리스크 처리 의무를 강조하였다.
제12조
각 지역 인터넷정보부서는 데이터 처리자의 해외 데이터 활동에 대한 지도 및 감독을 강화하고 데이터 역외이전 보안평가제도를 개선하며 평가 프로세스를 최적화하고 사전 및 사후 전체 과정에 대한 감독을 강화해야 하며 데이터 역외이전 활동에 비교적 큰 리스크가 있음을 발견하거나 데이터 보안사고가 발생한 경우, 잠재적 리스크를 제거하기 위해 데이터 처리자에게 시정을 요구해야 하며 시정을 거부하거나 심각한 결과를 초래하는 경우 법에 따라 법적 책임을 추궁한다.
Comment
각 지역 인터넷정보부서의 지도 감독, 리스크 조사 및 처리, 검사 및 집법 기능을 강화하고 “데이터 역외이전 활동에 비교적 큰 리스크가 있음을 발견하거나 데이터 보안사고가 발생한 경우” 데이터 처리자에게 적시에 시정 및 잠재적 리스크를 제거하도록 요구하였으며 비교적 느슨한 처벌이 부과되었다. “시정을 거부하거나 심각한 결과를 초래하는” 상황에 대해 법률에 따라 법적 책임을 추궁할 것을 여전히 모호하게 규정하고 있으며, 관련 기업은 <데이터 역외이전 안전평가방법> 및 <개인정보 역외이전 표준계약방법>의 구체적인 벌칙 내용에 따라 가능한 법적 책임을 판단할 수 있다.
제13조
2022년 7월 7일에 공포된 <데이터 역외이전 안전평가방법> (국가 인터넷정보부서 명령 제11호), 2023년 2월 22일에 공포된 <개인정보 역외이전 표준계약방법> (국가 인터넷정보부서 명령 제13호) 및 기타 관련 규정이 본 규정과 일치하지 않는 경우 본 규정을 기준으로 한다.
Comment
신법이 구법보다 우선 적용하는 원칙에 따라 <규정>의 우선 순위를 규정하였다.
제14조
본 규정은 공시한 날로부터 시행된다.
Comment
이 규정은 2024년 3월 22일부터 시행된다는 점에 유의하시기 바람.
