中, 인터넷 데이터 특별 규제
중국의 「인터넷 데이터안전 관리조례(网络数据安全管理条例)」(이하 ‘본 관리조례’)가 2025년 1월 1일자로 시행되었습니다.
본 관리조례는 기존의 ‘인터넷안전법’, ‘데이터안전법’ 및 ‘개인정보보호법’을 토대로, 특별히 인터넷상 발생하는 각종 전자 데이터의 처리, 보호 등에 관한 제반 사항을 규정하기 위한 것으로, 인터넷 활동이 일상화된 요즘 시대에 무엇보다 중요한 법규정이라 할 수 있습니다.
아래에는 본 관리조례에서 중요 데이터 및 인터넷 데이터(혹은 온라인 데이터)의 국외이전에 관한 내용을 중점적으로 소개해 드립니다.
1. 중요 데이터 및 그 처리자의 의무
본 관리조례는 부칙에서 여러 중요한 용어에 대해 정의를 내렸는데, 그 중 “중요 데이터”란 특정분야, 특정군중, 특정지역에 관한 데이터 혹은 그 정밀도와 규모가 일정 수준에 달하여 위조, 파괴, 유출 또는 불법적으로 취득되거나 이용되는 경우 국가 안보, 경제 운영, 사회 안정, 공공 건강 및 안전에 위험을 초래할 수 있는 데이터를 말합니다.
본 관리조례 제4장에서는 중요 데이터 처리자의 다음 의무에 대해 규정하고 있습니다.
- 중요 데이터 식별 및 신고 의무: 국가의 규정에 따라 중요 데이터를 식별하고 이를 신고해야 함.
- 중요 데이터 안전 보호 의무: 인터넷 데이터 안전 관리기관과 책임자를 지정하여야 하며 인터넷 안전 관리제도를 수립하여야 함.
- 중요 데이터 전송 전 위험 평가 의무: 중요한 데이터를 제공, 위탁처리, 공동 처리하기 전 위험 평가를 진행하여 중요 데이터 전송의 위험을 검토하여야 함.
- 연간 위험 평가 의무: 중요 데이터 처리자는 매년 인터넷 데이터 처리활동에 대한 위험 평가 보고서를 작성하여 관련 정부기관에 보고하여야 함.
- 중요 데이터 처리자의 주체 변경 보고 의무: 중요 데이터 처리자가 합병, 분할, 해산 또는 파산하는 경우, 성(省)급 이상의 관련기관에 중요 데이터의 처리 방안 및 데이터 수신자의 정보를 보고해야 함.
아울러, 본 관리조례는 인터넷 데이터 처리자가 1천만명 이상의 개인정보를 처리하는 경우 중요 데이터의 처리자에 대한 규정을 준수해야 한다고 규정하고 있습니다.
2. 인터넷 데이터 국외이전 시의 유의사항
원칙적으로 데이터를 국외로 이전하고자 하는 경우 사전에 데이터 국외이전 안전평가, 표준계약 체결, 개인정보보호인증 등 절차를 거쳐야 합니다.
본 관리조례는 위와 같은 사전 절차를 거치지 않아도 되는 경우에 대해 다음과 같이 열거하고 있는데, 이는 종전에 소개해드린 『데이터 국외이전의 규범화 촉진 규정(促进和规范数据跨境流动规定)』과도 일맥상통하다고 볼 수 있습니다.
- 개인이 당사자인 계약을 체결하고 이행하기 위해 개인정보를 국외로 제공할 필요가 있는 경우
- 법에 따라 제정된 노동규칙과 법적으로 체결된 집단 계약에 따라 국경 간 인력 자원 관리를 실시하기 위해 직원의 개인 정보를 국외로 이전할 필요가 있는 경우
- 법정 의무를 수행하거나 법적 의무를 이행하기 위해 개인정보를 국외로 이전해야 하는 경우
- 개인의 생명, 건강 및 재산 보호를 위한 긴급 상황으로 인해 개인정보를 국외로 이전해야 하는 경우
- 법률, 행정법규 또는 국가인터넷정보부서가 요구하는 다른 경우
다만 중요 데이터의 국외이전은 위의 예외사항에 포함되지 않으므로 사전에 안전평가를 거쳐야 한다는 점에 유의하시기 바랍니다.
그 외에도, 본 관리조례는 인터넷 데이터 처리자의 여러 의무사항(보안관리체계 구축, 보안사고 발생 시 보고, 개인정보 처리 시 고지 및 동의 취득 등)과 인터넷 플랫폼 서비스 제공자의 의무사항에 대해 규정하고 있는 바, 이러한 업무를 다루고 있는 기업들은 미리 관련 법규정의 내용을 구체적으로 파악하여 적시에 필요한 조치를 취하는 것이 좋겠습니다. |
