| [Yulchon LLC] [중국] 데이터역외이전안전평가방법의 공표 | |||
| 작성자 | 한중법학회 | 등록일시 | 2022-10-01 15:13:03 |
|---|---|---|---|
| 첨부파일 | |||
[중국] 데이터역외이전안전평가방법의 공표 2022년 7월 7일 중국 국가인터넷정보사무실(国家互联网信息办公室)에서 <데이터역외이전안전평가방법>(数据出境安全评估办法)(이하 "방법")을 공표하였고 2022년 9월 1일부터 시행되었습니다. 방법은 데이터의 역외1)(境外) 이전활동을 규범화하고 개인정보를 보호하며, 국가의 안전과 사회공공이익을 수호하여 데이터의 국경간 이전에 대한 안전보호를 목적으로 제정된 것으로, 아래에서는 방법의 주요내용과 그 시사점에 대하여 소개하고자 합니다. 1. 방법의 적용범위 방법에서는 데이터처리자가 데이터를 역외로 제공하는 과정에서 아래의 경우 중 하나가 발생 시 소재지 성급네트워크부서(省级网信部门)를 통해 국가네트워크부서에 데이터역외이전에 대한 안전평가를 신고하도록 규정하고 있습니다. 1) 데이터처리자가 역외로 중요한 데이터를 제공할 경우 2) 핵심정보기초시설운영자(关键信息基础设施运营者)와 100만 명 이상의 개인정보를 처리하는 자가 역외로 개인정보를 제공할 경우 3) 전년도 1월 1일부터 역외로 제공한 개인정보가 누적하여 10만 명에 달하거나 또는 1만명의 민감한 개인정보를 처리한 데이터처리자가 역외로 개인정보를 제공할 경우 4) 국가네트워크부서에서 규정한 기타 데이터역외이전에 대한 안전평가를 신고해야 하는 경우 한편 국가인터넷정보사무실의 관련 책임자의 답변에 따르면 데이터 역외이전의 방식은 주로 두가지인데, 데이터처리자가 역내 운영과정에서 수집 및 생성된 데이터를 역외로 전송, 보존하는 경우와 데이터처리자가 수집 및 생성된 데이터를 역내로 보존하고, 역외의 기관과 조직 및 개인이 이에 접근하거나 사용하는 경우로 설명하였습니다. 2. 평가절차 방법에 따르면 데이터를 역외로 이전 시 주로 아래와 같은 절차로 진행하는데 1) 데이터처리자가 데이터역외이전의 리스크에 대하여 평가를 진행하는 사전평가단계 2) 데이터처리자가 소재지성급네트워크부서를 통하여 국가네트워크부서에 안전평가를 신고하는 안전평가신고단계 3) 국가네트워크부서에서 신고를 수리한 후 상황에 따라 국무원의 관련 부서, 성급네트워크부서, 전문기관 등을 조직하여 안전평가를 실시하는 평가실시단계 4) 평가결과 유효기간이 만료되거나 또는 유효기간 내 다시 평가를 해야하는 상황이 발생할 경우 데이터처리자는 재 평가를 진행하여야 하고, 평가를 거쳐 역외로 이전된 데이터가 더 이상 관련 요구에 부합되지 않을 경우에는 국가네트워크부서의 서면통지에 따라 역외이전활동을 종료하여야 하는 등 절차를 거칠 것으로 규정하고 있습니다. 3. 데이터처리자의 데이터역외이전에 대한 안전평가사항 방법에 따르면 데이터처리자는 데이터역외이전에 대한 안전평가를 신고하기 전 다음과 같은 사항에 대하여 자체적인 안전평가를 진행하여야 합니다. 1) 데이터역외이전과 역외접수자의 데이터처리에 대한 목적, 범위, 방식 등에 대한 합리성, 정당성과 필요성 2) 역외로 이전할 데이터의 규모, 범위, 종류, 민감한 정도, 데이터가 이전할 경우 국가안전, 공공이익, 개인 또는 조직의 합법적 권익에 미칠 수 있는 리스크 3) 역외접수자의 책임과 의무부담에 대한 약속 및 책임, 의무를 이행하는 것에 대한 관리와 기술조치, 능력 등 데이터역외이전에 대한 안전을 보장할 수 있을지 여부 4) 데이터의 역외이전과정 및 이전된 이후 누설, 분실, 이전 등 또는 불법으로 이용, 취득될 수 있는 리스크 5) 역외접수자와 체결할 데이터역외이전관련 계약 또는 기타 법률효력이 있는 문서 등에서 데이터안전보호에 대한 책임과 의무를 충분히 약정하였는지 여부 6) 기타 데이터역외이전의 안전에 영향이 미칠 수 있는 사항 4. 재 평가를 실시해야 하는 경우 방법에 따르면 데이터역외이전에 대한 안전평가의 결과는 그 유효기간이 2년으로, 역외로 제공한 데이터의 목적, 방식, 범위, 종류 및 역외접수자의 데이터처리의 목적, 방식에 변화가 발생하여 데이터역외이전의 안전을 위협할 경우, 개인정보와 중요한 데이터의 역외보존기한을 연장할 경우, 역외접수자의 소재지국가 또는 지역의 데이터안전보호정책법규와 인터넷안전환경에 변화가 발생하거나 기타 불가항력의 발생, 데이터처리자와 역외접수자간의 법률문서에 변경이 있어 데이터역외이전의 안전에 영향이 미치는 등의 상황이 발생하면 데이터처리자가 평가를 다시 신고하도록 규정하고 있습니다. 5. 처벌규정 방법에 따르면 방법의 규정을 위반할 경우 <중화인민공화국네트워크안전법>, <중화인민공화국데이터안전법>, <중화인민공화국개인정보보호법>등에 따라 처리하고, 범죄를 구성할 경우 형사책임을 추궁한다고 규정하고 있습니다. 6. 시사점 방법은 데이터처리자의 데이터 역외이전의 안전평가에 대한 법률근거를 제공해주었고, 기업 내부적으로 데이터컴플라이언스의 구축에 있어서 가이드라인을 제공해주는 한편 데이터의 역외 이전의 업무에 대해서도 방향을 제시해주었습니다. 방법 시행 후 6개월동안의 시정기간 내에 관련 업종에 종사하는 기업들은 방법에서 명확하게 규정한 사항들에 대하여 역외로 이전할 핵심적인 정보 또는 민감한 유형의 정보나 역외로의 이전 과정 또는 이전 후 리스크가 비교적 높을 것으로 예상되는 정보에 대하여 우선적으로 시정조치를 취할 수 있고, 향후에 공표될 관련 가이드라인이나 정책을 유의할 필요가 있을 것으로 보이며, 필요시 전문가의 도움을 받아 선제적으로 대응하는 것이 바람직할 것으로 보입니다. 1)중국 <출입경관리법>(出入境管理法) 제89조에 따르면 홍콩특별행정구, 마카오특별행정구 및 대만지역은 역외(境外)에 포함된다 *출처: https://yulchonllc.com/fix/2022/fix-kor-2207/YC_NL_2207_sub04_2.html |
|||
| 이전글 ▲ | [Yulchon LLC] [중국] NFT 관련 중국 첫 판결 - NFT 플랫폼의 법적 책임을 중심으로 | ||
|---|---|---|---|
| 다음글 ▼ | [청간 뉴스레터] 제144호 | ||