2023년 2월 22일 중국 국가인터넷정보판공실은 <개인정보 해외이전 표준계약 방법>(이하 ‘표준계약방법’)을 공포함과 동시에 별첨 형식으로 <개인정보 해외이전 표준계약서>(이하 ‘표준계약서’)를 공개하였다.
중국 전인대에 의해 제정되어 2021년 11월 1일부터 시행되고 있는 <중화인민공화국 개인정보 보호법> 제38조 제1항 제3호에 따르면 개인정보처리자가 업무상의 수요로 인해 해외에 개인정보를 제공함에 있어서는 해당 개인정보의 해외접수자와 표준계약서를 체결하는 방식을 채택할 수도 있었지만 어떠한 경우에 이러한 방식을 채택할 수 있는지와 어떠한 표준계약서를 체결해야 하는지에 대해서는 명확한 규정이 없는 상황이었다.
표준계약방법에 따르면 개인정보처리자가 표준계약서를 체결하는 방식으로 해외에 개인정보를 제공할 경우에는 다음과 같은 조건을 동시에 만족하여야 한다.
① 핵심정보 기초시설 운영자에 해당하지 않음
② 처리한 개인정보가 100만명 이하임
③ 전년도 1월 1일부터 해외에 제공한 개인정보가 누계 10만명 이하임
④ 전년도 1월 1일부터 해외에 제공한 민감한 개인정보가 누계 1만명 이하임
개인정보처리자는 개인정보 해외접수자와 기타 약정을 할 수도 있지만 해당 약정은 표준계약서의 내용과 충돌해서는 아니되며, 개인정보 해외이전은 표준계약서가 발효된 후에 진행할 수 있다.
아울러 개인정보처리자는 표준계약서 발효일로부터 10 근무일 내에 소재지의 성(省)급 인터넷정보 주관부서에 해당 표준계약서와 개인정보 보호 영향평가보고서를 제출하여 신고절차를 밟아야 한다.
표준계약방법은 2023년 6월 1일부터 시행되며, 그 전에 이미 진행된 개인정보 해외이전이 표준계약방법에 부합되지 않을 경우에는 위 시행일로부터 6개월 내에 시정하여야 한다.