중국 정부에 따르면 2022년 8월 4일 개인 정보 보호법(Personal Information Protection Law, PIPL)에 따른 국경 간 데이터 전송과 관련해 세부 사항을 발표했다.

2021년 11월 1일 발효된 PIPL은 4가지 국경간 데이터 전송 메커니즘을 명시하고 있다. 이중 3가지가 최근 출판됐다.

첫 번째는 2022년 6월 24일 발표된 국경간 데이터 전송을 위한 최종 인증 가이드라인이다. 두 번째는 2022년 6월 30일 발표된 표준 계약 조항 초안, 세 번째는 2022년 7월 7일 발표된 아웃바운드 데이터 전송을 위한 최종 보안 평가 조치에 관한 것이다.

이중 보안 평가는 중국사이버우주국(Cyberspace Administration of China, CAC)에 의해 보안 평가를 받고 통과하는 매커니즘이다.

보안 평가 조치는 이 메커니즘에 대한 세부 정보를 제공하고 있으며 2022년 9월 1일부터 시행된다. 다만 6개월의 유예기간을 두고 있어 기업들은 2023년 2월 28일까지 평가를 통과하면 된다. 

다음 개인정보 취급자(Personal information handlers, PI handlers)는 중국 외부 데이터를 전송하기 전에 보안 평가를 받아야 한다.

보안 평가 대상은 중요 데이터를 처리하는 개인정보 취급자, 중요한 정보 인프라 운영자(critical information infrastructure operator, CIIO), 1백만명 이상의 개인정보를 처리하는 개인정보 취급자 등이다.

2021년 1월 1일 이후 10만명 이상의 개인정보를 전송한 개인정보 취급자, 2021년 1월 1일부터 1만명 이상의 민감한 개인정보를 전송한 개인정보 취급자이다. 

개인정보 취급자는 중요 데이터를 처리하기 때문에 데이터 보안법의 요건을 따라야 한다. CAC 승인 절차 측면에서 이전과 관련된 위험에 대해 자체적으로 평가해야 된다.

또한 개인정보 취급자는 해외 수취인과 법적 문서에 서명하고 지방 CAC에 신청 양식을 첨부해 제출해야 된다. 보안 평가 결과는 최대 57일 소요될 수 있으며 2년간 유효하다.