검색
태평양

중국 데이터안전법 시행

미국변호사

[2021.09.01.]



중국인민대표대회는 2020년 6월 28일 <데이터안전법(초안)>을 처음으로 심의한 후, 총 3차에 걸친 심의안을 논의한 끝에 <데이터안전법>을 최종 확정하고 공포하여 2021년 9월 1일부터 시행하기로 하였습니다. 중국 <데이터안전법>은 데이터안전 및 국가안보와 관련한 중요한 법률로서 세계 각국의 주목을 받고 있습니다.


<데이터안전법(초안 2차 심의안)>에서는 데이터 분류 등급 보호제도를 데이터 안전의 기본 핵심제도로 하여 등급분류를 통한 데이터 보호를 강조하고 데이터 해외 이전에 대한 안전관리, 업계규범제정 등에 대해 명확히 하였습니다. 나아가, 확정되어 통과된 <데이터안전법>에서는 데이터 안전관리 중의 국가기관의 직책과 협조체제를 명확히 하였고 중요 데이터에 대한 보호, 지능형 공공서비스 과정의 고령층에 대한 적용 등 내용이 보강되었으며 위법행위에 대한 처벌내용이 강화되었습니다.


<데이터안전법>은 총 7장 55조항으로 구성되었으며, 총칙, 데이터안전과 발전, 데이터안전제도, 데이터안전보호의무, 정무(政務)데이터안전과 개방, 법률책임 및 부칙을 포함하고 있습니다. 아래에서는 <데이터안전법>의 핵심내용에 대해 살펴보겠습니다

 

 

1. “데이터”, “데이터 처리” 및 “데이터 안전”의 정의를 명확히

<데이터안전법>에서는 "데이터", "데이터 처리", "데이터 안전"의 정의를 명확히 규정하였습니다(제3조).


“데이터”란 임의의 전자 또는 기타 방식으로 된 정보에 대한 기록을 가리키는바 이에 따르면 종이문서로 작성된 정보를 포함하여 여하한 방식으로 기록된 정보는 모두 데이터에 해당됩니다.

 

“데이터 처리”란 데이터의 수집, 저장, 사용, 가공, 전송, 제공, 공개 등을 가리키는바, 이는 데이터의 전체 생명주기에 발생하는 행위를 모두 포함하고 있습니다. <데이터안전법>에서는 “데이터 생명주기”와 관련한 세부적 규칙을 두지 않았는데, 이는 후속 관련 법규정에서 보완될 것으로 기대됩니다.


“데이터 안전”이란 필요한 조치를 취함으로써 데이터가 유효하게 보호되고 적법하게 이용되는 상태에 놓이도록 확보하고 지속적인 안전상태를 보장하는 능력을 구비하는 것을 가리키는바, 이와 관련하여 제3장에서 구체적으로 각 데이터 안전제도를 규정하였습니다.

 

 

2. 데이터안전 관련 주요 제도

가. 데이터 분류 등급 및 중요 데이터 보호 제도

(1) 데이터 분류 등급

국가(정부)는 데이터 분류 등급 보호제도를 수립해야 하고 경제사회 발전 과정에서의 데이터 중요도 및 데이터가 일단 변조, 파괴, 누설 또는 불법 탈취, 불법 이용되는 경우 국가안전, 공공이익 또는 개인, 조직의 적법한 권익에 초래하는 위험(피해) 정도에 근거하여 데이터에 대한 등급 분류 보호를 실시한다고 규정하였습니다(제21조).


(2) 중요 데이터에 대한 보호

국가데이터안전업무 협조 시스템은 유관 부서를 총괄 조율하여 중요 데이터 리스트를 작성하고 중요 데이터에 대한 보호를 강화해야 한다고 규정하였으며, 국가안전, 국가경제명맥(命?: 중요 부분), 중요 민생, 중대 공공이익 등 데이터는 국가핵심데이터로 정하여 더욱 엄격한 관리제도를 시행한다고 규정하였습니다. 또한, 각 지역, 각 부서에서는 데이터 분류 등급 보호제도에 따라 해당 지역, 해당 부서 및 관련 업계, 영역에서 구체적인 중요 데이터 리스트를 작성하고 리스트상 데이터에 대해 중점적으로 보호해야 한다고 규정하였습니다(제21조).


다만, <데이터안전법>에서는 “중요 데이터”에 대한 정의를 따로 규정하지 않았는데 후속 세부규정을 통해 명확히 할 것으로 예상됩니다. 참고로 2019년 5월 28일에 공포된 <데이터안전관리방법(의견수렴안) > 제38조에서는“중요 데이터라 함은 일단 노출 되면 국가안전, 경제안전, 사회안정, 공공건강과 안전에 직접적 영향을 미치는 데이터를 가리킨다. 예컨대, 미공개 정부정보, 대량의 인구, DNA건강, 지리, 광물자원 등을 포함하나 통상 기업 생산경영과 내부관리정보, 개인정보 등은 중요데이터에 포함하지 아니한다”고 규정하였으며, 2017년 8월 30일에 공포된 <데이터해외이전안전평가지침(의견수렴안) >에서는 각 업계별 중요 데이터 식별기준에 대해 규정하였습니다.


나. 데이터 안전 심사 제도

국가(중국 정부)는 데이터 안전 심사제도를 수립해야 하고 국가안전에 영향을 미치거나 영향을 미칠 가능성이 있는 데이터 활동에 대해서는 국가안전심사를 진행해야 한다고 규정하였습니다(제24조).


데이터 안전 심사제도는 데이터 활동이 국가안전에 미치는 영향을 규제하는 것을 목표로 하고 있으며 데이터 업무 사업자 또는 기타 관계자가 데이터 활동을 영위할 때에는 관련 국가안전 이슈에 대해 고려하고 평가할 필요가 있게 되었습니다. 다만, <데이터안전법>에서는 국가안전심사절차에 대해 구체적 규정을 두지 않았으므로 추후 관련 세부규정을 제정하여 명확히 할 것으로 예상됩니다.


다. 중요 데이터 위험평가 제도

<데이터안전법>에서는 중요 데이터에 관한 위험평가제도를 마련하였는바, 중요 데이터 처리자의 경우 규정에 따라 데이터 처리활동에 대해 정기적으로 위험평가를 진행하고 유관 주관부서에 위험평가보고를 제출해야 한다고 규정하였습니다(제30조). 즉, 중요 데이터가 수집, 저장, 사용, 가공, 전송, 제공, 공개 등 어느 단계에서 처리되는지 여부와 무관하게 데이터 처리과정에서 중요 데이터와 관련되는 사항이 있다면 이를 대상으로 정기적인 위험평가를 진행하여 유관 주관부서에 제출해야 할 필요가 있습니다.


한편, “위험평가보고”에는 처리된 중요 데이터의 종류, 수량, 데이터 처리활동의 진행현황, 발생한 데이터 안전위험 및 이에 대한 대응조치 등 내용을 포함해야 한다고 규정하였습니다(제30조).


라. 데이터 해외 이전 관리 제도

(1) 중요 데이터의 해외 이전 평가 제도

<데이터안전법>에서는 중요 데이터의 해외 이전에 관한 평가제도도 마련하였는바, 핵심정보인프라시설운영자(CIIO)가 중국 역내에서 운영과정을 통해 수집하고 생성한 중요 데이터의 해외 이전에 대한 안전관리는 <네트워크안전법> 규정이 적용되고, 기타 데이터 처리자가 중국 역내에서 운영과정을 통해 수집하고 생성한 중요 데이터의 해외 이전에 적용하는 안전관리방법은 국가네트워크정보부서가 국무원 유관부서와 함께 제정한다고 규정하였습니다(제31조).


참고로, <네트워크안전법> 및 2021년 11월 1일부터 시행하게 될 <개인정보보호법>에 의하면, CIIO는 업무수요로 인해 해외에 데이터와 개인정보를 제공하는 경우 국가네트워크정보부서가 조직하는 안전평가에 통과되어야 합니다.


(2) 데이터 수출 규제 조치

국가(정부)는 국가안전과 이익의 보호, 국제의무의 이행과 관련된 규제품목에 해당하는 데이터에 대해 법에 따라 수출규제를 실시한다고 규정하였습니다(제25조). 이에 따르면, 수출규제에 따라 관련 데이터가 규제품목에 해당하는 것으로 인정되는 경우 그러한 데이터의 수출을 규제할 수 있습니다.


(3) 사법활동에 따른 데이터 수출 관리 제도

중국 주관부서는 유관 법률과 중국이 체결 또는 가입한 국제조약, 협정에 근거하여 또는 호혜평등의 원칙에 따라 해외 사법기관 또는 집행기관의 데이터 제공 요청을 처리하며, 중국 주관부서의 승인 없이 중국 역내의 조직 또는 개인은 해외의 사법기관 또는 집행기관에 중국 역내에 저장된 데이터를 제공할 수 없다고 규정하였습니다(제36조). 즉, (i) 중국 내 회사 또는 개인은 주관부서의 승인을 받아야만 해외 사법기관 또는 집행기관에 중국 역내에 저장된 데이터를 제공할 수 있고 (ii) 해외 법률상 중국 사법기관 또는 집행기관의 데이터 취득에 제한을 두고 있다면 중국 주관부서도 호혜평등의 원칙에 입각하여 처리할 수 있습니다.


마. 데이터 관련 차별대우에 따른 대등조치

어떠한 국가 또는 지역(정부)가 데이터와 데이터 개발 이용 기술 등 관련 투자와 무역 방면에서 중국에 대해 차별적 금지, 제한 또는 기타 유사한 조치를 취하는 경우, 중국은 실제 상황에 따라 해당 국가 또는 지역(정부)에 대해 “대등한” 조치를 취할 수 있다고 규정하였습니다(제26조).

 

중국 <외상투자법>에서도 이와 같은 규정을 두고 있으며, 이는 중국과 관련된 데이터를 중국내외에서 처리하는 기업들이 유의할 필요가 있습니다.

 

 

3. 한국기업에 대한 컴플라이언스 시스템 정비 필요성

<데이터안전법>은 데이터 안전 영역에서의 기본법률 중 하나이며, 우리 기업으로서는 <데이터안전법> 시행에 발맞추어 중국과 관련된 데이터를 중국내 또는 한국을 포함한 다른 지역에서 처리하는 경우 그러한 데이터의 처리가 중국 <데이터안전법> 및 관련 규정, 규칙에 따르고 있는지를 확인하고 법규에 부합하도록 업무를 조정하는 컴플라이언스 체계를 구축해두는 것이 급선무일 것으로 보입니다.


따라서, 위에서 살펴본 <데이터안전법>의 핵심내용에 비추어 한국기업으로서는 다음의 데이터 안전 관련 컴플라이언스 조치들을 고려할 필요가 있습니다.


가. <데이터안전법> 및 관련 법규정, 중국정부의 감독요구 사항에 따라 데이터 생명주기에 따른 컴플라이언스 관리제도와 프로세스를 구축할 것. 즉, 데이터의 수집, 이용, 가공, 전송, 제공, 공개 등과 관련하여 적법한 내부 정책 등 제도를 마련하고 프로세스를 구축

나. 데이터 등급 분류 리스트 및 중요 데이터 리스트 작성

다. 중요 데이터 관련 위험평가제도, 해외이전관리제도 제정

라. 데이터 수출에 따른 내부 규제 시스템 마련



김성욱 변호사 (sungwook.kim@bkl.co.kr)

김응걸 외국변호사 (yingjie.jin@bkl.co.kr)

종합법무관리솔루션

관련 법조인