검색
법조광장

중국 데이터 안전법 초안의 공표와 시사점

163404.jpg

I. 서론 

지난 7월 3일, 중국입법기관인 ‘전국인민대표대회(全國人民代表大會)’는(아래 ‘전인대’로 함) <데이터안전법(초안)>(아래 ‘본초안’이라 함)을 발표하고 이에 대한 의견수렴을 8.16일까지 한다고 밝혔다. 데이터안전법의 제정은 전인대가 2018년에 입법계획에 수렴하였고, 동년 10월부터 TF를 구성하였으며, 그 후 1년 동안 현장조사, 외국입법례와 실무분석, 국내외 각 분야 전문가, 기업인들의 의견 수렴 등 과정을 거쳐 총 7개장 51개 조로 구성된 본초안을 제정 및 발표하였다. <데이터안전법>은 이미 17.6.1부터 실행하고 있는 <인터넷안전법>과 현재 입법을 계획하여 전문가건의안이 마련된 <개인정보보호법>과 함께 데이터에 관련한 법체계 구성할 것으로 예상 된다. 본문은 본 초안의 내용을 소개하고 시사점을 알아본다.


II. 초안의 주요내용
1. 주요목적

전인대가 발표한 설명에 의하면 중국은 데이터를 일종의 기초자원(基礎資源)과 새로운 생산요소로 정리하고 있다. 따라서 데이터라는 자원에 대한 안정성보장과 활용의 효율성향상이 ‘데이터안전법’의 제정 목적이라고 할 수 있겠다.

실제적으로도 초안을 살펴보면, 제4조는 데이터안전보장에 있어서 국가안전의 관념의 중요성과 안전체계구축의 필요성을 기본원칙으로 제출하는 동시에 제5조로 데이터의 질서 있는 자유로운 유동과 데이터 활용에 의한 경제발전과 복지향상도 기본원칙으로 규정하였다.

세부조항에서도 ‘안전’, ‘격려’, ‘촉진’, ‘지지(지원)’ 등 단어들을 빈번하게 사용하였고 총 7개 조항으로 구성된 제2장은 ‘데이터 안전과 발전’이라고 이름을 달고, 주로 안전보장과 활용효율향상이란 두 마리 토끼를 함께 잡을 수 있는 제도와 방안을 규정하고 있다.

2. 적용범위와 개념정의

(1) 적용범위: 중국 경내(홍콩과 마카오를 포함)에서 발생하는 데이터 관련 활동은 당연히 법적용 대상이고, 유의할 것은 경외에서 전개한 데이터 활동이 중국의 국가안전, 공공이익 또는 중국의 개인·조직의 적법한 권익을 침해한 경우도 적용한다고 규정하였다(초안 제2조). 이는 실제적으로는 일종의 확대관할규정(Long arm jurisdiction)으로서, EU의 GDPR 제3조의 관할 규정의 영향을 받은 것으로 보인다.

(2)
개념 정의: 본 초안에서 ①데이터란 전자 또는 비전자 형식으로 기록된 정보를 의미하고, ②데이터활동이란 데이터의 수집, 저장, 가공, 사용, 제공, 거래, 공개 등 행위를 의미하며, ③데이터안전이란 필요한 조치의 채택으로 데이터에 대한 합법적인 사용을 보장하고 지속적으로 안전 상태에 처하게 하는 능력을 의미한다.

3. 일부 중요 제도
(1) 데이터 유형별·등급별 보호제도:

초안 제19조는 ‘국가는 데이터가 경제사회 발전에서의 중요성과 데이터가 무단변경, 파괴, 유출되거나 불법취득, 불법이용 되었을 시 국가안전, 공공이익 또는 공민, 조직의 권익에 초래하는 침해정도에 의하여 데이터에 대한 유형별·등급별 보호를 실행한다’라고 규정하였고, 각 지역정부와 관련 부서에게 중점보호대상 리스트를 작성하고 이에 대한 특별보호를 해야 한다고 하였다. 중국은 이미 2007년부터 통신, 철도, 우정, 전력 등 국가안보 핵심영역에서 안전등급별 행정관리 제도를 실행하고 있어서 이를 전 영역으로 확대 하는 것에 대한 노하우는 이미 일정하게 축적되었다고 하겠다.

(2) 데이터 거래제도

초안은 제3조로 데이터거래를 초안의 적용대상에 포함하였고, 제17조는 “국가는 데이터 거래 관리 제도를 구축 및 보완하고 데이터거래 행위를 규범화 하며 데이터거래시장을 양육한다”고 규정하여 데이터거래제도를 도입하였다. 또한 제30조로 거래대상 데이터 출처에 대한 확인 의무, 거래 쌍방 신분에 대한 확인 의무 등 ‘데이터거래 중개 서비스 제공자’의 의무와 제43조로 이를 위반 시의 처벌도 설정하였다.

실제로 중국은 이미 상해, 무한, 중경, 귀양 등 지역에서 데이터거래소를 운영하고 있고, 이들은 이미 금융리스크 평가, 의약건강, 환경보호 등 영역에서 데이터를 취득하는 중요한 경로고 활용되고 있다.

(3) 데이터 안전 비상대책제도

초안은 제21조를 통하여 데이터 안전 위협 사안 발생 시에 대한 비상대책 시스템을 갖추어야 한다고 규정하여 데이터안전 비상대책제도를 구축하였다. 데이터 안전 위협 사안의 구체적인 정의와 범위는 아마 실행세칙에서 규정할 것 같고, 사안 발생 시 주관 부서에게 바로 대응 조치를 취하고 제때에 사태와 대응 상황을 공개할 것을 요구하였다.

(4) 데이터 온라인 처리자 자격허가 제도

초안 제31조에 의하면 데이터를 온라인으로 처리, 제공 등의 서비스를 업으로 하는 자는 자격을 취득하거나 등록해야 한다고 하여, 법절차를 통하여 자격을 부여받지 못하면 관련 업무를 수행하지 못하도록 하였다.

4. 기타 유의가 필요한 소극적인 제도들

중국은 2020.01.01부터 ‘외국인투자법(外商投資法)’을 실행하였는데 그 중 동법 제35조로 구축한 안보심사제도와 제40조로 구축한 보복조치제도가 비교적 소극적인 제도로 평가받고 있는데, 본 초안에서도 상기 두 제도들과 유사한 제도들을 보유하였다.

(1) 데이터 안전 심사제도

초안 제22조는 “국가는 데이터안전 심사제도를 구축하고 국가안전에 영향을 주거나 영향을 줄 가능성이 있는 데이터 활동에 대해 국가안전심사를 한다”고 규정하여 데이터 안전심사제도를 도입하였다. 이는 위에서 언급한 외국인투자법의 안보심사제도와 구체적인 내용상 큰 차이가 없고, 안전심사 결정도 안보심사 결정과 마찬가지로 1심종심임에도 불구하고 명확한 구제제도를 마련하지 않았다.

(2) 보복조치제도 유지

초안 제24조는 특정 국가 혹은 지역이 데이터와 데이터 관련 기술의 개발, 사용, 투자에서 중국을 금지 또는 제한하거나 차별대우 하는 경우 그에 대해 상응한 보복조치를 취할 수 있다고 규정하였다. 이는 위에서 언급한 외국인투자법의 보족조치제도와 내용상 큰 차이가 없다.


III. 시사점

중국은 지난 2020.05.28일에 민법총칙, 혼인법, 계약법, 물권법 등 여기저기 단행법 형식으로 널려 있던 법률들을 통일법전형식으로 전환하는 입법과정을 끝마치고 오는 2021.01.01부터 <민법전>을 실행한다.

그 중 특별히 제4편으로 ‘인격편(人格?)’을 규정하였는데 그 중에 전형적인 인격권리로 알려져 있는 생명권, 성명권, 초상권 등 외에 특별히 개인정보보호원칙을 설정하여 데이터안전에 대한 기본적 규정을 마련하였다. 또한 이번 <민법전> 입법에서 총칙 부분으로 전환된, 이미 2017.01.01부터 실행한 ‘민법총칙’은 데이터를 비롯한 온라인 가상재물들을 재산으로 인정하였기에 데이터거래제도 등의 도입에도 차질이 없게 되었다.

이는 중국이 데이터를 중요시하고 이에 관한 법제도 정비를 꾸준히 해나가고 있음을 보여주는데, 앞으로 데이터, 개인정보 등에 관한 기본법률과 행정세칙 등이 쏟아져 나올 것으로 예측된다. 특히 중국은 데이터를 일종의 국가자원으로 인식하고, 이를 국가안보 차원에서 접근하고 있기에 데이터 관련 규정들은 중요한 컴플라이언스의 내용이 될 것으로 보이므로 외국계 기업들은 각별히 유의할 필요가 있다고 본다.


장지화 외국변호사 (법무법인 지평)
리걸에듀