중국 데이터 보안법이란? 일본 기업이 취해야 할 대책을 설명합니다
중국 데이터 보안법은 중국 데이터 분야의 법률로서, 2021년 9월에 시행되었습니다. 중국 내에서 이루어지는 모든 데이터 처리에 적용되므로, 중국에서 사업을 전개하는 기업이나 앞으로 진출을 계획하고 있는 기업은 기존의 규정이나 관리 방침을 재검토하고 개정할 필요가 있습니다. 그러나 이 법이 어떤 법인지 이해하지 못하는 분이나, 실시해야 할 대책에 고민하는 분도 계실 것입니다.
이에 본 기사에서는 중국 데이터 보안법의 개요와 이해해야 할 포인트, 처벌 규정, 일본에서의 대책에 대해 설명하겠습니다.
중국 데이터 보안법이란?
중국 데이터 보안법(중화인민공화국 데이터 안전법)은 2021년 9월에 시행된 중국의 데이터 보안에 관한 법률입니다. 2017년 6월에 시행된 ‘중국 사이버 보안법’과 마찬가지로 국가의 안전을 지키기 위해 제정되었습니다.
중국 사이버 보안법: 중국의 ‘네트워크’ 보안을 보호하기 위한 법률
중국 데이터 보안법의 목적은 다음과 같이 기술되어 있습니다(제1조).
- 데이터 취급 활동의 규제
- 데이터 보안의 확보
- 데이터의 개발 및 활용 촉진
- 개인 및 조직의 정당한 권리와 이익의 확보
- 국가의 주권, 보안 및 개발 이익 보호
중국 사이버 보안법에서는 전자 데이터를 규제 대상으로 하였지만, 중국 데이터 보안법에서는 전자뿐만 아니라 종이 등 비전자 데이터도 규제 대상으로 하고 있는 것이 특징입니다(제3조). 중국 데이터 보안법에서는 데이터의 분류, 보안 인증 시스템의 정비, 데이터 보안의 보호 의무 등에 대해 규정하고 있습니다.
중국 데이터 보안법 이해를 위한 핵심 포인트
중국 데이터 보안법에는 다양한 규정이 있어 알기 어려운 부분도 많습니다. 이 글에서는 데이터 보안법의 내용을 다음의 5가지 핵심 포인트로 상세히 설명해 드리겠습니다.
- 규제 대상
- 데이터 분류 및 등급 부여 규범의 제정에 대하여
- 데이터의 보안 관리에 대하여
- 데이터 이전 규제에 대하여
- 국가 안전 심사에 대하여
규제 대상
법률로 규제되는 데이터는 중국 내에서 이루어지는 ‘데이터 처리’ 전부입니다. 데이터 처리 활동이 중국 외부에서 이루어지는 경우에도, 중국 국가의 안전이나 공공의 이익, 공민·조직의 이익에 손해를 끼칠 경우에는 적용됩니다.
‘데이터’는 전자적 또는 기타 방법으로 정보가 기록된 것을 의미하며, 종이 문서도 포함되는 점에 주의가 필요합니다. ‘데이터 처리’란 데이터의 수집, 저장, 사용, 처리, 전송, 제공, 공개 등을 말하며, 이러한 행위를 하는 자를 ‘데이터 처리자’라고 합니다.
데이터 분류 및 등급 부여 규범의 제정에 대하여
데이터 처리자는 등급 보호 제도에 기반한 데이터 보안을 확보해야 합니다. 등급 보호 제도란 네트워크 보안 관리 체계에 대한 공적인 평가 제도로, 등급에 따라 취해야 할 대응이 다릅니다. 또한, 데이터의 파괴나 유출 등으로 국가의 안전이나 공공의 이익, 개인이나 조직 등에게 미치는 피해의 크기에 따라 데이터를 분류해야 합니다.
분류는 ‘일반 데이터’, ‘중요 데이터’, ‘핵심 데이터’의 세 가지로 나뉩니다. ‘네트워크 데이터 안전 관리 조례(의견 수집 초안)’에서는 중요 데이터를 ‘변조, 파괴, 유출, 불법적인 취득, 불법적인 사용이 발생했을 경우 국가 안전, 공공 이익에 해를 끼칠 가능성이 있는 데이터’로 정의하고 있습니다. 핵심 데이터는 국가의 안전이나 국민 경제의 생명선, 중요한 국민의 생활, 주요한 공공의 이익과 관련된 데이터를 말합니다(제21조).
집필 시점에서 중요 데이터와 핵심 데이터에 대한 구체적인 목록이 나오지 않았기 때문에, ‘네트워크 데이터 안전 관리 조례(의견 수집 초안)’에 기재된 중요한 데이터의 예를 참고하여 처리하고 있는 데이터를 분류해 두는 것이 좋습니다. 더불어, 관할 부서가 공표하는 목록을 모니터링하는 것이 중요합니다.
데이터 보안 관리에 대하여
데이터 처리자로서 요구되는 대응에는 다음과 같은 것들이 있습니다.
- 데이터 보안 교육 및 훈련 실시
- 등급 보호 제도에 기반한 데이터 보안 의무
- 위험 모니터링의 지속적인 실시
- 데이터 라이프사이클 전반에 걸친 안전 관리 체계의 확립
- 책임자의 설정
- 기술적 조치
기본적으로 ‘정보보안관리시스템(ISMS)’의 요구 사항과 유사하지만, 데이터 분류에 따른 관리 조치를 취해야 한다는 점에 주의가 필요합니다.
사고가 발생한 경우, 즉시 조치를 취하고 위탁자 및 당국에 보고해야 합니다. 또한 중요 데이터를 처리하는 경우에는 위험 평가를 정기적으로 실시하고, 위험 평가 보고서를 관련 관할 부서에 제출할 필요가 있습니다.
데이터 이전 규제에 대하여
데이터 이전과 관련하여 중요 데이터의 경우 규제가 적용됩니다. 중요 정보 인프라 시설의 운영자가 중국 내에서 업무를 수행하며 취득하거나 생성한 중요 데이터를 국경을 넘어 이전할 경우, 사이버보안법의 규정이 적용된다고 명시되어 있습니다.
중요 정보 인프라 시설: 피해를 입었을 경우 국가의 안전을 위협할 가능성이 있는 분야(에너지, 운송, 금융, 공공 서비스 등)에서 파손이나 데이터 유출 등으로 국가 안보, 국민 생활, 공공의 이익을 심각하게 손상할 가능성이 있는 시설을 운영하는 자
중요 정보 인프라 시설의 운영자에 해당하지 않는 데이터 처리자인 경우, ‘데이터 국외 이전 안전 평가 방법’에 따라 당국의 안전 평가 심사를 받고, 합격한 후에 이전해야 합니다.
‘네트워크 데이터 안전 관리 조례(의견 수집 초안)’에 따르면, 중요 데이터 이외를 국외로 이전하는 경우에도 아래와 같은 경우에는 당국의 안전 평가 심사를 받고, 합격해야 한다고 되어 있습니다.
- 국경을 넘는 데이터에 중요 데이터가 포함되어 있는 경우
- 중요 정보 인프라 시설의 운영자, 또는 100만 명 이상의 개인정보를 처리하는 데이터 처리자가 개인정보를 국외로 제공하는 경우
또한, 데이터를 국외로 이전하는 자의 의무로서, 아래와 같은 사항이 제시되어 있습니다.
- 네트워크 정보 부서에 제출된 개인정보 보호 영향 평가 보고서에 기재된 목적, 범위, 방법, 데이터의 종류, 크기 등을 초과하여 개인정보를 국외로 제공하지 않을 것
- 네트워크 정보 부서의 보안 평가에서 지정된 목적, 범위, 데이터의 종류, 크기 등을 초과하여 개인정보 및 중요 데이터를 해외에 제공하지 않을 것
- 데이터 수출과 관련한 위탁자의 불만을 접수하고 처리할 것
- 관련된 로그 기록 및 데이터 수출 승인 기록을 3년 이상 보관할 것
- 데이터 수출이 개인, 조직, 공공의 이익에 정당한 권리와 이익에 손해를 입힐 경우, 데이터 처리자는 법에 따라 책임을 질 것
국외로 데이터를 이전하는 경우에는 데이터 수출 보안 보고서를 작성하여 지역 네트워크 정보 부서에 보고할 의무도 있습니다.
국가안전심사에 대하여
중국 정부는 데이터 처리 활동이 중국 국가의 안전을 해치는 것으로 판단될 경우 국가안전심사를 실시한다고 명시하고 있어 주의가 필요합니다. 국가안전심사의 결과는 최종 결정으로, 행정 불복 신청이나 소송 등을 통해 이의를 제기할 수 없습니다.
데이터 보안법의 처벌 규정
데이터 보안법을 위반할 경우, 시정 명령과 경고, 벌금, 사업 중단, 관련 업무 정지, 사업 라이선스 취소 등의 조치를 받을 수 있습니다.
예를 들어, 중국 데이터 보안법 제27조, 제29조, 제30조에 규정된 의무를 이행하지 않을 경우, 시정 명령이나 경고가 내려지는 것 외에도, 직접 책임자 및 기타 직접 책임을 지는 관계자에게 5만 위안 이상 50만 위안 이하의 벌금이 부과될 수 있다고 명시되어 있습니다.
데이터 보안법을 위반할 경우, 법인뿐만 아니라 직접 책임자 및 기타 직접 책임을 지는 직원도 처벌 대상이 될 수 있으므로 주의가 필요합니다. 위반으로 인해 처벌을 받게 되면, 조직 전체에 큰 영향을 미칠 수 있으므로 법적 대응책을 마련해 두는 것이 중요하다고 할 수 있습니다.
일본 기업이 해야 할 데이터 보안법 대책
데이터 보안법은 중국 내에서 처리되는 모든 데이터에 적용되므로, 대응해야 할 일본 기업이 많다고 할 수 있습니다. 여기서는 일본 기업이 실시해야 할 데이터 보안법 대책에 대해 자세히 설명하겠습니다.
데이터 관리
먼저, 데이터 관리를 재검토합니다. 자사 내에서 어떤 데이터가 어떻게 생성·축적·삭제되고 있는지를 명확히 하고, 현재의 데이터 처리 상황을 파악합니다. 데이터 분류별로 필요한 대응을 할 수 있도록 데이터 매핑을 통해 데이터 분류, 중국 외부로의 이전 상황, 현재의 데이터 관리 조치 등을 사전에 확인하는 것이 중요합니다.
중국 데이터 보안법에서는 중요 데이터, 핵심 데이터에 대해 각각의 보호 조치가 요구됩니다. 따라서, 분류에 맞는 정보의 기밀 구분을 재정의할 필요도 있을 것입니다.
그러나 현재 시점에서는 분류별 보안 수준이 불분명한 부분이 있습니다. 향후 구체화될 가능성이 있으므로, 중국 관할 부서가 공개하는 목록을 모니터링하는 것이 필수입니다. 동시에, 접근 제어, 인증, 통신 보안, 물리적 조치 등, 분류를 고려한 보안 수준 설정을 해두면 안심할 수 있습니다.
또한, 보안 정책을 재검토하고, 데이터 매핑을 통해 분류한 데이터 구분에 맞는 정책을 적용합니다.
위험 평가의 실시 및 보고
데이터 매핑을 통해 자사가 처리하는 데이터 중 중요 데이터가 포함되어 있다고 판단되는 경우, 데이터 처리에 대한 위험 평가를 실시합니다. 또한, 그 결과를 당국에 보고해야 합니다.
위험 평가는 정기적으로 실시해야 하므로, 상시적으로 실행할 수 있도록 규칙화하는 것이 중요합니다.
직원 교육
중국에서는 보안 관련 제도가 잇따라 시행되고 있습니다. 또한, 데이터 관리와 위험 평가는 한 번 실시하고 끝나는 것이 아닙니다. 그러므로, 정기적으로 재검토와 개선을 하고, 기업 내에서 정착시킬 수 있도록 직원 교육도 필요합니다.
법무나 총무부뿐만 아니라, 위험 관리 부서 등도 관련되므로, 각 부서에서 대응하기보다는 협력이 중요해질 것입니다. 현재 시점에서는 아직 불분명한 부분이 있는 법이기는 하지만, 위반으로 인해 처벌을 받은 사례도 있으므로, 데이터 보안법에 대한 대응은 필수라고 할 수 있습니다.
중국 사이버 3법의 특징
중국 사이버 3법이란, 중국에서 시행한 ‘사이버보안법’, ‘데이터보안법’, ‘개인정보보호법’을 총칭하는 용어입니다. 사이버보안법은 사이버 공격 대응, 데이터보안법은 데이터의 보존, 개인정보보호법은 개인정보의 보안 강화를 목적으로 하고 있습니다.
관련 기사:중국 사이버보안법이란? 준수해야 할 주요 포인트 해설[ja]
이처럼 각각 차이는 있지만, 모두 위반 시 행정 처벌이나 민사 손해배상, 형사 책임을 규정하고 있다는 점이 특징입니다. 또한, 위반 대상은 법인뿐만 아니라 그 직접 책임자에게도 적용되며, 동일 업무 수행 금지나 국가의 위반자 정보에 게재될 위험이 있습니다.
요약: 중국의 데이터 법규에 주목하며 신속한 대응을
중국 데이터 보안법은 중국 내 데이터 처리에 적용되는 법률로, 데이터 분류 및 등급 부여 보호, 리스크 평가 등을 규정하고 있습니다. 사이버 보안법을 비롯하여 ‘개인정보 보호법’, ‘인터넷 제품 보안 취약점 관리 규정’ 등 다양한 법률이 공표되어 있으며, 이에 맞는 대응이 필수적입니다.
현재로서는 분류별 보안 레벨이 구체화되지 않는 등 불명확한 부분이 있음에도 불구하고, 위반으로 인한 벌금을 부과받은 사례도 있어 법에 대한 대응은 필수적이라고 할 수 있습니다. 중국의 법규제에 주목하면서, 지금 할 수 있는 대응을 해 나가는 것이 중요합니다.
중국에서 사업을 전개하고 있거나 앞으로 계획하고 있다면, 중국 법에 정통한 변호사와 상담하는 것을 추천합니다.
우리 사무소의 대책 안내
모노리스 법률사무소는 IT, 특히 인터넷과 법률 분야에서 풍부한 경험을 가진 법률 사무소입니다. 최근 글로벌 비즈니스가 점점 확대되고 있으며, 전문가에 의한 리걸 체크의 필요성이 점점 증가하고 있습니다. 우리 사무소는 중국, 미국, EU 국가들을 포함한 국제 법무에 관한 솔루션을 제공하고 있습니다.
모노리스 법률사무소의 분야: 국제 법무 및 해외 사업[ja]