• Legalinsight
  • Legaledu
  • 법률신문 법률정보

  • 상시채용
  • 기사제보
  • 바른

    중국 사이버보안법상 개인정보 등 해외이전에 관한 검토

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [ 2019.06.19. ]


    1. 중국 개인정보 해외이전 관련 법규의 제정경과

    2017. 6. 1. 사이버보안법(이하 “사이버보안법”) 발효 전까지 중국에서 개인정보 보호와 관련하여 민법총칙, 형법 등에 일부 개별규정이 존재하는 것 이외에는 별다른 일반법이 존재하지 않았다. 


    2017년 6월 1일 공식 발효한 사이버보안법은 중국 사이버 공간에서의 안전관리에 관한 기본 법률로서, 네트워크 운영자의 네트워크 운영보안, 인터넷 정보보안 등에 대하여 제도적인 관리를 요구하고 있다. 주요 내용으로는 인터넷 정보 관리제도, 사이버 보안 등급별 보호제도, 핵심 정보 인프라 보안 보호제도, 개인정보 및 중요 데이터 보호제도, 네트워크 제품 및 서비스 관리제도, 사이버 보안 사건 관리제도 등이 있다.


    사이버보안법은 최초로 개인정보 등의 해외이전에 대한 보안평가제도를 규정하였다. 이를 토대로 하여 국가인터넷정보판공실은 2017. 4. 11. <개인정보 및 중요 데이터 국경간 이전 보안평가방법>(이하 '평가방법’)을 제정 및 발표하였다. 


    한편, 2017. 5. 27. 전국정보보안표준화기술위원회(이하 ‘위원회’)는 <정보보안기술·데이터 국경간 이전 보안평가 지침(초안)>(이하 ‘1차 평가지침’)의 발표를 통해 국경간 데이터 이전에 관한 보안평가의 절차, 평가요점, 평가방법, 중요 데이터 식별지침 등의 내용을 보다 구체적으로 규정하였다. 이후 2017. 8. 25. 위원회는 <정보보안기술·데이터 국경간 이전 보안평가 지침(의견수렴고)>(이하 ‘2차 평가지침’)을 발표하였다. 2차 평가지침은 1차 평가지침에 비하여 경내운영, 데이터 국경간 이전 등 개념에 대하여 보다 명확하게 정의하였고, 보안평가의 절차를 한 층 더 세분화하였다.



    2. 사이버보안법 관련 규정

    핵심정보인프라의 운영자가 중화인민공화국 경내에 운영으로 말미암아 수집 및 발생한 개인정보 및 중요 데이터는 경내에 보존하여야 하고, 업무상 필요로 경외로의 제공이 확실히 필요한 경우 국가 인터넷정보 부서가 국무원 관련 부서와 마련한 방법에 따라 보안평가를 진행하여야 한다(사이버보안법 제37조). 이를 위반한 경우에는 시정 명령, 경고 처분, 위법소득 몰수를 하고 5만~50만 위안의 벌금형을 처하며, 또한 관련 업무의 중단, 영업 정지 및 시정, 사이트 폐쇄, 관련 업무 허가증 또는 사업자등록증의 취소를 더불어 명령할 수 있으며, 직접적인 주관 책임자와 기타 직접적인 책임자에게 1만~10만 위안의 벌금형을 처할 수 있다(사이버보안법 제66조).


    주의할 점은 어떠한 기업이든 특정한 조건 하에 사이버보안법의 규제 범위에 들어갈 수 있고, 사이버보안법의 적용대상은 국내·외 기업에 구분이 없다는 것이다. 중국 경내에 있는 네트워크 운영자에 해당한다면 중국기업이든 외국기업이든 모두 사이버보안법의 규제 대상이 된다.



    3. 평가방법 관련 규정

    평가방법은 개인정보 및 중요 데이터의 국경간 이전에 대한 보안평가의 기본적인 틀을 구축하였고, 자체평가 및 감독기관평가의 두 가지 평가 방식과 보안평가의 내용을 규정하였다.


    사이버보안법 제37조에서는 적용주체를 핵심정보인프라의 운영자로 한정하였으나 평가방법 및 뒤에서 살펴볼 평가지침에서는 모두 적용주체를 네트워크 운영자로 확대하였다. 또한 개인정보 해외이전의 경우 이전의 목적, 범위, 내용, 수취자, 수취자 소재 국가·지역을 개인정보의 주체에게 고지하여야 하고 이에 대한 동의를 받아야 한다(평가방법 제4조).


    네트워크 운영자는 데이터를 해외로 이전하기 전에 데이터 해외이전에 대한 보안평가를 자체적으로 진행하여야 하고 평가결과에 대하여 책임을 부담하여야 한다(평가방법 제4조). 한편, 50만명 이상의 개인정보를 포함하는 경우, 데이터의 크기가 1000 이상인 경우 또는 산업 주관부서 또는 감독·관리부서가 평가를 하여야 한다고 판단하는 경우 등에는 네트워크 운영자는 산업 주관부서 또는 감독·관리부서가 보안평가를 진행할 수 있도록 해당 부서에 보고하여야 한다(평가방법 제9조)



    4. 2차 평가지침 관련 규정 

    평가지침은 평가방법을 세분화하고 보충하였으며, 보안평가의 절차, 평가요점, 평가방법과 관련하여 한 층 더 구체적으로 규정하였다. 비록 평가지침이 추천적 국가표준으로서 법적 강제력은 없지만, 사이버보안법 및 평가방법이 실제 이행에 있어 그 지도적 역할이 부족함을 고려하여, 평가지침에서는 감독기관의 법집행 방식과 이념을 반영하고, 국경간 데이터 이전 수요가 있는 기업에게 실천이 가능한 가이드라인을 제공하였다는 점에서 의의가 있다.


    가. 경내운영의 의미

    2차 평가지침에서는 “경내 운영”을 “네트워크 운영자가 중화인민공화국 경내에서 업무를 전개하고 제품 또는 서비스를 제공하는 활동”이라고 정의하고 있다(2차 평가지침 제3.2조). 또한 이를 주석의 형태로 구체화 하여 아래와 같이 규정하고 있다.


    - 중화인민공화국 경내에 등록되어 있지 않은 네트워크 운영자가 중화인민공화국 경내에 업무를 전개하거나 중화인민공화국 경내에 제품 또는 서비스를 제공하는 경우에 경내 운영에 속한다. 네트워크 운영자가 중화인민공화국 경내에 업무를 전개하거나 중화인민공화국 경내에 제품 또는 서비스를 제공하는지 여부를 판단하는 참고요소는 아래 내용을 포함하나 이에 한하지 아니한다. (1) 중국어를 사용한다. (2) 위안화를 결산화폐로 한다. (3) 중국 경내로의 물류 배송 등.


    - 중화인민공화국 경내의 네트워크 운영자가 경외 기관, 조직 또는 개인만을 대상으로 업무를 전개하거나 제품 또는 서비스를 제공하고, 또한 경내 공민의 개인정보 및 중요데이터와 관련되지 않은 경우에 경내운영으로 간주하지 아니한다.


    나. 데이터의 국경간 이전의 의미

    2차 평가지침에서는 “데이터의 국경간 이전”을 “네트워크 운영자가 인터넷 등의 방식으로 중화인민공화국 경내에 운영으로 말미암아 수집·발생한 개인정보 및 중요데이터를 직접적인 제공 또는 업무 진행, 제품·서비스 제공 등의 방식으로 경외에 있는 기관, 조직 또는 개인에게 제공하는 일회적이거나 연속적인 활동”이라고 정의하고 있다(2차 평가지침 제3.7조). 또한 이를 주석의 형태로 구체화 하여 아래와 같이 규정하고 있다.


    - 아래의 경우에는 데이터의 국경간 이전에 해당한다.


    a) 본국 경내로 제공하는 경우에 본국 사법관할에 속하지 않거나 경내에 등록되어 있지 않는 주체에게 개인정보 및 중요데이터를 제공하는 경우


    b) 데이터가 본국 이외의 기타 지역으로 이전·저장되지 않으나 경외의 기관, 조직, 개인에 의하여 조회되는 경우(공개된 정보, 사이트에 대한 접근·방문 제외)


    c) 네트워크 운영자 집단 내부의 데이터를 경내에서 경외로 이전하는 경우에 운영자의 경내 운영으로 말미암아 수집·발생한 개인정보 및 중요데이터와 관련되는 경우


    - 아래의 경우에는 데이터의 국경간 이전에 해당하지 않는다.


    a) 경내 운영으로 수집·발생하지 않은 개인정보 및 중요데이터가 본국을 거쳐 경외로 전송되고, 어떠한 변동 또는 가공처리도 거치지 아니하는 경우에 데이터의 국경간 이전에 속하지 아니한다.


    b) 경내 운영으로 수집·발생하지 않은 개인정보 및 중요데이터를 경내에 저장·가공처리를 한 후에 경외로 이전하고, 경내 운영으로 말미암아 수집·발생한 개인정보 및 중요데이터와 관련되지 아니하는 경우에, 데이터의 국경간 이전에 속하지 아니한다.


    다. 자체보안평가와 주관부서평가의 실시

    데이터의 국경간 이전과 관련된 경우, 자체보안평가업무팀은 데이터의 국경간 이전 계획을 심사하고 개인정보 및 중요데이터에 대하여 절차에 따라 평가하며 평가보고서를 작성한다. 일정한 경우에는 평가보고서를 따라 국가 인터넷정보 부서, 산업 주관부서에 보고하여야 하고, 국가 인터넷정보 부서, 산업 주관부서의 동의가 필요한 경우에는 이에 대한 보고를 하고 해당 부서의 동의를 받아야 한다(2차 평가지침 제4.2.1조).


    국가 인터넷정보 부서, 산업 주관부서는 데이터 국경간 이전의 유형, 수량, 범위, 중요도 등에 따라 일정한 경우 주관부서평가를 개시할 수 있다(2차 평가지침 제4.3.2조).



    5. 결론

    2019년 1월부터는 중국에서 타국으로 개인정보 및 중요 데이터의 이전할 경우에는 보안평가가 의무화 된다. 따라서 중국과 관련된 사업을 하는 한국기업들은 비록 물리적으로 한국에서 사업을 하는 경우에도 자체적으로 이러한 보안평가가 가능한 시스템을 갖출 필요가 있다. 또한 사이버보안법상 중국으로부터 개인정보 및 중요데이터를 전송 받아 안전하게 관리할 시스템 요건을 충족시킬 수 있는지 여부도 점검해야 한다. 나아가 한국기업은, 중국 정부가 국가안전과 사회 공공질서를 유지하고 보호하기 위해 필요한 경우 및 돌발 발생한 중대한 사회 안전 사건의 처리를 위해 필요한 경우에 국무원의 결정 또는 허가를 거쳐, 특정 구역의 정보통신망에 대한 차단과 제한 등의 임시조치를 취할 수 있음에 유의해야 한다(사이버보안법 제58조).


    문제는 중국 관련 규정들이 상당히 모호하고 포괄적으로 규정되어 있다는 점이다. 이와 같이 관련 개념의 불명확성, 관할부서의 복잡성 등으로 인해 예측하기 어려운 규제의 실시 및 단속이 시 행 될 가능성이 있다. 아직은 법 시행 초기 단계여서 관련 사례가 축적되지 않아 관할 당국의 법적용 방향이나 정도를 가늠하기 어렵다. 따라서 지속적인 관심을 가지고 법률전문가로부터 관련 사례를 지속적으로 업데이트할 필요가 있다.



    최재웅 변호사 (jaewoong.choi@barunlaw.com)