데이터 3법
개요
데이터 3법은 중국 사회의 데이터 거버넌스를 지탱하기 위한 핵심이 되는 세 가지 법을 말한다. 여기에는 2017년 제정된 네트워크 안전법, 2021년 제정된 개인정보 보호법과 데이터 안전법이 해당한다. 한편 이 세 가지 법은 개인정보 보호의 내용과 데이터 보안에 관한 법률적 근거가 된다.
사이버보안법(네트워크안전법)
중국에서 가장 먼저 제정이 된 사이버보안법(네트워크안전법)은 중국의 네트워 크 안전을 보장하고, 네트워크 공간 주권과 국가 안전, 사회 공공이익을 수호하고 공민, 법인, 기타 조직의 합법적인 권익을 보호하고 경제사회 정보화 발전을 촉진하 기 위하여 제정되었다. 2016년 11월 7일 제12기 전국 인민대표대회 상무위원회 , 24차 회의는 법을 제정하기로 결의하고 그 내용을 주석령 제53호로 공포하였다. 이 법의 최초 시행일 은 2017년 6월 1일이며 이 법은 총 7장 79조로 이루어져 있다. 중화인민공화국 국경 내에서 네트워크를 건설, 운영, 유지, 사용하거나 네트워크 안전에 대한 감독 관리를 하는 경우 에는 이 법의 적용을 받는다. 이 법은 네트워크 안전등급 보호제도에 따라 이행해야 하는 모니터링 의무, 네트워크 서비스에 관한 국가 표준, 네트워크 운영상 필요한 개인정보의 수집 등의 내용을 다루고 있다.
국가인터넷정보판공실은 '인터넷 데이터 안전관리 조례'를 통해, 데이터를 일반, 중요, 핵심 등 3개의 등급으로 나누어 관리하도록 하였는데, 이는 공공이익이나 개인과 조직의 합법적인 권익에 대한 영향과 중요도에 따라 나눈다고 설명하였다. 또한 보다 효율적인 데이터 보호를 위해 네트워크 보안등급별 분류 및 역할을 나누었는데, 다음 표와 같다.
중화인민공화국 데이터안전법(中华人民共和国数据安全法)
이 법은 흔히 데이터보안법으로도 불리는데, 2020년 7월 3일 1차 초안이 발표된 이후 1년간의 심의과정을 거쳐 2021년 6월 10일 13기 전인대 상무위원회 제29차 회의에서 「데이터 안 전법(최종안)(中华人民共和国数据安全法)(最终稿)」으로 최종안이 통과되었다. 총 7장, 55개 조항으로 1차 초안에서 4개의 항목이 추가되고 몇 조항들이 수정, 보완되어 2021년 9월 1일부터 시행되고 있다. 제1장 제 10조 ‘관련 업계 조직은 정관에 따라 데이터 보안행위 규범 및 그룹 표준을 정하고, 업계의 자기 규율을 강화하고, 구성원들이 데이터 보호를 강화하도록 지도하고 데이터 보안수준을 향상 시켜 산업의 건강한 발전을 촉진합니다.’라는 조항에서 보듯 데이터 안전법은 규제를 통해 질서를 바로잡고 데이터를 기반으로 하는 산업의 발전을 위해 제정이 되었다. 현재 중국의 데이터의 거래를 살펴보면 성급 단위로 데이터 거래소들이 분포되어 있다. 구이저우성, 상하이성, 저장성의 경우 국유형태의 데이터 거래소가 있고 산시성, 후베이성, 장쑤성은 기업이 운영, 유관기관과 공동 투자하여 운영하는 제3자 주도형 데이터 거래소도 생겨나고 있다. 지역적 특성을 지니고 있는 데이터거래소는 기업, 정부의 데이터와 개인의 데이터를 모두 취급하고 있기 때문에 「데이터안전법」 3장 제21조 제1항은 국가가 “데이터의 유형별ㆍ등급별 보호제도를 마련한다”고 규정하고 있으며, 새로 추가된 제2항에서 “국가 데이터 안전업무 협력 메커니즘은 유관부서가 중요데이터 목록을 제정하고, 중요데이터 보호를 강화하는 것을 총괄ㆍ조율한다”고 명시 하였다. 초안에 비해 더 적극적으로 중요 데이터를 직접적으로 관여하여 보호하겠다는 의중이 보이며, 법의 제정보다 기술의 발전이 빠른 데이터의 특성을 고려해 각 케이스 별로 정부의 유동적인 관리가 가능하도록 하였다. 제22조와 23조에 명시된 ‘국가 데이터 안전업무 협력 메커니즘’은 데이터 안전 관련 사건이 발생하면, 유관주무부서는 반드시 법에 의거하여 긴급대응 방안을 시행하고, 상응하는 대응조치를 취하여, 피해 확산을 방지하고, 잠재적인 안전 위험을 제거하며, 또한 대중에게 관련한 경고 정보를 신속하게 공개해야 한다고 명시하여 데이터 안전에 대한 중요성을 마치 재난과 같이 다루어 위험성이 확대되는 것을 경계하고 개인정보가 유출되었을 경우 국민에게 알려, 데이터도 하나의 자산으로 대하는 중국 정부의 태도를 엿볼 수 있다.
데이터는 이제 소비자의 구매 패턴, 관심사 등의 효용을 넘어 주소 등의 개인정보, 군사정보를 비롯한 국가의 안보를 책임지고 있다. 그렇기에 제24조에서는 국가는 데이터 안전 심사 제도를 마련하여, 국가안보에 영향을 미치거나 미칠 수 있는 데이터 처리 활동에 대한 국가 안보 심사를 실시한다. 제25조 국가는 국가안보ㆍ국익수호ㆍ국제의무 이행과 관련하여 규제 목록에 속하는 데이터에 대해 법에 의거하여 수출 규제를 실시한다. 또한 제36조 중국 당국은 관련 법률과 중국이 체결 또는 가입한 국제조약ㆍ협정에 근거하여, 또는 평등호혜의 원칙에 따라서, 외국의 사법 또는 법 집행 기관의 데이터 제공에 대한 요청사항을 처리한다. “중국 당국의 승인 없이는 중국 내 조직ㆍ개인은 외국의 사법 또는 법 집행 기관에 게 중국 내 저장한 데이터를 제공할 수 없다.”를 명시하여 14억 인구가 축척하는 빅데이터의 유출을 중국 당국의 승인 하에 이용할 수 있도록 막아놓았다. 이런 규제들을 살펴보면서 하나의 자산인 빅데이터는 새로운 산업혁명에서 또 다른 인구보너스를 중국에게 가져다 줄 수도 있는 잠재력이 있다고 볼 수 있다.
그리고 절차와 데이터의 공정성과 투명성을 강조하고 데이터 주권을 중국 기업 과 정부가 가지고 있다는 것을 제32조 모든 조직ㆍ개인은 합법적ㆍ정당한 방법으로 데이터를 수집해야 하며, 데이터를 절취하거나 기타 불법적인 방식으로 취득하면 안 된다. 법률ㆍ행정법규에서 데이터의 수집ㆍ사용목적ㆍ범위를 규정하는 경우, 법률ㆍ행정법규가 규정하는 목적ㆍ범위 내에서 데이터를 수집ㆍ이용해야 한다. 4장 제33조 데이터거래 중개서비스 기구가 서비스를 제공하는 경우, 반드시 데이터 제 공자에게 데이터 출처 설명을 요구하고, 거래 쌍방의 신분을 확인하며, 거래 기록도 보존해야 한다. 5장 제34조 “법률ㆍ행정법규가 데이터 처리 관련 서비스 제공 시 행정허가를 받아야 한다고 규정하는 경우에, 서비스 제공자는 반드시 법에 따라 허가를 얻어야 한다.”로 명시하였다. <국가와 관련한 핵심적인 데이터>를 잘못 취급한 것으로 밝혀진 기업에 대해 폐업 관련 면허 박탈, 최대 160만달러(약 18억원)의 과태료 부과 등이 가능하도록 했다. 국가 안보상 민감한 데이터를 국외로 유출시킨 기업에도 비슷한 처벌이 따른다. 또 중국 정부의 승인 과정을 거치지 않고 외국의 사법당국에 디지털 정보를 제공한 경우에도 최고 500만위안(약 9억원)의 벌금을 부과하거나 영업 정지를 명할 수 있다. 이 법은 민사적인 조치뿐 아니라 형사처벌 가능성도 배제하지 않고 있다.
데이터보안법의 주요 내용
제 1장 제 5조 중앙국가보안지도부는 국가데이터보안업무의 정책을 결정하고 의사협조, 연구제정, 국가의 각종 데이터보안전략 및 그와 관련된 중대한 정책 및 주요 프로젝트 및 업무 등을 총괄하는 기구입니다.
제 1장 제 6조 모든 지역 및 부서는 자체 지역 및 부서에서 수집 및 생산된 데이터 및 데이터 보안에 대한 책임이 있습니다. 산업, 통신, 교통, 금융, 천연자원, 보건, 교육, 기술 등 주관 부서들이 해당 업종,해당 영역의 데이터보안 감독을 담당합니다.
공안기구, 국가보안기구 등 해당 법률 및 유관 법률, 행정 법규의 규정에 따라 각자의 책임범위 내에서 데이터보안 감독을 책임집니다.
<데이터보안법>은 데이터 보안영역에서의 최상위법으로 2017년 6월 1일 시행된 <사이버보안법>과 함께 <국가보안법> 프레임워크 하에서 보안 거버넌스 법률 체계를 보완하며, 국가보안의 각 분야 및 영역에서의 법률을 보장합니다.
제 1장 제 10조 관련 업계 조직은 정관에 따라 데이터 보안행위 규범 및 그룹 표준을 정하고, 업계의 자기 규율을 강화하고, 구성원들이 데이터 보호를 강화하도록 지도하고 데이터 보안수준을 향상시켜 산업의 건강한 발전을 촉진합니다.
제 2장 제 16조 국가는 데이터보안시험평가, 인증 등의 서비스 발전을 촉진하고, 데이터보안평가, 인증 등의 전문 기관의 활동을 지원합니다.
제 2장 제 17조 국가는 데이터개발 이용기술 및 데이터보안표준체계 구축을 촉진합니다. 국무원 표준화행정주관부서 및 국무원 유관부서는 각자의 책임에 따라 관련 데이터개발 및 활용기술, 산업 및 데이터보안과 관련된 표준들을 개정합니다.
제 3장 제 21조 국가는 데이터 분류 및 등급 보호제도를 만들어, 경제사회발전에서의 데이터 중요도를 확인하여 데이터의 변조, 삭제, 유출 및 비인가자의 데이터 획득, 불법적 이용, 국가보안 및 공공이익 혹은 개인, 조직의 합법적 권리를 침해할 수 있는 정도에 따라 데이터를 분류합니다. 국가데이터보안업무 조정 메커니즘을 총괄 조정하고, 관련 부서의 중요 데이터 목록을 제정하여 중요 데이터에 대한 보호를 강화합니다.
국가 안보, 국민 경제의 명맥, 중요한 민생, 중대한 공공의 이익에 관한 데이터는 국가 핵심 데이터에 속하므로 더욱 엄격한 관리가 필요합니다. 각 지역, 각 부서는 반드시 데이터에 따라 차등 보호 제도를 분류하여 지역, 본 부서 및 관련 업계, 영역의 중요 데이터 구체적인 목록을 확정하고 목록에 오른 데이터에 대해 중점적으로 보호해야 합니다.
제 3장 제 23조 국가는 데이터보안 응급 처리 메커니즘을 만듭니다. 보안 사건이 발생하였을 때, 유관부서는 법에 의거하여 긴급대책을 마련하고, 관련한 긴급처리조치를 진행하여 위험성이 확대되는 것을 방지하고 위협을 제거하며 사회와 대중에 관련 위험성을 게재합니다.
제3장 제24조 국가는 데이터 보안 심사 제도를 수립하여 국가 안전에 영향을 미치거나 영향을 미칠 우려가 있는 데이터 처리 활동에 대하여 국가 안전 심사를 실시한다. 법에 따라 내린 안전 심사 결정은 최종 결정입니다.
<데이터보안법>은 데이터 보안 위험 평가, 안전사고보고제도, 조기경보 시스템, 응급처리시스템, 보안심사 등의 제도 마련을 제시하고 있으며, 구체적인 체제의 주관 기관, 적용 범위, 평가심사모델 등의 맞춤형 제도는 이후 공개할 예정입니다.
제3장 25조 국가는 국가의 안전과 이익을 보호하고 국제 의무 이행과 관련된 규제품목 데이터에 대해서는 법률에 의거하여 수출통제를 합니다.
제3장 제26조 어떤 국가나 지역이 데이터와 데이터 개발 이용 기술 등과 관련된 투자, 무역 등에 있어서 중화인민공화국에 대해 차별적인 금지, 제한 또는 기타 유사한 조치를 취하는 경우 중화인민공화국은 상황에 따라 그 국가나 지역에 대해 대등한 조치를 취할 수 있습니다.
국가 경쟁이 데이터, 인터넷 영역으로 확산되면서 각국 간의 마찰이 잦아졌습니다. 2020년 8월, 미국은 국가안보보호를 이유로 TikTok 서비스를 바이트댄스에 매각하라고 요구하였습니다. 미국의 TikTok 차단은 <외국인투자위험심사현대화법(FERRMA: Foreign Investment Risk Review Modernization Act of 2018)>에 의거하여 미국 국민의 민감한 정보와 특수국가로부터의 투자 항목을 엄격히 심사하도록 한 입법과 법 집행이 반영된 것입니다. 중국의 데이터안전법은 국가 안보와 이익을 수호하고 국제 의무를 이행하는 것이 데이터 수출금지의 적법한 근거가 될 수 있음을 분명히 하는 한편, 데이터 분야에 대한 외국의 투자, 무역 차별에 대해 대등한 반제 조치를 취할 수 있다는 입법 주장을 분명히 함으로써 인터넷 데이터 공간에서 데이터 주권을 주장하는 중국의 입법 사상을 잘 보여주고 있습니다.
제4장 제27조의 데이터 처리 활동은 반드시 법률, 법규의 규정에 따라 상응하는 기술적 조치와 기타 필요한 조치를 취해야 하며, 데이터의 안전을 보장해야 합니다. 인터넷 등 정보 네트워크를 이용한 데이터 처리 활동은 사이버 보안 등급 보호 제도의 토대 위에서 이러한 데이터 보안 보호 의무를 수행해야 합니다. 중요한 데이터의 취급자는 데이터 보안 책임자와 관리 기관을 명확히 하여 데이터 보안 보호 책임을 다해야 합니다.
제4장 제30조 중요 데이터의 취급자는 규정에 따라 그 데이터 처리 활동에 대해 정기적으로 위험 평가를 실시하고, 해당 주무부처에 위험평가 보고서를 제출해야 합니다.
제4장 제31조의 중요 정보 인프라의 운영자는 중화인민공화국 내에서 운영 중 수집 및 생산된 주요 데이터들의 외부유출보안관리는 <중화인민공화국사이버안전법>의 규정을 적용하며, 기타 데이터 처리자의 중화인민공화국 내에서 운영중에 수집 및 생산된 주요 데이터 외부유출보안관리방법은 국가인터넷정보부문과 국무원 관계부처가 제정합니다.
<데이터 보안법>은 데이터 처리 활동을 하는 시장 참여자가 데이터 보안 관리 제도를 정비하고 보안 교육, 리스크 모니터링과 보고, 기술적 수단을 이용하여 내부 제도를 정착시켜야 한다는 규정을 명시하고 있다. 따라서 데이터 보안 규제는 이제 기업의 당연한 법적 의무가 되었습니다. <데이터보안법은> <사이버보안법>의 연장이 되는 규정으로, 중요 데이터에 대해 데이터 보안 책임자와 관리기관을 명확히 하고, 위험평가를 실시해 보고서를 제출하며, 데이터 해외 안전관리 요건을 충족하는 등 보다 높은 데이터 보호를 요구하고 있습니다.
<데이터보안법>역시 법적 책임 부분에 제 27, 29, 30조에 규정된 데이터 보안 의무를 이행하지 않거나 데이터 유출 등의 피해를 초래하지 않은 경우 시정명령, 경고, 과태료 부과 등 행정처벌이 가능하도록 명시했습니다. 관련 제도가 부실하고 시정하지 않거나 대량의 데이터 유출 등 심각한 결과를 초래할 경우 주무부처는 업무정지, 영업정지, 면허 취소, 사업자등록 취소, 과태료 부과 등을 명령할 수 있습니다.
제4장 제33조 데이터 거래 중개 서비스에 종사하는 기관은 반드시 데이터공급자에게 데이터 출처에 대한 설명을 요구하며, 거래 쌍방의 신분을 심사하고 이러한 심사 및 거래기록을 보관하여야 합니다.
제5장 제34조 법률, 행정법규는 데이터 처리에 관한 서비스 제공은 반드시 행정 허가를 받아야 한다고 규정하고 있으며 서비스 제공자는 반드시 법률에 따라 허가를 받아야 합니다.[1]
개인정보보호법
중국 개인정보보호법은 최종 법안이 2021년 8월 20일 통과되어 2021년 11월 1일부터 시행되었다. 이전까지 다양한 법률을 통하여 개인정보를 보호해 왔으 나 동 법률 제정으로 개인 정보보호 관련 일반법 체계를 구축하게 되었다. 개인정보 보호법은 모두 8장 74조로 구성 되어있고 적용대상과 개인 정보 처리 원칙, 개인정보 국외이전, 개인의 권리, 개인정보 처리자의 의무, 개인정보 보호 담당 부처와 권한, 위반시 처벌 등을 규정하고 있다. 최종 법안에서는 자동화 의사결정을 이용한 가격차별 정책의 명시적 금지, 만 14세 미만 아동에 대한 민감 개인정보 지정, 중요 인터넷 플랫폼 서비스의 개인정보 보호 의무 강화 등의 내용이 초안과 달리 명시가 되었다. 최종 승인된 중국 개인정보보호법은 인터넷 플랫폼 사업자에 대한 규제를 강화한 것이 그 특징인데 빅테크 기업에 대한 타격이 예상되고, 유럽의 GDPR과 유사한 수준의 강력한 규제를 담고 있다.
기존 중국 <민법전>, <네트워크안전법>에는 개인정보보호의 원칙적 조항만 규정 되어 있었기 때문에 개인정보보호 관련 법제가 미비하였다. 특히 플랫폼 기업들을 비롯한 중국의 인터넷 관련 산업이 신속히 발전함에 따라 개인정보 침해 사례들도 속출하기 시작했다. 그리고 개인 정보 보호 규정들이 각 부문 규장(행정부 부령), 국가표준 등에 산재되어 있어 기업들로서도 개인정보보호를 위한 내부 가이드라인을 제정하기가 다소 어려운 실정이었다. 이러한 배경 하에서 개인정보에 관한 기본법인 개인정보보호법이 통과되었는데, 이미 시행중인 네트워크 안전법, 데이터안전법과 더불어 개인정보와 데이터 영역에서의 3대 핵심 법률이 마련되었으며 업계에 서는 중국의 “개인정보보보 2.0”시대가 열렸다고 평가받게 되었다.
이 문서는 데이터 지도의 항목입니다.