현재 중국의 디지털경제가 고속 성장 단계에 놓여 있는 바, 이에 중국정부도 근년에 <역내포괄적경제동반자협정(RCEP)>과 <디지털경제동반자협정(DEPA)>에 가입하는 등 디지털경제 발전에 많은 노력을 기울이고 있다. 이러한 배경 하에서 '데이터준법(遵法)' 즉, 데이터 관련 컴플라이언스가 디지털경제 발전의 중요한 부분으로 자리매김함에 따라 이 영역의 입법과 법집행 강도가 지속적으로 강화되고 있다. 다국적 기업의 중국내 사업에서나 해당 중국법인이 중국법령의 요구에 따라 '데이터준법'을 실현하는 것은 여러 다국적 기업이 절실하게 대처해야 될 도전이기도 하다. 중국법상 다국적 기업의 '데이터준법'에 대한 요구에 대하여 개략적으로 설명하고자 한다.
1. 중국 '데이터준법' 관련 기본법률
2017년에 제정된 <네트워크보안법>과 2021년에 제정된 <데이터보안법> 및 <개인정보보호법>은 '데이터준법'의 기본법률로서, 중국의 네트워크보안과 데이터보호 영역의 '삼두마차'로 불리운다. <네트워크보안법>과 <데이터보안법>의 중국어 법률명을 직역하면 <네트워크안전법(網絡安全法)>과 <데이터안전법(數據安全法)>이나, 한국어상 '안전'은 '위험이 생기거나 사고가 날 염려가 없음'을 의미하는 용어로 중국 <안전생성법(安全生産法)>에서의 '안전'이 그 본래 의미이기 때문에 '안전을 유지함'을 의미하는 '보안'이라는 용어로 의역함이 적절할 것이다.
<네트워크보안법>은 인터넷 공간에서의 주권과 국가 네트워크 보안에 대한 보호를 부각시켰고 '네트워크 보안 모니터링과 정보 통보' 제도를 강조하였으며, 핵심정보 인프라시설의 보호 메커니즘 등을 구축하였다. 핵심정보 인프라시설이란, 공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정보 등 중요한 산업과 영역에서 파괴, 기능상실, 데이터 유출 시 국가안보, 국가경제와 국민생활, 공공이익에 막대한 피해를 줄 수 있는 중요한 네트워크시설, 정보시스템을 의미한다(중국 <핵심정보 인프라 시설 안전보호 조례> 제2조).
<데이터보안법>은 데이터의 분류와 등급 제도를 도입하여 데이터 유형별로 각기 다른 차원의 보호를 제시하였고 중요한 데이터와 핵심데이터의 구분을 요구하였으며, '데이터보안심사' 제도를 도입하여 국가안보에 영향을 주거나 또는 줄 가능성이 있는 데이터 처리 활동에 대하여 국가안보심사를 할 수 있도록 하였고 데이터의 역외 전송에 대한 준법 요구를 명시하였다.
<개인정보보호법>은 개인정보 처리의 적법성 기반을 명확히 하였고 데이터 처리 전 과정에서의 개인정보에 대한 보호를 정립하였으며, 자동화 의사결정이나 인터넷 플랫폼 등 많은 관심을 받고 있는 분야에 대해서도 명확한 준법 요구를 명시하였다.
2. 대표적인 데이터준법 사항
1) 개인정보의 역외 전송
개인정보의 역외 전송이란, 중국 경내에서의 운영 과정에서 수집 및 생성된 개인정보를 역외로 전송하는 것을 가리킨다. 다국적 기업이 행하는 개인정보의 역외 전송행위에는 두 가지로 볼 수 있는 바, 하나는 중국내 기업이 업무상 필요에 따라 중국 경내에서 수집된 고객 또는 제3자 인원의 개인정보를 역외에 소재한 특수관계가 없는 기업으로 전송하는 것이고, 다른 하나는 다국적 기업의 본사와 중국법인 사이에 그룹 내부인원의 개인정보를 서로 주고받는 것이다.
상술한 두 번째 경우가 다국적 기업에서 흔히 볼 수 있는 경우로 구체적으로 중국법인이 그 수집한 개인정보(직원정보, 고객정보 등)를 외국에 있는 본사 데이터센터의 서버로 전송하거나, 또는 외국본사가 중국 경내에 보관되어 있는 개인정보에 접근 가능하도록 하는 것이다. 이러한 전송행위는 중국 <개인정보보호법>상 개인정보 처리의 한 가지이자 해당 개인정보가 중국 경내에서 수집 또는 생성된 정보이기 때문에 중국 <개인정보보호법>의 규제를 받게 된다고 사료된다.
중국 <개인정보보호법>은 개인정보의 전송이 불가역인 점을 감안하여 그 역외 전송행위에 대해서는 사전에 규제하는 방식을 채택하였는데, 특히 핵심정보 인프라시설의 운영자가 중국 경내에서 수집 및 생성한 개인정보와 중국 국가인터넷정보판공실(이하 'CAC'라 함)에서 규정한 수량에 도달하는 개인정보 처리자는 개인정보를 역내에 보관해야 하며, 역외에 제공해야할 확실한 필요가 있는 경우 CAC의 사전 안전평가를 거쳐야 한다(중국 <개인정보보호법> 제40조).
상술한 개인정보 역외 전송 안전평가와 관련하여 CAC는 2019년 6월에 <개인정보 경외 반출 안전평가 방법(의견수렴안)>을 공포하여 의견수렴을 진행하였으나, 아직까지 정식으로 된 강제성 규범을 내놓지 아니하였다.
덧붙여 현재 의견수렴 중인 <데이터 경외 반출 안전평가 방법(의견수렴안)>에 따르면, 개인정보 이외에도 '중요 데이터'의 역외 전송도 반드시 안전평가를 진행해야 하며, 신고 요건과 절차는 개인정보의 역외 전송의 안전평가와 원칙적으로 일치하다. '중요 데이터'와 관련하여 아직까지 공포된 법률, 행정법규에서 정의를 내린 바가 없고 <데이터 경외 반출 안전평가 방법(의견수렴안)> 등 의견수렴 단계에 있거나 <자동차 데이터보안 관리 약간의 규정(시행)> 등 문건에서 정의규정을 찾아볼 수 있다.
2) 업종별 데이터보안 규제(자동차 업종을 예로)
앞서 설명한 <데이터보안법>은 데이터보안의 기본법률로서 대부분이 큰 틀에서의 원론적 규정들이다. 따라서 실제에서 보다 효과적으로 집행될 수 있도록 중국 정부당국은 관련 단체와 기관들이 업계 규범과 기준을 제정하도록 격려하고 있는 바, 이를 통하여 데이터보안 및 데이터보호 수준의 제고를 꾀하고 있다.
자동차 업종을 예로 살펴보면, 2021년 8월 CAC 등 여러 주무기관에서 공동으로 <자동차 데이터보안 관리 약간의 규정(시행)>을 공포하여 같은 해 10월 1일부터 실시하였다. 동 <규정>에서 자동차 데이터보안 분야에서의 관련 개념 및 데이터처리자의 관련 책임과 의무 그리고 '중요 데이터'의 경외 반출에 대한 규제 등 내용을 규정하였다.
특히 '중요 데이터'에 대한 정의를 내렸는데 '변조, 파괴, 유출되거나 또는 불법수집, 불법 사용될 시 국가안보, 공공의 질서와 이익을 해칠 수 있는 데이터'로 정의하면서 아래에 열거된 경우를 포함한다고 규정하였다.
① 군사통제구역, 국방과학기관 및 현급 이상 당정기관 등 중요한 민감 구역의 지리정보, 인원과 차량 유동 정보
② 차량 유동, 물류 등 경제 운행 상황을 반영하는 데이터
③ 자동차 충전망의 운행 데이터
④ 안면인식정보, 번호판 정보 등을 포함한 차량 이외의 동영상, 이미지 데이터
⑤ 개인정보 주체가 10만 명을 초과하는 개인정보를 포함한 경우
⑥ 국가인터넷정보기관과 국무원 발전 · 개혁, 공업 · 정보화, 공안, 교통운수 등 관련 기관이 정하는 기타 국가안보, 공공이익 또는 개인, 조직의 합법적 권익을 해칠 수 있는 데이터
이러한 '중요 데이터'의 처리와 관련하여, 데이터처리자는 반드시 위험도평가를 진행해야 함과 아울러 관련 기관에 위험도평가보고서를 제출해야 한다. 또한 '중요 데이터'는 중국 경내에 보관되어야 하고 업무상 필요에 따라 역외로 반출할 시 CAC 및 기타 관련 기관과 합동으로 진행하는 안전평가를 거쳐야 한다.
한편 자동차 데이터 중 민감한 개인정보에 대하여 해당 개인이 삭제를 요구하는 경우 데이터처리자는 10업무일 내에 삭제해야 하고, 차량 주행안전을 강화하는 목적과 충분한 필요성이 있어야만 지문, 성문, 안면 등 생체인식 정보를 수집할 수 있다.
이처럼 중국은 특정 업종의 데이터보안과 관련하여 특성화되거나 보다 엄격한 규정을 마련하고 있음을 알 수 있다.
3. 기업의 데이터준법 대책
중국의 데이터준법 관련 법률규정을 위반하여 법적 책임을 지게 되는 경우를 최대한 피하기 위하여 기업에서 아래의 사항들을 실천함으로써 준법 수준을 가일층 향상시킬 수 있기를 바란다.
1) 중국 정부당국의 규제 동향을 제때에 모니터링하고 기업 내부 관리제도와 실행규칙을 개선
현재 중국의 데이터 관련 법률 및 그 하위 규범은 계속하여 갱신되고 있는 바, 중앙의 감독기관뿐만 아니라 지방 및 각 업계의 감독기관들도 감독 권한이 있다. 데이터 관련 운영자로서는 각기 다른 감독기관의 서로 다른 요구에 대응해야 하는 도전에 직면할 수 있다. 이에 대하여, 기업들은 해당 업계 및 경영관리의 특징에 따라 법률 규정 동향에 발맞춰 지속적으로 업데이트 가능한 완비된 데이터준법 내규를 제정하고 각 업무별 실행규칙을 명확히 해야 할 것이다. 이를 통해 기업의 효율적인 준법 경영을 가능케 하고 관련 내규 문서로 중국 정부당국의 준법 검사, 평가 또는 회계감사에서 기업이 관련 법률, 법규 및 기준을 준수하였음을 증명할 수도 있다.
2) 전담부서 설치하고 책임자 지정
중국 <개인정보보호법> 제52조 1항 및 제53조의 규정에 따라 소정의 기준에 도달되는 기업은 개인정보보호 전담부서를 설치하고 개인정보보호 책임자를 지정해야 할 것이다. 유의해야 할 점은 개인정보보호 전담부서와 개인정보보호 책임자는 반드시 중국 경내에 설치되어야 한다는 것이다. 아울러 <데이터보안법> 제27조 2항은 '중요 데이터'의 처리자는 데이터보안 책임자 및 담당부서를 명확히 해야 한다고 규정하였고, <네트워크보안법> 제21조 1호도 네트워크 운영자는 네트워크보안 책임자를 지정해야 한다고 규정하였다. 따라서 기업에서는 네트워크보안, 데이터보안 및 개인정보보호 전담부서를 설치해야 하고 해당 분야에서 경험과 전문지식을 갖춘 책임자를 지정함으로써 기업의 준법 의사결정 및 준법수준 향상을 도모할 수 있다. 중국 <개인정보보호법> 제53조에 따르면, 본 법률 제3조 2항에서 규정한 중화인민공화국 경외의 개인정보처리자는 중화인민공화국 경내에 전문 기구를 설치하거나 대표자를 지정하여 개인정보보호 관련 사무의 처리를 담당하도록 해야 하고, 전문 기구의 명칭 또는 대표자의 이름, 연락처 등을 개인정보보호 주무 정부기관에 신고해야 한다고 규정하고 있다.
3) 단계별 평가 메커니즘 구축
중국 <개인정보보호법> 제55조의 규정에 따르면, 다국적 기업은 개인의 권익에 심각한 영향을 미치는 개인정보 처리활동에 앞서 개인정보보호 영향평가를 진행하여야 한다. <데이터보안법> 제30조는 '중요 데이터' 처리자의 정기적인 위험도평가 의무를 규정하였고 <네트워크보안법> 제38조는 핵심정보 인프라시설 운영자의 매년 안전성평가 의무를 규정하였으며, 제55조는 네트워크보안 사건의 평가 의무를 규정하였다. 이처럼 기업은 특정 상황에서 사전 및 사후 평가를 진행하여야 할 뿐만 아니라, 업무 수행 과정에서 특정 사안에 대해서도 정기적인 평가를 진행해야 함으로써 기업의 네트워크보안과 데이터준법의 적법성을 점검해 볼 수 있다.
4. 맺음말
현재 중국의 데이터준법 규제 관련 입법과 법집행은 부단히 강화되고 있고 개인정보보호, 데이터보안 및 네트워크보안 등 다방면으로 다국적 기업의 준법경영에 대하여 새로운 도전과제를 제시하였다. 지면의 제약으로 중국의 데이터준법 규제 하에서 다국적 기업들이 행해야 되는 모든 준법활동을 일일이 열거할 수 없지만, 이 글을 통하여 다국적 기업들이 중국에서의 데이터준법 중요성을 인지하였으면 한다. 아울러 가능한 조속히 또한 정기적으로 데이터준법 활동을 전개함으로써 데이터준법 규제의 요구에 부합되도록 할 뿐만 아니라 중국에서의 데이터준법을 글로벌 준법경영의 중요한 일환으로 하여 중국 내 사업이 일익 번창할 수 있기를 바란다.
리팡 외국법자문법률사무소 한영호 대표변호사 · 김 용 중국변호사 · 김청송 중국변호사(linghuhan@lifanglaw.com)