<네트워크 안전법>의 개인정보 국외이전 관련 규제

중국 네트워크 보안 규제의 대표적인 법률인 <중화인민공화국 네트워크 안전법(中华人民共和国网络安全法: 이하 “네트워크 안전법”이라 함)>⁽¹⁾은 법 제1조에서 “사이버 공격과 각종 범죄, 온라인상의 불법 및 유해정보 확산으로부터 중국의 사이버 주권과 국가안보 등을 지키기 위함”이라고 입법 취지를 밝히고 있다. <네트워크 안전법> 제정 이전에도 <인터넷 안전에 관한 전국인민대표대회 상무위원회의 결정>⁽²⁾, <네트워크 정보보호 강화에 관한 전국인민대표대회 상무위원회의 결정> 등과 같은 규제 법률들이 있었지만, <네트워크 안전법>은 이런 법률들의 규제를 종합‧구체화하면서 중국 내 인터넷서비스 사업자는 물론 외국계 기업에도 큰 영향을 끼칠 새로운 규제를 추가하였다.

 

<네트워크 안전법> 제37조에서는 “핵심 정보인프라 운영자는 중화인민공화국 경내에서 운영 중 수집하고 생성된 개인정보와 주요 데이터를 반드시 중국 경내에 저장하여야 한다. 업무상 필요에 의해 반드시 해외에서 저장 또는 해외 기관 또는 개인에게 제공해야 할 경우 국가네트워크 안전 및 정보화 부문이 국무원의 관련 부처와 함께 제정한 방법에 따라 보안평가를 진행해야 한다.”고 규정하고 있다.

 

<네트워크 안전법>의 개인정보 및 주요 데이터 국외이전 관련 규정을 위반했을 경우에는 관련 주무부처 시정 명령, 불법소득 몰수, 50,000위안 이상 500,000위안 이하의 벌금 부과, 관련 업무 일시 중단 명령, 영업 중단, 웹사이트 폐쇄, 관련 서비스 인허가 취소 또는 영업집조 취소 등에 처해지게 되며, 직접적인 책임이 있는 담당자와 책임자에 대해서는 10,000위안 이상 100,000이하의 벌금이 부과된다.

 

한국의 개인정보 국외 이전 관련 규정

 

자국민 개인정보의 국외이전 관련 법률은 각 국가마다 다양하다. 한국의 개인정보보호법 제17조제3항에서는 “개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제17조제2항⁽³⁾ 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.”라고 정하고 있다. 개인정보처리자가 법 제17조제3항에 따른 범위를 초과하여 제3자에게 제공할 경우에는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해지며, 정보통신서비스제공자가 법 제17조제3항을 위반했을 경우에는 정보통신서비스 매출액 3%이내의 과징금에 처해질 수 있다.

 

외국의 제3자에게 개인정보 처리를 위탁할 경우에는 개인정보보호법 제26조의 규정⁽⁴⁾을 준수하여야 한다.

 

<네트워크 안전법> 제정 이후 개인정보 국외이전 관련 후속조치

 

중국 정부는 중국내에서 수집되고 생성된 “개인정보와 주요 데이터”를 중국내에 저장한다는 원칙 아래 부득이한 경우 국외 반출하는 경우 받아야 하는 안전평가의 내용과 방법 및 절차와 관련된 규정의 제정 또는 국가표준의 제정을 추진하고 있다.

 

<네트워크 안전법>이 시행된 2017년 6월 이후에 “개인정보와 주요 데이터의 국외전송 안전평가 방법

(안)”, “데이터 국외 반출 안전 평가 지침(표준안)”, “개인정보 국외전송 안전평가 방법(안)”을 발표했지만, 아직 국내외 의견수렴 및 조문화 작업 단계에 머무르고 있는 수준이다. 하지만 의견수렴(안)에서 중국 정부가 추구하는 방향을 볼 수 있기 때문에 의미가 있다고 본다. 중국은 우리나라의 주요 교역국이기 때문에 중국의 개인정보 이전 관련 정책은 중국에 진출해 있는 한국 기업에 미치는 영향은 크다고 할 수 있다.

 

<네트워크 안전법>에서 주목할 사항은 개인정보의 국외이전 뿐만 아니라 “주요 데이터”의 이전도 규제하고 있다는 점이다. “주요 데이터”란 국가 기밀은 아니지만 국가 안보, 경제 발전 및 공공 이익과 밀접한 연관이 있는 데이터(원자료와 파생자료 포함)를 지칭하며, 권한 없이 노출, 유실, 남용, 왜곡 혹은 폐기, 또는 취합, 통합, 분석할 경우 다음과 같은 결과를 초래할 수 있는 데이터를 말한다.

 

(1) 국가 안보, 국방 이익을 위협하고 국제 관계를 파괴한다.

(2) 국가 재산, 사회 공공 이익과 개인의 합법적 이익을 해친다.

(3) 정부가 경제 및 군사 스파이, 정치적 침투, 조직적 범죄 등을 방지하고 근절하는데 영향을 준다.

(4) 행정기관이 법에 의해 위법, 직무 유기 또는 위법 혐의, 직무 유기 행위를 조사 처벌하는데 영향을 준다.

(5) 정부기관의 법에 의한 감독, 관리, 검사, 감사 등 행정 활동을 방해하고 정부기관의 직책 이행을 방해한다.

(6) 국가 핵심 인프라, 핵심 정보 인프라 시설, 정부 시스템의 정보 시스템 보안을 위협한다.

(7) 국가 경제 질서와 금융 안보에 영향을 주거나 이를 위협한다.

(8) 국가 기밀 혹은 민감 정보를 분석할 수 있다.

(9) 국가 정치, 국토, 군사, 경제, 문화, 사회, 과학 기술, 정보, 생태, 자원, 핵 시설 등 기타 국가 안보사항에 영향을 주거나 이를 위협한다.

 

“주요 데이터”의 구체적인 범위는 “데이터 국외 반출 안전 평가 지침(표준안)”의 부록인 <주요 데이터 식별지침>에 기술되어 있다.

 

■ 개인정보와 주요 데이터의 국외전송 안전평가 방법(안)

 

<국가인터넷정보판공실>은 2017년 4월에 발표한 <개인정보와 주요 데이터의 국외전송 안전평가 방법(안)⁽⁵⁾>에서 안전평가의 방법과 절차를 다음과 같이 제시하였다.

① 네트워크운영자는 중화인민공화국 경내에서 수집하거나 생산한 개인정보와 주요 데이터를 중국내에 저장해야 한다. 업무의 필요로 인해 국외에 제공할 필요가 있을 시에는 본 방법에 따라 안전평가를 진행하 여야 한다.

② 주요 데이터는 국가안전, 경제발전, 사회공공이익과 밀접하게 관계된 데이터를 말하는데, 구체적인 범위는 이후 제정할 국가표준과 <주요 데이터 식별지침>을 참고한다.

③ 개인정보의 국외 전송은 개인정보 주체에게 데이터의 국외 전송의 목적, 범위, 내용, 접수자, 접수자의 소재 국가나 지역을 설명하고 동의를 얻어야 한다. 미성년자 개인정보의 국외 전송은 보호자의 동의를 얻어야 한다.

④ 네트워크운영자는 데이터의 국외 전송 전에, 자체적으로 안전평가를 진행하여야 한다.

⑤ 데이터 국외 전송 안전평가는 다음의 내용을 중점적으로 평가해야 한다.

(1) 데이터 국외 전송의 필요성

(2) 개인정보 관련 상황, 즉, 개인정보의 수량, 범위, 유형, 민감도 및 개인정보 주체의 자신의 개인 정보 국외 전송에 대한 동의 여부 등 포함

(3) 주요 데이터 관련 상황, 즉, 주요 데이터의 수량, 범위, 유형 및 민감도 등 포함

(4) 데이터 접수자의 안전보호 조치, 능력, 수준 및 소재 국가나 지역의 네트워크 안전 환경 등

(5) 데이터의 국외 전송 및 재전이 후의 유출, 훼손, 변경, 남용 등 위험

(6) 데이터의 국외 전송 및 국외 전송 데이터의 축적으로 국가 안전, 사회 공공이익, 개인의 합법적인 권익에 대해 위험 초래 가능

(7) 기타 평가가 필요한 중요 사항

⑥ 국외 전송 데이터가 아래 어느 하나에 해당할 경우에는 관련 주무 부처의 안전평가를 받아야 한다.

(1) 50만 명 이상의 개인정보를 포함 또는 누계로 포함

(2) 데이터 용량이 1000GB를 초과

(3) 핵시설, 화학생물, 국방군수, 인구건강 등 영역 데이터, 대형 공정 활동, 해양환경 및 민감한 지리 정보 데이터 등 포함

(4) 핵심 정보인프라 시설의 시스템 취약점, 안전보호 등 네트워크 안전정보 포함

(5) 핵심 정보인프라 시설사업자가 경외에 개인정보와 주요 데이터를 제공

(6) 기타 국가 안전과 사회 공공이익에 영향을 줄 가능성이 있어, 관련 주무 부처가 평가해야 한다고 판단한 경우

⑦ 다음의 경우에는 데이터를 국외에 전송해서는 안 된다.

(1) 개인정보가 개인정보 주체의 동의를 거치지 않았거나, 개인의 이익을 침해할 가능성이 있음

(2) 데이터의 국외 전송이 국가 정치, 경제, 과학기술, 국방 등 안전에 위험을 초래하여, 국가 안전에 영향을 주고, 사회의 공공이익에 손해를 가할 가능성이 있음

(3) 기타 국가 <국가인터넷정보판공실>, <공안부> 등 관련 부처가 국외 전송이 불가하다고 판단한

경우

⑧ 중국정부가 다른 국가와 체결한 데이터의 국외 전송에 관한 협의가 있을 경우 해당 협의의 규정에 따라 집행한다.

⑨ 상기 규정을 위반할 경우, 유관 법률·법규에 근거하여 처벌한다.

 

⑩ 네트워크운영자가 아닌 기타 개인과 조직은 상기 ①~⑧의 방법을 참고해 집행한다.

■ 데이터 국외 반출 안전 평가 지침(표준안)

 

2017년 5월 27일, 전국정보안전표준화기술위원회(全国信息安全标准化技术委员会)⁽⁶⁾는 “개인정보와 주요 데이터의 국외전송 안전평가 방법(안)”을 더욱 구체화한 표준(안)인 “데이터 국외 반출 보안 평가 지침(数据出境安全评估指南)”을 제시해 의견을 수렴하였고, 현재는 표준화 작업을 진행 중이다.

 

표준안은 개인정보와 주요 데이터의 국외 반출 안전 평가 업무기준, 방법과 절차, 평가 내용과 결과 판정에 대해 정하고 있다. 표준안의 목차를 통해 전반적이 내용을 유추할 수 있다.

 

데이터 국외 반출 안전 평가 지침(표준안) 목차

1. 범위 2. 규범적 인용 문건 3. 전문용어와 정의 3.1 네트워크 사업자 3.2 데이터 3.3 개인정보 3.4 개인 민감 정보 3.5 주요 데이터 3.6 데이터 국외 반출 3.7 데이터 국외 반출 보안 리스크 3.8 제공 3.9 자체 평가 3.10 데이터 민감성 제거 처리 4. 평가 절차 4.1 자체 평가 시작 4.2 데이터 국외 반출 계획 수립 4.3 데이터 국외 반출 계획의 적법성과 리스크 통제 가능 평가 4.4 평가 요점 및 방법 4.5 평가 보고서 4.6 검사 및 수정 5. 평가 요점 5.1 적법성과 정당성 5.2 리스크 통제 가능 5.2.1 개요 5.2.2 개인정보 속성 평가 요점 5.2.2.1 유형과 민감 정도 5.2.2.2 수량 5.2.2.3 범위 5.2.2.4 기술 처리 현황 5.2.3 주요 데이터 속성 평가 요점 5.2.3.1 유형 5.2.3.2 수량 5.2.3.3 범위 5.2.3.4 기술 처리 현황 5.2.4 발송인 데이터 국외 반출의 기술과 관리 능력 5.2.4.1 관리 제도 보장 능력 a) 보안 관리 제도 b) 인원 관리 체계 c) 데이터 수신자와 계약을 체결하고 포함 내용은 다음과 같아야 한다. d) 감사 체계 e) 비상 대책 f) 불만 신고와 처리 전략 g) 보안 사건 보고 체계 5.2.4.2 기술 수단의 보장 능력 5.2.5 데이터 수신자의 보안 보호 능력 5.2.5.1 주체 심사 5.2.5.2 관리 보장 능력 5.2.5.3 기술 보장 능력 5.2.6 데이터 수신자 소재 국가 혹은 지역의 정치 법률 환경 별첨A 중요 데이터 식별 지침 별첨B 개인정보와 주요 데이터의 국외 반출 보안 리스크 평가 방법

 

■ 개인정보 국외전송 안전평가 방법(안)

 

이후 2019년 6월 <국가인터넷정보판공실>은 “개인정보 국외전송 안전평가 방법(안)을 공개하였다. 이 방법(안)은 “주요 데이터”를 제외한 개인정보의 국외 제공시 적용할 안전평가 방법을 다음과 같이 구체화하고 있다.

 

① 네트워크운영자(네트워크의 소유자, 관리자, 네트워크 서비스 제공자)가 중국 경내에서 수집한 개인 정보를 국외에 제공시에 안전평가를 시행하여야 한다. 외국의 사업자(기구)가 인터넷 등을 통해 중국 이용자의 개인정보를 수집할 경우, 중국내 법정 대표자 또는 기구를 통해서 안전평가 의무를 이행하여야 한다.

② 개인정보의 국외 제공시 평가절차는 <그림 1>과 같이한다.

 

 

 

평가신청	⇒	안전평가 진행 (15일 이내)	⇒	결과 통보	⇒	재평가 (2년 또는 변경 발생 시)
네트워크운영자		성급 국가인터넷판공실		성급 국가인터넷판공실		네트워크운영자

<그림 1> 중국의 개인정보 국외제공 시 평가 절차

 

	< 평가 준비 서류 >
(1) 신청서 (2) 네트워크 운영자와 접수자가 체결한 계약서 (3) 개인정보 국외전송의 안전 위험 및 안전 보장 조치 분석 보고서 (4) 국가인터넷정보판공실이 요구하는 기타 자료

	< 중점 평가 사항 >
(1) 국가 유관 법률·법규와 정책 규정에 부합하는지 여부 (2) 계약 조항이 개인정보 주체의 합법적 권익을 충분히 보장할 수 있는지 여부 (3) 계약이 실행 효력이 있는지 여부 (4) 네트워크 운영자 또는 접수자가 개인정보 주체의 합법적 권익을 침해한 이력이 있는지 여부, 중대한 네트워크 안전 사건이 발생한 적이 있는지 여부 (5) 네트워크 운영자의 개인정보 획득이 합법, 정당한지 여부 (6) 기타 마땅히 평가해야할 내용

③ 네트워크운영자는 다음 사항을 준수한다.

가. 개인정보 국외전송 기록을 구축하고 최소 5년이상 보관

(1) 국외에 개인정보를 제공한 날짜와 시간 (2) 접수자의 신분. 접수자의 이름, 주소, 연락방법 등을 포함하되 이에 한하지 않음 (3) 국외에 제공하는 개인정보의 유형 및 수량, 민감 정도 (4) 국가 네트워크 정보 부문이 규정한 기타 내용

나. 매년 말일(12월 31일)전에 해당 연도의 개인정보 국외전송 상황, 계약 이행 사항 등을 소재지 성급 네트워크 정보 부분에 보고

다. 비교적 큰 데이터 안전사고 발생 시, 소재지의 성급 네트워크 정보 부분에 보고하고, 아래의 경우에는 개인정보의 국외전송을 일시 중지한다.

(1) 네트워크 운영자 또는 접수자*에 비교적 큰 데이터 유출, 데이터 남용 등 사건 발생 * 해외에서 개인정보를 받는 네트워크운영자 (2) 개인정보 주체의 합법적 권익을 보호할 수 없거나 보호하기 어려움 (3) 네트워크 운영자 또는 접수자가 개인정보의 안전을 보장할 능력이 없음

라. 개인정보의 국외전송 위험 및 안전보장 조치 분석보고서에 아래 사항을 반드시 포함

(1) 네트워크 운영자와 접수자의 배경, 규모, 업무, 재무, 신용, 네트워크 안전 능력 등 (2) 개인정보 국외전송 계획(지속 시간, 관련된 개인정보 주체 수량, 국외에 제공하는 개인정보 규모, 개인정보 국외전송 후에 다시 제3자에게 전송 여부 등) (3) 개인정보의 국외 전송 위험 분석과 개인정보 안전과 개인정보 주체의 합법적 권익을 보장하는 조치

마. 개인정보 접수자와 체결한 계약서 또는 법적 효력 문서에는 아래 사항을 명확히 해야 함

(1) 개인정보의 국외전송 목적, 유형, 보존 기한 (2) 개인정보 주체는 계약 중 개인정보 주체의 권익에 관련된 조항의 수익자임 (3) 개인정보의 주체는 합법적 권익이 침해를 당할 시, 직접 또는 대리인에게 위탁하여 네트워크 운영자 또는 접수자 또는 쌍방에 배상을 청구할 수 있고, 네트워크 운영자 또는 접수자는 배상해야함. 단, 책임이 없음을 증명한 경우는 제외. (4) 접수자가 소재하는 국가 법률 환경에서 계약을 이행하기 어려운 변화가 발생할 시, 계약을 중지하거나 다시 안전 평가를 진행해야함. (5) 계약의 중지가 계약 중 개인정보 주체의 합법적 권익 유관 조항 규정과 관련된 네트워크 운영자와 접수자의 책임과 의무를 면제할 수 없음. 단, 접수자가 접수한 개인정보를 이미 파기했거나 비식별화 처리를 한 경우는 제외. (6) 쌍방이 약정한 기타 내용

 

시사점

 

일반적으로 중국의 법률은 원칙 정도만 정하고, 하위법령(행정법규, 부문규장)에 포괄적으로 위임하는 경우가 많을 뿐 아니라, 법령의 포괄위임 또는 법령의 위임없이 각 부처가 독자적으로 업무권한에 근거해 제정한 고시가 더 강한 영향력을 갖는 경우가 많다. 때문에 중국의 정보보호 법제도를 체계적으로 분석하기 위해서는 법률 보다도 하위규정, 특히 규범성문건(고시)을 관심있게 보아야 한다.

 

<네트워크 안전법> 상 규제에 대한 외국 기업의 관심이 높은 실정이다. 중국 내 외국 기업인들은 <네트워크 안전법>의 내용 및 용어가 매우 모호한 바, 해석상 논쟁의 여지가 있고, 악용될 소지가 높다고 지적한다. 고객정보를 비롯한 핵심 정보의 중국 국경 내 저장의무 규정은 비즈니스 및 혁신에 장애로 작용할 것이라고 우려한다. 중국 당국에게 중국내에서 활동하고 있는 회사의 IT시스템 및 기밀 데이터(지식재산권 등 영업비밀)에 손쉬운 액세스 권한을 제공할 수 있는 단초가 될 수 있으며, 또 다른 무역장벽으로 작용할 것을 걱정하기도 한다. 법률의 적용범위가 지침이나 가이드에 의해 확대될 것을 우려하기도 한다. 예를 들면 “국가 보안심사”의 대상은 중국의 “핵심 정보인프라 설비”로 중국 국내의 문제인 것으로 보이지만, 지침이나 가이드 등에 의해 “핵심 정보인프라 설비”가 아닌 일반 “네트워크 운영자(홈페이지 운영자 포함)”에게도 적용될 수 있다. 실제로 <네트워크 안전법>에서는 “핵심 정보인프라 설비” 이외의 “네트워크 운영자”에게 자발적으로 보호체계에 참여하도록 권장하고 있고, 다른 지침(안)에서는 “기타 개인과 조직”도 참여할 수 있도록 정하고 있다.

 

외국기업들은 <네트워크 안전법> 하위규정에서 이러한 우려를 없애기 위한 대책이 반영되기를 기대하고 있다. 의견수렴 단계를 지나 본격적으로 심사에 들어간 규정이 많은 만큼 지속적인 관심을 가져야 할 것이다.

 

 

 

< 참고문헌 >

 

1. 한국표준협회, 주요국의 사이버보안 규제가이드, 2019.12
2. 전북대학교 동북아법연구소, 중국 <반테러리즘법>과 형사법의 테러활동 범죄 연구, 2017년
3. Bloomberg, 2016.11.7., China Adopts Cybersecurity Law Despite Foreign Opposition

https://www.bloomberg.com/news/articles/2016-11-07/china-passes-cybersecurity-law-despite-strong-foreign-opposition

4. 김유향, 중국의 <네트워크 안전법>과 온라인 규제 동향, KISO 저널 20호, 2015년 10월
5. 박영주, 중국의 정보보호법률, 연세대학교, 2015년 5월.
6. 정하명 외, 중국 정보법제에 관한 연구 결과보고서, 법제처, 2010년 10월
7. 중화인민공화국 네트워크 안전법