• KIMA Newsletter

    중국 『데이터 해외이전 보안법』 시행과 주요 내용 [제1321호]
      발행일  2022-09-13
    KIMA Newsletter [제1321호,2022.09.13] 중국의 데이터 해외이전 보안평가 배경과 함의.pdf



    지금 세계는 데이터 확보 전쟁을 치르고 있으며, 데이터는 4차 산업혁명 기술이 국력의 작용하도록 하는 혈액이자, 매개체이며, 주요 수단으로 알려져 있다.
    즉, 인공지능(Artificial Intelligence: AI), 머신러닝(Machine Learning: ML), 가상현실(Virtual Reality: VR), 증강현실(Augmented Reality: AR) 등 4차 산업혁명 기술들이 국력으로 활용되기 위해서는 방대한 데이터가 필요하다는 전제를 의미하는 것이다.
    지난 5월 19일 중국 국가 인터넷 정보 사무처 실무회의는 『중국 데이터의 해외 이전 보안법(China Data Security Law, 數据出境安全評價法)』을 통과시켰으며, 해당 법은 지난 9월 1일부로 시행됐다.
    지난 9월 1일 『중국 데이터의 해외 이전 보안법』을 시행하기에 앞서 중국 정부는 2017년 6월 1일 『중국 네트워크 보안법』, 2021년 9월 1일 『중국 데이터 보안법』, 2021년 11월 1일 『개인정보보호법』을 시행했으며, 중국 정부는 이를 “중국 『데이터 3법 체계(China Three Data-Related Law System: 數据出境三法體制)』를 구축한 것”이라고 정의하고 있다.
    안보 전문가들은 “이제 글로벌화된 네트워크를 통해 국경을 초월해 넘나드는 데이터는 미래전의 승패를 좌우하는 핵심”이라며, “단순한 정보통신 능력, 경제적 여력을 떠나 국가안보로서 가치를 인정받고 있다”며, “심지어 메타버스로 대변되는 가상세계에서의 데이터 활용을 위해 세계 각국들은 동맹국, 파트너십국가, 뜻을 같이 하는 국가와 무관하게 보이지 않는 데이터 확보 경쟁을 하고 있다”고 평가하고 있다.
    특히 『중국 데이터의 해외 이전 보안법』은 미·중 전략경쟁만이 아닌, 중국 주변국이자 주요 대외무역 파트너인 한국의 국가안보에도 적지 않은 영향을 줄 것으로 평가되고 있다.
    중국 정부는 이번 『중국 데이터의 해외 이전 보안법』 시행으로 이들 데이터 3법체계를 종합한 조치들이 마무리됐다고 평가하고 있으며, 주요 내용은 다음과 같다.
    이 법은 중국 내 데이터 사용자, 처리자 또는 관리자가 중국과 관련된 ‘중요 데이터’를 본토에서 홍콩, 마카오와 대만을 포함한 해외로 반출 또는 제공하는 것을 적용 대상으로 한다.
    여기서 ‘중요 데이터’는 일단 변조, 파괴, 누설 또는 불법적으로 획득되거나, 이용될 수 있는 단체 및 개인 정보를 의미하며, 해외로 반출 또는 제공되는 경우 국가보안, 경제운용, 사회 안정, 공공의 건강과 안전 등을 저해하는 중국 내 네트워크상의 데이터다.
    또한, 시행 이전에 이미 제공된 중국인 100만 명 이상의 개인정보를 포함한 데이터와 시행년도 9월 1일까지 누적된 10만 명 이상의 개인정보 또는 1만 명 이상의 민감한 데이터를 추가로 포함했다.
    주요 조치 내용은 ① 중국 내 중요 데이터와 핵심 정보기초시설 관리자, 운영자 및 사용자는 반드시 중국 내에 보관하도록 했으며, ② 필요에 따라 중국 본토 이외 해외로 반출 또는 제공하는 경우 국가 인터넷 정보부서, 국무원 관련부서로부터 반드시 보안평가를 받도록 했다.
    아울러 ③ 보안평가 방법을 중국의 지리적 방대성과 인구 규모 등을 고려해 중국 내 네트워크에서 데이터를 관리, 처리, 사용하는 관련자가 자체 보안평가를 우선적으로 하고, ④ 중요 데이터로 판단되는 데이터는 해외 반출 또는 제공 시 관할부서의 보안평가를 받아야 한다고 제도화했다.
    특히 평가 기준을 중요 데이터의 해외 반출 또는 제공 목적, 범위, 방식에 대한 합법성, 정당성, 필요성, 제공대상의 환경과 특성, 반출 또는 제공에 따른 영향, 리스크 범위 등으로 광범위하게 명기했는바, 이는 중국 정부가 언제든지 문제로 간주하면, 경제적 이익 이외의 명분으로 제한을 둘 수 있도록 한 것으로 평가받고 있다.
    또한, 시행 이전에 이미 반출 또는 제공한 중요 데이터가 이번 시행법에 부합하지 않는 경우에는 시행일로부터 6개월 이내에 개선하도록 의무화했으나, 소급일자를 소급마감일인 2023년 3월 1일까지인지로 규정하지 않았다. 이는 중국 정부가 언제든지 시행 이전에 반출 또는 제공한 데이터에 대해 국가가 안전평가를 하도록 한 의도로 보인다.
    아울러 중국 내 네트워크에 의해 유통되고 있는 각종 데이터에 접근, 사용하는 것도 대상으로 하고 있다. 이는 중국 내 중요 데이터가 네트워크를 통하지 않고 물리적으로 반출 또는 제공되는 경우를 염두에 둔 사례라는 평가가 나오는 이유다.
    특히 중국 본토 이외 해외 지점에서 중국과 네트워크로 연결된 유기적 체계에 의해 중국 내 중요 데이터용 서버, 클라우드, 온라인에 의해 조사연구를 하는 경우도 적용대상으로 명기했다.
    이에 안보 전문가들은 중국에 공급망을 둔 해외 업체, 대학, 연구기관, 개인들이 중국 내 자회사의 서버에 접근하는 경우에도 중국 자회사는 이번 『중국 데이터의 해외 이전 보안법』에 따라 보안평가를 받은 이후에 해당 해외 관련 기관과 접속할 것으로 전망했다.
    아울러 보안평가 유효기간을 2년으로 제한했다. 특히 보안평가를 받은 이후 유효기간 2년이 만료되기 이전 60일에 재평가를 받도록 제도화했다.
    안보 전문가들은 중국이 유효기간을 제한한 이유를 ‘중요 데이터’라는 명분하에 14억 인구를 대상으로 하는 방대한 데이터를 해외 기관들이 자국과 중국 간 연결된 네트워크를 통해 어떠한 수단, 절차 및 방법으로 중국에 유해하게 하는지를 보려는 것이라며, 단순히 중국의 경제발전에 기여하는 한 문제를 삼지 않겠으나, 중국 국가안보에 영향을 준다고 평가하는 경우 단순한 데이터 접속, 사용과 인용 등까지도 제한할 것이라고 전망했다.
    궁극적으로 안보 전문가들은 이번 『중국 데이터의 해외 이전 보안법』이 글로벌 추세에 따라 중국의 14억 인구를 바탕으로 한 방대한 데이터들이 미국 등 서방 주요 국가들의 4차 산업혁명 기술에 활용되는 것을 방지하려는 배경하에 제도화한 것으로 평가했다.

    * 출처 : www.npc.gov.cn, June 10, 2021; Global Times, June 11, 2021; Global Times, July 7, 2022; www.ey.com, July 18, 2022; www.law.asia, August 19, 2022; www.shikim,com, September 7, 2022.

    저작권자ⓒ한국군사문제연구원(www.kima.re.kr)