[지적재산 데이터법무] 데이터 국외이전 – 중국의 법제

1. 데이터 규제와 데이터 현지화

 

가. 중국은 몹시 강력한 데이터 규제 체계를 갖추고 있다는 점에서 눈여겨볼 만하다. 2021년 6월 10일, 중국 전국인민대표대회 상무위원회는 ｢중화인민공화국 데이터보안법｣을 제정하고 공포하였는데, 이에 따라 국가 중앙행정기구가 데이터 수집 ․ 저장 ․ 전송 등 안전을 감독 ․ 관리하는 체계를 수립하고 주무기관이 데이터 안전에 위험이 감지되는 경우 시정을 명령할 권한을 부여하는 등 강력한 정부의 통제 수단을 부여하고 있다.

(1) 따라서 중국은 자국 기업뿐만 아니라 중국 영토 내에서 활동하는 모든 외국기업 관련된 데이터를 규제할 수 있게 되었다. 규제 대상은 기존 주요 금융 ․ 에너지 ․ 통신 분야를 넘어 교통 ․ 건강의료 분야 등 모든 데이터를 포함한다.

 

나. 한편 2017년 시행된 ｢중화인민공화국 네트워크 안전법｣(中华人民共和国网络安全法)은 ‘민감한 정보 보존’ 의무를 규정하고 있다.

(1) 이 법은 개인정보 이전에 관하여 제37조에 규정하고 이 규정의 적용을 받는 ‘핵심정보인프라시설 운영자’로 지정된 자는 중국 경내에서 운영하여 수집한 개인정보와 중요정보는 중국 경내에 저장하고, 업무상 필요에 따라 중국 경외로 제공해야 할 경우에는 안정성 평가를 받아야 한다.

(2) 만약 개인정보 및 주요 데이터 국외이전 관련 규정을 위반했을 경우에는 관련 주무부처시정 명령, 불법소득 몰수, 50,000위안 이상 500,000위안 이하의 벌금 부과, 관련 업무 일시 중단 명령, 영업 중단, 웹사이트 폐쇄, 관련 서비스 인허가 취소 등에 처하게 되며, 직접적인 책임이 있는 담당자와 책임자에 대해서는 10,000위안 이상 100,000위안 이하의 벌금이 부과된다.

 

2. 암호화키 공개

 

2015년 중국은 국내안보 및 사이버보안 강화를 이유로 암호화키의 제공을 강제하는 반테러법을 공포한 바 있는데, 이에 따라 암호화 기술을 사용하고 있다면 그 암호화키 또는 암호화 알고리즘 등 정보를 중국 정부에 공개 ․ 이전해야 한다.

 

3. 개인정보, 데이터 및 주요 데이터의 국외이전

 

가. 중국의 데이터 국외이전과 관련된 법령은 ｢네트워크안전법｣, ｢데이터 보안법｣, ｢개인정보 보호법｣, ｢데이터 국외이전 안정평가규정｣이 있다.

 

나. ｢중국 데이터보안법｣은 개인정보뿐만 아니라 ‘데이터 및 주요 데이터’의 국외이전 역시 제한하고 있다는 점에서 주의가 필요하다.

(1) 동법상 ‘데이터 및 주요 데이터’는 국가의 안전과 이익의 유지, 국제적 의무의 이행 유지에 관련된 관리 품목에 해당하는 데이터를 의미한다(제25조 및 제31조).

(2) 이 같은 데이터에 대해서는 수출을 통제하며, 구체적으로 특정 국가 또는 지역이 데이터 및 데이터의 개발 이용 기술 등에 관련된 투자, 무역에 있어 중국에 대한 차별적인 금지 제한 또는 기타 유사한 조처를 하는 경우, 중국은 해당 국가 또는 지역에 대해서 상응하는 조처를 할 수 있다(동 법 제26조).

 

(3) 또한, 주요 데이터 중 주요 데이터 인프라의 운영자 이외의 데이터 처리자가 중국 내에서 수집하여 획득한 주요 데이터에 대해서는 인터넷정보부문이 국무원의 관계 부문과 공동으로 역외이전 안전관리와 관련된 규정을 제정하였다(동법 제31조).

 

(4) 이와 같이 중국은 데이터의 해외이동을 금지 또는 제한하고 있으며, 자국 내에서만 데이터를 처리하는 규정을 두고 있어 데이터 자유로운 이동을 제한하고 있다.

 

다. 따라서 중국에 진출하는 국내 기업은 데이터 현지화 요구에 따라 중국 내에 데이터 저장 공간을 확보하고 컴퓨터 설비를 구축해야 하므로 중소기업에게 비용에 대한 부담이 발생할 수 있다.

(1) 또한, 기업은 영업비밀 기타 중요 데이터는 국내에 두고 중국 내 영업에 필요한 최소한의 데이터만을 현지화하는 전략을 모색해야 한다.

 

라. 디디추싱의 데이터 관련 법 위반과 제재 사례

중국 최대 차량호출 서비스 기업인 디디추싱은 2021년 미국 상장과정에서 고객의 이동정보 유출, 이용자 휴대폰 갤러리 내 캡쳐화면 정보 위법 수집, 이용자 클립보드정보, 앱정보의 과도한 수집 등으로 사이버보안법, 데이터보안법, 개인정보보호법 위반 조사 결과 10억 달러(1조3천억원) 벌금 부과

 

정회목 변호사