제목
[이슈분석 199호] 최근 중국의 사이버보안 정책 동향: 입법규제를 중심으로
원문제목
국가
중국
주제분류
과학기술전략
국가
중국
주제분류
과학기술전략
생성기관명
KIEP
등록일
2021-10-01
생성기관명
KIEP
등록일
2021-10-01
첨부파일
199

1. 개요


□ 최근 전 세계적으로 사이버보안 이슈가 국가 대응 의제로 부상하면서, 데이터의 국가 간 이동 개인정보 보호 등이 주요 이슈로 등장하면서 주요국들은 

관련 입법을 정비

 

º EU2018년 회원국에 동일하게 적용되는 GDPR(General Data Protection Regulation)을 도입하여 데이터의 국가 간 이동 및 개인정보의 보호기반을 마련


- 2019년에는 EU 사이버보안법(European Cybersecurity Act)을 발표하여, 디지털 단일시장을 구축을 통해 회원국의 권리를 보호


º 미국은 2015년 사이버보안법(Cybersecurity Act of 2015)을 발표하고, 2020년에는 동맹국을 중심으로 클린 네트워크 프로그램(Clean Network Program; CNP*)을 추진


- CNP5G 통신망과 모바일 애플리케이션(apps), 해저 케이블, 클라우드 컴퓨터 등 미국이 신뢰할 수 없다고 판단한 중국 기업 제품을 배제하는 정책

* CNP는 데이터 프라이버시(data privacy), 안보(security), 인권(human rights)을 보장


□ 중국 역시 사이버공간 침해에 대한 예방 및 대응뿐 만 아니라 사이버 공간을 보호할 수 있는 법 제도를 정비하기 시작


º 그동안 중국은 2017년 발표된 사이버보안법을 통해 사이버 보안 관련 주요 이슈에 대응


- ‘사이버보안법에서는 사이버보안 표준체계 구축 사이버공간운영 안정 핵심 정보 기반시설 보호 온라인 실명제 개인정보 보호 사이버공간의 정부 통제 

강화에 대해 규정


º 최근 중국 정부는 주요국의 디지털 통상정책에 대응하기 위해 관련 법률을 통해 데이터 국외 이전 및 역외적용에 관한 명확한 관리체계를 구축


- ‘사이버 보안법은 중요 정보 핵심 기반시설 관련 개인정보 및 중요한 데이터의 중국 현지 서버 저장을 의무화(사이버보안법 제37)


- ‘데이터보안법은 중국 내에서 수집 및 생성한 중요 데이터의 역외 이전 제한을 명시(데이터보안법 제25)

개인정보보호법은 개인정보의 국외 이전 조건을 충족 시 개인정보의 이전을 허가하며 역외 개인정보를 보호(개인정보보호법 제38)


□ 중국은 디지털 거버넌스구축에 박차를 가하고 있으며, 이를 위해 중국 정부는 사이버보안 관련 입법규제와 관련 정책을 속도감 있게 추진


º 현재 중국의 디지털 거버넌스 핵심은 데이터의 활용 및 관리이며, 이를 위해 전자정부 구축을 위한 인프라 건설 핵심정보 인프라 및 데이터 보호 

빅데이터를 통한 통제 및 감시를 추진 중


º 또한 중국은 사이버 보안 법체계를 갖추기 위해 사이버보안법을 시작으로, 사이버보안, 데이터보안, 개인정보보호에 대한 제도적 보장이 가능한 법적 토대가 되는 

관련 법령을 제정하여 시행을 준비 중


- 데이터보안법’(’21.9)개인정보보호법’(’21.11)을 통해 시장질서를 확립하고 유형별 데이터 제도를 통해 사이버 안전과 국내 디지털 산업의 발전 기반을 마련


□ 중국 정부가 속도감 있게 진행하는 디지털 분야 입법규제 움직임은 대내외 환경변화에 기인


º (대내적 요인) 정보와 데이터가 새로운 형태의 전략적 자원으로 부상함에 따라 디지털 경제 활동에 대한 체계적인 법률 및 지침의 필요성 대두


- 데이터 분야 관련 단일법률의 필요성은 꾸준히 제기되었으며, 첨단 산업발전에 따른 데이터 활용도가 높아짐에 따라 데이터 보호의 중요성도 증대

중국은 정부 주도하에 각종 정책의 시행을 통해 빅데이터 산업을 육성해 오고 있으며, 2014년 발표된 빅데이터산업 발전규획에서 보안 역량강화를 통해 데이터 거래 및 

데이터 경제 활성화 기반을 마련



1.JPG
 


- 또한 데이터를 바탕으로 급성장한 빅테크 기업에 대한 데이터 보안 규제의 필요성 대두


2021823일 중국 정부는 최대 전자상거래업체 알리바바가 운영하는 알리 라우드에서 과거(201911) 사용자 등록정보를 제3자 협력업체에 유출한 사례를 적발하고

사이버 보안법 제42조에 근거하여 시정 명령조치를 시행


º (대외적 요인) 최근 미국의 대중 첨단기술 기업에 대한 규제가 전 방위적으로 확대되면서 데이터 국지화 소스코드 공개 기술 이전 강요 등 

사이버 보안 관련 이슈가 부각


- 미국은 기술 안보를 내세워 중국 첨단기업의 수출입 규제를 시행하고 있으며, 특히 디지털 무역 활성화에 장애 요소인 데이터 국지화를 반대

20196G20 정상회의에서 오사카 트랙이 제안, 일본미국 등을 포함한 선진국은 데이터의 자유로운 이동(신뢰있는 데이터의 자유 이동)에 대해 동의


- 반면 중국은 데이터 주권론으로 자국 데이터 관련 산업의 육성과 국내 정치적 안정을 위해 초국적 데이터 이동을 반대하며 미국과 경합

2013년 스노든이 미 정보당국의 전 세계 감청활동을 폭로한 것을 계기로 중국, 러시아 등 일부 국가에서 국민의 국가안보와 국익보호를 위해 데이터 국지화(Data Localization) 시행


□ 본 고에서는 최근 중국의 사이버 보안전략을 살펴보고, 중국의 데이터 보안 관련 입법규제 동향에 대해 살펴볼 예정


º 중국은 데이터 이용 환경 개선과 데이터 보안 관련 법제화를 통해 개인정보보호 수준을 제고하고 국제규칙 제정에 적극적으로 참여하면서 자국의 이익을 수호


- 시진핑 정부 이후 새롭게 등장한 사이버 전략에 대해 살펴보고, ‘데이터 보안법개인정보보호법의 주요 내용을 통해 중국의 데이터보안 관련 입법규제 동향을 분석


2. 중국의 사이버보안 전략


□ 시진핑 정부의 사이버 보안전략은 기존 사이버보안 정책을 재정비하고, 담당부처를 일원화하는 등 효율적인 정책 시행을 위한 환경 조성과 국제규범 준수를 위한 

관련 입법 및 제도를 보완하는 방향으로 변화


º 중국 사이버보안의 개념은 사실상 정보통제의 개념으로 시진핑 정부에서 새롭게 사이버 공간을 정의


□ 그동안 중국은 총체적 국가 안전관(2013)’을 통해 사이버 공간을 국가 주권의 영향력 범위로 확대했으며, ‘국가 사이버공간 보안전략(2016)’을 통해 사이버 공간을 

전면적으로 관리감독하는 정책을 시행


º 총체적 국가 안전관에서는 국가 안보 영역을 비전통적인 안보 범위까지 포괄했으며, ‘국가 사이버공간 보안전략을 통해 사이버 보안을 관리


- ‘국가 사이버공간보안전략에서는 최초로 사이버 보안을 전면에 내세웠으며, 사이버 보안을 4대 원칙과 9대 임무를 통해 국가 차원에서 관리

4대 원칙: 사이버 공간 주권 존중 사이버 공간의 평화 수호 법에 따른 사이버 공간 관리 사이버 공간 보안 및 발전

9대 임무: 사이버 공간 주권 수호 국가 안전 보장 핵심정보인프라 보호 건전한 사이버 문화 형성 사이버 테러 및 위법 행위 엄벌 사이버 공간 관리 체계 보완 

                  ⑦사이버 보안 강화 사이버 공간 방어 능력제고 사이버 공간 국제협력 강화


□ 또한 사이버보안 전략의 효율적인 시행을 위해 최고 결정기구에서 실무부서로 정책이 전달되는 이원구조를 구축


º 최고 정책결정기구인 중앙 인터넷 안전 및 정보화 영도소조가 실무부서인 국가 사이버보안 사무소에 정부 지침을 전달하면 각 부처가 이행하는 구조


- ‘국가사이버보안 사무소2011년 설립되었으며 중국 정부의 사이버 공간 관련 정책 수립 및 법제화를 추진하고 관리하는 역할을 수행



2.JPG


□ 동시에 2014년부터 세계 인터넷 컨퍼런스’(World Internet Conference)를 개최하며 글로벌 사이버 거버넌스에 적극적으로 참여


º 20173월 시진핑 주석은 사이버 공간에 대한 최초의 대외 전략인 사이버공간 국제협력 전략을 발표하여 사이버 공간의 주권을 강조하고, 향후 관리와 사이버 기술의 

표준화를 통해 사이버 거버넌스를 주도하겠다는 의지를 피력


- 중국 정부는 표준수용자에서 표준제정자가 되기 위한 중국표준 2035’전략을 발표, 5G, AI분야 국제표준을 선점하기 위해 준비 중

중국 정부는 20183중국제조 2025’2단계 종료 시점인 2035년까지 중국 내 첨단산업의 기술표준을 국제표준으로 만들겠다는 중국표준 2035’ 전략의 시행을 발표


□ 한편 미국의 첨단기술 기업에 대한 대중국 기업 제재에 대해 중국정부는 직접 조치 대신 데이터 보안정책 발표 및 관련 법규의 제정으로 간접 대응


º 미국의 대중 첨단기업 제재가 사이버보안 분야로 확대되면서, 중국 기업에 대한 영업제한 조치가 수시로 발동


- 일례로 20208월 미국은 자국민의 개인정보가 중국 공산당에게 유출되는 것을 우려하여, 국가안보를 근거로 중국의 메신저 위챗과 동영상 플랫폼 틱톡의 사용 금지 및 

미국 내 영업제한 조치를 발표


- 이에 중국 정부는 자국 기업 보호를 위해 대응조치(‘수출 금지제한 기술목록’)를 발표하여, 자국 기업을 간접적으로 보호

2020812년 만에 수출 금지제한 기술목록(中国禁止出口限制出口技术目录)을 조정하여 발표, 향후 기술의 해외이전 시 중국 당국의 승인을 의무화


º 또한 글로벌 데이터 안보 이니셔티브(全球数据安全倡议)’통해 미국의 클린 네트워크 프로그램(Clean Network Program; CNP)에 대응하는 데이터 보안 강화 정책을 발표



3.JPG

 

º 뿐만 아니라 데이터 관련 정책 및 관련 제도를 꾸준히 제정하여 시행하거나 시행을 예고하고 있는 상황



4.JPG

□ 또한 중국정부는 국제규칙 제정에 참여하는 방식으로 역내 포괄적 경제 동반자(RCEP)’*협정을 참고하여 사이버 보안체계 완성을 위한 데이터 보안 관련 법률을 제정

* 역내 포괄적 경제 동반자(Regional Comprehensive Economic Partnership, RCEP)’ 캄보디아, 라오스, 미얀마, 인도네시아, 필리핀, 태국, 싱가포르, 브루나이, 말레이시아, 베트남이 속한 

ASEAN 10개국과 한국, 중국, 일본, 호주, 뉴질랜드를 포함한 총 15개국의 역내 무역자유화를 위한 협정(20201115일 정식 서명)


º 특히 글로벌 이슈로 부상한 데이터 국가 간 이동이 디지털 통상에 주요한 이슈로 제시되면서 국가 간 데이터 이동과 개인정보에 관한 정책을 보완


- ‘국경간 데이터 이동보장’, ‘온라인 개인정보 보호의무 관련 조항은 RCEP 협정을 준용하여 재정비



5.JPG


º 빅데이터를 기반으로 빅테크 기업이 성장하면서 데이터 보안과 개인정보보호에 대한 체계적 관리감독 및 보호 필요성에 따라 데이터 보안법개인정보보호법을 

제정

기존 사이버 보안법에서 다루었던 데이터 국지화, 개인정보보호에 관해서 데이터 보안법(25)과 개인 정보보호법(38)에서 구체적으로 규정


º 한편 한국의 개인정보보호법시행령(48)에서 개인정보의 국외 이전 시 필요 요건을 명시


- 한국의 경우 개인정보의 국외 이전 시 개인정보호 보호를 위한 안정성 확보 개인정보 침해에 대한 조치 등 준수

한국의 개인정보보호법의 주안점은 개인보호 보호 차원에서의 개인정보 범위 규범화와 익명 및 가명 정보 처리


3. 최근 중국의 데이터보안 입법 규제


□ 인터넷 보급과 정보통신의 발달로 디지털 경제에 진입하면서 데이터보안과 개인정보가 새로운 권리로 인정되기 시작하면서 주요국들은 이미 관련 사안을 보호할 수 있는 단일법률을 제정하여 시행 중


□ 중국은 2015국가 안전법을 통해 국가안보의 영역을 전통적 안보 영역에서 사이버 영역으로 확장한 이후 사이버보안법에서 사이버 영역의 안보를 구체화


º 2017년부터 시행된 사이버보안법에서는 사이버보안과 네트워크 운영자의 안전보호 의무를 규제


- 사이버 보안법에서는 네트워크 안전과 정보보안에 대해 규제하고 있으나, 주요 이슈로 부각되고 있는 데이터 보안 관련 다양한 유형의 데이터 보호 규정이 미흡


□ 사이버 보안 법체계를 갖추기 위해 사이버보안법’(’17.6)을 시작으로, 사이버보안, 데이터보안, 개인정보보호에 대한 제도적 보장이 가능한 법제도 마련을 준비


º 중국정부는 자국 내 데이터보안 정책의 필요성과 함께 주요국과 데이터 안보 관련 갈등 해결을 위해 데이터보안법개인정보보호법제정을 추진


- 데이터의 효과적인 관리감독을 위해 데이터 보안법을 제정하여 시행(’21.9)


- 형법을 비롯하여 소비자보호법, 민법등 법률의 개별 규정에서 보호하던 개인정보를 위해 구체적이고 통일적으로 적용하기 위해 개인정보보호법의 시행을 준비 중(’21.11)


□ 중국의 데이터보안법국가안보 및 이익에 관련된 데이터 이동 금지 중국 내에서 수집 및 생성한 중요 데이터의 역외 이전 제한을 명문화


º 주요 내용으로는 데이터 안전 분야 및 주관기관 지정 데이터를 활용한 공공서비스 수준 향상 전자 정부 수립 추진 법적 책임 등


- 초안과 비교시 최종안에서는 교통 부문 데이터 관리 추가 중요 데이터에 대한 보안 의무 강화 위법 행위에 대한 과징금 대폭 인상 등이 추가되면서 데이터 관리를 강화



6.JPG


□ 중국의 개인정보보호법민감정보 정의 개인정보 역외적용 온라인 플랫폼 기업의 특별 의무 부여 법률책임 등에 관해 규정


º 초안과 비교시 최종안에는 개인정보 이전에 관한 조항을 추가하여 개인정보보호를 더욱 강화


º 개인정보보호법2018년에 발효된 EU GDPR*을 참고하여 민간 기관과 공공 기관의 의무와 책임을 통합하고, 개인정보의 보호와 사용을 고려하여 중국에 적합한 방식을 

채택하여 제정

* EU의 일반 데이터 보호 규칙(GDPR, General Data Protection Regulation)EU 회원국 간 자유로운 개인정보 이동과 개인정보보호를 강화하기 위해 제정된 통합 규정(20185)



7.JPG

4. 시사점


□ 중국 정부는 디지털 경제 발전의 기본이 되는 법률의 시행을 통해 기업이 합리적으로 데이터를 수집 및 활용할 수 있도록 환경을 조성할 계획


º 데이터보안법개인정보보호법의 시행으로 데이터 보안관련 입법규제가 강화될 것이며, 특히 개인정보보호법의 시행은 중국 내 빅테크 기업에도 적지 않은 영향을 

미칠 것으로 전망


- 개인정보 처리 활동 관련 강력한 통제력과 지배력을 가지고 있으므로 인터넷 플랫폼 기업들은 향후 개인정보 보호 측면에서 강력한 법적 책임이 부과


- 추가로 개인정보호법에서 온라인 플랫폼 기업에게 특별 의무를 부여함으로 빅데이터를 기반으로 서비스를 제공한 중국 빅테크 기업에 대한 제재 수위가 한층 강화될 전망


º 또한 중국 내 개인정보를 활용하여 서비스를 제공하는 다양한 업종에서 광범위한 영향력을 미칠 것으로 예상


- 금융, 전자상거래, IT서비스, 교통운수 등 업종에 미치는 영향이 비교적 클 것으로 판단


- 특히 중국의 개인정보보호법에는 EU와 한국과 달리 금융정보가 민감한 정보에 포함되어 있다는 점에 주의가 필요하며, 중국에서 개인금융 업무를 취급하는 금융기관이나 

항공사 및 여행사, 의료기관 등은 대응 요망


□ 중국 정부의 사이버 보안정책은 당분간 강력한 데이터 통제 기조를 유지할 것으로 예측됨에 따라 관련 동향에 대한 지속적인 모니터링이 필요


º 중국의 데이터 보안법개인정보보호법EU‘GDPR’과 비슷한 구성으로개인정보보호에 엄격


- 중국에 진출한 한국기업이나 중국과 사업을 영위하고 있는 기업들은 반드시 중국 개인정보보호법에 대한 충분한 이해와 사전준비와 대응이 필요


- 우리기업은 해외기업들의 GDPR 대응 경험을 바탕으로 효율적인 대응안을 모색

한국인터넷진흥원은 GDPR에 대한 구체적인 가이드라인 및 위반 사례를 게시하고 자문을 제공 중

대중국 진출 중소영세 기업들이 공동으로 활용할 수 있는 데이터 플랫폼 구축이 필요


º 또한 이번 중국의 개인정보보호법이 소재지역과 무관하게 중국 내 자연인의 개인정보를 다루는 모든 기업에게 적용되는 법이라는 사실도 주지 필요


- 중국 내 자연인의 개인정보 처리가 중국 밖에서 진행되더라도 제품 및 서비스 제공이 목적인 경우 동 법에 적용


- 특히 개인정보의 역외 취급시 중국내 전문기관 및 대표 지정을 의무화하고 있는 점도 대비


º 다만 사이버보안법과 유사하게 개인정보보호법의 실제 법 집행은 상당한 시간이 소요될 가능성도 존재


- 중국 정부는 20176월 사이버보안법을 전면 실시할 계획이었으나 당시 IT 기업의 반대로(데이터 이전 관련 내용) 일부 조항은 유보한 채 시행


□ 한편 한국과 중국을 포함한 15개 국가가 체결한 RCEP 협정에 데이터 국지화 금지, 국경 간 데이터 이동 제한 금지 등 내용이 포함되어 있어 향후 중국이 국별로 상이한 

기준을 적용할 가능성이 존재


- RCEP에서 컴퓨팅 설비의 지역화 요구 금지 조항은 의무규정이나, 국가 안보를 위해서는 예외적으로 면제가 가능하다고 명시하여 중국 데이터보안법을 위배하지 않음.


- 또한 중국은 데이터보안법에서 국경 간 데이터 이동을 제한하고 있으나 상호주의에 따른 국제협약에 근거하여 이동이 가능한 것으로 명시하고 있어 RCEP과 같은 협약에 

따른 국경 간 데이터 이동이 가능할 것으로 보임.


□ 향후 중국 정부가 디지털 경제 육성을 위해 지속적으로 데이터의 가치화, 디지털 거버넌스 구축 등을 추진할 것으로 예상되므로, 향후 한중 양국은 정상급 회의에서 

데이터 보안 관련 논의를 지속적으로 시도함으로써 협력을 모색


º 202011월 한중 외교장관회담에서 한국은 중국의 <글로벌 데이터 안보 이니셔티브>를 적극적으로 연구하겠다는 의지를 피력


- 이에 정부 차원의 협의를 통해 데이터 수집 및 저장 분야에 대한 양자 간 협력안을 발굴


º 20214월 한중 외교장관회담에서도 중국 측은 5G·빅데이터·녹색경제·AI·집적회로·신에너지·건강의료산업 등 분야 협력 강화를 통한 협력동반자 관계를 제안


º 한편 데이터 국지화에 따른 중국 정부의 관리·감독 및 국경 간 데이터 이동 의 심사 투명성에 대한 의구심이 제기되며 또한 자유로운 데이터 이동을 추구하는 국가들 간 마찰이 

발생할 가능성도 존재


- 미국과 일본은 데이터의 초국경 거래 활성화를 추진하고 있으나, 중국이 11월부터 시행을 준비하는 개인정보보호법은 데이터의 국지화를 명문화


- 또한 개인정보보호법에서 처음으로 명문화된 역외 적용 역시 강력한 입법규제로 작용 가능 



※ 작성자 : 대외경제정책연구원 박민숙 전문연구원(mspark@kiep.go.kr), 이효진 전문연구원(hyojinlee@kiep.go.kr)