I. 머리말
중국은 2021. 11. 1.자로 「개인정보보호법」1 이 정식 시행되면서, 「네트워크안전법」, 「데이터안전법」과 함께 소위 “데이터 3법”의 완전한 데이터 보호 법률체계를 수립하였습니다. 그 이후, 중국 정부는 위 “데이터 3법”의 하위 규정들을 연이어 제정하여 각 세부 영역에서의 구체적 가이드라인을 마련2 하고 법체계를 보완해오고 있습니다.  그 중, “데이터 3법”의 간 관계를 조율하고 각 세부적 가이드라인과의 연계를 해주는 「네트워크 데이터안전 관리조례」3 (이하 “「관리조례」”)가 2024. 9. 24.에 공포되었고, 2025. 1. 1.부터 시행될 예정입니다.

「관리조례」는 총 64개 조문으로 구성되며, 네트워크 데이터안전의 일반규정, 개인정보 보호, 중요 데이터 안전, 데이터 국외이전, 플랫폼서비스제공자의 의무, 행정관리와 법률책임 등 9장의 내용을 포함하고 있습니다.

중국에 진출하였거나 중국 사업 과정에 개인정보 업무를 취급하고 있는 우리기업의 중국내 컴플라이언스 전략의 수립, 데이터안전 관리 시스템의 개선 및 내부 가이드라인 정립에 도움이 되고자 본 법무법인은 「관리조례」의 주요내용과 그 시사점에 대하여 본 시리즈 뉴스레터를 작성하였습니다. 본 시리즈는 총 5회로 나누어 「관리조례」의 (i) 공포 배경 및 일반성 규정, (ii) 개인정보 보호와 중요데이터 안전, (iii) 데이터 국외이전, (iv) 플랫폼사업자의 법적 의무, (v) 위반 시 법적 책임 및 시사점을 소개하도록 합니다.

II. 「관리조례」의 공포 배경
중국 공산당 중앙위원회 제20기 3차 전체회의에서는 건전한 데이터안전 거버넌스 시스템을 구축하고 데이터 국경간 이전 및 데이터안전 감독 메커니즘을 개선할 필요성을 중요한 과제로 언급하였습니다. 금번 전체회의에서는 디지털 경제의 급속한 발전과 더불어 국가 경제성장, 사회 거버넌스 및 기술 혁신을 촉진하는 데이터의 역할이 날로 중요해지고, 데이터안전 문제는 특히 국경을 넘나드는 데이터의 이전과 글로벌 데이터안전 경쟁에서 점점 더 복잡하고 시급해지고 있으며, 기타 각국 또한 데이터 주권과 안전보호 조치를 강화하고 있다고 보았습니다.

「관리조례」의 출범은 상기 전체회의의 요구에 부응하며, 그 배후에는 기존 데이터안전 문제에 대한 대안뿐만 아니라, 향후 디지털 발전을 위한 지속적인 법적 보장을 제공하였으며 데이터안전 입법 시스템을 보완하겠다는 입법 취지가 내재되어 있습니다. 「관리조례」는 기존의 「네트워크안전법」, 「데이터안전법」 및 「개인정보보호법」의 원칙적인 규정을  구체적으로 보완하였으며, 동시에 각 하위 세부적 가이드라인의 법적 기반 및 시행 근거를 마련했습니다. 

III. 「관리조례」의 일반성 규정
「관리조례」는 제1조부터 제20조까지 총 20개 조항으로 네트워크 데이터 처리활동 중에서의 일반원칙(총칙 + 일반성 규정)을 규정하였으며, 그 중 일부는 “데이터 3법”에 의해 기 규정된 조문들에 대한 인용 및 보완입니다.

1. 「관리조례」의 적용범위
「관리조례」 제2조 제1항에서는 중국 역내의 네트워크 데이터 처리활동 및 그 안전에 관한 감독관리는 본 조례의 적용을 받는다고 규정하였습니다. 즉, 역내 적용을 원칙으로 규정하고 있습니다.

하지만, 예외적인 역외적용 관련하여 「관리조례」는 여전히 「개인정보보호법」 및 「데이터안전법」의 규정을 그대로 인용하였으며, 제2조 제2항에 따르면 중국 역외에서 중국 역내 개인의 개인정보를 처리하는 활동이 「개인정보보호법」 제3조 제2항의 규정에 부합되는 경우4 본 조례의 적용을 받으며, 제2조 제3항에 따르면 중국 역외의 네트워크 데이터 처리활동이 중국의 국가안전, 공공이익 또는 국민, 조직의 적법한 권익을 침해하는 경우 법에 따라 책임을 추궁한다고 규정하였습니다.

“네트워크 데이터”의 정의와 관련하여, 「관리조례」 제62조 제1항은 “네트워크 데이터”란 네트워크를 통해 처리 및 생성된 각종 전자 데이터를 의미한다고 규정하였습니다. 「데이터안전법」상 “데이터”의 정의와 비교하면, “다른 방법으로 기록된 정보”가 삭제되어 그 범위가 주로 “전자 데이터에”만 해당되고 종이와 같은 물리적 방법으로 처리된 데이터는 제외함을 명확히 하였습니다. 그러나 현재 기업실무에서 네트워크의 광범위한 적용과 대부분 기업의 디지털 수준을 고려할 때 “네트워크 데이터”에 대한 감독은 여전히 대부분의 기업의 데이터 처리활동에 적용될 것으로 사료됩니다.

2. 네트워크 취약점, 안전사건 등 보고∙통지 원칙
「관리조례」 제10조에 따르면 네트워크 데이터 처리자는 네트워크 제품 및 서비스에 보안 결함, 취약점 및 기타 위험이 있음을 발견한 경우 즉시 시정 조치를 취하고 규정에 따라 적시에 사용자에게 알리고 관련 주관부서에 보고해야 하며, 국가안전 및 공공이익을 위협할 우려가 있는 경우에는 24시간 내 관련 주간부서에 보고해야 합니다.

종전 공업과정보화부 등 3개 부서에서 2021. 9.에 발표한 「온라인 제품 보안 취약점 관리규정」에 의하면 온라인 제품 제공자가 제공한 온라인 제품에 보안 취약점이 있음을 발견하거나 알게 된 후 2일 내 관련 취약점 정보를 공업과정보화부 온라인 보안위험 및 취약점 정보공유 플랫폼에 보고해야 하며, 보고 내용에는 온라인 제품 보안 취약점이 있는 제품명, 모델, 버전, 취약점의 기술적 특성, 위험 및 영향 범위가 포함되어야 합니다. 이번 「관리조례」에서는 위 규정에서 나아가 네트워크 데이터 처리자가 국가안전 및 공공이익과 관련된 취약점을 발견하는 경우에는 24시간 이내에 보고하도록 요구하였습니다.

「관리조례」 제11조에서는 네트워크 안전사건이 발생하는 경우의 보고∙통지 원칙도 명확히 하였습니다. 단, 전에 「관리조례」 의견수렴안에 포함되었던 네트워크 데이터 안전사건이 발생하는 경우 3 영업일 또는 8시간의 보고 기한은 삭제되었으나, 특정 보고 기한을 정하지 않고 “규정에 따라 관련 주관부서에 보고”하도록만 규정하였습니다. 여기서 “규정”은 네트워크 안전사건 발생 시 네트워크운영자의 보고 책임, 보고 기한, 보고 내용 등을 명시하기 위해 별도 제정 중인 「네트워크 안전사건 보고 관리방법」(2023. 12.부터 의견수렴 중)을 가리키는 바, 해당 세부 규정의 추후 발표 내용에 대해서도 유의할 필요가 있습니다.

통지 의무와 관련하여, 「관리조례」는 「개인정보보호법」의 관련 규정을 인용하여 개인 및 조직의 정당한 권익을 침해하는 경우 영향을 받는 개인 및 조직에 통지해야 함을 명확히 하였습니다. 나아가 「관리조례」는 위 통지 방식 관련하여 이해관계자에게 전화, 문자 메시지, SMS, 이메일 또는 공고 등을 통해 통지할 수 있음을 명확히 하였습니다. 특히 공고 방식으로의 통지도 인정하고 있으며 향후 관련 기업의 통지 부담이 줄 것으로 예상됩니다.

3. 네트워크 데이터 처리자에 대한 요구 강화
「관리조례」 제12조에서는 데이터의 제3자 제공, 위탁처리 하는 경우의 처리자에 대한 요구사항을 명확히 하였습니다. 즉, 네트워크 데이터처리자가 개인정보 및 중요데이터를 다른 네트워크 데이터처리자에게 제공하거나 위탁할 때 네트워크 데이터 수령자와 계약을 체결하는 등 방식을 통해 처리목적, 처리방법, 처리범위 및 안전보호 의무를 약정하고 네트워크 데이터 수령자의 의무 이행을 감독해야 하며, 최소 3년간 관련 처리기록을 보관해야 합니다. 한편, 네트워크 데이터 수령자는 네트워크 데이터안전 보호 의무를 이행하고 약정한 처리목적, 처리방법 및 처리범위에 따라 개인정보 및 중요 데이터를 처리해야 합니다.

위 규정 중 개인정보의 제3자 제공, 위탁처리 관련 내용은 기본적으로 「개인정보보호법」 제20조 및 제21조의 관련 규정을 그대로 인용하였는데, 유의할 점은 「관리조례」에서는 “중요 데이터”의 제3자 제공과 위탁처리 하는 경우까지도 본 조항의 적용을 받도록 한 것입니다. 

마찬가지로 「관리조례」 제13조는 「개인정보보호법」 제22조의 규정을 인용하여 네트워크 데이터처리자가 합병, 분할, 해산, 파산 등의 사유로 (개인정보뿐만 아니라) 네트워크 데이터를 이전해야 하는 경우 네트워크 데이터 수령자는 네트워크 데이터안전 보호 의무를 계속 이행해야 함을 명확히 하였습니다. 다만, 위 「관리조례」 제12조와 달리 본 조항은 개인정보 및 중요 데이터에만 국한되는 것이 아닌 모든 네트워크 데이터에 적용됨을 유의할 필요가 있습니다.

다음 회에서는 개인정보 보호 및 중요 데이터 안전 관련하여 「관리조례」상 변경된 규정들에 대해 살펴보겠습니다.
 

1. 「개인정보보호법」의 주요 내용 및 시사점은 본 법무법인의 2021.10.29.자 뉴스레터를 참고하시기 바랍니다.
2. 가령, 2022년 및 2023년에 「데이터 역외 이전 안전평가방법」, 「개인정보 역외제공 표준계약 규정」 등 세부규정을 공표하여 개인정보와 데이터의 역외 이전(cross-border transfer)에 관한 세부 가이드라인을 발표하였습니다.
3. 网络数据安全管理条例
4. (i) 중국 역내 개인에게 제품 또는 서비스를 제공하는 것을 목적으로 하는 경우, (ii) 중국 역내 개인의 행위를 분석하고 평가하기 위한 경우.