Ⅰ. 서론 

인터넷 보안과 관련된 법률 차원의 첫 법규인 중국의 정보통신망보안법(网络安全法)이 2017년 6월 1일 시행을 앞두고 있는 상황에서 이와 관련된 일련의 정책, 법규들이 발표되고 있습니다. 중국의 인터넷 정보 사무처(国家互联网信息办公室)는 2017년 4월 11일 개인정보와 중요 데이터 국외송출 보안평가방법(의견수렴안) (个人信息和重要数据出境安全评估办法（征求意见稿）) (이하 “본 방법”이라고 약칭합니다)을 발표하고 2017년 5월 11일까지 의견수렴절차에 들어갔습니다. 본 방법은 정보통신망 보안법 중에서 특히 개인정보의 국외 송출에 관한 내용을 담고 있어서 각별히 주의를 할 필요가 있다고 생각됩니다. 이에 본 뉴스레터에서는 본 방법의 주요 내용을 살펴보고 이에 대한 우리나라 기업에 대한 시사점에 대해 설명하고자 합니다. 

Ⅱ. 본 방법의 구체적인 내용 

1. 정의 규정 

가. 정보통신망 운영자(网络运营者): 정보통신망의 소유자, 관리자와 정보통신망 서비스 제공자를 의미합니다. 한편 정보통신망 보안법에 의하면 정보통신망(网络)은 “컴퓨터 또는 기타 정보단말기 관련 설비로 구성된 일정한 규칙과 절차에 따라 정보에 대한 수집, 저장, 전송, 교환, 처리를 하는 시스템”으로 일정한 물적 설비를 의미하며 통상적인 서버들이 이에 해당합니다. 

나. 데이터 국외 송출(数据出境): 정보통신망 운영자가 중화인민공화국 경내에서 정보통신망 운영 중에 수집 내지 생산한 개인정보와 중요한 데이터를 국외에 있는 기구, 조직, 개인에게 제공하는 것을 의미합니다. 

다. 개인정보: 전자 또는 다른 방법으로 기록된 단독으로 또는 다른 정보와 결합하여 개인의 신분을 식별할 수 있는 자연인의 성명, 출생일자, 신분증번호, 개인의 생물학적 식별정보, 주소, 전화번호 등을 포함하나 이에 제한되지 않는 각종 정보를 지칭합니다. 

라. 중요 데이터(重要数据): 국가안전, 경제발전, 사회공공의 이익과 밀접한 관련이 있는 데이터로 구체적인 범위는 국가의 관련 표준과 중요 데이터 식별지침을 참조합니다(제 17 조). 

2. 본 방법의 취지 및 기본원리 

가. 본 방법의 취지 

개인정보와 중요데이터의 보안을 보장하고, 정보통신망 공간에서의 주권과 국가안전, 사회공공이익을 수호하고, 공민, 법인과 기타 조직의 합법적인 이익을 보호하기 위하여 중화인민공화국 국가안전법, 중화인민공화국 정보통신망 보안법 등의 법률 법규에 근거하여 본 방법을 제정합니다(제 1 조). 

나. 데이터의 국내 보존 원칙과 보안평가 제도의 실시 

(1) 정보통신망 운영자가 중화인민공화국 경내에서 해당 정보통신망의 운영 중에 수집 내지 생산한 개인정보와 중요 데이터는 반드시 국내에 보존을 하여야 합니다. 다만 업무상의 필요에 의해서 국외 제공이 필요한 경우에는 본 방법에 따른 보안 평가(安全评估)를 진행해야 합니다(제 2 조). 한편 본 방법은 개인이나 기타 조직이 중국 국내에서 수집 내지 생산한 개인정보와 중요 데이터의 국외 송출에 대한 보안평가 업무에도 준용됩니다(제 16 조). 

(2) 데이터 국외 송출 보안평가는 공정, 객관, 유효 원칙에 부합해야 하고 개인정보와 중요한 데이터 보안을 보장해야 하며, 법에 따라 정보통신망 정보가 질서를 유지하면서도 자유로운 유동성을 촉진할 수 있어야 합니다(제 3 조). 

(3) 개인정보의 국외송출은 개인정보의 주체에게 데이터 송출의 목적, 범위, 내용, 수신처와 수신처 소재국가 또는 지역을 설명하고 그 동의를 얻어야 합니다. 미성년자의 개인정보 국외송출은 그 후견인의 동의를 얻어야 합니다(제 4 조). 

3. 보안평가의 내용 

가. 데이터 국외송출 보안평가의 평가대상 

데이터 국외송출 보안평가의 중점 평가 내용은 다음과 같습니다(제 8 조). 

(1) 데이터 국외송출의 필요성 

(2) 개인정보관련 상황: 개인정보의 수량, 범위, 유형, 민감정도, 개인정보의 주체가 그 개인정보의 국외 송출에 동의했는지 여부 등 

(3) 중요 데이터 관련 상황: 중요한 데이터의 수량, 범위, 유형과 그 민감 정도 

(4) 데이터 수신처의 보안보호 조치, 능력, 수준, 소재지 국가와 지역의 정보통신망 보안 환경 등 

(5) 데이터 국외 송출과 재이전 후 해당 정보가 누설, 훼손, 임의수정, 남용될 수 있는 리스크 

(6) 데이터 국외송출과 국외송출 데이터의 누적이 국가안전, 사회공공이익, 개인의 합법적 이익에 가져올 수 있는 리스크 

(7) 기타 평가에 필요한 중요한 사항 

나. 사전 보안평가 신청 대상 

국외송출 데이터가 아래의 경우의 하나에 해당하는 경우에는 정보통신망 운영자는 업종주관부서 또는 감독관리부문에 보고하여 보안평가를 신청하여야 합니다. 

(1) 50 만 명(누적 인원 포함)이상의 개인 정보의 국외 송출 

(2) 데이터 용량이 1000GB 를 초과하는 경우 

(3) 핵시설, 화학생물, 국방군사공업, 인구건강 등 영역의 데이터, 대형 공정 활동, 해양환경과 민감한 지리 정보 등의 데이터 

(4) 핵심정보기초시설의 시스템상의 공백이나 보안 방호 등의 정보통신망 보안 관련 정보 

(5) 핵심정보기초시설 운영자가 국외로 제공하는 개인정보와 중요 데이터 

(6) 국가안전과 사회공공이익에 영향을 미칠 수 있는 사항으로 업종주관부서 또는 감독관리부서에서 평가를 해야 한다고 판단한 부분 

업종주관부서 또는 감독관리부서가 보안평가를 조직하여 실시하는 경우에는 60 영업일 내에 이를 완성해야 하고 적시에 정보통신망 운영자에게 보안평가 상황에 대한 피드백을 주고 국가 인터넷 정보 부서에 보고하여야 합니다(제 10 조). 업종주관 부서 또는 감독관리부서가 불명확한 경우에는 국가 인터넷 정보 부서가 평가를 조직합니다(제 9 조). 

다. 국외송출이 금지되는 정보 

아래 상황에 하나에 해당하는 경우에는 데이터의 국외송출이 금지됩니다(제 11 조). 

(1) 개인정보의 국외 송출이 개인정보 주체의 동의를 받지 못한 경우이거나 개인의 이익을 침해하는 경우 

(2) 데이터 국외송출이 국가정치, 경제, 과학기술, 국방 등의 안전에 리스크를 가지고 올 수 있어 국가안전, 사회공공이익에 영향을 끼칠 수 있는 경우 

(3) 국가 인터넷 정보부서, 공안부서, 안전부서 등 관련 부서에서 국외송출이 불가능 하다고 판단한 경우 

4. 주관부서와 정보통신망 운영자의 의무 

국가의 인터넷 정보부서는 데이터 국외송출 보안평가 업무를 통합하여 지원하며 업종주관부서 또는 감독관리부서가 데이터 국외송출 보안평가 업무의 조직과 진행을 지도합니다(제 5 조). 업종주관부서 또는 감독관리부서는 해당 업종의 데이터 국외송출 보안평가 업무를 책임지고 정기적으로 해당 업종의 데이터 국외 송출 보안검사를 조직 시행합니다(제 6 조). 정보통신망 운영자는 데이터의 국외 송출 전에 자체적으로 데이터 국외송출에 대한 보안평가를 실시하고 평가 결과에 대한 책임을 부담합니다. 정보통신망 운영자는 업무의 진행상황과 정보통신망의 운영상황에 따라 매년 데이터 국외송출에 대해 최소한 1회의 보안평가를 실시하고 적시에 평가 상황 을 업종주관부서 또는 감독관리부서에 보고해야 합니다. 데이터 수신처의 변경, 데이터 국외송출의 목적, 범위, 수량, 유형 등에 비교적 큰 변경사항이 있는 경우나 데이터 수신처 또는 국외 송출 데이터에 중대한 보안사건이 발생한 경우에는 다시 보안평가를 실시해야 합니다(제 12 조). 

5. 사회 일반의 감독권 부여 및 처벌 

관련 법률법규와 본 방법에 위반하여 국외로 데이터를 제공한 행위에 대해서는 어떤 개인과 조직이라도 국가 인터넷 정보부서, 공안부서 등 관련 부서에 이를 고발할 권리가 있습니다(제 13 조). 본 방법의 규정에 위반한 경우에는 관련 법률법규에 따라 처벌을 합니다(제 14 조). 한편 중국 정부와 다른 국가, 지역이 체결한 데이터 국외송출과 관련된 합의가 있는 경우에는 해당 합의에 따릅니다(제 15 조). 

Ⅲ. 우리나라 기업에 대한 시사점 

1. 향후 중국에서 국외로 송출되는 개인정보에 대해서는 모두 본 방법이 적용될 가능성이 있습니다. 특히, 본 방법은 정보통신망 운영자가 아닌 개인이나 기타 조직이 중국 국내에서 수집 내지 생산한 개인정보와 중요 데이터의 국외 송출에 대한 보안평가 업무에도 준용됨을 유의하여야 합니다.

2. 법률상 정부기관에 대하여 보안평가를 신청하는 경우를 제외하고는, 개인정보 및 데이터의 중국 외 전송에 대해서는 정보통신망 운영자가 데이터의 국외 송출 전에 자체적으로 데이터 국외송출에 대한 보안평가를 실시하고 평가 결과에 대한 책임을 부담한다는 점을 유의해야 합니다. 즉, 보안 평가는 중국 정부의 책임이기 이전에 기업의 자체 책임이므로 중국사업을 하는 우리나라 기업들은 이러한 자체적인 보안평가를 할 수 있는 시스템을 갖출 필요가 있습니다. 또한, 우리나라 모기업도 이러한 중국의 개인정보와 데이터를 전송받아 관리할 시스템을 충분히 갖추어야만 중국의 보안평가 요건을 충족시킬 수 있음을 유의해야 합니다. 

3. 구체적인 예를 들면, 우리나라 기업들의 경우 인사관리 시스템의 서버를 한국에 두고 중국 직원에 대한 개인정보를 한국 본사로 송출하는 경우가 대부분인데 앞으로는 인사노무 관리 측면에서 중국 직원들로부터 개인정보 국외송출에 관한 동의서를 받는 것이 필요해 보입니다. 그리고, 공동 마케팅 목적으로 중국의 소비자 관련 정보를 우리나라로 전송하는 경우에도 본 방법이 적용될 수 있습니다. 또한, 현재 중국에 진출한 우리나라의 IT 기업이나 스타트업 기업들이 많은데 특히 인터넷 교육사업에 종사하는 기업의 경우는 미성년자들의 개인정보의 국외 송출에 법정대리인의 동의를 받아야 하므로 개인정보 관리에 각별한 주의를 기울여야 합니다. 

4. 향후 추가적인 규정들이 지속적으로 나올 것으로 예상되지만 국가안전, 사회공공이익, 중요 데이터 등은 여전히 지나치게 추상적인 개념이고 국외송출이 금지되는 데이터인지 여부를 판단하는데 있어서 국가 인터넷 정보부서, 공안부서, 안전부서가 모두 개입하는 것이 가능합니다. 즉, 관련 개념의 불명확성, 관할부서의 복잡성 등으로 인해 예측하기 힘든 단속과 규제가 행해질 가능성을 배제할 수 없습니다. 따라서, 사전에 관련 법률법규의 추세를 파악하고 인터넷 보안 관련해서는 아주 보수적인 태도로 데이터의 수집, 이용, 국외송출 등 매 단계에서 신중을 기할 필요가 있을 것입니다. 

5. 본 방법에 의하면 중국정부의 보안평가에 있어서 중요한 평가 내용 중의 하나가 소재지 국가와 지역의 정보통신망 보안 환경이며, 또한 중국 정부와 다른 국가가 체결한 데이터 국외송출과 관련된 합의가 있는 경우에는 해당 합의에 따른다고 규정하고 있습니다. 따라서, 우리나라 정부로서는 중국 정부와 긴밀히 협력하여 우리나라의 정보통신망 보안 환경에 대하여 중국 정부로부터 인정을 받고, 궁극적으로는 우리나라와 중국 사이의 개인정보 및 데이터 전송과 관련된 정부 간 협약을 추진하여 기업들의 편의를 도모해 주는 것이 좋겠습니다.