중국의 데이터 보호 및 활용 법제 동향.pdf

제

2020-16

호(2020.12.22.)

중국의 데이터 보호 및

활용 법제 동향

김 아 린

한국지식재산연구원 보호·신지식연구실

전임연구원

Ⅰ. 검토배경

1

Ⅱ. 중국의 데이터산업 관련 동향

5

Ⅲ. 중국의 데이터 관련 법제도 현황

13

IV. 요약 및 시사점

29

요 약

작성자 ㅣ김 아 린 (한국지식재산연구원 보호·신지식연구실, 전임연구원) • 4차 산업혁명 시대에 데이터는 디지털 경제의 핵심자본으로서 신기술과의 결합을 통해 새로운 가치를 창출하고 산업의 혁신성장을 가속화하고 있음 • 이에 주요국은 데이터 경제 활성화 정책을 펼치는 한편, 데이터 주권 및 사이버 안보 확보를 위한 법제도 마련에 총력을 기울이고 있으며, 특히 중국은 국가 전략산업으로서 빅데이터 산업 육성을 위한 정책을 펼침과 동시에 데이터 관련 입법을 추진 중임 • 본 보고서에서는 중국의 데이터 산업 관련 정책 동향과 네트워크 안전법, 데이터 안전법(초안), 개인정보보호법(초안)의 주요내용을 살펴보고 시사점을 도출하고자 함 ※ 본 보고서 내용은 필자의 개인적인 견해이며, 한국지식재산연구원의 공식적인 의견이 아님을 밝힙니다.

검토배경

Ⅰ

■

4차 산업혁명 시대의 혁신성장 수단으로서 데이터의 중요성



오늘날 데이터는 디지털 시대의 핵심자본으로서 인공지능 등 4차 산업혁명 관련 신기술

과의 결합을 통해 새로운 가치를 창출하고 산업의 혁신성장을 가속화하고 있음



모바일 기술, 사물인터넷(IoT) 등 인터넷 환경의 진화로 인해 데이터가 폭발적으로 증가

하면서 전 세계적으로 데이터 관련 기술 개발이 가속화되고 관련 특허도 증가하는 추세

- 빅데이터 관련 기술*뿐만 아니라 인공지능 관련 기술**, 사물 인터넷 등 데이터를 수집·

분석하여 활용하는 기술의 개발도 활발히 이루어짐

* 데이터 수집·저장·처리 등의 플랫폼기술, 이와 연계된 분석기술 및 새로운 통찰력과 비즈니스 가치를 창 출하는 활용기술로 구성(특허청, 2020) ** 데이터 축적 환경의 조성으로 인해 데이터를 활용하는 인공지능 기술이 급격히 발전함 그림 1. 우리나라 빅데이터 관련 특허출원 그림 2. 우리나라 인공지능 관련 특허출원 * 출처: 특허청, 4차 산업혁명 관련기술 특허통계집(2020) 

코로나19 이후 디지털화가 급격히 진행되면서 데이터 축적*이 빠르게 증가하고 관련 산

업 규모**도 더욱 확대될 전망

* 전 세계 데이터량은 2018년 33ZB(제타바이트)에서 2025년 175ZB로 530% 증가할 것이며, EU 27개 국의 데이터 경제 규모는 2018년 3,010억 유로에서 8,290억 유로로 증가할 것으로 예상(유럽위원회) ** 글로벌 리서치회사 Technavio는 코로나19 이후 2020년~2024년 동안 글로벌 빅데이터 시장 규모가 연평균 13% 이상 성장하여 1,425억 달러를 기록할 것으로 전망

■

주요국은 데이터 경제 활성화 정책을 펼치는 한편, 데이터 주권 및 사이버 안보 확보를 위한

법제도 마련에 총력



미국은 2012년 ‘빅데이터 연구개발 이니셔티브(Big Data R&D Initiative)’를 발표하여

빅데이터 핵심 기술의 확보·활용 촉진을 추진하고 있으며, 정부 재정데이터의 품질 및 투

명성 제고를 위해 데이터법(Digital Accountability and Transparency Act of 2014,

Data Act of 2014)을 제정

- 2018년 3월, ‘합법적인 해외 데이터 활용의 명확화를 위한 법률(Clarifying Lawful

Overseas Use of Data Act, CLOUD Act)’을 제정하여 역외 데이터 접근*에 대한 법

률적 근거 마련

* 미국 기업이 보유하는 데이터에 대해 데이터의 저장 위치에 관계없이 미국 정부기관이 제공을 요청할 수 있도록 하는 규정 포함



유럽연합(EU)은 데이터 경제 육성 정책과 함께 ‘유럽연합 일반 개인정보 보호법(General

Data Protection Regulation, GDPR)’ 제정을 통한 강력한 개인정보 보호를 추진

- 유럽 데이터 경제 육성 정책(Building a European Data Economy)*의 일환으로 ‘유럽

데이터 전략(European strategy for data)’을 수립하여 2025년까지 데이터 접근 및 거

버넌스 관련 입법 조치, 데이터 관련 프로젝트에 20억 유로 투자 등을 추진하여 유럽 단

일 데이터 시장을 구축하고자 함

* EU 회원국 간의 자유로운 데이터 접근과 데이터 분석 역할을 제고함으로써 데이터 활용을 증대하고 새로 운 가치 창출을 위한 비즈니스 모델을 발굴하는 것이 목적

- 2018년 5월부터 시행된 GDPR*을 통해 EU 디지털 단일시장 조성과 역내 개인정보 보호

법제의 단일화를 추진

* GDPR은 데이터 처리의 적법성 확보 원칙, 기업의 관리 책임 강화, 정보제공 주체의 권리 명확화, 데이터 국외 전송 등의 내용을 포함

- 유럽 위원회(EC)는 2020년 11월 ‘데이터 거버넌스 규정(Regulation on data governance)’

을 채택하여 EU 회원국 간 데이터 공유 및 활용을 촉진할 계획



일본은 2012년 ‘액티브 데이터 전략’을 수립하여 데이터 활용 촉진을 위한 7대 추진과제*를

제시하였으며, ‘개인정보의 보호에 관한 법률’ 개정을 통해 가명정보 개념을 도입하여 데이터

활용 활성화 도모

- 2015년 개인정보 보호에 관한 법률을 개정하여 익명 가공정보 개념을 도입하였으며,

2017년 개정법에는 개인정보가 삭제된 경우 개인의 동의 없이도 상품 및 서비스 개발,

제3자 판매가 가능하도록 함



중국은 국가 전략산업 중 하나로 빅데이터를 선정하고 신산업 성장동력으로서 데이터산업

을 육성하기 위한 국가전략을 수립하는 동시에 데이터 관련 입법을 연이어 추진

- 2015년 ‘빅데이터 발전 촉진 행동요강(促进大数据发展行动纲要), 2016년 ’빅데이터산업

발전계획(2016-2020년)(大数据产业发展规划(2016－2020年))‘을 발표하고 빅데이터 수

집·관리·활용 촉진을 위한 기초 인프라 시설 및 시범사업 단지를 건설하여 데이터 산업

육성 환경 조성

- 인터넷 상의 보안 문제, 개인정보 데이터 보호 등을 규율하기 위하여 2016년에 중국 최

초의 온라인 규제 관련 법률인 ‘네트워크 안전법(网络安全法)’*을 제정

* 네트워크 보안법, 인터넷 안전(보안)법, 사이버 안전(보안)법 등으로 번역 가능

- 2020년 7월 3일 ‘데이터 안전법(数据安全法)’, 10월 21일 ‘개인정보보호법(人信息保护法)’

초안을 공개하여 현재 입법절차가 진행 중임

■

이렇듯 데이터 패권 경쟁이 치열한 가운데 중국은 데이터 산업에 대한 지속적인 지원 확대를

통해 데이터 강국으로 성장할 것으로 전망되며, 이에 중국의 데이터 산업 관련 동향을

살펴보고 중국의 데이터 관련 법제를 면밀히 검토할 필요가 있음



본 보고서에서는 중국의 데이터 산업 및 관련 정책 동향을 살펴본 후, 중국의 데이터 3법

으로 총칭할 수 있는 네트워크 안전법, 데이터 안전법(초안), 개인정보보호법(초안)의 핵심

내용을 검토하여 시사점을 도출하고자 함

중국의 데이터산업 관련 동향

중국의 데이터산업 관련 동향

Ⅱ

■

중국의 데이터산업 동향



2020년 전 세계 데이터 규모는 50.5ZB로 2025년에는 2016년 대비 10배 증가하여 163ZB를

기록할 것으로 예측(중국정보통신연구원, 2020)(그림 3)

- 2018년 기준, 중국은 전 세계 데이터 규모의 23%로 가장 큰 비중을 차지(그림 4)

- 중국 컨설팅기관 CCID Consulting*에 따르면 2030년 중국의 데이터 규모는 4YB를 초

과하여 전 세계 데이터 규모의 약 30% 비중으로 확대될 전망(그림 5)

* 중국 공업정보화부 중국전자정보산업발전연구원의 직속기관



중국 빅데이터 시장규모는 2020년 104.2억 달러로 전년 대비 16.0% 증가(IDC, 2020)(그림 6)

그림 3. 전 세계 데이터 규모(2016~2020년) 그림 4. 2018년 국가별 데이터 생산량 비중

* 출처: (左) IDC, Seagate, Statista estimates(첸잔산업연구원(前瞻产业研究院)에서 재인용) (右) IDC(첸잔산업연구원에서 재인용)

그림 5 중국 데이터 규모(2016~2030년) 그림 6. 중국 빅데이터 시장규모(2019~2024년)



중국의 빅데이터 관련 특허는 2019년 기준 9,818건으로 2014년 이후 매년 빠르게 증가함

그림 7 중국 빅데이터 관련 특허(2008~2019년) * 출처: 빅데이터산업생태연맹(大数据产业生态联盟) 외, 2020 중국 빅데이터산업 생태지도 및 중국 빅데이터 산업 백서(2020中国大数据产业生态地图暨中国大数据产业发展白皮书), 2020 ■

중국 정부의 데이터산업 발전 정책



2014년 정부업무보고*에서 리커창 총리가 처음으로 ‘빅데이터’를 언급한 이래로 매년 정

부업무보고에 ‘빅데이터’를 중요한 키워드로 언급하며 국가 전략산업으로 인식(표 1)

* 매년 3월 개최되는 전국인민대표대회에서 中 총리는 정부업무보고를 통해 주요 성과를 발표하고 한 해의 주요 정책방향 제시

- 2020년 정부업무보고에서는 ‘신형 인프라 건설(新基建)’ 정책의 일환으로 데이터센터 건

설을 확대하고, 생산요소*로서 데이터의 역할을 강화하기 위해 데이터 시장을 육성할 방

침이라고 천명

* 2020년 4월, 중국 공산당과 국무원이 발표한 ‘요소 시장화 배치 체제 구축 완비에 관한 의견(中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见)’에서 ‘데이터’를 토지, 노동력, 자본, 기술과 함께 생산요소 중 하나로 언급

표 1. 역대 정부 업무보고 중 ‘빅데이터’ 언급 내용 연도 빅데이터 관련 내용 2014년  신산업 창업·혁신 플랫폼을 설립하고, 차세대 이동통신, 집적회로, 빅데이터, 선진 제조, 신에너지, 신소재 등 분야에서 선진국을 추월하고 미래산업의 발전을 선도힐 계획 2015년  ‘인터넷 플러스’ 행동계획을 수립하여 모바일인터넷, 클라우드 컴퓨팅, 빅데이터, 사물인 터넷 등과 현대제조업의 결합을 추진하며, 전자상거래, 사물인터넷, 인터넷금융의 건전한 발전을 촉진하여 인터넷 기업의 글로벌 시장 확대를 지원할 것임 2016년  빅데이터, 클라우트컴퓨팅, 사물인터넷의 광범위한 활용을 촉진하고, 품질강국, 제조강 국, 지식재산강국 건설을 가속화 2017년  ‘인터넷 플러스’ 전략과 국가 빅데이터 전략을 심도 있게 추진하고 ‘중국제조 2025’를 전면적으로 실시하며 ‘대중창업 만중혁신’ 정책조치를 완비 2018년  ‘인터넷 플러스’ 전략을 심도 있게 추진하며, 빅데이터, 클라우드컴퓨팅, 사물인터넷의 광범위한 활용을 촉진하고, 신산업 발전과 전통산업의 재편을 추진  신산업 클러스터를 육성하고 빅데이터 발전전략을 실시하며 차세대 인공지능의 연구개발 및 활용을 강화하여 의료, 양로, 교육, 문화, 체육 등 분야에서 ‘인터넷 플러스’ 전략 추진  식품의약품 관리감독 방식을 혁신하고 인터넷, 빅데이터 등을 활용한 관리감독을 강화 2019년  신산업의 조속한 발전을 위해 빅데이터, 인공지능 등의 연구개발 및 활용을 강화하고 차 세대 정보기술, 첨단장비, 바이오, 신에너지자동차 등 신산업 클러스터를 육성하여 디지 털 경제를 키워나갈 계획 2020년  (생산)요소의 시장화 배치 및 개혁을 추진하기 위하여 기술과 데이터 시장을 육성하고 각 종 요소의 잠재력을 활성화할 것임  ‘신형 인프라 건설(新基建)’의 일환으로 차세대 정보통신 발전, 5G 응용 확대, 데이터센 터 건설, 배터리 충전 등의 시설을 확충하고 신에너지자동차 보급, 신소비 수요 유발, 산 업 업그레이드 등을 촉진할 계획 * 출처: 2014~2020년 정부업무보고 전문(全文)을 참조하여 연구자 작성 

2015년 8월 31일, 중국 국무원은 데이터 관련 최초의 국가전략인 ‘빅데이터 발전 촉진

행동요강(促进大数据发展行动纲要)’을 발표

- (목적) 동 요강은 빅데이터 산업 발전을 위한 정부 로드맵으로서 빅데이터 발전 및 활용

을 통해 ‘데이터 강국’을 건설하고자 하는 목표를 담고 있음

- (중장기 목표) 빅데이터의 개발과 활용을 통해 5~10년 내에 새로운 사회 거버넌스 모델

구축, 안정적이고 효율적인 경제 운영체제 수립, 민생 서비스 개선, ‘대중 창업, 만중 혁

신’ 촉진, 첨단기술 및 신산업 발전을 위한 생태계를 구축하는 것을 목표로 함

- (중점 과제) 정부데이터 개방 및 공유 가속화, 산업 혁신발전 촉진, 안전 보장 등을 중점

과제로 제시(표 2)

표 2. 빅데이터 발전 촉진 행동요강의 중점 과제 1. 정부데이터 개방 및 공유 가속화  정부 부문의 데이터 공유를 대대적으로 추진하고, 공공 데이터 자원의 개방 추진  국가 빅데이터 플랫폼, 데이터센터 등 빅데이터 인프라 설비 건설 추진  데이터 수집·분석 등 빅데이터 활용에 대한 정부의 관리감독 강화  데이터 통제·통합 관리를 위한 공공 안전시스템 구축 2. 산업 혁신발전 촉진  업종별·부문별 산업 빅데이터를 활용한 통합분석 플랫폼을 구축하고 제조업의 전체 산업체인에서의 통합 활용 을 촉진하여 산업 빅데이터를 활성화  인터넷 금융, 데이터 서비스, 데이터 마이닝 등 신 산업모델을 육성하고 관련 분야의 기술 R&D 체계 혁신을 통해 신산업 빅데이터 육성  기업과 대중이 개방 데이터 자원을 활용하여 혁신 및 창업활동을 하도록 지원  데이터 저장·발굴, 정보 보안, 개인정보 보호 등 분야의 핵심기술을 개발하고 안전한 빅데이터 기술 체계 형성 3. 안전 보장  빅데이터 기반의 사이버 보안 기술 연구를 강화하고 정보 보안 등급 보호, 리스크 평가 등 사이버 보안제도를 수립함으로써 빅데이터 보안 체계 완비  국가 차원의 사이버 보안 정보 공유·분석 플랫폼을 구축하고 보안 점검 및 조기경보 제도를 실시하여 사이버 공간의 보안 강화 

2016년 12월, 중국 공업정보화부는 빅데이터 발전 촉진 행동요강의 실천을 위한 추진계

획인 ‘빅데이터 산업 발전계획(2016~2020년)(大数据产业发展规划)’을 발표

- (발전목표) 2020년까지 빅데이터 관련 상품 및 서비스업의 시장규모 1조 위안(한화 약

167조 원), 연평균 성장률 약 30%를 달성하여 데이터 강국으로 도약하는 것을 목표로 함

- (중점 과제) 빅데이터 기술제품의 연구개발 강화, 산업 빅데이터 혁신 응용 심화, 산업간

탈경계 빅데이터 응용발전 추진, 빅데이터 산업주체 육성 가속화, 빅데이터 표준체계 구축,

빅데이터 산업 지원 인프라 완비, 빅데이터 안전보장능력 향상 등을 7대 중점 과제로 제시

- (중점 프로젝트) 빅데이터 관련 10대 중점 프로젝트로 빅데이터 핵심 기술·제품의 연구개발

및 산업화 프로젝트, 빅데이터 서비스능력 향상 프로젝트, 공업 빅데이터 혁신발전 프로젝

트, 업계 탈경계 빅데이터 활용 추진 프로젝트, 빅데이터 산업 집결구 건설 프로젝트 등 추진

- (법제도 마련) 개인정보 보호 및 빅데이터 관련 법률과 지방 조례의 입법을 추진하고, 데

이터 보호 및 개방, 데이터의 국경 이동에 관한 법률 및 제도를 수립할 계획

표 3. 중국의 발전단계별 데이터산업 정책 연혁 발전단계 주요내용 예열단계 (2014~2015)  2014년 3월, 정부업무보고에 ‘빅데이터’라는 단어가 최초 등장  데이터가 새로운 이슈로 부상하면서 중앙정부는 데이터 관련 지원전략의 수립 추진 시작단계 (2015~2016)  2015년 8월 31일, 국무원이 ‘빅데이터 발전 촉진 행동요강’을 발표하면서 국가차원의 빅데이터 산업 육성 청사진 제시 도약단계 (2016~2017)  ‘13차 5개년 규획’에 빅데이터 전략이 포함 * 중국 빅데이터산업 13·5 발전계획  2016년 12월, 공업정보화부는 ‘빅데이터산업 발전계획(2016~2020년)’ 발표 심화단계 (2017~현재)  2017년 10월, 공산당 19대 보고에서 빅데이터와 실물경제의 심화 융합을 제시  2020년 4월, 중국 공산당 및 국무원 정책문건에서 ‘데이터’를 생산요소로 언급 * 출처: 중국정보통신연구원(中国信息通信研究), 빅데이터백서(2019년)(大数据白皮书(2019年))를 참고하여 연구자 작성 

지방 정부 차원에서도 중앙 정부의 ‘빅데이터 발전 촉진 행동요강’ 및 ‘빅데이터산업 발전

계획’에 근거하여 각 지역의 빅데이터 산업 활성화를 위한 정책 발표

- 중국의 31개 성(省)급 정부에서 모두 빅데이터 발전 관련 계획, 전략을 수립하고 이를 근

거로 지역 내 빅데이터거래센터 설립, 데이터 활용 지원 등을 추진하고 있음(표 4)

표 4. 중국 주요 지방정부의 데이터 산업 정책 구분 정책 발표시기 베이징시 베이징시 빅데이터 및 클라우드 컴퓨팅 발전 행동계획 2016. 8. 3. 상하이시 상하이시 빅데이터 발전 실시의견 2016. 9. 15. 광둥성 광둥성 빅데이터 발전 촉진 행동계획(2016-2020년) 2016. 4. 22. 저장성 저장성 빅데이터 발전 촉진 실시계획 2016. 2. 18. 장쑤성 장쑤성 빅데이터 발전 행동계획 2016. 8. 19. 산둥성 빅데이터 발전 촉진에 관한 실시의견 2017. 5. 23. * 출처: 중국정보통신연구원, 빅데이터백서(2019년), 2019. 

전국 8개 지역에 ‘빅데이터 종합실험구’를 조성하여 빅데이터산업 집중 지원

- ‘빅데이터 발전 촉진 행동요강’에 근거하여 2015년 9월 구이저우성에 전국 최초의 빅데

이터 종합실험구를 조성하고, 이후 징진지(베이징시, 톈진시, 허베이성), 주강삼각주(광둥

성 일대 지역), 상하이시, 허난성, 충칭시, 뤄양시, 내몽고자치구를 추가로 선정함

- 빅데이터 종합실험구에 대한 빅데이터 인프라 구축, 데이터 거래 활성화, 인재 양성 등 추진

중국의 데이터 관련 법제도 현황

중국의 데이터 관련 법제도 현황

Ⅲ

1. 데이터 관련 지식재산 법제 현황

■

2017년 제정된 민법총칙(民法总则)에서 처음으로 ‘데이터’를 재산권의 관점에서 보호해야할

민사적 권리로서 접근



2020년 5월 통과된 민법전(民法典)* 제5장(민사적 권리)에서도 개인정보, 데이터가 민법

상의 재산권으로서 법적 보호를 받는다는 것을 명시

* 기존의 민법통칙, 민법총칙, 계약법, 물권법 등은 폐지되고 민법전에 편입 <민법전의 데이터 관련 조항> 제111조 자연인의 개인정보는 법적 보호를 받는다. 어떠한 조직 또는 개인이 타인의 개인정보의 취득이 필요한 경우 법에 따라 정보 안전을 확보하여야 하며 타인의 개인정보를 불법으로 수집, 사용, 가공하거나 전송해서는 안 되며, 불법으로 타인의 개인정보를 매매, 제공 또는 공개해서는 안 된다. 제127조 법률에 데이터, 인터넷 가상재산에 대한 보호 규정이 있는 경우 그 규정을 따른다. ■

지식재산 관련 개별 법제를 살펴보면 저작권법은 데이터의 편집 및 배열을 보호하고 있으며,

반부정당경쟁법에서도 데이터를 소극적으로 보호



저작권법에 따라 데이터의 편집·배열을 통해 독창성을 보유한 경우 편집저작물로 보호받을

수 있으며, 영업비밀로 관리하던 데이터에 한해서 반부정당경쟁법상 보호가 가능



그러나 특허법, 상표법 등 산업재산권법의 경우, 데이터 그 자체는 보호하지 않음

표 5. 중국 지식재산 법률의 데이터 관련 내용 법 해당 조항 저작권법 제14조 일부 저작물이나 저작물의 단편 또는 저작물로 구성되지 않은 데이터나 기타 자 료에 대해 그 내용의 선택이나 배열에 독창성이 구현된 저작물은 편집저작물로 간주하며 그 저작권은 편집자가 향유한다. 단, 저작권을 행사하는 경우 원저작물의 저작권을 침해 해서는 아니 된다. 반부정당경쟁법 제9조 ① 경영자는 이하에서 열거하는 상업비밀 침해 행위를 하여서는 아니 된다. (1) 절도, 뇌물, 사기, 협박, 전자적 침임 또는 기타 부정한 수단으로 권리인의 상업비밀 을 취득하는 행위 (2) 전항의 수단으로 취득한 권리인의 상업비밀을 누설, 사용 또는 타인에게 사용을 허락 하는 행위 (3) 비밀유지의무를 위반하거나 권리인의 상업비밀 유지와 관련된 요구를 위반하고, 해당 상업비밀을 누설, 사용 또는 타인에게 사용을 허락하는 행위 (4) 타인의 비밀유지의무 위반을 교사, 유인, 방조하거나 권리인의 상업비밀 유지와 관련 된 요구를 위반하는 행위, 권리인의 상업비밀을 취득, 누설, 사용 또는 타인에게 사용을

■

현재 중국의 데이터 관련 법제는 권리자의 재산권 보호 보다는 국가안보 및 공익의 측면에서

보안을 강화하기 위한 규정이 주를 이룸



네트워크 안전법은 사이버 공간에서의 주권과 국가 안보 등을 수호하기 위해 제정됨



현재 초안이 공개되어 입법 절차가 진행 중인 데이터 안전법(’20년 7월)과 개인정보 보호

법(’20년 10월) 또한 네트워크 환경과 데이터 보안, 개인정보 보호를 목적으로 함

표 5. 중국 데이터 관련 법령 구분 주요 법령 기본법률  네트워크 안전법  전국인민대표대회 상무위원회의 인터넷 정보 보호 강화에 관한 결정 사법해석  국민의 개인정보 침해 형사사건 처리의 법률 적용의 몇 가지 문제에 관한 해석  최고인민법원의 정보 네트워크를 이용하여 인신권익(人身权益)을 침해한 민사분쟁 사건 심리의 법률 적용의 몇 가지 문제에 관한 규정 부문규장  정보통신 및 인터넷 이용자의 개인정보 보호 규정  중국인민은행의 은행업 금융기관의 개인금융정보 보호 업무에 관한 통지 행정법규  신용업(征信业) 관리조례 종합성 법률  민법총칙  형법수정안(九)  권리침해책임법, 소비자권익보호법 등에 개인정보 보호 관련 규정 * 출처: 중국정보통신연구원, 빅데이터백서(2019년), 2019. 허락하는 행위 ② 경영자 이외의 기타 자연인, 법인, 비법인조직이 제1항의 상업비밀 침해행위를 한 경 우에도 상업비밀을 침해하는 것으로 간주한다. ③ 제3자가 상업비밀 권리자의 직원, 전 직원 또는 기타 단위나 개인이 제1항의 위법행 위를 실시한 것을 알았거나 알았어야 함에도 여전히 상업비밀을 취득, 누설, 사용하거나 타인이 사용하도록 허락하는 경우 상업비밀을 침해한 것으로 간주한다. ④ 본 법에서 칭하는 상업비밀은 공중에게 알려지지 않으며 상업적 가치가 있고 권리자 가 비밀을 지키기 위한 조치를 취한 기술정보, 경영정보 등의 상업정보를 가리킨다.

2. 네트워크 안전법

■

네트워크 안전법의 개요



(제정 배경) 사이버 범죄가 중국 사회의 중요한 문제*로 대두됨에 따라 네트워크 정보, 데

이터 등의 보안 관련 법·제도적 보완을 위하여 민법, 형법, 소비자권익보호법 등 개별법에

산재되어 있던 네트워크 보안 및 개인정보 보호 관련 규정을 통합·체계화하여 동법을 제정함

* 2019년 중국 인터넷 이용자 대상 설문조사에서 인터넷 보안 문제를 경험한 응답자 비율은 55.6%를 기 록하였으며(中国互联网络信息中心, 2019), 중국의 전체 범죄 중 인터넷 범죄는 약 1/3로 매년 30% 증 가(SEC-UN, 2018) 

(의의) 네트워크 보안에 관한 기본법으로서 네트워크 안전, 네트워크 데이터, 개인정보의

정의를 최초로 규정하고(표 6), 네트워크 운영자 등의 법적 의무와 책임을 포괄적으로 규정



(제정 목적) 네트워크 안전을 보장하고 사이버 공간의 주권과 국가 안보, 사회 공공이익을

수호하며 국민, 법인, 기타조직의 합법적 권익을 보호하고 경제사회 정보화의 건강한 발

전을 촉진하기 위함(제1조)



(구성) 총 7개장 79개 조항으로 구성되어 있으며, 네트워크 안전의 지원 및 촉진, 네트워크

운영 안전, 네트워크 정보 보안, 법률 책임 등을 규정

※ 전체적인 구성은 우리나라의 정보통신망법과 유사하며, 일부 조항은 정보통신기반 보호법, 개인정보 보호 법의 조항과 유사함 

(적용 대상 및 범위) 중국 내 네트워크 운영자, 핵심정보 인프라시설 운영자를 대상으로 하며,

중국 내 네트워크 구축, 운영, 유지 및 사용, 네트워크 보안의 감독관리 등에 적용

표 6. 네트워크 안전법상 주요 용어의 정의 용어 정의 네트워크 컴퓨터나 기타 정보단말기 및 관련 장비로 구성된 일정한 규칙 및 절차에 따라 정보 를 수집, 저장, 전송, 교환, 처리를 진행하는 시스템 네트워크 안전 필요한 조치를 통해 사이버 공격, 침입, 방해, 파괴, 불법 사용 및 예기치 못한 사고 에 대비하여 네트워크를 안정적이고 신뢰성 있게 운영될 수 있는 상태로 만들며, 네 트워크 데이터의 완전성·기밀성·이용가능성을 보장하는 능력 네트워크 운영자 네트워크의 소유자, 관리자, 네트워크서비스 제공자를 지칭 네트워크 데이터 네트워크를 통해 수집, 저장, 전송, 처리 및 생성되는 각종 전자 데이터 개인정보 전자 또는 기타 방식으로 기록되어 단독 또는 다른 정보와 결합하여 자연인 개인의 신분을 식별가능한 각종 정보를 지칭하는 것으로, 자연인의 성명, 생년월일, 주민등 록번호, 개인생체인식정보, 주소 전화번호 등을 포함

■

네트워크 운영자의 보안 의무



(안전 보호의무) 네트워크 안전등급 보호제도에 따라 침입, 공격 등으로부터 네트워크를

보호하고 네트워크 데이터의 유출, 도난, 변조 방지할 것을 규정



(이용자 실명제) 서비스 제공 시 이용자의 신원정보를 제공할 것을 요구하고, 신원정보를

제공하지 않을 경우 서비스를 제공하지 않음으로써 이용자 실명제를 실시하도록 함



(보안리스크 대응) 네트워크 보안 관련 비상 매뉴얼을 작성하고 적시에 보안 리스크에 대

처하며(제25조), 네트워크 보안 인증, 검사, 위험평가 등을 실시하도록 규정(제26조)

■

이용자의 위법행위

표 7. 네트워크 운영자의 보안 의무 관련 조항 구분 조항 안전 보호의무 제21조 국가는 네트워크 안전등급 보호제도를 시행한다. 네트워크 운영자는 네트워 크 안전등급 보호제도의 기준에 따라 이하의 안전 보호의무를 이행하여 침입, 공격 등으로부터 네트워크를 보호하고 네트워크 데이터의 유출, 도난, 변조를 방지해야 한다. 1. 내부 보안 관리제도 및 운영규정을 마련하고 보안 책임자를 두어 보안책임 이행 2. 바이러스, 네트워크 공격·침입 등 네트워크 보안 침해행위 방지를 위한 기술조치 채택 3. 네트워크 운영상태, 네트워크 보안 사건 등의 기술조치를 기록 및 모니터링하고, 네트워크 기록일지를 최소 6개월 보관 4. 데이터 분류, 중요 데이터 백업 및 암호화 5. 법률, 행정법규에서 규정하는 기타 의무 이용자 실명제 제24조 ① 네트워크 운영자는 이용자에 네트워크 접속, 도메인 등록 서비스를 제공 하고, 유선전화, 휴대전화 등의 통신망 가입 수속 또는 정보공개, 메신저 등 서비스 를 제공하며 이용자와 협의를 체결하거나 서비스 제공을 확인 할 경우 이용자가 진 실된 신원정보를 제공할 것을 요구하고, 신원정보를 제공하지 않을 경우 서비스를 제공해서는 아니 된다. 보안 리스크 대응 제25조 네트워크 운영자는 네트워크 보안 사건의 비상 매뉴얼을 제작하여 시스템 취약, 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 등의 보안 리스트에 대처한 다. 네트워크 보안에 해를 가하는 사건이 발생한 경우 즉시 비상 매뉴얼을 가동하고 상응하는 구제조치를 취하며 규정에 따하 주관부서에 보고한다.

■

핵심정보 인프라시설의 보안



(정의) 핵심정보 인프라시설은 공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서

비스, 전자정부시스템 등 중요 산업과 분야에서 훼손, 기능 상실, 데이터 유출이 발생하면

국가 안전, 국가 경제, 국민 생활, 공공이익에 중대한 손실을 줄 수 있는 시설을 의미함



(핵심정보 인프라시설 운영자의 보안 의무) 핵심정보 인프라시설 운영자는 네트워크 운영

자의 보안 의무에 더하여 보안관리 책임자 지정, 보안 교육 등을 수행할 것을 규정

- 또한, 제품 및 서비스 구매 시 국가안보에 영향을 줄 수 있는 경우에 보안심사를 거쳐야

하며, 네트워크 안정성 및 리스크에 대한 연간 1회 이상의 검사 평가를 수행하도록 규정

표 1. 이용자의 위법행위 관련 조항 구분 조항 이용자의 위법행위 제27조 어떠한 개인과 조직도 타인의 네트워크 침입 또는 타인의 네트워크의 정상 적인 기능을 방해하거나 네트워크 데이터 탈취 등 네트워크 보안에 해를 가하는 활 동을 해서는 안 된다. 네트워크 침입, 네트워크의 정상 기능 및 보호조치 방해, 네트 워크 데이터의 탈취 등 네트워크 보안에 해를 가하는 행동에 전문적으로 사용하는 프로그램, 도구를 제공해서는 안 된다. 타인이 네트워크 안전에 해를 가하는 활동에 종사함을 알면서도 기술 지원, 광고 홍보, 지불 결제 등의 도움을 제공해서는 안 된 다. 표 8. 핵심정보 인프라시설의 보안 관련 조항 구분 조항 핵심정보 인프라시설의 정의 제31조 ① 국가는 공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정부시스템 등 중요 산업과 분야에서 훼손, 기능 상실, 데이터 유출이 발생하면 국가 안전, 국가 경제, 국민 생활, 공공이익에 중대한 손실을 줄 수 있는 핵심정보 인프라에 대하여 네트워크 안전 등급 보호제도에 기초하여 중점 보호를 실시한다. 핵심정보 인프라시설의 구체적인 범위와 안전보호 방법은 국무원이 제정한다. 핵심정보 인프라시설 운영자의 보안의무 제34조 본 법 제21조의 규정 외에 핵심정보 인프라시설 운영자는 이하의 안전보호 의무를 이행하여야 한다. 1. 전문 보안관리기관과 보안관리 책임자를 지정하고 책임자와 담당자에 안전배경 심사 진행 2. 종사자 대상 네트워크 보안 교육, 기술 교육, 기능 평가 진행 3. 중요 시스템과 데이터베이스에 대한 재난대비 백업 4. 네트워크 보안사건의 비상 메뉴얼을 제작하고 정기 훈련 실시 5. 법률, 행정법규에서 규정하는 기타 의무 제35조 핵심정보 인프라시설 운영자의 네트워크 제품 또는 서비스 구매가 국가안보 에 영향을 줄 수 있는 경우 국가네트워크정보 부서와 국무원 유관부서가 공동으로 구성한 국가 안전심사에 통과하여야 한다. 제38조 핵심정보 인프라시설 시업자는 자체적으로 또는 네트워크안전 서비스기관에

■

개인정보 보호



(동의 및 고지 의무) 네트워크 제품·서비스가 이용자 정보를 수집하는 경우, 공급자는 이

용자에게 수집·사용의 목적과 방식, 범위를 고지하고 동의를 받도록 규정

- 단, 특정 개인을 식별할 수 없도록 처리하여 복원할 수 없는 경우는 예외로 함



(정보주체의 권리) 개인은 네트워크 운영자가 법을 위반하여 본인의 개인정보를 수집 및

사용하는 것을 발견하였을 경우, 개인정보 삭제를 요구할 권리가 있음을 명시



(정부기관 및 공무원의 보호 의무) 정부 네트워크 안전 감독관리 책임 부서와 직원의 직무

이행과정에서 알게 된 개인정보, 프라이버시, 영업비밀을 보호할 의무를 규정



(법적 책임) 개인정보를 훔치거나 기타 불법적인 방식으로 취득, 판매, 불법적으로 타인에

게 제공했으나 범죄에 해당하지 않는 경우에는 공안기관에서 불법소득을 몰수하고 불법소

득의 1배 이상 10배 이하의 벌금을 부과하며, 불법소득이 없을 경우 1백만 위안(한화 약

1억 7천만 원) 이하의 벌금을 부과

위탁하여 네트워크 안전성과 존재 가능한 리스크에 대해 매년 1회 이상의 검사 및 평가를 진행하고, 검사 평가 상황 및 개선조치에 대해 핵심정보 인프라시설 안전보 호 업무 책임부서에 보고하여야 한다. 표 9. 개인정보 보호 관련 조항 구분 조항 동의 및 고지 의무 제22조 ③ 네트워크 제품·서비스가 이용자 정보를 수집하는 경우, 공급자는 이용자 에게 이를 명시하고 동의를 받아야 된다. 이용자의 개인정보와 관련하여 동법 및 유 관 법률, 개인정보 보호 규정과 관련한 행정법규를 준수하여야 한다. 제41조 ① 네트워크 운영자의 개인정보 수집 및 사용은 합법·정당·필요의 원칙을 준수하고, 수집·사용의 목적과 방식 및 범위를 고지하고 수집대상자의 동의를 얻어 야 한다. ② 네트워크 운영자는 제공하는 서비스와 무관한 개인정보를 수집해서는 안 되며, 법률, 행정법규의 규정, 쌍방의 약정을 위반하여 개인정보를 수집 및 사용해서는 안 되며 법률, 행정법규의 규정 및 이용자와의 약정에 따라 저장 및 보관된 개인정보를 처리해야 한다. 제42조 ① 네트워크 운영자는 수집한 개인정보를 유출, 변조, 훼손해서는 안 되며, 수집 동의를 받지 않고 타인에게 개인정보를 제공해서는 안 된다. 그러나 특정 개인 을 식별할 수 없도록 처리하여 복원할 수 없는 경우는 제외한다.

■

데이터의 역외 이전



(역내 보관 의무) 핵심정보 인프라시설 사업자는 중국 내에서 수집하고 생성된 개인정보

및 중요 데이터를 반드시 국내에 저장하도록 규정하고 있음

- 단, 예외적으로 업무상 필요에 의해 반드시 해외에 저장하거나 해외 기관 또는 개인에게

제공해야 할 경우 국가네트워크정보기관이 국무원의 관련 부처와 함께 제정한 방법에 따

라 보안평가를 진행하여야 한다고 명시

- 2017년 7월 ‘핵심정보 인프라시설 안전보호 조례(초안)’*을 발표하고 2019년 6월에 ‘개

인정보 및 중요 데이터의 역외 반출 보안평가 방법(초안)’**이 공개되어 핵심정보 인프라

시설의 범위, 중요 데이터의 역외 이전 시 보안평가 방법 등을 규정

* 핵심정보 인프라시설의 범위를 ‘파괴, 기능 상실 또는 데이터 유출이 발생할 경우 국가경제와 국민생활, 공공의 이익에 심각한 위해를 초래하는 것’으로 명시하고, 핵심정보 인프라시설 운영자의 안전보호의무의 구체적인 기준을 제시함 ** 보안평가를 받은 역외 이전 데이터는 2년 마다 역외 이전 목적, 유형 등을 제출하고 해외 보존시기 변동 시 재평가를 받아야 하며, 외국기관이 인터넷 등을 통해 중국 국내 이용자의 개인정보를 수집하는 경우 반드시 중국 국내에 법정 대리인 또는 기관을 통해 네트워크 운영자의 의무를 이행하도록 명시함 정부기관 및 공무원의 보호의무 제45조 법에 의해 네트워크 안전 감독관리 책임이 있는 부서와 직원은 직무 이행과 정에서 알게 된 개인정보, 프라이버시와 영업비밀을 엄격히 보호해야 하며 유출, 판 매, 또는 불법으로 타인에게 제공해서는 안 된다. 법적 책임 제64조 네트워크 운영자가 본 법의 제22조 제3항, 제41조에서 제43조의 규정을 위반하여 개인정보가 법에 의해 보호받아야 되는 권리를 침해한 경우, 관련 주관부 서는 시정 명령을 내리고 사안에 따라 경고, 불법소득 몰수, 불법소득의 1배 이상 10배 이하의 벌금을 부과하는 등 하나 또는 하나 이상의 처벌을 내릴 수 있으며, 불 법소득이 없는 경우 100만 위안 이하의 벌금을 부과하고, 직접적인 책임이 있는 주 요책임자와 기타 책임제에 대해 1만 위안 이상 10만 위안 이하의 벌금을 부과한다. 사안이 심각할 경우 관련 업무 중단, 영업중단, 홈페이지 폐쇄, 관련 서비스의 영업 허가증 또는 영업자격증 취소 등의 명령을 내릴 수 있다. 본 법 제44조 규정을 위반하여 개인정보를 훔치거나 기타 불법적인 방식으로 취득, 판매, 불법적으로 타인에게 제공했으나 범죄에 해당하지 않는 경우에는 공안기관에 서 불법소득을 몰수하고 불법소득의 1배 이상 10배 이하의 벌금을 부과하며, 불법 소득이 없을 경우 1백만 위안 이하의 벌금을 부과한다. 표 10. 데이터의 역외 이전 관련 조항 구분 조항 데이터 역내 보관 의무 제37조 핵심정보 인프라시설 운영자는 중국 내에서 운영 중에 수집하고 생성된 개 인정보 및 중요 데이터를 반드시 국내에 저장하여야 한다. 업무상 필요에 의해 반드 시 해외에 저장하거나 해외 기관 또는 개인에게 제공해야 할 경우 국가네트워크정 보기관이 국무원의 관련 부서와 함께 제정한 방법에 따라 보안평가를 진행하여야 한다. 법률, 행정법규에 규정에 있을 경우 그 규정을 따른다.

3. 데이터 안전법

■

데이터 안전법의 개요



(제정 배경) 네트워크안전법의 시행(’17년 6월)이후, 중국은 2018년부터 데이터의 보안 및

활용과 관련한 법적 문제를 다룰 전문 법령의 입법을 추진하여 왔으며, 2020년 7월 3일 전

국인민대표대회 상무위원회에서 데이터안전법(초안)을 공개하고 대중 의견수렴 절차를 진행

※ 2018년과 2020년의 입법 계획에 데이터안전법과 개인정보보호법이 포함 

(제정 목적) 데이터 안전을 보장하고 데이터의 개발 및 이용을 보장하며 개인과 조직의 합

법적인 권익을 보호하고 국가 주권과 안보, 발전이익을 수호하기 위함(제1조)



(의의) 데이터의 안전한 이용과 보안을 보장하는 동시에 데이터 활용 활성화 등 데이터 산

업 발전 지원에 관한 규정을 포함



(구성) 총 7개장 51개 조항으로 구성되었으며, 데이터 안전과 발전, 데이터 안전제도, 데

이터 안전 보호의무, 행정데이터의 안전과 개방, 법률 책임 등의 내용을 담고 있음



(적용 대상 및 범위) 중국 국내(홍콩, 마카오 포함)에서 발생하는 데이터 활동에 적용(제2조)

- 국외의 조직 및 개인에 의한 데이터 활동이 중국의 국가 안전, 공공의 이익 또는 중국의

개인·조직의 합법적 권익을 침해하는 경우에도 동법에 따라 법적 책임을 물을 수 있음

표 11. 데이터안전법상 주요 용어의 정의 용어 정의 데이터 전자 또는 비전자 형식으로 기록된 정보 데이터 활동 데이터의 수집, 저장, 가공, 사용, 제공, 거래, 공개 등의 행위 데이터 안전 필요한 조치를 통해 데이터의 효과적인 보호와 합법적인 이용을 보장하고 안전한 상태에 처하도록 지속하는 능력 ■

데이터 활용 촉진 및 산업 육성



(데이터 산업 육성) 데이터 산업 육성을 위한 중앙정부 및 지방정부의 계획을 수립하고 데

이터 인프라시설을 구축하며 데이터 개발 및 이용 관련 기술의 연구개발에 관해 규정



(데이터 거래 활성화) 데이터 거래 관리제도를 수립하고 데이터 거래시장을 육성할 것을 명시

표 12. 데이터 활용 촉진 및 산업 육성 관련 조항

■

데이터 보안 제도



(데이터 등급별·유형별 보호 제도) 데이터의 중요도 및 리스크 정도에 따라 데이터를 유형

별·등급별로 분류*하여 보호할 것을 규정

* ① 경제사회 발전과정에서의 중요도 ② 데이터 손상, 유출, 불법이용 등이 국가보안, 공공이익, 개인 권익에 미치는 손해에 근거하여 등급·유형을 분류 

(데이터 안전 리스크 관리 제도) 데이터 안전과 관련한 리스크 관리를 위한 평가, 보고 등

통일적인 제도를 마련하도록 함



(데이터 안전 비상처리 제도) 데이터 안전 관련 비상상황에 대비하여 비상대책 및 대응체

제를 구축하고, 비상상황 발생시 매뉴얼에 따라 즉각 대응하고 관련 내용을 공개하도록 함



(데이터 안전 심사 제도) 데이터 안전 심사제도를 수립하여 국가 안전에 영향을 주거나 줄

가능성이 있는 데이터 활동에 대해 심사를 진행할 것을 규정

제13조 ① 국가는 빅데이터 전략을 실시하고 데이터 인프라시설의 건설을 추진하 며, 각 업계 및 분야의 데이터 혁신 및 활용을 촉진하고 지원하며, 디지털경제의 발 전을 촉진한다. ② 성급 이상의 인민정부는 디지털경제 발전계획을 제정하고, 국민경제 및 사회발전 계획에 이를 포함해야 한다. 제14조 국가는 데이터 개발·이용 기술 관련 기초연구를 강화하고, 데이터의 개발 · 이용, 데이터 보안 등 전 분야의 기술 보급과 상업 혁신을 지원하며, 데이터의 개 발·이용 및 데이터 보안 관련 제품과 산업 시스템을 육성하고 발전시킨다. 데이터 거래 활성화 제17조 국가는 데이터 거래 관리제도를 수립하고 데이터 거래 행위를 규범화하며 데이터 거래시장을 육성한다. 표 13. 데이터 보안 제도 관련 조항 구분 조항 데이터 등급별·유형별 보호제도 제19조 국가는 데이터의 경제사회 발전과정에서의 중요도와 데이터가 무단변경, 손 상, 유출 또는 불법취득, 불법이용되었을 경우 국가 안전과 공공의 이익 또는 개인, 조직의 합법적 권익에 초래하는 침해정도에 따라 데이터를 등급별·유형별로 보호한 다. 각 지역 및 부서는 국가 유관 규정에 따라 해당 지역, 부문, 업계의 중요데이터 보 호 목록을 확정하고 목록에 포함된 데이터에 대해 중점적으로 보호해야 한다. 데이터 안전 리스크 관리제도 제20조 국가는 통일적이고 효율성이 높으며 권위가 있는 데이터 안전 리스크 평가, 보고, 정보 공유, 예측경고 체제를 수립하고, 데이터 안전 리스크 정보의 취득, 분 석, 판단, 경고 업무를 강화한다. 데이터 안전 비상처리제도 제21조 국가는 데이터 안전 비상처리 체제를 수립한다. 데이터 안전 사건 발생시 유관 주관부서는 법에 따라 비상 예방대책을 실시하고 상응하는 비상처리조치를 취 하며 안전 폐해를 제거하고 위험이 확대되는 것을 방지하며 적시에 대중과 관련된 경고 정보를 사회에 발표해야 한다.

■

데이터 안전 보호의무



(데이터 안전 관리제도) 데이터 활동 수행 시 반드시 데이터 안전 관리제도를 수립하여 데

이터 안전에 관한 교육, 기술조치 등을 취해야 한다고 규정



(리스크 모니터링 및 대응 의무) 데이터 활동에 대한 리스크 모니터링을 강화하고 사건 발

생 시 이용자 고지 의무 및 정부 주관부서에 보고할 것을 명시



(중요 데이터의 보호 의무) 중요 데이터에 대해서는 안전 책임자 및 관리기구를 설치하고,

정기적인 리스크 평가를 실시하여 정부 주관부서에 보고하도록 규정



(데이터 거래 중개서비스 기관의 의무) 데이터 거래 중개서비스 기관의 중개서비스 과정에

서의 데이터 보안 의무 명시



(데이터 온라인 처리자의 자격 등록제도) 온라인상에서 데이터를 전문으로 처리하는 서비

스업 종사자는 국무원 등 유관부서가 정한 허가등록제도에 따라 자격을 취득하도록 함

데이터 안전 심사제도 제22조 국가는 데이터 안전 심사제도를 수립하고 국가안전에 영향을 주거나 영향을 줄 가능성이 있는 데이터 활동에 대해 국가안전 심사를 진행한다. 본 법에 따라 진행하는 안전심사의 결정을 최종결정으로 한다. 표 14. 데이터 안전 보호의무 관련 조항 구분 조항 데이터 안전 관리제도 제25조 ① 데이터 활동은 법률, 행정법규의 규정, 국가표준의 강제적 요구에 따라 전 과정에서 데이터 안전 관리제도를 수립하고, 데이터 안전 교육을 조직하며, 상응 하는 기술조치 및 기타 필요조치를 취함으로써 데이터 안전을 보장해야 한다. 리스크 모니터링 및 대응 의무 제27조 데이터 활동 시 리스크 모니터링을 강화해야 하며, 데이터 안전과 관련한 결함, 빈틈 등의 리스크 발견 시에는 즉시 보완조치를 취해야 한다. 데이터 안전 사 건 발생 시에는 규정에 따라 즉시 이용자에게 고지하고 주관부서에 보고해야 한다. 중요 데이터의 보호 의무 제25조 ② 중요 데이터의 처리자는 데이터 안전 책임자 및 관리기구를 설치하고 데 이터 안전 보호 책임을 이행해야 한다. 제28조 중요 데이터의 처리자는 규정에 근거하여 그 데이터 활동에 대한 정기적인 리스크 평가를 실시하고, 주관부서에 리스크 평가 보고를 제출하여야 한다. 데이터 거래 중개 서비스기관의 의무 제30조 데이터 거래 중개서비스에 종사하는 기관은 거래 중개서비스 제공 시 데이 터 제공자에게 데이터 출처에 대한 설명을 요구하고, 거래 쌍방의 신분을 심사하며 심사 및 거래 기록을 보존하여야 한다.

■

데이터의 역외 이전 및 무역 관련 제도



(데이터 수출관리 제도) 국제의무 이행 또는 국가보안 유지와 관련된 데이터는 관리제도

대상으로 취급하고 수출관리 제한을 받도록 규정

- 최근 제2차 초안이 공개되어 입법절차가 진행 중인 수출관제법(出口管制法)과 연결되는

규정으로서 향후 법안이 통과되면 구체적인 시행 방침이 정해질 전망



(보복조치) 데이터 및 관련 기술에 대한 투자, 무역 등에서 중국에 차별대우를 하는 경우

중국도 그에 상응하는 보복조치를 취할 수 있다는 조항을 마련



(국외 기관의 데이터 취득) 중국 정부의 승인 없이는 어떠한 개인이나 조직도 국외 집행기

관에 중국 국내에 저장된 데이터를 전송할 수 없음을 분명히 함

■

법적 책임



(조직 또는 개인의 안전의무 위반) 조직 또는 개인의 데이터 활동 시 안전의무를 위반한 경

우에는 시정을 명령하고, 심각한 결과를 초래한 경우 최대 100만 위안의 벌금 부과



(데이터 거래 중개기관 및 무허가 종사자) 데이터 거래 중개기관의 의무 위반에 대해서는

불법소득액의 최대 10배 또는 최대 100만 위안의 벌금 부과와 영업허가증 취소 조치를 취

할 수 있으며, 무허가 데이터 서비스 종사자에 대해서는 최대 10만 위안의 벌금 부과

표 16. 법적 책임 관련 조항 구분 조항 조직 또는 개인의 안전의무 위반 제42조 데이터 활동을 실시하는 조직, 개인이 본 법 제25조, 제27조, 제28조, 제 29조에서 규정하는 데이터 안전 보호의무를 이행하지 않거나 필요한 안전조치를 취 하지 않을 경우, 주관부서는 시정을 명령하고 경고를 주며 1만 위안 이상 10만 위 안 이하의 벌금을 부과하고, 직접적인 책임이 있는 주요책임자에게는 5천 위안 이 표 15. 데이터의 역외 이전 및 무역 관련 조항 구분 조항 데이터 수출관리 제도 제23조 국가는 국제의무 이행 및 국가 안전을 수호하는 것과 관련된 관리제도 대상 데이터는 법에 의거하여 수출관리 제도를 실시한다. 보복조치 제24조 어떠한 국가 또는 지역이 데이터와 데이터의 개발·이용 기술 등과 관련한 투자, 무역 분야에서 중국에 대한 차별적 금지 또는 제한하거나 또는 그와 유사한 조치를 취하는 경우, 중국은 실제상황에 따라 해당 국가 또는 지역을 대상으로 상응 하는 조치를 취할 수 있다. 국외 기관의 데이터 취득 제33조 국외 집행기관이 중국 국내에 저장된 데이터의 취득을 요구하는 경우, 유관 조직 및 개인은 주관기관에 보고하여야 하며 승인을 받은 후에 제공할 수 있다. 중 국이 체결했거나 참여하는 국제조약 및 협정에서 외국의 집행기관의 국내 데이터 취 득·조사와 관련된 규정이 있는 경우 해당 규정을 따른다.

4. 개인정보보호법

■

개인정보보호법의 개요



(제정 배경) 개인정보보호법(초안)은 2020년 10월 13일 전국인민대표대회 상무위원회 회

의에서 제1차 심의를 통과하였으며, 10월 21일 대중에게 공개되어 의견수렴 절차를 진행

- 2012년 ‘전국인민대표대회 상무위원회의 네트워크 정보 보호 강화에 관한 결정’에서 처

음으로 개인정보 보호를 언급하였으며, 그 후 ‘전기통신 및 인터넷 이용자 개인정보 보호

규정’ 등을 통해 개인정보 보호 시스템을 정립함



(제정 목적) 개인정보에 관한 권익을 보호하고 개인정보 처리활동을 규범화하며 개인정보

의 합리적인 이용을 촉진하기 위함(제1조)



(의의) 법안이 최종 통과되면 개인정보 보호에 관한 기본법의 역할을 수행할 것으로 기대



(구성) 총칙, 개인정보 처리 규정, 개인정보 역외 제공의 원칙, 개인정보 처리활동에 대한

개인의 권리, 개인정보 처리자의 의무, 개인정보 보호 직책의 이행 부문, 법률 책임의 8개

장 70개 조항으로 구성



(적용 대상 및 범위) 조직 및 개인의 중국 내 개인정보 처리활동에 적용되며, 이하의 경우

국외에서 중국 내 자연인의 개인정보를 처리하는 활동에도 적용함(제3조)

상 5만 위안 이하의 벌금을 부과할 수 있다. 시정하지 않거나 대량의 데이터 유출 등 심각한 결과를 초래한 경우에는 10만 위안 이상 100만 위안 이하의 벌금을 부 과하고, 직접적인 책임이 있는 주요책임자 및 기타 직접적인 책임자에게는 1만 위 안 이상 10만 위안 이하의 벌금을 부과한다. 데이터 거래 중개기관의 의무 위반 제43조 데이터 거래 중개기관이 본 법 제30조 규정의 의무를 위반하여 불법적인 출처의 데이터 거래를 초래한 경우 주관부서는 시정을 명령하고 불법소득을 몰수하 며 불법소득의 1배 이상 10배 이하의 벌금을 부과하며, 불법소득이 없는 경우 10 만 위안 이상 100만 이하의 벌금을 부과하며, 주관부서는 관련 영업허가증 또는 영 업자격증을 취소할 수 있다. 직접적인 책임이 있는 주요책임자 및 기타 책임자에 대 해서는 1만 위안 이상 10만 위안 이하의 벌금을 부과한다. 무허가 종사자 제44조 허가 또는 등록을 취득하지 않고 무단으로 본 법 제31조에서 규정하는 업 무에 종사하는 경우 주관부서는 시정을 명령하고 금지하며 불법소득을 몰수하고 불 법소득의 1배 이상 10배 이하의 벌금을 부과한다. 불법소득이 없는 경우 10만 위 안 이상 100만 위안 이하의 벌금을 부과한다. 직접적인 책임이 있는 주요책임자 및 기타 책임자는 1만 위안 이상 10만 위안 이하의 벌금을 부과한다.

■

개인정보 처리에 대한 사전 고지 및 동의 의무



(동의 의무) 개인정보 처리자가 개인정보를 처리하는 경우, 개인의 자발적이고 명확한 동의

의 의사표시를 받아야 한다고 규정



(사전 고지 의무) 개인정보의 처리를 위해 사전에 개인정보 처리자의 신분, 처리 목적 및

방식, 처리하는 개인정보의 유형, 보존기간 등을 알기 쉽게 고지하도록 함

표 17. 개인정보보호법상 주요 용어의 정의 용어 정의 개인정보 전자 또는 기타방식으로 기록되어 식별되었거나 식별가능한 자연인과 관련한 각종 정보. 익명 처리된 정보는 제외 개인정보의 처리 개인정보의 수집, 저장, 사용, 가공, 전송, 제공, 공개 등의 활동 표 18. 개인정보의 처리 관련 조항 구분 조항 동의 의무 제13조 이하의 상황 중 하나에 부합하는 경우, 개인정보 처리자는 개인정보를 처리 할 수 있다. 1. 개인의 동의를 취득한 경우 2. 일방 당사자로서 계약의 체결 또는 이행을 위해 필요한 경우 3. 법정 책무 또는 법정 의무의 이행을 위해 필요한 경우 4. 돌발적인 공공위생 사건의 대응 또는 긴급상황에서 자연인의 생명, 건강, 재산 안 전을 보호하기 위해 필요한 경우 5. 공공의 이익에 관한 뉴스보고, 여론 감독 등 행위를 위해 합리적인 범위 내에서 개인정보를 처리하는 경우 6. 법률, 행정법규에서 규정하는 기타 상황 제14조 개인정보 처리에 대한 동의는 개인이 충분히 인지하고 있다는 전제하에 자 발적이고 명확하게 의사를 표시해야 한다. 법률, 행정법규에서 개인정보의 처리는 반드시 개인의 단독 동의 또는 서면 동의가 필요하다고 규정하는 경우 그 규정에 따 른다. 개인정보의 처리 목적, 처리 방식, 처리하는 개인정보의 종류가 변경될 경우 다시 개 인의 동의를 받아야 한다. 제15조 개인정보 처리자가 처리하는 개인정보가 만 14세 이하의 미성년자의 개인정 보임을 알고 있거나 알아야 하는 경우, 보호자의 동의를 받아야 한다. 제16조 개인의 동의에 기인한 개인정보 처리활동에 대해 개인은 그 동의를 철회할 권리가 있다. 제17조 개인정보 처리자는 개인이 개인정보 처리에 동의하지 않거나 개인정보 처리 에 대한 동의를 철회하였다는 이유로 제품 또는 서비스의 제공을 거절해서는 안된 다. 개인정보 처리가 제품 또는 서비스 제공의 필수적인 경우는 예외로 한다. 사전 고지 의무 제18조 ① 개인정보 처리자는 개인정보의 처리 전에 현저한 방식과 알기 쉽고 명확 한 언어로 개인에게 이하의 사항을 고지하여야 한다.

■

민감 개인정보의 처리



(정의) 민감 개인정보란 유출되거나 불법적으로 사용되면 차별대우 또는 신체나 재산에 심

각한 침해를 초래할 수 있는 개인정보로서 인종, 민족, 종교 등의 정보를 포함



(동의 및 고지 의무) 민감 개인정보의 처리에 있어서 개인정보 처리자는 개별 동의를 받아

야 하며 해당 정보 처리의 필요성 및 영향에 대해 고지하여야 한다고 규정

■

개인정보의 역외 이전



(역외 이전 요건) 국가네트워크정보 부서의 안전평가를 통과하였거나 개인정보 보호인증을

받은 경우 등에 한해서 개인정보의 역외 전송을 제한적으로 허용



(고지 및 동의 의무) 개인정보 역외 전송 시 개인정보 전송수취인에 관한 정보 등을 고지하

여야 하며, 개별 동의를 받도록 규정

1. 개인정보 처리자의 신분 및 연락방식 2. 개인정보의 처리목적, 처리방식, 처리하는 개인정보의 유형, 보존기간 3. 개인이 본 법에서 규정하는 권리를 행사할 수 있는 방식 및 절차 4. 법률, 행정법규에서 규정하는 반드시 고지해야 하는 기타 사항 ② 개인정보 처리자는 제정한 개인정보 처리 규칙의 방식을 통하여 제1항의 사항을 고지하며, 처리 규칙은 공개하여야 하고 찾기 쉽고 보존하여야 한다. 표 19. 민감 개인정보의 처리 관련 조항 구분 조항 민감 개인정보의 정의 제29조 개인정보 처리자가 특정한 목적 및 충분한 필요성을 가지고 있으면 민감 개 인정보를 처리할 수 있다. 민감 개인정보는 유출되거나 불법적으로 사용되면 개인이 차별대우 또는 신체, 재산 의 안전에 심각한 침해를 초래할 수 있는 개인정보로서 인종, 민족, 종교, 개인의 생체특징, 의료건강, 금융계좌, 개인의 행적 등의 정보를 포함한다. 동의 및 고지 의무 제30조 개인이 동의에 기인한 민감 개인정보의 처리에 대해 개인정보 처리자는 개 인의 단독 동의를 받아야 한다. 법률, 행정법규에서 민감 개인정보에 대한 서면동의 를 규정하는 경우 그 규정을 따른다. 제31조 개인정보 처리자의 민감 개인정보 처리는 본법 제18조에서 규정하는 사항 외에도 개인에게 민감 개인정보 처리의 필요성 및 개인에 대한 영향을 고지하여야 한다.

■

정보주체의 권리



민법전(民法典)의 관련 규정과 연계하여 정보주체의 알 권리, 자기결정권, 개인정보의 열

람·수정·삭제 등을 요청할 권리를 명시함

표 20. 개인정보의 역외 이전 관련 조항 구분 조항 개인정보 역외 이전 요건 제28조 개인정보 처리자가 업무 등의 필요에 의하여 중국 국외로 개인정보를 전송 하는 경우 이하의 조건 중 하나 이상은 충족하여야 한다. 1. 본 법 제40조의 규정에 따라 국가네트워크정보 부서가 정한 안전평가를 통과한 경우 2. 국가네트워크정보 부서의 규정에 따라 전문기구로부터 개인정보 보호인증을 받 은 경우 3. 국외 수취인과 계약을 체결하여 쌍방의 권리 및 의무를 약정하고 개인정보 처리 활동이 본 법에서 규정하는 개인정보 보호기준에 도달하도록 감독하는 경우 4. 법률, 행정법규 또는 국가네트워크정보 부서가 규정하는 기타 조건 고지 및 동의 의무 제29조 개인정보 처리자는 중국 국외에 개인정보를 전송하는 경우 개인에게 수취인 의 신분, 연락방법, 처리목적, 처리방식, 개인정보의 유형, 본 법에서 규정하는 개인 이 수취인을 대상으로 하는 권리 행사방식 등을 고지하고, 개인의 단독 동의를 받아 야 한다. 역내 보관 의무 제40조 핵심정보 인프라 시설 운영자와 개인정보 처리 수량이 국가네트워크정보 부 서에서 규정한 기준에 달하는 개인정보 처리자는 중국 내에서 수집 및 생성된 개인 정보는 국내에 보관하여야 한다. 국외 전송이 필요한 경우 국가네트워크정보 부서 의 안정 평가를 통과하여야 한다. 법률, 행정법규 및 국가 네트워크정보 부서가 안 전평가를 진행하지 않아도 된다고 규정하는 경우, 그 규정에 따른다. 표 21. 정보주체의 권리 관련 조항 구분 조항 알 권리, 자기결정권, 제한 및 거부권 제44조 개인은 개인정보의 처리에 대한 알 권리, 자기결정권, 타인의 개인정보 처 리에 대한 제한 또는 거부권를 갖는다. 법률, 행정법규에서 달리 규정한 경우는 제 외한다. 열람, 복제 요청 권리 제45조 개인은 개인정보 처리자에게 개인정보를 열람, 복제를 요구할 권리가 있다. 본법 제19조 제1항에서 규정하는 상황은 예외로 한다. 개인이 개인정보의 열람, 복제를 요청하는 경우 개인정보 처리자는 즉시 제공하여 야 한다. 수정, 보완 요청 권리 제46조 개인은 개인정보가 부정확하거나 불완전함을 발견한 경우 개인정보 처리자 에게 수정 및 보완을 요청할 권리가 있다. 개인이 개인정보의 수정, 보완을 요청하는 경우 개인정보 처리자는 개인정보를 확 인하여 즉시 수정, 보완하여야 한다. 삭제 요청 권리 제47조 ① 이하의 상황 중 하나에 해당하는 경우, 개인정보 처리자는 개인정보 처

■

개인정보 처리자의 의무



(보호조치 관련 의무) 개인정보 보호를 위한 내부 관리제도와 등급별·유형별 관리제도를

수립하고, 개인정보 취급 담당자에 대한 교육, 보안 사건에 대한 비상대책 매뉴얼 제정 등

을 의무로 규정



(리스크 평가 의무) 민감 개인정보의 처리, 자동프로그램에 의한 처리 등 특수한 상황에서

리스크 평가를 진행하도록 의무화함



(개인정보 유출에 대한 구제 및 통지 의무) 개인정보 유출 시 즉시 구제조치를 취하고 정보

주체 및 정부 개인정보 보호 책임부서에 통지하도록 규정

리자의 요청에 따라 개인정보를 삭제하여야 한다. 1. 약정한 보존기간이 이미 만료되었거나 처리목적이 실현된 경우 2. 개인정보 처리자의 상품 또는 서비스 제공이 중단된 경우 3. 개인이 동의를 철회한 경우 4. 개인정보 처리자가 법률, 행정법규 또는 약정을 위반하여 개인정보를 처리한 경 우 5. 벌률, 행정법규에서 규정하는 기타 상황 ② 법률, 행정법규에서 규정하는 보존기한이 만료되지 않았거나 개인정보의 삭제가 기술적으로 불가능한 경우에 개인정보 처리자는 개인정보의 처리를 중지하여야 한 다. 설명 요청 권리 제48조 개인은 개인정보 처리제에게 개인정보 처리 규칙의 해석과 설명을 요청할 권리가 있다. 표 22. 개인정보 처리자의 의무 관련 조항 구분 조항 보호조치 관련 의무 제50조 개인정보 처리자는 개인정보의 처리목적, 처리방식, 개인정보의 유형 및 개 인에 대한 영향, 존재 가능한 안전 리스크 등에 근거하여 필요한 조치를 취함으로써 개인정보 처리할동이 법률, 행정법규의 규정에 부합하도록 하며, 허가 받지 않은 방 문, 개인정보의 유출 또는 절취, 변경, 삭제 등을 방지하여야 한다. 1. 내부 관리제도 및 취급규정 제정 2. 개인정보에 대한 등급별·유형별 관리 3. 적절한 암호화, 표식 제거 등 기술 조치 4. 개인정보 처리에 대한 취급 권한을 합리적으로 확정하고, 종사자에 대한 정기적 인 교육 및 훈련 실시 5. 개인정보 보안 사건에 대한 비상 대책 매뉴얼 제정

보 보호 책임 부서에 보고하여야 한다. 감사 의무 제53조 개인정보 처리자는 정기적으로 개인정보 처리활동, 보호조치 등이 법률, 행 정법규의 규정에 부합하는지 여부에 대해 감사를 진행하여야 한다. 개인정보 보호 책임부서는 개인정보 처리자에게 전문기관에 위탁하여 감사를 진행할 것을 요구할 권한이 있다. 리스크 평가 의무 제54조 ① 개인정보 처리자는 이하의 개인정보 처리활동 시 사전에 리스크 평가를 진행하여야 하며 처리상황은 기록하여야 한다. 1. 민감 개인정보의 처리 2. 개인정보의 이용에 대해 자동화 의사결정 진행 3. 개인정보 처리의 위탁, 제3자에게 개인정보를 제공하거나 공개하는 경우 4. 국외에 개인정보를 제공 5. 그 밖에 개인정보의 처리활동이 개인에 중대한 영향을 주는 경우 ② 리스크 평가의 내용은 이하를 포함하여야 한다. 1. 개인정보의 처리목적, 처리방법 등이 합법적이고 정당하며 필요한지 여부 2. 개인에 대한 영향 및 리스크 3. 안전보호 조치가 합법적이고 효과적인지 여부와 리스크 ③ 리스크 평가 보고 및 처리상황에 관한 기록은 최소 3년간 보관하여야 한다. 개인정보 유출에 대한 구제 및 통지 의무 제55조 ① 개인정보 처리자는 개인정보 유출이 발생한 경우 즉시 구제조치를 취하 고 개인정보 보호 책임부서 및 개인에게 통지하여야 한다. 통지는 이하의 사항을 포 함하여야 한다. 1. 개인정보 유출의 원인 2. 유출된 개인정보의 유형 및 초래할 수 있는 침해 3. 이미 채택한 구제조치 4. 개인이 침해 감소를 위해 취할 수 있는 조치 5. 개인정보 처리자의 연락처 ② 개인정보 처리자의 조치가 정보 유출의 피해를 효과적으로 방지한 경우에 개인정 보 처리자는 개인에게 통지하지 않아도 된다. 그러나 개인정보 보호 책임부서가 개 인정보 유출이 개인에게 손해를 초래할 가능성이 있다고 판단하는 경우에는 개인정 보 처리자가 개인에게 통지할 것을 요청할 권한이 있다.

요약 및 시사점