1. 개요

□ 최근 전 세계적으로 사이버보안 이슈가 국가 대응 의제로 부상하면서, △데이터의 국가 간 이동 △ 개인정보 보호 등이 주요 이슈로 등장하면서 주요국들은 

관련 입법을 정비

º EU는 2018년 회원국에 동일하게 적용되는 GDPR(General Data Protection Regulation)을 도입하여 데이터의 국가 간 이동 및 개인정보의 보호기반을 마련

- 2019년에는 EU 사이버보안법(European Cybersecurity Act)을 발표하여, 디지털 단일시장을 구축을 통해 회원국의 권리를 보호

º 미국은 2015년 사이버보안법(Cybersecurity Act of 2015)을 발표하고, 2020년에는 동맹국을 중심으로 클린 네트워크 프로그램(Clean Network Program; CNP*)을 추진

- CNP는 5G 통신망과 모바일 애플리케이션(apps), 해저 케이블, 클라우드 컴퓨터 등 미국이 신뢰할 수 없다고 판단한 중국 기업 제품을 배제하는 정책

* CNP는 데이터 프라이버시(data privacy), 안보(security), 인권(human rights)을 보장

□ 중국 역시 사이버공간 침해에 대한 예방 및 대응뿐 만 아니라 사이버 공간을 보호할 수 있는 법 제도를 정비하기 시작

º 그동안 중국은 2017년 발표된 ‘사이버보안법’을 통해 사이버 보안 관련 주요 이슈에 대응

- ‘사이버보안법’에서는 △ 사이버보안 표준체계 구축 △ 사이버공간운영 안정 △ 핵심 정보 기반시설 보호 △ 온라인 실명제 △ 개인정보 보호 △ 사이버공간의 정부 통제 

강화에 대해 규정

º 최근 중국 정부는 주요국의 디지털 통상정책에 대응하기 위해 관련 법률을 통해 데이터 국외 이전 및 역외적용에 관한 명확한 관리체계를 구축

- ‘사이버 보안법’은 중요 정보 핵심 기반시설 관련 개인정보 및 중요한 데이터의 중국 현지 서버 저장을 의무화(사이버보안법 제37조)

- ‘데이터보안법’은 중국 내에서 수집 및 생성한 중요 데이터의 역외 이전 제한을 명시(데이터보안법 제25조)

‘개인정보보호법’은 개인정보의 국외 이전 조건을 충족 시 개인정보의 이전을 허가하며 역외 개인정보를 보호(개인정보보호법 제38조)

□ 중국은 디지털 거버넌스구축에 박차를 가하고 있으며, 이를 위해 중국 정부는 사이버보안 관련 입법규제와 관련 정책을 속도감 있게 추진

º 현재 중국의 디지털 거버넌스 핵심은 데이터의 활용 및 관리이며, 이를 위해 △ 전자정부 구축을 위한 인프라 건설 △ 핵심정보 인프라 및 데이터 보호 

△ 빅데이터를 통한 통제 및 감시를 추진 중

º 또한 중국은 사이버 보안 법체계를 갖추기 위해 ‘사이버보안법’을 시작으로, 사이버보안, 데이터보안, 개인정보보호에 대한 제도적 보장이 가능한 법적 토대가 되는 

관련 법령을 제정하여 시행을 준비 중

- ‘데이터보안법’(’21.9)과 ‘개인정보보호법’(’21.11)을 통해 시장질서를 확립하고 유형별 데이터 제도를 통해 사이버 안전과 국내 디지털 산업의 발전 기반을 마련

□ 중국 정부가 속도감 있게 진행하는 디지털 분야 입법규제 움직임은 대내외 환경변화에 기인

º (대내적 요인) 정보와 데이터가 새로운 형태의 전략적 자원으로 부상함에 따라 디지털 경제 활동에 대한 체계적인 법률 및 지침의 필요성 대두

- 데이터 분야 관련 단일법률의 필요성은 꾸준히 제기되었으며, 첨단 산업발전에 따른 데이터 활용도가 높아짐에 따라 데이터 보호의 중요성도 증대

※ 중국은 정부 주도하에 각종 정책의 시행을 통해 빅데이터 산업을 육성해 오고 있으며, 2014년 발표된 “빅데이터산업 발전규획”에서 보안 역량강화를 통해 데이터 거래 및 

데이터 경제 활성화 기반을 마련

- 또한 데이터를 바탕으로 급성장한 빅테크 기업에 대한 데이터 보안 규제의 필요성 대두

※ 2021년 8월 23일 중국 정부는 최대 전자상거래업체 알리바바가 운영하는 알리 클라우드에서 과거(2019년 11월) 사용자 등록정보를 제3자 협력업체에 유출한 사례를 적발하고, 

사이버 보안법 제42조에 근거하여 시정 명령조치를 시행

º (대외적 요인) 최근 미국의 대중 첨단기술 기업에 대한 규제가 전 방위적으로 확대되면서 △데이터 국지화 △소스코드 공개 △기술 이전 강요 등 

사이버 보안 관련 이슈가 부각

- 미국은 기술 안보를 내세워 중국 첨단기업의 수출입 규제를 시행하고 있으며, 특히 디지털 무역 활성화에 장애 요소인 데이터 국지화를 반대

※ 2019년 6월 G20 정상회의에서 ‘오사카 트랙’이 제안, 일본･미국 등을 포함한 선진국은 데이터의 자유로운 이동(신뢰있는 데이터의 자유 이동)에 대해 동의

- 반면 중국은 ‘데이터 주권론’으로 자국 데이터 관련 산업의 육성과 국내 정치적 안정을 위해 ‘초국적 데이터 이동’을 반대하며 미국과 경합

※ 2013년 스노든이 미 정보당국의 전 세계 감청활동을 폭로한 것을 계기로 중국, 러시아 등 일부 국가에서 국민의 국가안보와 국익보호를 위해 데이터 국지화(Data Localization)를 시행

□ 본 고에서는 최근 중국의 사이버 보안전략을 살펴보고, 중국의 데이터 보안 관련 입법규제 동향에 대해 살펴볼 예정

º 중국은 데이터 이용 환경 개선과 데이터 보안 관련 법제화를 통해 개인정보보호 수준을 제고하고 국제규칙 제정에 적극적으로 참여하면서 자국의 이익을 수호

- 시진핑 정부 이후 새롭게 등장한 사이버 전략에 대해 살펴보고, ‘데이터 보안법’과 ‘개인정보보호법’의 주요 내용을 통해 중국의 데이터보안 관련 입법규제 동향을 분석

2. 중국의 사이버보안 전략

□ 시진핑 정부의 사이버 보안전략은 기존 사이버보안 정책을 재정비하고, 담당부처를 일원화하는 등 효율적인 정책 시행을 위한 환경 조성과 국제규범 준수를 위한 

관련 입법 및 제도를 보완하는 방향으로 변화

º 중국 사이버보안의 개념은 사실상 정보통제의 개념으로 시진핑 정부에서 새롭게 사이버 공간을 정의

□ 그동안 중국은 ‘총체적 국가 안전관(2013)’을 통해 사이버 공간을 국가 주권의 영향력 범위로 확대했으며, ‘국가 사이버공간 보안전략(2016)’을 통해 사이버 공간을 

전면적으로 관리･감독하는 정책을 시행

º ‘총체적 국가 안전관’에서는 국가 안보 영역을 비전통적인 안보 범위까지 포괄했으며, ‘국가 사이버공간 보안전략’을 통해 사이버 보안을 관리

- ‘국가 사이버공간보안전략’에서는 최초로 사이버 보안을 전면에 내세웠으며, 사이버 보안을 4대 원칙과 9대 임무를 통해 국가 차원에서 관리

※ 4대 원칙: ①사이버 공간 주권 존중 ②사이버 공간의 평화 수호 ③법에 따른 사이버 공간 관리 ④사이버 공간 보안 및 발전

※ 9대 임무: ①사이버 공간 주권 수호 ②국가 안전 보장 ③핵심정보인프라 보호 ④건전한 사이버 문화 형성 ⑤사이버 테러 및 위법 행위 엄벌 ⑥사이버 공간 관리 체계 보완 

                  ⑦사이버 보안 강화 ⑧사이버 공간 방어 능력제고 ⑨사이버 공간 국제협력 강화

□ 또한 사이버보안 전략의 효율적인 시행을 위해 최고 결정기구에서 실무부서로 정책이 전달되는 이원구조를 구축

º 최고 정책결정기구인 ‘중앙 인터넷 안전 및 정보화 영도소조’가 실무부서인 ‘국가 사이버보안 사무소’에 정부 지침을 전달하면 각 부처가 이행하는 구조

- ‘국가사이버보안 사무소’는 2011년 설립되었으며 중국 정부의 사이버 공간 관련 정책 수립 및 법제화를 추진하고 관리하는 역할을 수행

□ 동시에 2014년부터 ‘세계 인터넷 컨퍼런스’(World Internet Conference)를 개최하며 글로벌 사이버 거버넌스에 적극적으로 참여

º 2017년 3월 시진핑 주석은 사이버 공간에 대한 최초의 대외 전략인 ‘사이버공간 국제협력 전략’을 발표하여 사이버 공간의 주권을 강조하고, 향후 관리와 사이버 기술의 

표준화를 통해 사이버 거버넌스를 주도하겠다는 의지를 피력

- 중국 정부는 표준수용자에서 표준제정자가 되기 위한 ‘중국표준 2035’전략을 발표, 5G, AI분야 국제표준을 선점하기 위해 준비 중

※ 중국 정부는 2018년 3월 ‘중국제조 2025’의 2단계 종료 시점인 2035년까지 중국 내 첨단산업의 기술표준을 국제표준으로 만들겠다는 ‘중국표준 2035’ 전략의 시행을 발표

□ 한편 미국의 첨단기술 기업에 대한 대중국 기업 제재에 대해 중국정부는 직접 조치 대신 데이터 보안정책 발표 및 관련 법규의 제정으로 간접 대응

º 미국의 대중 첨단기업 제재가 사이버보안 분야로 확대되면서, 중국 기업에 대한 영업제한 조치가 수시로 발동

- 일례로 2020년 8월 미국은 자국민의 개인정보가 중국 공산당에게 유출되는 것을 우려하여, 국가안보를 근거로 중국의 메신저 ‘위챗’과 동영상 플랫폼 ‘틱톡’의 사용 금지 및 

미국 내 영업제한 조치를 발표

- 이에 중국 정부는 자국 기업 보호를 위해 대응조치(‘수출 금지･제한 기술목록’)를 발표하여, 자국 기업을 간접적으로 보호

※ 2020년 8월 12년 만에 「수출 금지･제한 기술목록(中国禁止出口限制出口技术目录)」을 조정하여 발표, 향후 기술의 해외이전 시 중국 당국의 승인을 의무화

º 또한 ‘글로벌 데이터 안보 이니셔티브(全球数据安全倡议)’통해 미국의 클린 네트워크 프로그램(Clean Network Program; CNP)에 대응하는 데이터 보안 강화 정책을 발표

º 뿐만 아니라 데이터 관련 정책 및 관련 제도를 꾸준히 제정하여 시행하거나 시행을 예고하고 있는 상황

□ 또한 중국정부는 국제규칙 제정에 참여하는 방식으로 ‘역내 포괄적 경제 동반자(RCEP)’*협정을 참고하여 사이버 보안체계 완성을 위한 데이터 보안 관련 법률을 제정

* ‘역내 포괄적 경제 동반자(Regional Comprehensive Economic Partnership, RCEP)’는 캄보디아, 라오스, 미얀마, 인도네시아, 필리핀, 태국, 싱가포르, 브루나이, 말레이시아, 베트남이 속한 

ASEAN 10개국과 한국, 중국, 일본, 호주, 뉴질랜드를 포함한 총 15개국의 역내 무역자유화를 위한 협정(2020년 11월 15일 정식 서명)

º 특히 글로벌 이슈로 부상한 데이터 국가 간 이동이 디지털 통상에 주요한 이슈로 제시되면서 국가 간 데이터 이동과 개인정보에 관한 정책을 보완

- ‘국경간 데이터 이동보장’, ‘온라인 개인정보 보호’의무 관련 조항은 RCEP 협정을 준용하여 재정비

º 빅데이터를 기반으로 빅테크 기업이 성장하면서 데이터 보안과 개인정보보호에 대한 체계적 관리감독 및 보호 필요성에 따라 ‘데이터 보안법’과 ‘개인정보보호법’을 

제정

※ 기존 사이버 보안법에서 다루었던 데이터 국지화, 개인정보보호에 관해서 데이터 보안법(제 25조)과 개인 정보보호법(제 38조)에서 구체적으로 규정

º 한편 한국의 ‘개인정보보호법’ 시행령(제 48조)에서 개인정보의 국외 이전 시 필요 요건을 명시

- 한국의 경우 개인정보의 국외 이전 시 △개인정보호 보호를 위한 안정성 확보 △개인정보 침해에 대한 조치 등 준수

※ 한국의 ‘개인정보보호법’의 주안점은 개인보호 보호 차원에서의 개인정보 범위 규범화와 익명 및 가명 정보 처리

3. 최근 중국의 데이터보안 입법 규제

□ 인터넷 보급과 정보통신의 발달로 디지털 경제에 진입하면서 데이터보안과 개인정보가 새로운 권리로 인정되기 시작하면서 주요국들은 이미 관련 사안을 보호할 수 있는 단일법률을 제정하여 시행 중

□ 중국은 2015년 ‘국가 안전법’을 통해 국가안보의 영역을 전통적 안보 영역에서 사이버 영역으로 확장한 이후 ‘사이버보안법’에서 사이버 영역의 안보를 구체화

º 2017년부터 시행된 ‘사이버보안법’에서는 사이버보안과 네트워크 운영자의 안전보호 의무를 규제

- 사이버 보안법에서는 네트워크 안전과 정보보안에 대해 규제하고 있으나, 주요 이슈로 부각되고 있는 데이터 보안 관련 다양한 유형의 데이터 보호 규정이 미흡

□ 사이버 보안 법체계를 갖추기 위해 ‘사이버보안법’(’17.6)을 시작으로, 사이버보안, 데이터보안, 개인정보보호에 대한 제도적 보장이 가능한 법제도 마련을 준비

º 중국정부는 자국 내 데이터보안 정책의 필요성과 함께 주요국과 데이터 안보 관련 갈등 해결을 위해 ‘데이터보안법’과 ‘개인정보보호법’ 제정을 추진

- 데이터의 효과적인 관리･감독을 위해 ‘데이터 보안법’을 제정하여 시행(’21.9)

- 형법을 비롯하여 소비자보호법, 민법등 법률의 개별 규정에서 보호하던 개인정보를 위해 구체적이고 통일적으로 적용하기 위해 ‘개인정보보호법’의 시행을 준비 중(’21.11)

□ 중국의 ‘데이터보안법’은 △국가안보 및 이익에 관련된 데이터 이동 금지 △중국 내에서 수집 및 생성한 중요 데이터의 역외 이전 제한을 명문화

º 주요 내용으로는 △데이터 안전 분야 및 주관기관 지정 △데이터를 활용한 공공서비스 수준 향상 △전자 정부 수립 추진 △법적 책임 등

- 초안과 비교시 최종안에서는 △교통 부문 데이터 관리 추가 △중요 데이터에 대한 보안 의무 강화 △위법 행위에 대한 과징금 대폭 인상 등이 추가되면서 데이터 관리를 강화

□ 중국의 ‘개인정보보호법’은 △ 민감정보 정의 △ 개인정보 역외적용 △ 온라인 플랫폼 기업의 특별 의무 부여 △ 법률책임 등에 관해 규정

º 초안과 비교시 최종안에는 개인정보 이전에 관한 조항을 추가하여 개인정보보호를 더욱 강화

º ‘개인정보보호법’은 2018년에 발효된 EU GDPR*을 참고하여 민간 기관과 공공 기관의 의무와 책임을 통합하고, 개인정보의 보호와 사용을 고려하여 중국에 적합한 방식을 

채택하여 제정

* EU의 일반 데이터 보호 규칙(GDPR, General Data Protection Regulation)은 EU 회원국 간 자유로운 개인정보 이동과 개인정보보호를 강화하기 위해 제정된 통합 규정(2018년 5월)

4. 시사점

□ 중국 정부는 디지털 경제 발전의 기본이 되는 법률의 시행을 통해 기업이 합리적으로 데이터를 수집 및 활용할 수 있도록 환경을 조성할 계획

º ‘데이터보안법’과 ‘개인정보보호법’의 시행으로 데이터 보안관련 입법규제가 강화될 것이며, 특히 ‘개인정보보호법’의 시행은 중국 내 빅테크 기업에도 적지 않은 영향을 

미칠 것으로 전망

- 개인정보 처리 활동 관련 강력한 통제력과 지배력을 가지고 있으므로 인터넷 플랫폼 기업들은 향후 개인정보 보호 측면에서 강력한 법적 책임이 부과

- 추가로 ‘개인정보호법’에서 온라인 플랫폼 기업에게 특별 의무를 부여함으로 빅데이터를 기반으로 서비스를 제공한 중국 빅테크 기업에 대한 제재 수위가 한층 강화될 전망

º 또한 중국 내 개인정보를 활용하여 서비스를 제공하는 다양한 업종에서 광범위한 영향력을 미칠 것으로 예상

- 금융, 전자상거래, IT서비스, 교통운수 등 업종에 미치는 영향이 비교적 클 것으로 판단

- 특히 중국의 ‘개인정보보호법’에는 EU와 한국과 달리 금융정보가 민감한 정보에 포함되어 있다는 점에 주의가 필요하며, 중국에서 개인금융 업무를 취급하는 금융기관이나 

항공사 및 여행사, 의료기관 등은 대응 요망

□ 중국 정부의 사이버 보안정책은 당분간 강력한 데이터 통제 기조를 유지할 것으로 예측됨에 따라 관련 동향에 대한 지속적인 모니터링이 필요

º 중국의 ‘데이터 보안법’과 ‘개인정보보호법’은 EU의 ‘GDPR’과 비슷한 구성으로개인정보보호에 엄격

- 중국에 진출한 한국기업이나 중국과 사업을 영위하고 있는 기업들은 반드시 중국 ‘개인정보보호법’에 대한 충분한 이해와 사전준비와 대응이 필요

- 우리기업은 해외기업들의 GDPR 대응 경험을 바탕으로 효율적인 대응안을 모색

※ 한국인터넷진흥원은 GDPR에 대한 구체적인 가이드라인 및 위반 사례를 게시하고 자문을 제공 중

※ 대중국 진출 중소영세 기업들이 공동으로 활용할 수 있는 데이터 플랫폼 구축이 필요

º 또한 이번 중국의 ‘개인정보보호법’이 소재지역과 무관하게 중국 내 자연인의 개인정보를 다루는 모든 기업에게 적용되는 법이라는 사실도 주지 필요

- 중국 내 자연인의 개인정보 처리가 중국 밖에서 진행되더라도 제품 및 서비스 제공이 목적인 경우 동 법에 적용

- 특히 개인정보의 역외 취급시 중국내 전문기관 및 대표 지정을 의무화하고 있는 점도 대비

º 다만 사이버보안법과 유사하게 ‘개인정보보호법’의 실제 법 집행은 상당한 시간이 소요될 가능성도 존재

- 중국 정부는 2017년 6월 사이버보안법을 전면 실시할 계획이었으나 당시 IT 기업의 반대로(데이터 이전 관련 내용) 일부 조항은 유보한 채 시행

□ 한편 한국과 중국을 포함한 15개 국가가 체결한 RCEP 협정에 데이터 국지화 금지, 국경 간 데이터 이동 제한 금지 등 내용이 포함되어 있어 향후 중국이 국별로 상이한 

기준을 적용할 가능성이 존재

- RCEP에서 컴퓨팅 설비의 지역화 요구 금지 조항은 의무규정이나, 국가 안보를 위해서는 예외적으로 면제가 가능하다고 명시하여 중국 ‘데이터보안법’을 위배하지 않음.

- 또한 중국은 ‘데이터보안법’에서 국경 간 데이터 이동을 제한하고 있으나 상호주의에 따른 국제협약에 근거하여 이동이 가능한 것으로 명시하고 있어 RCEP과 같은 협약에 

따른 국경 간 데이터 이동이 가능할 것으로 보임.

□ 향후 중국 정부가 디지털 경제 육성을 위해 지속적으로 데이터의 가치화, 디지털 거버넌스 구축 등을 추진할 것으로 예상되므로, 향후 한중 양국은 정상급 회의에서 

데이터 보안 관련 논의를 지속적으로 시도함으로써 협력을 모색

º 2020년 11월 한중 외교장관회담에서 한국은 중국의 <글로벌 데이터 안보 이니셔티브>를 적극적으로 연구하겠다는 의지를 피력

- 이에 정부 차원의 협의를 통해 데이터 수집 및 저장 분야에 대한 양자 간 협력안을 발굴

º 2021년 4월 한중 외교장관회담에서도 중국 측은 5G·빅데이터·녹색경제·AI·집적회로·신에너지·건강의료산업 등 분야 협력 강화를 통한 협력동반자 관계를 제안

º 한편 데이터 국지화에 따른 중국 정부의 관리·감독 및 국경 간 데이터 이동 의 심사 투명성에 대한 의구심이 제기되며 또한 자유로운 데이터 이동을 추구하는 국가들 간 마찰이 

발생할 가능성도 존재

- 미국과 일본은 데이터의 초국경 거래 활성화를 추진하고 있으나, 중국이 11월부터 시행을 준비하는 ‘개인정보보호법’은 데이터의 국지화를 명문화

- 또한 ‘개인정보보호법’에서 처음으로 명문화된 역외 적용 역시 강력한 입법규제로 작용 가능 

※ 작성자 : 대외경제정책연구원 박민숙 전문연구원(mspark@kiep.go.kr), 이효진 전문연구원(hyojinlee@kiep.go.kr)