국내외 과학기술정책에 대한 주요 정보
주요동향
주요동향
데이터 국외 이전 금지 법안, '19년 시행 예정 원문보기 1
- 국가 중국
- 생성기관 IT WORLD
- 주제분류 과학기술전략
- 원문발표일 2018-08-03
- 등록일 2018-08-06
- 권호 124
□ 중국, 자국 데이터 통제를 강화한 「네트워크안전법(中國網絡安全法)」 시행(’17.6.)
○ 사이버공간의 주권과 국가안보, 공공이익과 정보화의 건전한 발전을 취지로 마련된 중국의 사이버 보안 강화 정책인 ‘네트워크안전법’을 ’17.6.1일자로 시행
- 7개 장과 79개 항목으로 구성된 이 법안은 여러가지 사이버 보안 요구 사항이 포함
- 특히 ‘국외 이전’ 항목은 중국에서 영업하는 모든 IT 기업이 데이터를 반드시 중국 내에서 보관하고, 중국 정부가 요구하면 데이터 암호 해독 정보를 언제든 제공할 것을 명시하고 있어 주목
< 네트워크안전법(中國網絡安全法) 주요내용 >
개인 정보 보호 | •개인 정보의 수집, 사용 및 보호에 대한 요구 사항을 명확히 명시 |
중요 정보 인프라 | •“중요한 정보 인프라”에 대한 보호 요구 사항 강화 |
네트워크 운영자 | •여러가지 보안 책임을 갖는 네트워크의 소유자, 관리자 및 네트워크 서비스 공급자를 지칭 |
민감한 정보 보존 (국외 이전) | •사이버 보안법에 의해 수집되거나 생성된 개인 보안 관련된 중요 |
안전 제품 인증 | •중요한 사이버 장비 및 특수 사이버 보안 제품은 보안 인증을 받은 후에만 판매되거나 제공 가능 |
법적 책임 | •네트워크안전법을 위반하는 기업 및 단체는 최대 백 만 위안의 벌금을 부여 |
※ 자료 : KPMG
□ ‘국외이전’ 조항은 유예기간(~’18.12월)을 거쳐 ’19.1월부터 시행 예정
○ ‘국외이전’ 조항에 대해 우리나라 기업을 비롯한 외국계 기업들의 강한 반발로 ’18.12월까지 시행을 유예한 상태
- 국내 기업을 비롯해 중국에 진출한 외국 기업들의 경우, 본사가 있는 해당국에 서버를 두고 있는 경우가 대다수여서 도입 당시부터 외국계 기업의 상당한 반발
○ 이 조항이 정식으로 시행될 경우 중국 내에서 개인정보를 다루는 외국 기업들은 데이터 서버를 중국으로 이전해야 하는 상황
- 연간 매출액의 4%를 벌금으로 책정한 유럽 GDPR과 비교해 벌금 규모는 작지만 위반 시 영업정지 등의 조치가 취해지기 때문에 중국 내 영업을 위해서는 사실상 데이터 서버 이전이 필수
- 서버 이전과 관리에 막대한 비용 부담이 예상되는 탓에 국내 기업들은 세부 시행 규칙의 ‘예외 조항’에 마지막 기대
※ ’18.6월 ‘국외 이전’의 세부적인 시행 규칙을 발표할 예정이었으나 아직 공개되지 않은 상태
< 네트워크안전법(中國網絡安全法) 추진 경과 >
2014 | 2월 | •중앙 사이버 보안 및 정보화 선도 그룹이 구성 •전국 인민 대표 대회 및 중국 인민 정치 협상 회의에서 ‘사이버 보안 유지’ 항목이 정부 업무 보고서에 처음으로 작성 |
2015 | 7월 | •공개적으로 국민들의 의견을 청취하고, 전국 인민 대표 대회 상무위원회 |
6월 | •제 12차 전국 인민 대표 대회 상무위원회는 ‘네트워크 보안법(초안)'을 마련 | |
2016 | 11월 | •11.7일 제 12회 전국 인민 대표 대회 상무위원회 제 24회 총회에서 채택 |
7월 | •제 2차 심의를 위한 사이버 보안법(Draft)은 국민 의견 수렴을 위해 National People's Congress의 웹 사이트에 공개 | |
6월 | •제 12차 전국 인민 대표 대회(National People's of Congress)는 두 번째로 Cyber security Law(Draft)를 심의 | |
2017 | 6월 | •6.1일부터 시행(국외 이전 사항은 유예) |
5월 | •5.16일 세계 54개 무역단체에서 ‘국외 이전’ 사항에 대한 연기 요청 | |
2019 | 1월 | •국외 이전 사항 시행 예정 |
※ 자료 : KPMG
□ 세계 각국은 자국데이터 반출을 방지하는 ‘데이터 주권주의’ 확산…데이터 보호 법제화 검토
○ 4차 산업혁명 시대에 데이터는 국가 경쟁력을 가르는 핵심 자원으로 평가
- 데이터를 이루는 핵심 요소는 방대하게 수집되는 개인정보들이며 사용자 위치, 동선정보, 도로, 기반시설 정보 등이 많을수록, 정교할수록 서비스에 유리
- 반면 이들 정보는 자칫 오용될 경우 특정 개인이나 국가에 치명적인 정보가 될 수 있으며 산업의 주도권을 잃을 수 있는 요소
< 참고: 중국․EU․러시아의 데이터 주권주의 현황 >
국 가 | 내 용 |
중국 | •’16년 전국인민대표대회에서 채택된 네트워크안전법(中國網絡安全法), ’19.1월 본격 시행 예정 •인터넷 사업자가 중국에서 사업을 하면서 수집한 중국 국민의 개인정보와 중요 데이터를 중국 현지에 있는 서버에 저장할 것을 규정에 의무화 •사업상 이유로 데이터를 해외로 옮겨야 할 경우 사이버보안관리 당국 및 중국 국무원이 마련한 보안평가 |
EU | •’18.5월부터 일반개인정보보호법(GDPR; General Data Protection Regulation)을 시행 •GDPR 규정 위반 시 최대 2,000만 유로(한화 약 268억 원) 규모의 과징금이 부과 •EU 회원국은 물론 EU에 역내 사업장을 두거나 온라인 서비스로 재화나 서비스를 제공하는 모든 글로벌 기업들에 해당 •아울러 해외 서버로 이전한 자신의 정보가 침해될 경우 언제든 소송을 제기 가능 •구글·페이스북·애플 등 미국 IT기업들에 의한 데이터 편중현상과 국가적 프라이버시 침해를 막기 위한 방책으로 검토되기 시작한 법률 |
러시아 | •연방산업기술·수출관리국(FSTEC)에서 실질적인 정보 시스템 처리 업무를 관장하고 강력한 데이터 보호 정책을 시행 •개인정보를 러시아 외 국가에 보관하는 것 자체를 법으로 막고 있지 않지만, 러시아 국민의 개인정보는 현지에 설치된 데이터베이스(DB)로 관리하고 데이터센터의 소재도 당국에 신고할 것을 권고 |
○ 전 세계에 걸쳐 데이터 가치 극대화를 위한 공유 주의와 자국민 개인정보 보호 강화 및 데이터 주권주의가 공존하는 양상을 보이고 있는 가운데 중국을 비롯해 EU(유럽연합) 등에서는 데이터 주권주의가 확산
○ 우리나라는 EU의 GDPR에 이어 중국에서도 데이터 보호 강화 정책을 시행함에 따라 국내 기업의 부담을 낮추기 위해 준비 상황 실태 조사에 착수
- 한국인터넷진흥원(KISA)의 주도로 정부는 ’18.12월 중순경까지 중국 내 국내 기업의 개인정보보호 현황 조사를 실시하고 중국 법체계 분석에 나설 방침
○ 글로벌 동향을 주시하는 한편 국내도 데이터의 공동이용과 개인정보 보호 규정과 더불어 데이터의 국외 이전 문제에 관한 조항을 법제화하여 대응 방안 검토할 필요
