일본산업뉴스요약

중국 인터넷, 좁혀오는 정부의 규제망
사이버보안법, 일본 기업들도 대상

중국 당국이 사이버보안법(인터넷안전법)의 본격 운용에 돌입했다. 인터넷 관리 강화를 위한 법규로, 철저한 개인정보 및 당국이 정한 중요 데이터 보호와 국외로의 데이터 유출에 대한 규제를 포함하고 있다. 앞으로 이에 관련된 방침도 정비해나갈 것으로 전망되고 있다. 중국에 진출하는 일본 기업들은 이에 대한 대책이 시급하다.

-- 기업에 데이터 보호 의무화, 국가 관리의 성격 짙어 --
“상하이와 광저우(広州) 등에 위치한 일본 기업들의 중국 거점이 중국 당국으로부터 현장 검사를 받는 케이스가 잇따라 발생하고 있다”. Internet Initiative의 중국법인에서 컨설팅사업을 담당하는 리(李) 부총경리는 이렇게 밝혔다. 그는 중국 당국으로부터 개인정보 관리 상황 점검 등을 요구당한 일본 기업들로부터 대응책에 대한 상담이 늘어나고 있다고 한다.

-- 폭넓은 적용 범위 --
중국에서는 개인정보 보호 관련 규정이 법률과 지역∙업종별 규범 등으로 분산되어 있었지만, 2017년 6월에 사이버보안법이 시행되었다. 인터넷 공간 관리를 강화하기 위한 기본법인 사이버보안법은 기업에 인터넷 상의 데이터 보호 및 보안 대책 전반의 강화를 요구하고 있다.

예를 들어 기업이 개인의 데이터를 이용하는 경우에는 본인의 동의를 얻어야 하는 것과 사이버 공격에 대한 대책 등을 의무화하고, 이를 위반할 경우 벌금 및 영업 정지 처분이 내려진다. 사이버보안법 위반의 처분 건수 등의 총계 데이터는 없지만 인터넷 규제가 강화되고 있는 것은 틀림 없다.

중국의 규제에 대해 잘 알고 있는 오치아이(落合) 변호사는 “과거 2년간 개인정보 침해로 1만 1천명 이상이 체포되는 등, 데이터의 부정 사용 적발에 중국 당국이 주력하고 있다는 것을 알 수 있다”라고 말한다.

올 5월에 EU가 일반데이터보호규칙(GDPPR)을 시행한 것처럼 개인 데이터 보호 강화는 세계적인 추세이다. 하지만 중국 사이버보안법은 이와 구별되는 부분이 많다. 운용 목적으로 ‘중국의 안전과 공공 이익 보호’를 전면에 내세워 금지 정보 확산 방지를 의무화하는 등 독특한 법규도 있다.

적용 범위가 넓은 것도 특징이다. 사이버보안법은 적용 대상을 ‘네트워크 운영자’라고 규정하고 있지만, 실제로는 컴퓨터와 정보시스템을 소유∙관리할 경우 대상에 포함되기 때문에 “중국에 진출하는 대부분의 일본 기업들은 업종을 불문하고 대상이 된다”(하야가와(早川) 변호사).

올 1월에는 미국의 호텔 기업 메리어트 인터내셔널이 앙케이트 표기에서 티벳 등을 국가로 취급한 점이 사이버보안법에 저촉되었다고 조사 받아 공식적으로 사과해야만 했다. 사이버보안법은 추상적인 표현도 많아 운용에는 중국 당국의 재량 여지도 크다고 한다. 담당 부서도 국가인터넷 정보판공실(國家互聯網辦公) 외에도 통신 및 공안 당국 등 다양하다.

-- 데이터 포위망 --
많은 전문가들은 “일본 기업에게 최대 과제는 지역 외 이전(移轉) 규제에 대한 대응”이라고 한 목소리로 말한다. 사이버보안법은 네트워크 운영자 중에서도 금융기관과 에너지 관련 등 ‘중요 정보 인프라 운영자’라고 규정된 기업에는 개인정보와 중요 데이터를 국외로 이전하는 것을 규제한다.

이전하는 경우에는 그 필요성 등을 사전에 검토하는 ‘안전 평가’ 절차를 요구. 데이터의 종류 및 규모에 따라서는 당국에게 평가를 위임해야 한다. 또한 데이터를 중국 내에서 보존해야 하는 의무도 부과하고 있다.

중요 데이터에는 국가와 공공 이익에 손해를 줄 수 있는 정보 등이 있고, 이 밖에도 검토 중인 가이드라인 안(案)에서는 금융, 인프라, 의료 및 건강에 관한 데이터 등 27종류가 제시되어 있다. 국내에서만 데이터를 저장하고 처리해야 한다는 데이터 로컬라이제이션(Data Localization)을 전면에 내세운 형태이다.

올해 들어 애플이 중국용 클라우드서비스의 데이터 보존 지역을 중국 국내로 전환한 것도 이러한 규범에 대응하기 위한 것이라고 한다. 또한 가이드라인 안에서는 본인에게 이전에 대한 동의를 얻지 않은 개인 데이터 등의 유출 자체를 금지하는 것도 포함되어 있다. 국외 이전 규제를 네트워크 운영자로 확대할 가능성도 시사하고 있어, 실현된다면 기업 부담은 더욱 무거워질 것이다.

오치아이 변호사는 국내 보존 의무 등으로 인해 “해외 기업은 데이터의 내용이 중국 당국에게 노출될 수 있다는 위험성을 고려해야 할 필요가 있다”라고 지적한다. 현시점에서 사이버보안법에 대한 일본 기업의 중국 거점들의 자세는 “대체로 지켜보고 있는 분위기”(리 부총경리)라고 한다. 하지만 중국 당국의 감시가 강화되고 있고, 가이드라인 정비도 추진될 것으로 예상되고 있어 이에 대한 대응이 시급하다.

중국에 살고 있는 노무라(野村) 변호사는 “일반적으로 중국의 경우 법률에 아무런 대응을 하지 않았다는 이유로 황당하게 조사 받는 케이스도 많다”라고 설명한다. 시장 규모가 큰 중국이니만큼 일본 기업들은 많은 거래처와 합병 회사를 확보하고 있다. 합병 상대 등이 사이버보안법을 위반할 경우 공급 체인 등에도 영향을 줄 수 있다.

컨설팅업체 클라라온라인(도쿄)의 이에모토(家本) 사장은 “우선은 중국 거점 및 거래처의 데이터 관리 상황을 확인하는 작업에 착수해야 한다”라고 조언한다.

데이터 보호법 제도, 국가 별로 대응해야
정부가 비교 정보 제공

중국의 개인정보 보호를 위한 규범은 EU의 일반데이터보호규칙(GDPR) 등 앞서 시행된 각국의 규정 및 시스템을 “잘 도입해 만든 것”(오치아이 변호사)이라는 의견이 많다.

하지만 형태는 비슷해도 데이터 보호의 목적은 크게 다르다. GDPR과 미국 캘리포니아 주의 새로운 주법(州法)은 개인의 사생활 및 권리 보호에 중점을 두고 있는 반면, 중국은 데이터 로컬라이제이션을 목표로 하는 사이버보안법을 시작으로 국가 관리 성격이 강하다. 인기 게임의 인터넷 전송이 당국의 지시로 발매된 지 얼마 지나지 않아 중지되는 사태도 발생했다. 중국뿐만 아니라 러시아와 베트남도 데이터 로컬라이제이션에 중점을 두고 있다고 한다.

같은 규제 대응에도 국가 별 목적 및 법의 취지를 이해해야 할 필요가 있어, 해외 사업을 전개하는 일본 기업에겐 각국∙지역의 규범을 파악해 대책을 마련해나가야 하는 부담은 계속 늘어나고 있다.

내각부의 개인정보보호위원회는 7월, 세계 각국의 개인정보 보호에 대한 규범의 동향을 정리한 위탁 조사 내용을 공표했다. 법령 및 규정, 분쟁 처리 시스템 등을 한눈에 알 수 있다. 정보 제공 등 정부의 폭넓은 지원도 일본 기업들이 대응책을 마련하는데 꼭 필요하다.

▶ 중국 사이버보안법 개요

 -- 끝 --