中 인터넷 무역장벽 '네트워크안전법', 6월 1일 예정대로 시행

中 인터넷 무역장벽 '네트워크안전법', 6월 1일 예정대로 시행

2017-06-12 김윤희 중국 베이징무역관

- 국경 간 데이터 전송 관련 시행 시기는 내년 연말까지 유예 전망 - 

- 세부 시행령 등 하위 규정 연내 발표 예상, 추후 동향 주시 필요 -

자료원: 바이두

□ 네트워크 안접법(網絡安全法) 시행 상황

  ㅇ 지난 6월 1일부로 정식 시행 중이나 아직 핵심 내용에 대한 세부 시행령 미발표된 상황

    - 중국은 1994년 네트워크 보안 등급제도 등을 최근까지 운영해 왔으며, 2016년 7월 정부 네트워크 안전 및 정보화 영도소조를 승인했음. 지난 6월 1일 네트워크 안전법이 정식 시행에 들어감.

    - 세부 시행령 등 올 연말까지 세부 규정이 마련할 것으로 예상됨.

    - 특히 핵심 이슈 중 '국경 간 데이터 전송'은 관련 조항 시행시기에 대해 내년 연말까지 유예할 것으로 전망되나, 아직 중국 정부에서는 관련 공식 내용을 미 발표한 상황임.

핵심 시행 내용   ▸ (데이터 중국 내 저장) 외국 기업이 핵심정보 인프라 운영자(CII)인 경우 주요 데이터 중국 내 저장 의무화 및 해외 전송 전 검사와 평가 의무화  ▸ (개인정보) 인터넷 서비스업체의 정보수집 제한, 개인정보 유출 판매 규제 ▸ (네트워크 제품 및 서비스 제공) 국가안보 등 공공이익 관련 정보시스템에 사용되는 중요한 네트워크 제품 및 서비스는 네트워크 보안 심사 의무 - 정부 부처 및 주요 기업은 심사 미통과 네트워크 제품 및 서비스 구매 불가

 

  ㅇ 중국 네트워크 안전법 하부 규정 중 현재, 네트워크 제품 및 서비스 안전심사방법만 시행 중. 일부 시행령은 의견 수렴 중이며 아직 하부규정의 대다수가 의견수렴안조차 나오지 않은 상황

    - 지난 5월 19일 국가인터넷정보판공실에서 외자기업들을 대상으로 '개인정보 및 중요 데이터 국외이전 안전평가방법(이하 안전평가방법)'의 수정안에 대해 토론하는 세미나를 개최했음. 일부 내용이 삭제, 보완되는 것으로 알려짐.

    - 특히 안전평가 방법이 2018년 말까지 유예될 것으로 수정안이 진행 중인 것으로 알려지고는 있으나, 향후 수정안이 공식 발표되면 주요 논쟁 내용에 대한 최종 결정 사항 확인 필요

 

네트워크안전법 주요 하부 규정

규정	시기	관련조항
네트워크제품및서비스안전심사방법(시행) [网络产品和服务安全审查办法(试行)]	2017. 5. 2. 발표 2017. 6. 1. 시행	제35조
개인정보및중요데이터국외이전안전평가방법(의견수렴안) [个人信息和重要数据出境安全评估办法(征求意见稿)]	2017. 4. 11. 발표	제37조
정보안전기술국외이전안전평가지침(의견수렴안) [信息安全技术数据出境安全评估指南(征求意见稿)]	2017. 5. 27. 발표	제37조
중요데이터식별지침(重要数据识别指南)		제37조
개인정보안전규범(个人信息安全规范)		제37조
네트워크핵심설비및네트워크안전전용제품목록 (网络关键设备和网络安全专用产品目录)		제23조
핵심정보인프라시설구체범위및안전보호방법 (关键信息基础设施的具体范围和安全保护办法)		제31조

자료원: 법우법인 태평양

 

□ 중국 내 업계 및 언론 반응

 

구분		주요 반응
중국 매체		ㅇ 중국 정보보안시장 성장 예상  - 현재 2%에 불과한 IT 보안분야 투자 10%대 수준으로 성장  - '국경 간 데이터전송 조항' 시행시기 내년 말까지 유예하기로 논의 중     • 홍콩 사우스차이나모닝포스트 보도, 중국 당국은 미발표
외국 매체		ㅇ 중국 내 외국기업 피해 우려표명   - 중국 내 외국계 중소기업은 데이터 서버와 운영인력 보강 투자비용 과다 예상   - Dropbox 등 외국계 데이터 백업 서비스와 관련해 법률 위반 및 보안평가 미통과 시 중국 내 운영 불가 예상
중국 기업		ㅇ 법 시행 적극 협력 표명   - 웨이보·바이두·텐센트: 실명인증 강화 등 준법 의지 표명
외국 기업(기관)		ㅇ 법 시행관련 우려 표명   - Amcham China: IT, 금융 및 반도체 등 전 분야 영향 예상, 미국계 기업들은 경영환경 악화와 정보유출 우려로 법 개정 요구   - 미국계 로펌: 클라우드 서비스에 영향을 끼칠 것으로 예상, 외국기업들이 데이터를 아마존에서 현지 알리바바로 이전 중
한국  기업		ㅇ 중국 내 IT시스템 투자소요비용 과다 우려  - Global 경영 차원, 본사에 해외고객정보 등을 통합 저장관리 중이기 때문에 데이터 중국 내 저장 의무 규정에 난감  - 향후 중국 내 IT시스템에 수천 억 비용 추가투자 필요 우려   • 일부 조항 시행시기 유예 등 현재 외국기업 의견을 수용하는 분위기인 관계로 일단 상황 관망 중

 

□ 중국 집행 당국 의견

 

  ㅇ 집행 당국인 국가인터넷 정보센터는 지난 5월 기자간담회에서 주요 논의 내용에 대해 아래와 같은 의견을 밝힌 바 있음.

    - 인터뷰 세부 내용은 첨부 파일 확인 요망

 

구분		의견 내용
핵심정보 인프라시설  보호제도 시행 방안		• 중국 내 관련 당국은 법 시행일로부터 1년간 세부 규정 보완예정이며, 개인정보와 중요 데이터보안 평가 방법은 각 분야 의견수렴하며 수정 보완 중  • 해당 기업(기관)에 법 시행 관련 준비 및 준법 권고
개인정보 등 데이터 해외반출 제한 악영향		• 핵심정보 인프라 시설운영자에 한정된 요구사항이며, 모든 인터넷 운영자에 대한 요구 사항이 아님  • 모든 데이터가 아닌 중요 데이터와 개인정보에 국한되며, 중요 데이터는 국가 관련 건이고 기업과 개인을 겨냥한 것이 아님.  • 데이터 해외반출의 경우 안전평가를 통해 국가안전과 공공이익을 해치지 않는 경우 반출 가능하며 개인정보는 본인 동의 시 반출 가능
보안 설비제품  보안인증 및 검사제도		• 국가 네트워크 정보센터, 공신부, 공안부, 국가인증인가감독관리위원회가 1차 네트워크 핵심설비 및 보안전용 제품목록 발표 예정  • 목록 포함 장비와 제품은 관련 기관의 인증 검사 필요하며, 이미 국가 규정에 따른 보안 검사 인증 필한 경우 재검사 불요

 

□ 우리기업 FAQ(검토 의견: 한중인터넷 협력센터)

 

  ㅇ '네트워크 사업자'에 대한 적용 대상은 어떻게 되나요?

    - (중국에 있는 ICT 기업) 중국에 서버를 두고 정보통신 서비스를 제공하는 경우

    ⇒ 네트워크 사업자에 해당될 가능성이 높음.

    - (한국에 있는 ICT 기업) 한국에 서버를 두고 포털, 메신저, 동영상 등의 정보통신 서비스를 제공하지만 중국에 법인이 없거나 서버 등 네트워크가 없는 경우

    ⇒ 네트워크 사업자에 해당될 가능성은 낮으나 향후 서비스를 차단할 가능성 있음.

 

- 중국은 이미 정부의 콘텐츠 검열 요구 등을 거부한 구글, 트위터, 페이스북 등의 서비스를 국가 방화벽 차원에서 차단한 사례가 있음   · 특정사이트(greatfire.org)에서 중국에서 차단 중인 사이트 확인 가능 - 따라서 중국 정부가 네트워크 사업자로 판단해 법인 설립 등 의무 사항 준수를 요구하고, 거부 시 서비스를 차단할 가능성이 있음   · 2014년 8월, 중국 정부에서 라인과 카카오톡을 불시에 차단한 사례가 있음

 

    - (비 ICT 기업) 정보통신 서비스를 제공하지 않는 제조, 유통, 관광 분야 기업으로 중국에 법인이 존재하며 본사와 네트워크로 연결돼 업무를 수행하는 경우

    ⇒ 네트워크 사업자에 해당되지 않을 것으로 예상됨. 만약 중국 정부에서 네트워크 사업자로 판단할 경우 중국 내 서버, 네트워크 구축, 운영을 위해 상당한 부담 발생 가능

 

  ㅇ '핵심정보 인프라 시설'에 대한 적용 대상은 어떻게 되나요?

    - 일단 네트워크 사업자에 해당이 되면 핵심 정보 인프라 시설로 지정될 것으로 예상됨. 교통, 금융 분야 기업으로 중국에 법인이 존재하고, 본사와 네트워크로 연결돼 업무를 수행하는 경우도 핵심 정보 인프라 시설에 해당될 가능성이 높음.

 

□ 시사점 및 전망

 

  ㅇ 중국 내 54개 상공단체가 네트워크 안전법 시행에 대해 우려를 표명했으며, 특히 데이터 국외전송 규정 시행 연기 등을 요청한 바 있음.

    - 특히 '데이터 경내 저장' 등의 조치는 일상적인 경영활동상 매일 관련 데이터를 본국으로 전송해야 하는 국내 글로벌 기업 현지 운영에 많은 차질을 빚게 할 것으로 예상됨.

    - 또한 데이터 경내 저장을 위해서는 반드시 중국 경내에 서버가 있어야 하는데, 글로벌 기업들이 중국 내로 서버를 옮기려면 전체 글로벌 정보 시스템을 개편하는데 최소 1000억 원 이상의 과다한 비용이 발생할 뿐 아니라 글로벌 정보 시스템을 통합 관리해야 하는데 중국만 별도 관리해야 할 경우 비효욜적인 문제가 발생

    - 업계에서는 세부 시행령 등은 업종 전문가들과 추가 협의를 통해 제도 보완이 필요하다고 건의

 

  ㅇ 세부 시행령이 최종 어떻게 확정되는지 예의주시하며, 우리 기업의 대비가 필요함.

    - '개인정보 및 중요데이터 국외이전 안전평가방법'이 2018년 말까지 유예되는 방향으로 논의 중이기 때문에 우리 관련 기업들은 유예기간 동안 지속적으로 법규 동향을 모니터링하고, 실제 현업에 미치는 영향을 면밀히 파악하고 철저히 대비해야 할 것임.