중국 데이터보안법에 대한 연구 - ‘중요데이터의 식별 가이드라인’을 중심으로 -
A Study of the Data Security Act of the People’s Republic of China - Focusing on the Guidelines for Identification of key Data -
이정표(부산대학교)
23권 4호, 173~209쪽
초록
제4차 산업혁명의 기조 아래 데이터가 새로운 핵심자원으로 부상하면서 데이터의 이용에 대한 규범적 대안들이 논의되기 시작하였고 각 국가는 이에 대한 입법 작업을 가속화하고 있다. 중국 데이터보안법의 핵심 취지는 국가핵심데이터와 중요데이터 및 중요하지 않은 일반데이터로 분류하고 국가핵심데이터는 국가 안보적인 차원에서 중대한 문제로 다루고 있고중요데이터는 식별인정제도를 구축하여 영역별로 표준화 하여 관리 및 규제하고자 하는것이다. 이에 반하여 중요하지 않은 일반데이터는 경제적 차원에서 그 유통구조에 따르도록 방임하고 있다. 중요데이터 가이드라인의 전체 취지를 살펴보면 데이터보안을 통하여 데이터 및 데이터산업을 활성화 하기 보다는 데이터 주권의 실현을 위한 규제의 목적에 중점이 있다고 볼수 있다. 향후 기업들은 본 법에 따라 보안관리시스템의 구축, 보안관리시스템 운영자와 책임자를 임명해야 하고, 데이터의 수집과 처리에 주의를 기울여야 하며 보안위험평가에 대비 하여야 할 의무가 있다. 이러한 의무는 중국 기업들 이나 중국과 교역하는 외국의 기업들 뿐만 아니라 기관 및 국가나 일반 연구자에게도 부여되는 것이라는 점에서 의미가 있다. 중요데이터를 저장하고 있는 중국 기업의 경우 보안심사 없이 이 데이터를 국외에 이전하거나송출할 수 없도록 규제하고 있기 때문이다. 데이터보안법은 이 외에도 역외적 효력을 둠으로써 대내ㆍ대외적 영향력을 갖추고 있으므로 향후 이와 관련된 사항들은 산업과 국제무역에서 비관세장벽으로서 많은 영향을 미친다는 점에서 중국과 거래하는 기업들에게는 상당한 부담이 될 수 있으므로 이에 대한준비가 필요하다.
Abstract
The risk of using big data causing an issue of security has been considered a global problem. Thus, the Data Security Act of the PRC was enacted to regulate data security issues at the national level. This Act also promotes the development of industry and a booming economy. In light of the purpose of the Data Security Act of the PRC, this Act can be distinguished from other Acts and laws. Specifically, Cyber Security Law and Personal Information Protection Act are designed to protect personal information and promote a booming economy. Because of this different purpose of each law, there are critical differences regarding which data can be regulated by a specific law and how a violated usage of data that threatens national security can be controlled. The implication of the Data Security Act of the PRC is to systemize the categorization of data by following objective criteria. If a particular datum can be assessed as critical, the Data Security Act of the PRC regulates this datum at the national level. The point of the Data Security Act of the PRC is that data need to be categorized as ‘core data’ ‘key data(critical data),’ and ‘general data(opened data).’ core data can be considered confidential information at the national security level. The rating system for protecting security can categorize key data. And opened data can be accessed freely and used for business activities. Thus companies should establish the security system by following the Data Security Act of the PRC, arrange an educational program for employees who handle key data, hire a director who supervises the rating system, and have a duty to security risk analysis. In addition, when companies collect and utilize data, they need to pay particular attention and make a backup of key data in China. The meaningful point is that foreign companies transacting with Chinese ones should follow those duties above. Furthermore, the Data Security Act of the PRC regulates that a Chinese company that backs up key data cannot transfer those backup dates to any foreign companies without security screening. As the system of urgent processing, the rating system, and security screening for data security will be firmly established, the Data Security Act of the PRC can significantly influence data usage in China and abroad. Furthermore, in light of the role of a non-tariff barrier, the application of the Data Security Act of the PRC will cause many concerns about international transactions with foreign companies. Thus, this article sheds light on how to handle data security issues when foreign companies trade with Chinese companies.
- 발행기관:
- 법학연구소
- 분류:
- 법학