중국 시장에 진출한 기업이라면 △네트워크안전법 △개인정보보호법 △데이터안전법 일명, ‘중국 데이터 3법’을 피할 수 없는데요. 중국 데이터 3법은 기업의 기술 보안과 데이터 처리 방식에 있어 매우 엄격한 기준을 제시하고 있습니다. 이 법은 예외 없이 적용 되기 때문에 한국 기업도 중국 데이터 3법에 대한 철저한 대응이 필요합니다.
기업이 준수해야 하는 중국 데이터 법률
앞서 설명한 중국 데이터 3법에 따라 기업은 시스템 보안을 위한 방화벽(보안 규칙을 기반으로 네트워크 트래픽을 모니터링하고 제어하는 보안 시스템), 웹방화벽(WAF, Web Application Firewall, 웹 애플리케이션 보안에 특화된 개발 솔루션), IPS(Intrusion Prevention System, 침입 방지 시스템), DDoS(Distributed Denial of Service, 해커가 여러 PC를 활용해서 공격하는 방법) 방어 시스템 등을 도입해야 합니다. 또한, 중요 정보의 유출 방지를 위해 까다로운 요구사항을 반영하고, 보안 세부 설정과 관리 업무를 철저히 수행해야 합니다. 많은 기업이 2022년 9월부터 시행된 데이터 역외 이전 안전평가방법(데이터안전법)으로 인해 중국 데이터 3법에 대응하는 데 있어 어려움을 겪고 있습니다.
데이터 역외 이전 안전평가방법의 정의와 기준
데이터 역외 이전 안전평가방법은 중국 내 데이터의 역외 이전(onward transfer, EU경계를 넘어 제3국이나 국제기구로 개인정보가 이전되는 경우 또는 제3국이나 국제기구에서 다시 다른 제3국이나 국제기구로 재이전되는 경우) 활동을 정의하고, 개인정보를 보호하기 위해 제정됐습니다. 데이터처리자(기업)는 데이터를 역외로 제공하는 과정에서 아래의 경우 중 하나라도 해당될 경우, 국가네트워크부서에 데이터 역외 이전에 대한 안전 평가를 신고해야 합니다.
데이터 역외 이전에 대한 안전평가 신고 기준
1) 데이터처리자가 역외로 중요한 데이터를 제공할 경우
2) 핵심정보기초시설 운영자와 100만 명 이상의 개인정보를 처리하는 자가 역외로 개인정보를 제공할 경우
3) 전년도 1월 1일부터 역외로 제공한 개인정보 누계가 10만 건 이상인 경우, 또는 데이터 처리자가 1만 명의 민감한 개인정보(개인의 사상, 정치적 견해, 건강, 신체정보 등 사생활 침해의 우려가 있는 정보)를 역외에 제공하는 경우
4) 국가네트워크부서에서 규정한 기타 데이터를 역외 이전 하는 경우
위의 신고 기준을 쉽게 설명해 보겠습니다.
1. 중국 역내에서 수집 또는 생산된 데이터를 중국 역외 애플리케이션으로 전송 또는 저장할 때
2. 중국 역내에서 수집 또는 생산된 데이터를 중국 역외에서 조회, 검색, 다운로드할 때
두 가지 경우 모두 해당 법률이 적용되는 것입니다.
신고 기준뿐만 아니라 평가절차 또한 까다롭습니다. 사전평가단계, 안전평가신고단계, 평가실시단계를 거쳐 평가 결과에 따라 재평가를 진행하게 되며, 요구에 부합하지 않는 경우 역외 이전 활동이 종료 될 수 있습니다.
LG CNS의 데이터 역외 이전 컨설팅 서비스
기업은 중국 데이터 3법을 준수하지 않으면 법적 제재를 받게 됩니다. 이는 금전적 손해뿐만 아니라 비즈니스 운영에도 심각한 차질을 줄 수 있어 유의해야 하는데요. 특히 데이터의 국경 간 이전에 대한 규제를 위반할 경우, 기업의 신뢰도와 글로벌 비즈니스 전략에도 부정적인 영향을 줄 수 있습니다.
때문에 중국 시장에서 성공적으로 비즈니스를 운영 하기 위해서는 중국 데이터 3법에 대한 철저한 이해와 준비가 필요합니다. LG CNS는 <중국 데이터 역외 이전 컨설팅 서비스>를 통해 복잡한 평가 절차를 체계적으로 안내하고, 기업의 데이터 관리 전략을 법적 요구사항에 맞게 조정하는 서비스를 제공하고 있습니다.
기업이 중국 시장에 진출할 때 직면하게 될 도전과제에는 어떤 것들이 있을까요? LG CNS <중국 데이터 역외 이전 컨설팅 서비스>의 실제 산업별 사례를 통해 어떤 도움을 제공받을 수 있는지 구체적으로 알려드리겠습니다.
• A 게임 회사
게임 분야는 중국 데이터 3법의 엄격한 데이터 처리 및 보호 규정이 적용됩니다. 중국 시장에 인기 모바일 게임을 출시하고자 한 A 기업은 게임 사용자 데이터 관리와 역외 이전에 어려움을 겪고 있었습니다.
• B 항공사
B 항공사는 승객 정보, 거래 정보의 역외 이전과 관련된 데이터 보안 규제로, 중국 내 노선 확장에 어려움을 겪고 있었습니다.
• C 유통회사
C 유통그룹은 중국에 여러 소매점을 개설하고자 했지만, 소비자 데이터 수집과 역외 이전을 둘러싼 법적 요구사항에 대한 이해가 부족한 상태였습니다.
• D 건설 그룹
D 건설 그룹은 중국에 대규모 건설 프로젝트를 계획하고 있었는데요. 프로젝트와 관련된 기술, 재무 데이터 처리 및 역외 이전이 중국 데이터 3법 하에서 엄격히 관리돼야 했습니다.
• E 화장품 회사
중국에 화장품 브랜드 론칭을 준비하던 E 화장품 회사는 안전한 고객 데이터 처리와 역외 이전에 대한 이해가 부족했습니다.
• F 물류회사
중국 내외로 화물을 운송하는 F 물류회사는 고객과 화물 정보의 안전한 처리 및 역외 이전 문제를 해결해야 했는데요. 중국 데이터 3법의 복잡한 요구사항에 부합하는 시스템을 마련하지 못해 업무 확장에 어려움을 겪었고, 데이터 보호 프로토콜을 개선이 필요했습니다.
• G 엔터테인먼트
방송과 엔터테인먼트, 스포츠 산업은 시청자와 관람객, 참가자의 데이터 관리가 무엇보다 중요한 데요. 중국 시장에서 K-POP 콘서트 개최를 준비하던 G 엔터테인먼트는 중국 데이터 3법의 규제로 인해 관객 데이터의 수집 및 처리, 티켓 판매 정보의 역외 이전 등에 어려움을 겪고 있었습니다.
• H 방송국
H 방송국은 한국 드라마와 예능 프로그램을 중국에 수출하고 있었는데요. 중국의 까다로운 데이터 법률로 인해 시청자 데이터 수집 및 분석, 콘텐츠 역외 이전에 많은 제약을 받고 있었습니다.
LG CNS의 <중국 데이터 역외 이전 컨설팅 서비스>는 위 기업 고객들의 데이터 처리 절차를 법적 요구사항에 맞게 조정하고, 데이터를 안전하게 관리할 수 있는 시스템을 구축해 고객의 페인포인트를 해결했습니다.
LG CNS의 <중국 데이터 역외 이전 컨설팅 서비스>를 통해 중국 시장에서 법적 위험을 최소화하고 비즈니스를 안정적으로 운영해 보세요! LG CNS가 여러분의 중국 내 비즈니스를 성공적으로 지원하겠습니다.
글 ㅣ LG CNS 보안사업담당