중국은 보안과 데이터 경제 촉진의 균형을 맞추는 이중 목표에 어려움을 겪고 있습니다.

6월 초, 중국은 공식적으로 국경 간 개인정보 이전에 대한 표준 계약에 관한 규정을 발효시켰는데, 이는 데이터 처리자(100만 명 미만의 데이터를 처리하는 회사 포함)가 데이터를 전송하기 전에 해외 수신자와 계약을 맺도록 요구합니다.

새로운 규칙은 국가 안보를 보호한다는 명분으로 국내 데이터에 대한 통제를 강화하려는 베이징의 노력의 일환입니다.

현재, 국가의 데이터 개인정보 보호 관리를 위한 최상의 법적 틀은 사이버보안법, 데이터 개인정보 보호법, 개인정보 보호법의 세 가지 법률로 구성되어 있습니다.

이에 따라 중앙 정부는 개인정보 수출 관리 제도를 수립했습니다. 표준계약서의 조치 외에도 제도에는 회사가 국가인터넷감독기관에 보안평가등록을 하거나, 관할기관에 개인정보보호인증을 신청하도록 요구하는 규정이 포함되어 있습니다.

대외경제경영대학 디지털 경제와 법률 혁신 연구 센터 소장인 쉬커는 규제 당국이 데이터 보안 강화와 데이터 중심 경제 성장 촉진 사이에서 균형을 맞추는 데 어려움을 겪고 있다고 말했습니다.

회사 수가 많고 승인율이 낮음

9월 1일에 발효된 국경 간 데이터 전송에 대한 보안 평가에 따라, 100만 명 이상의 개인과 관련된 개인 데이터를 처리하는 회사는 데이터를 국외로 전송하려는 경우 보안 평가를 받아야 합니다.

기업은 두 차례의 검토를 위해 지역 네트워크 규제 기관과 중국 사이버 공간 관리국(CAC)에 보안 자체 평가 보고서를 제출해야 합니다.

현재, 해외로 데이터를 전송하는 것은 전송자가 수신자와 계약을 체결하고 전송되는 데이터가 담당 기관의 보안 테스트를 통과했다는 것을 제출하는 경우 합법적인 것으로 간주됩니다.

이러한 조치는 9월에 발효되었지만, 회사 수가 너무 많고 보안 보고서를 평가할 인력이 부족해 시행에 어려움이 있었습니다.

4월 말까지 상하이 사이버공간 관리국은 400건 이상의 평가 보고서를 접수했는데, 그 중 CAC의 승인을 받은 것은 0.5%에 불과했습니다.

다른 곳에서도 상황은 비슷하다. Caixin 소식통에 따르면, 전국적으로 관계 당국은 해외로 데이터를 전송하기 위한 1,000건 이상의 신청을 접수했지만, 그 중 2단계의 검토를 통과한 것은 10건도 안 된다고 합니다.

국가 차원에서 보안 보고서 승인 검토 업무의 대부분은 CNCERT/CC 사이버보안 기술 센터에서 수행하며, 이 센터의 총 직원 수는 약 100명입니다.

“모호한” 기준

인력 부족 외에도 평가 기준의 명확성 부족으로 인해 승인 절차가 늦어지고 있으며, 규제 기관과 회사 간에 요청된 데이터 전송이 필요한 이유에 대한 의견 차이가 있습니다.

예를 들어, 신청자는 처리를 위해 외국 당사자에게 데이터를 전송하는 것이 왜 합법적이고, 합리적이며, 필요한지 설명해야 하지만, 더 자세한 지침은 제공되지 않습니다.

쉬커 씨는 "올인원" 메커니즘을 적용하면 특정 산업과 부문에 과도한 제한이 가해져 데이터의 자유로운 흐름이 방해받을 수 있다고 경고했습니다. 국가 안보 우려 수준이 다르기 때문입니다.

상하이 교통대학 데이터법 연구센터의 허 위안 전무이사는 6월부터 직원이 100만 명 미만인 회사도 표준 계약서에 서명해야 하므로 현지 규제 기관의 업무량이 상당히 늘어날 수 있다고 언급했습니다.

2023년부터 중국 본토 당국은 기업이 데이터 전송 규칙을 숙지하도록 지침을 제공하는 등 홍보 활동을 강화해 왔습니다.

그러나 높은 규정 준수 비용, 해외 수령인과의 소통 어려움, 규제 불확실성은 베이징이 기업의 이익을 위해 해결하지 못한 요인 중 일부입니다.

값비싼

문제를 피하기 위해, 회사들은 보안 평가 보고서 제출과 관련하여 제3자 기관에 문의하는 경향이 있습니다.

하지만 이러한 컨설팅 기관이 청구하는 서비스 수수료는 쉽게 수억 위안에 달할 수 있어, 소규모 기업은 불리한 입장에 놓이게 됩니다. 이러한 기관의 서비스 품질도 다양할 수 있습니다.

컨설턴트의 도움에도 불구하고 많은 기업은 여전히 ​​승인을 받는 데 어려움을 겪고 있습니다. 상하이에 있는 로펌인 선앤영 파트너스의 파트너인 장야오에 따르면, 처음으로 신청하는 회사 중 상당수가 규제 요건을 충족하지 못한다고 합니다.

규제 기관은 해외로 전송해야 하는 데이터, 어떤 시스템을 통해, 누구에게, 보안 위험이 있는지 등의 핵심 이슈에 대한 요구 사항을 명확히 했지만, 회사 측에서는 "이러한 이슈를 해결하려면 많은 비용과 노력이 필요합니다."

베이징에 있는 중룬 로펌(Zhong Lun Law Firm)의 파트너인 천지홍(Chen Jihong)은 다국적 기업의 경우 개인 데이터를 해외로 보내는 데 성공하더라도 후속 사용에 대한 지속적인 규정 준수 투자에 직면해 있다고 말했습니다.

말할 것도 없이, 데이터 전송자는 해외 수신자에 대한 정보를 보고서에 제출해야 하는데, 이를 공유하려는 기업은 거의 없습니다. 예를 들어 거대 기업인 마이크로소프트는 중국의 데이터 보안 평가 요청에 "협조하지 않을 것"이라고 공개적으로 선언했습니다.

(닛케이아시아에 따르면)