2025년 4월 9일, 중국의 사이버 공간 관리국(CAC)은 데이터 국경 간 보안 관리 정책에 관한 Q&A(이하 "국경 간 데이터 전송 Q&A")중국의 진화하는 프레임워크에 따라 기업이 준수할 수 있는 실질적인 해석을 제공합니다 국경 간 데이터 전송. 국경 간 데이터 전송 Q&A주요 시스템의 구현 세부 사항을 명확히 하며, 데이터 수출을 포함합니다보안 평가, 표준 계약개인 정보 수출을 위한, 그리고 인증 메커니즘.
이 문서는 새로운 법률을 도입하거나 광범위한 규제 완화를 신호하지 않지만, 특히 다국적 기업에 도전 과제를 제기한 여러 분야에 대한 중요한 명확성을 제공합니다. "일반 데이터"가 국경을 넘어 자유롭게 흐를 수 있는 방법, 기업이 개인 정보 수출의 필요성을 평가하는 방법, "중요 데이터"로 간주되는 것이 무엇인지에 대한 통찰력을 제공합니다.
특히, 국경 간 데이터 전송 Q&A중복된 준수 절차를 피할 수 있도록 기업을 돕기 위한 조치를 도입합니다. 여기에는 그룹 회사가 데이터 수출 준수를 위한 통합 신청서를 제출할 수 있도록 허용하고, 보안 평가 유효성을 연장할 수 있는 조건을 설명하며, 인증된 다국적 기업이 각 국경 간 데이터 흐름에 대해 반복적으로 새로운 계약을 체결할 필요가 없음을 확인하는 것이 포함됩니다.
국경을 넘어 "일반 데이터"의 자유로운 흐름
국경 간 데이터 전송 Q&A일반 데이터가 개인 정보나 중요 데이터를 포함하지 않는 경우 국경을 넘어 자유롭게 흐를 수 있다고 명시합니다.
일반 데이터 처리에 관한 규정은 중국의 주요 데이터 법률, 즉 사이버 보안법, 데이터 보안법, 또는 개인 정보 보호법 – 또는 국경 간 데이터 전송에 관한 규정에서 언급되지 않았습니다.
데이터 보안 및 수출에 관한 일부 산업별 규정에서 언급됩니다, 예를 들어 산업 및 정보 기술 분야의 데이터 보안 관리 조치 (시험 시행). 이러한 조치는 산업 및 통신 회사가 데이터 보안을 위해 데이터를 중요, 핵심 및 일반 데이터의 세 가지 범주로 분류하도록 요구합니다. 핵심 및 중요 데이터는 중국 내 의무적인 국내 저장과 수출 전 보안 평가를 포함한 더 엄격한 규제를 받습니다.
이러한 규정은 일반 데이터가 동일한 엄격한 요구 사항을 받지 않는다는 의미로 해석되었지만, 텍스트는 이를 명시적으로 확인하지 않습니다. 일반 데이터가 국경을 넘어 자유롭게 전송될 수 있다는 CAC의 명확성은 따라서 이 해석의 유효성에 대한 불확실성을 제거하기 때문에 중요합니다.
그럼에도 불구하고, 일반 데이터로 간주되는 것을 정의하는 것은 간단하지 않을 수 있으며, 정부는 자격을 갖춘 데이터 유형의 명확한 목록을 발표하지 않았습니다. 가장 구체적인 정의는 데이터 분류 기준 [GB/T 43697-2024]에서 2024년에 발표된 일반 데이터는 "중요 및 핵심 데이터를 제외한 모든 데이터"로 정의됩니다.
이러한 기준에 요약된 "핵심", "중요" 및 기타 데이터 유형의 정의는 아래 표에 요약되어 있습니다.
중국의 데이터 분류 기준에서의 주요 데이터 용어 정의 | |
|---|---|
| 데이터 | 전자 또는 기타 형태의 정보 기록. |
| 중요 데이터 | 특정 분야, 그룹 및 지역에 특정한 데이터 또는 유출, 변조 또는 파괴될 경우 국가 안보, 경제 운영, 사회 안정, 공중 보건 및 안전을 직접적으로 위협할 수 있는 수준의 정밀도와 규모에 도달하는 데이터. 참고: 조직 자체 또는 개별 시민에게만 영향을 미치는 데이터는 일반적으로 중요 데이터로 간주되지 않습니다. |
| 핵심 데이터 | 높은 수준의 정밀도에 도달하고, 대규모이며, 특정 도메인, 그룹 또는 지역에서 일정한 깊이에 도달하는 데이터는 불법적으로 사용되거나 공유될 경우 정치적 안전에 직접적인 영향을 미칠 수 있습니다. 참고: 핵심 데이터는 주로 국가 안보의 주요 영역, 국가 경제의 생명선, 국민의 생계 및 주요 공공 이익과 관련된 데이터로, 관련 국가 부서에 의해 평가되고 결정됩니다. |
| 일반 데이터 | 중요 및 핵심 데이터를 제외한 기타 데이터. |
| 개인 정보 | 전자적 또는 기타 형태로 기록된 식별되거나 식별 가능한 자연인과 관련된 다양한 유형의 정보. 개인 정보는 또한 개인정보 보호법 및 기타 규정. |
일반 데이터를 정의하는 중요한 발전은 국경 간 데이터 흐름 촉진 및 표준화를 위한 규정, 2024년 3월 22일 발효된 국경 간 데이터 전송을 용이하게 하기 위한 일련의 규정을 발표했습니다. 이 규정은 중국의 자유무역지대(FTZ)가 기업이 자유롭게 수출할 수 있는 일반 데이터 목록을 작성할 수 있도록 규정했습니다.
2024년 5월, 상하이 FTZ는 처음으로 일반 데이터 리스트, 첫 번째 배치는 자동차, 생물의약품, 뮤추얼 펀드 부문에 있는 기업에 적용됩니다. 이 시스템 하에서, 상하이 FTZ에 기반을 둔 기업은 일반 데이터 리스트에 명시된 목적 중 하나를 위해 중국 외부로 데이터를 수출해야 할 경우 추가적인 준수 절차를 거치지 않고도 이를 수행할 수 있습니다.
대부분의 경우, 국경 간 데이터 전송을 용이하게 하기 위해 조치를 취한 FTZ는 약간 다른 접근 방식을 채택했습니다. 지금까지, 톈진, 베이징, 상하이, 그리고 저장성 FTZs, 그리고 하이난 자유무역항 (FTP), 총 17개 산업을 다루는 데이터 네거티브 리스트를 발행했습니다. 여기에는 자동차, 제약, 소매, 민간 항공, 재보험, 심해 산업, 종자 산업이 포함됩니다. 이 시스템 하에서, 자유롭게 수출할 수 없는 데이터 유형과 개인 정보의 양은 산업별 데이터 리스트에 나열되며, 리스트에 포함되지 않은 데이터는 구역 밖으로 자유롭게 수출할 수 있습니다.
국경 간 데이터 전송 Q&A는 또한 네거티브 리스트에 포함되지 않은 모든 데이터는 관련 FTZ에서 자유롭게 수출할 수 있음을 재확인합니다. 앞으로 더 많은 FTZ가 일반 데이터를 정의하는 대신 산업별 데이터 네거티브 리스트를 구현할 가능성이 있습니다.
FTZ 네거티브 리스트 간의 일관성을 보장하고 산업별 리스트 확장
국경 간 데이터 전송 Q&A FTZ는 데이터 수출을 위한 자체 데이터 네거티브 리스트를 작성할 수 있지만, 이러한 리스트는 국가 데이터 분류 및 등급 보호 시스템 프레임워크 하에서 작성되어야 함을 재확인합니다. 또한, 이러한 리스트는 중국의 데이터 법률, 표준 및 규정을 준수하고 일관성을 보장하기 위해 강력한 승인 절차를 거칩니다. 여기에는 지방 사이버 보안 및 정보화 위원회의 승인, 국가 사이버 보안 및 정보 기술 부서와 국가 데이터 관리 부서에의 제출, CAC 및 국가 데이터 관리국의 최종 검토가 포함됩니다. 또한, 네거티브 리스트를 작성하는 과정에서 관련 유관 부서의 의견이 수렴됩니다.
다양한 FTZ에서 네거티브 리스트의 구현을 용이하게 하기 위해, 국경 간 데이터 전송 Q&A 하나의 FTZ가 특정 산업 또는 분야에 대한 네거티브 리스트를 이미 발행한 경우, 다른 FTZ는 새로운 리스트를 작성하는 대신 이 리스트를 참조할 수 있다고 명시합니다. 이는 다양한 FTZ 간의 연속성과 국가 데이터 분류 및 등급 보호 시스템 준수를 돕습니다.
이는 또한 베이징, 상하이, 톈진, 하이난, 저장성에서 도입된 모델을 기반으로 더 많은 FTZ가 데이터 네거티브 리스트를 발표할 것임을 시사합니다. 국경 간 데이터 전송 Q&A CAC가 FTZ가 특정 산업 발전 요구에 맞춰 이러한 리스트를 개발하도록 적극적으로 지도하고 있음을 더욱 강조합니다.
개인 정보 수출의 필요성 결정
중국 외부로 특정 양의 개인 정보를 수출하는 단계 중 하나는 수출이 회사의 비즈니스 운영에 필요한지 평가하는 것입니다. 예를 들어, 많은 양의 개인 정보를 수출하려는 회사는 CAC의 보안 평가가 필요하며, 이 경우 자체 평가를 수행해야 하며, 여기에는 "국경 간 데이터 전송의 목적, 범위 및 방법의 합법성, 정당성 및 필요성을 평가하고, 해외 수신자의 데이터 처리"가 포함됩니다. CAC의 보안 평가는 또한 데이터 수출의 방법, 범위 및 목적의 합법성, 정당성 및 필요성을 평가하는 것을 포함합니다.
더 넓게 보면, 기업은 데이터 수출뿐만 아니라 모든 처리 활동에 대해 개인 정보 처리의 필요성을 입증해야 합니다. 구체적으로, PIPL의 제6조는 "개인 정보의 처리는 명확하고 합리적인 목적을 가져야 하며, 데이터 처리 목적과 직접 관련이 있어야 하며, 개인의 권리와 이익에 미치는 영향을 최소화하는 방식으로 수행되어야 한다. 개인 정보의 수집은 데이터 처리 목적을 달성하는 데 필요한 최소 범위로 제한되어야 하며, 과도한 개인 정보 수집은 허용되지 않는다"고 규정하고 있습니다.
게다가, 제19조는 "법률 및 행정 규정에 달리 규정이 없는 한, 개인 정보의 보유 기간은 데이터 처리 목적을 달성하는 데 필요한 최단 시간이어야 한다"고 규정하고 있습니다.
국경 간 데이터 전송 Q&A는 법적 조항에 따라 개인 정보 수출이 "필요한"지 여부를 결정하는 네 가지 주요 요소를 설명합니다:
- 데이터 처리 목적과 직접적으로 관련이 있는지 여부.
- 개인 권리와 이익에 미치는 영향을 최소화하는지 여부.
- 그 목적을 달성하는 데 필요한 최소 범위로 제한되는지 여부.
- 데이터 보유 기간이 그 목적을 달성하는 데 필요한 만큼 짧은지 여부.
국경 간 데이터 전송 Q&A 또한, 데이터 수출 보안 평가 중 CAC는 회사의 특정 비즈니스 맥락과 처리 요구 사항을 기반으로 수출의 필요성을 평가할 것이라고 언급합니다. 여기에는 수출 자체의 필요성, 관련된 개인 수, 전송되는 개인 데이터의 양을 평가하는 것이 포함됩니다.
마지막으로, CAC는 산업 규제 기관과 함께 특정 산업에 대한 수출 시나리오와 데이터 범위 요구 사항을 계속해서 정제하고 명확히 하여 국경 간 데이터 전송에 대한 보다 구체적인 정책 지침을 제공할 것이라고 명시합니다.
중요한 데이터 식별 및 중요한 데이터 수출 규정에 대한 명확화
외국 기업이 국경 간 데이터 전송과 관련하여 가장 까다로운 영역 중 하나는 그들이 보유한 데이터가 "중요한" 데이터로 간주되는지를 평가하는 것입니다.
중국의 데이터 보안 법률에 따르면, "중요한"으로 분류된 데이터는 수출 전에 CAC의 보안 평가를 받아야 합니다.
그러나 정부가 중요한 데이터로 간주되는 것에 대한 명확한 목록을 발표하지 않았기 때문에, 정확히 어떤 데이터가 자격을 갖출지 결정하기 어렵습니다.
네트워크 데이터 보안 관리 규정, 2025년 1월 1일에 발효된, 중요한 데이터를 "특정 분야, 특정 그룹, 특정 지역 또는 특정 정확도와 규모에 도달하여 변조, 파괴, 유출, 불법 획득 또는 불법 사용될 경우 국가 안보, 경제 운영, 사회 안정, 공공 건강 및 안전을 직접적으로 위협할 수 있는 데이터"로 일반적으로 정의합니다.
한편, 위에서 언급한 데이터 분류 표준은 또한 광범위한 방법 중요한 데이터를 식별하기 위한 회사의.
중요한 데이터는 일반적으로 수출이 제한되지만, 국경 간 데이터 전송 Q&A는 특정 시나리오에서 중요한 데이터를 수출할 수 있음을 명확히 합니다. 구체적으로, 데이터 수출 보안 평가가 데이터 전송이 국가 안보나 공공 이익을 위협하지 않는다고 판단할 경우, 수출이 가능합니다.
국경 간 데이터 전송 Q&A에 따르면, 2025년 3월 현재 CAC는 298건의 데이터 수출 보안 평가를 검토했습니다. 그 중 44건은 중요한 데이터를 포함하고 있으며, 7건이 거부되었습니다 – 거부율은 15.9%입니다. 이 44건의 신청에는 509개의 중요한 데이터 항목이 포함되어 있으며, 그 중 325개가 수출 승인을 받았으며, 이는 총 63.9%에 해당합니다.
게다가, 국경 간 데이터 전송 Q&A는 국경 간 데이터 흐름 촉진 및 표준화에 관한 규정 명확히 규정하고 있습니다. 회사가 관련 규정에 따라 사전에 중요한 데이터를 선언하고, 해당 데이터가 관련 당국이나 지역에 의해 중요한 것으로 식별되거나 공개적으로 지정되지 않은 경우, 회사는 데이터 수출 보안 평가를 받을 필요가 없습니다.
기술 표준 수립에 외국 기업의 참여
국경 간 데이터 전송 Q&A는 외국 기업이 산업 및 기술 표준 개발에 참여할 수 있는 두 가지 주요 경로를 강조합니다.
첫째, 외국 기업은 국가 정보 보안 표준화 기술 위원회 산하 작업 그룹의 회원이 될 수 있습니다. 회원으로서 그들은 국내 기업과 동등한 권리와 책임을 가지며, 초기 초안 작성부터 최종 검토까지 전체 표준 설정 과정에 참여하고, 모든 단계에서 아이디어와 피드백을 적극적으로 기여할 수 있습니다.
둘째, 외국 기업은 공공 자문을 위해 발표된 초안 표준을 검토하고 의견을 제출하여 제안된 표준의 정제 과정에서 그들의 관점이 고려되도록 할 수 있습니다.
개인 정보 수출 간소화 방법
국경 간 데이터 전송 Q&A는 회사의 개인 정보 수출 과정을 용이하게 하기 위한 여러 조치를 도입합니다.
첫째, 유사한 비즈니스 목적과 데이터 수출 시나리오를 가진 여러 자회사를 보유한 회사는 모회사가 데이터 수출 보안 평가를 위한 통합 신청서를 제출하거나 표준 계약을 체결하는 등의 기타 적용 가능한 준수 절차를 완료할 수 있습니다.표준 계약, 모든 자회사를 대신하여. 이는 각 개별 자회사의 준수 부담과 행정 업무량을 크게 줄입니다.
그러나 이 접근 방식은 자회사가 이미 준수 요구 사항을 충족하는 경우에만 유익합니다. 단일 자회사가 규제 기준치 이하로 개인 정보를 처리하는 경우, 보안 평가나 기타 절차를 촉발하지 않고 데이터를 수출할 수 있습니다. 이러한 경우, 여러 자회사에서 데이터를 통합하면 총량이 기준치를 초과하여 추가적인 준수 의무가 발생할 수 있습니다.
또한, CAC는 개인 정보 수출을 위한 인증 시스템을 구현하기 위해 노력하고 있습니다.제3자 전문 기관이 국경 간 데이터 전송 활동을 인증. 인증을 받으면 국내 회사나 해외 수신자 중 어느 쪽이든 인증 범위 내에서 데이터 수출을 수행할 수 있습니다.
마지막으로, 인증된 다국적 그룹은 각 외국 자회사와 별도의 표준 계약을 체결할 필요 없이 내부적으로 국경을 넘어 개인 정보를 전송할 수 있게 됩니다.
이러한 방법은 대규모 다국적 기업의 국경 간 데이터 흐름을 크게 촉진할 수 있습니다. 특히, 다국적 기업이 새로운 수출 시나리오나 데이터 유형마다 새로운 표준 계약을 체결하는 대신 그룹 전체 인증에 의존할 수 있는 능력은 운영을 크게 간소화할 것입니다. 이는 법적 복잡성을 줄이고, 비즈니스 프로세스를 가속화하며, 중국에 기반을 둔 기업과 해외 계열사 간의 보다 효율적인 협업을 가능하게 합니다.
데이터 수출 보안 평가 결과의 유효 기간 연장
국경 간 데이터 전송 Q&A는 다음과 같이 명확히 합니다.국경 간 데이터 흐름 촉진 및 표준화에 관한 규정, 데이터 수출 보안 평가 결과의 유효 기간이 2년에서 3년으로 연장되었습니다. 이는 회사가 보안 평가를 통과하면 재신청 없이 최대 3년 동안 개인 정보를 계속 수출할 수 있음을 의미합니다.
3년이 끝날 때, 회사가 데이터를 계속 수출하고 데이터 유형, 처리 목적, 수신자에 대한 중요한 변경 사항이 발생하지 않은 경우, 회사는 원래 평가 결과의 유효성을 연장하기 위해 신청할 수 있습니다. 이 연장 신청은 원래 만료일 최소 60 근무일 전에 회사의 지역(도 수준) CAC 사무소를 통해 제출해야 합니다. CAC의 승인을 받으면 유효 기간이 추가로 3년 연장될 수 있습니다.
현재 CAC는 연장 절차를 개선하는 과정에 있으며 이해 관계자들로부터 피드백을 수집하고 있습니다. CAC는 업데이트된 정책 문서를 통해 절차를 명확히 하고 공식화하여 기업들이 장기적인 데이터 수출 활동을 더 쉽게 관리할 수 있도록 할 계획입니다.
보안 평가는 국경 간 개인 정보 전송에 대한 가장 엄격한 준수 메커니즘입니다. 다년간의 연장을 허용함으로써 기업이 재신청해야 하는 빈도를 줄이는 것은 준수 부담을 크게 완화합니다. 이는 기업이 시간을 절약하고 행정 비용을 줄이며, 특히 대량의 개인 정보나 중요한 데이터를 처리하는 기업의 경우 국경 간 운영의 연속성을 유지하는 데 도움이 됩니다.
