상하이 파일럿 자유무역지대(FTZ)의 Lingang 신구역은 해당 지역에서 운영하는 기업의 국경 간 데이터 흐름을 촉진하기 위해 세 개 부문에 대한 첫 번째 시험 일반 데이터 목록을 발표했습니다. 이 발표는 톈진 FTZ의 네거티브 리스트, 이는 유사하게 FTZ에서 운영하는 기업의 국경 간 데이터 흐름을 촉진하기 위해 특정 승인 절차 없이 수출이 제한된 데이터 유형을 명시합니다.
일반 데이터 목록의 첫 번째 배치는 다음 분야에 제공되었습니다. 지능형 연결 차량, 생물의약품, 뮤추얼 펀드, Lingang 신구역에 상당한 존재감을 가진 세 개 부문. 일반 데이터 목록은 시나리오 기반으로, 데이터 수출이 필요하고 자유롭게 허용되는 다양한 상황을 설명합니다. 여기에는 지능형 연결 차량의 다국적 생산 및 제조, 의료 임상 시험 및 연구 개발, 펀드 시장 조사를 위한 정보 공유와 같은 시나리오가 포함됩니다.
일반 데이터 목록의 목적 중 하나로 중국 밖으로 데이터를 수출해야 하는 기업은 일반적으로 요구되는 추가적인 준수 절차를 거치지 않고도 이를 수행할 수 있습니다. 그러나 개인 정보의 수출은 여전히 양에 대한 특정 제한을 받습니다.
일반 데이터 목록은 2024년 5월 16일 시행일부터 1년간의 시험 기간 동안 시행될 것입니다.
2024년 1월, Lingang 신구역은 해당 지역의 데이터 관리 및 수출을 위한 새로운 시스템을 발표했으며, 여기에는 "중요" 데이터와 "일반" 데이터에 대한 두 개의 데이터 카탈로그가 포함되었습니다. 이 새로운 시스템은 중요한 데이터 목록을 통해 수출이 제한되거나 추가적인 준수 조치가 필요한 데이터와 일반 데이터 목록을 통해 더 쉽게 수출할 수 있는 데이터를 구분하여 해당 지역의 주요 부문에 대한 국경 간 데이터 전송(CBDT)을 촉진하는 데 도움이 될 것입니다.
3월에 해당 지역은 데이터 국경 간 흐름의 분류 및 등급 관리 조치중국(상하이) 파일럿 자유무역지대 Lingang 특별구역(시험) ("Lingang CBDT 관리 조치")는 이 새로운 시스템에 대한 규칙과 요구 사항을 설명했으며, 여기에는 기업이 일반 데이터 목록을 사용하는 방법이 포함되어 있습니다.
이러한 발전은 특히 외국 기업을 위한 비즈니스 환경을 개선하기 위한 중앙 중국 정부와 지방 당국의 수개월간의 노력에 따른 것입니다. 그 핵심 부분은 데이터 수출과 관련된 문제를 해결하는 것이었습니다.
일반 데이터 목록의 적용 가능성
일반 데이터 목록은 Lingang 신구역에 등록되어 있으며 지정된 분야에서 CBDT에 종사하는 기업 및 기타 조직에만 적용됩니다. 구체적으로 다음을 포함합니다:
- 의약품, 의료 기기, 진단 시약, 생물학적 제품 및 관련 서비스의 연구, 생산 및 판매에 종사하는 기업, 공공 기관, 협회 및 조직.
- 공개적으로 모집된 증권 투자 펀드 관리 회사.
- 자동차 제조, 부품 및 소프트웨어 공급, 유통, 애프터세일즈 서비스, 모빌리티 및 관련 서비스에 종사하며 지능형 연결 차량 부문에서 국경 간 데이터 흐름 활동을 수행하는 기업, 공공 기관, 협회 및 조직.
그러나 이는 생물의약품, 지능형 연결 차량 또는 뮤추얼 펀드 분야의 중요 정보 인프라 운영자(CIIO)에는 적용되지 않습니다.
일반 데이터 목록을 통한 데이터 수출에 대한 규칙 및 요구 사항
Lingang 신구역의 기업은 일반 데이터 목록 관리에 관한 Lingang CBDT 관리 조치를 준수해야 합니다.
일반 데이터 목록에 포함된 데이터를 수출하려면 기업은 먼저 Lingang 신구역 관리 위원회에 데이터 등록 및 제출을 신청해야 합니다. 승인된 데이터는 관련 관리 요구 사항이 충족되는 한 자유롭게 흐를 수 있습니다.
회사가 중국 밖으로 개인 정보를 수출하려는 경우, 이를 준수해야 합니다.개인정보 보호법(PIPL) 규정 및 관련 시행 조치, 특히 국경 간 데이터 흐름 촉진 및 표준화를 위한 규정. 이는 개인 정보를 자유롭게 수출하기 위해서는 현재 연도 1월 1일 이후로 100,000명 미만의 개인 정보(민감한 개인 정보 제외)를 해외에 제공해야 함을 의미합니다.
이 임계값을 초과하는 회사는 개인 정보 수출에 대한 세 가지 준수 절차 중 하나를 거쳐야 합니다.
개인 정보를 해외로 제공할 때의 기타 특정 의무에는 개인에게 국경 간 활동을 통지하고, 개인의 동의를 얻고, 개인 정보 보호 영향 평가를 수행하는 것이 포함됩니다.
마지막으로, 일반 데이터 목록에는 국가의 이익을 해치거나 영향을 미칠 수 있는 데이터, 즉 국가 정치, 영토, 군사, 경제, 문화, 사회, 기술 또는 핵 이익을 포함하되 이에 국한되지 않는 데이터는 일반 데이터 목록 관리에 포함되지 않는다는 경고가 포함되어 있습니다. 이는 이러한 유형의 데이터가 수출되기 위해 추가 승인이 필요함을 의미하며, 이는 아직 명확히 규정되지 않았습니다.
생물제약에 대한 특정 규칙
일반 규칙 외에도 생물제약에 대한 일반 데이터 목록은 인간 유전자 자원 정보를 외국 조직, 개인 또는 그들이 설립하거나 통제하는 기관에 제공하거나 접근 권한을 부여하는 것이 공중 보건, 국가 안보 또는 사회 공공 이익을 해치지 않아야 한다고 규정합니다.
또한, 일반 데이터 목록에 포함된 인간 유전자 자원과 관련된 데이터의 경우, 데이터 처리자는 국가 위원회의 보건 당국에 사전 보고하고 정보 백업을 제출해야 합니다. 공중 보건, 국가 안보 또는 사회 공공 이익에 영향을 미칠 가능성이 있는 경우, 국가 위원회의 보건 당국이 조직한 보안 검토가 필요합니다.
뮤추얼 펀드에 대한 특정 요구 사항
뮤추얼 펀드 분야에서 일반 데이터 목록은 특정 유형의 데이터가 일반 데이터 목록에 포함되지 않음을 명시합니다. 여기에는 국가 경제 질서 및 금융 안전을 위협하거나 영향을 미치는 데이터, 대규모 또는 매우 대규모 금융 기관 및 금융 거래의 주요 비즈니스 노드에서 주로 사용되는 데이터가 포함되며, 이는 일반적으로 특정 인원에게 공개되고 필요에 따라 접근하거나 사용됩니다.
지능형 및 연결된 차량에 대한 특정 요구 사항
지능형 및 연결된 차량에 대한 일반 데이터 목록은 목록의 데이터 처리에 대한 추가 요구 사항을 규정합니다:
- 일반 데이터 목록의 비디오 및 이미지 데이터는 얼굴이나 번호판과 같은 개인 정보를 포함해서는 안 됩니다.
- 데이터 수신자에게 국경을 넘어 전송되는 차량 VIN 번호는 개인을 직접 또는 간접적으로 식별할 수 없어야 합니다.
- 일반 데이터 목록의 데이터는 차량에서 해외 수신자에게 직접 전송되어서는 안 됩니다.
- 일반 데이터 목록은 최소 필요성의 원칙을 따르며, 특정 시나리오나 활동에 엄격히 필요한 데이터만 포함됩니다.
일반 데이터 목록에 포함된 시나리오 및 데이터
세 개의 일반 데이터 목록은 총 11개의 특정 시나리오를 다루며, 이는 64개의 데이터 유형으로 구분됩니다. 뮤추얼 펀드 목록에는 두 개의 시나리오와 11개의 데이터 카테고리가 포함되어 있으며, 지능형 및 연결된 차량 목록에는 네 개의 시나리오와 23개의 데이터 유형이 포함되어 있으며, 제약 목록에는 다섯 개의 시나리오와 30개의 데이터 유형이 포함되어 있습니다.
아래는 일반 데이터 목록에 명시된 시나리오 및 데이터 유형의 샘플입니다.
| 일반 데이터 목록의 시나리오 및 데이터 유형 샘플 | ||
|---|---|---|
| 부문 | 시나리오 | 데이터 유형 |
| 뮤추얼 펀드 | 시장 조사: 국내 연구의 효율성과 품질을 향상시키고 중국 시장에 대한 외국인 투자를 유치하기 위해 시장 조사 데이터가 국경을 넘어 흐르는 것이 필요합니다. 여기에는 주로 산업 연구 보고서 및 거시경제 분석 보고서와 관련된 데이터가 포함됩니다. | 산업 연구 보고서 |
| 거시경제 분석 보고서 | ||
| 제약 | 임상 시험 및 연구 개발: 국제 다중 센터 임상 시험 및 기타 연구 개발 활동을 수행하고 혁신적인 약물, 장치 등을 개발하기 위해 임상 시험 및 연구 개발 데이터가 국경을 넘어 흐르는 것이 필요합니다. 여기에는 주로 시험 대상자의 비식별화된 기본 개인 정보 및 생리적 건강 정보, 연구자의 기본 개인 정보, 교육 및 직업 정보가 포함됩니다. | 피험자의 비식별화된 기본 개인 정보 |
| 피험자의 건강 및 생리 정보 | ||
| 연구자의 기본 개인 정보 | ||
| 연구자 교육 정보 | ||
| 지능형 및 연결된 차량 | 국경 간 생산 및 제조: 제품 품질 일관성을 보장하고, 생산 라인 안전을 보장하며, 생산 효율성을 향상시키고, 생산 비용을 절감하기 위해, 지능형 및 연결된 차량은 국경 간 생산 과정에서 글로벌 생산 및 제조 데이터의 국경 간 흐름이 필요합니다. 이는 주로 생산 관리, 부품 및 자재 조달, 재고 관리, 품질 관리, 결함 부품의 재제조, 물류 공급망과 관련된 데이터를 포함합니다. | 제조 관리 |
| 재고 | ||
| 부품 | ||
| 재제조 | ||
| 물류 공급망 |
링강 신구 관리 위원회는 일반 데이터 목록을 지속적으로 업데이트하고 데이터 처리자에게 업데이트를 알리는 임무를 맡고 있습니다. 이는 데이터 목록이 향후 확장될 수 있음을 의미합니다.
게다가, 데이터 목록은 특정 부문에 대한 시나리오 기반 "중요 데이터" 카탈로그가 발표되면 해당 부문의 일반 데이터 목록이 자동으로 무효화된다고 명시하고 있습니다.
링강 신구의 기업에 대한 데이터 목록의 잠재적 영향
톈진 자유무역구의 네거티브 리스트와 마찬가지로, 링강 신구의 일반 데이터 목록은 기업들이 많은 행정적 장애 없이 수출할 수 있는 데이터 유형을 명확히 해주는 유용한 도구입니다. 이전에는 이러한 목록이 없었기 때문에 기업들이 어떤 데이터가 "중요"하다고 간주되어 더 엄격한 준수 요구 사항의 대상이 되는지 평가하기 어려웠습니다.
동시에, 링강 신구의 국경 간 데이터 흐름 처리 메커니즘은 톈진 자유무역구 모델보다 더 제한적입니다. 톈진 자유무역구 모델은 자유롭게 수출할 수 없는 데이터 유형을 명시하며, 목록에 포함되지 않은 데이터는 자유롭게 수출할 수 있다는 암시를 줍니다(일부 제한 사항 있음). 이는 톈진 자유무역구 모델에서 더 많은 유형의 데이터가 실질적으로 화이트리스트에 포함된다는 것을 의미합니다.
그럼에도 불구하고, 초기 일반 데이터 목록이 확장될 것으로 예상되며, 데이터 수출에 대한 전반적인 환경이 시간이 지남에 따라 덜 제한적이 될 것입니다.
동시에, 일반 데이터 목록에 포함된 데이터를 처리하는 기업은 여전히 링강 신구 관리 위원회에 신청하여 특정 데이터 수출 시나리오에 대한 승인을 받아야 하며, 이는 기업에 여전히 행정적 부담이 있음을 의미하지만, 그 부담은 더 작습니다. 승인을 받은 후, 지정된 활동에 대한 CBDT는 상당히 쉬워질 것입니다.
마지막으로, 일반 데이터 목록은 기업이 개인 정보를 수출할 수 있는 양에 대한 제한을 유지하며, 이는 세 가지 준수 절차 중 하나를 촉발합니다 - 중국 사이버 보안 관리국(CAC)의 보안 검토를 받거나, 데이터의 해외 수신자와 표준 계약을 체결하거나, 제3자 기관에 의한 데이터 수출 보안 인증을 받는 것입니다. 이는 현재로서는 링강 신구의 개인 정보 수출 규제가 중국의 다른 지역보다 느슨하지 않다는 것을 의미합니다.
링강 신구는 테슬라, BMW, 포드, 노보 노디스크와 같은 대기업들이 새로운 규제의 혜택을 받을 수 있으며, 데이터 수출 승인 신청의 행정적 작업을 쉽게 처리할 수 있는 능력을 갖추고 있습니다.
