중국 진출 기업을 위한 실전 데이터 3법 가이드: 반드시 챙겨야 할 3단계 준비 과정

들어가며

많은 한국 기업이 중국 시장의 무한한 가능성을 인식하고 있지만, 현지 데이터 규제 환경의 복잡성과 실무 적용 방법에 대한 구체적인 가이드 부족으로 진출을 망설이거나 현지 운영에서 어려움을 겪고 있습니다. 특히 대부분의 기업은 CII(중요 정보 기반 시설) 운영자가 아닌 일반 기업에 해당하므로, 법률 자체보다 ‘실제로 무엇을, 어떻게 준비해야 하는지’에 대한 실전 지침이 절실합니다.

이에 본 인사이트는 첨부된 전문가 자료와 더불어, 중국에 진출한 또는 진출을 고려하는 일반 한국 기업의 실무 담당자가 반드시 점검하고 실행에 옮겨야 할 핵심 사항을 3단계로 압축하여 소개합니다.

Keynote: 법의 ‘왜’보다 기업의 ‘어떻게’에 집중하라

중국의 데이터 3법은 이제 법률적 장벽이 아닌, 현지 시장에서 지속 가능한 비즈니스를 운영하기 위한 필수 인프라입니다. 그러나 모든 기업에 동일한 의무가 부과되는 것은 아닙니다. 핵심은 세 법이 교차하는 지점에서 우리 기업의 실제 상황(데이터 유형, 사업 규모, 업종)에 맞는 준수 수준을 정확히 진단하는 데 있습니다.

아래 세션에서는 이론을 넘어, 중국 현지 공안부 네트워크 안전 보위국(公安网安, 공안부 사이버 안전 담당 부서)이나 통신관리국과의 실제 업무 처리를 염두에 둔 실무 중심의 체크리스트를 제공합니다.

[실무 포커스 1] 사이버보안법(CSL): ‘등급별 보호(等保)’ 평가, 신고하지 않으면 불법 운영입니다

한국의 업체로서 중국에 진출하여 공공통신, 에너지, 교통, 금융 등 중국 안보와 국민경제에 중대한 영향을 미치는 분야의 CII(중요 정보 기반 시설)로 지정되는 경우는 극히 희박하므로, 대부분의 진출 기업이 CSL 아래서 가장 먼저 집중해야 할 의무는 바로 ‘네트워크 보안 등급 보호 제도(정보시스템 안전 등급 보호, 일명 ‘등급별 보호’)’의 이행입니다.

• 이것이 무엇인가요? 중국 내에서 네트워크(서버, 시스템, 플랫폼 등)를 운영하는 모든 사업자는 반드시 자사의 정보 시스템에 대해 1~5등급 중 적합한 보안 등급을 자체 판정하고, 해당 등급에 맞는 기술적·관리적 보호 조치를 마련한 후, 공안기관에 신고하거나 평가를 받아야 합니다. 이는 선택이 아닌 의무사항입니다.

• 실전 체크리스트: 우리 기업이 꼭 해야 할 일

1. 등급 자체 판정 (定级): 중국 법인이 운영하는 웹사이트, 내부 OA 시스템, 앱 백엔드 서버 등을 파악하고, 시스템 훼손 시 국가 안보/공공이익/개인 권익에 미치는 피해 정도에 따라 보통 기업은 2등급을, 일정 규모 이상의 플랫폼은 3등급을 부여받게 됩니다.
2. 보호조치 수립 (建设整改): 해당 등급에 맞는 보안 제도(방화벽, 침입탐지, 접근통제, 암호화, 관리 규정 등)를 마련합니다.
3. 등급 평가 및 신고 (等级测评与备案):

4. 정기적 재평가: 3등급 이상 시스템은 매년, 2등급 시스템도 2년 혹은 3년마다 주기적으로 재평가 또는 자체검사를 해야 합니다.

[실무 포커스 2] 개인정보보호법(PIPL): 해외 본사와의 데이터 흐름, 이 세 가지 경로 중 하나를 선택하라

PIPL은 고객 및 직원 정보를 다루는 모든 기업의 일상 업무를 규율합니다. 그중에서도 한국 본사와 중국 법인 간 개인정보 전송은 가장 빈번한 이슈입니다.

• 국외 전송의 3개 통로: 중국 내 개인정보를 해외로 제공할 때는 아래 셋 중 하나를 반드시 따라야 합니다. 절차의 엄격함과 소요 시간이 다르므로, 기업 규모와 데이터 양에 맞게 선택해야 합니다.

전송 경로	주요 대상	핵심 실무 절차	소요 시간/비용
안전 평가	CII 운영자, 100만 명 이상 개인정보 처리자 등	국가 인터넷 정보 판공실(CAC)에 신청하여 전문가 심사 통과	가장 길고 까다로움 (수개월)
개인정보보호 인증	규모에 상관없이 선택 가능	국가가 지정한 인증기관 (예: 중국 사이버보안심사기술 인증센터)을 통해 인증 획득	상대적으로 유연함
표준 계약 체결	대부분의 중소형 기업에게 가장 일반적인 경로	CAC가 발표한 표준 계약서를 한국 본사와 체결 후, CAC에 사후 등록(비안)	비교적 빠르고 간편

• 실전 체크리스트: 우리 기업이 꼭 해야 할 일

1. 전송 경로 판단: 먼저, 중국 법인이 1년간 처리하는 개인정보가 100만 명 이상인지 확인합니다. 미만이라면, ‘표준 계약’ 체결 경로가 현실적입니다.
2. 사전 준비 사항: 어떤 경로를 선택하든, 개인정보 영향 평가(PIA)를 사전에 실시하고 보고서를 작성해야 합니다. 또한 개인정보주체(고객)에게 해외 수신자 정보 등을 고지하고 별도 동의를 받아야 합니다.
3. 중국 내 대표 지정: 중국에 법인이 없이도 중국인에게 서비스를 제공하는 경우, PIPL은 중국 내 대표자 또는 법인을 지정할 것을 의무화합니다.

DSL은 개인정보를 넘어서는 모든 데이터를 포괄합니다. 여기서 핵심은 자사가 다루는 데이터 중 국가가 정한 ‘중요 데이터’에 해당하는 것이 있는지 판단하는 것입니다.

• ‘중요 데이터’란? 유출 시 국가 안보, 경제 안전, 사회 안정 등에 중대한 영향을 미칠 수 있는 데이터입니다. 산업별로 세부 목록이 별도로 고시됩니다 (예: 자동차 업계의 정밀 지도 데이터, 의료 업계의 특정 건강 데이터).

• 실전 체크리스트: 우리 기업이 꼭 해야 할 일

1. 업종별 목록 확인: 본사 업종의 중국 주관 부처(예: 자동차 업계는 공신부)가 발표한 ‘중요 데이터 구체적 범위’ 관련 규정이 있는지 확인합니다.
2. 데이터 분류 관리: ‘중요 데이터’에 해당할 경우, 이를 일반 데이터와 분리하여 관리하고, 접근 권한을 엄격히 통제해야 합니다.
3. 위험 평가 보고: ‘중요 데이터’ 처리자는 데이터 처리 활동에 대해 정기적 위험 평가를 실시하고, 그 보고서를 주관 부처에 제출해야 하는 추가 의무가 발생할 수 있습니다.
4. 국외 전송 제한: ‘중요 데이터’를 해외로 전송하려면 CSL/PIPL보다 더 엄격한 안전 평가를 통과해야 합니다. 사실상 전송이 매우 제한됩니다.

마치며: 3단계 실무 실행 로드맵

복잡해 보이는 규제도 체계적으로 접근하면 준비 가능합니다. 다음 3단계를 따라 시작해 보세요.

• 1단계: 현황 진단 (Data Mapping)

질문: 중국 법인/서버에서 어떤 개인정보와 일반 데이터를 처리하나? 한국 본사와 어떤 데이터가 오가나?

실행: 데이터 인벤토리(목록) 와 데이터 흐름도를 작성하세요. 이것이 모든 준비의 토대입니다.

• 2단계: 의무 수준 결정 (Gap Analysis)

질문: 우리 정보 시스템의 ‘등급별 보호’ 등급은? 처리 개인정보가 100만 명 이상인가? 우리 업종의 ‘중요 데이터’ 목록은?

실행: 위의 세 가지 실전 포커스 항목을 기준으로 체크리스트를 만들어 현재 상태와의 차이를 분석하세요.

• 3단계: 조치 수립 및 실행 (Remediation)

최우선: ‘등급별 보호’ 신고/평가를 즉시 시작하세요.

다음: 한국 본사와의 데이터 전송 경로(표준 계약)를 확정하고 준비하세요.

병행: 내부 개인정보 처리 규정과 데이터 분류 정책을 중국 법에 맞게 개정하세요.

중국 데이터 규제는 한 번의 프로젝트가 아닌 지속적인 관리 과정입니다. 막연한 불안감보다는 위 단계를 따라 체계적으로 접근한다면, 이 복잡한 환경을 극복하고 중국 시장에서의 안정적인 비즈니스 기반을 다질 수 있을 것입니다.

글 │ 메가존클라우드 중국법인 곽동영 이사

공유하기