일본, 중국 사이버보안법(Cybersecurity Law) 전면 시행에 앞서 중국에 데이터 지역화(data localization) 규정 완화 촉구

14 May 2018 9:51am

2018년 5월 2일 | 11:16 GMT 사치코 사카마키

본사가 입수한 정보에 따르면, 일본 정부와 관련 업들은 중국에 사이버보안법(Cybersecurity Law)의 데이터 지역화(data localization) 규정을 전면적으로 시행하기 전 국경간 데이터 흐름 규제에 관한 세부 사항을 결정하는 데 있어 국제적 조화를 고려할 것을 촉구했다.

중국에서 활동하는 일본 및 기타 다국적 기업들은 중국 내 서버 및 클라우드 플랫폼에 데이터를 보관하도록 규정하는 중국의 사이버 보안법에 대해 크게 우려하고 있다.

이달 말 시행될 새로운 유럽 데이터보호규정 (GDPR)을 준수하기 위해 노력 중인 많은 일본 다국적 기업은 유럽 연합 보다 중국과 긴밀한 비즈니스 관계를 유지하고 있다. 본사 보도에 의하면, 중국 사이버보안법의 광대한 적용 범위, 수많은 애매성, 불분명한 세부 사항 때문에 법규 준수에 어려움을 겪는 일본 기업을 혼란에 빠뜨리고 있다.

본사와의 인터뷰에서 일본 총무성의 야쓰히코 타니와키(Yasuhiko Taniwaki) 정보통신부장은 "정보의 자유로운 흐름은 매우 중요하기 때문에, 우리는 사이버 보안이라는 명목 하에 모호한 데이터 지역화 규정이 활성화되는 것을 반대합니다" 라고 말했다.

타니와키 정보통신부장은 중국이 데이터 지역화 및 해당 법의 다른 측면에 대한 세부 규정과 지침을 마련하는 동안 일본 정부는 투명성 제공에 대해 지속적으로 요구할 것이라고 말했다.

일본은 미국, 유럽과 함께 G7 정상회담 및 기타 포럼에서 자유로운 데이터 교환을 촉구해 왔다. 포괄적·점진적 환태평양경제동반자협정(전신 환태평양경제동반자협정, 미국 탈퇴 전)에도 데이터 국지화, 소스 코드 공개, 디지털 재화에 대한 차별 대우를 금지하는 전자 상거래 규칙이 포함되어 있다.

타니와키 정보통신부장은 다른 아시아 국가들도 데이터 국지화 요구 사항을 도입하고 있다고 우려했다. 본사가 보도한 바에 따르면, 인도네시아와 베트남도 데이터 국지화 규정이 있으며 다른 국가에서도 이를 도입할 수 있다.

타니와키 정보통신부장은 전세계가 지난 수십 년 동안 상품 및 서비스의 자유 무역에 관한 국제 협약을 발전시켜 온 것처럼, 양자간 및 다자간 채널을 이용하여 데이터 교환 자유화에 대한 합의를 추구할 때가 되었다고 말했다.

또한, 일본은 중국 당국이 기업들에게 소스 코드 공개를 요구할 수 있는 조항, 중국 외 IT 제품에 대한 비차별적 대우가 충분히 보장되는지 여부 등 중국 사이버 보안법의 다른 측면에 대해 우려하고 있다고 밝혔다.

일본 전자 및 IT기업 단체인 일본전자정보기술산업협회(JICA)는 미국정보기술산업협회(ITC), 디지털유럽(DigitalEurope) 등 자매 단체들과 함께 중국의 사이버보안법 도입에 반대하는 로비를 벌여왔다.

이미 중국의 사이버보안법이 시행되고 있기 때문에, JEITA는 전세계에서 널리 받아들여지는 규칙과 표준을 통해 중국 시행 규칙을 최대한 조화시키기 위한 로비 활동에 초점을 맞추고 있다.

JEITA 국제협력사무소 아키코 하라다(Akada Harada) 정책관은 중국 사이버 보안법의 전면 시행 시점은 2019년 1월이 가장 유력하다며 “우리의 최우선 과제는 중국 사이버보안법이 최대한 우리 뜻대로 바뀌도록 노력하는 것” 이라고 말했다.

하라다 정책관은 파나소닉, NEC, 후지쯔, 히타치 등 대기업을 포함하는 JEITA는 소스 코드 강제 공개 가능성, 중국 보안 표준과 국제 표준간의 차이 가능성, 중국 당국이 회사의 보안 평가를 조사할 수 있는 상황에 대한 불확실성, 중국 당국이 접근할 수 있는 데이터 종류 등 데이터 지역화 외에도 다양한 우려 사항이 있다고 말했다

하라다 정책관은 "우리는 적절한 개인정보 보호 하에 국경을 초월하는 데이터 흐름이 경제 발전과 사물 인터넷 같은 새로운 사업 창출의 핵심이라고 믿으며, 중국 사이버보안법이 여기에 엄격한 제한을 가하는 데 대한 우려가 크다"라고 말했다.

또한, 일부 일본 기업은 중국 사이버보안법을 따르기 위해 추가적인 조치를 취해야 하며, 일부 기업은 데이터 센터, 클라우드 서비스 공급자, 기타 인프라를 바꿔야 할 수도 있다고 말했다. 중국 데이터 센터를 이용해야 하는 일본 제조업체는 데이터 지역화 규정으로 인해 글로벌 공급망 운영을 최적화하는 데 어려움을 겪을 수도 있다.

하라다 정책관은 중국 당국이 외국 기업의 요구 사항을 수용하기 위해 입장을 누그러뜨릴 것으로 보이지는 않는다고 말했다. 그는 또한 "중국 정부가 적극적으로 정책을 추진하고 있기 때문에 그런 전망은 어려울 것으로 보인다"고 전했다.

본 기사는 MLex의 고유 콘텐츠입니다. 본사 서비스는 영문으로 제공됨을 미리 알려드립니다.

Global Privacy in 2018