출처 : https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cybersecurity-laws-and-policy-trends-cn-tw.html

(1) 디지털 전략 조직 체제

중국에서는 디지털화를 담당하는 정부 부처와 관련하여 역사적으로 다양한 변화가 있었다. 하지만 2023년 10월 25일에 국가 데이터국이 설립된 이후 현재까지 중앙 정부 수준의 행정 디지털화와 관련된 중요 관청은 국가 데이터국이라고 평가할 수 있다. 국가 데이터국은 중앙 정부가 가진 데이터를 통일적으로 관리하며 행정을 포함한 중국의 디지털화 추진에 대해서도 책임을 가진다.

중국의 데이터 정책에서는 지방 정부가 중요한 권한을 행사하는 데 유의해야 한다. 지방 정부에서도 산둥성이 2018년에 디지털 관련 전문 기관인 빅데이터국 등을 설립한 것을 시작으로, 잇따라 각 지방 정부에서 디지털 정책의 사령탑이라 할 수 있는 기관이 설립되었다. 중앙 정부가 국가 데이터국을 설립을 발표할 때도 ‘성(지방) 수준의 지방 정부의 데이터 관리 기관은 실정에 맞춰 편성된다’고 하였다. 즉 국가 데이터국의 설립이 결정된 후에도 계속해서 각 지방 정부에 대해 그 실정에 맞게 데이터를 관리하기 위한 조직 체제를 구축하도록 촉구하고 있다.

이러한 조직 체제를 고려하여, 예를 들어 한국 기업이 정부 관련 인허가 신청을 할 때 디지털 정부의 서비스를 받거나 한국 IT 기업이 디지털 정부 서비스의 프로젝트에 관여할 때, 먼저 그것이 중앙 정부의 디지털화 문제인지 아니면 지방 정부의 디지털화인지 유의해야 한다. 그런 다음 예를 들어, 중앙 정부라면 ‘국가 데이터국이 관장하는 것’인지 확인해야 한다. 이에 대해 지방 정부는 예를 들어, 산둥성이라면 해당 성의 빅데이터국 등 각각의 사령탑이 이미 설치되어 있을 수 있다. 따라서 관련 부처를 확인해야 한다. 또한 지방 정부가 각각 사령탑을 가지고 독자적으로 디지털 정책을 추진하고 있으므로, 지방에 따라 정책이 달라질 가능성이 있음에 유의해야 한다. 또한 2022년부터 시작된 ‘동산서수(東算西數)’ 프로젝트에서는 동부와 서부의 데이터센터의 역할을 나누는 등 데이터센터도 장소에 따라 용도가 달라질 수 있다.

(2) 디지털 전략 정보 관리 체제

디지털 정부화되기 전부터 정부는 대량의 중요 정보를 수집해 왔다. 예를 들어 간부 인사 파일이라 불리는, 정부 관계자의 다양한 경력이나 사상 등에 관한 정보를 관리하고 있다. 그리고 이러한 중요한 정보를 보호하기 위해 행정 내부에서 정보 관리 조치를 취하도록 하는 법령이 다수 존재한다. 예를 들어 국가 비밀 보호법, 개인정보 보호법, 사이버 시큐리티법, 데이터 시큐리티법 등이 있다.

그리고 2007년부터 정보의 내용에 따라 중요도에 맞춰 레벨을 나누어 시큐리티 대책을 실시할 것을 규정하는 ‘레벨별 정보 안전 보호 관리 변법’에 근거하여 대응이 이루어지고 있다.

이처럼 일정한 정보 관리 체제는 존재하지만, 지방에서는 각 지방 정부가 정보 관리 조치에 관한 규칙을 독자적으로 정하고 있다. 그 결과 지방 정부의 정보 관리 조치 정도에 차이가 생겨 매우 엄격하게 관리하는 지방 정부도 일부 존재하지만, 완만한 관리에 그치는 지방 정부도 있다. 따라서 완만한 관리만 하는 지방 정부의 시스템이 이른바 ‘루프홀’이 되어, 그 지방 정부의 시스템과 연결된 다른 지방 정부와 중앙 정부의 시스템에서 대규모로 정보가 누출되는 등의 사고가 발생하게 되는 위험성이 있다고 지적되고 있다.

예를 들어 한국 IT 기업이 정부의 IT 프로젝트를 수주하는 경우, 이러한 레벨별 정보 안전 보호 관리를 적절하게 수행해야 한다. 특히 지방 정부에 따라 요구가 달라지기 때문에, 대부분의 경우 최소한 요구되는 수준이 달라지며, 최소한의 선을 넘는 안전 대책을 마련하는 것은 금지되어 있다. 그래서 최소한의 선에 관한 요구가 낮은 지방 정부 프로젝트라 해도 자사의 IT 서비스가 ‘루프홀’이 되지 않도록 더욱 엄격하게 관리해야 한다.

2025년 1월에 시행된 ‘네트워크 데이터 시큐리티 관리 규정’은 중국 사이버 삼법(사이버 시큐리티법, 데이터 시큐리티법, 개인정보 보호법)에 근거하여 중국 내에서의 데이터 처리, 중국의 자연인의 개인정보, 중국의 국익에 영향을 미치는 외부에서의 데이터 관리에 적용된다. 데이터 처리자는 기술적인 조치를 통해 데이터 시큐리티를 더욱 강화할 것이 요구되며, 개인정보를 취급하기 전에 연락처, 처리 방법, 저장 기간, 데이터에 관한 개인의 권리 등 처리의 세부 사항을 명확하게 개시해야 한다.

(3) eID 정책

중국에서는 기업과 정부의 의사소통을 위한 ID로, 전자 영업 자격 증명서와 통일 사회 신용 코드를 이용한다. 전자 영업 자격 증명서는 종이로 된 영업 자격 증명서와 같은 법적 효력을 가지며, 시장 감독 관리 부문이 발행한다. 또한 통일 사회 신용 코드는 2015년부터 전국에서 통일적으로 법인 등에 부여하는 18자리 번호다. 이러한 통일 사회 신용 코드를 이용하여 기업을 특정하고, 중국 신용넷(제삼자 신용 플랫폼)상에서 공시되는 기업 정보를 열람할 수 있다.

(4) 사이버 시큐리티 관련 조직과 법규제

중국에는 다양한 사이버 시큐리티 조직이 존재하는데, 국가 인터넷 정보 사무실(CAC)이 중앙에서 시큐리티 기본 방침을 책정하고 총괄하는 사령탑 역할을 한다. 또한 국가 데이터국이 행정 디지털화, 데이터 전체 관리 등을 총괄한다.

또한 법규제 면에서는, 사이버 시큐리티의 과제를 국가 안정 보장과 연관 지어 앞서 언급한 중국 사이버 삼법(사이버 시큐리티법, 데이터 시큐리티법, 개인정보 보호법)을 제정함으로써 중국에서 사업을 전개하는 일본 기업에 대해 컴플라이언스 의무를 부과한다.

(5) 최신 동향

‘제14차 5개년’ 국가 정보화 계획

2021년 12월에 “‘제14차 5개년’ 국가 정보화 계획”이 발표되었다. 해당 계획에서는 2025년을 목표로 하는 디지털 기반 인프라 체계 구축, 디지털 사회 가버넌스 체계 구축 및 디지털 정부 서비스 체계 구축 등 10가지의 주요 임무를 정하고 있으며, 이러한 임무를 수행하기 위해 5G 이노베이션 응용 프로젝트 등 17가지 중점 프로젝트를 진행한다.

‘제14차 5개년’ 국가 정무 정보화 추진 계획

2021년 12월에는 정부 서비스의 디지털화에 특화된 5개년 계획 “‘제14차 5개년’ 국가 정무 정보화 추진 계획”도 발표했다. 2025년까지 5년간 행정 빅데이터의 고도의 활용, 전국적으로 통일된 전자 행정 플랫폼 구축 및 행정ㆍ사법ㆍ시장 관리ㆍ공공 안전 보장이 협력하는 가버넌스 시스템 정비를 완성한다는 3가지 목표를 내걸고 있다.

‘데이터 요소 X’  행동 계획

국가 데이터국은 16개의 관청과 함께 2024년 1월에 “‘데이터 요소 X’ 3개년 행동 계획(2024~2026년)”을 발표했다. 여기서 ‘X’는 곱셈을 의미하며, 데이터라는 요소를 다양한 분야와 ‘곱함’으로써 디지털화를 촉진하여 각 분야를 더욱 발전시키겠다는 의도를 가지고 있다. 해당 계획에서는 특히 금융, 의료, 교통 등의 분야에서 데이터 요소를 활용하여 디지털화를 촉진하고자 하고 있다.

‘AI+(플러스)’  정책

2024년 3월 5일의 전국 인민 대표 대회의 정부 활동 보고에서 ‘AI+’ 정책이 제기되었다. 여기서 말하는 ‘AI+’는 대규모 언어 모델, 빅데이터 등의 기술에 근거하여 AI와 각 업계를 깊이 융합시켜 새로운 발전을 위한 에코시스템을 창출하는 것을 목적으로 하는 활동을 말한다. 2024년 7월에 중국 사이버 스페이스 관리국이 발표한 ‘전국 AI 산업 종합 표준화 시스템 구축을 위한 가이드라인(2024년판)’은 ‘AI+’의 니즈를 충족하기 위한 가이드라인으로서, 이노베이션 주도형ㆍ시장 지향형 발전 유지, 산업망에서의 산업 협력, 국가 표준화와 협력을 포함한 일반적 요건, AI의 표준 아키텍처, 기술 표준과 요건, AI 표준 시스템의 틀을 포함한 구축안 등에 대해 개설하고 있다.

기타

상무부는 2024년 4월 28일에 ‘디지털 비즈니스 3년 행동 계획(2024~2026년)’을 발표하고, 국가발전개혁위원회, 국가데이터국, 재정부 및 자연자원부는 2024년 5월 14일에 ‘스마트시티의 발전을 심화시켜 도시의 전면 디지털화를 추진하는 지도 의견’을 공표했다. 또한 2024년 6월 5일에 ‘국가 인공지능 산업 종합 표준화 체계 건설 가이드라인(2024년)’이, 같은 해 7월 1일에 ‘브레인 머신 인터페이스(BMI) 표준화 기술위원회 설립 계획’이, 같은 날에 ‘인공지능 표준화 기술위원회 설립 계획’이 공표되었다.

중국의 AI 관련 국가 전략은 정책, 기존 법령, 알고리즘 규제, 윤리 규제 및 AI 표준으로 구성되어 있다. 법제도는 기존의 사이버 시큐리티 관련 법령을 활용하면서 AI 관련 규제를 제정하는 방식으로 이루어져 있다. 2025년 들어서 중국 기업이 개발한 생성형 AI가 큰 관심을 모으고 있다. 앞으로도 중국에서 발표되는 새로운 AI 기술을 항상 지켜봐야 한다고 생각한다.