금천성법률사무소 파트너 변호사 마오궈펑

2023년 4월 26일 제14기 중국 전국인민대표대회 상무위원회 제2차 회의에서 ‘중화인민공화국 반간첩법’이 개정됐다. 이는 2014년 제정 이후 약 10년 만에 이루어진 개정으로, 전통적 안보 위협과 비전통적 안보 위협이 병존하는 상황에 대응하기 위한 중국 정부의 조치 중 하나이다.

2021년 상하이에 있는 한 정보기술 회사는 중국 16개 도시에서 철도 신호 데이터를 수집해 외국 회사에 제공했고, 이후 해당 회사의 영업 책임자와 법정 대리인은 국가 비밀을 외국에 불법 제공한 혐의로 상하이 국가안전국에 체포됐다.

2023년 3월, 일본 제약회사 아스텔라의 중국 지사에 근무하는 일본인 임원은 베이징에서 간첩 활동 혐의로 국가안전국에 체포됐다.

또한, 컨설팅 기업인 카이성룽잉(凯盛融英) 정보기술(상하이) 주식회사는 중국 기밀 정보관련 인사와 접촉하며 다양한 민감 정보들을 불법 취득했고, 이에 2023년 5월 8일 국가안전국은 관련 부서와 협력해 당사에 반간첩법 혐의가 있다고 간주하고 조사에 착수했다. 카이성룽잉은 5월 10일 자율 준수 관리위원회를 설립하고 국가안전기관의 개선 요구를 이행하겠다고 밝혔다.

위 사례는 ‘반간첩법’ 등 중국 국가 안보 관련 법률 제도의 도입 배경을 보여주는 사례로, 외국 기업은 중국에서 사업을 진행할 경우 현지의 국가 안보 관련 제도를 숙지하는 것이 필수적일 것이다.

중국 공산당 제18기 중앙위원회 제4차 전체회의에선 ‘전반적 국가안보관을 구현하고 국가안보 법제 체계를 구축하자’는 기조가 처음으로 제안됐다. 중국의 국가안보 법률 체계는 ‘국가안전법’을 핵심으로 하는 가운데 여러 전문 분야와 관련된 법과 행위에 관한 법이 보조적으로 실시되는데, ‘반간첩법’은 이런 체계의 일부다. 필자는 이번 ‘반간첩법’ 개정의 주요 내용을 정리하고 외국 기업이 유의해야 할 사항을 제시함므로써 중국 내에서의 준법적 비즈니스 활동에 유용한 제안을 제공하고자 한다.

2023년 반간첩법 개정 주요사항

우선, 2023년 반간첩법 개정의 4가지 주요 사항은 다음과 같다.

1. 보호 대상 확대

2014년 반간첩법 제38조 제3항은 간첩 행위의 대상으로 ‘국가 비밀 또는 정보’만을 명시했으나, 2023년 반간첩법 제4조는 이를 ‘국가 비밀, 정보 및 기타 국가안전 및 이익과 관련된 문서, 데이터, 자료, 물품’으로 확대했다. 의약, 에너지, 금융, 컨설팅 등 산업의 다국적 기업이 보유한 대량의 데이터와 자료는 중국 국가 안전 및 이익과 관련돼 있을 가능성이 매우 높으므로, 중점적으로 관심을 기울일 필요가 있다.

2. 네트워크 간첩 관련 규정 명확화

인터넷 기술 발전에 따라 간첩 행위는 오프라인에서 온라인으로 확대되고 있으며, 네트워크 및 데이터 공간의 공격 및 방어가 반간첩의 주요 전장이 되고 있다. 2023년 반간첩법 제4조 제4항은 국가 기관, 기밀 관련 기관 또는 핵심 정보 인프라에 대한 네트워크 공격, 침입, 방해, 통제, 파괴 행위를 간첩 행위로 규정한다. 핵심 정보 인프라로 인정된 기업은 자체 네트워크 보안 보호 조치를 강화해야 한다.

3. 국가안전기관의 반간첩 업무 집법 수단 다양화

2023년 반간첩법은 ‘조사 처분’ 내용을 추가하여 반간첩 업무에서 국가안전기관의 권한을 명확히 했다. 이는 인원과 물품에 대한 강제 조치 권한 범위를 구체화한 것으로, 인원에 대한 강제 조치 측면에서 국가안전기관은 신분 증명 확인, 상황 문의, 소지품 확인할 수 있다. 또한 소환, 질문, 신체검사, 출입국 제한 등의 조처를 할 수 있다. 물건에 대한 강제 조치 측면에서 국가안전기관은 관련 장소, 전자 기기, 시설 또는 재물에 대한 차압, 압수, 동결, 조사 등의 조처를 할 수 있다. 또한 관련 문서, 데이터, 자료, 물품 등을 조회하는 권한을 가지고 있다.

4. 반간첩 업무의 엄격한 책임제 확정

2023년 반간첩법 제4조는 간첩 조직 및 그 대리인 외에도 외국 기관, 조직, 개인이 간첩 행위를 직접 수행하거나 지시하고 자금 지원하여 타인이 실시하는 경우, 또는 중국 국내 기관, 조직, 개인이 이들과 결탁하여 국가 비밀, 정보 및 기타 국가의 안전과 이익에 관련된 문서, 데이터, 자료, 물품을 절취, 탐지, 매수, 불법 제공하는 행위를 간첩 행위로 규정하고 있다. 이는 중국 국내 조직이나 개인이 협력하는 해외 기관, 조직, 개인이 간첩 조직 또는 그 대리인임을 인지하지 못해도, 해당 조직이나 개인이 절취, 탐지, 매수, 불법 제공 행위를 수행했다면 간첩 행위로 간주될 수 있음을 의미한다.

이상은 「반간첩법」의 네 가지 주요 개정 사항이며, 다음으로 필자는 외국 기업들이 가질 수 있는 의문점과 주의사항에 대해 순서대로 설명하고자 한다.

외국 기업들이 알아두면 좋은 점 

1. 개정된 반간첩법이 중국 내 외국 기업과 외국인의 리스크를 예측할 수 없게 만드는가?

중국 국가안보 수호는 반간첩법의 변함없는 목표이며, 외국 기업과 외국인이 중국에서 준수해야 할 기본 원칙이다. 사실, 이미 제정된 중국<네트워크 안전법>, <데이터 안전법>, <개인정보 보호법> 등 법률 및 행정 규정은 중요한 데이터의 범위, 수집, 저장, 사용, 가공, 전송, 제공, 공개 등에 대한 명확한 규정을 두고 있으며, 이번 반간첩법 개정안은 새로운 규제를 신설하지 않았다. 외국 기업과 외국인이 중국 법률에 따른 투자, 산업 허가, 데이터 보호 및 출입국 관리 등의 규제를 철저히 준수하는 한, 반간첩법을 위반할 실질적인 리스크는 없다고 할 수 있다.

2. 외국 기업이 더 이상 중국의 중요 산업과 분야에 투자할 수 없는가?

중국 <외국인 투자 안전 심사 방법> 제4조에 따르면, ‘중요 산업과 분야’에는 (1) 군수 산업과 군수 지원 분야 등 국방 안전 분야 및 군사 시설과 군수 시설 인근 지역의 투자 분야, (2)국가 안보와 관련된 중요 농산물, 에너지 및 자원, 대형 장비 제조, 중요 인프라, 중요 운송 서비스, 중요 문화 상품 및 서비스, 중요 정보 기술과 인터넷 제품 및 서비스, 중요 금융 서비스, 핵심 기술 등 분야가 포함된다. 이외에 「중요 정보 인프라 안전 보호 규정」 제2조에 따르면 중요 산업과 분야는 또한 공공 통신과 정보 서비스, 에너지, 교통, 수리(水利)시설, 금융, 공공 서비스, 전자정부, 국방 과학기술 산업 등을 포함한다.

비록 상술한 산업 및 분야의 범위가 매우 광범위하지만, 외국인 투자 제한 규정과 외국인투자 안전심사 규정을 위반하지 않고 합법적으로 데이터를 수집, 처리하는 전제하에 중국 정부는 여전히 외국 기업의 중요 산업과 분야에 대한 투자를 장려하고 있다.

필자는 외국 기업이 가급적 법적 투자 대상을 통해 직접 데이터를 수집하고, 제삼자 조사를 통한 데이터 취득을 지양하며, 데이터 해외 이전과 관련된 법규를 준수할 것을 권장한다. 그렇지 않으면 간첩 행위로 간주될 리스크가 있다.

3. 외국 기업의 주요 주의 사항

다양한 집법 사례와 실무 경험을 바탕으로, 필자는 외국 기업이 다음과 같은 사항에 주목할 것을 제안한다.

(1) 중요 민감 데이터와 정보의 분류 및 등급별 보호

중국 <네트워크 안전법>과 <데이터 안전법>은 반간첩법 집행의 주요 수단이 됐다. 따라서 기업은 반간첩 감사를 대비해 보유한 데이터 자산을 체계적으로 분류하고 점검할 필요가 있다. 컨설팅, 실사, 에너지, 전력, 금융, 군수 등 민감한 업종은 중국 국가안보 관점에서 기업이 보유한 국가 비밀, 정보, 핵심 데이터, 중요한 데이터, 국가안전에 위협이 될 수 있는 문서, 데이터, 자료, 정보에 대해 분류 및 등급별 보호 체계를 구축해야 한다.

(2) 제삼자 공급업체, 협력사 및 고객에 대해 심도 있는 배경 조사 진행

자체 데이터 자산 관리 외에도 제삼자 공급업체 및 협력사에 대한 신원 확인과 배경 조사를 해야 한다. 필요시 해당 제삼자가 관련 승낙서를 제출하도록 요구할 수 있다. 의심스러운 제삼자에 대해서는 특별한 신원을 식별할 수 있는 적절한 조처를 해야 한다.

(3) 네트워크 안전 기술 보호 조치 강화

피싱 메일이나 악성 코드 등을 통한 네트워크 공격으로부터 정보를 탈취당하는 것을 방지하기 위해, 기업은 악의적 활동과 잠재적 취약점을 지속적으로 모니터링해야 하며, 네트워크 보안 기술의 결함으로 인한 데이터 유출을 방지해야 한다. 이 외에 핵심 정보 인프라로 지정된 기업은 더욱 강력한 네트워크 안전 보호 조치를 시행해야 한다.

(4) 회사 고위층 및 핵심 직책 인원 대상 반간첩 및 국가안보 법률 교육 실시

중국 반간첩법과 형법 모두 직접 책임자와 주요 관리자에게 주로 책임을 추궁한다. 만약 관련 직원들이 적절한 차단 및 예방 조치를 다 했다면 형사 책임을 추궁받지 않는다. 외국 기업들은 이번 법률 개정을 결합하여 관련 교육을 적극적으로 실시하고, 모든 직원의 준법 의식을 강화해야 한다.

중국 내 외국 기업의 운영 방식, 업종 특성, 인력 구조 등은 간첩 침투에 취약해질 가능성이 있다. 이에 반간첩법 개정 시점을 맞아 외국 기업은 자사 및 업종의 특성을 고려해 반간첩 준법 체계를 마련하고, 안정적이고 지속 가능한 경영을 이어가야 할 것이다.

※ 해당 원고는 외부 전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.