최근 외자기업에 대한 여러 단속 관리 활동이 잇따르고 있다. 구체적으로 중국공안기관이 미국 실사기업 Mintz Group의 북경 사무소를 폐쇄하고 현지 직원 5명을 구금한 사례, 일본 Astellas Pharma Inc 회사의 일본계 직원이 중국 내 스파이 활동 혐의로 국가안보기관에 구금된 사례, 중국공안기관이 미국 컨설팅 기업 Bain&Company의 상해 사무소 불시검열 및 직원들을 검문조사한 사례, 및 국가안보기관은 관련 기관과 국내 컨설팅 선도 기업인 Capvision Partners에 대한 공개적 단속한 사례 등이 포함된다.
2023년 4월 26일, 제14기 전국인민대표대회 상무위원회 제2차 회의에서 개정된 <반 간첩법>이 공식적으로 발표되어 2023년 7월 1일부터 시행된다. 본 개정은 <반 간첩법>이2014년 시행된 이래 첫 개정으로, 현재 국가안전을 위협하는 신(新)주체, 신(新)행동, 신(新)위해, 신(新)도전 형세에 대응하기 위한 전면적인 개정이다.
<반 간첩법>의 개정 및 시행과 최근 다수의 관련 국가안전 단속사례는, 외상투자기업의 중국 법률 하에서의 스파이 리스크에 대한 우려를 불러일으켰다. 어떻게 <반 간첩법>의 컴플라이언스 의무를 준수하고, <반 간첩법>에 대한 안보 대비 역할 책임을 부담하며, 행정 및 형사 책임에 직면할 수 있는 가능성을 피할 것인가는 현재 외자기업 및 주재원들이 소홀히 할 수 없는 핵심 과제로 되었다.
이에 비추어, 본 문장은 <반 간첩법> 수정의 주요 내용으로부터 외상투자 기업에 미치는 영향 및 외상투자 기업에 대한 컴플라이언스 제안, 두가지 내용을 중점적으로 전개하고, 이를 통해 외상투자 기업이 <반 간첩법>의 규정에 따른 컴플라이언스 의무를 준수하는 데 도움이 되고자 한다.
1.<반 간첩법>의 중점 개정 내용
가. <반 간첩법> 한계확정의 완벽화
2014년 <반 간첩법> | 2023년 수정된 <반 간첩법> |
제38조, 본 법에서 언급하는 간첩 행위는 다음과 같다: ①.간첩 조직 및 그 대리인이 실시하거나 지시하거나, 타인에게 실시하도록 지원하거나, 국내외 기관, 조직 및 개인과 협력하여 중화인민공화국 국가안전을 위협하는 활동. ②.간첩 조직에 가입하거나 간첩 조직 및 그 대리인의 임무를 수행하는 것. ③.간첩 조직 및 그 대리인 이외의 기타 해외 기관, 조직, 개인이 실시하거나 지시하거나, 타인에게 실시하도록 지원하거나, 국내 기관, 조직, 개인과 협력하여 국가 기밀 또는 정보를 도용하거나 간청하거나 뇌물을 제공하거나 불법적으로 국가 기밀 또는 정보를 제공하거나, 국가 공무원의 반역을 선동하거나 유인하는 활동. ④.적에게 공격 대상을 지시하는 것. ⑤.기타 간첩 활동을 수행하는 것. | 제4조, 본 법에서 언급하는 간첩 행위란 다음과 같다: ①.간첩 조직 및 그 대리인이 실시하거나 지시하거나, 타인에게 실시하도록 지원하거나, 국내외 기관, 조직 및 개인과 협력하여 중화인민공화국 국가안전을 위협하는 활동. ②.간첩 조직에 가입하거나 간첩 조직 및 그 대리인의 임무를 수행하거나, 또는 간첩 조직 및 그 대리인에게 의탁하는 것. ③.간첩 조직 및 그 대리인 이외의 기타 해외 기관, 조직, 개인이 실시하거나 또는 타인에게 지시하거나, 실시하도록 지원하거나, 국내 기관, 조직, 개인과 결탁하여 국가비밀, 정보를 불법적으로 제공 및 기타 국가 안보 및 국가이익과 관련된 문서, 데이터, 자료, 물품에 대한 절취, 탐지, 매수를 실시하거나 국가 공무원의 반란을 책동·유인·협박·매수하는 등 활동. ④.간첩 조직 및 그 대리인이 실시하거나 지시하거나, 타인에게 실시하도록 지원하거나, 국내외 기관, 조직, 개인과 협력하여 국가 기관, 비밀 단위 및 중요 정보 기반 시설 등에 대한 네트워크 공격, 침입, 방해, 통제, 파괴 등의 활동. ⑤.적에게 공격 대상을 지시하는 것. ⑥.기타 간첩 활동 간첩 조직 및 그 대리인이 중화인민공화국 영역 내에서 또는 중화인민공화국의 공민, 조직 또는 기타 조건을 이용하여 제3국에 대한 간첩 활동을 수행하고 중화인민공화국의 국가 안전을 위협하는 경우 본 법이 적용된다. |
신(新)수정된 <반 간첩법>은 간첩 행위의 내용과 범위를 더욱 보완하여 “간첩 조직에 합류하거나 그 대리인에게 의탁하는 것”, “국가 기관, 비밀 단위, 중요 정보 기반 시설 등에 대한 네트워크 공격, 침입, 방해, 통제, 파괴 등의 활동”을 명확하게 간첩 행위로 규정하였다. 또한 “국가 안보와 이익과 관련된 문서, 데이터, 자료, 물품”과 “국가 기밀, 정보”를 동등한 대상으로 규정함으로써 관련 주체들의 도용 대상 범위를 명확히 하였다. 또한 제3국을 대상으로 한 간첩 활동이지만 중국 국가 안전을 위협하는 경우에도 본 <반 간첩법>의 규정이 적용되도록 하였다.
상술한 “간첩행위” 한계확정의 보완에 대하여 외상투자 기업이 주의해야 할 점은:
1.“간첩조직 및 그 대리인에 의탁”
전국인민대표대회 상무위원회 법제업무위원회의 해석에 따르면, “간첩 조직”은 외국 정부나 국외 적대세력이 중국의 정치, 경제, 군사 등 분야의 국가 기밀이나 정보를 수집하거나 중국에 대해 전복, 파괴 등을 목적으로 만들어진, 중국 국가 안보와 이익을 위협하는 조직이다. 예: 미국 중앙정보국(CIA), 일본 방위청 정보본부 등 경외 정보 기관이 있다. 반면, “간첩 조직 대리인”은 간첩 조직 또는 그 구성원에 의해 지시, 위탁, 지원을 받아 중국 국가 안보를 위협하는 활동을 수행하거나 지시하는 사람들을 의미한다. 이로부터 “간첩 조직”의 범위는 비교적 제한적이나 “간첩 조직 대리인”의 범위는 매우 넓으며 어떤 조직 또는 개인도 포함된다는 것을 알수 있다. 이에는 물론 중국 내의 외상투자 기업 및 그 임직원(주재원 포함)도 포함된다. 동시에 외상투자 기업은 해외 주주, 관련 당사자 및 그 정부 기관과의 관계가 더욱 밀접하기 때문에 간첩 조직 대리인으로 인정될 리스크가 내국인 기업보다 훨씬 크다.
2.국가 기관, 비밀단위 또는 중요 정보 기반 시설 등에 대한 네트워크 공격, 침입, 방해, 통제, 파괴 등 활동
네트워크 공격, 침입, 방해, 통제, 파괴 등의 활동을 간첩 행위로 정의하는 것은 주로 서북공업대학교(Northwestern Polytechnical University)가 미국 국가안보국(NSA)의 네트워크 공격으로 인해 대량의 민감한 데이터가 유출된 사건으로부터 경각심을 얻었다. 이로부터 “네트워크화”된 데이터 자산의 안전은 국가의 핵심 자산과 자원으로 자리잡았으며, 국가 기관, 비밀단위 또는 중요 정보 기반 시설 등의 네트워크 안전을 유지하는 것은 국가 안보를 유지하는 중요한 부분이 되었다. 또한 많은 외상투자 기업이 그 자체로 중요한 정보 기반 시설 운영자가 될 수도 있으며, 고객이 중요한 정보 기반 시설 운영자인 경우도 그 자체로 중요한 정보 기반 시설 운영자의 네트워크 안전 상태를 파악할 수 있다. 따라서 검토 없이 네트워크 취약점 등을 설정하여 정보를 외국 기관에 제공하는 경우 간첩 행위로 간주될 수 있다.
3.기타 국가 안보 및 국가이익과 관련된 문서, 데이터, 자료, 물품
“국가 기밀, 정보”를 외국으로 제공하는 것 외, “기타 국가 안보 및 국가이익과 관련된 문서, 데이터, 자료, 물품”은 “국가 기밀, 정보”를 포함하여 기타 형태의 매체로의 확장적 해석을 의미한다. 알려진 바에 의하면, 본 문장의 서두에서 언급한 Capvision Partners는 외국 관련 컨설팅 프로젝트 수행 시 중국의 정당, 정부 기관, 중요 국방과학기술 등에 관련된 비밀 정보 담당자들과 빈번히 연락을 취하고 접촉하며, 산업 컨설팅 전문가를 높은 보상으로 고용하는 명분으로 중국의 다양한 민감한 데이터를 불법적으로 얻어내어 중국의 국가 안보에 심각한 리스크 복병을 초래하였다.
나. 행정 처벌의 종류 및 범위의 확대
한편, 신(新)수정된 <반 간첩법>은 벌금, 면담, 통보 비판, 면허 일시 압류 또는 취소 등 처벌 조치를 추가함과 동시에 단위, 직접 책임자 및 기타 직접 책임자에 대한 처벌 조치도 추가되었다. 또한 타인의 간첩 행위를 돕거나 반 간첩 안전 방어 의무를 이행하지 않는 등의 기타 불법 행위에 대한 법적 책임도 명시하였다.
주체 | 행정책임 |
개인 | 경고 처벌 벌금 통보 비평 행정구류 한정기간 출국명령, 입국금지 개인이 간첩 행위를 실시하였으나 아직 범죄에 해당하지 않는 경우, 국가 안전 기관은 경고 또는 15일 이하의 행정 구류를 부과하며, 단독 또는 동시에 5만 위안 이하의 벌금을 부과할 수 있다. 불법적으로 취득한 이익이 5만 위안 이상인 경우, 불법 취득 이익의 1배 이상 5배 이하의 벌금을 부과하며, 관련 기관은 법에 따라 처분할 수 있다. |
단위 | 경고 정정 명령 통보 비평 관련 책임자 면담 관련 업무나 서비스 중단을 명령, 생산 및 영업 중단, 관련 허가증명의 정지, 등록 취소를 명령. 단체가 간첩 행위를 실시한 경우, 50만 위안 이하의 벌금을 부과하며, 불법취득 이익이 50만 위안 이상인 경우 불법취득 이익의 1배 이상 5배 이하의 벌금을 부과하며, 직접 책임자 및 기타 직접 책임자는 개인에게 적용되는 관련 규정에 따라 처벌한다. |
또한, 신(新)수정된 <반 간첩법>은 법적 책임에 대한 설정에서 “전임” 방식을 사용하여 <형법>, <데이터안전법>, <사이버보안법>의 관련 규정을 결합하였다.
신(新)수정 <반 간첩법>
제36조
국가안전기관이 간첩행위와 관련된 사이버정보의 내용 또는 사이버공격 등의 리스크를 발견한 경우, <중화인민공화국 사이버보안법>에 규정된 책임분담에 따라 즉시 관련 기관에 통보해야 하며, 법에 따라 처리하거나 통신업 사업자, 인터넷 서비스 제공자에게 즉시 취약점을 보완하고 네트워크 방어를 강화하며, 전송을 중단하고 프로그램과 내용을 제거하며, 관련 서비스를 일시 중지하고 관련 응용프로그램을 제거하고 관련 웹사이트를 폐쇄하는 등의 조치를 취하도록 명령하고 관련 기록을 보관해야 한다. 상황이 긴급하여 즉각적인 조치가 취해지지 않으면 국가 안보에 심각한 리스크를 초래하는 경우, 국가안전기관은 관련 부서에 취약점을 보완하고 관련 전송을 중단하고 관련 서비스를 일시 중지하도록 지시하며, 관련 기관에 통보해야 한다.
관련 조치를 취한 후, 상기 정보 내용 또는 리스크가 제거된 경우, 국가안전기관 및 관련부서는 적시에 관련 전송 및 서비스 복원을 결정해야 한다.
제53조, 제60조, 제69조
는 범죄를 구성하는 경우, 법에 따라 형사 책임을 추궁한다.
제59조
해당 법규를 위반, 데이터 수집에 협조하지 않을 경우, 국가안전기관은 <중화인민공화국 데이터안전법>의 관련 규정에 따라 처벌한다.
(1)간첩 행위와 관련된 사이버정보 내용에 대해, <사이버보안법>, <데이터안전법>은 중요한 데이터의 수집, 처리, 경외전송 등에 대해 명확한 규정, 요구사항 및 처벌 조치를 규정하였다. <사이버보안법>은 핵심정보 인프라 운영자가 법에 따라 안전 평가를 수행하지 않고 데이터(중요 데이터 및 개인 정보 포함)를 해외에 저장하거나 네트워크 데이터를 해외에 제공하거나, 네트워크 운영자가 게시 또는 전송중인 정보의 중단, 제거 조치, 관련 기록 보존 등을 거부하는 행위에 대해 벌금, 관련 업무정지 명령, 업무 정지 및 시정, 웹사이트 폐쇄, 관련 업무 허가 취소 또는 영업 면허 취소 등의 행정 처벌을 부과한다. <데이터안전법>은 중요한 데이터를 해외로 제공하는 경우, 벌금, 관련 업무정지 명령, 업무 정지 및 시정 관련 업무 허가 취소 또는 영업 면허 취소 등 행정 처벌을 부과한다.
(2)간첩행위와 관련된 사이버 공격에 대하여 <사이버보안법> 제76조 제2항에 따라 네트워크 안전은 필요한 조치를 취하여 사이버 공격, 침입, 방해, 파괴, 불법 사용 및 우발사고를 대비하여 네트워크를 안정적이고 신뢰할 수 있는 상태로 유지하고, 네트워크 데이터의 무결성, 비밀성, 가용성을 보장하는 능력을 의미한다. 따라서, 사이버 공격을 방지함으로써 네트워크 안전을 보장하는 것이다. 이에 따라 <사이버보안법>, <데이터안전법>은 네트워크 정보 안전을 유지하기 위해 감지경보, 비상대응, 결함 및 취약점 등 리스크 보완 및 안전 사고 보고 메커니즘을 규정하고 있다.
(3)데이터 수집에 협조하지 않는 경우, <데이터안전법> 제48조에 따라 관련 주관부서에서 시정 명령 및 경고, 5만 위안 이상 50만 위안 이하의 벌금을 부과하며, 직접 책임자와 기타 직접 책임자에 1만 위안 이상 10만 위안 이하의 벌금을 부과한다.
다. 새로 추가된 안전대비 특별규정
신(新)수정 <반 간첩법>은 “안전대비”에 대한 특별규정이 추가되었으며, 한편으로 기업(외상투자 기업 포함)의 반 간첩 안전대비 업무를 담당하는 주체 책임을 명확히 규정하였다. 동시에, 반 간첩 안전대비 중점 단위는 반 간첩 안전대비 업무 제도를 확립하고 반 간첩 안전대비 업무 요구사항을 이행하며, 직원의 반 간첩 안전대비 교육 및 관리를 강화하며, 비밀사항, 장소, 캐리어 등에 대한 일상적인 안전대비 관리를 강화하고, 중요 부서, 위치, 사이버 시설, 정보 시스템에 대한 반 간첩 기술 방범을 강화하도록 요구하고 있다. 본 특별규정의 설정은 “무엇을 방지하는지”, “어떻게 방지하는지”에 대한 문제를 효과적으로 해결하였다.
라. 서로 다른 감독관리부서 간의 협조 및 조정 강도의 강화
신(新)수정 <반 간첩법>은 국가안전기관, 출입국 관련 관리 기관 및 관련 기관의 협조와 조정을 강화하여 간첩 행위를 신속하고 정확하게 제지하고 처벌할 수 있도록 하고 있다. 예를 들어 국가안전기관이 간첩 행위와 관련된 네트워크 정보 내용이나 사이버 공격 등의 리스크를 발견한 경우, 국가안전기관은 즉시 관련 기관에 통보하여 해당 전기통신사업자와 인터넷서비스 제공자에 대해 대응 조치를 취하도록 요구한다. 또한 국가안전기관이 특정 중국 공민에 대하여 일정기간 출국금지 또는 특정 외국인에 대해 입국 금지를 결정한 경우, 이민관리국에 통보할 수 있으며 이민관리국은 출입 제한 조치를 책임진다.
2.외상투자 기업에 대한 컴플라이언스 건의
본 <반 간첩법> 개정의 핵심 내용에 대응하여 외상투자 기업은 다음과 같은 조치를 취하여 <반 간첩법> 하에서의 컴플라이언스 리스크를 감소하고 예방할 수 있다.
Part.1
<사이버보안법>, <데이터안전법>, <개인정보 보호법> 및 <핵심 정보인프라 보안규정> 등 관련 법률 법규는 기업 내 모든 데이터를 반 간첩 조사, 효율적인 식별 및 정리하여 기업 내 접촉, 중요 데이터, 핵심정보인프라 존재 여부 및 핵심정보인프라 운영자에 해당하는지 여부를 자체 조사하도록 규정하고 있다.
Part.2
데이터 분류 및 등급 보호 시스템을 구축하여 데이터의 경제 및 사회 발전에서의 중요 정도, 데이터가 변조, 파괴, 유출 또는 불법 취득, 불법 이용으로 인해 국가 안보, 공공이익 또는 개인, 조직의 합법적 권익에 미치는 위해 정도에 따라 데이터를 분류하여 등급별로 보호한다.
Part.3
기업 내 반 간첩 행위의 컴플라이언스 체계 구축을 강화해야 한다. 기업 내 관련 부서의 역할 분담, 간첩 행위 식별, 간첩 행위 보고의 내부 프로세스, 거래상대방(공급상, 고객 등) 협력단위가 속한 업종 및 분야 등에 대한 실사 조사 및 데이터 제공 약속 요구 가능한 반 간첩 행위 발견에 대한 대응 조치 등을 포함하되 이에 국한되지 않는다.
Part.4
정기적으로 직원에게 교육을 실시하여 직원들의 반 간첩 안전대비 의식을 향상한다.
Part.5
내부 데이터 컴플라이언스 관리 시스템을 구축하여 기업이 접촉하고 소유하는 모든 종류의 데이터 정보의 데이터생명주기 처리(수집, 저장, 사용, 가공, 전송, 제공 및 경외이전 등)의 컴플라이언스를 보장한다.
Part.6
국가의 관련 정책, 법규를 엄밀히 준수하며, 국가 안전한 레드 라인을 엄격히 준수한다. 특히 관련 데이터 정보를 해외에 제공하는 경우, 관련 규정 절차 (예: 데이터 경외이전 안전 평가 심사)를 엄격히 준수하고 법률에 따라 승인 권한을 가진 주관 부서에 보고하여 승인을 받아야 한다.
Part.7
반 간첩 안전대비 업무 시스템을 구축하고, 기밀 사항, 장소, 캐리어 등에 대한 일상적인 안전대비 관리를 강화해야 한다. 또한 반 간첩 비상 대응 메커니즘을 구축하여 효과적인 예방, 실시간 감독, 적시 발견 및 효과적인 대응을 해야 한다.
Part.8
국가안전기관의 반 간첩 조사에 적극적으로 협조하고, 지속적이고 효과적인 의사 소통을 유지해야 한다. 동시에 사건 조사 기관과의 협조를 기반으로 진술, 변론, 청문 요청 등 절차적 권리를 충분히 행사하는 데 주의를 기울여 기업의 권리와 이익을 최대한 보호해야 한다.
Part.9
기업 자체에 대한 반 간첩 안전 리스크 감사를 주기적으로 진행하며, 특히 <반 간첩법>의 새로 수정된 핵심 내용, 즉 “사이버 보안” 및 “데이터” 정보에 대하여 주기적인 리스크 선별을 진행한다.
