개인정보보호법이 중국 전자 서명 저장에 미치는 영향은 무엇인가?

중국 PIPL 및 전자 서명 저장소 이해

중국 개인정보보호법(PIPL)은 2021년 11월에 제정되어 2022년 11월에 발효되었으며, 이는 중국의 데이터 프라이버시 프레임워크의 중요한 진화를 의미합니다. 유럽 연합의 GDPR을 모델로 삼았지만 중국의 고유한 규제 환경에 맞게 조정된 이 법은 개인 정보의 수집, 처리, 저장 및 전송에 대한 엄격한 요구 사항을 부과합니다. 전자 서명(e-signatures)을 처리하는 기업의 경우 PIPL은 데이터 현지화, 사용자 동의, 보안 조치 및 국경 간 데이터 흐름을 강조함으로써 저장소 관행에 직접적인 영향을 미칩니다. 이 법은 위치에 관계없이 중국 거주자의 개인 데이터를 처리하는 모든 조직에 적용되므로 중국에서 운영하거나 중국 시장을 대상으로 하는 글로벌 전자 서명 제공업체에게 중요한 고려 사항입니다.

PIPL의 핵심 요구 사항은 이름, 이메일 주소, 생체 인식 데이터 또는 문서에 포함된 서명과 같은 개인 정보는 국경 간 전송에 대한 특정 조건이 충족되지 않는 한 중국 내에 저장되어야 한다는 것입니다. PIPL 제38조는 특히 인증 세부 정보가 포함될 수 있는 전자 서명과 같은 민감한 정보의 데이터 수출에 대한 보안 평가를 요구합니다. 이러한 현지화 요구 사항은 국가 안보 문제에서 비롯되며 외국 기관의 무단 액세스를 방지하는 것을 목표로 합니다. 전자 서명 플랫폼의 경우 이는 저장소 인프라가 데이터 상주 규칙을 준수해야 함을 의미하며 일반적으로 현지 데이터 센터 또는 중국 인증 클라우드 제공업체와의 파트너십이 필요합니다. 규정 준수 실패는 최대 5천만 위안(약 7백만 달러)의 벌금 또는 연간 수입의 5%에 해당하는 벌금과 운영 중단으로 이어질 수 있습니다.

PIPL의 영향은 동의 메커니즘으로 확장됩니다. 전자 서명은 일반적으로 서명 프로세스 중에 IP 로그 또는 감사 추적과 같은 개인 데이터 처리를 포함합니다. PIPL에 따르면 이러한 데이터를 수집하거나 저장하기 전에 명확하고 정보에 입각한 동의(제13조)가 필요하며 사용자는 쉽게 동의를 철회할 수 있어야 합니다. 저장소 관행에는 데이터 최소화(필요한 정보만 보관)와 유출을 방지하기 위한 강력한 암호화(제51-53조)가 포함되어야 합니다. 예를 들어, 누가 언제 무엇에 서명했는지 기록하는 전자 서명 감사 로그는 개인 데이터에 해당하며 가능한 한 익명화하거나 가명화해야 합니다. 또한 PIPL의 역외 효력(제3조)은 다국적 기업에 영향을 미칩니다. 전자 서명이 중국 당사자가 관련된 계약에 사용되는 경우 전체 저장소 체인이 PIPL을 준수해야 하며 이는 하이브리드 클라우드 설정을 복잡하게 만들 수 있습니다.

실제로 이러한 규칙은 전자 서명 제공업체가 아키텍처를 재검토하도록 유도합니다. 많은 제공업체가 이제 데이터 혼합을 피하기 위해 중국 전용 인스턴스를 제공하고 저장소를 격리합니다. 이 법은 또한 중국의 사이버 보안법(2017) 및 데이터 보안법(2021)과 얽혀 “안전하고 제어 가능한” 데이터 처리를 강조하는 규정 삼중주를 형성합니다. 기업은 전자 서명 솔루션을 배포하기 전에 저장소 중 데이터 유출과 같은 위험을 평가하는 개인 정보 보호 영향 평가(PIPIA)를 수행해야 합니다. 전자 서명을 통해 서명된 다국적 계약과 같은 국경 간 시나리오의 경우 제공업체는 보세 구역을 사용하거나 데이터 전송에 대한 정부 승인을 받아야 할 수 있으므로 복잡성과 비용이 증가합니다.

중국 전자 서명 법률: 더 넓은 배경

중국의 전자 서명 프레임워크는 PIPL보다 먼저 존재했지만 강화되었습니다. 전자 서명법(ESL)은 2005년부터 시행되어 데이터 무결성 및 부인 방지와 같은 신뢰성 기준을 충족하는 경우 전자 서명에 수기 서명과 동등한 법적 인정을 제공합니다. 미국의 보다 유연한 ESIGN 법안 또는 EU의 eIDAS와 달리 중국의 ESL은 “신뢰할 수 있는” 전자 서명(승인된 인증 기관 또는 CA에서 제공하는 암호화 인증서 사용)과 더 간단한 서명을 구별하며 전자는 법원에서 증거 효력이 더 강합니다.

PIPL은 이러한 기술적 요구 사항 위에 개인 정보 보호를 추가하여 ESL과 통합됩니다. 저장소의 경우 이는 전자 서명 플랫폼이 서명된 문서와 메타데이터가 진위성에 대한 ESL과 개인 정보 보호에 대한 PIPL의 두 법률을 모두 준수하는지 확인해야 함을 의미합니다. 중국 국가 인터넷 정보 사무국(CAC)은 법 집행을 담당하며 일반적으로 금융 또는 의료와 같은 고위험 산업에서 다단계 인증 및 블록체인과 유사한 불변성을 사용하도록 요구합니다. 2023년의 인터넷 전자 서명 서비스 관리 방법과 같은 최근 지침은 저장소 시스템이 실시간 감사 및 데이터 주권을 지원해야 하며 CAC의 승인 없이 해외 저장을 금지한다고 규정합니다.

아시아 태평양 지역과 같이 파편화된 시장에서 중국 제도는 정부 지원 디지털 ID(예: 실명 인증 시스템)를 강조함으로써 두드러집니다. 이는 이메일 기반 확인만 필요한 서구 모델과 대조되며 전자 서명 저장소 현지화 준수의 필요성을 강조합니다.

규정 준수 탐색: 전자 서명 저장소 관행에 대한 주요 영향

PIPL과 ESL의 상호 작용은 중국 전자 서명 저장소를 재구성하여 제공업체가 더 큰 현지화와 투명성으로 나아가도록 추진합니다. 저장 기간은 이제 법적 보존 기간(계약의 경우 일반적으로 3-5년)과 연결되지만 PIPL의 데이터 최소화 원칙에 따라 목적이 완료되면 자동으로 삭제되어야 합니다. 2022년 일부 플랫폼에서 사용자 데이터가 노출된 것과 같은 저장소 보안 취약점은 조사가 강화되어 CAC는 100만 명 이상의 사용자를 처리하는 운영자가 연간 규정 준수 감사를 받도록 요구했습니다.

기업의 경우 이는 중국 규정을 준수하는 저장소를 갖춘 제공업체를 선택하는 것으로 해석됩니다. 정적 암호화 데이터, 역할 기반 권한 액세스 제어, 인증서 관리를 위한 로컬 CA와의 통합입니다. 국경 간 회사는 추가적인 장애물에 직면합니다. 예를 들어, WeChat 통합 워크플로에서 전자 서명을 저장하려면 벌금을 피하기 위해 PIPL의 동의 프로세스를 준수해야 합니다. 전반적으로 PIPL은 저장소를 기술적 각주에서 전략적 필수 사항으로 격상시켜 규정을 준수하는 클라우드 솔루션의 혁신을 촉진하는 동시에 적응하지 못하는 사람들을 제거했습니다.

중국 및 아시아 태평양 규정 준수를 위한 전자 서명 솔루션 비교

기업이 PIPL을 준수하는 전자 서명 도구를 찾으면서 일부 제공업체는 저장소 및 규제 기능으로 인해 두드러집니다. 이 섹션에서는 주요 참여자를 조사하고 중국의 데이터 상주 및 개인 정보 보호 요구 사항을 어떻게 해결하는지에 중점을 둡니다.

DocuSign: 현지화 옵션이 있는 글로벌 리더

DocuSign은 2003년부터 전자 서명 기술의 선구자였으며 기업 문서 워크플로를 위한 강력한 솔루션을 제공합니다. 해당 플랫폼은 봉투 암호화 및 감사 추적을 포함한 기능을 통해 안전한 저장을 지원하지만 중국의 경우 사용자는 PIPL의 현지화 규칙을 충족하기 위해 지역별 특정 계획을 선택해야 합니다. DocuSign의 엔터프라이즈급 패키지에는 로컬 제공업체와의 파트너십을 통해 데이터 상주 옵션이 포함되어 개인 데이터가 국내에 유지되도록 보장합니다. 그러나 API 통합 및 인증과 같은 추가 기능에는 추가 비용이 발생하며 국경 간 저장은 CAC 평가를 준수하도록 신중하게 구성해야 합니다. 글로벌 팀에 적합하지만 좌석 기반 가격은 대규모 중국 인력에게 급격히 상승할 수 있습니다.

Adobe Sign: 통합 워크플로 도구

Adobe Document Cloud의 일부인 Adobe Sign은 PDF 도구 및 Microsoft 365와 같은 엔터프라이즈 시스템과의 원활한 통합에 탁월합니다. 중국 저장소의 경우 Adobe의 글로벌 데이터 센터를 통해 규정 준수 옵션을 제공하여 암호화 저장 및 동의 관리를 통해 PIPL을 준수합니다. 조건부 필드 및 결제 수집과 같은 기능은 계약에 유용하지만 사용자는 완전한 현지화에 어려움이 있다고 보고합니다. 달리 지정하지 않는 한 데이터가 미국 시스템을 통해 라우팅될 수 있습니다. 가격은 사용량을 기준으로 하며 중견 기업에 적합하지만 고급 규정 준수 기능에는 일반적으로 맞춤형 엔터프라이즈 계약이 필요합니다.

HelloSign (Dropbox Sign): 사용자 친화적인 대안

현재 Dropbox에 속해 있는 HelloSign은 단순성을 강조하며 고급 계획은 드래그 앤 드롭 서명 및 무제한 템플릿을 제공합니다. 저장소는 SOC 2 인증을 포함한 기본 개인 정보 보호 표준을 준수하지만 중국의 경우 기본 PIPL 현지화가 부족하여 사용자 구성 VPN 또는 타사 저장소에 의존합니다. 무료 계층이 소규모 팀에 매력적이지만 규제 대상 산업에는 적합하지 않습니다. Dropbox와의 통합은 안전한 파일 저장을 보장하지만 봉투 제한 및 봉투당 요금은 대용량 중국 운영에 누적될 수 있습니다.

eSignGlobal: 아시아 태평양에 중점을 둔 경쟁자

eSignGlobal은 특히 아시아 태평양 지역에서 강점을 가지고 전 세계 100개 이상의 주요 국가의 규정 준수를 지원하는 지역 최적화된 전자 서명 플랫폼으로 자리매김하고 있습니다. 중국 및 더 넓은 아시아 태평양 지역에서 전자 서명 규정은 파편화되고 높은 기준이며 엄격하게 규제되므로 eSignGlobal은 고유한 과제를 해결합니다. 일반적인 원칙(예: 이메일 확인 또는 자기 선언에 의존하는 ESIGN 또는 eIDAS와 같은 서구 기반 프레임워크 표준과 달리 아시아 태평양은 “생태계 통합” 접근 방식이 필요합니다. 여기에는 기업에 대한 정부(G2B) 디지털 ID와의 심층적인 하드웨어 및 API 수준 통합이 포함되며 이는 일반적인 서구 방법보다 훨씬 뛰어넘는 기술적 장애물입니다.

중국의 경우 eSignGlobal은 홍콩 및 싱가포르의 로컬 데이터 센터를 통해 PIPL 준수 저장을 보장하여 국경 간 마찰 없이 데이터 상주를 촉진합니다. 해당 플랫폼은 홍콩의 iAM Smart 및 싱가포르의 Singpass와 같은 지역 시스템과의 원활한 통합을 지원하여 ESL에 따라 신뢰할 수 있는 전자 서명을 구현하는 동시에 PIPL 동의 및 암호화를 포함합니다. 전 세계적으로 eSignGlobal은 DocuSign 및 Adobe Sign과 경쟁하기 위해 확장하고 있으며 경쟁력 있는 가격을 제공합니다. Essential 계획은 연간 199달러(약 월 16.6달러)로 최대 100개의 전자 서명 문서, 무제한 사용자 좌석 및 액세스 코드를 통한 확인을 허용합니다. 이 모든 것은 규정을 준수하고 비용 효율적인 플랫폼을 기반으로 합니다. 옵션을 탐색하려는 사용자를 위해 30일 무료 평가판은 PIPL 준수 기능을 테스트하기 위한 전체 액세스를 제공합니다.

규정 준수 선택에 대한 최종 생각

결론적으로 PIPL은 보안, 현지화된 저장을 우선시하여 중국 전자 서명 환경을 강화하여 제공업체가 적응하거나 장애물에 직면하도록 강요했습니다. 강력한 지역 규정 준수를 갖춘 DocuSign 대안을 찾는 기업의 경우 eSignGlobal은 아시아 태평양 요구 사항에 맞는 균형 잡힌 옵션으로 두드러집니다.