사우디아라비아 개인정보보호법(PDPL), SDAIA 국외 이전 규정, 그리고 개인정보를 왕국 내에 보관하는 방법을 실무적으로 안내합니다. 호스팅 사업자 선택, 데이터 위치 검증, 컴플라이언스를 위한 백업 및 DNS 구성에 대한 구체적인 절차를 함께 다룹니다.
PDPL이 데이터 보관 위치에 대해 의미하는 바
사우디아라비아 개인정보보호법(PDPL)과 그 시행 규정은 2023년 9월 14일에 발효되었으며, 1년의 유예 기간이 주어졌습니다. 2024년 9월 14일부터 왕국 내 개인의 개인정보를 처리하는 모든 조직은 전면적으로 법을 준수해야 합니다. PDPL은 주로 사우디 데이터·인공지능청(SDAIA)이 집행하며, 국가사이버보안청(NCA)의 사이버보안 통제도 함께 적용됩니다.
PDPL이 데이터의 국외 전송을 전면적으로 금지하는 것은 아니지만, 왕국 내 호스팅을 가장 간단한 컴플라이언스 경로로 만들고 있습니다. 개인정보가 사우디 서버를 벗어나는 순간 국외 이전 체계가 작동하게 되며, 추가적인 법적 근거, 문서 작업, 위험 평가가 따라옵니다. 데이터를 왕국 내에 보관하면 이러한 부담의 대부분이 사라집니다.
이 튜토리얼은 관련 규정을 알기 쉬운 용어로 설명하고, 데이터가 사우디아라비아 내에 머무르도록 호스팅하기 위한 구체적인 단계를 제시합니다.
국외 이전 규정 요약
2024년 8월, SDAIA는 왕국 외부로의 개인정보 이전에 관한 규정("이전 규정")을 발표했습니다. 국외로의 이전은 다음 요건을 모두 충족할 때에만 적법합니다.
- 허용되는 목적 — 예: 왕국이 당사자인 협정의 이행, 왕국의 이익 도모, 정보주체와의 합의 이행, 컨트롤러의 활동을 가능하게 하는 중앙 집중 처리, 정보주체에 대한 서비스 제공, 또는 과학 연구.
- 목적지에서의 적정 수준의 보호 — 해당 국가에 대한 SDAIA의 적정성 결정, 또는 세 가지 적절한 안전장치 중 하나로 입증됩니다.
- 표준계약조항(SCCs) — SDAIA는 2024년에 첫 번째 세트를 발표했습니다.
- 그룹 내 이전을 위한 구속력 있는 기업 규칙(BCRs).
- 승인된 인증서.
- 데이터 최소화 — 명시된 목적에 필요한 데이터만 이전합니다.
- 필요한 경우의 이전 위험 평가(TRA) — 예를 들어 민감 데이터의 지속적이거나 대규모 이전, 또는 적정성 결정이나 인증이 없는 관할권/기관으로의 이전이 이에 해당합니다. SDAIA는 이를 체계화하기 위해 2025년 2월에 위험 평가 가이드라인을 발표했습니다.
2026년 중반 기준으로 SDAIA는 아직 적정 국가의 공개 목록을 발표하지 않았습니다. 실무적으로 이는 국외 이전이 대개 SCCs 또는 BCRs에 더하여 문서화된 위험 평가에 의존한다는 것을 의미하며, 이는 실제로 반복되는 컴플라이언스 작업입니다. 왕국 내 호스팅은 이 전체 절차를 우회합니다.
의사결정 흐름: 이전이 정말 필요한가?
Does the data identify or relate to a person in KSA?
│
├── No ──► PDPL transfer rules largely not engaged
│
└── Yes ─► Will any copy (primary, backup, logs, CDN cache,
email, analytics) leave Saudi servers?
│
├── No ──► In-Kingdom residency. Simplest path.
│
└── Yes ─► Cross-border regime: lawful purpose
+ adequacy/SCCs/BCRs + minimization
+ TRA where required.
함정은 "예" 경로가 예상치 못한 방식으로 끼어드는 것입니다 — 국외 백업 버킷, CDN 엣지 캐시, 제3자 이메일 릴레이, 또는 분석 SDK 각각이 모두 이전에 해당할 수 있습니다.
1단계: 검증 가능한 왕국 내 인프라를 갖춘 호스트 선택
"사우디 회사"는 "사우디 데이터센터"와 같지 않습니다. 호스팅 사업자에게 주 저장소, 백업, 로그가 물리적으로 어디에 위치하는지 서면으로 문의하십시오. Skyline Cloud에서는 데이터가 기본적으로 왕국 내 인프라에 보관되며, 현지 아랍어 지원과 PDPL/NCA에 부합하는 운영이 제공됩니다. 공유 호스팅, VPS/클라우드 서버, 전용 서버를 아우르는 제품 옵션은 클라우드 호스팅 개요를 참조하십시오.
2단계: 데이터의 물리적 위치 검증
레지던시를 그저 믿지 말고 직접 확인하십시오. 서버나 호스팅이 프로비저닝되면 IP를 조회하고 경로를 추적하십시오.
# Resolve your domain/host to an IP
dig +short app.example.sa
# Check the network owner / route of that IP
whois 203.0.113.10 | grep -iE 'country|netname|org'
# Confirm latency profile is consistent with in-Kingdom routing
mtr -rwc 20 app.example.sa
whois는 사우디 네트워크 운영자와 country: SA를 표시해야 합니다. 리야드/제다/담맘 관측 지점에서 매우 낮고 안정적인 지연시간은 좋은 보강 신호입니다. 백업 엔드포인트와 모든 오브젝트 스토리지 버킷에 대해서도 이 점검을 반복하십시오 — 이 부분이 가장 흔히 조용히 국외로 옮겨지는 영역입니다.
3단계: 백업과 오브젝트 스토리지를 왕국 내에 유지
백업은 개인정보의 사본이므로, 그 위치는 운영 환경만큼이나 중요합니다. 백업 대상을 왕국 내 엔드포인트로 구성하고 검증하십시오.
# Example: list a backup/object-storage bucket and inspect the endpoint host
aws s3 ls s3://my-backup-bucket/ --endpoint-url https://s3.your-ksa-region.alskyline.com
# Confirm the endpoint resolves to in-Kingdom infrastructure
dig +short s3.your-ksa-region.alskyline.com | xargs -n1 whois | grep -i country
데이터베이스 덤프를 사용하는 경우, 해외 리전이 아니라 로컬 스토리지로 전송하십시오.
mysqldump --single-transaction --routines mydb \
| gzip | aws s3 cp - s3://my-backup-bucket/mydb-$(date +%F).sql.gz \
--endpoint-url https://s3.your-ksa-region.alskyline.com
4단계: DNS, 이메일, TLS 잠그기
흔히 간과되는 세 가지 이전 경로는 다음과 같습니다.
| 경로 | 위험 | 왕국 내 해결책 |
|---|---|---|
| 이메일 | 고객 PII를 처리하는 메일박스/릴레이가 국외에 위치 | 왕국 내 비즈니스 이메일 호스팅 사용 |
| DNS | 전 세계적으로 운영상 문제는 없으나 권한은 통제 유지 | 접근 감사가 적용된 관리형 DNS 사용 |
| TLS / 인증서 | 잘못된 구성으로 전송 중 데이터 노출 | TLS 1.2 이상 및 HSTS 강제 적용 |
게시된 메일 및 TLS 상태를 검증하십시오.
# Check MX records point to your in-Kingdom mail host
dig +short MX example.sa
# Confirm SPF is published (helps deliverability and anti-spoofing)
dig +short TXT example.sa | grep -i spf
# Verify the live certificate and TLS version
openssl s_client -connect example.sa:443 -servername example.sa < /dev/null 2>/dev/null \
| openssl x509 -noout -issuer -dates
5단계: 레지던시를 기록으로 문서화
PDPL은 증거 중심입니다. 다음을 보여주는 간결하고 최신 상태의 기록을 유지하십시오: 처리되는 데이터 범주, 각 사본이 위치한 곳(운영, 백업, 로그, 이메일), 처리의 법적 근거, 그리고 어떤 사본도 왕국을 벗어나지 않는다는 확인. 만약 이전이 불가피하게 필요해지는 경우, 이 기록은 TRA와 안전장치 선택의 기반이 됩니다.
실무용 레지던시 체크리스트
- [ ] 주 호스팅이 왕국 내에 있음을 확인(
whois/dig로 검증). - [ ] 백업과 오브젝트 스토리지가 왕국 내 엔드포인트를 가리킴.
- [ ] 이메일/PII 처리가 왕국 내 메일 호스트에서 수행됨.
- [ ] 국외 CDN 캐시나 분석 도구가 개인정보를 보관하지 않음.
- [ ] TLS 1.2 이상 강제 적용, 인증서 유효 및 모니터링됨.
- [ ] 레지던시/처리 기록이 문서화되어 최신 상태로 유지됨.
Skyline이 적합한 이유
Skyline(alskyline.com)은 사우디의 왕국 내 사업자로서 클라우드 호스팅, VPS 및 전용 서버, cPanel/웹 및 관리형 WordPress 호스팅, 비즈니스 이메일, .sa 도메인, SSL, 관리형 DNS, 클라우드 백업 및 오브젝트 스토리지를 제공하며, 모두 왕국 내 데이터 레지던시와 현지 아랍어 지원이 함께 제공됩니다. 사우디아라비아의 주권 클라우드와 컴플라이언스에 대한 더 넓은 그림은 주권 클라우드 KSA 허브를 참조하십시오.
개인정보를 왕국 내에 보관하는 것은 반복되는 국외 이전 컴플라이언스 프로그램을 구축하지 않고도 PDPL을 충족하는 가장 신뢰할 수 있는 방법입니다. Skyline Cloud에 가입하고 몇 분 만에 왕국 내 호스팅을 프로비저닝하십시오.
이 글은 일반적인 안내이며 법률 자문이 아닙니다. 귀하의 구체적인 의무 사항에 대해서는 자격을 갖춘 사우디 개인정보보호 자문가와 상담하십시오.
Comments
0 total · 0 threads