- 개인정보 보호 원칙 및 핵심정보 인프라 안전보호 가이드라인 마련 -

- 정기적 안전리스크평가, 고객 데이터 관리방안을 재검토해야 -

 

 

□ 설명회 개요

 

  ㅇ 지난 6월 1일, KOTRA는 안랩과 공동으로 네트워크안전법(網絡安全法) 세미나를 개최했음.

   - 30여 명 진출기업 관계자가 참석한 가운데 법률 전문가, 업계 전문가들이 6월 1일부로 시행되는 중국 네트워크안전법의 주요 내용과 대응방안을 공유

 

 

□ 中 네트워크안전법 주요 내용

 

  ㅇ 중국 네트워크안전법은 2016년 11월 7일 채택, 올 6월 1일 발효

    - 네트워크안전법은 중국의 첫 정보통신보안 관련 법률*로서 인터넷 공간의 주권과 인터넷 상품․서비스 제공자의 안전의무를 명확히 하고 개인정보 보호 원칙을 건립했으며 핵심정보 인프라 안전보호와 국경 간 데이터 전송 규칙을 수립

    * 중국 현행 법률체계는 전국인민대표대회에서 ‘법률’을 채택, 발표, 최고행정기구인 국무원이 법률에 근거하여 실시조례, 규정 등을 발표

 

자료원: KOTRA 베이징무역관

 

  ㅇ (적용 대상) 네트워크안전법은 중국 내에 건설, 운영, 유지 및 사용되는 정보통신망과 그 안전을 감독관리

    - 법의 적용대상인 정보통신망은 반드시 중국 내의 물리적 설비에 의존해야 함.

    - 국외에 있는 정보통신망에 대하여서는 그 정보통신망이 중국의 법률이나 행정법규에서 금지하는 정보를 발표하거나 전송하는 경우 관련기구에 통지하여 기술적으로 또는 기타 조치를 취하여 그 전달을 차단할 수 있음.

    - 해외에서의 관건정보 기초시설에 대하여 침입 또는 공격하는 행위에 대해 법적 책임을 추궁하며, 중국 내 자산동결 등 제재조치를 취할 수 있다고 규정

 

  ㅇ (운영자 의무) 중국 네트워크안전법에 의해 보안등급 보호제도가 실시되며 그 의무주체자는 운영자

    - 운영자는 1) 내부 보안관리제도 실시와 실시규정을 제정하고 보안 책임자를 확정하여 보안보호책임을 실시, 2) 바이러스와 사이버공격, 침입 등 보안을 해치는 행위에 대하여 기술적 조치를 취하며, 3) 운영상태를 모니터링 및 기록하고, 보안사건에 대하여 기술적 조치를 취하고 관련 정보통신망 일지를 6개월 이상 보존, 4) 데이터 분류, 중요 데이터 백업조치와 암호화 조치 실시 등 의무를 이행해야 함.

    - 당국이 보안등급 보호를 의무화한 것은 처음이 아니지만 최초로 법률형태로 규정한 데 그 의미가 있음.

     * 2007년 공안부 등 기관에서 발표한 <정보보안등급보호관리방법>(信息安全等级保护管理办法) 제7조에서 5개 등급으로 나누고, 정보시스템보안등급보호실시 가이드라인에 따라 등급보호 업무를 실시

 

  ㅇ (핵심정보기반시설) ‘핵심정보기반시설’ 개념을 도입하고 운영자의 구매행위, 국내 저장 원칙, 정기검측 의무를 규정

    - 공공통신과 정보서비스, 에너지, 교통, 수계, 공공서비스, 전자정부 등의 중요한 산업과 영역, 그리고 일단 파괴되거나 기능을 상실하여 데이터가 유실되면 국가안전, 국민경제생활, 공공이익에 피해가 큰 시설을 ‘핵심정보기반시설’이라 규정

    - 국가는 핵심정보기반시설에 대해 정보통신망 보안등급 보호제도의 기초 위에 중점적인 보호를 실시한다고 명시

    - 핵심정보시설의 중국 내 저장원칙을 명확히 하고, 업무상 외국에 저장할 필요가 있을 경우 안전평가를 받도록 의무화

    - 또한 운영자는 1) 특별 보안관리기구와 보안관리 책임자를 배치하고 보안경력 심사, 2) 종사자에 대하여 정기적으로 보안교육, 기술훈련, 기능평가 실시, 3) 중요한 시스템과 데이터에 대해 재해 대비 백업자료 준비, 4) 보안사건 응급대응방안 제정하고 정기적으로 훈련을 실시하는 등 강화된 추가 의무를 이행해야 함.

    - 정보통신망 제품과 서비스를 구매할 때 국가안전에 영향을 미칠 가능성이 있는 경우 국가의 인터넷 정보부문, 국무원 관련 부분이 조직한 국가안전심사를 통과해야 한다는 구매행위 관련 내용도 포함

 

처벌조항: 시정명령, 위법소득 몰수, 5만 위안 이상 50만 위안 이하의 과징금 부과, 업무 잠정중단, 영업중지 정비, 사이트 폐쇄, 영업허가 말소, 직접 책임 실무자 등에 1만 위안 이상 10만 위안 이하 과징금 부과 등(법 제66조)

 

   ㅇ (개인정보보호제도) 운영자의 개인정보 보호의무를 명확히 하고 개인정보의 불법 획득 및 거래 금지 조항을 통해 개인정보보호제도를 개선

    - 운영자는 비밀유지의무 및 건전한 이용자 정보 보호제도를 건립해야 하며 수집 및 사용한 개인정보는 합법, 정당, 필요의 원칙에 부합, 수집 및 사용규칙을 공개, 목적과 범위, 방식을 명시, 피수집인의 동의를 받아야 함.

    - 운영자는 필요한 조치를 취하여 개인정보의 안전을 확보하여야 하고, 누설 , 훼손, 분실을 방지하여야 하며 피수입인은 운영자에게 개인정보를 삭제/수정할 것을 요구할 권리가 있음.

    - 개인정보의 절취 또는 불법적인 방식으로 개인정보를 획득, 불법 판매 등 행위를 엄금하고 처벌사항도 명시

 

처벌조항: 범죄에 해당 되지 않을 경우 중국 공안기관은 위법소득 몰수, 위법소득의 1배 이상 10배 이하의 과징금을 부과, 소득이 없는 경우 100만 위안 이하의 과징금을 부과(법 제64조)

 

자료원: KOTRA 베이징무역관

 

  ㅇ (인터넷 실명제) 최초로 법률 수준에서 인터넷 실명제도를 규정하고 정보통신망 운영자를 의무 주체로 확정

    - 운영자는 1) 이용자를 위해 도메인등록 서비스, 가정용 전화 신청, 모바일전화 등을 통해 정보통신망으로의 접속절차를 진행할 때, 2) 이용자에게 정보의 발표, 인스턴트 메시지 등 서비스를 제공하면서 이용자와 계약을 체결하거나 서비스제공 확인을 받을 때 실명을 사용해야 함.

 

처벌조항: 위반 시 시정명령, 거절 하거나 상황이 심각할 경우 5만 위안 이상 10만 위안 이하의 과징금 부과, 관련 업무의 잠정 중단, 영업중지 정비, 사이트폐쇄, 영업허가 말소, 직접 실무책임자에 대해 1만 위안 이상 10만 위안 이하 과징금 부과할 수 있음.

 

  ㅇ (안전성) 정보통신망 이용자의 의무를 명확히 하고 정보통신망 제품 또는 서비스에 대한 요구사항을 제기

    - 앱 소프트웨어에 악성 프로그램 설치 등 행위를 엄금

    - 정보통신망 핵심설비와 보안 전문제품은 국가표준에 부합해야 하고 자격을 갖춘 보안인증합격 또는 보안검사 요건에 부합한 후에야 판매 또는 제공 가능하도록 규정

 

□ 전망 및 대응방안

 

  ㅇ 중국 내에서는 사이트 해킹, 인터넷 범죄, 경제적 피해 약 7000억 위안, 랜섬웨어 악성코드사례 발생하여 보안 취약성과 보안관리의 필요성 대두

    - 중국은 정부와 일반시민의 사이버 보안인식 제고, 네트워크안전법의 원활한 집행과 점검을 위해 교육, 정기적 회의 등 다양한 활동을 전개

    - 중국 사이버 보안산업이 향후 3~5년간 연 평균 25~30%의 고성장 기회를 맞이할 것으로 예상되며 네트워크 분야의 투자가 현재 전체 IT분야의 2%에서 10%로 성장, 특히 보안 솔루션, 보안 인력 교육, 보안 하드웨어 분야 투자가 집중될 것으로 전망

 

  ㅇ 법률 차원에서의 법이 제정된 후 세부적인 법규들이 지속적으로 제정 및 실시돼 법 체계와 적용이 더욱 엄격해질 것으로 예상

    - 온라인 소핑몰 플랫폼, 개인정보보호 및 소셜미디어 안전에 대한 규정 등이 올해부터 미시적인 법규들이 제정될 것으로 전망

 

  ㅇ 개인정보 보호 점차 강화, 이에 대한 우리 기업의 이해와 적응 노력이 필요할 것으로 보임. 

    - 우리 기업들은 완벽한 고객 데이터와 사생활 정보 보호방안을 검토하고 IT 전략기획과 구매관리 혁신을 진행할 필요가 있음. 

    - 정기적으로 안전리스크평가를 진행하고 결함에 대해 신속하고 효과적으로 대응해야 함.

 

 

자료원: KOTRA 베이징무역관 등 종합