신판수 상해 화동 한국IT 기업협회의 부회장

중국 네트워크 안전법 개론(소개)

인터넷상의 주권과 국가안전의 유지 그리고 국민과 법인의 합법적 권익 보호를 위한 취지로 제정된 네트워크 안전법은 총7장 79조로 구성되어 있으며 정확한 중국 명칭은 '중화인민공화국네트워크안전법(中华人民共和国网络安全法)'이다. 2016년 11월 7일 전국인민대표대회 상무위원회에서 통과됐고, 2017년 6월 1일부터 사이버 공간을 안전하게 관리하는 기본 법률로 정식 발효되었다.

 

여기서 네트워크란 컴퓨터 또는 기타 정보단말기 관련 설비로 구성돼 일정한 규칙과 절차에 따라 정보에 대한 수집, 저장, 전송, 교환, 처리를 하는 시스템을 의미한다. 네트워크 안전법은 네트워크 상에서 기업이 데이터를 수집하고 다루는 모든 과정의 행위를 법에 규정해 법적 구속력을 강화하려는 목적으로 발효되었다. 그러므로 중국 내에서 사업을 영위하는 우리 기업들 또한 현재 혹은 다가올 미래에 적지 않은 영향을 받을 것임에 따라 네트워크 안전법이 어떤 내용을 담고 있으며 어떻게 대응해야 하는지 우선 알아보자. 

적용 대상

1. 네트워크 사업자 또는 운영자

네트워크의 소유자, 관리자 및 타인이 소유 또는 관리하는 네트워크를 이용해 관련 서비스를 제공하는 네트워크 제공자를 가리키며 기초통신 운영자, 네트워크 정보 서비스 제공업체, 주요 정보 시스템 사업자 또는 운영자를 말한다.

2. 핵심정보 인프라 사업자 또는 운영자

공공통신 및 정보 서비스, 에너지, 운송, 수자원관리, 금융, 공공서비스, 전자정부 등 국가의 중요 산업과 영역에서 파괴, 기능 상실 또는 데이터 유출로 인해 국가의 안전 및 국민생활과 공공이익에 중대한 손해를 입힐 수 있는 시설을 말한다.

적용 범위

중국 내에 사업을 영위하고 있으며, 데이터를 구축, 운영, 유지하는 외자기업(재중한국기업)과 내자기업(로컬) 모두에 해당된다.

네트워크 보안법 세부 내용(우리 기업의 참고사항)

1. 보안등급 보호제도 실시

국가는 네트워크 안전등급 보호제도를 실시하여 네트워크 운영자의 책임 하에 주어진 보안의무를 시행하여 보안등급을 받아야 하며(제21조), 정보인프라의 운영자는 반드시 자체 진행하거나 네트워크 보안 서비스 기구에 위탁하여 네트워크의 보안성과 존재할 수 있는 위험에 대해 매년 최소 1회 보안평가를 진행해야 한다(제38조)

네트워크 운영자가 해당 법을 이행하지 않을 경우 관련 부분의 시정을 요구하고 경고를 주며, 시정조치를 거절하거나 불이행으로 인해 네트워크 보안을 위협하는 결과를 초래할 경우 1만 위안 이상, 10만 위안 이하의 벌금에 처하고 직접 책임 주관자에게는 5천 위안 이상, 5만 위안 이하의 벌금에 처한다.

보안 의무사항 및 등급별 적용대상

1) 안전보호책임 2)바이러스 방어체계 구축 3) 네트워크 기록 관리 4) 데이터분류와 비밀유지 5) 법률에서 규정한 기타 의무

등급	개인정보보호	공공 이익	사회 안정	국가 안보	적용 대상
1등급	○				중소기업 또는 개인 웹사이트
2등급	●	○	○		대기업, B2B 솔루션업체
3등급	●	●	●	○	온라인상거래, 호텔예약 사이트, ISP 업체, 학교
4등급	●	★	★	○	금융, 대형B2C업체
5등급	●	★	★	★	중국 정부기관, 통신회사

주: ★:정말심각한피해, ●:심각한피해, ○:피해       *적용대상은 필자의 판단이며 실제와 다소 다를 수 있습니다.

2. 핵심정보기반시설에 대한 보안심사와 안정성 평가

 

핵심정보 인프라시설이란 공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정보 등 주요 산업과 영역에서 파괴, 기능상실, 데이터 유출 시 국가 안전, 국가 경제, 국민 생활, 공공 이익에 중대한 손상을 줄 수 있는 인프라 시설을 의미하며 보안심사 및 안전성 평가를 받아야 한다.

중국 경내에서 운영 중 수집, 생성된 개인정보와 중요 업무 데이터는 반드시 경내에 저장해야 하며 필요에 의해 해외에 저장하거나 기관이나 개인에게 제공할 경우 국가 네트워크 정보 부문 및 국무원 관리부문과 함께 안전성 평가를 진행해야 한다(제37조)

네트워크 제품 및 서비스 구매시 국가안전심사를 통과해야 하며 네트워크 안전성 및 잠재적 리스트에 대해 자체적 혹은 전문기관에 별도 의뢰하여 매년 최소 1회 이상의 보안심사 및 안전성 평가를 받아야 한다(제35조, 38조)

정부기관 웹사이트, 기업과 사업단위 사이트, 뉴스 웹사이트, 실시간 통신, 온라인 쇼핑, 온라인 결제, 검색엔진, 전자메일, 포럼, 지도, 오디오 및 비디오 등 네트워크 서비스와 같은 플랫폼류, 사무와 업무시스템, 산업제어 시스템, 대형 데이터센터, 클라우드 컴퓨터 플랫폼, 텔레비전 전파 시스템과 같은 생산 비즈니스는 보안심사 및 안전성 평가를 받아야 한다.

3. 개인정보 보호제도의 개선 및 실명제 도입

개인정보란 전자 또는 기타 수단으로 기록되어 단독 또는 기타 정보와 결합하여 자연인 개인 신분을 식별할 수 있는 각종 정보를 뜻한다. 수집된 정보는 반드시 비밀을 유지해야 하며(제40조), 개인정보 수집 및 사용은 대상자의 동의가 필요(제41조)하고 수집한 개인정보의 유출, 훼손, 분실을 방지할 수 있도록 노력해야 하며, 만약 문제가 발생하거나 발생 가능성이 존재 시 즉시 보안조치를 취하고 해당 당사자에게 알려야 한다(제42조)

개인은 네트워크 사업자가 규정 또는 약정을 어기고 개인정보 수집과 사용시에도 해당 개인정보 삭제를 요구할 수 있으며, 본인 정보의 오류가 존재시에도 정정 요구가 가능하다(제43조)

네트워크 사업자는 네트워크 접속, 도메인 등록, 유선전화, 핸드폰 등 서비스에 가입하거나 이용자를 위한 정보 공개 등의 서비스를 제공하면서 이용자와의 계약을 체결하거나 서비스 제공 확인을 받을 때에는 이용자의 신분 정보를 확인하여야 한다.

4. 네트워크 사업자/운영자의 의무 및 요구사항

네트워크 사업자가 중국 경내에서 운영 중에 수집, 생산한 개인정보와 중요 데이터는 중국 내에 저장하여야 한다(제2조).

개인정보의 경외 반출 혹은 제공시 개인정보 당사자에게 데이터의 경외 반출 목적, 범위, 내용, 접수자 및 접수자의 소재 국가나 지역을 반드시 설명하고 동의를 얻어야 하며 미성년자 개인정보의 경외 반출시 보호자 동의를 받아야 한다(제4조)

네트워크 사업자는 데이터 경외 반출시 자체적으로 안전평가를 진행해야 하며, 평가 결과에 책임을 져야 한다(제7조)

(참고) 보안등급 2.0

보안등급 2.0 표준(정보안전기술 네트워크 보안등급 보호 기본요구, 이하 '보안등급 2.0 표준')은 2019년 5월 13일에 발표됐으며, 2019년 12월 1일부터 정식 실시가 되었다. 보안등급 2.0 표준은 네트워크 보안등급 보호의 신규 집행표준이며 중국 네트워크 보안영역의 기본 제도, 기본 방법이기도 하다.

우리 기업들이 알아야 할 보안등급 2.0 표준 변화는 다음과 같다.

1. 보안등급 보호대상의 변화

기존 정보 시스템에서 클라우드, 빅데이터, 사물인터넷, 이동인터넷 공업통제시스템 등 여러 영역으로 확장되었다.

2. 보안등급 취득조건의 변화

평가 득점이 최저 70점 이상이어야 보안등급 취득이 가능하다(1.0표준은 100점에서 60점이면 가능)

3. 보안등급 평가항목의 변화

중점 평가항목과 일반 평가항목으로 구분되며 '一票否决制'의 실시로  중점 항목 중 하나만 통과되지 못해도 보안등급을 받을 수 없게 된다.

4. 보안등급 확정시점의 변화

네트워크 운영자는 계획, 설계단계에서 보안등급을 확정해야 하며, 중대한 변경 시 재평가를 진행해야 한다.

참고자료: AZ글로벌 블로그(blog.naver.com/az-glbal), 아이요넷 신동욱 대표 블로그(blog.naver.com/meet21c), SK 인포섹 블로그(blog.skinfosec.com), 中倫법률사무소 천지홍 변호사 “<사이버 보안법>시행 전 기업 준비사항” 자료, 법무법인 지평 김은주 변호사 “네트워크 안전법 법률규정 및 해석” 자료, 법무법인 태평양 김성욱 변호사 “중국 네트워크 안전법의 시행과 한국기업의 대응” 

 

※ 이 원고는 외부 전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려 드립니다.