아시아 사이버 보안 규정: 중국

저자: Vincent Wang, Zhao Xinyao, 과 Estella Wang, Global Law Office
0
70

인도

인도네시아

대만

중국은 사이버 공간과 데이터 방면의 주권과 지배적인 지위를 더더욱 강조하고 사이버 보안 및 정보 보호 시스템은 빠르게 발전하고 있으며 많은 관련 규칙, 정책 및 일관성 있는 국가 표준을 발표하였습니다. 프라이버시와 안전의 기본원칙은 <중화인민공화국 헌법>, <중화인민공화국 국민법전> 및 <중화인민공화국 국가보안법>에 뿌리를 박고 있으며 <중화인민공화국 사이버 보안법>(‘<사이버 보안법>’ ), <중화인민공화국 데이터 보안법>(‘<데이터 보안법’>), <중화인민공화국 개인정보 보호법>'(‘<개인정보 보호법>’) 3대 기본법을 공포하였습니다.

3대 기본 법률의 상호작용

상술한 3대 법률로 구축된 주요 체계내에서 <사이버 보안법>은 그 기초로서 전반 사이버 안전 법적 체계를 구축하였습니다. <데이터 보호법>은 처리되는 데이터의 보안을 보호하는데 중점을 두고 있으며, <개인정보 보호법>은 자연인과 관련된 개인정보를 규제하는데 중점을 두고 있습니다.

<데이터 보안법>과 <개인정보 보호법>은 모두 역외관할조항을 명확히 규정하여 <사이버 보안법>에 의해 보호되는 인프라에서 취급되는 데이터 및 개인 정보의 보안을 더욱 보장하였습니다. 예컨대, 중국 경외 데이터 처리 활동이 중국의 국가 안보 및 공공이익을 손상시키거나 중국 공민 및 조직의 합법적인 권익을 손상시키는 경우 <데이터 보안법>은 법에 따라 법적 책임을 추궁할 것을 명확히 규정하였습니다. 마찬가지로 중국 경내 자연인에게 제품이나 서비스를 제공할 목적으로 그 개인정보를 취급하거나 중국 경내 개인정보를 분석, 평가하는 행위 즉 자연인 개인정보를 취급하는 활동이 중국 밖에서 발생하더라도 <개인정보 보호법>의 규제를 받습니다.

전문 규칙

중국 기업은 또한 특정 산업의 특별 규제 규칙과 각 지역의 데이터 보호 법규를 준수해야 합니다. 중국의 산업 규제 기관과 지방 정부는 관련 규제 규칙을 지속적으로 개선하여 각 산업 분야 및 각 지역의 사이버 보안 문제 해결에 노력하고 있으며 특별히 의료위생, 금융, 자동차 및 인터넷 정보 서비스(예컨대 추천 서비스 알고리즘) 등 분야에 초점을 두고 있습니다.

사이버 보안 심사

Vincent Wang, Global Law Office
Vincent Wang
파트너
Shanghai 소재 Global Law Office
전화:+86 21 2310 9518
이메일: vincentwang@glo.com.cn

국가 인터넷 정보 판공실은 최근 주목받는 택시 예약차 업체 거물 디디(滴滴)에 대한 사이버 보안 심사 결과를 발표하고 그에 따라 약 80억 위안의 벌금을 부과했습니다. 디디에 대한 사이버 보안 심사는 최신 개정된 <사이버 보안 심사 방법>이 발표되기 전에 검토가 시작되었으며 최신 릴리스는 2022년 2월 15일에 공식적으로 시행됩니다.

이번 개정 후 사이버 보안 심사 방법의 적용 범위는 확대되었는데 특히100만 명 이상의 사용자 개인정보를 보유한 온라인 플랫폼 운영자가 해외 상장을 준비할 시 반드시 사이버 보안 심사를 신청할 것을 명확히 요구하였습니다.

또한 핵심 정보 인프라 운영자가 네트워크 제품 및 서비스를 구매하거나 온라인 플랫폼 운영자가 데이터 처리 활동을 수행하여 국가 안보에 영향을 미치거나 영향을 미칠 수 있는 경우에도 사이버 보안 심사 신고 의무가 촉발됩니다.

앞의 세 가지 사이버 보안 심사 및 신고 의무를 촉발하는 경우 온라인 플랫폼 운영자는 데이터 처리 행위가 사이버 보안 심사를 촉발할 수 있는지 여부를 스스로 판단해야 하는데 이는 현재 플랫폼 운영자에게 가장 어려운 과제일 수 있습니다. 이는 막역한 법적 규정 아래 현재 신고 의무 범위에 속하는지 여부를 명확하게 판단하기 위한 권위있는 객관적 영향요인에 대한 권위있는 세칙이 부족하여 온라인 플랫폼 운영자에게 충분한 지침을 제공할수 없기 때문입니다. 이는 대량의 데이터 또는 여러 유형의 데이터를 처리하는 온라인 플랫폼은 모두 사이버 보안 심사를 받아야 함을 의미합니다.

관련 심사를 받고 싶지 않다면 가장 안전한 방법은 (1) 대규모 온라인 플랫폼을 운영하지 않거나 (2) 운영자가 자발적으로 사이버 보안 심사를 신청하고 관련 부서에서 추가 조치를 취할 필요가 없다는 통지를 받도록 하는 것입니다. 그러지 않을 경우 중국 최대 학술 연구 데이터베이스인 CNKI(中国知网)와 비슷한 리스크가 존재할수 있습니다. 즉 국가 안보 관련 요인으로 인한 사이버 보안 심사를 받는 것입니다.

사이버 보안 등급 보호 (등급 보호)

Zhao Xinyao, Global Law Office
Zhao Xinyao
선임 변호사
Shanghai 소재 Global Law Office
전화:+86 21 2310 9516
이메일: xinyaozhao@glo.com.cn

정보 시스템 및 네트워크를 위한 사이버 보안 등급 보호 요구 사항은 <사이버 보안법>에 따라 진일보 발전되고 업데이트되었습니다. 실제상 사이버 보안 등급 보호체계 아래 등급보호 보안 의무의 적용 범위는 중국에서 인터넷을 이용해 업무를 경영하는 대부분 기업으로 확대하고 클라우드, 사물인터넷 등 신기술에 대한 별도의 보안 표준을 설정했습니다.

현재의 등급보호 제도하에서, 온라인 운영자는 자신이 운영하는 네트워크/정보시스템의 중요도 및 관련 리스크를 평가해야 합니다. 인터넷/정보시스템의 성격, 중요도 및 훼손 후 국가안전, 사회질서, 공공이익 및 공민, 법인 및 기타 조직의 합법적 권익에 대한 위해 정도 등에 따라 모든 인터넷/정보시스템에 대해 안전등급을 지정합니다.

1급부터 5급까지 안전등급이 높을수록 온라인 운영자의 보안 의무는 더 엄격합니다. 등급을 설정한 후 온라인 운영자는 수요에 따라 공안 기관에 자신이 운영하는 네트워크/정보 시스템을 제출, 평가 및 수정하여 취한 보안 조치가 해당 등급에 명시된 최소 안전 표준을 만족하는지 확인해야 합니다.

데이터 주권

데이터 주권 보장을 위해 <사이버 보안법> 은 핵심 정보 인프라 운영자에게 데이터 현지화의 원칙과 의무를 부과했으며, <데이터 보안법> 및 <개인정보 보호법>에 따르면 외국 사법 기관 또는 법 집행 기관에 모든 중국 경내에 저장된 데이터/개인 정보를 제공할 시 중국 관련 부서의 사전 승인을 받아야 합니다.

인터넷 정보 판공실이 발표한 <데이터 출국 안전 평가방법>(‘<방법>’은 2022년 9월 1일부터 공식적으로 시행되었습니다. <방법>은 데이터 처리자가 <방법> 시행 전에 수행한 데이터 출국 활동을 수정하여 <방법>의 최신 요구 사항을 충족할 수 있도록 6개월의 전환 기간을 제공하였습니다. <방법>이 발표되기 전에 인터넷 정보 판공실은 <개인 정보 출국 표준 계약 규정(의견 수렴 초안)>을 발표하였는데 이는 EU의 표준 계약과 같은 목적을 두고 있습니다. 국가 정보 보안 표준화 기술 위원회(TC260)는 <사이버 보안 표준 국경 간 개인정보 처리 활동 인증 기술 규범>을 발표해 국경 간 데이터 처리 활동에 대한 인증하는 기본 규범 시스템을 소개하였습니다.

<방법>의 규정에 따라 인터넷 정보 판공실이 주도하는 강제적 데이터 출국 안전 평가는 <방법>에서 규정된 적용하는 경우에 촉발됩니다

대조적으로 보면 보안 인증은 주로 동일한 다국적 기업 그룹의 자회사 또는 계열사 간의 빈번한 국가간 개인 정보전송 문제를 해결하기 위해 설계되었으며, 대부분의 데이터 처리자는 표준 계약에 의존한 국가간 데이터 전송 메커니즘을 원하는데, 이는 표준 계약이 인터넷 정보 판공실의 사전 승인에 의존하지 않기 때문입니다. 단, <방법>에 규정된 보안 평가의 문턱이 높지 않다는 점을 감안할 때 보안 평가는 실제로 국경간 데이터 전송을 위한 일반적인 메커니즘이 될 수 있습니다.

데이터 분류 등급

Estella Wang, Global Law Office
Estella Wang
선임 주니어 변호사
Shanghai 소재 Global Law Office
전화:+86 21 2310 9519
이메일: estellawang@glo.com.cn

경제 및 사회 발전에서 데이터의 중요성과 조작, 파괴, 유출 또는 불법 획득, 불법 이용에 의해 국가 안보, 공공이익 또는 개인, 조직의 합법적인 권익에 미치는 피해 정도에 따라 <데이터 보안법>은 국가의 데이터 분류 및 등급 보호 제도 구축을 위한 전반적인 요구 사항을 제시하였습니다.

그 중 국가 핵심 데이터는 3단계 데이터 등급 시스템의 최고 레벨이며 가장 엄격하게 보호됩니다. 국가핵심데이터 목록은 중앙정부 부처가 결정할 것으로 보인다. 중요한 데이터는 분류 등급 시스템의 중간 레벨에 있습니다. 각 지역 및 부서는 본 지역, 부서 및 관련 산업/분야의 중요한 데이터의 특정 카탈로그를 결정하고 카탈로그에 포함된 데이터를 중점적으로 보호합니다. 각 데이터 처리자는 카탈로그에 따라 중요 데이터를 보유하고 있는지 여부와 파악된 중요 데이터의 특정 범위를 결정합니다. 그러나 지금까지는 초보적으로 참고 할수 있는 중요 데이터 식별에 관한 규정은 다음과 같습니다: 중요 데이터 식별에 관한 국가 표준 초안인 <중요 데이터 식별 지침>, 자동차 업계에서 발표한 중요 데이터 정의를 포함한 시행 규정인 <자동차 데이터 보안 관리에 관한 몇 가지 규정(시행)>, 산업 및 정보화 분야에서 발표한 관련 법규 초안인 <산업 및 정보화 분야 데이터 보안 관리 방법(시행)>(의견 수렴 원고)을 발표해 중요 데이터의 인정 기준을 초보적으로 제시했습니다. 이러한 점에서 전국적으로 핵심 데이터와 중요 데이터의 식별 목록을 결정하는 것은 여전히 갈 길이 멀 것으로 예상됩니다.

개인정보 보호 의무

<개인보호법>은 개인 정보 처리활동에 대해 전반적인 보호 요구를 제시하는데 이는 개인 정보의 전체 수명 주기를 포괄합니다. 개인정보 취급자에게 개인정보의 안전을 확보하기 위한 적절한 조직적 및 기술적 조치를 요구하는 기초상 민감한 개인정보 취급에 대해 보다 엄격한 의무를 부과합니다. 개인 정보를 처리하기 전에 처리자는 개인의 동의를 얻거나 동의 이외의 다양한 합법성 기반을 적용할 수 있도록 하는 등 개인 정보 처리의 합법성 기반을 확보했는지 확인해야 합니다. 개인정보의 처리할 때 처리자는 항상 적법성, 정당성, 필요성, 성실성의 기본원칙을 준수하고 법률의 관련 규정을 준수하며 동시에 자신의 준수를 증명하거나 잠재적인 분쟁이나 분쟁에 대처하기 위해 관련 처리활동 등의 기록을 보존해야 합니다. 그 밖에 <개인정보 보호법>은 데이터 주체에게 알 권리, 결정권, 휴대권, 불만권 등과 같은 실질적인 권리와 절차적 권리를 포함한 개인 정보와 관련된 포괄적인 권리를 데이터 주체에게 부여합니다.

법 집행과 처벌

중국의 기본 법률은 사이버 보안과 개인의 사생활 권익을 침해하는 행위에 대해 엄격한 형사, 행정 및 민사 책임을 규정하였습니다. 예컨대 <개인정보 보호법>에 따르면 개인정보를 불법적으로 처리하는 경우 개인정보 보호 업무를 수행하는 부서가 취할 수 있는 조치에는 불법소득 몰수,100만 위안~5,000만원 이하 또는 전년도 매출액의 5% 이하의 벌금을 부과하고 동시에 직접 책임자와 기타 직접 책임자에 대해서는 10만 위안 이상 100만 위안 이하의 벌금을 부과합니다.

앞서 언급한 규제 및 법 집행 동향 외에도 각급 법원과 검찰청은 개인정보 보호와 관련된 민형사 사건에서 보다 적극적인 역할을 하고 있습니다.

추세와 전망

중국 정부는 디지털 경제와 데이터 자산이 글로벌 경쟁 구도에서 다음 초점이 될 것이라고 굳게 믿고 있습니다. 따라서 국가의 사이버 공간 주권을 수립 및 수호 하는 것을 최우선으로 하고 있습니다.

향후 3~5년 동안 중국 관련 법률 시스템의 발전은 다음과 같은 추세를 보일 수 있음을 합리적으로 예측할 수 있습니다.

  • 등급보호0의 전면 실시를 핵심 요구사항 중 하나로 하는 <사이버 보안법>은 견고하고 안전한 법률 규제와 법률 집행 기반 구축을 강화하고 국가 사이버 공간 주권의 핵심 전략과 이익을 수호할 것입니다.
  • <데이터 보안법>에 의해 구축된 데이터 분류 및 등급 보호 기초 시스템은 최종 건설까지 점진적으로 개선되며 각 특정 산업, 분야 및 지역에서 포괄적으로 적용되고 시행될 것입니다.
  • <개인정보 보호법>은 계속해서 더 많은 사법 및 법 집행 조치를 통해 개인 정보의 현지화를 달성할 것이며 궁극적으로 이 규제의 범위에 속하는 외국 기업에 대한 강제 집행을 실현할 것입니다.

위에서 언급한 중국 사이버 공간 보안 관련 법률의 발전 추세는 중국이 향후 일정한 기간 동안 더 많은 행정 처벌, 사법 심사 및 역외 법 집행에 더 노력할 것을 결정하였습니다. 따라서 중국의 다국적 기업과 중국과 무역을 하는 해외 회사는 관련 법률, 행정 법 집행 및 사법 실천의 발전에 세심한 주의를 기울이고 현지 변호사와의 상담 및 협력을 통해 관련 법률 요구 사항 및 발전상황 및 가능한 영향을 적시적으로 명확하게 이해하고 관련 업무에서 적절한 조정을 수행하여 컴플라이언스를 보장하거나 잠재적인 법적 리스크를 회피해야 합니다.

Global Law Office Logo

GLOBAL LAW OFFICE
35 & 36/F Shanghai One ICC, No.999
Middle Huai Hai Road, Xuhui District
Shanghai, 200031, China
전화:+86 21 2310 8288
이메일:shanghai@glo.com.cn

www.glo.com.cn