아시아 사이버 보안 규정: 대만

전세계적으로 사이버 공격이 만연해지면서 역내 정책 입안자들은 자국의 데이터 보안 조치를 한층 강화했고, 기업들의 관련 법규 준수 또한 매우 중요해졌다.

대만의 주요 정부 기관과 대기업들의 웹사이트가 사이버 공격을 받는 일이 빈번해지면서 행정원(行政院; 내각에 해당)은 사이버보안을 감독하고 규제하는 주무 부처인 디지털 발전부(MoDA)를 출범시켰다.

8월 27일부터 업무를 시작한 MoDA는 전반적인 디지털 발전 상황을 감독하는데, 특히 전자상거래와 전자서명, 전자정부 및 데이터 관리가 포함된다.

사이버보안법

대만의 사이버보안관리법은 사이버 보안의 기준이 되는 1차적인 법안이다. 그러나 이 법은 정부 기관 및 특정의 비정부 기관(필수 인프라 제공업체, 국영기업 및 정부에서 후원하는 재단 포함)에만 적용된다.

금융기관이나 전기통신사업자와 같은 특정 산업 부문에 적용되는 특정의 사이버 보안 요건 이외에, 모든 비정부 기관에 일반적으로 적용되는 사이버 보안 요건은 따로 없다.

이 법을 준수해야 하는 모든 기관들은 자체 사이버 보안 책임 ‘레벨’에 따라 사이버 보안 유지 계획을 수립하여 실행하고, 사이버 보안 사고에 필요한 보고 및 대응 장치를 마련해야 한다.

사이버 보안 사고는 발견 후 1시간 이내에 보고해야 하고, 심각성 정도에 따라 피해 파악이나 복구에 필요한 모든 조치는 발견 후 36~72시간 이내에 완료해야 한다.

또한 이 법은 관련 업계를 담당하는 중앙 정부 기관의 감독을 받는 특정 비정부 기관에 대한 사이버 보안 관련 규제 가이드라인을 정할 수 있는 권한을 해당 정부 기관에 부여하고 있는데, 정보 보안 관리에 관한 ISO/IEC 27001 국제 표준에 의거하는 관련 요건을 참고하여 권고한다.

사이버 보안 안전장치 강화를 위해, 행정원에서는 정부 기관, 공립학교, 국영기업 및 행정 법인이 국가 사이버 보안에 위험을 초래할 수 있는 정보 및 통신기술 제품을 이용하는 것을 금지하는 가이드라인을 발표했다. 정부 기관 또한 자신들이 감독하는 필수 인프라 제공업체 및 정부에서 후원하는 재단으로 하여금 이러한 가이드라인을 준수하도록 해야 한다.

가이드라인 3항 및 4항에 의거하여, 행정원은 관련 주체가 조달 또는 이용하지 않아야 하는 정보 및 통신기술 제품의 금지 목록을 발표할 수 있다.

전광판(electronic signage)과 관련한 최근의 해킹 사고 이후, 경제부(經濟部)에서는 중국에서 개발한 소프트웨어를 전광판에 사용하는 것을 금지하고 중국에서 생산한 전광판을 사업자가 사용하지 않도록 요구하는 사업장 전광판의 사이버 보안 관리에 관한 가이드라인을 발표했다.

사이버 범죄

사이버 범죄 행위는 대만의 여러 법을 위반하는데, 여기에는 다음과 같은 법이 포함되나 이에 국한되지 않는다.

• 형법 제358조~제362조는 특정 유형의 사이버 범죄를 금지하고 있다. 정당한 사유 없이 타인의 컴퓨터 및/또는 부속장치를 해킹하는 행위, 타인의 컴퓨터 및/또는 부속장치에 저장된 전자기(電磁氣) 기록을 정당한 사유 없이 입수, 삭제 또는 변경하는 행위(예: 피싱), 컴퓨터 프로그램이나 기타 전자기 기술을 이용하여 정당한 사유 없이 타인의 컴퓨터 및/또는 부속장치를 방해하는 행위(예: 서비스 거부 공격이나 악성 소프트웨어) 및 이러한 위법 사항을 구체적으로 실행하도록 컴퓨터 프로그램을 제작하는 행위.
• 기타 관련 조항: 제210조(위조 행위), 제309조~제313조(평판 및 신용을 해치는 행위), 제315조 또는 제318조 1항(프라이버시 위반 행위), 제393조 3항(사기 행위), 제346조(갈취 행위) 및 제352조(재산 파괴 및 파손 행위)
• 한편, 개인정보보호법 제41조와 제42조는 개인정보 침해 행위를 다루고 있다. 저작권법 제92조와 93조는 저작권 침해에 대처하고 있다. 전기통신법 제56조는 타인의 전기통신 시설에 대한 무단 접근이나 사용을 금지하고 있다. 통신보안 및 감시법(監視法) 제24조는 불법적인 통신 감시를 금지하고 있다.

해당 행위와 관련한 실제 사실에 따라, 사이버 보안에 피해를 주거나 위협하는 행위는 위에 명시된 하나 이상의 범죄 행위에 해당하는 것으로 간주한다.

범죄 행위는 대만의 영토 안에서 및 대만 법원에 관할권이 있는 곳에서 발생하는 행위 및/또는 사람이나 사이버 범죄의 결과가 나타난 장소에 적용된다.

개인정보보호

개인정보보호법은 대만에서 이루어지는 개인정보의 수집과 처리 및 이용을 규제하는 일반법이다.

정보 위반 사항 통지와 관련하여, 동법 제12조는 개인정보가 도난, 공개, 변경 또는 침해되는 사고가 발생하면 정보 관리 주체는 사고 조사가 끝나면 피해를 입은 정보 당사자에게 시의 적절하게 통지해야 한다고 명시되어 있다.

정보 보안 의무와 관련하여, 동법 제27조 1항은 개인정보가 도난, 변경, 손상, 훼손, 분실 또는 공개되지 않도록 적절한 조치를 취하도록 요구하고 있다.

또한, 동법 제12조 2항의 시행 규정에는 정보 관리 주체가 비례 원칙에 의거하여, 즉 관련 개인정보의 내용이나 규모에 기반하여 채택을 검토할 수 있는 기술적이고 체계적인 조치가 명시되어 있다.

엄밀하게 말하면, 개인정보보호법이나 시행 규정 어느 것도 정보 관리 주체에게 특정의 보안 조치를 취하도록 강제적으로 요구하지는 않는다. 특정의 보안 조치를 채택할 것인지 여부는 전적으로 정보 관리 주체의 재량이다.

그럼에도 불구하고 동법 제27조 1항에 따르면, 중앙 정부의 관할 기관들은 하나 이상의 산업 부문을 지정하여 감독하면서 이들에게 개인정보 파일에 필요한 보안 유지 계획을 수립하도록 요구할 수 있다.

관련 부처 및 위원회가 비정부 기관에 대한 감독 업무를 실행할 수 있도록 2020년부터 행정원은 정기적인 협업 회의를 주관하고 있다.

2021년 2월 3일자 회의 결의안을 보면, 관계 부처 및 위원회는 정보 위반 사항을 지속적으로 보고하여 여기에 필요한 일정을 정할 수 있도록 자신들이 감독하고 있는 특정 산업 부문에 필요한 기존의 정보보호 규정을 수정하고, 이를 통해 비정부 기관들이 보고 양식을 이용하여 72시간 이내에 정보 위반 사항을 중앙 정부의 관할 기관에 보고하도록 명시적으로 요구했다.

2021년 8월, 행정원은 관련 부처 및 위원회가 자신들이 감독하고 있는 특정 산업 부문에 필요한 기존의 정보보호 규정을 수정하고, 개인정보를 수집, 처리 또는 이용하기 위해 IT 시스템을 활용하는 비정부 기관들이 정보 보안에 필요한 추가 조치를 취하도록 요구한 개인정보보호 실행에 관한 협업 실무 가이드라인을 발표했다.

이 가이드라인은 관련 부처 및 위원회가 비정부 기관의 규모, 이들이 갖고 있는 개인정보의 규모나 내용, 정보 위반으로 인한 정보 당사자가 입을 피해 가능성, 국가간 데이터 이전의 빈도 및 기타 요소들을 고려하여 자신들이 감독하고 있는 특정 산업 부문에 필요한 새로운 정보보호 규정의 필요성에 대해 검토할 것을 요구하고 있다.

기업 지배구조

대만의 경우, 이사들은 회사에 대해 신인의무(信認義務; fiduciary duty)가 있고 이를 위반하면 책임져야 한다. 그러나, 회사가 사이버 보안 사고를 예방하거나, 완화하거나, 관리하거나 또는 대응하지 못했더라도 이를 근거로 회사의 이사들이 신인의무를 위반한 것으로 판단할 수는 없다.

오히려, 사고가 이사회에 보고되었는지, 이사회에서 조치를 취할 필요가 있었는지 여부에 따라 달라진다.

또한, 대만 법에서는 회사에서 최고정보보호책임자(CISO)를 지정하도록 요구하지 않고 있다(금융기관과 같은 특정 산업 부문은 예외).

그러나, 현재 금융감독위원회는 대만증권거래소(TWSE) 또는 타이페이거래소(TPEx)에 상장된 회사들은 2022년 12월 31일까지 정보 보안 정책을 실행하는 CISO를 지정하고 최소한 임원 1인과 직원 2인으로 이루어진 정보 보안 전담 부서를 신설하도록 요구하고 있다. 납입자본금이 100억 대만 달러(3억 2,520만 달러) 이상인 회사, 전년 말일 기준으로 TWSE Taiwan 50 지수를 구성하는 회사 및 주로 전자상거래를 수행하는 회사들도 여기에 해당한다.

기타 TWSE 또는 TPEx에 상장된 회사들은 이보다 조금 여유가 있는데, 과거 3년 동안 손실이 발생하지 않았거나 주당 순가치가 주당 액면가보다 적지 않다면 2023년 12월 31일까지 CISO 1인과 정보 보안 전담 직원 1인을 지정해야 한다.

LEE AND LI
8/F No.555, Sec. 4, Zhongxiao E. Rd.
Taipei – 11072, Taiwan
전화: +886 2 2763 8000
이메일: attorneys@leeandli.com

www.leeandli.com