SECURITY

보안뉴스

中, ‘데이터 보안 관리 방법’ 제정... 하반기 시행될 듯
2019.05.30
정부, 국가안보·사회관리·경제조정 목적 데이터 요구...기업 제공해야
기업이 중요 데이터 발표·공유·거래·국외 제공 때 정부 승인 거쳐야
국가인터넷정보판공실, 6월 28일까지 초안 공개 의견 수렴...연내 시행 예정


[보안뉴스 온기홍=중국 베이징] 중국 정부가 국가 안보와 사회 관리, 경제 통제 등을 위해 인터넷 운영 기업·기관에게 보유중인 데이터의 제공을 요구할 경우 기업은 데이터를 제공해야 하는 새 규정안을 만들었다. 중국 정부는 또 인터넷 운영 기업이 ‘중요 데이터’를 발표·공유·거래 또는 국외에 제공하기 전에 반드시 보안 위험을 평가하고 감독관리 기관에 보고해 승인을 받도록 했다.

[이미지=iclickart]


중국 사이버 관리감독 기관인 국가인터넷정보판공실은 28일 홈페이지에 ‘데이터보안관리방법’ 초안을 발표하고 공개적으로 의견을 구한다고 밝혔다. 국가인터넷정보판공실은 유관 정부부처와 함께 “국가 안보와 사회 공공이익을 수호하고 사이버공간에서 공민·법인과 기타 조직의 합법권익을 보호하며 개인정보와 중요 데이터의 보안을 보장하기 위해 기존 ‘사이버보안법’ 등 법률법규에 근거해 ‘데이터보안관리방법’을 제정했다”고 밝혔다. 국가인터넷정보판공실은 6월 28일까지 한 달 동안 이번 초안에 대해 중국정부법제정보 웹사이트, 이메일, 우편을 통해 일반 대중으로부터 공개적으로 의견을 받을 예정이다.

이번 ‘데이터보안관리방법’의 정식 시행 일자는 밝히지 않았으나, 각계에서 수렴한 의견을 반영해 초안 보완 과정을 거친 뒤 올해 하반기 중 시행할 것으로 예상되고 있다. 중국 정부는 지난 24일 국내외 기업들의 IT 제품과 서비스가 자국의 중요 정보 인프라와 국가안보 등을 해칠지 여부를 중점 평가하고 보안 심사를 통과하지 못한 제품과 서비스의 구매를 금지할 수 있는 ‘사이버보안 심사 방법’ 초안을 발표한지 나흘 만에 자국 내 데이터의 보안 강화를 위한 새 규정안을 내놓았다.

국가인터넷정보판공실, 개인정보·중요 데이터 보안보호 업무 총괄
모두 40개 조항으로 구성된 ‘데이터보안관리방법’ 초안은 크게 △데이터 수집(12개 조항) △데이터 처리 이용(14개 조항) △데이터 보안 감독관리(5개 조항) 부분으로 나눠져 있다. 중국 내에서 인터넷을 이용해 벌이는 데이터 수집·저장·전송·처리·이용 등 활동(이하 ‘데이터 활동’) 및 데이터 보안의 보호와 감독관리는 이번 ‘데이터보안관리방법’의 적용을 받고, 순수 가정과 개인 사무는 제외된다.

이번 ‘데이터보안관리방법’의 내용을 살펴보면, 먼저 국가는 중국 안팎으로부터의 데이터 보안 위험과 위협의 원천을 모니터링·방어·처치하는 조치를 취하고, 데이터가 유출·절취·변조·훼손·불법이용 등을 당하지 않도록 보호하며, 데이터 보안을 해치는 불법 범죄 활동을 법에 따라 처벌한다고 명시됐다.

중국공산당 중앙사이버보안·정보화위원회의 지도 아래, 국가인터넷정보 관련 부서는 개인정보와 중요 데이터의 보안 보호 업무를 총괄하고 조정하게 된다. 지방(시)급 이상 인터넷정보판공실은 직책에 의거해 해당 행정 구역 내 개인정보와 중요 데이터의 보안 보호 업무를 지도·감독한다.

인터넷 운영자(인터넷 소유·관리 및 서비스 제공하는 기업·기관)는 유관 법률과 행정법규의 규정에 근거하고 국가사이버보안표준을 참조해 데이터 보안 보호 의무를 이행해야 하고, 데이터보안 관리 책임과 심사평가 제도를 마련해야 한다. 또 데이터 보안 계획을 제정하고, 데이터보안 기술 방어를 실시하며, 데이터보안 위험 평가를 실시해야 한다. 사이버보안사건 응급대응방안도 제정하고 보안사건을 즉시 처리하는 한편, 데이터보안 교육·훈련을 실시해야 한다.

데이터 수집·이용 관련 인터넷 운영 기업·기관의 책임과 의무
인터넷 운영 기업·기관은 웹사이트와 애플리케이션 프로그램 등 제품을 통해 개인정보를 수집·이용할 경우, 반드시 수집·이용 규칙을 각각 마련해야 한다. 개인정보 수집·이용 규칙은 △인터넷 운영자의 기본 정보 △운영업체 내 주요 책임자와 데이터보안 책임자의 성명과 연락처 △개인정보 수집·이용의 목적·종류·수량·빈도·방식·범위 등 △개인정보 보존 장소·기한, 만료 후 처리 방식 △타인에게 개인정보를 제공하는 규칙 △개인정보 보안 보호 전략 △개인정보 주체의 철회 동의 및 개인정보 조회·수정·삭제 절차와 방법 △민원·신고 경로와 방법 등 내용을 두드러지게 나타내야 한다.

이용자가 개인정보 수집·이용 규칙을 알고 명확히 동의한 후에야 운영자는 개인정보를 수집할 수 있다. 14세 이하 미성년자 개인정보를 수집할 경우, 인터넷 운영자는 보호자의 동의를 구해야 한다. 인터넷 운영자의 책임과 의무는 다음과 같다.

①인터넷 운영자는 서비스 품질 개선, 이용자 체험 향상, 정보 푸시, 신제품 연구개발 등을 이유로 삼아 디폴트 권한 부여, 기능 번들링 형식으로 개인정보 주체가 본인 개인정보 수집에 동의하도록 강요·오도해서는 안 된다.

②인터넷 운영자는 개인정보 주체에 대해 개인정보 수집 권한 부여 여부 및 권한부여 범위에 근거해 서비스 품질과 가격차이 등을 포함해 차별 대우 행위를 취해서는 안 된다. 운영자는 기타 경로로 개인정보를 얻을 경우, 직접적인 개인정보 수집과 동등한 책임과 의무를 진다.

③인터넷 운영자는 경영을 목적으로 중요한 데이터 혹은 개인의 민감한 정보를 수집할 경우, 소재지 인터넷정보판공실에 수입·이용의 규칙 및 목적·규모·방식·범위·유형·기한 등을 등록(데이터 내용 자체 미포함)해야 한다.

④인터넷 운영자는 자동화 수단을 써서 웹사이트 데이터를 방문·수집할 때, 웹사이트의 정상 운영을 방해해서는 안 된다. 만일 자동화에 의한 방문·수집 트래픽이 웹사이트 일일 평균 트래픽의 3분의 1을 초과할 경우, 해당 웹사이트 측이 자동화 방문·수집 중지를 요구하면 반드시 중지해야 한다.

⑤인터넷 운영자는 경영을 목적으로 중요한 데이터 혹은 개인의 민감한 정보를 수집할 경우, 데이터 보안 책임자를 명확하게 해야 한다. 데이터 보안 책임자는 유관 관리 업무 경력과 데이터 보안 전문지식을 갖춘 인원이 맡아야 한다.

⑥데이터 보안 책임자는 △데이터 보호 계획의 제정과 이행 촉구 △데이터 보안 위험 평가 실시와 보안 위험 시정 촉구 △유관 부처와 인터넷정보판공실에 데이터 보안 보호와 사건처리 상황 보고 △이용자 민원과 신고 접수 및 처리 등 직책을 이행하게 된다.

기업이 중요 데이터 발표·공유·거래·국외 제공 시, 정부 보고·승인 거쳐야
⑦인터넷 운영자는 국가 유관 표준을 참조하고 데이터의 분류·백업·암호화 등 조치를 취해 개인정보와 중요 데이터 보호를 강화해야 한다. 인터넷 운영자는 개인정보를 저장할 때 수집·이용 규칙 중의 저장 기한을 초과해서는 안 된다. 이용자가 계정 해지를 한 후엔 즉시 해당 개인정보를 삭제해야 한다. 특정 개인과 관련될 수 없고 복원 할 수 없도록 처리(익명화 처리)를 거친 것은 제외하게 된다. 또한 업무상 필요 때문에 개인정보 이용 범위를 확대해야 할 경우, 개인정보 주체의 동의를 구해야 한다.

⑧인터넷 운영자는 이용자 데이터와 알고리즘을 이용해 뉴스 정보, 상업 광고 등(푸시)을 보낼 때, 명확한 방식으로 ‘푸시’ 문구를 명기해야 하며, 이용자에게 푸시 정보 수신 중지 기능을 제공해야 한다. 이용자가 정보 푸시 수신 중지를 선택할 경우, 푸시를 중지해야 하고, 이미 수집한 설비 식별번호 등 이용자 데이터와 개인정보를 삭제해야 한다.

⑨인터넷 운영자는 빅데이터, 인공지능 등 기술을 이용해 뉴스, 블로그 게시글, 인터넷 게시물, 댓글 등 정보를 자동 합성할 때, ‘합성’ 문구를 명기해야 한다. 이익을 꾀하거나 타인의 이익을 해치려는 목적으로 정보를 자동 합성해서는 안 된다.

⑩인터넷 기업은 이용자가 SNS를 통해 타인이 만든 정보를 전송하는 상황에서는 해당 SNS 상의 계정에 정보 제작자를 자동으로 표기하거나, 변조할 수 없는 이용자 표시를 해야 한다.

⑪인터넷 기업은 타인 명의를 사칭·모조·도용한 정보 발표(게시)와 관련한 제보 신고를 접수하면 즉시 응대해야 한다. 일단 사실을 확인하고 즉각 해당 정보의 유포를 중지시키고 삭제 처리를 해야 한다.

⑫인터넷 운영자는 타인에게 개인정보를 제공하기 전, 초래될 수 있는 보안 위험을 평가하고 개인정보 주체의 동의를 구해야 한다. 다만 △합법적이고 공개된 경로로 수집하고 또 개인정보 주체의 의사를 뚜렷하게 위배하지 않은 경우 △개인정보 주체 자발적으로 공개한 경우 △익명화 처리를 거친 경우 △법 집행 기관이 법에 의거해 직무 수행에 꼭 필요한 경우 △국가안보, 사회공공이익, 개인정보 주체의 생명 안전 보호에 꼭 필요한 경우는 제외한다.

특히, ⑬인터넷 운영 기업은 중요한 데이터를 발표·공유·거래 또는 국외에 제공하기 전, 반드시 초래될 보안 위험을 평가해야 하며, 해당 업계 감독관리 기관에 보고하고 동의를 받아야 한다. 감독관리 기관이 불명확한 경우, 성급 인터넷정보판공실의 승인을 거쳐야 한다. 국외에 개인정보를 제공할 경우 유관 규정에 따른다. 중국 내 이용자가 국내 인터넷을 방문할 경우, 그 트래픽이 국외로 라우팅 되도록 해서는 안 된다.

⑭인터넷 운영자는 해당 플랫폼에 접속하는 제3자 애플리케이션에 대해서는 데이터 보안 요구와 책임을 명확하게 해야 하고, 제3자 애플리케이션 운영자에게 데이터 보안 관리를 강화하도록 감독하고 촉구해야 한다. 제3자 애플리케이션에서 데이터 보안 사건이 발생해 이용자에게 손실을 끼칠 경우, 인터넷 운영자는 무과실을 증명할 수 있는 경우를 제외하고는 일부 또는 전부 책임을 져야 한다.

⑮인터넷 운영자가 합병·구조 조정·파산할 경우, 데이터 인수자는 데이터 보안 책임과 의무를 이어 받아야 한다. 데이터 인수자가 없는 경우, 데이터를 삭제 처리해야 한다.

⑯인터넷 운영 기업은 보유 중인 데이터 자원을 분석·이용해 시장 예측, 통계 정보, 개인과 기업 신용 정보를 발표할 경우, 국가안보, 경제운용, 사회 안정에 영향을 끼쳐서는 안 되며, 타인의 합법적 권익을 손상시켜서도 안 된다.

정부가 국가안보·사회관리·경제조정 위해 데이터 요구하면 업체 제공해야
국무원 유관 부처는 국가안보, 사회 관리, 경제 조정·통제 등 이행을 위해 필요할 경우, 법률과 행정법규의 규정에 의거해 인터넷 운영자에게 보유 중인 데이터의 제공을 요구하고, 운영자는 마땅히 제공해야 한다. 국무원 유관 부처는 인터넷 운영자가 제공한 데이터에 대해 보안 보호책임이 있으며, 직책과 무관한 용도로 이용해서는 안 된다.

각급 인터넷정보판공실은 인터넷 운영 기업이 데이터보안 관리 책임을 제대로 이행하지 않은 것을 알게 된 경우, 운영 기업 내 주요 책임자를 불러 교육(문제점 지적, 시정 요구)하고 개선하라고 촉구해야 한다.

국가는 인터넷 운영자가 자발적으로 데이터 보안 관리 인증과 애플리케이션 프로그램 보안 인증을 통과하도록 장려해야 한다. 또 온라인 검색 사이트, 앱 스토어 등에게 인증을 통과한 애플리케이션 프로그램을 명확히 표시하고 우선적으로 추천하라고 권장해야 한다.

인터넷정보판공실은 국무원, 시장감독관리 부처와 함께 국가 사이버보안심사 및 인증 기구를 지도하며, 데이터보안 관리 인증과 애플리케이션 프로그램 보안 인증 업무를 맡게 된다.

개인정보 유출·훼손·분실 등 데이터 보안 사건이 발생하거나, 데이터 보안사건 위험이 뚜렷하게 커질 경우, 인터넷 운영자는 곧바로 보완 조치를 취하고, 즉시 전화·문자 메시지·우편 또는 서신 등 방식으로 개인정보 주체에게 알려야 한다. 감독관리 기관과 인터넷정보판공실에도 보고해야 한다.

인터넷 운영자가 ‘데이터보안관리방법’ 규정을 위반할 경우, 유관 부처는 관련 법률, 행정법규의 규정에 따라 상황에 근거해 공개적으로 밝히고, 위법 소득 몰수, 관련 업무 중단, 영업 정지 및 정리, 웹사이트 폐쇄, 관련 업무허가증 취소 또는 영업허가증 취소 등 처벌을 하게 된다. 범죄가 구성될 경우, 법에 의거해 형사상 책임을 묻게 된다.

국가인터넷정보판공실은 ‘중요 데이터’와 관련, 일단 유출되면 국가안보, 경제안보, 사회안정, 공공 건강과 안전에 직접 영향을 끼칠 수 있는 데이터를 가리킨다고 설명했다. 예컨대 미공개 정부 정보, 광역 인구, 유전자 건강, 지리, 광산 자원 등이며, 중요 데이터에는 일반적으로 기업의 생산 경영과 내부 관리 정보, 개인정보 등은 포함되지 않는다고 덧붙였다. 이밖에 국가 비밀정보·암호 이용과 관련된 데이터 활동일 경우, 국가 유관 규정에 따라 실시하게 된다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 “보안뉴스(www.boannews.com)”로 문의하여 주십시오.
목록