I. 네트워크안전법
1. 개요
(1) 제정 배경
인터넷과 정보기술이 지속적으로 발전함에 따라 전세계적으로 인터넷 보안 문제가 국가주권, 안전 및 이익과 관련된 중대한 이슈로 부각되고 있고 이에 따라 세계 각국은 인터넷 보안에 관한 법률 제정과 감독관리체계 구축을 적극적으로 추진하고 있습니다. 이러한 배경하에 중국은 국가 안전에 관한 입법활동을 진행하여 2015년 7월 <중화인민공화국 국가안전법3>(이하 “국가안전법”)을 전면 개편하여 시행하고, 2016년 1월 <중화인민공화국 반테러주의법4>을 제정·시행한 데 이어 인터넷 등 네트워크 상 안전 문제에 대응하기 위한 법률로 네트워크안전법을 제정, 공포하기에 이르렀습니다.
(2) 적용범위
네트워크안전법은 중국 국내에 건설, 운영, 유지, 사용되는 네트워크와 그 안전에 대한 감독관리에 대해 적용됩니다. 여기에서 “네트워크(网络)”는 컴퓨터 또는 기타 정보단말기 관련 설비로 구성되어 일정한 규칙과 절차에 따라 정보에 대한 수집, 저장, 전송, 교환, 처리를 하는 시스템을 가리킵니다(제76조). 한편, 네트워크안전법에서 네트워크 안전과 관련한 다양한 의무를 수행해야하는 주체인 “네트워크 운영자”는 네트워크 소유자, 관리자 및 네트워크 서비스 제공자로 광범위하게 정의되어 있습니다(제76조).
네트워크안전법은 원칙적으로 중국 내의 네트워크 활동에만 적용되지만, 중국 국외의 기관, 조직, 개인이 중국의 핵심정보 인프라시설에 대해 공격, 침입, 방해, 파괴 등 행위를 함으로써 심각한 피해를 초래하는 경우 법에 따라 법적 책임을 추궁하고 해당 기관, 조직, 개인에 대하여 재산동결 등 조치를 취할 수 있도록 역외적용 규정을 두고 있습니다(제75조).
(3) 주무부서
네트워크안전법은 중국 국가 인터넷정보부서가 네트워크 안전 관련 감독관리업무를 총괄하고, 국무원 전기통신주관부서 및 공안부 등 기타 관련부서가 각자의 직무 범위 내에서 네트워크 안전에 관한 보호와 감독관리업무를 담당하도록 규정하고 있습니다(제8조).
2. 주요 내용
네트워크안전법은 크게 (i) 네트워크 운영 안전 관련, (ii) 핵심정보 인프라시설 관련, (iii) 네트워크 정보 안전 관련 규정으로 구분할 수 있으며, 주요 내용은 다음과 같습니다.
(1) 네트워크 운영 안전 관련
- 안전등급 보호제도 관련 의무(제21조)
국가는 네트워크 안전등급 보호제도를 실시해야 하고, 네트워크 운영자는 안전등급 보호제도의 요구에 따라 내부 안전관리제도 및 운영규정 제정, 네트워크 안전 책임자 지정, 해킹 방지를 위한 기술적 조치 실시, 네트워크 운영을 모니터링 및 기록하고 일지를 6개월 이상 보존해야 하고, 데이터 분류 및 중요데이터 백업 등 의무를 이행해야 합니다.
- 네트워크 상품 및 서비스 관련 의무(제22조)
네트워크 상품 및 서비스 제공자는 안전결함 등 리스크 발생시 즉시 보완조치를 실시하고 규정에 따라 사용자에게 고지하고 유관 부서에 보고해야 하며, 법정, 약정 기간 동안 안전보호 서비스를 중단없이 지속적으로 제공해야 합니다. 또한, 네트워크 상품이나 서비스의 제공에 개인정보 수집기능이 포함되어 있는 경우 사용자에게 이를 명시하고 동의를 받아야 합니다.
- 실명가입 요청 의무(제24조)
네트워크 운영자는 네트워크 접속 및 도메인 등록 서비스 처리, 고정·이동전화 등을 통한 네트워크 접속 절차를 처리하거나, 또는 사용자를 위해 정보 발표·메신저 등 서비스를 제공할 때에 시 반드시 사용자에게 진실한 신분 정보를 요청해야 하며, 사용자가 이를 거부할 경우 관련 서비스를 제공하여서는 안됩니다.
- 네트워크 안전사고 긴급대응안 제정 의무(제25조) 및 수사당국 협조 의무(제28조)
(2) 핵심정보 인프라시설 관련
핵심정보 인프라시설이란, 공공통신 및 정보서비스, 에너지, 교통, 수자원, 금융, 공공서비스, 전자정부 등 중요 산업 및 영역, 그리고 파괴되거나 기능을 상실하거나 데이터 유출 시 국가 안전, 국가 경제와 국민 생활, 공공이익에 큰 피해를 줄 수 있는 기타 인프라 시설을 가리킵니다.5 핵심정보 인프라시설의 운영자는 안전관리 책임자 지정 및 중요 데이터베이스 백업 등의 안전보호 조치를 취해야 하고(제34조), 중국 내 수집, 생산된 개인정보와 중요데이터는 중국 국내에 저장해야 하며 해외에 제공 필요 시 국가 네트워크 정보부서에서 안전 평가를 진행해야 합니다(제37조). 또한, 네트워크 안정성 및 잠재적 리스크에 대하여 최소 연1회 이상 측정·평가를 진행해야 하고(제38조), 그 밖에도 네트워크 제품 및 서비스 구매 시 국가안전심사 통과 의무(제35조), 비밀유지의무(제36조)를 이행해야 합니다.
(3) 네트워크 정보 안전 관련
- 개인정보 보호 의무(제41조, 제42조)
네트워크 운영자는 개인정보 수집사용 시 합법, 정당, 필요 원칙을 준수하여 공개적으로 수집하고 정보 주체의 동의를 획득해야 하며 서비스와 무관한 개인정보를 수집하지 않아야 됩니다(제41조).6 또한 정보 유출, 훼손, 유실 등이 발생하거나 발생 가능성이 있을 시 즉시 보완조치를 실시하고 사용자에게 고지하고 유관 부서에 보고해야 합니다.
- 정보주체의 시정권(제43조)
네트워크 운영자가 법규나 계약을 위반하여 개인정보 수집 및 사용 시 해당 개인정보 삭제를 요구할 수 있고 수집 및 저장한 개인정보에 오류가 있는 경우 정보주체는 수정을 요구할 수 있습니다.
3. 분석
금번 네트워크안전법의 제정으로 인터넷 등 네트워크 운영에 대한 중국 정부의 감독과 각종 규제가 강화되고 기업활동의 컴플라이언스 리스크 및 비용이 증가할 것으로 예상됩니다. 네트워크안전법은 의무를 위반하는 경우에 대한 처벌 조항도 구체적으로 규정하고 있으므로, 중국 내 기업들은 법 시행전에 그 요건에 부합하는 네트워크 안전 관리 제도를 수립, 시행해야 하고, 개인정보 수집·사용 현황도 재점검하여 개인정보보호체계를 수립 및 보완해야 할 것입니다.
특히, 핵심정보 인프라시설에 해당하는 경우 개인정보를 비롯한 중요데이터를 중국 국내에 저장해야 하고 해당 데이터의 해외 제공 시에도 일정한 제한을 받게 되어 중국에서 한국 기업의 진입장벽이 높아지고 경영활동이 위축될 수도 있을 것이라는 우려가 제기되고 있습니다. 나아가 개인정보 및 중요데이터 안전평가방법 의견수렴안에서는 핵심정보 인프라시설이 아닌 경우에도 중요데이터를 중국내에 저장하도록 규정하고 있음을 주목할 필요가 있습니다. 다만, 핵심정보 인프라시설의 구체적인 범위와 안전보호 방법은 국무원이 제정하는 별도 규정을 통해 확정될 예정이고 그 밖에 세부 사항들이 하위 규정으로 제정되어야 할 것입니다.
네트워크안전법은 네트워크안전 관련 책임을 부담하는 주체로서 네트워크 운영자라는 개념을 도입하고 그 범위에 네트워크 소유자, 관리자는 물론 네트워크서비스제공자도 포함시키고 있는데, 인터넷 등의 네트워크를 통해 고객정보의 수집, 처리 등 업무를 일상적으로 진행하고 있다거나, 이미 개방된 인터넷 상업 비지니스분야에 진출할 계획이 있는 기업, 개인 소비자들을 상대로 하는 B2C기업, 중국 현지 한국계은행이나 기타 금융기관 등의 네트워크를 통한 금융서비스를 제공하는 기업들로서는 기존보다 훨씬 강화된 책임과 주의의무를 부담하게 된다는 점에 유의할 필요가 있습니다.
한편, 법안 발의 당시부터 논란이 많았던 국가수사기관, 조사기관에 대한 협조/지원 의무와 관련하여, 본법 제28조는 상당히 원칙적이고 포괄적인 규정을 하고 있는데, 실무적으로 어떻게 운용될 지에 관해서는 관련 하위 규정이 제정될 것으로 예상됩니다.
본법은 네트워크안전에 관한 기본법으로서 본격적인 시행을 앞두고 관련 주관 부서의 부수적 하위 규정들의 제정 및 공표가 이어질 것으로 전망되므로 법규 제정 동향을 면밀히 주시할 필요가 있습니다.
II. 개인정보 및 중요데이터 국외이전 안전평가방법(의견수렴안)
1. 개요
중국의 국가 인터넷정보부서는 2017년 4월 11일 국가안전법 및 네트워크안전법의 하위 규정인 개인정보 및 중요데이터 안전평가방법 의견수렴안을 발표하고, 한달 동안 사회 각계의 의견을 수렴하였습니다.7
2. 주요 내용
개인정보 및 중요데이터 안전평가방법 의견수렴안의 주요 내용은 다음과 같습니다:
- 네트워크 운영자가 중국 역내 운영 중에 수집, 생성한 개인정보와 중요데이터는 역내에 저장해야 함(제2조).
- 개인정보를 국외로 이전(出境)8하는 경우 개인정보 당사자에 대해 데이터 국외이전의 목적, 범위 내용, 수령자 및 수령자가 소재한 국가 또는 지역을 설명하고 동의를 받아야 함(제4조).
- 네트워크 운영자는 데이터 국외이전 시 자체적으로 안전평가를 진행하고 평가 결과에 대해 책임져야 함(제7조).
- 데이터 국외이전 안전평가의 주요 평가 기준은 아래와 같음(제8조).
① 데이터 국외이전의 필요성
② 개인정보 관련 상황: 개인정보의 수량, 범위, 유형, 민감정도 및 개인정보 당사자 동의여부 등
③ 중요데이터 관련 상황: 중요데이터의 수량, 범위, 유형 및 민감정도 등
④ 데이터 수령자의 안전보호조치, 능력, 수준 및 소재국과 지역의 네트워크 안전평가 등
⑤ 데이터 국외이전 및 재전송 후의 누설, 훼손, 왜곡, 남용 등 리스크
⑥ 데이터 국외이전 및 국외이전데이터 축적으로 인해 국가안전, 사회공공이익, 개인 합법이익에 발생할 수 있는 리스크
⑦ 기타 평가해야 하는 중요사항
- 해외로 데이터 전송 시 아래 6가지 조항 중 어느 하나에 해당하는 경우 업계 주관부서 또는 감독부서의 안전평가를 받아야 함(제9조).
① 합계 또는 누계 50만명 이상의 개인정보를 포함하는 경우
② 데이터가 1000GB를 초과하는 경우
③ 핵시설, 화학바이오, 국방군사공업, 인구건강 등 분야의 데이터, 대형 프로젝트, 해양환경 및 민감한 지리정보데이터 등을 포함하는 경우
④ 핵심정보 인프라시설의 시스템하자, 안전보호 등 네트워크 안전정보를 포함하는 경우
⑤ 핵심정보 인프라시설 운영자가 해외로 개인정보와 중요데이터를 제공하는 경우
⑥ 기타 국가안전과 사회공공이익에 영향을 줄 수 있어 업계 주무부서 또는 감독부서에서 평가가 필요하다고 인정하는 경우
- 아래 상황 중 어느 하나에 해당할 경우 해외로 데이터를 전송할 수 없음(제11조).
① 개인정보 국외이전에 대해 관련 개인정보 당사자의 동의를 받지 않았거나 개인이익을 침해할 가능성이 있는 경우
② 데이터 국외이전으로 인해 국가 정치, 경제, 과학기술, 국방 등 안전에 리스크를 조성하여 국가안전에 영향을 주거나 사회공공이익에 손해를 끼칠 가능성이 있는 경우
③ 기타 국가네트워크정보부서, 공안부서, 안전부서 등 관련 부서에서 국외이전이 불가하다고 인정하는 경우
- 네트워크 운영자는 매년 최소 1회 데이터 국외이전에 대한 안전평가를 진행해야 하며 보고의무를 지님(제12조).
3. 분석
- 네트워크안전법에서는 핵심정보 인프라시설에 해당하는 경우에만 중국 내에서 수집, 생성한 개인정보 및 중요데이터를 역내에 저장해야 한다는 규정을 두고 있었는데, 개인정보 및 중요데이터 안전평가방법 의견수렴안에서는 핵심정보 인프라시설에 한하지 아니하고 모든 네트워크 운영자가 중국 내에서 수집, 생성한 개인정보 및 중요데이터를 역내에 저장해야 한다는 규정을 신설하여, 해당 의무 준수 대상을 대폭 확대하고 있음.
- 개인정보 및 중요데이터의 국외이전 시 모든 경우에 있어 일정 기준에 따른 안전평가를 진행해야 하되, 개인정보 및 중요데이터 안전평가방법 제9조에 해당하는 경우 업계 주관부서 또는 감독부서의 안전평가를 받아야 하고, 해당하지 않는 경우 자체적으로 안전평가를 진행하면 됨(그러나 결과에 대해 책임져야 함).
- 중요데이터는 정확히 어떠한 정보를 가리키는지, 네트워크안전법 상에는 규정되지 않는 개인정보 및 중요데이터 안전평가방법 제2조 의무 위반 시 네트워크안전법 상 처벌 규정이 적용될 것인지 등 아직도 불명확한 부분이 다수 있음.
- 개인정보 및 중요데이터 안전평가방법의 의견수렴안 및 기타 하위규정들이 확정되면 (i) 데이터의 중국 역내 저장 의무가 적용되는 대상, (ii) 데이터 국외이전 시 안전평가의 기준 및 방법이 보다 명확해질 것으로 보임.
[1] 中华人民共和国网络安全法
[2] 个人信息和重要数据出境安全评估办法(征求意见稿)
[3] 中华人民共和国国家安全法
[4] 中华人民共和国反恐怖主义法
[5] 네트워크안전법에 직접 적용되는 규정은 아니지만 핵심정보 인프라시설의 범위와 관련하여 2016. 6. 시행된 <국가 네트워크 보안검사 운영지침(国家网络安全检查操作指南)>을 참고할 수 있는데, 이에 따르면 핵심정보 인프라시설에는 정당 및 정부 기관 웹사이트, 기업 및 업체 사이트, 뉴스 웹사이트 등과 같은 사이트 류, 실시간 통신, 온라인 쇼핑, 온라인 결제, 검색엔진, 전자메일, 포럼, 지도, 오디오 및 비디오 등 네트워크 서비스와 같은 플랫폼 류, 사무와 업무시스템, 산업 제어 시스템, 대형 데이터 센터, 클라우드 컴퓨팅 플랫폼, 텔레비전 전파 시스템과 같은 생산 비즈니스 류가 포함됩니다.
[6] 기존에 제정된 <통신인터넷고객 개인정보보호규정(电信和互联网用户个人信息保护规定)> 제5조, 제6조 및 <소비자권익보호법(消费者权益保护法)>제29조에도 개인정보 수집 관련 합법, 정당, 필요 원칙 및 동의취득 의무에 관한 내용이 명시되어 있습니다.
[7] 안전평가방법 의견수렴안의 시행일은 아직 확정되지 않았습니다. 이는 확정안이 아니므로 추후 변경될 수도 있으나, 전체적인 틀은 유지될 가능성이 높은 것으로 예상되고 있습니다.
[8] 국외이전은 네트워크를 통해 직접 데이터를 전송하는 경우, 중국 역외에서 역내 서버에 접속하여 데이터를 열람하는 경우, 저장매체를 휴대하여 반출하는 경우를 모두 포함한다고 해석됩니다.
자료출처 : http://www.bkl.co.kr/upload/data/20170510/bkl-legalupdate-20170510.html#.WStvS4XlKaM
