연

주제

내용

1장

총칙

- 목적: 사이버 보안 주권과 국가 안보, 사회의 공동이익을 수호하고 공민, 법인 및 기타 조직의 정당한 권익을 보호하기 위함임.

- 범위: 중화인민공화국 영토 내 네트워크의 건설, 운영, 유지 및 사용과 네트워크 보안의 감독 및 관리를 포함함.

- 사이버 주권의 공간적 정의:

* 내부 : 사이버 주권은 국가가 자체 인터넷 문제를 독립적으로 개발, 감독 및 관리하는 것을 말함.

* 외부: 사이버 주권은 국가의 인터넷을 외부 침입 및 공격으로부터 보호하는 것을 말함.

- 네트워크 보안 및 정보화 개발에 동등하게 강조.

2장

네트워크 보안 지원 및 추진

- 완벽한 네트워크 보안 표준 시스템 구축.

- 기업, 연구 기관, 대학교 및 네트워크 관련 산업 단체에서 사이버 보안 국가 및 산업 표준 제정에 참여할 수 있도록 지원.

- 주요 사이버 보안 기술 산업 및 프로젝트 지원.

- 네트워크 보안 기술의 연구, 개발 및 프로젝트 지원.

- 안전하고 신뢰할 수 있는 네트워크 제품 및 서비스를 홍보.

- 네트워크 보안 사회 서비스 시스템 구축 추진.

- 네트워크 데이터 보안의 보호 및 활용 기술 개발 장려.

- 사이버 보안 홍보 및 교육 실시.

3장

사이버 보안 운영

- 일반 조항

* 사이버 보안 운영자의 제1 책임자 책임을 구체화.

* 네트워크 운영자는 법률, 행정 규정 및 표준에 따라 네트워크 보안, 안정적인 운영을 보장하고 네트워크 보안 사고에 효과적으로 대응하고 네트워크 데이터의 기밀성 및 가용성을 유지하기 위해 기술적 조치 및 기타 필요한 조치를 해야 함.

* 네트워크 운영의 안전을 보장하는 주요 시스템은 네트워크 보안 수준 보호 시스템임.

* 정보 안전 등급 보호 체계를 법적으로 격상.

- 주요 정보 인프라

중요 정보 기반 시설 (중요 정보 인프라)- 데이터 유출로 인해 나라의 국가 안보, 국가 경제, 인민 생활, 공동 이익에 중대한 피해를 줄 수 있는 주요 네트워크 시설 및 시스템. (1,000만 명 이상의 등록 사용자, 100만 명 이상의 일일 활성 사용자를 보유하고 있으며 네트워크 사고가 발생 시 100만 명 이상의 개인 정보가 유출되고 1,000만 위안의 직접적 경제 손실과 100만 명 이상의 이용자가 일상 생활에서 불편을 겪으며 1,500개 이상의 표준 장비를 갖춘 데이터 센터를 보유한 웹사이트, 플랫폼 등)

* 중요 정보 기반 시설 보호 계획을 개발 및 시행하고 조직 및 관리 역량 구축을 강화하며 정기적인 보안 위험 평가를 수행하고 보안 정보를 공유하고 비상 훈련 및 비상 대응을 조정하고 기술 지원 및 지원 등을 제공함.

* 주요 정보 기반 시설 운영자가 네트워크 제품 또는 서비스를 구매하는 데 대한 국가 안보 검토 규정을 제정함.

* 개인 정보 및 중요 정보 기반 시설 운영자가 중국에서 업무를 수행하는 동안 수집 및 생성하는 중요 데이터는 반드시 중국에 보관해야 하며, 이러한 데이터는 보안 평가를 통해 업무상 필요에 따라 해외에 제공될 수 있음.

4장

네트워크 정보 보안

- 네트워크 제품 및 서비스가 이용자의 정보를 수집하는 기능이 있는 경우 제공자는 이용자에게 이를 명시하고 동의를 받아야 함.

- 네트워크 사업자는 수집한 개인 정보를 공개, 변조, 파기해서는 안 되며, 이용자의 동의 없이 개인 정보를 타인에게 제공해서는 안 됨.

- 개인 또는 단체는 부정한 방법으로 개인 정보를 도용하거나 취득하면 안 되고 타인에게 개인 정보를 불법적으로 판매 또는 제공하지 못함.

- 개인 또는 조직은 인터넷 사용에 대한 책임을 져야 하며 사기, 범죄 교육 및 금지 품목, 통제 품목을 제조 판매하는 등 불법 및 범죄 활동에 사용되는 웹사이트 또는 통신 그룹을 설치해서는 안 됨.

- 인터넷을 사용해 사기 글을 게시 및 구현하거나 금지 품목 및 통제 품목을 제조 판매하지 못함.

5장

조기 경보 및 비상 대응

- 통일된 조기 경보 모니터링, 정보 통지 및 비상 대응 시스템을 명확하게 구축.

- 국가 사이버 정보 보안 부서-관련 부서를 조정해 사이버 보안 정보 수집, 분석 및 통지를 진행하고 규정에 따라 탐지된 조기 경보 정보를 통일적으로 공표함.

- 성급 이상의 인민 정부- 사이버 보안 위험 정보를 분석 및 평가하고 사건의 가능성과 영향을 예측하고 사회에 사이버 보안 위험 경고를 발령함.

- 중요 정보 인프라 보안 부서- 관련 산업 및 분야의 사이버 보안 사고에 대한 비상 계획을 수립하고 정기적인 훈련을 조직함.

- 긴급조치 : 국가 안보 및 사회 공공 질서 유지를 위해 중대한 사회 돌발 사고 처리 시 국무원의 의결 또는 승인이 필요하며, 특정 분야에 대해는 네트워크 통신 제한 등 임시 조치를 취할 수 있음.

6장

법적 책임

- 네트워크 운영자, 중요 기반 시설 운영자, 네트워크 제품 및 서비스 제공자의 다양한 수준의 불법 활동에 대응되는 벌금, 민사 책임, 형사 책임을 규정.

7장

부칙

- 국가 기밀 정보를 저장 및 처리하는 네트워크의 운영 및 보안 보호는 네트워크 안전법 외에도 기밀 유지 법률 및 행정 규정을 준수해야 함.

- 군사 네트워크의 보안은 중앙 군사 위원회가 별도로 정함.

- 이외 해당 법규에서 사용하는 용어의 의미를 설명하고 2017년 6월 1일부터 시행함을 명시함.

연

주제

내용

1장

총칙

- 적용법위: 중국 내에서 데이터 활동을 하는 조직과 개인

- 정의: 전자 혹은 비전자적인 형식으로 정보에 대한 기록

- 보호요구: 필요한 조치를 취해 데이터의 효율적 보호와 합법적 이용을 도모하고, 그 안전 능력을 지속적으로 유지한다.

- 책임 및 임무: 공업, 전기통신, 교통, 금융, 자연자원, 위생건강, 교육, 과학 기술 등 주요 업종은 데이터 보호 규범을 정착시키고 각 부문의 데이터 보안 규범을 정착시킨다. 공안기관, 국가보안기관 등은 각자의 역할 범위 내에서 데이터 보안 감독 업무를 담당한다. 인터넷 통신 부서는 총괄 조정과 감독을 책임진다.

*특히 업계 조직에 대해 안전 행위의 규범을 제출하고, 업계의 자율을 강화하며, 회원들의 데이터 보안 보호를 강화하도록 지도하는 것을 요구한다. 이 법은 ‘회색지대’를 없애는 것이 효과적이며, 업종별 규제도 이뤄 져 데이터의 무분별한 공유와 이동을 차단한다.

2장

데이터 안전 및 발전

- 발전 원칙: 국가 발전과 안전을 총괄하고, 데이터 보안 보장과 데이터 개발 이용 촉진을 동시에 중시한다.

- 전략 요구: 성급 이상의 정부는 반드시 디지털 경제 발전 계획을 수립해야 한다. 국가 데이터 전략의 실행 주체를 세분화 한다.

- 표준 시스템: 국가 주관 부서는 관련 표준과 시스템의 제정을 추진한다.

- 평가 인증: 국가에서는 데이터 보안 검사 평가, 인증 등의 서비스 발전을 촉진하고, 전문 기관이 법에 따라 서비스를 전개할 수 있도록 지원한다.

- 인재 육성: 다양한 방식을 취해 데이터 개발 이용 기술과 데이터 보안 전문 인력을 양성한다.

- 특히 인프라를 강화해 노인, 장애인의 일상 생활에 장애가 되지 않도록 충분히 배려한다.

3장

데이터 보안 제도

- 분류: 국가는 데이터 분류 등 보호 제도를 구축하고, 데이터에 대한 분류 보호를 실시하고, 중요 데이터 목록을 확정해 중요 데이터에 대한 보호를 강화한다.

- 리스크 평가: 통합적이고 효율적이며 권위 있는 데이터 보안 리스크 평가, 보고서, 정보 공유, 모니터링 경보 시스템을 구축한다.

- 응급 처리: 데이터 보안 응급 처리 제도를 구축한다.

- 안전 심사: 데이터 안전 심사 제도를 구축한다.

- 수출 통제: 규제품목의 데이터에 대해 법에 따라 수출 통제를 실시하며, 수출 국가나 지역의 상황에 따라 대등한 조치를 취한다. 이 법은 중국의 데이터에 대한 국가의 주권, 즉 중국의 데이터가 경내에 있는지 여부, 여전히 중국 법의 보호를 받고 있다.

4장

데이터 보안 의무

- 관리 제도: 네트워크 보안 등급 보호 제도의 기초 위에서 전 프로세스 데이터 안전 관리 제도를 수립하고, 교육을 실시한다.중요한 데이터의 취급자는 데이터 보안 책임자와 관리 기관을 명확히 해 데이터 보안 보호 책임 주체를 더욱 정착시킨다.

- 리스크 감독: 결점, 버그 등의 리스크에 대해서는 보완 조치를 취하고, 데이터 보안 사건이 발생하면 반드시 즉시 조치를 취해 규정에 따라 보고한다.

- 리스크 평가: 정기적으로 시스크 평가하고 보고한다.

- 데이터 수집: 아무 조직, 개인이 수집하는 데이터는 반드시 합법적이고 정당한 방식을 취해야 하며, 절취하거나 기타 불법적인 방법으로 취득해서는 안 된다.

- 데이터 교역: 데이터 서비스 사업자 또는 거래 기관은 데이터 출처 증거를 제공하고 설명하며, 관련자의 신원을 검토하고 기록을 남겨야 한다.

- 경영 준비: 데이터 서비스 사업자는 행정 허가를 받아야 하고 서비스 제공자는 법에 따라 허가를 받아야 한다.

- 조차: 공안, 안전 기관 등에 대한 범죄 수사에 법적으로 협조할 것을 요구한다. 국외 법 집행 기관은 중국에 저장된 데이터를 필요 시 허가 없이는 제공할 수 없다.

- 특히 중국 내에서 인프라의 운영 시 수집, 발생하는 중요 데이터의 출국 안전 관리에 대해서는 <중화인민공화국 네트워크 안전법>의 규정을 적용한다. 기타 데이터 처리 자는 중국에서 운영 중 생성 및 수집한 중요한 데이터의 출국 안전 관리 방법은 국가 인터넷 통신 부서와 국무원 관련 부서가 제정한다.

5장

정무 데이터 보안 및 개방

- 관리 제도: 프로세스 데이터 보안 관리 제도를 정비해 데이터 보안 책임을 실현한다.

- 저장: 다른 사람에게 위탁하거나 가공하거나 정무 데이터를 제공하려면 엄격한 심사를 거쳐 감독을 잘해야 한다. 수탁자는 다른 사람에게 정무 데이터를 무단으로 저장, 사용, 누설하거나 제공해서는 안 된다.

- 데이터 오픈: 통합 정무 데이터 오픈 플랫폼을 구축하고, 데이터 오픈 목록을 발표하며, 정무 데이터의 개방 활용을 추진한다.

- 적용 주체: 법률, 법규에 의해 권한을 위임 받은 공공 사무의 관리 기능하는 조직.

6장

법률 책임

- 데이터 운영, 사용, 교역등 회사 및 개인, 네트워크 제품 및 서비스 제공자의 다양한 수준의 불법 활동에 대응되는 벌금, 민사 책임, 형사 책임을 규정.

7장

부칙

- 국가 비밀 자료: <중화인민공화국 국가 비밀 유지 법 및 관련 법령>에 의거해 시행한다.

- 군사비밀에 관한 자료: 중앙 군사위원회가 이 법에 따라 별도로 작성한다.

인터뷰 담당자: Dora You(尤白璐) / 베이징잉커법률사무소 파트너변호사

인터뷰 일시: 2021.11.30.~12.1.

질문1. 중국의 주요 3대 법률, 네트워크안전법, 데이터보안,개인정보보호법에 대해 자세히 설명해 주세요.

답변1: 현재, 중국은 인터넷 안전과 데이터에 대한 합규 영역의 입법 과정이 매우 신속하게 진행되고 있습니다. 새로운 법률 법규와 부서규칙, 그리고 국가표준과 업계 가이드라인 등이 속속 등장하고 있어 중국은 사이버 보안과 데이터에 대한 규제를 전면적으로 강화하는 단계에 접어들었다고 말할 수 있습니다. '3대법률(三足鼎立)'의 근간인 네트워크안전법(사이버보안이라고도 함)·데이터보안법·개인정보보호법이 모두 발효된 현 단계에선 중국의 네트워크와 데이터(网数合规)의 상위 법률체계 설계가 완료되어 비교적 완전한 틀이 갖춰진 상태입니다. 이 3개의 법안은 입법 목적에 따라 규제 중점 분야가 구분되는 한편 약간의 차이를 보이며, 교차하고 또 한편으로는 융합하는 양상을 보입니다. 총체적으로 사이버보안법은 중국 사이버보안 분야의 기초적인 법률로 사이버보안 지원 및 촉진, 사이버운영 보안, 사이버정보 보안, 조기경보 및 응급조치 모니터링, 법적 책임 등 5가지 측면에서 사이버보안 도전에 대한 중국의 사이버보안 보호 및 관련 시장주체 행위 규범에 큰 의의가 있습니다. 데이터 보안법은 데이터 분야의 첫 번째 기초적인 법률로 데이터 분류 관리, 데이터 보안 심사, 데이터 보안 위험 평가, 모니터링 경보 및 응급 처치 등의 기본 제도를 통해 국가 데이터 보안을 보장하는 동시에 데이터 개발 이용을 촉진하고, 개인정보 보호법은 중국 최초의 개인정보 보호를 위한 전문 법률로, 개인정보를 합법적으로 수집·처리·응용하는 방법에 대해 포괄적인 규제를 가하고 있습니다.

구체적으로는 첫째, 중국의 데이터 보안 분야를 명확히 한 데이터 보안법에 대해 설명드리겠습니다. 업무는 '중앙총괄+지방과 부서의 분리'라는 기본적인 감독 구조를 채택하고 있고, 법률의 제5조의 규정에 따르면 중앙 차원에서 데이터 보안에 관한 중대한 의사결정과 의사조율을 국가안보지도기구의 수반으로 하고, 구체적인 실행차원에서 제6조의 권한 지역과 업종 부문은 각각의 '업무에서 수집·발생한 데이터 및 데이터 보안에 대한 책임을 진다'고 명시되어 있습니다.

둘째, 중요 데이터의 범위에 대해 데이터 보안법상 구체적인 중요 데이터 유형이 데이터 카탈로그를 배포함으로서 중요 데이터 개념의 모호성 때문에 실제 보호에 어려움을 겪는 것을 크게 줄일 수 있습니다. 이어 '국가 핵심 데이터'의 개념에 대해서는 '국가 안보, 국민 경제의 명맥, 중요 민생, 중대한 공공의 이익 등에 관한 데이터'에 대한 보다 엄격한 관리를 요구하고, 국가 핵심 데이터 관리 제도를 위반하는 행위에 대해서는 최고 1000만 위안의 벌금을 부과하고, 잠재적인 영업정지나 사업자등록 취소 등을 요구하고 있습니다.

셋째, 데이터보안법 제36조는 외국 사법 또는 법 집행기관에 자료를 제공하는 행위에 대해 모든 외국 사법 또는 법 집행기관에 국내 주무기관의 허가를 받도록 하고 있습니다.

개인정보보호법(이하 개보법)은 총 8장 74조로 이루어져 있습니다. 최종판 공포시 개보법진개인정보 처리 규칙을 보완해 애플리케이션(앱)의 과도한 개인정보 수집, 빅데이터 숙성 및 개인정보 부정사용 등에 대한 맞춤형 요구가 추가되었습니다. 우선, 적용 범위에 관해서는 개보법 제3조의 규정에 따라, 어떤 주체가 중국 내에서 개인정보 처리 활동에 종사하는 것은 개보법의 요구에 따라야 하며, 동시에 중국 국외에서 개인정보를 처리하고, 경내 자연인에게 제품이나 서비스를 제공하거나, 경내 자연인의 행위를 분석·평가하는 경우에도 경내 개인정보 처리와 같은 합당한 규정에 따라야 합니다.

둘째, 개인정보 처리의 적법한 기초에 관해 개보법 제13조는 개인정보 처리의 법적 기초를 7가지로 열거하고 있는데 동의 외에 (1) 계약의 체결·이행 또는 법으로 제정된 노동규약과 법률에 의해 체결된 단체협약에 의해 인적자원의 관리를 실시하기 위해 필요하고 (2)법정직무 또는 법정의무를 이행하며 (3) 돌발적인 공중보건사태나 긴급상황에 대해 필요하고 (4)공익을 위해 신문기사·언론감독을 실시해야 합니다.

셋째, 기업은 실제 경영과정에서 정보의 공동처리를 하는 경우가 많은데, 이때 양측이 공동으로 개인정보의 취급목적과 접근방식을 결정하고 각자의 권리와 의무를 약정해야 하며, 개인정보 침해로 인한 피해의 경우 연대책임을 져야 합니다. 위탁 처리 상황에서 쌍방은 위탁 처리의 목적, 기간, 처리 방식, 개인정보의 종류, 보증을 약정해야 합니다. 보호 조치, 쌍방의 권리와 의무 등도 포함됩니다.

넷째, 민감한 개인정보는 유출되거나 불법적으로 이용되면 자연인의 인격적 존엄성이 침해되거나 신체적·재산적 안전이 침해될 수 있다고 명시되어 있습니다. 개보법 29조는 민감한 개인정보를 취급하는 데 개인의 개별 동의를 얻어야 한다는 요구가 담겨있다는 점, 유의하셔야 합니다. 마지막으로 이 법률은 중국 실정에 맞도록, 개인정보가 국경을 넘나들 수 있도록 체계적으로 설계하고, 합법적인 전송경로를 다변화할 것을 제안하고 있습니다.

질문2. 3대 법률과 관련, 중국 시장 진출을 준비 혹은 기진출한 한국기업이 어떤 점을 주의해야 합니까? 

답변2: 한국 기업이 중국에 진출하려면 우선 사이버 보안과 데이터에 대한 규제의 개념을 세워 모든 경영 활동에 대해 해야 합니다. 모두 표준 데이터 규제에 대한 자기평가를 실시하고, 기업의 데이터 규제에 대한 의식적인 시스템을 갖추어야 할 필요가 있습니다.
1. 우선 중국에서 다룰 수 있는 데이터 처리 활동을 전면적으로 정리해야 하며, 특히 개인정보 처리와 관련된 것은처리활동의 목적, 범위, 방식을 파악해 그에 대응하는 법률적 기초를 논증해야 합니다.
2. 데이터의 분류별 관리제도를 구축해야 합니다. 기업은 반드시 처한 업종과 감독 관리 규칙에 근거해 요구하며 참고해야 하며, 각 지역, 각 부서에서 작성하는 중요 데이터 목록 및 정의와 범위를 내부 데이터 자료를 차등 분류하고, 등급별 데이터에 대해 그에 상응하는 관리 조치와 프로세스를 수립하고, 전문 데이터 감독업자를 설치할 필요가 있습니다.
3. 본 기업에 적합한 데이터 출국관리 제도를 수립해야 합니다. 데이터의 국경을 넘나드는 전송에 관한 기업에 대해 먼저 자가 판단을 해야하며, 기업체 성질을 바탕으로 자신의 상황에 맞는 국경을 넘나드는 전송 경로를 설계해야 합니다. 기업들은 일반 요구사항 외에 해당 업종에 대한 별도의 요구가 있는지 살펴볼 필요가 있으며, 또한 글로벌 데이터 보호 전반의 추세에 지속적으로 관심을 갖고, 국내외 파트너를 선정할 때 데이터 보호 기술력, 적합성, 평판 등에 대해 충분한 조사 및 평가를 실시해 업무 활동에 지장이 없도록 해야 합니다. 
4. 기업은 반드시 업계 내의 데이터 안전 표준에 관심을 가져야 하며, 상응하는 안전 등급 보호 조치를 취해야 하며, 최신 방식을 채택해야 합니다. 데이터 개발 이용과 데이터 보안 기술을 통해 다차원적인 데이터 보안 메커니즘을 형성하는 것이 좋습니다.
5. 정기적으로 위험평가를 실시합니다. 데이터 보안 모니터링 평가를 기업의 일상적인 데이터 적합 프로세스에 포함시켜 주기적으로 실시하며 데이터 특히 중요한 데이터의 위험평가는 필요시 제3자 전문기관 평가를 도입해 데이터 보안의 결함이나 취약점을 적시에 발견해 보완해야 합니다.
6. 기업체 직원들에 대한 데이터 보안 교육 강화 및 데이터 보안 비상 대책 수립해야 합니다. 긴급 응답안을 작성하고 안전 사건 응급 훈련도 시행하는 것이 좋습니다. 데이터 안전사고가 발생하면 비상대책을 마련하고, 적법한 규정에 따라 관계 부처 및 일반에 즉각 경고 메시지를 보내야 합니다.