상하이방

지난호에서 네트워크 안전법에 적용대상, 적용범위, 세부내용 ▲보안등급제 ▲보안심사 및 안전성 평가 ▲개인정보보호제도 ▲네트워크 사업자/운영자의 의무 및 요구사항 등에 대해 알아봤다. 이번호에는 세부내용 중 우리기업에게 민감한 데이터 경외반출(해외전송)과 법률 위반 시 처벌, 그리고 가장 중요한 대응방안에 대해 이야기 하고자 한다.

세부내용

데이터 경외반출(해외전송) 기준 및 요구사항

(1) 데이터 경외 반출 주요 안전평가 기준 (제8조)
-데이터 경외반출의 필요성 확인
-개인정보 관련 상황, 즉 개인정보의 수량, 범위, 유형, 민감도 및 개인정보 담당자 동의 여부가 포함돼야 함
-중요 데이터 관련 상황 즉 중요 데이터의 수량, 범위, 유형 및 민감도 확인
-데이터 접수자의 안전보호 조치, 능력, 수준 및 소재국과 지역의 네트워크 안전 환경 확인
-데이터 경외반출 후 유출, 훼손, 변경, 남용 등 위험성 확인
-데이터 경외반출 및 경외반출 데이터 축적으로 국가 안전, 사회 공공이익, 개인의 합법적인 권익에 대한 위험 초래 가능성 확인
- 기타 평가가 필요한 중요사항

(2) 경외 반출 데이터 조건 (제9조)
해외로 데이터를 전송할 경우 다음 6가지 조건 중 하나에 해당하는 경우 주관부서 또는 감독부서의 안전평가를 받아야 한다.
-50만명 이상의 개인정보를 포함 또는 누계로 포함하는 경우
-데이터 용량이 1,000GB를 초과하는 경우
-핵 시설, 화학생물, 국방군수, 인구건강 등 영역 데이터, 공정활동, 해양환경 및 민감한 지리 정보데이터 등 포함된 경우
-핵심정보 인프라시설의 시스템 취약점, 안전보호 등 네트워크 안전정보를 포함하는 경우
-핵심정보 인프라시설 사업자가 경외로 개인정보와 중요 데이터를 제공하는 경우
-기타 국가안전과 사회 공공이익에 영향을 줄 수 있고, 업계 주관 또는 감독 부서에서 평가가 필요하다고 판단하는 경우

(3) 경외 반출 금지 및 사업자의 보고 의무 (제11조)
경외 반출 금지는 다음 조건 중 하나에 해당하는 경우 데이터를 전송할 수 없다.
- 개인정보 당사자의 동의를 거치지 않았거나 개인이익을 침해할 가능성이 있는 경우
- 데이터 경외 반출이 국가 정치, 경제, 과학기술, 국방 등 안전에 위험을 초래해 국가안전에 영향을 주고, 사회 공공이익에 손해를 가할 가능성이 있는 경우
- 기타 국가 네트워크 정보 부분, 공안부분, 안전부문 등 관련 부서에서 경외반출이 불가하다고 판단하는 경우

(4) 사업자보고의무 (제12조)
네트워크 사업자는 매년 최소 1회 데이터 경외반출에 대한 안전평가를 진행해야 하고 해당기관에 보고할 의무가 있다.
-법률위반 시 처벌: 네트워크 안전법을 위반 시 중국정보는 3가지 책임을 물을 수 있다.
-행정 책임: 시정명령, 위법소득 몰수, 과징금 부과, 업무 잠정 중단, 영업정지, 사이트 폐쇄, 관련 사업 면허 취소 또는 사업 면허를 취소할 수 있으며 책임자에게 벌금을 부과할 수 있다.
-민사 책임: 타인에게 손실이나 손해를 입히는 경우 해당 행위는 민사 소송 제기가 가능하고, 네트워크 운영자는 이에 상응하는 민사 책임을 져야 한다.
-형사 책임: 네트워크 보안 관리 의무의 이행을 거부하고, 네트워크 서비스 제공업체가 법률과 행정 법규가 규정한 정보 네트워크 보안 관리 의미를 이행하지 않고 규제기관이 명령한 시정 조치를 거부하고 법률이 규정한 상황에 해당하는 경우 형사상 책임을 져야 한다.

대응방안

네트워크 안전법에 대한 법률적 이해하고 중국 내에서 사용하고 있는 네트워크 제품이나 서비스를 점검해야 한다. 먼저 개인정보 및 중요 데이터를 중국 내 정장하고 있는지 확인하고 업무 목적으로 중국 국외로 제공해야 할 경우 정부의 안전성 평가를 진행하고 승인 받아야 한다. 또한 네트워크 안전관리 정책과 매뉴얼 제정, 사고 대응체계 수립, 핵심 정보 분류, 인원과 조직 등 관리규정을 보안하고 개인정보 관리규정을 수립해야 한다.

합리적인 대응을 하려면 조직, 과정, 제도, 교육이 필요하면 필자가 추천하는 대응방안 순서이다.
①네트워크 안전법 규칙 및 규정에 대한 이해

②해당되는 시설 확인

③조직구성 및 내부규정 마련

④인터뷰

⑤소프트웨어/하드웨어 점검 및 진단

⑥개선 및 처방

이번 네트워크 안전법 발효로 핵심정보 인프라시설 및 중국 내에서 발생된 데이터의 중국 내에 의무 저장 및 경외반출(해외전송)이 불법이라고 명문화 하였다. 중국의 정치적 특성과 네트워크 안전법 제정 취지에 대한 이해가 필요하며 중국의 네트워크 안전법 같은 사이버상의 보안 강화는 세계적인 추세이다.

2017년 6월 1일부터 발효된 네트워크 안전법을 계기로 기업 내 네트워크 운영자/관리자를 지정하고 관리체계 및 내부규정을 정비 마련해 지속적인 관리 및 교육함과 동시에 사업주의 관심과 지원으로 보안에 대한 중요성을 인식하는 전화위복의 기회로 생각해야 할 것이다.

* 본 칼럼은 상해화동한국IT기업협의회 회원사들이 자발적인 기고를 통해 이루어 지고 있다. 9월 13일(수) ‘중국 네트워크 안전법’ 칼럼 기고자 5명을 초청, 상하이한국문화원에서 세미나를 진행할 예정이다.