중국네트워크 안전법 시행현황 및 후속 법령 및 시사점 1
중국 내 외자기업은 본사와 IT관련 서버가 모두 국외(중국 경외)에 있는 것을 말한다. 외자기업(재중한국기업)은 DATA를 개인정보와 개인정보가 아닌 DATA로 구분하여 서버를 모두 경내(중국 내)로 이전해야 하며 경내에 저장된 중요데이터(CII : Critical Information Infrastructures)나 개인정보를 국외를 반출할 경우 데이터 안전 평가를 받아야 한다.
핵심 정보 인프라란 무엇인가?
제31조 : 국가는 공공 통신 및 정보 서비스, 에너지, 운송, 수자원 관리, 금융, 공공 서비스, 전자 정무 등 주요 산업과 분야 및 기타가 일단 손상을 입고, 기능을 상실하거나 데이터가 유출 되면 국가 보안, 국민 경제 및 국민의 삶과 공공 이익을 심각하게 해칠 수 있는 핵심 정보 인프라와 네트워크 보안 등급 보호 시스템을 기반으로 중점 보호한다. 핵심 정보 인프라의 구체적인 범위와 안전 보호 방법은 국무원에서 제정한다.
2017년 7월 11일, 국가 인터넷정보판공실은 《핵심 정보 인프라의 안전 보호 조례(공개 초안)》(이하 《보안 조례》라 칭함)를 발표했다. 《보안 조례》는 핵심 정보 인프라(‘CII’)의 범위, 각 관리감독 부처의 직책, CII 운영자의 안전 보호 의무, 안전 테스트 경보, 응급 대처 및 테스트 평가 시스템 등에 대해 구체적인 요구 사항을 제시하고, CII의 안전 보호 업무에 대한 중요한 지침을 제공했다.
핵심 정보 인프라의 분류
웹사이트 : 당 정부기관의 웹사이트, 기업 및 기관의 웹사이트, 뉴스 웹사이트 등
플랫폼 : 온라인 쇼핑, 온라인 지불, 포럼, 지도, 오디오 및 비디오 등 네트워크 서비스 플랫폼
생산업무 : 사무와 업무 시스템, 산업 제어 시스템, 빅데이터 센터, 클라우드 컴퓨팅 플랫폼, TV 방송 시스템 등
아래는 핵심 정보 인프라 구축 요구사항이다.제33조 핵심 정보 인프라 구축은 사업의 안정적이고 지속적인 운영을 지원하며, 안전 기술 조치가 동시에 계획, 구축, 사용되도록 보장하여야 한다.
제34조 본 법률 제21조의 규정 이외에도, 핵심 정보 인프라 운영자는 다음과 같은 보안 보호 의무를 이행해야 한다.
제36조 핵심 정보 인프라의 운영자가 네트워크 제품 및 서비스를 구매할 때 규정에 따라 공급자와 보안 및 기밀 계약을 체결하고, 보안과 기밀 유지 의무 및 책임을 명확히 해야 한다.
제38조 핵심 정보 인프라의 운영자는 자체 또는 네트워크 보안 서비스기관에 의뢰하여 네트워크의 안전성과 잠재 가능한 리스크에 대해 매년 최소 1회 테스트 평가를 진행해야 하고, 테스트 평가 상황과 개선 조치를 핵심 정보 인프라 보안 보호 업무를 담당하는 관련 부처에 보고해야 한다.
제35조 핵심 정보 인프라의 운영자가 네트워크 제품 및 서비스를 구매하여 국가 안보에 영향을 미칠 경우, 국가 인터넷정보부와 국무원 관련 부처가 구성한 국가 안보 심사를 통과해야 한다.
《네트워크 안전법》제37조는 핵심 정보 인프라 운영자가 중화인민공화국 경내에서 운영 중 수집 및 생산된 개인 정보와 중요한 데이터는 경내에 저장해야 한다. 기업의 필요로 인해 국외로 제공할 필요가 있는 경우, 국가인터넷정보부와 국무원 관련 부처가 제정한 방법에 따라 안전 평가를 진행하고, 행정법규의 별도 규정이 있는 경우 그 규정에 따라야 한다.
중국 내(경내)에 저장된 중요데이터나 개인정보를 경외로 반출 할 경우 안전평가를 실시해야 한다.
(1) 자체평가
(2) 데이터 국외반출 계획 수립
(3) 데이터 국외반출 계획 평가
(4) 정당성, 합법성 여부 판단. 프로세스에 문제가 없거나 리스트 통제가 가능할 경우 데이터를 경외로 반출할 수 있다.
상해화동한국IT기업협의회 네트워크안전법위원회 위원장 신판수, abc@zioyou.cn