중국네트워크 안전법 시행현황 및 후속 법령 및 시사점 2

-개인정보 편-

2018년 8월 28일 오전 6시 나스닥에 상장된 중국대표 호텔기업 화주그룹(华住集团(全季，汉庭，ibis 등))은 특정인(기업내부 개발자 추정)이 기업정보를 중국 비밀 커뮤니티 사이트 상 8코인(RMB 37만 위안, 약 한화 6,400만원)에 매물로 게시하였다. 이는 1억3천만건의 개인정보, 2억4천만건의 분양정보, 1억23백만건의 정보가 포함된 것으로 확인되었다. 유출된 데이터를 검증한 결과 신뢰성 있는 데이터로 중국에서 최악의 데이터 유출 사태가 빚어졌다.

이번 사건으로 개인정보에 대한 보호와 규제가 더욱 심화되었으며, 이와 관련된 네트워크안전법(사이버보안법)은 개인정보에 대한 내용을 광범위하게 이야기 하고 있다.

개인정보의 정의(제78조) : 전자방식 또는 기타 방식으로 기록한 단독 또는 다른 정보와 결합하여 자연인 개인의 신분을 식별하는 가족정보, 자연인의 성명, 출생날짜, 신분증번호, 개인생물식별 정보, 주소, 전화번호 등을 포함한다.

개인정보 수집 및 사용(제41조) : 개인정보 수집 및 사용은 합법, 정당, 필요의 원칙을 준수하고 공개적으로 수집사용 목적, 방식과 범위 공지, 대상자의 동의가 필요하며 개인의 삭제 및 수정도 요구가 가능하다.

개인정보 보호 조치(제42조) : 수집한 개인정보의 유출, 누설, 훼손, 분실을 방지해야 하며 만약 발생하거나 발생 가능성이 있을 시 즉시 보안조치를 취하고 적시에 개인에게 고지해야 한다.

개인정보는 경내(중국 내 서버)에 저장하여야 하며(제2조) 해외로 전송이나 제공할 경우 안전심사(제4조)를 받아야 한다.

개인정보의 유형

개인정보를 수집할 경우 1. 합법성을 요구, 2. 최소화 요구, 3. 고지와 설명의 의무, 4. 권한 부여 동의 부분을 지켜야 하며 개인의 민감한 정보의 수집 및 저장은 암호화 하여 안전 조치를 취해야 한다.

개인정보 조직 관리 요구사항은 1. 개인정보보호 책임자와 개인정보 보호 업무 기구를 지정, 2. 개인정보 안전 영향 평가, 3. 직원관리 및 교육, 4. 보안감사를 실시해야 한다.

그럼 기업의 어떻게 대응해야 하는가. 네트워크 보안 규정 준수 관련 사항을 경영진에게 보고해야 하며, 기업에서 자체 조사를 진행해야 한다.

-<기업 자체 조사 내용>

(1) 화재, 전력 등 기본적인 네트워크 운영 위험

(2) 네트워크 운영자, 핵심 정보 인프라 운영자에 속하는지 여부(자가 진단)

(3) 네트워크 보안 요구 사항에 충족하는지 상세 비교

(4) 기업의 데이터 수집, 사용, 저장, 전송 정책을 심사

기업은 관련 법률, 규정 및 정책의 업데이트에 주의를 기울이고 경영 전략(조직 구조, 서버 배치 등)을 합리적으로 조정해야 한다. 네트워크 보안 규정 준수에 대한 전문가의 법률적 조언을 얻고 직원 네트워크 보안 교육을 실시하며, 내부 네트워크 보안 규정을 개선해야 한다. 데이터 수집, 사용, 규정 준수 시스템을 수립, 개선하고, 사용자 계약, 개인정보보호 정책 등 문서를 개선해야 하며 네트워크 보안 관련 시스템, 시설, 규칙 및 규정을 개선하여, 비상 대책을 수립해 비상 훈련을 실시한다.

대응방안

합리적인 대응을 하려면 조직, 과정, 제도, 교육이 필요하다. 아래는 필자가 추천하는 대응방안 순서이다.

위 프로세스를 반복하여 대응해야 네트워크안전법(사이버보안법)에서 자유로울 것이다.

상해화동한국IT기업협의회 네트워크안전법위원회 위원장 신판수, abc@zioyou.cn

배너를 클릭하시면 1:1상담을 바로 받으실 수 있습니다↓