중국한국상회
로그인
메뉴보기
전체메뉴보기
새소식
공지사항
행사안내
세미나/설명회/포럼
사절단파견/영접
경영지원
채용정보
행사/제품홍보
재중한국기업정보DB
지역별투자환경정보
비즈니스속보
뉴스레터
최신정책/법률/제도
기업뉴스
마케팅정보
회원전용서비스
회원행사
발주/거래정보
중국한국상회소개
회장인사
조직
연혁
회원가입안내
찾아오시는길
뉴스레터
[참고자료]중국 정보통신망보안법 반포 및 진출기업에 대한 시사점
2016-11-28
중국 정보통신보안법 반포 및 진출기업에 대한 시사점.docx
2016년 11월 7일 제12기 전국인민대표대회 상무위원회 제24차 회의에서 중화인민공화국 정보통신망 보안법(中国人民共和国网络安全法,이하 “본 법”이라고 약칭합니다)이 통과되었습니다. 본 법은 모두 7장, 79조로 이루어져 있고 그동안 세 번의 심의 과정을 거치면서 적지 않은 부분의 초안 내용이 수정을 거듭한 끝에 비로소 최종안이 이번에 통과되어 2017년 6월 1일부터 시행될 예정입니다. 본 법은 우선 중국에서 정보통신망의 보안 문제를 종합적으로 다루는 첫번째 법률이라는 측면에서 많은 시사점과 동시에 한계를 내포하고 있습니다. 본 뉴스레터에서는 본 법의 반포와 시행예정에 따라 그 주요내용과 우리기업에 대한 시사점에 대해 말씀 드리고자 합니다.
I. 중국 정보통신망보안법의 주요 내용
1. 본 법의 적용대상
가. 본 법에서 사용되는 용어 정의
본 법에 사용되는 용어들의 정의를 먼저 살펴보면 다음과 같습니다.
(1) 정보통신망(网络) 은 “컴퓨터 또는 기타 정보단말기 관련 설비로 구성된 일정한 규칙과 절차에 따라 정보에 대한 수집, 저장, 전송, 교환, 처리를 하는 시스템”,
(2) 정보통신망 보안이란 “필요한 조치들을 통해 정보통신망에 대한 공격, 침입, 간섭, 파괴 내지 불법사용과 돌발사고를 방지하여 정보통신망이 안정적이고도 믿을 수 있는 운영 상황을 유지하도록 하고 정보통신망 데이터의 완정성, 비밀유지성, 가용성의 능력을 보장하는 것”,
(3) 정보통신망 운영자란 “정보통신망의 소유자, 관리자와 정보통신망 서비스 제공자”,
(4) 정보통신망 데이터란 “정보통신망을 통해 수집, 저장, 전송, 처리 및 생산되는 각종 전자 데이터”,
(5) 개인정보란 “전자 또는 기타 방식으로 기록된 단독 또는 다른 정보와 결합하여 자연인 개인의 신분을 식별할 수 있는 각종 정보로서 이에는 자연인의 성명, 출생일자, 신분증번호, 개인의 생물식별정보, 주소, 전화번호 등을 포함하나 이에 한하지 않는 것”을 각 의미합니다(법 제76조)
나. 본 법의 적용대상
중화인민공화국 국내에 건설, 운영, 유지 및 사용되는 정보통신망과 그 안전에 관한 감독 관리에 대해서 본법이 적용됩니다(법 제2조). 그리고 앞에서 설명한 정보통신망의 정의에 따르면 정보통신망은 일정한 물리적 존재를 전제하고 있는 개념입니다. 즉, 본 법의 적용대상인 정보통신망은 반드시 중국 국내의 물리적 설비에 의존해야 합니다. 다시 말하면 일정한 주체가 완전히 중국 국외에서 중국 국외에 있는 정보통신망 시설을 통해 온라인 서비스를 제공하는 경우에는 정보통신망의 상호접속, 상호연동(互联互通)이라는 본질적인 성질로 인해 중국 국내에서 해당 서비스를 받을 수 있다고 하더라도 이러한 행위는 본 법의 적용범위가 아니게 됩니다. 이러한 국외의 정보통신망에 대해서는 그 정보통신망이 중국의 법률이나 행정법규에서 금지하는 정보를 발표하거나 전송하는 경우에는 관련 기구에 통지하여 기술적 또는 기타 조치를 취하여 그 전달을 차단시킬 수 있습니다(법 제50조). 한편 군사 정보통신망의 보안보호 문제는 중앙군사위원회가 별도로 규정하도록 하고 있어 본 법의 적용대상이 아닙니다(법 제78조).
2. 정보통신망 보안 등급 보호제도(网络安全等级保护制度)의 실시
가. 국가의 보안등급 보호제도 실시의무
국가는 정보통신망 보안등급 보호제도를 실시합니다. 정보통신망 운영자는 국가의 정보통신망 보안등급 제도의 요구에 맞게 아래의 보안보호의무를 이행해야 하고 정보통신망이 간섭을 받거나 파괴되거나 권한 없이 방문되는 것을 방지하고 정보통신망 데이터가 누설, 절취 또는 임의변경되는 것을 방지해야 합니다. ① 내부 보안 관리제도와 실시규정을 제정하고 정보통신망 보안 책임자를 확정하고 정보통신망 보안보호책임을 실시해야 합니다. ② 컴퓨터 바이러스와 정보 통신망의 공격, 정보통신망 침입 등의 정보통신망 보안을 해치는 행위에 대한 기술적인 조치를 취합니다. ③ 정보통신망의 운영 상태를 모니터링 및 기록하고, 정보통신망 보안사건에 대해 기술적인 조치를 취하고 규정에 따라 관련 정보통신망 일지를 6개월 이상 보존해야 합니다. ④ 데이터 분류, 중요 데이트 백업조치와 암호화 등의 조치를 합니다. ⑤ 법률, 행정법규가 규정한 기타 의무(법 제21조)를 이행해야 합니다.
나. 정보통신망 보안등급 보호제도의 현재 입법 현황
본 법이 규정한 정보통신망 보안등급 보호제도는 본 법에 처음 규정된 것은 아닙니다. 이미 공안부, 국가비밀유지국, 국가비밀번호 관리국 국무원 정보화 업무 사무처 등의 기관이 2007년에 제정한 정보보안등급보호관리방법(信息安全等级保护管理办法) 제7조는 정보 시스템의 보안보호 등급을 5등급으로 나누어 정보시스템을 운영, 사용하는 조직은 정보시스템보안등급보호실시 가이드라인(信息系统安全等级保护实施指南)에 따라 구체적으로 등급보호 업무를 실시할 것을 규정하였습니다. 정보시스템 건설이 완성된 이후에는 이를 운영 내지 사용하는 조직 또는 그 주관부문은 해당 방법이 규정한 조건에 부합하는 평가기구를 선택하여 정보시스템 보안등급보호평가요건 등의 기술표준에 따라 정기적으로 정보시스템 보안등급 상황에 대한 등급 측정을 실시하고 상응하는 신고 절차를 이행하도록 하였습니다. 본 법은 최초로 법률의 형식으로 국가의 정보통신망 보안등급 보호제도를 규정하였다는데 의미가 있습니다. 그러나 본 법은 등급보호제도에 관한 구체적인 방법과 표준에 관한 규정이 없습니다. 따라서 상당 기간 동안은 여전히 기존에 제정된 보안등급 보호제도에 따라 제도가 운영될 수 밖에는 없을 것으로 보입니다.
3. 핵심정보기반시설(关键信息基础设施)에 대한 보호
가. 핵심정보기반시설의 의미
국가는 공공통신과 정보 서비스, 에너지, 교통, 수계, 금융, 공공서비스, 전자정부 등의 중요한 산업과 영역, 그리고 일단 파괴되거나 기능을 상실하여 데이터가 유실되면 국가안전, 국민경제생활, 공공이익에 피해가 큰 핵심정보기반시설에 대해 정보통신망 보안등급 보호제도의 기초위에 중점적인 보호를 실시합니다. 구체적인 핵심정보기반시설의 구체적인 범위와 보안보호 방법에 대해서는 국무원이 별도로 제정을 하게 하였습니다. 국가는 핵심정보기반시설이외의 정보통신망 운영자가 자발적으로 핵심정보기반시설보호시스템에 참여하는 것을 장려합니다(법 제31조).
나. 핵심정보기반시설 운영자의 의무
(1) 핵심정보기반시설 운영자의 강화된 의무
핵심정보기반시설은 목적사업이 안정적이고 지속적으로 운영될 수 있게 지원하는 기능을 가져야 하고 보안기술조치와 함께 규획, 건설, 사용될 수 있게 해야 합니다(법 제33조). 일반적인 정보통신망 운영자의 의무에 추가하여 핵심정보기반시설 운영자는 아래의 추가적인 보호의무를 이행해야 합니다. ① 특별 보안관리기구와 보안관리 책임자를 배치하고 책임자와 핵심직책의 인원에 대해서는 보안경력 심사를 해야 합니다. ② 종사자에 대한 정기적인 정보통신망 보안교육, 기술훈련과 기능평가를 실시해야 합니다. ③ 중요한 시스템과 데이터에 대해 재해에 대비한 백업자료를 준비해야 합니다. ④ 정보통신망 보안사건 응급대응방안을 제정하고 정기적인 훈련을 실시해야 합니다. ⑤ 법률, 행정법규에 규정한 기타 의무(법 제34조)를 이행해야 합니다.
(2) 핵심정보기반시설 운영자의 구매행위 관련 의무
그리고 핵심정보기반시설의 운영자가 정보통신망 제품과 서비스를 구매할 때 국가안전에 영향을 미칠 가능성이 있는 경우에는 국가의 인터넷 정보부문, 국무원 관련 부문이 조직한 국가안전심사를 통과해야 하며(법 제35조), 이 때에는 규정에 따라 제공자와 보안 비밀유지 계약을 체결하고 보안, 비밀유지의무와 책임을 명확하게 해야 합니다(법 제36조).
(3) 핵심정보기반시설 관련 정보의 국내 저장원칙
핵심정보기반시설 관련 정보의 국내 저장 원칙을 명확하게 규정하였습니다. 핵심정보기반시설의 운영자는 중화인민공화국 국내에서 운영 중에 수집과 생성된 개인정보와 중요 데이터를 반드시 국내에 저장해야 합니다. 업무상 필요에 의하여 국외에 제공이 필요한 경우에는 국가 인터넷 정보부문과 국무원 관련 부문이 제정한 방법에 따라 평가를 진행하고 법률, 행정법규에 다른 규정이 있는 경우는 그에 따릅니다(법 제37조). 한편 이와 같은 규정에 위반하여 국외에 정보통신망 데이터를 저장하거나 국외로 정보통신망 데이터를 전송한 경우에는 관련주관 부분은 시정을 명하고 경고를 하며 위법한 소득을 몰수하며 5만 위안 이상 50만 위안 이하의 과징금에 처하며 관련업무의 잠정중단, 영업중지 정비, 사이트 폐쇄, 관련 영업허가 또는 영업집조의 말소를 할 수 있고, 직접적인 책임이 있는 실무책임자와 기타 직접책임자에 대해서도 1만 위안 이상 10만 위안 이하의 과징금에 처합니다(법 제66조).
(4) 핵심정보기반시설의 운영자의 정기검측 의무
핵심정보기반시설의 운영자는 자체적으로 또는 정보통신망 보안서비스 기구에 위임을 하여 정보통신망의 보안성과 혹시나 존재할 수 있는 위험에 대해서 매년 최소 한 차례 이상의 모니터링 평가를 실시해야 합니다. 이러한 모니터링 평가의 상황과 개선 조치들에 대해서는 관련 핵심정보기반시설의 보안보호관련 부문에 보고를 해야 합니다(법 제38조).
* 상세내용은 유첨파일을 참고해주시기 바랍니다.
목록
