《数据安全法》重点解读
중국에서는 최근 몇 년 동안 <중화인민공화국사이버보안법>, <데이터 보안법>, <개인정보보호법>등 여러 법률들이 공개되었습니다.
2021년 6월 10일, 제 13회 인민대표대회상무위원회 제 29번째 회의에서 <데이터보안법> 3번째 개정 버전이 공개되었습니다. 이번에 개정된 법률은 2021년 9월 1일 정식 시행됩니다.
이번에 공개된 데이터 보안법의 주요 내용을 정리해 보았습니다.
제 1장 제 5조 중앙국가보안지도부는 국가데이터보안업무의 정책을 결정하고 의사협조, 연구제정, 국가의 각종 데이터보안전략 및 그와 관련된 중대한 정책 및 주요 프로젝트 및 업무 등을 총괄하는 기구입니다.
제 1장 제 6조 모든 지역 및 부서는 자체 지역 및 부서에서 수집 및 생산된 데이터 및 데이터 보안에 대한 책임이 있습니다. 산업, 통신, 교통, 금융, 천연자원, 보건, 교육, 기술 등 주관 부서들이 해당 업종,해당 영역의 데이터보안 감독을 담당합니다.
공안기구, 국가보안기구 등 해당 법률 및 유관 법률, 행정 법규의 규정에 따라 각자의 책임범위 내에서 데이터보안 감독을 책임집니다.
<데이터보안법>은 데이터 보안영역에서의 최상위법으로 2017년 6월 1일 시행된 <사이버보안법>과 함께 <국가보안법> 프레임워크 하에서 보안 거버넌스 법률 체계를 보완하며, 국가보안의 각 분야 및 영역에서의 법률을 보장합니다.
제 1장 제 10조 관련 업계 조직은 정관에 따라 데이터 보안행위 규범 및 그룹 표준을 정하고, 업계의 자기 규율을 강화하고, 구성원들이 데이터 보호를 강화하도록 지도하고 데이터 보안수준을 향상시켜 산업의 건강한 발전을 촉진합니다.
제 2장 제 16조 국가는 데이터보안시험평가, 인증 등의 서비스 발전을 촉진하고, 데이터보안평가, 인증 등의 전문 기관의 활동을 지원합니다.
제 2장 제 17조 국가는 데이터개발 이용기술 및 데이터보안표준체계 구축을 촉진합니다. 국무원 표준화행정주관부서 및 국무원 유관부서는 각자의 책임에 따라 관련 데이터개발 및 활용기술, 산업 및 데이터보안과 관련된 표준들을 개정합니다.
제 3장 제 21조 국가는 데이터 분류 및 등급 보호제도를 만들어, 경제사회발전에서의 데이터 중요도를 확인하여 데이터의 변조, 삭제, 유출 및 비인가자의 데이터 획득, 불법적 이용, 국가보안 및 공공이익 혹은 개인, 조직의 합법적 권리를 침해할 수 있는 정도에 따라 데이터를 분류합니다. 국가데이터보안업무 조정 메커니즘을 총괄 조정하고, 관련 부서의 중요 데이터 목록을 제정하여 중요 데이터에 대한 보호를 강화합니다.
국가 안보, 국민 경제의 명맥, 중요한 민생, 중대한 공공의 이익에 관한 데이터는 국가 핵심 데이터에 속하므로 더욱 엄격한 관리가 필요합니다. 각 지역, 각 부서는 반드시 데이터에 따라 차등 보호 제도를 분류하여 지역, 본 부서 및 관련 업계, 영역의 중요 데이터 구체적인 목록을 확정하고 목록에 오른 데이터에 대해 중점적으로 보호해야 합니다.
제 3장 제 23조 국가는 데이터보안 응급 처리 메커니즘을 만듭니다. 보안 사건이 발생하였을 때, 유관부서는 법에 의거하여 긴급대책을 마련하고, 관련한 긴급처리조치를 진행하여 위험성이 확대되는 것을 방지하고 위협을 제거하며 사회와 대중에 관련 위험성을 게재합니다.
제3장 제24조 국가는 데이터 보안 심사 제도를 수립하여 국가 안전에 영향을 미치거나 영향을 미칠 우려가 있는 데이터 처리 활동에 대하여 국가 안전 심사를 실시한다. 법에 따라 내린 안전 심사 결정은 최종 결정입니다.
<데이터보안법>은 데이터 보안 위험 평가, 안전사고보고제도, 조기경보 시스템, 응급처리시스템, 보안심사 등의 제도 마련을 제시하고 있으며, 구체적인 체제의 주관 기관, 적용 범위, 평가심사모델 등의 맞춤형 제도는 이후 공개할 예정입니다.
제3장 25조 국가는 국가의 안전과 이익을 보호하고 국제 의무 이행과 관련된 규제품목 데이터에 대해서는 법률에 의거하여 수출통제를 합니다.
제3장 제26조 어떤 국가나 지역이 데이터와 데이터 개발 이용 기술 등과 관련된 투자, 무역 등에 있어서 중화인민공화국에 대해 차별적인 금지, 제한 또는 기타 유사한 조치를 취하는 경우 중화인민공화국은 상황에 따라 그 국가나 지역에 대해 대등한 조치를 취할 수 있습니다.
국가 경쟁이 데이터, 인터넷 영역으로 확산되면서 각국 간의 마찰이 잦아졌습니다. 2020년 8월, 미국은 국가안보보호를 이유로 TikTok 서비스를 바이트댄스에 매각하라고 요구하였습니다. 미국의 TikTok 차단은 <외국인투자위험심사현대화법(FERRMA: Foreign Investment Risk Review Modernization Act of 2018)>에 의거하여 미국 국민의 민감한 정보와 특수국가로부터의 투자 항목을 엄격히 심사하도록 한 입법과 법 집행이 반영된 것입니다. 중국의 데이터안전법은 국가 안보와 이익을 수호하고 국제 의무를 이행하는 것이 데이터 수출금지의 적법한 근거가 될 수 있음을 분명히 하는 한편, 데이터 분야에 대한 외국의 투자, 무역 차별에 대해 대등한 반제 조치를 취할 수 있다는 입법 주장을 분명히 함으로써 인터넷 데이터 공간에서 데이터 주권을 주장하는 중국의 입법 사상을 잘 보여주고 있습니다.
제4장 제27조의 데이터 처리 활동은 반드시 법률, 법규의 규정에 따라 상응하는 기술적 조치와 기타 필요한 조치를 취해야 하며, 데이터의 안전을 보장해야 합니다. 인터넷 등 정보 네트워크를 이용한 데이터 처리 활동은 사이버 보안 등급 보호 제도의 토대 위에서 이러한 데이터 보안 보호 의무를 수행해야 합니다. 중요한 데이터의 취급자는 데이터 보안 책임자와 관리 기관을 명확히 하여 데이터 보안 보호 책임을 다해야 합니다.
제4장 제30조 중요 데이터의 취급자는 규정에 따라 그 데이터 처리 활동에 대해 정기적으로 위험 평가를 실시하고, 해당 주무부처에 위험평가 보고서를 제출해야 합니다.
제4장 제31조의 중요 정보 인프라의 운영자는 중화인민공화국 내에서 운영 중 수집 및 생산된 주요 데이터들의 외부유출보안관리는 <중화인민공화국사이버안전법>의 규정을 적용하며, 기타 데이터 처리자의 중화인민공화국 내에서 운영중에 수집 및 생산된 주요 데이터 외부유출보안관리방법은 국가인터넷정보부문과 국무원 관계부처가 제정합니다.
<데이터 보안법>은 데이터 처리 활동을 하는 시장 참여자가 데이터 보안 관리 제도를 정비하고 보안 교육, 리스크 모니터링과 보고, 기술적 수단을 이용하여 내부 제도를 정착시켜야 한다는 규정을 명시하고 있다. 따라서 데이터 보안 규제는 이제 기업의 당연한 법적 의무가 되었습니다. <데이터보안법은> <사이버보안법>의 연장이 되는 규정으로, 중요 데이터에 대해 데이터 보안 책임자와 관리기관을 명확히 하고, 위험평가를 실시해 보고서를 제출하며, 데이터 해외 안전관리 요건을 충족하는 등 보다 높은 데이터 보호를 요구하고 있습니다.
<데이터보안법>역시 법적 책임 부분에 제 27, 29, 30조에 규정된 데이터 보안 의무를 이행하지 않거나 데이터 유출 등의 피해를 초래하지 않은 경우 시정명령, 경고, 과태료 부과 등 행정처벌이 가능하도록 명시했습니다. 관련 제도가 부실하고 시정하지 않거나 대량의 데이터 유출 등 심각한 결과를 초래할 경우 주무부처는 업무정지, 영업정지, 면허 취소, 사업자등록 취소, 과태료 부과 등을 명령할 수 있습니다.
제4장 제33조 데이터 거래 중개 서비스에 종사하는 기관은 반드시 데이터공급자에게 데이터 출처에 대한 설명을 요구하며, 거래 쌍방의 신분을 심사하고 이러한 심사 및 거래기록을 보관하여야 합니다.
제5장 제34조 법률, 행정법규는 데이터 처리에 관한 서비스 제공은 반드시 행정 허가를 받아야 한다고 규정하고 있으며 서비스 제공자는 반드시 법률에 따라 허가를 받아야 합니다.
데이터 보안법은 특히 데이터 거래 중개 서비스에 종사하는 시장 참가자에 대해 별도의 보안 요구를 하고 있습니다. 데이터 거래 중개 서비스 자체에 관해서는 데이터 보안법이 아직 명확한 범위를 제공하지 않고 있으며, 해당 시장 참가자는 <데이터 거래 서비스 보안 요구> 중 "데이터 수요자와 공급자의 데이터 거래를 돕는 활동"을 참고하여 자신의 업무 속성을 정할 수 있습니다.
출처 :
https://www.anquanke.com/post/id/245802
FBI, Kaseya 공격 사건과 관련한 피해 완화 조치 공개 (0) | 2021.07.06 |
---|---|
Sodinokibi 랜섬웨어, 랜섬머니로 7천만 달러 요구해 (0) | 2021.07.06 |
580만 회 설치된 안드로이드 앱, 사용자의 비밀번호 훔쳐 (0) | 2021.07.05 |
Kaseya 공급망 공격, Sodinokibi 랜섬웨어 통해 서비스 제공 업체 약 40곳 공격해 (0) | 2021.07.05 |
법 집행부, 러시아 기반 DoubleVPN 서버 압수해 (0) | 2021.07.02 |
댓글 영역