중국

우리는 지금 어려운 시기에 처해있습니다. 코로나19로 인하여 해외여행 차수를 줄이고 수많은 나라와 도시를 봉쇄하고 사회적거리를 유지하기 위하여 우리 중 많은 사람들은 외출을 줄이고 집에서 온라인 작업, 생활과 오락을 하게 됩니다. 처음으로 우리는 이토록 인터넷 서비스에 의존하게 되고 인터넷을 통해 자신을 철저하게 노출하게 되며 또한 우리는 개인 데이터 및 개인정보보호에 대해 신중하게 고려하게 됩니다.

기업들은 또한 특별히 개인 데이터 이용 및 온라인 개인정보보호 규정의 컴플라이언스 리스크에 대해 경계하고 있습니다. 전통적인 제조 대기업에 대해 유럽연합( EU)에는 <일반 데이터 보호 규정>(GDPR)이 있고 셰계 웹의 발원지이자 많은 인터넷 거물들의 근거지인 캘리포니아에는 <캘리포니아 소비자 보호법>( CCPA)이 있읍니다. 그러면 유구한 역사가 있는 문명고국이고, 현재에는 혁신 제조기술이 신속적으로 발전하는 중국의 데이터 보호 입법은 어떤가요 ?

법규체계

목전 중국은 데이터 보호에 대한 각 측면을 포괄하는 종합적인 법을 제정하지 않았고 또한 그럴 입법계획도 없습니다. 2019년 12월, 전국 인민대표대회 상무위원회가 발포한 2020년 입법계획에는 <개인정보보호법 >과 <데이터 보안법> 초안이 포함되였습니다. 이는 주요하게 중국이 이러한 데이터 보호 메커니즘으로 매 시민에게 중요한 개인 데이터 및 온라인 개인정보와 소위 정부 이익과 관련된 중요 데이터를 보호 하기 함에 있습니다.이러한 이중 목적의 입법경로는 글로벌시대에 있어서 보수적인 선택입니다. 그러나 몇몇 주요 서구 국가에서 포퓰리즘이 입증하듯이 ,현재 세계화의 붕괴하에서 이는 전혀 보수적으로 보이지 않을수도 있습니다.

현재 데이터 보호 메커니즘에 따르면, 데이터 보호에 대한 규정 및 요구는 각 법원과 일부 국가 차원에서 권장되는 운영 표준 전반에서 체현되고 있습니다. 중국 데이터 보호에 관한 법률 메커니즘은 구체적으로 아래 네가지 측면에서 체현됨:

• <사이버보안법> 및 그 시행 규정 및 표준을 포함한 일반 데이터 보안 요구 사항
• <국가 기밀 보호법> 및 그 시행 규정 및 규칙을 포함한 국가기밀 데이터 보호
• <민법>, <소비자 권익 보호법> 및 관련 국가 표준을 포함한 개인정보보호
• 업종별 규제, 부문규장(부령), 지역법규를 포함한 중요 데이터 보호

규제 기관

“이중 목적” 특성에 의하면 중국 특성의 데이터 보호법 메커니즘에 의하면 중국은 데이터 보호 계획에서 두가지 기능을 관리하기 위하여 둘 이상의 규제 기관이 필요됩니다. 아래의 다섯가지 주요 규제기관은 데이터 보호를 감독합니다:

• 중국 사이버 행정국(CAC)은 입법활동을 주도하고 집법활동을 지도 및 협조함.
• 공안부(MPS)는 데이터 안전 범죄 및 네트워크 보안 위반에 대한 치안 업부를 담당함
• 국가 시장감독국(SAMR)은 시장에서 개인 데이터 보호와 관련된 활동을 감독함, 예컨대 소비자 개인정보 불법 침입
• 산업정보기술부(MIIT)는 전기통신 서비스중 데이터 보호 담당함
• 기타 부처는 각자 규제하는 업종내 데이터 보호 컴플라이언스를 감독함

일반 규정:개인 데이터 및 정보 보호

적법성 , 정당성 및 필요성의 원칙, 법률은 일반적으로 네트워크 운영업체가 정당한 사유와 입증 가능한 필요성을 가지고 개인정보와 관련된 사업을 합법적으로 진행하도록 요구합니다. 적법성, 정당성 및 필요성 기준은 국가 정보 보안 표준화 기술위원회(TC260)가 발표한 여러가지 추천성적인 국가 기준에서 찾아볼수 있습니다, 예컨대 <정보안전기술 개인정보안전규범>

동의는 필수적입니다. 이러한 원칙하에서 모든 네트워크 운영업체는 반드시 개인정보수집 및 이용에 관한 자체 규칙과 정책을 공표하고 개인정보주체에게 수집의 목적, 수단 및 범위를 고지하여야 합니다. 어떠한 민감한 개인정보가 수집되기전에 네트워크 운영업체는 반드시 개인정보주체가 완전히 인지한 기초상에서 명시적 동의을 취득하여야 합니다. 예컨대, 민감한 개인정보는 인간 안면 및 은행 계좌번호를 포함합니다.

전반 개인정보보호 생명 주기에 대한 요구 개인정보보안에 대한 요구는 전반 생명 주기를 포함하는데 이는 수집으로부터 저장, 이용, 처리 ,공유, 전송, 삭제 및 페기로의 과정을 포함합니다. 각 생명 주기 단계의 핵심 요구 사항은 아래에 강조되여 있음:

• 저장:네트워크 운영업체는 반드시 업격히 적법성 , 정당성 , 필요성과 인지 및 동의의 원칙을 준수하여야 합니다
• 이용 및 처리: 수집전 동의한 법위를 초과하여 개인 데이터를이용하고 처리하여서는 안됩니다. 가령 해당 사전 동의 법위를 초과할 필요가 있을 경우 , 네트워크 운영업체는 반드시 해당 초과 법위에 대한 추가 동의를 획득하여야 합니다. 주목할만한 경우는 데이터를 외주가공할 경우, 네트워크 운영업체는 반드시 상기 요구 사항이 엄격히 준수되도록 하여야 합니다.
• 저장:개인 데이터 저장은 오직 동의된 목적 달성의 최단 기간내에만 허용됩니다. 개인 데이터가 정보 식별을 거치지 않고 개인 식별 지표와 식별을 거치지 않은 익명 데이터가 분리되여 저장되는것을 권장합니다. 민감한 개인 데이터 저장에는 암호화를 권장합니다.
• 공유 및 전송: 네트워크 운영업체는 반드시 기타 상대에게 개인 데이터를 공유 및 전송하기전에 사전에 추가 동의를 획득하여야 합니다. 네트워크 운영업체는 또한 이러한 공유 및 전송전에 보안 영향 평가를 수행할수 있습니다. 공유 및 전송 기간 및 그 이후 네트워크 운영업체는 반드시 개인 데이터 수신자의 책임과 의무를 명확히 하고 수신자들의 행위를 합리하게 감독하여야 합니다
• 데이터 주체의 권리 존종: 인테넷 운영업체는 반드시 데이터 주체의 요구를 존중하고 응하여 그들의 동의를 철회하고, 개인 데이터를 수정 혹은 삭제하며, 개인정보주체는 네트워크 운영업체에게 저장된 데이터 사본을 요구하고 계정 등록을 취소할수 있습니다.

일반 규정: 중요 데이터

개인 데이터 보호와는 달리 중요 데이터 보호는 중국 데이터 보호 입법체계 “이중목적”의 하나로서 아직도 초기단계에 처해있습니다. <사이버보안법> 과 지역법규에 따른 높은 수준의 참고문헌 및 원칙만이 제정되여 있습니다. 전문 규정, <데이터 보안 관리 방법>(초안)은 여전히 초안 형태입니다.

중요 데이터 보호에 대한 지역화 요구는 불명확합니다. <사이버 보안법>에 따라 관건 정보 기초시설 운영업체(CIIO)는 중요 데이터 수집 및 저장을 지역화하여야 합니다. 데이터 지역화 요구는 중국내 중요 데이터의 지역적 저장과 필요시 국가간 이러한 정보의 전송 및 적극적인 보안 평가및 승인을 포함합니다.

관건 정보 기초시설 운영업체는 또한 처리과정에 중요 데이터를 백업하고 암호화하여야 합니다. <데이터 보안 관리 방법> (초안)은 지역화 요구를 이행하는데 있어서 <사이버 보안법>보다 상당히 상세한 내용을 제공하려고 시도합니다. 그러나 <사이버 보안법>이거나 <데이터 보안 관리 방법>(초안)은 “관건 정보 기초시설 운영업체” 및 “중요 데이터”에 관한 명확한 단서나 판단기준을 제공하지 않았습니다. 상기 기본법과 규정의 이런 모호성으로 하여 일부 후속 헹정법규 및 부문규장 초안은 혼란스럽게 지역화 요구가 기타 종류 데이터에 대한 적용 가능성을 확대하거나 관건 정보 기초시설 운영업체의 정의를 확대하려는 시도를 하였으나 이러한 노력은 긍정적인 결과를 가져오지 못하였습니다.

주목할만한것은 일부 부처와 지역 정부는 산업이거나 관할지역내 중요 데이터 보호 범위를 이미 결정하거나 혹은 결정하기 등장하였습니다. 예컨대, 특별히 확정된 중요 데이터는 인류 유전자 자원, 인구 건강 정보, 지리조사정보, 개인신용정보및 개인 재무 정보를 포함합니다. 우리는 더욱 많은 산업과 지역 정부들이 관할구역내 중요 데이터의 특성을 파악하기 위해 같은 노력을 할것을 기대합니다.

최근 핫한 규제 주제

APP： 2019년에는 여러 정부 부처가 연합하여 불법 APP 운영을 단속하는 집법활동에 가담하였습니다. 사이버 행정국, 산업정보기술부, 공안부와 시장감독관리총국은 <App의 개인정보 불법 저장 및 이용에 관한 특별 관리 시행 공고>를 공표하였습니다. 이번 단속은 2019년 내내 진행되였고 부적절한 개인정보 조항, 개인정보 수집 및 이용 범위에 대한 부정확한 설명과 불필요한 개인 데이터 수집에 중점을 두었습니다. 부과된 벌칙으로는 공개통보 , 수정을 위한 관련 업무의 일시적인 정지와 영구적인 정지를 포함합니다

동시에 관련 부처는 일련의 APP 위법활동 평가지침과 판정방법을 공포하였습니다. 이런 지침과 정책은 APP 운영업체가 사용자에게 우호한 개인정보조항을 제공하고 사용자들이 데이터 수집의 정확한 범위와 목적을 충분히 알게 하도록 고지하여야 하고 데이터 수집전 명확한 동의를 획득하도록 요구합니다.

Cookies: Cookies와 유사한 기술은 사용자 상태 정보를 추적하고 기록하거나 웹사이트에서 사용자의 행동을 기록합니다. 그러나 Cookies의 이용을 규제하는 전문법률이 존재하지 않고 Cookies 이용은 개인 데이터 수집의 수단이라는 실천에서 형성돤 공통한 인식이 있습니다. 그러므로 네트워크 운영업체는 Cookies거나 유사한 기술을 이용할시 개인 데이터 주체에게 수집행위와 그 목적을 고지하여야 하고 수집할 개인 데이터 유형을 명확히 하여야 하며 그들의 동의를 얻어 잠재적인 법적 리스크와 분쟁을 최소화하여야 합니다.

웹 크롤러(Web crawler): 웹 크롤러는 자동 데이터 수집을 위해 널리 이용된 기술도구입니다. 그러나 사용자가 도구를 확인하지 못하거나 의도적으로 웹 서비스 제공자에 의한 어떠한 제한이거나 금지사항을 무시하거나 위반하는 경우, 상당한 법적 리스크가 존재합니다. 이러한 크롤러의 불법 이용은 행정적 또는 심지어 형사적 책임을 져야 합니다

소프트웨어 개발 키트(SDK): 제3자가 제공하는 SDK는 사용자 및 서비스 제공자가 인식하지 못한 정황하에 기기 정보와 사용자 개인 데이터를수집할수 있습니다. 2019년 한 집법활동 과정에서, 한 SDK가 많은 개인 데이터 보호 위반 사례를 일으킨것이 발견되였습니다. SDK의 이용으로 인한 잠재적인 위반 및 피해는 입법부의 주목을 이끌었습니다. <데이터 보안 관리 방법>(초안)은 네트워크 운영업체가 SDK 제공업체에게 구체적인 데이터 보안 요구와 책임을 부과하도록 요구합니다.

SDKs의 법적 리스크를 감면하기 위하여 , 우리는 아래의 방법을 권장합니다: (1) SDK 데이터 컴플라이언스 목적을 위해 SDK 제공업체에 의한 진술 및 보증 요청; (2) SDK 혹은 SDK를 이용하는 애플리케이션의 합리한 기술 테스트 수행; 또한 (3) SDK거나 SDK를 이용하는 애플리케이션을 실시간 모니터링하거나 적시에 SDKs가 개인 데이터로의 모든 접속을 차단하여야 합니다

안면 인식: 안면 인식 및 기타 유사한 생체 인증 애플리케이션은 사람들의 신원 인식 및 검증에 널리 이용되였습니다. 법에 따르면 안면은 하나의 생체 인증 데이터로서 민감한 개인 데이터로서의 엄격한 보호를 받아야 합니다. 기기를 공제하는 운영업체는 모바일 또는 기타 기기를 통해 개인 생체 인증 데이터를 수집하고 이용합니다. 안면 이미지의 부적절한 수집 및 이용은 상당한 법적 리스크가 있습니다.

예컨대, 2019년 사용자들이 유명한 배우들을 모방하는것을 허용하는 Zao라는 “얼굴 교체” 앱이 중국에서 개인정보 보호 우려를 자아냈습니다. 후에 발견한데 의하면 Zao의 사용자 동의서를 받아들이면 Zao의 사용자들은 Zao의 개발자들에게 자신들의 안면 이미지를 수집 및 저장하고 제3자에게 판매하는것을 사전 추가 동의 없이 의도치 않게 허용한 사실이 발견되였습니다.

산업정보기술부는 Zao를 통보 비판하고 개인 데이터 보안 우려를 해소하기 위하여 Zao에게 사용자 동의서를 변경할것을 요구하였습니다. 이는 또한 2019년 6 월 TC260가 특별히 생체 인증 데이터 보호를 위해 국가 표준을 업데이트한 이유중 하나였습니다

블록체인: 블록체인은 기업이 안전한 거래내역을 기록하도록 보조하는 보안 분산 장부입니다. 그러나 개인용 블록 체인은 개인 데이터를 수집 및 저장하는 경향이 있습니다. 예컨대. 소매업체들은 소비자와 그들의 선호도, 구매 이력과 지불습관 및 금액에 대한 방대한 양의 데이터를 수집하고 저장합니다.

2019년 2월 15일부터 시행된 <블록체인 정보 서비스 관리 규정>은 블록체인 정보 서비스 제공업체에게 정보 콘텐츠 안전관리 의무를 부과하고 사용자 등록, 정보 검토, 긴급대처 및 안전 보호에 관한 관리규칙을 제정하고 개선할것을 요구합니다.

그러나 블록체인 정보 서비스 제공업체의 법적의무가 제정된 이후 개인용 블록체인 사용자 개인 데이터 위반 공표 사례가 없지만 관련 분쟁이거나 위반사례는 차차 찾아볼수 있을것입니다

데이터 보호 컴플라이언스 전략

전 세계적으로 개인 데이터를 보호하는 다양한 방법이 있습니다. 미국은 좀더 자유적인 방식을 선택하였는데, 개인 데이터가 데이터 주체에 의해 절대적으로 통제되는 개인 이익일 경우 , 데이터 주체는 반드시 자신을 보호하기 위한 주요한 노력과 책임을 다하여야 하고 정부는 부차적인 책임을 져야 합니다.

이러한 규범하에 대부분은 최첨단기술기업들은 개인 데이터를 “황량한 서부”의 “무료”금으로 간주합니다. 이런 관건적인 시기에 CCPA가 많은 최첨단기술기업의 본거지인 캘리포니아에서 등장되여 데이터 주체에 의한 개인 데이터 이용의 주도권을 회복시키는데 취지를 두었습니다. 그러나 이러한 자유로운 방식은 신기술 개발을 촉진하고 일부는 대량의 데이터 트레이닝 및 분석을 토대하는데 이는 미국의 “신기술 우선” 정책을 체현하고 있습니다.

유럽연합은 다른 경로를 선택하였는데 개인 데이터는 데이터 주체에 의한 절대적으로 공제되는 개인 이익이고 유럽연합 주체의 개인 데이터 집합은 유럽연합 위원회에 귀속되는 가치있는 무형자산의 하나의 새로운 형식입니다. 그러므로 유럽연합은 이러한 개인 이익을 보존 및 보호되도록 보장합니다.

이러한 배경하에 정부가 개인 이익 보호 조치를 후원하기 위하여 소위 디지털 자산 부담금이나 세금을 부과하는것은 당연합니다. 유럽연합이 이용하는 이러한 보수적인 방법으로 미국 기술 대기업의 침입에 견딜수 있는 기술력은 상대적으로 부족합니다.

중국의 데이터 보호 메커니즘은 아직도 여전히 발전중입니다. 중앙정부는 정확한 데이터 보호 방법이 나라의 미래를 결정함을 명지합니다. 역사 및 정부 구조의 각도에서 보면, 중국의 데이터 보호 메커니즘은 GDPR의 규정과 유사합니다. 그러나 중국은 GDPR 데이터 보호 메커니즘을 완전히 복제하면 특별히 예컨대 인공지능(AI)와 같은 대량 데이터가 특정 기술의 발전을 결정하는 영역에서 기술 대기업 및 미국 상대국 간의 경쟁에서 불리하게 됨을 인식합니다.

그 결과 중국은 데이터 보호 목표를 달성하기 위하여 병렬구조를 제정하였습니다. 한편, 개인 데이터 보호 제한 규칙은 GDPR보다 엄격하지 않으므로 개선 및 연구의 여지를 남겨두었으나 데이터 보호에 대한 많은 제한을 두어 평형을 이룹니다. 다른 한편, 우리 나라 법률은 관건 정보 기초시설 운영업체와 중요 데이터를 정의를 명확히 하여 더 첨단적인 기술 보유자에 의한 잠재적인 침입을 방어하려고 시도합니다. 이러한 방법은 중국 특색을 체현하는데 이는 데이터 보호 메커니즘에서 기술 개발과 개인정보간의 경쟁이익에 대한 정의에서 체현됩니다.

거시적 차원 컴플라이언스 제시

당신이 완전히 GDPR의 요구사항을 준수하는 외국 기술 기업이면 , 중국 개인 데이터 보호법을 준수할 가능성이 큽니다.

그러나 미국 기업이고 합당한 GDPR 컴플라이언스 전략이 구비되지 않았다면 현재 미국의 개인 데이터 보호 정책과 중국의 개인 데이터 보호 요구사항간의 차이를 확인하고 그러한 차이를 보충하여야 합니다. 그러나 CCPA를 준수하는 미국 기업이라면, 이미 중국의 개인 데이터 보호 요구 사항을 준수하였거나 혹은 준수하기 위한 아주 적은 조치를 취하면 됩니다.

유럽연합이든 미국 기업이든, 준수하여야 할 중요 데이터 보호 요구 사항은 관건 정보 기초시설 운영업체와 중요 데이터 보호 규정의 발전을 면밀히 주시하여야 하고 중국내 수집한 데이터가 중요 데이터로 확정될수 있는지 분석하는것입니다. 상기 기업에 해당된다면 특별한 컴플라이언스 전략을 제정하여 중국의 중요 데이터 보호 문제를 해결하여야 합니다. 그렇지 않을 경우. 이미 법규의 요구에 부합되므로 안심하셔도 됩니다.

Xinyao Zhao와 Estella Wang 도 이 문장의 작성에 기여함

글로벌 법률 사무소
상해시 서회구 회해중로 999호 상해 ICC 제1동 36층 우편번호: 200031
전화번호: +86 21 2310 9517
팩스: +86 21 2310 8299
www.glo.com.cn

제약, 항공우주, 금융, 법, 친목 활동 등 오늘날 우리 삶의 모든 영역은 컴퓨터와 직간접적으로 연결되어 있습니다. 컴퓨터로 인해 삶의 편리함은 증대되었으나, 새로운 난제 또한 직면하게 되었습니다.

마이크로소프트의 창업자인 빌 게이츠는 “컴퓨터는 이전에 존재하지 않던 문제를 해결하기 위해 태어났다”라고 말한 바 있습니다. 컴퓨터에 대한 높은 의존도로 발생하는 특정 문제들은 사회에 부정적인 영향을 미칠 수 있으며, 강력하고 견고한 법적 프레임 없이는 사회를 보호하는 것이 어려워질 수도 있습니다.

다양한 영역의 디지털화가 이루어짐에 따라, 인도 정부는 우선 전자 기록과 디지털 절차에 대한 제제의 필요성을 인식했습니다. 디지털 시대의 새로운 난제에 대응하기 위해 일부 현행법의 개정이 이루어졌습니다.

인도의 사이버 보안 부문에 있어서 가장 중요한 첫 행보는 2000년 ‘정보통신법(IT법)’의 제정이었습니다. 이후 다소 미흡하긴 하나 법학적 발전을 통해 사이버 보안 부문에 대한 진전이 이루어졌으며, 2008년 개정 IT법의 통과로 이어졌습니다.

개정 IT법은 다양한 사이버 범죄와 위반 행위를 광범위하게 다룹니다. IT 관련 형사 범죄로 간주되는 모든 행위는 IT법에 포함되어 있습니다.

• 해킹: IT법이 해킹을 특정하게 언급하고 있지는 않으나, 제43절은 소유자의 허가 없이 컴퓨터, 컴퓨터 시스템 및 컴퓨터 네트워크에 접근한 자(제a관), 데이터를 다운로드, 복사 및 추출한 자(제b관), 시스템에 기술적 혼란을 야기한 자(제e관)가 피해자에게 피해 보상금을 지불할 책임이 있다고 규정하고 있습니다. 또한 제66절은 제43절에서 정의된 위반 행위(해킹 포함)가 최대 3년의 직역형이나 최대 7,100 미 달러의 벌금형, 또는 양자에 처할 수 있다고 명시하고 있습니다.
• 피싱: IT법은 피싱에 대해 특정하게 언급하고 있지는 않습니다. 그러나 제66C절과 66D절은 유사한 종류의 위반 행위에 대한 처벌을 규정하고 있습니다. 제66C절은 제3자의 전자서명, 패스워드 및 기타 신원 식별에 사용되는 기능을 부정하게 취득한 자에게 최대 3년의 징역형과 1,300달러의 벌금을 부과합니다. IT법과 별개로 1860년 인도 형법 제419절 또한 신분 사칭에 대해 유사한 처벌을 규정하고 있습니다.
• 악성 소프트웨어/바이러스 공격: 제43절의 부차 항목은 소유자의 허가 없이 컴퓨터에 악성 소프트웨어나 바이러스를 유포한 자가 피해 보상금을 지불할 책임이 있다고 규정하고 있습니다. 이는 또한 제66절에 따른 처벌을 받을 수 있습니다.
• 사이버 테러: 사이버 테러는 2008년 개정을 통해 신설된 부문으로, 제66F절에서 다루고 있습니다. 인도의 통합성, 완전성, 안보 및 주권을 위협하거나 국민을 공포에 질리게 할 의도로 행해진 행위, 또는 해당 행위가 인명 및 재산의 피해 야기, 삶에 필수적인 재화와 서비스 공급의 장애 야기, 주요 정보 인프라에 부정적인 영향을 끼친 경우 사이버 테러로 간주되어 종신형에 처합니다.

인도 정부는 IT 산업의 빠른 발전 속도에 발맞춰 새로운 난제에 대응하기 위해 지속적으로 IT법의 지평을 넓혀가고 있습니다. 인도 정부는 여러 관련 규칙을 제정했으며, 특히 다음의 규제는 사이버 보안과 개인정보 보호에서 주요한 역할을 수행하고 있습니다.

1. 2011년 IT 규칙 – 합리적 보안 관행 절차와 민감한 개인 정보 (SPDI 규칙)
2. 2011년 IT 규칙 -중개자 가이드라인
3. 2011년 IT 규칙 – PC방 가이드라인
4. 2011년 IT 규칙 – 전자 서비스 제공
5. 2013년 IT 규칙 – 인도 컴퓨터 비상 대응팀의 수행 기능과 의무 (CERT-In 규칙)
6. 2018년 IT 규칙 – 보호 시스템에 대한 정보 보안 관행 절차

정부의 다양한 IT 관련 규칙은 개별 조직과 책임자가 보안 관행을 준수하고, 사이버 보안 사건을 보고하도록 의무화했습니다. CERT-In 규칙에 따라, ‘사이버 보안 사고’가 발생한 개별 기업과 책임자는 인도 컴퓨터 비상 대응팀(CERT-In)에 보고해야 합니다. 사이버 보안 사고는 준거 보안 정책을 직간접적으로 위반하는 행위로, 사이버 보안과 관련된 실제 또는 의심 사고를 의미합니다.

인도 컴퓨터 비상 대응팀은 사이버 보안 위기 발생 시 이에 대응하고, 사이버 보안 강화를 위한 정보를 제공하고자 설립되었습니다.

IT법에서 발생한 분쟁은 해결에 특별한 전문 지식이 필요한 경우가 많습니다. 이에 따라 IT법은 IT법으로 인한 분쟁 발생 시 특별 ‘판결 담당관’을 선임하도록 규정하고 있으며, IT법에 따라 설립된 항고심판소에 판결 담당관의 결정에 대해 항소할 수 있도록 했습니다.

2000년 IT법 제48(1)절에 따라, 인도 전자통신기술부는 2006년 10월 ‘사이버 규제 항고심판소(CRAT)’를 설립했습니다. 이후 2008년 개정 IT법은 해당 심판소의 명칭을 ‘사이버 항고심판소(CyAT)’로 변경했습니다. 인도 전자서명 최상위인증기관인 CCA나 판결 담당관으로부터 불리한 판결을 받거나 권리를 침해당한 경우 본 심판소에 항소를 신청할 수 있습니다.

인도 정부는 개인정보 보호와 글로벌 수준에 부합하는 법적 틀을 갖추고자 주요 규제 토대를 마련했습니다. 이러한 규제의 목적은 크게 두 부분으로 나뉘는데, 우선 개별 조직의 보안 정책과 적절한 인프라 수립을 의무화한 것입니다. SPDI 규칙에 따라 금융, 보건, 패스워드, 생체 정보 등의 데이터를 보유한 회사나 조직은 정보의 규모에 상응하는 기술, 운영, 물리적 보안 통제 장치를 포함하는 정책을 수립해야 합니다.

또 다른 목적은 개인정보가 무엇인지 정의하고, 개인정보 보호와 정보 공개에 관련하여 반드시 준수되어야 하는 정책을 명시한 것입니다. SPDI 규칙 제2(i)조에 따르면, 개인정보는 자연인과 관련된 모든 정보를 의미하며, 법인이 현재나 미래에 이용할 수 있고, 다른 정보와 직간접적으로 결합했을 때 해당 자연인의 신분을 식별할 수 있는 정보를 의미합니다. 제3조는 비밀번호, 금융 정보, 신체/정신 건강 정보, 성적 성향, 생체 정보 등을 민감한 정보로 분류하고 있습니다.

개인 및 법인은 웹사이트나 계약서에 개인정보 정책, 개인정보 수집과 사용 목적, 정보공개 정책, 합리적인 보안 절차에 대한 내용을 명시해야 할 의무가 있습니다. 본 규칙은 개인정보가 안전하게 보호되며, 개인정보를 사용하는 이가 개인 정보 수집 목적을 알고 있고, 해당 정보를 사용하는 법인이 개인정보 보호 능력에 확신이 있음을 보장합니다.

IT 산업의 복합성이 증대되며 현행법의 한계 또한 인지되었습니다. 2017년 8월, 인도 대법원은 ‘KS 푸타스와미 판사 대 인도 정부 사건(Justice KS Puttaswamy v Union of India)’에서 개인정보 보호를 위한 보다 강력한 법의 필요성을 인지했습니다. 대법원은 모든 개인이 자신의 개인정보에 대해 근본적인 권리를 지니며, 이에 따라 보다 강력한 개인정보 보호법이 필요하다는 사실을 명백하게 인정했습니다.

이후 BN 스리크리샤나 판사를 의장으로 하는 전문가 위원회에서 보고서와 함께 개인정보 보호법의 초안을 발표했습니다. 현재 인도 의회에 계류 중인 2019년 개인정보 보호 법안은 해당 초안과 일맥상통하며, 2018년 EU의 개인정보보호규정(GDPR)을 반영하고 있습니다.

IT 산업의 역동성을 고려할 때, IT법 또한 다른 분야의 법과는 달리 지속적으로 빠르게 변화해야 할 것입니다. 인도 정부는 이러한 역동성을 인지하고, IT법의 지평을 넓히며 개정해나가고 있습니다.

인도 정부는 최근 개인정보 보호법을 더욱 강화하기 위해 ‘2018년 IT 규칙 – 보호 시스템에 관한 정보 보안 관행 절차’와 개인정보 보호 법안을 도입했으며, 이는 나아가 국가 간 정보 교류에 긍정적으로 작용할 것입니다.

LEXORBIS
709/710 Tolstoy House 15-17 Tolstoy Marg New Delhi – 110 001 India
전화번호: +91 11 2371 6565
팩스: : +91 11 2371 6556
이메일: mail@lexorbis.com
www.lexorbis.com

인도네시아

인도네시아는 동남아시아에서 빠르게 성장하는 디지털 기반 경제입니다. 인도네시아 정부는 ‘산업 4.0’ 시대를 맞이하여 국내 디지털 사업 개발과 중소기업(SME)의 IT 산업 참여를 적극적으로 장려하고 있어, 앞으로도 이러한 흐름이 지속될 전망입니다.

IT 산업은 인도네시아 경제에 중요한 역할을 수행해왔으며, 디지털 산업의 빠른 성장으로 인해 보다 선진적이고 통합적인 사이버 보안법과 개인정보 보호법의 필요성이 대두되었습니다.

인도네시아 정부는 급속도로 발전하는 디지털 기술의 특성을 고려하여 2008년부터 전자 정보와 전자 결제를 주관하는 규제를 도입해왔습니다. 2008년 법령 제11호 전자 정보와 결제법(EIT법)은 2016년 법령 제19호에 의해 개정되었으며, 사이버 보안과 개인정보를 포함하는 다양한 맥락에서 전자 정보와 시스템 운영에 관한 근본적인 규칙을 규정합니다.

그러나 인도네시아의 전자상거래 플랫폼은 여전히 내부 데이터베이스 위반으로부터 자유롭지 못하며, 사용자명, 이메일 주소, 전화번호, 암호화 패스워드 등의 사용자 정보가 대규모로 유출되는 사건이 발생하기도 했습니다. 이는 경제의 주요 동력으로서 나날이 의존도가 높아지는 전자상거래 시스템의 보안이 얼마나 취약한지를 여실히 드러냈습니다. 이에 따라 인도네시아 정부에서는 정책과 규제를 통해 기술적 변화와 난제에 대응하고 있습니다.

사이버 보안

EIT법과 ‘2019년 정부 규제 제71호 전자 시스템과 결제 조항’ 등의 관련 규제는 사이버 보안에 대한 일반 규정을 모두 다루고 있습니다. 해당 규제는 전자 결제 시스템의 신뢰를 촉진하고, 중립 기술로서의 원칙을 유지할 것으로 예상됩니다. EIT법은 전자시스템 운영자(ESO)가 신뢰할 수 있고 안전한 방식으로 시스템을 제공하고, 적절하게 운영할 책임이 있음을 의무화합니다. 보안 측면은 전자 시스템에 관한 물리적/비물리적 보호를 포괄하며, 규제 제71호에 따른 하드웨어와 소프트웨어의 보안을 포함합니다. 나아가, 전자시스템 운영자가 보안 위협과 공격에 대한 예방, 완화, 보안을 위한 시설 및 시스템을 도입하고 유지할 의무를 규정하고 있습니다.

인도네시아 통신정보과학부의 ‘2016년 규제 제4호 정보 보안 관리 시스템’에 의거한 정보 보안 관리 준수 의무는 전자 시스템의 리스크 카테고리에 따라 달라집니다. 해당 규제는 리스크 카테고리를 1) 전략적 리스크, 2) 높은 리스크, 3) 낮은 리스크로 구분하고 있습니다.

인도네시아는 동남아시아에서 빠르게 성장하는 디지털 기반 경제입니다. 인도네시아 정부는 ‘산업 4.0’ 시대를 맞이하여 국내 디지털 사업 개발과 중소기업(SME)의 IT 산업 참여를 적극적으로 장려하고 있어, 앞으로도 이러한 흐름이 지속될 전망입니다.

IT 산업은 인도네시아 경제에 중요한 역할을 수행해왔으며, 디지털 산업의 빠른 성장으로 인해 보다 선진적이고 통합적인 사이버 보안법과 개인정보 보호법의 필요성이 대두되었습니다.

인도네시아 정부는 급속도로 발전하는 디지털 기술의 특성을 고려하여 2008년부터 전자 정보와 전자 결제를 주관하는 규제를 도입해왔습니다. 2008년 법령 제11호 전자 정보와 결제법(EIT법)은 2016년 법령 제19호에 의해 개정되었으며, 사이버 보안과 개인정보를 포함하는 다양한 맥락에서 전자 정보와 시스템 운영에 관한 근본적인 규칙을 규정합니다.

그러나 인도네시아의 전자상거래 플랫폼은 여전히 내부 데이터베이스 위반으로부터 자유롭지 못하며, 사용자명, 이메일 주소, 전화번호, 암호화 패스워드 등의 사용자 정보가 대규모로 유출되는 사건이 발생하기도 했습니다. 이는 경제의 주요 동력으로서 나날이 의존도가 높아지는 전자상거래 시스템의 보안이 얼마나 취약한지를 여실히 드러냈습니다. 이에 따라 인도네시아 정부에서는 정책과 규제를 통해 기술적 변화와 난제에 대응하고 있습니다.

사이버 보안

EIT법과 ‘2019년 정부 규제 제71호 전자 시스템과 결제 조항’ 등의 관련 규제는 사이버 보안에 대한 일반 규정을 모두 다루고 있습니다. 해당 규제는 전자 결제 시스템의 신뢰를 촉진하고, 중립 기술로서의 원칙을 유지할 것으로 예상됩니다. EIT법은 전자시스템 운영자(ESO)가 신뢰할 수 있고 안전한 방식으로 시스템을 제공하고, 적절하게 운영할 책임이 있음을 의무화합니다. 보안 측면은 전자 시스템에 관한 물리적/비물리적 보호를 포괄하며, 규제 제71호에 따른 하드웨어와 소프트웨어의 보안을 포함합니다. 나아가, 전자시스템 운영자가 보안 위협과 공격에 대한 예방, 완화, 보안을 위한 시설 및 시스템을 도입하고 유지할 의무를 규정하고 있습니다.

인도네시아 통신정보과학부의 ‘2016년 규제 제4호 정보 보안 관리 시스템’에 의거한 정보 보안 관리 준수 의무는 전자 시스템의 리스크 카테고리에 따라 달라집니다. 해당 규제는 리스크 카테고리를 1) 전략적 리스크, 2) 높은 리스크, 3) 낮은 리스크로 구분하고 있습니다.

전략적 또는 높은 리스크군으로 분류된 전자 시스템은 정보 보안에 대해 ‘ISO/IEC 27001 기준’을 준수해야 하며, 낮은 리스크군의 전자 시스템은 ‘정보 보안 인덱스’의 가이드라인을 반드시 이행해야 합니다.

그러나 종전의 전자시스템 운영자 구분법을 사용하는 규제 제4호는 ‘2012년 정부 규제 제82호 전자 시스템 결제 조항’이 규제 제71호에 의해 폐지됨에 따라 향후 수정될 것으로 보입니다.

정보 보안 인덱스를 포함한 정보 보안 관리의 기술적 의무사항을 규정하는 업무는 종래는 통신정보과학부가 주관했으나, 현재는 국가 사이버 암호화 안보국(BSSN)으로 주무 기관이 변경되어 정보 보안에 대한 의무와 준수 사항과 관련된 기술적 규제가 수립될 예정입니다.

국가 사이버 암호화 안보국과 더불어 사이버 보안을 담당하는 또 다른 주무 기관은 ‘인터넷 인프라/조정센터(ID-SIRTII)’ 산하의 ‘인도네시아 보안 사건 대응팀’입니다. 해당 팀은 2007년 통신정보과학부에 의해 발족되었으며, 인터넷과 이동통신 네트워크에 IT 보안, 선진 모니터링, 선진 감지, 선진 위협 경고 시스템에 대한 인식을 제고하는 것을 목표로 합니다.

EIT법 제46조는 위반 행위에 대한 형사 처벌 또한 규정하고 있습니다. 사이버 보안 위반 행위는 최대 8년의 징역형 및/또는 최대 8억 루피아(53,000달러)의 벌금형에 처합니다.

개인정보 보호

데이터와 개인정보 보호는 인도네시아 헌법 제28G조에 따라 인간의 기본권으로 인정되고 있습니다. 제28G조는 모든 개인이 자신과 가족, 명예, 존엄성과 재산을 지킬 권리가 있다고 명시하고 있습니다. 그러나 현재까지 인도네시아에는 데이터와 개인정보 보호를 위해 별도로 제정된 법은 없으며, 여러 법과 규제에 관련 내용이 분산되어 있는 상태입니다.

그러나 EIT법, 규제 제71호, 규제 제20호가 개인정보의 관리에서 주요법으로 사용되고 있으며, 전 사업 부문 전자 시스템의 운영에 적용되고 있습니다.

위 규제들은 모두 전자 매체를 통한 개인정보의 사용 시 정보주체의 동의를 얻는 것의 중요성을 강조하고 있습니다. (관련법이나 규제가 다르게 정의하는 경우 제외.)

EIT법의 기본 개념은 “개인정보의 보호는 개인의 프라이버시 권리에 속한다”라는 것으로, 이는 규제 제20호의 기저 원칙으로 작용합니다. 규제 제20호는 개인정보의 처리와 관리 시 정보주체의 동의를 얻는 것의 중요성과 개인정보의 검증, 정보주체의 개인 정보에 대한 권리 보호를 강조하고 있습니다.

규제 제20호는 개인정보의 수집, 처리, 보관, 공유, 삭제 등의 모든 데이터 처리 단계에 있어서 전자시스템 운영자가 정보주체의 동의를 얻어야 한다고 규정하고 있습니다.

정부는 규제 제71호를 통해 보다 일반적인 기준에 기반한 개인정보 보호 규칙을 적용하고자 했는데, 이는 아래에서 보듯이 EU GDPR의 영향을 크게 받은 것으로 보입니다.

규제 제71호 14(1)조는 개인정보 보호의 기본 원칙을 명시하며, 대체로 GDPR 제5조와 유사합니다.

또한, GDPR 제6조는 개인정보 처리의 적법성이 단일 또는 복수 목적의 정보 사용에 대한 정보 주체의 동의 취득과 의무사항의 준수를 기반으로 한다고 정의하고 있으며, 규제 제71호 또한 이와 동일한 입장을 취하고 있습니다. 그러나 규제 제71호는 동의 취득 의무에 대한 예외 사항을 별도로 규정하지 않고 있습니다.

‘개인정보 관리자(pengendali data pribadi)’라는 용어는 GDPR에서 직접적으로 차용한 것입니다. 해당 용어는 규제 제71호 14조에서만 사용되는데, 용어에 대한 별도의 설명이 없습니다. 또한, GDPR와는 달리 ‘개인정보 관리자’와 ‘개인정보 처리자’를 구분하지 않았습니다.

‘잊혀질 권리’라는 개념은 EIT법에서 처음 정립되었으며, 법원 명령 또는 정보주체의 요청에 따라(‘폐지 권리’와 ‘삭제 권리’의 행사), 전자시스템 운영자가 통제 하의 유효하지 않은 모든 전자 정보 및/또는 전자 서류를 삭제할 것을 규정하고 있습니다.

정부는 현재 개인정보 보호 법안을 준비 중이며, 가장 최근의 초안으로 미루어볼 때 GDPR의 원칙을 더욱 확대한 것으로 보입니다. 이는 인도네시아의 규제와 산업 전방위적 기준 간의 상호성을 증진할 수 있을 것입니다. 초안은 개인정보 관리자와 개인정보 처리자를 구분하고, 개인정보 유출 시 고지 기간을 기존 규제 제20호의 14일에서 3일로 단축했습니다. 그러나 해당 법안이 실제 법으로 발효될지는 아직 미지수입니다.

주요 초점

최근 디지털 플랫폼 회사의 잇따른 사이버 공격 피해 사례에서도 볼 수 있듯, 사이버 범죄는 갈수록 증가하고 있습니다. 데이터가 회사의 중요한 자산으로 간주되는 만큼, 정부와 민간 부문은 앞으로 기존의 예방 조치를 침해하지 않는 선에서 사이버 보안과 데이터 보호에 보다 주력할 것으로 보입니다. 이에 따라 정부와 기업의 노력은 사이버 범죄에 대한 인식 제고와 효율적인 개인정보 보호 시스템의 구축에 집중될 것입니다.

ABNR COUNSELLORS AT LAW
Graha CIMB Niaga 24/F Jl Jenderal Sudirman Kav 58 Jakarta 12190 Indonesia
전화번호: +62 21 250 5125
이메일: info@abnrlaw.com
www.abnrlaw.com

---

대만

대만에서는 그간 여러 정권에 걸쳐 다양한 법률과 규제를 통해 사이버 보안 문제를 다뤄왔습니다. 2018년 제정된 ‘사이버 보안 관리법(CSMA)’은 주로 정부 기관과 특정 비정부 기관의 사이버 보안 통제 시스템에 대해 규정하고 있습니다. 그 외 형사법, 개인정보보호법(PDPA), 그리고 새로 제정된 반침입법이 주요 관련법으로 사용되고 있습니다.

형사법

‘형사법 제36장 컴퓨터 관련 위반 행위’는 사이버 보안에 대해 규정하고 있습니다. 아래에 명시된 위반 행위는 형사 처벌 대상으로, 징역형과 벌금형을 포함하나 이에 국한되지 않습니다.

(1) 타인의 컴퓨터 해킹(형사법 제358조): (i) 타인의 계정 ID나 패스워드 입력, (ii) 타인의 컴퓨터 보호 시스템 공격, 또는 (iii) 정당한 이유 없이 타인의 컴퓨터나 관련 장치에 접근할 목적으로 시스템상의 허점을 악용한 행위는 모두 형사법 제358조에 따라 위반 행위로 간주됩니다. ‘정당한 이유’는 유효 관련인의 허가 또는 법적 의무를 포함할 수 있습니다.

(2) 전자 자기 기록의 불법 처분: 타인의 컴퓨터 또는 관련 장치에 있는 전자 자기 기록을 불법적으로 취득, 삭제, 변경하는 행위는 형사법 제359조에 따라 위반 행위로 간주됩니다. ‘전자 자기 기록’은 ‘전자, 자기, 광학 또는 기타 유사 수단을 통해 만들어진 컴퓨터 처리 기록’을 의미합니다.

(3) 컴퓨터 및 관련 장치의 사용 방해: 타인의 컴퓨터 및 관련 장치의 사용을 방해하고, 공공 및 해당 타인에게 상해를 가하는 행위는 형사법 제362조에 따른 위법 행위입니다.

(4) 형사법 제36장에 명시된 범죄의 목적으로 컴퓨터 프로그램을 만드는 행위: 본인 또는 타인을 위해 제358조, 359조, 362조에서 명시하고 있는 범죄를 저지를 목적으로 컴퓨터 프로그램을 만드는 행위는 형사법 제363조의 위반으로 간주됩니다.

민사법

현재 대만의 민사법은 사이버 보안 범죄와 관련한 민사 책임을 따로 규정하고 있지는 않습니다. 그러나, 타인의 컴퓨터 해킹 및 기타 수단을 통해 사이버 보안에 영향을 주고 타인에게 손실이나 상해를 가하는 경우, 피해자는 민사법 제184조와 기타 규정에 따라 피해보상을 청구할 수 있습니다. 기타 규정은 원칙적으로 제18조(개인권의 침해), 195조(명예훼손)를 포함하나 이에 국한되지 않으며, 특정 상황의 경우 그 외 조항이 유효할 수 있습니다.

개인정보보호법

개인정보보호법은 정부와 비정부 기관이 개인정보를 보호하고 개인정보의 도난, 무단수정, 손상, 파기 또는 공개를 예방하기 위해 적절한 보안 조치를 반드시 취해야 한다고 명시하고 있습니다. 본 규정은 사이버 보안과 직접적으로 연관이 있는 것은 아니지만, 개인 정보가 현재 인터넷을 통해 수집, 처리, 이전된다는 점을 고려할 때 전반적인 사이버 보안 시스템의 효율성을 높이는데 기여할 수 있을 것입니다.

개인정보보호법은 또한 특정 산업을 담당하는 주요 중앙기관이 특정 비정부 기관(민간)이 개인정보 파일을 보호하기 위한 보안 유지 계획을 수립하고, 사업 종료 이후의 개인정보 파기에 대한 가이드라인을 수립, 이행하도록 명할 수 있다고 규정하고 있습니다.

이에 따라, 대만의 금융감독위원회는 ‘금융감독위원회 지정 비정부 기관 대상 개인정보 파일 보안 유지 계획’을 제정했습니다. 본 규제에 따라, 전자 상거래 서비스를 제공하는 모든 비정부 기관은 다음의 정보 보안 조치를 이행해야 합니다.

1) 신원 검증, 2) 개인정보의 안전한 보관, 3) 인터넷을 통한 이전 시 암호화 확보, 4) 개발, 디지털화, 특정 애플리케이션 시스템 유지에 대한 절차 검증 확인, 5) 개인정보 파일과 데이터베이스를 위한 보호 감시 조치의 수립과 이행, 6) 외부 비허가 사용을 예방하기 위한 솔루션 수립, 7) 불법/비정상 접근과 사용을 예방하기 위한 솔루션과 감시 시스템 수립.

사이버 보안 관리법(CSMA)

대만의 CSMA법은 2018년 6월 6일 제정되었습니다. 형사법, 개인정보보호법과 함께, CSMA법은 국가의 사이버 안보 환경을 구축하기 위한 목적으로 정부와 비정부 기관의 사이버 보안 프로그램 관리를 규제합니다. CSMA법의 주무 기관은 대만 최고 중앙행정기관인 ‘행정원’입니다. 경제부 또한 대만 소재의 회사를 대상으로 CSMA법에 따른 사이버 보안 메커니즘의 수립에 관한 가이드라인을 발표한 바 있습니다.

CSMA법의 적용 범위는 정부 기관과 비정부 기관을 모두 포함합니다. 특정 비정부 기관은 국영 기업, 정부 후원 재단, ‘인프라 서비스 제공자’를 포함합니다.

‘인프라 서비스 제공자’가 적용 대상에 포함된 것은 매우 유의미합니다. CSMA법에 따라 모든 인프라 서비스 제공자는 사이버 보안 메커니즘을 수립해야 하며, 국가 안보를 지키기 위해 민감한 정보가 안전하게 유지되고, 악의를 지닌 타인에게 유출되지 않도록 해야 합니다.

인프라 서비스 제공자는 주요 인프라를 전체적 또는 부분적으로 제공 및 유지하는 사업체를 의미하며, 산업별 중앙 부처에서 지정한 뒤 승인 기관의 검토를 받습니다.

주요 인프라는 에너지, 수자원, 이동통신, 금융, 교통, 응급 약물 관련 공급사, 정부 기관과 하이테크 공단을 포함합니다.

인프라 서비스 제공자로 지정된 공급사는 정부 기관과 동일한 수준으로 사이버 보안 메커니즘을 구축해야 하며, 국가 안보를 저해할 수 있는 민감한 정보가 인터넷을 통해 예기치 못하게 유출되지 않도록 예방해야 합니다.

CSMA법은 정부 기관과 특정 비정부 기관의 의무를 3단계로 나눕니다.

1) 사전 계획: 정부 기관과 특정 비정부 기관은 ‘보안 유지 계획’과 ‘보고 및 대응 메커니즘’을 사전 구축해야 합니다. 또한, 중요도, 기밀성, 민감성, 기관의 체계, 보관/처리되는 정보의 종류, 양, 특성, 해당 기관의 IT 커뮤니케이션 시스템의 범위와 특성을 고려한 사이버 보안 의무 수준을 명시해야 합니다.

2) 유지: 대상 기관은 중앙기관에 주기적으로 보고할 의무가 있으며, 중앙기관은 CSMA법에 따라 현장 실사를 할 수 있습니다. 사이버 보안 위협 발생 시, 중앙기관에 고지해야 하며, 중앙기관이 구축한 메커니즘에 따라 손실 통제와 운영 재개를 위한 조치를 취해야 합니다.

3) 사후 조치: 사이버 보안 사건의 발생 이후 또는 중앙기관이 사이버 보안 통제 메커니즘이 미흡하다고 판단하는 경우, 해당 기관은 이를 정정 후 정정 조치를 명시하는 보고서를 제출해야 합니다. 또한 정정 조치의 이행과 효율성을 추적 조사하여, 전반적인 개선을 보장해야 합니다.

CSMA법은 또한 사이버 보안 위협이 전 세계 다양한 곳에서 올 수 있음을 고려하여 정부가 정보 공유 메커니즘을 구축할 것을 규정하고 있으며, 사이버 보안 네트워크의 강화를 위해 정부와 비정부 기관 간의 정보 공유를 장려합니다.

현재까지 구축된 정보 공유 메커니즘은 ‘국가 정보 공유 분석 센터(N-ISAC)’, ‘국가 컴퓨터 비상 대응팀(N-CERT)’, ‘국가 안보 작전 본부(N-SOC)’입니다.

반침입법

반침입법은 2020년 1월 초 발효되었으며, ‘칩입원’의 지시 및 자금을 받은 자의 불법 캠페인 또는 로비 행위를 금지하며, 불법 정치 자금을 받거나 사회 질서를 방해하는 행동을 금지하고 있습니다.

반침입법은 최근 대만 대통령 선거 당시 대선 결과에 영향을 주기 위한 목적으로 국내외에서 유포된 소위 ‘가짜뉴스’ 논란 이후 제정되었습니다.

FORMOSA TRANSNATIONAL ATTORNEYS AT LAW
13/F, 136 Jen Ai Road, Sec. 3, Taipei
전화번호: +886 2 2755 7366
팩스: : +886 2 2755 6486
www.taiwanlaw.com