아시아 각국의 정부는 데이터 보호와 사이버 보안 영역의 규제를 발전시키고 있습니다. 본 기고는 아시아 역내 주요 국가의 사이버 보안법과 이에 대한 전문가의 해석으로 구성되어 있습니다.
대만에서는 그간 여러 정권에 걸쳐 다양한 법률과 규제를 통해 사이버 보안 문제를 다뤄왔습니다. 2018년 제정된 ‘사이버 보안 관리법(CSMA)’은 주로 정부 기관과 특정 비정부 기관의 사이버 보안 통제 시스템에 대해 규정하고 있습니다. 그 외 형사법, 개인정보보호법(PDPA), 그리고 새로 제정된 반침입법이 주요 관련법으로 사용되고 있습니다.
형사법
‘형사법 제36장 컴퓨터 관련 위반 행위’는 사이버 보안에 대해 규정하고 있습니다. 아래에 명시된 위반 행위는 형사 처벌 대상으로, 징역형과 벌금형을 포함하나 이에 국한되지 않습니다.
타이페이에서 Formosa Transnational 의 시니어 파트너
전화번호: +886 2 2755 7366
이메일: shuai-sheng.huang@taiwanlaw.com
(1) 타인의 컴퓨터 해킹(형사법 제358조): (i) 타인의 계정 ID나 패스워드 입력, (ii) 타인의 컴퓨터 보호 시스템 공격, 또는 (iii) 정당한 이유 없이 타인의 컴퓨터나 관련 장치에 접근할 목적으로 시스템상의 허점을 악용한 행위는 모두 형사법 제358조에 따라 위반 행위로 간주됩니다. ‘정당한 이유’는 유효 관련인의 허가 또는 법적 의무를 포함할 수 있습니다.
(2) 전자 자기 기록의 불법 처분: 타인의 컴퓨터 또는 관련 장치에 있는 전자 자기 기록을 불법적으로 취득, 삭제, 변경하는 행위는 형사법 제359조에 따라 위반 행위로 간주됩니다. ‘전자 자기 기록’은 ‘전자, 자기, 광학 또는 기타 유사 수단을 통해 만들어진 컴퓨터 처리 기록’을 의미합니다.
(3) 컴퓨터 및 관련 장치의 사용 방해: 타인의 컴퓨터 및 관련 장치의 사용을 방해하고, 공공 및 해당 타인에게 상해를 가하는 행위는 형사법 제362조에 따른 위법 행위입니다.
(4) 형사법 제36장에 명시된 범죄의 목적으로 컴퓨터 프로그램을 만드는 행위: 본인 또는 타인을 위해 제358조, 359조, 362조에서 명시하고 있는 범죄를 저지를 목적으로 컴퓨터 프로그램을 만드는 행위는 형사법 제363조의 위반으로 간주됩니다.
민사법
현재 대만의 민사법은 사이버 보안 범죄와 관련한 민사 책임을 따로 규정하고 있지는 않습니다. 그러나, 타인의 컴퓨터 해킹 및 기타 수단을 통해 사이버 보안에 영향을 주고 타인에게 손실이나 상해를 가하는 경우, 피해자는 민사법 제184조와 기타 규정에 따라 피해보상을 청구할 수 있습니다. 기타 규정은 원칙적으로 제18조(개인권의 침해), 195조(명예훼손)를 포함하나 이에 국한되지 않으며, 특정 상황의 경우 그 외 조항이 유효할 수 있습니다.
개인정보보호법
개인정보보호법은 정부와 비정부 기관이 개인정보를 보호하고 개인정보의 도난, 무단수정, 손상, 파기 또는 공개를 예방하기 위해 적절한 보안 조치를 반드시 취해야 한다고 명시하고 있습니다. 본 규정은 사이버 보안과 직접적으로 연관이 있는 것은 아니지만, 개인 정보가 현재 인터넷을 통해 수집, 처리, 이전된다는 점을 고려할 때 전반적인 사이버 보안 시스템의 효율성을 높이는데 기여할 수 있을 것입니다.
개인정보보호법은 또한 특정 산업을 담당하는 주요 중앙기관이 특정 비정부 기관(민간)이 개인정보 파일을 보호하기 위한 보안 유지 계획을 수립하고, 사업 종료 이후의 개인정보 파기에 대한 가이드라인을 수립, 이행하도록 명할 수 있다고 규정하고 있습니다.
이에 따라, 대만의 금융감독위원회는 ‘금융감독위원회 지정 비정부 기관 대상 개인정보 파일 보안 유지 계획’을 제정했습니다. 본 규제에 따라, 전자 상거래 서비스를 제공하는 모든 비정부 기관은 다음의 정보 보안 조치를 이행해야 합니다.
1) 신원 검증, 2) 개인정보의 안전한 보관, 3) 인터넷을 통한 이전 시 암호화 확보, 4) 개발, 디지털화, 특정 애플리케이션 시스템 유지에 대한 절차 검증 확인, 5) 개인정보 파일과 데이터베이스를 위한 보호 감시 조치의 수립과 이행, 6) 외부 비허가 사용을 예방하기 위한 솔루션 수립, 7) 불법/비정상 접근과 사용을 예방하기 위한 솔루션과 감시 시스템 수립.
사이버 보안 관리법(CSMA)
대만의 CSMA법은 2018년 6월 6일 제정되었습니다. 형사법, 개인정보보호법과 함께, CSMA법은 국가의 사이버 안보 환경을 구축하기 위한 목적으로 정부와 비정부 기관의 사이버 보안 프로그램 관리를 규제합니다. CSMA법의 주무 기관은 대만 최고 중앙행정기관인 ‘행정원’입니다. 경제부 또한 대만 소재의 회사를 대상으로 CSMA법에 따른 사이버 보안 메커니즘의 수립에 관한 가이드라인을 발표한 바 있습니다.
CSMA법의 적용 범위는 정부 기관과 비정부 기관을 모두 포함합니다. 특정 비정부 기관은 국영 기업, 정부 후원 재단, ‘인프라 서비스 제공자’를 포함합니다.
‘인프라 서비스 제공자’가 적용 대상에 포함된 것은 매우 유의미합니다. CSMA법에 따라 모든 인프라 서비스 제공자는 사이버 보안 메커니즘을 수립해야 하며, 국가 안보를 지키기 위해 민감한 정보가 안전하게 유지되고, 악의를 지닌 타인에게 유출되지 않도록 해야 합니다.
인프라 서비스 제공자는 주요 인프라를 전체적 또는 부분적으로 제공 및 유지하는 사업체를 의미하며, 산업별 중앙 부처에서 지정한 뒤 승인 기관의 검토를 받습니다.
주요 인프라는 에너지, 수자원, 이동통신, 금융, 교통, 응급 약물 관련 공급사, 정부 기관과 하이테크 공단을 포함합니다.
인프라 서비스 제공자로 지정된 공급사는 정부 기관과 동일한 수준으로 사이버 보안 메커니즘을 구축해야 하며, 국가 안보를 저해할 수 있는 민감한 정보가 인터넷을 통해 예기치 못하게 유출되지 않도록 예방해야 합니다.
CSMA법은 정부 기관과 특정 비정부 기관의 의무를 3단계로 나눕니다.
1) 사전 계획: 정부 기관과 특정 비정부 기관은 ‘보안 유지 계획’과 ‘보고 및 대응 메커니즘’을 사전 구축해야 합니다. 또한, 중요도, 기밀성, 민감성, 기관의 체계, 보관/처리되는 정보의 종류, 양, 특성, 해당 기관의 IT 커뮤니케이션 시스템의 범위와 특성을 고려한 사이버 보안 의무 수준을 명시해야 합니다.
2) 유지: 대상 기관은 중앙기관에 주기적으로 보고할 의무가 있으며, 중앙기관은 CSMA법에 따라 현장 실사를 할 수 있습니다. 사이버 보안 위협 발생 시, 중앙기관에 고지해야 하며, 중앙기관이 구축한 메커니즘에 따라 손실 통제와 운영 재개를 위한 조치를 취해야 합니다.
3) 사후 조치: 사이버 보안 사건의 발생 이후 또는 중앙기관이 사이버 보안 통제 메커니즘이 미흡하다고 판단하는 경우, 해당 기관은 이를 정정 후 정정 조치를 명시하는 보고서를 제출해야 합니다. 또한 정정 조치의 이행과 효율성을 추적 조사하여, 전반적인 개선을 보장해야 합니다.
CSMA법은 또한 사이버 보안 위협이 전 세계 다양한 곳에서 올 수 있음을 고려하여 정부가 정보 공유 메커니즘을 구축할 것을 규정하고 있으며, 사이버 보안 네트워크의 강화를 위해 정부와 비정부 기관 간의 정보 공유를 장려합니다.
현재까지 구축된 정보 공유 메커니즘은 ‘국가 정보 공유 분석 센터(N-ISAC)’, ‘국가 컴퓨터 비상 대응팀(N-CERT)’, ‘국가 안보 작전 본부(N-SOC)’입니다.
반침입법
반침입법은 2020년 1월 초 발효되었으며, ‘칩입원’의 지시 및 자금을 받은 자의 불법 캠페인 또는 로비 행위를 금지하며, 불법 정치 자금을 받거나 사회 질서를 방해하는 행동을 금지하고 있습니다.
반침입법은 최근 대만 대통령 선거 당시 대선 결과에 영향을 주기 위한 목적으로 국내외에서 유포된 소위 ‘가짜뉴스’ 논란 이후 제정되었습니다.
FORMOSA TRANSNATIONAL ATTORNEYS AT LAW
13/F, 136 Jen Ai Road, Sec. 3, Taipei
전화번호: +886 2 2755 7366
팩스: : +886 2 2755 6486
www.taiwanlaw.com
