전세계적으로 사이버 공격이 만연해지면서 역내 정책 입안자들은 자국의 데이터 보안 조치를 한층 강화했고, 기업들의 관련 법규 준수 또한 매우 중요해졌다.

중국

인도

인도네시아

대만

중국

중국은 사이버 공간과 데이터 방면의 주권과 지배적인 지위를 더더욱 강조하고 사이버 보안 및 정보 보호 시스템은 빠르게 발전하고 있으며 많은 관련 규칙, 정책 및 일관성 있는 국가 표준을 발표하였습니다. 프라이버시와 안전의 기본원칙은 <중화인민공화국 헌법>, <중화인민공화국 국민법전> 및 <중화인민공화국 국가보안법>에 뿌리를 박고 있으며 <중화인민공화국 사이버 보안법>(‘<사이버 보안법>’ ), <중화인민공화국 데이터 보안법>(‘<데이터 보안법’>), <중화인민공화국 개인정보 보호법>'(‘<개인정보 보호법>’) 3대 기본법을 공포하였습니다.

3대 기본 법률의 상호작용

상술한 3대 법률로 구축된 주요 체계내에서 <사이버 보안법>은 그 기초로서 전반 사이버 안전 법적 체계를 구축하였습니다. <데이터 보호법>은 처리되는 데이터의 보안을 보호하는데 중점을 두고 있으며, <개인정보 보호법>은 자연인과 관련된 개인정보를 규제하는데 중점을 두고 있습니다.

<데이터 보안법>과 <개인정보 보호법>은 모두 역외관할조항을 명확히 규정하여 <사이버 보안법>에 의해 보호되는 인프라에서 취급되는 데이터 및 개인 정보의 보안을 더욱 보장하였습니다. 예컨대, 중국 경외 데이터 처리 활동이 중국의 국가 안보 및 공공이익을 손상시키거나 중국 공민 및 조직의 합법적인 권익을 손상시키는 경우 <데이터 보안법>은 법에 따라 법적 책임을 추궁할 것을 명확히 규정하였습니다. 마찬가지로 중국 경내 자연인에게 제품이나 서비스를 제공할 목적으로 그 개인정보를 취급하거나 중국 경내 개인정보를 분석, 평가하는 행위 즉 자연인 개인정보를 취급하는 활동이 중국 밖에서 발생하더라도 <개인정보 보호법>의 규제를 받습니다.

전문 규칙

중국 기업은 또한 특정 산업의 특별 규제 규칙과 각 지역의 데이터 보호 법규를 준수해야 합니다. 중국의 산업 규제 기관과 지방 정부는 관련 규제 규칙을 지속적으로 개선하여 각 산업 분야 및 각 지역의 사이버 보안 문제 해결에 노력하고 있으며 특별히 의료위생, 금융, 자동차 및 인터넷 정보 서비스(예컨대 추천 서비스 알고리즘) 등 분야에 초점을 두고 있습니다.

사이버 보안 심사

국가 인터넷 정보 판공실은 최근 주목받는 택시 예약차 업체 거물 디디(滴滴)에 대한 사이버 보안 심사 결과를 발표하고 그에 따라 약 80억 위안의 벌금을 부과했습니다. 디디에 대한 사이버 보안 심사는 최신 개정된 <사이버 보안 심사 방법>이 발표되기 전에 검토가 시작되었으며 최신 릴리스는 2022년 2월 15일에 공식적으로 시행됩니다.

이번 개정 후 사이버 보안 심사 방법의 적용 범위는 확대되었는데 특히100만 명 이상의 사용자 개인정보를 보유한 온라인 플랫폼 운영자가 해외 상장을 준비할 시 반드시 사이버 보안 심사를 신청할 것을 명확히 요구하였습니다.

또한 핵심 정보 인프라 운영자가 네트워크 제품 및 서비스를 구매하거나 온라인 플랫폼 운영자가 데이터 처리 활동을 수행하여 국가 안보에 영향을 미치거나 영향을 미칠 수 있는 경우에도 사이버 보안 심사 신고 의무가 촉발됩니다.

앞의 세 가지 사이버 보안 심사 및 신고 의무를 촉발하는 경우 온라인 플랫폼 운영자는 데이터 처리 행위가 사이버 보안 심사를 촉발할 수 있는지 여부를 스스로 판단해야 하는데 이는 현재 플랫폼 운영자에게 가장 어려운 과제일 수 있습니다. 이는 막역한 법적 규정 아래 현재 신고 의무 범위에 속하는지 여부를 명확하게 판단하기 위한 권위있는 객관적 영향요인에 대한 권위있는 세칙이 부족하여 온라인 플랫폼 운영자에게 충분한 지침을 제공할수 없기 때문입니다. 이는 대량의 데이터 또는 여러 유형의 데이터를 처리하는 온라인 플랫폼은 모두 사이버 보안 심사를 받아야 함을 의미합니다.

관련 심사를 받고 싶지 않다면 가장 안전한 방법은 (1) 대규모 온라인 플랫폼을 운영하지 않거나 (2) 운영자가 자발적으로 사이버 보안 심사를 신청하고 관련 부서에서 추가 조치를 취할 필요가 없다는 통지를 받도록 하는 것입니다. 그러지 않을 경우 중국 최대 학술 연구 데이터베이스인 CNKI(中国知网)와 비슷한 리스크가 존재할수 있습니다. 즉 국가 안보 관련 요인으로 인한 사이버 보안 심사를 받는 것입니다.

사이버 보안 등급 보호 (등급 보호)

정보 시스템 및 네트워크를 위한 사이버 보안 등급 보호 요구 사항은 <사이버 보안법>에 따라 진일보 발전되고 업데이트되었습니다. 실제상 사이버 보안 등급 보호체계 아래 등급보호 보안 의무의 적용 범위는 중국에서 인터넷을 이용해 업무를 경영하는 대부분 기업으로 확대하고 클라우드, 사물인터넷 등 신기술에 대한 별도의 보안 표준을 설정했습니다.

현재의 등급보호 제도하에서, 온라인 운영자는 자신이 운영하는 네트워크/정보시스템의 중요도 및 관련 리스크를 평가해야 합니다. 인터넷/정보시스템의 성격, 중요도 및 훼손 후 국가안전, 사회질서, 공공이익 및 공민, 법인 및 기타 조직의 합법적 권익에 대한 위해 정도 등에 따라 모든 인터넷/정보시스템에 대해 안전등급을 지정합니다.

1급부터 5급까지 안전등급이 높을수록 온라인 운영자의 보안 의무는 더 엄격합니다. 등급을 설정한 후 온라인 운영자는 수요에 따라 공안 기관에 자신이 운영하는 네트워크/정보 시스템을 제출, 평가 및 수정하여 취한 보안 조치가 해당 등급에 명시된 최소 안전 표준을 만족하는지 확인해야 합니다.

데이터 주권

데이터 주권 보장을 위해 <사이버 보안법> 은 핵심 정보 인프라 운영자에게 데이터 현지화의 원칙과 의무를 부과했으며, <데이터 보안법> 및 <개인정보 보호법>에 따르면 외국 사법 기관 또는 법 집행 기관에 모든 중국 경내에 저장된 데이터/개인 정보를 제공할 시 중국 관련 부서의 사전 승인을 받아야 합니다.

인터넷 정보 판공실이 발표한 <데이터 출국 안전 평가방법>(‘<방법>’은 2022년 9월 1일부터 공식적으로 시행되었습니다. <방법>은 데이터 처리자가 <방법> 시행 전에 수행한 데이터 출국 활동을 수정하여 <방법>의 최신 요구 사항을 충족할 수 있도록 6개월의 전환 기간을 제공하였습니다. <방법>이 발표되기 전에 인터넷 정보 판공실은 <개인 정보 출국 표준 계약 규정(의견 수렴 초안)>을 발표하였는데 이는 EU의 표준 계약과 같은 목적을 두고 있습니다. 국가 정보 보안 표준화 기술 위원회(TC260)는 <사이버 보안 표준 국경 간 개인정보 처리 활동 인증 기술 규범>을 발표해 국경 간 데이터 처리 활동에 대한 인증하는 기본 규범 시스템을 소개하였습니다.

<방법>의 규정에 따라 인터넷 정보 판공실이 주도하는 강제적 데이터 출국 안전 평가는 <방법>에서 규정된 적용하는 경우에 촉발됩니다

대조적으로 보면 보안 인증은 주로 동일한 다국적 기업 그룹의 자회사 또는 계열사 간의 빈번한 국가간 개인 정보전송 문제를 해결하기 위해 설계되었으며, 대부분의 데이터 처리자는 표준 계약에 의존한 국가간 데이터 전송 메커니즘을 원하는데, 이는 표준 계약이 인터넷 정보 판공실의 사전 승인에 의존하지 않기 때문입니다. 단, <방법>에 규정된 보안 평가의 문턱이 높지 않다는 점을 감안할 때 보안 평가는 실제로 국경간 데이터 전송을 위한 일반적인 메커니즘이 될 수 있습니다.

데이터 분류 등급

경제 및 사회 발전에서 데이터의 중요성과 조작, 파괴, 유출 또는 불법 획득, 불법 이용에 의해 국가 안보, 공공이익 또는 개인, 조직의 합법적인 권익에 미치는 피해 정도에 따라 <데이터 보안법>은 국가의 데이터 분류 및 등급 보호 제도 구축을 위한 전반적인 요구 사항을 제시하였습니다.

그 중 국가 핵심 데이터는 3단계 데이터 등급 시스템의 최고 레벨이며 가장 엄격하게 보호됩니다. 국가핵심데이터 목록은 중앙정부 부처가 결정할 것으로 보인다. 중요한 데이터는 분류 등급 시스템의 중간 레벨에 있습니다. 각 지역 및 부서는 본 지역, 부서 및 관련 산업/분야의 중요한 데이터의 특정 카탈로그를 결정하고 카탈로그에 포함된 데이터를 중점적으로 보호합니다. 각 데이터 처리자는 카탈로그에 따라 중요 데이터를 보유하고 있는지 여부와 파악된 중요 데이터의 특정 범위를 결정합니다. 그러나 지금까지는 초보적으로 참고 할수 있는 중요 데이터 식별에 관한 규정은 다음과 같습니다: 중요 데이터 식별에 관한 국가 표준 초안인 <중요 데이터 식별 지침>, 자동차 업계에서 발표한 중요 데이터 정의를 포함한 시행 규정인 <자동차 데이터 보안 관리에 관한 몇 가지 규정(시행)>, 산업 및 정보화 분야에서 발표한 관련 법규 초안인 <산업 및 정보화 분야 데이터 보안 관리 방법(시행)>(의견 수렴 원고)을 발표해 중요 데이터의 인정 기준을 초보적으로 제시했습니다. 이러한 점에서 전국적으로 핵심 데이터와 중요 데이터의 식별 목록을 결정하는 것은 여전히 갈 길이 멀 것으로 예상됩니다.

개인정보 보호 의무

<개인보호법>은 개인 정보 처리활동에 대해 전반적인 보호 요구를 제시하는데 이는 개인 정보의 전체 수명 주기를 포괄합니다. 개인정보 취급자에게 개인정보의 안전을 확보하기 위한 적절한 조직적 및 기술적 조치를 요구하는 기초상 민감한 개인정보 취급에 대해 보다 엄격한 의무를 부과합니다. 개인 정보를 처리하기 전에 처리자는 개인의 동의를 얻거나 동의 이외의 다양한 합법성 기반을 적용할 수 있도록 하는 등 개인 정보 처리의 합법성 기반을 확보했는지 확인해야 합니다. 개인정보의 처리할 때 처리자는 항상 적법성, 정당성, 필요성, 성실성의 기본원칙을 준수하고 법률의 관련 규정을 준수하며 동시에 자신의 준수를 증명하거나 잠재적인 분쟁이나 분쟁에 대처하기 위해 관련 처리활동 등의 기록을 보존해야 합니다. 그 밖에 <개인정보 보호법>은 데이터 주체에게 알 권리, 결정권, 휴대권, 불만권 등과 같은 실질적인 권리와 절차적 권리를 포함한 개인 정보와 관련된 포괄적인 권리를 데이터 주체에게 부여합니다.

법 집행과 처벌

중국의 기본 법률은 사이버 보안과 개인의 사생활 권익을 침해하는 행위에 대해 엄격한 형사, 행정 및 민사 책임을 규정하였습니다. 예컨대 <개인정보 보호법>에 따르면 개인정보를 불법적으로 처리하는 경우 개인정보 보호 업무를 수행하는 부서가 취할 수 있는 조치에는 불법소득 몰수,100만 위안~5,000만원 이하 또는 전년도 매출액의 5% 이하의 벌금을 부과하고 동시에 직접 책임자와 기타 직접 책임자에 대해서는 10만 위안 이상 100만 위안 이하의 벌금을 부과합니다.

앞서 언급한 규제 및 법 집행 동향 외에도 각급 법원과 검찰청은 개인정보 보호와 관련된 민형사 사건에서 보다 적극적인 역할을 하고 있습니다.

추세와 전망

중국 정부는 디지털 경제와 데이터 자산이 글로벌 경쟁 구도에서 다음 초점이 될 것이라고 굳게 믿고 있습니다. 따라서 국가의 사이버 공간 주권을 수립 및 수호 하는 것을 최우선으로 하고 있습니다.

향후 3~5년 동안 중국 관련 법률 시스템의 발전은 다음과 같은 추세를 보일 수 있음을 합리적으로 예측할 수 있습니다.

• 등급보호0의 전면 실시를 핵심 요구사항 중 하나로 하는 <사이버 보안법>은 견고하고 안전한 법률 규제와 법률 집행 기반 구축을 강화하고 국가 사이버 공간 주권의 핵심 전략과 이익을 수호할 것입니다.
• <데이터 보안법>에 의해 구축된 데이터 분류 및 등급 보호 기초 시스템은 최종 건설까지 점진적으로 개선되며 각 특정 산업, 분야 및 지역에서 포괄적으로 적용되고 시행될 것입니다.
• <개인정보 보호법>은 계속해서 더 많은 사법 및 법 집행 조치를 통해 개인 정보의 현지화를 달성할 것이며 궁극적으로 이 규제의 범위에 속하는 외국 기업에 대한 강제 집행을 실현할 것입니다.

위에서 언급한 중국 사이버 공간 보안 관련 법률의 발전 추세는 중국이 향후 일정한 기간 동안 더 많은 행정 처벌, 사법 심사 및 역외 법 집행에 더 노력할 것을 결정하였습니다. 따라서 중국의 다국적 기업과 중국과 무역을 하는 해외 회사는 관련 법률, 행정 법 집행 및 사법 실천의 발전에 세심한 주의를 기울이고 현지 변호사와의 상담 및 협력을 통해 관련 법률 요구 사항 및 발전상황 및 가능한 영향을 적시적으로 명확하게 이해하고 관련 업무에서 적절한 조정을 수행하여 컴플라이언스를 보장하거나 잠재적인 법적 리스크를 회피해야 합니다.

GLOBAL LAW OFFICE
35 & 36/F Shanghai One ICC, No.999
Middle Huai Hai Road, Xuhui District
Shanghai, 200031, China
전화：+86 21 2310 8288
이메일：shanghai@glo.com.cn

www.glo.com.cn

Back to top

인도

특정 법안과 규칙 및 부문 중심의 규정이 인도의 사이버 보안에 필요한 법적, 규제적 및 제도적 기준이 되고 있는데, 이를 통해 보안 기준을 일관되게 유지하면서 사이버 범죄를 정의하는 것은 물론 사고 발생 시 보고를 요구하고 있다.

개요

정보기술(IT)법 2000은 사이버 보안, 데이터 보호 및 사이버 범죄를 다루는 핵심 법안으로, 주요 특징은 다음과 같다.

• 전자 상거래 및 통신을 법적으로 인정하고 이를 보호한다.
• 전자 데이터와 정보 및 기록을 안전하게 보호한다.
• 컴퓨터 시스템의 무단 또는 불법 사용을 예방한다.
• 해킹, 서비스 거부 공격, 피싱(phishing), 악성 소프트웨어 공격, 신분 위조 및 전자 절도 등 ‘처벌이 가능한 범법 행위’를 식별한다.

정보기술법에 의거하여 기준이 마련된 규칙과 규정으로 다음과 같은 여러 가지 유형의 사이버 보안을 규제한다.

• 정보기술(인도 컴퓨터 긴급 대응 팀 및 기능 및 의무 수행 방식) 규정 2013(이하 “2013 규정”)에 의거하여 사이버 보안 사고에 관한 정보를 수집, 분석 및 보급하고 긴급 대응 조치를 취할 수 있도록 컴퓨터 긴급 대응 팀(CERT-In)이라는 새로운 행정 기구를 만들었다. 이에 따라 중간업체와 서비스제공업체 또한 사이버 보안 사고를 의무적으로 보고해야 한다.
• CERT-In이 20022년에 발표한 바 대로, 안전하고 신뢰할 수 있는 인터넷 환경 구축을 위해 정보 보안 실무, 절차, 예방, 대응 및 보고에 관한 지침이 2013 규정에 의거하는 기존의 사이버 보안 사고 보고 의무에 추가되었다.
• 정보기술(합리적인 보안 실무 및 절차와 민감한 개인 데이터 또는 정보) 규정 2011(이하 “SPDI 규정”)에 따라, 민감한 개인 데이터 또는 정보를 처리, 수집, 보관 또는 이전하는 회사들은 합리적인 보안 실무 및 절차를 실행해야 한다.
• 정보기술(중간업체를 위한 가이드라인 및 디지털 미디어 윤리 규정) 2021에 따라, 중간업체들은 자사의 컴퓨터 자원과 정보의 안전 확보를 위해 합리적인 보안 실무와 절차를 실행하여 ‘세이프 하버(safe harbour)’의 보호 기능을 유지해야 한다. 또한, 중간업체들은 사이버 보안 사고를 CERT-In에 보고해야 한다.
• 정보기술(보호가 필요한 시스템의 정보 보안 실무 및 절차) 규정 2018에 따라, 정보통신법에 의거하여 정의된 바 대로 시스템을 보호하고 있는 회사들은 구체적인 정보 보안 조치를 취해야 한다.

사이버 보안 관련 조항이 명시된 기타의 법규를 살펴보면, 사이버 공간에서 발생하는 범법 행위(예: 비방, 불법 행위, 형사 처벌 대상이 되는 협박 및 음란 행위)를 처벌하는 인도 형법전 1860, 기업의 전자 기록 및 시스템에 무단으로 접속하거나 불법적으로 조작하지 못하도록 안전하게 보호할 것을 요구하는 회사(관리 및 경영) 규정 2014 등이 있다. 또한, 규제 대상이 지켜야 하는 의무적인 사이버 보안 기준을 강제하기 위해 규제 기관이나 관련 기관에서 발표한 부문 중심의 규정도 있는데, 이러한 기관에는 인도중앙은행, 인도증권거래위원회, 인도국가보건국 등이 포함된다.

핵심 정보 인프라(기능이 훼손되거나 파괴되면 국가 안보, 경제, 공중 보건 및 안전에 막대한 피해를 줄 수 있는 컴퓨터 자원; 이하 “CII’)의 사이버 보안은 국가 핵심 정보 인프라 보호 센터(NCIIPC)에서 발표한 가이드라인을 통해 규제한다.

정보통신법에 의거하여, 정부는 보호가 필요한 시스템의 CII 시설에 영향을 주는 컴퓨터 자원을 고지하여 보호가 필요한 시스템을 다루는 회사들의 사이버 보안 의무를 명시할 수 있다.

지정된 CII 부문에는 교통, 전기통신, 은행과 금융, 전력, 에너지 및 시민들이 언제라도 접근할 수 있는 전자 거버넌스(e-governance)가 포함된다. 이러한 부문의 경우, 관련 기관에서는 특정의 컴퓨터 시스템을 ‘보호가 필요한 시스템’으로 고지할 수 있다. 해당 부문을 담당하는 규제 기관이나 관련 기관(중앙전력청 포함)에서도 사이버 보안 및 CII에 관한 규정과 가이드라인을 만들었다.

제도적 장치

사이버 보안은 특정 부문에 한정된 문제가 아니기 때문에 사이버 보안에 필요한 제도적 장치는 정부 부처 곳곳에 복잡하게 얽혀 있지만, 이중 몇몇 부처와 전담 기구에서 핵심적인 역할을 수행한다. 예를 들면, 전자정보기술부(MeitY)에서는 IT, 전자 및 인터넷과 관련이 있는 정책을 다룬다(사이버 법 포함). 사이버 사고 대응 활동에 필요한 협조와 관련 업무 처리할 수 있도록 CERT-In을 전담 자문기구로 지정했다.

사이버 보안을 포함하는 국내 보안 문제는 내무부에서 담당한다. 이를 위해 사이버 범죄, 사이버 보안 및 모니터링을 전담하는 팀으로 구성된 ‘사이버정보보안국’을 만들었다. 2018년에는 사이버 범죄 퇴치를 위해 ‘인도 사이버범죄 협업센터’도 문을 열었다. CII의 자문 기구인 NCIIPC는 국가보안자문위원이 관리한다. 국가 사이버 보안 책임자(Co-ordinator)는 총리실의 감독을 받으면서 연방 차원에서 여러 관련 기관들과 협조한다.

보안 조치

연방 차원에서, 정보통신법에는 민감한 개인정보를 취급하는 주체가 보안을 책임지도록 명시되어 있다. SPDI 규정에 따라, 기업들은 경영, 기술, 운영 및 실무 분야에서 보안 관리 조치를 취해야 한다. 이러한 규정은 정보 보안 관리에 관한 ISO/IEC 27001 국제 표준에 의거하고, 최소한 연간 1회 또는 처리 방식 및 컴퓨터 자원을 대대적으로 업그레이드할 때, 정부에서 승인한 독립적인 감사기관의 확인을 받아야 한다.

부문별 규제 기관과 자문 기구 또한 보안 조치를 정해 놓고 있다. 인도중앙은행은 은행에 적용되는 기준을 마련했고, 여기에는 사고 처리와 보고에 필요한 장치, 사이버 위험 관리와 지속적인 시스템 감시 및 고객 정보 보호에 필요한 준비 작업이 포함된다. 인도중앙은행은 은행들이 ISO/IEC 27001과 ISO/IEC 27002를 반드시 준수하도록 지시하고 있다.

비(非)은행권 금융기관들도 이와 유사한 기준을 적용한다. 인도증권거래위원회는 주식 거래, 예치 및 청산 업무를 수행하는 회사들은 ISO/IEC 27001, ISO/IEC 27002 및 COBIT 5와 같은 기준을 따르도록 요구하고 있다.

사이버 사고 보고

2013 규정에 따라, 관련 주체들은 합리적인 시간 이내에 사이버 사고를 CERT-In에 보고해야 한다. 이러한 사고에는 서비스 거부 공격, 피싱 및 악성 소프트웨어 사고, 웹사이트 변조 및 네트워크나 웹사이트를 대상으로 하는 스캐닝(scanning)이 포함된다.

2022년 4월, CERT-In은 2013 규정에 의거하는 의무를 변경하는 새로운 지침을 발표했는데, 여기에는 6시간 이내에 사이버 보안 사고를 보고하거나, 시스템 시계를 정부 서버에서 제공한 시간에 맞추거나, 보안 로그를 인도에서 관리하거나, 추가적인 고객 정보를 저장하는 일이 포함된다. 또한, 2021 규정에 따라 중간업체들은 상당한 주의 의무의 일환으로 보안 위반 사항을 CERT-In에 통보해야 한다.

부문별로 여러 가지 보고 의무 또한 적용된다. 예를 들면, 금융 서비스 부문의 경우에 모든 은행들은 사고 감지 후 2~6시간 이내에 보고해야 한다. 마찬가지로, 보험회사들은 사고 감지 후 48시간 이내에 보험규제개발청에 사이버 보안 사고를 보고해야 한다. 전기통신 사업자들은 기술 관련 시설에 대한 침입, 공격 및 사기 행위를 모니터링할 수 있는 시설을 구축하고, 이러한 행위들을 전기통신부에 보고해야 한다.

사이버 범죄

절도, 사기, 위조, 명예 훼손 및 기물 손괴와 같은 전통적인 범법 행위(이들 모두 인도 형법전 1860에 명시되어 있다)는 사이버 범죄에 포함될 수 있다. 정보통신법에서는 시스템 조작(tampering), 해킹, 음란한 정보 공개, 보호가 필요한 시스템에 대한 무단 접근, 비밀유지 및 개인정보보호 위반, 가짜 디지털 서명 인증서 발급 등 새로운 형태의 범법 행위를 다루고 있다. 이메일을 통한 협박 메시지 발송, 명예를 훼손하는 메시지 발송, 전자 기록 위조, 사이버 사기, 이메일을 통해 사용자의 정보를 가로채는 스푸핑(spoofing), 웹재킹(web-jacking) 및 이메일 악용 또한 처벌을 받을 수 있는 범법 행위에 해당한다.

향후 전망

연방 정부는 국가 사이버 보안 책임자를 통해 새로운 국가 사이버 보안 전략을 수립하는데, 인도의 사이버 보안 시스템의 부족한 부분을 보완하고 전반적인 사이버 보안 정책 기조를 강화하는 것이 그 목적이다.

또한, 인도 정부는 국내외 디지털 및 기술 환경의 발전 속도에 맞춰 정보통신법 개정을 검토하고 있다. 이렇게 되면, 기존의 사이버 범죄, 사고 보고, 보안 측정 및 기준 체계에도 변화가 있을 것이다.

IKIGAI LAW
New Delhi | Bengaluru
이메일：contact@ikigailaw.com

www.ikigailaw.com

Back to top

인도네시아

인도네시아의 여러 정부기관과 기업들은 새롭게 부상하고 있는 미래 기술 ‘메타버스’에 많은 관심을 보이고 있다. “메타”(meta; 넘어서는)와 “유니버스”(universe; 우주)의 의미를 갖는 메타버스는 인터넷을 통한 사회적 연결성을 극적으로 확대하는 것은 물론, 관광과 문화 탐구에서부터 양방향 은행, 소비자 판매, 업무 소통, 교육 및 일상생활에 이르기까지 다양한 분야에서 가상의 3D 경험을 제공한다.

그러나 디지털 세상과 현실 세계를 하나로 통합하는 메타버스에도 논란의 여지가 있다. 개인의 실제 모습과 동일한 캐릭터가 가상의 메타버스에서 활동하려면 개인 식별에 필요한 생체 정보 수집이 필요하기 때문이다. 본질적으로 잠재적 위험에 취약한 생체 정보를 입수하는 것도 민감한 문제이지만, 인도네시아의 규제 체계는 사이버공격에 대한 개인정보보호 및 안전장치에 국한되어 있다.

이번 기사에서, 저자들은 기존의 규제 체계와 최근에 인도네시아 하원에서 통과된 개인정보보호법(PDP법)에 대해 살펴보면서 메타버스가 보편화되는 경우에 생체 정보에 대한 한층 구체적인 규제가 필요한 것은 아닌지 들여다보고자 한다. 본 기사를 작성할 무렵에 개인정보보호법은 대통령의 승인을 기다리고 있었고, 승인되지 않더라도 30일 후에는 자동적으로 효력을 발생하게 된다.

메타버스의 출현

코로나19가 기승을 부리면서, 많은 기업들은 어떻게 하면 사업을 효율적으로 수행할 것인지에 대해 다시 검토하기 시작했다. 예상과 다르지 않게 대다수의 업체들이 비디오 컨퍼런스, 웨비나(webinar) 및 기타 여러 가지 형태의 인터넷 소통 등 디지털 미팅 플랫폼을 이용할 수 있는 온라인에 눈길을 돌렸다. 이러한 방식에 어느 정도의 장점이 있는 것은 분명하지만, 현실 세계에서 한층 탄력적으로 경험할 수 있는 내용과 비교하면 제한적인 부분이 있었다. 메타버스가 등장하면서 이러한 문제 해결에 필요한 형이상학적 차이(gap)가 해소된 것은 물론, 물리적으로 참여하지 않더라도 자신을 대리하는 아바타를 통해 당사자들이 한층 효과적으로 교류하고, 미팅에 참석하고, 행사에 동참할 수 있는 물리적으로 복제된 공간을 통해 가상 세계에서 현실 세계와 동일하게 활동할 수 있게 되었다.

다른 국가들과 마찬가지로, 인도네시아에서도 이러한 메타버스를 통해 국가 경제를 개선하고 활성화시킬 수 있는 많은 기회가 창출될 수 있기 때문에 이해 당사자들은 사업 활동을 강화하기 위해 이미 이러한 가상 세계에 대한 연구를 시작했다. 최대 국영 은행 중 하나인 Bank Rakyat Indonesia는 메타버스 생태계 개발에 필요한 양해각서를 체결했다. 이를 통해 고객들은 가상의 은행 서비스를 이용할 수 있는 새로운 기회를 접할 수 있다. 또한, 개발 과정에 비용이 수반되기는 하겠지만 메타버스 사업은 물리적 사업장 구축에 소요되는 비용 또한 절감할 수 있다.

한편, 최근 인도네시아의 관광창조경제부 장관은 인도네시아 관광을 전세계적으로 홍보하고 국내 업체들의 자사 제품 판매가 가능한 가상 공간이 있는 메타버스 플랫폼 “WonderVerse”를 출시하기 위한 협업계획서에 서명했다.

메타버스는 지금도 계속 새롭게 진화하고 있으므로 완성된 모습이라 할 수 없다. 아직은 개발 초기 단계이기 때문에 최적의 생태계 구축을 위해 서로 경쟁하고 있는 기술 관련 업체들 또한 자신들이 생각하는 완성된 메타버스의 모습을 찾아내기 위해 노력하고 있다. 가상 세계에 참여할 수 있는 방법은 많지만 접근 통일성 문제는 여전히 민감한 문제로 남아 있다. 승인을 받은 사람만 시스템에 접근할 수 있게 하려면 다양한 유형의 데이터를 제출하여 사용자 프로파일(생체 정보 포함)을 등록해야 한다.

생체 데이터 규정

생체 정보에 대한 문제를 어느 정도 다루고 있는 인도네시아 법안으로는 시민 관련 행정에 대한 제23호 법(2006)이 있는데, 2013년 제24호로 개정되었다. 여기에는 생체 정보에 해당하는 지문과 안구 홍채처럼 반드시 보호해야 하는 여러 유형의 개인정보가 기술되어 있다. 그러나, 이 법에는 생체정보에 필요한 보호 장치가 구체적으로 정의되어 있지 않다. 최근까지도, 심지어 2016년 제11호 법으로 개정된 전자정보 및 거래에 관한 제11호 법(2008)에도 생체정보를 구체적으로 명시한 규정이 없었다.

최근에 거론되고 있는 개인정보보호법은 개인정보를 한층 중요하게, 엄중하게 그리고 통합된 방식으로 보호하도록 규정하고 있다는 측면에서 매우 중요하다. 개인정보보호법에서는 개인정보를 일반 정보와 구체적인 정보로 분류하고 있는데, EU의 개인정보보호규정(GDPR)이 생체정보를 “민감한 정보”로 분류하고 있는 것과 마찬가지로 생체정보를 구체적인 개인정보로 명시하고 있다.

개인정보보호법에서는 생체정보를 안면 인식이나 지문 감별처럼 개인의 고유성을 식별하는 물리적, 생리적 또는 행동적 특징과 관련한 정보로 정의하고 있다. 철저하고 관리해야 하는 개인의 고유성 및/또는 특징에 대해서도 기술하고 있고, 여기에는 지문 기록, 망막 스캔 및 DNA 샘플이 포함되나 이에 국한되지 않는다.

사이버 취약성

식별에 필요한 생체정보는 패스워드 기반의 방법보다 더 안전한 것으로 평가를 받고 있지만, 여전히 민감하고 매우 민감한 정보이기 때문에 사이버 위협에 취약한 개인의 프로파일과 특성이 노출될 가능성이 많다. IT 시스템을 통한 사이버 공격이나 접속 가능 여부에 의한 단순한 내부 위협 등 생체정보를 해킹할 수 있는 방법이 많고, 기타 여러 가지 가능성도 배제할 수 없다. 예를 들면, 고해상도 디지털 사진을 이용하여 얼굴 인식 시스템을 조작할 수 있다.

개인정보보호법 제27조와 제28조에 따르면, 개인정보 관리 주체는 법적으로 유효하고 투명하면서 제한적이고 구체적인 방식으로만 개인정보를 처리해야 한다. 이는 처리 목적에 따라 개인정보 수집이 제한되어야 하고, 수집 시점에 분명하게 결정해야 한다는 것을 의미한다.

개인정보 처리는 관련 법규와 규정에 따라 실행되어야 하고, 정보 당사자에게는 자신의 개인정보가 어떻게 처리되는지 소상하게 알려주어야 한다. 또한, 제34조에서는 개인정보 관리 주체는 정보 처리가 정보 당사자에게 큰 위험을 초래할 수 있는 경우에 개인정보 보호에 미치는 영향 또한 평가해야 한다.

제58조에 의거하면, 정부는 대통령이 직접 지정하고(또한 이와 관련한 책임을 부담하는) 데이터 보호 기관 설립을 통해 관련 법에 따라 개인정보를 보호하는 역할을 수행해야 한다. 해당 기관은 개인정보 보호, 감독에 필요한 정책과 전략 수립, 행정법 집행 및 이와 관련한 분쟁 해결 업무를 수행해야 한다.

정리하자면, 정보보호법에는 이전의 정책들보다 훨씬 구체적인 사항들이 명시되어 있다. 특히 기업들이 72시간 이내에 위반 사항을 정보 당사자 및 관계 당국에 통지하지 않으면 연간 소득이나 수익의 최대 2%에 해당하는 벌금이 부과된다. 회사 규모가 큰 경우에는 2%의 벌금이 적다고 생각할 수 있지만, 생체정보의 민감한 특성을 고려하여 기업들은 이전의 통지 기간 14일에 비해 한층 짧아진 기한을 염두에 두고 신속하게 조치를 취해야 할 것이다.

향후 전망

실제로, 메타버스는 인도네시아 디지털 경제 강화의 해결 방안 중 하나가 될 수 있다. 그러나, 엄청난 속도로 발전하는 지금의 기술 수준만큼 사이버 공격 또한 줄어들지는 않을 것으로 보인다. 메타버스의 핵심 요소인 생체정보는 특별한 관리가 필요한 매우 민감한 고위험 정보이고, 앞으로도 그러할 것이다. 개인정보보호법은 생체정보 보호에 필요한 한층 구체적인 규정을 명시한 것으로 보이지만, 그 처리 과정은 엄격하고 지극하 제한된 방식으로 진행되어야 한다. 지금과 같은 사업 환경에서는 첨단 기술 활용이 더욱 늘어날 것이므로, 현행 법규와 규정이 최전방에서 과연 수문장 역할을 제대로 수행할 것인지는 계속 지켜봐야 할 부분이다.

개인정보보호법에서 정보 보호 주체가 되는 기관의 설립을 강제하고 있지만, 이러한 기관이 완전히 독립적으로 활동할 수 있는지 여부는 지켜봐야 할 것이다. 생체정보를 독립적으로 모니터링하면서 미래의 사이버 위협을 예방할 수 있도록 생체정보의 확보, 처리, 감독 및 파기 기준을 규제하는 전담 기구의 설립도 충분히 검토할 가치가 있을 것이다.

마지막으로, 개인정보가 불법적으로 유출되면 그 피해를 복구하는 일이 사실상 불가능하기 때문에 법 집행 기관에서 강력한 억제 효과를 창출할 수 있도록 관련 법에 따라 개인정보 위반 사항을 조사하고 처벌할 수 있는 능력과 자격을 충분히 갖추는 것 또한 매우 중요하다.

MELLI DARSA & CO
Indonesian member law firm of PwC global network
World Trade Center III
Jl Jenderal Sudirman Kavling 29-31, Kuningan
South Jakarta – 12920, Indonesia
전화：+62 21 521 2901
이메일：id_contactus@pwc.com

www.pwc.com/id

Back to top

대만

대만의 주요 정부 기관과 대기업들의 웹사이트가 사이버 공격을 받는 일이 빈번해지면서 행정원(行政院; 내각에 해당)은 사이버보안을 감독하고 규제하는 주무 부처인 디지털 발전부(MoDA)를 출범시켰다.

8월 27일부터 업무를 시작한 MoDA는 전반적인 디지털 발전 상황을 감독하는데, 특히 전자상거래와 전자서명, 전자정부 및 데이터 관리가 포함된다.

사이버보안법

대만의 사이버보안관리법은 사이버 보안의 기준이 되는 1차적인 법안이다. 그러나 이 법은 정부 기관 및 특정의 비정부 기관(필수 인프라 제공업체, 국영기업 및 정부에서 후원하는 재단 포함)에만 적용된다.

금융기관이나 전기통신사업자와 같은 특정 산업 부문에 적용되는 특정의 사이버 보안 요건 이외에, 모든 비정부 기관에 일반적으로 적용되는 사이버 보안 요건은 따로 없다.

이 법을 준수해야 하는 모든 기관들은 자체 사이버 보안 책임 ‘레벨’에 따라 사이버 보안 유지 계획을 수립하여 실행하고, 사이버 보안 사고에 필요한 보고 및 대응 장치를 마련해야 한다.

사이버 보안 사고는 발견 후 1시간 이내에 보고해야 하고, 심각성 정도에 따라 피해 파악이나 복구에 필요한 모든 조치는 발견 후 36~72시간 이내에 완료해야 한다.

또한 이 법은 관련 업계를 담당하는 중앙 정부 기관의 감독을 받는 특정 비정부 기관에 대한 사이버 보안 관련 규제 가이드라인을 정할 수 있는 권한을 해당 정부 기관에 부여하고 있는데, 정보 보안 관리에 관한 ISO/IEC 27001 국제 표준에 의거하는 관련 요건을 참고하여 권고한다.

사이버 보안 안전장치 강화를 위해, 행정원에서는 정부 기관, 공립학교, 국영기업 및 행정 법인이 국가 사이버 보안에 위험을 초래할 수 있는 정보 및 통신기술 제품을 이용하는 것을 금지하는 가이드라인을 발표했다. 정부 기관 또한 자신들이 감독하는 필수 인프라 제공업체 및 정부에서 후원하는 재단으로 하여금 이러한 가이드라인을 준수하도록 해야 한다.

가이드라인 3항 및 4항에 의거하여, 행정원은 관련 주체가 조달 또는 이용하지 않아야 하는 정보 및 통신기술 제품의 금지 목록을 발표할 수 있다.

전광판(electronic signage)과 관련한 최근의 해킹 사고 이후, 경제부(經濟部)에서는 중국에서 개발한 소프트웨어를 전광판에 사용하는 것을 금지하고 중국에서 생산한 전광판을 사업자가 사용하지 않도록 요구하는 사업장 전광판의 사이버 보안 관리에 관한 가이드라인을 발표했다.

사이버 범죄

사이버 범죄 행위는 대만의 여러 법을 위반하는데, 여기에는 다음과 같은 법이 포함되나 이에 국한되지 않는다.

• 형법 제358조~제362조는 특정 유형의 사이버 범죄를 금지하고 있다. 정당한 사유 없이 타인의 컴퓨터 및/또는 부속장치를 해킹하는 행위, 타인의 컴퓨터 및/또는 부속장치에 저장된 전자기(電磁氣) 기록을 정당한 사유 없이 입수, 삭제 또는 변경하는 행위(예: 피싱), 컴퓨터 프로그램이나 기타 전자기 기술을 이용하여 정당한 사유 없이 타인의 컴퓨터 및/또는 부속장치를 방해하는 행위(예: 서비스 거부 공격이나 악성 소프트웨어) 및 이러한 위법 사항을 구체적으로 실행하도록 컴퓨터 프로그램을 제작하는 행위.
• 기타 관련 조항: 제210조(위조 행위), 제309조~제313조(평판 및 신용을 해치는 행위), 제315조 또는 제318조 1항(프라이버시 위반 행위), 제393조 3항(사기 행위), 제346조(갈취 행위) 및 제352조(재산 파괴 및 파손 행위)
• 한편, 개인정보보호법 제41조와 제42조는 개인정보 침해 행위를 다루고 있다. 저작권법 제92조와 93조는 저작권 침해에 대처하고 있다. 전기통신법 제56조는 타인의 전기통신 시설에 대한 무단 접근이나 사용을 금지하고 있다. 통신보안 및 감시법(監視法) 제24조는 불법적인 통신 감시를 금지하고 있다.

해당 행위와 관련한 실제 사실에 따라, 사이버 보안에 피해를 주거나 위협하는 행위는 위에 명시된 하나 이상의 범죄 행위에 해당하는 것으로 간주한다.

범죄 행위는 대만의 영토 안에서 및 대만 법원에 관할권이 있는 곳에서 발생하는 행위 및/또는 사람이나 사이버 범죄의 결과가 나타난 장소에 적용된다.

개인정보보호

개인정보보호법은 대만에서 이루어지는 개인정보의 수집과 처리 및 이용을 규제하는 일반법이다.

정보 위반 사항 통지와 관련하여, 동법 제12조는 개인정보가 도난, 공개, 변경 또는 침해되는 사고가 발생하면 정보 관리 주체는 사고 조사가 끝나면 피해를 입은 정보 당사자에게 시의 적절하게 통지해야 한다고 명시되어 있다.

정보 보안 의무와 관련하여, 동법 제27조 1항은 개인정보가 도난, 변경, 손상, 훼손, 분실 또는 공개되지 않도록 적절한 조치를 취하도록 요구하고 있다.

또한, 동법 제12조 2항의 시행 규정에는 정보 관리 주체가 비례 원칙에 의거하여, 즉 관련 개인정보의 내용이나 규모에 기반하여 채택을 검토할 수 있는 기술적이고 체계적인 조치가 명시되어 있다.

엄밀하게 말하면, 개인정보보호법이나 시행 규정 어느 것도 정보 관리 주체에게 특정의 보안 조치를 취하도록 강제적으로 요구하지는 않는다. 특정의 보안 조치를 채택할 것인지 여부는 전적으로 정보 관리 주체의 재량이다.

그럼에도 불구하고 동법 제27조 1항에 따르면, 중앙 정부의 관할 기관들은 하나 이상의 산업 부문을 지정하여 감독하면서 이들에게 개인정보 파일에 필요한 보안 유지 계획을 수립하도록 요구할 수 있다.

관련 부처 및 위원회가 비정부 기관에 대한 감독 업무를 실행할 수 있도록 2020년부터 행정원은 정기적인 협업 회의를 주관하고 있다.

2021년 2월 3일자 회의 결의안을 보면, 관계 부처 및 위원회는 정보 위반 사항을 지속적으로 보고하여 여기에 필요한 일정을 정할 수 있도록 자신들이 감독하고 있는 특정 산업 부문에 필요한 기존의 정보보호 규정을 수정하고, 이를 통해 비정부 기관들이 보고 양식을 이용하여 72시간 이내에 정보 위반 사항을 중앙 정부의 관할 기관에 보고하도록 명시적으로 요구했다.

2021년 8월, 행정원은 관련 부처 및 위원회가 자신들이 감독하고 있는 특정 산업 부문에 필요한 기존의 정보보호 규정을 수정하고, 개인정보를 수집, 처리 또는 이용하기 위해 IT 시스템을 활용하는 비정부 기관들이 정보 보안에 필요한 추가 조치를 취하도록 요구한 개인정보보호 실행에 관한 협업 실무 가이드라인을 발표했다.

이 가이드라인은 관련 부처 및 위원회가 비정부 기관의 규모, 이들이 갖고 있는 개인정보의 규모나 내용, 정보 위반으로 인한 정보 당사자가 입을 피해 가능성, 국가간 데이터 이전의 빈도 및 기타 요소들을 고려하여 자신들이 감독하고 있는 특정 산업 부문에 필요한 새로운 정보보호 규정의 필요성에 대해 검토할 것을 요구하고 있다.

기업 지배구조

대만의 경우, 이사들은 회사에 대해 신인의무(信認義務; fiduciary duty)가 있고 이를 위반하면 책임져야 한다. 그러나, 회사가 사이버 보안 사고를 예방하거나, 완화하거나, 관리하거나 또는 대응하지 못했더라도 이를 근거로 회사의 이사들이 신인의무를 위반한 것으로 판단할 수는 없다.

오히려, 사고가 이사회에 보고되었는지, 이사회에서 조치를 취할 필요가 있었는지 여부에 따라 달라진다.

또한, 대만 법에서는 회사에서 최고정보보호책임자(CISO)를 지정하도록 요구하지 않고 있다(금융기관과 같은 특정 산업 부문은 예외).

그러나, 현재 금융감독위원회는 대만증권거래소(TWSE) 또는 타이페이거래소(TPEx)에 상장된 회사들은 2022년 12월 31일까지 정보 보안 정책을 실행하는 CISO를 지정하고 최소한 임원 1인과 직원 2인으로 이루어진 정보 보안 전담 부서를 신설하도록 요구하고 있다. 납입자본금이 100억 대만 달러(3억 2,520만 달러) 이상인 회사, 전년 말일 기준으로 TWSE Taiwan 50 지수를 구성하는 회사 및 주로 전자상거래를 수행하는 회사들도 여기에 해당한다.

기타 TWSE 또는 TPEx에 상장된 회사들은 이보다 조금 여유가 있는데, 과거 3년 동안 손실이 발생하지 않았거나 주당 순가치가 주당 액면가보다 적지 않다면 2023년 12월 31일까지 CISO 1인과 정보 보안 전담 직원 1인을 지정해야 한다.

LEE AND LI
8/F No.555, Sec. 4, Zhongxiao E. Rd.
Taipei – 11072, Taiwan
전화: +886 2 2763 8000
이메일: attorneys@leeandli.com

www.leeandli.com

Back to top