아시아 국가별 사이버 보안법 비교 – 중국

우리는 지금 어려운 시기에 처해있습니다. 코로나19로 인하여 해외여행 차수를 줄이고 수많은 나라와 도시를 봉쇄하고 사회적거리를 유지하기 위하여 우리 중 많은 사람들은 외출을 줄이고 집에서 온라인 작업, 생활과 오락을 하게 됩니다. 처음으로 우리는 이토록 인터넷 서비스에 의존하게 되고 인터넷을 통해 자신을 철저하게 노출하게 되며 또한 우리는 개인 데이터 및 개인정보보호에 대해 신중하게 고려하게 됩니다.

기업들은 또한 특별히 개인 데이터 이용 및 온라인 개인정보보호 규정의 컴플라이언스 리스크에 대해 경계하고 있습니다. 전통적인 제조 대기업에 대해 유럽연합( EU)에는 <일반 데이터 보호 규정>(GDPR)이 있고 셰계 웹의 발원지이자 많은 인터넷 거물들의 근거지인 캘리포니아에는 <캘리포니아 소비자 보호법>( CCPA)이 있읍니다. 그러면 유구한 역사가 있는 문명고국이고, 현재에는 혁신 제조기술이 신속적으로 발전하는 중국의 데이터 보호 입법은 어떤가요 ?

법규체계

목전 중국은 데이터 보호에 대한 각 측면을 포괄하는 종합적인 법을 제정하지 않았고 또한 그럴 입법계획도 없습니다. 2019년 12월, 전국 인민대표대회 상무위원회가 발포한 2020년 입법계획에는 <개인정보보호법 >과 <데이터 보안법> 초안이 포함되였습니다. 이는 주요하게 중국이 이러한 데이터 보호 메커니즘으로 매 시민에게 중요한 개인 데이터 및 온라인 개인정보와 소위 정부 이익과 관련된 중요 데이터를 보호 하기 함에 있습니다.이러한 이중 목적의 입법경로는 글로벌시대에 있어서 보수적인 선택입니다. 그러나 몇몇 주요 서구 국가에서 포퓰리즘이 입증하듯이 ,현재 세계화의 붕괴하에서 이는 전혀 보수적으로 보이지 않을수도 있습니다.

현재 데이터 보호 메커니즘에 따르면, 데이터 보호에 대한 규정 및 요구는 각 법원과 일부 국가 차원에서 권장되는 운영 표준 전반에서 체현되고 있습니다. 중국 데이터 보호에 관한 법률 메커니즘은 구체적으로 아래 네가지 측면에서 체현됨:

. <사이버보안법> 및 그 시행 규정 및 표준을 포함한 일반 데이터 보안 요구 사항

. <국가 기밀 보호법> 및 그 시행 규정 및 규칙을 포함한 국가기밀 데이터 보호

. <민법>, <소비자 권익 보호법> 및 관련 국가 표준을 포함한 개인정보보호

. 업종별 규제, 부문규장(부령), 지역법규를 포함한 중요 데이터 보호

규제 기관

“이중 목적” 특성에 의하면 중국 특성의 데이터 보호법 메커니즘에 의하면 중국은 데이터 보호 계획에서 두가지 기능을 관리하기 위하여 둘 이상의 규제 기관이 필요됩니다. 아래의 다섯가지 주요 규제기관은 데이터 보호를 감독합니다:

. 중국 사이버 행정국(CAC)은 입법활동을 주도하고 집법활동을 지도 및 협조함.

. 공안부(MPS)는 데이터 안전 범죄 및 네트워크 보안 위반에 대한 치안 업부를 담당함

. 국가 시장감독국(SAMR)은 시장에서 개인 데이터 보호와 관련된 활동을 감독함, 예컨대 소비자 개인정보 불법 침입

. 산업정보기술부(MIIT)는 전기통신 서비스중 데이터 보호 담당함

. 기타 부처는 각자 규제하는 업종내 데이터 보호 컴플라이언스를 감독함

일반 규정:개인 데이터 및 정보 보호

적법성 , 정당성 및 필요성의 원칙, 법률은 일반적으로 네트워크 운영업체가 정당한 사유와 입증 가능한 필요성을 가지고 개인정보와 관련된 사업을 합법적으로 진행하도록 요구합니다. 적법성, 정당성 및 필요성 기준은 국가 정보 보안 표준화 기술위원회(TC260)가 발표한 여러가지 추천성적인 국가 기준에서 찾아볼수 있습니다, 예컨대 <정보안전기술 개인정보안전규범>

동의는 필수적입니다. 이러한 원칙하에서 모든 네트워크 운영업체는 반드시 개인정보수집 및 이용에 관한 자체 규칙과 정책을 공표하고 개인정보주체에게 수집의 목적, 수단 및 범위를 고지하여야 합니다. 어떠한 민감한 개인정보가 수집되기전에 네트워크 운영업체는 반드시 개인정보주체가 완전히 인지한 기초상에서 명시적 동의을 취득하여야 합니다. 예컨대, 민감한 개인정보는 인간 안면 및 은행 계좌번호를 포함합니다.

전반 개인정보보호 생명 주기에 대한 요구 개인정보보안에 대한 요구는 전반 생명 주기를 포함하는데 이는 수집으로부터 저장, 이용, 처리 ,공유, 전송, 삭제 및 페기로의 과정을 포함합니다. 각 생명 주기 단계의 핵심 요구 사항은 아래에 강조되여 있음:

. 저장:네트워크 운영업체는 반드시 업격히 적법성 , 정당성 , 필요성과 인지 및 동의의 원칙을 준수하여야 합니다

. 이용 및 처리: 수집전 동의한 법위를 초과하여 개인 데이터를이용하고 처리하여서는 안됩니다. 가령 해당 사전 동의 법위를 초과할 필요가 있을 경우 , 네트워크 운영업체는 반드시 해당 초과 법위에 대한 추가 동의를 획득하여야 합니다. 주목할만한 경우는 데이터를 외주가공할 경우, 네트워크 운영업체는 반드시 상기 요구 사항이 엄격히 준수되도록 하여야 합니다.

. 저장:개인 데이터 저장은 오직 동의된 목적 달성의 최단 기간내에만 허용됩니다. 개인 데이터가 정보 식별을 거치지 않고 개인 식별 지표와 식별을 거치지 않은 익명 데이터가 분리되여 저장되는것을 권장합니다. 민감한 개인 데이터 저장에는 암호화를 권장합니다.

. 공유 및 전송: 네트워크 운영업체는 반드시 기타 상대에게 개인 데이터를 공유 및 전송하기전에 사전에 추가 동의를 획득하여야 합니다. 네트워크 운영업체는 또한 이러한 공유 및 전송전에 보안 영향 평가를 수행할수 있습니다. 공유 및 전송 기간 및 그 이후 네트워크 운영업체는 반드시 개인 데이터 수신자의 책임과 의무를 명확히 하고 수신자들의 행위를 합리하게 감독하여야 합니다

. 데이터 주체의 권리 존종: 인테넷 운영업체는 반드시 데이터 주체의 요구를 존중하고 응하여 그들의 동의를 철회하고, 개인 데이터를 수정 혹은 삭제하며, 개인정보주체는 네트워크 운영업체에게 저장된 데이터 사본을 요구하고 계정 등록을 취소할수 있습니다.

일반 규정: 중요 데이터

개인 데이터 보호와는 달리 중요 데이터 보호는 중국 데이터 보호 입법체계 “이중목적”의 하나로서 아직도 초기단계에 처해있습니다. <사이버보안법> 과 지역법규에 따른 높은 수준의 참고문헌 및 원칙만이 제정되여 있습니다. 전문 규정, <데이터 보안 관리 방법>(초안)은 여전히 초안 형태입니다.

중요 데이터 보호에 대한 지역화 요구는 불명확합니다. <사이버 보안법>에 따라 관건 정보 기초시설 운영업체(CIIO)는 중요 데이터 수집 및 저장을 지역화하여야 합니다. 데이터 지역화 요구는 중국내 중요 데이터의 지역적 저장과 필요시 국가간 이러한 정보의 전송 및 적극적인 보안 평가및 승인을 포함합니다.

관건 정보 기초시설 운영업체는 또한 처리과정에 중요 데이터를 백업하고 암호화하여야 합니다. <데이터 보안 관리 방법> (초안)은 지역화 요구를 이행하는데 있어서 <사이버 보안법>보다 상당히 상세한 내용을 제공하려고 시도합니다. 그러나 <사이버 보안법>이거나 <데이터 보안 관리 방법>(초안)은 “관건 정보 기초시설 운영업체” 및 “중요 데이터”에 관한 명확한 단서나 판단기준을 제공하지 않았습니다. 상기 기본법과 규정의 이런 모호성으로 하여 일부 후속 헹정법규 및 부문규장 초안은 혼란스럽게 지역화 요구가 기타 종류 데이터에 대한 적용 가능성을 확대하거나 관건 정보 기초시설 운영업체의 정의를 확대하려는 시도를 하였으나 이러한 노력은 긍정적인 결과를 가져오지 못하였습니다.

주목할만한것은 일부 부처와 지역 정부는 산업이거나 관할지역내 중요 데이터 보호 범위를 이미 결정하거나 혹은 결정하기 등장하였습니다. 예컨대, 특별히 확정된 중요 데이터는 인류 유전자 자원, 인구 건강 정보, 지리조사정보, 개인신용정보및 개인 재무 정보를 포함합니다. 우리는 더욱 많은 산업과 지역 정부들이 관할구역내 중요 데이터의 특성을 파악하기 위해 같은 노력을 할것을 기대합니다.

최근 핫한 규제 주제

APP： 2019년에는 여러 정부 부처가 연합하여 불법 APP 운영을 단속하는 집법활동에 가담하였습니다. 사이버 행정국, 산업정보기술부, 공안부와 시장감독관리총국은 <App의 개인정보 불법 저장 및 이용에 관한 특별 관리 시행 공고>를 공표하였습니다. 이번 단속은 2019년 내내 진행되였고 부적절한 개인정보 조항, 개인정보 수집 및 이용 범위에 대한 부정확한 설명과 불필요한 개인 데이터 수집에 중점을 두었습니다. 부과된 벌칙으로는 공개통보 , 수정을 위한 관련 업무의 일시적인 정지와 영구적인 정지를 포함합니다

동시에 관련 부처는 일련의 APP 위법활동 평가지침과 판정방법을 공포하였습니다. 이런 지침과 정책은 APP 운영업체가 사용자에게 우호한 개인정보조항을 제공하고 사용자들이 데이터 수집의 정확한 범위와 목적을 충분히 알게 하도록 고지하여야 하고 데이터 수집전 명확한 동의를 획득하도록 요구합니다.

Cookies: Cookies와 유사한 기술은 사용자 상태 정보를 추적하고 기록하거나 웹사이트에서 사용자의 행동을 기록합니다. 그러나 Cookies의 이용을 규제하는 전문법률이 존재하지 않고 Cookies 이용은 개인 데이터 수집의 수단이라는 실천에서 형성돤 공통한 인식이 있습니다. 그러므로 네트워크 운영업체는 Cookies거나 유사한 기술을 이용할시 개인 데이터 주체에게 수집행위와 그 목적을 고지하여야 하고 수집할 개인 데이터 유형을 명확히 하여야 하며 그들의 동의를 얻어 잠재적인 법적 리스크와 분쟁을 최소화하여야 합니다.

웹 크롤러(Web crawler): 웹 크롤러는 자동 데이터 수집을 위해 널리 이용된 기술도구입니다. 그러나 사용자가 도구를 확인하지 못하거나 의도적으로 웹 서비스 제공자에 의한 어떠한 제한이거나 금지사항을 무시하거나 위반하는 경우, 상당한 법적 리스크가 존재합니다. 이러한 크롤러의 불법 이용은 행정적 또는 심지어 형사적 책임을 져야 합니다

소프트웨어 개발 키트(SDK): 제3자가 제공하는 SDK는 사용자 및 서비스 제공자가 인식하지 못한 정황하에 기기 정보와 사용자 개인 데이터를수집할수 있습니다. 2019년 한 집법활동 과정에서, 한 SDK가 많은 개인 데이터 보호 위반 사례를 일으킨것이 발견되였습니다. SDK의 이용으로 인한 잠재적인 위반 및 피해는 입법부의 주목을 이끌었습니다. <데이터 보안 관리 방법>(초안)은 네트워크 운영업체가 SDK 제공업체에게 구체적인 데이터 보안 요구와 책임을 부과하도록 요구합니다.

SDKs의 법적 리스크를 감면하기 위하여 , 우리는 아래의 방법을 권장합니다: (1) SDK 데이터 컴플라이언스 목적을 위해 SDK 제공업체에 의한 진술 및 보증 요청; (2) SDK 혹은 SDK를 이용하는 애플리케이션의 합리한 기술 테스트 수행; 또한 (3) SDK거나 SDK를 이용하는 애플리케이션을 실시간 모니터링하거나 적시에 SDKs가 개인 데이터로의 모든 접속을 차단하여야 합니다

안면 인식: 안면 인식 및 기타 유사한 생체 인증 애플리케이션은 사람들의 신원 인식 및 검증에 널리 이용되였습니다. 법에 따르면 안면은 하나의 생체 인증 데이터로서 민감한 개인 데이터로서의 엄격한 보호를 받아야 합니다. 기기를 공제하는 운영업체는 모바일 또는 기타 기기를 통해 개인 생체 인증 데이터를 수집하고 이용합니다. 안면 이미지의 부적절한 수집 및 이용은 상당한 법적 리스크가 있습니다.

예컨대, 2019년 사용자들이 유명한 배우들을 모방하는것을 허용하는 Zao라는 “얼굴 교체” 앱이 중국에서 개인정보 보호 우려를 자아냈습니다. 후에 발견한데 의하면 Zao의 사용자 동의서를 받아들이면 Zao의 사용자들은 Zao의 개발자들에게 자신들의 안면 이미지를 수집 및 저장하고 제3자에게 판매하는것을 사전 추가 동의 없이 의도치 않게 허용한 사실이 발견되였습니다.

산업정보기술부는 Zao를 통보 비판하고 개인 데이터 보안 우려를 해소하기 위하여 Zao에게 사용자 동의서를 변경할것을 요구하였습니다. 이는 또한 2019년 6 월 TC260가 특별히 생체 인증 데이터 보호를 위해 국가 표준을 업데이트한 이유중 하나였습니다

블록체인: 블록체인은 기업이 안전한 거래내역을 기록하도록 보조하는 보안 분산 장부입니다. 그러나 개인용 블록 체인은 개인 데이터를 수집 및 저장하는 경향이 있습니다. 예컨대. 소매업체들은 소비자와 그들의 선호도, 구매 이력과 지불습관 및 금액에 대한 방대한 양의 데이터를 수집하고 저장합니다.

2019년 2월 15일부터 시행된 <블록체인 정보 서비스 관리 규정>은 블록체인 정보 서비스 제공업체에게 정보 콘텐츠 안전관리 의무를 부과하고 사용자 등록, 정보 검토, 긴급대처 및 안전 보호에 관한 관리규칙을 제정하고 개선할것을 요구합니다.

그러나 블록체인 정보 서비스 제공업체의 법적의무가 제정된 이후 개인용 블록체인 사용자 개인 데이터 위반 공표 사례가 없지만 관련 분쟁이거나 위반사례는 차차 찾아볼수 있을것입니다

데이터 보호 컴플라이언스 전략

전 세계적으로 개인 데이터를 보호하는 다양한 방법이 있습니다. 미국은 좀더 자유적인 방식을 선택하였는데, 개인 데이터가 데이터 주체에 의해 절대적으로 통제되는 개인 이익일 경우 , 데이터 주체는 반드시 자신을 보호하기 위한 주요한 노력과 책임을 다하여야 하고 정부는 부차적인 책임을 져야 합니다.

이러한 규범하에 대부분은 최첨단기술기업들은 개인 데이터를 “황량한 서부”의 “무료”금으로 간주합니다. 이런 관건적인 시기에 CCPA가 많은 최첨단기술기업의 본거지인 캘리포니아에서 등장되여 데이터 주체에 의한 개인 데이터 이용의 주도권을 회복시키는데 취지를 두었습니다. 그러나 이러한 자유로운 방식은 신기술 개발을 촉진하고 일부는 대량의 데이터 트레이닝 및 분석을 토대하는데 이는 미국의 “신기술 우선” 정책을 체현하고 있습니다.

유럽연합은 다른 경로를 선택하였는데 개인 데이터는 데이터 주체에 의한 절대적으로 공제되는 개인 이익이고 유럽연합 주체의 개인 데이터 집합은 유럽연합 위원회에 귀속되는 가치있는 무형자산의 하나의 새로운 형식입니다. 그러므로 유럽연합은 이러한 개인 이익을 보존 및 보호되도록 보장합니다.

이러한 배경하에 정부가 개인 이익 보호 조치를 후원하기 위하여 소위 디지털 자산 부담금이나 세금을 부과하는것은 당연합니다. 유럽연합이 이용하는 이러한 보수적인 방법으로 미국 기술 대기업의 침입에 견딜수 있는 기술력은 상대적으로 부족합니다.

중국의 데이터 보호 메커니즘은 아직도 여전히 발전중입니다. 중앙정부는 정확한 데이터 보호 방법이 나라의 미래를 결정함을 명지합니다. 역사 및 정부 구조의 각도에서 보면, 중국의 데이터 보호 메커니즘은 GDPR의 규정과 유사합니다. 그러나 중국은 GDPR 데이터 보호 메커니즘을 완전히 복제하면 특별히 예컨대 인공지능(AI)와 같은 대량 데이터가 특정 기술의 발전을 결정하는 영역에서 기술 대기업 및 미국 상대국 간의 경쟁에서 불리하게 됨을 인식합니다.

그 결과 중국은 데이터 보호 목표를 달성하기 위하여 병렬구조를 제정하였습니다. 한편, 개인 데이터 보호 제한 규칙은 GDPR보다 엄격하지 않으므로 개선 및 연구의 여지를 남겨두었으나 데이터 보호에 대한 많은 제한을 두어 평형을 이룹니다. 다른 한편, 우리 나라 법률은 관건 정보 기초시설 운영업체와 중요 데이터를 정의를 명확히 하여 더 첨단적인 기술 보유자에 의한 잠재적인 침입을 방어하려고 시도합니다. 이러한 방법은 중국 특색을 체현하는데 이는 데이터 보호 메커니즘에서 기술 개발과 개인정보간의 경쟁이익에 대한 정의에서 체현됩니다.

거시적 차원 컴플라이언스 제시

당신이 완전히 GDPR의 요구사항을 준수하는 외국 기술 기업이면 , 중국 개인 데이터 보호법을 준수할 가능성이 큽니다.

그러나 미국 기업이고 합당한 GDPR 컴플라이언스 전략이 구비되지 않았다면 현재 미국의 개인 데이터 보호 정책과 중국의 개인 데이터 보호 요구사항간의 차이를 확인하고 그러한 차이를 보충하여야 합니다. 그러나 CCPA를 준수하는 미국 기업이라면, 이미 중국의 개인 데이터 보호 요구 사항을 준수하였거나 혹은 준수하기 위한 아주 적은 조치를 취하면 됩니다.

유럽연합이든 미국 기업이든, 준수하여야 할 중요 데이터 보호 요구 사항은 관건 정보 기초시설 운영업체와 중요 데이터 보호 규정의 발전을 면밀히 주시하여야 하고 중국내 수집한 데이터가 중요 데이터로 확정될수 있는지 분석하는것입니다. 상기 기업에 해당된다면 특별한 컴플라이언스 전략을 제정하여 중국의 중요 데이터 보호 문제를 해결하여야 합니다. 그렇지 않을 경우. 이미 법규의 요구에 부합되므로 안심하셔도 됩니다.

Xinyao Zhao와 Estella Wang 도 이 문장의 작성에 기여함

글로벌 법률 사무소
상해시 서회구 회해중로 999호 상해 ICC 제1동 36층 우편번호: 200031
전화번호: +86 21 2310 9517
팩스: +86 21 2310 8299
www.glo.com.cn