Home > 전체기사
中 “개인정보 외국반출 시 보안평가 실시해야”
  |  입력 : 2019-07-18 12:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인터넷정보판공실, ‘개인정보 외국반출 보안평가 방법’ 초안 발표
“국가안보 영향 끼칠 가능성 있으면 개인정보 국외반출 금지”
“데이터 유출·도용 사건 발생 시, 국외 개인정보 제공 일시 정지나 중지”


[보안뉴스 온기홍=중국 베이징] 중국 정부가 개인정보를 외국으로 반출할 때 보안평가 실시를 의무화하는 새로운 규정을 마련했다. 특히 중국 내에서 수집된 개인정보의 국외 반출이 국가안보에 영향을 끼칠 수 있다고 인정될 경우 국외 반출을 금지한다고 명문화했다.

[이미지=iclickart]


중국 사이버 관리감독 기관인 국가인터넷정보판공실은 지난달 중순 ‘개인정보 출경 보안평가 방법’(이하 방법) 초안을 발표하고 7월 13일까지 한 달 동안 공개적으로 의견을 수렴했다고 최근 밝혔다.

인터넷정보판공실은 각계 의견을 초안에 반영한 뒤 올해 하반기 중 이번 ‘방법’을 정식 시행할 것으로 예상된다. 인터넷정보판공실은 “데이터의 국가 간 유동 중 개인정보 보안을 보장하고 사이버공간 주권과 국가안보, 사회공공이익을 수호하며, 공민과 법인의 합법적 권익을 보호하기 위해 ‘중화인민공화국 사이버보안법’ 등 법률 법규에 의거해 유관 부처와 함께 이번 ‘방법’을 제정했다”고 밝혔다.

인터넷정보판공실은 이번 ‘방법’에서 개인정보에 대해 전자 또는 기타 방식으로 기록한 것으로, 단독 또는 기타 정보와 결합해 자연인 개인 신분을 식별할 수 있는 각종 정보. 자연인의 성명, 출생일자, 신분증 번호, 개인 생물식별 정보, 주소, 전화번호 등을 가리킨다고 설명했다.
또한, ‘개인의 민감한 정보’는 일단 유출·절취·변조·불법 사용되면 개인정보 주체의 인신과 재산 안전을 해칠 수 있거나 개인정보 주체의 명예와 심신건강 등을 손상시킬 수 있는 개인정보라고 이번 ‘방법’은 규정했다.

“국가안보 영향 끼칠 가능성 등 인정되면, 개인정보 국외반출 금지”
모두 22개 조항으로 이뤄진 이번 ‘방법’ 초안을 살펴보면, 먼저 인터넷(네트워크) 운영자(인터넷·네트워크의 소유자·관리자와 서비스 제공자)는 중국에서 운영 중 수집한 개인정보를 국외 제공(이하 ‘개인정보 국외반출’)할 경우, 반드시 이번 ‘방법’에 따라 보안평가를 실시해야 한다.

특히, 보안평가를 거쳐 개인정보 국외반출이 국가안보에 영향을 끼치고 공공이익을 해칠 가능성이 있거나 개인정보 보안을 유효하게 보장하는 게 어려울 수 있다고 인정되면, 국외 반출해서는 안 된다고 이번 ‘방법’은 강조했다.

인터넷 운영자는 개인정보 외국반출에 앞서 소재한 성(省)급 인터넷정보판공실에 보안평가를 신고해야 한다. 각기 다른 접수자에게 개인정보를 제공하면, 각각 보안평가를 신고한다. 동일 접수자에게 여러 차례 혹은 연속하여 개인정보를 제공할 경우엔 여러 차례 보안평가를 실시할 필요는 없다. 2년 마다, 또는 개인정보 외국반출의 목적, 유형 및 국외 보존 기간에 변화가 있을 때에는 다시 보안평가를 해야 한다.

인터넷 운영자는 개인정보 외국반출 보안평가 신고 시 △신고서 △인터넷 운영자와 접수자가 서명한 계약서 △개인정보 외국반출 보안위험 및 보안보장조치 분석 보고 △국가 인터넷정보판공실이 요구하는 기타 자료를 제공해야 하며, 자료의 진실성·정확성에 대해 책임을 져야 한다.

전국 성급 인터넷정보판공실은 개인정보 외국반출 보안평가 신고 자료를 받고서 그 완전성을 검사한 후, 전문가 또는 기술력을 모아 보안평가를 진행해야 한다. 보안평가는 업무일 기준 15일 안에 끝내야 하며, 성황이 복잡할 때에는 적절하게 연장될 수 있다.

특히 보안평가에서 중점적으로 평가하는 내용은 △국가 유관 법률 법규와 정책 규정에 부합하는지 여부 △계약 조항이 개인정보 주체의 합법적 권익을 충분히 보장할 수 있는지 △계약이 유효하게 실행될 수 있는지 △인터넷 운영자 또는 접수자가 이전에 개인정보 주체의 합법적 권익을 해친 사실이 있는지 여부 및 중대한 인터넷 보안 사건이 발생한 적이 있는지 여부 △인터넷 운영자의 개인정보 입수가 합법적이고 정당한지 여부 등이다.

성급 인터넷정보판공실은 개인정보 외국반출 보안평가의 결과를 인터넷 운영자에게 통보하는 동시에 보안평가 상황을 국가인터넷정보판공실에 보고해야 한다. 인터넷 운영자는 성급 인터넷정보판공실의 보안평가 결과에 대해 이의가 있을 경우, 국가인터넷정보판공실에 제소할 수 있다.

이외에 인터넷 운영자는 개인정보 외국반출을 기록하고, 이를 최소 5년 간 보존해야 한다. 기록에는 △국외 개인정보 제공 날짜와 시간 △(개인정보) 접수자의 신분(명칭, 주소, 연락처 등에 국한하지 않음) △국외 제공하는 개인정보의 유형과 수량, 민감한 정도 등 내용이 들어가야 한다.

인터넷 운영자는 또 매년 12월 31일 전에 해당년도 개인정보 국외반출 상황, 계약 이행 상황 등을 소재지 성급 인터넷정보판공실에 보고해야 한다. 비교적 큰 데이터 보안 사건이 발생했을 경우에도 즉시 인터넷정보판공실에 알려야 한다.

“데이터 유출·도용 사건 발생 시, 국외 개인정보 제공 일시 정지나 중지”
전국 성급 인터넷정보판공실은 정기적으로 인터넷 운영자의 개인정보 국외반출 기록 등 상황을 검사해야 하며, 계약 규정의 의무 이행 상황, 국가 규정 위반 또는 개인정보 주체의 합법적 권익을 해친 행위 등이 있는지 여부를 중점적으로 검사해야 한다. 개인정보 주체의 합법적 권익을 해치고 데이터가 유출되는 보안사건 등 상황이 발생했을 경우, 즉시 인터넷 운영자에게 개선을 요구해야 하고 운영자를 통해 개인정보 접수자에게 개선을 독촉해야 한다.

특히, 인터넷정보판공실은 △인터넷 운영자 또는 (개인정보) 접수자 쪽에서 비교적 큰 데이터 유출, 데이터 도용 등 사건 발생 △개인정보 주체가 개인의 합법적 권익을 보호할 수 없거나 보호하기 어려움 △인터넷 운영자 또는 접수자가 개인정보 보안을 보장할 능력이 없음 등 상황이 발생할 경우, 인터넷 운영자에게 국외에 개인정보 제공을 일시 정지 또는 중지할 것을 요구할 수 있다. 모든 개인과 조직은 이번 ‘방법’ 규정을 위반해 국외에 개인정보를 제공하는 행위에 대해 성급 이상 인터넷정보판공실 또는 유관 부서에 고발할 권리를 갖게 된다.

인터넷 운영자와 개인정보 접수자 간 계약서에 명확하게 해야 할 내용
인터넷 운영자와 개인정보 접수자가 체결한 계약서 또는 기타 법률 효력이 있는 문건(‘계약서’로 통칭)에서는 △개인정보 국외반출의 목적·유형·보존기한 △개인정보 주체는 계약 중 개인정보 주체 권익 조항에 관련된 수익자임 △개인정보 주체의 합법적 권익이 침해될 때, 스스로 혹은 대리인에 의뢰해 인터넷 운영자이나 접수자 혹은 쌍방에 배상을 요구할 수 있고 인터넷 운영자나 접수자는 책임이 없다는 것을 증명할 수 있는 경우를 제외하고는 배상해야 한다는 내용을 명확하게 해야 한다.

아울러 △접수자 소재 국가의 법률 환경에 변화가 발생해 계약의 이행이 어려울 경우, 계약을 중지하거나 다시 보안 평가를 진행해야 함 △계약의 중지는 계약 중 개인정보 주체의 합법적 권익 관련 조항 규정과 관계가 있는 인터넷 운영자와 접수자의 책임과 의무를 면제할 수 없으며, 접수자가 개인정보를 이미 폐기했거나 익명화 처리를 한 경우는 제외함 △쌍방이 약정한 기타 내용도 계약서에 명시해야 한다.

계약서에서는 인터넷 운영자가 져야 하는 책임과 의무로 △전자우편·SNS·서신·팩스 등 방식으로 개인정보 주체에게 인터넷 운영자와 접수자의 기본 상황, 국외 개인정보 제공의 목적·유형·보존기간 고지 △개인정보 주체의 요구에 응해 계약 사본 제공 △접수자에게 개인정보 주체의 요구(접수자에 대한 배상 요구 포함) 전달 및 개인정보 주체가 접수자로부터 배상을 받을 수 없을 경우 먼저 배상금 지불 등의 내용을 명확하게 해야 한다.

개인정보 접수자가 지게 되는 책임과 의무도 계약서에서 명확하게 해야 한다고 이번 ‘방’'은 강조했다. 첫째, 접수자는 개인정보 주체에 해당 개인정보에 접근하는 경로를 제공하고, 개인정보 주체가 해당 개인정보의 정정 또는 삭제를 요구할 시 합리적인 대가와 기간 안에 응답, 정정 또는 삭제를 해야 한다. 둘째, 접수자는 계약에서 약정한 목적에 따라 개인정보를 사용해야 하고, 개인정보의 국외 보존 기한은 계약에서 약정한 시한을 넘겨서는 안 된다. 셋째, 접수자는 계약 체결과 계약의무 이행이 접수자 소재 국가의 법률 요구를 위배하지 않음을 확인하는 한편, 접수자 소재 국가와 지역의 법률 환경에 변화가 발생해 계약 실행에 영향을 끼칠 가능성이 있을 경우, 즉시 인터넷 운영자에 통지하고 운영자 소재지의 성급 인터넷정보판공실에 보고해야 한다.

도한 계약서에서는 개인정보 접수자가 개인정보를 제3자에게 전송하지 못하도록 명확하게 해야 한다. 다만 △인터넷 운영자가 이미 전자우편·SNS·서신·팩스 등을 통해 개인정보 주체에게 개인정보를 제3자에 전송한 목적, 제3자의 신분과 국적, 전송한 개인정보 유형, 제3자의 보존 시한 등을 통지한 경우 △개인정보 주체가 제3자에 대한 개인정보 전송 중지 요구 시, 접수자가 전송을 중지하고 제3자에게 기존 개인정보의 폐기를 요구할 것을 약속한 경우 △개인의 민감한 정보에 관계된 때, 이미 개인정보 주체의 동의를 구한 경우 △제3자에게 개인정보를 전송한 때문에 개인정보 주체의 합법적 권익을 손상시킨 때, 인터넷 운영자가 미리 배상금을 지불하는 책임을 지기로 동의한 경우 등 조건을 만족한 때에는 예외로 한다.

개인정보 외국 반출 때 ‘보안위험 및 보안보장조치 분석 보고’ 실시
인터넷 운영자가 해야 하는 개인정보 국외반출 보안위험과 보안보장조치에 관한 분석 보고에는 최소한 △인터넷 운영자와 (개인정보) 접수자의 배경·규모·업무·재무·신용·온라인보안능력 등 △개인정보 국외반출 계획(지속 기간, 관련 개인정보 주체 수량, 국외 제공하는 개인정보 규모, 개인정보 국외반출 후 제3자에 다시 전송 여부 등) △개인정보 국외반출 위험 분석 및 개인정보 보안과 개인정보 주체의 합법적 권익 보장 조치가 포함돼야 한다.

인터넷 운영자가 이번 ‘방법’ 규정을 위반해 국외에 개인정보를 제공할 경우, 인터넷정보판공실은 유관 법률 법규에 따라 처리하게 된다. 중국이 참여하거나, 기타 국가·지역·국제조직과 체결한 조약·협의 등에 개인정보의 국외반출에 대한 명확한 규정이 있을 경우, 그 규정을 적용하게 된다. 중국이 보류한다고 성명을 발표한 조항은 제외한다.

국외 기구(기관, 업체)가 경영 활동 중 인터넷 등을 통해 중국 내 이용자 개인정보를 수집하게 되면, 반드시 중국 내에서 법정 대리인 또는 기구를 통해 이번 ‘방법’ 중 인터넷 운영자의 책임과 의무를 이행해야 한다고 인터넷정보판공실은 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향