Home > 전체기사
中 “개인정보 외국반출 시 보안평가 실시해야”
  |  입력 : 2019-07-18 12:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인터넷정보판공실, ‘개인정보 외국반출 보안평가 방법’ 초안 발표
“국가안보 영향 끼칠 가능성 있으면 개인정보 국외반출 금지”
“데이터 유출·도용 사건 발생 시, 국외 개인정보 제공 일시 정지나 중지”


[보안뉴스 온기홍=중국 베이징] 중국 정부가 개인정보를 외국으로 반출할 때 보안평가 실시를 의무화하는 새로운 규정을 마련했다. 특히 중국 내에서 수집된 개인정보의 국외 반출이 국가안보에 영향을 끼칠 수 있다고 인정될 경우 국외 반출을 금지한다고 명문화했다.

[이미지=iclickart]


중국 사이버 관리감독 기관인 국가인터넷정보판공실은 지난달 중순 ‘개인정보 출경 보안평가 방법’(이하 방법) 초안을 발표하고 7월 13일까지 한 달 동안 공개적으로 의견을 수렴했다고 최근 밝혔다.

인터넷정보판공실은 각계 의견을 초안에 반영한 뒤 올해 하반기 중 이번 ‘방법’을 정식 시행할 것으로 예상된다. 인터넷정보판공실은 “데이터의 국가 간 유동 중 개인정보 보안을 보장하고 사이버공간 주권과 국가안보, 사회공공이익을 수호하며, 공민과 법인의 합법적 권익을 보호하기 위해 ‘중화인민공화국 사이버보안법’ 등 법률 법규에 의거해 유관 부처와 함께 이번 ‘방법’을 제정했다”고 밝혔다.

인터넷정보판공실은 이번 ‘방법’에서 개인정보에 대해 전자 또는 기타 방식으로 기록한 것으로, 단독 또는 기타 정보와 결합해 자연인 개인 신분을 식별할 수 있는 각종 정보. 자연인의 성명, 출생일자, 신분증 번호, 개인 생물식별 정보, 주소, 전화번호 등을 가리킨다고 설명했다.
또한, ‘개인의 민감한 정보’는 일단 유출·절취·변조·불법 사용되면 개인정보 주체의 인신과 재산 안전을 해칠 수 있거나 개인정보 주체의 명예와 심신건강 등을 손상시킬 수 있는 개인정보라고 이번 ‘방법’은 규정했다.

“국가안보 영향 끼칠 가능성 등 인정되면, 개인정보 국외반출 금지”
모두 22개 조항으로 이뤄진 이번 ‘방법’ 초안을 살펴보면, 먼저 인터넷(네트워크) 운영자(인터넷·네트워크의 소유자·관리자와 서비스 제공자)는 중국에서 운영 중 수집한 개인정보를 국외 제공(이하 ‘개인정보 국외반출’)할 경우, 반드시 이번 ‘방법’에 따라 보안평가를 실시해야 한다.

특히, 보안평가를 거쳐 개인정보 국외반출이 국가안보에 영향을 끼치고 공공이익을 해칠 가능성이 있거나 개인정보 보안을 유효하게 보장하는 게 어려울 수 있다고 인정되면, 국외 반출해서는 안 된다고 이번 ‘방법’은 강조했다.

인터넷 운영자는 개인정보 외국반출에 앞서 소재한 성(省)급 인터넷정보판공실에 보안평가를 신고해야 한다. 각기 다른 접수자에게 개인정보를 제공하면, 각각 보안평가를 신고한다. 동일 접수자에게 여러 차례 혹은 연속하여 개인정보를 제공할 경우엔 여러 차례 보안평가를 실시할 필요는 없다. 2년 마다, 또는 개인정보 외국반출의 목적, 유형 및 국외 보존 기간에 변화가 있을 때에는 다시 보안평가를 해야 한다.

인터넷 운영자는 개인정보 외국반출 보안평가 신고 시 △신고서 △인터넷 운영자와 접수자가 서명한 계약서 △개인정보 외국반출 보안위험 및 보안보장조치 분석 보고 △국가 인터넷정보판공실이 요구하는 기타 자료를 제공해야 하며, 자료의 진실성·정확성에 대해 책임을 져야 한다.

전국 성급 인터넷정보판공실은 개인정보 외국반출 보안평가 신고 자료를 받고서 그 완전성을 검사한 후, 전문가 또는 기술력을 모아 보안평가를 진행해야 한다. 보안평가는 업무일 기준 15일 안에 끝내야 하며, 성황이 복잡할 때에는 적절하게 연장될 수 있다.

특히 보안평가에서 중점적으로 평가하는 내용은 △국가 유관 법률 법규와 정책 규정에 부합하는지 여부 △계약 조항이 개인정보 주체의 합법적 권익을 충분히 보장할 수 있는지 △계약이 유효하게 실행될 수 있는지 △인터넷 운영자 또는 접수자가 이전에 개인정보 주체의 합법적 권익을 해친 사실이 있는지 여부 및 중대한 인터넷 보안 사건이 발생한 적이 있는지 여부 △인터넷 운영자의 개인정보 입수가 합법적이고 정당한지 여부 등이다.

성급 인터넷정보판공실은 개인정보 외국반출 보안평가의 결과를 인터넷 운영자에게 통보하는 동시에 보안평가 상황을 국가인터넷정보판공실에 보고해야 한다. 인터넷 운영자는 성급 인터넷정보판공실의 보안평가 결과에 대해 이의가 있을 경우, 국가인터넷정보판공실에 제소할 수 있다.

이외에 인터넷 운영자는 개인정보 외국반출을 기록하고, 이를 최소 5년 간 보존해야 한다. 기록에는 △국외 개인정보 제공 날짜와 시간 △(개인정보) 접수자의 신분(명칭, 주소, 연락처 등에 국한하지 않음) △국외 제공하는 개인정보의 유형과 수량, 민감한 정도 등 내용이 들어가야 한다.

인터넷 운영자는 또 매년 12월 31일 전에 해당년도 개인정보 국외반출 상황, 계약 이행 상황 등을 소재지 성급 인터넷정보판공실에 보고해야 한다. 비교적 큰 데이터 보안 사건이 발생했을 경우에도 즉시 인터넷정보판공실에 알려야 한다.

“데이터 유출·도용 사건 발생 시, 국외 개인정보 제공 일시 정지나 중지”
전국 성급 인터넷정보판공실은 정기적으로 인터넷 운영자의 개인정보 국외반출 기록 등 상황을 검사해야 하며, 계약 규정의 의무 이행 상황, 국가 규정 위반 또는 개인정보 주체의 합법적 권익을 해친 행위 등이 있는지 여부를 중점적으로 검사해야 한다. 개인정보 주체의 합법적 권익을 해치고 데이터가 유출되는 보안사건 등 상황이 발생했을 경우, 즉시 인터넷 운영자에게 개선을 요구해야 하고 운영자를 통해 개인정보 접수자에게 개선을 독촉해야 한다.

특히, 인터넷정보판공실은 △인터넷 운영자 또는 (개인정보) 접수자 쪽에서 비교적 큰 데이터 유출, 데이터 도용 등 사건 발생 △개인정보 주체가 개인의 합법적 권익을 보호할 수 없거나 보호하기 어려움 △인터넷 운영자 또는 접수자가 개인정보 보안을 보장할 능력이 없음 등 상황이 발생할 경우, 인터넷 운영자에게 국외에 개인정보 제공을 일시 정지 또는 중지할 것을 요구할 수 있다. 모든 개인과 조직은 이번 ‘방법’ 규정을 위반해 국외에 개인정보를 제공하는 행위에 대해 성급 이상 인터넷정보판공실 또는 유관 부서에 고발할 권리를 갖게 된다.

인터넷 운영자와 개인정보 접수자 간 계약서에 명확하게 해야 할 내용
인터넷 운영자와 개인정보 접수자가 체결한 계약서 또는 기타 법률 효력이 있는 문건(‘계약서’로 통칭)에서는 △개인정보 국외반출의 목적·유형·보존기한 △개인정보 주체는 계약 중 개인정보 주체 권익 조항에 관련된 수익자임 △개인정보 주체의 합법적 권익이 침해될 때, 스스로 혹은 대리인에 의뢰해 인터넷 운영자이나 접수자 혹은 쌍방에 배상을 요구할 수 있고 인터넷 운영자나 접수자는 책임이 없다는 것을 증명할 수 있는 경우를 제외하고는 배상해야 한다는 내용을 명확하게 해야 한다.

아울러 △접수자 소재 국가의 법률 환경에 변화가 발생해 계약의 이행이 어려울 경우, 계약을 중지하거나 다시 보안 평가를 진행해야 함 △계약의 중지는 계약 중 개인정보 주체의 합법적 권익 관련 조항 규정과 관계가 있는 인터넷 운영자와 접수자의 책임과 의무를 면제할 수 없으며, 접수자가 개인정보를 이미 폐기했거나 익명화 처리를 한 경우는 제외함 △쌍방이 약정한 기타 내용도 계약서에 명시해야 한다.

계약서에서는 인터넷 운영자가 져야 하는 책임과 의무로 △전자우편·SNS·서신·팩스 등 방식으로 개인정보 주체에게 인터넷 운영자와 접수자의 기본 상황, 국외 개인정보 제공의 목적·유형·보존기간 고지 △개인정보 주체의 요구에 응해 계약 사본 제공 △접수자에게 개인정보 주체의 요구(접수자에 대한 배상 요구 포함) 전달 및 개인정보 주체가 접수자로부터 배상을 받을 수 없을 경우 먼저 배상금 지불 등의 내용을 명확하게 해야 한다.

개인정보 접수자가 지게 되는 책임과 의무도 계약서에서 명확하게 해야 한다고 이번 ‘방’'은 강조했다. 첫째, 접수자는 개인정보 주체에 해당 개인정보에 접근하는 경로를 제공하고, 개인정보 주체가 해당 개인정보의 정정 또는 삭제를 요구할 시 합리적인 대가와 기간 안에 응답, 정정 또는 삭제를 해야 한다. 둘째, 접수자는 계약에서 약정한 목적에 따라 개인정보를 사용해야 하고, 개인정보의 국외 보존 기한은 계약에서 약정한 시한을 넘겨서는 안 된다. 셋째, 접수자는 계약 체결과 계약의무 이행이 접수자 소재 국가의 법률 요구를 위배하지 않음을 확인하는 한편, 접수자 소재 국가와 지역의 법률 환경에 변화가 발생해 계약 실행에 영향을 끼칠 가능성이 있을 경우, 즉시 인터넷 운영자에 통지하고 운영자 소재지의 성급 인터넷정보판공실에 보고해야 한다.

도한 계약서에서는 개인정보 접수자가 개인정보를 제3자에게 전송하지 못하도록 명확하게 해야 한다. 다만 △인터넷 운영자가 이미 전자우편·SNS·서신·팩스 등을 통해 개인정보 주체에게 개인정보를 제3자에 전송한 목적, 제3자의 신분과 국적, 전송한 개인정보 유형, 제3자의 보존 시한 등을 통지한 경우 △개인정보 주체가 제3자에 대한 개인정보 전송 중지 요구 시, 접수자가 전송을 중지하고 제3자에게 기존 개인정보의 폐기를 요구할 것을 약속한 경우 △개인의 민감한 정보에 관계된 때, 이미 개인정보 주체의 동의를 구한 경우 △제3자에게 개인정보를 전송한 때문에 개인정보 주체의 합법적 권익을 손상시킨 때, 인터넷 운영자가 미리 배상금을 지불하는 책임을 지기로 동의한 경우 등 조건을 만족한 때에는 예외로 한다.

개인정보 외국 반출 때 ‘보안위험 및 보안보장조치 분석 보고’ 실시
인터넷 운영자가 해야 하는 개인정보 국외반출 보안위험과 보안보장조치에 관한 분석 보고에는 최소한 △인터넷 운영자와 (개인정보) 접수자의 배경·규모·업무·재무·신용·온라인보안능력 등 △개인정보 국외반출 계획(지속 기간, 관련 개인정보 주체 수량, 국외 제공하는 개인정보 규모, 개인정보 국외반출 후 제3자에 다시 전송 여부 등) △개인정보 국외반출 위험 분석 및 개인정보 보안과 개인정보 주체의 합법적 권익 보장 조치가 포함돼야 한다.

인터넷 운영자가 이번 ‘방법’ 규정을 위반해 국외에 개인정보를 제공할 경우, 인터넷정보판공실은 유관 법률 법규에 따라 처리하게 된다. 중국이 참여하거나, 기타 국가·지역·국제조직과 체결한 조약·협의 등에 개인정보의 국외반출에 대한 명확한 규정이 있을 경우, 그 규정을 적용하게 된다. 중국이 보류한다고 성명을 발표한 조항은 제외한다.

국외 기구(기관, 업체)가 경영 활동 중 인터넷 등을 통해 중국 내 이용자 개인정보를 수집하게 되면, 반드시 중국 내에서 법정 대리인 또는 기구를 통해 이번 ‘방법’ 중 인터넷 운영자의 책임과 의무를 이행해야 한다고 인터넷정보판공실은 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트