| [中 ‘사이버 보안법’ 뭘 담았나②] 인터넷 정보 통제·보안 강조 | 2015.07.28 | |
‘개인정보·네트워크 모니터링·경보 발표·응급 처리·법적 책임’ 포함 [보안뉴스 온기홍=중국 베이징] 중국의 국회격인 전국인민대표대회(전인대) 상무위원회가 지난 9일 인터넷 홈페이지를 통해 공포한 ‘중화인민공화국 네트워크 안전법(Cyber Security Law, 초안)’ 가운데 4장(네트워크 정보보안), 5장(모니터링 경보와 응급 처리), 6장(법률적 책임), 7장(부칙)의 주요 내용을 간추렸다.
네트워크 정보보안...개인정보보호 네트워크(웹사이트·SNS·커뮤니티 등) 운영자(업체 등)는 완전한 사용자 정보보호 제도를 갖춰야 하며, 사용자 개인정보, 프라이버시 및 상업 비밀에 대한 보호를 강화해야 한다. 네트워크 운영자는 공민(국민) 개인정보를 수집·사용할 때 합법적이고 정당하며 필요한 원칙을 따라야 하며, 정보 수집·사용의 목적·방식·범위를 명시하고, 수집자의 동의를 거쳐야 한다. 네트워크 운영자는 자체 제공하는 서비스와 무관한 공민 개인정보를 수집해서는 안 되며, 법률·행정법규의 규정과 쌍방의 약정을 위반해 공민 개인정보를 수집·사용해서는 안 된다. 법률·행정법규의 규정 또는 사용자와의 약정에 의거해, 보존 중인 공민 개인정보를 처리해야 한다. 네트워크 운영자는 공민 개인정보를 수집·사용할 때 그 규칙을 공개해야 한다. 네트워크 운영자는 수집한 공민 개인정보에 대해 엄격하게 비밀유지를 해야 하며, 유출·변조·훼손해서는 안 되고 판매 또는 불법적으로 타인에게 제공해서도 안된다. 네트워크 운영자는 기술 조치와 기타 필요한 조치를 취해 공민 개인정보 보안을 확보해야 하고, 수집한 공민 개인정보가 유출·훼손·분실되는 것을 방지해야 한다. 공민은 네트워크 운영자가 법률·행정법규의 규정 또는 쌍방의 약정을 위반하고 자신의 개인정보를 수집·사용한 것을 발견했을 경우, 네트워크 운영자에게 그 개인정보를 삭제하라고 요구할 권리가 있다. 또 공민은 네트워크 운영자가 수집·저장한 해당 개인정보에 오류가 있을 경우, 운영자에게 정정을 요구할 권리가 있다. 어떤 개인 또는 조직이든 절취 혹은 기타 불법적인 방식으로 공민 개인정보를 얻을 수 없으며, 타인에게 공민 개인정보를 판매하거나 불법적으로 제공할 수 없다. 법에 의거해 네트워크 보안 감독관리 직책을 책임진 부처(기관)은 반드시 직책 이행 중 알게 된 공민 개인정보와 프라이버시, 상업 비밀에 대해 엄격하게 비밀유지 해야 하며, 타인에게 유출·판매 혹은 불법적으로 제공해서는 안 된다. 네트워크 운영자는 사용자가 발표한 정보에 대한 관리를 강화해야 하며, 법률·행정법규에서 발표 혹은 전송을 금지한 정보를 발견할 경우 즉각 해당 정보의 전송을 중지해야 한다. 또 제거 등 처리조치를 취하고 정보 확산을 막아야 하며, 관련 기록을 저장하고 유관 주관 부처(기관)에 보고해야 한다. 전자정보 발송자가 전송하는 전자정보와 애플리케이션(이하 앱) SW 발송자가 제공하는 앱 SW에는 악성 프로그램이 설치돼서는 안 되며, 법률·행정법규에서 발표 혹은 전송을 금지하는 정보를 담고 있어서도 안 된다. 국가 인터넷통신 관련 부서와 유관 부처는 법에 의거해 네트워크 보안 감독관리 직책을 이행해야 한다. 법률·행정법규에서 발표 혹은 전송을 금지한 정보를 발견했을 경우, 네트워크 운영자에게 전송 중지를 요구해야 하며, 제거 등 처리 조치를 취하고, 유관 기록을 저장해야 한다. 또한, 국외에 근거를 둔 발표·전송 금지 정보에 대해서는 유관기관에 통지해 기술 조치와 기타 필요한 조치를 취하고 정보 전파를 막아야 한다. 국가는 네트워크 보안 모니터링 경로와 정보통보 제도를 갖추게 된다. 국가 인터넷통신 관련 부서는 유관 부처와 네트워크 보안정보 수집·분석·통보 업무에서 총괄 협조하고, 규정에 따라 네트워크 보안 모니터링 경보 정보를 통일적으로 발표한다. 중요정보 인프라 보안, 보호 업무를 책임진 부처는 해당 분야(업계)·영역의 네트워크 보안 모니터링 경보와 정보통보 제도를 완벽하게 갖춰야 하며, 규정에 따라 네트워크 보안 모니터링 경보 정보를 내보내야 한다. 국가 인터넷통신 관련 부서는 유관 부처와 협조해 네트워크 보안 응급 업무 기제를 갖추고 네트워크 보안사건 응급 대비책을 제정하며, 정기적으로 훈련을 마련하게 된다. 네트워크 보안사건 응급 대비책의 경우, 사건 발생 후의 위해 정도와 영향 범위 등 요소에 따라 네트워크 보안 사건에 대해 등급을 나누고, 그에 상응한 응급 처리조치를 규정한다. 네트워크 보안 사건이 곧 발생하려 하거나 발생할 가능성이 커질 때, 전국 현급 이상 정부의 유관 부서는 관련 법률과 행정법규, 국무원 규정의 권한과 절차에 따라 상응한 등급별 경보 정보를 발표한다. 이어 곧 발생할 사건의 특징과 초래될 피해에 근거해 다음과 같은 조치를 취해야 한다. 첫째, 유관 부서와 기관과 관계자는 즉시 관련 정보를 수집·보고하도록 요구하고 네트워크 보안사건 발생·진행 상황에 대한 모니터링을 강화한다. 둘째, 유관 부서, 기관, 전문인력은 조직적으로 네트워크 보안사건 정보에 대한 분석·평가를 진행하고, 사건 발생의 가능성과 영향범위, 위해 정도를 예측한다. 셋째, 사회에 일반 대중과 관련 있는 예측 정보와 분석 평가 결과를 발표한다. 넷째, 규정에 따라 사회가 받게 될 가능성이 있는 네트워크 보안사건 피해를 발표하고 피해를 피하고 줄일 수 있는 조치도 발표한다. 만일 네트워크 보안사건이 발생하면, 현급 이상 정부의 유관 부서는 즉각 네트워크 보안사건 응급 대비책을 가동한다. 네트워크 보안 사건을 조사·평가하고, 네트워크 운영자에게 기술조치와 기타 필요한 조치를 취하도록 요구한다. 이어 보안 위험을 제거하고 피해가 커지는 것을 막으며, 즉시 사회에 일반 대중과 유관한 경보 정보를 발표한다. 법률적 책임 네트워크 운영자가 이번 법 제17조, 제21조에서 규정한 네트워크 보안, 보호 의무를 이행하지 않을 경우, 주관 부처는 이를 시정하도록 명령하고 경고하게 된다. 운영자가 정정 명령을 거부하거나 네트워크 보안을 해치는 결과가 초래했을 경우, 1만~10만 위안의 벌금을 부과한다. 직접적 책임을 맡은 주관 인원은 5,000~5만 위안의 벌금을 내야 한다. 중요정보 인프라 운영자가 이 법의 27조와 29조, 32조 규정의 네트워크 보안, 보호 의무를 이행하지 않으면 주관 부처에서 시정을 명령하고 경고한다. 운영자가 이를 거부해 시정하지 않거나 네트워크 보안을 해치는 결과를 초래했을 경우, 10만~100만 위안의 벌금을 내야 한다. 직접 책임을 맡은 주무자는 1만~10만 위안의 벌금을 내게 된다. 네트워크 제품·서비스 제공자, 전자정보 발송자, 앱 SW 제공자가 이 법 규정을 위반하고 다음과 같은 행위를 할 경우, 주관 부처가 시정을 명령하고 경고한다. 제공자·발송자들이 시정을 하지 않거나 네트워크 보안을 해치는 결과를 일으켰을 경우, 5만~50만 위안의 벌금을 내야 한다. 직접적 책임을 지는 주무자는 1만~10만 위안의 벌금을 내야 한다. 주요 위반 행위는 △악성 프로그램 설치 △네트워크 제품과 서비스가 사용자 정보 수집 기능을 갖고 있고 사용자에게 취득 동의를 명시하지 않은 경우 △그 제품과 서비스에 존재하는 보안 결함과 취약점 등 위험에 대해 즉시 사용자에게 알리지 않고 보완조치도 취하지 않았을 경우 △독단적으로 그 제품과 서비스에 보안 유지보호 제공을 중지한 경우 등이다. 네트워크 운영자가 이 법 규정을 위반하고 사용자에게 실명 신분정보 제공을 요구하지 않거나 실명 신분정보를 제공하지 않은 사용자에게 관련 서비스를 제공했을 경우, 주관 부처는 시정을 명령한다. 운영자가 이를 거부해 시정하지 않거나 상황이 엄중하면, 5만~50만 위안의 벌금을 부과한다. 또 주관 부처는 운영자에게 관련 사업(업무) 일시 중지, 휴업, 웹사이트 폐쇄, 관련 사업 허가 취소 또는 영업허가증 회수(취소)를 명령할 수 있다. 네트워크 운영을 직접 책임진 당사자와 기타 직접적인 책임자는 1만~10만 위안의 벌금을 내야 한다. 네트워크 운영자가 이 법 규정을 위반해 공민 개인정보가 법에 의거해 보호받을 권리를 침해할 경우 주관 부처는 시정을 명령하고, 상황에 따라 경고, 위법소득 몰수, 위법소득의 1배~10배 벌금 부과 조치를 할 수 있다. 위법 소득이 없을 경우엔 10만 위안 이하의 벌금을 부과한다. 상황이 엄중할 경우 유관 업무(사업) 일시 중지, 휴업, 웹사이트 폐쇄, 관련 사업 허가 취소 또는 영업허가증 회수 등을 명령할 수 있다. 직접적 책임을 맡은 주관자와 기타 책임자에게는 1만~10만 위안의 벌금을 부과한다. 이 법 규정을 위반해 절취 혹은 기타 방식으로 공민 개인정보를 불법으로 절취, 판매하거나 타인에게 제공했을 경우 범죄가 이뤄지지 않았으면 공안 기관은 위법소득을 몰수하고 위법소득의 1배~10배에 달하는 벌금을 부과한다. 위법 소득이 없을 경우에는 10만 위안 이하의 벌금에 처한다. 중요정보 인프라 운용자가 이 법 제30조 규정을 위반해 심사를 거치지 않았거나 보안심사를 통과하지 않은 네트워크 제품이나 서비스를 사용할 경우 주관 부처는 사용중지를 명령하고, 구매금액의 1배~10배에 달하는 벌금을 부과한다. 직접적 책임을 맡은 주무자와 기타 직접적인 책임자는 1만~10만 위안의 벌금을 내야 한다. 중요정보 인프라 운영자가 이 법 규정을 위반해, 국외에 저장된 네트워크 데이터, 또는 보안 평가를 받지 않고 국외 조직 또는 개인에 네트워크 데이터를 제공할 경우, 주관 부처는 시정을 명령하고 경고를 하게 된다. 또 위법 소득을 몰수하고, 5만~50만 위안의 벌금을 부과한다. 유관 사업 일시 중지, 휴업, 웹사이트 폐쇄, 유관 사업 허가 취소 또는 영업허가증 회수 등도 명령할 수 있다. 직접적 책임을 지는 주무자와 기타 직접적인 책임자에게는 1만~10만 위안의 벌금을 부과한다. 네트워크 운영자가 이 법 규정을 위반해 법률과 행정법규에서 발표 또는 전송을 금지한 정보에 대해 전송중지·구매청산 등의 조치와 유관기록 보존을 하지 않을 경우, 주관 부처는 시정을 명령하고 경고한다. 위법 소득도 몰수한다. 운영자가 시정을 거부하거나 상황이 엄중할 경우 10만~50만 위안의 벌금을 부관하고, 유관 사업 일시 중지, 휴업, 웹사이트 폐쇄, 유관 사업 허가 취소 또는 영업허가증 회수 등을 명령할 수 있다. 주요 위반 행위는 첫째, 네트워크 보안 위험과 네트워크 보안 사건을 유관 주관 부처에 보고하지 않을 경우 둘째, 유관 부처에서 법에 의거해 실시하는 감독 검사를 거부·방해할 경우 셋째, 필요한 지원과 협조의 제공을 거부할 경우다. 네트워크 보안을 해치는 행위(제22조)를 했을 경우, 아직 범죄가 이뤄지지 않았거나 기타 이 법 규정을 위반한 행위와 치안관리를 위반한 행위에 대해서는 법에 의거해 치안관리 처벌을 한다. 국가 기관 정무네트워크의 운영자가 이 법 규정의 네트워크 보안 의무를 이행하지 않을 경우 그 상급 기관이나 유관 기관이 시정을 명령한다. 직접적인 책임을 진 주무자와 기타 직접적인 책임자에 대해서는 법에 의거 처분한다. 법적으로 네트워크 보안 감독관리 직책을 책임지고 있는 부처의 업무자가 직무를 소홀히 하고 권한을 남용하며 사리사욕 때문에 불법 행위를 한 경우 범죄 구성이 않았다면 법에 의거해 행정 처분을 한다. 이 법 규정을 위반해 타인에게 손해를 끼칠 경우, 법에 의거해 민사 책임을 지게 한다. 또한 이 법 규정을 위반해 범죄가 구성됐을 경우, 법에 의거해 형사 책임을 지게 한다. 한편 이번 법 초안은 부칙에서 “국가기밀과 관련된 정보를 저장·처리하는 네트워크의 운영 보안 보호의 경우 이번 법을 준수해야 할 뿐 아니라 비밀유지 관련 법률과 행정법규의 규정을 준수해야 한다”고 명시했다. 이어 군사 네트워크와 정보보안, 보호 방법은 공산당 중앙군사위원회에서 제정한다고 밝혔다. [중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
