본문 바로가기

Work/IT

한국인터넷 진흥원 주관 중국 개인정보보호 대응실무 주제발표

중국 개인정보 보호 대응실무라는 주제를 가지고 여러분과 30정도 소통할 AZ글로벌 대표 신판수 입니다.

저는 IT업계에서 20년 넘게 협업에서 실무로 일하고 있으며 국에서 12 IT업계에 종사하고 있습니다.

 

저는 법조계 종사자가 아니라 법보다는 기업IT(데이터) 관점에서 개인정보 보호 관련 대응 실무에 대한 내용을 가지고 여러분과 함께 소통을 하려고 합니다.

 

중국에서 개인정보 관련 법률은 7개 법으로 예상하며 A사의 경우 성에 대한 자체적 검토 결과 대상 법규에 4개 법률로 지정했습니다.

 

201761일 발효된 네트워크안전법“, 201911일 발효된 전자상거래법", 올해 91일 발효된 데이터안전법“, 그리고 111일 발효된 개인정보보호법이 개인정보에 관련된 사업에 영향성이 크다고 판단하였습니다.

 

 

세계적으로 IT관련된 법안 중 제일 엄격한 법안은 개인정보관련 법입니다. 데이터의 소유에서 기업의 부가 창출되고 데이터 격차는 바로 기업의 격차로 직결되고 있습니다. 기업들이 데이터 독점을 꾀하고 있으며 이러한 기업들은 자신이 보유한 플랫폼의 위상을 통해 데이터를 무섭게 쓸어 담고 있습니다.

 

이런 상황에서 중국은 지속적으로 IT관련 률 및 제도를 발표하고 규제를 강화하고 있습니다. 내수시장 성장에 따라 개인정보 처리가 증가하므로 관련 법규/지침을 분석하고 기업은 관련 서비스 현황을 파악하여 평가한 후 대처방안을 강구해야 합니다.

 

대상 법규 부분을 이야기하고 내용을 설명한다

대처방안은 법규/지침 분석, 서비스 현황 파악, 사업 영향성 검토, 개선방안 수립, 그리고 개선 이행입니다.

IT서비스 현황을 파악했다면 법규를 분석하여 영향성을 검토하면 보안 필수 요건을 20 키워드를 선정할 수 있습니다. 20 키워드는 관리체계와 시스템 체계로 구분됩니다.

 

관리체계(14)는 제도/교육/문서 등으로 내부적인 관리를 의미합니다. 정책운영, 책임자지정, 보안교육, 등급관리, 유출통지, 국외이전 계약, 신고처리, 권리보장, 현황공개, 수집동의, 제공/위탁 확인, 수탁사관리, 보안등급취득, 개인정보 Risk평가 구분됩니다.

 

시스템체계(6)는 장비/소프트웨어 등으로 외부적 관리를 의미합니다. 데이터 현지화, 개인정보 파기, 침해사고 대응, 암호화/접근통제, 취약점 조치, 이력관리/모니터링 으로 구분됩니다.

 

데이터는 반드시 중국 경내에 저장을 해야 하며 경외로 전송 시 안전평가를 진행해야 합니다.

 

네트워크안전법 21조에 의해 IT시스템별로 보안 등급을 취득 여부도 확인하셔야 합니다. 보안등급은 크게 5등급으로 나누며 데이터 기업의 경우 데이터 건수에 따라 2등급과 3등급을 취득하시면 됩니다.

 

202291일부터는 데이터경외전송 평가 방법을 시행했습니다. 앞으로 데이터를 경외 즉 중국에서 발생된 데이터를 중국에 저장하고 중국이 아닌 다른 국가로 데이터를 전송할 경우 안전평가를 진행하고 전송을 해야 합니다.

기술적인 측면에서 보면 전송시 암호화와 민감정보 필드 암호화가 기본입니다.

중국 개인정보보호법 법률 위반 시 제재는 EU의 경우 중대한 위반 시 전년도 매출액의 최대 4% 벌금이지만 중국은 최대 5%로 규정하고 있습니다. 33조부터 36조는 국가기관도 엄격히 준수해야 하며 본법 규정에 적용된다. 라는 내용도 있습니다.

 

이런 여러가지 내용을 본다면 중국 정부가 개인정보보호법에 대한 좀 더 강력한 의지가 알 수 있습니다.

기업은 앞으로 개인정보를 다룰 때 합리적인 목적으로 수집, 처리, 이용하여 피해가 없도록 준비해야 할 것입니다.

카카오톡 먹통 원인은 데이터센터의 화재가 원인이고 화재로 인해 데이터센터 전원공급이 차단되면서 서비스 장애가 발생되었다고 합니다. 일반적인 기업들은 물리적으로 위치가 떨어진 곳에 이중화 장비를 구성하여 화재나 지진 등 재해로 인해 서비스가 불가한 경우 해당 장비를 가동하여 복구 시스템이 동작합니다. 카카오톡의 경우 장애가 발생한지 몇 시간이나 지나도록 복구를 못한다는 것은 이러한 재해복구 시스템을 갖추지 못한 것으로 보여집니다. 이번 사태로 인해 부가통신사업자에 대해서는 시스템이중화를 의무화 법률을 제정하기로 하였습니다.

 

중국의 경우는 어떨까요?

중국 20대 당대회 개막식에 당서기는 19대에 없었던 3가지를 강조했습니다. 과학진흥, 의법치국, 그리고 국가안전. 이제 중국은 IT 대국에서 강국으로 방향을 바꾸고 있습니다.

 

네트워크안전법은 5등급으로 등급을 나누어 시스템을 관리 평가합니다. 일반적인 기업이 취득하는 3등급의 경우 크게 10개로 분류하여 131개 항목을 평가하고 있습니다. 4번 안전계산환경에 데이터백업 및 복구 항목에는 데이터는 백업 및 복구를 하여야 하며 위치가 다른 장소에 실시간 백업을 제공해야 한다 라는 항목을 만족해야 합니다. 금융업의 경우 시스템이중화는 필수이며 이중화시스템의 경우 운영중 시스템에서 100km 이상 위치에 데이터센터를 요구하고 있습니다.