중국 사이버보안법이란? 준수 시 주요 포인트 설명
제국 데이터뱅크의 ‘특별기획: 일본기업의 ‘중국 진출’ 동향 조사 (2022년)[ja]‘에 따르면, 중국에 진출한 일본기업은 12,706개사에 달한다고 합니다. 중국 관련 비즈니스를 하고 있는 기업은 그보다 많을 것으로 생각됩니다. 중국에서는 2017년에 ‘중국 사이버보안법’이 시행되었습니다.
이에 따라 중국에서 비즈니스를 전개하기 위해서는 법률에 따른 규정 개정과 기술적인 보호 조치를 취해야만 하게 되었습니다. 그러나 어떤 법률인지 모르거나 대응 방법을 모르는 분들도 계실 것입니다.
본 기사에서는 중국 사이버보안법의 개요와 규제 대상, 취해야 할 조치 등을 설명하고자 합니다. 중국에서 비즈니스를 전개하고 있거나 앞으로 진출을 고려하고 있는 분들은 꼭 참고하시기 바랍니다.
중국 사이버보안법 개요
중국 사이버보안법(网络安全法)은 2017년 6월에 시행된 중국의 법률입니다. 이 법률의 목적은 제1조에서 다음과 같이 기술되어 있습니다.
- 네트워크의 안전을 보장한다
- 사이버 공간의 주권, 국가의 안전, 공공의 이익을 보호한다
- 국민, 법인 그리고 기타 단체의 정당한 권리 이익을 보호한다
- 경제 및 사회의 정보화 발전을 촉진한다
네트워크란, ‘컴퓨터나 기타 정보 단말기 및 관련 설비로 구성되어, 일정한 규칙이나 프로그램에 따라 정보를 수집, 저장, 전송, 교환, 처리하는 것(제76조)’으로 정의되며, 인터넷뿐만 아니라 인트라넷도 포함됩니다.
중국 사이버보안법은 EU 일반 데이터 보호 규정(GDPR)이나 일본 개인정보 보호법과는 달리, ‘개인이나 조직 정보의 보호’뿐만 아니라, ‘중국 국가의 안전이나 공공의 이익 보호’를 목적으로 하고 있는 점이 특징입니다. 법률에서는 대상이 되는 사업자에 대해, 사이버보안 등급 보호의 실시와 컴플라이언스 준수, 권리 의무의 명확화 등을 규정하고 있습니다.
보안에 관한 법률로는 중국 데이터 보안법도 있습니다.
관련 기사: 중국 데이터 보안법이란? 일본 기업이 취해야 할 대책을 설명[ja]
중국 사이버보안법의 규제 대상
일본 기업이 중국 사이버보안법의 대상이 되는 경우는 다음과 같습니다.
- 중국 내에서 정보를 취급하는 경우
- 중국에서 일본으로 정보를 이전하는 경우
본사가 일본에 있더라도, 위에 해당하는 경우 법률의 대상이 됩니다. 또한, 규제 대상자에는 ‘네트워크 운영자’, ‘중요 정보 인프라 시설의 운영자’ 등이 포함됩니다.
네트워크 운영자란, 네트워크의 소유자나 관리자, 네트워크 서비스를 제공하는 자를 말합니다.
중요 정보 인프라 시설의 운영자란, 손상을 입었을 때 국가의 안전을 위협할 가능성이 있는 분야(에너지, 운송, 금융, 공공 서비스 등)에서, 파손이나 데이터 유출 등으로 인해 국가 안보, 국민 생활, 공공의 이익을 현저히 해칠 가능성이 있는 시설을 운영하는 자를 지칭합니다.
중국 사이버보안법의 내용
중국 사이버보안법은 다음과 같은 의무를 규정하고 있습니다.
- 사이버보안 등급 설정
- 국가의 강제적 표준 준수
- 실명 등록 요구
- 중요 정보 인프라 시설 운영자에 대한 의무
- 관리 및 대응 체계 구축
여기에서 각각의 세부 사항을 설명합니다.
사이버 보안 등급 설정
중국 사이버 보안법 제21조에 따르면, 네트워크 운영자가 준수해야 할 ‘등급 보호 제도’를 규정하고 있으며, 중국 내에서 네트워크를 소유한 기업이나 조직은 등급 보호 인증을 취득해야 합니다.
등급 보호 제도란 네트워크 보안 관리 체계에 대한 공적인 평가 제도입니다. 대상 범위는 다음과 같습니다.
- 네트워크 인프라
- IoT
- 산업용 제어 시스템
- 대규모 인터넷 사이트·데이터 센터
- 공공 서비스 플랫폼
등급 보호 제도에서는 정보 시스템이 손상됐을 때의 영향 범위나 손해 규모에 따라 다음의 5개 등급으로 분류됩니다.
피해를 입는 대상의 손해 정도 | |||
일반적인 손해 | 심각한 손해 | 특히 심각한 손해 | |
국민 및 법인 등 | 제1급 | 제2급 | 제3급 |
사회 질서·공공의 이익 | 제2급 | 제3급 | 제4급 |
국가의 안전 | 제3급 | 제4급 | 제5급 |
또한, 각 등급별 정의는 다음과 같습니다.
등급 | 정의 |
제1급 | 파괴됐을 경우 관련된 공민, 법인, 기타 조직의 합법적인 권리·이익이 손상되지만, 국가의 안전이나 사회 질서, 공공의 이익에는 영향이 없는 일반 네트워크 |
제2급 | 파괴됐을 경우 관련된 공민이나 법인, 기타 조직의 합법적인 권리·이익에 중대한 손해가 발생하거나, 사회 질서와 공공의 이익에 해가 되지만, 국가의 안전에는 영향이 없는 일반 네트워크 |
제3급 | 파괴됐을 경우 관련된 공민, 법인, 기타 조직의 합법적인 권리·이익에 매우 중대한 손해를 끼치거나, 국가의 안전에 해가 되는 중요 네트워크 |
제4급 | 파괴됐을 경우 사회 질서·공공의 이익을 현저히 손상시키거나, 국가 안전에 매우 중요한 손해를 끼치는 특히 중요한 네트워크 |
제5급 | 파괴됐을 경우 국가의 안전에 매우 중대한 손해를 끼치는 매우 중요한 네트워크 |
이 분류에 따라 준수해야 할 정보 보안 기준을 정하고 있습니다. 네트워크 운영자는 제2급 이상, 중요 정보 인프라 운영자는 제3급 이상의 등급이 적용되는 것이 일반적입니다.
등급 취득을 위해 당국에 등급의 자체 신청을 하지만, 최종적으로는 공안부의 동의를 얻어야 합니다. 또한, 등급 보호 제도에서는 제2급 이상은 평가 기관에 의한 평가를 받아야 한다고 규정하고 있습니다. 등급 보호 제도를 위반할 경우 벌금이 적용될 수 있으므로 주의가 필요합니다.
국가의 강제적 표준 준수
인터넷 제품 및 서비스 제공자가 제공하는 서비스는 국가의 강제적 표준을 준수해야 합니다(제22조). 제공자는 악의적인 프로그램을 설치해서는 안 됩니다.
또한, 제품이나 서비스에 결함이나 취약점, 그 밖의 위험이 발견되었을 경우, 즉시 조치를 취하고 위탁자에게 알리며 관련 관할 당국에 보고해야 합니다.
2021년(2021년) 9월에는 네트워크 운영자를 대상으로 한 ‘인터넷 제품 보안 취약점 관리 규정(网络产品安全漏洞管理规定)’이 시행되었으므로, 이 규정을 참조하여 대응할 필요가 있습니다.
실명 등록이 요구된다
네트워크 연결 서비스, 유선전화 및 휴대전화 네트워크 연결 절차, 정보 공유 서비스, 인스턴트 메시지 서비스 등을 위탁자에게 제공할 때는 위탁자의 실명 등록을 해야 합니다. 위탁자가 실명 등록을 하지 않을 경우, 해당 서비스를 제공해서는 안 됩니다.
또한, 네트워크 운영자는 위탁자가 발신하는 정보가 법률을 위반하고 있지 않은지 심의할 의무도 있습니다.
중요 정보 인프라 시설 운영자에 대한 의무
중요 정보 인프라 시설의 운영자는 네트워크 운영자에게 요구되는 보안 조치를 수행할 뿐만 아니라, 다음과 같은 추가적인 조치들도 필요하다고 여겨집니다.
- 시스템 및 데이터베이스의 정기적인 백업 실시
- 보안 사고에 대한 대응 계획 수립
- 연간 안전 평가
- 데이터 로컬라이제이션
데이터 로컬라이제이션: 데이터가 생성된 국가 내에서 데이터를 저장하고 처리하는 과정
2021년(令和3년) 9월에 시행된 ‘중요 정보 인프라 시설 안전 보호 조례’에서는 중요 정보 인프라 시설의 관리, 인증, 운영자의 의무 등을 더욱 구체적으로 규정하고 있으므로, 이를 참조할 필요가 있습니다.
관리 및 대응 체계 구축
네트워크 운영자에게 요구되는 사항은 다음과 같습니다(제21조).
- 안전 관리 체계 및 운영 규정의 제정
- 네트워크의 안전 책임자 확정
- 보안 사고에 대응하는 대응 계획 수립 및 기술적 조치의 마련
- 네트워크 모니터링 기술 도입, 로그 저장(최소 6개월)
- 데이터 분류, 중요 데이터의 백업 및 암호화 등의 보호 조치
사이버보안법 위반 시 규정
등급 보호 제도에서 요구하는 보안 요건을 위반한 경우, 시정 명령과 경고가 내려집니다. 명령을 거부하거나 네트워크의 안전을 위협한 경우에는 1만 위안 이상 10만 위안 이하의 벌금을 납부해야 합니다. 또한, 직접 책임자에게는 5천 위안 이상 5만 위안 이하의 벌금이 부과됩니다.
악의적인 프로그램을 설치한 경우나 제품이나 서비스의 결함, 보안 취약점 등의 리스크에 대해 조치를 취하지 않을 경우에도 시정 명령과 경고가 내려지며, 이를 거부할 경우 벌금 지불이 발생합니다.
위반 내용에 따라 벌금 액수가 달라지며, 웹사이트 폐쇄나 영업 허가 취소, 개업 업무 중단 등을 명령받을 위험이 있어 주의가 필요합니다. 과거에는 위반으로 인해 벌금 처벌을 받고, 담당자에게는 종신 동업계 종사 금지 처분을 받은 사례도 있어 사이버보안에 대한 대책은 필수적이라고 할 수 있습니다.
일본 기업이 취해야 할 사이버보안법 대책
중국 사이버보안법은 복잡하여 어디서부터 시작해야 할지 모르는 분도 계실 것입니다. 여기에서는 일본 기업이 취해야 할 대책을 설명합니다.
정보시스템 부서 및 DX 관련 부서와의 협력 체계를 갖추기
중국 사이버보안법에 대응하기 위해서는 운영 프로세스 구축, 개인정보 관리 규정의 수립 및 추가 등을 수행해야 합니다. 또한, 등급보호제도에 대응하기 위해 자사 시스템에 대한 기술적 조치가 필수적입니다.
법무나 총무 부서 등이 개별적으로 대응하는 것이 아니라, 정보시스템 부서나 DX 관련 부서와도 협력 체계를 갖추는 것이 필요할 것입니다.
자사가 보유한 각 시스템이 어느 등급에 해당하는지 판단하기
먼저, 자사 시스템의 등급 판정을 합니다. 그 등급에 맞춰 각 부서에서 사이버보안에 따른 대응을 해야 합니다. 법무, 총무, 리스크 관리 부서에서는 법에 대응하는 규정과 운영의 검토 및 개정이 필요하며, 정보시스템·DX 관련 부서에서는 기술적 대응이 필요합니다. 여기에서는 각각의 대응에 대해 설명합니다.
법무, 총무, 리스크 관리 부서
등급에 정해진 사항과 자사의 관리 상황, 정보보안 체계를 비교하여 규정 추가나 운영 체계의 검토를 합니다. 그리고 어떻게 대응할지를 검토하고, 제도의 정비나 개정 등을 수행해야 할 것입니다.
등급이 2급 이상인 경우에는 당국에의 신고도 해야 합니다. 자사가 중요 정보 인프라 시설 운영자로 간주되는 경우에는 3급 이상의 등급보호 인증 취득이 요구됩니다. 또한, 데이터 로컬라이제이션 규제에 대한 대응, 직원들에게 정기적인 정보보안 교육 및 기술 트레이닝 등을 실시해야 하며, 대응해야 할 사항이 많아집니다. 중요 정보 인프라 시설 운영자에 해당할 가능성이 있는 경우에는 자문 변호사 등과 상의하여 대응 방침을 정해두면 안심입니다.
최근 중국에서는 보안 관련 제도가 잇따라 시행되고 있습니다. 따라서 리스크 관리 부서에서는 새로운 규제에 맞춘 리스크 대응이 필요할 것입니다.
정보시스템·DX 관련 부서
정보시스템 부서나 DX 관련 부서에서는 등급에 맞는 보안 보호 조치의 시스템 도입을 해야 합니다. 먼저 자사의 기존 시스템의 보안 보호 조치를 정리하고, 부족한 경우에는 사이버보안법에 맞는 시스템을 통합합니다.
사이버보안법 외에도 데이터 로컬라이제이션 규제, 국경 간 제한, 정부 접근 등에도 대응해야 합니다. 중국 국외로 어떤 데이터를 전송하고 있는지를 파악하고, 자사의 데이터 취득 및 보관 상황을 재검토할 필요가 있습니다.
사이버보안법에서는 규정의 개정만으로 그치지 않고, 기술적인 보호 조치를 취해야 하므로, 대응 부서 간의 협력이 필수적이라고 할 수 있습니다.
요약: 자사의 대응에 어려움을 겪고 계시다면, 전문가에게 상담하세요
중국 사이버보안법은 중국 국가의 안전 보장을 위해 만들어진 제도입니다. 사이버보안법에 대응하기 위해서는 법무부나 총무부에 의한 규정 개정뿐만 아니라 기술적인 보호 조치 등을 실시할 필요가 있습니다.
사이버보안법이 시행된 이후, ‘인터넷 제품 보안 취약점 관리 규정’이나 ‘사이버보안 심사 방법(국가 안전 심사 제도를 구체화하는 제도)’ 등 데이터 컴플라이언스에 관한 법률이 잇따라 제정되고 있습니다. 위반할 경우 벌금이나 웹사이트 폐쇄, 영업 허가 취소 등의 행정 처분을 받을 위험이 있으므로 주의가 필요합니다. 중국에서 사업을 전개하고 있거나 앞으로 계획하고 있다면, 중국 법에 정통한 변호사에게 상담하는 것을 추천합니다.
당사의 대책 안내
모노리스 법률사무소는 IT, 인터넷, 비즈니스 분야에 강점을 가진 법률사무소입니다. 중국, 미국, EU 국가들을 포함한 세계 각국의 사건에 대응해 왔습니다. 해외에서 비즈니스를 전개할 때는 다양한 법적 리스크가 동반되므로, 경험이 풍부한 변호사의 지원이 필수적입니다. 당사는 현지 법률과 규제에 정통하며, 세계 각국의 법률사무소와 협력하고 있습니다.
모노리스 법률사무소의 주요 업무 분야: 국제법무 및 해외사업[ja]