국가정보_중국

  •  미국
  •  일본
  •  영국
  •  독일
  •  호주
  •  캐나다
  •  싱가포르
  •  베트남

법률체계

1개요

중국에는 단일화된 개인정보보호법이 존재하지 않는다. 2008년 개인정보보호법 초안이 국무원에 제출되었으나, 실제로 통과되어 법으로 시행되지는 않았다. 대신 개인정보보호와 관련 내용이 형법 등 다양한 법률에 반영되어 시행되고 있다.

[표 1] 개인정보보호 관련 법률 조항

개인정보보호 관련 법률 조항
법률 조항 주요 내용
형법 253조1 개인정보 판매, 제공, 절도 시 처벌
283조1 네트워크 서비스 제공자가 이용자 정보 유출로 피해 초래 시, 처벌
인터넷 정보보호 강화 결정 전체 개인정보 수집 시 동의, 인터넷 서비스 제공자의 개인정보보호 의무, 개인정보 판매 금지 등
권익침해책임법 62조 의료기관 및 의료 종사자의 환자 사생활 비밀 준수
소비자권익보호법 29조 소비자 개인정보 수집 시 동의, 소비자의 개인정보 유출, 판매, 불법 제공 금지
모바일인터넷앱정보서비스관리규정 7조 이용자 정보 보호 체계 수립, 개인정보 수집 시 동의
통신과 인터넷 이용자 개인정보보호규정 전체 통신과 인터넷 이용자의 권익 보호, 개인정보 수집 시 동의, 개인정보 훼손, 매매, 불법 제공 금지 등
소비자권익침범행위처벌방법 11조 소비자 정보 수집 시 동의, 개인정보 누설, 출판, 불법 제공 금지 등
정보안전기술 공공 및 상용 서비스 정보시스템 개인정보보호지침 전체 개인정보보호 관련 국가 표준으로 개인정보 수집, 가공, 이전, 삭제 단계별로 필요 사항 규정
통신망 사기범죄 방비와 단속에 관한 통보 6조 개인정보 불법 획득, 판매, 제공 금지
인터넷 예약 택시 경영서비스 관리 임시방법 26조, 37조 차량 예약자와 승객의 개인정보 불법 이용 및 누출 금지, 처벌

한편 인터넷과 스마트폰의 보급의 부작용으로 개인정보보호 관련 사건은 지속적으로 발생하였다. 2016년 8월 쉬위위(徐玉玉)라는 산동성의 가정 형편이 어려운 학생이 대학에 합격하였으나, 전화 사기로 대학 등록금을 잃어버렸다. 이후 경찰서에 방문하여 사건 조사를 받은 후 경찰서를 나오다가 심장마비로 쓰러졌고, 병원에 옮겨졌으나 사망하였다. 이 사건은 여러 언론에서 보도되어 큰 사회 문제가 되기도 하였다. 이후 지속적으로 개인정보보호 강화에 대한 필요성이 지적되었다.

결국 중국은 2016년 11월 네트워크 안전법(中华人民共和国网络安全法)을 통과시켰고, 2017년 6월에 시행되었다. 해당 법은 네트워크 안전에 관한 사항들을 규정하고 있으나, 개인정보보호 관련 조항들도 포함하고 있다.

2중국 법률 체계

중국의 입법법(立法法)에서는 중국 법률을 헌법, 법률, 행정법규, 지방성법규, 자치조례․단행조례․부문규장으로 정의하고 있다. 각각은 입법 주체에 따라 구분되며, 상세한 내용은 아래 표와 같다. 특이한 점은 법률이라고 하더라도, 법이라는 명칭을 사용하지 않는 경우도 있고, 각 법률에서 결의(決議), 결정(決定), 규정(規定), 방법(辦法) 등의 명칭을 혼용하는 경우도 있다는 것이다.

[표 2] 중국의 법률 체계

중국의 법률 체계
유형 입법 주체 예시
헌법 전국인민대표대회 헌법
법률 전국인민대표대회 기본법률(민법통칙, 형법)
전국인민대표대회 상무위원회 기본법률 이외(상표법)
행정법규 국무원 인터넷 정보 서비스 관리 방법
지방성 법규 지방 인민대표대회 및 상무위원회 북경시 식품 안전 조례
자치조례, 단행조례, 부문규장 민족자치구역 자치기관 연길 조선족 자치주 자치 조례
국무원 산하 부처 인터넷 뉴스 정보 서비스 관리 규정

3네트워크 안전법

네트워크 안전법(中华人民共和国网络安全法, People's Republic of China Network Security Law)은 번역에 따라 인터넷 안전법, 인터넷 보안법, 사이버 안전법, 사이버 보안법 등으로 번역할 수 있다. 중국어의 “网络”는 네트워크, “互联网”은 인터넷을 의미하나, 혼재되어 사용되기도 한다. 또한 “安全”은 안전을 의미하나, 보안으로 번역하여도 무방하다. 여기서는 네트워크 안전법이란 명칭을 사용한다.

본 법의 적용 대상은 중국 내 네트워크 사업자, 핵심 정보 인프라 시설 운영자 등이다. 네트워크 사업자(网络运营者)는 인터넷 서비스 제공자(Internet Service Provider), 유선전화․ 휴대전화 운영자, 정보 발표 및 메신저 서비스 제공 사업자를 포함하며, 한국 정보통신망법의 정보통신서비스 제공자와 유사한 개념이다. 핵심 정보 인프라 시설(关键信息基础设施)은 파괴․데이터 유출 시, 국가 안전에 중대한 손실이 발생하는 시설로, 한국 정보통신기반 보호법의 정보통신기반시설과 유사한 개념이다. 이외 주요 용어들은 다음 표와 같다.

[표 3] 네트워크 안전법의 주요 용어

네트워크 안전법의 주요 용어
용어 정의 법률
네트워크(网络) 컴퓨터 또는 기타 정보 단말기 및 관련 장비로 구성된 일정한 규칙과 프로세스에 따라 정보에 대한 수집, 저장, 전송, 교환, 처리를 진행하는 네트워크 제76조
네트워크 안전(网络安全) 필요한 조치를 취해 네트워크에 대한 공격, 침입, 방해, 파괴와 불법 사용 및 의외의 사고를 방지하고 네트워크가 안정된 운영 상태를 유지하고 네트워크 데이터의 완결성, 비밀 유지성, 유용성 능력 보장 제76조
네트워크 사업자(网络运营者) 네트워크의 소유자, 관리자와 네트워크 서비스 제공자 제76조
네트워크 데이터(网络数据) 네트워크를 통해 수집, 저장, 전송, 처리와 생성되는 각종 전자 데이터 제76조
개인정보(个人信息) 전자 또는 다른 방식으로 기록되는 단독 또는 기타 정보와 결합하여 자연인의 개인신분을 식별할 수 있는 각종 정보를 지칭하는데, 이름, 출생일, 신분증번호, 개인생물식별정보, 주소, 전화번호 등을 포함 제76조
핵심 정보 인프라 시설(关键信息基础设施) 공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정부 등 중요 산업과 영역에서 일단 파괴, 기능 상실, 데이터 유출이 발생하면 국가 안전, 국가 경제, 국민 생활, 공공이익에 중대한 손상을 줄 수 있는 시설 제31조

법은 7장 79조로 구성되어 있으며, 네트워크 운영 안전, 핵심 정보 인프라 시설 보호, 개인정보보호, 불법 정보 단속, 네트워크 제한 조치, 법률 책임 등을 규정하고 있다. 목적은 “네트워크 안전을 보장하고 네트워크 공간 주권과 국가 안보, 사회 공공 이익을 수호하고 공민, 법인과 기타 조직의 합법적 권익을 보호하면서 경제 사회 정보화의 건전한 발전을 촉진”하는 것이다. 적용 범위는 “중화인민공화국 경내에서의 네트워크 구축, 운영, 유지와 사용 및 네트워크 안전의 감독 관리”이다. 법의 주요 내용은 다음 표와 같다.

[표 4] 네트워크 안전법의 주요 내용

네트워크 안전법의 주요 내용
분야 항목 조항 내용
네트워크 운영 안전 1. 네트워크 사업자의 안전 보호 의무 21조

국가는 네트워크 안전 등급 보호 제도를 시행

네트워크 사업자는 네트워크 안전등급 보호 제도의 기준에 따라, 안전 보호 의무 이행

  • 내부의 안전관리제도와 운영규정을 제정하고 네트워크 안전 책임자를 지정하여 네트워크 안전 보호 책임 이행
  • 컴퓨터 바이러스와 네트워크 공격, 네트워크 침입 등 네트워크 안전 침해행위를 방지하는 기술 조치 시행
  • 네트워크 운행 상태와 네트워크 안전 사건의 기술 조치를 검사, 기록하고, 네트워크 일지를 최소 6개월간 보존
  • 데이터 분류, 중요한 데이터 백업과 비밀번호 설정 조치 시행

2. 네트워크 제품 및 서비스 22조

네트워크 제품, 서비스는 관련된 국가표준, 업계표준에 부합하여야 하고, 악성 프로세스 설치 금지

네트워크 서비스 제공자는 네트워크 제품, 서비스의 안전 결함, 취약성 등의 위험을 발견하면, 즉시 보완조치를 취하고, 규정에 따라 이용자에게 고지하고 유관 주관 부문에 보고

3. 네트워크 핵심 장비 및 네트워크 안전 전용 제품에 대한 안전 인증, 안전 검측 제도 23조

네트워크 핵심 장비와 네트워크용 제품은 안전 인증 합격 또는 안전 검측 기준에 부합하여야 판매 또는 제공 가능

국가 네트워크 정보 부문, 국무원 유관 부문은 네트워크 핵심 장비, 네트워크 안전 전용 제품의 목록을 제정 및 발표하고, 안전 인증과 안전 검측 결과의 상호 인증을 추진

4. 이용자 실명제 24조

네트워크 사업자는 네트워크 접속, 도메인 등록 서비스, 유선전화, 휴대전화 등의 가입 수속 시, 혹은 이용자를 위해 정보 발표(信息发布), 메신저 등의 서비스 제공을 위해 이용자와 협의 체결 시, 이용자 신원 정보 확인 필요

5. 네트워크 사업자의 안전 위험 대처 25조

네트워크 사업자는 네트워크 안전 사건의 비상 매뉴얼을 제정하여 적시에 시스템의 취약성, 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 등 안전 위험에 대처

네트워크 안전에 해를 가하는 사건이 발생할 경우, 즉시 비상 매뉴얼을 가동하여 상응한 보완조치를 취하고 규정에 따라 관련 주무 부문에 보고

6. 네트워크 사업자의 공안기관 협조 28조

네트워크 사업자는 공안기관, 국가안보기구의 안보 및 범죄 활동 조사를 위해 기술 지원과 협조 제공

핵심 정보 인프라 시설 보호 1. 핵심 정보 인프라 시설 보호 31조

공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정부 등 중요 산업과 영역에서 일단 파괴, 기능 상실, 데이터 유출이 발생하면 국가 안전, 국가 경제, 국민 생활, 공공이익에 중대한 손상을 끼칠 수 있는 핵심 정보 인프라 시설에 대하여, 네트워크 안전 등급 보호 제도에 기반하여, 중점 보호 실행

※ 핵심 정보 인프라 시설의 구체적인 범위와 안전 보호 방법은 국무원이 제정

2. 핵심 정보 인프라 시설 안전 보호 의무 34조

전문 안전 관리 기구 설치, 안전 관리 책임자 지정, 안전 배경 심사

네트워크 안전 교육, 기술 교육, 기능 평가 진행

주요 시스템 데이터베이스의 재난 대비 백업

네트워크 안전 사건 비상 매뉴얼 제정, 정기 훈련

3. 핵심 정보 인프라 시설 사업자의 네트워크 제품 및 서비스 구매 35조

핵심 정보 인프라 시설 사업자의 네트워크 제품 또는 서비스 구매가 국가 안보에 영향을 줄 수 있을 경우, 국가 네트워크 정보 부문이 국무원의 관련 부문과 함께 구성한 국가 안전 심사 통과 필요

4. 핵심 정보 인프라 시설의 개인정보 및 중요 업무 데이터 국내 저장 37조

핵심 정보 인프라 시설 사업자는 중국 경내에서 운영 중 수집하고 생성한 개인정보와 중요 업무 데이터를 반드시 경내에 저장

업무의 필요에 의해 반드시 해외에서 저장 또는 해외 기관 또는 개인에게 제공해야 할 경우, 국가 네트워크 정보 부문이 국무원의 유관 부문과 함께 제정한 방법에 따라 안전 평가를 진행

5. 핵심 정보 인프라 시설 사업자의 검사 및 평가 38조

핵심 정보 인프라 시설 사업자는 자체적으로 또는 전문기관에 의뢰하여 네트워크 안전성 등에 대해 매년 최소한 한 차례의 검사와 평가를 진행하여, 해당 부문에 결과 보고

개인정보 보호 1. 이용자 비밀 유지 40조

네트워크 사업자는 수집한 이용자 정보에 대해 반드시 엄격하게 비밀을 유지하고, 이용자 정보보호 제도를 정착

2. 개인정보 수집 및 사용 41조

네트워크 사업자의 개인정보 수집 및 사용은 합법, 정당, 필요의 원칙을 준수하고 정보 수집과 사용의 목적, 방식과 범위를 공지하고 수집 대상자의 동의 필요

네트워크 사업자는 제공 서비스와 무관한 개인정보를 수집해서는 안 됨

네트워크 사업자는 법률, 행정법규의 규정과 쌍방의 약정을 어기면서 개인정보를 수집 및 사용해서는 안 됨

네트워크 사업자는 법률, 행정법규의 규정 또는 이용자와의 약정을 준수하면서 저장 및 보관하고 있는 개인정보를 처리

3. 개인정보 유출, 변조, 훼손 금지 42조

네트워크 사업자는 수집한 개인 정보를 유출, 변조, 훼손해서는 안 되며, 수집 동의를 받지 않으면, 타인에게 개인 정보를 제공해서는 안 됨. 특정 개인을 식별할 수 없도록 처리하여 복원할 수 없는 경우는 제외

네트워크 사업자는 기술 조치와 기타 필요한 조치를 취해 수집한 개인정보의 안전을 확실히 보장하고 그가 수집한 개인정보의 유출, 훼손, 분실을 방지

개인정보 유출, 훼손, 분실 상황이 발생하거나 또는 발생할 가능성이 있을 경우, 즉시 보완조치를 취하고, 적시에 이용자에게 고지 및 관련 주관 부문에 보고

4. 개인정보 삭제 및 정정 요구 권리 43조

개인은 네트워크 사업자가 규정 또는 약정을 어기고, 개인정보를 수집․사용하는 것을 발견 시, 개인정보 삭제를 요구할 수 있으며, 본인의 개인정보 오류 존재 시, 정정 요구 가능

5. 개인정보 매매 등 금지 44조

개인정보 절도, 취득, 불법 판매, 불법 제공 금지

6. 개인정보 비밀 유지 45조

유관 부문은 직책 이행 과정에서 알게 된 개인정보, 사생활 등의 비밀 유지, 유출․판매․제공 금지

불법 정보 단속 1. 개인 및 조직의 불법 사이트, 통신 그룹 개설 금지 46조

개인과 조직은 사기, 범죄방법 전수, 금지물품․통제 물품 제작 또는 판매 등 불법 범죄 활동을 실시하는 사이트․통신그룹을 개설 금지

해당 사이트를 이용하여 사기, 금지물품․통제물품 제작 또는 판매 그리고 기타 불법 범죄 활동에 관련된 정보 공개 금지

2. 네트워크 사업자의 불법 정보 차단 및 보고 47조

법률에서 발표․전송 금지 정보 발견 시, 발송 중단, 제거, 확산 방지, 기록 보관 등의 조치 수행 및 유관 부처 보고

3. 응용 소트웨어 등에 불법 정보 포함 금지 48조

전자 정보나 응용 소프트웨어에 악성 프로세스를 설치해서는 안 되며, 법률이 금지하는 정보를 포함해서는 안 됨

네트워크 제한 조치 1. 국가기관의 네트워크 제한 조치 58조

국가 안보, 사회 질서 유지 등을 위하여 국무원의 결정․비준에 의해, 특정 지역에서 네트워크 통신 제한 등의 임시 조치 가능

법률 책임 1. 법 위반에 따른 처벌 59~69조

위반 조항 및 정도에 따라서 벌금 부과, 불법 소득 몰수, 구류, 업무 일시 중단, 영업 중단 및 정돈, 웹 사이트 폐쇄, 관련 서비스 인허가 취소, 사업자 등록 말소 등 조치

4관련 법령

안전법 제정 이후 법의 주요 내용을 상세히 규정하는 하위 법령이 지속적으로 발표되었다. 관련 법령 목록은 다음 표와 같다.

[표 5] 네트워크 안전법 및 관련 법령 목록

네트워크 안전법 및 관련 법령 목록
제정 일자 이름(국문) 이름(중문) 성격 제정 주체
2016.11.7. 네트워크 안전법 中华人民共和国网络安全法 법률 전국인민대표대회
2017.5.2. 네트워크 제품과 서비스 안전 심사 방법(시행) 网络产品和服务安全审查办法 (试行) 부문규장 국가 인터넷 정보 판공실
2017.5.27. 정보 안전 기술, 데이터 국외 반출 안전 평가 지침 信息安全技术数据出境安全评估指南 추천성 국가 표준(GB/T) 전국정보안전 표준화기술위원회
2017.6.1. 네트워크 핵심 설비와 네트워크 안전 전용 제품 목록(1차) 网络关键设备和网络安全专用产品目录(第一批) 참고 자료 국가 인터넷 정보 판공실
2017.7.10. 핵심 정보 인프라 시설 안전 보호 조례(의견 수렴안) 关键信息基础设施安全保护条例(征求意见稿) 부문규장 국가 인터넷 정보 판공실
2019.4.10. 인터넷개인정보안전보호지침 互联网个人信息安全保护指南 부문규장 공안부
2019.5.21. 네트워크안전심사방법
(의견수렴안)
网络安全审查办法
(征求意见稿)
부문규장 국가 인터넷 정보 판공실
2019.5.28. 데이터안전관리방법
(의견수렴안)
数据安全管理办法
(征求意见稿)
부문규장 국가 인터넷 정보 판공실
2019.6.4. 네트워크핵심설비 안전검사실시방법
(의견수렴안)
网络关键设备安全检测实施办法
(征求意见稿)
부문규장 공업정보화부
2019.6.13. 개인정보 국외전송 안전평가방법(의견 수렴안) 个人信息出境安全评估办法(征求意见稿) 부문규장 국가 인터넷 정보 판공실

특이한 점은 한국의 법령 명명 체계와 방식이 상이하다는 점이다. 한국에서는 일반적으로 법, 시행령, 시행규칙․고시 등이 동일한 이름을 사용한다. 예를 들어, <개인정보 보호법>, <개인정보 보호법 시행령>, <개인정보 보호법 시행규칙> 등으로 명명하고, 상위 법령에서 “상세한 사항은 하위 법령에서 정한다”라고 명시하여 법령간의 계층 구조가 비교적 분명한 편이다. 그러나 중국 법령은 비록 본문에서 상위 법령을 명시하고 있지만, 이름만으로는 관련성을 확인하기 어렵다는 특징을 가진다.

5한국 법률과 비교 및 분석

네트워크 안전법은 전체적인 구성은 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 유사하며, 일부 조항은 개인정보 보호법, 정보통신기반 보호법의 조항과 유사하다. 개인정보보호 항목만으로 한정하여 비교하면 다음 표와 같다.

한국 법률과 비교 및 분석
구분 네트워크 안전법 개인정보 보호법
시행년도 2017년 6월 2011년 9월
성격 법률 법률
목적

네트워크 보안 보장

네트워크 공간 주권과 국가안보

사회공공이익 수호하고 공민, 법인과 기타 조직의 합법적 권익 보호

경제사회 정보화의 건전한 발전을 촉진

개인정보의 처리 및 보호

개인의 자유와 권리 보호

개인의 존엄과 가치를 구현 목적

적용대상

네트워크 사업자

핵심정보 인프라 시설 사업자

업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인
개인정보 정의 전자 또는 다른 방식으로 기록되는 단독 또는 기타 정보와 결합하여 자연인의 개인 신분을 식별할 수 있는 각종 정보를 지칭하는데, 이름, 출생일, 신분증번호, 개인생물식별정보, 주소, 전화번호 등을 포함 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 의미함
구성 7장 79조 9장 76조
top