• Legalinsight
  • Legaledu
  • 법률신문 뉴스

    연구논단

    중국 <핵심정보인프라시설안전보호조례> 시행

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [2021.10.15.]



    2021년 7월 30일 중국 국무원에서 공표한 <핵심정보인프라시설안전보호조례[1] >(이하 “CII보호조례”)가 지난 2021년 9월 1일부터 시행되었습니다. 'CII보호조례'는 그 상위 법규정인 <네트워크안전법[2]>에 따라 제정된 핵심정보인프라시설의 안전과 보호에 관한 특정 행정법규로서, 인터넷 비즈니스를 영위하는 기업들이 유의하여야 할 법규입니다. <네트워크안전법>, <데이터안전법>에 이은 'CII보호조례'의 제정으로 중국의 네트워크 및 데이터 안전에 관한 법규는 보다 체계적인 모습을 갖추게 되었습니다.


    [각주1~2] 생략


    'CII보호조례'는 총 6장 51조항으로 구성되어 있으며, 총칙, CII 인정, 운영자의 책임 의무, 보장과 촉진, 법률책임 및 부칙을 포함하고 있습니다. 아래에서는 'CII보호조례'의 핵심내용에 대해 살펴보겠습니다.



    1. 핵심정보인프라시설(Critical Information Infrastructure: CII)의 범위를 명확히 규정

    “핵심정보인프라시설”은 영문으로 Critical Information Infrastructure (CII)라고 번역하며 2016년 제정되어 시행된 중국<네트워크안전법>에서 도입된 개념입니다. 핵심정보인프라시설은 네트워크[3](인터넷)보다 좁은 개념으로서 핵심정보인프라시설 운영자는 네트워크 운영자[4]에 비하여 강화된 의무를 부담하도록 규정하고 있습니다.

    TPY_1.jpg



    [각주3] 컴퓨터 또는 기타 정보단말기 관련 설비로 구성되어 일정한 규칙과 절차에 따라 정보에 대한 수집, 저장, 전송, 교환, 처리를 하는 시스템(네트워크안전법 제76조)


    [각주4] 네트워크 운영자는 기본적으로 다음과 같은 의무들을 부담합니다.

    ① 내부 안전관리제도 및 운영규정 제정, 네트워크 안전책임자 지정, 보호책임 세분화

    ② 바이러스, 해킹 방지를 위한 기술적 조치 시행

    ③ 네트워크 운영상태 및 안전사고 기술 조치 기록 및 모니터링, 일지 최소 6개월 이상 보관

    ④ 데이터 분류, 중요 데이터 백업 및 암호화

    ⑤ 법률, 행정법규에서 규정한 그 밖의 의무

    핵심정보인프라시설 운영자는 네트워크 운영자의 의무를 부담하는 동시에 그 밖의 추가적 의무들을 부담합니다.


    “핵심정보인프라시설”은 (i) 공공통신과 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정무, 국방과학기술공업 등 중요 산업과 영역에서의 중요 네트워크시설, 정보시스템 등 및 (ii) 일단 파손, 기능을 상실하게 되거나 데이터가 유출되는 경우 국가안전, 국가경제와 국가생활, 공공이익에 엄중한 위험(피해)을 초래하는 중요 네트워크시설, 정보시스템 등을 가리킵니다('CII보호조례' 제2조).[5]


    [각주5] 참고로, 2016년 6월에 발표된 <국가 네트워크 보안검사 운영지침>에서는 핵심정보인프라시설에는 (i) 정당 및 정부 기관 웹사이트, 기업 및 업체 사이트, 뉴스 웹사이트 등과 같은 사이트 류, (ii) 실시간 통신, 온라인 쇼핑, 온라인 결제, 검색엔진, 전자메일, 커뮤니티, 지도, 오디오 및 동영상 등 네트워크 서비스와 같은 플랫폼 류, (iii) 사무와 업무시스템, 산업 제어 시스템, 대형 데이터 센터, 클라우드 컴퓨팅 플랫폼, TV 중계 시스템 등과 같은 생산 비즈니스 류가 포함된다고 유형별로 구분하고 있음.


    구체적으로 위 (i)항의 중요 산업과 영역에서의 주관부처, 감독부처(이하 총칭하여 “CII보호 주관부처”)가 CII 안전보호업무를 책임지며, CII보호 주관부처는 해당 산업, 영역에서의 실무에 따라 아래 요소들을 감안하여 “CII 인정규칙”을 제정하고 국무원 공안부서에 등록을 진행해야 합니다(제9조).


    (1) 네트워크시설, 정보시스템 등의 해당 산업, 해당 영역에서의 핵심업무에 대한 중요성

    (2) 네트워크시설, 정보시스템 등 일단 파손, 기능을 상실하게 되거나 데이터가 누설되는 경우, 초래하게 될 위험(피해) 정도

    (3) 기타 산업, 영역에 미치는 연관되는 영향


    한편, 핵심정보인프라시설에 중대한 변화가 발생하여 인정결과에 영향을 미칠 가능성이 존재하는 경우 운영자는 적시에 CII보호 주관부처에 관련 상황을 보고해야 하며 CII보호 주관부처는 보고를 받은 날로부터 3개월 내에 재인정을 진행하여 그 결과를 운영자에게 고지하고 국무원 공안부서에 등록해야 합니다(제11조).



    2. 핵심정보인프라시설운영자(Critical Information Infrastructure Operator: CIIO)의 의무

    'CII보호조례'에서는 핵심정보인프라시설운영자(CIIO)의 주체적 책임을 강화하여 시행해야 한다고 명시적으로 규정하면서 제3장에서 운영자의 책임의무에 대해 별도 규정을 두었으며 아래와 같은 주요 의무를 부과하고 있습니다.


    (1) 안전보호조치는 핵심정보인프라시설과 함께 동시에 기획하여 구축되고 사용되어야 함

    (2) 운영자는 네트워크안전 보호제도와 책임제도를 구축하고 인력, 재력, 물자가 투입되도록 보장해야 함

    (3) 운영자는 전문안전관리기구(본 보호조례에서 정한 직책을 이행해야 함)를 설립하고 전문안전기구의 책임자 및 핵심직무인력에 대한 안전배경조사를 실시해야 하며, 전문안전관리기구의 운영경비, 상응한 인력배치를 보장해야 함

    (4) 운영자는 자체적으로 또는 네트워크안전서비스기관에 위탁하여 핵심정보인프라시설에 대해 매년 적어도 1회 이상의 네트워크안전검사 및 위험평가를 진행하고, 발견된 안전이슈에 대해서는 적시에 시정하고 핵심정보인프라시설 보호 주관부처의 요구에 따라 보고해야 함

    (5) 핵심정보인프라시설에 중대한 네트워크안전사건이 발생하거나 중대한 네트워크안전위험이 발생하게 되는 경우, 운영자는 관련 규정에 따라 CII보호 주관부처, 공안기관에 보고해야 함

    (6) 운영자는 안전하고 신뢰할 수 있는 네트워크 제품 및 서비스를 우선적으로 조달해야 하며 국가안전에 영향을 미칠 수 있는 네트워크 제품 및 서비스를 조달하는 경우 국가네트워크안전규정에 따라 안전심사에 통과해야 함. 또한, 운영자는 네트워크 제품 및 서비스를 조달함에 있어 그 제공자와 안전비밀유지계약을 체결해야 하여 제공자의 기술지원과 안전비밀유지의무 및 책임을 명확히 하고 그 의무와 책임 이행에 대해 감독해야 함


    참고로, <데이터안전법>에 따르면 핵심정보인프라시설운영자가 중국 역내에서 운영하는 과정에 수집하고 생성한 개인정보와 중요 데이터는 중국 역내에 저장해야 하며, <네트워크안전법> 및 2021년 11월 1일부터 시행하게 될 <개인정보보호법>에 의하면, 핵심정보인프라시설운영자는 업무수요로 인해 중국 역외로 데이터와 개인정보를 제공하는 경우 국가네트워크정보부서가 조직하는 안전평가에 통과되어야 합니다.



    3. 시사점

    'CII보호조례'는 <네트워크안전법>의 입법 취지에 따라 핵심정보인프라시설 인정, 핵심정보인프라시설 보호조치 및 핵심정보인프라시설 관련 각 주체(감독기관, 관리기관, 운영자 등)의 직책 등 핵심정보인프라시설 안전보호 전반에 거쳐 구체적으로 규정하고 있습니다. 중국에 진출한 한국기업으로서는 우선적으로 'CII보호조례'에 근거하여 현재 중국 내 자회사가 처리하는 네트워크시설, 정보시스템이 핵심정보인프라시설에 해당하는지 여부에 대해 자체 평가를 진행하고 핵심정보인프라시설 인정 관련 세부 규정 등을 지속적으로 모니터링하면서 핵심정보인프라시설에 해당되는 것으로 판단되는 경우 조속히 'CII보호조례'에 따른 컴플라이언스 시스템을 마련하고 관련 의무를 이행할 필요가 있겠습니다.



    김성욱 변호사 (sungwook.kim@bkl.co.kr)

    김응걸 외국변호사 (yingjie.jin@bkl.co.kr)

    이금도 외국변호사 (jindu.li@bkl.co.kr)


    리걸북스

    더보기

    리걸에듀

    더보기

    리걸인사이트 TV

    더보기