중화인민공화국 사이버보안법과 비교해 중국 데이터보안법은 해외 관할권에서 획기적인 성과를 거두었다
1. "데이터"의 개념을 보완하고 확장합니다.
시행된 '사이버보안법'은 '데이터'를 정의하는 것이 아니라 '네트워크 데이터'(인터넷을 통해 수집, 저장, 전송, 처리, 생성된 다양한 전자적 데이터)와 '개인정보'를 사용한다. 정보"(전자적 또는 기타 방식으로 기록되어 자연인을 단독으로 또는 다른 정보와 결합하여 식별할 수 있는 다양한 정보). 두 개념은 실제로 시민의 온라인 활동 참여에 있어 다양한 전자 데이터 및 데이터의 사용을 포괄합니다. 개인정보가 포함된 오프라인 데이터.
법적 관점의 차이로 인해 '정보보호법'에서는 '데이터'를 '전자적 또는 비전자적 형태의 정보에 관한 기록'으로 직접적이고 간결하게 정의하고 있으며, 그 보호 범위는 "네트워크 보안법"의 법률이 크게 확대되어 전자 기록과 기타 방식으로 기록된 정보를 데이터 범주로 통합했습니다. 이는 디지털 시대의 정보 보안 요구 사항을 충족할 뿐만 아니라 전반적인 새로운 요구 사항에도 적응합니다. 디지털 경제시대의 정보보호와 정보보안 전반.
2. '데이터 보안법'은 특정 '역외 효력'을 가지며, 관련 외국법의 '장거리 관할권'에 대응할 수 있는 법적 근거를 제공합니다.
'네트워크 보안법'과 비교하면, "이 법은 중화인민공화국 영토 내 네트워크의 구축, 운영, 유지 및 사용과 네트워크의 감독 및 관리에 적용됩니다. 네트워크 보안', '데이터 보안법'은 더 나아가 '중화인민공화국의 국가 안보, 공익 또는 정당한 권리를 침해하는 데이터 활동을 수행하는 중화인민공화국 외부의 조직 및 개인'을 규정하고 있습니다. 시민이나 조직의 이익은 법에 따라 책임을 져야 합니다. "오늘날 인터넷의 급속한 발전으로 인해 데이터 수집 및 저장은 이미 국경의 제한을 넘어섰습니다. 예를 들어 EU의 GDPR은 다음과 같습니다. 역외 데이터 보안 관할권의 범위를 크게 확대했습니다. GDPR은 효과 원칙에 더 많은 관심을 기울입니다. 객관적인 효과가 해당 국가 또는 지역의 자연인의 개인 데이터를 처리하는 것이라면 GDPR이 적용됩니다. '정보보호법'에 '역외영향'을 추가한 것은 우리나라의 국가주권과 국민 개인의 권리를 보호하는데 있어서 큰 의미를 갖습니다.
3. 두 법률 모두 '중요 데이터'라는 개념을 언급했지만 실무상 통제 규모의 문제로 그 범위가 명확하게 정의되지 않았다.
'사이버보안법'은 중요 데이터의 분류 보호 및 유출을 규정하고 있습니다. 법 21조는 네트워크 사업자가 "데이터 분류, 중요 데이터 백업, 암호화 등의 조치를 취해야 한다"고 규정하고 있다. 또한 '정보보호법' 제25조에서는 중요정보를 처리하는 자가 정보보호책임자와 관리기관을 설치하도록 규정하고 있습니다. 어느 법률에서도 중요한 데이터의 범위를 규정하고 있지 않으나, 기타 관련 법률 및 규정의 정의를 통해 이를 식별하고 참고할 수 있습니다. 예: 2019년 5월 28일 국가인터넷정보보호원은 '정보보호관리조치(개인정보보호관리조치)'를 발표했습니다. 모집)의견안)》. '중요데이터'를 '중요데이터'라 함은 미공개 정부정보, 대규모 인구, 유전건강, 지리 등 일단 유출되면 국가안보, 경제안보, 사회안정, 공중보건 및 안전에 직접적으로 영향을 미칠 수 있는 데이터를 말한다. , 광물 자원 등 중요 데이터에는 일반적으로 기업의 생산 및 운영 정보, 내부 관리 정보, 개인 정보 등이 포함되지 않습니다.
4. '데이터 보안법'은 더 넓은 평가 범위를 갖춘 새로운 '데이터 보안 평가 시스템'을 확립합니다.
'사이버보안법'과 '개인정보의 안전성 평가 및 중요 데이터 국외 이전에 관한 대책(의견안)'과 '정보보안 관리에 관한 대책(의견안)'에서는 데이터의 해외 수출에 대한 보안 평가 제도가 규정되어 있으나, 위 시스템은 데이터나 중요 데이터의 수출 과정에서의 평가에 국한됩니다. 예를 들어, 사이버 보안법 제37조는 다음과 같이 규정합니다. 핵심 정보 인프라 운영자가 중화인민공화국 영토 내에서 운영하는 동안 수집하고 생성한 개인 정보 및 중요한 데이터는 해당 영토 내에 저장되어야 합니다. 업무상의 필요로 인해 해외에 정보를 제공할 필요가 있는 경우 국가 사이버 보안 및 정보화 부서가 국무원 관련 부서와 협력하여 제정한 방법에 따라 보안 평가를 실시해야 합니다. "데이터 보안법"에 규정된 데이터 보안 평가는 더 넓은 범위를 가지며 중요한 데이터 처리자의 모든 데이터 활동을 대상으로 합니다.
"데이터 보안법" 제28조는 다음과 같이 규정합니다. "중요 데이터 처리자는 규정에 따라 데이터 활동에 대한 정기적인 위험 평가를 실시하고 위험 평가 보고서를 관련 주무 기관에 제출해야 합니다. 위험 평가 보고서에는 다음과 같은 정보가 포함되어야 합니다. 중요한 데이터의 종류와 양, 데이터의 수집, 저장, 처리 및 사용, 데이터 보안 위험과 그에 대한 대책 등."
법 집행 사례 분석
2018년 사이버 보안법 집행 사례를 살펴보면 기관, 기관, 기업의 규정 준수 위험은 주로 네트워크 보안 수준 보호에 집중되어 있습니다. , 개인정보 보호, 네트워크 정보 내용 검토, 네트워크 제품 및 서비스 등 '데이터 보안법'이 아직 공식적으로 시행되지 않았기 때문에 기업 규정 준수에 참고가 되는 사이버 보안법의 법 집행 및 처벌 조치의 초점을 참고할 수도 있습니다. 및 정보 보안 지뢰밭. 회사 자체의 네트워크 보안 방어 시스템을 개선합니다.
1. '사이버보안법'의 주요 책임주체는 네트워크 사업자입니다.
기업의 경우 사이버 보안법 제76조 3항에 따라 네트워크 운영자는 네트워크의 소유자, 관리자 및 네트워크 서비스 제공자를 의미합니다. 특정 법 집행 사례에 따라 책임 주체는 주로 다음 세 가지 범주에 집중되어 있습니다. 정보 공개 기능을 갖춘 웹사이트 및 플랫폼 운영자(예: Sina Weibo, WeChat 공개 플랫폼, Baidu 및 Toutiao); 학교, 대학 및 기타 기관.
'개인정보보호법'에 따른 주요 책임자는 중요정보의 처리자입니다. "4장 데이터 보안 보호 의무"에는 27조 중요 데이터 처리자는 데이터 보안 책임자와 관리 기관을 명확히 정의하고 데이터 보안 보호 책임을 이행해야 한다고 설명되어 있습니다.
2. '사이버 보안법'의 주요 법 집행 기관: 중국 사이버 공간 관리부, 산업 정보 기술부, 공안부.
현재 각 법집행부서에 주요 집행 범위를 알리는 명확한 규정이나 지침은 없지만, 2018년 인터넷 법집행 사례를 기준으로 각 부처별 일반적인 집행 포인트는 아래 그림과 같다. .
'데이터 보안법' 제1장 일반 조항 제6조는 주무부처 및 업계 감독, 산업, 통신, 운송, 금융, 천연자원, 보건, 교육, 과학기술 및 기타 관할 부서는 데이터 보안 감독 책임을 담당합니다. 공안 기관 및 국가 보안 기관은 데이터 보안 감독 책임을 맡습니다. 국가 사이버 보안 및 정보화 부서는 네트워크 데이터 보안 및 관련 감독 업무를 조정합니다. 1년 후 법집행 사건 분석을 기다려야 한다.