중화인민공화국 사이버보안법과 비교해 중국 데이터보안법은 해외 관할권에서 획기적인 성과를 거두었다
1. "데이터"의 개념을 보완하고 확장합니다.
시행된 '사이버보안법'은 '데이터'를 정의하는 것이 아니라 '네트워크 데이터'(인터넷을 통해 수집, 저장, 전송, 처리, 생성된 다양한 전자적 데이터)와 '개인정보'를 사용한다. 정보"(전자적 또는 기타 방식으로 기록되어 자연인을 단독으로 또는 다른 정보와 결합하여 식별할 수 있는 다양한 정보). 두 개념은 실제로 시민의 온라인 활동 참여에 있어 다양한 전자 데이터 및 데이터의 사용을 포괄합니다. 개인정보가 포함된 오프라인 데이터.
법적 관점의 차이로 인해 '정보보호법'에서는 '데이터'를 '전자적 또는 비전자적 형태의 정보에 관한 기록'으로 직접적이고 간결하게 정의하고 있으며, 그 보호 범위는 "네트워크 보안법"의 법률이 크게 확대되면서, 이러한 변화는 전자 기록과 기타 방식으로 기록된 정보를 데이터 범주로 통합하여 디지털 시대의 정보 보안 요구 사항을 충족할 뿐만 아니라 전반적인 새로운 요구 사항에도 적응합니다. 디지털 경제시대의 정보보호와 정보보안 전반.
2. '데이터 보안법'은 특정 '역외 효력'을 가지며, 관련 외국법의 '장거리 관할권'에 대응할 수 있는 법적 근거를 제공합니다.
'네트워크 보안법'과 비교하면, "이 법은 중화인민공화국 영토 내 네트워크의 구축, 운영, 유지 및 사용과 네트워크의 감독 및 관리에 적용됩니다. 네트워크 보안', '데이터 보안법'은 더 나아가 '중화인민공화국의 국가 안보, 공익 또는 정당한 권리를 침해하는 데이터 활동을 수행하는 중화인민공화국 외부의 조직 및 개인'을 규정하고 있습니다. 시민이나 조직의 이익은 법에 따라 책임을 져야 합니다. "오늘날 인터넷의 급속한 발전으로 인해 데이터 수집 및 저장은 이미 국경의 제한을 넘어섰습니다. 예를 들어 EU의 GDPR은 다음과 같습니다. 역외 데이터 보안 관할권의 범위를 크게 확대했습니다. GDPR은 효과 원칙에 더 많은 관심을 기울입니다. 객관적인 효과가 해당 국가 또는 지역의 자연인의 개인 데이터를 처리하는 것이라면 GDPR이 적용됩니다. '정보보호법'에 '역외영향'을 추가한 것은 우리나라의 국가주권과 국민 개인의 권리를 보호하는데 있어서 큰 의미를 갖습니다.
3. 두 법률 모두 '중요 데이터'라는 개념을 언급했지만 실무상 통제 규모의 문제로 그 범위가 명확하게 정의되지 않았다.
'사이버보안법'은 중요 데이터의 분류 보호 및 유출을 규정하고 있습니다. 법 21조는 네트워크 사업자가 "데이터 분류, 중요 데이터 백업, 암호화 등의 조치를 취해야 한다"고 규정하고 있다. 또한 '정보보호법' 제25조에서는 중요정보를 처리하는 자가 정보보호책임자와 관리기관을 설치하도록 규정하고 있습니다. 어느 법률에서도 중요한 데이터의 범위를 규정하고 있지 않으나, 기타 관련 법률 및 규정의 정의를 통해 이를 식별하고 참고할 수 있습니다. 예: 2019년 5월 28일 국가인터넷정보보호원은 '정보보호관리조치(개인정보보호관리조치)'를 발표했습니다. 모집)의견안)'을 참조하시기 바랍니다. '중요데이터'를 '중요데이터'라 함은 미공개 정부정보, 대규모 인구, 유전건강, 지리 등 일단 유출되면 국가안보, 경제안보, 사회안정, 공중보건 및 안전에 직접적으로 영향을 미칠 수 있는 데이터를 말한다. , 광물 자원 등 중요 데이터에는 일반적으로 기업의 생산 및 운영 정보, 내부 관리 정보, 개인 정보 등이 포함되지 않습니다.
4. '데이터 보안법'은 더 넓은 평가 범위를 갖춘 새로운 '데이터 보안 평가 시스템'을 확립합니다.
'사이버보안법'과 '개인정보의 안전성 평가 및 중요 데이터 국외 이전에 관한 대책(의견안)'과 '정보보안 관리에 관한 대책(의견안)'에서는 데이터의 해외 수출에 대한 보안 평가 제도가 규정되어 있으나, 위 시스템은 데이터나 중요 데이터의 수출 과정에서의 평가에 국한됩니다. 예를 들어, 사이버 보안법 제37조는 다음과 같이 규정합니다. 핵심 정보 인프라 운영자가 중화인민공화국 영토 내에서 운영하는 동안 수집하고 생성한 개인 정보 및 중요한 데이터는 해당 영토 내에 저장되어야 합니다. 업무상의 필요로 인해 해외에 정보를 제공할 필요가 있는 경우 국가 사이버 보안 및 정보화 부서가 국무원 관련 부서와 협력하여 제정한 방법에 따라 보안 평가를 실시해야 합니다. "데이터 보안법"에 규정된 데이터 보안 평가는 더 넓은 범위를 가지며 중요한 데이터 처리자의 모든 데이터 활동을 대상으로 합니다. 데이터 보안법 제28조는 다음과 같이 규정하고 있습니다. “중요 데이터 처리자는 규정에 따라 데이터 활동에 대한 정기적인 위험 평가를 실시하고 위험 평가 보고서를 관련 주무 기관에 제출해야 합니다.
위험 평가 보고서에는 조직이 보유하고 있는 중요한 데이터의 유형과 양, 데이터의 수집, 저장, 처리 및 사용, 직면한 데이터 보안 위험과 그에 대한 대응 방법 등이 포함되어야 합니다."
분석
2018년 사이버보안법 시행 사례를 살펴보면 기관, 기관, 기업의 컴플라이언스 리스크는 주로 네트워크 보안 수준 보호, 개인정보 보호, 네트워크 정보 콘텐츠 검토, 및 네트워크 제품 및 서비스 등. 데이터 보안법은 아직 공식적으로 시행되지 않았으므로 기업 규정 준수에 참고가 되고 사이버 보안 실무자가 기업 네트워크 및 네트워크를 피하는 데 도움이 되는 사이버 보안 법 집행 초점 및 처벌 조치를 참조할 수도 있습니다. 정보 보안 지뢰밭, 기업의 자체 네트워크 보안 방어 시스템 개선
1. "사이버 보안법"의 주요 책임자는 네트워크 운영자입니다.
조항에 따르면. 사이버 보안법 76조 3항에 따르면 네트워크 운영자는 네트워크의 소유자, 관리자 및 네트워크 서비스 제공자를 의미합니다. 특히 법 집행 사례에 따르면 책임 주체는 주로 다음 세 가지 범주에 집중되어 있습니다. 웹 사이트 및 플랫폼 운영자. 정보 공개 기능(예: Sina Weibo, WeChat 공개 플랫폼, Baidu 및 Toutiao) 학교, 대학 및 기타 기관.
'데이터 보안' 법률은 "제4장 데이터 보안 보호 의무"에서 중요 데이터 처리자는 데이터 보안 담당자와 관리 조직을 식별하고 데이터 보안 보호에 대한 책임을 이행해야 합니다. "설명이 있습니다.
2. '사이버 보안법'의 주요 법 집행 기관: 중국 사이버 공간 관리부, 공업정보화부, 공안부
p>
현재 각 부처별로 알릴 수 있는 명확한 규정이나 지침은 없지만 법집행부서별 법집행의 주요 범위는 2018년 인터넷 법집행 사례에 따르면 각 부처별 일반적인 법집행 포인트는 다음과 같다. 아래 그림은
'데이터 보안법' 제1장 일반 조항 6조에 주무관청 및 산업 감독, 산업, 통신, 운송, 금융, 천연자원, 보건, 교육, 과학이 규정되어 있습니다. 기술 및 기타 관련 부서는 데이터 보안 감독을 담당하며, 국가 보안 기관은 데이터 보안 감독을 담당합니다. 국가 네트워크 정보 부서는 네트워크 데이터의 전반적인 조정을 담당합니다. 각 부서의 집행 문제는 1년 안에 법 집행 사건의 분석을 기다려야 할 것입니다.