머리말

제1장은 원칙적인 조항으로, 본 장은 《데이터보안법》,《개인정보보호법》 중 역외 적용에 관한 규정을 그대로 적용하고 있으며, 《개인정보보호법》 제3조 제2항에 규정한 경우를 제외하고 국가안전, 공공이익이나 국민, 기구의 합법적인 권익을 해치는 경우 법에 따라 책임(《조례》제2조)을 추궁해야 한다고 명확하게 지적하고 있다. 제5조는 《데이터보안법》 제21조의 데이터 유형별, 등급별 보호제도 수립에 관한 요구를 더욱 구체화한 것으로, 네트워크 데이터 기초보호 구도의 중요성을 두드러지게 보여주고 있다.

총칙 부분은 입법자의 의도를 확실하게 반영하였으며 중국 데이터의 미래 발전방향도 예측할 수 있다. 제4조에는 국가가 혁신을 장려하고 발전태세 및 실제수요에 따라 네트워크 데이터 교육과 데이터 인재베이스의 건설을 추진한다고 명확하게 규정하였다. 인터넷의 급격한 발전과 데이터의 국경간 이동 특성을 감안하여, 제6조에서는 국제규칙과 기준에 적극 접목할 요구를 제기하였으며 이를 통해 국제교류와 협력을 촉진하고 네트워크 데이터 관리의 광활한 안목과 개방 태도를 보여주고 있다.

본 장, 절에는 모든 네트워크 데이터 처리자에 적용되는 보편적인 법정의무를 명시하였다. 《의견수렴안》중 자세하게 열거한 방법과는 달리, 네트워크 데이터의 복잡성과 신속한 발전을 감안하여, 《조례》에서는 구체적인 열거를 삭제하고 네트워크 데이터에 대한 불법 처리활동(제8조)에 중점을 두고 있는데 이 규정은 법규의 후속 해석, 준수와 실행에 유리하다.

제9조부터 제14조까지는 네트워크 데이터 처리자가 책임주체로서 부담해야 하는 보안 및 준법 의무를 규정하였으며, 제15조부터 제17조까지는 국가기관 등을 위해 서비스를 제공할 때의 보호 의무를 규정하였다. 각 네트워크 데이터 처리기업은 반드시 《조례》를 참조하여 기업 데이터 처리 및 관리정책에 대해 준법적 수정이 필요하다. 

제9조 네트워크 보안등급 보호제도의 기초적 지위를 재차 언급하였으며 동 구도하에 유효한 국가기준에 근거하여 보안보호조치의 강화 및 네트워크 데이터 보안관리제도의 보완을 강조하였는바, 그 예로 《정보보안기술－네트워크보안등급보호 기본요구(GB/T 22239-2019)》중 관련 등급규정 및 분류기준은 네트워크 데이터를 보호하고 관련 보안리스크 사건 및 불법 범죄행위의 발생을 예방 및 모면할 수 있다. 

제10조와 제11조에는 네트워크 데이터 안전리스크의 응급예비안, 보고 및 통보제도를 수립하였고 네트워크 데이터 처리자가 불법 범죄활동의 혐의가 있을 경우 조사에 협조할 법정의무의 내용을 추가하였다. 《의견수렴안》에 비해, 제11조에서는 구체적인 보고 시한을 삭제하였지만 제10조에서는 24시간 내에 국가, 공공이익과 관련된 네트워크 데이터의 오류와 리스크(이하 “중대 리스크”)를 보고할 것을 강조하였다. 동 규정은 데이터 활동 중 데이터 처리자가 네트워크 데이터 관리규정의 보완에 대한 요구를 보여주었으며 데이터 처리행위를 규범화함으로써 중대 리스크 사건의 발생을 예방하였으며, 또한 데이터 처리자가 고정된 시간제한 내에 피해가 예상하는 리스크사건에 대해 보고 및 통보할 수 없는 실제 상황을 감안하여 중대 리스크의 경우를 제외하고 구체적인 보고시간 제한을 규정하지 않음으로써 처리방식과 관련 규칙의 유연성을 향상하였다. 동시에 제11조에서는 “전화, 문자, 즉시통신도구, 전자메일이나 공지 등”을 포함한 통보방식을 규정하였다.

제12조 네트워크 데이터 처리자는 반드시 계약서를 통해 개인정보와 중요한 데이터를 제공, 위탁 처리하는 처리 목적, 방식, 양자의 권리와 책임 구분 등 내용을 약정해야 한다고 처음으로 규정하였으며 관련 기록은 최소 3년간 보존해야 한다고 강조하였다.  

제18조와 제19조는 신기술에 대한 새로 추가된 요구이다. 제18조에는 “Python” 방식의 네트워크 데이터 수집에 관한 요구를 규정하였으며 제19조에는 인공지능에 대해 규정하였다. 《조례》에는 데이터 수집 경계를 명시하였고 “타 네트워크에 불법 침입해서는 아니되며 네트워크 서비스의 정상적인 운행을 간섭해서는 아니된다”고 요구하였다. 인공지능에 대해 네트워크 데이터 처리자는 반드시 관리와 훈련을 강화하고 안전 리스크를 예방해야 한다. 상술한 두 가지 규정은 과학기술의 발전에 부응하여 현재 시급히 규제가 필요한 신기술을 혁신적으로 지적하고 관련 기준제도의 중점을 데이터 처리자의 앞에 펼쳐보이고 있다. 따라서 관련 기술을 사용하는 네트워크 데이터 처리자는 반드시 준법 관리와 규정을 엄수하며 《생성식 인공지능서비스 잠정관리방법》 등과 같은 유효한 현행 관련 규정에 부합하도록 하며, 또한 기발표된 각종 관련 의견수렴안을 밀접하게 주시하여 준법 요구에 순조롭게 적응하도록 확보해야 한다. 

본 장은 사실상 《개인정보보호법》에 대한 진일보 세분화된 규정으로, 일부 특정 분야의 규칙과 기준을 모든 데이터 처리자의 개인정보 처리에 대한 통일적인 요구로 확대 적용한 것이며 중요한 데이터의 양적 기준, 즉 1000만 명 이상 개인정보(제28조)을 명시하였다.

제21조에는 개인정보의 고지 의무를 강화하였는데 그 중 제(3)항에는 데이터 만기 이후의 처리방식을 강조하여 “보존 기한을 명확하게 확정하는 방법”을 혁신적으로 규정하였으며 제2항에는 “두 가지 리스트” 기준을 강조하였다. 《개인정보보호법》제47조 제(2)항에는 정보 보존기한이 만기된 후 개인정보 처리자는 반드시 개인정보를 자발적으로 삭제해야 한다고 지적하였으며 《조례》에는 실무 중 “보존 기한”을 확정하기 어려운 문제에 초점을 두고 규정 중에 “보존 기한을 명확하게 확정하는 방법”을 법정 의무로 승격하였는바 여러 네트워크 데이터 처리자들은 더욱 높은 규범 요구에 유의하기 바란다.

제22조부터 제25조에서는 사용자가 개인정보처리에 대한 권리를 더욱 강화 및 규범화하였으며 네트워크 데이터 처리자의 의무를 상응하게 추가하여 사용자 개인의 프라이버시에 대한 보호를 강화하였다. 네트워크 데이터 처리자는 아래와 같은 몇 가지 점에 유의해야 한다. 즉 개인정보의 수집 및 처리는 반드시 사용자의 동의를 거쳐야 하며 “최소화 원칙”을 엄격하게 준수하고, 사용자에게 편리한 개인정보 처리여건을 제공해야 하며 불합리한 제한을 두어서는 아니되고, 규정범위를 초월하여 수집된 개인정보는 삭제하거나 익명 처리해야 한다. 그 외에, 《조례》에서는 법조항 방식으로 “개인정보 이전 요구”의 구체적인 경로와 기준을 처음으로 명시하였는데 이는 사용자가 개인정보에 대한 통제와 확보를 강화하였고 또한 네트워크 데이터 처리자들의 데이터 이전 원가와 부담을 경감하였다. 

본 장, 절에서는 중요한 데이터의 보안보장 조치를 전문적으로 규정하였다. 《조례》에서 중요한 데이터의 정의는: “특정 분야, 특정 단체, 특정 지역에서 또는 일정한 정도와 규모에 도달한 데이터로, 일단 변조, 파괴, 누설 또는 불법 취득, 불법 이용을 당하면 가능하게 국가안전, 경제운행, 사회안정, 공공건강 및 안전에 직접적인 피해가 가는 데이터를 말한다.”(제62조) 유형별, 등급별 보호제도의 기초적 지위(제29조)를 재언급하였고 네트워크 데이터 처리자는 “합병, 분리, 해산, 파산” 등 상황 하에 반드시 관련 주관부서에 보고해야 하는 제도(제32조)를 제외하고, 본 장에서는 데이터 관리자에 대한 요구와 리스크평가제도를 더욱 구체화하였다.

제30조에는 중요한 데이터의 처리자는 반드시 명확한 “네트워크 데이터 안전책임자” 및 “네트워크 데이터 안전관리기구”를 설립할 것을 명확하게 규정하였다. 특히 네트워크 데이터 처리자는 다음과 같은 내용에 유의해야 한다. 우선 책임자는 하기 조건을 만족해야 한다. 1. 상응한 전문 지식과 관련 근무경험을 구비해야 한다. 2. 반드시 경영진 구성원이어야 한다. 책임자 및 핵심 포스 근무인력에 대해, 안전배경 조사를 실시해야 하며 필요하면 국가 관련부서에 협조를 요청할 수 있다. 이로부터, 현재 중요한 데이터 처리자 관리체계에는 필요한 부서와 전문인력이 보편적으로 부족한 상황임을 알 수 있으며, 해당 규정은 관련 처리자에 대한 엄격한 관리구조 요구와 고기준 심사요구를 제기하고 있다. 향후 기존 경영진 인력은 전문 교육을 통해 관련 지식을 취득할 필요성이 있으며 네트워크 데이터 처리자는 이를 계기로 더욱 많은 데이터 처리기술을 보유한 인력을 흡수할 수 있다.

제31조 및 제33조에는 《데이터보안법》 제30조의 내용을 더욱 구체화하였는데, 중요한 데이터 처리자는 매 년 및 중요한 데이터 처리 전에 모두 리스크 평가를 실시할 요구를 명시하였다. 《조례》에는 구체적인 리스크 평가기준을 열거하여 실무성을 강화하였으며 《네트워크안전기준 실무지침－네트워크 데이터 보안리스크 평가 실시가이드》《공업정보화 분야 데이터 보안리스크 평가 실시세칙(시행)》 등 기타 관련 규정에 따라 중요한 데이터의 리스크 평가를 실시해야 한다. 상술한 규정의 제정 목적은 중요한 데이터의 보안을 확보하고 잠재적인 리스크를 방지하며 국가안전과 사회안정을 보장하기 위한 것이다.

네트워크 데이터의 국경간 전송 분야에서 중국은 이미 현행 유효한 부서규정을 여러 부 확보하고 있는데 그 예로 《데이터출국 안전평가방법》《데이터의 국경간 유동 촉진 및 규범화에 대한 규정》 등이 있다. 《조례》에서는 기존 실무경험을 정리한 것을 토대로 중요한 데이터에 대한 보호 조치를 더욱 강화하였고 국가정보화부서가 관련 업무에 대해 총괄 및 정책 제정을 담당하며 중대한 사안에 대한 협조 처리(제34조)한다고 강조하였다. 

제35조에는 경외에 개인정보를 제공하는 8가지 요구를 상세하게 열거하였는데, 그 중 첫 세 조항은 《데이터출국 안전평가방법》《개인정보보호 인증실시규칙》《개인정보출국 기준계약방법》과 대응되며, 나머지 조항은 계약 당사자, 종업원, 법적 직책이나 의무 및 긴급상황 하의 데이터 제공 등 내용을 다루고 있다.

제36조부터 제39조까지는 데이터 출국 경험 및 조항을 정리하고 국제조약, 협정의 적용성을 규정하였으며, 중요한 데이터의 안전평가 요구 및 데이터 제공은 평가범위를 초월해서는 아니되는 규정 뿐만 아니라 데이터 출국에 대한 국가의 관련조치를 엄격하게 준수하도록 강조하였다.

유의할 점은, 중국의 법규도 데이터의 국경간 전송의 유연성과 실제수요를 고려하였다는 점이다. 예를 들면 《데이터의 국경간 유동 촉진 및 규범화에 대한 규정》제5조에는 데이터 출국 안전평가를 신고할 필요가 없는 경우를 열거하였고 제6조에는 자유무역시범지대의 네거티브 리스트에 관한 규정이 있는데 상술한 규정은 데이터의 국경간 전송에 일정한 면제 공간을 제공하였고 데이터 관리와 이용 면에서의 중국의 개방 태도와 혁신적인 마인드를 보여주었다. 《조례》 및 상술한 규정은 데이터 처리자에게 분명한 가이드를 제시하였으며 데이터의 국경간 유동에 법률적 보장이 되었고 데이터 보안과 개인정보의 권익 보호를 확보하였다.

《조례》는 본 장에서 혁신적인 법 조항 형식으로 “네트워크 플랫폼 서비스 제공자”를 “네트워크 데이터 처리자”의 범주에서 단독으로 분리해냈다. 《웹사이트 플랫폼 정보 콘텐츠 관리주체의 책임을 더욱 분명히 할 데 관한 의견》《네트워크 안전기준 실무가이드－－대형 인터넷 플랫폼 네트워크 안전평가 가이드》 등 관련 규정에 따르면 네트워크 플랫폼은 네트워크 정보 콘텐츠를 배포하는 주요 매체 및 가상공간이다. 《조례》 제62조에는 “대형 네트워크 플랫폼”에 대해 양적인 정의를 내리고 있는데 그 사용자 규모를 “가입자수가 5000만 명 이상 또는 월간 활약자 수가 1000만 명 이상”으로 한정하고 있으며 그 서비스 내용에 대해 “업무 유형이 복잡하고”, “국가안전, 경제운행, 국가 경제와 국민 생활 등에 중대한 영향을 미치는” 것을 포함한다고 서술하고 있다. 

제40조에는 일반 보안보장과 감독관리 직책의 부담주체가 네트워크 플랫폼 서비스 제공자라고 규정하였을 뿐만 아니라 “앱을 사전 설치한 스마트 말단설비 제조업체” 및 “제3자 제품과 서비스 제공자”도 포함하였다. 이는 사전 설치한 앱이 사용되기 전에 반드시 네트워크 보안 및 감독관리의 요구를 만족하도록 보증하였으며, 제3자 제품과 서비스 제공자는 규정을 위반하고 사용자에게 피해를 주는 경우 반드시 상응한 피해책임을 부담하도록 규정하였다. 비록 법규가 3자의 책임 한계에 대해 명확하게 구분하지 않았지만 이는 실무상 일정한 유연성을 제공하였고 제4항에서는 보험회사가 관련 보험을 제공하는 것을 격려하는 것을 통해 네트워크 데이터 피해배상에 대한 3자의 대응 능력을 강화하였다.

제43조에는 “인터넷 신분인증”, “인터넷 번호”의 자발적인 사용원칙을 명시하였다. 동 개념은 《국가네트워크 신분인증 공공서비스 관리방법(의견수렴안)》에서 처음으로 제기하였으며 현재 《조례》에 포함되었는데 관련 네트워크 플랫폼 서비스 제공자는 반드시 빠른 시일 내에 관련 규정에 부응하여 “인터넷 신분인증”, “인터넷 번호”의 사용규칙을 제정하고 상응한 편리한 서비스를 제공해야 함을 의미한다.

제44조부터 제46조에는 대형 네트워크 플랫폼 서비스 제공자에 대해 규정하고 있는데 개인정보보호 사회책임 연도보고서의 발표 직책 및 데이터 국경간 전송 및 기타 소극적 의무에 대한 규정을 명시하였다. 상술한 규정은 《개인정보보호법》제58조와 연관되어 있으며 대형 플랫폼은 더욱 엄격한 요구를 실시할 것을 강조하였다. 상술한 규정의 목적은 대형 네트워크 플랫폼에 대한 관리감독을 강화하여 데이터 처리와 콘텐츠 관리 측면에서 해당 플랫폼의 책임감과 투명도를 확보하고 또한 사용자의 개인정보 보안과 권익을 보호하기 위한 것이다.

본 장, 절에는 네트워크 데이터 보안 분야에서의 국가관리부서의 감독관리 직책을 분명히 지적하였으며 해당 감독검사 업무에 명확한 실행기준을 설정하였다. 구체적으로 보면 제51조에는 감독검사는 “필요성 원칙”, 즉 감독검사 활동은 반드시 감독관리 목표를 실현하기 위한 필요한 범위 내로 한정해야 한다고 규정하였다. 또한 제52조 제1항에는 불필요하거나 중복되는 검사는 모면하여 네트워크 데이터 처리자에 대한 불필요한 간섭을 감소해야 한다고 규정하였다. 그 외 제52조 제2항에는 각 부서간 평가결과에 대한 상호 인정, 즉 서로 다른 감독관리부서가 네트워크 데이터 안전평가를 실행할 때 기타 부서에서 이미 제출한 합법적인 평가결과를 인정하여 감독관리의 효율을 향상하고 자원 낭비를 피하며 감독관리 활동의 일치성과 조화를 보증해야 한다고 강조하였다. 상술한 규정의 목적은 고효율적이고 조화로운 네트워크 데이터 안전감독관리 구도의 공동 구축을 통해 국가 네트워크 데이터 보안을 확보하고 네트워크 데이터 처리자에 대한 행정적 부담을 감소하기 위한 것이다.

본 장, 절에서는 네트워크 데이터 처리자가 《조례》 및 기타 법률법규의 규정을 위반할 때 당면한 행정처벌조치를 상세하게 규정하였는데 시정 명령, 경고, 불법소득 몰수, 벌금, 관련 업무의 잠시중단, 조업 정지 및 정돈, 관련 업무허가증이나 영업집조의 말소 등을 포함하나 이에 한하지 아니한다. 또한 주요 직접책임자나 기타 직접책임자에 대해, 《조례》에는 상응한 벌금과 처벌을 규정하여 개인 책임을 강화하였다.

제59조에는 행정처벌을 완형, 경감 또는 실행하지 않는 경우에 대해 더욱 구체화하였으며 네트워크 데이터 처리자가 자발적인 행동으로, 불법행위로 인한 피해를 제거하거나 줄이며 불법 또는 非 규범화 행위를 제때에 시정하도록 격려하였다. 동 규정의 목적은 적극적인 준법 행위를 권장하고 네트워크 데이터 처리자가 《조례》에 규정한 의무를 적극 이행하도록 촉진하기 위한 것이며 행정처벌의 교육과 예방 기능을 보여주고 있다. 네트워크 데이터 처리자에게 시정할 기회를 주어 산업의 자체 시정과 자아 보완을 촉진하며 전체 네트워크 데이터 보안관리체계의 유효성을 향상하기 위한 것이다.