데이터 수출에 대한 여러 국가의 규제 요구 사항은 항상 여러 국가의 데이터 규제의 풍향계였으며 이는 데이터 보안에 대한 국가의 강조를 반영할 뿐만 아니라 데이터 경쟁 및 디지털 경제 발전에 대한 국가의 태도를 반영합니다. 예를 들어, 유럽 연합의 일반 데이터 보호 규정(GDPR)은 개인 데이터의 수출에 대한 제한을 설정하여 제3국이 적절한 수준의 보호를 받고 있다는 전제하에 개인 데이터를 제3국으로 전송할 수 있도록 규정하고 있으며, 제3국이 적절한 수준의 보호를 받지 못하는 경우 컨트롤러 또는 프로세서는 적절한 보호 장치가 제공되고 데이터 주체에게 집행 가능한 권리와 효과적인 법적 구제책이 제공되는 경우에만 개인 데이터를 제3국으로 전송할 수 있습니다. 위의 내용은 개인 데이터 수출에 대한 특별 규제 요구 사항이며 EU의 단일 디지털 경제 발전에 대한 제도적 장애물을 해결하려는 시도이기도 합니다.
데이터 수출에 대한 감독은 디지털 경제가 호황을 누리고 있는 중국에서도 특히 중요합니다. 한편으로는 데이터 감독의 가치를 확립할 필요가 있고, 다른 한편으로는 데이터 수출 감독의 시스템 설계는 다국적 기업과 해외 기업의 일상적인 운영에 직접적인 영향을 미치고, 디지털 경제. "네트워크 보안법", "데이터 보안법" 및 "개인 정보 보호법"의 3대 법률이 제정되고 협의를 위한 관련 법률 및 규정이 도입됨에 따라 우리나라 데이터 국경 간 시스템의 법적 프레임워크가 마련되었습니다. 기본 공사를 마쳤습니다. 그 중 데이터 수출 보안 평가 시스템은 우리나라의 데이터 국경 간 시스템에서 매우 중요한 위치를 차지합니다. 2022년 7월 7일, "데이터 수출 보안 평가 조치"가 공식적으로 공포되었습니다. 이는 우리나라의 데이터 수출 보안 평가 시스템이 효율성 측면에서 개념적 시스템에서 실용적인 시스템으로 중요한 단계를 밟았다는 것을 의미합니다. 이 기사는 우리나라 데이터 국경 간 시스템의 역사적 발전을 검토하는 것을 기반으로 "데이터 수출 보안 평가 조치"의 자체 평가 방법에 대한 운영 해석을 제공하고 기업 및 기타에 대한 자체 평가 준수 지침을 제공합니다. 데이터 프로세서.
01
규칙 지향 데이터 국경 간 시스템
국가에 관한 한, "네트워크 보안법"의 발효는 초기에 보안 평가 시스템을 핵심으로 하는 국경 간 데이터에 대한 기본 규칙을 설정했습니다. 데이터 보안법" 및 "개인 정보 보호법", 데이터 크로스보더 시스템의 법적 프레임워크가 점차 개선되고 데이터 크로스보더 시스템에서 보안 평가 시스템의 위치가 점차 명확해졌습니다. 이 기간 동안 법적 수준에서 시스템 규범을 효과적으로 구현하기 위해 중국 국가 사이버 공간 관리국과 같은 관련 부서와 표준 설정 단위는 국경 간 데이터에 대한 세부 규칙 및 표준 지침과 같은 초안 문서를 연속적으로 발표했습니다. 다양한 수준에서 국경 간 데이터 준수 원칙을 명확히 함 규제 및 실제 지침.
02
우리나라 데이터 국경 간 보안 평가 시스템의 역사적 발전
국내 데이터 국경 간 시스템의 개발 과정에서 데이터 반출 보안 평가는 데이터 국경 간 준수 방법으로 사용되어 왔으며 초안 규칙의 공포와 함께 점진적으로 개선되었습니다. 아래에서는 데이터 국경 간 보안 평가 시스템의 역사적 발전을 다음과 같이 요약합니다.
- 데이터 국경 간 보안 평가 시스템의 시작 - "사이버 보안법"을 상징으로
(1) "사이버 보안법"은 데이터 국경 간 보안 평가 시스템의 기반을 마련합니다.
시간의 관점에서 2017년 사이버 보안법("사이버 보안법")은 처음으로 국경 간 데이터에 대한 보안 평가 요구 사항을 부과했습니다. "사이버 보안법" 제37조는 핵심 정보 인프라 운영자("CIIO")가 중국에서 수집하고 생성하는 개인 정보 및 중요 데이터의 현지화에 대한 요구 사항을 제시합니다. 안전성 평가는 공식화된 방법에 따라 수행되어야 합니다. 관련 부서에서. 그러나 위 조항에서 "중요 정보 인프라 운영자", "중요 데이터" 및 "개인 정보"의 세 가지 핵심 개념이 정의되어 있지 않으며 해당 국가 보안 평가 규정이 없으므로 "사이버 보안법" "데이터 국경 간 보안 평가 시스템의 실제 구현과 규정 사이에는 아직 갈 길이 멀다. 따라서 같은 해에 중국 국가 사이버 공간 관리국은 "해외로 수출되는 개인 정보 및 중요 데이터의 보안 평가를 위한 조치(의견 초안)"에 대한 의견을 공개적으로 요청했고, 이후 국가 표준 위원회는 "에 대한 지침"을 발표했습니다. 해외로 수출하는 정보 보안 기술 데이터의 보안 평가(의견을 위한 초안)"(“데이터 수출 보안 평가를 위한 지침(의견을 위한 초안)”)에 대한 의견이 열려 있습니다. 두 문서 모두 사이버 보안법에 의해 다양한 수준으로 설정된 데이터 국경 간 보안 평가 프레임워크를 더욱 심화하고 개선했습니다.
(2) 방향을 명확히 하는 단계적 협의 초안
"개인 정보 및 중요 데이터 국경 간 보안 평가 조치(주석 초안)"의 기여는 데이터 국경 간 시스템에서 보안 평가 절차의 기본 프로세스를 설정하는 것입니다. "대책"에서는 안전성평가가 필요한 상황, 중점적으로 다루어야 할 안전성평가의 내용, 안전성평가 담당부서 등을 구체적으로 규정하고, 자체평가를 전과정으로 정하고, 공식 링크로서의 평가 신청 , 지속 가능성 지원 안전 평가 프로세스로 재평가됨. 그 중에서도 안전성 평가의 적용 범위가 확대된 점도 눈여겨볼 만하다. 제9조의 조건을 만족하는 모든 통신사업자로 대상을 확대함과 동시에 데이터 유형을 일정량의 데이터로 확대한다. "데이터 반출 보안 평가 지침(주석 초안)"은 국경 간 데이터, 중요 데이터, 핵심 데이터 등의 기본 개념을 정의하고 나열하며, 이벤트 가능성 수준은 판단 차원의 보안 평가 구현 계획입니다.
이후 약 2년여 만에 '데이터 보안관리대책(논의안)'과 '개인정보 국외이전 보안성 평가를 위한 대책(논문안)'에 대해 의견을 수렴했다. "데이터 보안 관리 조치(설명안)"에는 개인정보 관련 내용이 포함되어 있으며, 개인정보를 포함한 데이터의 수집·가공·이용 및 안전감독·관리에 대해 규정하고 있습니다. "데이터 보안 관리 조치(주석 초안)"는 중요한 데이터와 개인 정보를 구분합니다. 중요한 데이터가 국경을 넘어 관련되는 경우 네트워크 운영자는 승인 또는 승인을 위해 평가 및 보고를 수행해야 하며 개인 정보는 다른 규정에 따라 관리됩니다.
이어지는 "개인정보 반출 보안 진단 조치(의견 초안)"에서는 데이터 반출보다 개인 정보 반출에 대한 제한을 강화한 정보 반출 보안 평가 선언을 합니다. "개인정보 국외이전에 대한 보안성 평가 조치(논의안)"은 종전의 "개인정보 및 중요자료 국외이전에 대한 보안성 평가를 위한 대책(논의안)"의 세부 버전으로 볼 수 있습니다. )"를 구체적으로 명시하고, 네트워크 사업자와 개인정보를 제공받는 자가 체결한 계약서 또는 기타 법적 효력이 있는 문서(통칭하여 계약서라 함)에 명시되어야 하는 사항은 다음의 권리를 보호함을 강조합니다. 개인 정보 및 네트워크 운영자 및 개인 정보 수신자의 책임 의무적 요구 사항. 이 문서에서 계약 검토는 보안 평가의 핵심 내용이 됩니다.
이 단계에서 데이터 국경 간 보안 평가 시스템이 논의되고 더 높은 수준으로 개선되어 데이터 국경 간 시스템에서 시스템의 중요한 위치를 확립했습니다.
- "데이터 보안법" 및 "개인 정보 보호법"으로 표시되는 데이터 국경 간 보안 평가 시스템의 중요 업데이트
(1) 데이터 국경 간 보안 평가 시스템의 적용이 점점 더 다양해지고 구체화되고 있습니다.
데이터 보안법("데이터 보안법") 및 개인 정보 보호법("개인 정보법")의 연속적인 공포 및 발효로 인해 우리나라 국경 간 데이터 시스템의 기본 법적 프레임워크가 더욱 명확해졌습니다. . "데이터 보안법" 제31조는 CIIO가 중요한 데이터를 해외에 제공할 때 "네트워크 보안법"의 조항을 계속하며, 또한 CIIO가 아닌 데이터 프로세서가 중요한 데이터를 해외에 제공할 수 있는 시스템을 제공합니다. "개인정보법"은 데이터 처리자를 기준으로 개인정보 처리자를 더 정의하고, "개인정보의 국경 간 제공 규칙"에 대한 특별 장을 규정하여 국경 간 개인 정보에 대한 규칙 틀을 구체적으로 구축합니다. "개인 서신법"에는 국경을 넘는 개인 정보의 맥락에서 보안 평가 시스템에 대한 보다 자세한 규정이 있습니다.
적용대상에 관하여는 "개인서신법"은 "네트워크보안법" 및 "데이터보안법"의 규정을 계승하며, 보안평가가 필요한 책임주체의 범위에 CIIO 소속 개인정보처리자를 포함합니다. 이를 바탕으로 "개인서신법" 제36조와 제40조는 보안성 평가를 수행해야 하는 두 개의 책임 주체, 즉 개인 정보를 처리하는 국가 네트워크 정보 부서가 지정한 수에 도달하는 국가 기관과 개인 정보 처리자(이하 "대형 개인정보처리자"라 함). 「개인편지법」에서는 위 3가지에 대해 개인정보의 국산화 요구사항을 제시하고 있으며, 부득이하게 출국할 경우 보안심사를 받도록 하고 있습니다. 그 중 CIIO는 오래전부터 존재해 온 개념으로 "중요정보인프라보호규정"에 그 개념정의, 식별기준 및 식별절차가 비교적 명확하게 규정되어 있다. 각 주체는 규정의 요구 사항에 따라 CIIO로 식별될 수 있는지 자체 평가를 수행할 수 있으며, CIIO로 식별될 수 있는 경우 CIIO를 기반으로 국경 간 데이터 준수 작업을 수행하는 것이 좋습니다. 표준. 전체 데이터 내보내기 시스템에서 데이터 내보내기 보안 평가가 매우 중요한 위치를 차지함을 알 수 있습니다. 보안평가는 특정주체에 대하여 "개인서신법" 제38조 제1항에 규정된 "선택의무"가 아니라 제36조 및 제40조에 규정된 "강제적 의무"이므로, 데이터의 "선택의무" "네트워크 데이터 보안 관리 규정(의견 초안)" 제35조의 수출은 제37조에 규정된 "강제 의무"입니다. 동시에 "개인정보가 국가정보통신부에서 정한 수치에 도달한 개인정보처리자"를 추가로 정의할 필요가 있다.
(2) 후속 규칙 초안은 시스템을 구현하려고 시도합니다.
"네트워크 보안법", "데이터 보안법" 및 "개별 서신법"이라는 트로이카의 형성은 이후의 "네트워크 데이터 보안 관리 규정(주석 초안)"의 공식화를 위한 기반을 제공했습니다. "네트워크 데이터 보안 관리 규정(논평 초안)"은 국가 간 데이터를 통일적으로 처리하고, 개인 정보에 대한 국가 간 제도적 틀을 국가 간 데이터 시스템에 대한 일반적인 틀로 확장하여 기본적으로 제도적 틀을 따릅니다. "인사법" 그러나 동시에 3대법의 조항을 보완하여 제도를 보완하였다. 지속적으로 데이터 수출 보안 평가를 데이터 수출 조건으로 삼는 것을 기반으로 "네트워크 데이터 보안 관리 규정(주석 초안)"은 데이터 수출 보안 평가 트리거 조건을 더욱 명확히 하려고 시도합니다. CIIO 상황을 제외하고, 또한 아웃바운드 데이터에 중요한 데이터가 포함되어 있고 100만 명 이상의 개인 정보를 처리하는 데이터 프로세서가 개인 정보를 해외로 제공하는 것을 포함합니다.
현재 시행 중인 조치는 데이터 내보내기의 통합 처리를 기반으로 통합 보안 평가 시스템을 더욱 업데이트했습니다. "개인정보법" 제4조는 "개인정보가 국가정보통신부에서 정한 수에 도달한 개인정보처리자"의 정의를 보완하여 "개인정보"를 기준으로 "누적적으로 제공한 정보처리자의 상황 전년도 1월 1일 이후 10만 명 이상의 개인정보 또는 해외 1만 명 이상의 민감한 개인정보'가 추가되면서 데이터 내보내기가 대폭 확대됐다. 안전성평가제도 적용 범위.
구체적인 평가 프로세스와 관련하여 데이터 수출 보안 평가 조치는 자체 평가 - 신청 평가 - 재신고 평가의 평가 프로세스 프레임워크를 명확히 하고 일부 세부 정보를 업데이트했습니다. 예를 들어, 유효 기간과 관련하여 데이터 수출 보안 평가 조치는 2년의 고정 유효 기간을 규정하고 있으며 2년의 유효 기간이 끝나면 보안 평가가 필요하며 다시 다음과 같이 규정합니다. -유효기간 내 심사가 필요합니다. 평가를 위한 시간 제한 측면에서 "데이터 수출 보안 평가를 위한 조치"는 보안 평가 작업의 복잡성을 충분히 고려합니다.예를 들어, 10조의 요구 사항에 따라 국가 네트워크 정보 부서가 신청을 수락한 후 , 신청 상황에 따라 국무원 관련 부서 및 성급 네트워크 기관을 구성해야하므로 전체 프로세스에 여러 부서의 협력과 높은 전문성이 필요합니다.
이 접근법에서 데이터 국경 간 계약과 같은 법적 문서는 여전히 중요한 평가 내용입니다. "개인 정보 수출 보안 평가 조치"와 비교하여 "데이터 전송 보안 평가 조치"는 개인 정보를 포괄적으로 취급하고 개인 정보 권리를 보호합니다. 네트워크 운영자와 수령인의 책임과 의무를 통합하고 국경 간 조항 및 분쟁 해결 조항의 요구 사항을 보완하여 더 간결하고 표준 계약의 타당성, 포괄성 및 집행 가능성을 강조합니다.
위에서 볼 수 있듯이 "데이터 보안법"과 "개인 정보 보호법"이 발효된 후 국경 간 시스템에서 입법자들은 점차적으로 데이터와 개인 정보 간의 관계를 분류하고 기본적으로 통합된 데이터 교차를 설정했습니다. -국경법 제도적 틀. 이 기간 개인정보의 국경을 넘는 시스템 구축으로 데이터가 국경을 넘나드는 다양한 경로가 확대됐다. 많은 경로 중에서 보안 평가는 법적 국경 간 데이터에 대한 가장 중요한 경로이며 특정 데이터 프로세서에 대한 필수 의무이기도 합니다. 동시에 보안 평가는 중국 특성을 지닌 데이터 국경 간 시스템이므로 구체적인 구현에 충분한 관심과 주의를 기울여야 합니다. "데이터 수출 보안 평가 조치"의 최종 발효는 우리나라의 데이터 수출 보안 평가 시스템의 추가 구현을 상징하고 데이터 처리자가 데이터 보안 평가 작업을 수행할 수 있는 명확하고 실행 가능한 법적 근거를 제공하므로 이정표 중요성.
03
데이터 수출 보안 평가를 위한 조치 내용의 해석
1. 데이터 내보내기 평가 상황 및 프로세스
전체 시스템의 관점에서 "데이터 반출 보안 평가 조치"는 보안 평가의 절차 규칙과 실질적인 평가 내용을 모두 규정합니다. 자가평가-심사신청-재심사, 평가방법에 규정된 평가자료, 평가시간, 평가공고, 평가자료의 보완 및 수정, 평가결과의 취소는 모두 절차상의 규정이다. 이러한 규정은 데이터 프로세서가 데이터 내보내기 보안 평가 작업을 수행할 때 자신의 위치를 찾는 데 도움이 될 수 있습니다.
2. 데이터 내보내기 평가 내용
위에서 언급한 링크에서 데이터 프로세서의 자체 평가 및 인터넷 정보 부서와 같은 관련 부서의 보안 평가는 전체 평가 프로세스에서 상대적으로 중요하고 중요한 내용을 구성합니다. "데이터 반출 보안 평가를 위한 조치"의 5조와 8조는 자체 평가 및 보안 평가의 주요 문제를 나열하고 설명합니다.
데이터 수출 보안 자체 평가가 기업의 의무적인 법적 의무인지 여부에 대해 "데이터 수출 보안 평가 조치"도 그에 상응하는 편향된 답변을 제공했다는 점은 주목할 가치가 있습니다. 우리는 "데이터 수출 보안 평가를 위한 조치"의 공식 초안 5조에서 기업이 "자체 평가"를 수행할 수 있는 법적 조건을 변경하고 원본 초안에서 "해외에 데이터를 제공하기 전에 데이터 프로세서"를 변경했음을 확인했습니다. "데이터 처리"에 대한 의견을 위해. 프로세서는 "이전에 데이터 내보내기 보안 평가를 보고해야 합니다. 따라서 데이터 내보내기 보안 위험에 대한 자체 평가는 분명히 요구 사항을 충족하지 않거나 속하지 않는 경우에 대한 의무적인 법적 의무가 아닐 수 있음을 이해합니다. 데이터 반출 보안 평가를 인터넷 정보부 등 유관 부서에 보고해야 하는 상황이지만, 이는 기업이 해외에 데이터를 제공하기 전에 내부의 독립적인 판단을 할 필요가 없다는 것을 의미하지 않습니다. 자체 평가를 통해 데이터 반출 보안 평가 요구 사항을 충족하는지 인증합니다. 또한, "개인정보 보호법" 제55조는 회사가 개인정보를 해외에 제공할 때 개인정보 보호의 영향을 평가할 법적 의무를 여전히 이행하도록 요구하고 있습니다.
위의 내용 외에도 "데이터 수출 보안 평가 조치"의 9조는 데이터 국경 간 법률 문서(계약)에 포함되어야 하는 내용을 설명합니다. - 평가 및 보안 평가 .
데이터 내보내기 법률 문서 평가
데이터 수출의 목적, 방법 및 범위, 해외 수신자의 데이터 처리 목적 및 방법
해외에서 데이터를 보관하는 위치 및 기간, 보관 기간 경과, 합의된 목적 달성 또는 법적 문서 종료 후 아웃바운드 데이터에 대한 처리 조치
해외 수신자가 아웃바운드 데이터를 다른 조직 및 개인에게 재전송하기 위한 구속력 있는 요구 사항
해외 수취인이 실제 통제 또는 사업 범위에 중대한 변경이 있거나 국가 또는 지역의 데이터 보안 보호 정책 및 규정 및 네트워크 보안 환경의 변경 또는 기타 불가항력적인 상황이 발생하는 경우 취해야 할 보안 조치 데이터 보안 보장
법적 문서에서 합의된 데이터 보안 보호 의무 위반에 대한 구제 조치, 계약 위반에 대한 책임 및 분쟁 해결 방법
아웃바운드 데이터의 변조, 파기, 유출, 분실, 양도, 불법취득, 불법사용 등이 발생한 경우, 비상대응을 적절히 수행하기 위한 요구사항 및 개인의 권익을 보호하기 위한 수단과 방법 정보.
위에서 자체 평가와 보안 평가의 핵심 문제가 어느 정도 겹치는 것을 볼 수 있습니다. 보안 평가는 데이터 수출 활동이 국가 안보, 공공 이익 및 정당한 권리에 미치는 위험에 중점을 둘 것입니다. 이를 바탕으로 추가적으로 해외 수신자가 소재하는 국가 또는 지역의 정책, 법률, 네트워크 보안 환경 등이 아웃바운드 데이터의 보안 및 데이터 아웃바운드 활동에 미치는 영향을 고려하여 관련 당사자의 중국 법률, 행정 규정 및 부서 규칙 준수.
3. 기업이 자체 평가를 수행하기 위한 차원 및 요구 사항
위에서 언급한 바와 같이 본 논문은 정보처리자가 정식으로 평가 업무를 수행할 때 신청 평가 단계의 평가와 계약서 등 법적 문서의 조건에 대한 평가를 자체 평가 내용에 충분히 반영해야 한다고 생각한다. 그러나 이러한 평가의 내용이 여전히 상대적으로 광범위하다는 사실을 고려하여 이 기사는 데이터 수출 보안 평가 조치의 평가 내용을 요약한 것을 기반으로 그 세분성을 더욱 세분화하고 보다 명확한 정보를 제공하기 위해 노력합니다. 자체 평가 작업 지침. 데이터 수출 보안 평가를 위한 조치 제5조, 제8조 및 제9조에 따라, 본 백서는 데이터 프로세서 차원, 데이터 수신자 차원, 데이터 수출 위험 차원의 차원에서 자체 평가를 수행할 수 있다고 믿습니다. 계약 제약 차원. 다음과 같이 구성됩니다.