게시물 검색

ICT/정보통신 중국의 개인정보 보호 제도

  • 관리자 (irsglobal1)
  • 2020-05-27 17:22:00
  • hit956
  • 221.165.209.167

개인정보란 전자 또는 그 밖의 방법으로 기록되는 단독 또는 그 밖의 정보와 연결 지음으로써 사람의 신원을 식별할 수 있는 각종 정보를 말하며, 사람의 이름, 생년월일, 신분증명서 번호, 주소, 전화번호가 포함되는데, 이에 한정돼 있지는 않다. ‘사이버 시큐리티법’ 제4장 ‘네트워크 정보의 안전’에서는 제40조~제45조의 총 6가지 조문에 의해 네트워크 운영자가 개인정보를 어떻게 수집ㆍ사용ㆍ보관ㆍ송신해야 하는지에 대해 정하고 있다.

 

2017년 말에 정식으로 발포된 추천성 국가표준 ‘정보 안전 기술 개인정보 안전 규범’은 개인정보에 대한 감독 부문에 의한 감독 관리에 있어서 중요한 근거가 된다. 또한 2019년에는 관련 부문을 APP 중의 개인정보 수집, 아동 개인정보 보호 등을 대상으로 하며, 다음의 관련 규정을 공포하였다. 이에 따르면, 네트워크 운영자는 개인정보 보호의 일반 제도, 개인의 기밀 정보 보호 제도, 아동 개인정보 보호 제도 등에 주의를 기울여야 한다고 말한다.


<표> 부문의 규칙 / 국가 표준 / 지도 문서

 

(1) 개인정보 보호의 일반적인 제도

 

① 개인정보 수집 규칙

 

개인정보를 수집할 때에는 개인정보 주체의 수권(授権)ㆍ동의를 얻어야 하며, 개인정보 취급방침, 수집하는 개인정보의 유형, 제품 또는 서비스에 의한 업무 기능 실현과의 직접적인 관련성에 대하여, 해당 주체에게 고지해야만 한다. 또한 필요한 최소한의 정보만 수집해야 한다.

‘데이터 안전 관리 변법(의견모집고)’과 ‘App 개인정보 법률 법규를 위반하는 수집ㆍ사용 행위의 인정 방법’에 의하면, 네트워크 운영자의 개인정보 수집 규칙에 있어서는, 다음의 내용이 중점적으로 강조되어야 한다.

 

▪ 네트워크 운영자의 기본 정보

▪ 네트워크 운영자의 주요 책임자, 데이터 안전 책임자의 성명ㆍ연락 방법

▪ 개인정보 수집ㆍ사용의 목적, 종류, 수량, 빈도, 방법, 범위 등

▪ 개인정보 보관 장소, 기간 및 만기 후의 처리 방법

▪ 타인에 대한 개인정보 제공 규칙(타인에 제공할 경우)

▪ 개인정보 안전 보호 방침 등의 관련 정보

▪ 개인정보 주체에 의한 동의 철회 및 개인정보 조회ㆍ수정ㆍ삭제 경로와 방법

▪ 클레임 제기, 통보의 경로와 방법 등

 

② 개인정보 보호 및 사용 규칙

 

개인정보를 보관할 경우에는, 목적 실현에 있어 필요한 최단 기간 동안만 보관해야 한다. 개인정보 보관 기간이 해당 기간을 넘어갈 경우에는, 개인정보에 대하여 삭제 또는 익명화 처리를 진행해야 한다. 또한 보관되는 개인정보에 대하여, 관련 업무자의 접근 권한을 제한해야 한다.

개인정보를 사용할 경우에는, 목적을 위해 필요한 경우를 제외하고 개인정보에 의해 특정한 개인을 정확하게 특정 지을 수 있도록 해서는 안 된다. 개인정보의 수권 범위를 넘어서 개인정보를 사용하는 경우에는, 해당 개인정보의 주체로부터 다시 한 번 명시된 동의를 얻어야 한다.

 

(2) 개인의 기밀 정보 보호 제도

 

‘개인정보 안전 규범’에서는 개인의 기밀 정보 범위를 정하고 있으며, 개인의 신분증 번호, 생물 식별 번호, 은행 계좌번호, 통신기록 및 내용, 재산 정보, 신용 조사 정보, 행동 추적 정보, 숙박 정보, 건강 생리 정보, 거래 정보 등은 모두 개인의 기밀 정보에 해당한다. 이러한 개인의 기밀 정보를 수집할 때에는, 정보 주체의 명시된 동의를 얻어야 하며, 보관 시 암호화 조치를 취해야 한다.

그밖에 ‘데이터 안전 관리변법(의견모집고)’에 의하면, 네트워크 운영자는 경영을 목적으로 개인의 기밀 정보를 직접 수집하거나 제3자로부터 간접적으로 수집할 때, 소재지의 인터넷 정보 부문에 신고해야 한다. 신고의 주요 내용은, 기밀 정보의 수집ㆍ사용 규칙, 목적, 규모, 방법, 범위, 유형, 기간 등이며, 개인의 기밀 정보의 구체적인 내용은 포함하지 않는다.

 

(3) 아동 개인정보 보호 제도

 

2019년 8월 22일에 국가 네트워크 및 정보화 공변실은 ‘아동 개인정보 네트워크 보호 규정’을 공포하여, 만 14세 미만의 미성년자의 개인정보 보호에 대해 규제를 마련하였다. 해당 규정에 따르면, 네트워크 운영자는 다음의 사항에 주의해야 한다.

 

① 기업 내부에서 전문적인 아동 개인정보 보호 규칙과 사용자 계약을 제정하고, 아동 개인정보의 보호 업무를 담당하는 전임자를 지정해야 한다. 또한 아동 개인정보에 대한 접근 권한을 엄격하게 제어해야 하며, 사내의 직원이 아동 개인정보에 접근해야 하는 경우에는 아동의 개인정보 보호 책임자 또는 그 권한을 부여하는 관리자의 승인을 얻어 접근 상황을 기록하고 기술적인 조치를 취하여, 위법한 복제 및 아동 개인정보의 다운로드를 피하도록 해야 한다.

 

② 네트워크 운영자의 아동 개인정보 수집ㆍ사용ㆍ양도ㆍ개시는 업무상 필요한 정도에 따라, 확실하게 정해진 목적ㆍ범위를 초과하여 개인정보를 사용할 필요성이 있을 경우에는 아동의 보호자의 동의를 얻어야 한다. 그밖에, 동의를 얻을 때 고지한 항목(아동 개인정보 수집의 목적, 방법, 범위 등)에 실질적인 변화가 발생했을 경우에도 아동의 보호자의 동의를 다시 한 번 얻어야 한다.

 

③ 아동 개인정보를 관리 및 사용할 때, 네트워크 운영자는 암호화 등의 조치를 취하여 아동 개인정보를 보관해야 한다. 아동 개인정보를 제3자에게 양도할 경우에는, 자기 자신 또는 제3자 기구에 위탁하여 안전 평가를 실시해야 한다

 

 

[2020 차세대 융합보안 시장 전망과 기술개발 전략] 보고서 상세보기

http://www.irsglobal.com/shop_goods/goods_view.htm?category=02000000&goods_idx=83780

 

게시글 공유 URL복사