중국, 데이터 처리의 보안 영향 평가 가이드라인 마련

25 May 2018 8:56am

2018년 5월 15일 | 10:06 GMT 쉬 위안 (Xu Yuan)

본사가 입수한 가이드라인 초안 사본에 따르면 중국의 사이버관리국은 데이터 처리 활동의 보안에 미치는 영향을 평가하는 표준을 세우는 데 있어 유럽연합과 미국의 데이터 보호 방침을 따르고 있다.

중국 국가정보보안표준기술위원회(중국 사이버관리국 산하 TC260으로 알려진 표준개발위원회)는 ‘개인정보 보안 영향 평가 가이드라인’ 이라는 제목의 가이드라인 초안을 완성하였다.

당국은 가이드라인을 작성하는 과정에서 유럽연합과 미국 내의 유사한 규정 및 관례를 언급하여, 데이터가 처리되기 전에 조직 및 규제기관이 데이터 보안에 미치는 영향을 평가할 수 있도록 가이드라인을 제공했다고 밝혔다.

이달 25일부터 시행될 유럽연합의 개인정보보호규정(GDPR)은 특정 유형의 데이터 처리에 관한 개인정보 보호에 미치는 영향을 평가하도록 하며, 이는 개인의 권리와 자유를 침해할 가능성이 크다.

또한, 미국에서는 2002년의 전자정부법이 각 기관에서 개인정보-영향 평가를 통해 개인식별정보를 어떻게 수집, 사용, 공유, 유지하는지 분석할 것을 요구한다고 미 연방거래위원회는 밝혔다.

중국의 초안 가이드라인 내용을 보면 일반적으로 개인정보 관리자는 개인정보 처리 및 수집이 이뤄지기 전에 개인정보 보안에 대한 영향을 반드시 평가해야 한다.

관리자는 ‘개인정보 보호의 경계를 명확히 하고, 평가 결과에 따라 보안-통제 조치를 적절히 시행하고, 개인정보 대상의 권익에 대한 영향을 줄여야 한다.’

규정 및 규제 변화가 생기거나 사업적, 환경적 위험이 생기면 정기적인 평가 또한 해야 한다.

가이드라인에 따르면 영향 평가는 데이터 매핑, 즉 보안 사고의 가능성과 데이터 대상의 권익에 미치는 영향을 분석하는 데 중점을 둔다.

보안 평가가 필요한 경우는 대표적으로 해외 데이터 전송, 데이터 처리 목적 변경, 개인 정보 전송·공유·공개가 있다.

데이터 대상의 권익에 큰 위험을 초래하는 데이터 처리의 경우에도 영향 평가가 시행되어야 하며, 예를 들면 50만 명 이상의 데이터를 처리하거나 인공지능(AI)과 같은 혁신 기술을 동반한 경우다.

중국의 사이버관리국에 따르면 가이드라인은 각 기관에서 개인정보를 수집, 사용, 저장, 공개, 전송, 공유하는 방법에 대한 또 다른 규정을 지원하기 위해 마련된 것이며, 이번 달에 시행되었다.

Global Privacy in 2018