시진핑 총서기는 데이터 보안을 중시하고 법률 및 시스템 구축을 가속화하여 데이터 거버넌스의 전 과정에서 안전의 마지노선을 유지하고 감독의 레드라인을 명확히 해야 한다고 강조하였다.[ <중국인민은행 업무영역 데이터보안관리조치(의견초안)> 작성 설명] 동시에 2021년 9월부터 공식적으로 시행되는 <데이터보안법> 제6조도 산업, 통신, 교통, 금융, 천연자원, 보건, 교육 및 과학 기술 및 기타 주관 부서가 산업 및 분야의 데이터 보안 감독 책임을 져야 한다고 명시하였다. 이러한 배경에서 중국인민은행(이하 “중앙은행”)은 2023년 7월 24일 <데이터보안법>의 요구 사항을 이행하고 금융 분야의 데이터 보안 관리 시스템 공백을 메우고 높은 민감도와 대규모 특성을 가진 금융 분야의 데이터를 보호하기 위한 목적을 위해 <중국인민은행 업무영역 데이터보안관리조치(의견초안)>에 대한 공개 의견 수렴 통지를 발행했으며 금융기관 및 기타 데이터 처리자에게 중앙은행 비즈니스 데이터를 처리하기 위한 표준 지침을 제공하였고 의견 피드백 요청 마감일은 2023년 8월 24일이다.
<관리조치>는 총 8장 57조로 데이터 분류 및 등급, 데이터 보안 보호의 전반적인 요구 사항, 데이터 보안 보호 관리 조치, 데이터 보안 보호 기술 조치, 리스크 모니터링 및 평가 감사 및 이벤트 처리 조치를 규정하였다. 저자는 <관리조치>의 적용 범위로부터 시작하여 <관리조치>에 따른 금융 기관 및 기타 데이터 처리자의 의무 및 법적 책임을 간략하게 정리하여 관련 데이터 처리자가 참조할 수 있도록 할 것이다.
[1]《中国人民银行业务领域数据安全管理办法(征求意见稿)》起草说明
1.적용범위
<관리조치> 제3조는 데이터 보안 작업이 “업무 관리하는 자, 업무 데이터를 관리하는 자, 데이터 보안을 관리하는 자” 원칙을 준수한다는 기본 원칙을 수립하였다. 이 원칙에 따라 <관리조치>의 적용 범위는 데이터 처리 활동을 수행하는 금융기관 및 기타 기관이 데이터 처리자로서 중화인민공화국 역내에서 수행하는 중앙은행 업무 분야의 데이터 관련 처리 활동이며, 여기에는 데이터 수집, 저장, 사용, 가공, 전송, 제공, 공개 및 삭제 등이 포함된다.
<관리조치>에서 조정된 중앙은행의 업무영역 데이터는 데이터 처리자가 통화정책업무, 국경간 위안화업무, 은행간 각종 시장거래업무, 금융업 종합통계업무, 지급결제업무, 통화관리 및 디지털 위안화 업무, 경리국고업무, 신용조회업무, 자금세탁방지업무 등의 업무활동을 수행할 때 생성 및 수집하는 네트워크 데이터 즉 네트워크를 통해 수집, 저장, 전송, 처리되는 각종 전자데이터를 말한다. <관리조치> 제2조에 따르면 국가비밀과 관련된 데이터는 <관리조치>의 규제범위에서 명확하게 제외되어 <데이터보안법>과 일치하게 국가비밀과 관련된 데이터 처리활동은 <국가비밀유지법> 및 기타 법률 및 규정에 근거한다.
2.<관리조치>에 따른 중앙은행 업무데이터 처리자의 의무
(一)데이터 분류, 등급 구분 의무
01.데이터 분류, 등급 구분 제도규정:
업체의 데이터 분류 및 등급 구분 시스템을 구축 및 개선하고 분류 및 등급 구분 업무 운영 절차를 표준화 한다.
02.데이터 분류 요구:
업무 분류를 설정하고 데이터 자원 카탈로그를 분류 및 세분화하고 각 데이터 항목이 개인 정보, 데이터 소스(생산, 운영 및 가공, 외부 수집 등), 데이터 항목을 저장하는 정보 시스템 목록 및 응용 프로그램의 업무 범주를 식별한다.
03.데이터 등급 구분 요구:
(1) 데이터는 정확도, 규모 및 국가안전에 미치는 영향 정도에 따라 일반, 중요 및 핵심의 3단계로 나뉜다.
(2) 업체의 정보시스템에 저장된 전체 데이터가 중요 데이터 및 핵심 데이터에 속하는지 여부를 정확하게 식별하고 판단하고 제출된 중요 데이터 목록의 내용을 작성하고 중국인민은행이 요약한 후 중요 데이터의 특정 목록을 결정한다. 또한 단위에서 처리되는 데이터에 대해서도 중요 또는 핵심 데이터인지 여부를 적시에 정확하게 식별하고 판단해야 한다.
(3) 데이터 민감도 단계화: 데이터가 유출되거나 불법적으로 획득 또는 불법적으로 사용되는 경우 개인, 조직의 정당한 권익 또는 공익에 해를 끼칠 수 있는 정도에 따라 구조화 및 비구조화 데이터 항목을 구분하고 데이터 항목의 민감도를 낮은 수준에서 높은 수준까지 5단계로 분류한다.
(4) 데이터 가용성 단계화: 정보시스템에 저장된 데이터가 변조 및 파괴된 후 비즈니스 연속성에 영향을 미칠 수 있는 정도를 평가하고 복구 지점 목표 요구 사항을 명확히 하며 목표가 엄격할수록 데이터 가용성 수준이 높아진다.
04.데이터 자원 카탈로그 갱신 요구:
매년마다 데이터 자원 카탈로그를 갱신해야 한다.
(二)데이터보안 요구
01.총체적 요구 사항:
1.책임 이행의 총체적 요구 사항: 업체 내 데이터보안 관리 책임 분담을 명확히 하고, 충분한 데이터보안 관리 인력을 배치하고, 책임 및 문책(问责) 절차를 구체화하고, 데이터 보안 담당자와 데이터 보안 주도 관리 내부 부서를 서면으로 명확히 한다.
2.전체 프로세스 보안관리 시스템 요구 사항: 전체 프로세스 데이터보안 관리 시스템을 구축 및 개선하고 차별화된 보안 관리 및 기술 조치 요구 사항을 명확히 하고 데이터 처리 활동에 대한 운영 절차를 공식화하고 다양한 내부 승인 및 승인 프로세스를 표준화 한다.
3.안전 교육의 총체적인 요구 사항: 직무 분업에 따라 연간 데이터보안 교육계획을 수립하고 관련 교육 및 훈련을 조직하며 교육 결과를 평가한다.
02.데이터보안 관리조치 및 기술조치 요구
1.인력 관리 요구 사항: 최소필요(最小必要) 및 책임분리 원칙에 따라 정보 시스템의 다양한 업무 처리 계정, 데이터베이스 관리자 및 기타 특권 계정의 설정 및 권한을 엄격하게 관리하고 계정 인증 관리를 강화한다.
2.데이터 처리의 각 링크에 대한 보안관리조치 요구 사항: <관리조치>는 데이터 수집, 데이터 저장, 데이터 사용, 데이터 가공, 데이터 개발 및 활용 촉진, 데이터 전송, 일반 데이터 제공, 특수성 데이터 제공, 데이터 융합 혁신 응용, 데이터 수출 제한, 국제 조직 및 외국 금융 관리 부서의 데이터 수집 및 정보 공개 보호의 총 13가지 측면에 대한 관리 조치 요구 사항을 제시하였고 데이터 처리자가 충족해야 하는 중앙은행 업무 데이터의 관리 조치의 요구 사항을 명확히 하였다.
3.데이터 처리의 각 링크에 대한 보안기술조치 요구 사항: 기술 조치 수준에서 <관리조치>는 계정 권한 및 데이터 처리 활동 로그 보호를 위한 기술 조치 요구 사항을 제시하며 데이터 수집, 저장, 사용, 가공, 전송, 제공, 공개 및 삭제 링크에 대한 데이터 안전 보호 기술 조치 요구 사항도 제시하였다.
(三)리스크 모니터링, 평가 감사 및 사건 처리 조치 요구 사항
01.리스크 모니터링 의무:
데이터 처리자는 업체의 데이터 처리 활동에 대한 보안 리스크 모니터링 및 경고를 강화하고 단위의 비공개 데이터가 인터넷에 유출되고 업체 데이터가 판매되는 상황에 중점을 두고 데이터 보안 리스크 정보의 모니터링을 강화해야 하며 동시에 중국인민은행 또는 그 지점에서 통보한 데이터보안 리스크 정보를 적시에 수신, 확인 및 처리해야 하며 필요에 따라 검증 및 폐기 결과를 적시에 피드백해야 한다.
02.데이터보안 리스크 평가 및 심사:
이 부분은 <데이터보안법>의 핵심데이터 처리자의 데이터 보안 리스크 평가 요구 사항을 연결하고 중앙은행 업무 데이터 처리자가 자체적으로 또는 점검기관에 위탁해야 함을 명확히 하며, 매년 1회 종합적인 데이터 보안 리스크 평가 작업 및 데이터 안전과 관련된 규정 준수 감사를 조직하고 다음 연도 1분기 말 이전에 중국인민은행 또는 그 소재지 지점에 리스크 평가보고서를 제출하고 행정 규정의 요구 사항에 따라 해당 인터넷정보부서에 제출해야 한다.
03.데이터보안사건 등급 판정 및 상응한 처리:
국가사이버보안사고 비상 대응 계획의 관련 사건 분류 요구 사항에 따라 각 수준의 데이터 보안 사고에 해당하는 등급 판정 기준을 세분화하고 명확히 하며 데이터 보안 사고를 사이버 보안 사고 비상 대응 메커니즘의 통합관리에 통합하고 관련 비상계획을 수립하고 데이터보안사건이 발생하면 사건의 등급, 처리, 요약, 보고 및 시정 작업을 잘 수행하고 규정에 따라 중앙 은행 또는 그 소재지 지점 및 기타 관련 주관부서에 사건 정보를 보고해야 한다.
3.데이터 처리활동 감독관리 및 법적책임
<관리조치>는 데이터 처리자의 데이터 보안의무 이행에 대한 집법 검사가 중앙은행 및 그 지점에서 수행되거나 기타 주관부서와 공동으로 조직될 것이라고 명시하였다. 보안 리스크가 높은 데이터 처리활동의 경우 관련 데이터 처리자를 인터뷰하고 숨겨진 리스크의 시정 및 제거를 요청할 수 있다. 중앙은행 및 그 지점은 집법 검사에서 데이터 처리자가 데이터 보안의무를 위반하거나 규정을 위반하여 데이터를 해외로 전송하거나 국제 기구 또는 외국 금융 관리 부서에 데이터를 제공하는 것을 발견한 경우 데이터 처리자에 대해 <사이버보안법> 및 <데이터보안법>의 해당 벌칙 규정에 따라 처리할 권리가 있으며, 조사 후 불법 데이터 취득 행위 또는 데이터의 처리가 합법적인 권익을 해치는 것으로 판명된 경우, 중앙은행 및 그 지점은 관련 사건 정보를 동급 공안기관, 국가안전기관 또는 집법 관련 부서로 이송하여 처리한다.