제54조 및 제64조: 개인정보 보호 준수 감사에 대한 기본 법적 틀을 제공하여 기업이 감사 의무를 적극적으로 이행하고 규제에 협조하도록 요구합니다.
네트워크 데이터 보안 관리에 관한 규정(2025년 1월 1일 시행)
제27조: 감사 요건을 더욱 구체화하기 위해 네트워크 데이터 처리자는 법률 및 행정 규정을 준수하여 개인정보를 처리하는지에 대해 자체적으로 또는 전문 기관에 의뢰하여 정기적으로 규정 준수 감사를 실시해야 합니다.
개인정보 보호에 대한 컴플라이언스 감사 관리 조치(2025년 2월 14일 발표, 2025년 5월 1일 시행)
개인정보 보호 컴플라이언스 감사에 대한 첫 번째 지원 규정이 공식적으로 시행됩니다.
목차
01 개인 보험 감사에서 원칙에서 현실로 나아가기 위한 핵심 단계
2025년 2월 14일에개인정보 보호규정 준수 감사관리 조치'(이하 '조치')가 공식 발표되면서 중국의 개인정보 보호 감독이 공식적으로 '개선 입법'에서 '법 집행 심화' 단계로 접어들었습니다. 이번 조치는개인정보보호법이 제도의 도입은 제54조의 '정기적인 규정 준수 감사 실시' 의무를 수반하는 첫 번째 규정이라는 점에서 큰 의미가 있습니다:(1) 시스템 충원을 위한 착륙 요건 개선공백:최고 사령관(군)개인 보호이 문서의 추상적인 요건은 26개의 구체적인 감사 지표(예: 자동화된 의사 결정의 투명성, 미성년자 정보 보호 메커니즘 등)로 번역되었습니다;(2) 개별 보험 감사 트리거를 명확히 하기 위한 책임 강화:'천만 명 이상의 정보를 취급하는' 개인정보 처리자는 최소 2년에 한 번씩 의무적으로 감사를 받도록 명시하고, 개인정보 보유 여부가 우려할 만한 사유가 되지 않도록 합니다.정보 보안사고 또는 위험이 있는 경우, 보호 당국은 개인정보 처리자에게 전문 기관에 개인 정보 보호 감사를 의뢰할 것을 요구할 수 있습니다;(3) 개인정보 보호를 위한 조정된 거버넌스 메커니즘의 구축:'기업 자체 점검 + 제3자 감사 + 행정 감독'의 3단계 거버넌스 체계를 구축하고, 특히 대형 플랫폼은 외부 독립 감독기구 도입을 의무화했습니다.네트워크 팔로우데이터 보안행정 규정의 속도에 따라 이 조치는 중국 개인정보 보호 분야의 중요한 입법 퍼즐 조각이 되었습니다. 이 조치의 도입으로 기업의 규정 준수 비용이 크게 증가했지만, 통신 및 인터넷, 금융, 의료 등 개인정보 데이터 집약 산업에 대한 기존 법 체계의 모호함을 명확히 하고 구체적이고 강제력 있는 규정 준수 경로를 제공했습니다.
02제도의 새로운 조항의 핵심 변경 사항
노출 초안이 발표된 지 1년 반이 지난 지금, 이번 조치의 공식 초안에서는 감사 트리거 기준의 하향 조정, 관리 전략의 변경 등 많은 부분이 수정되었으며, 이는 기본적으로 2024년에 발표될 '데이터의 국경 간 흐름 촉진 및 규제에 관한 규정'과 '네트워크 데이터 보안 관리 규정'이 제시한 추세에 따라 규제의 포괄성과 유연성을 반영한 것입니다. 이번 조치의 공식 초안에서 주목해야 할 변경 사항은 다음과 같습니다:I. 의무 감사 발동 기준 증가: 1,000만 명구성중요한 분수령의 순간개인정보 보호 컴플라이언스 감사 의무 트리거 임계값과 시행 빈도 요건은 가장 우려되는 요소로, 임계값은 높이고 빈도는 낮춘다는 한 문장으로 요약할 수 있습니다.
개인 정보 양에 대한 임계값
주파수 요구 사항
임계값 미만 상황
최종 버전
1,000만 명 이상
2년에 1회 이상
명시적 요구 사항 없음
공개 의견 수렴을 위한 결의안 초안
100만 명 이상
연 1회 이상
2년에 1회 이상
이번 조치의 공식 초안에서는 개인정보 보호 컴플라이언스 감사 의무 발동 기준이 '100만 명'에서 '1000만 명'으로 대폭 상향되었으며, 시행 주기도 공개 초안의 '100만 명'에서 '1000만 명'으로 늘어났습니다."1년에 한 번 이상"을 "2년에 한 번 이상"으로 변경합니다.동시에 임계값을 충족하지 못하는 기업의 경우 더 이상 명시적인 규정 준수 감사 요구 사항은 없지만 여전히 개인 정보 보호법에 따른 정기 감사 수행 요구 사항을 충족해야합니다. 동시에 기준치를 충족하지 못하는 기업의 경우 더 이상 명확한 준법 감사 요건은 없지만 개인정보보호법에 따라 여전히 정기 감사 실시 요건을 충족해야 합니다. 따라서 이러한 기업은 결국 기업이 '수동적인 감사'를 원하지 않기 때문에 비즈니스의 성격과 개인정보의 민감도에 따라 적시에 위험을 감지할 수 있도록 개인정보보호 준법 감사를 적시에 실시하는 것이 좋습니다! 결국, 기업은 '수동적 감사'를 받고 싶지 않을 것입니다.II. 규정 중심의 '사후 감사': 세 가지 시나리오 파악하기위에서 언급한 '사전 감사' 메커니즘 외에도 규제 당국은 개인정보 보안 사고나 위험이 발생할 경우 기업에 전문 기관에 규정 준수 감사를 의뢰할 것을 요구할 수 있습니다.이 제도의 공식 초안에서 세 가지 새로운 시나리오가 확인되었습니다:(1) 개인정보 처리 활동이 개인의 권익에 중대한 영향을 미칠 위험이 크거나 보안 조치가 심각하게 부족하다고 판단되는 경우;(2) 다수 개인의 권익을 침해할 우려가 있는 개인정보 처리 활동;(3) 100만 명 이상의 개인정보 또는 10만 명 이상의 민감한 개인정보가 유출, 변조, 분실 또는 파기되는 개인정보 보안 사고가 발생한 경우.위험 사건의 관점에서 '산업 및 정보기술 분야 데이터 보안 사고 긴급 대응 계획(시범 실시용)'을 참조하여 '100만 명 이상의 개인정보 또는 10만 명 이상의 개인정보'가 관련된 경우, 즉 대규모 데이터 보안 사건 이상이 발생하는 경우 규제 당국은 기업에 개인정보 보호에 대한 준법 감사를 실시하도록 요구할 수 있습니다.이 제도는 동일한 개별 정보 보안 사고 또는 위험으로 인해 기업이 규정 준수 감사를 반복적으로 수행하도록 요구해서는 안 된다는 점을 명확히 하고 있습니다.III. 감사 형식 선택: 자율 감사 또는 전문 기관 위탁공식 초안과 노출 초안 모두에서 개인정보 보호 준수 감사 실시에는 사내 조직과 제3자 전문 기관이 모두 포함됩니다.'적극적 감사'의 형태에 따라 기업은 실제 필요에 따라 준법감사를 실시하는 방식을 선택할 수 있습니다. 다만, 감독 당국이 개인정보 보호에 대한 준법 감사를 요구하는 경우 "보호 부서의 요구 사항에 따라 전문 기관을 선정"하고 전문 기관이 발행한 감사 보고서 및 시정 조치를 보호 부서에 제출해야 하며 구체적인 이행 기한은 다음과 같이 명시하고 있습니다:
감사 보고서 제출 기간
수정 보고서 제출 기간
최종 버전
불특정, 사례별로 결정되며 기업은 연장을 신청할 수 있습니다.
수정 완료 후 영업일 기준 15일 이내
공개 의견 수렴을 위한 결의안 초안
90일(영업일 기준) 이내에 연장을 신청할 수 있습니다.
지정되지 않음
IV. 제3자 전문 기관: 인증 장려 + 감독 수용제3자 전문 기관도 개인정보 보호 규정 준수 감사에서 핵심적인 역할을 하며, 이들이 규정 준수 감사를 수행할 수 있는 명시적인 자격이 필요한지 여부가 큰 관심사였습니다.이전 초안에서는 "개인정보 보호 준수 감사를 위한 전문 기관의 권장 목록을 수립"하고 기업이 이러한 기관을 선호하도록 장려할 것임을 분명히 했습니다. 그리고조치의 공식 초안에서는 '권장 카탈로그'의 관련 조항을 삭제하고 '관련 전문 기관의 인증 통과 장려'를 유지하여 기업이 여전히 준법 감사를 수행할 적격 기관을 우선적으로 선택해야 함을 어느 정도 시사하지만 카탈로그 추천 메커니즘이 약화되었을 뿐입니다.이 조치는 또한 개인정보 보호 준수 감사 수행 과정에서 제3자 전문 기관의 정기적인 교대 및 감독을 규정하고 있습니다:(1) 법률 준수 및 기밀 유지 의무.(2) 규정 준수 감사는 다른 조직에 하청을 줄 수 없습니다.(3) 동일한 피감사에 대해 연속 3회 이상 준법감사를 실시해서는 안 되며, 이 요건은 전문기관과 그 계열사 및 준법감사 담당자를 대상으로 합니다.(4) 감독 및 검사를 수락할 의무.개인정보 보호 준수 감사를 수행하는 전문 기관의 경우, 이 조치는 주로 전문적이고 독립적이어야 하며 동시에 보호 당국과 대중의 감독을 받아야 한다고 명시하고 있습니다. 인증 메커니즘을 장려함으로써 전문 기관의 진입 문턱을 높여 '규제 지침 + 시장 선택'의 양성적인 생태계를 형성합니다.V. 기타: 개인정보 보호 책임자에 의한 임계값 설정개인정보 보호법 제52조는 개인정보를 취급하는 기업은 개인정보 취급량이 '국가넷정보부가 정하는 양'에 달하는 경우 개인정보 보호 책임자를 지정하도록 규정하고 있지만, 3년이 넘도록 관련 문서가 없어 '규정 양'에 대한 최종 해답이 명확하지 않다가 이번에 대책의 공식 초안에서 최종적으로 '규정 양'이 결정되었습니다. "규정 수량"에 대한 최종 답변이 최종적으로 조치의 공식 초안에서 결정되었습니다.100만 명 이상의 개인정보를 처리하는 개인정보처리자는 개인정보 보호 책임자를 지정하고, 개인정보 보호에 대한 준법감사를 담당하도록 해야 합니다.이번 조치로 개인정보 보호 책임자의 설치 요건이 명확해짐에 따라 기업이 개인정보 보호 책임자의 연락처를 공개하고 성명과 연락처를 감독 당국에 신고하도록 하는 등 개인정보 보호법의 요구 사항이 더욱 심도 있게 시행될 것으로 보입니다.
03개인정보 보호 컴플라이언스 감사 가이드라인 핵심 프레임워크
이번 조치 발표의 중요한 부분으로, 기존 노출 초안의 '개인정보 보호 준수 감사 기준'은 이제 '개인정보 보호 준수 감사 가이드라인'으로 명칭이 변경되었습니다. 공식 초안의 감사 가이드라인은 노출 초안의 버전과 비교하여 많은 부분에서 간소화 및 최적화되었으며, 예를 들어 자동화된 의사 결정 시나리오에서 알고리즘 모델의 안전성 평가, 기술 윤리 제출 및 검토, 대형 인터넷 플랫폼의 독립 기관 및 외부 구성원의 감독 요건 검토가 삭제되어 다음 표에서 전체적으로 분류된 26개의 감사 항목으로 구성됩니다:
개인정보 보호 컴플라이언스 감사 가이드라인 프레임워크
심사 가이드라인은 '위험 식별 - 규정 준수 검증 - 동적 개선'의 큰 줄기를 바탕으로 특정 고위험 시나리오(미성년자 보호, 국경 간 전송, 자동화된 의사 결정 등)에 대해 차별화된 심사 기준을 설정하고 기업이 개인정보 보호에 있어 다음 원칙을 준수할 것을 촉구합니다. 원칙:(1) 적법성의 근거가 우선합니다:개인정보 취급 시 '적법성, 정당성, 필요성'의 원칙을 강조하며, 특히 '동의'의 유효성(예: 별도 동의, 재동의 메커니즘)에 주의를 기울입니다.(2) 시나리오 기반 계층적 관리:자체 점검을 고위험 시나리오(예: 미성년자 정보, 생체 인식 데이터)에 집중하고 '고위험, 고의무' 원칙을 명확히 합니다.(3) 기술 및 관리 중심:기술적 보안 조치(예: 암호화, 비식별화)의 효과와 내부 관리 시스템(예: 비상 계획, 교육 프로그램)의 완전성이 모두 요구됩니다.심사 가이드라인의 26개 심사 요건은 기업이 개인정보보호 준법감사를 실시할 수 있는 명확한 심사 범위를 제시하고, 실무에서 감사를 실시할 때 국가 표준 '데이터 보안 기술 개인정보보호 준법감사 요건'(의견 모집 중)을 참고할 수 있으며, 감사 프로세스, 감사 증거, 감사 내용, 감사 방법론 등 개인정보보호 준법감사의 구체적인 운영을 상세하게 규정하고 감사 초안 템플릿, 감사 보고서 템플릿 등 참조 문서를 제공하여 개인정보보호 준법감사를 실시할 때 참조 가능한 이행 프레임워크를 제공합니다. 또한 감사 초안 템플릿 및 감사 보고서 템플릿과 같은 참조 문서를 제공하여 개인 보험 컴플라이언스 감사에 참조할 수 있는 구현 프레임워크를 제공합니다.
개인정보 보호 컴플라이언스 감사 실시 프로세스(참고))
지난해 이미 36개 기업이 이 기준에 따라 개인정보 보호 준법감사를 시범적으로 실시했으며, 현재 '개인정보 보호 준법감사에 관한 행정조치'가 정식으로 발표되었고, 조만간 감사 요건에 대한 국가 표준이 정식으로 발표될 예정이므로 기업이 자체적으로 감사를 실시하거나 제3자 전문기관에 위탁하는 경우 이를 참고하여 시행할 수 있습니다.
04비즈니스 사례 추천 참고 자료
개인정보 보호 준수 감사는 개인정보보호법의 보편적인 준수 요건에서 파생된 것으로, 본 조치에 따라 1천만 명 이상 또는 100만 명 이상의 개인정보를 보유한 개인정보 처리자에 대해서만 감사 주기 및 범위에 대한 차등화된 요건이 있습니다. 본 조치는 2025년 5월 1일부터 정식 시행될 예정이며, 기업은 실질적인 컴플라이언스 관점에서 본 조치의 요구 사항을 참고하여 사전에 준비 및 업무 계획을 수립해야 합니다:(1) 리스크 맵 구축:가이드라인의 27개 조항에 대한 갭 분석을 수행하고 빈번하게 위반되는 분야(예: 유효한 동의 미취득, 과도한 수금, 국경 간 위반)를 우선적으로 시정합니다.(2) 거버넌스 구조를 개선합니다:상근 개인정보 보호 책임자를 지정하고 부서 간 조율 권한을 부여합니다. '시스템-기술-인력'으로 구성된 컴플라이언스 시스템을 구축하여 '관리보다 기술을 강조하는 방식'을 지양하고 있습니다.(3) 시나리오 기반 규정 준수 설계:자동화된 의사 결정, 미성년자 보호, 얼굴 인식, 국경 간 전송과 같은 주요 시나리오에 대한 특별 규정 준수 지침을 개발하세요.
(4) 동적 응답 메커니즘:개인정보 보호 영향 평가 보고서를 분기별로 업데이트하여 수정할 수 있는 증거를 보관합니다. 정기적인 내부 감사 + 모의 규제 점검을 실시하여 비상 대응 메커니즘이 실행 가능한지 확인합니다.
사이버 연구소의 원본 기사, 복제 시 출처 표시: https://cncso.com/kr/개인-정보-보호-준수-감사-html
