~에 맞서개인 보호새로운 관리 및 컴플라이언스 요구사항이 대두됨에 따라 다양한 업계와 기업이 참고할 수 있도록 '12대 주요 대응 방안'을 정리했습니다. 또한 특정 업계 상황과 요구 사항에 따라 다양한 업계에서 이러한 대응을 구현할 수 있는 방법에 대한 권장 사항도 제공할 것입니다. '12대 대응조치'는 다음과 같습니다.
개인정보의 분류 및 계층적 관리체계 구축
개인정보 보호 조직을 설치하고, 요건을 갖춘 경우 개인정보 보호 담당자를 지정합니다.
개인정보 전과정 관리체계 구축
개인정보주체 권한관리 플랫폼 구축 및 기업 접근권한 관리 시스템과 연계
개인 구축정보 보안영향평가 시스템
개인정보보호 사고에 대한 긴급대응체계를 구축하고, 규제당국과 협력하여 증거자료를 조사, 수집하는 프로세스를 구축합니다.
개인정보 수탁자 관리체계 구축
개인정보주체가 권리를 행사할 수 있는 신청 접수 및 처리 메커니즘을 구축합니다.
개인정보보호 준수 감사체계 구축
개인정보보호 교육훈련체계 구축
개인정보 국외 전송에 대한 보안 평가 시스템 구축
사용자 프로파일링, 빅데이터 분석, 애플리케이션별 인공지능(APP) 등 첨단기술 활용을 검토하고, 암호화, 비식별화 등 프라이버시 컴퓨팅 기술을 최대한 활용하기 위한 프라이버시 설계 시스템을 구축한다.
아래 그림은 이러한 "12가지 주요 대응 조치"를 개인 법적 보호 프레임워크의 요구 사항에 매핑합니다.
다음은 '12대 대책'의 금융업계 구체적인 적용에 대한 설명입니다.
- 개인정보의 분류 및 계층적 관리체계 구축
개인정보보호법 제51조는 개인정보처리자가 “개인정보의 기밀 관리를 실시”할 필요가 있다고 규정하고 있으며, 많은 금융기관이 예년 데이터 거버넌스 사업에서 금속 데이터를 분류해 왔지만 일반적으로 보안 관점에서 입력이 부족한 상황이다. .
2020년 10월 1일부터 시행된 GB/T 35273-2020 "개인 정보 보안 규정" 3.1 및 3.2는 개인 정보 및 개인 민감 정보를 정의하고 부록 A 및 B에 결정 방법 및 유형을 제공합니다.
중앙은행이 공포하고 2020년 2월 13일에 발효되는 JR/T 0171-2020 "개인 금융 정보 보호를 위한 기술 사양"의 3.2 및 3.3은 개인 금융 정보 및 결제에 민감한 정보에 대한 정의를 제공하고 4.1에 제공합니다. 4.2 자세한 설명 및 분류:
C3: 사용자 식별 정보
C2: 사용자 식별 정보, 재무 상태 정보, 주요 제품 및 서비스 정보
C1: 금융기관의 개인금융정보 내부 이용
중앙은행은 2020년 9월 23일부터 발효되는 JR/T 0197-2020 "금융 규정"을 공포했습니다.데이터 보안등급 가이드는 금융 데이터의 계층적 보안 보호를 넓은 의미로 더욱 표준화하고, 금융 데이터 보안의 분류되고 계층적인 관리를 위한 가장 상세한 가이드입니다. 그 중 3.10은 금융 데이터를 정의하며, 3.11의 개인 금융 정보에 대한 정의는 "개인 금융 정보 보호를 위한 기술 사양" 3.2의 정의와 완전히 일치합니다. .2 및 4.3은 금융 데이터의 원칙과 범위를 더욱 명확히 합니다. 등급, 섹션 5에서는 금융 데이터 보안 등급, 동적 수준 변경 관리 및 중요 데이터 식별의 요소, 규칙 및 프로세스를 자세히 설명합니다.
부록 A에는 일반적인 금융 데이터 등급 규칙의 참조 테이블이 자세히 나열되어 있습니다. 개인 금융 데이터 목록은 더욱 완전하고 상세하며 "개인 금융 보호를 위한 기술 사양"의 C3, C2 및 C1과 완전히 일치할 수 있습니다. 정보". 개인정보 및 개인민감정보는 아래 표와 같이 "개인정보 보호기준"에 기재되어 있습니다. 금융 기관은 참조 테이블의 세분성과 단위의 실제 상황에 따라 분류 및 등급 작업을 수행하는 것이 좋습니다.
JR/T 0197 | JR/T 0171 | GB/T 35273 |
4등급: 개인정보에 심각한 영향을 미치는 정보기존 인증 정보(은행카드 추적 데이터(또는 칩에 상응하는 정보), 카드 인증 코드(CVN 및 CVN2), 카드 유효 기간, 은행 카드 비밀번호, 온라인 결제 거래 비밀번호, 계좌 로그인 비밀번호, 거래 비밀번호, 조회 비밀번호 등)개인정보가 약한 생체정보(얼굴, 성문, 보행, 귀자국, 눈자국, 손글씨 등)강력한 개인 정보 보호 생체 정보(지문, 홍채 등) | C3 | 민감한 개인정보 |
3등급: 개인정보에 심각한 영향을 미치는 정보기본 개인 프로필 정보(이름, 성별, 국적, 민족, 결혼, 증명서, 주소 등)개인 재산 정보(소득, 부동산, 차량, 세금, 적립금, 사회보장, 의료보험 등)개인 연락처 정보(휴대전화, 유선전화, 이메일, 위챗 아이디 등)개인 건강 및 생리학적 정보(증상, 입원기록, 진료지시서, 검사기록서, 수술마취기록, 간호기록, 투약기록, 알레르기 정보, 임신가능성 정보, 병력, 진단 및 치료, 가족력, 현재 병력, 감염병 병력 등)개인위치정보(국가, 도시, 지역, 거리, 경도, 위도 등)개인식별정보(동적 비밀번호, SMS 인증코드, 비밀번호 프롬프트 질문에 대한 답변, 동적 성문 비밀번호 등)개인신용정보(대출정보, 상환정보, 연체정보)개인관계정보(부모, 자녀, 형제자매, 배우자, 사회적 관계)기본 라벨 정보(학력, 직업 등 기본 속성을 기반으로 한 개인 태그)관계 태그 정보(가족관계, 직업관계, 업무관계 등 관련 속성을 기반으로 구성한 개인 태그) | C2 | 민감한 개인정보 |
수준 2: 개인정보 보호에 보통 또는 약간의 영향을 미치는 정보개인교육정보(학교, 학과, 학력, 학위, 과목, 입학일, 졸업일 등)개인 및 직업 정보(단위, 직위, 근무지, 소득, 시작시간, 종료시간 등)개인 자격증 정보(인증번호, 발급기관, 유효일자, 유효기간 등)개인 정당 및 정부 정보(파티, 합류 시간)민관관계정보(직업정보)개인 행동 정보(온·오프라인 상담, 구매, 이용기록, 열람기록, 운전습관 등)기타 태그(서명 라벨, 거래 라벨, 행동 라벨, 마케팅 서비스 라벨, 위험 라벨, 가치 라벨) | C1 | 개인 정보 |
- 개인정보 보호 조직을 설치하고, 요건을 갖춘 경우 개인정보 보호 담당자를 지정합니다.
개인정보보호법 제52조는 개인정보 처리자가 “국가 사이버보안정보화 부서가 정한 범위 내에서 개인정보를 처리해야 하며, 개인정보 처리 활동을 감독하고 관리할 개인정보 보호 책임자를 지정해야 한다”고 규정하고 있습니다. "법적 책임 제66조는 "이 법의 규정을 위반하여 개인정보를 처리하거나, 이 법에서 규정한 개인정보 보호 의무를 이행하지 아니하고 개인정보를 처리한 경우... 직접적인 책임이 있는 자"라고 규정하고 있습니다. 주관자 및 기타 직접적인 책임이 있는 인원은 10,000 위안 이상, 100,000 위안 이하의 벌금에 처하며, 심각한 경우에는 직접 책임이 있는 주관자 및 기타 직접 책임이 있는 인원은 100,000 위안 이상의 벌금에 처하지만, 심각한 경우에는 100,000 위안 이상의 벌금을 부과합니다. RMB 1,000,000 이하이며, 일정 기간 내에 해당 기업의 이사 또는 감독직을 맡는 것을 금지하는 결정을 내릴 수 있습니다. , 고위 관리자 및 개인정보 보호 책임자”
개인정보 보호 책임자는 GDPR에 규정된 DPO와 유사하며, 해당 업무에 대해서는 JR/T 0171-2020 "개인 금융 보호를 위한 기술 사양" 7.2.2.B 권장 사항을 참조하시기 바랍니다. 정보":
해당 기관의 개인 금융정보 보안 관리 시스템을 수립하고 관리하는 업무를 담당합니다.
개인 정보 보호 정책 및 관련 절차를 개발, 구현 및 정기적으로 업데이트합니다.
조직 내뿐만 아니라 조직과 외부 파트너 간의 개인 금융 정보에 대한 보안 관리를 감독합니다.
정보 보안 관리에 대한 내부 감사를 수행하고, 정보 보안 관련 사고를 분석 및 처리합니다.
개인 금융정보 보안 영향평가를 구성 및 실시하고, 개인금융정보 보호를 위한 대책 및 제안을 제안합니다.
금융 상품 또는 서비스가 온라인에 출시되기 전에 기술 테스트를 조직하여 개인 금융 정보의 알려지지 않은(금융 상품 또는 서비스 기능 및 개인 정보 보호 정책과 일치하지 않음) 수집, 사용, 공유 및 기타 처리를 방지합니다.
불만사항 및 이의제기 방법에 대한 정보를 공개하고, 개인금융정보와 관련된 불만사항 및 이의제기를 신속히 접수합니다.
보다 포괄적인 개인 금융 정보 보호 조직 구조는 중앙은행이 2021년 4월 8일에 공포하고 발효한 JR/T0223-2021 "금융 데이터 수명주기 보안 사양"의 섹션 8 "데이터 보안 조직 보증"을 참조할 수 있습니다.
금융기관은 데이터 보안 관리위원회를 구성하고, 의사결정, 관리, 실행, 감독의 4단계를 포괄하는 하향식 데이터 보안 관리 시스템을 구축하고(위 그림 참조), 조직 구조와 직위 설정을 명확히 해야 합니다. 데이터 수명 주기의 보안을 보장합니다. 보호 요구 사항을 효과적으로 구현합니다.
- 개인금융정보 전과정 관리체계 구축
개인정보 보호법 제4조에서는 개인정보 처리에 대해 “개인정보의 수집, 보관, 이용, 처리, 전송, 제공, 공개, 삭제 등”을 포함하며, 개인정보의 전 과정을 포괄한다고 명확히 정의하고 있습니다. 5-32 조항에는 다양한 해당 세부 요구 사항이 규정되어 있습니다. 금융기관은 모든 링크에서 개인보호법 요건을 역동적으로 충족하기 위해 개인금융정보의 전 생애주기를 포괄하는 관리시스템을 구축해야 합니다.
JR/T 0171-2020 "개인 금융 정보 보호를 위한 기술 사양"의 섹션 6과 7은 각각 개인 금융 정보의 수명 주기에 대한 기술 요구 사항과 관리 요구 사항을 제시합니다. JR/T0223-2021 "금융 데이터 수명주기 보안 사양"은 수명주기 관점에서 전체 금융 데이터에 대한 보다 완전하고 체계적인 보안 요구 사항을 제시합니다.
~에 따르면사이버 보안JR/T0071.2-2020 "금융 산업의 사이버 보안 수준 보호를 위한 구현 지침"은 Level Protection 2.0으로 업데이트되고 2020년 11월 11일에 발효되며 금융 산업의 개인 정보 보호에 대한 강화된 요구 사항도 제시합니다(7.1. 4.11, 8.1.4.11 및 9.1.4.11), 일반 분류 보호 2.0의 개인정보 보호 요구사항이 2에서 6으로 확장되었으며, 특히 전체 수명주기의 관리, 통제, 검사 및 평가에 대한 요구사항이 강화되었습니다. 디스플레이 및 개발 요구사항, 링크 테스트, 공유 및 전송 요구사항.
여러 사양은 비교적 잘 연결될 수 있으며 함께 결합하면 기본적으로 개별 법적 보호의 해당 요구 사항을 충족할 수 있습니다(아래 참조).
- 개인정보주체 권한관리 플랫폼 구축 및 기업 접근권한 관리 시스템과 연계
개인정보 보호법 제13조에서는 개인정보 수집 및 처리에 있어서 개인정보주체의 허가 및 동의가 주된 법적 근거라고 규정하고 있으며, 제23조, 제25조, 제26조, 제29조, 제39조에서도 각각 다음과 같이 규정하고 있습니다. 공공장소에서 수집한 개인정보의 목적 외 이용, 민감한 개인정보의 수집 및 처리, 해외 제공 등 5가지 경우에는 개인정보주체의 별도 동의가 필요합니다. 제15조에서는 개인정보주체에게 동의를 철회할 권리를 부여하고 있습니다. 따라서 금융기관은 개인정보 보호법의 요구사항을 충족하기 위해 개인정보주체의 인가와 기업 접근통제 시스템을 동적으로 연계할 수 있는 플랫폼을 구축하여 개인금융정보의 전 생애주기를 포괄할 수 있어야 합니다.
아래 그림과 같이 통합 권한관리 플랫폼은 태그 등을 통해 개인정보주체(고객)의 명시적인 권한 부여를 통해 수집된 데이터에 '권한속성'을 부여하고, 권한속성에 기반한 접근통제를 수립한다(속성기반 접근통제). - ABAC)를 통해 기업 수준의 신원인증 및 접근통제 시스템에서 흔히 사용되는 역할기반 접근통제(Role Base Access Control - RBAC)와 결합하여 다양한 응용시스템 및 비즈니스 프로세스 링크에 적용 개인정보 라이프사이클을 포함하고 역동적인 조정을 달성합니다.
- 개인정보보호 영향평가 체계 구축
개인정보보호법 제55조에서는 다음과 같은 경우 개인정보보호 영향평가를 실시하도록 규정하고 있습니다.
(1) 민감한 개인정보 처리
(2) 자동화된 의사결정을 위해 개인정보를 사용합니다.
(3) 개인정보 처리를 위탁하고, 다른 개인정보 처리자에게 개인정보를 제공하고, 개인정보를 공개합니다.
(4) 개인정보를 해외에 제공하는 행위
(5) 기타 개인의 권익에 중대한 영향을 미치는 개인정보 처리행위.
제56조에는 개인정보 보호 영향 평가에 포함되어야 하는 사항이 명시되어 있습니다.
(1) 개인정보 처리 목적 및 방법이 적법하고 적법하며 필요한지 여부
(2) 개인 권리 및 보안 위험에 대한 영향;
(3) 취해진 보호 조치가 합법적이고 효과적이며 위험 수준에 맞는지 여부.
개인정보 보호 영향평가 보고서 및 처리기록을 최소 3년 이상 보관해야 합니다.
GB/T 39335-2020 "개인 정보 보안 영향 평가 지침"은 개인 정보 보안 영향 평가의 기본 원칙과 실행 프로세스를 제공하고 평가의 핵심 사항, 고위험 개인 정보 처리 활동의 예 및 부록에 공통적으로 사용되는 도구 목록과 매우 실용적인 국가 표준인 참조 방법을 제시하고 있으며, 이를 활용하여 금융기관의 실태에 기반한 자체 개인 금융정보 보안 평가 시스템을 구축할 수 있습니다. 다음 그림은 이 국가 표준에서 권장하는 특정 평가 단계를 보여줍니다.
부록 B "고위험 개인정보 처리 활동의 예"에 따라 금융기관은 다음 사항에 주의해야 합니다.
데이터 처리에는 개인 데이터 주체의 평가 또는 채점, 특히 개인 데이터 주체의 업무 성과, 경제 상황, 건강 상태, 선호도 또는 관심 분야(예: 라이프스타일, 건강 상태에 따른 사전 대출 신용 분석 등)에 대한 평가 또는 예측이 포함됩니다. ) 보험료 설정 결정 등)
개인에게 중대한 영향을 미치는 사법 판결 또는 기타 결정을 제공하기 위한 자동 분석(예: 사용자 프로파일링을 통한 사용자별 선호도에 따른 마케팅 계획 수립)에 개인정보를 사용합니다.
수집되는 개인민감정보의 양과 비율이 크고, 수집빈도가 높으며, 개인의 경험, 생각, 의견, 건강, 재정상태 등과 밀접한 관련이 있습니다.
다양한 처리 활동의 데이터 세트를 일치 및 병합하여 비즈니스에 적용(사기 방지, 위험 제어 등)
데이터 처리에는 미성년자, 환자, 노인, 저소득층 등 취약계층이 포함됩니다.
생체인식, 사물인터넷, 인공지능 등 혁신적인 기술이나 솔루션 적용(인공지능 고객서비스 등)
개인정보 처리로 인해 개인정보주체는 권리 행사, 서비스 이용, 계약상 보호(잠재 고객에 대한 신용결정 등)를 얻을 수 없게 될 수 있습니다.
부록 D "개인정보보호 영향평가 참고방법"에서는 "영향수준"과 "가능성 수준" 두 가지 차원에서 종합적인 평가를 위한 위험수준 판단표도 제공하고 있습니다.
- 개인정보보호 사고에 대한 긴급대응체계를 구축하고, 규제당국과 협력하여 증거자료를 조사, 수집하는 프로세스를 구축합니다.
개인정보보호법 제51조에서는 개인정보처리자는 “개인정보보호사고 비상대책을 수립·편성”하여야 한다고 규정하고 있으며, 제57조에서는 “개인정보의 유출, 변조 또는 분실이 발생하거나 발생할 우려가 있는 경우에는 개인정보 처리자는 즉시 시정 조치를 취하고 개인정보 보호 업무를 수행하는 부서 및 개인에게 그 외에 통지해야 할 구체적인 내용을 통지해야 합니다.” 제63조는 개인정보 보호 담당 부서에 증거를 조사하고 수집할 수 있는 권리를 부여하고 있습니다. 금융 기관은 본 법의 요구 사항을 준수해야 하며 "긴급 상황에 대응하는 은행 및 보험 기관의 금융 서비스 관리 조치", GB/T 38645 "사이버 보안 사고에 대한 긴급 훈련 지침" 및 "상하이"를 참조해야 합니다. 사이버보안사고 비상계획(2019년판)' 등 개인정보 유출, 변조, 분실에 대비한 비상계획을 수립합니다.
- 개인정보 수탁자 관리체계 구축
개인정보보호법 제22조는 “수탁자는 약정에 따라 개인정보를 처리하여야 하며, 약정된 처리목적, 처리방법 등을 초과하여 개인정보를 처리하여서는 아니 되며, 위탁계약이 효력을 가지지 아니하거나 무효한 경우에는 그러하지 아니하다”고 규정하고 있습니다. 해지 또는 해지된 경우에는 수탁자가 개인정보를 처리하도록 하였으며, 수탁자는 개인정보처리자의 동의 없이 개인정보의 처리를 타인에게 위탁하여 처리하지 않습니다. 제55조는 “수탁자는 이 법과 관련 법령, 행정법규의 규정을 준수하고, 처리하는 개인정보의 안전성을 보장하기 위해 필요한 조치를 취하며, 개인정보처리자가 이 법에 따른 의무를 이행하도록 지원해야 한다”고 규정하고 있다. " 금융 기관은 "데이터 수명 주기 보안 사양"의 8.4 요구 사항에 따라 중국 은행 규제 위원회의 정보 기술 아웃소싱 위험에 대한 원래 일련의 규정과 JR/T0223-2021 "금융 관리를 결합할 수 있습니다.
- 개인정보주체가 권리를 행사할 수 있는 신청 접수 및 처리 메커니즘을 구축합니다.
개인정보 보호법 제4장 제44조부터 제49조까지는 개인정보주체에게 일련의 권리를 부여하고 있으며, 제50조에서는 “개인정보처리자는 개인이 그 권리를 행사할 수 있도록 편리한 신청 접수 및 처리 메커니즘을 마련해야 한다”고 규정하고 있습니다. 개인정보주체는 신청이 거부된 경우 소송을 제기할 권리가 있습니다.제70조는 관련 부서 및 조직이 공소를 제기할 수 있는 메커니즘을 추가로 규정하고 있습니다.
'편의성' 요구 관점에서 금융기관은 특히 APP, 공개계좌 등 다양한 온라인 채널을 고려하여 옴니채널 수용 플랫폼 구축에 최선을 다해야 합니다.
- 개인정보보호 준수 감사체계 구축
개인정보보호법 제54조에서는 “개인정보 처리자는 개인정보를 처리할 때 법령, 행정법규의 준수여부에 대한 준수여부에 대한 감사를 정기적으로 실시해야 한다”고 규정하고 있으며, 제64조에서는 관련 부서에 “개인정보 처리자가 준법감사를 전문기관에 위탁하도록 하여야 한다”고 규정하고 있습니다. 개인정보 처리활동'에 관한 내용을 담고 있습니다. 제58조에서는 “인터넷 플랫폼 서비스가 중요하고 이용자 수가 많으며 사업형태가 복잡한 개인정보처리자”는 “개인정보 보호를 감독하기 위하여 외부인을 중심으로 독립된 기관을 설치”하고 “개인정보 보호를 정기적으로 공표”하도록 규정하고 있습니다. 사회적 책임 보고 및 사회적 감독 수용”
금융 기관은 JR/T0223-2021 "금융 데이터 수명 주기 보안 사양"의 8.1.d에 따라 보안 감사를 명확히 할 수 있습니다.
규정 준수 감사, 위험 관리 및 기타 관련 직위는 데이터 보안 관리의 감독 계층으로서 다음과 같은 직무 책임을 수행해야 합니다.
1) 조직의 데이터 관련 업무의 실제 상황을 바탕으로 감사 주기, 감사 방법, 감사 양식 등을 포함하되 이에 국한되지 않는 해당 감사 전략 및 사양을 결정합니다.
2) 데이터 보안 정책 및 지침의 이행을 감독합니다.
3) 불만사항, 신고방법 등의 정보를 공개하고, 정보보안 및 개인정보보호와 관련한 불만사항 및 신고사항을 신속히 접수합니다.
4) 내부 데이터 보안 감사 및 분석을 수행하고, 문제와 위험을 식별 및 피드백하고, 조직의 후속 수정 작업을 감독합니다.
5) 외부감사와 관련된 조직 및 조정업무에 협조한다.
- 개인정보보호 교육훈련체계 구축
개인보호법 제51조에서는 “직원에 대한 정기적인 안전교육 및 훈련”을 요구하고 있습니다. 교육 계획을 개발하려면 "금융 데이터 수명주기 보안 사양"의 8.3.b 요구 사항을 참조할 수 있습니다.
1) 교육 계획에 따라 정기적으로 데이터 보안 인식 교육 및 훈련을 실시하며, 교육 내용에는 관련 국가 법률 및 규정, 업계 규칙 및 규정, 기술 표준, 내부 데이터 보안 관련 시스템 및 관리 절차가 포함되지만 이에 국한되지는 않습니다. 금융산업기관 등의 교육 및 교육 결과를 평가, 기록, 보관하고 있습니다.
2) 보안 수준이 높은 데이터와 밀접하게 접촉하는 인력을 대상으로 데이터 보안 인식 교육 및 훈련을 정기적으로 실시하고, 사무 데이터 정기 삭제에 대한 인식을 함양하며, 데이터 삭제에 대한 자체 점검을 정기적으로 실시한다.
3) 데이터 보안 관리에 관한 정규직 및 핵심 인력을 대상으로 최소 연 1회 데이터 보안 특별 교육을 실시한다.
4) 최소 연 1회 또는 개인정보취급방침에 중대한 변경이 있는 경우에는 개인정보보호정책 및 관련 절차를 숙지할 수 있도록 정보보호 주요직무 담당자를 대상으로 전문적인 교육 및 평가를 실시합니다.
전 직원의 개인정보 보안 인식 구축은 일반적으로 교육 내용, 평가 및 추적, 의사소통 계획, 인식 문화의 네 가지 부분으로 구성됩니다.
- 개인정보 국외 전송에 대한 보안 평가 시스템 구축
개인정보 보호법 제38조부터 제43조까지는 개인정보의 국외 이전을 규정하고 있습니다. 다음은 개인 금융 정보의 현지화 및 국경 간 전송과 관련하여 금융 기관에 적용되는 법률, 규정, 국가 및 산업 표준 조항을 요약한 것입니다.
ㅏ. "사이버보안법》제37조:
중요 정보 인프라 시설 운영자가 중화인민공화국 영토 내에서 운영하는 동안 수집하고 생성한 개인 정보와 중요한 데이터는 중화인민공화국 영토 내에 저장됩니다. 업무상의 필요로 인해 해외에 정보를 제공할 필요가 있는 경우 국가 사이버 보안 및 정보화 부서가 국무원 관련 부서와 협력하여 제정한 방법에 따라 보안 평가를 실시해야 합니다.
비.데이터 보안법》제26조:
어떤 국가나 지역이 데이터 및 데이터 개발 및 활용 기술과 관련된 투자, 무역 등 측면에서 중화인민공화국에 대해 차별적인 금지, 제한 또는 기타 유사한 조치를 취하는 경우 중화인민공화국은 해당 국가에 대해 제한을 가할 수 있습니다. 또는 지역에 따라 실제 상황에 따라 조치가 취해질 때까지 기다리십시오.
c. 데이터 보안법 제31조:
중화인민공화국 사이버보안법의 조항은 중화인민공화국 영토 내에서 활동하는 핵심 정보 인프라 운영자가 수집 및 생성한 중요 데이터의 외부 보안 관리에 적용되며, 기타 데이터 처리자는 데이터를 수집 및 생성합니다. 중화인민공화국 영토 내 활동에서 생성된 중요한 데이터의 해외 보안 관리 방법은 국가 사이버 보안 및 정보화 부서가 국무원 관련 부서와 회동하여 제정합니다.
d. 데이터 보안법 제36조:
중화인민공화국 주관기관은 관련 법률, 중화인민공화국이 체결 또는 참가한 국제조약, 협정 또는 평등원칙에 따라 외국 사법기관이나 법집행기관의 데이터 요청을 처리해야 한다. 그리고 상호주의. 중화인민공화국 주관기관의 승인 없이 국내 조직 및 개인은 중화인민공화국 영토에 저장된 데이터를 외국 사법기관 또는 법집행기관에 제공할 수 없습니다.
이자형."개인정보보호법》제40조:
국가 사이버보안정보화부서가 규정한 개인정보의 양을 취급하는 중요정보 인프라 운영자와 개인정보 처리자는 중화인민공화국 영토 내에서 수집, 생성된 개인정보를 중화인민공화국 영토 내에 보관해야 한다. 꼭 해외에 제공해야 한다면 국가 사이버보안정보화부가 주관하는 보안 평가를 통과해야 한다.
f.'개인정보 보호법' 제41조
중화인민공화국 주관기관은 관련 법률, 중화인민공화국이 체결하거나 동의한 국제조약 및 협정에 따라 국내에 저장된 개인정보 제공에 대한 외국 사법 또는 법집행기관의 요청을 처리해야 한다. 또는 평등과 호혜의 원칙에 따라. 개인정보 처리자는 중화인민공화국 주관기관의 승인 없이 중화인민공화국 영토 내에 저장된 개인정보를 외국 사법기관 또는 법집행기관에 제공해서는 안 됩니다.
g.'개인정보 보호법' 제42조
해외 조직 또는 개인이 중화인민공화국 공민의 개인정보 권리를 침해하거나 중화인민공화국의 국가 안보 또는 공공 이익을 위협하는 개인정보 처리 활동에 참여하는 경우 국가 사이버 보안 및 정보화 부서는 다음과 같은 조치를 취할 수 있습니다. 개인정보 제공에 대한 제한 또는 금지 목록을 게시하고, 해당 개인정보 제공을 제한 또는 금지하는 등의 조치를 취합니다.
아.개인정보 보호법 제43조
어떤 국가나 지역이 개인 정보 보호 측면에서 중화인민공화국에 대해 차별적인 금지, 제한 또는 기타 유사한 조치를 취할 경우, 중화인민공화국은 실제 상황에 따라 해당 국가나 지역에 대해 상응 조치를 취할 수 있습니다.
i.증권법 제177조:
해외 증권 감독 관리 기관은 중화인민공화국 영토 내에서 조사, 증거 수집 및 기타 활동을 직접 수행할 수 없습니다. 어떠한 단위나 개인도 국무원 증권감독관리기구와 국무원 관련 주관부서의 동의를 얻지 않고서는 허가 없이 증권업무 활동과 관련된 문서, 정보를 국외에 제공할 수 없다.
j. 자금세탁방지법 제5조:
돈세탁 방지 업무나 법에 따른 의무를 이행하여 취득한 고객 신원 정보와 거래 정보는 비밀을 유지해야 하며, 법률 규정에 따른 경우를 제외하고는 어떠한 단위나 개인에게도 제공해서는 안 됩니다.
k. "사이버보안 검토 조치 - 의견 초안 개정" 제6조:
100만명 이상의 이용자 개인정보를 보유하고 있으며 해외 상장을 원하는 사업자는 사이버보안심사실에 사이버보안심사를 신청해야 합니다.
l. "사이버보안 검토 조치 - 의견에 대한 개정 초안" 제10조:
제품 및 서비스 사용으로 인해 발생하는 중요 정보 인프라에 대한 불법적인 통제, 간섭 또는 파괴의 위험
제품 및 서비스 공급 중단으로 인해 중요한 정보 인프라의 비즈니스 연속성에 대한 위험
안전성, 개방성, 투명성, 제품 및 서비스 소스의 다양성, 공급 채널의 신뢰성, 정치, 외교, 무역 및 기타 요인으로 인한 공급 중단 위험.
제품 및 서비스 제공업체는 중국 법률, 행정 규정 및 부서 규칙을 준수합니다.
핵심 데이터, 중요 데이터 또는 대량의 개인정보가 도난, 유출, 훼손되거나 불법 활용되거나 해외로 수출될 위험이 있습니다.
해외 상장 이후 중요 정보 인프라, 핵심 데이터, 중요한 데이터 또는 대량의 개인정보가 외국 정부에 의해 영향을 받고 통제되며 악의적으로 사용될 위험이 있습니다.
m.“개인금융정보(자료) 보호를 위한 시범조치” 제20조 및 “개인금융정보 보호를 위한 기술기준” 제7.1.3.d에는 다음과 같이 규정되어 있습니다.
중화인민공화국 영토 내에서 금융 상품 또는 서비스를 제공하는 과정에서 수집 및 생성된 개인 금융 정보는 중화인민공화국 영토 내에서 저장, 처리 및 분석됩니다. . 업무상의 필요로 인해 개인금융정보를 해외기관(본사, 모회사 또는 지점, 자회사 및 업무수행에 필요한 기타 관련기관 포함)에 반드시 제공해야 하는 경우 구체적인 요건은 다음과 같습니다.
국내법과 규정, 업계 당국의 관련 규정을 준수해야 합니다.
개인금융정보주체의 명시적인 동의를 받아야 합니다.
개인 금융 정보 수출 보안 평가는 국가 및 관련 업계 부서가 제정한 방법 및 표준에 따라 수행되어 해외 기관의 데이터 보안 보호 역량이 국가, 관련 업계 부서 및 금융 기관의 보안 요구 사항을 충족하는지 확인해야 합니다. ;
해외기관과의 협약체결, 현장실사 등을 통해 개인금융정보의 비밀유지, 자료삭제, 사건지원 등 해외기관의 책임과 의무가 효과적으로 이행되는지를 명확히 하고 감독할 필요가 있다.
n. "개인정보 해외 이전에 대한 보안 평가 조치 - 의견 초안" 제2조:
중화인민공화국 영토 내에서 수집한 개인정보를 해외에 제공하는(이하 개인정보 수출이라 함) 네트워크 운영자는 본 방법에 따라 보안 평가를 실시해야 합니다. 개인정보의 수출이 국가 안보에 영향을 미치거나 공익을 해칠 수 있거나, 개인정보의 보안을 효과적으로 보호하기 어렵다고 보안 평가를 통해 판단되는 경우에는 수출을 허용하지 않습니다.
거의 모든 법률 및 규정에는 출국 시 보안 평가 요구 사항이 언급되어 있으며, 중앙은행은 개인 금융 정보의 현지 '저장, 처리 및 분석'을 위해서는 출국 여행에 대한 보안 평가 및 승인이 필요하다는 점을 명확히 했습니다. 개인보호법 제38조에도 다음과 같이 명시되어 있습니다.
개인정보 처리자가 업무상 필요로 인해 중화인민공화국 영토 외부에서 개인정보를 제공해야 하는 경우 다음 조건 중 하나를 충족해야 합니다.
(1) 본 법 제40조의 규정에 따라 국가 사이버 보안 및 정보화 부서가 주관하는 보안 평가를 통과해야 합니다.
(2) 국가 사이버 공간 부서의 규정에 따라 전문 기관으로부터 개인정보 보호 인증을 취득합니다.
(3) 국가 사이버 보안 및 정보화 부서가 제정한 표준 계약에 따라 해외 수령인과 계약을 체결하여 쌍방의 권리와 의무를 규정합니다.
(4) 법률, 행정법규 또는 국가 사이버보안정보화 부서가 규정한 기타 조건.
또한, 개인정보 처리자는 개인정보를 처리하는 해외 수신자의 활동이 이 법에 규정된 개인정보 보호 기준을 충족하도록 필요한 조치를 취해야 합니다.
현재 '개인정보 전송 보안 평가 조치 - 의견 초안'이나 '데이터 전송 보안 평가 지침 - 의견 초안'은 아직 시행되지 않았습니다. 다만, 금융기관 자체가 개인정보 국외 이전에 대해 보다 포괄적이고 완전한 보안 평가 시스템을 갖추고 있지 않은 경우, 업무상 필요에 따라 개인정보 해외 이전이 꼭 필요한 경우에는 보안 평가를 실시하는 것이 좋습니다. 아직 시행되지 않은 이 두 가지 규정 및 기준에 따라 감독기관에 제출하여 신고서를 제출하고 승인을 받으세요.
"데이터 전송 보안 평가 가이드 - 의견 초안"에 따라 당사는 먼저 개인정보 해외 전송의 적법성, 적법성 및 필요성을 보장하기 위한 목적 평가를 수행한 후 정보 자체에 미치는 영향과 정보의 보안에 대한 평가를 수행해야 합니다. 데이터 발신자와 수신자 보안 평가를 수행하기 위한 관리 및 기술 역량:
표 3: 개인의 권리와 이익, 국가 안보, 경제 발전 및 사회적 공익에 대한 영향 수준 결정
표 4: 발신자와 수신자의 보안 보증 기능
표 5: 보안사고 가능성 수준 판단표
표 6: 보안 위험 수준 결정을 위한 참조 표
지침 4.2.5에 따르면 "평가 후 데이터 내보내기 계획이 수출 목적 평가의 적법성, 적법성 및 필요성 요구 사항을 충족하지 않거나 데이터 내보내기 보안 위험 평가의 출구 보안 위험이 높거나 매우 높음, 개인 정보 및 중요한 데이터를 내보낼 수 없습니다.'
- 사용자 프로파일링, 빅데이터 분석, 애플리케이션별 인공지능(APP) 등 첨단기술 활용을 검토하고, 암호화, 비식별화 등 프라이버시 컴퓨팅 기술을 최대한 활용하기 위한 프라이버시 설계 시스템을 구축한다.
개인보호법 제73조에서는 자동화된 의사결정을 “컴퓨터 프로그램을 통하여 개인의 행동습관, 이익 또는 경제, 건강, 신용상태 등을 자동으로 분석 평가하여 의사결정을 내리는 행위를 말한다”고 정의하고 있습니다. 제24조는 빅데이터와 알고리즘에 대해 구체적인 요구사항을 제시하고 한계선을 긋고 있으며, 특히 빅데이터가 친숙성을 죽이는 현상을 방지하기 위해 '거래 가격, 기타 거래 조건에서 개인에 대한 불합리한 차등 대우'를 추가했다고 덧붙였습니다. 또한, "개인정보 보안 규정" 7.4조에서는 사용자 초상권 사용을 제한하고 있어 상업적인 푸시 수행 시 간접 사용자 초상권 사용을 의무화하고 있습니다. 금융기관은 개인정보 보호 설계 시스템을 구축하고 제품 개발 및 서비스의 모든 측면에 기본 개인정보 보호 개념을 구현해야 합니다.
개인보호법 제73조에서는 익명화 및 비식별화를 정의하고 있으며, 제51조에서는 개인정보처리자에게 "적절한 암호화, 비식별화 및 기타 보안기술적 조치"를 취할 것을 요구하고 있습니다. 2020년 "개인 금융 정보 보호를 위한 기술 사양"의 암호화 및 비식별화를 참조하고, GB/T 37964-2019 "개인 정보 비식별화 지침"을 참조하여 필요한 경우 적절한 암호화 및 비식별화 기술을 사용하세요. 시나리오.
금융 산업에서 개인 정보 보호 컴퓨팅 기술의 적용을 장려하기 위해 중앙 은행은 특별히 JR/T 0196-2020 "다자간 보안 컴퓨팅 금융 애플리케이션을 위한 기술 사양"(MPC)을 발표하고 보안 및 성능 요구 사항을 제안했습니다. 다음 그림은 주요 개인 정보 보호 컴퓨팅 기술 비교를 보여줍니다.
향후 개인 정보 보호 컴퓨팅 기술이 더욱 발전하면 범위와 성능 측면에서 다양한 금융 비즈니스 시나리오의 요구를 충족할 수 있으며, 다음과 같은 공동 시나리오와 같이 매우 높은 보안을 유지하면서 다양한 요구에 따른 데이터 공유를 크게 보장할 것입니다. 신용 보고 및 국경 간 데이터. 모든 금융기관은 프라이버시 컴퓨팅 기술의 발전에 주목하고 적극적으로 시도해야 한다.
마지막으로 컨설팅 기관인 딜로이트의 “개인정보 관리 시스템 전체 프레임워크”를 여러분께 추천하고 싶습니다.
그리고 본 글에서 반복적으로 권고한 3대 중앙은행이 발행한 금융기준은 이러한 '12대 대응조치'를 실현하는 데 도움이 될 수 있다.
읽어주셔서 감사합니다. 우리는 규제가 엄격한 다른 산업에 대한 분석을 계속해서 시작할 예정이므로 계속 지켜봐 주시기 바랍니다!
디지털 세상에서 기업의 명성은 온라인에서 시작되거나 끝날 수 있습니다. 네트워크는 어디에나 있으므로 사이버 보안은 기업 전체의 공동 책임입니다. 신뢰는 모든 관계의 초석이자 직원, 공급업체, 파트너 및 고객과의 모든 상호 작용의 기초입니다.
David의 원본 글, 전재 시 출처 https://cncso.com/kr/개인정보-보호법-조치-html
댓글(2)
개인 보호 방법 시행에 대한 매우 좋은 참고 자료이며 비교적 실용적입니다. 마음에 듭니다.
@통행인:새로운 방법을 함께 배워보세요. :)