2024-09-01
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
법적 요구 사항을 구현하기 위해 최근 중국 사이버 공간 관리국은 "해외 데이터 전송 보안 평가 조치", "개인 정보 전송에 대한 표준 계약 조치" 및 "규정"과 같은 정책을 연속적으로 발표하고 구현했습니다. 국경 간 데이터 흐름 촉진 및 규제에 관한 규정(이하 "규정"이라 함)을 구축하기 위해 우리나라의 국경 간 데이터 흐름 관리 시스템의 기본 틀이 확립되었습니다. "규정" 제6조에서는 "국가 데이터 분류 및 계층적 보호 시스템의 틀에 따라 자유무역시험지역은 데이터 수출 안보 평가에 포함되어야 하는 구역 내 데이터 목록을 독립적으로 작성할 수 있으며, 개인정보수출표준계약서, 개인정보보호 인증관리 범위(이하 네거티브리스트)'를 참조하시기 바랍니다. 8월 30일, 베이징은 '중국(베이징) 자유무역시험구 데이터 유출 관리 목록(네거티브 목록)(2024년판)'과 그에 따른 '중국(베이징) 자유무역시험구 데이터 유출 네거티브 목록 관리 조치(시범 시행)'를 발표했다. )'(이하 '행정 조치')는 중국 정부가 데이터 보안 거버넌스 및 감독 역량을 적극적으로 탐색 및 개선하고 효율적이고 편리하며 안전한 국경 간 데이터 흐름 메커니즘을 구축하기 위해 취하는 중요한 조치입니다. 베이징은 긍정적인 상호작용을 위해 고품질 개발과 높은 수준의 안보 의지를 장려합니다.
1. 심층적인 분석과 논증을 실시하고 네거티브 리스트를 과학적으로 작성한다.
베이징은 국경 간 데이터 흐름을 매우 중시하며 국경 간 데이터 원활화 서비스 개혁을 데이터 요소의 가치를 공개하고 높은 수준의 개방을 촉진하며 고품질 발전을 촉진하는 중요한 조치로 간주합니다. 이는 시 정부 업무 보고서에 포함되었으며 여러 특별 프로젝트가 계속 진행되고 있습니다. '규정'이 발표된 후 베이징은 정책적 이점을 적극적으로 활용하여 즉시 네거티브 리스트 연구 및 공식화와 지원 관리 조치를 시작했습니다. 목표는 데이터 흐름을 촉진하고 보안을 보장할 수 있는 메커니즘을 탐색하고 구축하는 것이었습니다. 베이징 네거티브 리스트의 과학성은 주로 다음과 같은 측면에 반영됩니다.
첫째, 베이징 자유 무역 지역의 실제 산업 상황과 결합하여 "긴급한 요구, 작은 단계, 빠른 진행"이라는 원칙에 따라 다양한 산업, 분야 및 배치에서 준비 작업을 추진할 것입니다. 배치는 포괄적이면서도 포괄적이기를 추구하지 않고 성숙되면 출시될 것입니다. 네거티브 리스트 작성은 광범위한 산업과 고도로 전문적인 데이터를 포함하는 혁신적인 작업입니다. 리스트 작성 초기에 중국 베이징 사이버 공간 관리국은 원칙을 논의하고 공식화하기 위해 특별 회의를 조직했습니다. "국가경제산업분류"를 고려하면 모든 산업을 포괄하기 때문에 20개 이상의 산업 범주와 거의 100개에 달하는 주요 범주가 포함됩니다. 각 산업에 관련된 비즈니스 시나리오와 데이터는 구체적이고 포괄적입니다. 또한, 베이징의 무역 그룹이 현재와 미래에 중점을 두는 산업 범위는 상대적으로 안정적이며 포괄적인 의미는 제한적입니다. 배치, 핵심 사항 및 동적 조정이 결정되었습니다.
두 번째는 데이터 반출 보안 평가, 개인정보 반출 표준 계약서 작성 등 이전 업무 기반을 충분히 참고하는 것입니다. 중국 베이징 사이버 공간 관리국은 자동차, 의료, 민간 항공, 소매, 인공 지능 및 기타 산업과 관련된 40개 이상의 승인된 기업 보안 평가 사례와 150개 이상의 기업 표준 계약 제출 사례의 데이터 아웃바운드 상황을 종합적으로 분류하고 - 위 5가지에 대한 심도 깊은 연구 데이터 수출의 목적, 대표적인 시나리오, 데이터 유형, 데이터 처리 방법, 수출된 개인정보의 양 및 각 산업 분야의 데이터 보호 조치, 종합적인 조사 및 판단, 개인 수준의 과학적 설정 정보 및 민감한 개인 정보.
세 번째는 기업의 활용을 촉진하고 '두뇌 파괴' 혁신에 참여하지 않는 것입니다. 현재 기업은 자체 데이터 내보내기 활동을 분류하고 비즈니스 시나리오에 따라 분류합니다. 따라서 네거티브 목록을 개발할 때 "기업 언어"를 사용하는 것이 기업에 가장 친숙합니다. 사전 작업을 바탕으로 네거티브 리스트에서는 대표적인 데이터 아웃바운드 시나리오와 5개 업종의 데이터 항목을 정리했다. '규정'과 비교하면 아웃바운드 인원수는 좀 더 완화됐지만 각 사업 시나리오별로 인원수는 완화됐다. 이는 다양한 업종의 규제 요건이 다르기 때문인데, 다수의 기업 조사를 통해 해당 연도 특정 합리적인 사업을 위해 해외로 수출되는 개인정보 규모가 상대적으로 적은 것으로 나타났다. 예를 들어, 많은 해외 제약회사에서 매년 출국하는 사람의 수가 일반적으로 50,000명을 초과하지 않는다고 보고하므로 100만 명으로 완화하는 것은 50,000명으로 완화하는 것과 같은 의미이며, 충족할 수 있습니다. 대부분의 제약 회사의 요구 사항. 동시에 보안 위험의 관점에서 볼 때 데이터 사용 시나리오와 목적을 제한한다는 점을 기준으로 인원 수를 50,000명으로 완화하는 것이 분명히 더 통제 가능한 위험입니다.
넷째, 정부와 기업은 데이터 보안을 공동으로 관리하고 기업이 데이터 보안 준수 역량을 향상할 수 있도록 지도해야 합니다. 디지털 경제 발전의 단위는 기업이다. 기업의 자체 보안 인식과 규정 준수 역량이 향상되면 우리나라의 데이터 보안과 개인정보 보호 역량도 지속적으로 향상될 것이다. 관대함과 엄격함의 균형을 유지하는 동시에 긍정적인 지도 역할도 합니다. 예를 들어, 자동차 산업의 ota 온라인 업그레이드 시나리오는 ota 유형, ota 주요 제어 모듈, 네트워크로 연결된 터미널, 원격 업그레이드 가능한 시스템과 같은 데이터 원칙이 데이터 아웃바운드 보안 평가에 적용되어야 하지만 "이는 산업정보기술부는 관련 보안 "업그레이드 패키지 데이터가 변조되지 않도록 하기 위한 기술적 조치를 제외하고"를 통과했으며, 이러한 세부 사항은 강력한 규정 준수 의식과 강력한 기술 역량을 갖춘 기업에 보다 편리한 과학적 관리 방향을 반영합니다. , 업무수행을 위한 표준화된 관리조치를 취하고 있습니다.
2. 기업의 요구에 직접 직면하고 네거티브 리스트가 편리하고 이용 가능하도록 보장합니다.
국경 간 데이터 흐름 관리 시스템을 구현한 이후, 기업이 데이터 내보내기 규정 준수를 수행하는 데 여전히 몇 가지 어려움이 있습니다. 위의 문제에 대해 부정적인 목록 해당 답변이 제공되었습니다.
첫째, 네거티브 리스트는 기업을 대상으로 하며, 베이징에서는 문제 지향적 접근 방식을 고수하고 '좋은 네거티브 리스트는 기업이 사용하기 쉽다고 생각하는 것'이라는 공식 원칙을 확립하고 기업에 대해 탄탄한 연구를 수행하고 의견을 구합니다. 목록을 작성하는 과정에서 중국 베이징 사이버 공간 관리국과 자유 무역 지역 관리 기관은 핵심 산업의 선두 기업과 10회 이상의 토론을 조직하고 심층적인 조사를 실시했으며 약 100개 기업을 방문하고 그들의 제안을 주의 깊게 경청했습니다. , 기업이 직면한 어려운 문제를 탐구했습니다. 산업 규제, 표준 및 규제 현황을 면밀히 조사하고 산업 데이터 민감도, 출국 필요성 등의 요소를 충분히 고려하고 관계 당국, 업계 전문가 및 선도 기업의 의견을 광범위하게 협의한 후, 우리는 과학적으로 계산하고 개인을 묘사했습니다. 업종별, 시나리오별 정보 및 민감한 개인정보를 네거티브 리스트에 포함할 필요가 있으며, 자유무역지역 내 데이터 반출의 편의성과 네거티브 리스트의 실용성을 제고합니다.
두 번째는 기업이 이를 이해하고 사용할 수 있도록 하는 것입니다. 네거티브 리스트에는 5개 필드에 총 48개 항목이 포함되어 있으며, 각 항목에는 데이터 카테고리, 데이터의 기본 특성, 적용 가능한 기업 비즈니스 시나리오 및 데이터 항목의 예가 포함되어 있습니다. 네거티브 리스트는 관련 산업 및 분야의 데이터 수출 특성을 토대로 중요 데이터 18개 항목과 개인정보 30개 항목 등 중요 데이터와 개인정보를 규정하고 설명하는 데 중점을 두고 있다. 실용성을 더욱 향상시키기 위해 네거티브 목록에는 23개의 특정 시나리오와 총 198개의 데이터 필드가 예시로 나열되어 기업이 네거티브 목록의 관리 요구 사항을 빠르게 이해할 수 있도록 돕습니다. 중요한 데이터의 경우, 중요한 아웃바운드 데이터를 식별하기 위한 조건은 목록을 보다 운용 가능하고 시행 가능하게 만들기 위한 자격과 예시를 추가하여 더욱 구체화되고 명확해질 것입니다. 개인 정보 및 민감한 개인 정보 측면에서 네거티브 리스트는 수출이 허용되는 개인 정보 및 민감한 개인 정보의 규모를 정확하게 수량화하고 적당히 완화하여 기업의 합리적인 요구를 최대한 충족하고 서비스 수준을 개선합니다. 자유무역지역 데이터 반출의 편리성과 네거티브 리스트의 실용성.
세 번째는 기업이 누구에게 연락하고 어떻게 처리할지 알 수 있도록 책임 분담을 명확히 하고 실행 프로세스를 개선하는 것입니다. '관리 조치'에는 네거티브 리스트가 시 인터넷 정보국, 시 상무국, 시 디지털국에서 조정 및 관리된다는 점을 명시하고 있습니다. 조양, 하이뎬, 창핑, 퉁저우, 순이, 다싱 등 7개 자유 무역 단체. yizhuang은 구체적인 구현 및 조직 지침을 담당하며, 이 그룹의 데이터 처리자는 규정 준수 시 네거티브 목록을 사용하고, 네거티브 목록에 대한 지원 구현 지침을 공식화 및 발행하며, 사용할 개체와 적용 프로세스를 명확히 합니다. 네거티브 리스트, 데이터 프로세서가 사용 신청 및 파일링 작업을 수행하도록 안내하고, 데이터 내보내기 활동에 대한 추적 및 감독을 강화하고, 사건을 공식화합니다. 중앙 예금 증명서 및 사후 감독 기능 등 기업이 네거티브 리스트를 사용해야 하는 경우 절차에 따라 자유무역그룹에 신청서를 제출하고 제출한 후 승인을 받은 후 규정에 따라 데이터 수출 활동을 수행할 수 있습니다.
3. 내보낸 데이터의 보안이 저하되지 않도록 보안 기준을 수립합니다.
데이터 내보내기의 용이성은 보안 책임의 약화와 동일하지 않습니다. 네거티브 목록이 짧을수록 보안 책임은 커집니다. 네거티브 목록 작성 시 개발과 보안 간의 관계를 어떻게 조정하는가가 최우선입니다. 따라서 베이징은 보안이 저하되지 않도록 네거티브 리스트와 일치하는 데이터 아웃바운드 보안 관리 및 서비스 모델 구축을 모색하는 '관리 조치'를 동시에 시작했습니다.
첫 번째는 기업 액세스 관리 및 아웃바운드 데이터 파일링을 구현하고, 데이터 프로세서의 법적 및 규정 준수 운영 상태를 제어하고, 비즈니스 규정 준수를 검토하는 것입니다. 이는 금융 분야의 신용 평가 관리와 유사할 수 있습니다.
두 번째는 프로세스 도중과 프로세스 이후에 대한 감독 능력을 강화하는 것입니다. 각 거래 그룹은 데이터 처리자의 실제 데이터 내보내기 상황과 파일링 내용의 일관성을 확인하기 위해 일관된 무작위 검사 방법을 채택합니다. 이는 예고 없는 검사와 유사할 수 있습니다. 제약 분야에서.
세 번째는 비즈니스 시나리오, 수출 분야 등을 엄격하게 제한하여 개인정보 및 민감한 개인정보의 규모를 정확하게 수량화하고 적절하게 완화하여 완화된 범위 내에서 개인정보 수출의 위험을 최소화하고 안전한지 확인하는 것입니다. , 관리 및 제어가 가능하며 기업의 합리적이고 필요한 데이터 내보내기 요청을 충족하려고 노력합니다.
네 번째는 네거티브 목록에 대한 동적 관리 메커니즘을 구축하는 것입니다. 시 관리 부서는 발행된 네거티브 목록의 구현 상태와 보안 위험을 추적 및 평가하고 네거티브 목록의 개정을 조정하며 해당 아웃바운드 데이터를 안팎으로 전송합니다. 보안위험도에 따라 네거티브리스트를 관리합니다.
일반적으로 자유 무역 지역 네거티브 리스트 시스템은 아웃바운드 데이터 흐름 관리를 위한 높은 수준의 기본 시스템을 구축하기 위한 혁신적인 조치이며, 다양한 곳에서 관련 작업이 이제 막 시작되었습니다. 앞으로도 많은 어려움이 있을 수 있으며, 문제를 더 연구하고 해결해야 합니다. 베이징의 시행 결과를 기대하고 전국에 유용한 참고자료를 제공하겠습니다.
작성자: zhuo zihan, 국가 컴퓨터 네트워크 비상 기술 조정 센터 수석 엔지니어
출처: 베이징 인터넷 정보국
