검색결과
-
[미국] ASC X9, X9.69 표준에 대한 업데이트인 키 관리 확장을 위한 프레임워크 발표미국 ASC X9(Accredited Standards Committee X9 Inc.)에 따르면 X9.69 표준에 대한 업데이트인 키 관리 확장을 위한 프레임워크(Framework For Key Management Extensions)를 발표했다.새 버전에는 △양자 컴퓨터 보호 방법 △모든 키 길이에서 알고리즘을 지원하는 프레임워크 △HIPPA, 유럽 GDPR, 기타 개인보호 규정 준수를 지원하는 조항 등이 포함됐다. X9.69 표준은 다음과 같은 내용 및 특성들을 포함하고 있다.▷대칭 암호화 알고리즘에 사용되는 키의 생성 및 제어 방법에 관한 정의▷X9은 암호화된 메시징의 보안 및 개인정보 보호를 설정하고 유지하기 위한 중요한 도구의 제공▷암호화 키와 암호 해독 키가 동일한 메시지 암호화용 키 시스템과 관련된 중요한 표준▷2개 이상의 비밀 키 구성 요소를 결합해 대칭 키 생성을 위한 건설적인 방법을 정의▷키에 대한 남용 및 공격을 방지하기 위해 생성된 각 키에 사용 벡터를 첨부하는 방법을 정의▷정의된 2가지 방법은 개벌적으로 또는 조합해 사용할 수 있음▷대칭 암호화 알고리즘을 기반으로 하는 모든 프로세스의 보안 및 안정성은 비밀 수량인 키에 제공되는 보호에 직접적으로 의존▷알고리즘의 안전성과 무관하게 키 관리로 시스템 안전 강화새로운 X9.69 표준은 구조하 및 비구조화 데이터 뿐 아니라 ISO 20022, QR 코드 결재와 같은 다중 데이터 표현에 즉시 적용이 가능하다. 업데이트 버전은 전송 레이어 또는 스토리지 선택과 독립적인 개체 수준에서 데이터 보호를 제공한다.클라우드, 하이브리드 클라우드, 멀티 클라우드 등을 포함해 모든 엔터프라이즈 구성을 지원하는 데이터 보안에 대한 영구 보호 솔루션이다.참고로 ASC X9, Inc.는 ANSI(American National Standards Institute) 공인 표준 개발조직이다. 미국의 금융 서비스산업을 위한 자발적 공개 합의 표준 개발을 담당하고 있다.ASC X9는 스위스 제네바 소재 국제 표준화 기구(ISO) 산하 금융 서비스 국제기술위원회 ISO/TC 68의 미국 기술 자문그룹(TAG)이기도 하다. 금융 서비스업계의 모든 미국 소재 회사 및 조직은 ASC X9 회원에 가입할 수 있다.
-
[홍콩] 앰버그룹(Amber Group), 정보 보안 및 개인정보 보호에 관한 3가지 ISO 인증 획득▲ 홍콩 디지털 자산 플랫폼 기업 국제 Amber Group 홈페이지 홍콩 디지털 자산 관리 및 암호화 고유 유동성 솔루션의 선두 공급업체인 앰버그룹(Amber Group)에 따르면 정보 보안 및 개인정보 보호에 관한 3가지 ISO 인증을 획득했다. 3개 인증은 ISO 27001, ISO 27701 및 ISO 29151 등이다.2022년 NIST 개인정보보호 프레임워크(NIST Privacy Framework), NIST 사이버 보안 프레임워크(NIST Cyber Security Framework), SOC 2 유형 II 규정준수(SOC 2 Type II Compliance) 달성했다.따라서 NIST 및 SOC 2 달성에 이어 세계적으로 인정받는 ISO 인증으로 정보 분야에서 뛰어난 역량을 입증했다. 최고 수준의 보안 및 규정 준수를 유지하려는 의지가 확인된 셈이다.이번에 획득한 ISO 27001은 보안 위험을 완하하고 정보자산을 보호하기 위해 정보보안 경영시스템(information security management system, ISMS)을 구현, 유지, 지속적 개선하기 위한 모범 사례 조언 및 지침을 제공한다.ISO 27701은 개인 데이터 보호에 관한 지침을 제공한다. 데이터 보호 규정 준수를 보장하는 개인 정보 관리 시스템(privacy information management system, PIMS)으로 확장되고 있다.ISO 29151은 보안제어 측정 및 위험 처리 지침을 지정하는 개인 식별 정보(personal identifiable information, PII) 보호에 관한 보편적인 표준이다.참고로 앰버그룹은 2022년 자발적인 테스트를 통해 달성한 최상위 NIST 개인정보보호 프레임워크는 미국 상무부의 NIST(National Institute of Standards and Technology) 개인정보보호 프레임워크다.
-
[미국] 특허청(USPTO), 상표 출원인의 개인 주소 6만1000개 유출미국 특허청(US Patent and Trademark Office, USPTO)에 따르면 상표 출원인의 개인 주소 6만1000개가 유출된것으로 드러났다.2020년 2월~2023년 3월까지 1년에 걸쳐 데이터가 유출됐다. 일부 개인 주소는 USPTO 웹사이트 대량 데이터 포털에도 노출됐다.상표국은 2월 상표 상태 및 문서 검토 시스템(TSDR)의 일부 어플리케이션 프로그래밍 인터페이스(API)를 통해 검색된 기록에서 공개적으로 보이지 않아야 하는 개인 거주지 주소가 노출되는 것을 발견했다.따라서 USPTO는 개인정보 유출 발견 후 부서 개인정보보호 담당선임기관SAO(Senior Agency Official for Privacy), 기업보안운영센터(Enterprise Security Operations Center, ESOC), 국토안부부(Department of Homeland Security, DHS)에 보고했다.지난 3년간 제출된 전체 상표 출원인 수 중 데이터 유출은 약 3% 정도이며 데이터 오용은 없는 것으로 밝혀졌다. 또한 유출된 데이터는 모든 시스템 취약성을 수정 및 보완해 모든 문제를 완전히 해결했다.이러한 사실은 데이터 유출의 영향을 받는 모든 사람들에게 통지했다. API는 출원 및 등록 상표의 상태를 확인하기 위해 TSDR 시스템에 접근하는 대리사무소 직원과 상표 출원인 모두가 앱에서 사용하고 있다.사기성 상표 출원을 방지하기 위해 상표 출원인이 신청서 제출 시 개인 주소를 포함하도록 요구하고 있다. 온라인 해킹으로 인한 피해가 점점 커지고 있어 주의가 요망된다.
-
[벨기에] 유럽위원회(EC), 유럽 지속가능 보고 표준(ESRS) 초안에 대해 6월 9일 ~ 7월 7일까지 공개 의견 청취유럽위원회(European Commission, EC)에 따르면 발행한 유럽 지속가능 보고 표준(European Sustainability Reporting Standards, ESRS) 세트 초안에 대한 공개 의견을 청취하고 있다.6월9일 발행된 초안의 청취 기간은 6월9일~7월7일까지다. 이후 초안은 수정 및 보완돼 2023년 말까지 EU법으로 공식 승인 및 채택될 것으로 예상된다. 이 법은 EU 규정의 형태가 될 것이며 27개 EU 회원국 모두에 직접 적용된다. 따라서 유럽 시장으로 진출을 노리고 있는 국내 기업이나 단체는 초안에 대해 검토 후 기간 내 의견을 게지하면 사업에 도움이 될 것으로 예상된다.6월9일 발행된 유럽 지속가능 보고 표준(European Sustainability Reporting Standards, ESRS) 첫 번째 초안 세트는 12개의 표준을 포함해 247페이지로 구성됐다. 10개의 주제별 표준과 지속가능 보고서를 준비하는 방법에 관해 좀 더 상세하게 제공하는 2개의 교차 표준이다.초안은 10가지 주제별 환경, 사회, 거버넌스(environmental, social, governance, ESG) 표준이 요약돼 있다. 각 표준은 보고해야 할 데이터 포인트를 명시하고 보고가 의무적일 때와 자발적일 때를 설명하고 있다.10가지 주제와 관련된 내용을 살펴보면 △거버넌스(governance)는 업무수행 △사회(social)는 자체 인력, 가치사슬내 작업자, 영향을 받는 커뮤니티, 소비자 및 최종 사용 △환경(environmental)은 기후변화, 오염, 수자원 및 해양자원, 생물다양성과 생태계, 순환경제 등이다.거버넌스는 업무수행과 관련한 △기업문화 △내부고발자 보호 △동물 복지 △정치 개입 △결제 관행을 포함한 공급업체와의 관계 관리 △부패 및 뇌물 수수 등 6개의 하위 지표로 구성됐다. 하위 지표 부패 및 뇌물 수수는 △교육을 포함한 예방 및 탐지 △사건 등 2개의 지표로 세분화돼 있다.사회와 관련된 자체 인력 지표는 △근무조건 △모두를 위한 평등한 대우와 기회 △기타 업무 관련 권리 등의 하위 지표를 가진다.근무 조건은 △안전한 고용 △근무 시간 △평균 임금 △사회적 대화 △결사의 자유, 직장 협의회의 존재, 근로자의 정보, 협의 및 참여 권리 △단체 협약이 적용되는 근로자 비율을 포함한 단체 교섭 △일과 삶의 균형 △건강과 안전 등의 지표를 갖고 있다.모두를 위한 평등한 대우와 기회와 관련된 하위 지표는 △양성평등 및 동일가치 노동에 대한 동일 임금 △교육 및 기술 개발 △장애인 고용 및 통합 △직장 내 폭력 및 괴롭힘에 대한 조치 △다양성 등이다.기타 업무 관련 권리는 △아동 노동 △강제 노동 △적절한 주택 △개인정보보호 등을 하위 지표로 하고 있다. ESG와 관련된 주요 주제 및 중위 지표, 하위 지표에 대한 상세 내용은 유럽위원회 홈페이지에서 ESRS를 참조하면된다.참고로 2023년 1월 초 유럽연합(European Union, EU)은 기업의 지속가능 보고서 지침(Corporate Sustainability Reporting Directive, CSRD)을 채택했다.CSRD는 유럽에서 활동하고 있는 유럽 및 비유럽 기업에게 연간 지속가능 보고서를 요구한다. CSRD는 ESRS에 따라 준비해야 된다.
-
[프랑스] 바이낸스, 3개 권역에서 정보 보안 거버넌스 및 개인 정보 관리 국제 표준 ISO 270001 및 ISO 27701 인증 획득프랑스 블록체인 및 암호화 인프라 제공업체 바이낸스(Binance)에 따르면 프랑스, 바레인, 아랍에미레이트의 3개 권역에서 정보 보안 거버넌스 및 개인 정보 관리 국제 표준 ISO 270001 및 ISO 27701 인증을 획득했다.이번 인증은 외부 평가 기관인 에이-라인(A-LiGN)로부터 정보보안 및 개인정보 보호 영역에 대한 종합적인 평가후에 수여됐다.에이-라인은 사이버 보안 위험을 완화하기 위해 4000개 이상의 글로벌 기관에 의해 신뢰받는 기술 중심 파트너다. 이번 인증 획득은 바이낸스의 일관된 노력의 증거로 평가된다.바이낸스의 정보보안 및 개인정보 보호 구축은 항상 최우선 과제였기 때문이다. 플랫폼 사용자와 고객은 자산과 정보가 최신 글로벌 표준에 따라 보호된다는 것을 확신할 수 있을 것으로 기대된다.이번 인증을 통해 블록체인 생태계에 대한 효율적인 제어 및 보호를 확립한 것으로 분석된다. 향후 정보보안 거버넌스 및 개인정보 관리 국제 표준 ISO 270001 및 ISO 27701 인증에 명시된 표준을 지속적으로 준수하기 위해 연례 감시 평가를 받을 방침이다.또한 바이낸스는 다른 권역에서도 정보보안 거버넌스 및 개인정보 관리 국제표준 ISO 270001 및 ISO 27701 인증을 획득하기 위해 노력할 예정이다.
-
[미국] 국립표준기술연구소, 중요신기술(CET)에 적용가능한 국가표준개발 계획 발표미국 국립표준기술연구소( U.S. National Institute of Standards and Technology, NIST)에 따르면 중요한 신기술(critical and emerging technologies, CET)에 적용 가능한 국가표준 개발을 위한 계획을 발표했다.이번에 발표한 내용은 미국 정부의 중요한 신기술에 대한 국가 표준 전략(U.S. Government National Standards Strategy for Critical and Emerging Technology)에 관한 것이다.이는 CET 표준 개발을 위한 사전 예방 전략으로서 첨단 기술시장을 정의하고 선도하는데 필수적이다. 미국의 경쟁력 및 국가 안보를 고려한 측면에서 중요한 전략을 갖는 것이다. NIST의 국가 표준 전략은 우선 순위가 지정된 CET 표준 개발을 위해 다음 영역을 포함하고 있다.세부 영역은 △통신 및 네트워크 기술 △컴퓨팅, 메모리, 저장 기술을 포함한 반도체 및 마이크로일렉트로닉스 △인공지능(Artificial intelligenc, AI) 및 머신러닝(machine learning) △바이오기술(Biotechnologies) △포지셔닝, 내비게이션 및 타이밍 서비스(Positioning, navigation, and timing services) △디지털 신원증명(Digital identify) 인프라 및 분산 원장 기술(distributed ledger technologies) △청정 에너지 발전 및 저장(Clean energy generation and storage) △양자정보기술(Quantum information technologies) 등이다.또한 국가표준전략(National Standards Strategy, NSS)에 △자동화되고 연결된 인프라 △바이오뱅킹(Biobanking) △자동화 및 연결, 전기화된 전송 △중요 광물 공급망 △사이버보안 및 개인정보보호 △탄소 포집, 제거, 활용, 저장 등 특정 CET 응용프로그램을 포함하고 있다.
-
[중국] 국가시장감독관리총(SAMR), 빠른 배송을 위한 전자 운송장에 대한 새로운 국가 표준 시행중국 국가시장감독관리총(国家市场监督管理总局, SAMR)에 따르면 빠른 배송을 위한 전자 운송장에 대한 새로운 국가 표준을 시행했다.전자 운송장 표준 GB/T 41833-2022는 개인정보 보호 강화 및 신속 배송 절차를 원활하게 진행하는 것이 목적이다. 또한 범용 배송 주소 코딩 규칙 GB/T 41832‑2022 국가 표준도 시행됐다.해당 표준은 △완전한 개인 정보 표시의 금지 △개인 정보의 완전한 암호화 권장 △개인 정보 관련 콘텐츠 읽기 권한 표준화 등을 다루고 있다.또한 특급 배송회사, 전자상거래 운영자, 기타 단체 등은 전자 운송장에 발송인 및 수령인의 전체 개인정보가 표시되지 않도록 조치해야 된다.세부 내용을 살펴보면 △수취인 이름은 최소 1자 이상의 중국어 △연락처는 최소 6자리 이상 △주소는 세대 또는 아파트 번호를 가려야 한다. 개인 정보를 완전히 암호화하고 개인정보 관련 콘텐츠 열람 권한을 표준화했다.열람 권한은 특급 배송업체, 공인된 제3자, 관련 규제당국, 법적으로 허가된 기기 등으로 제한했다. 종이, 접착제, 잉크, 글꼴 크기, 숨기기, 암호화 처리, 접착의 물리적 특성 등 일련의 기술 지표들을 상세히 기술했다.
-
[중국] 중국 사이버공간관리국(CAC), 지난 3월 사이버 공간 관리를 위한 행정법 집행 절차에 관한 조항 발표중국 사이버공간관리국(Cyberspace Administration of China, CAC)에 따르면 지난 3월 사이버 공간관리를 위한 행정법 집행 절차에 관한 조항(이하 규정)을 발표했다.행정법 집행절차를 포괄적으로 개정했으며 6월1일부터 시행된다. 이와 같이 중국 정부는 사이버 보안 및 데이터 보호를 위해 입법, 집행, 산업 발전에 중점을 두고 규정을 제정했다.최근 발표한 규정 및 이벤트는 18건에 달한다. 구성을 세부적으로 살펴보면 △입법 발전과 관련된 규정 6건 △집행 발전과 관련된 규정 7건 △산업 발전과 관련된 규정은 5개다.산업 발전과 관련된 내용은 △국무원 주도 국가데이터국 설립 계획 발표 △데이터 보호 및 데이터 국경간 서비스 플랫폼 출시 △중국 최초 데이터 거래 체인 구축 시작 △2022년 개인 정보 보호 분야 소비자 보호 보고서 발표 △브라우저 및 지도 내비게이션앱의 개인정보 수집에 대한 테스트 보고서 발표 등이다.첫째, 3월7일 발표에 따라 설립되는 국무원의 국가데이터국은 기본적인 데이터 관련 기관의 발전 촉진, 데이터 자원의 통합, 공유, 개발, 적용을 조정할 책임이 있다.국가발전개혁위원회(National Development and Reform Commission, NDRC)산하 디지털 중국, 디지털 경제, 디지털 사회의 계획 및 구축을 추진할 책임을 갖고 있다.중앙 사이버 공간 위원회(Central Cyberspace Affairs Commission, CCAC) 사무실은 특정 기능을 데이터국으로 이전하게 된다.특정 기능은 △디지털 중국 건설을 위한 계획 초안 작성 △공공 서비스 및 사회 거버넌스의 정보 조정 △스마트 도시의 건설 촉진 △개발 조정 △중요한 국가 정보 자원의 활용 및 공유 △정보 자산의 산업 간 및 부서 간 연결 촉진 등이다. 이전에 NDRC가 맡았던 △디지털 경제 발전 조정 △국가 빅 데이터 전략 구현 △데이터 요소 및 디지털 인프라의 기본 시스템 구축 촉진 등은 이전된다. 둘째 3월2일 광저우 난사에서 데이터 보호 및 데이터 국경간 서비스 플랫폼을 공식적으로 출범시켰다. 올해 중반부터 이용가능한 플랫폼은 개인정보 보호 영향 평가, 데이터 수출 자체 평가, 앱 준수 자체 점검과 같은 서비스를 제공하게 된다. 기업이 기본데이터 준수 및 효과적인 데이터 거버넌스를 달성할 수 있도록 지원하게 된다. 기술+서비스식 접근 방식의 플랫폼은 기업에 데이터 분류, 데이터 인벤토리 및 위험 관리를 포함한 맞춤형 규정 준수 솔루션 제품군을 제공한다.결과적으로 기업이 국경 간 데이터 보안 규정 준수를 달성하기 위한 효과적인 경로를 구축하도록 돕는다.셋째, 3월3일 빅 데이터 유통 및 교환 기술을 위한 상하이 데이터 거래소 및 국립 엔지니어링 연구소는 공식적으로 중국 최초의 데이터 거래 체인을 구축하기 시작했다.현재 상하이 데이터 거래소의 데이터 거래 시스템은 등록, 상장, 거래, 인도, 청산 결제, 바우처 발행 등 총 6가지 업무를 처리하고 있다.모든 과정에서 보안성, 효율성, 투명성을 강화를 위해 데이터 거래 체인 구축과 함께 블록체인 예치금 영수증 및 스마트 계약과 같은 기술이 적용된다.특히 스마트 계약은 거래 전에 데이터 제품을 등록하는 데 활용된다. 거래가 진행되는 동안 거래 진행 상황은 온체인 저장소를 통해 실시간으로 모니터링되며 거래 후 블록체인을 활용해 거래 바우처가 생성된다. 넷째, 3월8일 중국소비자협회(China Consumers Association, CCA)는 2022년 개인정보 보호 분야 소비자 보호 보고서를 발표했다.민법을 기초로 개인 정보 보호법을 핵심으로 하는 개인 정보 보호를 위한 법률 시스템을 구축했다. CCA는 소비자의 권익 보호를 강화하기 위한 권장 사항을 제시한다.소비자의 권익 보호에 관한 법률(Law on Protection of the Rights and Interests of Consumer), 사이버 보안 법률(Cybersecurity Law), 전자상거래법(E-Commerce Law), 데이터보호법(Data Security Law)이 중요한 구성 요소다.다섯째, 중국 사이버 공간 보안협회(China Cyberspace Security Association, CCAS)는 브라우저 및 지도 내비게이션앱의 개인정보 수집에 대한 테스트 보고서를 발표했다.국가 컴퓨터 네트워크 비상 대응 기술 조정 센터(National Computer Network Emergency Response Technical Coordination Centre)와 공동으로 추진했다.테스트에서 1억회 다운로드된 총 9개의 브라우저 앱, 5000만회 다운로드된 3개의 지도 및 내비게이션 앱 등 19개 앱스토어에서 선정됐다. 테스트는 시스템 접근 요청, 개인정보 업로드, 사이버 업로드 트래픽 3가지 측면을 포함한다.
-
[중국] 사이버 보안 및 데이터 보호를 위한 법 집행 관련 7가지 규정중국 사이버공간관리국(Cyberspace Administration of China, CAC)에 따르면 지난 3월 사이버 공간관리를 위한 행정법 집행 절차에 관한 조항(이하 규정)을 발표했다.행정법 집행절차를 포괄적으로 개정했으며 6월1일부터 시행된다. 이와 같이 중국 정부는 사이버 보안 및 데이터 보호를 위해 입법, 집행, 산업 발전에 중점을 두고 규정을 제정했다.최근 발표한 규정 및 이벤트는 18건으로 입법 발전과 관련된 규정은 6건, 집행 발전과 관련된 규정은 7건 산업 발전과 관련된 규정은 5개다.집행과 관련된 규정은 △중국 내 판매되는 제품에 대한 사이버 보안 검토 발표 △국민 개인정보 범죄 단속을 위한 대표 사례 공개 △창사 지역 데이터보안법 위반에 대한 첫 번째 처벌 통지 발표 △개인정보보호 관련 공익소송의 대표적 사례 공개 △데이터 수출 보안 평가 선언에 대한 질문&답변(Q&A) 발표 △사용자 개인정보 불법 수집 앱 크랙 조치 △사용자 권익 침해 앱 55개 신고 등이다. 첫째, 중국 내 판매되는 제품에 대한 사이버 보안 검토 발표는 사이버공간관리국(CAC)이 3월31일 발표했다. 미국 반도체 기업 A사와 중국 내 판매되는 A사 제품 모두가 해당된다. 핵심 네트워크 장비, 중요한 통신 제품, 고성능 컴퓨터 및 서버, 대용량 저장장치, 대규모 데이터베이스(DB) 및 어플리케이션 소프트웨어 사이버 보안 장비, 클라우드 컴퓨팅 서비스 등 사이버 제품 및 서비스가 대상이다.국내에서 판매되는 기업의 제품이 사용 결과로 조작될 수 있는 위험 뿐 아니라 보안, 개방성, 투명성에 대해 조사하게 된다.둘째, 공공안전부(Ministry of Public Security, MPS)는 3월15일 발표한 국민의 개인정보 범죄 단속을 위한 대표적 사례 8개를 공개했다.자세한 내용은 홈페이지에 공개돼 있다, 대표 사례는 △트로이 목마 프로그램을 사용한 우편 및 택배 정보를 도용하는 행위 △시민의 차량 위치정보를 얻기 위해 주차장의 톨게이트 시스템을 불법적으로 해킹하는 행위 △불법적으로 중노년 사람의 정보를 획득해 이들에게 위조 및 조잡한 건강 치료제품을 판매하는 행위 등이다.또한 △인터넷 계정을 해킹해 시민의 얼굴인식 정보를 불법적으로 획득하는 행위 △불법적으로 결제 소프트웨어 사용자 정보를 획득해 해외에 판매하는 행위 △전기를 소비하는 주민의 재산 정보를 훔치는 행위 등도 포함된다.셋째, 웨루 사이버 경찰(Yuelu Cyber Police)이 3월9일 데이터보안법(Data Security Law) 위반과 관련해 첫 번째 처벌 통지를 발행한 것이다.창사공안국 웨루 지부 사이버 보안보호과는 관할지역 내 정보기술(IT) 기업의 데이터 유출과 관련된 사이버 보안 사건을 처리했다.조사 과정에서 회사 서버에 무단 액세스를 허용하는 취약점이 발견됐다. 데이터 보안 관리시스템이 구축돼 있지 않았으며 다차원 보호체계에 따라 파일이 작성되지 않았다. 따라서 웨루 사이버 경찰은 데이터보안법에 따라 5만 위안의 벌금을 부과하고 회사에 경고조치를 내렸다.넷째, 최고인민검찰원(Supreme People's Procuratorate, SPP)은 개인정보보호와 관련된 대표적인 공익소속 사례를 공개했다. 개인정보보호법(Personal Information Protection Law)의 적적한 구현을 보장하기 위한 목적이다.개인정보보호와 관련된 공익 소송 사례는 △의료 및 치료 정보 △안면 인식 △물류에서의 빅데이터 △기타 공익 문제 등이 포함됐다.공개된 사례는 개인 의료정보 및 개인 생체정보 보호와 관련된 행정 공익 소송 2건, 택배 라벨에 표시된 개인정보 침해 관련 형사 및 민사 공익 소송 사건 1건이다.다섯째, 저장성 사이버공간관리국(Zhejiang Cyberspace Administration)이 발표한 Q&A(Questions and Answers)다. 저장성의 데이터 반출 보안 평가 선언(Data Export Security Assessment Declaration)에 관한 것이다.Q&A는 △지원 요건 △평가 문제 △신고 자료 △위임장 △신고 양식 △법률 문서 △평가 날짜 △수출 시나리오 △완전도 검사 △평가 종료 등 10가지 측면을 다루고 있다.일반적으로 Q&A는 데이터 반출 보안 평가과정에서 신고 자료를 보다 정교하게 검토하기 위한 요구사항을 반영한다.여섯째, 공업정보화부(中华人民共和国工业和信息化部, Ministry of Industry and Information Technology of the People's Republic of China, MIIT)는 이용자 개인정보의 불법 수집에 대한 315 갈라(Gala)에 노출된 해킹 앱에 대한 조치를 공개했다.이용자의 개인정보를 불법적으로 수집하고 세계 소비자권리의 날을 위해 진행된 TV 프로그램 315 갈라(Gala)에 노출시킨 크랙 앱에 대한 조치다.MIIT는 앱과 관련 단서를 조사했으며 앱 개발자를 상대로 조치를 취하고 기술 검사를 단행했다. 또한 식별된 문제흘 해결해 대중에게 알리고 통신 및 인터넷 사용자의 개인정보 보호를 강화하기 위한 효과적인 조치를 지속적으로 구현해 나갈 방침이다.일곱째, 공업정보화부는 사용자의 권리와 이익을 침해한 것으로 확인된 55개의 앱과 제3자 소프트웨어 개발키트(software development kits, SDKs)를 발표했다. MIIT는 일상생활, 레저, 엔터테인먼트, 실용적인 도구와 관련된 앱과 SDKs를 검사하기 위해 제3자 테스트 기관을 조직했다. 55개 앱 및 SDKs의 운영자들에게는 오류를 수정하라는 명령이 내려지고 행정처벌이 부과된다.
-
[중국] 사이버 보안 및 데이터 보호를 위한 입법 관련 5개 규정 소개▲ 중국 사이버공간관리국(Cyberspace Administration of China, CAC) 홈페이지 중국 사이버공간관리국(Cyberspace Administration of China, CAC)에 따르면 지난 3월 사이버 공간관리를 위한 행정법 집행 절차에 관한 조항(이하 규정)을 발표했다. 행정법 집행 절차를 포괄적으로 개정했으며 6월1일부터 시행된다. 이와 같이 중국 정부는 사이버 보안 및 데이터 보호를 위해 입법, 집행, 산업 발전에 중점을 두고 규정을 제정하고 있다. 최근 발표한 규정 및 이벤트는 18건으로 입법 발전과 관련된 규정은 6건, 집행 발전과 관련된 규정은 7건 산업 발전과 관련된 규정은 5개다. 입법과 관련된 규정은 △사이버 공간 행정을 위한 행정법 절차 위원회 △증권선물산업 사이버 및 정보 보안 관리를 위한 관리 조치 △비밀 기본 조사 및 매핑 성과의 제공과 사용에 관한 관리 조치 △정보보안기술-개인 정보의 국경 간 전송에 대한 인증 요구 사항 △중화인민공화국 국가표준 발행 등이다. 첫 번째 2023년 6월1일부터 시행되는 사이버 공간 관리를 위한 행정법 집행 절차에 관한 조항은 중국사이버 공간관리국(Cyberspace Administration of China, CAC)이 3월 발표했다. 이 조항은 CAC가 이전에 공표한 인터넷 정보 콘텐츠 관리(Administration of Internet Information Contents)를 위한 행정법 집행 절차(Administrative Law Enforcement Procedures)를 전면 개정한 것이다. 동일한 불법 행위에 대해 반복적으로 벌금을 부과하지 않도록 명확히 했다. 사이버 공간관리국의 행정법 집행 절차에 대해 설명하고 있다. 또한 CAC 및 지역 인터넷 정보 사무소의 법 집행 노력을 규제하기 위해 중요한 행정 처벌의 이행 및 감독 방안을 제시했다. 두 번째 증권선물산업 사이버 및 정보 보안 관리를 위한 관리 조치는 중국증권규제위원회(China Security Regulatory Commission, CSRC)가 3월 발표했다. 업계 핵심기관, 운영기관, 정보기술(IT) 시스템 서비스기관의 네트워크 및 정보보안을 규정하기 위해 발표했다. 핵심 기관 및 운영 기관에 의해 설립된 IT 자회사도 적용된다. 5월1일부터 발효돼 적용되고 있다. 세 번째 비밀 기본 조사 및 매핑 성과의 제공과 사용에 관한 관리 조치는 중국천연자원부(Ministry of Natural Resources, MNR)가 3월 발표했다. 측량 및 매핑 조치는 비밀 기본 조사 및 매핑 성과의 제공 및 사용을 규제하기 위한 프레임워크를 제공한다. 이는 중국의 측량매핑법(Survey and Mapping Law), 행정면허법(Administrative License Law), 국가기밀보호법(Law on Guarding State Secrets), 측량매핑 성과관리에 관한 규정(Regulation on the Administration of Survey and Mapping Achievements)을 기반으로 하고 있다. 네 번째 정보 보안 기술 공개 - 공개 논평을 위한 개인 정보의 국경 간 전송에 대한 인증 요구 사항 초안은 국가정보보호표준화기술위원회(National Information Security Standardization Technical Committee) TC260이 5월 발표했다. 인증표준 초안은 개인정보의 국경 간 전송 시 개인정보 주체의 권리와 이익을 보호하기 위한 기본 원칙과 요건을 규정하고 있다. 또한 인증기관의 법적 근거가 된다. 다섯 번째 3월 SMR, OCCAC, MIIT, MPS 등 4개 부처에서 네트워크 보안 서비스에 대한 인증 작업 수행에 관한 구현 의견을 발표했다. 4개 부처는 국가시장규제총국(State Administration of Market Regulation, SAMR), 중앙사이버공간위원회실(Office of the Central Cyberspace Affairs Commission, OCCAC), 공업정보화부(Ministry of Industry and Information Technology, MIIT), 공안부(Ministry of Public Security, MPS) 등이다. 구현 의견에는 4개 부처에 의해 결정되고 조정되는 사이버보안 서비스 인증 카탈로그를 명시하고 있는 9개의 규약이 포함됐다. 규약에는 테스트, 평가, 보안 운영, 유지관리, 보안 컨설팅, 다차원 보호 체계 평가와 같은 서비스가 해당된다. 사이버보안 서비스 인증기관이 위탁자의 요청시 관련 규정에 따라 보안인증을 실시해야 한다고 규정도 있다. 전체 인증 프로세스를 기록하기 위해 추적 가능한 작업 메커니즘을 설정하고 수수료 기준 및 인증서 상태(유효, 취소, 철회 등)를 게시한다. 여섯 번째 국가시장규제총국(State Administration of Market Regulation, SAMR) 및 국가표준화관리위원회는 11월 1일 중국 국가표준 을 발표했다. 국가표준에는 TC260에 따른 사이버보안에 관한 표준 12개가 포함됐다. 12개는 △정보보안기술-사이버 보안 인력의 역량에 대한 기본 요구 사항(Information Security Technology - Basic Requirements for Competence of Cybersecurity Workforce) GB/T 42446-2023 △정보보안기술-통신 분야 데이타보안 지침(Information Security Technology - Data Security Guidelines for Telecom Field) GB/T 42447-2023 △정보보안기술-개인정보 비식별화 유효성 평가 가이드(Information Security Technology - Guide for Evaluating the Effectiveness of Personal Information De-identification) GB/T 42460-2023 등이 대표젹이다.