중화인민공화국네트워크안전법(中华人民共和国网络安全法)

[시행 2017년 6월 1일] [공포 2016년 11월 7일]

2016년 11월 7일 제12차 전국인민대표대회 상무위원회 제24차 회의 통과, 주석령 제53호, 2017년 6월 1일 시행

<중화인민공화국 네트워크안전법>은 중화인민공화국 제12차 전국인민대표대회 상무위원회 2016년 11월 7일 제24차 회의에서 통과되었고 이에 공표하며 2017년 6월 1일부터 시행한다.

제1장 총칙

제1조 네트워크 보안을 보장하고 네트워크 공간주권과 국가안보, 사회공공이익을 수호하고 공민, 법인과 기타 조직의 합법적 권익을 보호하면서 경제사회 정보화의 건전한 발전을 촉진하기 위해 본 법을 제정한다.

제2조 중화인민공화국 경내에서의 네트워크 구축, 운영, 유지와 사용 및 네트워크 보안의 감독 관리는 본 법을 적용한다.

제3조 국가는 네트워크 보안과 정보화 발전을 동등하게 중요시하고 적극적인 이용, 과학적 발전, 법에 의거한 관리, 안전 보장 원칙을 지키며, 네트워크 인프라 구축과 상호연동을 추진하고 네트워크 기술혁신과 응용을 장려하며, 네트워크 보안인력 배양을 지원하고 네트워크 보안 보장체계를 정착시켜 네트워크 안전보호능력을 향상시킨다.

제4조 국가는 네트워크 보안 전략을 부단히 완비하고, 네트워크 보안의 기본적인 요구와 주요 목표를 명확히 하며, 중점영역의 네트워크 보안 정책, 업무 임무와 조치를 제시한다.

제5조 국가는 조치를 취하여, 중화인민공화국 경내외의 네트워크 보안 위험과 위협을 모니터링· 방어·처리하고, 핵심 정보기초시설이 공격·침 입·간섭․파괴당하지 않도록 하며, 네트워크 불법 범죄활동을 법에 따라 처벌한고 네트워크 공간안전과 질서를 유지한다.

제6조 국가는 성실신의, 건전하고 문명한 네트워크 행위를 선도하고, 사회주의 핵심 가치관 전파를 촉진하며, 조치를 취해 전 사회의 네트워크 보안 의식과 수준을 높이여 사회 전체가 네트워크 보안 촉진에 공동 참여하는 양호한 환경을 형성한다.

제7조 국가는 네트워크 공간 관리, 네트워크 기술의 연구개발과 표준 제정, 네트워크 불법행위 단 속 등 분야의 국제교류와 협력을 적극 진행하면서 평화, 안전, 개방, 협력의 네트워크 공간 구축과 다방면, 민주, 투명한 네트워크 관리 시스템을 설립한다.

제8조 국가 네트워크 정보기관은 책임지고 네트워크 보안 업무와 관련 감독관리 업무를 획일적으로 규획하고 조율한다. 국무원 전신 주관 부처, 공안기관과 기타 관련 부처는 본 법과 관련 법률, 행정법규의 규정에 의거하여 각자 직책 범위 내에서 네트워크 안전보호와 감독관리 업무를 책임진다.

현급(縣級) 이상 지방 인민정부 관련 부처의 네트워크 안전보호와 감독관리 직책은 국가 유관 규정에 따라 확정한다.

제9조 네트워크 사업자는 경영과 서비스 활동 시 반드시 법률, 행정법규를 지키고, 사회 공중도덕, 상업도덕, 성실신용을 준수하며, 네트워크 보안 의무를 이행하고, 정부와 사회의 감독을 받으며 사회 책임을 담당해야 한다.

제10조 네트워크의 구축, 운영 또는 네트워크를 통한 서비스 공급은 법률, 법규의 규정과 국가표준의 강제성 요구에 의거하여 기술조치와 기타 필요한 조치를 취해 네트워크 보안, 안정 운행을 보장하고 네트워크 보안 사건에 대해 효율적으로 대응하고 불법 범죄활동을 방지하여 네트워크 데이터의 완결성, 비밀유지성과 유용성을 유지해야한다.

제11조 네트워크 관련 업계의 기관은 정관 규정에 따라 업계 자율을 강화하고 네트워크 보안행위 규범을 제정하며 회원이 법에 의거하여 네트워크 안전 보호를 강화하도록 하고 네트워크 안전 보호 수준을 높여 업계의 건전한 발전을 촉진한다.

제12조 국가는 공민, 법인과 기타 조직의 법에 의거한 네트워크 사용 권리를 보호하고 네트워크접속 및 보급을 촉진하며 네트워크 서비스 수준을 높여 사회에 안전하고 편리한 네트워크 서비스를 제공하고 네트워크 정보의 법에 의거한 질서 있는 자유로운 유동을 보장한다.

그 어떠한 개인과 조직의 네트워크 사용도 헌법과 법률, 공공질서를 준수해야 하고 사회 공중도덕을 존중하고 네트워크 보안에 해를 가해서는 아니 되며 네트워크를 이용하여 국가안보 위협, 테러리즘과 극단주의 선양, 사회주의제도 전복, 국가분열 선양, 국가통일 파괴, 민족의 원한과 민족 차별 선양, 폭력 전파, 음란정보, 날조, 거짓정보 전파로 경제 질서와 사회질서를 어지럽히거나, 타인의 명예, 프라이버시, 지적 재산권과 기타 합법 권익을 침해해서는 아니 된다.

제13조 국가는 미성년의 건강한 성장에 유리한 네트워크 제품과 서비스를 연구개발 하도록 지원하고, 네트워크를 이용하여 미성년의 심신 건강을 해치는 활동을 법에 따라 처벌하며, 미성년에게 안전하고 건강한 네트워크 환경을 제공한다.

제14조 그 어떠한 개인과 조직이든 모두 네트워크 보안에 해를 가하는 행위에 대해 네트워크 정보, 정보통신, 공안 등 기관에 신고할 권리가 있다. 신고를 접수한 기관은 적시에 법에 의해 처리해야 한다. 본 기관의 직책에 속하지 않을 경우 적시에 처리 권한이 있는 기관으로 이송시켜야 한다.

관계기관은 신고인의 관련 정보에 대하여 비밀을 지켜야 하고 신고인의 합법적인 권리와 이익을 보호해야 한다.

제2장 네트워크 지지 및 촉진

제15조 국가는 네트워크 보안 표준 체계를 구축하고 완비시킨다. 국무원의 표준화 행정 주무부처와 국무원의 기타 유관 부처는 각자의 직책에 따라 관련된 네트워크 보안 관리 및 네트워크 제품, 서비스와 운영 안전의 국가표준, 업계표준을 제정 및 적시에 수정한다.

국가는 기업․연구기관․대학교․네트워크 관련 업계조직 등이 네트워크 안전 국가 표준․업계 표준의 제정에 참여하는 것을 지지한다.

제16조 국무원과 성, 자치구, 직할시 인민정부는 통합 규획하고 투입을 확대하여 중점 네트워크 보안 기술 산업과 프로젝트를 육성하고 네트워크 보안 기술의 연구개발, 응용과 안전하고 신뢰할 수 있는 네트워크 제품 및 서비스 보급을 지원하며 네트워크 기술의 지적재산권을 보호하고 연구기관, 대학교와 기업의 국가 네트워크 보안 기술혁신 프로젝트 참여를 지원한다.

제17조 국가는 네트워크 보안 사회화 서비스 체계 건설을 추진하고, 유관 기업과 기구가 네트워크 보안 인증, 검사, 위험평가 등 보안 서비스를 전개하도록 장려한다.

제18조 국가는 네트워크 데이터 보안 보호와 이용 기술의 개발을 장려하고, 공공 데이터 자원의 개방을 촉진하며, 기술혁신과 경제사회발전을 추진한다.

국가는 네트워크 보안 관리 방식의 혁신, 네트워크 신기술 운용, 네트워크 보안 보호 수준 향상을 지원한다.

제19조 각급 인민정부 및 그의 관련 기관은 일상화된 네트워크 보안 홍보교육을 진행하면서 관련기관이 네트워크 보안 홍보교육을 잘 하도록 지도 및 독촉해야 한다.

대중 미디어 매개체는 타깃성을 갖고 사회를 상대로 네트워크 보안 홍보교육을 진행해야 한다.

제20조 국가는 기업과 대학교, 직업학교 등 교육양성기관이 네트워크 보안의 관련 교육과 훈련을 지원하고 다양한 방식을 통해 네트워크 보안 인력을 육성하여 네트워크 보안 인력의 교류를 촉진한다.

제3장 네트워크 운영 안전

제1절 일반 규정

제21조 국가는 네트워크 안전등급 보호제도를 시행한다. 네트워크 사업자는 네트워크 안전등급 보호제도의 기준에 따라 다음과 같은 안전보호 의무를 이행하면서 네트워크가 교란, 파괴 또는 인가 받지 않은 방문을 차단하도록 보장하고 네트워크 데이터의 유출 또는 도난, 변조를 방지한다.

1. 내부의 보안 관리제도와 운영규정을 제정하고 네트워크 보안 책임자를 확정하여 네트워크 안전보호책임을 이행한다.

2. 컴퓨터 바이러스와 네트워크 공격, 네트워크 침입 등 네트워크 보안 침해행위를 방지하는 기술조치를 취한다.

3. 네트워크 운행 상태와 네트워크 안전 사건의 기술 조치를 검사․기록하고, 네트워크 일지를 최소 6개월간 보존한다.

4. 데이터 분류, 중요한 데이터 백업과 비밀번호설정 조치를 취한다.

5. 법률, 행정법규에서 규정한 기타 의무.

제22조 네트워크 제품, 서비스는 관련된 국가표준, 업계표준에 부합해야 한다. 네트워크 제품, 서비스 공급자는 악성 프로세스를 설치해서는 아니 된다. 공급자의 네트워크 제품, 서비스의 보안 결함, 취약성 등 리스크의 존재성을 발견했을 경우즉시 보완조치를 취하고, 규정에 따라 이용자에게 고지하고 유관 관리 부서에 보고해야 한다.

네트워크 제품, 서비스 공급자는 그의 제품, 서비스를 위해 지속적인 보안 유지를 제공해야 한다.

규정 기간 또는 당사자와 약정한 기간 내에는 보안 유지 제공을 중지해서는 아니 된다.

네트워크 제품, 서비스가 이용자 정보를 수집하는 기능을 가지면, 공급자는 이용자에게 이를 명시하고 동의를 받아야 한다. 이용자의 개인 정보에 접촉하려면, 본 법과 유관 법률, 개인정보 보호 규정과 관련된 행정법규를 준수해야 한다.

제23조 네트워크 핵심 장비와 네트워크 보안 전용제품은 국가표준, 업계표준의 강제성 기준에 따라 자격이 있는 기관의 안전인증에 통과 또는 안전검사 기준에 부합된 후에야 판매 또는 제공이 가능하다. 국가네트워크정보기관은 국무원의 관련부처와 함께 네트워크 핵심 장비와 네트워크 보안 전용제품의 목록을 제정 및 발표하고 안전인증과 안전검사 결과의 상호 인증을 추진하여 중복 인증 및 검사를 방지한다.

제24조 네트워크 사업자는 이용자를 위해 네트워크 접속, 도메인 등록 서비스를 제공하며 유선전화, 휴대전화 등의 통신망 가입수속을 처리하거나 또는 이용자를 위해 정보공개, 메신저 등의 서비스를 제공하며 이용자와 협의를 체결하거나 서비스 제공을 확인할 경우 이용자가 진실된 신원정보를 제공하도록 요구해야 한다. 이용자가 진실된 신원정보를 제공하지 않을 경우 네트워크 사업자는 이용자에게 관련 서비스를 제공해서는 아니 된다.

국가는 네트워크에서 신뢰할 수 있는 신분 전략을 실시하고, 안전하고 편리한 전자신분 인증기술을 연구개발하고, 상이한 전자 신분 인증간의상호 인증을 추진한다.

제25조 네트워크 사업자는 네트워크 보안 사건의 비상 매뉴얼을 제정하여 적시에 시스템의 취약성, 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 등 보안 리스크에 대처한다. 네트워크 보안에 해를 가하는 사건이 발생할 경우 즉시 비상 매뉴얼을 가동하여 상응한 보완조치를 취하고 규정에 따라 관련 주무부처에 보고한다.

제26조 네트워크 보안 인증, 검사, 위험평가 등 활동을 전개하고, 시스템의 취약점, 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 등 네트워크 보안 정보를 사회에 공지하고, 국가 유관 규정을 준수해야 한다.

제27조 그 어떠한 개인과 조직도 타인의 네트워크 침입, 타인 네트워크의 정상 기능 방해, 네트워크 데이터 절취 등 네트워크 보안에 해를 가하는 활동을 해서는 아니 된다. 네트워크 침입, 네트워크 정상기능 및 보호조치 방해, 네트워크 데이터의 절취 등 네트워크 보안에 해를 가하는 행동에 전문적으로 사용되는 프로그램․도구를 제공해서는 안 된다. 타인에게 네트워크 보안에 해를 가하는 활동 실행에 필요한 기술지원, 광고 홍보, 지불 결재 등 도움을 제공해서는 아니 된다.

제28조 네트워크 사업자는 공안기관, 국가안전기구가 법에 따라 국가의 안보를 지키고 범죄활동을 조사하도록 기술 지원과 협조를 제공해야 한다.

제29조 국가는 네트워크 사업자 간에 네트워크 보안정보의 수집, 분석, 통보와 비상 대응 등 분야의 협력을 진행하면서 네트워크 사업자의 안전보장능력을 향상시키는 것을 지원한다.

관련 업계 기관은 본 업계의 네트워크 안전보호규범과 협력 매커니즘을 정착시켜 네트워크 보안 리스크에 대한 분석평가를 강화하고 정기적으로 회원에게 리스크를 알리고 회원의 네트워크 보안 리스크 대응을 지원 및 협조한다.

제30조 네트워크 정보 부처와 유관 부처는 네트워크 보안 보호 직책 이행 과정에서 획득한 정보를 네트워크 안전 유지를 위해서만 사용하고, 기타 다른 용도로 사용해서는 안 된다.

제2절 핵심 정보 인프라의 운영 안전

제31조 국가는 공공통신과 정보서비스․에너지․교통․수리․금융․공공서비스․전자정무 등 중요 산업과 영역, 그리고 기타의 일단 파괴․기능 상실․데이터유출이 발생하면 국가 안전․국가 경제와 국민 생활․공공이익에 중대한 손상을 줄 수 있는 핵심 정보 인프라에 대하여, 네트워크 안전 등급 보호 제도에 기초하여, 중점 보호를 실행한다. 핵심 정보인프라 설비의 구체적인 범위와 안전 보호 방법은 국무원이 제정한다.

국가는 핵심 정보 인프라 설비 이외의 네트워크운영자가 핵심 정보 인프라 설비 보호 체계에 자원하여 참여하는 것을 권장한다.

제32조 국무원이 규정한 책임 분담에 따라, 핵심정보 인프라 시설 보안보호 업무 부문은 본 업계와 본 영역의 핵심 정보 인프라 시설 보안 규칙을 각각 제정 및 조직·실행하고, 핵심 정보 인프라 시설 운행 보안 보호 업무를 지도 및 감독한다.

제33조 핵심 정보 인프라의 구축은 그의 지원 업무 안정, 지속 운영 성능 보유를 확보하고 보안기술 조치의 동시 규획, 동시 구축, 동시 사용을 보장해야 한다.

제34조 본법 제21조의 규정 외에 핵심 정보 인프라 사업자는 다음과 같은 안전보호 의무를 이행해야 한다.

1. 전문 안전관리기관과 안전관리 책임자를 설치하고 동 책임자와 핵심 업무 담당자에 대해 안전배경 심사를 진행한다.

2. 종사자에 대한 네트워크 보안 교육, 기술교육과 기능 평가를 정기적으로 진행한다.

3. 주요 시스템과 데이터베이스에 대한 재난대비백업을 진행한다.

4. 네트워크 보안 사건의 비상 매뉴얼을 제정하고 정기 훈련을 진행한다.

5. 법률, 행정 법규에서 규정한 기타 의무.

제35조 핵심 정보 인프라 사업자의 네트워크 제품 또는 서비스 구매가 국가안보에 영향을 줄 수 있을 경우 국가네트워크정보기관이 국무원의 관련 부처와 함께 구성한 국가 보안 심사에 통과해야 한다.

제36조 핵심 정보 인프라 사업자의 네트워크 제품과 서비스 구매는 공급자와 보안 비밀유지 협의를 체결하고 보안과 비밀유지의 의무와 책임을 명확히 해야 한다.

제37조 핵심 정보 인프라 사업자는 중화인민공화국 경내에서 운영 중 수집하고 생성된 개인정보와 중요 업무 데이터를 반드시 경내에 저장해야한다. 업무의 필요에 의해 반드시 해외에서 저장 또는 해외 기관 또는 개인에게 제공해야 할 경우국가네트워크정보기관이 국무원의 관련 부처와 함께 제정한 방법에 따라 보안평가를 진행해야 한다. 법률, 행정 법규에 별도의 규정이 있을 경우 해당 규정에 따른다.

제38조 핵심 정보 인프라 사업자는 자체적으로 또는 전문기관에 의뢰하여 그의 네트워크 안전성 과 존재 가능한 리스크에 대해 매년 최소한 한 차례의 검사와 평가를 진행하여 검사평가 상황과 개선조치에 대해 네트워크 보안 보고를 제출하고 관련 핵심 정보 인프라 안전보호업무 책임 기관에 보고해야 한다.

제39조 국가 네트워크 정보 부처는 관련 부처와 총괄적으로 협력하여, 핵심 정보 인프라에 대해서 다음과 같이 안전보호 조치를 취해야 한다.

핵심 정보 인프라 보안 리스크에 대해 추출검사를 진행하고 개선조치를 제시하며 필요한 경우에는 전문검사테스트 기관에 의뢰하여 네트워크에 존재하는 보안 리스크에 대한 테스트 평가를 진행한다.

핵심 정보 인프라 사업자의 네트워크 보안 비상훈련을 정기적으로 진행하여 네트워크 보안 사태 대응 수준과 협업 및 협력 능력을 향상시킨다.

관련 기관, 핵심 정보 인프라 사업자 그리고 관련 연구기관, 네트워크 보안 서비스 기관 등간의 네트워크 보안 정보 공유를 촉진한다.

네트워크 보안 사태의 비상처리와 회복 등에 대해 기술지원과 협조를 제공한다.

제4장 네트워크 정보보안

제40조 네트워크 사업자는 수집한 이용자 정보를 반드시 엄격하게 비밀을 유지하고, 이용자 정보보호제도를 정착시켜야 한다.

제41조 네트워크 사업자의 개인정보 수집 및 사용은 합법, 정당, 필요의 원칙을 준수하고 정보 수집과 사용의 목적, 방식과 범위를 공지하고 수 집대상자의 동의를 얻어야 한다.

네트워크 사업자는 그가 제공하는 서비스와 무관 한 개인정보를 수집해서는 아니 되며 법률, 행정 법규의 규정과 쌍방의 약정을 어기면서 개인정보 를 수집 및 사용해서는 아니 되며 법률, 행정법규 의 규정 또는 이용자와의 약정을 준수하면서 그가 저장 및 보관하고 있는 개인정보를 처리해야한다.

제42조 네트워크 사업자는 수집한 개인 정보를 유출, 변조, 훼손해서는 안 된다. 수집 동의를 받지 않으면, 타인에게 개인 정보를 제공해서는 안 된다. 그러나 특정 개인을 식별할 수 없도록 처리 하여 복원할 수 없는 경우는 제외한다.

네트워크 사업자는 기술조치와 기타 필요한 조치를 취해 수집한 개인정보의 보안을 확실히 보장 하고 그가 수집한 개인정보의 유출, 훼손, 분실을 방지해야 한다. 개인정보 유출, 훼손, 분실 상황이 발생하거나 또는 발생할 가능성이 있을 경우 즉 시 보완조치를 취해, 규정에 따라 적시에 이용자 에게 고지하고 규정에 따라 관련 주무부처에 보고해야 한다.

제43조 개인은 네트워크 사업자가 법률, 행정법규 규정 또는 쌍방의 약정을 어기고 본인의 개인 정 보를 수집 및 사용하는 것을 발견했을 경우 네트워크 사업자에게 본인의 개인정보 삭제를 요구할 권리가 있다. 네트워크 사업자가 수집 및 사용한 개인 본인의 개인정보에 오류가 있을 경우 네트워크 사업자에게 정정을 요구할 권리가 있다. 네트워크 사업자는 조치를 취해 삭제하거나 정정해야 한다.

제44조 그 어떠한 개인과 조직도 개인정보를 훔치거나 기타 불법방식으로 취득해서는 아니 되며, 불법으로 개인정보를 판매하거나 불법으로 타인에게 제공해서도 아니 된다.

제45조 법에 의해 네트워크 안전감독 관리 직책책임이 있는 부처와 직원은 반드시 직책이행 과정에서 알게 된 개인정보, 프라이버시와 상업비밀을 엄격히 유지하고 유출, 판매 또는 불법으로 타인에게 제공해서는 아니 된다.

제46조 어떤 개인과 조직도 네트워크 사용행위에 대해 책임을 져야하고, 사기, 범죄방법 전수, 금지 물품․통제물품 제작 또는 판매 등 불법 범죄활동 을 실시하는 사이트․통신그룹을 개설해서는 안되 며, 사이트를 이용하여 사기, 금지물품․통제물품 제작 또는 판매 그리고 기타 불법 범죄활동에 관련된 정보를 공개해서는 안 된다.

제47조 네트워크 사업자는 그의 이용자가 발표한 정보에 대한 관리를 강화해야 하고 법률, 행정법 규에서 발표 또는 전송을 금지하는 정보일 경우 즉시 전송을 중단하고 제거 등 처리조치를 취하여 정보 확산을 방지하고 관련 기록을 보관하고 유관 주무부처에 보고해야 한다.

제48조 어떤 개인이나 조직이 발송하는 전자정보․제공하는 응용 소프트웨어에, 악성 프로세스를 설치해서는 아니 되며 법률, 행정법규에 발표 또는 전송을 금지하는 정보가 있어도 아니 된다.

전자정보 발송 서비스 공급자와 앱 소프트웨어 다운로드 서비스 공급자는 안전관리의무를 이행해야 하고 이용자의 상기 조항 규정 행위가 있음을 인지했을 경우 서비스를 중단하고 제거 등 처리조치를 취하고 관련 기록을 보관한 후 유관 주무부처에 보고해야 한다.

제49조 네트워크 사업자는 네트워크 정보 보안의 불만신고, 고발 플랫폼을 구축하고 신고, 고발 상식 등 정보를 공지하여 적시에 관련 네트워크 정보 보안의 신고와 고발을 수리 및 처리하도록 해야 한다.

네트워크 사업자는 네트워크 정보 부처와 유관부처가 법에 의하여 감독 검사를 할 때, 협력하여야 한다.

제50조 국가네트워크정보기관과 관련 부처는 법에 의거하여 네트워크 보안 감독관리 직책을 이행하고 법률, 행정법규에서 발표 또는 전송을 금지하는 정보를 발견할 경우 네트워크 사업자에게 전송 중단을 요구하고 제거 등 처리조치를 취하고 관련 기록을 보관해야 한다. 상기 정보의 진원지가 중화인민공화국 역외일 경우 관련 기관에 통보하여 기술조치와 기타 필요한 조치를 취해 정보 유포를 차단시켜야 한다.

제5장 모니터링 경보와 비상 대응

제51조 국가는 네트워크 보안 모니터링 경보와 정보통보 제도를 구축한다. 국가네트워크정보기관은 통합 규획 및 조율을 통해 관련 기관이 네트워크 보안 정보 수집, 분석과 통보업무를 강화하도록 하고 규정에 따라 네트워크 보안의 모니터링 경보 정보를 일괄적으로 발표해야 한다.

제52조 핵심 정보 인프라의 안전보호업무 담당기관은 본 업계, 본 분야의 네트워크 보안 모니터링 경보와 정보통보 제도를 정착시키고 규정에 따라 네트워크 보안 모니터링 경보 정보를 발송 및 보고한다.

제53조 국가네트워크정보기관은 관련 부처를 조율하여 네트워크 보안 비상업무 매커니즘을 정착시키고 네트워크 보안 사태 비상 매뉴얼을 제정하여 정기 연습을 수행한다.

핵심 정보 인프라의 안전보호업무 담당기관은 본 업계, 본 분야의 네트워크 보안사건 비상 매뉴얼을 제정하고 정기적으로 훈련을 진행해야 한다.

네트워크 보안 사태 비상 매뉴얼은 사건 발생 후의 파손 정도, 영향 범위 등 요소에 따라 네트워크 보안 사건에 대해 등급을 분류하고 상응하는 비상 대응 조치를 규정해야 한다.

제54조 네트워크 보안사건 발생의 위험이 증대할 때, 성급 이상의 인민 정부 유관 부처는 규정의 권한과 순서에 따라, 네트워크 안전 위험의 특징 및 가능한 피해에 근거하여, 다음과 같은 조치를 취한다.

관련 부처, 기관과 인원이 관련 정보는 적시에 수집 및 보고하고 네트워크 보안 사건의 발생, 발전 상황에 대한 모니터링 강화를 요구한다.

관련 부처, 기관과 전문 담당자를 구성하여 네트워크 보안사건 정보에 대해 분석 및 평가를 진행하고 사건 발생의 가능성, 영향범위와 피해 정도를 예측한다.

사회에 네트워크 안전 위험 경고를 발표하고, 피해를 방지하고 줄이는 조치를 발표한다.

제55조 네트워크 보안 사건이 발생하면 네트워크 보안사건 비상 매뉴얼을 즉시 가동하여 네트워크 보안 사건에 대해 조사와 평가를 진행하고 네트워크 사업자가 기술조치와 기타 필요한 조치를 취하도록 요구하여 불안요소를 제거하고 피해 확산을 막으며 적시에 사회에 대중과 관련된 경보정보를 발표한다.

제56조 성급 이상의 인민 정부 유관부처는 네트워크 안전 감독 관리 직책을 이행하는 중, 네트워크에 비교적 큰 안전 위험 혹은 안전사고가 발생한 것을 발견하면, 규정의 권한과 순서에 따라 네트워크 사업자의 법정 대표 혹은 주요 책임자 에게 약속 면담을 할 수 있다. 네트워크 사업자는 요구에 따라, 조치를 취하고, 개정하며, 위험을 제거하여야 한다.

제57조 네트워크 보안 사건으로 인해 돌발 사태 또는 안전생산사고가 발생할 경우 <중화인민공화 국 돌발사태 대응법>, <중화인민공화국 안전생산법> 등 관련 법률의 규정에 따라 처리한다.

제58조 국가 안보와 사회 공공질서를 유지하고, 중대하고 돌발적인 사회 안전 사건을 처리하기 위해서 필요할 때, 국무원의 결정 혹은 비준에 따라, 특정 지역에서 네트워크 통신에 대하여 제한 등의 임시 조치를 취할 수 있다.

제6장 법률 책임

제59조 네트워크 사업자가 본 법 제21조, 제25조에서 규정한 네트워크 안전보호 의무를 이행하지 않을 경우 관련 주무부처가 시정을 명령하고 경고를 준다. 시정을 하지 않고 거부하거나 네트워크 보안에 피해를 주는 등 결과를 초래할 경우 10,000위안 이상 100,000위안 이하의 벌금을 부과한다. 직접 책임이 있는 담당자에게는 5,000위안 이상 50,000위안 이하의 벌금을 부과한다.

핵심 정보 인프라 사업자가 본 법 제33조, 34조, 제36조, 제38조에서 규정한 네트워크 안전보호 의무를 이행하지 않을 경우 관련 주무부처에서 시정 명령을 내리고 경고를 준다. 시정을 하지 않고 거부하거나 네트워크 보안에 피해를 주는 등 결과를 초래할 경우 100,000위안 이상 1,000,000위안 이하의 벌금을 부과한다. 직접 책임이 있는 담당자에게는 10,000위안 이상 100,000위안 이하의 벌금을 부과한다.

제60조 본 법 제22조 제1항 및 제2항, 제48조 제1항 규정을 위반하여, 다음과 같은 행위 하나에만 해당되더라도 관련 주무부처에서 시정명령을 내리고 경고를 준다. 시정하지 않고 거부하거나 네트워크 보안에 피해를 주는 등 결과를 초래할 경우 50,000위안 이상 500,000위안 이하의 벌금을 부과한다. 직접적인 책임이 있는 주관인원에게는10,000위안 이상 100,000위안 이하의 벌금을 부과한다.

1. 악성 프로세스를 설치할 경우.

2. 제품, 서비스에 존재하는 보안 결함, 취약성 등 리스크에 대해 적시에 보완조치를 취하지 않은 경우, 또는 규정에 따라 이용자에게 적시에 고지하지 않거나 유관 부처에 보고하지 않은 경우.

3. 제품, 서비스에 대한 보안 유지를 일방적으로 중지했을 경우.

제61조 네트워크 사업자가 본 법 제24조 제1항 규정을 위반하고 이용자에게 진실된 신원정보 제공을 요구하지 않았거나 또는 진실된 신원정보를 제공하지 않은 이용자에게 관련 서비스를 제공했을 경우 관련 주무부처에서 시정명령을 내린다.

시정을 하지 않고 거부하거나 경위가 심각할 경우 50,000위안 이상 500,000위안 이하의 벌금을 부과하고 관련 주무부처에서 관련 업무 일시중단, 영업중단 및 정돈, 웹사이트 폐쇄, 관련 서비스의 인허가 취소 또는 영업집조(營業執照) 말소 등 명령을 내릴 수 있다. 직접 책임이 있는 담당자와 기타 직접적인 책임자에 대해서는 10,000위안 이상 100,000위안 이하의 벌금을 부과한다.

제62조 본 법 제26조 규정을 위반하여, 네트워크 보안 인증, 검사, 위험평가 등 활동을 전개하거나 사회에 시스템 취약점, 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 등 네트워크 보안 정보를 사회에 공개할 경우, 개정을 명령하고 경고를 준다. 개정을 거부하거나 상황이 심각한 경우, 10,000위안 이상 100,000위안 이하의 벌금을 부과하고, 유관 주관 부문이 관련 영업 일시정지, 영업정지 및 정리, 웹사이트 폐쇄, 관련 업무 허가증 취소 또는 영업증 취소를 명령할 수 있다. 또한 직접 책임진 주관 인원과 기타 직접 책임 인원에 대해서 5,000위안 이상 50,000위안 이하의 벌금을 부과할 수 있다.

제63조 본 법 제27조의 규정을 위반하여, 네트워크 보안에 해로운 활동에 종사하거나 네트워크 보안에 해로운 활동에 종사하는데 전문적으로 사용되는 프로그램이나 도구를 제공하거나 타인이 네트워크 보안에 해로운 활동에 종사하는데 기술지원, 홍보보급, 자금결재 등 도움을 제공한 경우, 아직 범죄를 구성하지 않는 경우에는 공안기관이 불법소득을 몰수하고, 5일 이하의 구류를 처벌하고 동시에 50,000위안 이상 500,000위안 이하의 벌금을 부과할 수 있다. 상황이 심각한 경우, 5일 이상 15일 이하의 구류를 처벌하고 동시에 100,000위안 이상 1,000,000위안 이상의 벌금을 부과할 수 있다.

기관이 상기 규정 행위가 있을 경우, 공안 기관은 불법소득을 몰수하고, 100,000위안 이상 1,000,000위안 벌금을 부과하며, 그 직접 책임지는 주관 인원과 기타 책임 인원에 대해서 상기 규정에 따라 처벌한다.

본 법 제27조의 규정을 위반하여 치안관리 처벌인원은 5년 내에 네트워크 보안 관리와 네트워크사업 관련 직위의 업무에 종사할 수 없고, 형사처벌을 받은 인원은 네트워크 보안 관리와 네트워크 사업 관련 직위의 업무에 영구적으로 종사할 수 없다.

제64조 네트워크 사업자가 본 법의 제22조 제3항, 제41조에서 제43조 규정을 위반하여, 개인정보가법에 의해 보호받아야 하는 권리를 침해했을 경우, 관련 주무 부처에서 시정 명령을 내리고 경위에 따라 경고, 불법소득 말소, 불법소득의 1배 이상 10배 이하 벌금 부과 등 단일처벌 또는 동시처벌을 내리고, 불법 소득이 없을 경우 1,000,000위안 이하의 벌금을 부과하고, 직접적인 책임이 있는 주관인원과 기타 책임인원은 10,000위안 이상 100,000위안 이하 벌금을 부과한다. 경위가 심각할 경우 관련 업무 일시 중단 명령, 영업 중단 및 정돈, 웹사이트 폐쇄, 관련 서비스의인허가 취소 또는 영업집조 취소 등 명령을 내릴 수 있다.

본 법의 제44조 규정을 위반하고 개인정보를 훔치거나 다른 방식으로 불법 취득, 판매 또는 불법으로 타인에게 제공했지만 범죄를 구성하지 않을 경우 공안기관에서 불법 소득을 몰수하고 불법 소득의 1배 이상 10배 이하의 벌금을 부과하고 불법 소득이 없을 경우 1,000,000위안 이하의 벌금을 부과한다.

제65조 핵심 정보 인프라 사업자가 본 법 제35조 규정을 위반하고 안전 심사를 받지 않았거나 안전 심사에 통과하지 못한 네트워크 제품 또는 서비스를 사용할 경우 주무부처에서 사용중단 명령을 내리고 구매 금액의 1배 이상 10배 이하의 벌금을 부과한다. 직접적인 책임이 있는 주관인원과 기타 직접적인 책임자에 대해서는 10,000위안 이상 100,000위안 이하의 벌금을 부과한다.

제66조 핵심 정보 인프라 사업자가 본 법 제37조의 규정을 위반하고 해외에서 네트워크 데이터를 저장하거나 해외에 네트워크 데이터를 제공할 경우 관련 주무부처에서 시정 명령을 내리고 경고를 주며 불법소득을 몰수하고 50,000위안 이상 500,000위안 이하의 벌금을 부과하고 관련 업무일시 중단 명령, 영업 중단 및 정돈, 웹사이트 폐쇄, 관련 서비스의 인허가 취소 또는 영업집조 취소 등 명령을 내릴 수 있다. 직접적인 책임이 있는 주관인원과 기타 직접적인 책임자에 대해서는 10,000위안 이상 100,000이하의 벌금을 부과한다.

제67조 본 법 제46조의 규정을 위반하고, 불법 범죄활동 실시에 사용하는 사이트·통신그룹을 개설하거나 네트워크를 이용하여 불법 범죄활동 실시에 관련된 정보를 공개할 시, 아직 범죄를 구성하지 않은 경우, 공안기관이 5일 이하의 구류를 처벌하고 10,000위안 이상 100,000위안 이하의 벌금을 병과할 수 있다. 정황이 비교적 심각한 경우, 5일 이상 15일 이하의 구류를 처벌하고 50,000위안 이상 500,000위안 이하의 벌금을 병과할 수 있다. 불법 범죄활동 실시에 이용된 사이트·통신그룹은 폐쇄한다.

기관이 위 조항 행위가 있을 경우, 공안기관은 100,000위안 이상 500,000위안 이하의 벌금을 부과하고, 직접 책임이 있는 주관인원과 기타 직접 책임자에 대해서 위 조항의 규정에 근거해 처벌한다.

제68조 네트워크 사업자가 본 법 제47조 규정을 위반하여 법률, 행정법규에서 발표 또는 전송을 금지한 정보에 대해 전송 중단, 제거 등 처리조치 를 취하지 않고 관련 기록을 보관하지 않았을 경우 관련 주무부처에서는 시정 명령을 내리고 경고를 주며 불법 소득을 몰수한다. 시정을 하지 않고 거부하거나 경위가 심각할 경우 100,000위안 이상 500,000위안 이하의 벌금을 부과하고 관련 업무 일시 중단, 영업 중단 및 정돈, 웹사이트 폐쇄, 관련 서비스의 인허가 취소 또는 영업집조 말소 등 명령을 내릴 수 있다. 직접적인 책임이 있는 주관인원과 기타 직접적인 책임자에 대해서는 10,000위안 이상 100,000위안 이하의 벌금을 부과 한다.

전자정보 발송 서비스 공급자, 앱 소프트웨어 다운로드 서비스 공급자가 본 법 제48조 제2항 규정의 보안의무를 이행하지 않을 경우 상기조항 규정에 따라 처벌한다.

제69조 네트워크 사업자가 본 법 규정을 어기고 다음과 같은 행위 하나에만 해당되더라도 관련 주무부처에서 시정 명령을 내린다. 시정을 하지 않고 거부하거나 경위가 심각할 경우 50,000위안 이상 500,000위안 이하의 벌금을 부과한다. 직접적인 책임이 있는 주관인원과 기타 직접책임자에 대해서는 10,000위안 이상 100,000위안 이하의 벌금을 부과한다.

1. 유관 부분의 요구에 따라 법률, 행정법규가 공개 또는 전송을 금지한 정보에 대해서 전송 중지, 제거 등 처리 조치를 취하지 않았을 경우. 

2. 관련 기관이 법에 의해 시행하는 감독검사를 거부, 방해했을 경우.

3. 공안기관, 국가 안전기관에게 기술지원과 협조를 제공하지 않았을 경우.

제70조 본 법 제20조 제2항과 기타 법률, 행정법규가 공개 또는 전송을 금지한 정보를 공개 또는 전송한 경우, 유관 법률, 행정법규의 규정에 따라 처벌한다.

제71조 본 법이 규정한 위법 행위가 있을 경우, 유관 법률, 행정법규의 규정에 따라 신용기록에기입하고 공시한다.

제72조 국가기관 정무 사이트 운영자가 본 법에서 규정한 네트워크 안전보호 의무를 이행하지 않을 경우 그의 상급 기관 또는 관련 기관에서 시정명령을 내린다. 직접 책임이 있는 주관인원과 기타 직접적인 책임자에 대해서는 법에 의해처분을 내린다.

제73조 네트워크 부문과 유관 부문이 본 법 제30조의 규정을 위반하고, 네트워크 보안 직책 이행과정에서 획득한 정보를 기타 용도에 사용하였을 경우, 직접 책임이 있는 주관인원과 기타 직접 책임자에 대해서 법에 따라 처분을 내린다.

네트워크 부문과 유관부문의 업무인원이 직무소홀, 직권남용, 사리사욕이 있지만, 아직 범죄를 구성하지 않을 경우, 법에 따라 처분을 내린다.

제74조 본 법 규정을 어기고 타인에게 피해를 줄 경우 법에 의해 민사책임을 진다.

본 법 규정을 어기고, 치안관리 위반 행위를 구성한 경우, 법에 따라 치안관리 처벌을 부과하고, 범죄를 구성한 경우, 법에 따라 형사 책임을 추궁한다.

제75조 경외의 기구, 조직, 개인이 중화인민공화국의 핵심정보인프라를 공격, 침입, 방해, 파괴하는 등 위해를 가하는 활동에 종사하여 심각한 결과를 초래할 경우, 법에 따라 법률 책임을 추궁한다. 동시에 국무원 공안부문과 유관 부문은 해당기구, 조직, 개인에 대해서 재산동결 또는 기타 필요한 제재 조치를 취할 수 있다.

제7장 부칙

제76조 본 법의 하기 전문용어의 함의:

1. 네트워크, 컴퓨터 또는 기타 정보 단말기 및 관련 장비로 구성된 일정한 규칙과 프로세스에 따라 정보에 대한 수집, 저장, 전송, 교환, 처리를 진행하는 네트워크를 지칭한다.

2. 네트워크 보안, 필요한 조치를 취해 네트워크에 대한 공격, 침입, 방해, 파괴와 불법 사용 및 의외의 사고를 방지하고 네트워크가 안정된 운영 상태를 유지하고 네트워크 데이터의 완결성, 비밀유지성, 유용성 능력 보장을 지칭한다.

3. 네트워크 사업자, 네트워크의 소유자, 관리자와 네트워크 서비스 제공자를 지칭한다.

4. 네트워크 데이터, 네트워크를 통해 수집, 저장, 전송, 처리와 생성되는 각종 전자 데이터를 지칭한다.

5. 개인의 개인정보, 전자 또는 다른 방식으로 기록되는 단독 또는 기타 정보와 결합하여 자연인 의 개인 신분을 식별할 수 있는 각종 정보를 지칭하는데, 이름, 출생일, 신분증번호, 개인생물식별정보, 주소, 전화번호 등을 포함하고 한다.

제77조 국가 기밀과 관련된 정보를 저장, 처리하는 네트워크의 운영 안전보호는 본 법을 준수하는 것 외에 비밀유지 법률, 행정법규의 규정을 준수해야 한다.

제78조 군사 네트워크와 정보보안 보호방법은 중앙군사위원회에서 제정한다.

제79조 본 법은 2017년 6월 1일부터 시행한다.

중화인민공화국 네트워크안전법 원문본(2016.11.7제정).pdf

중화인민공화국 네트워크안전법 번역본(2016.11.7제정).pdf