韓國政府正式提出《國家網絡安全法案》

責任編輯:editor007

2017-04-20 21:45:15

摘自:CAICT互聯(lián)網法律研究中心

2017年1月3日,韓國政府向國會正式提交了《國家網絡安全法案》(????????)(議案第2004955號)。[1]

2017年1月3日,韓國政府向國會正式提交了《國家網絡安全法案》(????????)(議案第2004955號)。[1]

一、立法理由和進程韓國推進制定《國家網絡安全法案》主要理由包括:一是當前公共和民間領域的網絡攻擊帶來了巨大的經濟損失、引發(fā)社會混亂,并威脅著國家安全。二是韓國目前網絡安全管理和應對體系主要由現行的《國家網絡安全管理規(guī)定》(National Cyber Security Management Regulation)(2013年9月2日總統(tǒng)訓令第316號修訂)調整。但《國家網絡安全管理規(guī)定》屬于總統(tǒng)訓令形式的行政規(guī)則,并非國會制定的法律,僅規(guī)定行政、立法、司法等公共部門的職責,不能覆蓋民間領域的網絡安全管理。三是雖然《信息通訊基礎設施保護法》、《產業(yè)技術的泄露防止和保護等相關法》、《防衛(wèi)產業(yè)技術保護法》等有關法律從特定領域對網絡安全作了規(guī)定,但涉及的行業(yè)主管機關和網絡安全保護法律程序和方法不同,當發(fā)生大規(guī)模網絡攻擊時,難以統(tǒng)一協(xié)調、迅速應對。[2]為此,有必要制定一部法律位階更高的網絡安全法律,建立國家整體層面的有效預防和應對網絡攻擊的體系,全面保障公共和民間領域網絡安全。

2016年9月1日,國家情報院就其擬定的《國家網絡安全基本法案》進行立法預告(9月1日—10月11日),征求社會意見。[3]2016年12月,法案更名為《國家網絡安全法案》,并在國務會議上表決通后,[4]于1月向國會完成了提交。

其實,韓國一直努力推進網絡安全相關法律的制定。17屆國會期間,2006年12月,國會議員就提出了《網絡危機預防與應對法案》;18屆國會期間,《國家網絡危機管理法案》提交到國會;目前19屆國會是網絡安全相關法案提出的最活躍期,包括2013年3月《國家網絡安全管理法案》、2013年4月《國家網絡反恐法案》、2015年5月《網絡威脅信息共享法案》、2015年6月《網絡恐怖活動預防與應對法案》提交到了國會審議。[5]

二、法案主要內容《國家網絡安全法案》旨在防止威脅國家安全的網絡攻擊,迅速積極應對網絡危機,為保障國家安全及國民利益做出貢獻(第1條)。法案共6章23條,主要內容如下:

1.國家網絡安全推進機制

(1)設立國家網絡安全委員會。法案規(guī)定設立總統(tǒng)下屬的國家網絡安全委員會(以下簡稱“委員會”),負責審議國家網絡安全政策和戰(zhàn)略、網絡安全相關制度和法令的改善、網絡安全中長期基本計劃、對策等重要事項。委員會下設國家網絡安全委員會實務委員會負責具體審查工作。委員會由委員長在內的20名以內的委員組成。委員長由國家安保室室長擔任,其他各委員來自國家行政機關和具有網絡安全的專業(yè)知識和經驗的人員。

(2) 確立負責網絡安全保護的責任機構(以下簡稱“責任機構”)。法案明確了從中央到地方、從行政部門到研究機構、企業(yè)等具體負責網絡安全保護的機構,包括國會、法院、憲法裁判所、中央選舉管理委員會的行政事務處理機關和中央行政機關及其所屬機關、地方政府部門、軍隊部門、公共機構、地方公社和地方工業(yè)園區(qū)、關鍵信息基礎設施管理機構、國家核心技術所有或管理機構、軍工企業(yè)和專門研究機構、防衛(wèi)產業(yè)技術所有機構等。

(3)設定網絡空間保護技術支援機構。法案規(guī)定,上述責任機構確定相關領域的機關或團體作為支援機構為網絡空間保護提供技術支持,包括韓國電子通信研究院、韓國互聯(lián)網振興院、韓國地區(qū)信息開發(fā)院、韓國教育學術信息院、韓國財政信息院、金融委員會指定的應對機構、產業(yè)技術保護協(xié)會、韓國信息保護產業(yè)協(xié)會、網絡安全專門企業(yè)及國家情報院指定的相關機構等。技術支持的范圍包括網絡攻擊的探測及對應、網絡攻擊導致的事故調查、損失最小化及災后恢復的措施、網絡危機對策本部的原因分析等的措施。國家情報院和中央行政機關聯(lián)合對支援機構的技術支持進行實態(tài)檢查。

(4)指定網絡安全專門企業(yè)和研究機構。法案規(guī)定,為了網絡空間保護,未來創(chuàng)造科學部可指定并管理與網絡空間保護相關的符合設施、人力、業(yè)績等規(guī)定標準的機構或團體為網絡安全專門企業(yè)。而為了網絡安全所需的政策和技術的研發(fā),由國家情報院設立或指定網絡安全研究機構。

2. 網絡安全預防機制

(5)網絡安全基本計劃。法案規(guī)定,國家情報院每3年制定并經過委員會審議的網絡安全基本計劃,基本計劃包含網絡安全政策的目標和推進方向、網絡安全相關制度及法令的改善、網絡攻擊的預防及應對、網絡安全政策、技術的研發(fā)、網絡安全相關的教育和培訓等事項。

(6)網絡安全實態(tài)評價。法案規(guī)定,國家情報院對責任機構有關網絡安全事務執(zhí)行體系的構筑、網絡攻擊預防及應對等活動的實際情況進行評價,并可為此設立網絡安全實態(tài)聯(lián)合評價團。

(7)網絡安全威脅信息共享。法案規(guī)定,國家情報院建立網絡安全威脅信息共享中心,就網絡攻擊方法、惡性程序、信息通信網絡、信息通信器材和軟件安全缺陷等的相關信息、其他預防網絡攻擊的信息進行共享。

(8)網絡危機應對演練。法案規(guī)定,為應對網絡危機,上級責任機構可定期實施網絡危機應對演練。國家情報院對上級責任機構應對網絡危機進行演練。

3.網絡安全應對體系

(9)網絡攻擊的探測。法案規(guī)定,為迅速有效應對網絡攻擊,國家情報院和中央行政機關協(xié)調構建國家層面的網絡攻擊探測應對體系。責任機構設立網絡空間網絡攻擊探測、應對機構——安全管制中心。安全管制中心可在網絡攻擊探測、對應所需的范圍內,收集和利用個人信息。

(10)網絡攻擊事故的通報和調查。法案建立網絡攻擊導致的事故通報及調查體系,責任機構在發(fā)生網絡攻擊事故時,應向其上級機構通報,上級機構應迅速進行事故原因分析,調查確認其損失并防止類似事件再次發(fā)生,有必要的可請求支援機構提供技術支援。在調查過程中,發(fā)現存在網絡攻擊相關的惡性程序或感染惡性程序的電子信息時,可要求電腦、網站或軟件等管理員刪除或屏蔽。

(11)網絡危機警報的發(fā)布。法案規(guī)定,國家情報院發(fā)布國家層面系統(tǒng)性地應對網絡危機的警報,中央行政機關發(fā)布管理領域內的網絡危機警報,并立即采取損失最小化和恢復措施。

(12)網絡危機對策本部。法案規(guī)定,在網絡危機警報達到規(guī)定級別或網絡攻擊將產生極其嚴重損害的情況下,組建由責任機構、支援機構和調查機構參與的網絡危機對策本部,對網絡攻擊迅速采取原因分析、事故調查、緊急應對、災害恢復等措施。

4. 其他

(13)《個人信息保護法》的排除適用。法案規(guī)定,為網絡安全處理個人信息,可排除適用《個人信息保護法》的規(guī)定。但是,仍應遵循個人信息處理最有限的目的必要性、采取安全措施等要求。[6]

三、對法案的認識1.法案提升網絡安全管理機構的層級,確立國家網絡安全委員會的統(tǒng)領地位。目前根據《國家網絡安全管理規(guī)定》,國家情報院和相關國家行政機關協(xié)調負責網絡安全政策和管理,國家情報院設立由多個中央行政機關參與的國家網絡安全戰(zhàn)略會議,審議國家網絡安全相關的重要事項。國家情報院還下設國家網絡安全中心(NCSC- National Cyber Security Center)負責網絡安全具體事務。而《國家網絡安全法案》統(tǒng)合了目前機構職能,設立了總統(tǒng)所屬的國家網絡安全委員會,層級更高、作用將更突顯。

2.法案堅持了現有機構職責的基本劃分架構。法案有關主管部門的規(guī)定,延續(xù)了國家情報院負責公共部門的網絡安全、未來創(chuàng)造科學部負責民間領域的網絡安全管理事項的基本職責分工,保持了與其他網絡安全相關法律的統(tǒng)一性。

3. 法案加大了國家情報院的職權,引發(fā)擔憂。相較《國家網絡安全管理規(guī)定》,法案擴大了國家情報院的職權,如對國家網絡安全實務委員會的運作、執(zhí)行網絡安全基本計劃、進行網絡實態(tài)評價、建立網絡安全事故通報和調查體系、參與網絡危機對策本部的組建等。這些職權可能使得國家情報院加大對國民權利的干預,如通過排除適用《個人信息保護法》而對用戶進行監(jiān)視,通過對行政部門、公共機構、安全企業(yè)等的影響力,而將權力延伸到民間領域的信息通信網絡。[7]

作者簡介:姚財福,中國信息通信研究院工業(yè)和信息化法律服務中心副主任。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號