2017年1月3日，韓國政府向國會正式提交了《國家網絡安全法案》(????????)(議案第2004955號)。[1]

一、立法理由和進程韓國推進制定《國家網絡安全法案》主要理由包括：一是當前公共和民間領域的網絡攻擊帶來了巨大的經濟損失、引發社會混亂，并威脅著國家安全。二是韓國目前網絡安全管理和應對體系主要由現行的《國家網絡安全管理規定》(National Cyber Security Management Regulation)(2013年9月2日總統訓令第316號修訂)調整。但《國家網絡安全管理規定》屬于總統訓令形式的行政規則，并非國會制定的法律，僅規定行政、立法、司法等公共部門的職責，不能覆蓋民間領域的網絡安全管理。三是雖然《信息通訊基礎設施保護法》、《產業技術的泄露防止和保護等相關法》、《防衛產業技術保護法》等有關法律從特定領域對網絡安全作了規定,但涉及的行業主管機關和網絡安全保護法律程序和方法不同,當發生大規模網絡攻擊時，難以統一協調、迅速應對。[2]為此，有必要制定一部法律位階更高的網絡安全法律，建立國家整體層面的有效預防和應對網絡攻擊的體系，全面保障公共和民間領域網絡安全。

2016年9月1日，國家情報院就其擬定的《國家網絡安全基本法案》進行立法預告(9月1日—10月11日)，征求社會意見。[3]2016年12月,法案更名為《國家網絡安全法案》，并在國務會議上表決通后，[4]于1月向國會完成了提交。

其實，韓國一直努力推進網絡安全相關法律的制定。17屆國會期間，2006年12月,國會議員就提出了《網絡危機預防與應對法案》;18屆國會期間，《國家網絡危機管理法案》提交到國會;目前19屆國會是網絡安全相關法案提出的最活躍期,包括2013年3月《國家網絡安全管理法案》、2013年4月《國家網絡反恐法案》、2015年5月《網絡威脅信息共享法案》、2015年6月《網絡恐怖活動預防與應對法案》提交到了國會審議。[5]

二、法案主要內容《國家網絡安全法案》旨在防止威脅國家安全的網絡攻擊,迅速積極應對網絡危機，為保障國家安全及國民利益做出貢獻(第1條)。法案共6章23條，主要內容如下：

1.國家網絡安全推進機制

(1)設立國家網絡安全委員會。法案規定設立總統下屬的國家網絡安全委員會(以下簡稱“委員會”)，負責審議國家網絡安全政策和戰略、網絡安全相關制度和法令的改善、網絡安全中長期基本計劃、對策等重要事項。委員會下設國家網絡安全委員會實務委員會負責具體審查工作。委員會由委員長在內的20名以內的委員組成。委員長由國家安保室室長擔任,其他各委員來自國家行政機關和具有網絡安全的專業知識和經驗的人員。

(2) 確立負責網絡安全保護的責任機構(以下簡稱“責任機構”)。法案明確了從中央到地方、從行政部門到研究機構、企業等具體負責網絡安全保護的機構，包括國會、法院、憲法裁判所、中央選舉管理委員會的行政事務處理機關和中央行政機關及其所屬機關、地方政府部門、軍隊部門、公共機構、地方公社和地方工業園區、關鍵信息基礎設施管理機構、國家核心技術所有或管理機構、軍工企業和專門研究機構、防衛產業技術所有機構等。

(3)設定網絡空間保護技術支援機構。法案規定，上述責任機構確定相關領域的機關或團體作為支援機構為網絡空間保護提供技術支持，包括韓國電子通信研究院、韓國互聯網振興院、韓國地區信息開發院、韓國教育學術信息院、韓國財政信息院、金融委員會指定的應對機構、產業技術保護協會、韓國信息保護產業協會、網絡安全專門企業及國家情報院指定的相關機構等。技術支持的范圍包括網絡攻擊的探測及對應、網絡攻擊導致的事故調查、損失最小化及災后恢復的措施、網絡危機對策本部的原因分析等的措施。國家情報院和中央行政機關聯合對支援機構的技術支持進行實態檢查。

(4)指定網絡安全專門企業和研究機構。法案規定，為了網絡空間保護，未來創造科學部可指定并管理與網絡空間保護相關的符合設施、人力、業績等規定標準的機構或團體為網絡安全專門企業。而為了網絡安全所需的政策和技術的研發,由國家情報院設立或指定網絡安全研究機構。

2. 網絡安全預防機制

(5)網絡安全基本計劃。法案規定，國家情報院每3年制定并經過委員會審議的網絡安全基本計劃，基本計劃包含網絡安全政策的目標和推進方向、網絡安全相關制度及法令的改善、網絡攻擊的預防及應對、網絡安全政策、技術的研發、網絡安全相關的教育和培訓等事項。

(6)網絡安全實態評價。法案規定，國家情報院對責任機構有關網絡安全事務執行體系的構筑、網絡攻擊預防及應對等活動的實際情況進行評價，并可為此設立網絡安全實態聯合評價團。

(7)網絡安全威脅信息共享。法案規定，國家情報院建立網絡安全威脅信息共享中心，就網絡攻擊方法、惡性程序、信息通信網絡、信息通信器材和軟件安全缺陷等的相關信息、其他預防網絡攻擊的信息進行共享。

(8)網絡危機應對演練。法案規定，為應對網絡危機，上級責任機構可定期實施網絡危機應對演練。國家情報院對上級責任機構應對網絡危機進行演練。

3.網絡安全應對體系

(9)網絡攻擊的探測。法案規定，為迅速有效應對網絡攻擊，國家情報院和中央行政機關協調構建國家層面的網絡攻擊探測應對體系。責任機構設立網絡空間網絡攻擊探測、應對機構——安全管制中心。安全管制中心可在網絡攻擊探測、對應所需的范圍內,收集和利用個人信息。

(10)網絡攻擊事故的通報和調查。法案建立網絡攻擊導致的事故通報及調查體系，責任機構在發生網絡攻擊事故時，應向其上級機構通報，上級機構應迅速進行事故原因分析,調查確認其損失并防止類似事件再次發生，有必要的可請求支援機構提供技術支援。在調查過程中,發現存在網絡攻擊相關的惡性程序或感染惡性程序的電子信息時，可要求電腦、網站或軟件等管理員刪除或屏蔽。

(11)網絡危機警報的發布。法案規定，國家情報院發布國家層面系統性地應對網絡危機的警報，中央行政機關發布管理領域內的網絡危機警報，并立即采取損失最小化和恢復措施。

(12)網絡危機對策本部。法案規定，在網絡危機警報達到規定級別或網絡攻擊將產生極其嚴重損害的情況下，組建由責任機構、支援機構和調查機構參與的網絡危機對策本部，對網絡攻擊迅速采取原因分析、事故調查、緊急應對、災害恢復等措施。

4. 其他

(13)《個人信息保護法》的排除適用。法案規定，為網絡安全處理個人信息，可排除適用《個人信息保護法》的規定。但是，仍應遵循個人信息處理最有限的目的必要性、采取安全措施等要求。[6]

三、對法案的認識1.法案提升網絡安全管理機構的層級，確立國家網絡安全委員會的統領地位。目前根據《國家網絡安全管理規定》，國家情報院和相關國家行政機關協調負責網絡安全政策和管理，國家情報院設立由多個中央行政機關參與的國家網絡安全戰略會議，審議國家網絡安全相關的重要事項。國家情報院還下設國家網絡安全中心(NCSC- National Cyber Security Center)負責網絡安全具體事務。而《國家網絡安全法案》統合了目前機構職能，設立了總統所屬的國家網絡安全委員會，層級更高、作用將更突顯。

2.法案堅持了現有機構職責的基本劃分架構。法案有關主管部門的規定，延續了國家情報院負責公共部門的網絡安全、未來創造科學部負責民間領域的網絡安全管理事項的基本職責分工，保持了與其他網絡安全相關法律的統一性。

3. 法案加大了國家情報院的職權，引發擔憂。相較《國家網絡安全管理規定》，法案擴大了國家情報院的職權，如對國家網絡安全實務委員會的運作、執行網絡安全基本計劃、進行網絡實態評價、建立網絡安全事故通報和調查體系、參與網絡危機對策本部的組建等。這些職權可能使得國家情報院加大對國民權利的干預，如通過排除適用《個人信息保護法》而對用戶進行監視，通過對行政部門、公共機構、安全企業等的影響力，而將權力延伸到民間領域的信息通信網絡。[7]

作者簡介：姚財福，中國信息通信研究院工業和信息化法律服務中心副主任。