2017年1月3日，韩国政府向国会正式提交了《国家网络安全法案》(국가사이버안보법)(议案第2004955号)。[1]

一、立法理由和进程韩国推进制定《国家网络安全法案》主要理由包括：一是当前公共和民间领域的网络攻击带来了巨大的经济损失、引发社会混乱，并威胁着国家安全。二是韩国目前网络安全管理和应对体系主要由现行的《国家网络安全管理规定》(National Cyber Security Management Regulation)(2013年9月2日总统训令第316号修订)调整。但《国家网络安全管理规定》属于总统训令形式的行政规则，并非国会制定的法律，仅规定行政、立法、司法等公共部门的职责，不能覆盖民间领域的网络安全管理。三是虽然《信息通讯基础设施保护法》、《产业技术的泄露防止和保护等相关法》、《防卫产业技术保护法》等有关法律从特定领域对网络安全作了规定,但涉及的行业主管机关和网络安全保护法律程序和方法不同,当发生大规模网络攻击时，难以统一协调、迅速应对。[2]为此，有必要制定一部法律位阶更高的网络安全法律，建立国家整体层面的有效预防和应对网络攻击的体系，全面保障公共和民间领域网络安全。

2016年9月1日，国家情报院就其拟定的《国家网络安全基本法案》进行立法预告(9月1日—10月11日)，征求社会意见。[3]2016年12月,法案更名为《国家网络安全法案》，并在国务会议上表决通后，[4]于1月向国会完成了提交。

其实，韩国一直努力推进网络安全相关法律的制定。17届国会期间，2006年12月,国会议员就提出了《网络危机预防与应对法案》;18届国会期间，《国家网络危机管理法案》提交到国会;目前19届国会是网络安全相关法案提出的最活跃期,包括2013年3月《国家网络安全管理法案》、2013年4月《国家网络反恐法案》、2015年5月《网络威胁信息共享法案》、2015年6月《网络恐怖活动预防与应对法案》提交到了国会审议。[5]

二、法案主要内容《国家网络安全法案》旨在防止威胁国家安全的网络攻击,迅速积极应对网络危机，为保障国家安全及国民利益做出贡献(第1条)。法案共6章23条，主要内容如下：

1.国家网络安全推进机制

(1)设立国家网络安全委员会。法案规定设立总统下属的国家网络安全委员会(以下简称“委员会”)，负责审议国家网络安全政策和战略、网络安全相关制度和法令的改善、网络安全中长期基本计划、对策等重要事项。委员会下设国家网络安全委员会实务委员会负责具体审查工作。委员会由委员长在内的20名以内的委员组成。委员长由国家安保室室长担任,其他各委员来自国家行政机关和具有网络安全的专业知识和经验的人员。

(2) 确立负责网络安全保护的责任机构(以下简称“责任机构”)。法案明确了从中央到地方、从行政部门到研究机构、企业等具体负责网络安全保护的机构，包括国会、法院、宪法裁判所、中央选举管理委员会的行政事务处理机关和中央行政机关及其所属机关、地方政府部门、军队部门、公共机构、地方公社和地方工业园区、关键信息基础设施管理机构、国家核心技术所有或管理机构、军工企业和专门研究机构、防卫产业技术所有机构等。

(3)设定网络空间保护技术支援机构。法案规定，上述责任机构确定相关领域的机关或团体作为支援机构为网络空间保护提供技术支持，包括韩国电子通信研究院、韩国互联网振兴院、韩国地区信息开发院、韩国教育学术信息院、韩国财政信息院、金融委员会指定的应对机构、产业技术保护协会、韩国信息保护产业协会、网络安全专门企业及国家情报院指定的相关机构等。技术支持的范围包括网络攻击的探测及对应、网络攻击导致的事故调查、损失最小化及灾后恢复的措施、网络危机对策本部的原因分析等的措施。国家情报院和中央行政机关联合对支援机构的技术支持进行实态检查。

(4)指定网络安全专门企业和研究机构。法案规定，为了网络空间保护，未来创造科学部可指定并管理与网络空间保护相关的符合设施、人力、业绩等规定标准的机构或团体为网络安全专门企业。而为了网络安全所需的政策和技术的研发,由国家情报院设立或指定网络安全研究机构。

2. 网络安全预防机制

(5)网络安全基本计划。法案规定，国家情报院每3年制定并经过委员会审议的网络安全基本计划，基本计划包含网络安全政策的目标和推进方向、网络安全相关制度及法令的改善、网络攻击的预防及应对、网络安全政策、技术的研发、网络安全相关的教育和培训等事项。

(6)网络安全实态评价。法案规定，国家情报院对责任机构有关网络安全事务执行体系的构筑、网络攻击预防及应对等活动的实际情况进行评价，并可为此设立网络安全实态联合评价团。

(7)网络安全威胁信息共享。法案规定，国家情报院建立网络安全威胁信息共享中心，就网络攻击方法、恶性程序、信息通信网络、信息通信器材和软件安全缺陷等的相关信息、其他预防网络攻击的信息进行共享。

(8)网络危机应对演练。法案规定，为应对网络危机，上级责任机构可定期实施网络危机应对演练。国家情报院对上级责任机构应对网络危机进行演练。

3.网络安全应对体系

(9)网络攻击的探测。法案规定，为迅速有效应对网络攻击，国家情报院和中央行政机关协调构建国家层面的网络攻击探测应对体系。责任机构设立网络空间网络攻击探测、应对机构——安全管制中心。安全管制中心可在网络攻击探测、对应所需的范围内,收集和利用个人信息。

(10)网络攻击事故的通报和调查。法案建立网络攻击导致的事故通报及调查体系，责任机构在发生网络攻击事故时，应向其上级机构通报，上级机构应迅速进行事故原因分析,调查确认其损失并防止类似事件再次发生，有必要的可请求支援机构提供技术支援。在调查过程中,发现存在网络攻击相关的恶性程序或感染恶性程序的电子信息时，可要求电脑、网站或软件等管理员删除或屏蔽。

(11)网络危机警报的发布。法案规定，国家情报院发布国家层面系统性地应对网络危机的警报，中央行政机关发布管理领域内的网络危机警报，并立即采取损失最小化和恢复措施。

(12)网络危机对策本部。法案规定，在网络危机警报达到规定级别或网络攻击将产生极其严重损害的情况下，组建由责任机构、支援机构和调查机构参与的网络危机对策本部，对网络攻击迅速采取原因分析、事故调查、紧急应对、灾害恢复等措施。

4. 其他

(13)《个人信息保护法》的排除适用。法案规定，为网络安全处理个人信息，可排除适用《个人信息保护法》的规定。但是，仍应遵循个人信息处理最有限的目的必要性、采取安全措施等要求。[6]

三、对法案的认识1.法案提升网络安全管理机构的层级，确立国家网络安全委员会的统领地位。目前根据《国家网络安全管理规定》，国家情报院和相关国家行政机关协调负责网络安全政策和管理，国家情报院设立由多个中央行政机关参与的国家网络安全战略会议，审议国家网络安全相关的重要事项。国家情报院还下设国家网络安全中心(NCSC- National Cyber Security Center)负责网络安全具体事务。而《国家网络安全法案》统合了目前机构职能，设立了总统所属的国家网络安全委员会，层级更高、作用将更突显。

2.法案坚持了现有机构职责的基本划分架构。法案有关主管部门的规定，延续了国家情报院负责公共部门的网络安全、未来创造科学部负责民间领域的网络安全管理事项的基本职责分工，保持了与其他网络安全相关法律的统一性。

3. 法案加大了国家情报院的职权，引发担忧。相较《国家网络安全管理规定》，法案扩大了国家情报院的职权，如对国家网络安全实务委员会的运作、执行网络安全基本计划、进行网络实态评价、建立网络安全事故通报和调查体系、参与网络危机对策本部的组建等。这些职权可能使得国家情报院加大对国民权利的干预，如通过排除适用《个人信息保护法》而对用户进行监视，通过对行政部门、公共机构、安全企业等的影响力，而将权力延伸到民间领域的信息通信网络。[7]

作者简介：姚财福，中国信息通信研究院工业和信息化法律服务中心副主任。