韓政府推出網絡安全保障組合拳

（來源：法治日報）

轉自：法治日報

□ 本報駐韓國記者 王剛 　　近期，韓國網絡安全領域警報持續拉響。Sk電信、韓國電信、樂天信用卡等知名企業及就業門户網站Incruit接連遭遇黑客攻擊，導致海量個人信息外泄、小額支付系統失控等嚴重事故，不僅給民眾財產安全和信息權益造成損害，也引發各界對網絡安全防護能力的廣泛擔憂。面對嚴峻的網絡安全形勢，韓國多部門迅速聯動，推出跨部門信息保護綜合對策，通過強化調查權限、加大處罰力度、擴大企業公示義務等多重舉措，全力遏制網絡攻擊亂象。

出臺綜合對策破解困局

　　為應對黑客攻擊頻發的「嚴重危機狀況」，韓國政府於10月22日由科學技術信息通信部、企劃財政部、金融委員會等多部門聯合公佈跨部門信息保護綜合對策（又被稱為「網絡安全保障對策」），明確將啟動以國家安保室為中心的靈活應對機制，全方位升級網絡安全管控。 　　針對部分企業因擔心聲譽受損而隱瞞網絡攻擊事件的「行業慣例」，韓國政府調整監管規則，賦予調查部門更大權限。新規明確，一旦監測到黑客入侵跡象，即便企業未主動申報，相關部門也可直接開展現場調查，打破「民不舉、官不究」的被動局面。同時，為壓實企業主體責任，韓國政府大幅強化對違規行為的處罰力度：對拖延申報網絡安全事件、未落實整改措施防止事故復發、反覆泄露個人及信用信息等違反信息安全保障義務的行為，除提高原有罰款金額外，還將設立迟延履行金和懲戒性罰款，以經濟槓桿倒逼企業重視信息保護。 　　在系統防護層面，韓國政府計劃對公共、金融、通信等與國民生活密切相關領域的1600多個信息技術（IT）系統展開全面安全檢查。針對近期因黑客襲擊而損失嚴重的大型電信運營商，將實施模擬黑客攻擊的高強度突擊檢查，精準排查安全漏洞。此外，鑑於微蜂窩基站（Femtocell）在近期攻擊事件中被黑客惡意利用的情況，政府要求電信業界為主要IT資產建立識別管理系統，並停用無安全保障的相關設備，從硬件層面阻斷安全隱患。 　　為切實保護消費者權益，韓國政府還將制定通信、金融領域的用户保護手冊，減輕黑客事件發生后消費者的舉證負擔。針對被批為「一紙空文」的信息安全管理認證制度，將以現場審覈為核心強化事后管理，並推動將企業CEO的安全保障責任原則納入法律，構建「自上而下」的責任落實體系。

倒逼企業加大安全投入

　　今年以來，Sk電信、韓國電信、Yes24購物平臺、樂天信用卡等眾多韓國知名企業接連成為黑客攻擊目標，暴露出企業信息安全防護的短板，也促使韓國政府下定決心擴大監管覆蓋面，倒逼企業加大安全投入。 　　根據新公佈的綜合對策，從明年上半年起，韓國所有上市公司都需公開信息保護相關情況，包括對保安部門的投資額、專業人力配置等核心信息。此前，信息保護公示義務僅適用於年銷售額超過3000億韓元（1韓元約合人民幣0.005元）的企業或日使用者超過100萬人的IT服務企業，共計666家；新規實施后，公示義務對象將增至2700余家，幾乎覆蓋韓國主要企業羣體。韓國政府表示，通過強制公開信息保護現狀，既能提升企業信息安全工作的透明度，也能形成行業內的良性競爭，推動企業主動加大在網絡安全領域的資源投入。 　　針對現行法律中泄露個人信息罰款上限（企業營業額的3%）被外界詬病「懲戒力度不足」的問題，韓國政府計劃借鑑英國等國經驗，引入懲罰性罰款制度並提高處罰上限——英國目前將泄露個人信息罰款上限定為企業營業額的10%，韓國將參照這一標準優化處罰規則，讓違法成本顯著高於違法收益。 　　在強化企業責任的同時，韓國政府也正視自身在公共信息保護中的職責，計劃從明年第一季度開始加大對公共信息的保護力度，包括增加財政投入、僱傭更多專業技術人員等。綜合對策公佈次日，韓國政府已啟動對通信、金融、主要公共服務等領域1600多個IT系統的針對性檢查。 　　對於此次新規，韓國誠信女子大學融合安全工學系教授洪俊浩給予部分肯定：「強化企業負責人的個人信息保護責任、擴大信息保護公示範圍，這些舉措抓住了關鍵。但現實挑戰不容忽視——目前公示對象企業中，網絡安全人力不足5人的企業佔比高達70%，如何引導企業充實安全專業人才隊伍，還需要配套政策支持。」

嚴懲違規企業推動補償

　　韓國跨部門信息保護綜合對策公佈后，相關部門迅速展開執法行動，多家違規企業被依法處罰，部分受黑客攻擊影響的企業也主動推出補償方案，迴應民眾關切。 　　10月23日，韓國個人信息保護委員會宣佈，對今年1月至2月發生嚴重個人信息泄露事件的就業門户網站Incruit處以4.63億韓元罰款，並要求其新指定專門的高級別信息保護負責人，建立長效防護機制，防止類似事故重演。據悉，Incruit此次泄露的會員個人信息多達728萬條，數據量達438GB，涵蓋會員的姓名、性別、手機號碼、學歷、經歷、照片等18項敏感信息。黑客通過將惡性代碼植入公司職員的電腦，逐步滲透至內部數據庫，耗時一個月完成信息竊取；而Incruit在事故發生期間，未及時發現異常的數據庫連接和大容量流量，直到兩個月后收到黑客威脅郵件才知曉信息泄露事實。 　　此外，針對小額支付系統受到黑客攻擊的受害者，韓國電信於10月29日公佈最新補償方案。該公司負責人金英燮在國會接受國政監查時表示，正推進以全體顧客為對象的USIM卡更換工作，目前已進入收尾階段，待11月4日理事會表決通過后將立即實施。同時，韓國電信還推出追加補償計劃，面向22227名個人信息遭泄露進而利益受損的顧客，在5個月內提供100GB免費移動流量，此外還將給予相當於15萬韓元的通信費折扣，併爲有換機需求的顧客提供金額不等的購機優惠。 　　從強化監管執法到倒逼企業加大投入，再到嚴懲違規行為、推動受害者補償，韓國政府此次推出的網絡安全保障組合拳，覆蓋了「預防—監管—處罰—善后」全鏈條。但如何持續提升企業防護能力、充實專業人才隊伍、應對不斷升級的黑客攻擊手段，仍是韓國后續需要攻克的難題。