翻譯 | 韓國數據治理方式:如何打造第三條道路
摘 要
韓國在數據治理方面開辟了獨特的國家治理模式,并推動了相關科技業務模式和監管框架的發展。20多年來,雖然韓國政府在建設國家寬帶網絡和促進數字技術應用方面做了大量工作,但其仍然面臨著三個關鍵挑戰:一是政府、銀行、醫療衛生等網絡服務需要韓 國打造一個完善的網絡認證生態系統;二是跨行業和社會的密集數字化,使韓國易受到網絡安全問題的威脅;三是作為世界上最依賴貿易的經濟體之一,韓國對商品、資本、人員和技術跨境流動的高度依賴,使其需要建立一個與主要經濟伙伴國家相匹配的數據監管框架。為了應對這些挑戰,韓國在與數據相關的三個關鍵領域制定了連貫一致的政策,即開發有效的在線認證識別系統,應對網絡威脅并增強數據彈性,以及促進數據跨境自由流動的同時保護韓國公民的個人隱私。
內容目錄:
1 信任技術:韓國的在線身份認證與數據訪問控制
1.1 韓國領先的信息通信技術環境
1.2 在線認證系統方案的演變與發展
1.3 數據訪問控制
1.4 數據本地化
2 韓國的網絡安全與數據彈性(Data Resilience)政策
2.1 網絡安全治理框架
2.2 網絡安全政策
2.3 網絡安全能力
2.4 網絡安全治理的主要特征和實踐
3 韓國的數據保護與跨境數據流動 政策
3.1 數據保護與隱私法律框架
3.2 隱私和數據保護法的實施
3.3 個人數據跨境流動
3.4 韓國數據保護與跨境數據流動的經驗教訓
3.5 韓國對互聯網互聯模式的挑戰
2021 年 8 月17 日,卡內基國際和平基金會發布了一份題為《韓國數據治理方式:世界在線率最高國家如何打造第三條道路》的研究報告。報告認為,除中美等大國在全球數字治理 政策塑造中扮演重要角色外,印度、日本、韓國等國家也在積極參與,國際互聯網治理已經成為一種新的地緣政治競爭。該報告系統梳理 了韓國數字政策的框架、標準和模式,并著重分析了韓國數據治理的獨特方式與經驗教訓。本文特編譯了報告的核心內容,以供決策者和研究者進行國別比較和借鑒有益經驗。
01、信任技術:韓國的在線身份認證與數據訪問控制
報告指出,信息通信技術(ICT),特別是互聯網和云計算正在逐漸成為經濟和社會的基 礎。然而,數字技術的廣泛應用也助長了網絡 犯罪、虛假信息、數據泄漏以及網絡間諜等活動。韓國政府認識到,建立更加完善的在線認證系統可以有效防止此類事件的發生。為此,韓國試驗了多種在線身份認證方案并推出了一系列數據訪問控制的政策。
1.1 韓國領先的信息通信技術環境
韓國被認為是全球信息通信技術基礎設施 最先進的國家之一。自 2009 年 以來,在國際電信聯盟信息通信技術發展指數中,韓國一 直位居前列, 其地理和人口優勢一直支持著 信息通信技術的快速發展。截至 2020 年 12 月,韓國的互聯網和智能手機的普及率位居世界第一。同時,在聯合國電子政務發展指數中,韓國也一直位居榜首。韓國的信息通信技術政策是在明確的政府主導戰略下實施的,并在基礎設施建設方面取得重大成效。領先的信息通信技術環境推動韓國形成了獨特的數據治理方式。
1.2 在線認證系統方案的演變與發展
由于居民登記號(Resident Registration Number, RRN)是分配給每個韓國國民的唯一身份識別 號碼,因此韓國最初的在線身份識別是以居民登記號為中心,并于 21 世紀初開始在網上得到 廣泛應用。隨著互聯網的快速發展,過度收集 居民登記號導致了個人信息泄漏日益嚴重。2004年,韓國開始推出“基于國家公鑰基礎設施的授權證書”(NPKI-based Authorization Certificate, AC) ,并將其作為一種啟用居民登記號標識的 替代方案。考慮到居民登記號數據泄露的風險,韓國政府又于2006 年設立并分發了互聯網個人識別號碼(I-PIN)系統,作為在線身份認證的 替代手段。由于 I-PIN 采用了基于ID/ 密碼的身份驗證方式,因此需要采取額外的強制安全措施。然而,這些互補性的安全措施導致 I-PIN 的 使用比私人身份認證服務更加不便。從 2012 年 8 月開始,韓國禁止通過居民登記號進行在線身 份認證, 但 I-PIN 和國家公鑰基礎設施也沒有 得到廣泛應用。2012 年 12 月,韓國廣播通信委 員會(KCC)決定授權三家移動網絡運營商提供 認證服務。2017 年,韓國廣播通信委員會又將 7 家主要信用卡公司指定為新的在線身份認證機 構。這些私營部門部署的解決方案比以前政府 主導的方案得到了更廣泛的應用,同時也促進 了韓國電子商務、電子政務以及移動應用程序的發展。2020 年 12 月,韓國政府又采用了混合在線認證環境,使得各種驗證手段都可以一起使用。
1.3 數據訪問控制
提高公共數據獲取的便利性,既有利于滿 足公眾的知情權,又能夠發展增加經濟價值的 新服務。然而,過度信息公開又可能導致個人數據濫用、侵犯隱私等問題。在政府數據開放 政策的框架下,韓國率先實施了多種公共數據訪問控制的方法。
(1)公共數據。為了保障國民的知情權以 及國家事務的透明度,韓國于1996 年制定了《公共機構信息公開法案》,規定了公共機構信息公開義務的必要事項和形式。隨著智能手機的普及, 以及隨之而來的大量數據和新應用程序,公共信息的范式也發生了巨大變化。為此,韓國于 2011 年出臺了《公共信息和公共數據門戶 服務指南》,并于 2013 年頒布了《政府 3.0 基 本規劃》和《公共數據公開與利用法案》。2016 年,韓國政府又制定了《電子政務 2020 年基本計劃》,以改善公共數據的訪問。2021 年 2 月,韓國政府成立了“數據 119 項目”(Data 119 Project),并發布了一項旨在利用開放數 據重振數字經濟的數據戰略。同時,該戰略還 要求修改《個人信息保護法》《信息通信技術與安全法》和《信用信息保護法》,推出 9 項 新的數據服務和 11 項行動任務,包括成立一個 特別數據委員會,以期通過提高數據保護水平 獲得歐盟《通用數據保護條例》(GDPR)的充 分性認定。此外,為了實現公共數據訪問控制,韓國政府于 2002 年成立了電子政府特別委員會,研究建立電子政府服務的政策及措施。2005 年,韓國科技信息通信部在大田市設立了政府綜合計算中心,后于 2017 年更名為國家信息資源管理處。
(2)私人數據。韓國政府關于個人數據 相關規定,如歐盟一樣強調以保護為主,限制 收集個人身份信息和未經授權的使用。直到 2001 年,韓國政府才修改了《信息通信技術振 興法》,正式列入個人信息保護相關的各項規 定。2011 年,韓國制定了《個人信息保護法》(PIPA),正式建立了個人信息管理制度。PIPA 將個人信息定義為可單獨或與其他信息結合用于識別與該信息關聯人的信息。因此,各種類型的個人信息,如互聯網協議地址和媒 體訪問控制地址均被視為個人信息,在使用中 都受到了一定的限制。為了應對歐盟的《通用 數據保護條例》和第四次產業革命,韓國政府 通過不斷修訂法律加強對個人信息保護,同時引入了使用非身份性個人信息(Nonidentifying Personal Information) 的概念,提供基于數據可 攜性的一站式服務。
1.4 數據本地化
韓國關于個人數據訪問的另一個問題是數 據跨境訪問與流動。雖然在《信息通信技術和安全法案》中早有涉及海外個人信息的條款,但該條款并沒有解決數據跨境流動的問題。由于韓國的監管環境較為保守,《個人資料管理條例》第十七條也只是允許在臨時情況下可以將個人資料轉移到國外,而且在向其他國家傳 輸數據時,必須征取數據主體的同意。但是,第十七條并沒有詳細規定其他國家在進行數據處理時必須提供的保護級別,以及必須實施的額外保護措施。
02、韓國的網絡安全與數據彈性(Data Resilience)政策
韓國雖然是世界上數字化程度最高的國家 之一, 但也很容易遭到網絡攻擊。過去 30 年里, 韓國不斷制定和完善網絡安全政策,增強公共 機構和私營部門應對網絡威脅的能力。
2.1 網絡安全治理框架
韓國關于網絡安全治理主要由三個部分組成:一是韓國國家情報院(National Intelligence Service,NIS)下屬的國家網絡安全中心(NCSC)主要負責政府部門和公共機構的網絡安全管理;二是韓國科學和信息通信技術部負責私營部門 的網絡安全管理;三是針對特定部門的網絡安全管理。近些年來,韓國又對其網絡安全治理 框架進行了重大改革。自2015年開始,直接向總統匯報的國家安全委員會(NSC)負責統籌協調網絡安全事宜。國家安全委員會下轄國家網絡安全中心、科學和信息通信技術部以及國防部網絡司令部,分別負責公共機構、私營部門以及國防部門的網絡安全。(如圖 1 所示)
圖 1 韓國網絡安全治理框架
2.2 網絡安全政策
為了保護關鍵信息基礎設施不受網絡威脅和攻擊,韓國于2001年制定了《關鍵信息基礎 設施保護法》(CIIP) ,并在國務總理室設立了關鍵信息基礎設施保護委員會,協調各部門之 間的相關事宜。根據該法案,核電站系統、交通系統、商業銀行網絡等 400 多個設施被認定 為關鍵信息基礎設施。2019 年,韓國政府發布 了《國家網絡安全戰略》,提出了六大戰略支柱, 即提高國家重點基礎設施安全、增強網絡攻擊 應對能力、實施基于信任與合作的網絡治理、發展網絡安全產業、培育網絡安全文化以及引領網絡安全國際合作。隨后,韓國又發布了《國家網絡安全基本規劃》,作為《國家網絡安全 戰略》的具體方案。韓國一直致力于實施推進《網絡安全基本法》,明確各機構的角色和職責, 建立全國性的網絡安全框架。2020 年,韓國修改了《國家情報院法》,制定了《網絡安全業務條例》,確定了國家情報院在網絡安全中的作用和地位。此外, 為了推動疫情后的經濟恢復,韓國于2020年7月發布了“韓國新政”(Korean New Deal),其中有兩項涉及網絡安全的數字新政項目,即利用 5G 和人工智能建設智慧政府項目和推進網絡安全項目。
2.3 網絡安全能力
韓國開發了“全球網絡安全能力評估” (GCCA)工具,通過與其他國家的比較來分析 韓國的網絡安全能力, 并為網絡安全相關決策提供基礎數據支持。韓國網絡安全能力需要改進的要素主要包括國家危機管理政策、網絡安全法規、網絡犯罪規制、標準制定和實施,以及教育項目等。雖然韓國政府于 2019 年發布了《國 家網絡安全戰略》和《國家網絡安全基本計劃》, 明確提出了18 個核心課題和 100 個具體課題等 相關實施計劃 。但是,韓國政府并沒有為每個任務分配優先級。因此,根據對韓國的全球網絡安全能力評價的分析,韓國需要確定優先關注的評價指標,并提高各級任務的實施效率。
2.4 網絡安全治理的主要特征和實踐
在應對網絡攻擊方面,韓國既明確了各主要機構的責任,又制定了和平時期和危機時期 預防以及應對網絡威脅的法律和政策。韓國的能源、水利、交通等關鍵基礎設施大部分被認定為公共機構,并由國家集中運營,因而在增 強關鍵基礎設施網絡安全方面,私營部門的作用雖然至關重要,但比許多其他國家要小。韓 國主要是由國家統一負責收集和共享基礎設施 威脅相關信息,并應對針對關鍵基礎設施的網絡攻擊。因此,韓國可以有效制定和實施關于關鍵基礎設施的網絡安全政策。在網絡安全治理架構層面,韓國的網絡安全治理主要涉及公 共部門、私營部門和軍隊,并設立以國家安全委員會為控制塔的合作框架,國家情報院則一直處于其中的核心地位。在網絡安全實踐層面,自 2003 年網絡中斷事件之后,韓國建立了強制備份制度和 DDoS 攻擊主動應對系統。同時,韓國政府于2004年 1月修改了《信息通信網法》,將信息保護的安全檢查規定義務化,不斷加強 私營部門的信息保護。2006 年,韓國又在中央政府部門引入了網絡分離制度,之后又擴大了網絡分離的范圍,推動公共部門內部網絡和外部網絡的分離。
03、韓國的數據保護與跨境數據流動政策
盡管數據獲取及共享對于實現數字轉型和 驅動創新越來越重要,但由于數據獲取障礙的 不斷增加,尤其是很多國家實行了數據本地化 措施,要求數據必須在本國境內存儲和訪問, 導致了跨境數據流動變得更加復雜,從而限制 了數字經濟的發展。個人隱私和數據保護是韓 國控制跨境數據流動的主要驅動力,因而韓國 一直被列為數據本地化要求最多的國家之一。然而,隨著數字化轉型的需要,韓國的數據保 護和跨境數據流動政策也在不斷演變,以期平 衡個人數據的使用和內部數據保護,并促進數 據跨境流動和數字經濟的增長。
3.1 數據保護與隱私法律框架
韓國憲法第十六、十七、十八條款規定了 隱私和數據保護的相關內容,這些條款都遵循 了《世界人權宣言》第十二條款和《公民權利 和政治權利國際公約》第十七條款,即公民的 隱私不受侵犯,公民的住所不受侵犯,以及公民的通信隱私也不受侵犯等內容。雖然在韓國憲法中沒有明確規定數據保護或個人信息保護, 但韓國憲法法院于 2005 年承認了個人信息自決權是公民的一項基本權利。
2011 年 3 月,韓國制定了《個人信息保護法》(PIPA) ,并于同年 9 月正式生效,主要適用 于私人部門和公共機構處理個人信息的準則,成為了韓國關于數據保護的一般法律。2020 年 1 月,韓國國會又通過了《個人信息保護法》《信息通信技術與安全法》和《信用信息保護法》三部數據法律的修正案,并將數據保護條款納入《網絡法案》。至此,《個人信息保護法》最終成為了一部真正意義上的數據保護法律 此外,韓國還通過了涉及不同部門或不同類型個人信息的數據保護特別法, 如《信用信息法案》《本地信息法案》《醫療服務法案》等。
3.2 隱私和數據保護法的實施
通過 2020 年三部數據法律修正案,韓國個人信息保護委員會(PIPC)成為了一個獨立的監管機構,類似于歐盟《通用數據保護條例》下的監管機構。該機構隸屬于總理辦公室,主要負責“獨立開展與個人信息保護有關的工作”。雖然 PIPC 主席受總理的指導和監督,但在數據主體權利侵權調查及其處置事項、處理與個人 信息有關的投訴或補救程序、調解有關個人信息的糾紛,以及與數據泄露事件因素評估等事 項可保持相對獨立性。
韓國的數據保護法律不僅參考了國際文件, 還參考了歐盟等國家的法律。但與經合組織的 《個人信息跨境流動及私隱保護指南》、歐洲 理事會的《關于個人數據自動處理的個人保護公約》以及歐盟的《通用數據保護條例》不同的是,韓國《個人信息保護法》并沒有明確提及個人信息的使用或跨境流動,主要傾向于個 人信息保護,因而被稱為“亞洲最嚴厲的數據 隱私法”。然而,韓國國內也出現了很多不同 的聲音,認為《個人信息保護法》的數據保護方式和水平阻礙了依靠大數據分析和人工智能 的第四次產業革命的推進。因此,韓國數據保 護相關法律是否真的會積極鼓勵個人信息的使用仍有待觀察。
3.3 個人數據跨境流動
在韓國數據保護法律框架下,任何希望將 個人信息轉移到韓國以外的公司或政府機構都 受到了限制。根據《個人信息保護法》, 在向 境外第三方提供個人信息時,必須事先征得數 據主體的同意。IT 服務提供商向境外提供、外 包處理或存儲 IT 服務用戶的個人信息時, 必須 事先征得 IT 服務用戶的同意, 同時還必須實施 相應的保障措施。根據第30892號總統令的規定, 在韓國沒有地址或營業場所的信息技術企業必須以書面形式指定國內代理商,以此加強個人 數據的保護。
在韓國對外貿易協定框架下,韓國通過一 系列雙邊、多邊貿易協定談判,與其他國家達成了一些數據跨境流動的規定。自 2003 年與智利簽署第一個自由貿易協定以來,韓國目前已經共計簽署了 21 個自由貿易協定,其中 20 個自由貿易協定都有數據跨境流動和數據本地化 的相關條款。尤其是在韓歐和韓美自由貿易協 定中,韓國表示對其監管制度進行修改,在允許跨境轉移金融數據信息的同時,解決諸如保護消費者敏感信息等問題。
3.4 韓國數據保護與跨境數據流動的經驗教訓
雖然韓國已經成為主要的制造業強國,但在尋求數字經濟發展中,韓國既需要加強國內的數據保護,也需要在限制數據本地化要求的情況下允許數據跨境自由流動。因此,韓國面 臨的挑戰是,在保障個人信息的使用和數字經濟發展的同時,如何更有效地保護數據主體。數 字經濟只有在獲得用戶充分信任并愿意提供個人信息的情況下才能穩定發展。值得慶幸的是,歐盟委員會已于 2021 年 6 月公布了有關韓國數 據保護充分性認定的草案。如果韓國《個人信 息保護法》被正式承認與《通用數據保護條例》 具有相當的數據保護水平,韓國將可以從歐盟 進口更多高質量的個人信息。從某種意義上說, 歐盟也可以將自己的數據保護規則輸出到韓國,屆時包括《個人信息保護法》在內的韓國數據 保護法律也將受到影響。
從個人信息自決權的角度考慮,個人信息的收集和使用原則上必須征得數據主體的同意。然而,在韓國數據保護實踐中,數據主體的同意并沒有得到優先考慮。根據《個人信息保護法》的互惠原則,個人信息的跨境流動將受到 限制,因此韓國也有必要為個人信息跨境流動 提供便利。
數字經濟和數字貿易中,隱私、數據保護 對于獲得和維持個人信任至關重要,網絡安全對于保護數據流通也同等重要。因此,隱私、數據保護和網絡安全應被視為支持數字貿易穩 定運行的基本要素。然而,目前還沒有關于隱私、 數據保護和網絡安全的國際協議, 即使在美國、 歐盟等國家之間,數據保護水平也存在著明顯的差距。因此,韓國可以在世界貿易組織框架下參與制定數字貿易規則,甚至作為多方、多邊貿易談判的領導者,推動建立包括數據本地化和數據跨境流動規則在內的數字貿易新架構。
3.5 韓國對互聯網互聯模式的挑戰
在過去的 20 年里,互聯網基礎設施的快速 擴張得益于互聯網的互聯互通和互聯網公司的競爭。然而,從2016 年初開始,韓國通信監管機構開始征收“網絡使用費”。這些新的收費將會顛覆整個互聯網的商業模式,根本受益方是大多數韓國人所依賴的三大電信公司。韓國網絡收費模式被“發送方網絡支付”(SPNP) 模式所取代,導致了寬帶成本的增加,并對韓國的數據和互聯網使用產生了顯著影響。如果不修改相關政策,針對韓國的網絡基礎設施投 資將會減少, 數字化轉型也將放緩。更糟糕的是, 韓國國會于 2020 年 5 月通過了《信息通信企業 通信穩定法》, 進一步支持了三大韓國電信公司。韓國一直被認為是互聯網普及率高、光纖網絡 密集的國家,但這些新法律可能會使韓國人難以充分享受視頻服務、內容分發網絡、云服務、互聯網服務等全球服務,并且還將嚴重阻礙韓 國電信初創企業與現有網絡服務商的競爭。如何在寡頭經濟格局下處理好網絡服務相關的稅 收和企業政策,可能是韓國網絡治理未來面臨的最大挑戰。
04、結 語
當前新一輪的產業革命蓄勢待發,全球各國不斷加快數字化轉型步伐,曾經被視為純粹 商業和技術的競爭領域,越來越被賦予地緣政 治色彩。數據治理作為數字時代大國競爭的關鍵領域,也不斷推動著互聯網技術有關的治理 模式的變革。韓國一直在數據治理中尋求公共 利益和私人利益、國家監管和市場創新之間的 平衡,也開辟了不同于其他國家的數據治理道 路。然而,數字產業發展更多的是源于競爭和 創新,韓國三大電信巨頭卻因其壟斷性地位不斷提高了市場進入門檻,導致了其他網絡服務商紛紛轉向海外市場,而國內用戶網絡服務成本也逐漸升高。因此,如何推動國內競爭與創 新將會成為韓國治理模式有效性的巨大考驗。
作者簡介:
卡內基國際和平基金會,是美國成立最早又 頗有影響的研究院之一,也是美國著名的主流思想智庫,偏向于國際主義、多邊主義。主張進行 裁軍、軍備控制、接觸談判和國際合作,并支持 把聯合國作為國際論壇和世界秩序的象征。
譯者簡介:
鄭樂鋒 , 男, 碩士在讀, 上海 社會科學院新聞研究所碩士研究生,主要研究 方向為網絡空間國際治理。
(此報告翻譯方式為編譯,原文鏈接:https://carnegieendowment.org/2021/08/17/korean- way-with-data-how-world-s-most-wired- country-is-forging-third-way-pub-85161)
選自《信息安全與通信保密》2021年第12期(為便于排版,已省去參考文獻)
