韩国数据治理方式： 世界在线率最高国家如何打造第三条道路（译文）

卡内基国际和平基金会郑乐锋 译

（上海社会科学院 新闻研究所，上海 200230）

0 引 言

2021年8月17日，卡内基国际和平基金会发布了一份题为《韩国数据治理方式：世界在线率最高国家如何打造第三条道路》[1]的研究报告。报告认为，除中美等大国在全球数字治理政策塑造中扮演重要角色外，印度、日本、韩国等国家也在积极参与，国际互联网治理已经成为一种新的地缘政治竞争。该报告系统梳理了韩国数字政策的框架、标准和模式，并着重分析了韩国数据治理的独特方式与经验教训。本文特编译了报告的核心内容，以供决策者和研究者进行国别比较和借鉴有益经验。

1 信任技术：韩国的在线身份认证与数据访问控制

报告指出，信息通信技术（ICT），特别是互联网和云计算正在逐渐成为经济和社会的基础。然而，数字技术的广泛应用也助长了网络犯罪、虚假信息、数据泄漏以及网络间谍等活动。韩国政府认识到，建立更加完善的在线认证系统可以有效防止此类事件的发生。为此，韩国试验了多种在线身份认证方案并推出了一系列数据访问控制的政策。

1.1 韩国领先的信息通信技术环境

韩国被认为是全球信息通信技术基础设施最先进的国家之一。[2]自2009年以来，在国际电信联盟信息通信技术发展指数中，韩国一直位居前列[3],其地理和人口优势一直支持着信息通信技术的快速发展。截至2020年12月，韩国的互联网和智能手机的普及率位居世界第一。同时，在联合国电子政务发展指数中，韩国也一直位居榜首。韩国的信息通信技术政策是在明确的政府主导战略下实施的，并在基础设施建设方面取得重大成效。领先的信息通信技术环境推动韩国形成了独特的数据治理方式。

1.2 在线认证系统方案的演变与发展

由于居民登记号（Resident Registration Number，RRN）是分配给每个韩国国民的唯一身份识别号码，因此韩国最初的在线身份识别是以居民登记号为中心，并于21世纪初开始在网上得到广泛应用。随着互联网的快速发展，过度收集居民登记号导致了个人信息泄漏日益严重。2004年，韩国开始推出“基于国家公钥基础设施的授权证书”（NPKI-based Authorization Certificate，AC），并将其作为一种启用居民登记号标识的替代方案。考虑到居民登记号数据泄露的风险，韩国政府又于2006年设立并分发了互联网个人识别号码（I-PIN）系统，作为在线身份认证的替代手段。由于I-PIN采用了基于ID/密码的身份验证方式，因此需要采取额外的强制安全措施。然而，这些互补性的安全措施导致I-PIN的使用比私人身份认证服务更加不便。从2012年8月开始，韩国禁止通过居民登记号进行在线身份认证，但I-PIN和国家公钥基础设施也没有得到广泛应用。2012年12月，韩国广播通信委员会（KCC）决定授权三家移动网络运营商提供认证服务。2017年，韩国广播通信委员会又将7家主要信用卡公司指定为新的在线身份认证机构。这些私营部门部署的解决方案比以前政府主导的方案得到了更广泛的应用，同时也促进了韩国电子商务、电子政务以及移动应用程序的发展。2020年12月，韩国政府又采用了混合在线认证环境，使得各种验证手段都可以一起使用。

1.3 数据访问控制

提高公共数据获取的便利性，既有利于满足公众的知情权，又能够发展增加经济价值的新服务。然而，过度信息公开又可能导致个人数据滥用、侵犯隐私等问题。在政府数据开放政策的框架下，韩国率先实施了多种公共数据访问控制的方法。

（1）公共数据。为了保障国民的知情权以及国家事务的透明度，韩国于1996年制定了《公共机构信息公开法案》，规定了公共机构信息公开义务的必要事项和形式。随着智能手机的普及，以及随之而来的大量数据和新应用程序，公共信息的范式也发生了巨大变化。为此，韩国于2011年出台了《公共信息和公共数据门户服务指南》，并于2013年颁布了《政府3.0基本规划》[4]和《公共数据公开与利用法案》。2016年，韩国政府又制定了《电子政务2020年基本计划》，以改善公共数据的访问。2021年2月，韩国政府成立了“数据119项目”（Data 119 Project）[5]，并发布了一项旨在利用开放数据重振数字经济的数据战略。同时，该战略还要求修改《个人信息保护法》《信息通信技术与安全法》和《信用信息保护法》，推出9项新的数据服务和11项行动任务，包括成立一个特别数据委员会，以期通过提高数据保护水平获得欧盟《通用数据保护条例》（GDPR）的充分性认定。此外，为了实现公共数据访问控制，韩国政府于2002年成立了电子政府特别委员会，研究建立电子政府服务的政策及措施。2005年，韩国科技信息通信部在大田市设立了政府综合计算中心，后于2017年更名为国家信息资源管理处。

（2）私人数据。韩国政府关于个人数据相关规定，如欧盟一样强调以保护为主，限制收集个人身份信息和未经授权的使用。直到2001年，韩国政府才修改了《信息通信技术振兴法》，正式列入个人信息保护相关的各项规定。2011年，韩国制定了《个人信息保护法》（PIPA），正式建立了个人信息管理制度。PIPA将个人信息定义为可单独或与其他信息结合用于识别与该信息关联人的信息。因此，各种类型的个人信息，如互联网协议地址和媒体访问控制地址均被视为个人信息，在使用中都受到了一定的限制。为了应对欧盟的《通用数据保护条例》和第四次产业革命，韩国政府通过不断修订法律加强对个人信息保护，同时引入了使用非身份性个人信息（Nonidentifying Personal Information）的概念，提供基于数据可携性的一站式服务。

1.4 数据本地化

韩国关于个人数据访问的另一个问题是数据跨境访问与流动。虽然在《信息通信技术和安全法案》中早有涉及海外个人信息的条款，但该条款并没有解决数据跨境流动的问题。由于韩国的监管环境较为保守，《个人资料管理条例》第十七条也只是允许在临时情况下可以将个人资料转移到国外，而且在向其他国家传输数据时，必须征取数据主体的同意。但是，第十七条并没有详细规定其他国家在进行数据处理时必须提供的保护级别，以及必须实施的额外保护措施。

2 韩国的网络安全与数据弹性（Data Resilience）政策

韩国虽然是世界上数字化程度最高的国家之一，但也很容易遭到网络攻击。过去30年里，韩国不断制定和完善网络安全政策，增强公共机构和私营部门应对网络威胁的能力。

2.1 网络安全治理框架

韩国关于网络安全治理主要由三个部分组成：一是韩国国家情报院（National Intelligence Service，NIS）下属的国家网络安全中心（NCSC）主要负责政府部门和公共机构的网络安全管理；二是韩国科学和信息通信技术部负责私营部门的网络安全管理；三是针对特定部门的网络安全管理。近些年来，韩国又对其网络安全治理框架进行了重大改革。自2015年开始，直接向总统汇报的国家安全委员会（NSC）负责统筹协调网络安全事宜。国家安全委员会下辖国家网络安全中心、科学和信息通信技术部以及国防部网络司令部，分别负责公共机构、私营部门以及国防部门的网络安全。（如图1所示）

图1 韩国网络安全治理框架

2.2 网络安全政策

为了保护关键信息基础设施不受网络威胁和攻击，韩国于2001年制定了《关键信息基础设施保护法》（CIIP），并在国务总理室设立了关键信息基础设施保护委员会，协调各部门之间的相关事宜。根据该法案，核电站系统、交通系统、商业银行网络等400多个设施被认定为关键信息基础设施。2019年，韩国政府发布了《国家网络安全战略》[6]，提出了六大战略支柱，即提高国家重点基础设施安全、增强网络攻击应对能力、实施基于信任与合作的网络治理、发展网络安全产业、培育网络安全文化以及引领网络安全国际合作。随后，韩国又发布了《国家网络安全基本规划》，作为《国家网络安全战略》的具体方案。韩国一直致力于实施推进《网络安全基本法》，明确各机构的角色和职责，建立全国性的网络安全框架。2020年，韩国修改了《国家情报院法》，制定了《网络安全业务条例》，确定了国家情报院在网络安全中的作用和地位。此外，为了推动疫情后的经济恢复，韩国于2020年7月发布了“韩国新政”（Korean New Deal），其中有两项涉及网络安全的数字新政项目，即利用5G和人工智能建设智慧政府项目和推进网络安全项目。

2.3 网络安全能力

韩国开发了“全球网络安全能力评估”（GCCA）工具，通过与其他国家的比较来分析韩国的网络安全能力，并为网络安全相关决策提供基础数据支持。韩国网络安全能力需要改进的要素主要包括国家危机管理政策、网络安全法规、网络犯罪规制、标准制定和实施，以及教育项目等。虽然韩国政府于2019年发布了《国家网络安全战略》和《国家网络安全基本计划》，明确提出了18个核心课题和100个具体课题等相关实施计划[7]。但是，韩国政府并没有为每个任务分配优先级。因此，根据对韩国的全球网络安全能力评价的分析，韩国需要确定优先关注的评价指标，并提高各级任务的实施效率。

2.4 网络安全治理的主要特征和实践

在应对网络攻击方面，韩国既明确了各主要机构的责任，又制定了和平时期和危机时期预防以及应对网络威胁的法律和政策。韩国的能源、水利、交通等关键基础设施大部分被认定为公共机构，并由国家集中运营，因而在增强关键基础设施网络安全方面，私营部门的作用虽然至关重要，但比许多其他国家要小。韩国主要是由国家统一负责收集和共享基础设施威胁相关信息，并应对针对关键基础设施的网络攻击。因此，韩国可以有效制定和实施关于关键基础设施的网络安全政策。在网络安全治理架构层面，韩国的网络安全治理主要涉及公共部门、私营部门和军队，并设立以国家安全委员会为控制塔的合作框架，国家情报院则一直处于其中的核心地位。在网络安全实践层面，自2003年网络中断事件之后，韩国建立了强制备份制度[8]和DDoS攻击主动应对系统。同时，韩国政府于2004年1月修改了《信息通信网法》，将信息保护的安全检查规定义务化，不断加强私营部门的信息保护。2006年，韩国又在中央政府部门引入了网络分离制度，之后又扩大了网络分离的范围，推动公共部门内部网络和外部网络的分离。

3 韩国的数据保护与跨境数据流动政策

尽管数据获取及共享对于实现数字转型和驱动创新越来越重要，但由于数据获取障碍的不断增加，尤其是很多国家实行了数据本地化措施，要求数据必须在本国境内存储和访问，导致了跨境数据流动变得更加复杂，从而限制了数字经济的发展。个人隐私和数据保护是韩国控制跨境数据流动的主要驱动力，因而韩国一直被列为数据本地化要求最多的国家之一。然而，随着数字化转型的需要，韩国的数据保护和跨境数据流动政策也在不断演变，以期平衡个人数据的使用和内部数据保护，并促进数据跨境流动和数字经济的增长。

3.1 数据保护与隐私法律框架

韩国宪法第十六、十七、十八条款规定了隐私和数据保护的相关内容，这些条款都遵循了《世界人权宣言》第十二条款和《公民权利和政治权利国际公约》第十七条款，即公民的隐私不受侵犯，公民的住所不受侵犯，以及公民的通信隐私也不受侵犯等内容。虽然在韩国宪法中没有明确规定数据保护或个人信息保护，但韩国宪法法院于2005年承认了个人信息自决权是公民的一项基本权利[9]。

2011年3月，韩国制定了《个人信息保护法》（PIPA），并于同年9月正式生效，主要适用于私人部门和公共机构处理个人信息的准则，成为了韩国关于数据保护的一般法律。2020年1月，韩国国会又通过了《个人信息保护法》《信息通信技术与安全法》和《信用信息保护法》三部数据法律的修正案，并将数据保护条款纳入《网络法案》。至此，《个人信息保护法》最终成为了一部真正意义上的数据保护法律。此外，韩国还通过了涉及不同部门或不同类型个人信息的数据保护特别法，如《信用信息法案》《本地信息法案》《医疗服务法案》等。

3.2 隐私和数据保护法的实施

通过2020年三部数据法律修正案，韩国个人信息保护委员会（PIPC）成为了一个独立的监管机构，类似于欧盟《通用数据保护条例》下的监管机构。该机构隶属于总理办公室，主要负责“独立开展与个人信息保护有关的工作”。虽然PIPC主席受总理的指导和监督，但在数据主体权利侵权调查及其处置事项、处理与个人信息有关的投诉或补救程序、调解有关个人信息的纠纷，以及与数据泄露事件因素评估等事项可保持相对独立性。

韩国的数据保护法律不仅参考了国际文件，还参考了欧盟等国家的法律。但与经合组织的《个人信息跨境流动及私隐保护指南》、欧洲理事会的《关于个人数据自动处理的个人保护公约》以及欧盟的《通用数据保护条例》不同的是，韩国《个人信息保护法》并没有明确提及个人信息的使用或跨境流动，主要倾向于个人信息保护，因而被称为“亚洲最严厉的数据隐私法”[10]。然而，韩国国内也出现了很多不同的声音，认为《个人信息保护法》的数据保护方式和水平阻碍了依靠大数据分析和人工智能的第四次产业革命的推进。因此，韩国数据保护相关法律是否真的会积极鼓励个人信息的使用仍有待观察。

3.3 个人数据跨境流动

在韩国数据保护法律框架下，任何希望将个人信息转移到韩国以外的公司或政府机构都受到了限制。根据《个人信息保护法》，在向境外第三方提供个人信息时，必须事先征得数据主体的同意。IT服务提供商向境外提供、外包处理或存储IT服务用户的个人信息时，必须事先征得IT服务用户的同意，同时还必须实施相应的保障措施。根据第30892号总统令的规定，在韩国没有地址或营业场所的信息技术企业必须以书面形式指定国内代理商，以此加强个人数据的保护。

在韩国对外贸易协定框架下，韩国通过一系列双边、多边贸易协定谈判，与其他国家达成了一些数据跨境流动的规定。自2003年与智利签署第一个自由贸易协定以来，韩国目前已经共计签署了21个自由贸易协定，其中20个自由贸易协定都有数据跨境流动和数据本地化的相关条款。尤其是在韩欧和韩美自由贸易协定中，韩国表示对其监管制度进行修改，在允许跨境转移金融数据信息的同时，解决诸如保护消费者敏感信息等问题。

3.4 韩国数据保护与跨境数据流动的经验教训

虽然韩国已经成为主要的制造业强国，但在寻求数字经济发展中，韩国既需要加强国内的数据保护，也需要在限制数据本地化要求的情况下允许数据跨境自由流动。因此，韩国面临的挑战是，在保障个人信息的使用和数字经济发展的同时，如何更有效地保护数据主体。数字经济只有在获得用户充分信任并愿意提供个人信息的情况下才能稳定发展。值得庆幸的是，欧盟委员会已于2021年6月公布了有关韩国数据保护充分性认定的草案。如果韩国《个人信息保护法》被正式承认与《通用数据保护条例》具有相当的数据保护水平，韩国将可以从欧盟进口更多高质量的个人信息。从某种意义上说，欧盟也可以将自己的数据保护规则输出到韩国，届时包括《个人信息保护法》在内的韩国数据保护法律也将受到影响。

从个人信息自决权的角度考虑，个人信息的收集和使用原则上必须征得数据主体的同意。然而，在韩国数据保护实践中，数据主体的同意并没有得到优先考虑。根据《个人信息保护法》的互惠原则，个人信息的跨境流动将受到限制，因此韩国也有必要为个人信息跨境流动提供便利。

数字经济和数字贸易中，隐私、数据保护对于获得和维持个人信任至关重要，网络安全对于保护数据流通也同等重要。因此，隐私、数据保护和网络安全应被视为支持数字贸易稳定运行的基本要素。然而，目前还没有关于隐私、数据保护和网络安全的国际协议，即使在美国、欧盟等国家之间，数据保护水平也存在着明显的差距。因此，韩国可以在世界贸易组织框架下参与制定数字贸易规则，甚至作为多方、多边贸易谈判的领导者，推动建立包括数据本地化和数据跨境流动规则在内的数字贸易新架构。

3.5 韩国对互联网互联模式的挑战

在过去的20年里，互联网基础设施的快速扩张得益于互联网的互联互通和互联网公司的竞争。然而，从2016年初开始，韩国通信监管机构开始征收“网络使用费”。这些新的收费将会颠覆整个互联网的商业模式，根本受益方是大多数韩国人所依赖的三大电信公司。韩国网络收费模式被“发送方网络支付”（SPNP）模式所取代，导致了宽带成本的增加，并对韩国的数据和互联网使用产生了显著影响。如果不修改相关政策，针对韩国的网络基础设施投资将会减少，数字化转型也将放缓。更糟糕的是，韩国国会于2020年5月通过了《信息通信企业通信稳定法》，进一步支持了三大韩国电信公司。韩国一直被认为是互联网普及率高、光纤网络密集的国家，但这些新法律可能会使韩国人难以充分享受视频服务、内容分发网络、云服务、互联网服务等全球服务，并且还将严重阻碍韩国电信初创企业与现有网络服务商的竞争。如何在寡头经济格局下处理好网络服务相关的税收和企业政策，可能是韩国网络治理未来面临的最大挑战。

4 结 语

当前新一轮的产业革命蓄势待发，全球各国不断加快数字化转型步伐，曾经被视为纯粹商业和技术的竞争领域，越来越被赋予地缘政治色彩。数据治理作为数字时代大国竞争的关键领域，也不断推动着互联网技术有关的治理模式的变革。韩国一直在数据治理中寻求公共利益和私人利益、国家监管和市场创新之间的平衡，也开辟了不同于其他国家的数据治理道路。然而，数字产业发展更多的是源于竞争和创新，韩国三大电信巨头却因其垄断性地位不断提高了市场进入门槛，导致了其他网络服务商纷纷转向海外市场，而国内用户网络服务成本也逐渐升高。因此，如何推动国内竞争与创新将会成为韩国治理模式有效性的巨大考验。