I. 韩国修订《促进利用信息通信网络与信息保护等相关法律》
对于韩国《促进利用信息通信网络与信息保护等相关法律》(下称“《信息通信网法》”),韩国政府分别于2024年1月23日、2024年2月13日经两次修订,做出了如下调整:(1)完善非法垃圾邮件应对制度;(2)引入ISMS简易认证制度;(3)明确规定确认本人(身份认证)机构对链接信息(下称“CI”)采取安全保障措施的义务;(4)引入发生侵权事故时的责令采取措施和检查执行情况制度等。本次修订内容已分别于2024年7月24日、2024年8月14日起施行。
II. 主要修订内容
1. 2024年1月23日修订的韩国《信息通信网法》:已于2024年7月24日起施行
(1) 完善非法垃圾邮件应对制度
原韩国《信息通信网法》第50条第7款仅规定对于属于该法第50条第1款和第2款项下的事先同意、拒绝接收信息的意思表示或撤回同意的意思表示,强制要求信息通信服务提供商(“经营者“)通知用户处理结果,但对于属于该法第50条第3款项下的有关接收夜间广告信息的同意(同意接收在晚上9点至次日上午8点之间发送的商业广告信息),未规定经营者通知处理结果之义务。本次修订后的韩国《信息通信网法》第50条第7款则明确规定了经营者征得有关接收夜间广告信息同意的,应当通知用户该等处理结果。因此,对接收夜间广告信息的同意,经营者也应当通知用户其处理结果。
根据韩国《信息通信网法》第50条第4款规定,如果使用经营者向用户提供的服务的方式违反限制发送盈利性广告信息的规定(《信息通信网法》第50条)或禁止为非法活动发送广告信息的规定(《信息通信网法》第50条之8),则经营者应当采取相应的必要措施,如拒绝提供该等服务或优化信息通信网络或服务的脆弱问题等。针对违反前述规定的经营者的过失性罚款金额从1,000万韩元被上调至3,000万韩元。
同时, 修订后的《信息通信网法》加重了为非法活动发送广告信息行为(《信息通信网法》第50条之8)的刑事处罚,即从1年以下有期徒刑或1,000万韩元以下罚金上调至3年以下有期徒刑或3,000万韩元以下罚金。
(2) 引入ISMS简易认证制度
修订后的《信息通信网法》新设了第47条之7规定,使得相关主体可以适用相比原ISMS认证制度更加宽松的认证标准和程序。可适用ISMS简易认证的主体如下:
• 韩国《中小企业基本法》项下的小型企业或信息通信业务销售额未满300亿韩元的韩国《中小企业基本法》项下的中型企业(下称“第1类”);
• 在信息通信业务销售额超过300亿韩元的韩国《中小企业基本法》项下的中型企业中,属于不直接安装和运营主要信息通信设备的经营者,且已取得韩国《信息通信网法》第47条第1项规定的ISMS认证、韩国《个人信息保护法》第32条之2第1款规定的ISMS-P认证或韩国《云计算发展和用户保护法》第23条之2第1款规定的CSAP认证的情形下,提供托管服务或云计算服务的经营者(下称“第2类”)。
但是,下列情形不适用ISMS简易认证:
• 主要信息通信服务提供商;
• 集成信息通信设施经营者;
• 上一年度销售额或岁入(总收入)为1,500亿韩元以上的(1)上级综合医院,或(2)截至上一年度12月31日在校生人数为10,000名以上的韩国《高等教育法》项下的学校;
• 上一年度日均用户数超过100万人的经营者;
• 虚拟资产业务经营者;
• 金融公司。
引入ISMS简易认证制度以后,第1类ISMS简易认证的认证项的数量较比原制度减少了40项、ISMS-P简易认证的认证项数量减少了39项;第2类ISMS和ISMS-P简易认证的认证项数量较比原制度减少了36项(《关于信息保护和个人信息保护管理体系认证等的告示》第23条第3项、第4项)。
(3) 明确规定CI相关安全保障措施义务等
根据韩国修订后的《信息通信网法》规定,身份认证机构在生成和处理CI时,除应根据《个人信息保护法》第29条规定采取安全性保障措施外,还应采取物理性、技术性及管理性措施,以确保生成和处理CI过程的安全性(《信息通信网法》第23条之6第1款)。违反前述规定的经营者,可能被处以最高3,000万韩元以下的过失性罚款。
同时,链接信息使用机构(系指为了提供韩国《信息通信网法》第23条之5第1款项下的服务,从身份认证机构接收CI的主体)应当仅在接收目的范围内(但另行征得信息主体单独同意的,则在征得同意之目的范围内)处理CI(《信息通信网法》第23条之5第4款),违反前述规定的经营者,可能被处以5年以下有期徒刑或5,000万韩元以下的罚金。另外,在该情形下,除需采取韩国《个人信息保护法》第29条项下的安全性保障措施外,经营者还应当将CI与居民登记编号分离保存和管理,并采取措施确保CI不被丢失、被盗、泄露、伪造、篡改或损坏(韩国《信息通信网法》第23条之6第2款),违反前述规定的经营者,可能被处以3,000万韩元以下的过失性罚款。
据此,韩国广播通信委员会于2024年5月13日对外做出了具体规定身份认证机构以及链接信息使用机构的CI保护措施的《链接信息的生成、处理等相关标准》制定方案的行政预告(广播通信委员会告示)。
此外,修订后的韩国《信息通信网法》限制了身份认证机构可以创建和处理CI的目的(违反规定的身份认证机构,可能被处以5年以下有期徒刑或5,000万韩元以下的罚金),并为此前根据韩国《信息通信振兴和融合促进特别法》规定赋予临时许可的行政、公共机构等对其持有的用户居民登录编号批量转换为CI,提供了法律依据(《信息通信网法》第23条之5)。
(4) 其他修订内容
• 明确规定了以盈利为目的发送广告信息时的禁止事项(《信息通信网法》第50条第5款),以及为非法活动而发送广告信息的含义(《信息通信网法》第50条之8);
• 明确了ISMS认证义务主体的标准,将有关ISMS认证义务主体的销售额、总收入和用户数量的判断标准统一规定为“上一年度”(《信息通信网法》第47条第2款);
• 明确规定了安装和运营在韩国境内临时存储数据的服务器且有一定规模以上的经营者(信息服务提供商)应当采取技术性和管理性措施,有效阻止非法信息的传播(《信息通信网法》第44条之7第5款);违反前述规定的经营者,可能被处以1,000万韩元以下的过失性罚款;
• 禁止侵害信息通信网络的行为规定中新增了安装、传输、传播后门的行为(可以实现绕过信息通信网络的正常保护、认证程序而访问信息通信网络的程序或技术设备等)(《信息通信网法》第48条第4款);违反前述规定的,处以5年以下有期徒刑或5,000万韩元以下的罚金(施行日期为2024年1月23日);
• 加重了向青少年传输青少年有害媒体广告信息或未采取限制青少年访问措施公开展示信息的主体的刑事处罚,原2年以下有期徒刑或2,000万韩元以下罚金上调至3年以下有期徒刑或3,000万韩元以下罚金。
2. 2024年2月13日修订的韩国《信息通信网法》:已于2024年8月14日起施行
(1) 引入发生侵权事故时的责令采取措施和检查执行情况制度
根据原《信息通信网法》第48条之4第2款规定,在发生侵权事故时,韩国科学技术信息通信部长官可以劝告经营者提出分析侵权事故发生原因、防止损害扩散、事故应对方案、修复及防止再发应对方案并采取必要措施。修订后的韩国《信息通信网法》规定,在发生侵权事故时,韩国科学技术信息通信部长官可以责令相关经营者履行侵权事故应对措施(第2款),并通过检查采取措施执行情况,责令经营商进一步采取相关补充措施(第3款)。违反前述改正命令的经营者,可能被处以3,000万韩元以下的过失性罚款。
(2) 上调违反侵权事故报告义务时的过失性罚款金额等
针对违反侵权事故报告义务的过失性罚款金额从1,000万韩元以下被上调至3,000万韩元以下。
此外,修订后的《信息通信网法》新设了有关通过总统令规定有关申报(报告)侵权事件的时间、方法和程序相关事宜的规定(《信息通信网法》第48条之3第4款)。