近来接连发生的网络安全事件,使得亟需变革整体信息安全事件相关法制的呼声日益高涨。在此背景下,以强化CISO的责任、设置并运营信息保护委员会、强化ISMS认证、对反复发生的网络安全事件征收行政罚款等为主要内容的《关于促进信息通信网利用及信息保护等的法律》(下称“信息通信网法”)修订案已在国会通过,即将施行*。
* 详细内容请参阅本所2026年3月19日的newsletter(链接)
此外,为进一步强化网络安全事件中经营者的责任,同时建立可培养白帽黑客的制度基础,多项《信息通信网法》修订案正在科学技术信息广播通信委员会审议中,其中部分修订案已提交至第三次信息通信广播媒体法案审查小委员会(2026年4月21日)进行审查。
以下将以提交至上述小委员会的《信息通信网法》修订案中李海珉议员提出的修订案为中心,对其主要内容及启示进行探讨。
1. 修订案主要内容
▶ 李海珉议员案
李海珉议员案(议案编号2215361,2025年12月18日提出)基于“亟需建立针对网络安全事件的有效应对体系”这一问题意识,主要内容为:(i) 对于经营者负有归责事由的网络安全事件,由经营者承担民·官联合调查团(下称“调查团”)运营费用的全额;(ii) 请求损害赔偿时,由经营者举证证明其不存在故意或过失;(iii) 引入惩罚性损害赔偿制度。
1) 承担调查团运营费用(第48条之4第9款)
现行法规定,科学技术信息通信部部长(下称“科技信通部部长”)在发生重大网络安全事件时应组建调查团,但调查团运营费用由国家承担。修订案规定,若调查团的调查结果认定网络安全事件系因信息通信服务提供者负有归责事由而发生,则可责令该信息通信服务提供者承担调查团运营所需全部费用。据此,预计在因经营者归责事由发生网络安全事件时,经营者的负担将进一步加重。
2) 由经营者举证证明不存在故意或过失(第48条之7第1款)
修订案新增第48条之7,规定信息通信服务提供者违反《信息通信网法》致使发生网络安全事件、从而造成用户损害的,用户可向该信息通信服务提供者请求损害赔偿;此时,信息通信服务提供者若不能举证证明自身不存在故意或过失,则无法免除其责任。若修订案获得通过,用户仅需证明损害已经发生这一事实即可,其余事项(因果关系、经营者的故意过失)则无需举证,因此预计因网络安全事件而提起的用户损害赔偿请求将会增加。
3) 惩罚性损害赔偿(第48条之7第2款、第3款)
现行法下,针对网络安全事件의 损害赔偿金仅限于实际损害的范围,而修订案引入惩罚性损害赔偿,规定因经营者的故意或重大过失发生网络安全事件的,法院可在不超过损害金三倍的范围内确定损害赔偿金。修订案规定法院可综合考量损害规模、网络安全事件的持续期间及次数、经营者的财产状况等确定惩罚性损害赔偿的范围,因此若修订案获得通过,预计销售额较大的经营者,或反复发生重大网络安全事件的经营者,其损害赔偿金将会提高。
▶ 修订案的其他主要内容
除李海珉议员案外,提交至上述小委员会的其他《信息通信网法》修订案中也包含诸多与网络安全事件相关的内容,各修订案的主要内容如下。
- (对信息通信网连接设备的实态检查)为预防与信息通信网连接设备等相关的网络安全事件,规定科技信通部部长可对网络安全事件发生风险较高的信息通信网连接设备等的信息保护实态进行检查,并可公布检查结果;同时,可根据检查结果对制造或进口信息通信网连接设备等的主体作出改进建议等(崔敏姬议员案,议案编号2215299,2025年12月16日提出)
- (强化云管理)为有效管理因引入云服务器、利用外部合作企业等而日益复杂的IT供应链,在信息通信服务提供者应遵守的信息保护指南中,明确规定远程接入者及受托经营者的账户管理、内部人员异常行为侦测、云及供应链安全措施等,并在发生事件时强制要求保存信息保护审计资料。此外,在发生或可能发生显著损害用户信息安全性与可靠性的事件、事故等情形时,规定科技信通部部长可要求提交审计及改进相关资料(崔易斗议员案,议案编号2216230,2026年1月22日提出)
- (培养白帽黑客)为培养更多的白帽黑客等民间安全专家进行安全活动致使达到预防网络安全事件的效果,规定信息通信服务提供者等可制定并公开信息保护漏洞处理方针,向遵守该方针开展活动的信息保护研究者提供免责依据,并就重大漏洞强制规定向政府申报及通知用户(崔易斗议员案,议案编号2216276,2026年1月23日提出)
2. 启示
- (需持续监测立法动向)近来不仅是《信息通信网法》,《个人信息保护法》也已朝着强化网络安全事件中经营者责任的方向修订,例如对反复·重大违法行为征收惩罚性的罚款等。鉴于上述相关法律的修订动向,上述修订案的相当部分被采纳的可能性相当高,因此有必要持续密切关注此类法律修订动向。
- (需进行合规检查)包括即将施行的《信息通信网法》修订内容在内,相关法律制度正朝着加重经营者在网络安全事件中责任的方向发展。为此,有必要全面检查与网络安全事件相关的合规遵守情况,为此可考虑制定合规检查清单、整顿内部规定及操作手册、开展组织诊断等全面的事前合规检查。
About Shin & Kim’s ICT Group
世宗律师事务所ICT团队在ICT领域拥有独树一帜的专业能力与人脉网络,近数年来持续获得客户的最高评价。世宗ICT团队以在广播与通信、个人信息、互联网IT领域积累的能力为基础,提供包括广播·通信·ICT监管动向把握及政府关系、法制改进·立法咨询、监管影响力分析以及企业战略制定等在内的综合法律咨询服务。在AI合规(AI Compliance)、网络安全事件应对等方面,世宗ICT团队同样拥有丰富的业务经验与专业能力,如需更专业的内容或有任何疑问,敬请随时与我们联系。
[English version] Proposed Amendments to the Network Act: Key Trends and Implications










