论文部分内容阅读
一、引言
随着各类组织的信息化程度的提高,使得信息系统越来越复杂,在业务运作的过程中生成大量的数据,组织的发展对信息的依赖程度也越来越大,这样信息安全管理成了组织风险管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题,信息安全风险评估逐渐被引入组织的管理体系当中。但是,我国目前的信息安全风险评估主要侧重于技术层面与管理层面,而很少从法律的视角来审视信息安全风险的预防、评估与管理。即使从2003年开始,国务院信息化办公室与国家信息安全中心逐步推行全面的信息安全风险评估业务并于去年着手起草了《信息安全风险评估指南》与《信息安全风险管理指南》,但其中的某些内容主要适用于组织的系统自评估,缺乏明确而具体的条文来指导外部的第三方评估服务提供机构及其人员,更缺少相关的第三方信息安全风险评估机构资质管理办法与对应的法律或法律责任体系。正是基于此背景,本文将规范研究与实证研究相结合的方法来深入探讨第三方信息安全风险评估机构及其人员资质管理方面的法律问题及法律责任的设定。
二、研究第三方网络信息安全风险评估法律责任的必要性与可行性
第一,必要性。目前,国内基本上未设立真正的独立于政府和信息系统使用者(拥有者)的第三方信息安全风险评估机构,几乎所有的专业评估机构都由政府或行业协会控制,这从某种程度考虑可能是合理的,因为信息是一类非常特殊的资产,可能关乎国家机密或企业机密,因此不可能将其信息系统安全风险的评估部分或完全委托给外部的第三方评估服务提供商来完成,更不用说是国外专业的、技术先进的、经验丰富的评估机构,但随着我国国内企业信息化程度的快速提高,信息安全风险评估的需求将大大增长,而国家主导的专业评估机构已经远远不能满足这一需求,故必须出台相关的管理规定或法律法规来设立、规范并有效管理第三方评估机构,此为其一;其二,国内第三方信息安全风险评估的标准不统一或根本就没有标准可以遵循,从而导致各个评估机构的业务流程不规范统一,从而得出截然不同的评估结论或评估报告,从这个方面考虑也应该设定评估机构或评估人员的法律责任来规范其职业道德与执业水平。
第二,可行性。显然,相关的经验与事实证明:被评估方投入一定的花费进行信息安全风险评估是可行的,而评估机构或评估师自然也会基于成本-收益的考虑来实施何种相应的评估行为,如果评估机构的评估成本过低,可能会引起被评估机构的怀疑,甚至招致相关的诉讼,因此即使站在评估人员或机构防范法律风险或诉讼风险的角度,我们来进行其法律责任的研究也是有价值并是可行的。因为这样,不仅被评估方可以防范并规避信息安全风险,评估方也可以避免评估风险,体现为出具了不恰当的评估意见或评估报告或由于对被评估单位及其所在行业了解不够而导致的相关过失风险。
总之,在经济全球化与信息的作用与日俱增背景下,法律的作用将更加不可忽视,特别是对于信息系统与信息安全法律应该深度介入。故此,我们研究第三方信息安全风险评估的相关法律责任是非常必要与可行的,也是相当富有现实意义的。
三、第三方信息安全风险评估师法律责任的归责基础
信息系统的安全风险可能存在于信息系统生命周期的各个阶段,因此外部评估也就有在任何一个阶段介入,虽然国家规定委托评估必须就信息资产易外泄的特殊性而与被评估单位或信息系统或安全的主管机关签订相应的保密协议,但保密协议只是以一种并不完整的方式来表述一些违约责任,并不可能就各种可能发生的事件来做明确的规定。同时基于法律在于节约交易成本的初衷考虑,我们必须以一种通俗的方式来规范评估方与被评估方之间的关系,并站在被评估方的角度来防范评估可能带来的新的风险与评估风险。
法律责任实际上是指市场主体或交易主体在违反相关法律规定的时候,应当承担的由相关实体法规定的义务与责任。既然承担责任的前提是对法律的违背,那么首先必须要有实体法的存在,才能按照程序法来推定法律责任,但要说明的是责任的设定与推定并不是空中楼阁,而应该建立在经济现状的基础上,信息安全风险评估领域也一样,同时鉴于我国在法律法规特别是信息(安全)领域的法律法规方面的规定比较分散,再加上我国法制建设的水平不够完善及法律意识的相对薄弱,因此十分有必要在基本大法——《信息安全基本法》的大体框架下,进一步制定出类似于《注册会计师法》的《第三方信息安全风险评估师法》来规范风险评估师的职业道德与执业行为,同时可以帮助其预防评估风险,这也类似于注册会计师所不得不面临的审计风险。
下面,文章准备从评估人员执业特点的角度来讨论法律责任的归责基础。
我们要探讨第三方信息安全风险评估的法律责任是否有独特的具体形态,首先要确定其法律责任的范围,因为责任范围决定了责任形态的表现形式,前者是后者的基础。总体来说,法律责任是通过国家强制力来保护既有的法律关系的制度,信息系统安全风险评估过程中形成的法律关系是一种社会化的契约关系,信息安全风险评估师是为全社会各类组织提供客观公正的系统安全信息,以便采取相应的安全措施满足其信息安全的需求。在相关利益者之间,信息安全风险评估师提供的是法定的私有信息,这种信息是对组织的系统安全进行鉴证的信息。通过独立或关联的鉴证,既满足了组织的评估需求,也为政府信息化政策的决策提供了依据。从而维护基础网络重大信息系统的稳健性与强壮性。形式上,信息安全风险评估师的评估是由委托人委托来启动的,实质上第三方评估是被评估人的法定义务,评估的结论并不是仅仅为委托人提供服务,更重要的是为政府决策提供依据。因此,我们说网络信息安全风险评估师的法律责任是社会责任。这种社会责任在于责任的基础关系是应社会整体利益需要缔结的,在于缔结社会化契约的利益相关者是对独立评估制度的信赖,在于注册会计师提供的评估信息属于组织或政府的信息,还在于信息安全风险评估师的法律责任的目的是保障组织、政府及社会整体利益。那么,独立评估的法律责任应当限定在信息安全风险评估师的评估失败使国家成本或社会成本增加的范围内。
四、第三方信息安全风险评估师法律责任的种类及其界定
信息安全风险评估师的法律责任是评估责任中最核心的部分,它是指信息安全风险评估师由于违反法律规定的行为而应承担的法律后果。信息安全风险评估师的评估责任是根据有关法律、法规(包括信息安全风险评估指南)对委托人应尽的义务,以及因其未能尽职尽责而应承担的法律行政甚至道德压力方面的后果。
对第三方信息安全风险评估师的法律责任主要有民事责任、行政责任和刑事责任。第三方信息安全风险评估师应承担的民事责任主要是停止侵害委托人或其他利害关系人的经济利益,并赔偿所造成的损失。行政责任是指第三方信息安全风险评估师违反法律法规,发生舞弊或过失行为并给有关方面造成经济等损失后,由政府部门或自律性组织对其追究的具有行政性质的责任。刑事责任是指第三方信息安全风险评估师触犯了刑律,构成犯罪,将受到刑事制裁。第三方信息安全风险评估师的过失或欺诈行为,将导致第三方信息安全风险评估机构受到处罚,而管理欠缺的第三方信息安全风险评估机构也会给第三方信息安全风险评估师执业带来影响。
在认定评估师以上法律责任的时候必须区分过失与欺诈。过失是指在一定条件下,评估师缺少应有的合理的执业谨慎或缺乏具体行业的信息系统安全知识而作出错误评估的行为。欺诈是以欺骗或坑害他人为目的的故意行为,亦称为评估师舞弊,具体体现为评估机构或评估师与信息系统的承建者之间具有极大的利益关联,从而使评估缺乏独立性甚或合谋欺骗与信息系统关系紧密的利益相关者。信息安全风险评估师对过失和欺诈均应承担责任,但所承担责任的种类和程度,以及受到处罚的轻重应有所区别。同时被评估方指控评估师的行为使自己遭受损失时,必须能证明自己的损失与评估师的评估报告有直接关系。在条件许可的情况下,可以成立由信息安全、信息安全风险评估实务界和理论界以及司法等方面专家组成的鉴定委员会,对过失的有无和大小,过失或欺诈做出令人信服的界定,以使有关部门做出公正的结论或判决。
其次,在实践中界定评估师的法律责任时,不但要重视普通过失与重大过失的区别,而且要重视引入“与有过失”和“比较过失”,借以量化评估师的法律责任。所谓“与有过失”亦称共同过失,是指原告的损失也源于自身的过失。所谓“比较过失”是指根据各过失者犯有过失的程度,而分配其所应负担的损失赔偿额。实际上,被评估方也有可能存在未及时提供相关资料,甚至为了骗取赔偿而故意隐瞒信息系统安全隐患的情况。同时,评估师的法律责任可能基于各利益相关者的共同过失而存在,至于如何确定各自的责任,这可能必须基于重要性原则。即谁的关键过失导致了此项责任。
最后,在界定评估师的法律责任时,还应科学正确的区分评估方的评估责任与被评估方应该承担的基本的安全责任与安全控制责任。信息安全风险评估师的基本职能是安全鉴证,即鉴证客户拥有或使用的信息系统是否遵循了应有的职业道德、执业准则以及风险评估指南与规范。信息安全风险评估师并非国家公务员,既无行政监督权,更无司法监督权,其手段有限,加之评估成本的约束,至多也就是受托安全或经济责任关系中的鉴证性监督。在理论上过分强调评估师的监督职能,显然加重了其所能承受和应承受的责任,那种要求评估师对被评估单位信息系统的正确性、完整性及健康性,提出百分之百准确的评估意见是不现实的,在实践上也是行不通的,评估师不能也无法对组织信息系统的所有安全负有责任,更不能允许在司法实践中出现未履行合法程序的条件下,对评估机构或评估师实行强制措施。
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。