第三方網絡信息安全風險評估過程中的法律責任研究

一、引言

隨著各類組織的信息化程度的提高，使得信息系統越來越復雜，在業務運作的過程中生成大量的數據，組織的發展對信息的依賴程度也越來越大，這樣信息安全管理成了組織風險管理的重要組成部分。如何保障信息安全是每個現代組織所面臨的共同問題，信息安全風險評估逐漸被引入組織的管理體系當中。但是，我國目前的信息安全風險評估主要側重于技術層面與管理層面，而很少從法律的視角來審視信息安全風險的預防、評估與管理。即使從2003年開始，國務院信息化辦公室與國家信息安全中心逐步推行全面的信息安全風險評估業務并于去年著手起草了《信息安全風險評估指南》與《信息安全風險管理指南》，但其中的某些內容主要適用于組織的系統自評估，缺乏明確而具體的條文來指導外部的第三方評估服務提供機構及其人員，更缺少相關的第三方信息安全風險評估機構資質管理辦法與對應的法律或法律責任體系。正是基于此背景，本文將規范研究與實證研究相結合的方法來深入探討第三方信息安全風險評估機構及其人員資質管理方面的法律問題及法律責任的設定。

二、研究第三方網絡信息安全風險評估法律責任的必要性與可行性

第一，必要性。目前，國內基本上未設立真正的獨立于政府和信息系統使用者（擁有者）的第三方信息安全風險評估機構，幾乎所有的專業評估機構都由政府或行業協會控制，這從某種程度考慮可能是合理的，因為信息是一類非常特殊的資產，可能關乎國家機密或企業機密，因此不可能將其信息系統安全風險的評估部分或完全委托給外部的第三方評估服務提供商來完成，更不用說是國外專業的、技術先進的、經驗豐富的評估機構，但隨著我國國內企業信息化程度的快速提高，信息安全風險評估的需求將大大增長，而國家主導的專業評估機構已經遠遠不能滿足這一需求，故必須出臺相關的管理規定或法律法規來設立、規范并有效管理第三方評估機構，此為其一；其二，國內第三方信息安全風險評估的標準不統一或根本就沒有標準可以遵循，從而導致各個評估機構的業務流程不規范統一，從而得出截然不同的評估結論或評估報告，從這個方面考慮也應該設定評估機構或評估人員的法律責任來規范其職業道德與執業水平。

第二，可行性。顯然，相關的經驗與事實證明：被評估方投入一定的花費進行信息安全風險評估是可行的，而評估機構或評估師自然也會基于成本-收益的考慮來實施何種相應的評估行為，如果評估機構的評估成本過低，可能會引起被評估機構的懷疑，甚至招致相關的訴訟，因此即使站在評估人員或機構防范法律風險或訴訟風險的角度，我們來進行其法律責任的研究也是有價值并是可行的。因為這樣，不僅被評估方可以防范并規避信息安全風險，評估方也可以避免評估風險，體現為出具了不恰當的評估意見或評估報告或由于對被評估單位及其所在行業了解不夠而導致的相關過失風險。

總之，在經濟全球化與信息的作用與日俱增背景下，法律的作用將更加不可忽視，特別是對于信息系統與信息安全法律應該深度介入。故此，我們研究第三方信息安全風險評估的相關法律責任是非常必要與可行的，也是相當富有現實意義的。

三、第三方信息安全風險評估師法律責任的歸責基礎

信息系統的安全風險可能存在于信息系統生命周期的各個階段，因此外部評估也就有在任何一個階段介入，雖然國家規定委托評估必須就信息資產易外泄的特殊性而與被評估單位或信息系統或安全的主管機關簽訂相應的保密協議，但保密協議只是以一種并不完整的方式來表述一些違約責任，并不可能就各種可能發生的事件來做明確的規定。同時基于法律在于節約交易成本的初衷考慮，我們必須以一種通俗的方式來規范評估方與被評估方之間的關系，并站在被評估方的角度來防范評估可能帶來的新的風險與評估風險。

法律責任實際上是指市場主體或交易主體在違反相關法律規定的時候，應當承擔的由相關實體法規定的義務與責任。既然承擔責任的前提是對法律的違背，那么首先必須要有實體法的存在，才能按照程序法來推定法律責任，但要說明的是責任的設定與推定并不是空中樓閣，而應該建立在經濟現狀的基礎上，信息安全風險評估領域也一樣，同時鑒于我國在法律法規特別是信息（安全）領域的法律法規方面的規定比較分散，再加上我國法制建設的水平不夠完善及法律意識的相對薄弱，因此十分有必要在基本大法——《信息安全基本法》的大體框架下，進一步制定出類似于《注冊會計師法》的《第三方信息安全風險評估師法》來規范風險評估師的職業道德與執業行為，同時可以幫助其預防評估風險，這也類似于注冊會計師所不得不面臨的審計風險。

下面，文章準備從評估人員執業特點的角度來討論法律責任的歸責基礎。

我們要探討第三方信息安全風險評估的法律責任是否有獨特的具體形態，首先要確定其法律責任的范圍，因為責任范圍決定了責任形態的表現形式，前者是后者的基礎。總體來說，法律責任是通過國家強制力來保護既有的法律關系的制度，信息系統安全風險評估過程中形成的法律關系是一種社會化的契約關系，信息安全風險評估師是為全社會各類組織提供客觀公正的系統安全信息，以便采取相應的安全措施滿足其信息安全的需求。在相關利益者之間，信息安全風險評估師提供的是法定的私有信息，這種信息是對組織的系統安全進行鑒證的信息。通過獨立或關聯的鑒證，既滿足了組織的評估需求，也為政府信息化政策的決策提供了依據。從而維護基礎網絡重大信息系統的穩健性與強壯性。形式上，信息安全風險評估師的評估是由委托人委托來啟動的，實質上第三方評估是被評估人的法定義務，評估的結論并不是僅僅為委托人提供服務，更重要的是為政府決策提供依據。因此，我們說網絡信息安全風險評估師的法律責任是社會責任。這種社會責任在于責任的基礎關系是應社會整體利益需要締結的，在于締結社會化契約的利益相關者是對獨立評估制度的信賴，在于注冊會計師提供的評估信息屬于組織或政府的信息，還在于信息安全風險評估師的法律責任的目的是保障組織、政府及社會整體利益。那么，獨立評估的法律責任應當限定在信息安全風險評估師的評估失敗使國家成本或社會成本增加的范圍內。

四、第三方信息安全風險評估師法律責任的種類及其界定

信息安全風險評估師的法律責任是評估責任中最核心的部分，它是指信息安全風險評估師由于違反法律規定的行為而應承擔的法律后果。信息安全風險評估師的評估責任是根據有關法律、法規（包括信息安全風險評估指南）對委托人應盡的義務，以及因其未能盡職盡責而應承擔的法律行政甚至道德壓力方面的后果。

對第三方信息安全風險評估師的法律責任主要有民事責任、行政責任和刑事責任。第三方信息安全風險評估師應承擔的民事責任主要是停止侵害委托人或其他利害關系人的經濟利益，并賠償所造成的損失。行政責任是指第三方信息安全風險評估師違反法律法規，發生舞弊或過失行為并給有關方面造成經濟等損失后，由政府部門或自律性組織對其追究的具有行政性質的責任。刑事責任是指第三方信息安全風險評估師觸犯了刑律，構成犯罪，將受到刑事制裁。第三方信息安全風險評估師的過失或欺詐行為，將導致第三方信息安全風險評估機構受到處罰，而管理欠缺的第三方信息安全風險評估機構也會給第三方信息安全風險評估師執業帶來影響。

在認定評估師以上法律責任的時候必須區分過失與欺詐。過失是指在一定條件下，評估師缺少應有的合理的執業謹慎或缺乏具體行業的信息系統安全知識而作出錯誤評估的行為。欺詐是以欺騙或坑害他人為目的的故意行為，亦稱為評估師舞弊，具體體現為評估機構或評估師與信息系統的承建者之間具有極大的利益關聯，從而使評估缺乏獨立性甚或合謀欺騙與信息系統關系緊密的利益相關者。信息安全風險評估師對過失和欺詐均應承擔責任，但所承擔責任的種類和程度，以及受到處罰的輕重應有所區別。同時被評估方指控評估師的行為使自己遭受損失時，必須能證明自己的損失與評估師的評估報告有直接關系。在條件許可的情況下，可以成立由信息安全、信息安全風險評估實務界和理論界以及司法等方面專家組成的鑒定委員會，對過失的有無和大小，過失或欺詐做出令人信服的界定，以使有關部門做出公正的結論或判決。

其次，在實踐中界定評估師的法律責任時，不但要重視普通過失與重大過失的區別，而且要重視引入“與有過失”和“比較過失”，借以量化評估師的法律責任。所謂“與有過失”亦稱共同過失，是指原告的損失也源于自身的過失。所謂“比較過失”是指根據各過失者犯有過失的程度，而分配其所應負擔的損失賠償額。實際上，被評估方也有可能存在未及時提供相關資料，甚至為了騙取賠償而故意隱瞞信息系統安全隱患的情況。同時，評估師的法律責任可能基于各利益相關者的共同過失而存在，至于如何確定各自的責任，這可能必須基于重要性原則。即誰的關鍵過失導致了此項責任。

最后，在界定評估師的法律責任時，還應科學正確的區分評估方的評估責任與被評估方應該承擔的基本的安全責任與安全控制責任。信息安全風險評估師的基本職能是安全鑒證，即鑒證客戶擁有或使用的信息系統是否遵循了應有的職業道德、執業準則以及風險評估指南與規范。信息安全風險評估師并非國家公務員，既無行政監督權，更無司法監督權，其手段有限，加之評估成本的約束，至多也就是受托安全或經濟責任關系中的鑒證性監督。在理論上過分強調評估師的監督職能，顯然加重了其所能承受和應承受的責任，那種要求評估師對被評估單位信息系統的正確性、完整性及健康性，提出百分之百準確的評估意見是不現實的，在實踐上也是行不通的，評估師不能也無法對組織信息系統的所有安全負有責任，更不能允許在司法實踐中出現未履行合法程序的條件下，對評估機構或評估師實行強制措施。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。