第三方网络信息安全风险评估过程中法律责任研究.docVIP

第三方网络信息安全风险评估过程中法律责任研究 　　 　　一、引言 　　 　　随着各类组织的信息化程度的提高，使得信息系统越来越复杂，在业务运作的过程中生成大量的数据，组织的发展对信息的依赖程度也越来越大，这样信息安全管理成了组织风险管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题，信息安全风险评估逐渐被引入组织的管理体系当中。但是，我国目前的信息安全风险评估主要侧重于技术层面与管理层面，而很少从法律的视角来审视信息安全风险的预防、评估与管理。即使从2003年开始，国务院信息化办公室与国家信息安全中心逐步推行全面的信息安全风险评估业务并于去年着手起草了《信息安全风险评估指南》与《信息安全风险管理指南》，但其中的某些内容主要适用于组织的系统自评估，缺乏明确而具体的条文来指导外部的第三方评估服务提供机构及其人员，更缺少相关的第三方信息安全风险评估机构资质管理办法与对应的法律或法律责任体系。正是基于此背景，本文将规范研究与实证研究相结合的方法来深入探讨第三方信息安全风险评估机构及其人员资质管理方面的法律问题及法律责任的设定。 　　 　　二、研究第三方网络信息安全风险评估法律责任的必要性与可行性 　　 　　第一，必要性。目前，国内基本上未设立真正的独立于政府和信息系统使用者（拥有者）的第三方信息安全风险评估机构，几乎所有的专业评估机构都由政府或行业协会控制，这从某种程度考虑可能是合理的，因为信息是一类非常特殊的资产，可能关乎国家机密或企业机密，因此不可能将其信息系统安全风险的评估部分或完全委托给外部的第三方评估服务提供商来完成，更不用说是国外专业的、技术先进的、经验丰富的评估机构，但随着我国国内企业信息化程度的快速提高，信息安全风险评估的需求将大大增长，而国家主导的专业评估机构已经远远不能满足这一需求，故必须出台相关的管理规定或法律法规来设立、规范并有效管理第三方评估机构，此为其一；其二，国内第三方信息安全风险评估的标准不统一或根本就没有标准可以遵循，从而导致各个评估机构的业务流程不规范统一，从而得出截然不同的评估结论或评估报告，从这个方面考虑也应该设定评估机构或评估人员的法律责任来规范其职业道德与执业水平。 　　第二，可行性。显然，相关的经验与事实证明：被评估方投入一定的花费进行信息安全风险评估是可行的，而评估机构或评估师自然也会基于成本-收益的考虑来实施何种相应的评估行为，如果评估机构的评估成本过低，可能会引起被评估机构的怀疑，甚至招致相关的诉讼，因此即使站在评估人员或机构防范法律风险或诉讼风险的角度，我们来进行其法律责任的研究也是有价值并是可行的。因为这样，不仅被评估方可以防范并规避信息安全风险，评估方也可以避免评估风险，体现为出具了不恰当的评估意见或评估报告或由于对被评估单位及其所在行业了解不够而导致的相关过失风险。 　　总之，在经济全球化与信息的作用与日俱增背景下，法律的作用将更加不可忽视，特别是对于信息系统与信息安全法律应该深度介入。故此，我们研究第三方信息安全风险评估的相关法律责任是非常必要与可行的，也是相当富有现实意义的。 　　 　　三、第三方信息安全风险评估师法律责任的归责基础 　　 　　信息系统的安全风险可能存在于信息系统生命周期的各个阶段，因此外部评估也就有在任何一个阶段介入，虽然国家规定委托评估必须就信息资产易外泄的特殊性而与被评估单位或信息系统或安全的主管机关签订相应的保密协议，但保密协议只是以一种并不完整的方式来表述一些违约责任，并不可能就各种可能发生的事件来做明确的规定。同时基于法律在于节约交易成本的初衷考虑，我们必须以一种通俗的方式来规范评估方与被评估方之间的关系，并站在被评估方的角度来防范评估可能带来的新的风险与评估风险。 　　法律责任实际上是指市场主体或交易主体在违反相关法律规定的时候，应当承担的由相关实体法规定的义务与责任。既然承担责任的前提是对法律的违背，那么首先必须要有实体法的存在，才能按照程序法来推定法律责任，但要说明的是责任的设定与推定并不是空中楼阁，而应该建立在经济现状的基础上，信息安全风险评估领域也一样，同时鉴于我国在法律法规特别是信息（安全）领域的法律法规方面的规定比较分散，再加上我国法制建设的水平不够完善及法律意识的相对薄弱，因此十分有必要在基本大法――《信息安全基本法》的大体框架下，进一步制定出类似于《注册会计师法》的《第三方信息安全风险评估师法》来规范风险评估师的职业道德与执业行为，同时可以帮助其预防评估风险，这也类似于注册会计师所不得不面临的审计风险。 　　下面，文章准备从评估人员执业特点的角度来讨论法律责任的归责基础。 　　我们要探讨第三方信息安全风险评估的法律责任是否有独特的具体形态，首先要确定其法律责任的范围，因为责任