我國(guó)信息安全等級(jí)保護(hù)基本法律框架

1994年，國(guó)務(wù)院頒布的《信息安全保護(hù)條例》首次提出對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)行等級(jí)保護(hù)，并授權(quán)公安部會(huì)同有關(guān)部門制定等級(jí)劃分標(biāo)準(zhǔn)和管理辦法。2003年，中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了《國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障的意見》，再次強(qiáng)調(diào)對(duì)信息安全進(jìn)行等級(jí)保護(hù)。 2004年公安部聯(lián)合國(guó)家保密局、密碼局、保密委員會(huì)和國(guó)務(wù)院信息化領(lǐng)導(dǎo)辦公室發(fā)布《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》，對(duì)信息安全等級(jí)保護(hù)的基本制度框架進(jìn)行了規(guī)劃。2006年上述四部門發(fā)布《信息安全等級(jí)保護(hù)管理辦法（試行）》，開始具體構(gòu)建信息安全等級(jí)保護(hù)制度，該辦法在試行一年后于2007年6月正式發(fā)布實(shí)施。以上法律文件從信息安全等級(jí)保護(hù)的提出到其具體制度的制定，構(gòu)筑了我國(guó)信息安全等級(jí)保護(hù)的基本法律框架。

(一)等級(jí)的劃分

國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素劃分為五級(jí)：

第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。

第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。

第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

信息系統(tǒng)運(yùn)營(yíng)、使用單位根據(jù)等級(jí)劃分，按照相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全監(jiān)管部門對(duì)三級(jí)以上信息系統(tǒng)的等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。

(二) 等級(jí)保護(hù)工作的職責(zé)分工

在開展等級(jí)保護(hù)工作中，涉及到的部門分工各不相同：

公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)；國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督檢查、指導(dǎo)；國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)；涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理；國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。而信息系統(tǒng)主管部門應(yīng)當(dāng)組織并實(shí)施所管轄的信息系統(tǒng)的信息安全等級(jí)保護(hù)工作，督促、檢查、指導(dǎo)其主管的信息系統(tǒng)運(yùn)營(yíng)使用單位依照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，落實(shí)安全責(zé)任。

(三)等級(jí)保護(hù)的實(shí)施

等級(jí)保護(hù)的實(shí)施流程包括六項(xiàng)內(nèi)容：

一是自主定級(jí)與審批。信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，確定信息系統(tǒng)的安全保護(hù)等級(jí)。有上級(jí)主管部門的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門審核批準(zhǔn)?？缡』蛉珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護(hù)等級(jí)。

二是評(píng)審。在信息系統(tǒng)確定安全保護(hù)等級(jí)過程中，可以進(jìn)行必要的業(yè)務(wù)和技術(shù)評(píng)估，組織專家進(jìn)行咨詢?cè)u(píng)審。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)、使用單位或者主管部門應(yīng)當(dāng)邀請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。

三是系統(tǒng)建設(shè)。信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和劃分準(zhǔn)則、基本要求、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、服務(wù)器、終端等技術(shù)要求，使用符合本系統(tǒng)安全保護(hù)等級(jí)要求的信息安全產(chǎn)品，同步建設(shè)符合本系統(tǒng)安全保護(hù)等級(jí)要求的信息安全設(shè)施。運(yùn)營(yíng)使用單位應(yīng)當(dāng)按照安全管理要求、安全工程管理要求等管理規(guī)范，建立安全組織，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。

四是等級(jí)測(cè)評(píng)。信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合本系統(tǒng)安全保護(hù)等級(jí)要求的檢測(cè)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)安全等級(jí)狀況開展技術(shù)測(cè)評(píng)。第三級(jí)以上信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)按照等級(jí)保護(hù)管理辦法要求選擇測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)評(píng)。

五是備案。第二級(jí)以上信息系統(tǒng)由其運(yùn)營(yíng)使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。

六是監(jiān)督檢查。公安機(jī)關(guān)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范，定期對(duì)第三級(jí)以上的信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)信息安全保護(hù)的情況資料。

(四)法律責(zé)任

第三級(jí)以上信息系統(tǒng)運(yùn)營(yíng)、使用單位違反《信息安全等級(jí)保護(hù)管理辦法》，有未按規(guī)定備案、審批，未按規(guī)定落實(shí)安全管理制度、措施，或者未按規(guī)定開展系統(tǒng)安全狀況檢查、系統(tǒng)安全技術(shù)測(cè)評(píng)，以及接到整改通知后拒不整改等行為之一的，由公安機(jī)關(guān)、國(guó)家保密工作部門和國(guó)家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級(jí)主管部門通報(bào)情況，建議對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時(shí)反饋處理結(jié)果。

信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。

我國(guó)信息安全等級(jí)保護(hù)立法存在的問題

盡管我國(guó)出臺(tái)了一系列信息安全等級(jí)保護(hù)的相關(guān)政策和法規(guī)，構(gòu)筑了我國(guó)信息安全等級(jí)保護(hù)的基本法律框架，但是，我國(guó)的信息安全等級(jí)保護(hù)立法總體來說還處于起步階段，存在著很多問題:

(一)立法層次偏低

實(shí)際上，我國(guó)整個(gè)信息安全立法的層級(jí)都偏低，信息安全立法主要以行政法規(guī)形式存在，而具體到等級(jí)保護(hù)方面的立法更是主要以部門規(guī)章的形式存在，還沒有一部高位階、統(tǒng)領(lǐng)性的信息安全基本法律，因而難以形成科學(xué)、合理、專業(yè)、有序的法律體系。這與信息安全在國(guó)家安全中的戰(zhàn)略地位，與等級(jí)保護(hù)在信息安全中的基本地位是不相符合的。由于信息安全等級(jí)保護(hù)制度立法層次低，主要以部門規(guī)章出現(xiàn)，囿于部門職權(quán)和利益，其制度設(shè)計(jì)往往存在天然的局限性，缺乏全局的統(tǒng)籌和制度設(shè)計(jì)。

而且，我國(guó)在信息安全等級(jí)保護(hù)立法乃至整個(gè)信息安全立法中都存在重政策輕法律的問題，習(xí)慣于采用規(guī)范性文件或者領(lǐng)導(dǎo)批示的方式，布置任務(wù)或者貫徹落實(shí)文件精神，忽視了法律在預(yù)防和處理信息安全問題上應(yīng)當(dāng)發(fā)揮的作用和效能。由于規(guī)范性文件、政策性文件因缺乏支配性、強(qiáng)制執(zhí)行力，往往不能得到有效執(zhí)行，因而不能轉(zhuǎn)化為現(xiàn)實(shí)的有力地調(diào)整和指引工具。

(二)未能融入風(fēng)險(xiǎn)管理的理念

進(jìn)入網(wǎng)絡(luò)時(shí)代以后，安全威脅不斷增加，所需的安全成本和資源也成倍增長(zhǎng)，在當(dāng)今復(fù)雜的、分布的、異構(gòu)的信息系統(tǒng)環(huán)境下，無論采取多么完善的信息安全手段都難以達(dá)到絕對(duì)的安全，風(fēng)險(xiǎn)總會(huì)存在，因而很難采取風(fēng)險(xiǎn)消除的方法實(shí)現(xiàn)安全性，適宜的方法是將基于風(fēng)險(xiǎn)的安全理念引入到保障信息系統(tǒng)信息安全的過程中，對(duì)整個(gè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)管理。在信息安全等級(jí)保護(hù)中乃至整個(gè)信息安全保障工作中融入風(fēng)險(xiǎn)管理的理念已經(jīng)是信息安全保障工作的主流范式。如美國(guó)標(biāo)準(zhǔn)與技術(shù)研究院在《聯(lián)邦信息安全管理法》的要求下制定的美國(guó)信息安全認(rèn)證認(rèn)可的標(biāo)準(zhǔn)框架即充分體現(xiàn)了風(fēng)險(xiǎn)管理的理念，這個(gè)框架貫徹了《聯(lián)邦信息安全管理法》的要求，明確提出落實(shí)認(rèn)證認(rèn)可工作，要以風(fēng)險(xiǎn)管理的思想貫徹于其信息系統(tǒng)的生存周期。

但是令人遺憾的是，我國(guó)現(xiàn)行的信息安全等級(jí)保護(hù)法律框架并沒有將風(fēng)險(xiǎn)管理的理念融入其中，而是將信息安全等級(jí)保護(hù)與作為風(fēng)險(xiǎn)管理代表的信息安全風(fēng)險(xiǎn)評(píng)估制度并行分別試點(diǎn)推進(jìn)。目前，信息安全風(fēng)險(xiǎn)評(píng)估還只停留在政策推行階段。這就造成了等級(jí)保護(hù)與風(fēng)險(xiǎn)管理或者更具體一點(diǎn)與風(fēng)險(xiǎn)評(píng)估的割裂，一方面使信息安全保障工作重復(fù)建設(shè)，更重要的另一方面是這種割裂導(dǎo)致了信息安全保障工作的不科學(xué)，致信息安全于危險(xiǎn)的境地。

(三)立法內(nèi)容不全面

雖然現(xiàn)行的行政法規(guī)和部門規(guī)章已經(jīng)為信息安全等級(jí)保護(hù)構(gòu)筑了一個(gè)基本的法律框架，但是，其立法內(nèi)容還是很不全面的，還有許多重要的內(nèi)容有待進(jìn)一步立法明確，比如信息安全等級(jí)測(cè)評(píng)制度。

信息安全等級(jí)測(cè)評(píng)在整個(gè)信息安全等級(jí)保護(hù)中占有重要地位，它不僅是確定系統(tǒng)是否符合預(yù)定安全要求的重要依據(jù)，還是發(fā)現(xiàn)并彌補(bǔ)信息安全漏洞的過程。那么等級(jí)測(cè)評(píng)機(jī)構(gòu)如何組成？如何管理？測(cè)評(píng)結(jié)果的效力如何？測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)承當(dāng)什么責(zé)任？現(xiàn)行法律框架沒有給出明確的規(guī)定。

(四)法律責(zé)任體系不完善

現(xiàn)行法律框架并沒有為推進(jìn)信息安全等級(jí)保護(hù)提供強(qiáng)有力的法律責(zé)任保障，對(duì)于違法行為除了警告或者建議其主管上級(jí)處理外別無他法，這樣的法律責(zé)任體系顯然很不完善。第一，從法律責(zé)任性質(zhì)上來講，缺乏民事責(zé)任的規(guī)定。信息系統(tǒng)運(yùn)營(yíng)、使用人不履行等級(jí)保護(hù)之法定義務(wù)，會(huì)將信息系統(tǒng)置于危險(xiǎn)狀態(tài)，信息系統(tǒng)一旦受到破壞，會(huì)損害與之相關(guān)的他人權(quán)益。因此，信息系統(tǒng)運(yùn)營(yíng)、使用人承擔(dān)著對(duì)該系統(tǒng)相關(guān)人的安全保障義務(wù)，其不履行或者不完全履行等級(jí)保護(hù)義務(wù)給他人造成損害的，應(yīng)當(dāng)承擔(dān)民事賠償責(zé)任。第二，行政責(zé)任單一、軟弱，不能起到對(duì)于違法行為的懲治和對(duì)可能違法的震懾，不能起到預(yù)防違法的作用。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，對(duì)于違法行為只能責(zé)令其限期改正，逾期不改正的，給予警告，并其上級(jí)主管部門通報(bào)情況，建議對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時(shí)反饋處理結(jié)果?？梢哉f，幾乎沒有什么強(qiáng)制性的處罰措施，在實(shí)際執(zhí)行中顯然要大打折扣。

我國(guó)信息安全等級(jí)保護(hù)制度的完善

完善我國(guó)的信息安全等級(jí)保護(hù)制度，既要立足于信息安全保障的基本規(guī)律，充分考慮我國(guó)信息網(wǎng)絡(luò)發(fā)展的特殊性，又要吸收和借鑒各國(guó)的立法經(jīng)驗(yàn)，筆者認(rèn)為，我國(guó)的信息安全等級(jí)保護(hù)制度可以從以下幾個(gè)方面進(jìn)行完善：

(一)加強(qiáng)以等級(jí)保護(hù)為主要內(nèi)容之一的信息安全基本法立法工作

制定一部高效力層次的信息安全基本法，有助于科學(xué)、合理、專業(yè)、有序的信息安全法體系的構(gòu)建，也有助于推動(dòng)信息化戰(zhàn)略的實(shí)施。在信息安全基本法之下，可以克服現(xiàn)行等級(jí)保護(hù)以部門規(guī)章為主體的局限性，可以在更廣范圍內(nèi)更科學(xué)地分配各部門職責(zé)，比如國(guó)家標(biāo)準(zhǔn)部門對(duì)于信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)的制定和發(fā)展等。制定等級(jí)保護(hù)制度的完善。同時(shí)，高位階的信息安全基本法可以創(chuàng)設(shè)更多法律責(zé)任制度，更有利于形成完善的法律責(zé)任體系，確保信息安全等級(jí)保護(hù)制度的強(qiáng)制力和執(zhí)行力。

(二)引入風(fēng)險(xiǎn)評(píng)估機(jī)制

信息安全等級(jí)保護(hù)必須樹立風(fēng)險(xiǎn)管理的思想，而風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)，因此，筆者認(rèn)為，三級(jí)以上信息系統(tǒng)必須定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估貫穿于等級(jí)保護(hù)周期的系統(tǒng)定級(jí)、安全實(shí)施和安全運(yùn)維三個(gè)階段：

1.系統(tǒng)定級(jí)。由于信息系統(tǒng)具有自身的行業(yè)和業(yè)務(wù)特點(diǎn)，且所受到的安全威脅均有所不同，因此，可以依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)對(duì)所評(píng)估資產(chǎn)的重要性、客觀威脅發(fā)生的頻率、以及系統(tǒng)自身脆弱性的嚴(yán)重程度進(jìn)行識(shí)別和關(guān)聯(lián)分析，判斷信息系統(tǒng)應(yīng)采取什么強(qiáng)度的安全措施，然后將安全事件一旦發(fā)生后可能造成的影響控制在可接受的范圍內(nèi)。即將風(fēng)險(xiǎn)評(píng)估的結(jié)果作為確定信息系統(tǒng)安全措施的保護(hù)級(jí)別的一個(gè)參考依據(jù)。

2.安全實(shí)施。安全實(shí)施是根據(jù)信息安全等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)的要求，從管理與技術(shù)兩個(gè)方面選擇不同強(qiáng)度的安全措施，來確保建設(shè)的安全措施滿足相應(yīng)的等級(jí)要求。風(fēng)險(xiǎn)評(píng)估在安全實(shí)施階段就可以直接發(fā)揮作用，那就是對(duì)現(xiàn)有系統(tǒng)進(jìn)行評(píng)估和加固，然后再進(jìn)行安全設(shè)備部署等。在安全實(shí)施過程中也會(huì)發(fā)生事件并可能帶來長(zhǎng)期的安全隱患，如安全集成過程中設(shè)置的超級(jí)用戶和口令沒有完全移交給用戶、防火墻部署后長(zhǎng)時(shí)間保持透明策略等都會(huì)帶來嚴(yán)重的問題，風(fēng)險(xiǎn)評(píng)估能夠及早發(fā)現(xiàn)并解決這些問題。

3.安全運(yùn)維。安全運(yùn)維是指按照系統(tǒng)等級(jí)進(jìn)行安全實(shí)施后開展運(yùn)行維護(hù)的安全工作。安全運(yùn)維包括兩方面：一是維護(hù)現(xiàn)有安全措施等級(jí)的有效性?？梢罁?jù)國(guó)家有關(guān)等級(jí)劃分準(zhǔn)則對(duì)信息系統(tǒng)所采取的安全措施是否滿足要求進(jìn)行檢驗(yàn)，以保證所采取的安全措施的強(qiáng)度持續(xù)有效；二是根據(jù)客觀情況的變化以及系統(tǒng)內(nèi)部建設(shè)的實(shí)際需要，等級(jí)要進(jìn)行定期調(diào)整，以防止過度保護(hù)或保護(hù)不足。再定級(jí)的過程可參見系統(tǒng)定級(jí)部分的內(nèi)容。

(三)建立健全等級(jí)測(cè)評(píng)法律機(jī)制

可以考慮從以下幾個(gè)方面對(duì)信息安全等級(jí)測(cè)評(píng)機(jī)制進(jìn)行完善:

1.等級(jí)測(cè)評(píng)的啟動(dòng)機(jī)制。等級(jí)測(cè)評(píng)可由信息系統(tǒng)運(yùn)營(yíng)、使用、主管和監(jiān)督單位啟動(dòng)。

2.等級(jí)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人準(zhǔn)入制度。等級(jí)測(cè)評(píng)是一項(xiàng)專業(yè)性和專職性很輕的工作，并且需要測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人具有很高的職業(yè)操守，因此，必須設(shè)定一定的門檻，實(shí)行準(zhǔn)入制度。測(cè)評(píng)人應(yīng)當(dāng)進(jìn)行專業(yè)資格考試和考核，以確定其具備相應(yīng)的專業(yè)素質(zhì)和職業(yè)操守，有故意泄露工作秘密或者有犯罪記錄的人員不能取得測(cè)評(píng)人資格。測(cè)評(píng)機(jī)構(gòu)必須擁有專業(yè)化的測(cè)評(píng)團(tuán)隊(duì)、良好的測(cè)評(píng)手段，具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度，具有一定規(guī)模才能取得主體資格。

3.等級(jí)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人法律責(zé)任制度。被測(cè)評(píng)單位應(yīng)該和測(cè)評(píng)機(jī)構(gòu)就測(cè)評(píng)工作簽訂測(cè)評(píng)合同，測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)對(duì)自身的測(cè)評(píng)行為負(fù)責(zé)，對(duì)違反法律規(guī)定的行為不僅要對(duì)被測(cè)評(píng)單位承擔(dān)合同責(zé)任，而且要承擔(dān)行政責(zé)任，接受行政管理機(jī)關(guān)對(duì)于其違法行為的處罰。對(duì)測(cè)評(píng)人的法律責(zé)任主要是行政責(zé)任和刑事責(zé)任。行政責(zé)任是指測(cè)評(píng)人違反法律法規(guī)，發(fā)生舞弊或過失行為并給有關(guān)方面造成經(jīng)濟(jì)等損失后，由政府部門或自律性組織對(duì)其追究的具有行政性質(zhì)的責(zé)任，比如剝奪測(cè)評(píng)人資格等。一般來說，由于測(cè)評(píng)人在等級(jí)測(cè)評(píng)中是履行職務(wù)的行為，所以即使測(cè)評(píng)人由于過失或欺詐行為而使被測(cè)評(píng)單位受損，也應(yīng)當(dāng)由測(cè)評(píng)機(jī)構(gòu)對(duì)外承擔(dān)民事責(zé)任。

(四)完善等級(jí)保護(hù)法律責(zé)任體系

筆者認(rèn)為，可以為信息系統(tǒng)的使用、運(yùn)營(yíng)單位創(chuàng)設(shè)一定的民事責(zé)任從而迫使其積極履行信息安全等級(jí)保護(hù)義務(wù)?？梢砸?guī)定，若信息系統(tǒng)的使用、運(yùn)營(yíng)單位對(duì)信息系統(tǒng)相關(guān)人依約或者依法承擔(dān)有安全保障義務(wù)，則使用、運(yùn)營(yíng)單位不履行等級(jí)保護(hù)義務(wù)即為其未履行對(duì)相關(guān)人安全保障義務(wù)的明證，應(yīng)當(dāng)為相關(guān)人因此的損失承擔(dān)民事責(zé)任。

另外，在行政責(zé)任方面，可以對(duì)違反信息安全等級(jí)保護(hù)相關(guān)法律規(guī)定的信息系統(tǒng)運(yùn)營(yíng)、使用單位給予罰款等行政處罰，促使其履行義務(wù)。

(作者系華中科技大學(xué)博士研究生)