論信息泄露侵權的歸責原則

文 / 劉維 于雪鋒

一、引言

近年來，個人信息泄露事件在我國呈多發態勢。其中，航空、銀行金融和電子商務等行業成為糾紛的高發領域。信息主體與信息處理者之間的利益平衡和風險配置，成為信息泄露侵權糾紛處理的關鍵。有學者指出一般過錯責任原則對信息主體保護力度的不足：“信息主體甚至不知有侵權，也就不可能證明有過錯；在多個控制者多個處理環節中，要判斷誰有過錯就會越來越困難。”1葉名怡：《個人信息的侵權法保護》，載《法學研究》2019年第4期。境外一些國家和地區出現了加重信息處理者侵權責任的立法趨勢，紛紛采取特殊歸責原則。我國《個人信息保護法》第69條第1款也體現了這種趨勢。

《個人信息保護法》通過之前，我國未就信息泄露侵權的歸責原則做出特別規定，學說與裁判均出現了明顯分野。為了強化適用特殊歸責原則的法律基礎，有學者認為《網絡安全法》第74條2《網絡安全法》第74條第1款：“違反本法規定，給他人造成損害的，依法承擔民事責任。”為嚴格責任，3參見葉名怡：《個人信息的侵權法保護》，載《法學研究》2019年第4期。還有學者認為，作為新型數據關系中具有優勢地位的一方，無論是基于創設危險源理論還是基于誠信原則，數據平臺均應負擔以合理謹慎為內核的信息安全保護義務，適用過錯推定原則，要求數據平臺對其適當履行信息安全保護義務進行證明。4解正山：《數據泄露損害問題研究》，載《清華法學》2020年第4期，第140頁。法院在實踐中的裁判存在較大分歧，有觀點堅持原告就被告過失承擔舉證責任，5參見高云周訴淘寶公司案，北京市東城區人民法院民事判決書，（2015）東民初字第16861號；北京市第二中級人民法院民事判決書，（2016）京02民終5486號。有觀點則在一般過錯責任框架下加重被告的舉證責任，6參見林念平訴四川航空案，四川省成都市中級人民法院民事判決書，（2015）成民終字第1634號。還有觀點主張類推適用關于安全保障義務的規定。7參見申瑾訴上海攜程商務、支付寶案，北京市朝陽區人民法院民事判決書，（2018）京0105民初36658號。

那么，我國究竟應當就信息泄露侵權采取一般過錯責任、過錯推定責任還是嚴格責任原則？信息泄露侵權事件有何特質，導致法律上需要對其歸責原則做特殊處理？不法與過錯統一主義立法例中，為何需要在信息泄露侵權中采取不法推定過錯的模式？如何實現這種模式？《個人信息保護法》的相關規定是否仍有完善的空間？本文擬認清信息泄露侵權事件的特性，在甄別域外法律規定的不同并總結其發展趨勢，揭示在不法與過錯統一主義立法例中采取不法推定過錯的合理性，豐富我國過錯推定原則的新樣態。這對完善《個人信息保護法》的相關規定具有學術和應用價值。需要說明的是，公共機關也收集、存儲大量的個人信息，并有能力決定個人信息的處理目的和方式，也能成為信息泄露侵權糾紛中的信息處理者，但這不在本文探討的范圍之內。

一、信息泄露侵權糾紛舉證責任調整模式的局限性

在探討信息泄露侵權應然的歸責原則之前，有必要對現有裁判中的做法加以檢討。《個人信息保護法》通過之前，信息泄露侵權并非我國規定的特殊歸責情形，原則上都應基于一般過錯責任原則進行裁判，由原告證明損害后果、加害行為、因果關系與過錯。近年來，隨著信息泄露事件的多發以及個人信息保護的強化，我國法院的做法正在發生轉變，集中體現為對當事人證明責任分配的調整。但作為一種解決方案，這種調整不能從根本上解決信息主體與信息處理者之間風險不對稱的問題。

（一）原告就過錯要件的證明責任

2016年之前，我國法院對信息泄露侵權一般嚴格適用過錯責任原則。無論在電子商務還是航空、銀行金融領域，法院多認為原告未能證明被告具有過錯，無法證明個人信息泄露的責任在于被告，原告的疏忽大意是其受損的根本原因，因此敗訴的比例較高。

如在高云周訴淘寶公司案中，高云周從淘寶網購物后收到冒充淘寶客服的電話，后者要求高云周先退貨再重新購買，并詢問了高云周的卡號和身份證號，由此發生信用卡盜刷。高云周認為，淘寶公司在審核賣家信息時，沒有盡到充分的注意和審查義務，事后知道這是黑市交易的賣家賬號時，沒有及時跟高云周聯系，導致高云周的個人信息泄露和財產損失。法院認為：“淘寶公司作為一個網絡交易平臺，應當對交易雙方進行審查、監督，在交易雙方進行注冊時，淘寶公司已經要求雙方填寫了真實的信息，已經盡到了審查義務。對于賣方是否有從事非法行為的意圖并非審查能夠得知，亦不是在可控制范圍內。”“現尚無證據證明其信息泄露是由淘寶公司所為，賣方和物流方均可掌握高云周的訂單信息。”“高云周作為一個完全民事行為能力人，在網購時應該有意識了解交易是否成功、如何辦理退款的一般操作規則及流程，高云周自身防范意識不足，輕易將身份證和銀行卡號如此重要的個人信息告知他人，這是高云周銀行卡被盜刷的直接原因。”8高云周訴淘寶公司案，北京市東城區人民法院民事判決書，（2015）東民初字第16861號；北京市第二中級人民法院民事判決書，（2016）京02民終5486號。

（二）被告就過錯要件的證明責任

隨著個人信息泄露事件的不斷增多，《網絡安全法》等保護個人信息的法律法規密集出臺，我國法院傾向于降低原告的證明責任。多數法院認為原告作為個人信息的主體，就被告內部信息管理是否存在安全漏洞等事實，不具備舉證能力，因而不再要求原告證明被告具有過錯，而要求被告就其已經盡到信息安全保護義務承擔舉證責任，以此推翻對其過錯的指控。就被告舉證責任的具體內容，司法實踐中大致有四種做法：

第一，強調被告應當證明已經履行了必要的技術和其他措施。如在林念平訴四川航空案中，二審法院認為：“盡管‘沒有泄露’作為一個消極事實，四川航空公司很難證明和說明，但可以通過舉證證明其履行了采取技術措施和其他必要措施，以確保消費者個人信息安全的義務，來說明林念平信息的泄露并非四川航空公司的過錯造成的。”9林念平訴四川航空案，四川省成都市中級人民法院民事判決書，（2015）成民終字第1634號。

第二，強調被告應當證明其持續、及時地針對信息安全漏洞進行管理和彌補。如在龐理鵬訴東方航空、趣拿網案中，法院認為：“東航和趣拿公司在被媒體多次報道涉嫌泄露乘客隱私后，即應知曉其在信息安全管理方面存在漏洞，但是，該兩家公司卻并未舉證證明其在媒體報道后迅速采取了專門的、有針對性的有效措施，以加強其信息安全保護。而本案泄露事件的發生，正是其疏于防范導致的結果，因而可以認定趣拿公司和東航具有過錯。”10龐理鵬訴東方航空、趣拿網案，北京市海淀區人民法院民事判決書，（2015）海民初字第10634號；龐理鵬訴東方航空、趣拿網案，北京市第一中級人民法院民事判決書，（2017）京01民終509號。

第三，強調被告應當就其個人信息的處理流程舉證。如在申瑾訴上海攜程商務、支付寶案中，被告“應當將其內部員工授權進行訪問涉案訂單的人員范圍、訪問敏感信息的授權記錄、監控情況、操作記錄、內外部傳輸審批情況等流程向法院舉證”11申瑾訴上海攜程商務、支付寶案，北京市朝陽區人民法院民事判決書，（2018）京0105民初36658號。。

第四，被告證明不存在因果關系等其他要件，可用于輔助對其過錯的反證。法院只要求原告完成初步證明，通常由原告提供當事人之間的交易關系、信息被泄露的證據，法院結合個人信息組合由被告掌握的事實、第三方掌握個人信息組合的低可能性，以及媒體對有關行業泄露個人信息的報道，認定被告存在泄露個人信息的高度可能。基于被告占有或更接近有關證據材料，且擁有更強的證據收集能力，此時由被告證明個人信息泄露系第三方所為（如黑客攻擊），或因原告疏忽。如果被告未能完成舉證責任，則反過來說明，個人信息的泄露是基于被告疏于防范的結果，被告具有過錯。如在周裕嬋訴快客公司案中，法院認為：“本案信息泄露事件的發生，在排除其他泄露隱私信息可能性的前提下，可以認定是由于快客公司疏于防范導致的結果，因而可以認定其具有過錯，應承擔侵權責任。”12周裕嬋訴快客公司案，廣東省深圳市寶安區人民法院民事判決書，（2018）粵0306民初10921號。

（三）舉證責任調整的局限

《個人信息保護法》通過之前，我國無信息泄露侵權特殊歸責原則的明文規定，關于安全保障義務的規定也不能作為適用或類推適用的條文，當時裁判關于當事人舉證責任調整的解決方案實乃權宜之計，不能從根本上科學配置信息主體和信息處理者之間的風險。

首先，《網絡安全法》第74條的立法意圖并不明顯，不能解讀為對嚴格責任的宣示。可支撐這種解讀的立法有原《侵權責任法》第2條（“侵害民事權益，應當依照本法承擔侵權責任”）。《網絡安全法》第74條只是對信息負責原則的宣示，可供參照的立法例是歐盟《通用數據保護條例》（GDPR）第5條第2款。根據該條款，信息處理者應當有責任且有能力證明其符合第1款規定（負責原則）。該條款只是要求信息處理者采取措施，確保遵循本條規定的原則（合法、合理、透明、目的限制、數據最小化、準確、存儲限制、完整及保密），且能夠證明（demonstrate）其已經遵循這些原則，13Lukas Feiler, Nikolaus Forgo&Michaela Weigl, The EU General Data Protection Regulation （GDPR）: A Commentary,German Law Publishers, 2018, p.19.“能夠證明”不等于有義務證明。14Brendan Van Alsenoy, Liability under EU Data Protection Law: From Directive 95/46 to the General Data Protection Regulation, Journal of Intellectual Property, Information Technology and Electronic Commerce Law Vol.7, p.271(2016), para 43.該條款并非有關信息處理者安全保護義務及侵權歸責原則的規定。同理，《網絡安全法》也不能作歸責原則的解讀。

其次，適用或類推適用安全保障義務規定的做法不可取。我國法院認為，“網絡空間的運行和信息交互活動，與現實場景下的社會性場所、群眾性活動有行為模式的相似之處，虛擬數字世界中的網絡服務提供者與現實世界中的安全保護義務主體一樣，應對針對其服務用戶發生的侵權負有排除義務，并對未來的妨害負有審查和控制義務。”15申瑾訴上海攜程商務、支付寶案，北京市朝陽區人民法院民事判決書，（2018）京0105民初36658號。但是，安全保障義務有兩類：一是防止他人遭受義務人侵害的安全保障義務，二是防止他人遭受第三人侵害的安全保障義務。16王勝明主編：《中華人民共和國侵權責任法釋義》，法律出版社2010年版，第202頁。安全保障義務人是賓館、商場、銀行、車站、娛樂場所等公共場所的管理人或者群眾性活動的組織者，17王勝明主編：《中華人民共和國侵權責任法釋義》，法律出版社2010年版，第200頁。多與物理空間的提供者相關。而信息泄露事件中的金融機構、航空公司、網絡服務提供者等信息處理者，或者與信息主體之間具有直接交易關系，或者只是提供虛擬的交易平臺，其虛擬場所、直接交易關系特征有別于“公共場所”或“群眾性活動”，而且本條立法不倡導擴張義務人的范圍，18王勝明主編：《中華人民共和國侵權責任法釋義》，法律出版社2010年版，第200頁。故不宜適用或類推適用。我國法院有初審認定網絡空間適用安全保障義務規定，而被二審推翻的案例，即為明證。19參見“何小飛等與北京密境和風科技有限公司網絡侵權責任糾紛案”，北京互聯網法院民事判決書，（2018）京0491民初2386號；“北京密境和風科技有限公司與何小飛網絡侵權責任糾紛案”，北京市第四中級人民法院民事判決書，（2019）京04民終139號。

再次，在缺乏法定依據的情況下，法院不能采取特殊歸責原則，這導致了當前法院“退而求其次”的做法。在一般過錯責任的框架下，我國部分法院借助證明責任轉移的“工具”，實現了向過錯推定原則立場的轉變。具體而言，過錯要件的證明責任在當事人之間轉移的過程中，我國法院降低了原告證明責任標準，將主要證明責任轉移給被告，但這在實質意義上實現了過錯推定原則的效果。然而，一方面，由于沒有關于特殊歸責的法律依據，其他法院仍然可能堅持過錯責任，因而導致事實上出現不同的歸責原則，信息處理者面臨較大的不確定性。另一方面，即便讓信息處理者承擔證明責任，但由于證明內容不明確（即究竟信息處理者采取了何種措施，才足以表明其盡到了注意義務），實踐中容易變相導致信息處理者無法免責而實質承擔嚴格責任。因而，確定信息泄露侵權糾紛中的歸責原則及信息處理者的注意義務內容，是準確處理此類糾紛的核心。

二、一般過錯與嚴格責任的局限性

從理論上思考歸責原則的合理性，是解決信息主體與信息處理者之間風險分配問題的根本。科學合理的歸責原則應當契合信息泄露事件的特質，以行為的危險系數作為界分過錯歸責與特殊歸責原則的基本分界線，輔之以考慮行為和創新自由度及促進相關產業發展的公共政策。在全球范圍內，信息泄露侵權適用的歸責原則有三種模式：一般過錯、嚴格責任和過錯推定。鑒于信息泄露事件的危險系數，一般過錯和嚴格責任均具有局限性。

（一）適用一般過錯責任的局限性

美國法院在信息泄露侵權糾紛中采一般過錯歸責。近年來由于聯邦貿易委員會（FTC）執法的強化和學術界的呼吁，強化信息處理者的責任成為改革的方向。

1.美國的過錯責任模式及變異

在美國，因信息泄露而產生的訴訟可基于制定法和普通法提起。普通法上相關的訴因是過失侵權，通常要求原告證明如下要素：第一，被告對原告負有“法定義務”，如保護原告個人信息的義務；第二，被告違反了該義務，如未能充分保護原告的個人信息；第三，被告的違反行為，可預見地導致了損害；第四，原告產生了“可辨識的（cognizable）損害”。20Sony Gaming Networks & Customer Data Sec.Data Breach Litigation, 996 F.Supp.2d 942, 963 (S.D.Cal.2014).如果被告應當遵循法定的安全要求，比如行業標準，則法院會將這些義務認定為法定義務。21Jeff Kosseff, Cybersecurity Law, Wiley, 2020 (Second Edition), p.75.這充分表明此類訴訟是在一般過錯責任的框架下展開的。但近年來客觀歸責的因素在制定法和判例法中增多，比如被告經常主張損害是由第三方引起的，但一些法院并不因此免除被告責任。比如在2013年的Target案中，法院認為盡管第三方黑客行為導致了損害的發生，但是Target公司在允許損害發生的過程中發揮了關鍵角色，對Target公司施加法定義務將幫助明尼蘇達州推行公共政策，即懲罰未能保護消費者信用卡和借記卡信息的公司。22In re Target Corporation Customer Data Security Breach Litigation, 64 F.Supp.3d 1304, 1309 (D.Minn.2014).

聯邦和各州的消費者保護法，是針對信息泄露事件提起集體訴訟的制定法基礎，這些法律的歸責原則較為復雜，過錯責任原則在制定法中被加以修正。FTC基于《聯邦貿易委員會法》第5條對“商業中的不公平或欺詐行為”進行查處，該法是各州消費者保護法的重要模板，可以作為典型的分析樣本。如果公司在其隱私政策中做出了與信息安全有關的虛假陳述（misrepresentation），則FTC可能將其認定為具有“欺詐”；“不公平行為”則脫離了主觀歸責的色彩，致使消費者產生了不能合理避免的實質損害且不能被公司帶給消費者或競爭過程的好處所抵消的情形。23Federal Trade Commission Act§5, 15 U.S.C.§45(2006).如果消費者本可以通過采取簡單的措施即可避免損害；或者如果公司能夠證明要避免該信息泄露事件是非常困難的，沒有可能采取補救措施或者成本過高以至于消費者可能會損失更大，則公司能夠免除FTC的查處。24Jeff Kosseff, Cybersecurity Law, Wiley, 2020 (Second Edition), p.3-6.

2.信息泄露事件的危險系數引發特殊歸責的適用

信息泄露事件的危險系數較高，符合特殊歸責原理的首要特征。危險系數的評價一般考慮發生概率（p）與平均損害量值（l），不能只考慮一個。基于現代網絡科技，信息泄露事件的后果可能是非常嚴重的（p×l），盡管“l”可能不是傳統民法上的物理性損害，而更多體現在經濟損失。學者認為，危險責任之危險一般是現代科技危險。25參見陳自強：《債權法之現代化》，北京大學出版社2013年版，第118-119頁。信息泄露事件帶來的危險就屬于典型的現代科技危險。《2019年IBM信息泄露成本年度報告》顯示，一起信息泄露事件的平均成本是390萬美元。26IBM Security, Cost of a Data Breach Report 2019, https://databreachcalculator.mybluemix.net/?_ga=2.96830426.436800262.1577141175-921129177.1577141175&cm_mc_uid=18423071444915771411736&cm_mc_sid_5020 0000=91922601577141173609&cm_mc_sid_52640000=36284071577141173618.信息泄露事件還導致欺詐、身份詐騙及其他損害，并伴隨著消費者對市場的不信任，27Edith Ramirez, Prepared Statement of the Federal Trade Commission on Data Breach on the Rise: Protecting Personal Information from Harm, Before the Committee on Homeland Security and Governmental Affairs, U.S.Senate (Apr.2, 2014).是引發下游犯罪的重要原因。2015年美國加州發生了178起信息泄露事件，3/5的加州居民成為信息泄露事件的受害者，受害面廣。這些事件多由網絡攻擊發起，涉及社會安全碼、醫療信息和支付信息等個人信息的泄露，零售業、金融業、醫療業成為美國發生信息泄露事件的高危產業，28Kamala D.Harris (California Department of Justice), California Data Breach Report (2012-2015), https://oag.ca.gov/sites/all/files/agweb/pdfs/dbr/2016-data-breach-report.pdf.所泄露的信息多涉及個人敏感信息。

正因為信息泄露事件的高度危險性逐漸成為全球共識，歐洲和我國臺灣地區采取了嚴格責任或過錯推定責任。近年來，美國也有學者呼吁改革信息侵害的歸責原則。“信息時代中個人信息庫與工業革命早期的水庫類似，當水壩壞了，泄出去的水將造成巨大的財產和人身損害……個人信息庫的經營者也應當承擔嚴格責任。即便信息庫的經營者對個人信息施加合理注意，過失責任機制也無法解決重大的信息泄露問題。而且隨著信息安全挑戰的進程越來越快速，信息庫經營者對‘合理注意’的理解存在不確定性，過失責任不能有效管控信息庫帶來的風險。”29See Danielle Keats Citron, Reservoirs of Danger: The Evolution of Public and Private Law at the Down of the Information Age, Southern California Law Review, Vol.80, p.241 (2007).美國FTC對“不公平競爭行為”的查處，實際上已經放棄了對行為人道德或主觀意圖的考察，而偏重行為的競爭效果評價以及發生/避免損害之成本的經濟學分析等，趨向于嚴格責任。我國學說上也有認為，基于原被告之間的合同地位、舉證能力，對被告過錯的判斷應當在個案中進行，綜合考慮法律法規上有無明確義務要求、義務人所具備的預防與控制能力、以及義務人是否獲益來認定，30參見程嘯：《侵權責任法》，法律出版社2015年版，第446頁。以此在一般過錯歸責案件中淡化對加害人主觀意圖的評價。可見，基于信息泄露事件的危險性系數、信息處理者對事件的預防和控制能力、信息處理者從信息存儲和處理中的獲益等因素，堅持一般過錯責任的做法已經不合時宜。

（二）適用嚴格責任的局限性

1.高度危險行為的兩種侵權歸責方案

在一般過錯責任、過錯推定責任與嚴格責任之間，行為的危險系數就像一把標尺上的“砝碼”，過錯的標準與行為的危險性之間呈比例關系，如果行為的危險系數越高，則需要提升行為人的注意義務，立法或司法上就越有可能降低原告的證明責任，適用過錯推定甚至嚴格責任。在德國的一些案件，法院通過提高行為人的注意義務，使得這些情形與嚴格責任幾乎沒有差別，如武器、煙火、爆炸物的使用者，以及這些物品的特定存儲空間管理者的責任等。學界對法院這種基于行為危險性而類推適用嚴格責任的方法存在爭議；相反意見則認為，立法行動難以跟上科技發展的速度，因而可以基于平等對待原則而適用之。31B.A.Koch & H.Koziol (eds), Unification of Tort: Strict Liability, Kluwer Law International, p.153, 154(2002); P.Widmer(ed.), Unification of Tort: Fault, Kluwer Law International, p.103(2005).

盡管行為的危險系數可比作“標尺”上的“砝碼”，但是并無精確的“刻度”用于顯示過錯推定與嚴格責任之間的分界線。換言之，高度危險事件既有可能采取嚴格責任，也有可能采取過錯推定責任。比如修正后的《臺灣民法典》第191-3條規定實行過錯推定（借鑒意大利法），但立法理由都是危險責任（嚴格責任）的理由（借鑒德國法），混雜了過錯推定和嚴格責任因素。32參見陳聰富：《侵權責任主體與客體》，元照出版公司2019年版，第244-245頁、第275-277頁。臺灣學者認為，危險責任可為無過失責任或推定過失責任，與德國概念不同；面對現代科技危險，采取無過失責任并非唯一選擇。33參見邱聰智：《新訂民法債編通則》，中國人民大學出版社2003年版，第150-151頁；陳自強：《債權法之現代化》，北京大學出版社2013年版，第119頁。也就是說，基于高度危險，可以產生兩種（甚至以上）歸責原則或處理方法，應當根據具體侵權行為的特質、公共政策等因素作出選擇。

2.歐盟的嚴格責任及過錯推定轉向

在信息泄露侵權糾紛中采取特殊歸責的方案中，歐盟立法在歷史上選擇了嚴格責任，但GDPR則轉向過錯推定，是考慮嚴格責任局限性的重要參考。

歐盟在GDPR實施以前一直采取嚴格責任的立場。1995年《歐盟數據保護指令》（以下簡稱《指令》）34Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:31995L0046.第23條第1款規定：“成員國應當規定，任何因不法處理行為或者違反國內法的行為而遭受損害之人，均可向信息控制者請求賠償其損害。”該條第2款規定：“信息控制者可以部分或全部免除損害賠償責任，如果其能證明對所造成的損失不負有責任。”此外，《指令》“序言”第55段指出了兩種免責事由：不可抗力或者信息主體的錯誤。可見，信息控制者承擔嚴格責任。為了使信息控制者承擔責任，信息主體應當證明：（1）不法行為的存在；（2）損失的存在；（3）不法行為與損失之間的因果關系。35Brendan Van Alsenoy, Liability under EU Data Protection Law: From Directive 95/46 to the General Data Protection Regulation,Journal of Intellectual Property, Information Technology and Electronic Commerce Law , Vol.7, p.271(2016), para 10.

GDPR在《指令》的上述內容基礎上做出了一定調整，轉向過錯推定，這尤其適用于信息處理者。GDPR第82條第2款第2句規定：信息處理者僅在其違反本條例為其專設之義務情形，或者超越、違背信息處理者的合法指令時，才承擔責任。GDPR第82條第3款規定：信息控制者或處理者如果能證明其不應對損害事件的產生負責，則無需承擔第2款中的責任。換言之，信息控制者的免責事由為“不可歸責于己的事由”，結合1995年《指令》的規定，信息控制者和信息處理者在GDPR中的免責事由有差異，信息處理者通過證明其“已經采取該法規定的安全保護措施”而免責，信息控制者未必享有這種待遇。但歐洲有論者認為信息控制者也承擔過錯推定責任，信息控制者處于能夠證明其已經采取合規措施的最佳地位，只要信息主體提交了不法處理行為的表面證據，則應當將舉證責任轉移給信息控制者。36Brendan Van Alsenoy, Liability under EU Data Protection Law: From Directive 95/46 to the General Data Protection Regulation,Journal of Intellectual Property, Information Technology and Electronic Commerce Law, Vol.7, p.271 (2016), para 43.

3.信息處理行為的風險性及公共政策需求

信息處理市場的創新性與風險性并存，信息處理事件并非典型的“高度危險作業”，明確信息處理者的安全措施內容更有利于促進產業投資和大數據技術的創新。嚴格責任的做法不利于拓展產業中的創新自由，不宜采納。

嚴格責任乃基于行為的高度危險性，即由于高度危險行為導致了損害后果，行為人則應當承擔責任，不考慮行為人的主觀因素。德國在特別法中規定危險責任（嚴格責任），這些情形與具有潛在高度危險的物或行為有關，由于安全措施的有限性和特定設備、企業或設施產生的不可估量的風險，危險的實現具有高度可能而適用嚴格責任。可見，立法引入嚴格責任的兩個重要因素是高度危險性以及安全措施的有限性。現代科技、交通活動等產生的高度危險事件越來越多，引入更多的嚴格責任情形成為德國立法的趨勢，但是法院不會在這些規定之外適用嚴格責任。37See B.A.Koch & H.Koziol (eds.), Unification of Tort: Strict Liability, Kluwer Law International, p.154, 155, 156(2002); P.Widmer (ed.), Unification of Tort: Fault, Kluwer Law International, p.102(2005).亦即，嚴格責任具有嚴格的法定性。不可抗力、受害人的同意或過失、第三人的過失等是嚴格責任案件中的典型抗辯事由。

然而，信息處理市場的風險性和創新性并存，數據要素市場的建設需要兼顧數據安全和數據流通，鼓勵資本投入和技術創新。數據本身并無價值，如何分析和利用大數據才是數據賦能的核心，而大數據技術的創新是推動大數據應用場景細致化和精確化的根本。全球各國在大數據關鍵技術的專利布局中競爭激烈，美國、中國和日本的大數據專利技術研發活躍度接近，中國的大數據核心專利數量排在美國、日本、歐洲和韓國之后，38黃斌著：《大數據技術專利分析》，科學出版社2019年6月版，第31、35頁。經濟數字化和數據要素市場的培育成為創新發展的重要動能。大數據關鍵技術的創新需要有自由的空間，應當避免歸責原則的過分嚴格，挫傷信息企業開發大數據產品或服務的積極性。現階段我國信息產業尚處于發展階段，基于鼓勵信息企業投入和創新信息收集、加工等服務的目的，考慮從事大數據產品或服務開發的主體多樣性，392012年、2013年、2014年發生信息泄露事件前三的行業分別是：零售、金融、醫療。同前注37，Kamala D.Harris(California Department of Justice), California Data Breach Report (2012-2015), https://oag.ca.gov/sites/all/files/agweb/pdfs/dbr/2016-data-breach-report.pdf.中小企業和巨型企業風險承受能力的差異，通過“過錯排除”而強化信息處理企業采取安全措施的有效性要求，進而賦予企業一定自由的做法，更符合信息處理產業的固有特點，可以提升產業對安全措施合規的預期。正因為信息處理市場的創新性程度較高，存儲和開發數據的行為作為市場行為的特征相對突出，與交通工具、能源、環境產品或行為相比，公共色彩相對弱化，其受到創新和競爭規律的制約更為明顯，企業需要有足夠的行為自由和創新空間，在過錯責任框架下細化其安全措施是比較合適的。換言之，采取過錯推定責任而非嚴格責任，更符合信息處理行為的風險特點及當前促進信息產業發展的公共政策。

三、過錯推定原則的合理性

我國大陸侵權法采取過錯吸收不法的立法例，在特定類型案件中具有不法推定過錯的傳統。采取過錯推定歸責原則，實行不法推定過錯的立法模式，與企業組織責任的新發展契合無間，在強化信息企業的侵權責任的同時，又能賦予信息企業確定的創新空間、優化信息安全保護義務的內容。

（一）不法推定過錯的傳統

在不法性與過錯分離的立法例（如奧地利、德國），不法性的判斷，只問行為是否客觀地違反法秩序，尤其是否滿足違反絕對保護利益的客觀要素；過錯的判斷，則需要考慮行為人的個體能力和意志缺陷，展現了行為人就其行為的態度……一個具有健全意志力的人，只有在如下情況下才被認為具有過失：他本應意識到如此行為的危險性和不法性，并且本可以其他方式為之。40See P.Widmer (ed.), Unification of Tort: Fault, Kluwer Law International, p.14, 15, 105(2005).可見，不法性意味著違反法律“不得侵害他人”的強制性規定。過錯則意味著行為人忽視了其本應遵循的注意義務，過錯認定的核心在于注意義務的標準。

我國大陸采取過錯吸收不法的立法例，“一方面，我國民法通則并沒有仿照德國民法等立法例，將‘不法’、‘ 違法’作為侵權行為責任的構成要件；另一方面，我國民法中的過錯概念，不僅包括了行為人主觀狀態的應受非難性，而且也包括了客觀行為的違法性。過錯本身意味著法律對某人的行為作出了否定的評價。過錯吸收違法行為的概念，不僅在理論上是科學的，而且在實踐中對于正確認定行為人的責任，具有重要意義。”41王利明：《侵權行為法歸責原則研究》，中國政法大學出版社2004年版，第411頁。在這種立法例背景中，我國關于不法性的立法規定可體現為概括式和列舉式兩種形態。概括式“不得侵害他人”的強制性規定，一般采取概括規定方式，宣示私權的不可侵害性，如：“民事主體的人身權利、財產權利以及其他合法權益受法律保護，任何組織或者個人不得侵犯。”（《民法典》第3條）列舉式“不得侵害他人”的強制性規定，采取列舉規定方式強調某種權益的不可侵害性，如生命權的不得侵害性。（《民法典》第1002條）

需要指出的是，盡管不法性與過錯之間的邊界在歷史上比較清晰，但如今隨著法院提升注意義務標準的情形不斷增多，這個界限已經模糊不清，由不法性推定過錯成為理論和實務上的重要發展。比如分離主義立法例中的“行為不法說”主張違反法律規定的禁令或者命令即產生違法性；有關違法性的判斷總是指向人的行為而不是損害后果，原因在于，違法性恰恰體現在行為違反了規范中的要求。再如統一主義立法例中不法性可初步推定過失，《民法典》1222條在醫療糾紛中采納這種做法：患者在診療活動中受到損害，醫療機構有違反法律、行政法規、規章以及其他有關診療規范的規定，或隱匿或者拒絕提供與糾紛有關的病歷資料，或遺失、偽造、篡改或者違法銷毀病歷資料，推定醫療機構有過錯。最高法院指導案例第19號在出借套牌的交通事故案件中采納這種做法：“將機動車號牌出借他人套牌使用，將會縱容不符合安全技術標準的機動車通過套牌在道路上行駛，增加道路交通的危險性，危及公共安全。套牌機動車發生交通事故造成損害，號牌出借人同樣存在過錯，對于肇事的套牌車一方應負的賠償責任，號牌出借人應當承擔連帶責任。”42趙春明等訴煙臺市福山區汽車運輸公司衛德平等機動車交通事故責任糾紛案，上海市第二中級人民法院（2010）滬二中民一（民）終字第1353號民事判決。引述本案僅在說明我國法院樂于采取違法性推定過錯的方法。本案裁決的具體妥當性問題，當另文探討。

（二）豐富企業組織責任的新樣態

可見，我國在一些特定類型的案件中具有采“不法性推定過錯”的傳統。與此同時，在涉及控制措施和組織義務的案件中，由法院提升注意義務程度同時留有裁量空間，實行不法推定過錯的做法已成為重要的發展趨勢。在涉及到控制措施（measure of control）、監護（supervision）或者組織（organization）義務的案件中，合理注意義務的違反是認定行為不法性的必要組成。43P.Widmer (ed.), Unification of Tort: Fault, Kluwer Law International, 2005, p.106.鑒于這種發展趨勢，基于信息泄露事件多發生在控制信息的組織機構的特點，通過法律明確規定合規義務作為判斷其主觀過錯和行為不法性的標準，以保障企業的行為和創新自由，應該是恰當的。

信息泄露侵權責任與企業組織責任具有高度類似性，我國可借鑒企業組織責任原理，確立信息泄露侵權的過錯推定原則，豐富過錯推定責任的新類型。《歐洲侵權法原則》第4:202條規定了企業組織責任：“（1）為經濟或專業目的持續經營企業而使用輔助人或技術設備者，應對其企業或其產品的缺陷造成的所有損害承擔責任，除非他能夠證明他遵守了必需的行為標準。（2）‘缺陷’是指企業或其產品、服務違反了可以合理期待的標準。”44歐洲侵權法小組：《歐洲侵權法原則：文本與評注》，于敏、謝鴻飛譯，法律出版社2009年版，第8頁。企業組織責任是一種過錯推定責任，是特定企業就企業本身或產品缺陷引發的損害賠償責任，信息泄露侵權事件則由信息處理者內部信息管理系統的漏洞引發，兩者在責任主體類型和引發責任的原因方面高度吻合。此外，企業組織責任在實際適用過程中，免責非常困難，已接近嚴格責任，稱為“準嚴格責任”45參見朱巖：《論企業組織責任——企業責任的一個核心類型》，載《法學家》2008年3期。，那又部分推翻了嚴格責任的必要性。企業組織責任的免責事由為“不可避免的風險”或者“已經遵守了法定標準”，需要由法院作出自由裁量。46參見朱巖：《論企業組織責任——企業責任的一個核心類型》，載《法學家》2008年3期。這與美國FTC查處不公平競爭行為的免責事由及GDPR規定的“不可歸責于被告的事由”，異曲同工。

（三）優化信息安全保護義務的需要

信息安全保護義務確立了信息處理者保護個人信息的注意義務標準，過錯推定原則的適用能夠倒逼優化信息安全保護義務的內容。倘若信息處理者未能遵循信息安全保護義務，則該行為本身違法，產生推定過錯的效果，即推定行為人沒有盡到合理注意義務，具有過錯。反過來，信息安全保護義務的內容對信息處理者排除其過錯具有表征意義，換言之，信息處理者通過證明其已經完全履行了信息安全保護義務，可表明其已經盡到了注意義務而沒有過錯，即便發生了信息泄露事件也不應承擔責任，亦即信息泄露事件的發生為“不可避免的風險”。歐洲采取同樣的做法，如有評論指出，不能過分強調信息處理者的嚴格責任，因為信息主體仍然需要證明“不法行為”的存在，而后者相當于要證明“過錯”；反過來，如果信息處理者能夠證明數據處理過程遵守了指令的要求，則他可以有效地免除責任。47Brendan Van Alsenoy, Liability under EU Data Protection Law: From Directive 95/46 to the General Data Protection Regulation, Journal of Intellectual Property, Information Technology and Electronic Commerce Law Vol.7, 2016, p.271, para 6.

為了避免承擔責任，信息處理者往往主張責任承擔的條件不滿足，比如信息處理過程具有合法性，已經采取了可期待的所有合理措施。在一些案件中，為了避免加重信息處理者的責任，歐洲法院還考慮了信息處理者的客觀能力，認為指令義務的遵守不應超越其能力。48Google Spain SL and Google Inc.v Agencia Espa?ola de Protección de Datos (AEPD) and Mario Costeja González, para 38,C-131/12, ECLI:EU:C:2014:317.如果信息處理者根據法律規定采取了信息安全保護義務，但仍然無法避免信息泄露事件的發生，則可被認為超出了信息處理者的能力，只是必須確保措施的有效性。有評論指出，被告可以通過證明如下事項而減輕或免除責任：基于不可抗力的因素、損失無法避免；信息處理者已經根據本條例第24條規定采取所有被要求的技術及組織措施，這些措施對于降低特定案件中的風險是有必要的（比如，如果個人數據被錯誤輸入，那么即便公司內部存在合適的培訓措施和發現、防止錯誤輸入的技術措施，但是本條例第5條第1款第4項的準確原則被侵犯了）。49Lukas Feiler, Nikolaus Forgo & Michaela Weigl, The EU General Data Protection Regulation (GDPR): A Commentary,German Law Publishers, 2018, p.290.因此，“已經遵循信息安全保護義務”是一種重要的免責事由，這既是對“不法性”要件的排除，同時也是對“過錯”的反證，對于提升信息處理者侵權責任承擔的可預測性具有重要意義，我國法院的四種做法50林念平訴四川航空案，龐理鵬訴東方航空、趣拿網案，申瑾訴攜程、支付寶案，周裕嬋訴快客案。也是從不同角度要求被告證明其已經履行信息安全保護義務。

（四）其他法域的發展趨勢

過錯推定介于過錯責任和嚴格責任之間，大陸法系主要國家或地區在信息泄露侵權中采取過錯推定原則成為主流，前述歐盟的立法發展即為一例。再如德國，過錯推定適用情形包括《德國民法典》明確的雇主責任等情形，也包括法院在具體案件中認定的情形，如產品責任案件中，原告只需要證明產品的缺陷及自己的損害，生產者需要證明其在產品出廠之前的生產和控制環節沒有過錯。51See P.Widmer (ed.), Unification of Tort: Fault, Kluwer Law International, p.103(2005).與此同時，法院還出現了降低原告的證明責任而允許其提出表見證據、轉移舉證責任的案件類型，縮小了過錯責任與過錯推定責任之間的距離。52See B.A.Koch & H.Koziol (eds.), Unification of Tort: Strict Liability, Kluwer Law International, p.150 (2002).德國通過特別立法的形式明確由非公共機關信息處理導致的侵權案件應適用過錯推定原則，德國《數據保護法》第7條規定：如果信息處理者收集、處理、使用了本法或其他數據保護規定的不允許或不正確的個人數據而對信息主體造成損害，則該信息處理者或者其責任機構有義務賠償信息主體的損失。如果信息處理者盡到了具體情形下的注意義務，其可以不再承擔損害賠償義務。中國臺灣地區“個人資料保護法”第29條第1款采取相同做法：“非公務機關違反本法規定，致個人資料遭不法收集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。”王澤鑒先生指出，公務機關，系負具有一定免責事由的無過失責任。非公務機關則采取推定過失責任。53王澤鑒：《侵權行為》，北京大學出版社2016年版，第167頁。結合美國制定法及歐盟GDPR規定的轉向可見，全球主要國家或地區的立法均呈現出過錯推定歸責的潮流，針對信息泄露侵權行為適用的歸責原則給出了基本一致的處理方案，這有著深刻的理論基礎。

總之，在既有的理論框架中，我國宜建立信息泄露侵權糾紛的過錯推定歸責制度，豐富過錯推定原則的新類型。《個人信息保護法（征求意見稿）》第65條后段規定：“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任。”其關于侵權歸責原則的定位不明確，在嚴格責任和過錯推定責任之間搖擺。“可以”而非“應當”免除責任，從而是一種“酌定的”過錯推定責任。順位上，責任的“減輕”在前，“免除”在后，且規定在賠償范圍的確定標準之后，表明立法者傾向于盡量不免除責任，從而使這種“酌定的過錯推定責任”更接近于嚴格責任。這對當事人和裁判者均造成不確定性。《個人信息保護法（草案二次審議稿）》第68條第1款規定：“個人信息權益因個人信息處理活動受到侵害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。”這明顯屬于過錯推定原則，被最終生效版本的第69條采納，值得肯定。《個人信息保護法》第五章專設“個人信息處理者的義務”，體現了在這類案件中提升注意程度的立法意圖，但并未有如同《民法典》第1222條第1項違法性推定過錯的規定，建議在第69條第1款后增加一句“違反本法及其他法律、行政法規、規章等關于信息安全保護義務規定的，推定處理者有過錯。”

四、信息安全保護義務內容的優化

在論證過錯推定原則的合理性之后，需要對信息處理者的信息安全保護義務加以明確，以實現“不法推定過錯”的判定。《網絡安全法》第21條專門規定了信息安全保護義務，54國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務。《個人信息保護法》第51條作出了類似規定。55個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等，采取必要措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除:（一）制定內部管理制度和操作規程；（二）對個人信息實行分類管理；（三）采取相應的加密、去標識化等安全技術措施;（四）合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓;（五）制定并組織實施個人信息安全事件應急預案;（六）法律、行政法規規定的其他措施。概括而言，信息安全保護義務是指信息處理者應當采取適當、有效的技術措施、組織措施、管理措施，包括事前（有可能發生信息泄露情況）和事后（發生信息泄露之后）的報告和補救措施，防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除。由于信息安全保護義務的具體內容可推定信息處理者的過錯，因此對其內容的細化和評價成為相關案件審理的關鍵。建議從如下三方面予以完善信息安全保護義務的內容。

第一，細化信息安全保護義務。

通觀各國立法，信息安全保護義務的規定多具有彈性，法律層面只能就最低程度的內容加以明確。歐洲、美國、東亞其他國家或地區大多均在近年頒布了專門的《數據保護法》或《個人信息保護法》，系統性地規定了信息安全保護義務，同步以規章、條例或指引的形式對該義務內容進行細化。GDPR第24條第1款56《通用數據保護條例》（GDPR）第24條：“信息處理者應當實施合適的技術和組織措施以確保且能夠證明其已經根據本法處理數據，采取措施的時候應當考慮如下因素：數據處理的性質、范圍、背景和目的，以及自然人權利和自由的不同損害的程度和類型的風險。這些措施應當在必要的時候接受評審并更新。”“在考慮處理行為的比例性時，第一款涉及的措施應當包含信息處理者合適的數據保護政策。”本條指出了“合適”的技術和組織措施，以及數據處理的合規性。有評論指出，本條中的“措施”，必須尤其遵守設計即進行隱私保護和隱私保護作為默認設置的原則。可以舉出的例子是：（1）自愿聘請了數據保護官（37條）及其他負責數據保護的個人；（2）對員工提供了充分的數據保護培訓及教育；（3）設置了透明程序以管理信息主體的訪問、更正和刪除請求；（4）設置了內部投訴處理機制；（5）執行和監督認證程序以確保所有的措施不只是在文本意義上，而是在實踐中得到了執行和運作。同前注21，Lukas Feiler, Nikolaus Forgo & Michaela Weigl, The EU General Data Protection Regulation (GDPR): A Commentary, German Law Publishers, 2018, p.143.明確規定，企業必須基于潛在風險可能，建立相應的技術和組織措施以保護個人信息安全，可以參考信息處理的性質、范圍、場景和目的以及對個人權利和自由的影響等因素，認定這些措施的合理性。GDPR第32條第1款規定了最低要求的信息安全措施。美國大部分州規定了信息處理者采取合理的數據保護措施的義務，而沒有具體明確何為“合理”。2014年《美國馬塞諸塞州信息安全法》提供了美國最詳細、最具綜合性的信息安全要求，與之配套的《綜合信息安全規章》則要求擁有或許可個人信息的企業和個人，建立包含行政、技術和物理措施的“綜合性的書面信息安全機制”。57Jeff Kosseff, Cybersecurity Law, Wiley, 2020 (Second Edition), p.53.信息安全保護義務的彈性規定，取決于數據法的場景特征，必須基于具體場景才能判斷企業的做法是否足夠或合理，我國應當區別特定行業，豐富信息安全保護義務的行業標準。

第二，尊重行業準則或標準。

行業組織根據本行業的具體情況，牽頭制定本行業信息安全機制的標準，可用于提升企業合規的可預測性，輔助法院對信息安全保護義務的遵循與否做出判斷。比如日本《個人信息保護法》第53條規定了個人信息保護指南，其中第1款規定，經認可的個人信息保護組織，應當為盡可能涵蓋信息業者之目的，就個人信息目的特定、安全保護措施、開示請求程序、以及匿名加工信息的作成方法和安全保護措施等，通過問詢能代表消費者或其他有關方的意見，努力開發符合本條例規定的指南。第2款規定，上述個人信息保護組織，在開發出個人信息保護指南之后，應當立即將其通知個人信息保護委員會。第3款規定，個人信息保護委員會在收到上述指南之后，應當予以公示。第4款規定，經公示之后，個人信息保護委員會應當采取措施指引或建議信息業者遵從上述指南。GDPR第24條第3款58《通用數據保護條例》（GDPR）第24條第3款：“對第40條的行為準則的遵循，或者第42條的認證機制，可以作為證明合規的考慮因素。”、第40條59《通用數據保護條例》（GDPR）第40條第1款：“成員國、監管機構、委員會以及歐盟應當鼓勵起草本條例有效適用的行為準則，這些行為準則的起草應當考慮如下因素：各種不同數據處理部門的具體特征以及微小企業、中等規模企業的具體需求。第2款第8項指出了條例第24條、第25條和第32條規定的為了確保數據處理安全的措施和程序。”對行業行為準則的效力也有類似規定，可供我國借鑒。

第三，利用第三方機構的評估機制。

評估或認證機構對企業信息安全機制的評估認證，可用于協助法院認定企業的管理措施是否符合法律規定。如日本《個人信息保護法》第61條規定個人信息保護委員會有權對特定個人信息保護進行評估。GDPR第42條60《通用數據保護條例》（GDPR）第42條第1款：“為了方便證明遵循本條例合規義務，成員國、監管機構、委員會以及歐盟應當鼓勵建立數據保護認證機制及其公章、商標。微小企業、中等規模企業的具體需求，應當被考慮在內。”對信息保護認證機制也有類似規定。我國司法實踐中，蘇寧易購通過一份項目驗收報告及兩份南京市信息安全等級保護測評結果通知書，證明自己對網站信息安全已盡到安全保護的注意義務，61謝翔訴江蘇蘇寧易購案，廣東省陽江市江城區人民法院民事判決書，（2016）粵1702民初1098號。表明司法實踐已認識到評估制度的價值。為避免各地認證機構的不同認證標準，我國亟需在全國范圍內建立統一、權威、專業、透明的認證機構，促進企業信息安全機制的建立和完善。

在方月明訴東航等合同糾紛案中，62深圳市寶安區人民法院（2018）粵0306民初23342號民事判決書。東航從技術、組織、管理措施以及第三方評估的角度提出的證據被法院采納，值得借鑒：（1）技術措施：東航針對可查看訂單信息的“東航B2C會員專區后臺管理系統”進行了數據脫敏設置，確保任何人都無法通過該系統查詢到訂單信息所對應的訂票人身份證號、手機號及聯系人手機號；（2）管理措施：東航制定了嚴密的安全管理制度；（3）第三方評估機制：東航特別引進了網絡安全方面權威的研究或服務機構，為東航信息安全工作提供安全支撐；信息系統安全等級測評報告、等級測評情況說明、信息系統的等級保護備案，證明對數據存儲安全進行專門認證、執行個人信息保護和數據安全方面最嚴格的國際規范等。

五、結語

基于信息泄露事件的危險性及保護個人信息的政策需求，我國法院在法律尚無特別規定的情形下，對信息處理者課以較重的證明責任。但在個案中調整證明責任分配的方案，無法從根本上解決信息主體與信息處理者之間的風險配置問題。在一些代表性的國家或地區，立法已采取較為特殊的歸責原則；而在另一些國家或地區，則加強信息處理者責任的呼聲不斷。一般過錯和嚴格責任均具有局限性，不能契合信息泄露的行為特質，不宜作為處理信息泄露侵權糾紛的歸責原則。鑒于我國在特定類型案件中存在不法推定過錯的傳統，結合控制信息的企業組織責任的新發展，優化信息安全保護義務的需求，以及全球主要國家或地區的立法趨勢，我國應當采取過錯推定原則，不可對信息處理者課以超出其能力的安全保護義務，而應當充分發揮不法推定過錯的功能。《個人信息保護法》的相關規定較為合理，其規定較為彈性的信息安全保護義務亦符合數據法的場景特征，但還可以通過配套法規、行業標準或其他規范性文件對這些內容予以細化，并有效利用第三方評估機制完善企業信息安全認證機制。