18、信息安全评估中的法律责任与应对策略

信息安全评估中的法律责任与应对策略

1. 信息安全现状与法律责任风险

近年来，尽管有众多文章从技术角度探讨如何保护网络安全，但仍有不少公司因安全措施不足而丢失关键信息。像ChoicePoint、DSW Shoes、一些大学、金融机构（如美国银行和瓦乔维亚银行）、万事达卡等信用提供商，甚至联邦调查局，都在新闻报道中被提及信息丢失事件。例如，ChoicePoint在2005年面临多起诉讼，指控其未能保护消费者委托的个人、财务等信息的安全和机密性，未能采取足够措施防止私人信用和财务信息泄露给未经授权的第三方，并且“故意、鲁莽或有意识地忽视”客户的隐私权。

信息安全领域的主要参与者迟早可能会面临诉讼，无论诉讼是否合理，这已成为商业现实。许多公司认为其内部信息技术和安全团队已尽力维护和保障网络安全，甚至定期进行渗透测试，但仅靠这些可能不足以证明其在信息安全方面达到了合理的注意标准。以ChoicePoint为例，渗透测试可能无法解决其面临的问题，该公司似乎是被冒充商人的人骗取了原本安全的信息。

公司的法律责任可能源于以下几个方面：
- 联邦、州或地方政府规定的标准和处罚。
- 违反合同协议。
- 其他非合同性的民事侵权行为，如欺诈、侵犯隐私、侵占、欺骗性商业行为和疏忽等。避免刑事不当行为的责任还需要了解适用于业务的法规并遵守这些要求，联邦和州法规可能会施加刑事处罚，同时也可能成为私人诉讼的依据。

2. 疏忽与“注意标准”

当信息安全遭到破坏时，可能引发民事索赔的事实和事件组合众多，难以详细讨论。理解责任的基础并以避免责任的方式开展业务是最佳防御措施。在许多情况下，责任索赔基于公司及其高管和董事“疏忽”的指控。在法律上，