7 侵权行为
侵权行为是除违约以外的任何民事不法行为。与合同责任不同,侵权责任不一定基于实施侵权行为的人(“侵权行为人”)与受该侵权行为伤害的人(“受害者”)之间的自愿关系。本节将讨论网络安全从业人员应考虑的一些更常见的侵权原则。将比较详细地审查两种实质性利益侵权行为(疏忽和产品赔偿责任),并结合一系列更一般的侵权原则,如因果关系和责任分摊。根据其他法律主题制度(例如,数据保护、诽谤、知识产权等)授予受害者的诉讼权也被描述为侵权行为,一般侵权概念(见第7.3、7.4、7.5和7.6节)通常也适用于这些权利。![网络安全知识体系1.1法律法规(二十九)侵权行为]( "网络安全知识体系1.1法律法规(二十九)侵权行为")
7.1 疏忽
大多数法律制度都承认这样一种观点,即社会中的人在开展活动时对他人负有某种义务。如果一个人没有履行这一义务,并且这种不履行对受害者造成了伤害,受害者通常有权对受害者采取法律行动。侵权人要求经济赔偿。
|
当此潜在侵权行为人:
|
以不合理的方式进行此活动:
|
考虑潜在的侵权行为人是否对这些潜在的受害者负有谨慎责任:
|
|
零售商户.
|
维护客户在销售点提供的支付卡详细信息的安全性。
|
持卡人;
商业银行;
发卡银行。
|
|
电子邮件服务提供商。
|
管理电子邮件服务器和相关服务的安全性;
决定要采用的安全性类型。
|
服务订户;
订阅者的第三方电子邮件通讯员;
电子邮件通信中指定的人员。
|
|
商业企业。
|
管理企业IT或OT的网络安全;
决定要采用的安全性类型。
|
它自己的工作人员;
其交易对手和供应链合作伙伴;
当恶意行为者破坏企业的安全措施并利用企业的IT发起进一步攻击时,无关的第三方会受到伤害;
当受损害的OT时遭受伤害的无关第三方会导致人身伤害或财产损失。
|
|
网络服务器软件的开发人员。
|
实现标准加密通信协议。
|
采用网络服务器软件进行在线商务的商家;
采用Web服务器软件向客户提供各种服务的SaaS提供商;
客户提交支付卡详细信息;
向采用服务器软件的 SaaS 提供商提交敏感业务数据的业务客户;
在其 IT 或 OT 基础架构中采用服务器的业务企业。
|
|
信任服务提供商。
|
注册要绑定到证书的身份;
颁发证书;
维护信任基础结构。
|
购买证书的客户;
依赖这些证书的第三方;
操作设备的第三方(在他们不知情的情况下)依赖这些证书。
|
|
网页浏览器开发人员。
|
选择根信任证书以安装到其 Web 浏览器中。
|
使用网络浏览器的自然人。
|
表2:潜在注意义务关系说明
![网络安全知识体系1.1法律法规(二十九)侵权行为]( "网络安全知识体系1.1法律法规(二十九)侵权行为")
7.1.1 注意义务:延伸多远
法律制度含蓄地承认,一个人并不总是对每个人负责。对责任范围的一些限制是正常的。例如,英格兰的法院表示,如果满足三个条件,一个人(爱丽丝)对另一个人(鲍勃)在特定活动方面负有注意义务:
•爱丽丝可以合理地预见到,她的行为(或不作为)可能会对处于类似鲍勃地位的人造成伤害;和
•关于爱丽丝的作为(或不作为),总的来说,像爱丽丝这样的人对处于类似鲍勃地位的人负责似乎是公平合理的。
虽然这一三管齐下的规则没有作为多国规范提出,但它说明了一个普遍的主张,即因疏忽而对他人承担的民事责任的范围是有限的。损害的“可预见性”通常被用作限制疏忽法责任范围的机制。可预见性通常参照一个客观上合理的人是否预见到损害来衡量。侵权行为人不能因想象力不足、计划失败或为避免考虑潜在受害者而作出积极努力而免于承担责任。
这引发了一些关于网络安全背景下可能的注意义务的相关问题,其中一些问题在表2中列出。表2的目的仅仅是考虑根据现行法律可能产生谨慎责任的一些类型的关系。疏忽法非常灵活。随着网络安全故障造成的损害越来越可预见,法院似乎可能会越来越多地将谨慎责任的概念解释为包括对更广泛群体承担的各种与网络安全相关的义务。
“注意义务”的概念通常不取决于侵权行为人和被害人之间是否存在任何商业或合同关系。作为一个普遍理解的非安全示例,据说汽车司机对其他司机,骑自行车的人,行人以及其他人负有注意义务。预计使用道路和路径。因此,人们可以考虑,在多大程度上,那些在非商业基础上提供软件(如开放源码安全软件)的人,可能被发现对那些可预见地依赖这种软件的人负有谨慎责任。
![网络安全知识体系1.1法律法规(二十九)侵权行为]( "网络安全知识体系1.1法律法规(二十九)侵权行为")
7.1.2 违反义务:衡量合理性
如果一个人(爱丽丝)在进行特定活动时对另一个人(鲍勃)负有注意义务,那么问题就出现了爱丽丝是否违反(未能履行)她对鲍勃的义务。将这两个要素结合在一起——“违反注意义务”——通常等同于“疏忽”。
用于评估行为的典型标准是检查爱丽丝是否以客观合理的方式行事。在经典的疏忽法中,像爱丽丝这样的人并不具备完美的标准。责任基于过错。在评估过失时,法院经常使用修辞手段,例如客观上“通情达理的人”处境相似。作为衡量行为的框架,随着时间的推移,合理的个人标准已被证明具有非凡的弹性和灵活性。
网络安全从业人员经常就特定与网络安全相关的行动(或不行动)在客观上是否合理或不合理达成一致意见。技术的变化、新方法的开发等都可以用于修改关于什么是“合理”安全行为的定义的意见。人们很容易将“合理行为”与界定所谓“最佳做法”的努力混为一谈。信息技术的快速发展(例如,处理能力成本的下降)通常会改变网络安全格局。环境中的破坏性变化(例如,迁移到云,大数据的出现,物联网的诞生)可能会迅速破坏公认的智慧的稳定性。
备受尊敬的美国法官Learned Hand在二十世纪中叶的两项着名判决中对此提出了警告。在回应一艘远洋货船的经营者辩称该船缺乏工作无线电并不构成“不合理”的行为时,汉德法官观察到在T.J. 胡珀 案在1932年认为“普通做法与合理做法不同”。虽然船舶经营者符合1920年代的常见行业惯例,但汉德法官明确表达了这样一种观点,即技术和周围环境的变化应促使对方法和活动的重新审视。
十五年后,在1947年的卡罗尔拖曳案中,汉德法官宣布了合理行为的定义,这可能有助于评估采用特定操作方法的时机是否已经到来。他推断,当采取某种预防措施的负担(成本)小于:(1)在没有该预防措施的情况下损失的可能性乘以(2)要避免的损失金额时,那么“合理”行动是采取该预防措施。他的决定提出了一种成本效益测试,尽管在这种情况下,爱丽丝将承担的成本(潜在预防措施的“负担”)将负有谨慎责任的人)与Bob(承担该注意义务的人或一组处境类似的人)所享有的福利(即降低潜在损失的风险加权成本)进行比较。法院有时采用“疏忽本身”原则来评估行为。
受害人利用这一原则争辩说,应认定侵权行为人的行为不合理,因为这种行为违反了公法或广泛采用的技术标准。如果爱丽丝未经授权访问鲍勃的计算机(如第5节中所述,这是一种犯罪行为),并因此对该计算机或鲍勃基础设施的其他部分造成损害,鲍勃可以辩称爱丽丝本身是疏忽的。这一原则已经与网络安全相关事件引起的法律诉讼中的标准疏忽索赔一起被提出。由于网络安全领域的标准化和监管日益严格,这一学说可能对受害者越来越有用。因此,仅仅界定和采用安全标准的行为就可能影响法院,因为它们为评估行为的“合理性”寻求技术参考框架。
另一个可能有助于分析网络安全故障的学说是“res ipsa loquitur”(即“事物不言自明”)。使用这一原则,本来可能难以证明造成损害的行为的确切性质的受害者声称,从周围情况中得出的最适当的推论是被告侵权人承担责任。这一学说往往被用来对付那些本应保持对危险或危险过程的控制,否则这些过程会造成伤害。一个典型的例子可能包括在术后患者体内发现手术器械后对外科医生采取法律行动,或者野生动物从动物园逃脱。
无论受害者是否有能力证明谨慎失密,从情况中得出的最恰当的推论是缺乏应有的谨慎。(因此,事情不言自明。在网络安全领域,人们可能会想象一个案例,其中该学说适用于针对为研究目的而创建新形式的恶意软件的人的法律诉讼,但却失去了遏制。
在有些法律制度中,类似于过失本身和“疏忽”的学说可能被界定为关于行为合理性的规则,或者它们可能被界定为证据规则——使某些法律制度的受害者免于某些规则。或者证明其不合理行为的所有责任,或将责任转移给被控侵权人证明合理行为。(参见第1.4节中对证据的讨论。)虽然它们通常不被视为疏忽法的标题,但影响网络安全实践的其他法律在其职权范围内定义了“合理”行为。美国各州采用的《统一商法典》第4A条第202(c)款所表达的资金转移法就是一个例子。
![网络安全知识体系1.1法律法规(二十九)侵权行为]( "网络安全知识体系1.1法律法规(二十九)侵权行为")
7.1.3 对“故障”的解释因地点而异,并随时间而变化
虽然上文提出的界定“过失”的框架在大多数发达经济体中普遍受到法律制度的欢迎,但这不应被误认为是就如何解释或适用这些法律制度达成一致意见。对“注意义务”和“合理”行为的解释可能因州而异。这并不奇怪,因为这两个概念都是社会结构,其基础是特定社会中在特定时间盛行的关于风险和责任的观点。
对“注意义务”的解释(除了一些例外)在过去一个世纪中大多扩大,因为现代生活日益复杂和相互关联的性质为一个人的行为伤害他人创造了更多的机会。同样,对“合理”的解释通常朝着需要更多而不是更少谨慎的方向发展。这些解释可以预期在从业者的工作生活中发生变化,特别是随着网络安全故障造成的损害变得越来越可预见,更好地理解,并且更容易用新的取证工具证明。
同样,从业人员也应注意,在一个国家犯下的潜在侵权行为可能通过对另一个要求更高的国家所采用的谨慎标准的解释来评估。(请参阅部分中的讨论7.6)。
网络安全知识体系1.1法律法规(十八)执行和处罚
网络安全知识体系1.1法律法规(十九)电脑犯罪
网络安全知识体系1.1法律法规(二十)信息系统犯罪的执法与处罚
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1法律法规(二十九)侵权行为
评论