农业部办公厅关于开展农业部门网络与信息安全检查的通知
农业部办公厅
农业部办公厅关于开展农业部门网络与信息安全检查的通知
农办市[2012]16号
各省、自治区、直辖市(农牧、农村经济)、畜牧、农机、乡企、兽医、农垦、渔业厅(局、委、办),新疆生产建设兵团农业局,部机关各司局、直属各事业单位:
近日,国务院办公厅、公安部等有关部门先后印发了《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函[2012]102号)、《公安部信息安全等级保护监督检查通知书》(公信安 检字[2012]001号)等文件并召开会议,要求各地区、各部门和有关重点行业抓紧部署开展网络与信息安全检查,全力保障网络与信息安全。对此,我部领导高度重视,专门批示有关部门要认真组织好网络安全检查工作。为切实做好农业部门网络与信息安全检查工作,现就有关工作通知如下:
一、检查目的
全面摸清各单位信息系统安全等级保护定级备案、等级测评、安全建设整改等工作部署和落实情况。深入排查信息系统中存在的安全隐患和薄弱环节,分析评估面临的安全威胁和风险,有针对性地采取防范对策和改进措施。切实加强网络与信息系统安全管理、技术防护和人才队伍建设,促进安全防护能力和水平提升,防止重大信息安全事件的发生,切实保障农业部门网络与信息安全。
二、检查范围
本次检查的范围是为各单位履行政府职能或自身工作运转提供支撑的信息系统,包括自行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统、邮件服务系统等。检查的重点是依托互联网运行的各类网站和信息安全等级保护级别在第三级(含)以上的重要网络和信息系统。
涉及国家秘密的网络和信息系统按国家保密规定执行,不在本次检查范围之内。
三、检查内容
(一)信息安全责任制建立及落实情况
检查是否明确了信息安全主管领导,并对信息安全工作做出批示和具体部署;是否指定了信息安全管理机构,制定了工作计划、工作方案、管理规章制度等;是否配备了信息安全工作人员,并认真开展各项工作;是否发生过因违反制度规定而发生信息安全事故,并对事故责任进行了追究。
(二)日常安全管理制度建立及落实情况
1.人员管理制度
检查是否有岗位信息安全责任、人员离岗离职管理、外部人员访问管理等相关规定;系统管理员、网络管理员、信息安全员等重点岗位人员是否签订了安全保密协议;离岗离职人员信息系统访问权限是否及时终止;外部人员访问记录是否完整。
2.资产管理制度
检查是否有设备发放、使用、维修、维护和报废等相关规定;对应的实物,检查资产台账是否完整,实物是否符合;是否指定了专人负责资产管理工作。
3.存储介质管理制度
检查是否有介质领用、交回、维修、报废、销毁等相关规定;了解存储阵列、磁带库等大容量存储介质是否外联,外联时是否有安全防护措施,是否存在远程维护。
4.运行维护管理制度
检查运行维护管理制度等相关文件是否包含备份、应急、监控、审计、变更管理等相关内容;是否有运维操作手册;运行维护管理制度是否认真落实,相关记录是否完整。
5.年度教育培训
检查年度培训计划制定情况和培训记录(培训时间、培训内容、人员签到、培训讲师等内容),确认信息安全管理人员和技术人员培训内容中是否包含专业技能培训,机关工作人员培训内容中是否包含信息安全基本技能培训。
(三)信息安全等级保护制度落实情况
检查是否组织部署等级保护有关工作;是否制定发布等级保护政策文件、行业标准规范和管理制度等;所属信息系统是否全部完成信息系统定级和备案;安全保护等级第三级(含)以上的重要信息系统每年是否开展等级测评和安全建设整改;信息安全产品与服务的使用是否符合等级保护制度的规定(等级保护制度具体内容可登陆www.djbh.net网站查询)。
(四)应急处置及容灾备份情况
检查是否制定了信息安全事件应急预案,并及时进行了修订和完善;是否定期组织开展预案实施演练,相关人员是否熟悉操作流程;是否建立了灾难备份和恢复措施,应急资源(技术支撑队伍、备机备件等)是否配备到位。
四、检查方式
本次检查按照“谁主管谁负责、谁运行谁负责”的原则,采取自查与抽查相结合、以自查为主的方式开展。
(一)自查
各单位要全面系统地检查所涉及网络与信息系统的安全情况,深入分析存在的隐患和问题。自查方式应以技术检测为主,可聘请经有关部门认定的网络安全测评机构,使用检测工具检测操作系统、数据库、网络设备、安全设备、应用系统等的端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞。鼓励各单位组织专业技术力量,采取模拟攻击方式对系统进行渗透测试,检验系统防入侵、防攻击、防泄漏、防篡改等能力。
(二)抽查
1.部机关和直属事业单位。部市场司、办公厅、信息中心等有关单位将组成联合检查组,采取非破坏性攻击渗透测试、现场核查等方式,对部分单位网络与信息系统进行安全抽查,查找安全漏洞和隐患,评估安全防护能力,研究提出改进和加强安全保障的措施建议,并及时反馈有关单位。
此外,公安部、工信部拟于近期派出检查组对国务院各部门开展网络安全工作抽查。
2.各地农业部门。应由本单位网络安全监管部门牵头,会同本单位信息中心等有关单位,按照当地网络与信息安全协调小组及公安、工信等相关部门要求,认真组织开展信息网络安全抽查工作。对发现的问题要及时反馈有关单位,提出整改意见并督促落实。
五、有关要求
(一)边检查边整改
各单位要切实做好整改工作,检查中发现问题要及时采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划及整改方案,并采取临时防范措施,确保网络与信息系统安全正常运行。要举一反三,在同类系统、同类设备中排查类似问题,切实提高信息系统安全防护水平。
(二)加强风险控制与保密管理
在开展安全检查工作时,要明确相关工作纪律并严格执行。要识别检查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全问题时的处置流程,确保被检查信息系统的正常运行。要对技术检测活动的安全风险进行评估,防止引入新的风险,并要求相关人员严格遵守操作规程。应对重要数据和配置进行备份,尽量避开业务高峰期进行技术检测。
各单位要高度重视保密工作,指定专人负责,对检查活动、检查实施人员以及相关文档和数据进行严格管理,确保检查工作中涉及到的国家秘密和商业秘密得到有效控制;对检查人员进行保密培训,确保检查工作中获知的信息不被泄露,检查数据和检查结果不向其他单位透露。
(三)认真做好总结
各单位要对自查情况进行全面总结,认真撰写自查报告(参考格式见附件,可登陆www.scs.moa.gov.cn/tzgg下载)。自查报告须给出对本单位安全状况和安全防护能力的总体判断。填写检查情况报告表时,应避免出现漏项、错项、前后不一致等情况。要根据检查报告内容的敏感程度,确定报告密级并在报告首页明确标识。
部机关和直属事业单位请于7月25日前将自查报告报送市场与经济信息司。
各地农业部门请于7月25日前将自查报告通过电子邮件或传真报送农业部市场与经济信息司,同时抄报当地公安、工信等有关部门。
联系单位:农业部市场与经济信息司
联系人:徐佳男
联系方式:010-5919150759192395(传真)
E-mail:xujianan@agri.gov.cn
附件:信息安全自查报告参考格式
二〇一二年七月十七日
附件:
信息安全自查报告参考格式
一、自查报告名称
×××(单位名称)信息安全自查报告
二、自查报告组成
自查报告包括主报告和报告表两部分。
三、主报告内容要求
(一)信息安全自查工作组织开展情况
概述此次安全检查工作组织开展情况、所检查的重要网络与信息系统基本情况。
(二)信息安全工作情况
对照《通知》要求,逐项、详细描述本单位在安全管理、信息安全等级保护制度落实、应急处置与灾备等方面工作的检查结果。
(三)自查发现的主要问题和面临的威胁分析
1.发现的主要问题和薄弱环节
2.面临的安全威胁与风险
3.整体安全状况的基本判断
(四)改进措施与整改效果
1.改进措施
2.整改效果
(五)关于加强信息安全工作的意见和建议
附表:1.信息系统定级备案情况汇总表
2.未定级、撤销及变更备案信息系统情况表
3.跨省全国联网信息系统基本情况调查表
4.信息安全检查情况报告表
附表1:
信息系统定级备案情况汇总表
序号
信息系统所属单位名称
信息系统名称
安全保护等级
附表2:
未定级、撤销及变更备案信息系统情况表
序号
信息系统所属单位名称
信息系统名称
拟定安全保护等级
系统状态
①新建系统②撤销系统③变更备案系统
附表3:
跨省全国联网信息系统基本情况调查表
(部机关和直属事业单位填写)
序号
单位名称
信息系统名称
安全保护等级
部署模式
省级分支数量
省级分支等级
地市分支数量
地市分支等级
数据存储方式
备注
填表说明:1、本表统一按EXCEL格式填写,在表格内部不要合并单元格;2、“部署模式”分为:①部省两级部署②部省市三级部署;3、“省级分支等级”和“地市分支等级”如果不统一或未确定,可以填写拟确定的安全保护等级;4、“数据存储方式”分为:①分支系统存储数据②分支系统不存数据,有网络设备或前置设备等③分支系统不存数据,仅为终端;5、如有其他情况需要说明,请在备注栏内填写。
附表4:
信息安全检查情况报告表
单位名称:
基本情况
重要信息系统总数
(按实时性进行统计)
1.非实时运行的系统数量
2.实时运行的系统数量
(按服务对象进行统计)
1.面向社会公众提供服务的系统数量
2.不面向社会公众提供服务的系统数量
(按联网情况进行统计)
1.直接连接互联网的系统数量
2.同互联网强逻辑隔离的系统数量
3.与互联网物理隔离的系统数量
(按数据集中情况进行统计)
1.全国数据集中的系统数量
2.省级数据集中的系统数量
3.未进行数据集中的系统数量
(按灾备情况进行统计)
1.进行系统级灾备的系统数量
2.仅对数据进行灾备的系统数量
3.无灾备的系统数量
系统
构成情况
主要硬件和软件
服务器
路由器
交换机
防火墙
磁盘阵列
磁带库
操作系统
数据库
国内品牌数量(台/套)
国外品牌数量(台/套)
业务应用
软件系统
1.自主设计开发(不含二次开发)的数量
2.委托国内厂商开发的数量
委托国外厂商开发的数量
3.直接采购国内厂商产品的数量
直接采购国外厂商产品的数量
信息技术外包服务
服务商名称:
服务商性质:□国有□民营□外资
服务内容:
服务方式:□远程在线服务□现场服务
(如有更多,请另列表)
安全状况分析结果
信息系统对国外产品和服务的依赖程度
主要业务
对信息系统的依赖程度
信息系统
面临的安全威胁程度
信息系统
安全防护能力
信息系统名称
高
中
低
高
中
低
高
中
低
高
中
低
1.
2.
(如有更多,请另列表)
安全状况分析方法
一、主要问题分析
1.从安全管理和技术防护两个方面,对检查中发现的主要问题及薄弱环节逐一进行研究,深入分析问题产生的直接原因以及深层次的原因,研究提出相应的改进措施。
2.从法律法规、政策制度、技术手段三个方面,分析制约本单位系统安全防护能力提高的主要因素,包括当前不适应安全管理工作或缺失的法律法规及政策制度,安全防护中缺少或严重不足的技术手段等,研究提出关于加强信息安全工作的意见和建议等。
二、国外依赖度分析
根据对主要软硬件设备和信息技术外包服务的检查情况,统计国外产品和服务所占的比例,分析系统对国外产品和服务的依赖程度,记录分析结果。
系统对国外产品和服务的依赖程度按以下标准判定:
1.高依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统无法运行。
2.中依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统能够运行,但系统功能、性能等受较大影响。
3.低依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统能够正常运转或受影响较小。
三、主要威胁分析
根据安全检测发现的漏洞和隐患,分析系统存在的安全风险,判断面临的安全威胁程度以及具备的安全防护能力,评估系统总体安全状况。
1.系统面临的安全威胁程度按以下标准判定
系统具有下述特征之一的,为高安全威胁:(1)连接互联网,采用远程在线方式进行运维或对国外产品和服务高度依赖;(2)跨地区联网运行或网络规模大、用户多,采用远程在线方式进行运维或对国外产品和服务高度依赖;(3)存在其他可能导致系统中断或系统运行受严重影响、大量敏感信息泄露等的威胁。
系统具有下述特征之一的,为中安全威胁:(1)连接互联网,对国外产品和服务中度依赖;(2)跨地区联网运行或网络规模大、用户多,对国外产品和服务中度依赖;(3)存在其他可能导致系统运行受较大影响、敏感信息泄露等的威胁。
系统具有下述特征之一的,为低安全威胁:(1)连接互联网,对国外产品和服务依赖度低;(2)跨地区联网运行或网络规模大、用户多,对国外产品和服务依赖度低;(3)存在其他可能导致系统运行受影响、信息泄露等的威胁。
2.系统安全防护能力按以下标准判定
安全防护能力高:经组织专业技术力量对系统进行攻击测试,不能通过互联网进入或控制系统。
安全防护能力中:经组织专业技术力量对系统进行攻击测试,能够通过互联网进入或控制系统,但进入或控制系统的难度较高。
安全防护能力低:经组织专业技术力量对系统进行攻击测试,能够轻易通过互联网进入或控制系统。
附件:
2012年农办市[2012]16号(X).CEB
http://www.moa.gov.cn/govpublic/SCYJJXXS/201207/t20120718_2793623.htm
试析《证券法》第63条对违反信息披露义务的民事责任的规定
——兼评最高人民法院《关于受理证券市场因虚假陈述引发的民事侵权纠纷案件有关问题的通知》的相关规定
颜盈盈*
内容摘要:投资者的积极参与是证券市场得以存在并持续发展的前提与动力,因此必须给投资者的合法权益以尽可能多的保护。然而,现阶段,证券市场上违法行为层出不穷,尤其是证券发行人等证券市场主体在信息披露过程中的不实陈述行为。对此,我国《证券法》第63条设置了违反信息披露义务的责任主体承担民事责任的规定,这无疑是立法上的一大突破,但该条文的规定有不合理、不明确之处,缺乏可操作性,笔者在文中将就条文本身及相关问题展开分析论述。
关键词:信息披露 不实陈述 民事责任 最高院通知
一.引言
信息披露作为现代证券市场的核心原则之一,要求在证券的发行、上市及交易过程中,有关主体公开的资料或信息在内容上必须符合完整性、真实性和准确性的要求,不得有虚假、误导或重大遗漏。其目的主要在于向投资公众提供公平合理的投资判断机会,使其免受证券发行的不实陈述行为的危害,所以各国证券法都规定,违反信息披露义务,有关主体必须承担相应的民事责任、行政责任或刑事责任。
《中华人民共和国证券法》(以下简称《证券法》)以前的证券法规规章片面强调行政责任、刑事责任,因此,在琼民源事件、红光事件中,进行虚假信息公开、严重侵害投资者利益的责任主体,虽承担了相应的行政责任、刑事责任,但其受到的法律制裁并不能弥补受到欺诈、作出错误判断的众多投资者所遭受的损失,从而挫伤了投资者对证券市场的信心。因此,在已有的基础上构建完善的民事责任制度及相应的赔偿机制以稳定证券市场是当务之急。于是,我国《证券法》第63条突破性地设置了违反信息披露义务的责任主体承担民事责任的规定。
《证券法》第63条规定:“发行人、承销的证券公司公告招股说明书、公司债券募集办法、财务会计报告、上市报告文件、年度报告、中期报告、临时报告,存在虚假记载、误导性陈述或者有重大遗漏,致使投资者在证券交易中遭受损失的,发行人、承销的证券公司应当承担赔偿责任,发行人、承销的证券公司的负有责任的董事、监事、经理应当承担连带赔偿责任。”分析这一条文,笔者想就以下几个问题展开讨论,谈谈自己的一点看法:
二.违反信息披露义务的民事责任的性质
追究民事责任的前提在于明确责任的性质为何。民事责任可以分为违反合同义务的民事责任(即违约责任)及侵权的民事责任。同为民事责任,两者的不同之处有:(1)责任产生的基础不同。侵权责任,是根据侵权损害的事实,依法律规定而产生。而违约责任,是以违反合同的事实为根据,当事人原本就存在合同关系。前者为新生之债,后者为既存之债。(2)适用的归责原则不同。侵权责任广泛地适用过错责任原则和无过错责任原则;违约责任普遍适用过错责任原则,不适用无过错责任原则。(3)涉及损害内容不同。侵权责任即涉及财产损害也涉及非财产损害;违约责任只涉及财产损害,不涉及非财产损害。(4)承担责任人的范围不同。侵权责任承担者,不限于本人,也不限于有民事行为能力人。违约责任则主要由违约人自己承担。1
笔者认为,可以在对信息披露行为分阶段的基础上分析违反信息披露义务的民事责任的性质。
首先,在证券发行阶段,信息披露行为是证券发行人的一种契约行为,证券的募集和认购的过程就是一个合同的成立过程。信息披露的内容主要体现在招股说明书中,根据《中华人民共和国合同法》(以下简称《合同法》)第15条的规定,公开的招股说明书具有发行人向投资者作出招股要约的法律意义,它本质上是“向特定人或非特定人发出购买或者销售某种股票的书面的意思表示”。作出这种意思表示的发行人对于招股说明书内容的真实性、准确性和完整性负有直接的法律责任,发行人违反信息披露义务的行为属于在合同订立过程中违反了诚实信用原则,应当承担缔约过失责任。但是,由于证券交易的特殊性,投资者根据发行人提供的信息进行投资判断,发行人在信息上占有相当大的,甚至是绝对的优势,并且买卖双方无法面对面就违约责任作出详细约定,若让发行人承担缔约过失责任,适用过错责任的归责原则,由投资者承担举证责任,这对投资者而言是极困难的,显然不利于投资者运用《证券法》上的规定保护自己的合法权益。因此,《证券法》第63条通过规定民事责任的主体不仅限于契约的相对人(即发行人),还涉及发行人的董事、监事、经理,承销商及其负有责任的董事、监事和经理等,较契约责任扩大了承担责任的主体范围,实际上已将违反信息披露义务的民事责任视为侵权责任,受侵权责任制度的调整,更有利于保护投资者。
其次,在证券的交易阶段,信息披露行为表现出显著的非契约性。在此阶段,买卖双方都不是发行人(上市公司回购证券除外),即是说,上市公司被排除在证券买卖合同之外。此时只能用于具有合同关系的证券发行以及要约收购的合同法救济在此得不到适用。为了有效全面地保护投资者,必须适用侵权法上的救济。具体地说,买卖证券的双方当事人都有权了解代表证券品质的上市公司的经营状况和财务状况,可以将投资者的这种权利称为知情权,2也就是投资者全面、准确、及时地了解证券发行公司的经营状况和财务状况的权利。保证投资者这种知情权实现的方式,就是由上市公司真实、准确、全面、适时地披露其信息。如果上市公司违反信息披露的义务,就侵犯了投资者的知情权,应当依法承担侵权责任。
最后,将违反信息披露义务的民事责任性质确定为侵权责任,有助于维护与强化证券市场的信用机制。我国信息披露的违规现象非常严重,可以说几乎中国证券市场的一切违法行为都与信息的不当使用有关,有必要强化信息披露相关人员的责任意识。
通过上述分析,可以推定我国《证券法》第63条所规定的责任主体违反信息披露义务应承担的民事责任是一种侵权责任。
三.违反信息披露义务的民事责任的构成要件
上文的分析论证已确认此责任的性质为侵权责任,它的责任构成要件如下:
首先,信息披露中有不实陈述行为存在 。若对不实陈述主张侵权责任,需先证明有不实陈述行为存在。不实陈述是指负有信息披露义务的机构或个人,在其信息披露文件中包括有实质性虚假记载、误导性陈述或者有重大遗漏。
所谓虚假记载,指的是在信息披露的文件上作出与事实真相不符的记载,即客观上没有发生或无合理基础的事项被信息披露文件加以杜撰或未予剔除,常见于财务报表中。虚假记载属于积极行为的方式,主观上既可出与故意,也可处于过失。所谓误导性陈述,指的是信息披露文件中的某事项虽为真实但由于表示存在缺陷而易被误解,致使投资者无法获得清晰、正确的认识。误导性陈述可分为语义模糊歧义型、语义难以理解型和部分遗漏型三种,它既可表现为积极作为的方式,也可表现为消极不作为的方式,在主观上,既可以处于故意,也可以处于过失。所谓重大遗漏,指的是信息披露文件未记载依法应当记载的事项或为避免文件不致被误解所必须记载的重大事项,它是一种消极的不实陈述,是以不作为的方式进行的,在主观上可以是故意或过失。3
上述三种不实陈述行为的认定,应当以人民法院或证券监管机构的认定为准。4在我国,证监会公布了一些对发行人的处罚决定,投资者可以作为要求承担民事责任的依据。如果只是怀疑发行人的公开文件存在不实陈述,则应当由人民法院来认定。
其次,投资人受到损害。上市公司公开的信息披露文件中的不实陈述,往往谎报公司业绩、在资产评估中高估资产价值等等,目的是使公司股票市价上扬,待真相大白于众时,该公司的股价往往会下跌,投资者特别是普通股民往往损失惨重,因此投资者受到损害,是提起诉讼的必要条件。
损害作为客观存在的现象,需要具备以下几个特征:第一,损害的法定性。即损害事实必须是证券法明确规定或依据证券法的精神对造成损害予以制裁时,才是应当追究的事实。如果不是证券法上的民事责任,则存在的损害可以通过其他民商事法律规范予以救济。5第二,损害具有客观性和可确定性。前者指损害是客观的、确定的事实,后者指可依价值尺度衡量出来的具体数额,它是酌定赔偿额的依据。6第三,损害的可补偿性。即侵权行为人给受害人造成的损害,必须是通过法律手段可以补偿的。
第三,不实陈述与损害间的因果关系。这通常包括两个问题:一是投资者的投资决定是否因为信赖虚假陈述而作出,即是否存在交易的因果问题;二是投资者的损失是否因为虚假陈述而导致,即损失的因果关系。在美国的证券法中,一般推定投资者对不实陈述的信赖的存在7,而且Mills一案将信赖问题纳入到“重大性”之中;如果存在交易的因果关系且投资人受有损失,则推定损失的因果关系存在,Levinson v. Basic, Inc. an案8中,采纳了“欺诈市场理论”,认定投资者即使是根据证券价格做出投资决定,实际上也受了不实陈述的影响。9这与英美法上事实因果关系与法律因果关系的传统学说10已相去甚远,因果关系链条已被大大简化,从而具有鲜明的特别法法律规范的特征。
我国《证券法》第63条对因果关系(即“信赖”)是否是必要的责任构成要件没有明确作出规定,笔者认为,可以借鉴发达国家的司法实践经验,也采取“推定信赖”原则。在我国,投资者获取信息的能力明显弱于发行人、承销商及其相关的责任人员,从而导致了双方权利义务的不平衡性,在此表现为诉权的不平等。在我国缺少理性投资者的情况下,要投资者证明对披露文件的依赖显得不合实际。为了更好地保护中小投资者的利益,笔者建议可以采取举证责任的倒置,推定信赖存在,除非发行人、承销商及其相关的责任人员能证明不实陈述的存在和投资者受到损失的事实之间没有因果关系。
最后,责任主体的主观过错。当事人的主观过错往往决定了民事责任的承担与否及承担责任的大小。这里涉及责任主体的范围,其各自的归责原则和免责事由。
《证券法》第63条对几类责任主体违反信息披露义务时应承担的民事责任规定如下:一是发行人,承担的是无过错的赔偿责任;二是承销的证券公司(以上和以下称“承销商”),承担的也是无过错的赔偿责任;三是发行人、承销的证券公司的负有责任的董事、监事、经理,承担连带赔偿责任。笔者认为在这一条文中,已有的规定有不合理、不明确之处,另外条文本身还有不足与缺漏,本文将在第四部分进行具体论述。
四.对《证券法》第63条的实务操作和内容补充的一点建议
(一)条文对承销商承担无过错责任的规定不合理:
第63条的法律条文太粗化,仅从法律条文本身理解,似乎承销商与发行人承担相同的民事责任,其归责原则同样是无过错原则。笔者以为,承销商应承担的责任应视具体情况而定。如果承销商与发行人恶意通谋,则双方构成共同侵权,承销商应承担连带赔偿责任,因为根据民法原理,其双方之间主观上具有共同的意思联络,实施了共同侵权行为,理应承担连带责任(较之按份责任,连带责任扩大了原告的可诉范围,提高了投资者获得全部损失赔偿的可能性,更利于保护投资者)。若承销商仅仅因为过失或疏忽,未尽尽职调查义务,则应承担补充责任。因为证券发行人是信息源的最终控制人,最了解影响投资人投资决定或证券价格的信息,当然应尽最高的义务。并且,证券发行的利益主要也是归属发行人,11要求其承担和发行人一样的责任,未免显得太苛刻。
同时,笔者认为,法律上应允许承销商在适当的情况下免除责任,即应将承销商“尽到勤勉谨慎审查,仍无法发现证券发行人存有虚假陈述情形”的情况作为其免责事由。原因有:第一,《证券法》第24条规定了证券公司的对公开发行募集文件的核查义务。但核查义务不等于保证义务或保证责任。如果承销商已尽到全面和审慎的核查义务,但未发现证券发行人的不实陈述的应给予免责。第二,证券公司虽然是专业机构,但相对于律师事务所、会计师事务所及资产评估机构来说,又属于法律、审计及资产评估专业以外的非专业机构,承销商显然无法对其三出具的专业报告作出专业性评价。12在此情形下,若强要承销商承担无过错责任,就会过于苛刻。
通过以上分析,笔者建议对承销商在信息披露过程中的不实陈述还是采取过错推定原则较为妥当。
(二)条文包括的责任主体不完全,缺少对发起人违反信息披露义务的规定:
发起人是指依照法律规定的条件和程序,通过其活动使股份有限公司获得成立的人。各国证券法一般皆规定了发起人的责任,我国此前的《股票发行与交易管理暂行条例》所规定的不实陈诉的民事责任主体中有发起人,并规定全体发起人对不实陈述承担无过错责任。
然而现行的《证券法》第63条对发起人的责任却未有提及,这是十分不妥的。对发起人的民事责任作出明确规定的理由如下:首先,发起人参与公开文件的制作,在我国发行人是由国企改组的情况下,发起人对企业的经营状况更是非常熟悉。因此,发起人最接近和了解公开文件的内容,没有理由以其不存在故意或过失来要求免责,故应承担无过错责任;13同时,信息披露的风险也是由发行人和发起人引起,对投资者造成损害应当承担最严格的责任,这有利于维持投资者的信心和证券市场的稳定。
(三)条文对发行人和发起人的免责事由没有作出规定:
从有的国家法律规定来看,虽然对发行人规定的是无过失责任,不能以自己无过错来免责,但如果能证明原告已知悉则可免责。14这是为了防止一些利用内幕信息来交易的恶意投资者也可以通过该种制度获得补偿。我国《证券法》未作善意投资者和恶意投资者的区分。这样,可能造成的漏洞是,如果那两个因知悉内幕信息而操纵市场的股东在二级市场交易遭受损失,那么,也可以请求民事赔偿,这显然是不合理的。因此,笔者认为,在投资者明知披露文件中存有不实陈述的情况下,发行人和发起人可以以此免责。
(四)条文对发行人及承销商的董事、监事、经理等承担过错责任的规定不利于对投资者的保护:
根据《证券法》第63条,凡因信息披露“存在虚假记载、误导性陈述或者有重大遗漏,致使投资者在证券交易中遭受损失的,发行人、承销的证券公司应当承担赔偿责任,发行人、承销的证券公司的负有责任的董事、监事、经理应当承担连带赔偿责任”。董事、监事、经理在负有责任时才承担责任,这里适用的是过错责任的归责原则,即要由主张董事、监事、经理应负责的投资者承担证明其有过错的举证责任。但是,实践中,中小投资者要去证明证券承销商的董事、监事、经理的过错,证明此类过错的成本是巨大的,因此几乎是不可能的。所以,建议采用过错推定、举证责任倒置的方法。即只要信息披露有缺陷,就推定发行人和承销商的董事、监事、经理有过错,除非他们能证明自己没有过错,如:董事可以证明自己已经根据《公司法》第118条对董事会决议行使了异议权,并记载于董事会会议记录;监事可以证明自己善尽了监督职责,并已经根据《公司法》第126条的规定要求董事、经理对不当行为予以纠正,或已对董事、经理提起诉讼等等。若可以以上述的情形成功举证,发行人、承销商的董事、监事、经理可以免责。
(五)条文对享有请求权的原告的资格和范围没有作出具体明确的规定:
一般说来,原告指的是因义务人的不实陈述而受损的人。我国台湾法律15规定,善意的相对人有权请求损害赔偿。美国法律16规定,“当注册报告书的任何部分在生效时含有对重大事实的不真实陈述或漏报了规定应报的或漏报了为使该报告书不至被误解所必须的重大事实时,任何获得这种证券的人(除非被证明在获取证券时,他已知这种不真实或漏报情况)都可以根据法律或衡平法在任何具有合法管辖权的法院提起诉讼。”因此,笔者认为,凡相信所披露信息而善意购买证券,并因此而遭受损失之人,均可以获取诉权。证券购买人不仅包括发行市场上的投资者,也包括交易市场上的投资者。同时,在不实信息披露之前持有证券,只要是基于信赖披露的信息而继续保留该证券而受到损失的投资者,也应当有获得损害赔偿的权利。17这里所说的证券买卖可以直接或间接的方式发生,它包括一种证券转化为另一种证券,它也包括债权人或者债务人在证券市场正受到不实陈述影响时对抵押证券的强制处置。
当然,对于已经知悉股份公司披露的是不实信息的投资者,由于其投资是在未受欺诈的情况下作出的,有关当事人不承担赔偿责任。
(六)条文未对损害赔偿额的计算作出规定:
深圳市人民政府关于对非法营运行为实施委托行政执法的规定
广东省深圳市人民政府
深圳市人民政府令第191号
《深圳市人民政府关于对非法营运行为实施委托行政执法的规定》已经市政府四届一○九次常务会议审议通过,现予发布,自2008年11月1日起施行。
市长 许宗衡
二○○八年九月二十六日
深圳市人民政府关于对非法营运行为实施委托行政执法的规定
第一条 为了加强道路运输市场的管理,保障行政机关合法、有效实施行政执法活动,根据有关法律、法规、规章,结合我市实际,制定本规定。
第二条 深圳市交通运输行政主管机关(以下简称委托机关)可以依法委托深圳市公安机关(以下简称受委托机关)对下列非法营运行为实施行政执法:
(一)未取得道路运输经营许可,擅自从事道路运输经营的(包括客运经营和货物运输经营);
(二)未取得道路危险货物运输许可,擅自从事道路危险货物运输的;
(三)无出租车营运牌照、道路运输证的小轿车及微型汽车从事载客业务的;
(四)非出租车擅自安装出租车牌号、顶灯、计价表等标识和设施假冒出租车的;
(五)外地出租车空车驶入特区内;外地出租车从事起、终点在特区范围内的载客业务;外地出租车不按照规定的道路交通限定区域、路线行驶;外地出租车在规定的场站以外搭载回程乘客的;
(六)没有绿色出租车经营权而擅自从事载客营运业务的;
(七)摩托车违法从事载客业务的;
(八)市政府决定实施委托行政执法的其他事项。
前款所列委托事项,法律、法规和规章对其性质、行为表现、处罚方式等予以修改的,根据修改后的规定执行。
第三条 本规定第二条所称的“行政执法”包括行政检查、立案、调查取证、行政强制措施、行政处罚、有关物品的处理等。
第四条 受委托机关应当在委托事项、委托权限范围内,以委托机关的名义实施行政执法。
受委托机关不得再委托其他组织或者个人实施行政执法。
第五条 委托机关依法对受委托机关实施的有关行政执法行为进行指导和监督,并对有关行政执法行为的后果承担法律责任。
第六条 委托机关与受委托机关应当签订书面委托协议。该协议应当载明委托机关和受委托机关的名称、委托依据、委托事项、委托权限、委托期限、委托时间、法律责任等内容。
第七条 委托机关与受委托机关应当将本规定的委托执法事项等内容向社会公告。
第八条 委托机关和受委托机关应当加强执法协作、配合,互通执法信息,协调解决执法中发生的问题。
第九条 本规定自2008年11月1日起施行。