安全審計的類型范文

前言：我們精心挑選了數篇優質安全審計的類型文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

[關鍵詞]信息安全審計；審計應用；審計實現 ；APP

doi：10.3969/j.issn.1673 - 0194.2015.08.012

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2015）08-0019-01

近年來，隨著辦公業務對手機軟件相關信息系統的依賴越來越高，APP應用軟件信息系統存在的風險對業務的潛在影響也越來越大。解決針對業務信息內容的篡改操作行為的監控管理的問題，必須要有一種有效的安全技術手段對內部員工、運行維護人員以及第三方人員的上網行為、內網行為、操作行為等進行有效的監控和管理，并對其行為趨勢進行分析和總結。

1 APP應用信息安全審計定義

為了APP應用信息系統的安全、可靠與有效，由獨立于審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價，向IT審計對象的最高領導，提出問題與建議的一連串的活動稱為IT審計。IT審計就是信息系統審計，也稱IT監查。

2 APP應用信息安全審計的實現

要實現APP應用信息安全審計，保障計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性（抗抵賴），需要對計算機信息系統中的所有網絡資源（包括數據庫、主機、操作系統、網絡設備、安全設備等）進行安全審計，記錄所有發生的事件，提供給系統管理員作為系統維護以及安全防范的依據。

2.1 合規性審計

做到有效控制IT風險，尤其是操作風險，對業務的安全運營至關重要。因此，合規性審計成為被行業推崇的有效方法。安全合規性審計指在建設與運行IT系統中的過程是否符合相關的法律、標準、規范、文件精神的要求一種檢測方法。這作為風險控制的主要內容之一，是檢查安全策略落實情況的一種手段。

2.2 日志審計

基于日志的安全審計技術是通過SNMP、SYSLOG或者其他的日志接口從網絡設備、主機服務器、用戶終端、數據庫、應用系統和網絡安全設備中收集日志，對收集的日志進行格式標準化、統一分析和報警，并形成多種格式和類型的審計報表。

2.3 網絡行為審計

基于網絡技術的安全審計是通過旁路和串接的方式實現對網絡數據包的捕獲，進行協議分析和還原，可達到審計服務器、用戶終端、數據庫、應用系統的安全漏洞，審計合法、非法或入侵操作，監控上網行為和內容，監控用戶非工作行為等目的。網絡行為審計更偏重于網絡行為，具備部署簡單等優點。

2.4 主機審計

主機安全審計是通過在主機服務器、用戶終端、數據庫或其他審計對象中安裝客戶端的方式來進行審計，可達到審計安全漏洞、審計合法和非法或入侵操作、監控上網行為和內容以及向外拷貝文件行為、監控用戶非法行為等目的。主機審計包括主機的漏洞掃描產品、主機防火墻和主機IDS/IPS的安全審計功能、主機上網和上機行為監控、終端管理等類型的產品。

2.5 應用系統審計

應用系統安全審計是對用戶在業務應用過程中的登錄、操作、退出的一切行為通過內部截取和跟蹤等相關方式進行監控和詳細記錄，并對這些記錄按時間段、地址段、用戶、操作命令、操作內容等分別進行審計。

2.6 集中操作運維審計

集中操作運維審計側重于對網絡設備、服務器、安全設備、數據庫的運行維護過程中的風險審計。

運維審計的方式不同于其他審計，尤其是維護人員為了安全的要求，開始大量采用加密方式，如遠程桌面協議（Remote Desktop Protocol，RDP）、SSL等，加密口令在連接建立的時候動態生成，一般的針對網絡行為進行審計的技術是無法實現的。

3 審計系統的實現

通過對6類審計產品的綜合應用，可以形成較完備的APP應用信息系統安全審計應用系統，對整個網絡與信息系統中的網絡、主機、應用系統、數據庫及安全設備等進行安全審計，且可以支持分布式跨網審計，并進行集中統一管理，達到對審計數據綜合的統計與分析，更有效地防御外部的入侵和內部的非法違規操作，最終起到保護信息和資源的作用。

參考網絡與信息系統安全審計應用模型，企業既可以采取單項逐一建設方式，也可以采用多項綜合建設方式建立內部審計應用系統。對于擁有分（子）公司且不在同一地區的企業，也可以通過城域網絡把多個分（子）公司統一起來，進行集中建設，統一管理。

4 結 論

通過整合市面上多種不同類型的審計產品，按照網絡與信息系統安全審計應用模型，采用“統一規劃、分步實施”的方式，可以在企業內部建立起嚴格監控的網絡與信息系統安全審計應用平臺，提升企業信息化日常運維及操作的安全性。

主要參考文獻

[1]胡克瑾.IT審計[M].北京：電子工業出版社，2002.

第2篇

在國外，隨著諸如Iso27001,薩班斯法案等信息安全標準和法規的頒布，國外的信息安全審計己經企業，得到了廣泛的應用。而在我國，信息安全審計主要來源于企業信息安全管理的需求、企業內控的要求并且獲得了一定規模的應用。而隨著計算機信息安全等級保護的推進，信息安全審計必然越來越受到政府、企事業單位的重視。目前市場上存在著各種各樣的信息安全審計系統，其功能不一，部署使用力一式也不相同。如何在等保建設中更好的應用審計系統，木文在以下內容中給出了分析和建議。

1信息安全審計的意義和目的

計算機信息安全是要保證計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴)，簡稱五性。安全審計是這五性的重要保障之一，它對計算機信息系統中的所有IT資源(包括數據庫、主機、操作系統、安全設備、網絡行為等)進行安全審計，提供給系統管理員作為系統維護以及安全防范的依據。安全審計如同銀行的CCAV監控系統，任何人進出銀行，柜臺操作都進行如實錄像記錄，一旦有異常事件可以快速的查閱進出記錄和行為記錄，確定問題所在，以便采取相應的處理措施。

信息系統的安全審計工作更為復雜，通過統一收集信息系統中的設備、系統、終端、應用的登錄、操作日志以及其它各種網絡行為，例如互聯網訪問，FTP傳輸、電子郵件等記錄，通過綜合關聯分析從各類記錄中進行多層而、多視角的跟蹤、分析和處理，發現異常事件，及時采取相應措施。

通過以上分析可以看到信息安全審計在信息安全管理體系中是不可缺失的部分。它的作用主要如下:

(1)對正在發生的各類信息事件進行監控、記錄和告警;

(2)為安全主管提供審計記錄和分析決策，及時針對異常行為采取措施;

(3)通過安全審計記錄，可以對于發生的信息系統破壞行為提供有效的法律追究證據;

(4)有效的安全審計策略和安全審計防護措施可以對潛在的攻擊者起到震懾和警告的作用。

2等級保護中安全審計問題

2.1等級保護中的安全審計要求

等級保護是我國目前在非涉密系統信息安全防護一個有效的政策依據。等級保護測評中對網絡，主機，數據庫和應用都有相應的安全審計要求。

2.1.1各安全域通用要求

(1)審計記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描述和結果等;

(2)應保護審計進程，避免受到未預期的中斷;

(3)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

2.1.2網絡設備和網絡安全設備特殊要求

應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄。

2.1.3主機和數據安全審計特殊要求

(1)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;

(2)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等;

(3)應能夠根據記錄數據進行分析，并生成審計報表。

2.2等級保護中存在的安全審計問題

在實際測評中由于企業對安全審計不夠重視導致存在諸多安全隱患，不但影響了測評結果也給企業帶來了安全風險。

2.2.1網絡設備和安全設備存在的問題

(1)未開啟安全審計功能，或只設置了相應的日志服務器但沒專人定期對日志分析、記錄;

(2)記錄內容較簡單，只包含用戶登錄行為，而對設備運行情況、網絡告警信息、流量信息都未記錄;

(3)只是簡單的對日志進行保存，并未能運用這些數據做分析統計并從中發現問題;

(4)對審計記錄的保存未做過優化或定期檢查，沒有專人進行維護，不能確保審計記錄不會被修改或刪除。

2.2.2主機和數據庫存在的問題

(1) LINUX系列主機安全審計功能一般都未啟，而對于WINDOWS系列的主機安全審計功能均是系統默認設置。

(2)主機開啟了審計服務但審計對象只包含了操作系統用戶，而對數據庫用戶和其他系統的用戶并未進行審計。

(3)只是簡單對日志進行保存，并沒有專人對這些數據統進行計分析統計。

(4)對審計日志的記錄的內容采取了系統默認保存方法，對日志存儲位置、存儲最大值以及達到最大值后的處理都未設置。

(5)對審計進程和審計日志均沒有專人去做維護檢查，不能保證審計系統的安全運行，審計日志不被非法修改。

2.3等級保護中安全審計的重要性

從保測評的結果看來，不少企業對安全審計不夠重視，信息安全建設主要集中于傳統的信息安全基礎設施，如部署防火墻，IPS等。目前企業的信息安全管理主要依托于這類網關型安全設備上，忽略了事中監控和事后審計溯源的安全管理。從實際測評中發現造成這一系列問題的主要原因是未能認識信息安全審計的重要性，對信息安全審計所需的各類資源投入不足。有效安全審計手段的缺失不僅使企業信息安全等級保護不足，而且也使企業自身信息安全管理體系存在短板，導致企業存在以下安全風險:

(1)內部風險:由內部員工違規操作導致的安全風險和網絡的非法接入帶來的風險。

(2)第二力一維護:企業系統由第二力一維護所帶來的風險。

(3)系統日志:單純的分析業務系統或者數據庫系統的日志，都無法對整個訪問過程是否存在風險進行判斷。

4信息安全審計系統在等級保護建設中的應用

等級保護建設中提出了很多具體的安全審計要求。不少企業不知從何處著手開展工作。信息安全審計系統種類繁多、針對性強，在等級保護建設過程應該根據等級保護的具體要求并結合這些審計系統的特點，有針對性的進行建設才能最終滿足等級保護要求，提高企業安全水平。

4.1等保三級系統中網絡設備和網絡安全設備的安全審計

4.1.1等級保護基木要求

(1)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄;

(2)審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

(3)應能夠根據記錄數據進行分析，并生成審計報表;

(4)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

4.1.2可采用的審計系統

按照等級保護二級系統中對網絡設備和網絡安全設備的安全審計基本要求，可采用網絡審計系統。

4.1.3符合度分析

網絡審計系統通過網絡數據的采集、分析、識別，實時動態監測通信內容、網絡行為和網絡流量，發現和捕獲各種敏感信息、違規行為，實時報警響應，全而記錄網絡系統中的各種會話和事件，實現對網絡信息的智能關聯分析、評估及安全事件的準確全程跟蹤定位。

4.2等保三級系統中主機和數據庫的安全審計

4.2.1等級保護基木要求

(1)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;

(2)審計內容應包括重要用戶行為、系統資源的異常使用和}重要系統命令的使用等系統內重要的安全相關事件;

(3) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等;

(4)應能夠根據記錄數據進行分析，并生成審計報表;

(5)應保護審計進程，避免受到未預期的中斷;

4.2.2可采用的審計系統

按照等級保護二級系統中對主機和數據庫的安全審計基本要求，可采用終端審計系統、運維審計系統、數據庫審計系統。

5總結

第3篇

① 等價有償確實是民法通則所規定的民事活動的原則之一, 但不能因此將該原則理解為一切民事活動的必要準則。道理很簡單, 民法通則所調整的社會關系并非都是商品交換關系(比如民法通則所調整的人身關系和身分關系在本質上不是商品關系)。即使民法通則所調整的商品關系也未必一定必須是實行等價有償原則的關系( 比如基于自愿的贈與關系和無息借貸關系, 基于公法干預的那部分非完全收費的醫療服務關系)。

② 更為重要的是, 就損害賠償關系的法律調整而言, 等價有償原則并不意味著損害賠償關系的調整應當以該項損害賠償關系的前提關系是否體現了等價有償為原則, 換言之, 并不意味著賠償額占實際損失額的比例應當與受害人在該項損害賠償關系的前提關系中所支付的代價占其所獲得的利益的比例相一致, 而是意味著應當賠償的數額與實際損失的金額相符即實際賠償。正是在這個意義上, 筆者認為, 民法通則關于侵權賠償責任的規定所體現的實際賠償原則, 是民法通則總則所確立的等價有償原則在侵權責任關系中適用的結果, 是等價有償原則的具體體現。就民法調整的醫患關系而言, 等價有償原則對醫療服務關系(即醫療事故賠償關系的前提關系)的作用在一定范圍內或一定程度上受到了體現公共福利政策的公法的制約, 因而醫療服務關系在一定范圍內或一定程度上可能并非完全貫徹等價有償原則,但是,我們不能以醫療服務關系(盡管是一定范圍內的)的不完全等價有償性為由,否定實際賠償原則在醫療事故賠償關系中的適用。

③ 從比較法的角度看, 現代民法發展的重要趨勢之一是其權利救濟機能的擴張(往往是通過民事特別法或判例的形式),它不僅作用于傳統的私法關系領域(商品經濟關系,私人之間的關系),而且作用于帶有一定公法性質的社會關系領域( 公共福利的提供和利用關系, 國家與私人之間的行政管理關系)。其重要的背景之一是人權保障范圍的擴大。資本主義國家的現代民法是如此, 社會主義市場經濟國家的民法更應當如此。在損害賠償問題上,不論侵權發生在什么領域, 都應當貫徹反映等價有償要求的實際賠償原則(至于是否有必要在特定侵權領域設立懲罰性賠償制度的問題另當別論)。

(5) 在支持限制醫療事故賠償、反對適用民法通則的議論中，有種似乎與上述可能存在的對等價有償原則的誤解有關聯的意見認為，在醫療事故賠償問題上，應當貫徹權利與義務相一致的原則。也就是說, 醫療事故被害人所享有的獲得賠償的權利應當與其承擔的付款義務相一致, 付款義務的大小決定了受償權的大小; 醫療機構承擔的賠償義務應當與其收取醫療費的權利相一致, 收費權利的大小決定了賠償義務的大小。否則, 就是違反了權利義務相一致的法律原則。依筆者之見, 這種看法也是似是而非的。

① 且不論權利與義務相一致這種表述本身是否妥當, 這種見解不是把權利義務相一致理解為權利和義務的統一性( 通常大概有幾種的含義, 比如,人們在享有和行使其法律上的權利的同時,應當履行其承擔的法律上的義務;不能只享有法律上的權利,不承擔法律上的義務,反之亦然;在特定的法律關系中,一方當事人享有的權利就是另一方當事人所承擔的義務,反之亦然 ),而是理解為人在法律上的權利和義務的對等性, 即任何人享受的法律上的權利必須和他所承擔的法律上的義務相對等。這種理解顯然是不恰當的。如果規定人的權利或義務的法都是以這種見解為依據的,那么其中許多的法一定是非常不合理的法。至少在大多數場合, 這種見解不符合我國現行法的實際。

② 即使在醫患關系這一特定的法領域, 這種見解也存在明顯的不當之處。因為按照這種見解的邏輯, 就應當徹底取消我國公共醫療服務行業所存在的非常有限的福利性或公益性, 應當徹底實行有病無錢莫進來的醫療服務政策。

③ 如果這一見解在醫療事故賠償關系的法領域真的可以被認為是妥當的話, 那么, 如前所述,合理的賠償標準就應當是醫療費自付率和損害賠償率成正比,或者是福利程度與損害賠償程度成反比。這么說來, 權利義務一致論絕非是支持適用條例賠償規定的論據, 恰恰相反,它實際上是反對適用條例的論據。

3. 醫療機構的承受能力或償付能力有限這一事實判斷本身就是不恰當的。即使能夠成立,也不應當以此為由限制醫療侵權被害人就其所受損害獲得全部賠償的權利。

(1) 醫療機構的承受能力有限這種一般性的一刀切式的事實認定,本身就是不恰當的。因為它根本不能反映現實情況的多樣性:各個醫療機構的償付能力因各自的實力和案件的具體情況而異。同一醫療機構,對于不同數額的賠償,其償付能力可能不同;不同的醫療機構,對于同等數額的賠償,其各自的償付能力也可能不同。說得再通俗一點, 對于一家實力雄厚的大醫院而言,即使是一件高達百萬元的賠償,也許算不了什么; 而對于窮鄉僻壤的一間連工資也發不出的合作醫療站而言,即使是一件不足千元的賠償,也許足以使它關門倒閉。

(2) 即使醫療機構的承受能力有限這一判斷在現實中的特定的某個案件中也許能夠成立,但由于這一判斷的對象只不過是個別事實,該事實不具有一般性或典型性或唯一性,因此該事實與所謂的醫療福利性一樣,不具有立法事實的性格。所以, 該事實不應當被條例起草者在設計醫療事故賠償的范圍和標準時作為立法事實加以考慮。如果條例起草者希望醫療事故處理機關在具體確定賠償數額時考慮醫療機構的償付能力的話, 那么就應當在條例第49條第1款中就此事實因素作出規定。只有這樣,條例的限制性賠償標準在具體適用中才可能減少或回避因立法上的一刀切而可能引起的明顯的不公正。

(3) 即使醫療機構的償付能力有限這一事實具有相當的普遍性,并且相當多數的醫療機構在償付能力上的差異和相當多數的醫療事故引起的損害在量上的差異小到如此的程度,以致于條例起草者在設計統一適用的賠償標準時,可以省去這些差異而把該事實作為立法事實加以一刀切式的考慮, 在立法政策上, 這種考慮也是極不妥當的。

① 醫療事故的被害人應當按照什么標準獲得賠償的問題，換言之,發生醫療事故的醫療機構應當按照什么標準對被害人進行賠償的問題, 是醫療事故賠償案件的當事人在法律上有何權利義務的問題。條例起草者在解決醫療事故當事人在損害賠償方面的權利義務這一問題時,當然要對各種各樣的損害作出政策上的評價, 確定什么樣的損害應當賠償, 什么樣的損害不應當賠償, 并在此基礎上規定應當賠償的范圍和確定應當賠償的數額計算標準, 即確定統一的賠償請求權和賠償義務的內容。這里的關鍵問題在于,在確定賠償范圍和賠償標準,即確定求償權和賠償義務的內容的時候,到底應當考慮什么,不應當考慮什么,到底應當以什么為基準對某項損失是否應當作為賠償項目,對某一程度以上的損失是否應當賠償進行評價。依筆者之見,醫療機構的償付能力不應當被作為評價標準或考慮因素之一。條例起草者原本應當區分應當賠償多少和有能力賠償多少這兩個問題,不應當用賠償義務人的償付能力這一因素來限制被害人的賠償請求權的范圍和數額。 條例起草者的錯誤在于,她把應當性與可能性混為一談,用可能性否定或限制應當性。按照條例起草者的邏輯, 我國民法通則所體現的實際賠償原則是完全錯誤的,因為它根本沒有考慮到侵害人的償付能力;產品責任法、消費者權益保護法等涉及賠償問題的民事特別法也都是錯誤的,因為它們也都沒有考慮賠償義務人的償付能力;國家賠償法則更是錯誤的,因為她沒有考慮到國家這一公共利益的法律上的代表者的償付能力(更嚴重的錯誤也許在于,國賠法要國家從國庫中拿錢即拿屬于全體人民的財產來賠償受害的私人);至于破產法則是錯過了頭的,因為它甚至讓資不抵債的企業關門倒閉,讓工人們失業。

② 筆者不知道條例第1條所規定的“保護醫療機構的合法權益”這一立法宗旨與條例限制賠償的規定有無關系,也不知道條例起草者在設計賠償制度時是否意識到這一立法宗旨。不過人們從答記者問的有關論述中也許可以發現,答記者問似乎把二者聯系在一起,似乎把條例限制賠償的規定理解為保護醫療機構的合法權益.也就是說,大概在答記者問看來,較之其他侵權領域的賠償義務人,在同等情況下醫療事故機構應當少賠, 少賠是醫療機構的合法權益; 條例之所以要賦予醫療機構這樣的權益, 理由之一是醫療機構的償付能力有限。如果筆者的這些推測屬實, 如果條例起草者也是如此認為的話, 那么,不僅條例限制賠償的規定, 而且條例所規定的“維護醫療機構的合法權益”的立法宗旨,作為立法政策都是非常不妥當的。因為這一立法宗旨的意圖之一是要賦予醫療機構這一特定群體少賠的特權.從而明顯地違反了平等原則.

(4) 衛生部之所以把醫療機構的償付能力（有限）作為限制賠償的理由之一, 當然不是僅僅為了維護醫療機構的利益。衛生部匯報表明, 她顯然是想通過維護醫療機構的利益來維護廣大患者的就醫利益。大概在衛生部看來(支持限制賠償政策的許多議論也一樣), 如果不限制賠償而實行實際賠償原則, 那么醫療機構就可能會因賠償負擔過重發生運營上的困難甚至倒閉, 原本能夠向廣大患者提供的醫療服務就會受到嚴重影響。不僅如此, 醫療機構也可能將其因支付賠償金而受到的經濟損失, 通過某種方式轉嫁到廣大患者的頭上, 加重廣大患者的就醫負擔。

不過在筆者看來, 盡管這種顧慮本身也許有一定道理, 但采用限制賠償的方式來回避實際賠償所可能引起的負面后果實際上大概是行不通的。理由如下。① 限制賠償并不是不要賠償, 現行條例所規定的賠償范圍和標準對于許多勢單力薄的醫療機構而言, 仍然是難以對應的。一旦發生損害額較高的醫療事故, 這些醫療機構就完全可能面臨資不抵債的危機, 更不用說繼續為廣大患者繼續提供原有質量的醫療服務。② 醫療事故機構大概也不會因為少賠幾個錢就放棄轉嫁損失的念頭(如果它想轉嫁的話)。所以, 現行條例的限制賠償政策并不能回避在實際賠償的場合所可能引起的影響廣大患者就醫利益的后果。按照醫療機構償付能力有限論的邏輯, 要避免賠償對醫療機構運營能力和對廣大患者利益的負面影響, 徹底的辦法是完全免除醫療機構的賠償責任。

4． 經濟發展水平(不高)這一因素也不能成為條例限制賠償的正當理由

說我國經濟發展水平不高或者說我國仍處于社會主義初級階段,國家還不富裕, 人民生活水平在總體上還比較低, 也許誰也不會有異議。但是如果以此為由, 否定實際賠償原則對醫療事故賠償的適用, 說條例限制賠償是合理的,人們也許就難以理解了。

所謂“經濟發展水平(不高) ”這一判斷,當然是就我國與發達國家的比較而言的。它不是關于我國國內某一地區的經濟狀況的判斷,并不涉及國內不同地區的經濟發展水平的狀況。那么, 我國不同地區的經濟發展水平和居民生活水平是怎樣的呢? 是基本上均衡的呢? 還是存在巨大差別的呢? 毫無疑問,至少就相當一部分地區而言, 答案應當是后者。

答記者問和衛生部匯報之所以強調我國經濟發展水平不高,其目的顯然是想讓患者們明白以下的道理。我國的經濟水平還遠遠沒有達到如此高的程度,就像發達國家那樣,老百姓一般能夠付得起相當高額的醫療費,其生命健康利益或生存利益具有相當高的可期待價值,其生存費用也達到了相當高的水準; 醫療機構能夠賺取高額的醫療收入因而實力雄厚,在發生醫療事故的情況下有能力承擔高額的賠償費; 醫療事故的被害者可以像發達國家的醫療事故被害者那樣,有可能或有“資格”獲得相當高額的賠償金。既然如此, 在我國經濟水平還不高的現在和未來相當長的時期內,在醫療事故賠償問題上,就不得不對患者群體的對醫療事故賠償的不切實際的過大期待加以合理的限制。

關于經濟發展水平和賠償標準或人的生命健康利益在經濟上的價值之間應當具有什么樣的關系的問題,本文姑且不加以討論。筆者在此只針對上述以經濟發展水平為理由的賠償限制論談點意見。只要人們承認,在我國相當范圍的不同地區,經濟發展的水平存在著巨大差異。在已經相當富裕的沿海大城市和仍然極度貧窮的部分農村,不僅兩地居民的生活水平(掙錢能力、生活費用、包括享受醫療服務在內的消費能力或負擔能力等)、可期待平均壽命和生命健康利益的經濟價值(觀)存在著相當程度的差異, 而且兩地醫療機構的經濟實力也大都存在著相當程度的差距,就可以作出如下的論斷。答記者問或條例起草者所主張的我國經濟發展水平(不高)這一事實,對于證明條例限制賠償政策的合理性而言,是不合格的,沒有關聯性的。因為這一事實認定僅僅是關于整個國家經濟狀況的判斷,而條例的限制賠償規定所適用的對象是發生在經濟發展水平可能存在巨大差異的國內不同地區的醫療事故賠償案件。基于國際比較的我國經濟發展水平不高這一事實認定,顯然不能用來作為解決我國這樣一個不同地區經濟發展水平懸殊、老百姓貧富差距巨大的國家的醫療事故賠償標準問題的依據。

5． 四項事實根據與條例關于限制賠償規定的實際關系•有關限制性規定存在的主要問題[59]

議論至此,有必要概觀一下上述四項事實根據與條例關于賠償的規定(第50條)的實際關系并對有關限制性規定作一簡短的評論。在此先確認一點，四項事實根據中的“醫療行為的高風險性”似乎與條例關于賠償的規定沒有什么明顯的關系。

(1) 條例關于賠償項目的規定。

如前所述,條例未將患者本人因醫療事故致殘喪失勞動能力而導致的收入損失和死亡而導致的收入損失作為賠償項目（即殘疾賠償金和死亡賠償金）加以列舉。由于條例關于賠償項目的列舉是完全列舉,所以條例未列舉這兩個項目意味著條例否定二者是應當賠償的損失。

依筆者之見, 四項事實根據中的“醫療行業的福利性”和“醫療機構的償付能力”這兩條大概成了否定該項損失賠償的事實根據。

將這兩項重要損失排除在賠償范圍之外，從我國民事賠償法的現狀來看，可謂條例對賠償范圍所作的重大限制。如前所述,民法通則第119條雖未列舉這兩項損失，但由于該條的列舉是不完全列舉，所以在特定案件的審理中如果確認其存在，法院就可以通過對民法通則第119條的解釋將該其納入應當賠償的范圍之內（當然，在最高法院人身損害賠償解釋于2004年5月1日起實施后，法院可以直接適用該解釋中關于這兩項損害賠償的規定）。值得注意的是，在衛生部考慮修改辦法之前，承認這兩項賠償的外國的和臺灣的醫療侵權賠償制度的有關情況已為我國法學界所熟知，我國的國家賠償法也已明確作出了相關的規定。因此,衛生部當然應當知道這些情況。據此筆者推測，衛生部在修改辦法起草條例時不是疏忽而是特意將二者排除在賠償范圍之外(遺憾的是,衛生部匯報中沒有提及這個重要問題,答記者問對此也沒有直接發表任何意見)。

條例排除對這兩項損失的賠償是完全說不通的。條例既然將非殘疾患者的誤工損失納入賠償范圍,就應當將殘疾患者因喪失勞動能力而導致的收入損失納入賠償范圍，更應當將死亡患者喪失的收入利益納入賠償范圍。承認前者而否定后二者是根本不盡情理的。

(2) 條例關于賠償標準的規定。

① 關于誤工費賠償數額的限制(患者有固定收入的,•••對收入高于醫療事故發生地上一年度職工年平均工資3倍以上的,按照3倍計算)、殘疾生活補助費的支付標準(按照醫療事故發生地居民平均生活費計算,自殘疾之月起最長賠償30年•••)、被扶養人生活費的支付標準(按照其戶籍所在地或者居住地居民最低生活保障標準計算•••)和精神損害撫慰金數額的限制(按照醫療事故發生地居民年平均生活費計算,造成患者死亡的,賠償年限最長不超過6年;造成患者殘疾的,賠償年限最長不超過3年)的規定,大概也與“醫療的福利性”和“醫療機構的償付能力”這兩條考慮有關,也可能與“我國經濟發展水平(不高) ”這一考慮有關。另外,關于陪護費、喪葬費、住宿費、交通費等項費用的人數限制大概也是如此。“按照醫療事故發生地……計算”之類的規定, 顯然是考慮了不同地區經濟發展水平不同這一因素,與四項事實根據似乎都沒有關系。

② 條例關于賠償標準的規定明顯違反了實際賠償原則。其中關于誤工費數額的限制，根本否定了誤工損失通常因案而異因人而異，因而不同的案件不同的被害人，誤工損失大小不一，可能存在巨大的差異這一事實。既然是要解決損失的賠償問題，那么誤工損失的賠償問題就只能由裁判機關根據損失的具體情況作出判斷，預先在立法上作出一刀切式的規定是完全不合理的，更不用說是低標準的限制。條例關于賠償標準的規定的基本特征是平均主義加低標準主義。人們難以感受到這里體現了充分救濟的民事賠償法的精神。關于精神損害撫慰金數額的限制性規定，筆者在此只想提一個問題，那就是衛生部在起草該規定時到底有沒有認真考慮過醫療侵權致人傷殘尤其是致人死亡所可能引起的精神損害的嚴重性。筆者從自己所了解的有關情況(包括筆者的醫療侵權案件)中深切感到,這種精神損害有時是非常深重的(尤其是在如下場合: 患者或患者的親屬滿懷著期待和信賴將自己或自己最親愛的人的健康或生命的命運托付給了醫院和醫務人員,不是由于病入膏肓不可挽救,不是由于醫務人員單純技術上的差錯,而是由于醫務人員對患者診療的明顯的嚴重失職,甚至是放任不管見死不救，導致原本完全能夠救治的疾病未能得到救治, 原本不應當發生的嚴重殘疾發生了,原本可能得到或應當得到挽救的生命喪失了)。條例所規定的如此低標準的撫慰金難道能夠撫慰那些受到巨大精神痛苦的被害人或其親屬嗎?

（3）如前所述，答記者問認為，條例是不可能違反民法通則的基本精神的；衛生部匯報表示，條例根據民法通則的基本原則建立醫療事故賠償制度，筆者的疑問是，在答記者問和衛生部匯報看來，民法通則的有關基本精神或基本原則到底是什么呢？條例對賠償所作的種種限制難道真的可以說是符合民法通則的基本精神或基本原則的嗎？

6． 為了我國醫療事業的發展,在制定法上與其限制醫療事故賠償，還不如讓醫療事故的受害者同其他侵權的被害者一樣有權按照實際賠償原則獲得完全的賠償。實際賠償制度的適用對我國醫療事業的發展所可能帶來的負面影響,不應當通過限制賠償,而應當通過其他的政策手段或制度來減輕或回避。

(1) 如前所述, 限制賠償不是條例的目的, 而是實現條例的宗旨即保障和促進醫療事業的發展和醫學科學的進步的手段。對于這一宗旨本身, 即使是要求損害賠償的醫療事故的被害者大概也不會不贊成。問題不在于目的而在于手段. 我們應當關心這樣的問題: 為了實現這一目的, 從比較政策論的觀點看, 限制賠償這一現行條例采用的手段相對于其他手段是否具有優越性,是否比較值得(即具有較好的效果成本比); 是否存在其他較為優越的手段可以用來取代限制賠償。以下是筆者的基本看法。

① 首先必須承認, 醫療事故賠償與醫療事業的發展可能存在兩種不同意義上的關系。其一是醫療機構的財務狀況因醫療事故賠償金的支付而惡化,醫療機構的服務能力因此而下降。如果這種情況嚴重到一定的程度,醫療事業的發展和醫療技術的進步會受到不利的影響。其二是醫療機構的服務和管理質量,醫務人員的職業責任感和診療水平因醫療事故賠償而得到提高,醫療事業的發展因此而得到促進。在考察醫療事故賠償與醫療事業的發展的關系時,不應當像答記者問和條例起草者那樣,只見前者,無視后者。

② 減輕或回避醫療事故賠償對醫療事業可能產生的不利影響的手段或方法可能有若干種,其中包括最近在我國醫療賠償議論中成為熱門話題的醫療責任保險制度(主張限制賠償的答記者問也非常關注這一制度)。因此, 限制賠償只不過是手段之一, 并非唯一的手段。既然存在若干種選擇方案, 政策制定者就應當利用效用成本分析, 對各種手段作出適當的評價, 選擇效用較大成本較小的手段或手段的組合。

③ 比較而言, 限制賠償是得不償失的, 效用成本比是較差的(相對于醫療責任保險)。第一,在效用方面, 限制賠償的效用在某種意義上是比較差的。限制賠償的特點是醫療機構對超出限定范圍和標準的損失不予賠償,對未超出限定范圍和限定標準的損失仍應賠償。所以,限定賠償制度只能限制醫療事故賠償對醫療事業可能發生的不利影響。與此不同,醫療責任保險的特點是保險范圍內的損失由保險機構承擔賠償,醫療機構只有在損失超出保險范圍和標準的情況下,就超出部分承擔賠償責任。所以, 在發生醫療事故的情況下, 只要損失未超出保險范圍,醫療機構就無須賠償,醫療事業因此就不會受到因賠償而帶來的不利影響。當然,事情總是存在兩個方面。由于限制賠償仍屬事后責任制,只要不發生醫療事故,醫療機構就不存在花錢賠償的問題。醫療責任保險則屬于事先花錢(支付保險費)回避或減少賠償風險的制度,保險金的支付與是否真的發生醫療事故無關。支付保險金必然加重醫療機構的負擔,從這個意義上講,醫療責任保險也可能會給醫療事業帶來不利影響,尤其是在保險費負擔過重的情況下(這個問題在美國似乎比較嚴重)。不過筆者還是認為,至少在我國的現階段,談論醫療責任保險制度的負面作用的問題沒有什么實際意義。因為我國最近才興起的醫療責任保險, 至少在保險費率上還是相當低的(當然, 筆者不排除在對醫療事故賠償實行實際賠償原則的情況下,保險費率有可能上漲)[60]。第二,在成本方面, 限制賠償的成本顯然是比較高的。其中最大的成本在于,它是以限制患者獲得完全賠償的權利為代價的。隨著個人化的人權觀念在我國社會的逐步確立,這個代價的性質就會變得更加嚴重。與此不同,醫療責任保險卻在客觀上有助于患者獲得應當獲得的賠償,有助于對患者權利的充分救濟(在未加入責任保險的醫療機構發生了損害額高于其償付能力的醫療事故的情況下,患者獲得賠償的權利將得不到完全的實現)。

(2) 這里有兩個值得注意的情況。① 衛生部匯報表明, 衛生部在選擇限制賠償政策時, 與其在起草辦法時[61]不同,沒有將我國尚未健全醫療責任保險制度這一情況作為理由。據此筆者推測, 也許在衛生部看來,　即使我國建立了比較健全的醫療責任保險制度, 醫療機構大都加入了醫療責任保險, 只要我國的醫療事業仍然具有公共福利性的事業, 我國的經濟水平還不夠高, 醫療機構的償付能力仍然有限, 就仍然應當堅持實施限制賠償這一特殊政策。② 答記者問雖然特別強調建立醫療責任保險制度對于解決醫患之間在賠償問題上的矛盾,對于兼顧患者的權益和醫療事業的發展所具有的重要意義, 但并未主張以醫療責任保險制度來取代現行的限制賠償制度。

在筆者看來, 衛生部匯報之所以會無視醫療責任保險制度所具有的雙重功能?既有助于患者權益的切實保障,又有助于減輕醫療事故賠償對醫療機構的自身利益和服務能力的影響, 沒有注意到這一制度所具有的替代（盡管未必是完全替代）限制賠償制度的重要價值; 答記者問之所以會在論述醫療責任保險制度的意義時也沒有提到該制度所具有這種替代性, 這不僅與二者所強調的限制賠償政策的事實根據論有關, 而且可能與公共利益高于個人利益、為了公共利益可以并且應當犧牲個人利益的傳統觀念的影響有關。 (三) 對其他相關問題的評論

1． 關于對漫天要價和天價判決的憂慮

無論是答記者問還是衛生部匯報, 對醫療事故被害人追求金錢賠償的欲望, 似乎都很憂慮。她們似乎擔心, 如果不事先明確對醫療事故賠償的范圍和標準作出明確的限制并明確排除民法通則的適用, 患者在醫療事故案件中就會設法盡量利用實際賠償原則漫天要價,在最高法院采用并用原則的辦法時代曾經出現過的所謂天價判決就會重現。面對這種憂慮, 筆者的疑問是, 在衛生部和最高法院看來, 我國醫療事故賠償的水準, 我國患者的生命健康利益的實際價值, 到底是合情合理的, 還是低得不盡情理的? 所謂的漫天要價和天價判決, 難道真的已經到了離譜的地步, 并有四處蔓延之勢, 以至于有必要在立法上對醫療事故賠償的范圍和標準作出現行條例這樣的限制, 有必要在案件審理上排除民法通則的適用 ?

2． 關于國窮則人命賤的邏輯

關于我國老百姓的生命健康利益的損害賠償問題, 長期以來, 有一種相當流行的觀點, 那就是國窮則人命賤。在這種觀點看來, 中國既然是個人口眾多的窮國, 既然與那些人口不多的富國存在著如此明顯的天壤之別, 那么, 對中國的老百姓而言, 他們可期待的生命健康利益的價值就應當遠遠低于富國老百姓所能期待的價值。如果有人不顧“貧窮”這個國情, 想要提高自己個人的生命健康價值, 那就是想入非非的漫天要價, 就是無理要求, 或者就是想借醫療事故來敲竹杠發橫財。在筆者看來, 國窮則人命賤的邏輯盡管在某種意義上也許是無可奈何的命中注定, 但對于我國賠償政策的制定和我國老百姓的生命健康利益的法律保障而言卻是非常有害的。作為賠償政策的制定機關和適用機關, 應當警惕和肅清這種觀點的影響, 應當從人權保障的觀點出發, 反省現行的賠償政策和裁判方針所存在的問題, 探討新的比較好的解決賠償問題的方策。

3． 關于羊毛出在羊身上的比喻

在支持條例的限制賠償規定的議論中, 有個聽起來似乎非常通俗易懂實際上卻令人難以理解的說明, 即“羊毛出在羊身上”。其意思是說, 醫療事故賠償實際上是羊毛出在羊身上, 最終還是要分攤到所有患者身上，而不是由國家出資賠償。因此，在審判實踐中應適用條例所規定的較低賠償標準，是可以理解的[62]。筆者的疑問是, ① 按照羊毛論的邏輯, 既然醫療侵權賠償的最終拔毛者不是醫療機構而是廣大患者, 那么, 醫療侵權賠償制度在事實上豈不成了制裁廣大患者的制度, 成了對醫療事故機構沒有任何實質性的民事制裁意義的制度? 如果事實確實如此, 那么取消而不是限制醫療侵權賠償不是更具有合理性嗎? 我們有什么理由要讓廣大無辜的患者去當醫療事故機構的替罪羊, 為了某個特定受害者的損失而拔毛呢? 諸如消費者權益保護法和產品責任法那樣的加重型或嚴格型的民事責任法, 由于會導致廣大消費者被拔去更多的毛, 豈不都成了更不盡情理的法律? ② 羊毛論到底有多少事實根據呢? 它能夠確切反映醫療損害賠償金負擔的實際狀況嗎? 它將醫療事故被害患者與廣大患者的利益關系視為對立的關系, 這在事實上難道能夠說得通嗎? 羊毛論應當成為醫療事故賠償政策的制定依據和醫療案件審理的法律適用選擇的依據嗎? ③ 醫療事故的被害患者會被羊毛論說服嗎? 她們難道會為了其他患者的就醫利益而作出自我犧牲, 心甘情愿地接受較低的賠償標準嗎? 廣大患者會為了自己的就醫利益而支持羊毛論嗎? 她們難道會因此而放棄自己在遭遇醫療事故時請求完全賠償的權利嗎? 即便是醫療機構和醫務人員, 她們會贊同羊毛論嗎? 她們難道不怕一旦承認了羊毛論, 就等于承認了自己千方百計向廣大患者轉嫁賠償負擔, 因此必將招來社會輿論的強烈譴責嗎?

4． 關于分配的公正論

答記者問所強調的雙贏論也好, 衛生部匯報所主張的兼顧論也好, 都表明以公正•公平為醫療事故賠償政策的價值取向, 反對不顧其他有關方面的利益, 只考慮對被害人的權利救濟。在支持賠償限制政策的一些文章中有一種觀點叫做“分配的公正”。在這種觀點看來,醫療侵權損害賠償實質上是將醫療資源這一具有公共性的社會財富(由國家、社會和醫療機構所投入或創造的,為不特定多數患者所共享的財富)的一部分分配給醫療侵權的特定被害人個人。醫療侵權損害賠償的范圍和標準實質上就是在被害人個人和廣大患者之間分配醫療資源這一社會財富的標準。賠償范圍越寬,賠償標準越高,意味著流入被害人個人的口袋里的醫療資源就越多,為廣大患者所共享的醫療資源就越少。如果將民法通則所體現的實際賠償原則適用于醫療事故的賠償,那么就可能會導致醫療資源在被害個人和廣大患者之間的不公正的分配。條例限制賠償就是從分配的公正這一觀點出發調整醫療資源在被害個人和廣大患者之間的分配關系,使其比較公正。

筆者承認, 醫療損害賠償制度的設計,如同其他任何涉及到(無論是直接和還是間接的)社會性財富的分配問題的法制度的設計一樣,應當考慮分配的公正。但是, 公正是一個相對性的觀念, 利害關系的各方可能各有自己的公正觀,并且可能互相對立,既定的對利害關系各方都是公正的客觀標準并不存在。有利害關系的任何一方(包括代表國家投資利益的官方)都不應當把自己認為的公正說成是利害關系各方共有的公正。依筆者之見, 分配是否公正的問題, 與其說是實體問題還不如說是程序問題。法定的分配標準是否具有公正性, 只能以其是否是通過具有相當代表性的、公開并且民主的協商、交涉、表決的方式作出的為判斷標準。