APP下载

社会角色理论的网络运营者安全保障义务分析

2016-02-19霍永库冯潇洒

关键词:网络服务运营者义务

霍永库,冯潇洒

(西安交通大学 法学院,陕西 西安 710049)



社会角色理论的网络运营者安全保障义务分析

霍永库,冯潇洒

(西安交通大学 法学院,陕西 西安 710049)

网络运营者在网络安全保障中具有优势和基础性作用,其应当承担与其社会角色相适应的安全保障义务;中国目前尚没有关于网络运营者安全保障义务的法律规定,导致对于网络运营者安全保障义务研究大多限于侵权法理论之内,片面缩小了网络运营者安全保障义务的应然范围;在缺乏法定义务来源的情况下,社会角色理论能够为网络运营者安全保障义务的设定提供合理性基础,同时,应当将安全保障义务的范围从现有的私法领域进行扩展,构建突破侵权法限制的网络运营者安全保障义务的基本要求。

网络安全法;网络运营者;网络安全保障义务;社会角色

网络运营者*在我国立法中,与网络运营者相关的概念有很多,例如互联网信息服务提供者、网络服务提供者等等,2015年6月,第十二届全国人大常委会第十五次会议初次审议了《网络安全法(草案)》,并向公众公开征求意见,该草案对上述概念统称为网络运营者。该草案第六十五条第三款规定,网络运营者是指网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者,包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等。为此,本文采用网络运营者的表述。是网络建设与运行的核心参与者,鉴于其在网络安全保障中具有的优势和基础性作用,各国立法通常对网络运营者科以特定的安全保障义务。随着信息技术社会化利用趋势的加强,社会整体的有序运行高度依赖于网络基础设施的持续性和稳定性,网络运营者的安全保障义务更显扩大之势。然而与此相悖的是,我国现行立法中并没有关于网络运营者安全保障义务的明确表述,有关网络运营者广泛的义务性设定是否可以归于统一的安全保障义务尚存争论*例如魏小雨在《论侵权法中网络服务提供者的安全保障义务》中认为,基于安全保障义务的基础性义务性质,应当以基本法的形式对安全保障义务进行确定。陈芳在《虚拟空间之安全保障义务研究——以互联网服务提供商的视角》一文中也提出,用户对互联网服务提供商具有合理的“信赖期待”,因此互联网服务提供商就负有为用户建立安全有序网络环境的义务,这种义务就是法定的安全保障义务。但是彭玉勇在《论网络服务提供者的权利和义务》中将网络服务提供者的义务分为五大类,分别为注意义务或审查义务、安全保障义务、知识产权保护义务,隐私权保护义务和审慎作为义务,显然他认为,安全保障义务是特定的义务,其他保障性义务不能纳入安全保障义务范围内。,因何要求网络运营者承担安全保障义务也在似乎“不证自明”的前提下怠于研判,这就造成我国网络运营者安全保障义务始终存在模糊性。但可以明确的是,基于我国《侵权责任法》确立的安全保障义务已经无法与网络运营者日益丰富的社会角色相匹配,其义务内容也无法涵盖网络运营者基于社会角色定位产生的安全保障要求。因此,需要对侵权法意义上的安全保障义务有所突破和扩展。

一、网络运营者的社会角色定位

网络运营者履行安全保障义务的前提是具有规范性的法定义务来源,但我国目前并没有形成这种稳定的可期待立法基础。这种现状盖因于长期以来对网络运营者社会角色定位的忽视或误判,仅仅将其作为服务提供的主体加以考量。这也导致目前对于网络运营者安全保障义务研究大多限于侵权法理论之内,片面缩小了网络运营者安全保障义务的应然范围。本文认为,网络运营者安全保障义务应然范围的判定应当是与其社会角色相匹配的,社会角色理论着重阐述社会心理学范畴之内人在社会中的行为模式,是“根据人们所处的社会角色去解释人的行为并揭示其中规律的一种学说。”[1]其要求社会主体根据角色定位来实现社会期待、履行义务并承担特定的社会责任。这种通过主体社会角色定义义务模式的方法论逐步被引入到社会关系的调整中来,特别是在法定义务缺失的情况下成为设定主体义务的重要依据。例如,其中的角色责任理论认为,社会角色应承担的责任“不仅限于角色必须履行的分内职责和法律责任,而且注重角色的应然之责,侧重于现实生活中的整体责任。”[2]这对于明确我国网络运营者安全保障义务基线具有重要的指导意义。

(一)网络运营者是网络服务的提供者

根据《网络安全法(草案)》的规定,网络运营者是网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者。该草案将网络运营者和网络服务提供者进行了区分,在两者之间形成了明确的种属关系,似乎在两者之间并不存在稳定的等同关系。但是本文认为,网络的所有者和管理者在本质上仍然属于网络服务的提供者,因为网络本身的价值依赖于其可使用性,网络的所有者和管理者不会仅仅将网络基础设施视为隔离状态下的固定资产。在实践中,网络的所有者和管理者会通过租赁、外包、托管或接入等方式将网络提供给他人使用,进而获取经济回报,这一过程本身就是网络基础设施服务提供的过程*例如云服务中的IaaS服务模式。。更为普遍的做法是,网络的所有者或管理者利用其所有或管理的网络直接向他人提供相关服务。为此,网络的所有者和管理者一定会直接或间接参与到网络服务的提供过程中,而成为网络服务的提供者,这是网络运营者在社会角色中的基本定位。

尽管网络服务提供者(Internet Server Provide,简称ISP)的类别纷繁复杂,但总体而言可以分为两类,即网络接入服务提供者(Internet Access Provider ,简称IAP)和网络内容服务提供者(Internet Content Provider,简称ICP)。IAP一般仅向用户提供网络接入服务,保障用户的网络访问能力,而不提供与信息内容相关的服务。但IAP是用户与国际互联网接驳的“中转站”,所有网络服务的可用性完全取决于IAP的安全性和可靠性。ICP是借助网络平台向用户或公众提供网络信息业务和增值业务的服务提供者。按照主营业务的划分,我国目前的ICP主要提供包括搜索引擎、即时通讯、移动互联网和以信息内容提供为主的门户网站服务等。

除《互联网信息服务管理办法》规定的非经营性互联网信息服务提供者外,网络运营者提供服务的过程可以视为典型的产品销售过程,用户通过给付对价的方式获得服务便利。那么,无论是基于合同义务还是在先行为义务,网络运营者都有责任对用户履行安全保障义务。在这里,网络运营者的安全保障义务更贴近于获利报偿理论中强调的价值对等原则,即网络运营者“享受利益就应当承受风险,从危险源处获得利益的人便负有防止危险发生的义务。”[3]这一义务可以类比为产品质量的瑕疵担保责任,网络运营者作为网络服务的“生产者”或“销售者”,应当对服务质量做出承诺,例如采用隐私声明或与用户签订服务水平协议(SLA),确保网络服务的安全性和可用性,对用户使用网络服务过程中可能出现的人身*例如在2010年浙江省的QQ相约自杀案中,腾讯被指控未对网络违法信息采取停止传输的保护措施,未及时向主管部门报告。或财产威胁履行合理注意和安全保障义务。

(二)网络运营者是社会公共服务的提供者

随着信息技术向现代社会的不断渗透,社会公众对于网络服务的依赖性越来越强,人们的工作、学习、出行、信息查询和获取都建立在网络运营者提供持续性网络服务的基础之上。在这种情况下,网络服务的社会公共服务属性正在被强化,网络服务本身也成为了典型的“公共产品”。在公共产品理论的演进过程中,萨缪尔森“完成了对公共产品的经典定义,确定了现代公共产品理论的正式形成。”[4]根据萨缪尔森有关公共产品的论述,网络服务作为公共产品至少应当具备两项基本条件,即网络服务具有“非竞争性”和“非排他性”。

“非竞争性”是指用户数量的增加不会对网络服务的提供产生影响,这其中包含两层含义,首先是网络服务的边际成本为零,即用户数量的增加不会导致网络运营者成本的提高。如果仅针对ICP,这一论断是成立,访问用户数量的增加不会增加网络内容服务提供的成本。但用户数量的增加却会导致IAP成本的增加,例如增加网络基础设施的数量。从这个意义上讲,网络服务并不是完全的纯公共产品,而是“准公共产品”。其次,网络服务的边际拥挤成本也需要为零,即用户数量的增加不会导致服务质量的下降。在现有技术条件下,网络运营者提供的网络服务具有同质化,用户数量的增加并不会影响其他用户接受服务的质量。

“非排他性”是指网络服务一旦进入消费领域后,任何人就不能独占网络服务的消费,网络运营者排除其他用户消费在技术上是不可行的,或成本过于高昂。事实上,互联网在设计之初就是对所有公众开放的,网络自由是互联网发展的基本精神,任何人都有权利享受互联网带来的便利。正如互联网创始人蒂姆·伯纳斯·李(Tim Berners-Lee)所言,“作为具有公众属性的互联网,我想没有一个人或者公司,有着高于别人的权力[5]。”尽管近年来IAP出于自身利益的考虑希望实施流量分级控制的“付费优先权”政策,但“网络中立”原则早已深入人心。2015年2月26日,美国联邦通信委员会甚至通过了专门的“网络中立化”提案,保证网络的自由平等。在这种情况下,网络服务无疑具有了明显的“非竞争性”。

我国《公司法》第五条对从事经营活动的公司应当承担社会责任有了明确的规定,既然网络服务可以被视为“公共产品”,那么网络服务就具有了广泛的社会属性。网络运营者需要“对可能造成公共福祉减损的事项承担特别的注意义务,并采取必要的安全保护措施防止威胁的发生。”[6]这是网络运营者安全保障义务从私权保护向公共利益保障的必要扩展。

(三)网络运营者是国家网络安全的守门人

网络运营者是国家网络安全的守门人,这是对传统网络运营者守门人角色的重新定位。长久以来,网络运营者被视为新闻传播学意义上的信息守门人。根据卢因的“守门人”理论,网络运营者通常需要承担特定信息内容审查义务,我国《侵权责任法》第三十六条所确立的“通知-删除”义务,以及与此相对的“红旗原则”*“红旗原则”最早规定在1998年美国版权法修正案中, 是“避风港”原则的例外适用,指如果侵犯信息网络传播权的事实就像红旗飘扬一样显而易见,那么网络服务商就不能装作看不见,或以不知道来推脱责任。即是对该理论的立法实践。网络运营者承担守门人责任通常是基于其信息控制力和风险防范能力的考虑,而这一判断在国家网络安全环境下同样是适用的。

目前,包括能源、通信、运输、医疗、金融、国防等在内的国家重要领域对信息系统和网络的依赖度不断提高,网络被视为国家关键基础设施已是各国立法的普遍共识,国家网络安全已然成为国家安全的重要组成部分。网络运营者作为网络基础设施和网络服务的直接提供者,在国家网络安全保障中起到日益重要的支撑性作用。一方面,网络运营者的产品和服务安全直接决定了国家网络安全的整体水平。因为国家网络关键基础设施的建设和保障是以网络运营者提供的持续性服务为基础的,如果网络运营者所提供的产品和服务中存在不确定的安全风险,例如包含恶意程序或存在致命漏洞,那么无疑国家网络安全就是存在风险的。另一方面,网络服务运营者的服务内容安全深切影响着国家稳定状态。近年来,针对国家安全的犯罪和恐怖主义活动越来越多地以在线方式予以体现,煽动颠覆国家政权、煽动分裂国家、破坏国家统一、煽动民族仇恨、民族歧视、破坏民族团结的言论如果在网络中大规模传播,将严重威胁国家安全和社会稳定。

由此可见,网络运营者守门人的角色在国家网络安全的范畴内体现得更为明显,其所具有的信息控制力和风险防范能力是实现国家网络安全的重要保障。鉴于此,各国政府普遍开展了广泛的公私合作保障框架,要求网络运营者承担必要的国家网络安全保障义务,强化了网络运营者国家网络安全守门人的角色。

二、网络运营者安全保障义务的侵权法局限及扩展

从网络运营者的社会角色定位来看,为了维护用户利益、社会稳定和国家安全,网络运营者应当承担广泛的安全保障义务。需要澄清的是,这里的网络运营者安全保障义务是对网络安全相关立法中规定的,以网络运营商为义务主体的,具有安全保障功能的义务总称。但是这样的表述是有瑕疵的,因为安全保障义务属于严格的法定义务,其义务范围和内容均受限于立法的明确规定。目前,我国对于安全保障义务的规定仅限于侵权法领域,并没有关于网络运营者安全保障义务的明确规定。为此,如果在法律层面内探讨网络运营者的安全保障义务,那么其一定将在侵权法安全保障义务的框架内进行展开,这也是为何我国学者对于网络运营者安全保障义务的论述大多限于《侵权责任法》第三十六条规定的“通知-删除”义务或与之相关的侵权内容审查义务。然而,这种理解必然片面缩小了网络运营者安全保障义务的应然范围,与日益迫切的网络安全保障需求存在冲突。《侵权法》立足于私权角度,依旧未能脱离网络运营者作为一般经营主体的角色,在互联网与通信技术不断发展的态势下,网络运营者在网络安全方面的优势发挥显然会受到很大程度的限制[7]。因此,有必要对侵权法局限进行突破,在立法层面对网络运营者的安全保障义务进行扩展。

(一)网络运营者安全保障义务存在界定障碍

我国立法中的安全保障义务缘于德国法中的交往安全义务*德国侵权法中的交往安全义务是指,引起危险或使危险持续发生者,应当采取必要的保障措施,以达到保护他人利益的义务。,其引入旨在解决“不作为侵权的特殊困难”[8]。我国《最高人民法院关于审理人身损害赔偿案件的司法解释》第六条将从事经营性活动或其他社会活动的主体规定为安全保障义务人,其未尽合理限度内的安全保障义务,将承担损害赔偿责任。在第三人侵权的情况下,如果安全保障义务人存在过错的,也应当在其能够防止或者制止损害的范围内承担相应的补充赔偿责任。我国《侵权责任法》第三十七条规定,公共场所的管理人或者群众性活动的组织者,未尽到安全保障义务,造成他人损害的,应当承担侵权责任。因第三人的行为造成他人损害的,由第三人承担侵权责任;管理人或者组织者未尽到安全保障义务的,承担相应的补充责任。

可见,我国安全保障义务属于法律专有概念,存在明确的侵权法适用限定,其义务来源、履行和责任承担均具有固定的法律边界。那么,为了避免法律概念的混淆,目前广泛存在的网络运营者安全保障性义务就不能简单地等同于安全保障义务。例如,为维护社会稳定和国家安全的内容审查义务被认为是网络运营者重要的安全保障义务,但公共利益的维护显然不能纳入侵权法的私权保护范畴,也就并不属于法定意义上的安全保障义务。显然,这里就存在明显的逻辑悖论,如果不能将网络运营者具有安全保障功能的义务归于安全保障义务,那么立法又应当对这类安全保障性义务作何安排?其义务属性又应当如何界定?

对此,《刑法修正案》(九)似乎给出了可以接受的解决方案,其第二十八条提出了网络运营者安全管理义务的概念,规定网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。这一条款适用于以下四种情形,包括致使违法信息大量传播的;致使用户信息泄露,造成严重后果的;致使刑事案件证据灭失,情节严重的;有其他严重情节的。但是上述安全管理义务仍然无法涵盖网络运营者安全保障义务的丰富内涵。尽管在义务履行过程中,安全保障义务大部分要落实为特定的管理行为,并体现为相应的安全管理义务,但安全管理与安全保障毕竟存在理念性的差异。安全管理更强调组织或系统内部对已有规则的符合性和遵从度,而安全保障则更侧重对外部环境的安全需求适应性和满足度。例如,网络运营者所承担的协助执法义务可以被视为典型的安全保障义务,但却很难将其归于安全管理义务。

鉴于此,网络运营者的安全保障义务几乎无法找到与之契合的立法定位,或只能简单地将其限定为《侵权责任法》第三十六条规定的“通知-删除”义务。学理界所探讨的广泛意义上的网络运营者安全保障义务存在明显的法律界定障碍,仅仅能够被理解为一种“意定概念”,这也导致我国目前关于网络运营者安全保障功能的大量义务性规定并不能纳入安全保障义务的统一范畴内。

(二)侵权法中安全保障义务的局限性

侵权法属于规范专门领域的特别法,其安全保障义务也就限于特定的适用领域,这就决定了侵权法中的安全保障一定带有局限性。当然这种局限性并不是立法技术本身存在瑕疵,而是将安全保障义务落于侵权法所产生的义务受限问题。

首先,侵权法中的安全保障义务无法涵盖公共利益的安全保障需求。这是由侵权法私权保护属性所决定的,其主要关注网络运营者在经营过程中对私主体负有的合理注意义务,因而不可能也无需对公共利益保障做出制度安排。但正如前文所述,网络服务已然成为典型的“公共产品”,网络空间也成为名副其实的公共领域,网络运营者作为公共服务的提供者和国家网络安全的守门人,理应对公共利益承担必要的安全保障义务,维护公共秩序与公共安全,而侵权法显然无法提供合理的义务来源。

其次,侵权法中的安全保障义务无法涵盖非侵权情况下的安全保障需求。侵权法本身即为解决侵权问题,避免义务主体的作为或不作为对他人人身或财产造成损害,侵权法中安全保障义务自然也限于此。但是网络安全保障实践中,网络运营者的安全保障工作并非完全以预防侵权为出发点,例如为保障业务连续性而进行的常态性信息安全审计,为保障信息技术产品安全性而进行的测评认证,为保障信息保密性而进行的网络隔离等等,这些措施都是以风险防控为核心的义务履行,并非针对特定侵权行为,那么这类安全保障义务也就无法纳入侵权法中的安全保障义务框架内。

再次,侵权法中的安全保障义务无法涵盖IAP的安全保障需求。侵权法中的安全保障义务尽管以网络服务提供者(ISP)为义务主体,但从其义务内容来看,这里的ISP仅限于提供内容服务的ICP,因此其注意义务也就主要包括对侵权内容的审查义务。事实上,网络运营者主体多样性使得这样的规定过于狭隘,即便仅从侵权领域考察,网络侵权的情形也不仅仅限于内容侵权。例如针对个人的网络攻击和入侵是典型而常见的网络侵权行为,但其侵权内容通常不是针对信息内容,而是针对信息系统。而信息系统及信息基础设施的安全保障义务通常是由IAP来承担的,IAP需要在其网络接入服务中部署恶意程序防护、访问控制和入侵检测等安全保障措施,但这部分义务显然是侵权法尚未包含的。

(三)网络运营者安全保障义务的扩展

以现行侵权法安全保障义务来审视网络运营者安全保障义务的应然状态将存在明显的局限性,这是由于侵权法适用的特定性与网络安全保障的泛在性无法兼容。为了适应网络安全保障的现实需求,合理的做法是使安全保障义务突破现有侵权法私权保障的约束,将安全保障义务的范围扩展至社会利益和国家安全层面,并在涉及网络安全的相关立法中进行明确,规定网络运营者应当对个人、社会和国家承担必要的安全保障义务。

网络运营者安全保障义务的扩展势必需要突破现有侵权法安全保障义务理论框架,同时,将网络运营者具有安全保障功能的义务统一归于安全保障义务也有“偷换概念”或“义务泛化”之嫌。但本文认为,对网络运营者安全保障义务进行扩展不会动摇现有安全保障义务的法益基础,因为安全保障义务的本质在扩展中并没有受到影响。尽管安全保障义务在各国立法中有不同的表述*如德国法中的交往安全义务,法国法中的保安义务,英美法中的注意义务等等。,但其本质都是“一种危险防免义务,安全保障义务人应当积极采取适当与合理的措施对交往中的危险予以控制或尽可能地降低危险发生的可能性。”[9]这与网络安全保障义务中的风险控制理念保持一致,也决定了安全保障义务突破私益保护的可能性。可以这样理解,安全保障义务本质上是危险控制义务,而网络空间中的危险来源具有多样性,网络运营者对不同危险实施的安全保障要求都具有控制或降低危险发生的功能,而其保障对象则并不限于个人。为此,将网络运营者广泛的安全保障性义务要求统一纳入安全保障义务的范畴就具有了正当性和合理性,也将能够改善目前我国立法结构中的尴尬局面。

为此,网络运营者安全保障义务的扩展至少应当包含以下三项内容。首先是其义务主体包括所有类别的网络运营者,而不仅限于ICP;其次是其义务内容包括能够控制或降低网络风险的所有安全保障要求,而不仅限于侵权内容;再次是其义务来源包括更广泛的社会利益和国家安全,而不仅限于私权保护。

三、网络运营者安全保障义务的基本要求

作为义务的遵从者或履行者,网络运营者的安全保障义务仍然是一个过于开放和模糊的义务范畴。而且相对于侵权法中的安全保障义务,网络运营者的安全保障义务更类似一个义务族或义务集,其中包含丰富的安全保障要求。鉴于网络安全保障与网络运营者的管理和技术能力相关,过于广泛而严厉的义务设定势必会加重网络运营者的负担,阻碍产业的整体发展。同时,网络运营者的多样性也决定了其安全保障义务不可能采取同质化的设定方式,而应当有所区分。那么,有效的网络运营者安全保障义务就应当是一个基于保障水平等级的义务阶梯,其中以最低安全保障要求为基础,也就是网络运营者安全保障义务的基本要求,同时鼓励网络运营者在能力范围内自愿承担基线要求之外的安全保障义务。

(一)网络运营者安全保障义务的基本内容

基本内容在于确立网络运营者为履行安全保障义务所应当实施的最低安全保障要求,鉴于网络安全保障的根本目的是实现信息的可用性、完整性和保密性,网络运营者安全保障义务的基本内容就应当以此为核心,而包括以下基本内容。

首先是业务连续性义务。业务连续性是指由于人为或自然的原因使信息服务中断或服务水平下降之后,网络运营者保证在可预期的时间段内将业务运营单元恢复至可用状态,保障网络服务的可用性是该义务的基本要求*如我国《电信条例》第三十五条、第四十条第三款规定,电信业务经营者无正当理由不得随意中断用户的电信服务,因未及时告知而给用户造成损失的,应当承担赔偿责任。。

其次是数据安全义务。数据安全是指保障数据的可用性、完整性和保密性,通过采用适当的管理和技术措施,防止数据遭受未经授权的访问、披露、篡改和损毁。该义务是网络运营者安全保障义务中的核心义务,但我国目前的立法规定更侧重于对数据保密性的考虑*如《网络安全法(草案)》第七条、《电信和互联网用户个人信息保护规定》第五条、第六条、第九条、第十条都规定,互联网信息服务提供者不得在未取得用户授权的情况下收集、使用用户的个人信息,对合法使用的用户个人信息应当严格保密。。

第三是内容审查义务。内容审查是指网络运营者应当对提供的信息内容附加合理的注意义务,防止违法或有害信息的扩散。在一般侵权领域,网络运营者只需要负担“通知-删除”义务,即在被侵权人进行通知的情况下,采取删除、屏蔽、断开链接等必要措施。但在涉及我国相关立法中规定“九不准”内容时,网络运营者就应当负担严格的审查义务,采取技术手段过滤或屏蔽相关内容,在发现上述内容时,还应当立即停止传输,保存有关记录,并向国家有关机关报告*如我国《互联网信息服务管理办法》第十六条就有明确的规定。。

第四是有害程序防治义务。常见的有害程序包括病毒、木马、蠕虫、黑客工具及其它恶意代码,网络运营者应当保障在网络服务中不包含上述有害程序,积极采取措施检测和控制有害程序的传播。

第五是协助执法义务。为了维护公共利益和国家安全,任何个人和组织都应当承担协助执法义务,网络运营者作为网络活动最重要的参与者,更应该在数字化执法取证越发困难的网络环境中积极履行协助执法义务。这一义务要求网络运营者为执法机构提供必要的执法便利和技术支持*我国所颁布的法律法规中,诸如《互联网信息服务管理办法》第十六条、《计算机信息网络国际联网安全保护管理办法》(公安部令第33号)第八条、《全国人大常委会关于加强网络信息保护的决定》第十条、《中华人民共和国反恐怖主义法(草案)》第十六条、《全国人大常委会关于维护互联网安全的决定》第七条等都对网络运营者配合执法部门执法进行了规定。。在各国立法中,协助执法义务通常包括通信监控、合法拦截和协助解密的具体要求,同时网络运营者还应当对协助执法过程附加额外的保密义务。

(二)网络运营者安全保障义务的适用要求

义务适用是义务内容落实的过程,也是对义务合理性和可行性的验证。在这里,适用要求可以被理解为义务主体履行义务和承担责任应当秉承的原则,或第三方主体对义务主体履行义务的客观要求。提出适用要求的问题是基于对目前网络运营者安全保障义务扩张的深切思考,在安全保障义务适用方面的绝对化必然会阻碍网络运营者的发展。因为网络运营者履行安全保障义务是具有成本的,对于安全威胁承担注意义务意味着网络运营者需要在物理设施、网络设施、平台和软硬件当中部署适当的风险控制措施,包括相应的管理和技术投入。义务性内容的扩张将导致网络运营者安全成本的增加,过于严苛的安全保障义务无疑将成为网络运营者的负担。尽管目前针对网络运营者安全保障义务的设定主要以公共利益和国家安全为出发点,但对公共意志的保障并不必然意味着对网络运营者私权利益的牺牲。为此,网络运营者安全保障义务的适用应当同样确定基本要求,兼顾安全和发展的二元保障价值。

首先,网络运营者适用安全保障义务应当与其能力相适应。在网络安全威胁日益严峻的态势下,仅由国家或主管机构作为保障主体已然不能满足风险防范的现实需求,网络运营者作为网络服务的提供者和网络安全保障的参与者,开始承担越来越广泛的安全保障义务,而且义务范围已经远远超出上述安全保障义务的基本要求。在这种情况下,要求网络运营者履行安全保障义务的限度和应当承担的责任应当与其安全保障能力相适应。基于海量信息的现实情况,过重的安全保障义务必然会对互联网行业的发展产生负面影响[10]。因此,不能强制要求网络运营者在能力范围之外承担安全保障义务,更不能以此为由要求网络运营者承担相应责任。例如在协助解密义务中,通常要求网络运营者向执法机构提供解密密钥或明文,但在由用户进行数据加密的情况下,网络运营者就没有能力履行相关义务。当对网络运营者科以的安全保障义务过重时,一方面会提高其运营成本与负担,另一方面,过度监控可能会将网络运营者的安全保障义务最终转化为“单方执法权”[11]。

其次,网络运营者适用安全保障义务应当与其业务范围相适应。在网络安全的语境下,网络运营者的安全保障义务不具有单一性,而更类似于义务族或义务集,这些义务性要求并非对所有网络运营者都无差别的适用,而应与其业务范围息息相关。我们对于网络运营者科以安全保障义务要求也是基于其在专业业务范围内具有保障能力和技术优势,不可能也没有必要要求其在业务范围外承担安全保障义务,这也明显超出了安全保障义务“合理限度”的基本原则。例如,要求IAP强制履行内容审查义务,或要求中小型ICP强制满足萨班斯法案的信息披露要求,这显然是荒谬而不切实际的。为此,网络运营者适用安全保障义务应当以其业务范围为限履行安全保障义务或承担相应责任。

最后,网络运营者适用安全保障义务应当遵从透明和最小必要原则。在网络运营者履行安全保障义务的过程中,可能出现侵害其他利益的问题,例如在协助执法中对个人隐私权的侵犯;也有可能出现行为滥用的问题,例如以履行安全保障义务为名恶意扫描用户系统。为了避免网络运营者适用安全保障义务而对其他合法权益造成损害,应当对其设定必要的边界。第一是保证义务履行的透明度,除某些安全保障义务天然要求网络运营者的义务履行具有秘密性外,网络运营者履行安全保障义务的过程应当具有透明度,一方面可以满足网络运营者安全保障义务履行的自证明要求,降低责任承担的风险;另一方面可以向各利益相关方提供监督渠道,约束网络运营者在义务履行过程中的不当行为。第二是遵从最小必要原则,即当网络运营者履行安全保障义务如果存在可能侵犯他人合法权益的情形,那么首先要对拟保护的利益和可能侵害的利益进行权衡,仅在保证义务履行的最小必要范围内实施相应的保障措施。

四、结语

网络运营者的安全保障义务应当与其社会角色定位相适应,在缺乏法定义务来源的情况下,社会角色定位能够提供网络运营者安全保障义务的合理性基础。网络运营者作为网络服务的提供者、公共产品的提供者和国家网络安全的守门人,其应当对个人、社会和国家承担能力范围内的安全保障义务,而且并不限于侵权法意义上的安全保障义务。从义务形态来看,网络运营者的安全保障义务更类似于义务族或义务集,有效的网络运营者安全保障义务就应当是一个基于保障水平等级的义务阶梯,其中以最低安全保障要求为基础,也就是对网络运营者安全保障义务的基线要求,包括业务连续性义务、数据安全义务、内容审查义务、有害程序防治义务和协助执法义务等。当然为了实现网络安全的紧迫任务,在义务基线之外,我们同样鼓励网络运营者自愿采取更高的义务标准或履行更广泛的义务范围。然而从网络运营者自身发展考虑,安全保障义务的适用应当与其能力和义务范围相适应,为了保障义务履行过程中的其他合法权益,网络运营者适用安全保障义务还应当遵从透明度和最小必要原则的基本要求。

[1] 李波波.社会角色理论及其应用[J].桂林市教育学院学报(综合版),1995(2):41-42.

[2] 田秀云,角色伦理的理论维度和实践基础[J].道德与文明,2012(4):117-121.

[3] 林旭霞,杨垠红.论运营商对虚拟财产的安全保障义务[J].福建师范大学学报(哲学社会科学版),2008(5):21-29.

[4] 贾晓璇.简论公共产品理论的演变[J].山西师大学报(社会科学版),2011(5):31-33.

[5] 谢立言.国外互联网界中的网络中立争论评述[EB /OL].[2015-11-20].http://media.people.com.cn/GB/22114/150608/150616/17190850.html.

[6] 马民虎,霍永库、马宁,基于网络审查的搜索引擎服务商信息过滤义务[J].人文杂志,2015(9):117-122.

[7] 梅夏英,杨晓娜.网络服务提供者信息安全保障义务的公共性基础[J].烟台大学学报(哲学社会科学版),2014(6):14-21.

[8] 冯珏.安全保障义务与不作为侵权[J].法学研究,2009(4):62-79.

[9] 刘召成.安全保障义务的扩展适用与违法性判断标准的发展[J].法学,2014(5):69-79.

[10] 陈芳.虚拟空间之安全保障义务研究——以互联网服务商的视角[J].武汉大学学报(哲学社会科学版),2014(1):69-74.

[11] 彭玉勇.论网络服务提供者的权利和义务[J].暨南学报(哲学社会科学版),2014(12):67-82.

(责任编辑:冯 蓉)

The Analysis of Network Operators′ Safety Guarantee Obligation Based on the Theory of the Social Role

HUO Yongku,FENG Xiaosa

(School of Law,Xi′an Jiaotong University,Xi′an 710049,China)

Network operators are important participants in the construction and operation of networks,in view of their advantages and basic role in network security,they should assume security obligations equivalent to their role in society.There isn’t legislation on network operators′ security obligations,resulting from long-standing overlook or misjudgment to their social roles,which led to the situation that the current security obligations for network operators are mostly limited to Torts and thus the range of network operator′ security obligations are reduced.Given lacking of sources of legal obligation,this paper provides reasonable basis for setting network operators′security obligations on the basis of social role theory.Meanwhile,this paper suggests that the scope of the obligations should be extended,and basic requirements about network operators′security obligations that break through Tort limits should be made.Key words cyber security law; network operators; cyber safety guarantee obligation;social role

10.15896/j.xjtuskxb.201601008

2015-10-25

国家社会科学基金重大项目(15ZDA047)

霍永库(1968- ),男,西安交通大学法学院博士研究生。

D920.1

A

1008-245X(2016)01-0062-07

猜你喜欢

网络服务运营者义务
网络服务合同的法律问题研究
基于网络服务者在侵权法中的应用分析
公众号再增视频号入口
幸福的人,有一项独特的义务
Web Services整合机制研究
三十载义务普法情
网络服务行为的可罚性
网络运营者不得泄露个人信息
跟踪导练(一)(4)
链接:网络运营者不得泄露其收集的个人信息