一、网络服务提供者承担信息安全保障义务的正当性
明确网络服务提供者在信息网络社会中居于何种法律地位,是探讨网络服务提供者承担信息安全保障义务的首要前提。站在用户的角度,所有能够供用户接入网络,得以存储、传输信息的服务提供商都可构成本文所言的网络服务提供者。之所以立足于这样一个视角,对网络服务提供者做出如此笼统、概括的解释,是由于计算机信息技术的发展,正在衍生出更多类型的网络服务提供者,如越来越多的智能设备制造商以及软件服务提供商。于此情形下,任何试图从正面对网络服务提供者做出的界定都将是不完整的。此外,本文也不认为对现有的网络服务提供者进行分类会有助于我们认识其内涵,恰恰相反,它会割裂我们对网络服务提供者法律地位的整体性认识,分类仅在阐述其负有的信息安全保障义务的范围时,才具有一定的意义。本文主要从网络服务提供者在网络技术运行规则中所起的整体作用来为其定位。互联网的诞生和发展由始至终都是一场信息技术革命,这场革命区别于以往任何一次技术革命的特殊之处在于,物理世界是由原子构成的,信息的载体为能够直接进行控制的实体物;而互联网络时代信息的载体转化为以比特为单位,可被计算机进行处理、保存和分析的一系列数据。信息的表现形式皆为不可触摸,只可感知的文字、声音、图片以及视频。不仅如此,借由计算机网络技术的发展,人类得以搭建起了一个信息的虚拟平台,通过它把各个点、面、体的信息联系到一起,从而最终跨越时间和空间的距离实现这些资源的共享。随着信息技术的不断深入发展,网络对人类的影响已蔓延至工作、生活的各个角落,大到一国军事机密情报的保管和传输,小至普通用户的人际交往和购物行为,均是借助于网络实现。而支撑整个网络系统运行的正是形形色色的各类网络服务提供者,可以说,他们是这个整体系统的集体构建者和缔造者。简单讲,无论是提供基础宽带服务的电信运营商,或是接入互联网的路由器制造商,抑或是提供即时通讯服务的软件服务商,用户皆是通过其提供的某一部分网络服务记录、传输信息。任何一个环节出现安全问题,信息的存储和传输都会受到影响。由此可以说,无论单个的网络服务提供者为整个系统的运转提供何种服务,从整体上看,在这场技术革命中,都扮演着信息看门人的角色。信息网络独有的这些技术特征,使得网络社会中对一国金融安全、军事安全或个人人身安全及财产安全的保护更多的表现为对信息在存储、传输等过程中安全的维系。由于网络用户使用者无法对信息进行最直接的控制,而是需要依托网络服务提供者所提供的技术服务,在此基础上享有有限的使用权和控制权,导致物理世界中简单易行的安全规则无法有效适用于信息网络社会,用户面对安全隐患时常常处于被动的地位。以近期发生的路由器被破译事件为例,由于部分路由器在技术上存在着安全漏洞,致使用户在上网过程中留下的银行账号、支付密码等个人信息被盗取,使用户的人身和财产安全受到损害或威胁。导致这种情况出现的部分原因正是由于路由器厂商未能积极、及时的升级其系统,以致出现安全漏洞,造成用户的个人信息泄露,进而损害其实际权益。实践中,类似的信息泄露事件不胜枚举,无一不与网络服务提供者密切相关,而用户面对这种情况在很大程度上缺少主动有效的防范能力,只能寄希望于网络服务提供者采取有效的措施确保产品或技术的安全。基于上述客观事实,我们认为,网络服务提供者基于其所处的信息看门人地位,既有责任,也有能力,向所有网络用户承担信息安全保障的义务。这是一种最低限度的保护义务,其特点如下:第一,这项义务不同于网络服务提供者对国家或个体所负有的有如一般经营主体的其他义务,它不以任何具体的主体作为自己履行义务的直接对象。这是由于信息网络具有开放性、互联性的特点,任何一种不安全因素会同时危及国家、企业或个人的国家安全、商业机密或人身、财产安全等等。故而其既不同于私法上的义务,也异于公法上的义务。第二,该义务内生于网络服务提供者成立之时,贯穿于其为网络用户提供网络服务的全部过程,即使在其退出网络服务领域之时,也需为该义务的履行做出最为妥善的安排。恰如雅虎中国邮箱在关闭之前,通过各种公开渠道向所有注册用户发出停止服务通知,详细列明与此相关的一切事宜,并敦促用户及时注册新的邮箱,以确保其信件的安全。
二、私权视角下网络服务提供者注意义务的局限性
(一)侵权法领域网络服务提供者承担注意义务的规则
互联网技术发达的美国和欧洲较早地注意到了网络服务提供者在维护个人权益安全方面的作用。因而通过国内或地区立法针对不直接提供网络内容的服务者在某些情形下承担侵权责任做出规定。以美国为例,其在《数字千年版权法案》中即以避风港规则和红旗规则为非网络内容服务提供者对版权领域内出现的某些侵权行为设定了一定的注意义务。依据避风港规则,自身不提供内容的网络服务提供者根据权利人提出的符合法律规定的通知及时地处理了涉嫌侵权的信息,便能够享受免于承担侵权责任的资格。②红旗规则是避风港规则的一项例外适用,其含义是如果侵犯信息网络传播权的事实是如此的明显,如同红旗一样飘扬,那么网络服务提供者即不能以避风港规则推卸责任,在此情况下,即使权利人没有发出请求删除、屏蔽的通知,网络服务提供者也应当对此承担侵权责任。立法者意图通过这两项规则的适用达到既能不为网络服务提供者设置过重的负担,妨碍其行业发展,又能保护相关权利人版权利益的目的,初衷不可谓不深远。我国的《信息网络传播权保护条例》、《侵权责任法》相继吸收了美国法中的这两项规则。③但在适用上做出了三点不同的变通,这表现在《侵权责任法》第36条第2款的制度设计上:其一,网络服务提供者的类型由非网络内容服务提供者扩大至其他类型的软件服务提供者;其二,侵犯的权益由信息传播权扩大至所有可能被通过网络侵犯的民事财产权及人身权;其三,改变了美国法中以网络服务提供者不承担审查义务为主要原则,仅在有限的情况下就其未尽到注意义务需承担侵权责任为辅的立法初衷,而是代之以网络服务提供者承担与实际侵权人同等程度的网络侵权责任作为一般原则,将原避风港规则中的通知和删除程序作为衡量网络服务提供者是否承担侵权责任的决定性标准。美国法中的避风港规则与红旗规则在引入我国《侵权责任法》时发生的上述变化,表明网络服务提供者需要对他人的网络侵权行为承担更为严格的侵权责任。这种以救济受害人为主要目的的侵权归责模式,源于当时出现的许多人肉搜索、网络谣言等侵权事件这一社会背景。立法者在做出这种制度设计时,更多的是基于一种政策考量,而不是从网络服务提供者本身的地位出发,规定与其能力相适应的义务和责任。这种出发点决定了第36条在适用的过程中并无法解决诸多实际问题。首先,网络侵权行为所侵犯的权利类型越来越多,不仅包括知识产权,还包括名誉权、隐私权等人格权。对于某网络用户是否侵犯了他人的权利,这其中涉及价值判断,该问题在司法实践中一般是由法院作出裁决。从根本上讲,网络服务提供者并无资格仅仅根据权利人的权利通知即采取删除、屏蔽等消除侵权信息的措施。如果无视这种资格缺陷,在知识产权领域赋予网络服务提供者以审查权限,那么鉴于此类权利的识别性较为容易,这尚且处于其能力范围之内,但在权利类型扩张到人格权的情形下,权利冲突已经变得极为复杂,网络服务提供者对此已经失去了甄别的能力。这也从侧面说明了为何美国的避风港规则和红旗规则仅适用于版权法领域,而没有扩及其他侵权情形。其次,WEB2.0技术的应用和普及,出现了博客、微博、微信等网络交流平台。原来由网络服务提供者集中控制主导的信息和传播体系,逐渐转变成了由广大用户集体智能和力量主导的体系。此外,随着用户数量的激增,信息的产生和传播呈现出海量化和碎片化的特征。网络服务提供者在这种信息流动模式下,难以行使针对具体个人权利的信息审查义务。前述两项客观制约因素决定了侵权法对网络服务提供者义务和责任的规定已超出了其能力范围之外,这种规则本身的运行并无法起到保护受害人权益,净化网络的初衷。
(二)从私权角度审视网络服务提供者义务的局限性
无论是美国法中网络服务提供者承担宽松的注意义务规则,或是我国侵权法中以严格救济受害人为主的制度设计,两者均是站在维护私权的角度对网络服务提供者应尽之安全保障义务做出规定。严格讲来,任何安全维系规则的终极目标都是为了保护民事主体的私人权益不被侵犯,这是理所应当且毫无疑问的。然而问题的关键在于实践中威胁民事主体权益的不安全因素有诸多表现形式,并非每一项都表现为直接侵权,换言之,传统的侵权归责模式并不适用于所有的安全威胁情形,民事主体个人权益的最终保护并不能都通过主动提起侵权诉讼来获得解决。这在当下层出不穷的网络安全频发的各色事件中表现的尤为明显。如2011年腾讯公司与奇虎360公司发生不兼容大战,腾讯迫使6000多万用户卸载了360安全软件。该事件本身虽是两类网络服务提供者因不正当竞争而起,表面上看,并没有直接侵犯网络用户的实际权益,但实际上腾讯公司迫使所有使用QQ的用户卸载360杀毒软件的行为正是无视这些用户的网络安全选择,间接地置其人身和财产安全处于危险境地。当QQ用户因卸载杀毒软件遭受信息泄露,实际权益受到侵犯时,却无法依据目前的私权规则提起侵权之诉保护自身权益。另一方面,依据前述我们对信息网络运行规则的解读,网络是一个纵横交错的整体性系统,所有的网络服务提供者均处于进入网络通道看门人的地位。不独网络软件服务提供商,即使是网络硬件设备提供者,也应负有信息安全保障义务。如电脑的芯片制造商,在芯片投入批量生产之前应尽可能地对其技术安全性进行全面的检测,当其在使用过程中发现存在漏洞时,也应及时采取技术修复等各种可能的措施最大限度的确保用户的使用安全。而私权规则仅针对在某些直接侵权情形下未尽到注意义务,而需承担侵权责任的软件服务提供者。从本质上看,这是将网络关系简单化为软件服务提供者与网络用户之间的债权化网络结构,从而将网络服务提供者等同于一般安全保障义务主体,忽略了信息网络其他构建者应负有的信息安全保障义务,上文所述之路由器被破译以致个人信息泄露事件即是证明。在具体的侵权法领域,网络仅是一种使用工具,网络服务提供者犹如普通的商品制造商一样,并不对任何个人通过使用该工具而侵犯他人的行为负责。综上可知,站在维护个体私权的角度看待网络服务提供者应承担的信息安全保障义务,加重了网络服务提供者对所有个体用户承担义务的负担,随着网络技术的不断纵深发展,网络用户在使用人数和行为模式上也发生了很大的变化,前述私权规则在解决具体侵权问题方面,仅具有有限的适用性。此外,该规则将保护主体限于私人用户,忽略了网络服务提供者对国家、公司等商事组织负有的信息安全保障义务,具有很大的片面性和局限性。现实情况下,面对越来越多的各类网络安全事件,私权规则中对网络服务提供者义务和责任的规定却无法适用于其中。鉴于此,我们应该跳出私权视角俯瞰整个公共领域,重新审视网络服务提供者应当负有的信息安全保障义务,该义务应具有更深远的价值取向和目标,并且配有更为细化和恰当的义务履行规则。
三、信息安全保障义务的价值取向:公共秩序与公共安全
以维护纯粹的个体私益捆绑网络服务提供者应负有的信息安全保障义务,具有很大的局限性。基于信息网络开放、互联的结构性特点,以及网络服务提供者在整体系统中所处的地位,网络服务提供者负有的信息安全保障义务应以公共秩序与公共安全为价值目标。网络空间是否存在着公共性,这是我们在理解这一价值目标时首先需要面对的问题。通常我们基于网络空间的虚拟性而倾向于淡化其公共性和社会性的一面,进而将网络社会简化为无数个用户与软件网络服务提供者之间的相对法律关系,对于网络纠纷也倾向于以纯私法的方式进行处理。网络的虚拟性是指信息的存在方式皆以文字、图形、声音、视频形式表现,而缺少现实世界中立体、固有的形态实体物。这个特点常常在视觉上给用户以错觉,认为自己脱离了群体性的生活,面对的仅仅是不可触摸的信息,而忽略了任何信息流产生和传播的背后均是人际关系在发生互动这一基本事实。物理世界中,先存在着一个公共空间和领域,而后才会产生聚合的公共行为;而网络空间的虚拟性打破了这个传统的模式,先有人与人之间的互动,而后才形成一个公共空间。换言之,不论空间的表现形态如何,只要人们以言行的方式聚集在一起,展现的空间就形成了。由此可以说,虚拟性并不排斥公共性,甚至在某种程度上,虚拟性成就了网络空间所特有的公共性。网络空间具有公共性意味着作为信息看门人地位的网络服务提供者需为空间中所有用户承担最低限度的信息安全保障义务,即维护网络公共秩序与公共安全。秩序关注的是网络空间内各类信息流的畅通、有序运行;安全强调的是不被搅扰,能够自由流动的一种状态。秩序与安全虽然指向性不同,然而两者并非可以分割,而是紧密连为一体的价值。秩序的维持有助于确保安全,而对安全的保障,也有利于秩序的实现。秩序与安全是人类生存与发展最基本的价值需求,但与现实的物理社会相比,网络社会似乎对此表现出了更强烈的需求。这主要源于两个原因:一方面,现实社会已经发展的较为成熟,形成了一套运行稳定的制度体系来确保社会秩序与安全,而对于新生的网络社会而言,面对的是一个全新的领域,建立起一套基本的秩序与安全规则,是网络社会得以运行的基本前提和保障;另一方面,与现实社会不同,网络社会中人与人之间工作、生活等各方面的交际均是以信息流的形式通过网络平台进行,这种长线距离的曲线性交往最容易在过程中产生波澜,因而确保个人信息在流转过程中的有序与安全成为网络社会必然的价值选择。换言之,网络世界更需要对信息产生、传播过程的管控,这迥然于现实世界对私人权利的静态保护。可以说,公共秩序与公共安全这两项价值内生于网络社会,也将伴随其永久存在和发展。网络社会对公共秩序与公共安全的渴求,在很大程度上表现为网络服务提供者需对所有用户承担信息安全保障义务。这归根结底是由网络特有的技术特征以及网络服务提供者所处的法律地位决定的。网络社会的一切活动都需借助于网络平台进行,人与人之间的行为表现为各种信息的流动,因而从技术上确保信息流有序、安全的产生、存储和传输,显得尤为迫切和重要。实践中许多危害公共秩序与公共安全的行为均是由于网络技术存在缺陷所导致。如2011年,程序员网站CSDN、天涯社区、美团网等网站数据库遭到黑客攻击,网络个人信息泄露事件曾集中爆发,上亿用户的注册信息被公之于众,其中,广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料。针对这些问题,网络服务提供者与政府机构或其他主体相比,既有能力,也有条件积极、主动的进行预防和事后应对。此外,随着大数据分析技术的发展,信息越来越成为一种各类网络服务提供者争相攫取的新型资源,网络服务提供者作为受益者,理应对这一资源的有序流动和安全承担保障义务。需要说明的是,网络服务提供者以公共秩序与公共安全为价值目标承担信息安全保障义务,并非忽略对私权的保护。公共秩序与公共安全着眼于潜在不特定多数人的利益,因而对其进行维护恰恰能够最大限度地保护私权。实践中,许多个体的私权受到侵犯往往是由于网络服务提供者未尽到信息安全保障义务所致。如家、汉庭等大批酒店的开房记录泄露事件,正是因酒店Wi-Fi管理、认证管理系统存在信息安全加密等级较低问题,以致这些信息被黑客窃取、泄露,危及开房人的实际权益。
四、信息安全保障义务内容———以个人信息保护为例
在公共秩序与公共安全的价值指引下,网络服务提供者需要承担的信息安全保障义务范围广泛,既包括所有的网络服务提供者不得制造或提供危害网络公共秩序与公共安全的产品或服务,也包括需采取技术措施不断升级自身产品或信息系统,确保不会出现安全漏洞从而被他人侵入和破坏;既包括某些非内容服务提供者对用户利用平台传播与该价值目标不符的言论或行为做出禁止,也包括相关网络服务提供者在经营过程中产生矛盾纠纷时对自己行为(如不正当竞争)进行克制,避免因自己的行为将用户的基本使用安全置于危险境地;等等。如此广泛的范围使得清晰规定网络服务提供者承担的信息安全保障义务内容绝非易事。目前,网络服务提供者未尽信息安全保障义务常常表现为个人信息被非法收集、处理、利用、泄露,以致危害不特定多数人的人身及财产权益,在此以个人信息的保护为主线说明网络服务提供者应承担的信息安全保障义务的主要内容。
(一)网络服务提供者未经法律规定或用户同意不得任意收集、存储和处理他人信息
信息网络时代,信息不断的产生和流动,网络服务提供者凭借其先进的技术手段,能够对用户使用网络留下的诸多信息进行收集、存储和处理。由于个人信息能够单独或与其他信息结合识别出特定的信息主体,从而将信息主体的人身安全、隐私、财产等权益曝光于众目睽睽之下,增加受害的几率,因而对网络服务提供者收集、存储和处理个人信息的行为应当进行规制。任何网络服务提供者都不得未经许可收集个人信息,应当是一般原则。对于用户同意收集的个人信息,网络服务提供者应当在指定的收集用途范围内使用,不得超出该范围另作它途,同时也不得基于一定的目的,将该信息提供给其他主体使用。
(二)网络服务提供者需采取措施维护信息在产生及流转过程中的安全
网络服务提供者在使用信息系统对个人信息进行存储、处理时,应当采取适当的管理措施和技术手段保护个人信息安全,防止未经授权检索、披露及丢失、泄露、损毁和篡改个人信息。一般而言,网络服务提供者应从管理和技术两个方面确保个人信息的安全。网络服务提供者应当实施各项管理措施,如建立个人信息收集、使用及其相关活动的工作流程和安全管理制度;对工作人员及人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;妥善保管记录个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;等等。实践中,尽管不同的网络服务提供者根据自己所处的地位和提供的网络服务的不同会采取各异的管理措施,但只要最大限度的确保其管理上不存在人为的漏洞致使他人信息泄露,即可视为网络服务提供者尽到了该项义务。除了管理措施不够完善导致个人信息泄露外,技术因素是另一个重要原因。由于互联网络的发展,大量个人信息被计算机和各种网站等各类网络服务提供者存储,因而一旦网络出现系统漏洞、程序漏洞等各种危害安全的漏洞后往往会导致大规模个人信息发生泄露。从技术上而言,漏洞是软硬件在设计上存在的缺陷,攻击者能够在未授权的情况下访问或破坏系统。一个系统自时起,就一直处于漏洞发现和修补的循环之中,漏洞问题会长期存在。这种特性要求网络服务提供者应对储存用户个人信息的信息系统实行接入审查,实时注意网络异常,当发现问题时,及时进行补丁修复,并采取防入侵、防病毒等措施,增强系统的抗攻击性,确保信息安全;同时,网络服务提供者应建立网络安全日志,对重要网络系统及数据、信息及时备份。此外,一旦发生个人信息泄漏、丢失,网络服务提供者应及时通过网络、报纸、电视等媒体渠道告知受影响的个人信息主体事件的发生情况以及应采取的防护措施,以免给其造成无法挽回的损失,并且还应当及时向国家相关信息管理机构进行通报。
(三)网络服务提供者对用户违反法律、法规规定或传输信息的行为应当予以禁止
网络服务提供者应当加强对其用户的信息的管理,对法律、法规禁止或者传输的信息,应当立即予以禁止,采取消除等处置措施,保存有关记录,并向有关主管部门报告。法律、法规禁止或传输的信息,一般而言是危害国家安全、严重损害公共秩序与公共安全或有损社会风气等信息。如宣传邪教思想的视频或文字;教授用户破解他人路由器方法的文字;某网站已被泄露的用户银行账号、身份证号等个人信息;等等。网络服务提供者对前述信息的和传输进行管理,意味着其对信息的和传输具有一定的审查义务,这不同于侵权法领域要求网络服务提供者站在私域角度纯粹依据自己的价值取向保护个体私权之情形,该项义务的履行具有较为明确的参考标准,因而也不会对用户的言论自由构成侵犯。事实上,在对用户或传输的信息进行审查方面,网络服务提供者在某种程度上更类似于一个公共管理机构,因而这既是其承担的义务,也是其享有的部分公共管理权限。
(四)网络服务提供者终止其技术服务时应最大限度的确保使用该技术服务的用户的信息安全
网络服务提供者在经营过程中,如若要停止某项技术服务,对于使用该技术的所有用户应当提前发出通知,及时提醒其继续使用将会带来的风险,以及告知其避免这些风险需要采用的措施,给用户足够的时间进行技术更换工作。如微软中国此前宣布于2014年4月8日停止对WindowsXP的支持,但考虑该操作系统在我国通信等重要行业仍占据较高比例,若立即停止将会给基础通信网络带来直接风险,威胁基础通信网络的整体安全,故其决定将与包括腾讯在内的国内领先的互联网安全及防病毒厂商密切合作,为中国全部使用XP的用户,在用户选择升级到新一代操作系统之前,继续提供独有的安全保护,帮助用户安全度过系统过渡期。网络服务提供者之所以在其技术服务结束时仍需向用户承担信息安全保障义务,源于长久以来二者之间的一种相互生存倚赖,尤其在当下的互联网行业,某类网络服务提供者在某些技术方面长期处于垄断地位,导致其地位已具有不可替代性,因而在退出时理应采取一些安全措施保护所有使用其技术服务用户的安全,避免因其退出技术服务而给用户带来人身及财产损失。在当下网络新产品或服务不断涌现的时代背景下,网络服务提供者承担信息安全保障义务的内容非常之多,不同类型的网络服务提供者承担的信息安全保障义务内容也各不相同,于此情形下,穷尽其所有的义务内容绝非易事。上述以个人信息被非法收集、使用及泄露为例说明网络服务提供者应承担的义务,仅具有概括作用,具体到实践中,每一网络服务提供者究竟有无尽到信息安全保障义务,应以公共秩序与公共安全为价值指引做出判断。
五、结语
对网络服务提供者课以信息安全保障义务,这是由其在信息网络中所处的法律地位决定的,也是最大限度的发挥其对社会公共秩序与公共安全的维护作用。然而在互联网络时代,各类网络用户信息安全权益的保护并非仅仅依靠网络服务提供者一方尽到信息安全保障义务即可实现,也需要国家的管理和所有用户的配合。实践中,我国存在着网络关键基础设施大多采购国外公司,网络核心技术过分依赖他国产品,网民的安全意识不高等问题,这些都在某种程度上为信息网络的发展埋下了安全隐患。因此,我们应从国家层面加大网络安全设备和基础设施的建设,加强网络技术及安全技术自主研发,健全网络安全法律法规,构建网络安全防范体系,并发挥各类网络协会的自律职能,且对所有用户辅之以网络文明安全教育,引导其自觉遵守网络秩序、提高网络安全意识,从而全面维护信息网络的整体性安全。
作者:梅夏英 杨晓娜 单位:对外经济贸易大学法学院