分析網絡空間安全保障義務的適用價值及制度架構論文

分析網絡空間安全保障義務的適用價值及制度架構論文

　　內容提要： 現行 《侵權責任法》對保障網絡平臺安全責任缺乏明確規定。網絡平臺具備 “開啟、參與社會交往”及 “給他人權益帶來潛在危險”兩項特征，而網絡運營者作為危險源的開啟與控制者，應對正在發生的侵權負有排除義務，并對未來的妨害負有審查控制義務。綜觀域外立法經驗，已有多個判決承認安全保障義務同樣存在于網絡，我國在立法層面必須有所改進以配合理論上的進步。本文建議在現行 《侵權責任法》條文的基礎上對安全保障義務進行補充解釋，將安全保障義務的適用介質擴張至網絡空間，以明確網絡平臺安全責任在侵權法中的地位。

　　關鍵詞： 網絡安全； 網絡運營者； 安全保障義務； 侵權法； 責任分配。

　　2016 年 11 月 7 日，第十二屆全國人大常委會第二十四次會議審議通過了 《中華人民共和國網絡安全法》（ 以下簡稱 《網絡安全法》） 并決定于 2017 年 6 月 1 日起施行，這是法學理論界與實務界對于日益嚴峻的網絡安全形勢作出的回應，也標志著我國開始從公法角度在基本法層面對網絡安全問題的治理進行規劃。 《網絡安全法》明確了網絡安全的概念，在保障網絡運行安全、網絡信息安全等方面進行了具體的制度設計，并從公法的角度規定了網絡運營者應承擔保障網絡安全的義務。

　　網絡空間中安全問題之所以重要，是因為其高度技術化和信息化的特征，使得網絡安全決定了網絡空間中一切社會活動得以存在的可能性�，F實物理場所的基礎安全問題在民法理論中是依靠 “安全保障義務”制度加以解決的，網絡空間中的安全問題有其異于現實物理場所之處。網絡環境下基礎安全問題解決的路徑又在何處？ 傳統安全保障義務制度能否在網絡空間中發揮其制度價值？ 其在網絡空間中的適用有何新特征？ 制度化的體系應當如何構建？ 本文試就這些問題進行探討。

　　一、網絡平臺安全保障義務的性質分析。

　　信息技術的發展日新月異，一些新型網絡侵權形態在適用傳統侵權法進行規制時產生了困境，其原因在于 《侵權責任法》對網絡運營者不作為侵權的規制存在缺陷�；ヂ摼W侵權本質上屬于網絡安全問題。要解決 《侵權責任法》在網絡空間的適用瓶頸，需要對網絡平臺安全保障義務的性質進行探究。

　�。� 一） 安全保障義務主體的確定。

　　網絡空間的基本支撐主體是眾多的網絡運營者及其運營的中間平臺，而開放、共享、互聯的網絡平臺，必然也是漩渦的中心和矛盾糾紛的匯合點。

　　因此網絡平臺的安全一定程度上決定了網絡空間的整體安全。所謂網絡平臺，是指網絡服務業中的一種平臺化經營模式，即由專業的平臺開發商或運營者以互聯網為基礎，以網絡技術為依托構建一個平臺架構，為網絡用戶提供檢索、社交、通訊以及消費等在線服務，吸引網絡用戶參與到其平臺上來接受服務的一種商業模式。我們認為，在確定保障網絡安全的義務主體上，公法與私法具有一致性。因為網絡運營者作為網絡平臺的經營管理者、規則制定者以及利益享有者，由其承擔保障網絡平臺安全的義務在技術上可行，規則中有據，經濟上合理。具體來講，由網絡運營者承擔民法上的保障網絡安全的義務有如下幾方面的原因：

　　第一，基于民法中信賴利益的考量。網絡用戶在接受網絡平臺服務時會產生一種合理的期待，認為適格的網絡運營者應當具備保障網絡服務平臺基本安全的責任與能力，能夠檢測并消除網絡服務平臺中那些不能為網絡用戶所知的安全隱患； 第二，基于危險控制理論的考量。網絡運營者對于自己經營的服務平臺具有他人不可替代的控制能力，其最有可能了解平臺的實際情況，預見平臺中可能存在的安全隱患與問題，并且采取必要的措施防止損害的發生或減輕損害造成的后果；第三，基于收益和風險相一致的考量。網絡運營者都是以獲取商業利益的目的經營網絡服務平臺，不論其所獲的收益是有形的還是無形的，是即期的還是潛在的。從危險中獲取各種利益者理應被視為負擔制止危險義務的人，只要網絡運營者經營的服務平臺存在安全隱患并從中獲取了利益，就應承擔相應的排除危險的義務；第四，基于節約社會總成本的考量。根據法經濟學 “義務應分配給可以最小成本實現它的人”的理論，網絡運營者具備保障網絡安全的軟硬件措施與專業的技術人員，同時控制著網絡平臺的總體運行，因而其更容易以較小的成本排除網絡平臺的安全隱患，制止網絡平臺中的侵權行為，提高網絡平臺的整體安全水平。

　　（ 二） 解決網絡安全問題的制度依據。

　　民事主體的義務承擔問題當歸屬于民事法律體系中的債法部分，一般可從意定之債和法定之債兩個路徑展開論述。從意定之債角度著手，探討的主要是民事主體是否應承擔合同法律關系上的義務； 從法定之債角度著手，探討的則主要是民事主體是否應承擔侵權法上的義務。

　　基于網絡平臺本身的特性，筆者認為，合同法的解決路徑對網絡安全問題并不適用。首先，網絡平臺的公共性決定了進入平臺的網絡用戶具有不特定性，即在網絡平臺法律關系中雖然履行義務的一方是特定的某一網絡運營者，但享受權利的一方卻是不特定的廣大網絡用戶群體。但是合同法律關系的成立要求主體雙方身份的確定性與相對性，這就使得網絡安全問題適用合同法律關系出現了困境； 其次，主體雙方地位天然具有不平等性，網絡運營者無論是在專業知識上、技術手段上亦或是經濟實力上都是普通網絡用戶無法企及的。這就導致了兩個結果： 一是網絡平臺中雖存有 《網絡用戶服務協議》等形式上的合同文本，但其中的內容大都顯失公平，基本為片面有利于運營者的格式合同； 二是合同法調整的是平等主體間的合同法律關系，在此地位懸殊的情況下，一般不得不借助 《消費者權益保護法》等公法手段，防止形式的平等帶來的實質不平等。這都違背了合同法律關系對于主體雙方平等性的要求； 再次，許多網絡平臺運營者在其經營領域處于壟斷地位 （ 例如搜索平臺的百度、谷歌，通訊平臺的 QQ、微信，電商平臺的淘寶、京東等） ，這就導致網絡用戶的締約自由受到極大的限制； 最后，網絡空間中存在的更多是潛在用戶而非注冊用戶，絕大多數的網絡用戶并無訂立合同關系的意向，也就是我們常說的 “1% 規律”（ 即 “100 個在線者中，只有 1 個人提供內容，10 個人參加互動，剩下的 89 個人只是在旁觀”） 。網絡用戶即無締約意向，合同關系的存在便無從談起。綜上所述，在合同法律關系不適宜解決網絡安全問題的情況下，我們應從侵權法角度找尋其制度依據。

　�。� 三） 現行 《侵權責任法》條款存在的不足。

　　《侵權責任法》第 36 條第 2 款與第 3 款是對網絡運營者 （ 條文中稱作 “網絡服務提供者”）責任的專門規定。這兩款的內容分別明確了在網絡用戶通知網絡運營者其遭受侵權損害與網絡運營者知道網絡用戶已遭受侵權損害的情況下，網絡運營者因未履行相應的作為義務 （ 即條文中所稱的必要措施，主要包括刪除、屏蔽、斷開鏈接等） 而與直接加害人承擔相應的連帶侵權責任。筆者認為，立法者明確了網絡侵權的規制重點在于對網絡服務提供者不作為侵權行為的規制，其對網絡平臺侵權問題實質的把握是正確的。但 《侵權責任法》現有條款存在一個根本上的缺陷，即網絡運營者履行作為義務的前提是 “在得到網絡用戶通知以后”以及 “自己知道網絡平臺發生侵權行為以后”，這意味著網絡運營者所承擔的是一種 “事后止損義務”而非 “事前保障義務”。這種做法將網絡運營者承擔作為義務的時間點從侵權發生之前延至侵權發生之后，實際上是免除了網絡運營者保障網絡平臺安全的義務，是一種本末倒置的處理方式。此問題產生的原因應歸于立法資源的攫取上，因 《侵權責任法》第 36 條對于網絡運營者侵權責任的規定是美國 《數字千年版權法》（ “DMCA”） 中 “避風港規則”與 “紅旗規則”的舶來品。美國出于扶持國內信息產業發展的需要，在立法時側重于對網絡運營者的保護，從而降低了對其保障網絡平臺安全性責任的要求。時至今日，保障網絡平臺的安全已成為信息產業無法回避且必須應對的問題，因為沒有安全性的保障，信息產業的發展便喪失了立足的根基。在保護信息產業與維護網絡安全的價值考量上，立法政策應慢慢向后者偏斜。

　　先前德國 《遠程媒介法》（ TMG） 也明確規定 “網絡運營者不對他人上傳信息負有主動審查義務”，即與我國 《侵權責任法》中 “網絡侵權條款”事后救濟的立法初衷相一致。但近些年來，德國聯邦最高法院通過類推 《德國民法典》第 823 條與第 1004 條的規定，將網絡運營者的責任定位于 “妨害人責任” （ Storerhaftung） ，創設了其 “面向未來的審查義務” （ KiinftigeKon—trollpflicht） 。法院要求，網絡運營者對正在發生的侵權有排除義務，并對未來的妨害負有審查控制義務。上述義務的發生依據正是作為傳統安全保障義務發生原因的 “危險源的開啟與控制”�！鞍踩�保障義務”直接出現在法院判詞中，其面目在網絡空間越來越清晰。這也證實了確立網絡運營者 “事前的保障義務”將會是今后各國立法的一個趨勢�！肚謾嘭熑畏ā分械� “網絡侵權條款”因其立法初衷的局限性并未能有效地發揮規制網絡運營者行為、保障網絡平臺安全性的作用。因此，筆者擬從規制傳統物理場所安全問題的 “安全保障義務制度”出發，為網絡運營者不作為義務的認定與網絡安全問題的解決尋找新的制度依據與解決路徑。

　　二、安全保障義務在網絡空間的適用價值分析。

　　在我國侵權法理論中，“網絡運營者”和 “安全保障義務”是分屬于兩個系統的概念，從立法資源上看，網絡運營者的侵權責任源自美國 《數字千禧年版權法》中的 “避風港規則”及“紅旗規則”，而安全保障義務則是繼受了德國侵權法中的 “安全交往義務”。這就導致了我國安全保障義務限于保護人身和有形財產，而 “網絡運營者侵權責任”側重于保護知識產權及精神性人格權的事實。然而，由網絡運營者主導的網絡空間實際上同樣具備 “開啟、參與社會交往”和 “給他人權益帶來潛在的危險”的特征。網絡運營者作為危險源的開啟者與控制者，不僅應對網絡空間中正在發生的侵權負有排除義務，還應對未來的妨害負有審查和控制義務，這種義務能否適用傳統安全保障義務的法理，需要結合安全保障義務的理論淵源和制度價值進行考量。

　�。� 一） 安全保障義務的理論淵源。

　　安全保障義務肇始于 17 世紀德國法上的 “交往安全義務” （ Verkehrspflicht） ，是法官造法的產物。交往安全義務是指開啟或持續特定危險的人所應承擔的、根據具體情況采取必要的、具有期待可能性的防范措施，以保證第三人免遭損害的義務。此概念提出伊始，學界將其限定在經營者對服務場所承擔的安保義務范圍之內，特指經營者在經營場所對消費者、潛在的消費者或者其他進入該服務場所的人之人身、財產安全依法承擔的安全保障義務，最高人民法院2003 年出臺的 《人身損害賠償司法解釋》 第 6 條即采納了此種觀點，而 2009 年頒布的 《侵權責任法》再次確認了違反安全保障義務的責任制度。兩種規定的條文表述及模式略有差異，《人身損害賠償司法解釋》第 6 條采用 “主體 + 行為 + 對象”的結構對安全保障義務進行規定： 而《侵權責任法》第 37 條改變了 《人身損害賠償司法解釋》的定義模式，采用 “場所 + 主體 + 行為 + 對象”的結構對安全保障義務做出規定�！肚謾嘭熑畏ā犯淖兞� 《人身損害賠償司法解釋》從行業角度對義務主體進行規范的方式，改為仿照英美法系注意義務的方式，從承擔安全保障義務的空間范圍的角度進行規范，進一步明確了安全保障義務適用領域的公共性。

　�。� 二） 我國傳統安全保障義務的制度價值。

　　我國 《侵權責任法》實際上只是繼受了德國侵權法中安全保障義務的狹義形態，即早期公共場合交往中的安全注意義務，卻符合我國 《侵權責任法》無需經過長期判例發展而直接進入現代化的現實。根據我國現行 《侵權責任法》對于安全保障義務的規定并結合德國交往安全義務的理論分析，我國 《侵權責任法》引進安全保障義務主要存在以下三個方面的制度價值：

　　1。 為不作為侵權提供義務來源與制度依據。

　　與積極作為侵權相比，只有在極其例外的范圍內，行為人才須為其消極不作為承擔責任。理由在于，與禁止做出危險行為相比，設定一個積極的作為義務對行為人的自由構成更大的限制。不作為原則上并不構成侵權行為，只有當不作為違反了作為義務時，才例外地認定其為 “侵權行為”。在我國既有理論中，作為義務的產生原因有三個： 法律規定、合同約定和先行行為。雖然我國學者在承認此三種原因外，也試圖進行突破，但在網絡信息時代，出現了大量新形式的不作為侵權，傳統的不作為侵權理論早已不能滿足現實生活的需要，法律應該調整已經變化并且很大程度上繼續變化著的社會關系。在這樣的立法與學理背景下，又考慮到我國民法與德國民法之間的繼受關系，學者多認為，借鑒源自德國的交往安全義務學說，有利于我國侵權法上作為義務的擴張。而最高人民法院對于德國的交往安全義務學說作為義務基礎的強調，也易于使人們得出此結論。因此即使沒有法律規定、合同約定或先前危險行為，危險控制義務也可以產生，而安全保障義務的引進便可以適當增加人們的作為義務，以滿足現今風險社會的需求。所以安全保障義務應當是傳統作為義務之外的新的義務來源，它實現了不作為侵權對于作為義務擴張的需求。

　　2。 強化對現代社會公共交往中風險的把控。

　　在小國寡民和風車磨坊的農耕時代，人與人的交往較為寬松，一個人的行為或者所控制物件的狀態尚難以對其他社會成員的合法權益構成較大威脅。而在現代社會高度工業化和信息化背景下，人與人之間的交往日趨頻繁和密切。即使是不相認識的單個社會成員間的行為都可能對他人產生極大影響，大規模的聚合性社會活動所產生的交往風險更是難以估量，必須有相關主體承擔此種風險的控制義務。由國家在公法上對此種大規模交往風險進行控制自不待言，但在私法角度也應規定相關主體承擔此項風險的控制義務與相應的賠償責任。我國引入安全保障義務制度的出發點很大程度就在于希望從私法角度賦予某類特殊主體一定的義務來控制現代社會公共交往中存在的風險。

　　3。 彌補侵權責任法二元對立的僵化歸責體系。

　　在過失責任與危險責任之間，安全保障義務起到溝通橋梁的作用。德國作為我國 《侵權責任法》中安全保障義務制度立法資源的攫取國，其制度發展集中體現在： 安全保障義務本身已愈發獨立于事實上的行為要求。即安全保障義務與一般行為義務存在一定程度的差別，其更多的具有社會交往中風險分配的功能。所以在德國法上區分 “許可的危險”與 “禁止的損害”這兩個概念便不足為奇： 侵權人的行為在法律上是合法的，但因其違反了安全保障義務，則仍應承擔損害賠償責任。在此種意義上，安全保障義務的立法初衷是歸責而不是規定行為要求，在實際生活層面其所具有的事先調整人的行為功能遠遠弱于一般法定義務。正是因為侵權責任法上的安全義務不斷脫離事實中的'行為，使得該類型的侵權責任逐步脫離了一般過錯責任，而更趨近于承擔風險分配任務的無過錯責任。也就是說，我國 《侵權責任法》引入安全保障義務本意具有彌補我國二元對立的僵化歸責體系的目的，使其成為溝通過失責任與危險責任的橋梁。

　�。� 三） 安全保障義務在網絡空間的適用價值。

　　安全保障義務在德國自判例發展而來，是司法實踐為了應對風險社會不斷出現的新型安全問題而創造的一種責任承擔制度。在德國，安全保障義務在適用介質上并不僅限于物理空間，其著眼于 “開啟、參與社會交往”及 “給他人權益帶來危險”兩項事實，該義務的適用范圍從物、土地、通道一直延伸到行為的危險。進入 21 世紀，德國聯邦最高法院在多個判決中肯定安全保障義務同樣存在于網絡空間。這一立場對繼受安全保障義務的我國具有啟示意義。現今我國學者基本都是從網絡空間具有場所公共性這一角度分析，或直接用 “開啟或持續了社會交往的危險”一筆帶過。筆者認為，在認定安全保障義務能否涵攝網絡空間的問題中，與其泛泛而談網絡空間與傳統物理場所的相似之處，不如著眼于分析安全保障義務在網絡服務平臺是否能發揮其應有的制度價值。

　　網絡空間與現實空間最大的不同之處就在于其是依靠網絡信息技術架構出的虛擬存在，而網絡信息系統的整體安全是由一個個具體的網絡服務平臺的基礎安全組成。網絡運營者基于其作為具體網絡平臺架構者、控制者與獲利者的特殊地位，應當承擔維護網絡平臺安全性和穩定性的作為義務，而非僅充當網絡空間消極的守夜人角色。網絡用戶在進入網絡運營者掌控的網站平臺后，一旦發生由于系統本身的安全性所造成的損害，或者因第三人侵權所引發的損害，而網絡運營者沒有盡到技術上可行、經濟上合理的注意義務，就應當承擔此種不作為侵權產生的責任。因為網絡運營者在將網絡服務平臺投入運營后，若該平臺存在導致網絡用戶權益受損的危險時，其就等于傳統安全保障義務制度中的 “危險的開啟者”。傳統安全保障義務理論認為開啟或持續特定危險的人應當根據具體情況承擔采取 “必要的、具有期待可能性的防范措施，以保護第三人免受損害”的義務。所以借助安全保障義務制度，我們可以對作為網絡平臺危險開啟者的網絡運營者承擔的此種不作為侵權責任加以認定。

　　由于互聯網高度技術化和信息化的特征，使得發生于網絡空間的風險相較于現實物理場所的風險而言，其愈加具有未知性和不可控性。近些年來，層出不窮的網絡安全問題給用戶的合法權益造成了巨大威脅與損害，例如在 “僵尸網絡事件”中被黑1客控制的眾多的計算機在不知不覺中如同僵尸群一樣被人驅趕和指揮，成為被人利用的一種工具。而網絡信息技術高度專業化的特點，又使得置身于網絡空間中的廣大普通用戶在面對網絡安全問題時囿于技術上的局限性而缺乏必要的自我保護能力。網絡運營者一方面開啟作為危險源的網絡平臺，另一方面掌握自身平臺系統的核心操作權限與技術，因此只有網絡運營者具備分析網絡平臺中安全問題的具體情況、并據此采取必要且可行的防范措施的能力。

　　網絡運營者開啟網絡服務平臺以后，網絡用戶便可自由地進入其中開展相應的社會交往活動和商業交易活動。在此過程中，運營者一般不會主動干預網絡用戶在平臺上的各項活動，其職責僅為保障網絡平臺的正常運行。而過錯責任建立在矯正正義的基礎上，即通過要求行為人承擔損害賠償責任從而起到糾正乃至抑制不法行為的目的。對于網絡用戶在平臺中遭受的權益損害而言，囿于網絡運營者在此過程中自身并無直接的不法行為，所以依據傳統過錯責任并不能令其承擔網絡安全問題引發的用戶致害責任。但網絡運營者作為網絡平臺的經營者與控制者，在提供平臺服務的過程中不但獲取了大量經濟利益，而且基于自身的地位對于網絡安全隱患具有特殊的控制力，因此將其從網絡風險的責任主體中排除有違法律的一般公平理念。而危險責任的引入正在于解決此問題。危險責任建立在法律許可的各種 “危險活動”的基礎上，認為任何人只要引致或利用了特殊危險，就應當對此種危險給他人造成的損害承擔賠償責任，其體現了損益相當的基本正義觀念。但認定危險責任的前提在于危險活動必須屬于 “高度危險的狀態”。網絡平臺的開啟雖然帶來了交往危險，但似乎并不滿足 “高度危險”的要求。而安全保障義務采用過錯推定的方式，一方面得以對網絡空間風險責任進行分配，另一方面又避免了因危險責任的過于嚴苛而導致網絡服務商承擔過重的責任，可以起到溝通過錯責任和危險責任的橋梁作用。

　　（ 四） 安全保障義務在網絡中體現的新特征。

　　網絡空間不同于現實物理空間，其自身特征決定了安全保障義務在網絡空間的適用有其特殊之處。

　　1。 義務主體的特殊性。

　　傳統安全保障義務強調義務主體的一般性，凡在社會交往中開啟危險，致使他人受損的潛在危險程度升高之人都需對該他人承擔相應的安全保障義務。但在網絡環境中情況卻存在差別。誘發網絡安全問題的主體可分為兩類，一類是網絡運營者，另一類是普通網絡用戶，但承擔網絡安全保障義務的主體應僅限于網絡運營者。因為基于網絡平臺高度技術化的特征，普通網絡用戶無論是在技術掌握上、規則把控上亦或是對平臺狀況的了解上，都很難擔負起保護他人的義務，只有具備專業素質的網絡運營者才能對網絡平臺的安全進行保障。此外，由于網絡用戶群體具有身份上的不確定性與地域位置上的分散性，在其違反安全保障義務的情況下追責的經濟成本也過高。因此對于網絡平臺內部信息系統的安全性問題，只有對其進行開發設計的網絡運營者才可以發現系統本身存在的安全問題從而進行程序上的升級完善； 對于第三人在網絡平臺中侵害網絡用戶權益的問題，也只有網絡運營者才可以憑借其對網絡平臺控制力通過技術手段加以制止。基于以上原因，筆者認為，網絡安全保障義務的主體具有特殊性，僅限于網絡運營者。

　　2。 權益保護范圍的特殊性。

　　傳統安全保障義務制度起源于特定主體對于其控制下的人、物以及場所的保護義務，雖強調權益保護范圍的一般性，但卻仍是以物質形態的人身和財產權益為主。而在網絡空間中，計算機硬件設備充當了網絡侵權與網絡用戶本身之間的緩沖中介，所以網絡安全保障義務的客體范圍主要限于非物質形態的各種權益。網絡安全保障義務保護的權益范圍主要可分為兩大類： 第一類是系統本身的安全性與穩定性。網絡運營者必須保障其開啟的網絡平臺在技術架構、程序設計以及代碼編排上的安全性，能夠在合理程度上抵御黑1客攻擊、病毒侵害以及木馬感染等安全威脅，從而防止網絡用戶遭受損失。另一類是防止第三人利用網絡平臺對網絡用戶合法權益進行侵害。這主要涉及網絡用戶非物質形態的民事權益，其主要有以下三類： 一是具有抽象人格利益的名譽權、隱私權、姓名權、肖像權等； 二是具有信息財產特性的著作權、專利權、商標權、商業秘密權等； 三是存在于網絡空間的財產利益，如銀行賬戶、網絡虛擬財產等。

　　3。 義務認定標準的特殊性。

　　筆者認為，相較于傳統物理場所的安全保障義務，網絡平臺安全保障義務制度中網絡運營者的注意程度應加以降低。一方面，網絡信息技術的發展日新月異，即使是具有專業素養的網絡運營者也不能夠保證時刻站在技術發展的最前沿，因此其保障網站系統安全性與穩定性的義務必須限制在合理的范圍內。另一方面，由于網絡環境具有虛擬性，這導致用戶在網絡平臺中的活動具有時空上的不確定性和開放性，沒有時間節點與地域空間上的限制。這就加大了網絡運營者發現和認定網絡平臺中發生的侵權行為的困難性。加之大數據時代背景下，海量的網絡信息充斥著每一個網絡平臺，這導致侵權信息的排查同時存在技術上的困難與經濟成本的增加。因此，如對網絡安全保障義務施加與傳統安全保障主體一致的注意程度則有失偏頗，宜放寬對其注意程度的認定標準。

　　三、網絡安全保障義務的制度架構闡釋。

　　在網絡社會交往中若失去了平臺系統的安全性，也就失去了網絡平臺中其他一切活動的安全性。這在一定程度上表明網絡社會的交往安全問題相較于現實社會的交往安全問題更為純粹，其本質上就是一個平臺系統的安全問題，而架構制度化的網絡安全保障義務正是解決網絡安全問題的重要途徑。

　　（ 一） 網絡安全保障義務的主體。

　　經過前文論證，我們將網絡安全保障義務的義務主體明確為網絡運營者。從公法角度來講，2016 年 11 月出臺的 《網絡安全法》 將網絡運營者的范圍定義為網絡的所有者、管理者和網絡服務提供者，但條文并沒有明確三者之間的區別。從私法角度講，無論是大陸法系國家亦或是英美法系國家對于網絡運營提供商的定性和分類也都未得出統一結論。從我國的立法來講，2009 年出臺的 《侵權責任法》對于網絡服務提供者 （ 即網絡運營者） 的概念與范圍也未加以明確規定。究其原因在于網絡技術的發展日新月異，網絡社會的狀況瞬息萬變，網絡服務的種類也在不斷地更新換代，因此無論是理論界還是實務界都無法對網絡運營者的種類進行總結性確定。恰恰相反，對網絡服務提供商進行分類并不會有助于我們認識其內涵，反而會割裂我們對網絡運營商法律地位的整體性認識。

　　但針對網絡社會的發展狀況，筆者認為，未來一段時期內網絡運營者應以網絡平臺服務商為主。現今我們已處于互聯網 Web2。 0 時代，原來由網絡運營者主導的站式信息交流方式轉變成為由網絡用戶主導的自媒體信息交流方式。在此背景下，網絡運營者在網絡社會交往中的角色定位正向為網絡用戶提供信息交流的平臺場所，并保障此平臺正常運行所需要的安全性和穩定性方面轉變。筆者認為，網絡平臺運營者根據平臺服務領域的不同一般可分為三類： 一是提供搜索平臺的運營者，以百度、谷歌等為代表； 二是提供通訊、社交平臺的運營者，以騰訊微信、新浪1微博等為代表； 三是提供電子商務交易平臺的運營者，以淘寶、亞馬遜等為代表。

　　網絡安全保障義務制度的權利主體為接受網絡平臺服務的廣大網絡用戶自不待言，筆者在此通過對網絡用戶與網絡運營者之間法律關系的厘定來探討網絡安全保障義務的不同適用標準。根據網絡用戶是否與網絡運營者訂立 “用戶服務協議”等合同文本，大致可將網絡用戶分為注冊用戶 （ 存在合同關系） 與非注冊用戶 （ 不存在合同關系） 。若網絡運營者與網絡用戶在 “用戶服務協議”中對運營者保障網絡用戶平臺使用安全的義務加以約定，則此種約定義務可稱為意定的網絡安全注意義務。侵權法中安全保障義務作為法定的注意義務，所起到的當屬最低限度的保障作用，達到保證網絡平臺基礎安全的標準即可。而在網絡運營者與網絡用戶之間訂立的合同中，雙方可以約定較高程度的保障義務。一旦網絡用戶在網絡平臺遭受損害，不管產生的原因是平臺系統本身的安全問題亦或是第三人利用網絡平臺的侵權行為，網絡用戶可以依照請求權競合的相應規定，選擇對自己最有利的途徑尋求合同法或侵權法上的救濟。

　　（ 二） 網絡安全保障義務類型和標準的認定。

　　網絡安全保障義務的類型具有不確定性和變化性，這是由網絡信息技術的發展日新月異，網絡安全隱患的爆發層出不窮所導致的，這同時也決定了我們只能在模塊化的安全領域對保障義務的類型其加以探討。結合 《網絡安全法》的相關規定，可將網絡安全劃分為網絡服務安全、網絡運行安全、網絡數據安全與網絡信息安全四大領域。網絡服務安全主要是指網絡運營者在提供網絡服務過程中不得設置惡意程序，同時應及時向用戶告知系統中存在的安全缺陷、漏洞等風險并采取補救措施，在規定或者與當事人約定的期間內持續提供安全維護服務等； 網絡運行安全主要是指網絡運營者按照網絡安全等級保護制度的要求，采取相應的管理措施和技術措施，防范計算機病毒、網絡攻擊、網絡入侵等危害網絡安全行為，例如制定網絡安全事件應急預案，記錄、跟蹤網絡運行狀態等； 網絡數據安全一方面要求網絡運營者采取數據分類、重要數據備份和加密等措施，防止網絡數據被竊取或者篡改，另一方面要求網絡運營者加強對公民個人信息的保護，防止公民個人信息數據被非法獲取、泄露或者非法使用等； 網絡信息安全一方面指網絡運營者應嚴格執行網絡身份管理制度即網絡實名制，以保障網絡信息的可追溯性，另一方面要求網絡運營者發現法律、行政法規禁止發布或者傳輸的信息，應當立即停止傳輸，同時采取刪除、屏蔽等處置措施，防止信息擴散，并保存有關記錄。

　　網絡安全保障義務的責任認定標準是司法實踐中對于運營者在具體的網絡安全領域采取何種程度的保障義務的判定依據，是對法官自由裁量權的引導。筆者認為，對于網絡安全保障義務責任認定的標準可以從以下三個角度論述。

　　1。 網絡安全問題的可控性與網絡用戶的合理期待。

　　危險的可控性分為法律上的可控性與事實上的可控性。法律上的可控性是指義務人控制危險不存在法律上的障礙。對于網絡運營者而言，在其防范網絡服務平臺安全問題的過程中，只要其采用的技術防護手段不損害其他網絡用戶的合法權益，便不會存在法律上的障礙。事實上的可控性是指義務人控制危險不存在事實上的障礙，具體是指網絡運營者根據其現有的技術能力能否對網絡平臺的安全問題加以控制。筆者認為，在事實上的可控性方面應當采納 “現有時點”的標準，即如果網絡用戶損害的發生是由于在發生時點之前已經為網絡服務業界所熟知的安全風險問題造成的，那么網絡運營者因未能履行預防或制止該危險發生的義務，應當對網絡用戶的損害承擔責任； 但如果網絡用戶遭受的損害是由發生時并不為業界所熟知的新的安全風險造成的，則網絡用戶對于此損害的發生就不應期待網絡服務商負有相應的作為義務，其損害也就不能完全由網絡運營者承擔。網絡安全保障義務的標準要參照網絡用戶的 “合理期待”加以認定，意味著個案的認定標準取決于安全問題發生時的具體情境并隨其變化而變化。

　　2。 網絡安全問題的自身特點與網絡用戶自我保護的可能性。

　　網絡安全風險本身的特點可以分為風險的嚴重性和風險的可識別性兩方面。筆者認為，網絡安全風險的嚴重性可以通過 “風險實現的可能性”、“損害后果的大小”及 “風險的顯而易見程度”這三個因素來加以確定。當支撐網站正常運行的主機服務器出現問題時必然會產生網站崩潰的結果，可謂風險實現的可能性很大； 網站崩潰會造成網絡用戶正在進行的一切網絡交往活動中斷并喪失尚未保存全部的信息，可謂損害后果嚴重； 第三人在網絡服務平臺的明顯位置發布誹1謗網絡用戶名譽權的信息，網絡服務商只需要簡單地關鍵詞檢索便可鎖定侵權信息，可謂風險顯而易見。風險的可識別性有兩種意義： 一是對網絡運營者而言，網絡風險只有可以被識別才具有可以被防免的可能性，網絡運營者才存在因未盡到積極的作為義務而承擔責任的問題； 二是對網絡用戶而言，網絡安全風險的可識別性與其自我保護的可能性緊密相關。如果網絡安全風險可以被一個謹慎行事的普通網絡用戶及時觀察到并采取必要的防范措施，就可以免除網絡運營者的責任。因為網絡運營者相信潛在的受害用戶有足夠的能力識別安全風險，并進行自我保護。與此同時，網絡用戶自我保護的可能性對于網絡安全保障責任認定標準的影響還集中體現為： 處在危險范圍內的潛在受害人的抵抗力越弱，網絡運營者的責任認定標準也應當越嚴格。因此網絡運營者一般會在網絡平臺中明示對于未成年人使用平臺服務的限制，對于符合使用條件的未成年人，因其自我保護能力相對較弱，網絡運營者對其應承擔高于一般成年人的安全保障義務標準。

　　3。 網絡安全問題的防范成本與網絡運營者的收益。

　　成本與收益是責任認定標準中始終需要考量的兩個因素。因此考慮到風險控制的成本，網絡安全保障義務的確立不能對網絡運營者課以過重的責任。例如，網絡消費者不能期待淘寶、京東等網絡購物平臺不出現任何假冒偽劣產品與侵害他人知識產權的產品，因為網絡運營者若對整個平臺實時更新的海量信息進行監控，其成本將過于龐大且不現實。網絡運營者的經濟收益對于其責任承擔標準的影響應從以下三個層次進行分析： 首先，網絡用戶對于網絡服務平臺的免費使用絕不意味著網絡運營者安全保障義務的免除。一方面，網絡安全保障義務核心的認定標準在于風險控制理論與責任分擔理論，而非經濟收益理論，另一方面，從網絡生活的實際來講，即使網絡運營者沒有從網絡用戶處收取直接費用，其通過服務平臺仍然可獲得廣告費用等間接經濟收益；其次，從成本收益角度我們必須承認對于經營性的網絡運營者而言，其從網絡服務平臺中獲得的經濟收益越大，所應承擔的保障義務標準也應越高； 最后，對于那些必須注冊并且交納一定費用才可以登陸使用的網絡服務平臺，運營者應當承擔相較于一般開放式網絡服務平臺更為嚴格的安全標準。當然在用戶注冊過程中會存在網絡服務合同關系的達成，若存在意定的安全保障義務標準，網絡用戶可以根據 “用戶服務協議”的內容尋求合同法上保護程度更高的救濟。

　�。� 三） 違反網絡安全保障義務的責任分配。

　　網絡安全問題根據是否有第三人介入充當直接侵權主體可以分為單獨侵權與共同侵權兩大類。在單獨侵權的情況下，網絡運營者一方充當了損害結果發生的全部原因力，在共同侵權情況下，除卻網絡運營者，第三人介入并充當了損害發生的直接原因力。無論是在哪種情況下，對于網絡安全保障義務的違反決定了網絡運營者責任承擔的方式都屬于自己責任。在單獨侵權的情況下，因為損害完全是由網絡運營者造成的，所以損害責任的承擔范圍比較清晰： 網絡運營者承擔全部責任； 在共同侵權的情況下，網絡服務商和第三人對于損害結果的責任分配問題值得我們探討。網絡安全問題中第二類的共同侵權對應傳統安全保障義務中第三人介入的情況。對于二者而言，損害結果的產生本質上都是建立在第三人的積極侵權與網絡運營者不作為侵權相互結合的基礎上，屬于完全間接結合而共同造成他人損害。如果安全保障義務人盡到積極保障義務，則直接侵權人將在一定可能性比例范圍內無法實施直接加害行為。基于傳統安全保障義務理論，學術界對于在此情況下安全保障人責任的承擔性質尚未達成共識。

　　我國 《侵權責任法》第 37 條采納了 “補充責任”的概念，規定 “管理人或者組織者未盡到安全保障義務的，承擔相應的補充責任”。從國內法學界角度講，對于補充責任的認識也存在分歧。贊同的觀點認為，采取補充責任的方式可以實現安全保障義務人與受害人之間的利益平衡。因為對于損害的發生，安全保障義務人僅僅是未盡到一定的注意義務，其不作為僅是提高了損害發生的可能性，究其實質仍是第三人造成的，若令安全保障義務人與直接侵權人承擔相同的連帶責任則會過于嚴苛。質疑的觀點認為，補充責任的方式是對于侵權責任法上全部賠償原則的違反，因為其將受害人的損失分為兩部分，一部分由安全保障義務人承擔，另一部分由第三人承擔。安全保障義務人在其存在過錯的情況下，不承擔責任或僅承擔補充責任，實際上是將侵權行為等同于作為過錯，排除了不作為過錯，違背了過錯責任的基本理論。

　　筆者認為，根據傳統侵權法責任認定的一般理論： 故意、直接侵權人應承擔連帶責任，過失、間接侵權人則承擔按份責任； 故意、作為侵權者應承擔第一順位的責任，過失、不作為侵權者則承擔后一順位的責任。因此結合安全保障義務過失、不作為侵權性質分析，筆者認為，《侵權責任法》第 34 條中補充責任屬于后一順位的按份責任，對其的理解應為： 直接侵權人承擔第一順位的全部補償責任，安全保障義務人承擔第二順位、在其過錯范圍內的比例責任； 在直接侵權人履行全部侵權責任的情況下可以要求保障義務人承擔過錯范圍內的比例責任； 在直接侵權人無法履行全部賠償責任的情況下，受害人可以要求安全保障義務人承擔其過錯范圍內的比例責任。所以其不同于連帶責任，因為連帶責任情況下受害人可以要求保障義務人承擔第一順位的全部責任，不存在過錯比例的限制。

　　然而在網絡安全保障義務制度中，上述對于補充責任的認定方式就顯得不甚合理。筆者認為，網絡運營者應承擔一種更加嚴格的 “特殊補充責任”。一方面，網絡空間的一切行為都必須落實到信息技術層面才具有實現的可能性，網絡用戶在網絡服務平臺遭受第三人侵害的情況下不具備現實物理空間中的直接止損能力。受損害的網絡用戶只能通過請求運營者制止侵害的方式獲得實際上的救濟，即其只能通過網絡運營者這一中介才可以作用于第三人的侵害行為。另一方面，導致網絡平臺爆發安全問題的侵權行為具有時空上的不確定性與技術上的隱蔽性，網絡用戶很難憑借自身的力量找出直接侵權人作為求償的對象。在難以確定直接侵權人的情況下，仍采用補充責任的認定方式難以實現對于網絡用戶權益的完全救濟。筆者認為，在網絡安全保障義務中網絡運營者和直接侵權人承擔的 “特殊補充責任”在對內關系上與普通的補充責任無異，但在對外關系上應打破網絡運營者賠償份額受過失比例限制的保護。對 “特殊補充責任”的理解應為： 首先，仍由直接侵權人承擔第一順位的全部補償責任，即賦予網絡運營者享有先訴抗辯權；其次，網絡服務商須承擔第二順位的全部賠償責任，而非承擔過錯范圍內的比例責任； 最后，無論是直接侵權人還是網絡運營者在履行完全部侵權責任的情況下可以按照內部的責任劃分比例向另一方追償。

　　結 語。

　　面對日益嚴峻的網絡安全形勢，《網絡安全法》的出臺無疑為理論界和立法界綜合規制網絡安全問題提供了一個有利的契機。既然傳統安全保障義務制度在網絡空間中的適用使得對于網絡安全問題的規制在私法上獲得了新的制度依據與解決路徑，在立法層面必須有所改進以配合理論上的進步。因此，筆者建議在現有 《侵權責任法》條文的基礎上通過司法解釋的方法對網絡安全保障義務加以體現，以明確其在侵權法中的地位。

　　一方面，明確現行 《侵權責任法》第 36 條第 3 款 “網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益，未采取必要措施的，與該網絡用戶承擔連帶責任”中的 “知道”為“應知”，澄清長期以來法學界對 “知道”應解釋為 “明知”或是 “應知”所帶來的適用上困惑。在法律邏輯結構上實現網絡運營者義務從原有的 “事后救濟”向現有的 “事先保障”轉變，呼應接下來對于侵權法上 “安全保障義務條款”的補充解釋，維護立法體系上的一致性。另一方面，明確 《侵權責任法》第 37 條 “賓館、商場、銀行、車站、娛樂場所等公共場所的管理人或者群眾性活動的組織者，未盡到安全保障義務，造成他人損害的，應當承擔侵權責任”中的“公共場所的管理人”應包含 “網絡運營者”在內，從而將網絡運營者劃歸到安全保障義務主體的范圍之內，肯定安全保障義務的制度價值從物理場所向網絡空間的擴張，打破其在適用上的場所限制。通過對 《侵權責任法》第 36 條、第 37 條進行司法解釋的方法明確網絡安全保障義務在侵權法上的地位，使安全保障義務這一悠久的侵權法理論在信息時代實現其應有的制度價值，在適應互聯網產業發展需要的同時實現對網絡安全問題進行公、私法共同規制的體系性目標。

【分析網絡空間安全保障義務的適用價值及制度架構論文】相關文章：

安全保障義務的法律性質研究11-03

計算機節點安全保障分析論文07-06

宗教文化旅游價值及發展分析的論文12-08

淺析安全保障義務的概念及法理基礎11-02

探析經營者違反安全保障義務的責任11-03

試論獨立董事制度及適用08-29

基于Web的MES系統安全架構設計及分析08-22

分析魏晉文人的生命的價值分析論文08-08

論經營者承擔安全保障義務的合理范圍11-01

淺談應急管理后勤保障及應對機制分析論文01-07