法学博士,北京邮电大学人文学院副教授,北京邮电大学互联网治理与法律研究中心常务副主任,主要研究领域为网络法和经济法。
网络运营者对网络平台的信息安全义务经历了从无到有,从被动处理到主动管理的过程。这主要是因为传统的政府管理在网络空间存在失灵现象,政府已经难以独立有效承担网络空间的安全管理责任,需要网络运营者分担部分管理职责。网络运营者的信息安全义务具体包括建立信息安全管理制度、用户信息审核、公共信息巡查、保障信息安全、违法信息处置、投诉处理、配合监督检查、信息记录和报告义务等。
网络运营者,特别是大型网络服务提供者,往往拥有上亿的海量用户,它们是网络治理的关键性主体,它们所经营的网络平台是网络社会中最重要的节点,向上面对政府,向下面向市场和网络用户。
我国对网络的管理上主张“谁运营谁负责”“谁接入谁负责”,强调网络运营者的“主体责任”,要求网络运营者对其运营的网站和提供的网络服务承担信息安全义务。
实务中,对网络运营者的网络信息安全义务的具体内容和范围一直存在边界不清的问题。本文拟结合新通过的《网络安全法》,对网络运营者的网络信息安全义务进行梳理分析,以期厘清责任边界,利于《网络安全法》的落实。
在传统的现实社会中,企业只负责管理自己内部事务,只对自己实施的行为负责;对于公共领域的事务则由政府负责管理。这种公私分明的管理模式也延伸到了互联网发展初期的网络空间。
那时候,人们对互联网的认识多限于认定其为一项新的信息技术,网上主要是门户网站,网络上的信息也主要是由网络服务提供者提供,网民上传的信息很少。作为网络服务提供者的网络平台只对自己提供的信息服务承担责任,对他人上传的信息则不承担责任。这就好比高速公路公司只负责公路本身的安全和维护,对于在路上跑的汽车以及汽车上装载的货物则无权管理,也不用负责。
随着互联网的发展和普及,互联网吸引了越来越多的用户,借助于各种网络应用程序,互联网的信息聚散能力越来越强大,不可避免地打破了传统的利益平衡,给其他人(如版权人)的权利造成严重的威胁,传统的诉讼手段和行政执法方式难以应对大量、普遍发生的盗版等违法问题,权利人要求网络服务提供者应当有所作为,负起一定的责任;同时,网络经济尚处于发展期,不能对网络服务提供者可以过重的责任。
有鉴于此,美国于1998年出台了《数字千年版权法》(Digital Millennium Copyright Act,DMCA),规定了“避风港规则”和“红旗规则”,对网络服务提供者的责任进行限定。
所谓“避风港规则”,其基本含义是:如果网络服务提供者使用信息定位工具(包括目录、索引、超文本链接、在线存储网站等)涉嫌侵犯他人的著作权,在网络服务提供者能够证明自己不存在恶意,也未从该网络服务商有权利和义务进行干预的侵权行为中直接得到经济利益,并且在知道侵权事实或接到侵权通知后及时删除侵权信息或者断开有关信息链接的情况下,网络服务提供者不承担赔偿责任。
“红旗规则”是“避风港规则”的例外,就是说,如果网络平台上的侵权内容是显而易见的、就像迎风招展的红旗一样引人注目,网络服务提供商就不能装作看不见或者以不知道侵权事实为由来推脱责任;在这种情况下,网络服务商有义务直接删除相关内容或断开连接阻止,无需他人告知,否则要承担相应责任。
我国《侵权责任法》第36条、《消费者权益保护法》第44条、《信息网络传播权保护条例》、《最高人民法院关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等法律、法规和司法解释也引入了“避风港规则”和“红旗规则”,对网络服务提供者的网络信息审查义务和责任进行了限制,网络服务提供者对网络信息安全问题只负担被动处置义务。
随着网络虚拟空间与现实空间的进一步融合,网络空间已经成为现实空间的延伸和重要组成部分。互联网不仅仅是一项信息技术,而是演变成了全球性媒体、国际性网络社会。网络经济也形成了成熟的营利模式,网络空间演变成了一个世界性市场。
网络信息安全问题日益突出,国家也逐渐赋予网络运营者更多的安全管理义务和责任。网络运营者不能再被动地等到“红旗扑面而来”才猛然发现违法信息,而是应当主动进行公共信息巡查和处理,未尽到网络信息安全义务的,将承担法律责任。我国《网络安全法》进一步明确了网络运营者的网络信息安全义务,正式开启了网络运营者应主动承担网络信息安全义务的时代。
在网络空间,网络运营者要比普通企业承担更多的安全义务,这主要是因为传统的政府管理在网络空间存在失灵现象,政府已经难以独立有效承担网络空间的安全管理责任,需要网络运营者分担部分管理职责。
第一,政府欠缺管理所必需的信息。政府对网络空间的管理需要大量的信息支持,但政府和网络运营者之间存在严重的信息不对称。与传统领域由政府掌握更多的管理信息不同,在网络信息时代,政府对信息控制的能力在削弱。政府管理所必需的海量数据往往由互联网企业掌握,政府不得不求助于通常属于被管理对象的网络运营者,以避免管理困境。
第二,政府欠缺管理所必需的技术手段。网络空间信息技术和应用日新月异,受到技术能力的限制,法律和政府管理手段难以及时跟进。在以信息技术为基础的网络空间,国家的管制权限往往取决于现有的管制科技。当国家掌握了相应的管制技术手段时,就能较好地履行管制职能;当欠缺相应的管制技术时,就只能采取较少的管制。
以知识产权保护执法为例,传统上都是通过执法或司法手段删除特定内容或者起诉侵权行为人,但这种方式基本上已经无法阻止全球性的盗版行为,因而对知识产权保护执法的关切点已经转移到中断互联网接入、利用域名体系关闭整个网站或者阻断网站的资金链等方面,而最有能力采取上述措施的就是网络运营者。
如果由政府出资来开发网络管理所必须的技术或者收集、分析网络管理所必须的海量数据,即使能做到,成本也将是非常巨大的,将显著增加纳税人的负担。网络技术能力和资源主要集中在技术人才身上,高级技术人才的稀缺性决定了政府无法提供有竞争力的薪资来吸引人才;另一方面政府的组织方式和管理方式也无法营造人才得以成长的创新和竞争的环境。如果由网络运营者来分担一部分管理责任,显然更有效率。
第三,网络空间治理需要政府、企业、社会团体和社会公众共同参与,传统以政府为主导的管理模式已无法胜任。传统的社会管理模式以属地管理为主,将国家划分为不同层级的行政区域,并设置相应的地方政府管理本地事务,形成自上而下的金字塔式管理体系。
正如美国学者莱斯格指出,在现实世界中,我们通过社会规范将某些事物隔离于一定的场所,并能有效地对其进行分化,形成“分区管制”。这种分区管制的采用,是取决于现实世界的可区分性特征,也就是现实世界的结构。但网络空间的结构并不适合分区管制的实施。
网络空间打破了地域限制,除非采取技术手段,通常没有现实的界限来隔离信息的流动。网络空间的开放性使得人们可以在任何时间、任何地点进入到网络空间的任何角落。一个平台可以容纳全国、甚至全世界的网民参与,在这样的平面化社会结构下,传统的管理模式难以适应治理的现实需要。
民族国家、宗教组织、跨国公司等传统的主导权力机构都在网络信息流动中丧失了一定的控制权。政府对信息的控制能力在削弱,这不仅体现在防范国家安全敏感信息外泄能力的缺失,还体现在对信息中介服务全球输出进行限制的能力匮乏。这就要求网络运营者(信息中介)不仅创造互联网规则和政策,同时要承担互联网的内容控制职能。
第四,网络空间的治理更注重预防,而不是事后惩罚。在网络空间,信息发布非常便捷,信息传播非常迅速,违法损害后果常常被网络放大,待到政府事后处理,损害已经造成,损失难以挽回,因此政府的事后处理常常是缺乏效率的。对于至关重要的事前预防和事中监督,政府因缺乏相应的技术和数据支持,常常力不从心,而这对网络运营者来讲,则较为容易做到。
第五,网络平台具有开放性和公共性,客观上需要网络运营者采取有效措施对风险进行相应的管控。
网络运营者负责运营网络平台,网络平台拥有众多用户,众多网民通过平台进行各项社会活动,网络运营者从中获取利益。按照责权利相一致原则,网络运营者自然应当维护网络平台的信息安全,防止非法信息传播和扩散,防控安全风险。
其实,现实社会中的经营者也负有类似的安全义务。例如,《消费者权益保护法》第18条第2款规定,宾馆、商场、餐馆、银行、机场、车站、港口、影剧院等经营场所的经营者,应当对消费者尽到安全保障义务。
当然,这种责任不是绝对的,经营者只要尽到法定的注意义务即可。如银行经营场所只要配备了保安、监控录像设备等,在安全措施符合法律标准的情况下,银行对于进入经营场所的抢劫犯所造成的现场的客户损失并不需要承担法律责任。
同样道理,网络运营者在依法配备了相应的安全管理人员,采取了必要的安全技术手段的情况下,也不需要为非法利用网络者所造成的第三者损失承担法律责任。
综上所述,在网络空间,需要重新配置政府、社会、企业的责任。政府根据“谁运营谁负责”、“谁接入谁负责”和“责权利相一致”的原则,将一部分管理职责“下放”给网络运营者或行业协会等社会团体,是一种更有效率的做法。
但政府不能将过多的管理责任推卸给网络运营者,网络运营者的信息安全责任不能超出其风险控制能力和负担能力,否则市场主体负担过重,将阻碍网络经济的健康发展。因此,法律需要对网络运营者的安全管理义务进行明确界定,厘清责任边界。
网络运营者的网络信息安全义务是一项综合性义务,是一个义务群,涉及到多个方面。
我国《网络安全法》第9条总括性地规定了网络运营者的网络安全义务,即:网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
《互联网信息服务管理办法》、《互联网信息搜索服务管理规定》、《即时通信工具公众信息服务发展管理暂行规定》等行政法规和规章则对各个领域网络运营者的网络安全义务作了具体规定。
根据我国现行有关法律规定,网络服务提供者通常需要承担以下网络信息安全义务。
网络运营者通常是通过公司章程、内部安全管理制度、用户协议等对网络平台和用户进行管理。网络运营者要落实安全管理责任,首先就需要建立健全内部安全管理制度。网络运营者只有建立了健全的网络安全内控制度,才可能开展有效的安全管理。
《网络安全法》第21条规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
《互联网信息服务管理办法》第6条规定,从事经营性互联网信息服务,应当有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度。
《互联网信息搜索服务管理规定》、《即时通信工具公众信息服务发展管理暂行规定》、《网络食品安全违法行为查处办法》等规章也根据各领域不同特点,要求网络服务提供者建立健全各项制度,落实安全管理责任。
信息安全管理制度的具体内容并没有统一规定,不同领域的网络运营者会有些差异,大体上主要包括用户信息安全保护制度、信息审核制度、公共信息实时巡查制度、信用管理制度、应急处置制度、投诉和举报制度等。
根据信息内容的不同,对用户信息的审核涉及用户身份信息的审核和业务信息的审核。
对于用户身份信息的审核,《网络安全法》第24条规定了网络实名制,即:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
据此,网络运营者开展上述6项服务时,有义务审核用户提供的身份信息。身份信息主要包括姓名或名称、地址、联系方式、营业执照、资格证书或其他证明文件等。对身份信息的审核一般是形式审核,但如果有开放的数据库可核对,则应当进行实质审核,如通过工商行政管理部门的企业信用数据库核对营业执照信息的真实性。对身份信息应当建立档案并定期更新。
网络运营者除了对用户身份信息进行审核外,还要对某些业务信息履行审核义务。例如,根据《互联网广告管理暂行办法》第12条的规定,网络广告发布者应对对互联网广告等商业性信息进行审核,应当查验有关证明文件,核对广告内容,对内容不符或者证明文件不全的广告,不得设计、制作、代理、发布。
又如,《移动互联网应用程序信息服务管理规定》第8条规定,互联网应用商店服务提供者应当对应用程序提供者进行真实性、安全性、合法性等审核。
根据该条规定,互联网上网服务营业场所经营单位应当实施经营管理技术措施,建立场内巡查制度,发现上网消费者有违法行为的,应当立即予以制止并向文化行政部门、公安机关举报。之后该制度被逐渐推行到线上。
《网络安全法》第47条规定,网络运营者应当加强对其用户发布的信息的管理,而对网上公共信息进行巡查则是一项有效的信息管理手段。
工信部《通信短信息服务管理规定》、公安部等六部门《互联网危险物品信息发布管理规定》、国信办《互联网信息搜索服务管理规定》等规定均要求网络服务提供者对公共信息进行实时巡查。
公共信息巡查义务是基于网络平台的开放性和公共性,所需要巡视的信息限于公共信息,对于个人通信信息和具有私密性的小范围群聊信息,网络运营者无权巡视。
告知督促义务主要是要求网络运营者在网站上公布有关规章制度,在用户协议中明确有关义务和责任,并督促用户履行义务。
《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
《互联网用户账号名称管理规定》第4条规定,互联网信息服务提供者应当完善用户服务协议,明示互联网信息服务使用者在账号名称、头像和简介等注册信息中不得出现违法和不良信息。
《移动互联网应用程序信息服务管理规定》第8条规定,互联网应用商店服务提供者应当督促应用程序提供者保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现;督促应用程序提供者发布合法信息内容,建立健全安全审核机制,配备与服务规模相适应的专业人员;督促应用程序提供者发布合法应用程序,尊重和保护应用程序提供者的知识产权。
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。自然人的个人信息具有人格属性,并为我国《民法总则》所确认。
网络运营者在运营中会收集大量的个人信息,保障个人信息安全是网络运营者的基本义务。《网络安全法》第42条规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
《消费者权益保护法》第29条第2款也规定,经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
《网络安全法》第47条规定,网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
《互联网信息服务管理办法》第16条也规定,互联网信息服务提供者发现其网站传输的信息明显属于违法信息的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
根据《互联网新闻信息服务单位约谈工作规定》第4条的规定,互联网新闻信息服务单位未及时处置违法信息情节严重的,国家互联网信息办公室、地方互联网信息办公室可对其主要负责人、总编辑等进行约谈。
网络运营者建立网络信息安全投诉、举报制度后,应及时受理并处理有关网信息安全的投诉和举报。
传统上,主要由政府部门、行业协会等社团负责受理投诉举报,市场主体并没有强制性的受理投诉举报的义务。网络运营者之所以负有强制性的受理投诉举报义务,主要是因为它们掌握了与投诉和举报有关的数据和信息,并且与其利益息息相关,相应地应当承担处理投诉和举报的义务。
《网络安全法》第49条规定,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
《规范互联网信息服务市场秩序若干规定》、《电信和互联网用户个人信息保护规定》等规定进一步明确,服务提供者应自接到投诉之日起15日内答复投诉人。
《互联网新闻信息服务单位约谈工作规定》第4条规定,互联网新闻信息服务单位未及时处理公民、法人和其他组织关于互联网新闻信息服务的投诉、举报情节严重的,国家互联网信息办公室、地方互联网信息办公室可对其主要负责人、总编辑等进行约谈。
政府部门在网络空间行使监管职能,必须得到网络运营者配合提供有关数据和技术支持,否则难以有效开展监管。网络运营者对有关部门依法实施的监督检查,应当依法予以配合。
《网络安全法》第49条规定,网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。《保守国家秘密法》第28条也规定,互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查。
用户日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、信息发布、错误信息等。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。
网络运营者应保证用户日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足监督检查需要;应采取适当措施保证所有日志同步计时,并确保其完整性。
网络运营者毕竟不是政府,不是最终的网络管理者,因此网络运营者发现违法信息后,应当向有关主管部门报告。
《网络安全法》第47、48条规定,网络运营者、电子信息发送服务提供者和应用软件下载服务提供者发现法律、行政法规禁止发布或者传输的信息的,应当保存有关记录,并向有关主管部门报告。《保守国家秘密法》、《互联网信息服务管理办法》、《电信条例》、《地图管理条例》对此均有规定。
当发生网络安全事件时,网络运营者也应当向有关主管部门报告,以便在需要时,可以更好地采取应对措施,防范风险的扩散和损失的扩大。
《网络安全法》第42条第2款规定,在在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
上述各项网络信息安全义务是法定义务,如果拒不履行,经监管部门责令采取改正措施而拒不改正,则有可能触犯刑法,构成拒不履行信息网络安全管理义务罪(《刑法》第286条之一)。
《汕头大学学报·网络空间研究》,2017年第7期,第79-84页。谢永江《论网络运营者的网络信息安全义务》
