網絡平臺義務和法律責任

2017-12-12

網絡空間以法律的形式在《國家安全法》第25條確立。在傳統主權國家空間，國家各類機構、社會多種組織遍及領土、領海、領空；在網絡空間，尤其是“互聯網＋”時代，網絡平臺則承擔著組織、交流、管理等多項職能，相應的承擔著更多義務。《網絡安全法》第74條，明確了違反該法規定，構成犯罪的，依法追究刑事責任。本文以刑事犯罪入口來談談網絡平臺可能面臨的刑事法律風險。

一、網絡平臺義務

（一）網絡平臺分類

筆者以為，網絡平臺承擔刑事責任應當以對網絡平臺類型化為前提。那么何為網絡平臺？筆者認為網絡平臺就是利用互聯網技術搭建一個網站或者APP，通過提供內容等服務，促進雙方或者多方需求平衡。這種需求根據內容可能是新聞資訊、娛樂購物或者溝通交流等。

1.按服務主體區分。包括UGC(User-generated Content，即用戶生產內容，如火山視頻、新浪微博、知乎等)、OGC（Occupationally-generated Content，即職業生產內容，如人民網、新浪、搜狐等新聞資訊網站）和PGC（Professionally-generated Content，專業生產內容，如今日頭條）。PGC和OGC的區別，相對容易，以是否領取相應報酬作為分界，PGC往往是出于“愛好”，義務的貢獻自己的知識，形成內容；而OGC是以職業為前提，其創作內容屬于職務行為。

具體到OGC網站平臺，基本上是走媒體型的路線，根據《互聯網新聞信息服務管理規定》，新聞信息要經過新聞單位報道刊發后，取得互聯網新聞信息服務許可證的商業網站獲得新聞單位的版權后才能轉載報道。因此網易、騰訊等商業網站是國家二類新聞資質單位，其需要獲得人民網、新華網等國家二類新聞資質單位的版權后，才能轉載且必須注明來源、不得刪減新聞內容。

另外，UGC網絡平臺的注意義務和管理義務明顯要低于OGC網絡平臺。以微博為例，由于其內容均來源于網友的主動上傳，假設出現了宣揚恐怖、暴力、色情等內容的信息時，微博僅僅需要及時刪除即可，反之OGC網站則責任就完全不同，因為內容更多的網站自身主動創作，出刪除內容外，很大概率承擔民事、行政、甚至是刑事責任，下文將舉例說明。

2.按服務內容區分。包括網絡信息內容提供者（ICP,即自己組織信息通過網絡向公眾傳播的主體，如門戶網站、網購交易網站）、網絡服務提供者（即為傳播網絡信息提供中介服務的主體，如社交網站、P2P網站）。這類分類思路起源美國《數字千年版權法》（1998年），確定了以是否參與內容制作以及是否對內容知情為網絡服務提供者在法規范視野內類型化的依據，網絡服務提供者屬于不參與內容制作并對內容不知情者。網絡服務提供者有分成3類：中間服務提供者（如網絡接入、服務器托管等）、互聯網信息服務提供者、第三方交易平臺服務提供者（提供網絡商品交易、網絡金融服務等活動進行第三方交易平臺的）。

特別需要提醒的是，“網絡服務提供者”這一概念在2010年頒行的《侵權責任法》、2013年修訂的《信息網絡傳播權保護條例》以及刑法第286條之一拒不履行網絡安全管理義務罪予以明確，而《網絡安全法》提到了“網絡產品和服務提供者”“關鍵信息基礎設施運營者”“網絡運營者”等多個概念。學界和司法實踐部門對于刑法關于拒不履行網絡安全管理義務罪的責任主體做限縮解釋還是擴大解釋，一直存在爭議。如謝望原教授認為，網絡服務提供者不能只局限于早期歐美立法上的“服務提供者”的范圍,而是包括了公用電話網服務、廣播電視網服務和計算機網絡服務的提供者2,又如敬力嘉博士認為根據拒不履行網絡安全管理義務罪中“不履行法律、行政法規規定的信息網絡安全管理義務”及相應后果的規定，可以認定本罪主體是不參與內容制作并對內容不知情的網絡服務提供者3。本文贊同謝望原教授的觀點，具體論證下文將會詳細闡述。

3.按行為方式區分。包括參與交換型（即承擔引導資源交換功能，又承擔收集、提供資源內容的職能）、引導交換型（即至承擔引導資源交換，不承擔收集、提供資源內容的職能）。當前，很多網絡平臺均兼具以上兩種特點，需要根據具體行為予以判斷。以神州專車為例，在神州專車平臺上，既有神州的自有車輛，還有神州合作的U+平臺接入的非神州自有車輛。這種分類判斷在于區分網絡平臺是否具有中立性，是否對網絡平臺信息負有主動審查的義務。

（二）網絡平臺義務來源

從刑法角度，網絡平臺義務來源于法律和行政法規，如《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《網絡安全法》《反恐怖主義法》《電信和互聯網用戶個人信息保護規定》《計算機信息網絡國際聯網安全保護管理辦法》等等，不一而足。具體而言，平臺作為網絡運營者承擔的主要法律義務包括：

1.用戶身份管理的義務。根據《網絡安全法》第24條的立法精神，網絡運營者為用戶提供信息發布等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息，對于當事人相關資質做出必要的審核。可以看出，網絡平臺不再是單純的商業活動經營者，并非只承擔中立義務，而更多的是兼具網絡服務提供者與網絡安全管理者雙重主體身份。如今年7月14日發生的李文星事件，死者李文星在BOSS直聘網站被假冒正規公司的傳銷組織錄用，后意外溺水死亡。事件發生后，BOSS直聘被北京市網信辦、天津市網信辦聯合約談。

2.保護和合理使用用戶信息的義務。可能觸及刑法第253之一、285、286，對應的是侵犯公民個人信息罪非法獲取計算機信息系統數據罪、破壞計算機信息系統罪。《網絡安全法》第40-45條完整的建立起以用戶同意原則為基礎、網絡運營者擔負維護用戶個人信息完整、合法使用的義務。其中第44條，明確“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息”。在此之前，《電信和互聯網用戶個人信息保護規定》《刑法》及《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》均規定了個人信息保護。而《網絡安全法》在強調了個人信息保護重要性的基礎上，規定了如何落實相關信息保護制度。

一直以來，用戶個人信息歸誰所有、如何使用等問題爭論不休。今年6月1日，順豐速運和菜鳥網絡先后關閉與對方的數據接口，這一做法直接導致用戶無法在淘寶網選擇順豐作為快遞服務公司，反之亦然。對此順豐速運官方微博回應中的第三條：菜鳥于5月基于自身商業利益出發，要求豐巢提供與其無關的客戶隱私數據，此類信息隸屬于客戶，豐巢本著“客戶第一”的原則，拒絕了這一不合理要求。假設，菜鳥的要求合理，順豐是否可以向其提供用戶個人數據？又或者，豐巢某一客戶明確要求順豐將自己的個人數據向菜鳥提供，順豐是否應當無條件答應并立即執行？實際上，關于上述疑慮《網絡安全法》第10條就已經有了明確規定，即網絡建設者、運營者承擔維護網絡數據的完整性、保密性和可用性的責任。一言以蔽之：授權范圍內合理、安全使用。具體到順豐、菜鳥數據之爭，則屬于《網絡安全法》落地實施的問題。

3.信息網絡安全管理義務。UGC網站平臺表現尤為明顯，觸犯刑法第286條之一拒不履行網絡安全管理義務罪的風險較高。基于《網絡安全法》第47條的明文規定，網絡運營者應當加強對其用戶發布的信息的管理，發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息，采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。國務院《計算機信息網絡國際聯網安全保護管理辦法》有更為詳細的規定，如該辦法第10條列明“信息網絡安全的管理”包括網絡內容監管、網絡經營監管、網絡經營許可監管等。2017年8月 11日，國家網信辦立案調查微信、微博、百度貼吧三家網站平臺，指責上述三家平臺內容存在用戶傳播暴力恐怖、虛假謠言、淫穢色情等危害國家安全、公共安全、社會秩序的信息，涉嫌違反《網絡安全法》等法律法規，對其用戶發布的信息未盡到管理義務。

（三）域外平臺義務規定

其他國家“以網管網”的特色較為明顯，因此筆者主要介紹域外對網絡平臺的管理義務。

1.協助執法義務。該項義務主要是指以網絡平臺為代表的網絡服務提供者協助偵查機關以技術手段獲取他人通信內容或者通信相關數據，包括通信監控、數據留存及其附隨的提供技術協助、保密等義務。以協助通信監控為例，德國2004年《電信法》《電信監控法令》，美國1994年《通信協助執法法》，歐盟《歐盟理事會關于合法攔截通信的決議》等，這些法律和國際公約因涉及侵犯公民隱私權而廣受批評。如去年FBI大戰蘋果就是一例。4

2.內容信息監管義務。如2000年《歐盟電子商務指令》中規定：（1）一般性非監管義務和特殊情況下法律或者命令規定的監管義務；（2）知曉非法活動后迅速刪除、阻止他人訪問非法信息義務；（3）緩存、存儲服務提供者在知曉非法活動后，必須迅速移除或者組織他人訪問涉及的信息才能免責。以上免責規定“不影響法院或者行政機關根據成員國的法律制度，要求服務者終止或者預防侵權行為的可能性”；（4）也不適用于“服務提供者故意與服務接受者合作實施超純粹傳輸義務或緩存活動的非法行為”。

3.用戶數據保護義務。如德國2007年《電信媒體法》規定，服務提供者保護用戶數據的義務，只能在相關法律行為許可或者用戶同意的范圍內，為了提供電信多媒體服務或者為了其他目的而收集和使用個人數據，有權機關可以依法要求網絡服務提供者提供個人數據，協助相關部門履行法律職責。

二、刑事法律風險

除了上文《網絡安全法》提供了網絡平臺入刑的路徑之外，其背后的理論依據是什么?學界存在不同的看法。多數觀點是“中立幫助行為正犯化”作為理論根據5; 第二種觀點認為入罪的根據是“保證人地位 (說) ”或曰“不作為說”,6第三種觀點是“監管過失說”7。上述觀點代表了學界從不同層面對網絡平臺入罪問題的理論思考, 同時也表明這一問題存在諸多爭議。本文認為, 中立幫助行為正犯化是傳統共犯理論在互聯網領域的延伸, 目前理論本身仍存在頗多適用爭議, 難以形成共識, 且其理論價值更在于約束和限制刑法對中立幫助行為的追責。而從“以網管網”的基本定位來看, “監督過失說”或“不作為說”的思維進路似乎更有道理。但這里需要進一步說明的是,《刑法修正案 (九) 》增設了“拒不履行信息網絡安全管理義務罪”乃是考慮到網絡平臺服務提供者在網絡監管中“不盡職責”或“不負責任”的態度, 不能等同于立足于責任事故類犯罪的“監督過失說”,8也不同于不作為犯罪中的“保證人地位說”。9

（一）拒不履行網絡安全管理義務罪

拒不履行網絡安全管理義務罪，是指網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使違法信息大量傳播的，致使用戶信息泄露，造成嚴重后果的，致使刑事案件證據滅失，情節嚴重的，有其他嚴重情節的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。

1.本罪的犯罪客體為簡單客體，即信息網絡安全。結合本罪的危害后果如違法信息大量傳播、用戶信息泄露造成嚴重后果、刑事案件證據滅失情節嚴重等等，顯然本條立法目的旨在保護社會秩序免受信息網絡的破壞。

2.本罪的責任主體是網絡服務提供者，哪些網絡平臺主體適格呢？這需要結合法條本身進行實質解釋。首先，網絡服務提供者應當具備管理、控制網站平臺用戶個人信息、平臺內容信息、平臺數據庫等實質權限，離開了這點就無從談及不履行法律、行政法規規定的義務，因為權責義三者是統一的整體。第二，一旦網絡平臺出現了第286條之一的危害后果，責任并不必然規則給網絡平臺。以UGC形式的微博為例，微博運營商、微博服務器提供商均有能力對用戶信息、用戶發布內容進行處理，微博一旦發生用戶信息泄露造成嚴重后果，從權限主體若并非微博本身管理問題，而是服務器提供商“內鬼”所為，那么以危害結果去追求微博運營商的本罪責任則有失公允。第三，如今的網絡平臺功能更加復合、多元，像有的學者所說的“不參與內容制作并對內容不知情的網絡服務提供者”事實上已經在互聯網行業難以見到，如于志剛教授認為“今天的互聯網與誕生之初相比已經貌合神離---它不再是單純的信息媒介”10。筆者以UGC模式的典型知乎為例，目前該平臺上不僅有用戶參與話題討論、知乎周刊，還有知乎書店、付費咨詢等，并且在平臺首頁，知乎根據用戶興趣愛好，根據計算機算法向用戶精準推送個性化內容。故，在這一背景之下倘若仍然拘泥“不制作內容且對內容不知情的”，則脫離實際，也并非立法初衷。總之，本罪的責任主體內涵遠大于網絡平臺。因此，筆者贊同謝望原教授的觀點，網絡服務提供者包括網絡上一切提供設備、信息和中介、接入等技術服務的個人、網絡服務商以及非營利網絡服務提供者。

3.本罪的客觀方面表現為行為人拒不履行信息網絡管理義務，屬于不作為，必須包括下列兩個行為：一是不履行信息網絡安全管理義務，二是經監管部門責令改正措施而拒不改正。網絡服務提供者必須滿足上述兩個行為才有可能被追責，僅僅不履行網絡安全管理義務并不能構成本罪。筆者上文梳理不作為的義務來源包括但不限于《網絡安全法》《侵權責任法》等法律以及《互聯網信息服務管理辦法》《中華人民共和國計算機信息系統安全保護條例》等行政法規。其他位階的不屬于本罪不作為的義務來源。

本罪的法律義務來源較為明確，但認定的難點在于如何界定該罪描述的“嚴重后果”、“情節嚴重”等客觀危害結果，這也是網絡平臺較為關心的。社會危害性、刑事可罰性和應受刑罰處罰性等犯罪特點，要求立法者、司法解釋權力機關及時對該罪作出相對具體的規定。當前，筆者尚未查找到關于本罪生效的司法判例。對此，筆者嘗試通過比照類似行為、主觀惡性、法理等對本罪入罪情節與讀者進行探討，僅為一家之言，請批評指正。

一是致使違法信息大量傳播。目前我國刑法關于傳播違法信息的犯罪有傳播淫穢物品牟利罪、傳播淫穢物品罪等，從主觀惡性比較，致使違法信息大量傳播的行為明顯低于傳播淫穢物品，因此在入罪門檻應當是傳播淫穢物品罪，即參照兩高《關于辦理利用互聯網、移動通訊終端、聲訊臺制作、復制、出版、販賣、傳播淫穢電子信息刑事案件具體應用法律若干問題的解釋（二）》（2010年2月2日），且違法信息的大量傳播和危害后果存在相當因果關系；二是致使用戶信息泄露，造成嚴重后果的。嚴重后果的界定需要可以量化的標準予以明確，如造成用戶死亡、重傷、精神失常、綁架等，造成重大經濟損失或者惡劣社會影響等。三是致使刑事案件證據滅失，情節嚴重的。由于本罪法定刑為三年以下有期徒刑、拘役或者管制，并處或者單處罰金，因此致使刑事案件應當理解為可能判處三年以上有期徒刑的犯罪，否則可能刑事可罰性存在懷疑。應當比照上述犯罪的最高標準。四是有其他嚴重情節的。

（二）非法獲取計算機信息系統數據罪

刑法第285條規定，非法獲取計算機信息系統數據罪是指違法國家規定，侵入除國家事務、國防建設、尖端科學技術領域的計算機信息系統之外的計算機信息系統或者采取其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據。

本罪的客觀行為包括侵入或者其他技術手段。侵入與其他技術手段均需突破權限設置，只是方式有別，侵入需避開或者突破計算機信息安全系統，其他技術手段只需要與侵入具有相應的社會危險性，即行為人無權獲取數據。本罪的其他技術手段是與侵入不同的方式，侵入方式獲取數據最典型的形式諸如攻擊服務器、爆破、破解通信協議等。其他技術手段則是首先取得用戶身份，通過用戶識別，獲取數據，即騙取、竊取用戶身份，取得數據。其他手段獲取數據，則主要是以釣魚網站、植入木馬、偽造身份信息等方式先行騙取用戶的賬號、密碼，登錄之后再獲取數據。

PGC、IPC網絡平臺易涉及本罪。如2014年，“wifi上網精靈”通過模擬“WIFI萬能鑰匙”軟件用戶，獲取對方軟件數據庫內WIFI熱點密碼并進行解密保存，后被上海市楊浦區人民檢察院以本罪起訴；2016年7月，實時公交查詢軟件“酷米客”大數據被“車來了”公司竊取平臺大數據，創始人兼CEO邵凌霜因犯非法獲取計算機信息系統數據罪被判處有期徒刑三年，緩刑四年執行，并處罰金10萬元。

（三）侵犯公民個人信息罪

刑法第二百五十三條之一規定了三種行為，一是違反國家有關規定，向他人出售或者提供公民個人信息的；二是履職或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的；三是竊取或者以其他方法非法獲取公民個人信息的。

筆者通過梳理當前司法判例、走訪大型互聯網企業，發現一個有趣的現象，利用爬蟲技術抓取網站數據在互聯網企業技術運用中廣泛存在，出現數據被盜、數據復制等案件發生時，權利主體往往通過民事侵權訴訟尤其是侵犯知識產權、反不正當競爭，但是權利主體對最終結果卻并不滿意，原因訴訟時效長，即便勝訴但造成的損害已經無法彌補，還會出現“劣幣驅逐良幣”的負面示范效應。

事實上，類似的民事案件暴露出很強的刑事案件風險。筆者以微博訴脈脈案為例，分析其中的刑事法律風險。2016年12月30日，全國首例大數據不正當競爭糾紛案在北京知識產權法院二審宣判，根據（2016）京73民終588號終審判決書認定駁回上訴，維持原判，即認定脈脈存在非法抓取、使用新浪微博的用戶信息等四種侵權行為。其中法院認定的第一種行為涉及本節討論的非法獲取計算機信息系統數據罪。終審認定了非法抓取的行為，理由是訴訟雙方在合作已經終止而脈脈仍然有大量微博用戶數據的結果推定，且雙方的辯稱均無法成立。其中被上訴人新浪微博未能提供網絡日志以證明脈脈繞過微博的OpenAPI11接口非法抓取相關信息而不予認定；上訴人脈脈稱通過建立大量微博賬號，模擬正常用戶行為在網頁主站、無線客戶端等進行信息抓取或者購買大量IP 來偽造調用IP來偽造調用IP 來源，通過偽造為正常用戶的請求等手段實現信息抓取，也未提供證據予以作證。

本案以民事判決宣告結束，而事實上，正如訴訟雙方當申請的專家輔助人到庭作證的那樣：互聯網行業獲取數據的方式有OpenAPI等方式合法獲取和采用爬蟲的非法獲取。而網絡爬蟲抓取哪些數據，是以rotbots.txt為依據的，它是一種存放在網站根目錄下的文本文件，告訴網絡爬蟲，此網站中哪些內容可以抓取，哪些內容不能抓取，如果涉及公民個人信息，這就涉及刑法第253條之一非法獲取公民個人信息罪第三款。

該條規定的行為方式有竊取或者其他非法方法，具體本案兩種行為均要求未經同意擅自獲取。竊取等方式包括采取侵入、突破計算機信息安全系統、取得用戶身份的情況下進入獲取等。如果微博網站日志記載了脈脈繞過OpenAPI權限獲取微博用戶職業、教育信息等，符合兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，構成侵犯公民個人信息罪。

事實上，網絡平臺可能面臨的刑事法律風險還包括傳播淫穢物品牟利罪、幫助信息網絡犯罪活動罪、非法利用信息網絡罪等等，筆者基于網絡平臺經營目的合法性、商業競爭等角度，重點只對拒不履行網絡服務管理義務罪等三個罪名進行闡述。

三、風險防控建議

目前各國對網絡空間治理均注重從技術、法律、行業自律等方面多管齊下。

（一）技術防控

網絡平臺承擔著網絡安全管理責任，唯有通過強化技術防控，針對內容分級管理和技術保護的方法才能正確履行好安全管理職責。以騰訊的微信、QQ，依靠人工巡查幾乎不可能完全安全管理任務，而只能主要依靠于關鍵詞監測技術。而就移動電信聯通這樣的網絡平臺而言，他們的短信內容“監管”，可以采取與騰訊微信、QQ一樣的關鍵詞監測技術措施。再比如淘寶，由于信息主要都是“明文”存儲，完全可以通過關鍵詞監測技術，甚至是人工巡查，達到安全管理目的。而但是，他們對于“偽基站”這樣違法犯罪行為，關鍵詞監測技術又是不能適用的，得采取“集中掉網監測”這樣的針對性技術措施。顯然，不同類型的“網絡平臺”必須有其不同的“非法”監測技術，無法“照葫蘆畫瓢”。換言之，技術安全監管措施只能由各個網絡平臺根據自身的技術和業務特點進行開發、建立。這就決定了，網絡平臺的技術安全管理法律規則只能是一種“軟法”。

（二）規則管控

網絡平臺負責信息發布、服務器運維、網絡安全管理等人員層級、權限及數量較多，平臺從業者、下屬職員、外包人員所實施的相關行為均有可能使得網絡平臺承擔單位刑事責任，因此，在平臺本身和具體業務實操人之間應當確立規則，設置防火墻，從而有效防止單位犯罪。

（三）法律制約

明確的法律規范對網絡平臺的日常行為具有指引、評價的作用。毋庸諱言，上文提及的罪名罪狀描述單一，又無相應的司法解釋，司法實踐難以把握。據悉，兩高日前正在共同研究起草《關于辦理網絡犯罪案件適用法律若干問題的解釋》,將針對《刑法修正案（九）》增設的拒不履行網絡安全管理義務罪、非法利用信息網絡罪、幫助信息網絡犯罪活動罪），明確定罪量刑標準和有關法律適用問題。