網絡服務提供者的安全保障義務研究

譚小莉,楊純斌

(1.四川大學法學院，四川成都610000；2.德陽市人民檢察院，四川德陽618000)

我國現行《侵權責任法》對網絡服務提供者侵權責任和安全保障義務制度采用分別立法方式規制,并且對網絡服務提供者安全保障義務缺乏明確規定。伴隨著近年來激增的網絡侵權案件，尤其是一些新型網絡侵權案件，如人肉搜索案、QQ相約自殺案以及網絡侵犯名譽權、隱私權案件，現行侵權法關于網絡服務提供者不作為侵權的規制的缺陷愈加顯露。

學者提出，現實物理場所的基礎安全問題在民法理論中是依靠“安全保障義務”制度加以解決的。[1]網絡侵權本質上也屬于網絡安全問題范疇，為解決網絡空間的基礎安全問題，同時為第三人侵權情況下，判決網絡服務提供者承擔不作為侵權責任提供理論基礎；應將《侵權責任法》所確立的安全保障義務制度涵攝至網絡空間，網絡服務提供者可作為公共場所的管理人或者群眾性活動的組織者，成為安全保障義務制度的適格主體。[2-3]網絡服務提供者作為網絡平臺的經營管理者和利益享有者，由其承擔保障網絡平臺安全的義務在技術上可行、規則上有依；總之，確定網絡服務提供者為保障網絡安全的義務主體，是基于民法中信賴利益、危險控制理論、收益—風險原則和社會效益最大化等原則，綜合考量的結果。[1][3]

“網絡服務提供者的安全保障義務”被提出后，學者不僅闡述了網絡服務提供者承擔網絡安全保障義務的合理性，還重點分析了在網絡空間適用安全保障義務的正當性、網絡安全保障義務的內容[4]，歸納了實踐中網絡服務提供者是否善盡安全保障義務的認定要點。[1-2]其中，安全保障義務的擴展適用理論[5]和網絡服務提供者的社會角色理論[6]，為拓展安全保障義務制度的適用范圍至網絡空間提供了理論支撐，安全保障義務的適用不應受介質的局限，網絡服務提供者履行網絡安全保障義務不會阻礙網絡行業發展，也不會侵害網絡用戶的言論自由和通信秘密。[2]另，網絡安全保障義務責任的認定標準也是學界關注重點，學者強調網絡服務提供者在保障網絡安全方面應盡到合理注意義務。[1-2]綜上，理論界提出并論證網絡服務提供者承擔網絡安全保障義務的合理性，還進一步探討違反網絡安全保障義務責任的認定問題，但缺少對違反網絡安全保障義務責任本身的關注和研究。

一、 《侵權責任法》現行規定的不足

《中華人民共和國侵權責任法》(簡稱《侵權責任法》)第36條、第37條分別對網絡服務提供者(Internet Service Provider,簡稱ISP)侵權責任和安全保障義務制度作了規定。《民法典侵權責任編(草案)》雖在立法上對網絡侵權責任和安全保障義務制度有所完善，如明確ISP的轉通知義務，但仍延續分別立法的做法。立法者并無將網絡服務提供者責任和安全保障義務制度結合起來的打算，分別立法使“網絡服務提供者責任”和“安全保障義務制度”像是兩條在永不相交的平行線。但如果我們去探究它們各自的立法范本和規范目的，會發現我國現行侵權法關于網絡服務提供者不作為侵權責任和安全保障義務制度的規定的滯后性和局限性。

(一)網絡服務提供者不作為侵權責任的落后性及其原因

現行《侵權責任法》第36條第2款和第3款是關于網絡服務提供者不作為侵權責任的規定。據此，ISP僅在“接到被侵權人通知后”或者“知道第三人實施侵權行為后”，未履行必要作為義務并且間接導致損害后果的發生或者擴大，才會為自己的消極不作為承擔侵權責任。因此，網絡服務提供者成立不作為侵權責任①須同時滿足時間和不作為兩個要件。所謂時間要件是指ISP采取措施的時間點在知道或者接到通知后，ISP無需對他人上傳信息的內容合法性進行事先審查；而不作為要件是指ISP未履行采取或者及時采取屏蔽、刪除侵權內容等作為義務。最高人民法院曾在判決中指出“天涯公司(即本文所說的ISP)對其用戶在信息存儲空間中存儲的內容沒有事先審查義務”②，最終判決天涯公司向從文輝承擔侵權賠償責任，是依據天涯公司收到起訴材料后未及時采取有效的補救措施。由此可見，現行侵權法對網絡服務提供者安全保障義務缺乏明確規定③，ISP承擔的是一種“事后止損義務”[1]。

究其原因，主要是受其立法范本《數字千年版權法》(簡稱DMCA)影響，過分注重對ISP利益的保護，而對網絡用戶合理信賴利益保護不足。DMCA訂立時，將ISP按照是否參與內容制作分為兩大類，DMCA僅規范不參與內容制作且不以其名義發布相關信息的那類網絡服務提供者；其中關于網絡服務提供者責任的主要內容可概括為：“紅旗”標準、避風港規則、“通知—取下”程序。[7]即DMCA對網絡服務提供者的版權侵權責任采限制性規定，具有保護ISP利益的明顯傾向性。隨著時代的變化，DMCA的落后性逐漸顯露。

首先，DMCA制定初，其法律定位是僅針對網絡上版權侵權問題的法律規定，但隨著DMCA在世界范圍內獲得認可，它的法律定位已經變為關于網絡服務提供者責任的一般性規定。其次，DMCA制定時尚處Web1.0時代，當時ISP的角色仍以工具性、被動性和中立性為特征。[2]隨著互聯網技術實現巨大的進步和發展，Web2.0時代已經向我們開啟。一方面，ISP的類型已變得多樣化，包括但不限于提供網絡內容服務、空間服務、鏈接服務、接入服務等多類型的綜合性網絡服務提供者。相比之下，我國侵權法所規定的ISP的外延遠大于DMCA所規定的ISP的外延。另一方面，互聯網上信息交流的主導權已逐漸轉移到網絡用戶手中。ISP的角色定位也開始發生相應的轉變：開始轉變為網絡用戶提供信息交流平臺并保障該平臺的安全、穩定運行。根據社會角色理論，ISP應“根據角色定位來實現社會期待、履行義務并承擔特定的社會責任”[6]。綜上，時代的變化和發展，使ISP的類型得到巨大的豐富和發展，ISP被期望和要求去承擔更多的社會責任和作為義務，我國侵權法關于網絡服務提供者不作為侵權責任的規定已顯露不足。

(二)安全保障義務制度的局限性分析

普遍認為，德國的交往安全義務是我國安全保障義務的法理基礎。但在德國，交往安全義務實際上通過“枯樹案”(1902)、“道路撒鹽案”(1903)等一系列司法判例形成。在“枯樹案”中，一顆枯樹砸傷原告。原告認為該枯樹位于公共道路旁邊，其管理人應盡到勤勉忠實的管理人的注意義務。即其應采取措施以避免和防止因枯樹折斷而砸傷行人，但枯樹管理人未盡到此項管理人義務。于是他將枯樹管理人作為被告訴至法院，并要求枯樹管理人賠償損失。在“道路撒鹽案”中，原告在一塊石階上跌倒。原告認為該石階屬于公共交通的組成部分，在其表面有積雪的情況下，區政府有義務組織人員對路面進行清掃工作。但區政府并沒有及時有效的履行此項清掃義務，于是他起訴該區政府要求賠償其損害。不難發現，這些案件有一個共同點即受害人遭受損害與義務人的消極不作為之間存在間接因果關系。

正是通過上述判例，德國法院才實現對早期羅馬法中“不作為不允許請求賠償”法理論的突破，并且提出“交往安全義務”。雖然，最開始它被廣泛適用于道路交通安全領域，但后來，它又被擴展適用于其他社會交往領域中。[8]153交往安全義務以危險為基礎構建，它的誕生實現了把危險責任的思想移植到過錯責任之中，使不作為侵權責任認定困難的問題得到解決，也為間接侵權確立了責任根據。

在我國，安全保障義務主要是由《人身損害賠償司法解釋》第6條以及《侵權責任法》第37條這兩個條文規定的。根據規定我們可以明確兩點：首先，我國傳統安全保障義務制度的適用對象限于群眾性活動的組織者、公共場所的管理人兩類主體。其次，其適用介質限于物理性空間。但我們忽視了，在德國，交往安全義務的適用并不受是物理空間還是網絡空間的限制。它確立只基于兩項事實：開啟、參與社會交往和給他人權益帶來潛在的危險[1]。基于此，學者指出，將安全保障義務的適用范圍限定于兩種特定類型的侵權的做法并不合適。[5]故安全保障義務制度的適用不應該受是物理性空間還是虛擬性空間的限制，其適用的侵權類型理應得到擴展。

二、 明確網絡服務提供者安全保障義務的正當性及其認定

對現行《侵權責任法》關于網絡服務提供者不作為侵權責任和安全保障義務制度的規定的不足進行分析，有助于解決安全保障義務在網絡空間的適用瓶頸。但要在侵權法中明確網絡安全保障義務是網絡服務提供者的法定義務，仍有必要對網絡服務提供者承擔保障網絡安全責任的正當性加以論證。

(一)網絡服務提供者負擔安全保障義務的正當性分析

在對ISP是否能夠成為安全保障義務的適格主體進行分析時，有學者們認為：關鍵點在于“虛擬空間能否被視為公共場所”[3]；應關注在網絡空間中適用后“安全保障義務是否能發揮其應有的制度價值”[1]；可從網絡服務提供者的社會角色加以論證。筆者認為，可從現實需要出發，結合理論和實踐成果來分析ISP承擔網絡安全保障義務的必要性。

1.網絡侵權問題亟待解決

網絡安全、侵權問題是伴隨著網絡信息產業高速發展產生的，并且近幾年網絡安全、侵權形勢愈發嚴峻。據統計，近年來每年都有重大網絡安全事件發生，中國也是深受其擾的國家之一。為應對網絡安全、侵權問題，我國已在公法層面作出努力：《中華人民共和國網絡安全法》已經通過并正式施行，該法以保護國家安全和網絡安全以及網絡用戶的合法權益為目的，規定ISP和國家的網絡安全保護義務，并規定ISP不履行網絡安全保護義務，將受到責令改正、停業整頓以及罰款等行政處罰。據此，我國已在公法層面確立了ISP安全保障義務。

但僅在公法層面對國家和ISP課以網絡安全保障義務是否可以解決網絡安全問題及由此引發的侵權糾紛？有人會說，《網絡安全法》才施行不久，還不能完全看出其對于解決網絡安全問題的實際功效，故暫時不能回答該問題。筆者認為，目前的網絡安全問題不僅存在于公法層面，它亦滲透在私法領域，所以僅依靠公法層面的《網絡安全法》，不足以解決網絡安全問題以及由此引發的侵權糾紛，還須有私法層面的配合。另，私法領域的網絡侵權案件，顯然不能通過適用《網絡安全法》得到解決。因此，如果在私法上明確ISP的安全保障義務，不僅可以要求ISP采取事前預防網絡侵權行為發生的措施以達到減少網絡侵權事件發生的效果，還能據此判定ISP在特定的網絡民事侵權案件中的消極不作為有無違反安全保障義務以及應否承擔相應的侵權責任。

2.網絡服務提供者承擔安全保障義務的理論和實踐支撐

首先，安全保障義務的實質是一種危險防免義務[5]，它的適用對于介質并無特殊要求。其次，網絡空間雖具有虛擬性、無形性等特點，但其作為社會生活的重要組成部分，不僅是進行社會交往的場所，而且其中同樣存在對他人財產、人身權益的潛在危險。因此，作為開啟和維持網絡空間交往的ISP理應承擔網絡安全保障義務。

德國法院在司法實務中也對網絡服務提供者責任進行了完善，《遠程媒介法》和《遠程通訊法》中有關于網絡服務提供者責任的規定，《遠程媒介法》的第7條第2款明確規定：對于他人上傳的內容，ISP沒有主動審查的義務。但是，德國各個法院在審理相關案件時，對于ISP是否負有包括主動審查義務在內的安全保障義務給出的觀點，大相徑庭。德國聯邦最高法院在這個問題上采取了比較中立的立場。根據其觀點，可以把ISP的網絡安全保障義務分為兩個部分來解釋和呈現。首先，ISP對正在發生或者已經發生的第三人網絡侵權行為有制止和排除的義務。其次，對于在將來具有發生可能性的網絡侵權，ISP負有面向未來的審查的義務，即ISP有采取必要措施監測和防控危險及損害再次發生的義務。[2]據此，德國法關于網絡服務提供者責任實現了由“ISP對他人上傳的信息不負有主動地去審查的義務”到“不僅負有消除正在發生的侵害的義務，而且負有采取預防此類侵害再次發生的措施的義務”的發展。

(二)判定網絡服務提供者違反安全保障義務的參考因素

網絡服務提供者承擔網絡安全保障義務既是現實的需要，也有理論的支撐。在司法實踐中，判斷網絡服務提供者是否違反網絡安全保障義務，是其應否承擔安全保障義務責任的前提條件。那么，判定網絡服務提供者是否盡到安全保障義務有考量哪些因素呢？

1.網絡服務提供者盡安全保障義務是否技術上可行且經濟上合理

一般認為，ISP的注意標準應高于普通個人，應盡到“一個理性的、謹慎的、具有網絡專業知識的網絡服務提供商”的注意；故ISP所應盡到的注意義務，客觀上應與其具備的專業技術能力和基本法律知識相匹配，如果ISP采取某項安全保障措施在技術上已經成熟，如關鍵字過濾技術，便可以要求其采取這一措施。[2]另，考慮到網絡科技的發展如坂上走丸，因此，對ISP在保障網絡安全方面的技術要求應采納“現有時點”的標準[1]，即個體網絡服務提供者只需盡到與自己所處時代網絡行業所擁有的技術水平相當的注意義務即可。如2017年勒索病毒出現時，它在ISP的防病毒庫中是不存在，故ISP對當時爆發的WannaCry勒索病毒攻擊，給網絡用戶造成的損失無須承擔不作為侵權責任。但隨著防病毒庫的更新，ISP也應對防病毒軟件進行更新，以監測、防范和阻止此病毒樣本進行二次攻擊。總之，判斷ISP是否違反安全保障義務，關鍵要看其采取此項安全保障措施是否在技術上具有可行性；若技術上可行性成立，則意味著采取此項安全保障措施的技術成熟，ISP未盡到此項安全保障措施就違反安全保障義務。

根據風險—收益相一致原則，要求ISP采取有關網絡安全保障性措施時，應考慮其從網絡中賺取的收益和風險防范措施的成本的比例關系，使它們保持在相對合理的比例中。防范風險措施的成本費用越高，越不能苛求其實施此項網絡安全保障措施；而要求網絡用戶注冊并繳納費用的ISP應承擔比無須注冊、無須繳納費用的ISP更高的安全保障義務。需要明確的是，ISP不直接向網絡用戶收取使用費、服務費并不意味著可免除安全保障義務。因為ISP還可通過向廣告商收取廣告費等賺取間接的經濟性收益。因此，若ISP取某項風險控制措施的經濟成本合理，但其未采取，就屬于未盡到安全保障義務。

2.網絡服務提供者盡安全保障義務是否屬于網絡用戶的合理期待

不可否認，“進入某空間領域的社會成員對該場所的安全有合理的信賴期待，要對社會成員這一合理的信賴利益進行必要的保護”[3]，是安全保障義務產生的原因。同理，身處網絡時代的每一個網民，對于正常的網絡使用行為，也有同樣的信賴期待。雖然ISP應采取措施保護網絡用戶的期待利益，但是從法律上強加給網絡服務提供者的安全保障義務，應止步于其采取的網絡安全保護措施滿足網絡用戶的合理期待，而不能要求其采取網絡安全保障措施去滿足網絡用戶的不合理期待。如不能苛求新浪微博采取侵權防范措施以保證其平臺上完全不出現第三人發表有損他人人格權益的語言文字的現象。

一方面，網絡安全保障措施當且僅當滿足網絡用戶對于網絡安全合理的信賴期待；另一方面，也應兼顧ISP對于網絡用戶自我保護能力合理的信賴期待。具體來講，作為潛在的受害人的網絡用戶如果對于網絡中的某項危險具有認識和防范能力，那么ISP就有合理的理由相信網絡用戶會采取適當的措施來避免和防止損害的發生。不論網絡用戶是否因此遭受損害，ISP均可免除責任。[1]此外，ISP對具有較弱危險認識能力和危險控制能力的人要負擔比一般的正常的成年人更重的安全保障義務。如含有色情、暴力等內容的網站，應在網絡用戶登錄時向其告知網站內容，并注明“18歲以下禁止觀看”。

綜上，判斷ISP是否違反網絡安全保障義務以及應否承擔不作為侵權責任時，應從兩方主體入手，一方面要看要求ISP采取某項安全保障措施是否在技術上可行，在經濟成本上合理；另一方面要看網絡用戶要求ISP采取的安全保障措施是否是出于其對網絡安全享有的合理的信賴期待，是否有違網絡服務提供者對網絡用戶自我保護能力的合理期待。

三、 明確網絡服務提供者安全保障義務的法律建議

為應對網絡安全、侵權問題，將現行侵權法下的安全保障義務擴張適用至網絡空間具有必要性，且理論界也已掃清在網絡空間適用安全保障義務的法理障礙。故我國在立法層面也應做出改變以適應理論進步，即在侵權法中明確網絡服務提供者的安全保障義務并厘清網絡服務提供者違反安全保障義務的責任性質。

(一)網絡安全保障義務法定化的路徑

若可以直接對《侵權責任法》的條文進行修改，筆者認為有兩條路徑可行。第一條路徑是直接刪除《侵權責任法》第36條的內容并改為由其他條文來規定ISP以及網絡用戶的網絡侵權責任。具體操作如下：第36條第1款規定的網絡用戶和ISP的單獨作為侵權的責任直接由該法的第6條來調整規范；第2款和第3款規定的ISP的不作為侵權責任納入該法第37條的調整范圍之內，明確把網絡空間納入公共場所的范圍內，并確定網絡服務提供者在安全保障義務制度中的義務主體地位。理由是：根據《侵權責任法》的條文釋義可知，該法第6條中的“行為人”包含積極作為的行為人以及消極不作為的行為人兩類，④即該條文是對過錯侵權的一般性規定和對作為侵權和不作為侵權的統一性規定。而安全保障義務作為一種作為義務，只有當安全保障義務人違反作為義務時才會承擔相應的責任。它的產生是為解決與作為侵權相對應的不作為侵權的責任認定的問題的。[5]所以《侵權責任法》上規定的安全保障義務條款其實是對傳統不作為侵權中作為義務來源的補充和擴展，其地位相當于該法第6條的附屬性條款。第二條路徑是直接在《侵權責任法》第36條的網絡侵權責任中明確規定網絡服務提供者的安全保障義務。

在不能直接對《侵權責任法》的條文進行修改時，網絡服務提供者的安全保障義務還可以通過司法解釋的方式加以確立。操作如下：第一，將《侵權責任法》中第36條的第2款所規定的通知規則下的侵權責任的適用程序由“通知—取下”程序修改完善為“通知—取下—掃描”程序，即ISP不僅負有消除和制止正在發生的侵害的義務，而且負有采取預防和避免此類侵害再次發生的措施的義務。第二，明確該法條的第3款中“知道”包括了網絡服務提供者“明知”和“應知”這兩種主觀狀態。《侵權責任法》的草案在審議修改過程中曾反復采用“明知”“知道”和“知道或應知道”等不同方式的表述，但是最終在條文中采用了“知道”一詞。⑤一直以來學界對于“知道”的內涵應作何解釋爭議不斷。筆者認為“知道”應解釋為包括“明知”和“應知”兩種主觀狀態，從立法過程來看，立法者選擇法律用語的過程體現了對“知道或應知道”的傾向性，最終在《侵權責任法》中采用“知道”可能是為了法條的簡潔，立法之初未預見會產生如此大的爭議，而現《民法典侵權責任編(草案)》采用的就是“知道或應知道”的表述。第三，將該法第37條中的“公共場所”解釋為包括“網絡空間”這一虛擬性空間。

(二)網絡服務提供者違反安全保障義務應承擔“特殊的補充責任”

根據《侵權責任法》第37條第2款之規定，第三人侵權時安全保障義務人違反安全保障義務承擔之責任乃“相應的補償責任”⑥。說明安全保障義務人享有順位利益并屬于過錯責任范疇且其承擔責任的數額與其過錯程度相當。首先，順位利益是指在第三人侵權致害時，承擔侵權賠償責任的主體(即第三人和安全保障義務人)在對外承擔責任上有順序的先后之分。其次，過錯責任是指安全保障義務人承擔侵權責任，必須滿足安全保障義務人在主觀上具有可以歸責的事由要件。最后，所謂與過錯相應的責任數額，是指安全保障義務人承擔侵權賠償責任的數額并不是受害人在加害人處不能得到賠付以外的全部數額，它僅限于與安全保障義務人過錯程度相當范圍內的賠付數額。[9]297-298

我們應當照顧到網絡侵權的特殊性，對第三人侵權情況下網絡服務提供者所承擔的補充責任做出相應的改變。首先，網絡侵權具有以下特點：其一，直接責任人具有不特定性和隱秘性，難于查找，因而可能發生受害人向其追償困難的情形。其二，在網絡中侵權信息的傳播速度較快、影響范圍較大，因而可能對相關受害人造成更大的損害。其三，在第三人實施網絡侵權行為時，網絡服務提供者的消極不作為往往會對損害結果的發生或擴大產生更加強大的助長作用。[10]210-211鑒于此，應讓ISP在第三人實施網絡侵權致害時承擔一種特殊的補充責任。即在第三人致害的網絡侵權中，讓有過錯的網絡服務提供者對外不享有順位利益和責任數額的限制。受害人可以選擇直接向有過錯的ISP請求賠償損失，并且有權要求網絡服務提供者對其所遭受的全部損失予以賠償，網絡服務提供者不得主張其享有順位利益和有責任數額限制的保護。但是網絡服務提供者向受害人進行賠償后即可以按照其與直接侵權責任人的內部責任份額向直接責任人追償。

綜上，可通過以上兩種方式在侵權法中明確網絡服務提供者的安全保障義務。另，考慮到網絡侵權的特點，在第三人實施網絡侵權致害時，讓未盡到安全保障義務的網絡服務提供者承擔一種特殊的補充責任。這不僅可以彌補我國侵權法關于網絡服務提供者不作為侵權責任規定的滯后性，還可以讓安全保障義務制度在網絡空間中發揮出應有的制度價值。

結語

總之，對網絡服務提供者課以安全保障法定義務，不僅沒有理論上的障礙，且有助于解決網絡安全問題，保護網絡用戶的合理信賴利益。本文不管是論證網絡服務提供者承擔安全保障義務的正當性，還是分析判斷網絡服務提供者違反安全保障義務的參考因素，亦或是探討網絡安全保障義務法定化的路徑和違反網絡安全保障義務責任的性質，最終目的都是想架構起網絡安全保障義務制度。

注 釋：

①不作為的侵權行為，是指依據法律法規規定、合同約定、先前行為等對他人負有的某種作為義務，未盡到該作為義務而致他人損害的行為。參見王利明《侵權責任法》，中國人民大學出版社2016年版，第12頁。

②中華人民共和國最高人民法院(2012)民提字第16號民事判決書。

③讓ISP承擔網絡安全保障義務則意味著，ISP負有保障網絡安全以及穩定運行的法定義務。比如，ISP在未發生網絡侵權行為之前必須采取必要的預防措施，如利用關鍵詞過濾技術查找、監控侵權內容，監測并記錄網絡運行的狀態，采取措施防范計算機病毒以及網絡攻擊等。

④《〈侵權責任法〉釋義第六條》，參見https://www.baidu.com/link?url=5-ljHoYPEs3cG8lYoeGsoM9PizRLCN8EG78mEy-j-GH6XciIGb_j38ey_2DVk4S7yPErd2sJlJ4nYKl3nmpIY91bFTNvC8CZhykcmtkRokq&wd=&eqid=edb808d200019754000000

035acb2254。

⑤《侵權責任法(草案)》二審稿使用的“明知”，三審稿使用的“知道”，四審稿使用的“知道或應知道”，最終《侵權責任法》采用了“知道”；現《民法典侵權責任編(草案)》采用的是“知道或應知道”。

⑥“只有在受害人無法從直接責任人那里獲得救濟的情況下，補充責任人才承擔責任”“《侵權責任法》上的補充責任大多是相應的補充責任，補充責任人的責任范圍一般需要根據補充責任人的過錯程度與原因力大小來確定。”參見王利明《侵權責任法》，中國人民大學出版社2016年版，第16～17頁。