論互聯網平臺的犯罪控制義務
2022-05-31 00:19:07單勇
現代法學 2022年3期
摘 要:在傳統犯罪和網絡犯罪此消彼長的背景下,新型網絡犯罪寄生于互聯網平臺運營的平臺生態系統之中。鑒于平臺承擔保障網絡安全的主體責任、負有防范用戶被害的道德義務及具備獨特的治理優勢,“基于平臺的治理”隨之興起。犯罪之平臺治理不僅有充分的事實和政策基礎,還有其獨特的規范依據。《互聯網信息服務管理辦法(修訂草案征求意見稿)》《反電信網絡詐騙法(草案)》等法規范在概括性的安全保護義務基礎上,為平臺設定了專門的犯罪控制義務,要求平臺針對利用其服務實施的違法犯罪,履行以主動控制和響應控制為內涵、以犯罪風險規避為目標、以非法內容審查為路徑、以勤勉盡責為標準的法定注意義務。由此,平臺對犯罪控制義務的勤勉盡責履行成為平臺治理的基本實現路徑。
關鍵詞:網絡犯罪;犯罪治理;平臺治理;犯罪控制義務;勤勉盡責標準
中圖分類號:DF611? 文獻標志碼:A
DOI:10.3969/j.issn.1001-2397.2022.03.05 開放科學(資源服務)標識碼(OSID):
傳統犯罪與網絡犯罪此消彼長的結構性變化呼喚犯罪治理從“在場的組織化調控”向“在線的組織化調控”①轉型,而轉型的關鍵在于“互聯網平臺”。②在Web3.0時代,平臺重塑社會結構,成為泛在鏈接、信息匯聚、在線整合的組織樞紐,構成了連接網絡空間與現實空間虛實交織的雙層社會的“組織通道”。在雙層社會中,“在線的組織化調控”表現為基于平臺的犯罪治理。平臺不僅作為網絡中介(internet intermediary)經營數字經濟,更“成為一種重塑社會結構的新型規制者(new governor)”。[See Kate Klonick, The New Governors:the People, Rules, and Processes Governing Online Speech, 131 Harvard Law Review 1598, 1598-1670 (2018).]以平臺為代表的網絡服務提供者不僅在個案偵查環節協助公安執法,還在平臺生態系統中在線審查用戶發布的非法信息內容、在線防控不法分子利用平臺服務實施違法犯罪。面對風靡云蒸的平臺治理實踐,互聯網平臺參與的犯罪治理成為亟待研討的犯罪學現象。對此,恐怕不能簡單以平臺履行社會責任的觀點一言以蔽之。互聯網平臺之所以成為“新型規制者”,與國家為其設定的犯罪控制義務息息相關。犯罪之平臺治理的崛起不僅有實踐支撐和政策基礎,還有其獨特的規范依據,表現為平臺對犯罪控制義務的響應、遵循和履行。
一、犯罪控制義務的立法形成
在傳統上,犯罪控制義務屬于法定的國家保護義務,其義務主體指向國家,對應個人不受犯罪侵害的權利。“國家保護義務是基本權利的保護義務”[王貴松:《行政裁量權收縮的法理基礎——職權職責義務化的轉換依據》,載《北大法律評論》2009年第10卷·第2輯,第368頁。],在《憲法》《刑法》《治安管理處罰法》中有著明確的規范性依據。[《憲法》第28條規定:“國家維護社會秩序,鎮壓叛國和其他危害國家安全的犯罪活動,制裁危害社會治安、破壞社會主義經濟和其他犯罪的活動,懲辦和改造犯罪分子。”該條款明確了國家的犯罪控制職責。《刑法》《治安管理處罰法》關于“懲罰違法犯罪、保護人民”的條款亦是國家保護義務和犯罪控制職責的體現。]對于基本權利的國家保護,通過國家履行犯罪控制職責或義務的方式保護國民免受犯罪侵害。隨著人類步入“平臺社會”[阿姆斯特丹大學José Dijck教授提出“平臺社會”理論,她認為,互聯網平臺已滲透至社會的核心,繞過傳統管理制度,改變了社會和公民行為,重塑著國民生活的社會結構。See José van Dijck, Thomas Poell and Martijn de Waal, The Platform Society: Public Values in a Connective World, Oxford University Press, 2018.],犯罪控制義務的主體從國家擴展至互聯網平臺。具有巨大規模效應和社會動員能力的社交、購物、支付、內容等平臺推動了社會的再組織化和再中心化轉型,個體的數字化生存無不依附于平臺,國家治理須臾離不開平臺的技術能力和組織能力。作為新型數字基礎設施,平臺實現了網絡空間與現實空間的虛實交融,在最大范圍、最強程度上整合了雙層社會。具有規模效應和網絡效應的平臺成為國家施展組織化調控的信息中樞和組織通道,平臺的“主體責任”[2018年4月,習近平總書記在全國網絡安全和信息化工作會議上強調:“要壓實互聯網企業的主體責任,決不能讓互聯網成為傳播有害信息、造謠生事的平臺。”2021年4月,習近平總書記對打擊治理電信網絡詐騙犯罪工作作出重要指示,強調全面落實金融、通信、互聯網等行業監管主體責任。2019年12月,國家互聯網信息辦公室出臺的《網絡信息內容生態治理規定》第8條規定:“網絡信息內容服務平臺應當履行信息內容管理主體責任。”]被政策文件和法律法規反復強調,平臺被視為雙層社會的“看門人”(gatekeeper),即“在國家能力有限的情況下有能力修正他人行為的非國家機構,其通過流通渠道控制和內容審查等形式防范或減少非法信息的傳播。”[See Emily B. Laidlaw, A Framework for Identifying Internet Information Gatekeeper, 24 International Review of Law, Computers & Technology 263, 263-276 (2010).]主體責任的承擔和看門人的定位型塑出“國家管平臺、平臺管用戶”的治理模式,新模式從治理邏輯上有別于國家直接干預違法個體的傳統策略。
當前,基于平臺的治理實踐極為豐富,尤其是超大型互聯網平臺均深度參與了網絡犯罪治理。據調研,阿里巴巴集團每年向公安機關移送的刑事案件線索超過一萬條。“截至2021年,騰訊公司協助公安機關打擊網絡黑灰產涉案金額超800億元;識別惡意網站、惡意APP、騷擾詐騙電話累計4.09億、0.94億、995.99萬。”[
參見《騰訊構筑全鏈式“防詐墻”,助力政企機構共同反詐》,搜狐網2021年4月27日,https://www.sohu.com/a/463315316_637282。]字節跳動公司與公安機關合作,邀請上萬家公安機關新媒體入駐今日頭條和抖音短視頻平臺,利用平臺開展全民線上反詐宣傳和被害預防。上述實踐的規范性依據在于互聯網平臺承擔的犯罪控制義務,其最初蘊涵于概括式、綜合性的“安全保護義務”[《網絡安全法》第九條要求網絡運營者履行網絡安全保護義務。]中,而后逐漸形成了類型化、專門化的犯罪控制義務。
(一)以綜合性的安全保護義務為起點
為保障公共安全、網絡安全及平臺用戶的合法權益,國內外法律為平臺設定了系統化的安全保護義務,包括內容審查義務、協助執法義務、信息保存義務、數據報告義務、個人信息保護義務等。相關法規范雖未直接列明犯罪控制義務,但在體系化的安全保護義務中蘊涵著豐富的犯罪控制內涵。
以被動回應的協助執法義務為例,2020年12月,歐盟公布的《數字服務法(草案)》(Digital Service Act,簡稱DSA)第8條和第9條規定了平臺的協助執法義務,即網絡服務提供者有義務配合司法或行政機關依法下達的“對非法內容采取行動的指令”和“信息提供指令”。[See Digital Service Act, §8, 9 (2020).]我國《反恐怖主義法》第18條、《網絡安全法》第28條、《數據安全法》第35條均規定了平臺協助公安機關偵查犯罪的義務。協助執法義務指向公安機關偵破犯罪的平臺協助,其本質在于平臺回應和配合執法機關的犯罪控制。
以主動介入的內容審查義務為例,2017年德國通過的《改進社交網絡中法律執行的法案》(以下簡稱《網絡執行法》)、2021年5月公布的英國《網絡安全法(草案)》規定了網絡服務商防范非法內容的安全保護義務。該《網絡安全法(草案)》第5條規定的安全保護義務要求網絡服務商盡量減少違法內容的存在,盡量減少違法內容存在的時間長度,盡量控制違法內容的傳播,盡快刪除被舉報的違法內容。[See Draft Online Safety Bill, §5 (2021).]DSA第三章為平臺設定了“維護透明且安全的在線環境應盡的勤勉盡責義務”,簡稱“勤勉盡責義務”(Due diligence obligations),一改此前以“通知—刪除”為內核的平臺責任,要求平臺承擔對非法內容主動審查的主體責任。我國《網絡安全法》第47條、新修訂的《未成年人保護法》第80條第2款亦規定了網絡服務提供者的內容審核義務。平臺對非法內容的主動審查和積極處置不僅能防范非法信息的在線傳播,還起到預防恐怖主義犯罪、網絡詐騙等違法犯罪的治理功效。
(二)走向專門化的犯罪控制義務
隨著新型網絡犯罪的挑戰愈發嚴峻,為全面落實互聯網平臺在網絡犯罪治理中的主體責任,我國相關立法開始出現類型化和專門化的犯罪控制義務。2021年1月,國家網信辦、工信部及公安部聯合起草的《互聯網信息服務管理辦法(修訂草案征求意見稿)》(以下簡稱《征求意見稿》)第21條分兩款規定了平臺的犯罪控制義務。該條第1款規定:“互聯網服務提供者應當采取技術措施和其他必要措施,防范、發現、制止所提供的服務被用于實施違法犯罪。……互聯網服務提供者發現網絡違法犯罪行為,應當保存有關記錄,并向網信部門、電信主管部門、公安機關報告。”第2款規定:“網信部門、電信主管部門、公安機關等有關主管部門發現互聯網信息服務提供者存在違反真實身份查驗要求的行為或者其他網絡違法犯罪行為,應當要求互聯網信息服務提供者采取消除、制止等處置措施,停止相關服務,保存有關記錄,并向網信部門、電信主管部門、公安機關報告。”《征求意見稿》第52條將“互聯網信息服務”界定為“為用戶提供互聯網信息發布和應用平臺,包括且不限于……互聯網服務”,故而第21條通過犯罪控制義務確立了平臺作為數字社會“看門人”的主體定位。《征求意見稿》第42條規定了未有效履行犯罪控制義務的平臺責任,即“互聯網服務提供者違反本辦法第二十一條規定的,由網信部門、電信主管部門、公安機關依據各自職責給予警告,責令限期改正,沒收違法所得;拒不改正或者情節嚴重的,處10萬元以上50萬元以下罰款,并可以責令暫停相關業務、停業整頓、由原發證機關吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員,處1萬元以上10萬元以下罰款。”實際上,履行該義務不力的法律后果遠非第42條之行政責任,《刑法》第286條之一“拒不履行信息網絡安全管理義務罪”對網絡服務提供者拒不履行網絡安全管理義務達到情節嚴重的甚至要追究刑事責任。
2021年10月,提請全國人大常委會審議的《中華人民共和國反電信網絡詐騙法(草案)》(以下簡稱《反電詐法(草案)》)以“第四章互聯網治理”的6個條文為互聯網服務提供者(以互聯網平臺為代表)設定了體系化的反電詐犯罪控制義務。《反電詐法(草案)》第18條為互聯網服務提供者設定網絡實名制的審核義務;第19條設定了針對異常賬戶和涉案關聯賬號的處置義務;第20條設定了針對涉詐移動互聯網應用程序的監測義務;第21條設定了針對互聯網域名的核驗義務、記錄留存義務和溯源義務;第22條設定了針對涉詐黑灰產業的監測防范義務;第23條第1款為被動的協助執法義務,第2款為主動的可疑線索識別和移送義務,該條款的立法思路與《征求意見稿》第21條存在異曲同工之處。
此外,2021年施行的新版《未成年人保護法》增設了網絡服務提供者的犯罪控制義務。該法第80條第3款規定,“網絡服務提供者發現用戶利用其網絡服務對未成年人實施違法犯罪行為的,應當立即停止向該用戶提供網絡服務,保存有關記錄,并向公安機關報告。”該條款明確了平臺對用戶實施以未成年人為侵害對象的違法犯罪具有控制義務。2020年3月施行的《網絡信息內容生態治理規定》第10條規定,“網絡信息內容服務平臺不得傳播本規定第六條規定的信息,應當防范和抵制傳播本規定第七條規定的信息。”該條款為平臺針對用戶傳播非法信息的違法犯罪設定控制義務。2022年3月施行的《互聯網信息服務算法推薦管理規定》第9條規定:“算法推薦服務提供者應當加強信息安全管理,建立健全用于識別違法和不良信息的特征庫,完善入庫標準、規則和程序。發現未作顯著標識的算法生成合成信息的,應當作出顯著標識后,方可繼續傳輸。”該條款要求以算法實現對非法信息內容的技術反制,從而為算法推薦服務提供者(平臺的另一重身份)設定相應的犯罪控制義務。
可以預見,在未來仍將出現為互聯網平臺設定和強化犯罪控制義務的不同位階的法規范,這些法規范將犯罪控制義務從綜合性的安全保護義務中抽離出來予以專門設定,為犯罪之平臺治理提供了規范性依據。實際上,犯罪控制義務的立法形成背后有著深刻的正當性理由,對正當性理由的展開有助于從更廣闊的社會變遷與治理變革視野探究犯罪控制義務法定化的成因。
二、平臺承擔犯罪控制義務的正當性理由
自人類步入虛實交融的數字社會,犯罪治理的底層邏輯從國家直接干預違法個體轉向國家通過平臺對用戶的間接治理,由國家、平臺、用戶三方耦合的數字科層制日漸成型。平臺構成了將法律落實于治理實踐、將國家權力延伸至平臺生態系統的組織通道。平臺對安全保護義務和犯罪控制義務的履行成為“國家管平臺、平臺管用戶”策略實現的法治路徑。具言之,平臺承擔犯罪控制義務的正當性理由如下。
(一)違法犯罪寄生于平臺生態系統
如今,我國總體的犯罪態勢發生了從“城市吸引犯罪”向“網絡吸引犯罪”的結構性變化。隨著“平臺成為以實現用戶間的組織、交互為目的的數字基礎設施”[
See José van Dijck, Thomas Poell and Martijn de Waal, The Platform Society, Oxford University Press, 2018, p.9.],網絡空間被各類平臺生態系統再組織化和再中心化,平臺生態系統成為數字社會中人類活動的新場域,“網絡吸引犯罪”的實質在于犯罪是一種平臺現象。
一方面,“網絡中的犯罪”可解讀為“平臺內的犯罪”。絕大多數犯罪人均具有社交、購物、支付、出行、金融等平臺的用戶身份,其信息流、行為流、資金流、交易流、物流發生于平臺生態系統,犯罪團伙成員之間、涉案法人之間、犯罪人與被害人之間的在線差異交往均依托于特定平臺關系,網絡詐騙、網絡賭博、網絡傳銷等違法活動均寄生于平臺服務之中。
另一方面,大多數“現實中的犯罪”可視為“與平臺有關的犯罪”。絕大多數犯罪人均具有某一個或幾個平臺的用戶身份,無論是網絡中的違法還是現實中的犯罪均留有相當數量的數字印跡,平臺生態系統或是犯罪的發生空間,或為追查線索提供不可或缺的必要條件。即便是盜竊、搶劫等傳統犯罪在偵破環節也不可避免要從平臺生態系統中找尋案件線索;即使是從不使用社交網絡和智能設備的人也不得不與互聯網平臺的用戶接觸,從而被間接納入平臺生態系統。
可見,無論“平臺內的犯罪”還是“與平臺有關的犯罪”均系一種平臺現象,平臺生態系統實際構成了犯罪治理的主陣地和最前沿。作為平臺生態系統的創建者和運營者,互聯網平臺獲取了巨大的經濟利益和海量的數據資源,成長為對用戶具有支配地位的“超級權力體”[樊鵬:《社會運動中的新技術應用及其政治影響》,載《中央社會主義學院學報》2019年第6期,第25頁。],故而由互聯網平臺防范、發現、制止寄生于平臺生態系統中的違法犯罪具有充分必要性。
(二)平臺負有防范用戶被害的道德義務
道德的目的在于惡的最小化和善的最大化。[See David Steinberg, The Multidisciplinary Nature of Morality and Applied Ethics, Springer, 2020, p.127-137.]兼具法律主體和道德主體身份的企業在營利與守法原則外,還須遵循三個基本道德原則。其一,危害規避原則,即企業應避免造成不必要的社會危害;其二,公平原則,企業的所有行為都應是公平的;其三,人權原則,即企業應尊重人權。[See James Fieser, Do Businesses Have Moral Obligations beyond What the Law Requires? 15 Journal of Business Ethics 457, 457-468 (1996).]道德原則對于平臺型企業同樣適用,與犯罪控制義務聯系最緊密的莫過于危害規避原則。危害規避原則成為平臺承擔犯罪控制義務的道德根基,其要義在于平臺負有保護用戶合法權益的道德責任,以避免用戶在接受平臺服務的過程中遭受犯罪侵害。危害規避的道德原則派生出平臺的消極道德義務和積極道德義務。
其一,平臺的消極道德義務要求平臺不作惡、不損害用戶的合法權益。在“用戶即數據”“用戶即商品”的商業模式下,作為數據控制者的平臺與作為數據主體的億萬用戶之間的平臺關系不應僅限于合同關系,而應更具有實質意義上的“數據信托”[See J. M. Balkin, Information Fiduciaries and the First Amendment, 49 UCDL Review 1183, 1183 (2015).](Information Fiduciary)關系。耶魯大學法學院Jack M.Balkin教授認為,平臺作為信息受托人使用個人信息應遵守嚴格的“信托義務”(Fiduciary Duty),以委托人利益為核心在合理范圍內使用個人信息,不得將個人信息用于損害委托人權益的活動。[See J. Litman, Information Privacy/ Information Property, 52 Stanford Law Review 1283, 1283-1313 (2000).]平臺作為信息受托人應承擔對用戶的保密義務、注意義務與忠誠義務。[See J. M. Balkin, The Fiduciary Model of Privacy, 134 Harvard Law Review Forum 11, 11-33 (2020).]消極道德義務是社會對平臺的最低限度的道德要求,也是平臺勤勉盡責履行積極道德義務的基礎。
其二,平臺的積極道德義務要求平臺承擔起平臺生態系統運營者的主體責任,防范不法分子利用用戶身份和平臺服務從事網絡黑灰產業、傳播非法信息、實施網絡犯罪等違法活動,保障用戶的人身、財產、人格等權益不受犯罪侵害。以非法內容審查為例,盡管為網絡色情、網絡賭博等黑產引流的非法信息在平臺生態系統中確有一定受眾,這些受眾的流量對平臺意味著廣告收入;但任何損害國家安全、公共利益、國民權益的平臺活動均是不正當的,須平臺履行積極道德義務予以主動防范。積極道德義務是平臺對社會及用戶必須全面履行的道德責任,并與消極道德義務一道構成了平臺承擔犯罪控制義務的法理依據。
(三)平臺擔負保障網絡安全的主體責任
“政府管轄是地域性的,但互聯網不為邊界所限,兩者的沖突將制約國家治理的空間。”[See Frances Cairncross, The Death of Distance: How the Communications Revolution Is Changing Our Lives, Harvard Business School Press, 2000, p.177. ]這種沖突在犯罪治理中表現得尤為明顯。針對街面犯罪的傳統科層治理是典型的屬地管轄,而新型網絡犯罪跨地域甚至跨國發生。“政府有界、犯罪無界”的現狀造成了組織化調控失靈的危機。習近平總書記指出,“網絡空間是虛擬的,但運用網絡空間的主體是現實的。”[習近平:《在第二屆世界互聯網大會開幕式上的講話》,載《人民日報》2015年12月17日,第002版。]這要求網絡犯罪治理從“管內容”向“管主體”變遷、從直接管控違法個體向間接管控平臺轉型,要求以“國家管平臺、平臺管用戶”的方式防控新型網絡犯罪。由此,作為國家治理的組織通道,互聯網平臺的主體責任成為數字社會犯罪治理的關鍵。
“面對龐大的用戶,平臺企業不僅從事經營行為,而且需要進行管理,這種管理很像政府管理,這不是傳統小打小鬧式‘企業辦社會,簡直就是‘企業辦政府”。[
王坤、周魯耀:《平臺企業的自治與共治》,載《浙江學刊》2021年第1期,第5頁。]主體責任的提出將擁有社會權力的互聯網平臺納入科層制體系,通過為其設定安全保護義務及犯罪控制義務,使“通過平臺的治理”成為雙層社會的“中間制度”,使平臺的社會權力被馴化為體現國家意志的“中間權力”,使平臺進化為犯罪治理的組織載體。在“中間制度”和“中間權力”的調控下,一個有邊界的互聯網日益成為普遍事實,國家與非國家行為體的一致性愈發明顯,即國家通過代理策略自覺地把一定權力交給非政府行為體。[劉建偉:《國家“歸來”:自治失靈、安全化與互聯網治理》,載《世界經濟與政治》2015年第7期,第109頁。]國家通過為平臺設定安全保護義務和犯罪控制義務的形式外移治理權力,平臺尤其是超大型在線平臺作為新型治理主體登上歷史舞臺,成為網絡空間治理及犯罪控制的超級責任體。
(四)平臺具備控制犯罪的治理優勢
平臺對用戶的道德義務和對社會的主體責任的最終實現離不開其在數據、技術和組織上的治理能力。“道德的要求是一種‘應該去做的事情,而這種應該去做的事情同時也是‘能夠去做的事情。”[姚大志:《利他主義與道德義務》,載《社會科學戰線》2015年第5期,第26頁。]“監督者控制潛在危險的義務通常來源于其對危險源的控制能力。”[[德]克雷斯蒂安·馮.巴爾:《歐洲比較侵權行為法》(下冊),焦美華譯,法律出版社2001年版,第269頁。]平臺既是借助超級APP坐擁海量用戶的網絡中介,也是以新型數字技術掌握用戶數據的控制者,更是雙層社會中實施在線治理的組織者。“數據控制者獲取的數據并非一般商品,而是數據主體的生命密碼。”[馮果、薛亦颯:《從“權利規范模式”走向“行為控制模式”的數據信托——數據主體權利保護機制構建的另一種思路》,載《法學評論》2020年第3期,第73頁。]“用戶即數據”的商業邏輯型塑出平臺控制用戶的“控制者在線”圖景,平臺在平臺生態系統中運用大數據、云計算、人工智能等技術實現了對用戶違規違法的監測、預警、關聯、自動化干預、線索輸出等在線控制,海量數據成為平臺控制犯罪的治理資源,新型技術構成了平臺控制犯罪的得力工具。
在數據優勢和技術優勢基礎上,平臺還擁有獨特的組織優勢,個體的數字化生活無不依賴于特定平臺,個人數據和社會數據最終匯聚于平臺,與犯罪有關的數字軌跡大多留存于平臺覆蓋的特定網域,各種治理策略多依賴于平臺的在線調控,平臺與國家、平臺與用戶、國家與用戶的關系建構起平臺治理的基本框架。平臺成為國家主體向網絡空間延伸、運用數字技術、掌控雙層社會、實施在線控制的關鍵組織樞紐。在平臺治理推動下,科層制演變為基于平臺的“數字科層制”,犯罪治理的實現路徑從“政法部門—犯罪問題”轉換為“政法部門—互聯網平臺—犯罪問題”。相對網絡犯罪治理距離更近的平臺具備上連國家、下接用戶、掌控平臺生態系統的組織動員能力,引入平臺更符合“以成本最小化目的來配置權利和義務”[[美]理查德·A.波斯納:《法律的經濟分析》,蔣兆康譯,中國大百科全書出版社1997年版,第9頁。]的經濟原則。基于上述優勢,將犯罪控制義務分配給平臺是一種更為經濟、更有效率、更加合理的制度安排。
三、義務的內涵:主動控制與響應控制
基于前述正當性理由,以《征求意見稿》為代表的法規范為平臺設定了應當履行的專門性犯罪控制義務,對平臺提出相對明確的義務要求。《征求意見稿》第21條第1款要求平臺主動實施控制行為及附隨行為,其實質在于主動控制;第2款要求平臺積極響應執法機關的犯罪控制指令,其要義在于響應控制。
(一)平臺對違法犯罪的主動控制
平臺的主動控制是犯罪控制義務的核心內容,《征求意見稿》第21條第1款以“手段+目的”的規范結構,要求平臺運用技術措施和其他必要措施,防范、發現、制止所提供的服務被用于實施違法犯罪。
1.平臺主動控制的手段行為
“應當運用技術措施和其他必要措施”是平臺主動控制違法犯罪的手段行為。“技術措施”主要指平臺以信息技術研發網絡黑產監測系統和智能風控模型,用以識別平臺生態系統中的違法犯罪風險,其本質在于以數據監控為內核的技術治理。同時,技術的運用離不開特定的組織安排和制度安排,技術治理亦離不開“其他必要措施”在組織層及規則層的保障。“其他必要措施”包括且不限于平臺根據法規范制定非法內容審核、網絡安全保護等方面的平臺規則;成立網安實驗室,研發監測網絡違法的智能風控系統;設立網安內控部門運用在線風控系統打擊網絡黑產,向公安機關輸出案件線索和固定電子證據等。
在“技術措施”和“其他必要措施”的協同下,阿里巴巴集團安全部依托錢盾實驗室、光年實驗室等八個實驗室開展系統化在線風控,通過技術反制措施識別用戶實施的網絡犯罪,每年向公安機關移送刑事案件線索超過一萬條;騰訊集團安全管理部依托反詐實驗室等多個實驗室研發神茶反釣魚系統、神偵資金流查控系統、神羊情報分析系統、鷹眼反電話詐騙系統、麒麟偽基站定位系統等風控軟件,基于騰訊云服務向政府開放使用,電詐識別準確率高達95%;字節跳動公司對抖音系統中用戶違規注冊、刷量、刷粉、發布違規違法內容等行為,依靠人工智能和人工復核結合的審查機制日均攔截處理違規違法信息10億次。
2.平臺主動控制的目的行為
“防范、發現和制止所提供的服務被用于實施違法犯罪”是平臺主動控制的目的行為。對于目的行為的理解,可從三個方面展開:第一,在義務履行的空間上,平臺針對網購、支付、社交等平臺生態系統所覆蓋的網域開展主動控制。平臺生態系統重塑了Web3.0時代的互聯網世界,構成雙層社會的人類活動空間。《征求意見稿》第21條第1款的“服務被用于實施違法犯罪”,是指在傳統犯罪全面觸網背景下,遠程非接觸性的網絡違法或發生于平臺生態系統、或利用平臺服務、或與平臺生態系統存在千絲萬縷的關聯。極具匿名性和復雜性的新型網絡犯罪及網絡黑產寄生于平臺生態系統,故而平臺生態系統成為平臺主動控制的治理場域。
第二,在義務履行的對象上,平臺針對用戶實施的違法犯罪及用戶從事的網絡黑灰產業開展主動控制。網絡違法的實施者均具有平臺的用戶身份,其違法活動滋生于網絡黑產的土壤。網絡黑產由提供基礎工具(打碼平臺、破解軟件、偽造工具、代理工具、交流交易平臺等)的上游、黑產信息支撐(社工庫、垃圾注冊、盜號洗號、信息盜取、數據爬蟲等)的中游、違法犯罪實施(電詐、網絡賭博、網絡色情等)的下游共同組成。據報道,我國網絡黑產從業者超150萬人,黑產規模達千億級別。[陳慧娟:《網絡黑灰產業如何治》,載《光明日報》2018年11月27日,第07版。]從事黑產的違法用戶按照分工形成了隱匿且龐大的地下經濟。在技術服務層,違法用戶提供流量服務、過人臉等驗證服務等;在技術產品層,違法用戶開發嗅探設備、偽基站、貓池等非法硬件與木馬、電報群、釣魚鏈接、群控、撞庫等非法軟件;在信息販賣層,“料商”非法販賣個人和企業四件套、身份、財產、軌跡、交易記錄等信息;在卡、號注冊和販賣層,“號商”實施惡意注冊、虛假認證等活動,以規避網絡實名制、掩蓋違法用戶身份;在組織層,處于犯罪集團核心的“金主”為網絡違法提供資金、培訓管理層及結算分成;在洗錢服務層,“水房”為作案團伙提供資金跨境轉移服務,通過多種渠道幫助涉案資金逃脫追蹤。在犯罪鏈條中,電詐等實施犯罪環節不過是黑產冰山一角;僅打擊黑產的下游犯罪如同割韭菜一樣無法治本,對黑產的全鏈路治理才是平臺主動控制的對象。
第三,在義務履行的內容上,平臺的主動控制包括防范和識別、制止違法犯罪,覆蓋事前防范、事中阻斷和事后處置的全鏈路。在防范層面,犯罪控制義務要求平臺將法規范轉換為平臺規則,以此構建平臺生態系統的安全保護體系,開展打擊電詐、保護個人信息、非法內容審查等多種形式的防范舉措。在識別和制止層面,犯罪控制義務要求平臺將智能風控系統和人工審核相結合,及時發現和精準處置用戶違法。2019年,字節跳動安全中心開展打擊黑產的“啄木鳥2019”行動,封禁涉嫌刷量作弊的違規抖音賬號203萬個,舉報涉嫌刷粉刷量黑產網站113家,攔截黑產刷量注冊抖音賬號請求9199萬次,攔截黑產刷贊、刷粉刷量請求5.51億次。[參見《字節跳動的黑產專項行動 封禁抖音作弊賬號203萬》,載股城網2020年1月9日,https://finance.gucheng.com/202001/3850320.shtml。]平臺治理的防范與識別、制止措施往往一體化實施。例如,阿里巴巴聯合數百家品牌商成立打假聯盟,依托平臺規則開展在線風控,僅2020年協助執法機關及品牌方識別和制止112起案件,案值超23億,取得積極的預防效果。[
參見《花開五月,論道良渚——2021年AACA春季沙龍精彩回顧》,載阿里巴巴打假聯盟網2021年5月14日,https://aaca.alibabagroup.heymeo.net/news_detail?id=11。]
此外,根據《征求意見稿》第21條第1款的后半部分,平臺發現網絡違法犯罪后,應當保存記錄,并向網信部門、電信主管部門、公安機關報告。保存記錄和報告義務是平臺主動控制的附隨要求,基于附隨要求的附隨義務可謂平臺主動控制犯罪的應有之義。
(二)平臺對控制指令的積極響應
根據《征求意見稿》第21條第2款,主管部門發現網絡違法犯罪時,應當要求平臺采取消除、制止等處置措施,停止相關服務,保存有關記錄,并向主管部門報告。該條款要求平臺積極響應主管部門、執法部門的犯罪控制指令(如公安部門的《調取證據通知書》),及時執行指令中的協助執法要求。平臺響應指令的前提是主管部門和執法部門發現平臺生態系統中發生網絡違法犯罪,基于“國家管平臺”的規制路徑向平臺發出控制指令。與主動控制不同,平臺對主管部門和執法部門指令的響應、配合和協助具有被動性。《網絡安全法》第28條和《征求意見稿》第22條為平臺的協助執法提供了法律依據,要求平臺積極回應公安機關有關調取證據、提供案件線索、報送網絡軌跡等的犯罪控制指令。
對此,最大的爭議莫過于如何正確理解“主管部門發現網絡違法犯罪”后向平臺發布指令的時間節點,究竟是在刑事立案后,還是在立案前的初查階段即可向平臺發布指令?這關涉平臺作為數據控制者在社會安全防衛與國民權利保障之間如何保持平衡的問題。如果在立案前發出指令,無疑意味著允許平臺受委托對未進入立案階段的任何線索或任一用戶開展數據偵查,意味著任一用戶、任何網絡活動均能被納入偵查視野。這顯然模糊了數據偵查的法治邊界,違反了權利保障的法治原則。如果在立案后發出控制指令,平臺采取各種處置措施才具備充分的合法性依據。因此,在一般意義上,主管部門和執法部門向平臺發布指令的時間應理解為在刑事立案后;但這一理解也并不是絕對的。對危害國家安全犯罪、恐怖主義犯罪等具有嚴重社會危害性的犯罪,正式立案前的預測性偵查及平臺的預防性處置極具必要性。《反電詐法(草案)》第29條規定:“經國務院打擊治理電信網絡詐騙工作機制決定或者批準,國家金融、通信、互聯網行業主管部門和公安部門對電信網絡詐騙活動嚴重的特定地區,可以采取相應的風險防范措施。”該條款在事實上為執法部門及其委托的互聯網平臺在刑事立案前實施可識別性更強、手段更靈活、實用性更顯著的反詐風險防范措施提供了法律依據。囿于平臺履行犯罪控制義務的一般性標準尚存在一定的法律空白,對嚴重犯罪開展預防性數據偵查的法治邊界亟待厘清,包括《反電詐法(草案)》第29條的適用程序、適用標準及防范范圍仍須進一步明確。慶幸的是,主管部門已注意到這一問題,《征求意見稿》第22條在規范互聯網服務提供者的協助執法義務時,對該問題的立法完善留有伏筆,即“技術支持和協助的具體要求,由公安機關、國家安全機關會同電信主管部門等有關部門另行制定。”
從《征求意見稿》第21條第2款的文義看,平臺響應指令的內容包括三個方面:其一,采取消除、制止等處置措施,停止相關服務。“停止相關服務”亦屬于平臺的處置措施。處置措施既包括識別涉嫌違法的用戶,調查違法用戶的特征、關系、軌跡、行為等事項;包括在主管部門指令的基礎上開展數據偵查,深挖違法犯罪線索,鎖定其他尚未被掌握的違法用戶;也包括及時刪除非法信息內容;還包括停止對違法用戶的平臺服務,封停社交、交易、金融等賬號等。其二,保存有關記錄。這是固定電子證據、保障案件司法處遇的應有之義。2016年“兩高一部”《關于辦理刑事案件手機提取和審查判斷電子數據若干問題的規定》為網絡服務提供者設定了凍結電子數據等保存記錄的協助義務。從性質上看,保存有關記錄屬于平臺響應犯罪控制指令的“信息收集存儲義務”[裴煒:《針對用戶個人信息的網絡服務提供者協助執法義務邊界》,載《網絡信息法學研究》2018年第1期,第23頁。]。對于立案后主管部門發布的犯罪控制指令,平臺應對涉案數據“應搜盡搜”;對于立案前針對特定嚴重犯罪的犯罪控制指令,平臺應為偵查機關提供一定范圍的方向性信息,以便偵查機關經營線索且完成初查,待正式立案后平臺再進一步履行保存有關記錄的義務。其三,向主管部門報告。在對違法用戶開展處置措施和保存記錄后,平臺應向主管部門報告犯罪控制指令的執行情況,以便主管部門監督。平臺的報告義務清晰地反映出國家和平臺之間的管理與被管理關系。權力系“能夠產生強制性服從的能力”[
[美]曼瑟·奧爾森:《權力與繁榮》,蘇長和譯,上海人民出版社2018年版,第2頁。 ],國家擁有犯罪治理的權力,平臺則為承擔犯罪控制義務的責任主體。同時,平臺對用戶的處置反映出平臺與用戶不僅存在私主體間的合同關系,更具有管理與被管理的權力關系,即平臺對用戶有“哪怕遇到反對也能貫徹自己意志的任何機會”。[[德]馬克斯·韋伯:《經濟與社會》(下卷),林榮遠譯,商務印書館1997年版,第81頁。]值得注意的是,從權力關系看,平臺對用戶貫徹的并非自身的意志,而是國家意志。平臺對用戶的社會權力源于其承擔的犯罪控制義務,故而平臺治理實際是國家通過平臺這一組織通道所實施的間接治理。
總之,互聯網平臺的犯罪控制義務聚焦于平臺對用戶違法犯罪的主動控制與響應控制,既體現出平臺主動控制的保護義務,也蘊涵著被動回應的響應控制意蘊。
四、義務的實現:對非法內容的勤勉盡責審查
《征求意見稿》等法規范明確了以主動控制和響應控制為內涵的犯罪控制義務,但尚未明確該義務的實現方式和履行標準,包括平臺采取的技術措施和其他必要措施的事項清單及具體要求等。由此,保障犯罪控制義務不被虛置成為平臺治理高效開展的關鍵所在。鑒于網絡違法犯罪在平臺生態系統中呈現出各種形式的信息形態,故對非法信息內容的審查成為平臺履行犯罪控制義務的基本方式,平臺的主動控制和響應控制均以非法內容審查為內核。平臺對非法內容的審查經歷了從被動審查到主動審查、從有限審查到全面審查的深刻轉變,這種審查義務蘊涵著濃厚的注意義務屬性,并趨向于勤勉盡責的義務標準。
(一)從被動審查到主動審查的轉變
從審查方式看,根據《網絡安全法》《征求意見稿》等法規范,我國的平臺審查方式既包括接受投訴和舉報的被動審查,也包括平臺的主動審查。在域外,平臺審查方式最初僅限于根據“通知—刪除”規則對用戶發布和傳播的非法信息進行被動審查,但遺憾的是以“通知—刪除”為路徑的被動審查治理效果不佳。“通知—刪除”規則源于美國《數字千年版權法》第2章第512條,該“避風港”條款要求網絡服務提供者在收到權利人通知的前提下履行刪除義務,從而獲得法律豁免。該規則是企業承擔守法的社會責任的體現。“通知—刪除”規則后被《英國反恐法》(Terrorism Act 2006)和《歐盟反恐指令》(EU2017/541)等法案吸納,為平臺設定針對涉恐信息的“通知—刪除”審查機制。有學者指出,《英國反恐法》的“通知—刪除”機制存在巨大缺陷,未能明確“刪除義務”的主體,導致網絡服務提供商的具體控制義務不明;第3條第5款和第6款針對相似內容的注意義務為平臺提供了抗辯條款[《英國反恐法》第3條(5)規定:“在根據第(1)款和第(2)款所述罪行提起的法律程序中,如被告人證明其實施了以下措施,可免除處罰:(a)在類似違法內容傳播前,已采取可能采取的所有合理手段以防止公眾重復接觸到類似違法信息。”第3條(6)規定:“或在任何時間下,(a)對類似違法內容傳播不知情;(b)知情后已采取合理的補救措施確保該信息不再向公眾提供。”參見The Terrorism Act 2006, Article 3 (2006).],導致該機制的執行效果不佳;法案規定的“送達”為實物介質送達,使流程運轉極為緩慢,直接增加了時間成本。[See I. Awan, Policing the Global Phenomenon of Cyber Terrorism and Extremism, in Policing Cyber Hate, Cyber Threats and Cyber Terrorism, Routledge, 2016, p.109-124.]
2017年德國《網絡執行法》完善了“通知—刪除”規則,要求擁有超過200萬用戶的平臺,應在收到投訴的24小時內刪除“明顯非法”內容,違反規定的公司面臨最高5000萬歐元罰款。該法在“通知—刪除”規則外,引入政府的外部合規審查,針對可能違反刑法的內容,加強對網絡平臺自我規制的規制,以督促網絡服務提供者履行主動審查義務,要求社交網絡平臺設置用戶友好型投訴程序,并承擔定期通報義務。[查云飛:《德國對網絡平臺的行政法規制——邁向合規審查之路徑》,載《德國研究》2018年第3期,第72-87頁。]由此,平臺對非法內容的審查被更好地納入政府監管的制度框架,審查標準和流程得以明確。實踐證明,平臺主動審查有著比“通知-刪除”規則下的被動審查更顯著的治理效果。Facebook公司2020年共處置用戶發布的涉恐信息3330萬條、網絡仇恨信息1910萬條,2021年第一季度處理涉恐信息900萬條、網絡仇恨信息980萬條。其中,99%以上的非法信息由平臺主動發現。[See Transparency Center, Community Standards Enforcement | Transparency Center, (July 17, 2021), https://transparency.fb.com/data/community-standards-enforcement/dangerous-organizations/facebook#CONTENT_ACTIONED.]在數字化時代,平臺生態系統中上傳和流動的海量信息組成了蔚為壯觀的“數據宇宙”,僅憑基于“通知—刪除”規則的用戶投訴或政府外部監管根本無從有效控制非法信息傳播。相對平臺生態系統,政府監管部門的治理距離過于遙遠,平臺生態系統運營者的主動審查顯然更有助于實現網絡犯罪的及時阻斷。
2018年歐盟公布的《關于防止恐怖主義內容在線傳播的提案》第1條明確了信息托管服務提供商應承擔主動規避涉恐信息的注意義務,預防利用其服務傳播恐怖主義的行為,在必要時確保迅速刪除涉恐信息。該提案第6條規定平臺應采用主管當局認可的有效積極措施,以自動化決策防范相似違法內容重復上傳,檢測、識別并快速刪除恐怖主義內容或禁止恐怖主義內容的域內訪問。[See European Commission, Directive(EU) 2017/541 of the European Parliament and of the Council on combating terrorism and replacing Council Framework Decision 2002/475/JHA and amending Council Decision 2005/671/JHA, (Sept. 1, 2021), https://www.legislation.gov.uk/eudr/2017/541/introduction.]2018年生效的《歐盟視聽媒體服務指令》要求對視頻共享平臺構建共同監管的規制體系。該指令要求成員國應確保其管轄的視頻共享平臺對可能損害未成年人身心和道德發展的信息、具有煽動性的暴力或仇恨相關的信息、涉刑事犯罪的信息履行監管義務。[See EU Audiovisual Media Services Directive, Art. 28 (2018).]2018年生效的美國《反網絡性交易法案》也要求平臺承擔對網絡賣淫的主動審查義務。[See C. Bakalis, and J. Hornle, The Role of Social Media Companies in the Regulation of Online Hate Speech, in Studies in Law, Politics, and Society, Emerald Publishing Limited,2021.]2020年公布的《數字服務法(草案)》(DSA)更是明確了平臺對非法內容的主動審查義務(下文詳述)。可見,不僅我國強調平臺對非法內容的主動審查,以歐盟為代表的全球主要法域也開始重視平臺的主動審查。
(二)從有限審查到全面審查的擴張
從審查對象看,歐盟的平臺主動審查主要聚焦于涉恐怖主義和兒童色情的非法內容;但非法內容的范圍呈擴張趨勢。DSA法案附則第12條規定,“‘非法內容的概念應作廣義的理解,涵蓋與非法內容、產品、服務和活動有關的信息。特別是,該概念應理解為信息根據適用的法律本身就是非法的,無論其形式如何。”[See Digital Services Act, Recital 12(2020).]待DSA法案生效后,平臺的審查范圍將從傳統的涉恐、涉仇恨犯罪、涉兒童色情擴張至包括網絡售假、網絡詐騙等更廣泛的非法內容。非法性的判斷依據在于歐盟法及與歐盟法一致的成員國法律。值得注意的是,雖然DSA第7條不承認平臺具有對信息內容的一般性審查義務,但附則第28條規定平臺不承擔一般性的監測義務并不影響具體情況下的監測義務,特別是不影響主管機關根據國家立法和本條例規定的條件而下達的命令。[See Digital Services Act, Recital 28(2020).]鑒于成員國法律內涵的廣泛性以及執法部門控制犯罪的需要時常處于變動之中,執法部門對平臺下達的指令存在較強不確定性,平臺據此承擔的審查義務實際具有相當程度的廣泛性。可見,在歐盟,平臺對非法內容的審查絕非有限審查,而至少是具有開放性的積極審查。
DSA附則第57條進一步表明平臺審查義務具有積極性乃至廣泛性的特點。該條款要求超大型在線平臺應深入評估涉及三類系統性風險的信息:第一類風險涉及通過散布非法內容的濫用服務和實施非法活動;第二類風險涉及對行使《歐盟基本權利憲章》保護的基本權利產生的影響;第三類風險涉及以通謀方式操縱平臺服務,對健康、公民言論,選舉程序、公共安全和未成年人保護具有可預見的影響,同時應考慮維護公共秩序,保護隱私及打擊欺詐性商業行為的需要。[See Digital Services Act, Recital 57(2020).]上述系統性風險廣泛涵蓋各種利用平臺服務實施的違規違法犯罪風險,具有相當程度的開放性。可見,超大型在線平臺的審查義務即便在法案中不使用普遍性或一般性的用語,也在實質意義上蘊涵著相當程度的普遍性和一般性。
相較歐盟的審查對象擴張,我國的平臺審查義務始終堅持對違法犯罪信息的全面審查。《網絡安全法》第9條規定網絡運營者應“履行網絡安全保護義務”;第47條規定:“網絡運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關主管部門報告。”《互聯網用戶公眾賬號信息服務管理規定》第12條要求平臺對用戶公眾賬號的留言、跟帖、評論等互動環節進行實時管理。《征求意見稿》第16條要求互聯網信息服務提供者應建立信息發布審核制度、配備網絡與信息安全管理人員、建立網絡與信息安全管理制度,加強公共信息巡查。可見,無論是一般性的安全保護義務,還是具體化的內容審查制度,均為平臺的全面審查提出了綜合性要求。為適應普遍性的審查義務,全球主要超大型在線平臺均組織起龐大的內容審核團隊,打造出基于人工智能的自動化決策與人工審核相結合的審查流程。近年來,Facebook的內容審核團隊急劇擴張,從2012年的50人增長為2020年的1萬余人。[參見《Facebook 審核人員暴增,科技巨頭的漫漫審核路》,百度網2020年4月15日,https://baijiahao.baidu.com/s?id=1664030490630219735&wfr=spider&for=pc。]據調研,2020年B站內容篩選團隊約有2400名員工;小紅書審核員工有1000多人;字節跳動的內容審核員超過2萬人。
(三)趨于勤勉盡責的注意義務標準
在主動審查和全面審查的基礎上,平臺對非法內容的審查應達到何種標準?這直指犯罪控制義務的本質屬性。犯罪控制義務源于平臺的主體責任,主體責任將平臺設定為國家與違法個體之間的“監控中介”[See Alan Z. Rozenshtein,Surveillance Intermediaries,70 Stanford Law Review 99, 112-114(2018).](Surveillance Intermediaries)。在“國家管平臺、平臺管用戶”的治理路徑下,犯罪控制義務在本質上是平臺實施犯罪控制活動的注意義務。這種注意義務不單是“義務主體作為危險制造者而謹慎、小心地行為而不使自己的行為給他人造成損害的消極義務”[屈茂輝:《論民法上的注意義務》,載《北方法學》2007年第1期,第25-26頁。];還包括作為危險管控者防范危險給社會造成損害的積極義務。在主體責任下,平臺對平臺生態系統中的違法犯罪或平臺服務被不法分子用于違法犯罪應承擔積極的注意義務。作為平臺生態系統的運營者和數字社會的看門人,平臺為避免國家、社會和平臺用戶遭受犯罪侵害而應承擔積極作為的危險規避責任,采取有效措施最大限度地發現和處理非法信息內容,盡可能防范、識別、制止所提供的服務被用于實施違法犯罪。
在域外,平臺控制犯罪的注意義務屬性獲得相關政策法律文件的認可。2019年,英國發布《網絡有害內容白皮書》(以下簡稱《白皮書》)提出以“注意義務”(duty of care)替代“通知—刪除”的要求,注意義務的內容和標準由監管部門制定,監管部門要求不論用戶是否通知或投訴,平臺應優先主動審查、積極刪除涉恐怖主義和兒童色情的非法內容。《白皮書》要求平臺從以下方面履行注意義務:確保內部條款符合監管機構的標準,并適時報告執行情況;嚴格遵守和履行已制定的內部條款和流程;預防重復性的恐怖主義和兒童色情信息再次傳播;在收到舉報后采取及時、透明、有效的行動;積極協助司法機關的調查;積極幫助受損害的用戶維權;定期審查其對注意義務的履行情況,并及時調整策略。[See Government of the United Kingdom, Online Harms White Paper, (Aug. 19, 2021), https://www.gov.uk/government/consultations/online-harms-white-paper/online-harms-white-paper#part-3-regulation-in-practice.]《白皮書》強調的上述“注意義務”是以犯罪風險規避為實質的積極作為義務,包括一系列的主動控制和響應控制行為,并在英國《網絡安全法》中獲得進一步明確。
在《白皮書》基礎上,DSA草案提出更為詳盡的積極作為規定,將積極作為的注意義務表述為“勤勉盡責義務”(Due diligence obligations)。DSA第三章以“維護透明且安全的在線環境應盡的勤勉盡責義務”為標題,要求平臺以“看門人”身份對非法內容進行主動審查。DSA通過一系列條款細化了“勤勉盡責”的具體要求,第13條規定“中介服務提供商的透明性報告義務”,要求中介服務提供商至少以每年一次的頻率,就其開展的非法內容審查活動向社會發布清晰、易于理解且詳細的報告,保障公眾知情權和監督權。第14條規定平臺應建立通知及響應機制,允許任何個人對認為其所提供的服務和特定信息條目中存在非法內容時做出通知,保障便捷有效的在線監督機制。第21條規定了平臺的刑事犯罪報告義務,“當在線平臺了解到任何可疑信息,懷疑涉及人的生命或安全的嚴重刑事犯罪已經發生、正在發生或可能發生,應將其懷疑立即通知一個或多個相關成員國的執法或司法機關,并提供相關信息。”[See Digital Service Act, §21 (2020).]刑事犯罪報告義務是非法內容審查的自然延伸,是平臺與監管機構的協作形式。第26條規定了超大型在線平臺對平臺服務中的非法內容傳播等系統性風險進行積極管控的義務;第27條要求超大型在線平臺對系統性風險采取合理、適當、有效的緩解措施。可見,DSA草案鞏固了平臺控制犯罪的“看門人”主體定位,明確了平臺履行注意義務的勤勉盡責要求,搭建起歐盟應對網絡犯罪挑戰的全新制度框架。
在我國,平臺的勤勉盡責要求全面覆蓋風險識別、停止傳輸、刪除信息、防止擴散、保存記錄、報告有關部門等犯罪治理的全鏈路,并體現于主管部門組織平臺企業簽訂的犯罪治理責任書之中。2019年7月,工信部會同公安部、網信辦組織阿里巴巴、騰訊、百度等11家單位簽訂“重點互聯網企業防范治理電信網絡詐騙責任書”,將犯罪控制義務壓實和細化。責任書要求企業必須建立電信網絡詐騙防范治理制度體系,嚴格落實用戶賬戶管理要求,建立違規賬戶依法關停機制,建立完善詐騙風險巡查預警和快速響應處置機制,建立完善電信網絡詐騙技術防范體系,加強企業平臺的電信網絡詐騙問題清理和新業務的詐騙風險安全評估。[參見《凈化網絡通信環境!重點互聯網企業簽訂防范治理電信網絡詐騙責任書》,載浙江新聞網2019年7月11日,https://zj.zjol.com.cn/news/1240712.html。]目前處于全國人大審議階段的《反電詐法(草案)》充分汲取了責任書的反詐治理經驗,將責任書的治理經驗上升為法律規定。
責任書要求將犯罪控制的注意義務嵌入平臺服務、細化為平臺規則,這種勤勉盡責標準具體體現在以下方面:其一,在制度上,責任書要求平臺建立電詐犯罪治理的制度體系,明確責任主體、完善平臺規則、形成治理閉環,將防范電詐犯罪工作責任的落實情況納入企業年報。其二,在重點上,責任書要求平臺加強對用戶賬戶的管理,嚴格落實賬戶關停機制,及時關停發布非法內容的賬戶,從源頭上控制電詐信息的傳播。其三,在手段上,責任書要求平臺發揮技術優勢,加強對電詐犯罪的技術治理,完善平臺側的智能分析系統,形成日常化的主動巡查及快速響應處置機制,創新終端側的反詐技術產品,提升犯罪風險的事前預警和事中阻斷能力。其四,在專項行動上,責任書要求平臺落實電詐問題集中清理的任務,識別并補強平臺治理的薄弱環節,對平臺生態系統進行全面排查,將違規買賣電話充值卡、電話卡、物聯網卡等交易活動關停或下架。其五,在風控上,責任書要求平臺加強對新業務的電詐風險進行安全評估,在新業務、新應用的立項研發和上線運營等環節強化電詐風險的源頭治理。其六,在協同上,完善電詐舉報通報的處置流程。對公安通報、用戶舉報的電詐線索依法核查處置,及時反饋結果;將平臺主動發現的違法線索向公安機關和主管部門報告,加強犯罪情報共享和防控協同聯動。
根據《征求意見稿》第21條,平臺勤勉盡責的注意對象不僅適用于電詐犯罪的防范,還包括對其他利用平臺服務實施的各類違法犯罪的防范。由此,犯罪控制義務的勤勉盡責履行成為平臺治理的實現路徑。為保障平臺勤勉盡責地履行犯罪控制義務,不僅《征求意見稿》針對平臺履行義務不力的情況苛以警告、責令限期整改、罰款、責令暫停相關業務、停業整頓、吊銷業務許可證或營業執照等行政處罰,刑法還對平臺未盡職履責設定了刑事責任。《刑法修正案(九)》增設的“拒不履行信息網絡安全管理義務罪”在國外刑法中亦有類似規定。2019年生效的澳大利亞《關于分享仇恨暴力內容的刑法修正案》規定,互聯網托管服務平臺未能及時刪除令人憎惡的暴力內容,提供托管服務的負責人將面臨最高3年的有期徒刑,并將處以年收入10%的罰款。其中,在《澳大利亞聯邦刑法典》第474條之中增加兩款規定,該條第33款明確了網絡服務提供商、內容服務提供商和主機服務提供商在發現仇恨暴力內容后承擔向聯邦警察局報告的義務,并規定違反報告義務應承擔的罰金刑;該條第34款要求平臺在明確本平臺或服務器內存在仇恨暴力相關的內容即應立即刪除,否則構成刑事犯罪。[See Criminal Code Amendment (Sharing of Abhorrent Violent Material) Act 2019.]
五、結語
在以平臺為樞紐的雙層社會中,犯罪治理呈現“多層級治理”[See S. Piattoni, The Theory of Multi-level Governance: Conceptual, Empirical, and Normative Challenges, Oxford University Press, 2010.](multi-level governance)的新態勢。為回應新型網絡犯罪的挑戰,在國家對違法犯罪或不法分子的直接治理之外,“國家管平臺、平臺管用戶”的間接性的平臺治理勃興。從治理的制度依據看,平臺治理高效推進的關鍵在于平臺對犯罪控制義務的履行。隨著《征求意見稿》《反電詐法(草案)》等法規范的出臺,犯罪控制義務的主體從國家擴展至互聯網平臺,犯罪控制義務從概括性的安全保護義務中脫胎而出,成為一種以主動控制和響應控制為內涵、以犯罪風險規避為目標、以非法內容審查為方式、以勤勉盡責為標準的法定注意義務。待《征求意見稿》《反電詐法》生效后,平臺控制犯罪的勤勉盡責標準應盡快以行政法規或部門規章形式予以明確,從而推動犯罪控制義務從原則性義務走向規則性義務,并進一步轉化為體系性的平臺規則和算法形態的技術規則,在法律規則、平臺規則和技術規則的統合下推動犯罪控制義務的日常化履行。ML
The Crime Control Obligation of Internet Platforms
SHAN Yong
(Law school, Nanjing University, Nanjing 210093, China)
Abstract:New cybercrimes parasitize the platform ecosystem operated by Internet platform corporations when traditional crimes fall but cybercrimes rise now. Platform-based governance appears because platforms are responsible for network security. They have unique governance advantages and the moral obligation to prevent users from infringements. There are sufficient facts, policy basis, and unique normative basis for platform governance. The crime control obligation of platforms is set in Administrative Measures for Internet Information Services ( Draft Amendment for Public Comment) and Combating Telecom and Online Fraud Law (Draft). Platforms shall perform the statutory duty of care for crimes committed through their services. The statutory duty of care includes active control and response control, aims at crime risk aversion and takes diligence as the standard. Its main method is the censorship of illegal content. The obligation of crime control constitutes the legal basis of the platform governance of crime, and the platform' s diligent and responsible implementation of the obligation build the path of platform governance.
Key Words:cyber crime; crime governance; platform governance; obligation of crime control; due diligence obligations standard
本文責任編輯:李曉鋒
青年學術編輯:張永強
收稿日期:2022-01-13
基金項目:2020年度國家社科基金一般項目“數據正義視域下犯罪的技術治理均衡發展研究”(20BFX066)
作者簡介:單勇(1979),男,黑龍江黑河人,南京大學法學院教授,博士生導師,法學博士。
① 作為綜合治理的本質特征,組織化調控是指通過黨的組織網絡和政府的組織體系,在組織建設和組織網絡滲透中不斷建立和完善執政黨主導的權力組織網絡,使社會本身趨向高度的組織化,通過組織來實現國家治理目的的社會調控形式。參見唐皇鳳:《社會轉型與組織化調控——中國社會治安綜合治理組織網絡研究》,武漢大學出版社2008年版,第60-61頁。
② 國務院反壟斷委員會《關于平臺經濟領域的反壟斷指南》第2條規定,互聯網平臺是指通過網絡信息技術,使相互依賴的雙邊或者多邊主體在特定載體提供的規則下交互,以此共同創造價值的商業組織形態。
