分析网络空间安全保障义务的适用价值及制度架构论文

分析网络空间安全保障义务的适用价值及制度架构论文

　　内容提要： 现行 《侵权责任法》对保障网络平台安全责任缺乏明确规定。网络平台具备 “开启、参与社会交往”及 “给他人权益带来潜在危险”两项特征，而网络运营者作为危险源的开启与控制者，应对正在发生的侵权负有排除义务，并对未来的妨害负有审查控制义务。综观域外立法经验，已有多个判决承认安全保障义务同样存在于网络，我国在立法层面必须有所改进以配合理论上的进步。本文建议在现行 《侵权责任法》条文的基础上对安全保障义务进行补充解释，将安全保障义务的适用介质扩张至网络空间，以明确网络平台安全责任在侵权法中的地位。

　　关键词： 网络安全； 网络运营者； 安全保障义务； 侵权法； 责任分配。

　　2016 年 11 月 7 日，第十二届全国人大常委会第二十四次会议审议通过了 《中华人民共和国网络安全法》（ 以下简称 《网络安全法》） 并决定于 2017 年 6 月 1 日起施行，这是法学理论界与实务界对于日益严峻的网络安全形势作出的回应，也标志着我国开始从公法角度在基本法层面对网络安全问题的治理进行规划。 《网络安全法》明确了网络安全的概念，在保障网络运行安全、网络信息安全等方面进行了具体的制度设计，并从公法的角度规定了网络运营者应承担保障网络安全的义务。

　　网络空间中安全问题之所以重要，是因为其高度技术化和信息化的特征，使得网络安全决定了网络空间中一切社会活动得以存在的可能性。现实物理场所的基础安全问题在民法理论中是依靠 “安全保障义务”制度加以解决的，网络空间中的安全问题有其异于现实物理场所之处。网络环境下基础安全问题解决的路径又在何处？ 传统安全保障义务制度能否在网络空间中发挥其制度价值？ 其在网络空间中的适用有何新特征？ 制度化的体系应当如何构建？ 本文试就这些问题进行探讨。

　　一、网络平台安全保障义务的性质分析。

　　信息技术的发展日新月异，一些新型网络侵权形态在适用传统侵权法进行规制时产生了困境，其原因在于 《侵权责任法》对网络运营者不作为侵权的规制存在缺陷。互联网侵权本质上属于网络安全问题。要解决 《侵权责任法》在网络空间的适用瓶颈，需要对网络平台安全保障义务的性质进行探究。

　　（ 一） 安全保障义务主体的确定。

　　网络空间的基本支撑主体是众多的网络运营者及其运营的中间平台，而开放、共享、互联的网络平台，必然也是漩涡的中心和矛盾纠纷的汇合点。

　　因此网络平台的安全一定程度上决定了网络空间的整体安全。所谓网络平台，是指网络服务业中的一种平台化经营模式，即由专业的平台开发商或运营者以互联网为基础，以网络技术为依托构建一个平台架构，为网络用户提供检索、社交、通讯以及消费等在线服务，吸引网络用户参与到其平台上来接受服务的一种商业模式。我们认为，在确定保障网络安全的义务主体上，公法与私法具有一致性。因为网络运营者作为网络平台的经营管理者、规则制定者以及利益享有者，由其承担保障网络平台安全的义务在技术上可行，规则中有据，经济上合理。具体来讲，由网络运营者承担民法上的保障网络安全的义务有如下几方面的原因：

　　第一，基于民法中信赖利益的考量。网络用户在接受网络平台服务时会产生一种合理的期待，认为适格的网络运营者应当具备保障网络服务平台基本安全的责任与能力，能够检测并消除网络服务平台中那些不能为网络用户所知的安全隐患； 第二，基于危险控制理论的考量。网络运营者对于自己经营的服务平台具有他人不可替代的控制能力，其最有可能了解平台的实际情况，预见平台中可能存在的安全隐患与问题，并且采取必要的措施防止损害的发生或减轻损害造成的后果；第三，基于收益和风险相一致的考量。网络运营者都是以获取商业利益的目的经营网络服务平台，不论其所获的收益是有形的还是无形的，是即期的还是潜在的。从危险中获取各种利益者理应被视为负担制止危险义务的人，只要网络运营者经营的服务平台存在安全隐患并从中获取了利益，就应承担相应的排除危险的义务；第四，基于节约社会总成本的考量。根据法经济学 “义务应分配给可以最小成本实现它的人”的理论，网络运营者具备保障网络安全的软硬件措施与专业的技术人员，同时控制着网络平台的总体运行，因而其更容易以较小的成本排除网络平台的安全隐患，制止网络平台中的侵权行为，提高网络平台的整体安全水平。

　　（ 二） 解决网络安全问题的制度依据。

　　民事主体的义务承担问题当归属于民事法律体系中的债法部分，一般可从意定之债和法定之债两个路径展开论述。从意定之债角度着手，探讨的主要是民事主体是否应承担合同法律关系上的义务； 从法定之债角度着手，探讨的则主要是民事主体是否应承担侵权法上的义务。

　　基于网络平台本身的特性，笔者认为，合同法的解决路径对网络安全问题并不适用。首先，网络平台的公共性决定了进入平台的网络用户具有不特定性，即在网络平台法律关系中虽然履行义务的一方是特定的某一网络运营者，但享受权利的一方却是不特定的广大网络用户群体。但是合同法律关系的成立要求主体双方身份的确定性与相对性，这就使得网络安全问题适用合同法律关系出现了困境； 其次，主体双方地位天然具有不平等性，网络运营者无论是在专业知识上、技术手段上亦或是经济实力上都是普通网络用户无法企及的。这就导致了两个结果： 一是网络平台中虽存有 《网络用户服务协议》等形式上的合同文本，但其中的内容大都显失公平，基本为片面有利于运营者的格式合同； 二是合同法调整的是平等主体间的合同法律关系，在此地位悬殊的情况下，一般不得不借助 《消费者权益保护法》等公法手段，防止形式的平等带来的实质不平等。这都违背了合同法律关系对于主体双方平等性的要求； 再次，许多网络平台运营者在其经营领域处于垄断地位 （ 例如搜索平台的百度、谷歌，通讯平台的 QQ、微信，电商平台的淘宝、京东等） ，这就导致网络用户的缔约自由受到极大的限制； 最后，网络空间中存在的更多是潜在用户而非注册用户，绝大多数的网络用户并无订立合同关系的意向，也就是我们常说的 “1% 规律”（ 即 “100 个在线者中，只有 1 个人提供内容，10 个人参加互动，剩下的 89 个人只是在旁观”） 。网络用户即无缔约意向，合同关系的存在便无从谈起。综上所述，在合同法律关系不适宜解决网络安全问题的情况下，我们应从侵权法角度找寻其制度依据。

　　（ 三） 现行 《侵权责任法》条款存在的不足。

　　《侵权责任法》第 36 条第 2 款与第 3 款是对网络运营者 （ 条文中称作 “网络服务提供者”）责任的专门规定。这两款的内容分别明确了在网络用户通知网络运营者其遭受侵权损害与网络运营者知道网络用户已遭受侵权损害的情况下，网络运营者因未履行相应的作为义务 （ 即条文中所称的必要措施，主要包括删除、屏蔽、断开链接等） 而与直接加害人承担相应的连带侵权责任。笔者认为，立法者明确了网络侵权的规制重点在于对网络服务提供者不作为侵权行为的规制，其对网络平台侵权问题实质的把握是正确的。但 《侵权责任法》现有条款存在一个根本上的缺陷，即网络运营者履行作为义务的前提是 “在得到网络用户通知以后”以及 “自己知道网络平台发生侵权行为以后”，这意味着网络运营者所承担的是一种 “事后止损义务”而非 “事前保障义务”。这种做法将网络运营者承担作为义务的时间点从侵权发生之前延至侵权发生之后，实际上是免除了网络运营者保障网络平台安全的义务，是一种本末倒置的处理方式。此问题产生的原因应归于立法资源的攫取上，因 《侵权责任法》第 36 条对于网络运营者侵权责任的规定是美国 《数字千年版权法》（ “DMCA”） 中 “避风港规则”与 “红旗规则”的舶来品。美国出于扶持国内信息产业发展的需要，在立法时侧重于对网络运营者的保护，从而降低了对其保障网络平台安全性责任的要求。时至今日，保障网络平台的安全已成为信息产业无法回避且必须应对的问题，因为没有安全性的保障，信息产业的发展便丧失了立足的根基。在保护信息产业与维护网络安全的价值考量上，立法政策应慢慢向后者偏斜。

　　先前德国 《远程媒介法》（ TMG） 也明确规定 “网络运营者不对他人上传信息负有主动审查义务”，即与我国 《侵权责任法》中 “网络侵权条款”事后救济的立法初衷相一致。但近些年来，德国联邦最高法院通过类推 《德国民法典》第 823 条与第 1004 条的规定，将网络运营者的责任定位于 “妨害人责任” （ Storerhaftung） ，创设了其 “面向未来的审查义务” （ KiinftigeKon—trollpflicht） 。法院要求，网络运营者对正在发生的侵权有排除义务，并对未来的妨害负有审查控制义务。上述义务的发生依据正是作为传统安全保障义务发生原因的 “危险源的开启与控制”。“安全保障义务”直接出现在法院判词中，其面目在网络空间越来越清晰。这也证实了确立网络运营者 “事前的保障义务”将会是今后各国立法的一个趋势。《侵权责任法》中的 “网络侵权条款”因其立法初衷的局限性并未能有效地发挥规制网络运营者行为、保障网络平台安全性的作用。因此，笔者拟从规制传统物理场所安全问题的 “安全保障义务制度”出发，为网络运营者不作为义务的认定与网络安全问题的解决寻找新的制度依据与解决路径。

　　二、安全保障义务在网络空间的适用价值分析。

　　在我国侵权法理论中，“网络运营者”和 “安全保障义务”是分属于两个系统的概念，从立法资源上看，网络运营者的侵权责任源自美国 《数字千禧年版权法》中的 “避风港规则”及“红旗规则”，而安全保障义务则是继受了德国侵权法中的 “安全交往义务”。这就导致了我国安全保障义务限于保护人身和有形财产，而 “网络运营者侵权责任”侧重于保护知识产权及精神性人格权的事实。然而，由网络运营者主导的网络空间实际上同样具备 “开启、参与社会交往”和 “给他人权益带来潜在的危险”的特征。网络运营者作为危险源的开启者与控制者，不仅应对网络空间中正在发生的侵权负有排除义务，还应对未来的妨害负有审查和控制义务，这种义务能否适用传统安全保障义务的法理，需要结合安全保障义务的理论渊源和制度价值进行考量。

　　（ 一） 安全保障义务的理论渊源。

　　安全保障义务肇始于 17 世纪德国法上的 “交往安全义务” （ Verkehrspflicht） ，是法官造法的产物。交往安全义务是指开启或持续特定危险的人所应承担的、根据具体情况采取必要的、具有期待可能性的防范措施，以保证第三人免遭损害的义务。此概念提出伊始，学界将其限定在经营者对服务场所承担的安保义务范围之内，特指经营者在经营场所对消费者、潜在的消费者或者其他进入该服务场所的人之人身、财产安全依法承担的安全保障义务，最高人民法院2003 年出台的 《人身损害赔偿司法解释》 第 6 条即采纳了此种观点，而 2009 年颁布的 《侵权责任法》再次确认了违反安全保障义务的责任制度。两种规定的条文表述及模式略有差异，《人身损害赔偿司法解释》第 6 条采用 “主体 + 行为 + 对象”的结构对安全保障义务进行规定： 而《侵权责任法》第 37 条改变了 《人身损害赔偿司法解释》的定义模式，采用 “场所 + 主体 + 行为 + 对象”的结构对安全保障义务做出规定。《侵权责任法》改变了 《人身损害赔偿司法解释》从行业角度对义务主体进行规范的方式，改为仿照英美法系注意义务的方式，从承担安全保障义务的空间范围的角度进行规范，进一步明确了安全保障义务适用领域的公共性。

　　（ 二） 我国传统安全保障义务的制度价值。

　　我国 《侵权责任法》实际上只是继受了德国侵权法中安全保障义务的狭义形态，即早期公共场合交往中的安全注意义务，却符合我国 《侵权责任法》无需经过长期判例发展而直接进入现代化的现实。根据我国现行 《侵权责任法》对于安全保障义务的规定并结合德国交往安全义务的理论分析，我国 《侵权责任法》引进安全保障义务主要存在以下三个方面的制度价值：

　　1。 为不作为侵权提供义务来源与制度依据。

　　与积极作为侵权相比，只有在极其例外的范围内，行为人才须为其消极不作为承担责任。理由在于，与禁止做出危险行为相比，设定一个积极的作为义务对行为人的自由构成更大的限制。不作为原则上并不构成侵权行为，只有当不作为违反了作为义务时，才例外地认定其为 “侵权行为”。在我国既有理论中，作为义务的产生原因有三个： 法律规定、合同约定和先行行为。虽然我国学者在承认此三种原因外，也试图进行突破，但在网络信息时代，出现了大量新形式的不作为侵权，传统的不作为侵权理论早已不能满足现实生活的需要，法律应该调整已经变化并且很大程度上继续变化着的社会关系。在这样的立法与学理背景下，又考虑到我国民法与德国民法之间的继受关系，学者多认为，借鉴源自德国的交往安全义务学说，有利于我国侵权法上作为义务的扩张。而最高人民法院对于德国的交往安全义务学说作为义务基础的强调，也易于使人们得出此结论。因此即使没有法律规定、合同约定或先前危险行为，危险控制义务也可以产生，而安全保障义务的引进便可以适当增加人们的作为义务，以满足现今风险社会的需求。所以安全保障义务应当是传统作为义务之外的新的义务来源，它实现了不作为侵权对于作为义务扩张的需求。

　　2。 强化对现代社会公共交往中风险的把控。

　　在小国寡民和风车磨坊的农耕时代，人与人的交往较为宽松，一个人的行为或者所控制物件的状态尚难以对其他社会成员的合法权益构成较大威胁。而在现代社会高度工业化和信息化背景下，人与人之间的交往日趋频繁和密切。即使是不相认识的单个社会成员间的行为都可能对他人产生极大影响，大规模的聚合性社会活动所产生的交往风险更是难以估量，必须有相关主体承担此种风险的控制义务。由国家在公法上对此种大规模交往风险进行控制自不待言，但在私法角度也应规定相关主体承担此项风险的控制义务与相应的赔偿责任。我国引入安全保障义务制度的出发点很大程度就在于希望从私法角度赋予某类特殊主体一定的义务来控制现代社会公共交往中存在的风险。

　　3。 弥补侵权责任法二元对立的僵化归责体系。

　　在过失责任与危险责任之间，安全保障义务起到沟通桥梁的作用。德国作为我国 《侵权责任法》中安全保障义务制度立法资源的攫取国，其制度发展集中体现在： 安全保障义务本身已愈发独立于事实上的行为要求。即安全保障义务与一般行为义务存在一定程度的差别，其更多的具有社会交往中风险分配的功能。所以在德国法上区分 “许可的危险”与 “禁止的损害”这两个概念便不足为奇： 侵权人的行为在法律上是合法的，但因其违反了安全保障义务，则仍应承担损害赔偿责任。在此种意义上，安全保障义务的立法初衷是归责而不是规定行为要求，在实际生活层面其所具有的事先调整人的行为功能远远弱于一般法定义务。正是因为侵权责任法上的安全义务不断脱离事实中的'行为，使得该类型的侵权责任逐步脱离了一般过错责任，而更趋近于承担风险分配任务的无过错责任。也就是说，我国 《侵权责任法》引入安全保障义务本意具有弥补我国二元对立的僵化归责体系的目的，使其成为沟通过失责任与危险责任的桥梁。

　　（ 三） 安全保障义务在网络空间的适用价值。

　　安全保障义务在德国自判例发展而来，是司法实践为了应对风险社会不断出现的新型安全问题而创造的一种责任承担制度。在德国，安全保障义务在适用介质上并不仅限于物理空间，其着眼于 “开启、参与社会交往”及 “给他人权益带来危险”两项事实，该义务的适用范围从物、土地、通道一直延伸到行为的危险。进入 21 世纪，德国联邦最高法院在多个判决中肯定安全保障义务同样存在于网络空间。这一立场对继受安全保障义务的我国具有启示意义。现今我国学者基本都是从网络空间具有场所公共性这一角度分析，或直接用 “开启或持续了社会交往的危险”一笔带过。笔者认为，在认定安全保障义务能否涵摄网络空间的问题中，与其泛泛而谈网络空间与传统物理场所的相似之处，不如着眼于分析安全保障义务在网络服务平台是否能发挥其应有的制度价值。

　　网络空间与现实空间最大的不同之处就在于其是依靠网络信息技术架构出的虚拟存在，而网络信息系统的整体安全是由一个个具体的网络服务平台的基础安全组成。网络运营者基于其作为具体网络平台架构者、控制者与获利者的特殊地位，应当承担维护网络平台安全性和稳定性的作为义务，而非仅充当网络空间消极的守夜人角色。网络用户在进入网络运营者掌控的网站平台后，一旦发生由于系统本身的安全性所造成的损害，或者因第三人侵权所引发的损害，而网络运营者没有尽到技术上可行、经济上合理的注意义务，就应当承担此种不作为侵权产生的责任。因为网络运营者在将网络服务平台投入运营后，若该平台存在导致网络用户权益受损的危险时，其就等于传统安全保障义务制度中的 “危险的开启者”。传统安全保障义务理论认为开启或持续特定危险的人应当根据具体情况承担采取 “必要的、具有期待可能性的防范措施，以保护第三人免受损害”的义务。所以借助安全保障义务制度，我们可以对作为网络平台危险开启者的网络运营者承担的此种不作为侵权责任加以认定。

　　由于互联网高度技术化和信息化的特征，使得发生于网络空间的风险相较于现实物理场所的风险而言，其愈加具有未知性和不可控性。近些年来，层出不穷的网络安全问题给用户的合法权益造成了巨大威胁与损害，例如在 “僵尸网络事件”中被黑1客控制的众多的计算机在不知不觉中如同僵尸群一样被人驱赶和指挥，成为被人利用的一种工具。而网络信息技术高度专业化的特点，又使得置身于网络空间中的广大普通用户在面对网络安全问题时囿于技术上的局限性而缺乏必要的自我保护能力。网络运营者一方面开启作为危险源的网络平台，另一方面掌握自身平台系统的核心操作权限与技术，因此只有网络运营者具备分析网络平台中安全问题的具体情况、并据此采取必要且可行的防范措施的能力。

　　网络运营者开启网络服务平台以后，网络用户便可自由地进入其中开展相应的社会交往活动和商业交易活动。在此过程中，运营者一般不会主动干预网络用户在平台上的各项活动，其职责仅为保障网络平台的正常运行。而过错责任建立在矫正正义的基础上，即通过要求行为人承担损害赔偿责任从而起到纠正乃至抑制不法行为的目的。对于网络用户在平台中遭受的权益损害而言，囿于网络运营者在此过程中自身并无直接的不法行为，所以依据传统过错责任并不能令其承担网络安全问题引发的用户致害责任。但网络运营者作为网络平台的经营者与控制者，在提供平台服务的过程中不但获取了大量经济利益，而且基于自身的地位对于网络安全隐患具有特殊的控制力，因此将其从网络风险的责任主体中排除有违法律的一般公平理念。而危险责任的引入正在于解决此问题。危险责任建立在法律许可的各种 “危险活动”的基础上，认为任何人只要引致或利用了特殊危险，就应当对此种危险给他人造成的损害承担赔偿责任，其体现了损益相当的基本正义观念。但认定危险责任的前提在于危险活动必须属于 “高度危险的状态”。网络平台的开启虽然带来了交往危险，但似乎并不满足 “高度危险”的要求。而安全保障义务采用过错推定的方式，一方面得以对网络空间风险责任进行分配，另一方面又避免了因危险责任的过于严苛而导致网络服务商承担过重的责任，可以起到沟通过错责任和危险责任的桥梁作用。

　　（ 四） 安全保障义务在网络中体现的新特征。

　　网络空间不同于现实物理空间，其自身特征决定了安全保障义务在网络空间的适用有其特殊之处。

　　1。 义务主体的特殊性。

　　传统安全保障义务强调义务主体的一般性，凡在社会交往中开启危险，致使他人受损的潜在危险程度升高之人都需对该他人承担相应的安全保障义务。但在网络环境中情况却存在差别。诱发网络安全问题的主体可分为两类，一类是网络运营者，另一类是普通网络用户，但承担网络安全保障义务的主体应仅限于网络运营者。因为基于网络平台高度技术化的特征，普通网络用户无论是在技术掌握上、规则把控上亦或是对平台状况的了解上，都很难担负起保护他人的义务，只有具备专业素质的网络运营者才能对网络平台的安全进行保障。此外，由于网络用户群体具有身份上的不确定性与地域位置上的分散性，在其违反安全保障义务的情况下追责的经济成本也过高。因此对于网络平台内部信息系统的安全性问题，只有对其进行开发设计的网络运营者才可以发现系统本身存在的安全问题从而进行程序上的升级完善； 对于第三人在网络平台中侵害网络用户权益的问题，也只有网络运营者才可以凭借其对网络平台控制力通过技术手段加以制止。基于以上原因，笔者认为，网络安全保障义务的主体具有特殊性，仅限于网络运营者。

　　2。 权益保护范围的特殊性。

　　传统安全保障义务制度起源于特定主体对于其控制下的人、物以及场所的保护义务，虽强调权益保护范围的一般性，但却仍是以物质形态的人身和财产权益为主。而在网络空间中，计算机硬件设备充当了网络侵权与网络用户本身之间的缓冲中介，所以网络安全保障义务的客体范围主要限于非物质形态的各种权益。网络安全保障义务保护的权益范围主要可分为两大类： 第一类是系统本身的安全性与稳定性。网络运营者必须保障其开启的网络平台在技术架构、程序设计以及代码编排上的安全性，能够在合理程度上抵御黑1客攻击、病毒侵害以及木马感染等安全威胁，从而防止网络用户遭受损失。另一类是防止第三人利用网络平台对网络用户合法权益进行侵害。这主要涉及网络用户非物质形态的民事权益，其主要有以下三类： 一是具有抽象人格利益的名誉权、隐私权、姓名权、肖像权等； 二是具有信息财产特性的着作权、专利权、商标权、商业秘密权等； 三是存在于网络空间的财产利益，如银行账户、网络虚拟财产等。

　　3。 义务认定标准的特殊性。

　　笔者认为，相较于传统物理场所的安全保障义务，网络平台安全保障义务制度中网络运营者的注意程度应加以降低。一方面，网络信息技术的发展日新月异，即使是具有专业素养的网络运营者也不能够保证时刻站在技术发展的最前沿，因此其保障网站系统安全性与稳定性的义务必须限制在合理的范围内。另一方面，由于网络环境具有虚拟性，这导致用户在网络平台中的活动具有时空上的不确定性和开放性，没有时间节点与地域空间上的限制。这就加大了网络运营者发现和认定网络平台中发生的侵权行为的困难性。加之大数据时代背景下，海量的网络信息充斥着每一个网络平台，这导致侵权信息的排查同时存在技术上的困难与经济成本的增加。因此，如对网络安全保障义务施加与传统安全保障主体一致的注意程度则有失偏颇，宜放宽对其注意程度的认定标准。

　　三、网络安全保障义务的制度架构阐释。

　　在网络社会交往中若失去了平台系统的安全性，也就失去了网络平台中其他一切活动的安全性。这在一定程度上表明网络社会的交往安全问题相较于现实社会的交往安全问题更为纯粹，其本质上就是一个平台系统的安全问题，而架构制度化的网络安全保障义务正是解决网络安全问题的重要途径。

　　（ 一） 网络安全保障义务的主体。

　　经过前文论证，我们将网络安全保障义务的义务主体明确为网络运营者。从公法角度来讲，2016 年 11 月出台的 《网络安全法》 将网络运营者的范围定义为网络的所有者、管理者和网络服务提供者，但条文并没有明确三者之间的区别。从私法角度讲，无论是大陆法系国家亦或是英美法系国家对于网络运营提供商的定性和分类也都未得出统一结论。从我国的立法来讲，2009 年出台的 《侵权责任法》对于网络服务提供者 （ 即网络运营者） 的概念与范围也未加以明确规定。究其原因在于网络技术的发展日新月异，网络社会的状况瞬息万变，网络服务的种类也在不断地更新换代，因此无论是理论界还是实务界都无法对网络运营者的种类进行总结性确定。恰恰相反，对网络服务提供商进行分类并不会有助于我们认识其内涵，反而会割裂我们对网络运营商法律地位的整体性认识。

　　但针对网络社会的发展状况，笔者认为，未来一段时期内网络运营者应以网络平台服务商为主。现今我们已处于互联网 Web2。 0 时代，原来由网络运营者主导的站式信息交流方式转变成为由网络用户主导的自媒体信息交流方式。在此背景下，网络运营者在网络社会交往中的角色定位正向为网络用户提供信息交流的平台场所，并保障此平台正常运行所需要的安全性和稳定性方面转变。笔者认为，网络平台运营者根据平台服务领域的不同一般可分为三类： 一是提供搜索平台的运营者，以百度、谷歌等为代表； 二是提供通讯、社交平台的运营者，以腾讯微信、新浪1微博等为代表； 三是提供电子商务交易平台的运营者，以淘宝、亚马逊等为代表。

　　网络安全保障义务制度的权利主体为接受网络平台服务的广大网络用户自不待言，笔者在此通过对网络用户与网络运营者之间法律关系的厘定来探讨网络安全保障义务的不同适用标准。根据网络用户是否与网络运营者订立 “用户服务协议”等合同文本，大致可将网络用户分为注册用户 （ 存在合同关系） 与非注册用户 （ 不存在合同关系） 。若网络运营者与网络用户在 “用户服务协议”中对运营者保障网络用户平台使用安全的义务加以约定，则此种约定义务可称为意定的网络安全注意义务。侵权法中安全保障义务作为法定的注意义务，所起到的当属最低限度的保障作用，达到保证网络平台基础安全的标准即可。而在网络运营者与网络用户之间订立的合同中，双方可以约定较高程度的保障义务。一旦网络用户在网络平台遭受损害，不管产生的原因是平台系统本身的安全问题亦或是第三人利用网络平台的侵权行为，网络用户可以依照请求权竞合的相应规定，选择对自己最有利的途径寻求合同法或侵权法上的救济。

　　（ 二） 网络安全保障义务类型和标准的认定。

　　网络安全保障义务的类型具有不确定性和变化性，这是由网络信息技术的发展日新月异，网络安全隐患的爆发层出不穷所导致的，这同时也决定了我们只能在模块化的安全领域对保障义务的类型其加以探讨。结合 《网络安全法》的相关规定，可将网络安全划分为网络服务安全、网络运行安全、网络数据安全与网络信息安全四大领域。网络服务安全主要是指网络运营者在提供网络服务过程中不得设置恶意程序，同时应及时向用户告知系统中存在的安全缺陷、漏洞等风险并采取补救措施，在规定或者与当事人约定的期间内持续提供安全维护服务等； 网络运行安全主要是指网络运营者按照网络安全等级保护制度的要求，采取相应的管理措施和技术措施，防范计算机病毒、网络攻击、网络入侵等危害网络安全行为，例如制定网络安全事件应急预案，记录、跟踪网络运行状态等； 网络数据安全一方面要求网络运营者采取数据分类、重要数据备份和加密等措施，防止网络数据被窃取或者篡改，另一方面要求网络运营者加强对公民个人信息的保护，防止公民个人信息数据被非法获取、泄露或者非法使用等； 网络信息安全一方面指网络运营者应严格执行网络身份管理制度即网络实名制，以保障网络信息的可追溯性，另一方面要求网络运营者发现法律、行政法规禁止发布或者传输的信息，应当立即停止传输，同时采取删除、屏蔽等处置措施，防止信息扩散，并保存有关记录。

　　网络安全保障义务的责任认定标准是司法实践中对于运营者在具体的网络安全领域采取何种程度的保障义务的判定依据，是对法官自由裁量权的引导。笔者认为，对于网络安全保障义务责任认定的标准可以从以下三个角度论述。

　　1。 网络安全问题的可控性与网络用户的合理期待。

　　危险的可控性分为法律上的可控性与事实上的可控性。法律上的可控性是指义务人控制危险不存在法律上的障碍。对于网络运营者而言，在其防范网络服务平台安全问题的过程中，只要其采用的技术防护手段不损害其他网络用户的合法权益，便不会存在法律上的障碍。事实上的可控性是指义务人控制危险不存在事实上的障碍，具体是指网络运营者根据其现有的技术能力能否对网络平台的安全问题加以控制。笔者认为，在事实上的可控性方面应当采纳 “现有时点”的标准，即如果网络用户损害的发生是由于在发生时点之前已经为网络服务业界所熟知的安全风险问题造成的，那么网络运营者因未能履行预防或制止该危险发生的义务，应当对网络用户的损害承担责任； 但如果网络用户遭受的损害是由发生时并不为业界所熟知的新的安全风险造成的，则网络用户对于此损害的发生就不应期待网络服务商负有相应的作为义务，其损害也就不能完全由网络运营者承担。网络安全保障义务的标准要参照网络用户的 “合理期待”加以认定，意味着个案的认定标准取决于安全问题发生时的具体情境并随其变化而变化。

　　2。 网络安全问题的自身特点与网络用户自我保护的可能性。

　　网络安全风险本身的特点可以分为风险的严重性和风险的可识别性两方面。笔者认为，网络安全风险的严重性可以通过 “风险实现的可能性”、“损害后果的大小”及 “风险的显而易见程度”这三个因素来加以确定。当支撑网站正常运行的主机服务器出现问题时必然会产生网站崩溃的结果，可谓风险实现的可能性很大； 网站崩溃会造成网络用户正在进行的一切网络交往活动中断并丧失尚未保存全部的信息，可谓损害后果严重； 第三人在网络服务平台的明显位置发布诽1谤网络用户名誉权的信息，网络服务商只需要简单地关键词检索便可锁定侵权信息，可谓风险显而易见。风险的可识别性有两种意义： 一是对网络运营者而言，网络风险只有可以被识别才具有可以被防免的可能性，网络运营者才存在因未尽到积极的作为义务而承担责任的问题； 二是对网络用户而言，网络安全风险的可识别性与其自我保护的可能性紧密相关。如果网络安全风险可以被一个谨慎行事的普通网络用户及时观察到并采取必要的防范措施，就可以免除网络运营者的责任。因为网络运营者相信潜在的受害用户有足够的能力识别安全风险，并进行自我保护。与此同时，网络用户自我保护的可能性对于网络安全保障责任认定标准的影响还集中体现为： 处在危险范围内的潜在受害人的抵抗力越弱，网络运营者的责任认定标准也应当越严格。因此网络运营者一般会在网络平台中明示对于未成年人使用平台服务的限制，对于符合使用条件的未成年人，因其自我保护能力相对较弱，网络运营者对其应承担高于一般成年人的安全保障义务标准。

　　3。 网络安全问题的防范成本与网络运营者的收益。

　　成本与收益是责任认定标准中始终需要考量的两个因素。因此考虑到风险控制的成本，网络安全保障义务的确立不能对网络运营者课以过重的责任。例如，网络消费者不能期待淘宝、京东等网络购物平台不出现任何假冒伪劣产品与侵害他人知识产权的产品，因为网络运营者若对整个平台实时更新的海量信息进行监控，其成本将过于庞大且不现实。网络运营者的经济收益对于其责任承担标准的影响应从以下三个层次进行分析： 首先，网络用户对于网络服务平台的免费使用绝不意味着网络运营者安全保障义务的免除。一方面，网络安全保障义务核心的认定标准在于风险控制理论与责任分担理论，而非经济收益理论，另一方面，从网络生活的实际来讲，即使网络运营者没有从网络用户处收取直接费用，其通过服务平台仍然可获得广告费用等间接经济收益；其次，从成本收益角度我们必须承认对于经营性的网络运营者而言，其从网络服务平台中获得的经济收益越大，所应承担的保障义务标准也应越高； 最后，对于那些必须注册并且交纳一定费用才可以登陆使用的网络服务平台，运营者应当承担相较于一般开放式网络服务平台更为严格的安全标准。当然在用户注册过程中会存在网络服务合同关系的达成，若存在意定的安全保障义务标准，网络用户可以根据 “用户服务协议”的内容寻求合同法上保护程度更高的救济。

　　（ 三） 违反网络安全保障义务的责任分配。

　　网络安全问题根据是否有第三人介入充当直接侵权主体可以分为单独侵权与共同侵权两大类。在单独侵权的情况下，网络运营者一方充当了损害结果发生的全部原因力，在共同侵权情况下，除却网络运营者，第三人介入并充当了损害发生的直接原因力。无论是在哪种情况下，对于网络安全保障义务的违反决定了网络运营者责任承担的方式都属于自己责任。在单独侵权的情况下，因为损害完全是由网络运营者造成的，所以损害责任的承担范围比较清晰： 网络运营者承担全部责任； 在共同侵权的情况下，网络服务商和第三人对于损害结果的责任分配问题值得我们探讨。网络安全问题中第二类的共同侵权对应传统安全保障义务中第三人介入的情况。对于二者而言，损害结果的产生本质上都是建立在第三人的积极侵权与网络运营者不作为侵权相互结合的基础上，属于完全间接结合而共同造成他人损害。如果安全保障义务人尽到积极保障义务，则直接侵权人将在一定可能性比例范围内无法实施直接加害行为。基于传统安全保障义务理论，学术界对于在此情况下安全保障人责任的承担性质尚未达成共识。

　　我国 《侵权责任法》第 37 条采纳了 “补充责任”的概念，规定 “管理人或者组织者未尽到安全保障义务的，承担相应的补充责任”。从国内法学界角度讲，对于补充责任的认识也存在分歧。赞同的观点认为，采取补充责任的方式可以实现安全保障义务人与受害人之间的利益平衡。因为对于损害的发生，安全保障义务人仅仅是未尽到一定的注意义务，其不作为仅是提高了损害发生的可能性，究其实质仍是第三人造成的，若令安全保障义务人与直接侵权人承担相同的连带责任则会过于严苛。质疑的观点认为，补充责任的方式是对于侵权责任法上全部赔偿原则的违反，因为其将受害人的损失分为两部分，一部分由安全保障义务人承担，另一部分由第三人承担。安全保障义务人在其存在过错的情况下，不承担责任或仅承担补充责任，实际上是将侵权行为等同于作为过错，排除了不作为过错，违背了过错责任的基本理论。

　　笔者认为，根据传统侵权法责任认定的一般理论： 故意、直接侵权人应承担连带责任，过失、间接侵权人则承担按份责任； 故意、作为侵权者应承担第一顺位的责任，过失、不作为侵权者则承担后一顺位的责任。因此结合安全保障义务过失、不作为侵权性质分析，笔者认为，《侵权责任法》第 34 条中补充责任属于后一顺位的按份责任，对其的理解应为： 直接侵权人承担第一顺位的全部补偿责任，安全保障义务人承担第二顺位、在其过错范围内的比例责任； 在直接侵权人履行全部侵权责任的情况下可以要求保障义务人承担过错范围内的比例责任； 在直接侵权人无法履行全部赔偿责任的情况下，受害人可以要求安全保障义务人承担其过错范围内的比例责任。所以其不同于连带责任，因为连带责任情况下受害人可以要求保障义务人承担第一顺位的全部责任，不存在过错比例的限制。

　　然而在网络安全保障义务制度中，上述对于补充责任的认定方式就显得不甚合理。笔者认为，网络运营者应承担一种更加严格的 “特殊补充责任”。一方面，网络空间的一切行为都必须落实到信息技术层面才具有实现的可能性，网络用户在网络服务平台遭受第三人侵害的情况下不具备现实物理空间中的直接止损能力。受损害的网络用户只能通过请求运营者制止侵害的方式获得实际上的救济，即其只能通过网络运营者这一中介才可以作用于第三人的侵害行为。另一方面，导致网络平台爆发安全问题的侵权行为具有时空上的不确定性与技术上的隐蔽性，网络用户很难凭借自身的力量找出直接侵权人作为求偿的对象。在难以确定直接侵权人的情况下，仍采用补充责任的认定方式难以实现对于网络用户权益的完全救济。笔者认为，在网络安全保障义务中网络运营者和直接侵权人承担的 “特殊补充责任”在对内关系上与普通的补充责任无异，但在对外关系上应打破网络运营者赔偿份额受过失比例限制的保护。对 “特殊补充责任”的理解应为： 首先，仍由直接侵权人承担第一顺位的全部补偿责任，即赋予网络运营者享有先诉抗辩权；其次，网络服务商须承担第二顺位的全部赔偿责任，而非承担过错范围内的比例责任； 最后，无论是直接侵权人还是网络运营者在履行完全部侵权责任的情况下可以按照内部的责任划分比例向另一方追偿。

　　结 语。

　　面对日益严峻的网络安全形势，《网络安全法》的出台无疑为理论界和立法界综合规制网络安全问题提供了一个有利的契机。既然传统安全保障义务制度在网络空间中的适用使得对于网络安全问题的规制在私法上获得了新的制度依据与解决路径，在立法层面必须有所改进以配合理论上的进步。因此，笔者建议在现有 《侵权责任法》条文的基础上通过司法解释的方法对网络安全保障义务加以体现，以明确其在侵权法中的地位。

　　一方面，明确现行 《侵权责任法》第 36 条第 3 款 “网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任”中的 “知道”为“应知”，澄清长期以来法学界对 “知道”应解释为 “明知”或是 “应知”所带来的适用上困惑。在法律逻辑结构上实现网络运营者义务从原有的 “事后救济”向现有的 “事先保障”转变，呼应接下来对于侵权法上 “安全保障义务条款”的补充解释，维护立法体系上的一致性。另一方面，明确 《侵权责任法》第 37 条 “宾馆、商场、银行、车站、娱乐场所等公共场所的管理人或者群众性活动的组织者，未尽到安全保障义务，造成他人损害的，应当承担侵权责任”中的“公共场所的管理人”应包含 “网络运营者”在内，从而将网络运营者划归到安全保障义务主体的范围之内，肯定安全保障义务的制度价值从物理场所向网络空间的扩张，打破其在适用上的场所限制。通过对 《侵权责任法》第 36 条、第 37 条进行司法解释的方法明确网络安全保障义务在侵权法上的地位，使安全保障义务这一悠久的侵权法理论在信息时代实现其应有的制度价值，在适应互联网产业发展需要的同时实现对网络安全问题进行公、私法共同规制的体系性目标。

【分析网络空间安全保障义务的适用价值及制度架构论文】相关文章：

安全保障义务的法律性质研究11-03

计算机节点安全保障分析论文07-06

宗教文化旅游价值及发展分析的论文12-08

浅析安全保障义务的概念及法理基础11-02

探析经营者违反安全保障义务的责任11-03

试论独立董事制度及适用08-29

基于Web的MES系统安全架构设计及分析08-22

分析魏晋文人的生命的价值分析论文08-08

论经营者承担安全保障义务的合理范围11-01

浅谈应急管理后勤保障及应对机制分析论文01-07