网络服务提供者的安全保障义务研究

谭小莉,杨纯斌

(1.四川大学法学院，四川成都610000；2.德阳市人民检察院，四川德阳618000)

我国现行《侵权责任法》对网络服务提供者侵权责任和安全保障义务制度采用分别立法方式规制,并且对网络服务提供者安全保障义务缺乏明确规定。伴随着近年来激增的网络侵权案件，尤其是一些新型网络侵权案件，如人肉搜索案、QQ相约自杀案以及网络侵犯名誉权、隐私权案件，现行侵权法关于网络服务提供者不作为侵权的规制的缺陷愈加显露。

学者提出，现实物理场所的基础安全问题在民法理论中是依靠“安全保障义务”制度加以解决的。[1]网络侵权本质上也属于网络安全问题范畴，为解决网络空间的基础安全问题，同时为第三人侵权情况下，判决网络服务提供者承担不作为侵权责任提供理论基础；应将《侵权责任法》所确立的安全保障义务制度涵摄至网络空间，网络服务提供者可作为公共场所的管理人或者群众性活动的组织者，成为安全保障义务制度的适格主体。[2-3]网络服务提供者作为网络平台的经营管理者和利益享有者，由其承担保障网络平台安全的义务在技术上可行、规则上有依；总之，确定网络服务提供者为保障网络安全的义务主体，是基于民法中信赖利益、危险控制理论、收益—风险原则和社会效益最大化等原则，综合考量的结果。[1][3]

“网络服务提供者的安全保障义务”被提出后，学者不仅阐述了网络服务提供者承担网络安全保障义务的合理性，还重点分析了在网络空间适用安全保障义务的正当性、网络安全保障义务的内容[4]，归纳了实践中网络服务提供者是否善尽安全保障义务的认定要点。[1-2]其中，安全保障义务的扩展适用理论[5]和网络服务提供者的社会角色理论[6]，为拓展安全保障义务制度的适用范围至网络空间提供了理论支撑，安全保障义务的适用不应受介质的局限，网络服务提供者履行网络安全保障义务不会阻碍网络行业发展，也不会侵害网络用户的言论自由和通信秘密。[2]另，网络安全保障义务责任的认定标准也是学界关注重点，学者强调网络服务提供者在保障网络安全方面应尽到合理注意义务。[1-2]综上，理论界提出并论证网络服务提供者承担网络安全保障义务的合理性，还进一步探讨违反网络安全保障义务责任的认定问题，但缺少对违反网络安全保障义务责任本身的关注和研究。

一、 《侵权责任法》现行规定的不足

《中华人民共和国侵权责任法》(简称《侵权责任法》)第36条、第37条分别对网络服务提供者(Internet Service Provider,简称ISP)侵权责任和安全保障义务制度作了规定。《民法典侵权责任编(草案)》虽在立法上对网络侵权责任和安全保障义务制度有所完善，如明确ISP的转通知义务，但仍延续分别立法的做法。立法者并无将网络服务提供者责任和安全保障义务制度结合起来的打算，分别立法使“网络服务提供者责任”和“安全保障义务制度”像是两条在永不相交的平行线。但如果我们去探究它们各自的立法范本和规范目的，会发现我国现行侵权法关于网络服务提供者不作为侵权责任和安全保障义务制度的规定的滞后性和局限性。

(一)网络服务提供者不作为侵权责任的落后性及其原因

现行《侵权责任法》第36条第2款和第3款是关于网络服务提供者不作为侵权责任的规定。据此，ISP仅在“接到被侵权人通知后”或者“知道第三人实施侵权行为后”，未履行必要作为义务并且间接导致损害后果的发生或者扩大，才会为自己的消极不作为承担侵权责任。因此，网络服务提供者成立不作为侵权责任①须同时满足时间和不作为两个要件。所谓时间要件是指ISP采取措施的时间点在知道或者接到通知后，ISP无需对他人上传信息的内容合法性进行事先审查；而不作为要件是指ISP未履行采取或者及时采取屏蔽、删除侵权内容等作为义务。最高人民法院曾在判决中指出“天涯公司(即本文所说的ISP)对其用户在信息存储空间中存储的内容没有事先审查义务”②，最终判决天涯公司向从文辉承担侵权赔偿责任，是依据天涯公司收到起诉材料后未及时采取有效的补救措施。由此可见，现行侵权法对网络服务提供者安全保障义务缺乏明确规定③，ISP承担的是一种“事后止损义务”[1]。

究其原因，主要是受其立法范本《数字千年版权法》(简称DMCA)影响，过分注重对ISP利益的保护，而对网络用户合理信赖利益保护不足。DMCA订立时，将ISP按照是否参与内容制作分为两大类，DMCA仅规范不参与内容制作且不以其名义发布相关信息的那类网络服务提供者；其中关于网络服务提供者责任的主要内容可概括为：“红旗”标准、避风港规则、“通知—取下”程序。[7]即DMCA对网络服务提供者的版权侵权责任采限制性规定，具有保护ISP利益的明显倾向性。随着时代的变化，DMCA的落后性逐渐显露。

首先，DMCA制定初，其法律定位是仅针对网络上版权侵权问题的法律规定，但随着DMCA在世界范围内获得认可，它的法律定位已经变为关于网络服务提供者责任的一般性规定。其次，DMCA制定时尚处Web1.0时代，当时ISP的角色仍以工具性、被动性和中立性为特征。[2]随着互联网技术实现巨大的进步和发展，Web2.0时代已经向我们开启。一方面，ISP的类型已变得多样化，包括但不限于提供网络内容服务、空间服务、链接服务、接入服务等多类型的综合性网络服务提供者。相比之下，我国侵权法所规定的ISP的外延远大于DMCA所规定的ISP的外延。另一方面，互联网上信息交流的主导权已逐渐转移到网络用户手中。ISP的角色定位也开始发生相应的转变：开始转变为网络用户提供信息交流平台并保障该平台的安全、稳定运行。根据社会角色理论，ISP应“根据角色定位来实现社会期待、履行义务并承担特定的社会责任”[6]。综上，时代的变化和发展，使ISP的类型得到巨大的丰富和发展，ISP被期望和要求去承担更多的社会责任和作为义务，我国侵权法关于网络服务提供者不作为侵权责任的规定已显露不足。

(二)安全保障义务制度的局限性分析

普遍认为，德国的交往安全义务是我国安全保障义务的法理基础。但在德国，交往安全义务实际上通过“枯树案”(1902)、“道路撒盐案”(1903)等一系列司法判例形成。在“枯树案”中，一颗枯树砸伤原告。原告认为该枯树位于公共道路旁边，其管理人应尽到勤勉忠实的管理人的注意义务。即其应采取措施以避免和防止因枯树折断而砸伤行人，但枯树管理人未尽到此项管理人义务。于是他将枯树管理人作为被告诉至法院，并要求枯树管理人赔偿损失。在“道路撒盐案”中，原告在一块石阶上跌倒。原告认为该石阶属于公共交通的组成部分，在其表面有积雪的情况下，区政府有义务组织人员对路面进行清扫工作。但区政府并没有及时有效的履行此项清扫义务，于是他起诉该区政府要求赔偿其损害。不难发现，这些案件有一个共同点即受害人遭受损害与义务人的消极不作为之间存在间接因果关系。

正是通过上述判例，德国法院才实现对早期罗马法中“不作为不允许请求赔偿”法理论的突破，并且提出“交往安全义务”。虽然，最开始它被广泛适用于道路交通安全领域，但后来，它又被扩展适用于其他社会交往领域中。[8]153交往安全义务以危险为基础构建，它的诞生实现了把危险责任的思想移植到过错责任之中，使不作为侵权责任认定困难的问题得到解决，也为间接侵权确立了责任根据。

在我国，安全保障义务主要是由《人身损害赔偿司法解释》第6条以及《侵权责任法》第37条这两个条文规定的。根据规定我们可以明确两点：首先，我国传统安全保障义务制度的适用对象限于群众性活动的组织者、公共场所的管理人两类主体。其次，其适用介质限于物理性空间。但我们忽视了，在德国，交往安全义务的适用并不受是物理空间还是网络空间的限制。它确立只基于两项事实：开启、参与社会交往和给他人权益带来潜在的危险[1]。基于此，学者指出，将安全保障义务的适用范围限定于两种特定类型的侵权的做法并不合适。[5]故安全保障义务制度的适用不应该受是物理性空间还是虚拟性空间的限制，其适用的侵权类型理应得到扩展。

二、 明确网络服务提供者安全保障义务的正当性及其认定

对现行《侵权责任法》关于网络服务提供者不作为侵权责任和安全保障义务制度的规定的不足进行分析，有助于解决安全保障义务在网络空间的适用瓶颈。但要在侵权法中明确网络安全保障义务是网络服务提供者的法定义务，仍有必要对网络服务提供者承担保障网络安全责任的正当性加以论证。

(一)网络服务提供者负担安全保障义务的正当性分析

在对ISP是否能够成为安全保障义务的适格主体进行分析时，有学者们认为：关键点在于“虚拟空间能否被视为公共场所”[3]；应关注在网络空间中适用后“安全保障义务是否能发挥其应有的制度价值”[1]；可从网络服务提供者的社会角色加以论证。笔者认为，可从现实需要出发，结合理论和实践成果来分析ISP承担网络安全保障义务的必要性。

1.网络侵权问题亟待解决

网络安全、侵权问题是伴随着网络信息产业高速发展产生的，并且近几年网络安全、侵权形势愈发严峻。据统计，近年来每年都有重大网络安全事件发生，中国也是深受其扰的国家之一。为应对网络安全、侵权问题，我国已在公法层面作出努力：《中华人民共和国网络安全法》已经通过并正式施行，该法以保护国家安全和网络安全以及网络用户的合法权益为目的，规定ISP和国家的网络安全保护义务，并规定ISP不履行网络安全保护义务，将受到责令改正、停业整顿以及罚款等行政处罚。据此，我国已在公法层面确立了ISP安全保障义务。

但仅在公法层面对国家和ISP课以网络安全保障义务是否可以解决网络安全问题及由此引发的侵权纠纷？有人会说，《网络安全法》才施行不久，还不能完全看出其对于解决网络安全问题的实际功效，故暂时不能回答该问题。笔者认为，目前的网络安全问题不仅存在于公法层面，它亦渗透在私法领域，所以仅依靠公法层面的《网络安全法》，不足以解决网络安全问题以及由此引发的侵权纠纷，还须有私法层面的配合。另，私法领域的网络侵权案件，显然不能通过适用《网络安全法》得到解决。因此，如果在私法上明确ISP的安全保障义务，不仅可以要求ISP采取事前预防网络侵权行为发生的措施以达到减少网络侵权事件发生的效果，还能据此判定ISP在特定的网络民事侵权案件中的消极不作为有无违反安全保障义务以及应否承担相应的侵权责任。

2.网络服务提供者承担安全保障义务的理论和实践支撑

首先，安全保障义务的实质是一种危险防免义务[5]，它的适用对于介质并无特殊要求。其次，网络空间虽具有虚拟性、无形性等特点，但其作为社会生活的重要组成部分，不仅是进行社会交往的场所，而且其中同样存在对他人财产、人身权益的潜在危险。因此，作为开启和维持网络空间交往的ISP理应承担网络安全保障义务。

德国法院在司法实务中也对网络服务提供者责任进行了完善，《远程媒介法》和《远程通讯法》中有关于网络服务提供者责任的规定，《远程媒介法》的第7条第2款明确规定：对于他人上传的内容，ISP没有主动审查的义务。但是，德国各个法院在审理相关案件时，对于ISP是否负有包括主动审查义务在内的安全保障义务给出的观点，大相径庭。德国联邦最高法院在这个问题上采取了比较中立的立场。根据其观点，可以把ISP的网络安全保障义务分为两个部分来解释和呈现。首先，ISP对正在发生或者已经发生的第三人网络侵权行为有制止和排除的义务。其次，对于在将来具有发生可能性的网络侵权，ISP负有面向未来的审查的义务，即ISP有采取必要措施监测和防控危险及损害再次发生的义务。[2]据此，德国法关于网络服务提供者责任实现了由“ISP对他人上传的信息不负有主动地去审查的义务”到“不仅负有消除正在发生的侵害的义务，而且负有采取预防此类侵害再次发生的措施的义务”的发展。

(二)判定网络服务提供者违反安全保障义务的参考因素

网络服务提供者承担网络安全保障义务既是现实的需要，也有理论的支撑。在司法实践中，判断网络服务提供者是否违反网络安全保障义务，是其应否承担安全保障义务责任的前提条件。那么，判定网络服务提供者是否尽到安全保障义务有考量哪些因素呢？

1.网络服务提供者尽安全保障义务是否技术上可行且经济上合理

一般认为，ISP的注意标准应高于普通个人，应尽到“一个理性的、谨慎的、具有网络专业知识的网络服务提供商”的注意；故ISP所应尽到的注意义务，客观上应与其具备的专业技术能力和基本法律知识相匹配，如果ISP采取某项安全保障措施在技术上已经成熟，如关键字过滤技术，便可以要求其采取这一措施。[2]另，考虑到网络科技的发展如坂上走丸，因此，对ISP在保障网络安全方面的技术要求应采纳“现有时点”的标准[1]，即个体网络服务提供者只需尽到与自己所处时代网络行业所拥有的技术水平相当的注意义务即可。如2017年勒索病毒出现时，它在ISP的防病毒库中是不存在，故ISP对当时爆发的WannaCry勒索病毒攻击，给网络用户造成的损失无须承担不作为侵权责任。但随着防病毒库的更新，ISP也应对防病毒软件进行更新，以监测、防范和阻止此病毒样本进行二次攻击。总之，判断ISP是否违反安全保障义务，关键要看其采取此项安全保障措施是否在技术上具有可行性；若技术上可行性成立，则意味着采取此项安全保障措施的技术成熟，ISP未尽到此项安全保障措施就违反安全保障义务。

根据风险—收益相一致原则，要求ISP采取有关网络安全保障性措施时，应考虑其从网络中赚取的收益和风险防范措施的成本的比例关系，使它们保持在相对合理的比例中。防范风险措施的成本费用越高，越不能苛求其实施此项网络安全保障措施；而要求网络用户注册并缴纳费用的ISP应承担比无须注册、无须缴纳费用的ISP更高的安全保障义务。需要明确的是，ISP不直接向网络用户收取使用费、服务费并不意味着可免除安全保障义务。因为ISP还可通过向广告商收取广告费等赚取间接的经济性收益。因此，若ISP取某项风险控制措施的经济成本合理，但其未采取，就属于未尽到安全保障义务。

2.网络服务提供者尽安全保障义务是否属于网络用户的合理期待

不可否认，“进入某空间领域的社会成员对该场所的安全有合理的信赖期待，要对社会成员这一合理的信赖利益进行必要的保护”[3]，是安全保障义务产生的原因。同理，身处网络时代的每一个网民，对于正常的网络使用行为，也有同样的信赖期待。虽然ISP应采取措施保护网络用户的期待利益，但是从法律上强加给网络服务提供者的安全保障义务，应止步于其采取的网络安全保护措施满足网络用户的合理期待，而不能要求其采取网络安全保障措施去满足网络用户的不合理期待。如不能苛求新浪微博采取侵权防范措施以保证其平台上完全不出现第三人发表有损他人人格权益的语言文字的现象。

一方面，网络安全保障措施当且仅当满足网络用户对于网络安全合理的信赖期待；另一方面，也应兼顾ISP对于网络用户自我保护能力合理的信赖期待。具体来讲，作为潜在的受害人的网络用户如果对于网络中的某项危险具有认识和防范能力，那么ISP就有合理的理由相信网络用户会采取适当的措施来避免和防止损害的发生。不论网络用户是否因此遭受损害，ISP均可免除责任。[1]此外，ISP对具有较弱危险认识能力和危险控制能力的人要负担比一般的正常的成年人更重的安全保障义务。如含有色情、暴力等内容的网站，应在网络用户登录时向其告知网站内容，并注明“18岁以下禁止观看”。

综上，判断ISP是否违反网络安全保障义务以及应否承担不作为侵权责任时，应从两方主体入手，一方面要看要求ISP采取某项安全保障措施是否在技术上可行，在经济成本上合理；另一方面要看网络用户要求ISP采取的安全保障措施是否是出于其对网络安全享有的合理的信赖期待，是否有违网络服务提供者对网络用户自我保护能力的合理期待。

三、 明确网络服务提供者安全保障义务的法律建议

为应对网络安全、侵权问题，将现行侵权法下的安全保障义务扩张适用至网络空间具有必要性，且理论界也已扫清在网络空间适用安全保障义务的法理障碍。故我国在立法层面也应做出改变以适应理论进步，即在侵权法中明确网络服务提供者的安全保障义务并厘清网络服务提供者违反安全保障义务的责任性质。

(一)网络安全保障义务法定化的路径

若可以直接对《侵权责任法》的条文进行修改，笔者认为有两条路径可行。第一条路径是直接删除《侵权责任法》第36条的内容并改为由其他条文来规定ISP以及网络用户的网络侵权责任。具体操作如下：第36条第1款规定的网络用户和ISP的单独作为侵权的责任直接由该法的第6条来调整规范；第2款和第3款规定的ISP的不作为侵权责任纳入该法第37条的调整范围之内，明确把网络空间纳入公共场所的范围内，并确定网络服务提供者在安全保障义务制度中的义务主体地位。理由是：根据《侵权责任法》的条文释义可知，该法第6条中的“行为人”包含积极作为的行为人以及消极不作为的行为人两类，④即该条文是对过错侵权的一般性规定和对作为侵权和不作为侵权的统一性规定。而安全保障义务作为一种作为义务，只有当安全保障义务人违反作为义务时才会承担相应的责任。它的产生是为解决与作为侵权相对应的不作为侵权的责任认定的问题的。[5]所以《侵权责任法》上规定的安全保障义务条款其实是对传统不作为侵权中作为义务来源的补充和扩展，其地位相当于该法第6条的附属性条款。第二条路径是直接在《侵权责任法》第36条的网络侵权责任中明确规定网络服务提供者的安全保障义务。

在不能直接对《侵权责任法》的条文进行修改时，网络服务提供者的安全保障义务还可以通过司法解释的方式加以确立。操作如下：第一，将《侵权责任法》中第36条的第2款所规定的通知规则下的侵权责任的适用程序由“通知—取下”程序修改完善为“通知—取下—扫描”程序，即ISP不仅负有消除和制止正在发生的侵害的义务，而且负有采取预防和避免此类侵害再次发生的措施的义务。第二，明确该法条的第3款中“知道”包括了网络服务提供者“明知”和“应知”这两种主观状态。《侵权责任法》的草案在审议修改过程中曾反复采用“明知”“知道”和“知道或应知道”等不同方式的表述，但是最终在条文中采用了“知道”一词。⑤一直以来学界对于“知道”的内涵应作何解释争议不断。笔者认为“知道”应解释为包括“明知”和“应知”两种主观状态，从立法过程来看，立法者选择法律用语的过程体现了对“知道或应知道”的倾向性，最终在《侵权责任法》中采用“知道”可能是为了法条的简洁，立法之初未预见会产生如此大的争议，而现《民法典侵权责任编(草案)》采用的就是“知道或应知道”的表述。第三，将该法第37条中的“公共场所”解释为包括“网络空间”这一虚拟性空间。

(二)网络服务提供者违反安全保障义务应承担“特殊的补充责任”

根据《侵权责任法》第37条第2款之规定，第三人侵权时安全保障义务人违反安全保障义务承担之责任乃“相应的补偿责任”⑥。说明安全保障义务人享有顺位利益并属于过错责任范畴且其承担责任的数额与其过错程度相当。首先，顺位利益是指在第三人侵权致害时，承担侵权赔偿责任的主体(即第三人和安全保障义务人)在对外承担责任上有顺序的先后之分。其次，过错责任是指安全保障义务人承担侵权责任，必须满足安全保障义务人在主观上具有可以归责的事由要件。最后，所谓与过错相应的责任数额，是指安全保障义务人承担侵权赔偿责任的数额并不是受害人在加害人处不能得到赔付以外的全部数额，它仅限于与安全保障义务人过错程度相当范围内的赔付数额。[9]297-298

我们应当照顾到网络侵权的特殊性，对第三人侵权情况下网络服务提供者所承担的补充责任做出相应的改变。首先，网络侵权具有以下特点：其一，直接责任人具有不特定性和隐秘性，难于查找，因而可能发生受害人向其追偿困难的情形。其二，在网络中侵权信息的传播速度较快、影响范围较大，因而可能对相关受害人造成更大的损害。其三，在第三人实施网络侵权行为时，网络服务提供者的消极不作为往往会对损害结果的发生或扩大产生更加强大的助长作用。[10]210-211鉴于此，应让ISP在第三人实施网络侵权致害时承担一种特殊的补充责任。即在第三人致害的网络侵权中，让有过错的网络服务提供者对外不享有顺位利益和责任数额的限制。受害人可以选择直接向有过错的ISP请求赔偿损失，并且有权要求网络服务提供者对其所遭受的全部损失予以赔偿，网络服务提供者不得主张其享有顺位利益和有责任数额限制的保护。但是网络服务提供者向受害人进行赔偿后即可以按照其与直接侵权责任人的内部责任份额向直接责任人追偿。

综上，可通过以上两种方式在侵权法中明确网络服务提供者的安全保障义务。另，考虑到网络侵权的特点，在第三人实施网络侵权致害时，让未尽到安全保障义务的网络服务提供者承担一种特殊的补充责任。这不仅可以弥补我国侵权法关于网络服务提供者不作为侵权责任规定的滞后性，还可以让安全保障义务制度在网络空间中发挥出应有的制度价值。

结语

总之，对网络服务提供者课以安全保障法定义务，不仅没有理论上的障碍，且有助于解决网络安全问题，保护网络用户的合理信赖利益。本文不管是论证网络服务提供者承担安全保障义务的正当性，还是分析判断网络服务提供者违反安全保障义务的参考因素，亦或是探讨网络安全保障义务法定化的路径和违反网络安全保障义务责任的性质，最终目的都是想架构起网络安全保障义务制度。

注 释：

①不作为的侵权行为，是指依据法律法规规定、合同约定、先前行为等对他人负有的某种作为义务，未尽到该作为义务而致他人损害的行为。参见王利明《侵权责任法》，中国人民大学出版社2016年版，第12页。

②中华人民共和国最高人民法院(2012)民提字第16号民事判决书。

③让ISP承担网络安全保障义务则意味着，ISP负有保障网络安全以及稳定运行的法定义务。比如，ISP在未发生网络侵权行为之前必须采取必要的预防措施，如利用关键词过滤技术查找、监控侵权内容，监测并记录网络运行的状态，采取措施防范计算机病毒以及网络攻击等。

④《〈侵权责任法〉释义第六条》，参见https://www.baidu.com/link?url=5-ljHoYPEs3cG8lYoeGsoM9PizRLCN8EG78mEy-j-GH6XciIGb_j38ey_2DVk4S7yPErd2sJlJ4nYKl3nmpIY91bFTNvC8CZhykcmtkRokq&wd=&eqid=edb808d200019754000000

035acb2254。

⑤《侵权责任法(草案)》二审稿使用的“明知”，三审稿使用的“知道”，四审稿使用的“知道或应知道”，最终《侵权责任法》采用了“知道”；现《民法典侵权责任编(草案)》采用的是“知道或应知道”。

⑥“只有在受害人无法从直接责任人那里获得救济的情况下，补充责任人才承担责任”“《侵权责任法》上的补充责任大多是相应的补充责任，补充责任人的责任范围一般需要根据补充责任人的过错程度与原因力大小来确定。”参见王利明《侵权责任法》，中国人民大学出版社2016年版，第16～17页。