一、问题的提出
自2013年以来,国际网络空间硝烟弥漫,“棱镜门”事件席卷全球,美国被指监听35位国际政要和各国许多重要城市的电话。2018年,某酒店集团开房记录数据泄露,内容涉及大量个人入住酒店信息,包括姓名、身份证信息、手机号、卡号等,约5亿条公民信息,此次数据涉及酒店范围包括多家酒店品牌。2018年5月,江苏淮安警方成功侦破一起公安部督办的“黑客”非法入侵快递公司后台窃取客户信息牟利案件,抓获犯罪嫌疑人13名,缴获非法获取的公民信息近1亿条。
时下,随着大数据的普及和互联网技术的发展,各种“扫脸”、指纹等技术大量用于日常生活中,很多民众反映个人信息大量泄漏,已经成了行走的“透明人”,各类以大数据和信息网络为支撑的牟利及犯罪活动也愈演愈烈。
在这个背景下,我国政府多次提出要加强网络信息安全和数据保护,并着力加强该领域的立法和监管。自2019年《电子商务法》正式实施以来,数据安全、信息保护等其他立法进程也在加紧推进,互联网的监管整体趋严,我国在鼓励创新发展的同时,更加关注行为的合法合规性。目前,《网络安全法》和国务院《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》、电信条例等法律法规已经基本形成对网络信息安全和数据保护问题的“合围”,而一直备受期待的《数据安全法》也已经第十三届全国人民代表大会常务委员会第二十九次会议通过,并于2021年6月10日发布。
自2020年6月28日以来,《数据安全法》历经了三次审议与修改,并确定将于2021年9月1日正式施行,这标志我国在数据安全领域有法可依,为各行业数据安全提供监管依据。《数据安全法》明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。
在我国网络信息安全和数据保护体系下,通过提供平台或者通道服务、为使用者通过网络实现其商业、娱乐、公共服务等价值提供帮助的信息网络服务提供者是主要角色,故监管和合规的重心也就放在了信息网络服务提供者之处。然而,大部分网络服务提供者作为商业主体,其行为边界如何,以及在日常经营活动中如何进行必要的合规管理以尽可能规避法律风险便成为了一个重要课题。本文在信息网络安全的背景下,聚焦于网络服务提供者相关法律法规及司法实践,对网络服务提供者的合规运营提供法律上的说明和分析,以襄助体系完善和合规引导。
二、网络服务提供者在民商事领域的合规要求
(一) 网络服务提供者的认定
《关于加强网络信息保护的决定》第五条和第六条以服务类型的不同将网络服务提供者规定为“网络信息传输者、网站接入服务提供者、固话/移动电话入网服务提供者和信息发布服务提供者”。《信息网络传播权保护条例》第十四条、二十条和二十一条分别将“网络服务提供者”划分为信息存储空间服务提供者、搜索服务提供者、链接服务提供者、网络自动接入服务提供者和自动传输服务提供者。《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》第四条至第六条将内容服务提供者也纳入到“网络服务提供者”的范畴。
而最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第一条则从犯罪认定角度给“网络服务提供者”提供了更具体的表现形式,包括:(一)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(二)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(三)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。
从上述规定可见,“网络服务提供者”主体既包括民营企业,也包括政府机关、其他社会组织等,行为性质既有营利性也有非营利性,行为内容涵盖了传统的直接向用户提供音视频内容的网站(如爱奇艺、腾讯视频);提供音视频搜索并获取链接或P2P下载种子的网站或软件客户端(如快播);以及由网络主播向用户提供涵盖音乐、舞蹈、游戏解说等各种领域的音视频直播网站(如斗鱼直播、熊猫直播),也包括以淘宝、天猫为代表的第三方交易平台以及以京东自营、亚马逊自营为代表的直接面向消费者提供商品的网络商品经营者。归纳言之,“网络服务提供者”大体上可以划分为技术服务提供者和内容服务提供者两类。
结合上述法律规定及法理,“网络服务提供者”范围的界定有助于厘清其责任和行为边界。对于技术服务提供者,由于其仅提供接入、缓存、信息存储等技术服务,而不直接向网络用户提供信息,一般而言,其无需对网络用户提供的信息侵犯他人权益的行为承担责任,但如果其主动实施侵权行为,如破坏他人技术保护措施、窃取他人个人信息等,则需承担侵权责任。而对于内容服务提供者,其通常需对发布内容的真实性、合法性负责。故提供的网络服务内容和形式不同,其所承担的责任也就不同。在广州S移动信息科技有限公司与上海X娱乐信息科技有限公司侵害作品信息网络传播权纠纷审判监督案中[注1],网络服务提供者S公司通过提供司法鉴定意见书测试分析其“S搜索”的小说目录、网页框架信息、小说部分章节内容的来源服务器等,以证明其仅提供链接等网络服务,即主张其仅为技术服务提供者。而法院认为,S公司提供的证据不能解释通过“S搜索”中小说界面标注的第三方网址无法观看相应小说内容、“S搜索”页面内容与第三方网站页面内容不一致等情况,对于第三方网站小说收费章节的提供方式亦未予以证明,从而认定其构成侵权。
(二) 司法实践中网络服务提供者的义务和责任
1. 信息安全管理义务
依据《网络安全法》《互联网信息服务管理办法(2011年修订)》及新出台的《数据安全法》等相关规定,网络服务提供者应当履行安全管理义务,采取切实有效预防、识别和应急处置措施,对其服务对象的违法行为采取管理手段,否则将有可能受到监管部门追究,且经监管部门责令采取改正措施而拒不改正的,则可能构成拒不履行信息网络安全管理义务罪。对于网络服务提供者未落实个人信息保护措施,符合刑法第二百八十六条之一规定的,也可能构成该罪名。
2. 通知-删除义务
《民法典》规定“网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。网络服务提供者接到通知后,应当及时将该通知转送相关网络用户,并根据构成侵权的初步证据和服务类型采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任”。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》规定通知内容包括“通知人的姓名(名称)和联系方式、要求采取必要措施的网络地址或者足以准确定位侵权内容的相关信息、通知人要求删除相关信息的理由。”《信息网络传播权保护条例(2013年修订)》规定的通知内容包括“权利人的姓名(名称)、联系方式和地址、要求删除或者断开链接的侵权作品、表演、录音录像制品的名称和网络地址、构成侵权的初步证明材料。”其中,所谓“构成侵权的初步证据”,按照某些学者的观点,其应当包括以下内容:利用网络服务实施侵权行为的网络用户是谁,该用户实施了侵害自己何种民事权益的侵权行为,自己享有该民事权益的证明,为何该行为侵害了该等民事权益等。为了更好地保护民事权益,构成侵权的初步证据的要求是比较低的,并不要求足以证明侵权事实的存在[注2]。需要注意的是,司法实践中,如果权利人事先没有向网络服务提供者专门发送通知而是直接起诉,网络服务提供者在收到起诉状后能够详尽了解到相关情况的,也视为接到了通知[注3]。
另外,删除、屏蔽等措施也不是网络服务提供者可以随意采取的措施,而是要考虑到涉嫌侵权行为的具体情况及可能对他人或公众产生的影响。在贵州F生物科技有限公司与深圳市T计算机系统有限公司等网络侵权责任纠纷案中,北京互联网法院认为,本案相关网络服务提供者在F公司起诉前后,对案涉文章删除与否的态度上均出现了根本性变化。在接到起诉状以后,T公司、W公司未能坚持其首次接到投诉时的立场,不能排除囿于《中华人民共和国侵权责任法》第三十六条第二款及相关司法解释的规定,从片面减少自身诉累以及诉讼风险的角度出发,对案涉文章进行了删除。从本案效果上看,两公司行为有可能导致消费者无从通过案涉文章中的内容,了解到案涉产品的实际情况,从而影响到消费者的知情权。如果为减少诉累以及诉讼风险而让此类行为泛化,将可能妨碍社会公众通过自媒体正确、合理、充分的表达观点。因此本院希望T公司、W公司能够严格依照法律规定,正确适用法律规定,以更加审慎的态度处理投诉,营造开放、包容、有序的互联网生态环境。[注4]
而鉴于《侵权责任法》第三十六条对通知规则的规定过于简单,故此,《民法典》专门采用两条(即第1195条、第1196条)对通知规则的具体适用程序做出了详细的规定,并载明“网络服务提供者接到通知后应当及时将该通知转送相关网络用户,并根据构成侵权的初步证据和服务类型采取必要措施”。换言之,网络服务提供者在收到投诉后并非立即采取删除、屏蔽等措施,而是要听取被投诉相关用户的意见,并进行初步评判,这就对网络服务提供者提出了更高的要求——即网络服务提供者应当要求网络用户必须实名制和提供有效的通信联系方式,方能及时将权利人的证据传递给涉嫌侵权人,且如果转递过程中存在延迟,按照《民法典》的规定,还会承担损害扩大部分的连带责任。
此外,网络服务提供者所采取的必要措施不仅仅是删除、屏蔽等,还需要对多次侵权的行为采取有效防范措施,乃至停止为侵权人提供网络服务。而网络服务提供者是否采取了必要的避免侵权行为发生的措施,结合司法实践,应当根据网络服务提供者对侵权警告的反应、避免侵权行为发生的能力、侵权行为发生的几率大小等因素综合判定。《最高人民法院公报》2012年第1期公布了一例Y时装贸易有限公司诉浙江T网络有限公司及杜某的侵权案件[注5],Y公司发现杜某销售侵权商品的行为后,先后7次向T公司发送侵权通知函,而T公司也先后7次删除了杜某发布的商品信息,该案件的争议点在于T公司作为网络服务提供者是否已采取了必要措施。对此,法院认为,根据T公司网站的用户行为管理规则,其在接到投诉后除删除商品信息外还设置了限制发布商品信息、扣分直至冻结账户等处罚措施,而T公司在知道杜某多次发布侵权商品信息情况下,未严格依照其管理规则,仍为杜某提供网络服务,此是对杜某继续实施侵权行为的放任、纵容,构成帮助侵权,具有主观过错,应承担连带责任。
3. 合理注意义务
按照《民法典》第一千一百九十七条之规定,网络服务提供者在侵权行为中的过错包括对网络用户侵害信息网络传播权行为“明知”或者“应知”,明知容易判断,“应知”则需要结合相关因素进行认定,包括网络服务提供者应当具备的管理信息的能力,其传播的作品、表演、录音录像制品的类型、知名度及侵权信息的明显程度,是否主动对作品、表演、录音录像制品进行了选择、编辑、修改、推荐等,是否积极采取了预防侵权的合理措施,是否设置便捷程序接收侵权通知并及时对侵权通知作出合理的反应,是否针对同一网络用户的重复侵权行为采取了相应的合理措施等方面的因素,来认定网络服务提供者对其网络用户侵害权利人信息网络传播权是否应知。[注6]例如,在贵州F生物科技有限公司与深圳市T计算机系统有限公司等网络侵权责任纠纷案件中[注7],北京市互联网法院认为,在文章真实性与否将涉及消费者知情权及社会公众利益的情况下,T公司接到原告不符合法定条件的侵权通知书后谨慎处理,及时反馈文章评估情况要求其提供初步证明材料的做法是合理的,已经尽到了合理注意义务,不存在任何过错,符合《信息网络传播权保护条例》中规定的“避风港”原则,不应承担任何责任。
4. 其他义务
网络服务提供者还要注意对使用其平台的特定类型用户身份进行验证。比如《中华人民共和国慈善法》规定广播、电视、报刊以及网络服务提供者、电信运营商,应当对利用其平台开展公开募捐的慈善组织的登记证书、公开募捐资格证书进行验证。未履行验证义务的,由其主管部门予以警告,责令限期改正;逾期不改正的,予以通报批评。《互联网域名管理办法》明确了域名注册管理机构、注册服务机构违法开展域名注册服务、未对域名注册信息的真实性进行核验、为违法网络服务提供域名跳转等违法行为的处罚措施。
另外,网络服务提供者有依法配合有关机关的义务。比如《最高人民法院关于互联网法院审理案件若干问题的规定》第五条规定,互联网法院审理案件所需涉案数据,电子商务平台经营者、网络服务提供商、相关国家机关应当提供,并有序接入诉讼平台,由互联网法院在线核实、实时固定、安全管理。《刑事诉讼法》第一百三十七条规定,任何单位和个人,有义务按照人民检察院和公安机关的要求,交出可以证明犯罪嫌疑人有罪或者无罪的物证、书证、视听资料等证据。
三、网络服务提供者可能涉及的主要刑事风险
2019年10月25日,最高人民法院、最高人民检察院联合发布《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,自2019年11月1日起施行。《解释》明确了拒不履行网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪的定罪量刑标准和有关法律适用问题,对于依法惩治相关网络违法犯罪活动,保障网络安全,维护人民群众合法权益起到重要作用,也强调了网络服务提供者的行为可能涉及的刑事风险。就《解释》所载网络服务提供者可能涉及的主要刑事罪名,具体说明如下:
(一) 拒不履行网络安全管理义务罪
为督促有关网络服务机构履行好监管责任,促使网络服务提供者切实承担起安全管理义务,刑法修正案(九)增设刑法第二百八十六条之一——拒不履行网络安全管理义务罪,其表现为网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,且有下列情形之一的:(1)致使违法信息大量传播的;(2)致使用户信息泄露,造成严重后果的;(3)致使刑事案件证据灭失,情节严重的;(4)有其他严重情节的。
就其入罪标准,“致使违法信息大量传播”主要从违法信息传播数量和传播范围两个角度规定了数量标准;“致使用户信息泄露,造成严重后果”主要从用户信息数量和造成后果两个角度作了规定,这与《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》保持衔接和协调,将用户信息区分为高度敏感信息、敏感信息、一般信息,其数量标准按照侵犯公民个人信息罪入罪标准的十倍掌握;“致使刑事案件证据灭失,情节严重”主要考虑涉及刑事案件的重大程度、证据灭失次数、对刑事诉讼程序的影响等因素;“有其他严重情节”主要考虑安全管理义务的重要程度、行为人的主观恶性、打击网络黑灰产业链条的需要以及可能造成的严重后果等因素。[注8]特别是为了落实《网络安全法》第二十一条、第二十四条规定的网络服务提供者按照规定留存相关网络日志和要求用户提供真实身份信息的义务,将“对绝大多数用户日志未留存或者未落实真实身份信息认证义务的”情形规定为入罪标准之一。
该罪名实际上是前文所述信息安全管理义务在刑事领域的延伸,其以“经监管部门责令采取改正措施而拒不改正”作为本罪的前提,这就要求网络服务提供者审慎对待监管部门的审查和处理意见,切莫心存侥幸、铤而走险。
(二) 非法利用信息网络罪
近年来,随着网络信息技术发展,网络违法犯罪活动不断呈现出线下传统犯罪不断向线上网络犯罪迁移的趋势。为了对网络犯罪做到“打早打小”,体现预备行为实行化的立法思路,刑法修正案(九)增设刑法第二百八十七条之一——非法利用信息网络罪。基于该立法目的,《解释》第7条规定:“刑法第二百八十七条之一规定的'违法犯罪',包括犯罪行为和属于刑法分则规定的行为类型但尚未构成犯罪的违法行为。也就是说,该罪名不仅局限于刑法条文列举的诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动,而是包括刑法分则规定的所有犯罪。但对于刑法未规定、仅在治安管理处罚法或者其他法律法规规定的行政违法行为,从罪刑法定原则出发,即使利用信息网络实施,也不应当构成非法利用信息网络罪。[注9]例如,对于买卖驾照计分的行为,目前无法直接追究刑事责任;对于此类行为,即使通过互联网、通信群组发布相关信息的,也不构成非法利用信息网络罪。
值得注意的是,本条规定的犯罪是针对行为人为实施违法犯罪活动而设立网站、发布信息的行为,即只要行为人实施了本条规定的行为,达到情节严重的程度的,即构成犯罪,而并不考虑行为人的行为是否已实现了具体的犯罪目的。如果行为人设立网站、发布信息,并且还实际实施了相关的犯罪行为,则还可能构成其他犯罪,如设立销售毒品的网站,发布销售毒品的信息,并实际销售了毒品,则还构成贩卖毒品罪。这种情况下,其设立销售毒品网站的行为成为其实施贩毒活动的途径或手段,对这种情况,根据该规定,应当按照处罚较重的罪名定罪处罚。
(三) 帮助信息网络犯罪活动罪
为及时调整刑法惩处网络犯罪帮助行为的策略,体现帮助行为正犯化的立法思路,刑法修正案(九)增设刑法第二百八十七条之二——帮助信息网络犯罪活动罪。[注10]根据该规定,构成帮助信息网络犯罪活动罪,以明知他人利用信息网络实施犯罪为前提,而对主观明知的认定,应当结合一般人的认知水平和行为人的认知能力、相关行为是否违反法律的禁止性规定、行为人是否履行管理职责、是否逃避监管或者规避调查、是否因同类行为受过处罚,以及行为人的供述和辩解等情况进行综合判断。[注11]据此,最高人民检察院总结归纳了七种可以推定“明知”的情形:其一,经监管部门告知后仍然实施有关行为的,即网信、电信、公安等监管部门告知行为人,他人利用其提供的技术支持或者帮助实施犯罪,仍然继续提供技术支持或者帮助的。其二,接到举报后不履行法定管理职责的,即行为人接到举报,知道他人利用其提供的技术支持或者帮助实施犯罪,而不按照网络安全法等法律法规履行停止提供服务、停止传输、消除等处置义务的。其三,交易价格或者方式明显异常,即行为人的交易价格明显偏离市场价格,交易方式明显不符合市场规律的。其四,提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助,即行为人提供的程序、工具或者支持、帮助,不是正常生产生活和网络服务所需,只属于为违法犯罪活动提供帮助的专门服务的,比如建设“钓鱼网站”、制作专用木马程序等。其五,频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查的。其六,为他人逃避监管或者规避调查提供技术支持、帮助的。其七,其他足以认定行为人明知的情形。[注12]
需要注意的是,该罪名要求行为人明知,而该明知行为可能被认定为加入到他人的犯罪活动中,构成共同犯罪,即本罪与其他犯罪的共同犯罪如何区分是实务中的难点问题。目前,传统犯罪如诈骗罪、盗窃罪等开始向网络领域蔓延,而网络服务提供者可能就会成为该类传统犯罪行为实施的通道或途径,导致网络服务提供者陷入刑事犯罪的泥潭,而按照我国刑法相关规定,诈骗罪、盗窃罪相较于帮助信息网络犯罪活动罪,量刑明显较重,但由于本罪“明知”的犯罪构成要素,以及我国司法实践中对于“共同犯罪”认定的较大伸缩性,极有可能将本应按照帮助信息网络犯罪活动罪定罪处罚的行为认定为构成诈骗、盗窃等犯罪的共同犯罪,而即使网络服务提供者作为该类犯罪的从犯,其最终的量刑仍可能远远高于本罪的量刑上限,造成罪责刑不适应。
四、结论及合规建议
在网络发展之初,美国《数字千年版权法》最早提供了网络服务提供者责任与违法内容的解决方案,尤其是其设计的“通知-删除”规则在全世界大部分国家的立法中得到了广泛的认可和借鉴。目前,我国已初步形成网络安全合规及监管的规范体系,这对于网络服务的监管以及网络生态平衡的促进提供了引导和规范,也对网络服务提供者提出了更高、更系统的要求。
在该背景下,就网络服务提供者而言,应当更注重制定全面合理的用户协议和隐私协议,明确各方的权利义务和需提示的重要事项;完善数据合规及网络用户行为规范制度;重视知识产权保护与侵权预防;加强用户实名制建设及投诉处理机制,注意识别网络风险特别是刑事风险。网络信息安全和数据保护合规本身是一个极为复杂的系统,涉及多方面权利的兼顾与平衡,需要网络服务提供者适应网络信息安全和数据保护的各项规范并不断更新完善。
注释及参考文献:
[1] 参见(2019)沪民申1273号民事裁定书。
[2] 程啸:“论我国《民法典》网络侵权责任中的通知规则”,《武汉大学学报(哲学社会科学版)》2020年第6期。
[3] 参见(2018)湘0421民初1083号民事判决书、上海市第二中级人民法院(2019)沪02民终6566号民事判决书。
[4] 参见(2018)京0491民初1340号民事判决书。
[5] 参见 (2011)沪一中民五(知)终字第40号民事判决书。
[6] 参见《民法典侵权责任编条文理解与司法适用》,法律出版社2020年7月版,第129-130页。
[7] 参见(2018)京0491民初1340号民事判决书。
[8]《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》重点难点问题解读,https://www.spp.gov.cn/spp/zdgz/201910/t20191027_436313.shtml(最高人民检察院官网,2021年6月15日最后访问)。
[9] 同注8。
[10] 同注8。
[11] 周加海、喻海松:“《关于办理非法利用信息网络,帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的理解与适用”,《人民司法》2019年第31期,第25-29页。
[12] 同注8。