分析网络空间安全保障义务的适用价值及制度架构(3)

　　2. 权益保护范围的特殊性。
　　
　　传统安全保障义务制度起源于特定主体对于其控制下的人、物以及场所的保护义务，虽强调权益保护范围的一般性，但却仍是以物质形态的人身和财产权益为主。而在网络空间中，计算机硬件设备充当了网络侵权与网络用户本身之间的缓冲中介，所以网络安全保障义务的客体范围主要限于非物质形态的各种权益。网络安全保障义务保护的权益范围主要可分为两大类： 第一类是系统本身的安全性与稳定性。网络运营者必须保障其开启的网络平台在技术架构、程序设计以及代码编排上的安全性，能够在合理程度上抵御黑客攻击、病毒侵害以及木马感染等安全威胁，从而防止网络用户遭受损失。另一类是防止第三人利用网络平台对网络用户合法权益进行侵害。这主要涉及网络用户非物质形态的民事权益，其主要有以下三类： 一是具有抽象人格利益的名誉权、隐私权、姓名权、肖像权等； 二是具有信息财产特性的着作权、专利权、商标权、商业秘密权等； 三是存在于网络空间的财产利益，如银行账户、网络虚拟财产等。
　　
　　3. 义务认定标准的特殊性。
　　
　　笔者认为，相较于传统物理场所的安全保障义务，网络平台安全保障义务制度中网络运营者的注意程度应加以降低。一方面，网络信息技术的发展日新月异，即使是具有专业素养的网络运营者也不能够保证时刻站在技术发展的最前沿，因此其保障网站系统安全性与稳定性的义务必须限制在合理的范围内。另一方面，由于网络环境具有虚拟性，这导致用户在网络平台中的活动具有时空上的不确定性和开放性，没有时间节点与地域空间上的限制。这就加大了网络运营者发现和认定网络平台中发生的侵权行为的困难性。加之大数据时代背景下，海量的网络信息充斥着每一个网络平台，这导致侵权信息的排查同时存在技术上的困难与经济成本的增加。因此，如对网络安全保障义务施加与传统安全保障主体一致的注意程度则有失偏颇，宜放宽对其注意程度的认定标准。
　　
　　三、网络安全保障义务的制度架构阐释。
　　
　　在网络社会交往中若失去了平台系统的安全性，也就失去了网络平台中其他一切活动的安全性。这在一定程度上表明网络社会的交往安全问题相较于现实社会的交往安全问题更为纯粹，其本质上就是一个平台系统的安全问题，而架构制度化的网络安全保障义务正是解决网络安全问题的重要途径。
　　
　　（ 一） 网络安全保障义务的主体。
　　
　　经过前文论证，我们将网络安全保障义务的义务主体明确为网络运营者。从公法角度来讲，2016 年 11 月出台的 《网络安全法》 将网络运营者的范围定义为网络的所有者、管理者和网络服务提供者，但条文并没有明确三者之间的区别。从私法角度讲，无论是大陆法系国家亦或是英美法系国家对于网络运营提供商的定性和分类也都未得出统一结论。从我国的立法来讲，2009 年出台的 《侵权责任法》对于网络服务提供者 （ 即网络运营者） 的概念与范围也未加以明确规定。究其原因在于网络技术的发展日新月异，网络社会的状况瞬息万变，网络服务的种类也在不断地更新换代，因此无论是理论界还是实务界都无法对网络运营者的种类进行总结性确定。恰恰相反，对网络服务提供商进行分类并不会有助于我们认识其内涵，反而会割裂我们对网络运营商法律地位的整体性认识。
　　
　　但针对网络社会的发展状况，笔者认为，未来一段时期内网络运营者应以网络平台服务商为主。现今我们已处于互联网 Web2. 0 时代，原来由网络运营者主导的门户网站式信息交流方式转变成为由网络用户主导的自媒体信息交流方式。在此背景下，网络运营者在网络社会交往中的角色定位正向为网络用户提供信息交流的平台场所，并保障此平台正常运行所需要的安全性和稳定性方面转变。笔者认为，网络平台运营者根据平台服务领域的不同一般可分为三类： 一是提供搜索平台的运营者，以百度、谷歌等为代表； 二是提供通讯、社交平台的运营者，以腾讯微信、新浪微博等为代表； 三是提供电子商务交易平台的运营者，以淘宝、亚马逊等为代表。
　　
　　网络安全保障义务制度的权利主体为接受网络平台服务的广大网络用户自不待言，笔者在此通过对网络用户与网络运营者之间法律关系的厘定来探讨网络安全保障义务的不同适用标准。根据网络用户是否与网络运营者订立 “用户服务协议”等合同文本，大致可将网络用户分为注册用户 （ 存在合同关系） 与非注册用户 （ 不存在合同关系） .若网络运营者与网络用户在 “用户服务协议”中对运营者保障网络用户平台使用安全的义务加以约定，则此种约定义务可称为意定的网络安全注意义务。侵权法中安全保障义务作为法定的注意义务，所起到的当属最低限度的保障作用，达到保证网络平台基础安全的标准即可。而在网络运营者与网络用户之间订立的合同中，双方可以约定较高程度的保障义务。一旦网络用户在网络平台遭受损害，不管产生的原因是平台系统本身的安全问题亦或是第三人利用网络平台的侵权行为，网络用户可以依照请求权竞合的相应规定，选择对自己最有利的途径寻求合同法或侵权法上的救济。
　　
　　（ 二） 网络安全保障义务类型和标准的认定。
　　
　　网络安全保障义务的类型具有不确定性和变化性，这是由网络信息技术的发展日新月异，网络安全隐患的爆发层出不穷所导致的，这同时也决定了我们只能在模块化的安全领域对保障义务的类型其加以探讨。结合 《网络安全法》的相关规定，可将网络安全划分为网络服务安全、网络运行安全、网络数据安全与网络信息安全四大领域。网络服务安全主要是指网络运营者在提供网络服务过程中不得设置恶意程序，同时应及时向用户告知系统中存在的安全缺陷、漏洞等风险并采取补救措施，在规定或者与当事人约定的期间内持续提供安全维护服务等； 网络运行安全主要是指网络运营者按照网络安全等级保护制度的要求，采取相应的管理措施和技术措施，防范计算机病毒、网络攻击、网络入侵等危害网络安全行为，例如制定网络安全事件应急预案，记录、跟踪网络运行状态等； 网络数据安全一方面要求网络运营者采取数据分类、重要数据备份和加密等措施，防止网络数据被窃取或者篡改，另一方面要求网络运营者加强对公民个人信息的保护，防止公民个人信息数据被非法获取、泄露或者非法使用等； 网络信息安全一方面指网络运营者应严格执行网络身份管理制度即网络实名制，以保障网络信息的可追溯性，另一方面要求网络运营者发现法律、行政法规禁止发布或者传输的信息，应当立即停止传输，同时采取删除、屏蔽等处置措施，防止信息扩散，并保存有关记录。
　　
　　网络安全保障义务的责任认定标准是司法实践中对于运营者在具体的网络安全领域采取何种程度的保障义务的判定依据，是对法官自由裁量权的引导。笔者认为，对于网络安全保障义务责任认定的标准可以从以下三个角度论述。
　　
　　1. 网络安全问题的可控性与网络用户的合理期待。
　　
　　危险的可控性分为法律上的可控性与事实上的可控性。法律上的可控性是指义务人控制危险不存在法律上的障碍。对于网络运营者而言，在其防范网络服务平台安全问题的过程中，只要其采用的技术防护手段不损害其他网络用户的合法权益，便不会存在法律上的障碍。事实上的可控性是指义务人控制危险不存在事实上的障碍，具体是指网络运营者根据其现有的技术能力能否对网络平台的安全问题加以控制。笔者认为，在事实上的可控性方面应当采纳 “现有时点”的标准，即如果网络用户损害的发生是由于在发生时点之前已经为网络服务业界所熟知的安全风险问题造成的，那么网络运营者因未能履行预防或制止该危险发生的义务，应当对网络用户的损害承担责任； 但如果网络用户遭受的损害是由发生时并不为业界所熟知的新的安全风险造成的，则网络用户对于此损害的发生就不应期待网络服务商负有相应的作为义务，其损害也就不能完全由网络运营者承担。网络安全保障义务的标准要参照网络用户的 “合理期待”加以认定，意味着个案的认定标准取决于安全问题发生时的具体情境并随其变化而变化。
　　
　　2. 网络安全问题的自身特点与网络用户自我保护的可能性。
　　
　　网络安全风险本身的特点可以分为风险的严重性和风险的可识别性两方面。笔者认为，网络安全风险的严重性可以通过 “风险实现的可能性”、“损害后果的大小”及 “风险的显而易见程度”这三个因素来加以确定。当支撑网站正常运行的主机服务器出现问题时必然会产生网站崩溃的结果，可谓风险实现的可能性很大； 网站崩溃会造成网络用户正在进行的一切网络交往活动中断并丧失尚未保存全部的信息，可谓损害后果严重； 第三人在网络服务平台的明显位置发布诽谤网络用户名誉权的信息，网络服务商只需要简单地关键词检索便可锁定侵权信息，可谓风险显而易见。风险的可识别性有两种意义： 一是对网络运营者而言，网络风险只有可以被识别才具有可以被防免的可能性，网络运营者才存在因未尽到积极的作为义务而承担责任的问题； 二是对网络用户而言，网络安全风险的可识别性与其自我保护的可能性紧密相关。如果网络安全风险可以被一个谨慎行事的普通网络用户及时观察到并采取必要的防范措施，就可以免除网络运营者的责任。因为网络运营者相信潜在的受害用户有足够的能力识别安全风险，并进行自我保护。与此同时，网络用户自我保护的可能性对于网络安全保障责任认定标准的影响还集中体现为： 处在危险范围内的潜在受害人的抵抗力越弱，网络运营者的责任认定标准也应当越严格。因此网络运营者一般会在网络平台中明示对于未成年人使用平台服务的限制，对于符合使用条件的未成年人，因其自我保护能力相对较弱，网络运营者对其应承担高于一般成年人的安全保障义务标准。
　　
　　3. 网络安全问题的防范成本与网络运营者的收益。
　　
　　成本与收益是责任认定标准中始终需要考量的两个因素。因此考虑到风险控制的成本，网络安全保障义务的确立不能对网络运营者课以过重的责任。例如，网络消费者不能期待淘宝、京东等网络购物平台不出现任何假冒伪劣产品与侵害他人知识产权的产品，因为网络运营者若对整个平台实时更新的海量信息进行监控，其成本将过于庞大且不现实。网络运营者的经济收益对于其责任承担标准的影响应从以下三个层次进行分析： 首先，网络用户对于网络服务平台的免费使用绝不意味着网络运营者安全保障义务的免除。一方面，网络安全保障义务核心的认定标准在于风险控制理论与责任分担理论，而非经济收益理论，另一方面，从网络生活的实际来讲，即使网络运营者没有从网络用户处收取直接费用，其通过服务平台仍然可获得广告费用等间接经济收益；其次，从成本收益角度我们必须承认对于经营性的网络运营者而言，其从网络服务平台中获得的经济收益越大，所应承担的保障义务标准也应越高； 最后，对于那些必须注册并且交纳一定费用才可以登陆使用的网络服务平台，运营者应当承担相较于一般开放式网络服务平台更为严格的安全标准。当然在用户注册过程中会存在网络服务合同关系的达成，若存在意定的安全保障义务标准，网络用户可以根据 “用户服务协议”的内容寻求合同法上保护程度更高的救济。