法治建设•网络运营者的网络信息安全义务

 2018-01-03 17:13   谢永江

  网络运营者,特别是大型网络服务提供者,往往拥有上亿的海量用户,它们是网络治理的关键性主体,它们所经营的网络平台是网络社会中最重要的节点,向上面对政府,向下面向市场和网络用户。我国对网络的管理上主张“谁运营谁负责”“谁接入谁负责”,强调网络运营者的“主体责任”,要求网络运营者对其运营的网站和提供的网络服务承担信息安全义务。实务中,对网络运营者的网络信息安全义务的具体内容和范围一直存在边界不清的问题。本文拟结合《网络安全法》,对网络运营者的网络信息安全义务进行梳理分析,以期厘清责任边界,利于《网络安全法》的落实。

  网络运营者的网络信息安全义务之演进

  美国于1998年出台了《数字千年版权法》(Digital Millennium Copyright Act,DMCA),规定了“避风港规则”和“红旗规则”,对网络服务提供者的责任进行限定。我国《侵权责任法》第36条、《消费者权益保护法》第44条、《信息网络传播权保护条例》《最高人民法院关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等法律、法规和司法解释也引入了“避风港规则”和“红旗规则”,对网络服务提供者的网络信息审查义务和责任进行了限定。所谓“避风港规则”是指,如果网络服务提供者使用信息定位工具(包括目录、索引、超文本链接、在线存储网站等)涉嫌侵犯他人的著作权,在网络服务提供者能够证明自己不存在恶意,也未从该网络服务商有权利和义务进行干预的侵权行为中直接得到经济利益,并且在知道侵权事实或接到侵权通知后及时删除侵权信息或者断开有关信息链接的情况下,网络服务提供者不承担赔偿责任。“红旗规则”是“避风港规则”的例外,即如果网络平台上的侵权内容是显而易见的、就像迎风招展的红旗一样引人注目,网络服务提供商就不能装作看不见或者以不知道侵权事实为由来推脱责任。在这种情况下,网络服务商有义务直接删除相关内容或断开链接进行阻止,无需他人告知,否则要承担相应责任。网络服务提供者对网络信息安全问题只负担被动处置义务。我国《网络安全法》进一步明确了网络运营者的网络信息安全义务,正式开启了网络运营者应主动承担网络信息安全义务的时代。

  网络运营者负担网络信息安全义务的必要性

  在网络空间,网络运营者要比普通企业承担更多的安全义务,主要是因为传统的政府管理在网络空间存在不足,政府独立有效承担网络空间的安全管理责任难度较大,需要网络运营者分担部分管理职责。

  政府欠缺管理所必需的信息。政府对网络空间的管理需要大量的信息支持,但政府和网络运营者之间存在严重的信息不对称。政府管理所必需的海量数据往往由互联网企业掌握,政府不得不求助于通常属于被管理对象的网络运营者,以避免管理困境。

  政府欠缺管理所必需的技术手段。网络空间信息技术和应用日新月异,受到技术能力的限制,法律和政府管理手段难以及时跟进。以知识产权保护执法为例,传统上都是通过执法或司法手段删除特定内容或者起诉侵权行为人,但这种方式基本上已经无法阻止全球性的盗版行为,因而对知识产权保护执法的关切点已经转移到中断互联网接入、利用域名体系关闭整个网站或者阻断网站的资金链等方面,而最有能力采取上述措施的就是网络运营者。如果由网络运营者来分担一部分管理责任,显然更有效率。

  网络空间治理需要政府、企业、社会团体和社会公众共同参与,传统以政府为主导的管理模式已无法胜任。传统的社会管理模式以属地管理为主,但网络空间的结构并不适合分区管制的实施。网络空间的开放性使得人们可以在任何时间、任何地点进入到网络空间的任何角落,在这样的平面化社会结构下,传统的管理模式难以适应治理的现实需要,政府对信息的控制能力在削弱,这就要求网络运营者(信息中介)不仅要创造互联网规则和政策,同时也要承担互联网的内容控制职能。

  网络空间的治理更注重预防,而不是事后惩罚。在网络空间,信息发布非常便捷,信息传播非常迅速,违法损害后果常常被网络放大,待到政府事后处理,损害已经造成,损失难以挽回,因此政府的事后处理常常是缺乏效率的。对于至关重要的事前预防和事中监督,政府因缺乏相应的技术和数据支持,常常力不从心,而这对网络运营者来讲,则较为容易做到。

  网络平台具有开放性和公共性,客观上需要网络运营者采取有效措施对风险进行相应的管控。按照责权利相一致原则,网络运营者自然应当维护网络平台的信息安全,防止非法信息传播和扩散,防控安全风险。其实,现实社会中的经营者也负有类似的安全义务。例如,《消费者权益保护法》第18条第2款规定,宾馆、商场、餐馆、银行、机场、车站、港口、影剧院等经营场所的经营者,应当对消费者尽到安全保障义务。当然,这种责任不是绝对的,经营者只要尽到法定的注意义务即可。同样道理,网络运营者在依法配备了相应的安全管理人员,采取了必要的安全技术手段的情况下,也不需要为非法利用网络者所造成的第三者损失承担法律责任。

  综上所述,在网络空间,需要重新配置政府、社会、企业的责任。但政府不能将过多的管理责任推卸给网络运营者,网络运营者的信息安全责任不能超出其风险控制能力和负担能力,否则市场主体负担过重,将阻碍网络经济的健康发展。因此,法律需要对网络运营者的安全管理义务进行明确界定,厘清责任边界。

  网络运营者信息安全义务的主要内容

  网络运营者的网络信息安全义务是一项综合性义务,是一个义务群,涉及到多个方面。我国《网络安全法》第9条总括性地规定了网络运营者的网络安全义务,即网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。《互联网信息服务管理办法》《互联网信息搜索服务管理规定》《即时通信工具公众信息服务发展管理暂行规定》等行政法规和规章则对各个领域网络运营者的网络安全义务作了具体规定。根据我国现行有关法律规定,网络服务提供者通常需要承担以下网络信息安全义务。

  建立信息安全管理制度义务

  网络运营者要落实安全管理责任,首先就需要建立健全内部安全管理制度。《网络安全法》第21条规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。《互联网信息服务管理办法》第6条规定,从事经营性互联网信息服务,应当有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度。《互联网信息搜索服务管理规定》《即时通信工具公众信息服务发展管理暂行规定》《网络食品安全违法行为查处办法》等规章也根据各领域不同特点,要求网络服务提供者建立健全各项制度,落实安全管理责任。

  信息安全管理制度的具体内容并没有统一规定,不同领域的网络运营者会有些差异,大体上主要包括用户信息安全保护制度、信息审核制度、公共信息实时巡查制度、信用管理制度、应急处置制度、投诉和举报制度等。

  用户信息审核义务

  根据信息内容的不同,对用户信息的审核涉及用户身份信息的审核和业务信息的审核。

  对于用户身份信息的审核,《网络安全法》第24条规定了网络实名制,即网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。据此,网络运营者开展上述6项服务时,有义务审核用户提供的身份信息。身份信息主要包括姓名或名称、地址、联系方式、营业执照、资格证书或其他证明文件等。

  网络运营者除了对用户身份信息进行审核外,还要对某些业务信息履行审核义务。例如,根据《互联网广告管理暂行办法》第12条的规定,网络广告发布者应对互联网广告等商业性信息进行审核,应当查验有关证明文件,核对广告内容,对内容不符或者证明文件不全的广告,不得设计、制作、代理、发布。又如,《移动互联网应用程序信息服务管理规定》第8条规定,互联网应用商店服务提供者应当对应用程序提供者进行真实性、安全性、合法性等审核。

  公共信息巡查义务

  网络信息巡查制度最早见于《互联网上网服务营业场所管理条例》第19条。根据该条规定,互联网上网服务营业场所经营单位应当实施经营管理技术措施,建立场内巡查制度,发现上网消费者有违法行为的,应当立即予以制止并向文化行政部门、公安机关举报。之后该制度被逐渐推行到线上。《网络安全法》第47条规定,网络运营者应当加强对其用户发布的信息的管理,而对网上公共信息进行巡查则是一项有效的信息管理手段。工信部《通信短信息服务管理规定》、公安部《互联网危险物品信息发布管理规定》、国信办《互联网信息搜索服务管理规定》等规定均要求网络服务提供者对公共信息进行实时巡查。

  公共信息巡查义务是基于网络平台的开放性和公共性,所需要巡视的信息限于公共信息,对于个人通信信息和具有私密性的小范围群聊信息,网络运营者无权巡视。

  告知督促义务

  告知督促义务主要是要求网络运营者在网站上公布有关规章制度,在用户协议中明确有关义务和责任,并督促用户履行义务。《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《互联网用户账号名称管理规定》第4条规定,互联网信息服务提供者应当完善用户服务协议,明示互联网信息服务使用者在账号名称、头像和简介等注册信息中不得出现违法和不良信息。《移动互联网应用程序信息服务管理规定》第8条规定,互联网应用商店服务提供者应当督促应用程序提供者保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现;督促应用程序提供者发布合法信息内容,建立健全安全审核机制,配备与服务规模相适应的专业人员;督促应用程序提供者发布合法应用程序,尊重和保护应用程序提供者的知识产权。

  保障信息安全义务

网络运营者在运营中会收集大量的个人信息,保障个人信息安全是网络运营者的基本义务。《网络安全法》第41条规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施。《消费者权益保护法》第29条第2款也规定,经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。

  违法信息处置义务

  当网络运营者发现其用户发布违法信息时,应当立即采取措施进行处置。《互联网信息服务管理办法》第16条也规定,互联网信息服务提供者发现其网站传输的信息明显属于违法信息的,应当立即停止传输,保存有关记录,并向国家有关机关报告。根据《互联网新闻信息服务单位约谈工作规定》第4条的规定,互联网新闻信息服务单位未及时处置违法信息情节严重的,国家互联网信息办公室、地方互联网信息办公室可对其主要负责人、总编辑等进行约谈。

  投诉处理义务

  网络运营者建立网络信息安全投诉、举报制度后,应及时受理并处理有关网信息安全的投诉和举报。《网络安全法》第49条规定,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》等规定进一步明确,服务提供者应自接到投诉之日起15日内答复投诉人。《互联网新闻信息服务单位约谈工作规定》第4条规定,互联网新闻信息服务单位未及时处理公民、法人和其他组织关于互联网新闻信息服务的投诉、举报情节严重的,国家互联网信息办公室、地方互联网信息办公室可对其主要负责人、总编辑等进行约谈。

  配合监督检查的义务

  网络运营者对有关部门依法实施的监督检查,应当依法予以配合。《网络安全法》第49条规定,网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。《保守国家秘密法》第28条也规定,互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查。

  信息记录义务

  网络日志包括用户日志和系统日志。用户日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、信息发布、错误信息等。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。网络运营者应保证用户日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足监督检查需要;应采取适当措施保证所有日志同步计时,并确保其完整性。《网络安全法》第21条规定,网络运营者应当留存网络日志不少于6个月。

  报告义务

  网络运营者发现违法信息后,应当向有关主管部门报告。《网络安全法》第47、48条规定,网络运营者、电子信息发送服务提供者和应用软件下载服务提供者发现法律、行政法规禁止发布或者传输的信息的,应当保存有关记录,并向有关主管部门报告。《保守国家秘密法》《互联网信息服务管理办法》《电信条例》《地图管理条例》对此均有规定。

  当发生网络安全事件时,网络运营者也应当向有关主管部门报告,以便在需要时,可以更好地采取应对措施,防范风险的扩散和损失的扩大。《网络安全法》第42条第2款规定,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

  上述各项网络信息安全义务是法定义务,如果拒不履行,经监管部门责令采取改正措施而拒不改正,则有可能触犯刑法,构成拒不履行信息网络安全管理义务罪(《刑法》第286条之一)。

(作者单位:北京邮电大学人文学院,编辑郝娟)