网络安全发展中网络运营者的法律地位探讨
——兼议《网络安全法》(二次审议稿)
■雷丽莉
【本文提要】2016年6月全国人大常委会对《网络安全法》草案进行了二次审议并公布了二次审议稿公开征求意见,本文对此作了思考研究。《网络安全法》涉及国家、网络运营者和网络用户三方主体的权利义务关系,网络运营者是其中一个重要主体。本文从网络运营者的法律地位出发,分析相关规定可能会给网络运营者、网络用户的权利义务以及网络安全带来的影响,并对“草案”提出一些改进建议。
【关键词】网络运营者 法律地位 网络安全 网络用户
【中图分类号】G209
《网络安全法》是我国首部从宏观层面总体为网络安全健康发展提供指引和保障的法律。该法以全国人大常委会立法的形式,把未来网络发展的方针和安全保障制度确定下来,这是史无前例的,体现了党和国家对网络安全发展的高度关注。该法提出,国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设,鼓励网络技术创新和应用,建立健全网络安全保障体系,提高网络安全保护能力。不管从立法的背景、框架结构还是具体的制度设计上,该法都有助于树立社会对于网络未来安全发展的信心,无疑将成为我国未来维护网络安全,实现网络空间法治化,建设网络强国的有力保障。现在该法草案已经过二次审议,并公开征求意见。本文主要从研究者的角度,审视该法的各项制度设计,通过分析网络安全发展涉及的法律关系,在对网络运营者法律地位进行研究的基础上,提出若干一得之见以供参考,以期能使《网络安全法》(本文有时简称“草案”)更好地实现其立法初衷。
一、网络运营者的法律地位
作为“国家网络法制体系中的基本法”,①《网络安全法》开篇即明确了该法的目的是“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”。这意味着我国网络空间将全面走上法治轨道。《网络安全法》主要涉及三方主体的权利义务关系:国家、网络运营者以及网络用户(包括公民、法人和其他组织)。其中,网络运营者是网络空间的形成和运行的核心主体,厘清网络运营者在信息网络传播活动中的法律地位,及其与国家和网络用户间的权利义务关系,才能准确把握我国信息网络未来发展的制度环境。
1.网络运营者的概念
“网络运营者”这一概念是在全国人大常委会的立法中首次出现,此前《电信条例》《互联网信息服务管理办法》都没有出现过这一表述。2015年11月1日生效的《刑法修正案(九)》规定了“拒不履行信息网络安全管理义务罪”,该罪的犯罪主体也是“网络服务提供者”,而非“网络运营者”。只有已经失效的《电信服务标准(试行)》中出现过“网络运营者”,但主要指提供通道、电路段的网络服务提供商。
根据《网络安全法》草案的规定,网络运营者包括三类:网络的所有者、管理者和网络服务提供者。但是,“草案”并没有明确说明这三者的内涵和外延。因此,相关概念还缺乏清晰的界定:例如,网络技术的发展和媒介融合的趋势使得“网络”已由最初的电信网扩展到包括电信网、广电网、互联网的融合发展,即通常所说的“三网融合”。那么《网络安全法》中的网络所有者是否就指这三家?网络的所有者仅指基站和线路的所有者,还是包括网络服务平台的所有者?总体的互联网是没有具体归属的,那么互联网平台的所有者,如网站,是网络所有者还是网络服务提供者?另外,管理包括行政管理和企业内部的管理。那么,网络管理者是所有权和经营权分离情况下的经营者、实际管理者,还是包括行政管理部门?②网络服务的内容与功能越来越多元并不断推陈出新,包括网络接入服务、技术服务、内容服务、平台服务等等,网络运营者是否包含了所有的服务提供者?早期的网络内容提供者(ICP,Internet content provider)和网络服务提供者(ISP,Internet service provider)的区分已无法有效表述所有的网络服务提供者,现在在网络上提供内容主体呈多元状态,那么 OGC、PGC、UGC是否也都属于网络运营者?
“网络运营者”作为《网络安全法》的重要概念应予明确界定。可以肯定的是,“网络运营者”不仅指电信公司,不仅指硬件设施的建设者和维护者,而是广泛得多。即使难以在法律文本中规定,也应该在下位阶的法律文件中作出细则规定。
2.网络运营者的双重身份
从“草案”中关于网络运营者权利义务的规定可以看出,网络运营者的角色和功能具有双重性。首先,网络运营者是市场主体,它与网络用户(包括公民、法人和其他组织)是平等主体间的民事合同关系。其次,网络运营者与其他市场主体有着显著的不同。网络运营者不仅是一个市场主体,还承担着重要的监管职能。如“草案”第45条规定,网络运营者对用户发布信息进行管理,发现非法传输信息的,不但要采取相应措施,还要向有关主管部门报告。
网络运营者之所以会具有双重身份,主要原因在于,互联网新技术的发展,给行政监管带来技术挑战。互联网上海量信息的高速传播,使监管部门无论从技术上还是工作量上都难以承担监管之职。鉴于技术壁垒给监管部门带来的挑战,从操作层面看,就需要网络运营者承担一定的监管功能。这不仅体现在“草案”中,也体现在其他法律的相关规定中。如《刑法修正案(九)》规定了“拒不履行信息网络安全管理义务罪”。可见,要求网络运营者对网信部门和其他有关部门的监督检查予以配合,为公安机关、国家安全机关提供技术支持和协助,可以解决技术造成的监管壁垒问题,对于网络的安全监管和保障至关重要。
同时,网络运营者的服务水平良莠不齐,其在网络安全保障方面的能力也参差有别,而由于技术的壁垒造成的信息不对称,使得网络用户在寻求和享受网络服务的时候很难具有保护自身权利的能力。因此由国家制定统一的网络安全标准,对于保障网络用户信息权利、督促网络运营者加强安全保障措施,无疑有着积极的意义。
但是,网络运营者在网络信息传播中的双重角色决定了其法律主体地位和责任的复杂性。这使得与其相关的权利义务也变得复杂化,因此也难免会带来一些问题,影响到网络产业的发展模式。
3.网络监管:“权力”还是“义务”?
通常而言,监管职能归属于公权力机关,是一项“权力”。但是在信息网络领域,鉴于技术壁垒给监管带来挑战,《网络安全法》将重要的监管职能转移到网络运营者这样的市场主体身上。从“草案”的法律文本来看,网络运营者需要进行监管是一项“义务”,但从其内容上看,这种“义务”又更像是一种“权力”。这是因为,如果网络运营者不履行监管义务,追究其责任的,不是该项义务所对应的“权利主体”——包括公民、法人和其他组织的互联网用户,而是行政主管机关。那么,网络运营者进行安全监管行为的属性是“权力”还是“义务”?
“权力”与“权利”的差别显而易见,比如,主体不同,权力的主体是特定的,而权利的主体是不特定的;内容不同,权力的内容是有限的,仅限于特定程序和方式所赋予或获得的事项,严格以法律的规定内容为限;自主程度不同,权利可以放弃,权力不能放弃等。但是,“权力”与“义务”似乎比“权利”有着更多的相似性。比如,二者都不可以自由放弃,否则会承担责任。《网络安全法》《刑法修正案(九)》中,都是以设定“义务”的形式将公权力机关的“权力”转移到市场主体身上,责任也随之转移到市场主体身上。由于网络运营者是不特定的主体,因此这种转移不符合“权力”主体特定的属性。而是基于实际需要的考量做出的制度设计。这种制度有其有效性,但也给网络运营者带来角色错位,使网络运营者为了履行对行政主管部门的“义务”,而对作为平等主体的网络用户行使“权力”。既然如此,那么就应该厘清其中的权责关系,以保证逻辑自洽、权责相当。
二、与网络运营者双重法律地位有关的问题
1.网络运营者权利义务关系的冲突
网络运营者与网络用户的关系由《民法通则》《合同法》《侵权责任法》等调整。“草案”中并不涉及网络运营者作为民事主体所享有的“权利”。但是,“草案”却大量规定了网络运营者的责任,而这些责任会对网络运营者和网络用户之间的关系产生影响,这使得网络运营者成为实际上的执法主体。而网络运营者本身并不具有执法资质和能力,只是具有一定的技术手段,因此,如果其对于涉嫌违法的信息把握错误,没有依该条对涉嫌违法的信息进行处理,那么可能违反其监管义务,构成违法;如果进行了处理,则有可能构成侵权,也是违法。在民事关系中赋予一方对另一方进行监督的责任,无疑会对正常的民事权利义务关系带来影响。换言之,网络运营者作为监管主体的义务和其作为市场主体的义务有可能发生冲突,从而使网络运营者处于两难境地。
再如,“草案”规定了网络运营者应当对其收集的用户信息严格保密,未经被收集者同意,不得向他人提供公民个人信息。③而与此同时又规定,网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合,应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。④这样的规定,目的在于解决技术壁垒带来的监管难题,但是其可能带来的负面效应也是显而易见的:一方面,会使网络运营者和网络用户之间的民事关系复杂化,从而影响到网络用户民事权利的救济;另一方面,也会给网络运营者带来额外的负担。网络运营者履行监管职责无疑是有成本的,将监管部门的“权力”和“职责”转化为网络运营者的“义务”,会增加网络运营者的负担,而这种负担本来不应由网络运营者承担,而应当由监管部门承担。网络运营者不是行政主体,没有义务也没有责任履行行政管理义务。因此从本质上讲,网络运营者是作为市场主体,利用其技术优势为监管机关提供相应的服务,因此,其为监管而付出的成本应当有相应的补偿机制。如果没有相应的配套制度,这样的规定要么难以落实,要么会影响到网络运营者的积极性,至少会引导网络运营者将业务重心偏向监管责任小的服务。这不利于互联网产业的平衡发展,还有可能影响到相关产业的发展。
另外,值得注意的是,在配合、协助公权力机关监督检查和侦查的义务上,《网络安全法》草案和《电信条例》《互联网信息服务管理办法》以及《全国人大常委会关于加强网络信息保护的决定》的行文有一定差异。其中,《电信条例》的规定最为严格,“除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外,任何组织或者个人不得以任何理由对电信内容进行检查。电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。”而《互联网信息服务管理办法》和仍然在议的《互联网信息服务管理办法(修订草案意见稿)》以及《全国人大常委会关于加强网络信息保护的决定》则规定对“国家有关机关”“有关主管部门”“互联网信息内容主管部门、电信主管部门、公安机关和其他有关部门”履行监督检查职责都应予以配合。值得肯定的是,《互联网信息服务管理办法(修订草案意见稿)》规定了公众有权查阅监督检查记录。
《网络安全法》是在媒介融合发展的背景下制定的,因此对网络运营者对公权力机关的配合和协助义务应确立明确的标准,对相关法律中关于网络运营者配合、协助义务的对象、内容等做出统筹设计,以确保各项法律法规标准一致,避免给网络运营者配合、协助公权力机关造成困扰。
2.双重角色带来的网络信息安全风险
“草案”第23条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。从而为入网和上网实名制再次提供了法律依据。⑤
《网络安全法》作为网络空间的特别法,还进一步就网络运营者如何认定用户真实身份信息作出程序上的规定。“草案”提出的解决方案是,“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”。也就是说,为了使网络运营者有能力核实用户提供的信息是否真实,国家会提供支持,使网络运营者能够确认用户身份信息真实与否。
随着互联网产业的发展,从事互联网服务的企业迅速增加。根据“草案”第23条规定,只要从事互联网业务的企业都可以掌握用户的身份信息,然而这些互联网公司的法律意识、技术水平、网络安全保障能力以及内部管理水平参差不齐。这意味着,大量互联网从业者都可以接触到公民个人信息,这无疑会给公民个人信息安全带来风险。尽管《刑法》将泄露个人信息入罪,但仅靠法律的禁止性规定并不足以保障个人网络信息的安全。当大量互联网企业和从业者都掌握公民身份信息后,如果公民个人信息发生泄露,追查信息泄露的渠道以进行追惩将会是非常困难的事,公民个人寻求救济将十分艰难。可是,如果互联网产业行业限制准入,又无疑会扼杀互联网作为新生产业的创新发展。
因此,尽管从立法上,为了保障公民网络信息的安全做出了大量禁止性规定,但由于这些禁止性规定建立在海量个人身份信息普遍暴露的前提下,比如立法禁止搜集公民个人信息,但对这种行为的监管无疑需要增加大量监管成本,因此实际上并不能有效保障公民个人信息的安全。
3.网络用户如何寻求有效救济
如前所述,网络主体的双重身份,即网络运营者作为监管主体和作为市场主体,可能会带来两种义务的冲突。在这种情况下,网络运营者为自身利益计,其基于监管主体的义务通常会优先被履行,而如果这种履行造成对网络用户利益的侵害,那么,网络用户应该如何寻求救济,向谁寻求救济?是以网络运营者为被告提起民事诉讼,还是以要求网络运营者提供支持的相关机关为被告提起行政诉讼?
如果以网络运营者为被告提起民事诉讼,由于网络运营者涉嫌侵权的行为不是基于自由意志做出的,网络运营者是否可以以此抗辩?这在民事诉讼中是否构成有效抗辩?如果可以以此抗辩,那么,网络用户该如何寻求救济?能够直接以相关行政机关为被告提起行政诉讼吗?如果网络运营者不能以此作为抗辩理由,那么,网络运营者就会代相关行政主体承担民事赔偿责任。那么,当网络运营者认为政府命令会危害网络用户的权利,进而使其可能面临承担侵权责任的风险时,是否有权拒绝执行该命令?什么样的拒绝理由是有效的?网络运营者因配合公权力机关给自身带来损失,如何救济?
以“草案”第48条为例,该条规定,国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。
当相关部门要求网络运营者对网络信息停止传输或采取消除等处置措施时,如果网络运营者认为该信息并非法律禁止发布和传输的信息,是否可以拒绝?如果网络运营者执行了该部门的指令,对信息进行了处理,事后证明该信息并非法律禁止发布和传输的信息,那么,给发布信息的网络用户带来的损失由谁来赔偿?网络运营者是否有权利或义务将发布指令的机关及指令内容告知网络用户?
这些问题的本质是:网络运营者作为代行监管职能的市场主体,以什么身份对公民承担责任?公民可否越过网络运营者起诉要求网络运营者提供支持的机关?网络运营者是否应当将相关信息告知网络用户,以使其能够有效寻求救济?如果这些问题不能明确,那么当网络用户权利受到侵害时,就可能出现网络运营者和相关行政机关互相推诿的情形,从而使网络用户被侵害的权利无法得到救济。
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第14条第2款规定:“擅自篡改、删除、屏蔽特定网络信息或者以断开链接的方式阻止他人获取网络信息,发布该信息的网络用户或者网络服务提供者请求侵权人承担侵权责任的,人民法院应予支持。接受他人委托实施该行为的,委托人与受托人承担连带责任”。那么当网络运营者依照《网络安全法》中的规定,配合网信部门和有关部门监督检查,或者为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助,并因此阻止了相关信息的传播时,其所配合或协助的机关是否属于上述规定中的“委托人”?网络用户如果有所异议,是否可以要求其与网络运营者一起承担连带责任呢?
三、对“草案”的修改建议
《网络安全法》体现了我国网络安全与信息化并重的发展方针,对于我国互联网及相关产业未来的发展有着深远的影响。但是,正如中国人民大学网络犯罪与安全研究中心秘书长谢君泽指出的,目前《网络安全法》草案是以问题为导向,偏向感性经验的总结,学界应该加强网络安全法的基础理论研究,如网络安全法的主体、客体及行为模式等⑥。笔者认为,网络运营者作为互联网产业的核心主体,厘清其法律地位、理顺其权利义务关系是使互联网立法具有逻辑性、体系性的前提,对这一问题的处理势必会影响到《网络安全法》立法初衷的实现。从目前的“草案”来看,在理顺与网络运营者相关的权利义务关系方面,可从以下三个方面着手。
1.通过配套制度使网络运营者权责匹配
执法社会化是应对技术壁垒带来监管难题的可行途径,但它需要相应的配套制度。在对网络运营者的权利义务进行设定时,应充分考量网络运营者的执法能力和大量网络运营者掌握用户信息所带来的风险。应当制定相应的补偿机制和明确的责任机制。如果因网络运营者执行行政命令引发民事责任,利益相关的网络用户的救济渠道应予明确。简言之,要通过配套制度处理好公权力机关、网络运营者和网络用户的关系。
2.充分发挥行业监管机制的作用
网络产业具有很强的专业技术性,直接将监管责任作为义务交给法律意识和技术能力参差不齐的企业,会带来巨大风险,而由监管部门直接管理,又需要投入大量的行政成本。随着网络产业的发展,行业协会应该发挥主要的行业监管职能。对于网络相关行业而言,其专业技术性强的特征,使得行业协会能够发挥作用的空间更大。尽管《网络安全法》第28条规定了行业协会的责任,但并没有将其作为监督网络行业、促进其健康发展的重要一方。因此在未来立法的调整中,不能将行业协会定位为行政主管部门的执行机构,而应是一个独立有效有力的行业自治机构。例如,《网络安全法》规定的将相关违法行为记入网络运营者的信用档案等监管措施,以及从业禁止的规定,都可以由行业协会实施,同时设定相应的救济措施,如由独立第三方仲裁等。
3.明确公权力机关的责任
综观《网络安全法》草案的整个文本可以发现,网络安全支持与促进的主体主要是“国家”,国家是一个宏观而抽象的概念,如果不将职能分配到具体的机构部门,就难以避免出现争夺权力、推诿责任的现象。而且,由于没有明确的主体,基本无法追责,那么这些规定很难落到实处,也有很强的随意性。因此,明确责任部门,是保障立法宗旨能够实现的重要条件。
另外,“草案”在第六章规定了相关的法律责任,涉及国家公权力部门的责任仅有第69条“国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分”和第70条“依法负有网络安全监督管理职责的部门的工作人员,玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分”。网络安全的绝大多数的责任主体都是网络运营者,这与前面“网络安全支持与促进”“网络运行安全”以及“网络信息安全”等章节中大量规定了国家和公权力部门的职责并不对应。
此外,对同样的后果,对公私主体进行区别对待,使得网络运营者承担大量本应由相关主管部门承担的监管职能和责任,有可能造成权责不平衡,损伤网络运营者的的积极性。因此,《网络安全法》应进一步理顺权责关系,以保障权责相当,明确当网络运营者因执行行政命令而侵害网络用户权利时,相关的国家机关应以何种方式承担侵害公民权利的责任。
四、结论
尽管鉴于互联网发展的迅猛态势,有学者呼吁《网络安全法》应先尽快出台,再进行修改。但如果没有把相关法律关系理顺,把网络运营者的法律定位明确化,就不利于建立国家、行业协会、网络运营者和网络用户的良性关系。
法律地位和角色的复杂化是自然趋势,执法社会化也不失为可以尝试的实现有效监管的途径。但是,即使在复杂的法律角色和关系中,也要厘清其权利、义务、权力、责任。只有消除这些关系中的失衡和不对等的情形,才能调动网络运营者的积极性,实现中央网络安全和信息化领导小组副组长刘云山在2016年国家网络安全宣传周开幕式讲话所强调的“以发展促安全”“维护人民群众网络信息合法权益”的目标。■
注释:
①《网络安全法是网络时代国家安全的稳定器》,http://theory.people.com.cn/n/2015/0901/c386965-27537580.html
②从《网络安全法》草案相关条文看,“网络管理者”应当不包括行政管理部门。如《网络安全法》第45条规定,网络运营者对用户发布信息进行管理,发现非法传输信息的,不但要采取相应措施,还要向有关主管部门报告。
③《网络安全法》草案第39、41条
④《网络安全法》草案第45、27条
⑤《全国人大常委会关于关于加强网络信息保护的决定》和《反恐怖主义法》都已就此作出规定。
⑥中国证据法网 http://www.evidencelaw.net/show2.asp?AID=1171
雷丽莉/大连理工大学新闻传播系讲师。
