謝永江

（北京郵電大學(xué)人文學(xué)院，北京 100876）

論網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)信息安全義務(wù)

謝永江

（北京郵電大學(xué)人文學(xué)院，北京 100876）

網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)網(wǎng)絡(luò)平臺(tái)的信息安全義務(wù)經(jīng)歷了從無(wú)到有，從被動(dòng)處理到主動(dòng)管理的過(guò)程。這主要是因?yàn)閭鹘y(tǒng)的政府管理在網(wǎng)絡(luò)空間存在失靈現(xiàn)象，政府已經(jīng)難以獨(dú)立有效承擔(dān)網(wǎng)絡(luò)空間的安全管理責(zé)任，需要網(wǎng)絡(luò)運(yùn)營(yíng)者分擔(dān)部分管理職責(zé)。網(wǎng)絡(luò)運(yùn)營(yíng)者的信息安全義務(wù)具體包括建立信息安全管理制度、用戶(hù)信息審核、公共信息巡查、保障信息安全、違法信息處置、投訴處理、配合監(jiān)督檢查、信息記錄和報(bào)告義務(wù)等。

網(wǎng)絡(luò)；網(wǎng)絡(luò)運(yùn)營(yíng)者；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)信息安全

謝永江 （1973－），男，江西人，法學(xué)博士，北京郵電大學(xué)人文學(xué)院副教授，北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任，主要研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)法和經(jīng)濟(jì)法。

網(wǎng)絡(luò)運(yùn)營(yíng)者，特別是大型網(wǎng)絡(luò)服務(wù)提供者，往往擁有上億的海量用戶(hù)，它們是網(wǎng)絡(luò)治理的關(guān)鍵性主體，它們所經(jīng)營(yíng)的網(wǎng)絡(luò)平臺(tái)是網(wǎng)絡(luò)社會(huì)中最重要的節(jié)點(diǎn)，向上面對(duì)政府，向下面向市場(chǎng)和網(wǎng)絡(luò)用戶(hù)。我國(guó)對(duì)網(wǎng)絡(luò)的管理上主張“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”、“誰(shuí)接入誰(shuí)負(fù)責(zé)”，強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營(yíng)者的“主體責(zé)任”，要求網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)其運(yùn)營(yíng)的網(wǎng)站和提供的網(wǎng)絡(luò)服務(wù)承擔(dān)信息安全義務(wù)。實(shí)務(wù)中，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)信息安全義務(wù)的具體內(nèi)容和范圍一直存在邊界不清的問(wèn)題。本文擬結(jié)合新通過(guò)的《網(wǎng)絡(luò)安全法》，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)信息安全義務(wù)進(jìn)行梳理分析，以期厘清責(zé)任邊界，利于《網(wǎng)絡(luò)安全法》的落實(shí)。

一、網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)信息安全義務(wù)之演進(jìn)

在傳統(tǒng)的現(xiàn)實(shí)社會(huì)中，企業(yè)只負(fù)責(zé)管理自己內(nèi)部事務(wù)，只對(duì)自己實(shí)施的行為負(fù)責(zé)；對(duì)于公共領(lǐng)域的事務(wù)則由政府負(fù)責(zé)管理。這種公私分明的管理模式也延伸到了互聯(lián)網(wǎng)發(fā)展初期的網(wǎng)絡(luò)空間。那時(shí)候，人們對(duì)互聯(lián)網(wǎng)的認(rèn)識(shí)多限于認(rèn)定其為一項(xiàng)新的信息技術(shù)，網(wǎng)上主要是門(mén)戶(hù)網(wǎng)站，網(wǎng)絡(luò)上的信息也主要是由網(wǎng)絡(luò)服務(wù)提供者提供，網(wǎng)民上傳的信息很少。作為網(wǎng)絡(luò)服務(wù)提供者的網(wǎng)絡(luò)平臺(tái)只對(duì)自己提供的信息服務(wù)承擔(dān)責(zé)任，對(duì)他人上傳的信息則不承擔(dān)責(zé)任。這就好比高速公路公司只負(fù)責(zé)公路本身的安全和維護(hù)，對(duì)于在路上跑的汽車(chē)以及汽車(chē)上裝載的貨物則無(wú)權(quán)管理，也不用負(fù)責(zé)。

隨著互聯(lián)網(wǎng)的發(fā)展和普及，互聯(lián)網(wǎng)吸引了越來(lái)越多的用戶(hù)，借助于各種網(wǎng)絡(luò)應(yīng)用程序，互聯(lián)網(wǎng)的信息聚散能力越來(lái)越強(qiáng)大，不可避免地打破了傳統(tǒng)的利益平衡，給其他人（如版權(quán)人）的權(quán)利造成嚴(yán)重的威脅，傳統(tǒng)的訴訟手段和行政執(zhí)法方式難以應(yīng)對(duì)大量、普遍發(fā)生的盜版等違法問(wèn)題，權(quán)利人要求網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)有所作為，負(fù)起一定的責(zé)任；同時(shí)，網(wǎng)絡(luò)經(jīng)濟(jì)尚處于發(fā)展期，不能對(duì)網(wǎng)絡(luò)服務(wù)提供者可以過(guò)重的責(zé)任。有鑒于此，美國(guó)于1998年出臺(tái)了《數(shù)字千年版權(quán)法》（Digital Millennium Copyright Act，DMCA），規(guī)定了“避風(fēng)港規(guī)則”和“紅旗規(guī)則”，對(duì)網(wǎng)絡(luò)服務(wù)提供者的責(zé)任進(jìn)行限定。所謂“避風(fēng)港規(guī)則”，其基本含義是：如果網(wǎng)絡(luò)服務(wù)提供者使用信息定位工具（包括目錄、索引、超文本鏈接、在線(xiàn)存儲(chǔ)網(wǎng)站等）涉嫌侵犯他人的著作權(quán)，在網(wǎng)絡(luò)服務(wù)提供者能夠證明自己不存在惡意，也未從該網(wǎng)絡(luò)服務(wù)商有權(quán)利和義務(wù)進(jìn)行干預(yù)的侵權(quán)行為中直接得到經(jīng)濟(jì)利益，并且在知道侵權(quán)事實(shí)或接到侵權(quán)通知后及時(shí)刪除侵權(quán)信息或者斷開(kāi)有關(guān)信息鏈接的情況下，網(wǎng)絡(luò)服務(wù)提供者不承擔(dān)賠償責(zé)任?！凹t旗規(guī)則”是“避風(fēng)港規(guī)則”的例外，就是說(shuō)，如果網(wǎng)絡(luò)平臺(tái)上的侵權(quán)內(nèi)容是顯而易見(jiàn)的、就像迎風(fēng)招展的紅旗一樣引人注目，網(wǎng)絡(luò)服務(wù)提供商就不能裝作看不見(jiàn)或者以不知道侵權(quán)事實(shí)為由來(lái)推脫責(zé)任；在這種情況下，網(wǎng)絡(luò)服務(wù)商有義務(wù)直接刪除相關(guān)內(nèi)容或斷開(kāi)連接阻止，無(wú)需他人告知，否則要承擔(dān)相應(yīng)責(zé)任。我國(guó)《侵權(quán)責(zé)任法》第36條、《消費(fèi)者權(quán)益保護(hù)法》第44條、《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》、《最高人民法院關(guān)于審理侵害信息網(wǎng)絡(luò)傳播權(quán)民事糾紛案件適用法律若干問(wèn)題的規(guī)定》、《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》等法律、法規(guī)和司法解釋也引入了“避風(fēng)港規(guī)則”和“紅旗規(guī)則”，對(duì)網(wǎng)絡(luò)服務(wù)提供者的網(wǎng)絡(luò)信息審查義務(wù)和責(zé)任進(jìn)行了限制，網(wǎng)絡(luò)服務(wù)提供者對(duì)網(wǎng)絡(luò)信息安全問(wèn)題只負(fù)擔(dān)被動(dòng)處置義務(wù)。

隨著網(wǎng)絡(luò)虛擬空間與現(xiàn)實(shí)空間的進(jìn)一步融合，網(wǎng)絡(luò)空間已經(jīng)成為現(xiàn)實(shí)空間的延伸和重要組成部分?；ヂ?lián)網(wǎng)不僅僅是一項(xiàng)信息技術(shù)，而是演變成了全球性媒體、國(guó)際性網(wǎng)絡(luò)社會(huì)。網(wǎng)絡(luò)經(jīng)濟(jì)也形成了成熟的營(yíng)利模式，網(wǎng)絡(luò)空間演變成了一個(gè)世界性市場(chǎng)。網(wǎng)絡(luò)信息安全問(wèn)題日益突出，國(guó)家也逐漸賦予網(wǎng)絡(luò)運(yùn)營(yíng)者更多的安全管理義務(wù)和責(zé)任。網(wǎng)絡(luò)運(yùn)營(yíng)者不能再被動(dòng)地等到“紅旗撲面而來(lái)”才猛然發(fā)現(xiàn)違法信息，而是應(yīng)當(dāng)主動(dòng)進(jìn)行公共信息巡查和處理，未盡到網(wǎng)絡(luò)信息安全義務(wù)的，將承擔(dān)法律責(zé)任。我國(guó)《網(wǎng)絡(luò)安全法》進(jìn)一步明確了網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)信息安全義務(wù)，正式開(kāi)啟了網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)主動(dòng)承擔(dān)網(wǎng)絡(luò)信息安全義務(wù)的時(shí)代。

二、網(wǎng)絡(luò)運(yùn)營(yíng)者負(fù)擔(dān)網(wǎng)絡(luò)信息安全義務(wù)的必要性

在網(wǎng)絡(luò)空間，網(wǎng)絡(luò)運(yùn)營(yíng)者要比普通企業(yè)承擔(dān)更多的安全義務(wù)，這主要是因?yàn)閭鹘y(tǒng)的政府管理在網(wǎng)絡(luò)空間存在失靈現(xiàn)象，政府已經(jīng)難以獨(dú)立有效承擔(dān)網(wǎng)絡(luò)空間的安全管理責(zé)任，需要網(wǎng)絡(luò)運(yùn)營(yíng)者分擔(dān)部分管理職責(zé)。

第一，政府欠缺管理所必需的信息。政府對(duì)網(wǎng)絡(luò)空間的管理需要大量的信息支持，但政府和網(wǎng)絡(luò)運(yùn)營(yíng)者之間存在嚴(yán)重的信息不對(duì)稱(chēng)。與傳統(tǒng)領(lǐng)域由政府掌握更多的管理信息不同，在網(wǎng)絡(luò)信息時(shí)代，政府對(duì)信息控制的能力在削弱。[1]政府管理所必需的海量數(shù)據(jù)往往由互聯(lián)網(wǎng)企業(yè)掌握，政府不得不求助于通常屬于被管理對(duì)象的網(wǎng)絡(luò)運(yùn)營(yíng)者，以避免管理困境。

第二，政府欠缺管理所必需的技術(shù)手段。網(wǎng)絡(luò)空間信息技術(shù)和應(yīng)用日新月異，受到技術(shù)能力的限制，法律和政府管理手段難以及時(shí)跟進(jìn)。在以信息技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)空間，國(guó)家的管制權(quán)限往往取決于現(xiàn)有的管制科技。[2]當(dāng)國(guó)家掌握了相應(yīng)的管制技術(shù)手段時(shí)，就能較好地履行管制職能；當(dāng)欠缺相應(yīng)的管制技術(shù)時(shí)，就只能采取較少的管制。以知識(shí)產(chǎn)權(quán)保護(hù)執(zhí)法為例，傳統(tǒng)上都是通過(guò)執(zhí)法或司法手段刪除特定內(nèi)容或者起訴侵權(quán)行為人，但這種方式基本上已經(jīng)無(wú)法阻止全球性的盜版行為，因而對(duì)知識(shí)產(chǎn)權(quán)保護(hù)執(zhí)法的關(guān)切點(diǎn)已經(jīng)轉(zhuǎn)移到中斷互聯(lián)網(wǎng)接入、利用域名體系關(guān)閉整個(gè)網(wǎng)站或者阻斷網(wǎng)站的資金鏈等方面，[3]而最有能力采取上述措施的就是網(wǎng)絡(luò)運(yùn)營(yíng)者。

如果由政府出資來(lái)開(kāi)發(fā)網(wǎng)絡(luò)管理所必須的技術(shù)或者收集、分析網(wǎng)絡(luò)管理所必須的海量數(shù)據(jù)，即使能做到，成本也將是非常巨大的，將顯著增加納稅人的負(fù)擔(dān)。網(wǎng)絡(luò)技術(shù)能力和資源主要集中在技術(shù)人才身上，高級(jí)技術(shù)人才的稀缺性決定了政府無(wú)法提供有競(jìng)爭(zhēng)力的薪資來(lái)吸引人才；另一方面政府的組織方式和管理方式也無(wú)法營(yíng)造人才得以成長(zhǎng)的創(chuàng)新和競(jìng)爭(zhēng)的環(huán)境。如果由網(wǎng)絡(luò)運(yùn)營(yíng)者來(lái)分擔(dān)一部分管理責(zé)任，顯然更有效率。

第三，網(wǎng)絡(luò)空間治理需要政府、企業(yè)、社會(huì)團(tuán)體和社會(huì)公眾共同參與，傳統(tǒng)以政府為主導(dǎo)的管理模式已無(wú)法勝任。傳統(tǒng)的社會(huì)管理模式以屬地管理為主，將國(guó)家劃分為不同層級(jí)的行政區(qū)域，并設(shè)置相應(yīng)的地方政府管理本地事務(wù)，形成自上而下的金字塔式管理體系。正如美國(guó)學(xué)者萊斯格指出,在現(xiàn)實(shí)世界中，我們通過(guò)社會(huì)規(guī)范將某些事物隔離于一定的場(chǎng)所，并能有效地對(duì)其進(jìn)行分化，形成“分區(qū)管制”。[4]這種分區(qū)管制的采用，是取決于現(xiàn)實(shí)世界的可區(qū)分性特征，也就是現(xiàn)實(shí)世界的結(jié)構(gòu)。[5]但網(wǎng)絡(luò)空間的結(jié)構(gòu)并不適合分區(qū)管制的實(shí)施。網(wǎng)絡(luò)空間打破了地域限制，除非采取技術(shù)手段，通常沒(méi)有現(xiàn)實(shí)的界限來(lái)隔離信息的流動(dòng)。網(wǎng)絡(luò)空間的開(kāi)放性使得人們可以在任何時(shí)間、任何地點(diǎn)進(jìn)入到網(wǎng)絡(luò)空間的任何角落。一個(gè)平臺(tái)可以容納全國(guó)、甚至全世界的網(wǎng)民參與，在這樣的平面化社會(huì)結(jié)構(gòu)下，傳統(tǒng)的管理模式難以適應(yīng)治理的現(xiàn)實(shí)需要。民族國(guó)家、宗教組織、跨國(guó)公司等傳統(tǒng)的主導(dǎo)權(quán)力機(jī)構(gòu)都在網(wǎng)絡(luò)信息流動(dòng)中喪失了一定的控制權(quán)。政府對(duì)信息的控制能力在削弱，這不僅體現(xiàn)在防范國(guó)家安全敏感信息外泄能力的缺失，還體現(xiàn)在對(duì)信息中介服務(wù)全球輸出進(jìn)行限制的能力匱乏。這就要求網(wǎng)絡(luò)運(yùn)營(yíng)者（信息中介）不僅創(chuàng)造互聯(lián)網(wǎng)規(guī)則和政策，同時(shí)要承擔(dān)互聯(lián)網(wǎng)的內(nèi)容控制職能。[6]

第四，網(wǎng)絡(luò)空間的治理更注重預(yù)防，而不是事后懲罰。在網(wǎng)絡(luò)空間，信息發(fā)布非常便捷，信息傳播非常迅速，違法損害后果常常被網(wǎng)絡(luò)放大，待到政府事后處理，損害已經(jīng)造成，損失難以挽回，因此政府的事后處理常常是缺乏效率的。對(duì)于至關(guān)重要的事前預(yù)防和事中監(jiān)督，政府因缺乏相應(yīng)的技術(shù)和數(shù)據(jù)支持，常常力不從心，而這對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者來(lái)講，則較為容易做到。

第五，網(wǎng)絡(luò)平臺(tái)具有開(kāi)放性和公共性，客觀(guān)上需要網(wǎng)絡(luò)運(yùn)營(yíng)者采取有效措施對(duì)風(fēng)險(xiǎn)進(jìn)行相應(yīng)的管控。網(wǎng)絡(luò)運(yùn)營(yíng)者負(fù)責(zé)運(yùn)營(yíng)網(wǎng)絡(luò)平臺(tái)，網(wǎng)絡(luò)平臺(tái)擁有眾多用戶(hù)，眾多網(wǎng)民通過(guò)平臺(tái)進(jìn)行各項(xiàng)社會(huì)活動(dòng)，網(wǎng)絡(luò)運(yùn)營(yíng)者從中獲取利益。按照責(zé)權(quán)利相一致原則，網(wǎng)絡(luò)運(yùn)營(yíng)者自然應(yīng)當(dāng)維護(hù)網(wǎng)絡(luò)平臺(tái)的信息安全，防止非法信息傳播和擴(kuò)散，防控安全風(fēng)險(xiǎn)。其實(shí)，現(xiàn)實(shí)社會(huì)中的經(jīng)營(yíng)者也負(fù)有類(lèi)似的安全義務(wù)。例如，《消費(fèi)者權(quán)益保護(hù)法》第18條第2款規(guī)定，賓館、商場(chǎng)、餐館、銀行、機(jī)場(chǎng)、車(chē)站、港口、影劇院等經(jīng)營(yíng)場(chǎng)所的經(jīng)營(yíng)者，應(yīng)當(dāng)對(duì)消費(fèi)者盡到安全保障義務(wù)。當(dāng)然，這種責(zé)任不是絕對(duì)的，經(jīng)營(yíng)者只要盡到法定的注意義務(wù)即可。如銀行經(jīng)營(yíng)場(chǎng)所只要配備了保安、監(jiān)控錄像設(shè)備等，在安全措施符合法律標(biāo)準(zhǔn)的情況下，銀行對(duì)于進(jìn)入經(jīng)營(yíng)場(chǎng)所的搶劫犯所造成的現(xiàn)場(chǎng)的客戶(hù)損失并不需要承擔(dān)法律責(zé)任。同樣道理，網(wǎng)絡(luò)運(yùn)營(yíng)者在依法配備了相應(yīng)的安全管理人員，采取了必要的安全技術(shù)手段的情況下，也不需要為非法利用網(wǎng)絡(luò)者所造成的第三者損失承擔(dān)法律責(zé)任。

綜上所述，在網(wǎng)絡(luò)空間，需要重新配置政府、社會(huì)、企業(yè)的責(zé)任。政府根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”、“誰(shuí)接入誰(shuí)負(fù)責(zé)”和“責(zé)權(quán)利相一致”的原則，將一部分管理職責(zé)“下放”給網(wǎng)絡(luò)運(yùn)營(yíng)者或行業(yè)協(xié)會(huì)等社會(huì)團(tuán)體，是一種更有效率的做法。但政府不能將過(guò)多的管理責(zé)任推卸給網(wǎng)絡(luò)運(yùn)營(yíng)者，網(wǎng)絡(luò)運(yùn)營(yíng)者的信息安全責(zé)任不能超出其風(fēng)險(xiǎn)控制能力和負(fù)擔(dān)能力，否則市場(chǎng)主體負(fù)擔(dān)過(guò)重，將阻礙網(wǎng)絡(luò)經(jīng)濟(jì)的健康發(fā)展。因此，法律需要對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的安全管理義務(wù)進(jìn)行明確界定，厘清責(zé)任邊界。

三、網(wǎng)絡(luò)運(yùn)營(yíng)者網(wǎng)絡(luò)信息安全義務(wù)的主要內(nèi)容

網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)信息安全義務(wù)是一項(xiàng)綜合性義務(wù)，是一個(gè)義務(wù)群，涉及到多個(gè)方面。我國(guó)《網(wǎng)絡(luò)安全法》第9條總括性地規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)安全義務(wù)，即：網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展經(jīng)營(yíng)和服務(wù)活動(dòng)，必須遵守法律、行政法規(guī)，尊重社會(huì)公德，遵守商業(yè)道德，誠(chéng)實(shí)信用，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，接受政府和社會(huì)的監(jiān)督，承擔(dān)社會(huì)責(zé)任?！痘ヂ?lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)信息搜索服務(wù)管理規(guī)定》、《即時(shí)通信工具公眾信息服務(wù)發(fā)展管理暫行規(guī)定》等行政法規(guī)和規(guī)章則對(duì)各個(gè)領(lǐng)域網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)安全義務(wù)作了具體規(guī)定。根據(jù)我國(guó)現(xiàn)行有關(guān)法律規(guī)定，網(wǎng)絡(luò)服務(wù)提供者通常需要承擔(dān)以下網(wǎng)絡(luò)信息安全義務(wù)。

（一）建立信息安全管理制度義務(wù)

網(wǎng)絡(luò)運(yùn)營(yíng)者通常是通過(guò)公司章程、內(nèi)部安全管理制度、用戶(hù)協(xié)議等對(duì)網(wǎng)絡(luò)平臺(tái)和用戶(hù)進(jìn)行管理。網(wǎng)絡(luò)運(yùn)營(yíng)者要落實(shí)安全管理責(zé)任，首先就需要建立健全內(nèi)部安全管理制度。網(wǎng)絡(luò)運(yùn)營(yíng)者只有建立了健全的網(wǎng)絡(luò)安全內(nèi)控制度，才可能開(kāi)展有效的安全管理?！毒W(wǎng)絡(luò)安全法》第21條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任?！痘ヂ?lián)網(wǎng)信息服務(wù)管理辦法》第6條規(guī)定，從事經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)有健全的網(wǎng)絡(luò)與信息安全保障措施，包括網(wǎng)站安全保障措施、信息安全保密管理制度、用戶(hù)信息安全管理制度?！痘ヂ?lián)網(wǎng)信息搜索服務(wù)管理規(guī)定》、《即時(shí)通信工具公眾信息服務(wù)發(fā)展管理暫行規(guī)定》、《網(wǎng)絡(luò)食品安全違法行為查處辦法》等規(guī)章也根據(jù)各領(lǐng)域不同特點(diǎn)，要求網(wǎng)絡(luò)服務(wù)提供者建立健全各項(xiàng)制度，落實(shí)安全管理責(zé)任。

信息安全管理制度的具體內(nèi)容并沒(méi)有統(tǒng)一規(guī)定，不同領(lǐng)域的網(wǎng)絡(luò)運(yùn)營(yíng)者會(huì)有些差異，大體上主要包括用戶(hù)信息安全保護(hù)制度、信息審核制度、公共信息實(shí)時(shí)巡查制度、信用管理制度、應(yīng)急處置制度、投訴和舉報(bào)制度等。

（二）用戶(hù)信息審核義務(wù)

根據(jù)信息內(nèi)容的不同，對(duì)用戶(hù)信息的審核涉及用戶(hù)身份信息的審核和業(yè)務(wù)信息的審核。

對(duì)于用戶(hù)身份信息的審核，《網(wǎng)絡(luò)安全法》第24條規(guī)定了網(wǎng)絡(luò)實(shí)名制，即：網(wǎng)絡(luò)運(yùn)營(yíng)者為用戶(hù)辦理網(wǎng)絡(luò)接入、域名注冊(cè)服務(wù)，辦理固定電話(huà)、移動(dòng)電話(huà)等入網(wǎng)手續(xù)，或者為用戶(hù)提供信息發(fā)布、即時(shí)通訊等服務(wù)，在與用戶(hù)簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí)，應(yīng)當(dāng)要求用戶(hù)提供真實(shí)身份信息。用戶(hù)不提供真實(shí)身份信息的，網(wǎng)絡(luò)運(yùn)營(yíng)者不得為其提供相關(guān)服務(wù)。據(jù)此，網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展上述6項(xiàng)服務(wù)時(shí)，有義務(wù)審核用戶(hù)提供的身份信息。身份信息主要包括姓名或名稱(chēng)、地址、聯(lián)系方式、營(yíng)業(yè)執(zhí)照、資格證書(shū)或其他證明文件等。對(duì)身份信息的審核一般是形式審核，但如果有開(kāi)放的數(shù)據(jù)庫(kù)可核對(duì)，則應(yīng)當(dāng)進(jìn)行實(shí)質(zhì)審核，如通過(guò)工商行政管理部門(mén)的企業(yè)信用數(shù)據(jù)庫(kù)核對(duì)營(yíng)業(yè)執(zhí)照信息的真實(shí)性。對(duì)身份信息應(yīng)當(dāng)建立檔案并定期更新。

網(wǎng)絡(luò)運(yùn)營(yíng)者除了對(duì)用戶(hù)身份信息進(jìn)行審核外，還要對(duì)某些業(yè)務(wù)信息履行審核義務(wù)。例如，根據(jù)《互聯(lián)網(wǎng)廣告管理暫行辦法》第12條的規(guī)定，網(wǎng)絡(luò)廣告發(fā)布者應(yīng)對(duì)對(duì)互聯(lián)網(wǎng)廣告等商業(yè)性信息進(jìn)行審核，應(yīng)當(dāng)查驗(yàn)有關(guān)證明文件，核對(duì)廣告內(nèi)容，對(duì)內(nèi)容不符或者證明文件不全的廣告，不得設(shè)計(jì)、制作、代理、發(fā)布。又如，《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》第8條規(guī)定，互聯(lián)網(wǎng)應(yīng)用商店服務(wù)提供者應(yīng)當(dāng)對(duì)應(yīng)用程序提供者進(jìn)行真實(shí)性、安全性、合法性等審核。

（三）公共信息巡查義務(wù)

網(wǎng)絡(luò)信息巡查制度最早見(jiàn)于《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例》第19條。根據(jù)該條規(guī)定，互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)單位應(yīng)當(dāng)實(shí)施經(jīng)營(yíng)管理技術(shù)措施，建立場(chǎng)內(nèi)巡查制度，發(fā)現(xiàn)上網(wǎng)消費(fèi)者有違法行為的，應(yīng)當(dāng)立即予以制止并向文化行政部門(mén)、公安機(jī)關(guān)舉報(bào)。之后該制度被逐漸推行到線(xiàn)上。《網(wǎng)絡(luò)安全法》第47條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)對(duì)其用戶(hù)發(fā)布的信息的管理，而對(duì)網(wǎng)上公共信息進(jìn)行巡查則是一項(xiàng)有效的信息管理手段。工信部《通信短信息服務(wù)管理規(guī)定》、公安部等六部門(mén)《互聯(lián)網(wǎng)危險(xiǎn)物品信息發(fā)布管理規(guī)定》、國(guó)信辦《互聯(lián)網(wǎng)信息搜索服務(wù)管理規(guī)定》等規(guī)定均要求網(wǎng)絡(luò)服務(wù)提供者對(duì)公共信息進(jìn)行實(shí)時(shí)巡查。

公共信息巡查義務(wù)是基于網(wǎng)絡(luò)平臺(tái)的開(kāi)放性和公共性，所需要巡視的信息限于公共信息，對(duì)于個(gè)人通信信息和具有私密性的小范圍群聊信息，網(wǎng)絡(luò)運(yùn)營(yíng)者無(wú)權(quán)巡視。

（四）告知督促義務(wù)

告知督促義務(wù)主要是要求網(wǎng)絡(luò)運(yùn)營(yíng)者在網(wǎng)站上公布有關(guān)規(guī)章制度，在用戶(hù)協(xié)議中明確有關(guān)義務(wù)和責(zé)任，并督促用戶(hù)履行義務(wù)?！毒W(wǎng)絡(luò)安全法》第41條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)公開(kāi)收集、使用規(guī)則，明示收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。《互聯(lián)網(wǎng)用戶(hù)賬號(hào)名稱(chēng)管理規(guī)定》第4條規(guī)定，互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)完善用戶(hù)服務(wù)協(xié)議，明示互聯(lián)網(wǎng)信息服務(wù)使用者在賬號(hào)名稱(chēng)、頭像和簡(jiǎn)介等注冊(cè)信息中不得出現(xiàn)違法和不良信息?！兑苿?dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》第8條規(guī)定，互聯(lián)網(wǎng)應(yīng)用商店服務(wù)提供者應(yīng)當(dāng)督促應(yīng)用程序提供者保護(hù)用戶(hù)信息，完整提供應(yīng)用程序獲取和使用用戶(hù)信息的說(shuō)明，并向用戶(hù)呈現(xiàn)；督促應(yīng)用程序提供者發(fā)布合法信息內(nèi)容，建立健全安全審核機(jī)制，配備與服務(wù)規(guī)模相適應(yīng)的專(zhuān)業(yè)人員；督促應(yīng)用程序提供者發(fā)布合法應(yīng)用程序，尊重和保護(hù)應(yīng)用程序提供者的知識(shí)產(chǎn)權(quán)。

（五）保障信息安全義務(wù)

個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息。自然人的個(gè)人信息具有人格屬性，并為我國(guó)《民法總則》所確認(rèn)。網(wǎng)絡(luò)運(yùn)營(yíng)者在運(yùn)營(yíng)中會(huì)收集大量的個(gè)人信息，保障個(gè)人信息安全是網(wǎng)絡(luò)運(yùn)營(yíng)者的基本義務(wù)?！毒W(wǎng)絡(luò)安全法》第42條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。《消費(fèi)者權(quán)益保護(hù)法》第29條第2款也規(guī)定，經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。

（六）違法信息處置義務(wù)

當(dāng)網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)現(xiàn)其用戶(hù)發(fā)布違法信息時(shí)，應(yīng)當(dāng)立即采取措施進(jìn)行處置?！毒W(wǎng)絡(luò)安全法》第47條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，?yīng)當(dāng)立即停止傳輸該信息，采取消除等處置措施，防止信息擴(kuò)散，保存有關(guān)記錄，并向有關(guān)主管部門(mén)報(bào)告。《互聯(lián)網(wǎng)信息服務(wù)管理辦法》第16條也規(guī)定，互聯(lián)網(wǎng)信息服務(wù)提供者發(fā)現(xiàn)其網(wǎng)站傳輸?shù)男畔⒚黠@屬于違法信息的，應(yīng)當(dāng)立即停止傳輸，保存有關(guān)記錄，并向國(guó)家有關(guān)機(jī)關(guān)報(bào)告。根據(jù)《互聯(lián)網(wǎng)新聞信息服務(wù)單位約談工作規(guī)定》第4條的規(guī)定，互聯(lián)網(wǎng)新聞信息服務(wù)單位未及時(shí)處置違法信息情節(jié)嚴(yán)重的，國(guó)家互聯(lián)網(wǎng)信息辦公室、地方互聯(lián)網(wǎng)信息辦公室可對(duì)其主要負(fù)責(zé)人、總編輯等進(jìn)行約談。

（七）投訴處理義務(wù)

網(wǎng)絡(luò)運(yùn)營(yíng)者建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度后，應(yīng)及時(shí)受理并處理有關(guān)網(wǎng)信息安全的投訴和舉報(bào)。傳統(tǒng)上，主要由政府部門(mén)、行業(yè)協(xié)會(huì)等社團(tuán)負(fù)責(zé)受理投訴舉報(bào)，市場(chǎng)主體并沒(méi)有強(qiáng)制性的受理投訴舉報(bào)的義務(wù)。網(wǎng)絡(luò)運(yùn)營(yíng)者之所以負(fù)有強(qiáng)制性的受理投訴舉報(bào)義務(wù)，主要是因?yàn)樗鼈冋莆樟伺c投訴和舉報(bào)有關(guān)的數(shù)據(jù)和信息，并且與其利益息息相關(guān)，相應(yīng)地應(yīng)當(dāng)承擔(dān)處理投訴和舉報(bào)的義務(wù)?！毒W(wǎng)絡(luò)安全法》第49條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度，公布投訴、舉報(bào)方式等信息，及時(shí)受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報(bào)?！兑?guī)范互聯(lián)網(wǎng)信息服務(wù)市場(chǎng)秩序若干規(guī)定》、《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》等規(guī)定進(jìn)一步明確，服務(wù)提供者應(yīng)自接到投訴之日起15日內(nèi)答復(fù)投訴人?！痘ヂ?lián)網(wǎng)新聞信息服務(wù)單位約談工作規(guī)定》第4條規(guī)定，互聯(lián)網(wǎng)新聞信息服務(wù)單位未及時(shí)處理公民、法人和其他組織關(guān)于互聯(lián)網(wǎng)新聞信息服務(wù)的投訴、舉報(bào)情節(jié)嚴(yán)重的，國(guó)家互聯(lián)網(wǎng)信息辦公室、地方互聯(lián)網(wǎng)信息辦公室可對(duì)其主要負(fù)責(zé)人、總編輯等進(jìn)行約談。

（八）配合監(jiān)督檢查的義務(wù)

政府部門(mén)在網(wǎng)絡(luò)空間行使監(jiān)管職能，必須得到網(wǎng)絡(luò)運(yùn)營(yíng)者配合提供有關(guān)數(shù)據(jù)和技術(shù)支持，否則難以有效開(kāi)展監(jiān)管。網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)有關(guān)部門(mén)依法實(shí)施的監(jiān)督檢查，應(yīng)當(dāng)依法予以配合?！毒W(wǎng)絡(luò)安全法》第49條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)網(wǎng)信部門(mén)和有關(guān)部門(mén)依法實(shí)施的監(jiān)督檢查，應(yīng)當(dāng)予以配合?！侗Ｊ貒?guó)家秘密法》第28條也規(guī)定，互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商、服務(wù)商應(yīng)當(dāng)配合公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)、檢察機(jī)關(guān)對(duì)泄密案件進(jìn)行調(diào)查。

（九）信息記錄義務(wù)

網(wǎng)絡(luò)日志包括用戶(hù)日志和系統(tǒng)日志。用戶(hù)日志由應(yīng)用軟件和數(shù)據(jù)庫(kù)管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶(hù)登錄嘗試、數(shù)據(jù)修改、信息發(fā)布、錯(cuò)誤信息等。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)保證用戶(hù)日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿(mǎn)足監(jiān)督檢查需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性?！毒W(wǎng)絡(luò)安全法》第21條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)留存網(wǎng)絡(luò)日志不少于6個(gè)月。

（十）報(bào)告義務(wù)

網(wǎng)絡(luò)運(yùn)營(yíng)者畢竟不是政府，不是最終的網(wǎng)絡(luò)管理者，因此網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)現(xiàn)違法信息后，應(yīng)當(dāng)向有關(guān)主管部門(mén)報(bào)告?！毒W(wǎng)絡(luò)安全法》第47、48條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者、電子信息發(fā)送服務(wù)提供者和應(yīng)用軟件下載服務(wù)提供者發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，?yīng)當(dāng)保存有關(guān)記錄，并向有關(guān)主管部門(mén)報(bào)告?！侗Ｊ貒?guó)家秘密法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《電信條例》、《地圖管理?xiàng)l例》對(duì)此均有規(guī)定。

當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者也應(yīng)當(dāng)向有關(guān)主管部門(mén)報(bào)告，以便在需要時(shí)，可以更好地采取應(yīng)對(duì)措施，防范風(fēng)險(xiǎn)的擴(kuò)散和損失的擴(kuò)大?！毒W(wǎng)絡(luò)安全法》第42條第2款規(guī)定，在在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報(bào)告。

上述各項(xiàng)網(wǎng)絡(luò)信息安全義務(wù)是法定義務(wù)，如果拒不履行，經(jīng)監(jiān)管部門(mén)責(zé)令采取改正措施而拒不改正，則有可能觸犯刑法，構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪（《刑法》第286條之一）。

[1] 勞拉·德拉迪斯. 互聯(lián)網(wǎng)治理全球博弈[M]. 北京：中國(guó)人民大學(xué)出版社，2016. 12.

[2] Lawrence Lessig. Reading The Constitution in Cyberspace [J]. Ssrn Electronic Journal, 1997: 886.

[3] 勞拉·德拉迪斯. 互聯(lián)網(wǎng)治理全球博弈[M]. 北京：中國(guó)人民大學(xué)出版社，2016. 12.

[4] Lawrence Lessig. Reading The Constitution in Cyberspace [J]. Ssrn Electronic Journal, 1997: 869.

[5] Lawrence Lessig. Reading The Constitution in Cyberspace [J]. Ssrn Electronic Journal, 1997: 886-887.

[6] 勞拉·德拉迪斯. 互聯(lián)網(wǎng)治理全球博弈[M]. 北京：中國(guó)人民大學(xué)出版社，2016. 12.

（責(zé)任編輯：鐘宇歡）

Study on Network Operators’ Obligations of Information Security

XIE Yong-jiang

Network operators’ obligations of information security develop from nothing, from passive processing to active management, because the traditional government management fails to some extent in cyberspace. The government can’t independently govern the cyberspace without the help of network operators. Network operator’s obligations of information security include setting up the information security management system, auditing the user's information, inspecting public information, safeguarding information security, illegal information disposal, complaint handling,cooperating with the supervision and inspection, information recording and reporting.

networks, ISP, cybersecurity, cyber safety

D92

：A

：1001-4225（2017）07-0079-06

① 在網(wǎng)絡(luò)空間，管制者也可以采取“防護(hù)墻”、斷開(kāi)連接之類(lèi)的技術(shù)手段，限制網(wǎng)民訪(fǎng)問(wèn)特定的網(wǎng)站。