董皓、张楚:互联网安全与网络服务商责任制度的建立
学术论文

董皓、张楚:互联网安全与网络服务商责任制度的建立

Pulling the Bull’s Nose Ring: Security Liability of Internet Service Providers

DONG Hao, ZHANG Chu

Network & Computer Security, Vol. 39 (2004)

Abstract: This article discusses the crucial status of ISPs in the Internet governance. Besides the possible liability of private infringement, they may also be regarded as the key to ensure the security of the Internet. By reviewing the Chinese legislation on regulating ISPs, this article find that the existing provisions are far from well-established. Besides the conflicts among the provisions, the regulations are drafted from an improper approach – the administrative liabilities and governmental affirmative controlings are taken granted as the main solution of the Internet security. This article proposed a system of multiple means to ensure the Internet security. This system is consist of  the protection to the ISPs by the government, the freedom to enter the market, the development of the NGOs and the multiple choice for the dispute resolutions.

Keywords: Internet governance, secruity, ISP, liability

牵住网络安全的“牛鼻子”——互联网安全与网络服务商责任制度的建立

本文引用方式:
董皓、张楚:“牵住网络安全的“牛鼻子”——互联网安全与网络服务商责任制度的建立”,《计算机安全》2004年第5期,第11-13页。

  互联网的发展总是比人们预想得还要快。九十年代中期,我国的INTERNET出口带宽总数仅为数兆(M),如今一个普通网吧也有10M以上的带宽;早期“网虫”常常要靠关闭互联网浏览器中的“显示图片”功能来提高浏览速度,而现在普通电脑用户也能在几分钟内将完整的电影下载到自己的硬盘上。不过,互联网在给人们的生活和工作带来的便利的同时,也带来了一些新的麻烦,从垃圾邮件的泛滥和计算机病毒的传播,到电子商务中商业秘密的泄露和个人隐私和名誉受到的侵犯,再到色情、暴力内容网站对青少年的毒害,互联网上的安全问题已跨出了技术领域,成为法学研究和法律实践中的热点和难点。

  1.互联网安全的概念
在本文中,“互联网安全”是一含义较为广泛的概念,它既包括保证网络正常运行所需要的技术性安全问题,如数据加密、反病毒等,也包括维护网络上正常秩序的社会性安全问题,如个人隐私的保障、商业秘密和国家秘密的保护等。这种定义实际上也是我国法律中对网络安全的规定——全国人大常委会2000年通过的《维护互联网安全的决定》中,就是从(1)保障互联网运行安全;(2)维护国家安全和社会稳定;(3)维护社会主义市场经济秩序和社会管理秩序;(4)保护个人、法人和其他组织的人身、财产等合法权利等多个方面看待和规范互联网安全问题的。
之所以这样定义互联网安全,更重要的原因在于上述各方面的安全问题是互相交叉并能够互相转化的。例如,黑客程序能侵入个人和商业电脑,窃取其中的资料,当然也能侵入国家机关的系统窃取其中的数据;再如,行为人可以在提供电子公告服务的网站上上载宣扬色情、暴力的内容,当然也可以上载危害个人、法人乃至国家的信息。因此,考虑互联网安全问题,就必须综合考虑上述种种情形,仅仅“技术性安全问题”不符合互联网的现状和发展趋势。

  2.网络服务商是网络安全的关键
在运用法律手段解决网络安全问题的时候,可以有两种不同的思路。第一种是:分别研究针对各种安全问题的不同解决方案,等所有相关问题都有了成熟的解决办法后,再进行汇总。这种方案在理论上显得较为周延,但在实践中却可能由于网络空间新情况的不断出现而难达成。第二种方案是从经济分析法学的原理出发的,首先寻找对规范网络安全起关键作用的因素,然后集中资源首先对这些因素做出规范,从而在有关互联网的法制建设中,以较小的成本获得较大的效果,对于其它的非关键因素和问题,则在实践逐步积累经验,慢慢补充——用法学家郑成思先生的话说,就是要牵住问题的“牛鼻子”而不是“抬牛腿”——在网络安全问题亟待规范和控制的形势下,第二种方案应该是我的首选。  那么,在涉及网络安全的种种主体中,究竟谁可以充当“牛鼻子”的角色呢?
要维护网络上的安全,人们很可能首先想到国家行政机关。从理论上讲,行政机关可以建立起一套监控网络信息的系统,全方位地对互联网上的数据进行监管,一旦发现有危害网络安全的行为,行政机关就可以直接对信息源进行跟踪,并及时采取相关的措施制止危害行为。但是,行政机关全权负责网络安全有其显而易见的弊病。第一,从技术的角度上看,互联网是一个众多计算机分别连入的系统,行为人可以在任何时间和地点实施危害网络安全的行为,要做到对所有行为的监控不但要耗费极大的资金,而且由于互联网的开放性和不断发展,这一目标几乎不可能达到。第二,从法治原则的角度上看,没有制约的权力可能成为社会的极大威胁,即使我们有财力让某个行政机关获得监控每一条互联网信息的能力,也必须建立起另一个足以和它相抗衡的机构来防止它滥用这种信息优势,侵害和干扰人们的正常行为,这种“用一个怪物去遏制另一个怪物”的方法不但在理论上陷入尴尬的循环,而且在实际中也难以实施。
那么,能否以约束个人行为作为维护网络安全的重点呢?基于这种思想的典型例子是在一段时间内沸沸扬扬的“上网实名制”。但细加分析就会发现,互联网的开放性和无国界性使上网实名制几乎不可能发挥效用,最多能约束那些本就只会发布合法信息的人,对于本就蓄意危害网络安全的行为人而言,很难起到良好的作用——即使能有一定的作用,也需要以一套功能强大的行政监控系统来支撑,这便又回到上一种想法的老路上了。
综合国内外法学研究和实践的经验,要预防和解决互联网的安全问题,“网络服务商”被认为是一个重要的“牛鼻子”。所谓网络服务商,包括网络接入服务商(即通常意义上的ISP)、应用服务提供商(ASP)、网络内容提供商(ICP)以及业务范围跨越上述诸种领域的服务商,他们运用自己掌握的硬件资源和软件技术,为信息发布者和信息接收者提供服务并从中收取费用。
[版权声明:未经作者同意请勿转载]
从技术上讲,在维护互联网安全的过程中,网络服务商起着关键的作用:一方面,他们各自维护着自己的网络和应用系统,可以较为容易地控制系统内的信息,与此同时,他们也是最容易对网络安全造成影响的主体——无论是他们有意制作发布有害信息,还是出于过失导致他们的系统出现安全问题;另一方面,他们直接和广大网络用户相联系,能够较为迅速地获取用户的资料,为追查危害网络安全的行为提供线索。
从法律上讲,首先,根据权利与义务对等的原则,服务商直接与用户发生法律关系,他们通过提供各种服务从用户处获得收益,当然也应承担由于安全漏洞而给用户造成的损失。其次,现代法制已从私人本位向社会本位转移,“公司社会责任”也已为国内外法学理论所接受,作为控制网络运行的主要力量,网络服务商也应当在盈利的同时,承担维护网络上的公共安全、促进社会正义的责任。再次,从法律实施的成本上讲,由于网络服务商都有明确的工商登记和地址,所以对他们进行监管比起对所有信息流都进行控制来说要简单可行得多。总之,抓住了网络服务商这个关键,就可以较为迅速地在互联网领域建立起有效的安全保障机制,在最大程度上减少和避免由于网络安全问题而对的人们各种权利造成的侵害。

  3.我国网络服务商安全责任制度之检讨
在我国现行法律法规中,也已有不少涉及网络服务商安全责任的规定。例如《维护互联网安全的决定》就规定:“从事互联网业务的单位要依法开展活动,发现互联网上出现违法犯罪行为和有害信息时,要采取措施,停止传输有害信息,并及时向有关机关报告。”又如国务院颁布的《计算机信息网络国际联网管理暂行规定》中,则将网络服务商分为“互联单位”和“接入单位”,并要求“从事国际联网业务的单位和个人,应当遵守国家有关法律、行政法规,严格执行安全保密制度,不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。”再如信息产业部出台的《互联网电子公告服务管理规定》中,要求“互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息,记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。”等等,都是对网络服务商的安全责任的直接规定。此外,各种法律法规还从网络服务商的市场准入、经营行为等多方面做出规定,其目的大都与维护互联网安全有关。[作者保留著作权,未经作者同意不得以任何形式复制、转载!]
综合考察我国法律法规中对网络服务商安全责任的规定,存在以下几方面的问题:
首先,较少涉及网络服务商的责任承担形式。基于网络服务商的关键地位,很多国家的法律都在立法中详细规定了网络服务商责任。例如,德国在1997年就专门制订了《网络服务提供者责任法》,美国作为一个判例法国家,除了在众多判决中规范网络服务商的责任外,还在《数字千年版权法》等立法中对网络服务商的责任做细致规定。而我国的立法较多强调的是网络服务商设立过程中的行政义务,至于安全问题产生后,网络服务商的具体责任承担形式、归责要件等法律救济条款则较少涉及。
[作者保留本文版权,请勿转载]
其次,立法效力层级低。我国的互联网安全立法中,属于“法律”层次的立法只有一部不足2000字的《维护互联网安全的决定》。而在短短几年中,我国就出现了数十种与网络安全有关的法规、规章和部门和地方规章,而且这些规范性文件间已经出现了不一致甚至矛盾的地方。这就使网络服务商感到无所适从,对自身的行为缺乏准确的法律预期。
再次,行政色彩浓厚。由于是部门立法,所以我国的网络安全规范中常常含有不少行政色彩浓厚的管理性规范,在互联网不断发展变化的背景下,这些规范往往只及其一,不及其二,很快就不适应新的互联网现状。例如,在早期互联网中,电子公告系统和其它网站服务相比显得较为复杂,只有正式的网络内容提供商(ICP)才能提供,在这种背景下出台的《互联网电子公告服务管理规定》要求所有电子公告服务提供者都应在省级电信管理机构获得许可或备案。但随着互联网的发展,大量个人网站中都含有电子公告内容,而这些个人网站的建设者其实只是网络服务商的用户,从而导致这一规定在实践中难以推行。而与此同时,对于在电子公告系统上出现泄露他人的隐私和商业秘密的内容时,网络服务商的责任究竟如何等问题,却又未能在相关法规中清楚地界定。

  4.多管齐下:建全网络服务商安全责任制度
我们认为,要解决上述立法中的问题,就必须制定统一的网络服务商责任法,而要使这部法律真正发挥作用,则又需要注意以下几方面的问题。
  首先,在明确网络服务商安全责任的同时,注重保护和促进互联网的发展。把互联网安全法律的重点放在与网络服务商有关的规范中,并不意味着要他们承担所有有关网络安全的责任。那样的话,网络服务商将面临巨大的商业风险——他们也很难完全杜绝所有技术上的安全漏洞,更不用说人为的破坏和攻击了——把所有因网络安全而给个人、社会和国家造成的损失都归咎于网络服务商们显然也是不合理的。进一步说,过高的法律责任风险将阻止资本进入到互联网业,限制互联网的发展——继续上面的比喻,我们在找到“牛鼻子”以后,还要注意牵“牛鼻子”时不能用力过猛,否则不但“牛鼻子”受不了,而且整头“牛”也会受到伤害。正是基于这些考虑,很多国家在详细规定网络服务商的安全责任的同时,都建立了一种被称为“安全港”或“避风港”的制度,只要网络服务商达到法律要求的注意义务,并根据法律规定出程序,协助被侵权人以及行政、司法机关追查危害网络安全行为人,那么他们就可以不对网络上发生的安全事故承担责任。所以,在我国网络服务商责任法中,也应该有清楚明确的责任限制条款,为互联网的发展提供激励机制。
[本文禁止未经作者同意的任何转载]
  其次,注重市场手段的运用,通过鼓励和规范竞争的手段促进网络安全保障水平的提高。如前所述,用行政性的规定约束网络服务商的行为,一方面难免挂一漏万、互不协调,另一方面这些规定又很快会不适应新技术的发展。相反,如果在立法中注意促进网络服务竞争性市场的形成,避免垄断的出现,则可以在很大程度上使网络服务商主动地提高对网络安全的重视。这是因为,在充分竞争的市场中,各网络服务商为了吸引用户,必然采取各种手段提高自身系统的安全性、主动保护用户的安全,变“要我承担责任”为“我要承担责任”。
[作者版权保留不要转载]
  再次,鼓励民间安全组织的发展。鉴于互联网安全问题涉及技术和法律等多方面的专业问题,同时鉴于行政机构过多监管所可能产生的负面作用,借鉴国外的相关经验,可以采取以民间专业机构承担网络安全保障、认证乃至监控职责的做法。具体做法可以是:(1)立法中扶持网络安全产业的发展,形成“网络安全服务提供商”群体;(2)建立民间主导的网络安全认证体系——这一点对电子商务中的安全保障尤为重要;(3)建立安全等级评价制度,由民间组织对不同的信息的重要程度做出评价,帮助网络服务商和网络用户选择不同的安全保护策略,减少专业网络服务商的成本,同时便于网络安全责任归属的确定。

  最后,健全纠纷解决机制。网络安全问题除了涉及刑事和行政责任之外,还更多地涉及网络服务商相互之间、网络服务商与客户之间的民事责任分配和损失承担问题。因此,应当在网络服务商责任制度中,进一步建立高效公平的纠纷解决机制。这在网络法的其它方面已经有了成功的经验——域名纠纷的解决就已形成了司法机制和民间机制互相补充的良好体系。在网络服务商的民事责任方面,对涉及到新技术和相关法律问题的纠纷,可以由非盈利的民间组织提供专家意见,帮助司法和行政机构做出更准确的裁决。或者在纠纷各方同意的情况下,由专家组织直接对相关责任做裁决——当然,同时也应注意对专家责任做出相应规范。