北航专家：网络服务提供者执法义务的类型

Robert Lewis Reid

文 / 北京航空航天大学法学院副教授 裴炜

一、引言

在互联网治理的过程中，一个毋庸置疑的发展趋势是，网络服务提供者的参与度在不断上升，其与执法机关的合作亦在不断密切。特别是在犯罪治理语境下，网络服务提供者常常担负起信息存储、监控、披露等协助义务，这种执法权的外溢与共享已经成为网络社会的显著特征。

但是这仅仅是理解网络服务提供商参与执法的一个角度。需要看到的是，网络服务提供者往往还担负着保护用户个人信息的义务，这些义务包括但不限于不随意进行监控、不向他人披露、以及不用做他途。可以说，这些义务构成网络服务的商业基石，是用户信赖的基础，同时也是网络治理的关键。由此可以看出，网络服务提供者一方面担负着保护用户个人信息的义务，另一方面又担负着在特定情形下协助执法的义务，两项义务之间并不必然一致，反而存在着一定的张力。与此同时，网络服务提供者本质上的商业主体身份使得其行为仍以利润最大化为基本目标。以上三重身份相互交织，共同作用于其所承担的协助执法义务。

毫无疑问的是，特定情况下网络服务提供者所承担的协助执法义务本身即构成其信息保护义务的边界，这也是当前相关规范性法律文件中的常见表述。但协助执法义务本身是否有边界，以及依据何种标准如何划定这种边界，法律规定则语焉不详。事实上，如果我们将网络服务提供者的协助执法义务看做是其信息保护义务的例外，那么后者所倚赖之价值则构成前者的限制因素。换言之，网络服务提供者所承担的信息保护义务与协助执法义务之间不仅互为制约，且两者并非平行关系，而是存在一定的优先性排序。

本文正是从网络服务提供者所承担具备的三重身份出发，分析网络服务提供者协助执法义务的合理边界。基于该思路，本文正文共包括以下四个部分：第一部分对于当前网络服务提供者所承担的协助执法义务进行规则梳理，并将其义务类型化为三种：信息收集存留义务、信息监控审查义务、信息报告披露义务；在此类型基础上，第二部分围绕用户个人信息，进一步分析网络服务提供者协助执法义务形成过程中，三重身份互动的基本逻辑；第三部分和第四部分基于该逻辑，从“权利——权力”互动的比例原则和商主体的经营目的两个角度，具体分析网络服务提供者协助执法义务的边界，并形成我国当前法律体系下，义务边界划定的七项原则。

在进一步进行分析之前，有必要就本文所用概念稍加说明。本文采用了“网络服务提供者”一词，用于对应英文中广义的Internet service provider（ISP）。《网络安全法》中首次采用了“网络运营者”这一概念，意指“网络所有者、管理者和网络服务提供者”，由此可以看出，“网络服务提供者”是“网络运营者”的下属概念。然而，《网络安全法》后续条文并未就“所有者”、“管理者”、“服务提供者”在职能上进行进一步区分。与之形成鲜明对比的是，目前已经出台的大量规范互联网行为的专门领域法律法规多采用“网络/互联网+特定领域+服务提供者”的表述。

尤其需要注意的是，《刑法修正案（九）》第286条之一的“拒不履行信息网络安全管理义务罪”明确将刑事责任的适用主体限制为“网络服务提供者”；2016年“两高一部”《关于办理刑事案件手机提取和审查判断电子数据若干问题的规定》（下文简称《电子数据规定》）和《反恐怖主义法》采用的是相同的规范思路； 2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（下文简称《网络民事纠纷规定》）也主要关注的是“网络服务提供者”的权利义务问题。以上规定表明，“网络服务提供者”承担一定的网络管理义务，并非仅限于实施经营活动的主体。也正是在这个意义上，才有探讨商主体所应承担的社会治理职能的必要性。此外，因此，在相关立法尚未进一步明晰“网络所有者”、“网络管理者”与“网络服务提供者”之间的实质性差异之前，本文仍然选择使用目前规范体系较为完善的“网络服务提供者”一词，以避免论述过程中造成概念混乱。

二、网络服务提供者协助执法义务类型

网络服务提供者在执法过程中承担多种类型的协助义务，具体到直接以用户个人信息为执法对象的情况而言，除去一般性的为执法提供必要的管理层面、技术层面的协助外，主要包括三种类型的协助执法义务：信息收集存储义务、信息监控审查义务、信息披露报告义务。以下就这三种义务分别进行分析。

（一）信息收集存储义务

一般而言，网络服务提供者收集存储用户个人信息在遵循合法性、正当性、必要性的原则下，需同时满足以下三个条件：（一）明确收集、适用的目的、方式和范围；（二）经被收集者同意；（三）为服务经营所必须。在此范围内，网络服务提供者的信息收集存储行为与协助执法并无直接关联，而是直接服务于其日常经营活动。

为协助执法之目的，网络服务提供者所承担的信息收集与存储义务通常不受该三个条件的限制。此时，基于启动依据不同，可以将该义务区分为一般收集存储义务和特殊收集存储义务。

就信息的一般收集存储义务而言，典型的文件是2011年修订的《互联网信息服务管理办法》，其中第14条规定，互联网信息服务提供者应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。此项信息收集存储义务的功能主要在于为日后执法过程中的信息获取提供便利，区别于网络服务提供者基于日常经营活动所进行的信息收集存储，因此一般指向特定信息，并存在一定的期限限制。尽管绝大多数规范性法律文件对于一般收集存储义务进行了规定，但针对的服务主体、信息类型和存储期间不尽相同，如表1所示。

由表1可以看出，信息的一般收集存储义务多指向服务信息和内容信息，注册信息则更多依据网络服务提供者的日常经营活动进行存储。就信息的存储期间而言，大部分法律法规规定了60日的固定期间，非固定期间则一般设置了最低存储期间，例如《互联网群组信息服务管理规定》的“至少6个月”或者《互联网视听节目服务管理规定》的“至少60日”。就文件内的各个条文而言，一个普遍的现象是存储期间并未与信息类型进行匹配。

网络服务提供者针对信息的特殊收集存储义务的启动基于个案，即执法机关针对特定违法犯罪嫌疑展开调查时，要求网络服务提供商就该案件之相关信息进行收集存储。我国当前相关法律规定大致包括两种类型。

第一种是由主管机关发现特定嫌疑后，网络服务提供者针对该嫌疑所承担的信息收集和存储义务，例如2015年《反恐怖主义法》第19条第2款规定，特定主管部门发现含有恐怖主义、极端主义内容的信息，责令有关单位停止传输、删除相关信息，或者关闭相关网站、关停相关服务时，这些单位不仅应当立即执行，还负有保存相关记录以协助调查的义务。2016年《网络安全法》第50条同样规定，网络运营者在收到有关部门就违法信息停止传输的命令后，除采取消除该信息等处置措施，还要保存有关记录。2016年“两高一部”《关于办理刑事案件手机提取和审查判断电子数据若干问题的规定》（下文简称《电子数据规定》）第12条明确规定了冻结电子数据过程中网络服务提供者所应承担的协助义务，

第二种是网络服务提供者自己发现违规信息之后，在向有关机关进行报告的同时，主动保存相关记录，例如2016年《网络安全法》第47条和刚刚出台的《互联网群组信息服务管理规定》第10条均属于这一类型。总体而言，这些禁止发布的信息主要涉及国家秩序、社会秩序和公民合法权益三个部分，但不同规定在划定禁止内容的范围时，表述上存在细微差异，如表1中的几份文件所示：

从表2可以看出，不仅各个层级的规范性法律文件在具体表述上存在差异，同时众多文件采用了“法律法规和国家有关规定”对禁止类信息进行概括性描述。尽管有些文件对于此类信息进行了进一步细化，但是在“破坏国家宗教政策”、“诱导未成年人违法犯罪”、“危害社会公德或者民族优秀传统文化”、“恐怖主义、极端主义”等表述上并不一致。

表2仅涉及网络服务提供者收集存储特定信息义务的适用情形，但与信息的一般收集存储义务相同的是，特殊收集存储义务也需回答收集哪些信息和存储多久的问题。从目前已经出台的相关法律法规来看，该问题尚处于立法空白状态。例如《网络安全法》第47条在规定网络运营者承担的“保存有关记录”的义务时，并未明确“有关记录”的具体内容，后续条文亦未能进一步明确此类记录需要存储的具体期限，以及期限届满之后的处置措施。

这里需要注意的是，原则上网络服务提供者在收集和使用个人信息时应当明确收集使用规则，并征得被收集者同意。但协助执法义务是否构成该告知和同意获取义务之例外，法律法规同样没有进行明确规定。以《网络信息保护决定》为例，全国人大常委会出台该文件体现出对与公民个人电子信息的高度保护意识，但第5条所规定的“保存有关记录”如果涉及此类信息，是否还应当遵守第2条规定之收集使用的基本原则，《决定》本身无法提供一个明确的答案。

（二）信息审查监控义务

原则上，网络服务提供者对于用户信息不承担主动监控职责。例如《网络传播权规定》）第8条规定：“网络服务提供者未对网络用户侵害信息网络传播权的行为主动进行审查的，人民法院不应据此认定其具有过错。”但是，通过对当前已经出台的法律法规进行审查，我们可以看到《网络传播权规定》属于例外情形。绝大多数规范性文件中对于网络服务提供者规定了信息内容审查监控义务。具体而言，这种义务可以进一步划分为一般审查监控义务和特殊审查监控义务。

一般审查监控义务是指网络服务提供者在日常经营活动中所承担的常规化的信息审查监控义务。目前已经出台的规范性法律文件通常就一般性审查监控义务、可以采取的措施、法律责任等事项进行了规定。以《网络安全法》为例，第47条明确要求网络运营者加强对用户发布信息的管理。发现违法信息之后，网络运营者应当采取的处理措施包括停止传输、信息消除、保存记录和报告。网络运营者未能履行该项职责的，将引发包括责令改正、警告、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销业务许可证或营业执照、罚款等行政处罚措施。通过“义务——措施——责任”的三阶构建，网络服务提供者就用户信息的一般审查监控义务已经体系化。

由于监控目的是过滤违反法律法规和国家规定的信息，因此审查监控主要针对的是内容信息而非注册信息或服务信息。例如《反恐怖主义法》第19条第1款规定了互联网服务提供者的“信息内容监督制度”；《移动互联网应用程序信息服务管理规定》明确指出APP提供者应当建立健全“信息内容审核管理机制”。进一步分析，将内容信息的审查监控纳入到“管理义务”项下，意味着监控不力并“致使违法信息大量传播”时，将有可能引发《刑法》第286条之一的拒不履行信息网络安全管理义务罪。

特殊审查监控义务指向的是个案监控，即针对已经形成违法违规嫌疑的特定主体，为进一步收集线索或证据所进行的信息审查监控。此时网络服务提供者承担的是辅助司法行政的职能。此类义务在刑事司法领域较为典型，《刑事诉讼法》中设置了一般性规定，例如第50条规定在必要时可以吸收与案件有关或了解案情的公民协助调查；第52条规定公检法有权向有关单位和个人收集、调取证据，有关单位和个人应当如实提供证据；第150条第4款规定有关单位和个人应当配合公安机关进行技术侦查，并对有关情况予以保密，等等。《网络安全法》第28条的规定与之异曲同工，[1]《反恐怖主义法》尽管列举了“提供技术接口”与“解密”两项具体的协助方式，但其后的“等”字意味着网络服务提供者的义务不止于此。《电子数据规定》同样未就动态信息的网络服务提供者的监控义务进行规定，毋庸提及对不同类型的配合义务加以区分。

以上文件的共性在于，仅笼统规定了特定案件处理过程中网络服务提供者所承担的“协助”、“配合”义务，并未进一步明确配合的具体形式。从不履行义务可能引发的法律责任来看，部分法律法规并未就违反此类配合义务作出明确规定，例如《网络安全法》第六章“法律责任”没有与前文第28条之规定相配套的责任规定；另外一些规范性法律文件则作出了笼统规定，例如2016年《工商总局关于进一步做好查处网络传销工作的通知》第3条第4款规定网络服务提供者有义务向各级工商、市场监管部门开展调查取证、处理违法信息提供必要的协助配合，对不履行相关义务的，依法追究其责任。

从《刑法》第286条之一项下的具体情形来看，如果网络服务提供者不履行义务的行为导致刑事案件证据灭失，情节严重时同样可以构成拒不履行信息网络安全管理义务罪。结合《刑事诉讼法》第52条第2款之规定，“刑事案件证据”并不仅限于刑事诉讼过程中搜集到的证据，还有可能扩展至行政执法和查办案件过程。证据之灭失可以对应多项协助不力之行为，例如未能按照法律规定对特定信息进行日常收集存储，但该灭失同样可能基于网络服务提供者在具体案件查办过程中未能协助监控特定信息。当前法律规定的模糊导致在此方面网络服务提供者的义务范围并不明确。

（三）信息披露报告义务

信息收集存储义务与审查监控义务通常与信息的披露义务紧密联系在一起。在符合特定条件的情形下，网络服务提供者负有依法向有权执法机关提供原本应当予以保密的特定信息的义务。此时，“特定情形”成为网络服务提供者信息保密义务的例外。从相关法律法规来看，网络服务提供者的保密义务主要指向的是其为日常业务之需要收集的用户个人信息。原则上此类信息不得向他人泄露、出售或非法提供，例如《网络安全法》第42条第1款明确规定网络运营者不得泄露用户个人信息，并且未经信息被收集者之同意不得向其他人提供个人信息。

与信息收集存储义务和审查监控义务相对应，网络服务提供者所承担的信息披露义务同样可以区分为两种类型：其一是基于一般信息收集存储和审查监控行为形成的披露义务，主要体现为违法信息报告义务；其二是具体案件执法活动中的信息披露义务。就后者而言，三种义务类型相互交叉，在法律法规中也通常以协助配合义务一语概之。从前文分析可以看出，目前相关规范性法律文件尚未就后者予以类型化。

就违法信息报告义务而言，其通常指向法律、法规禁止或违法国家规定的信息。例如全国人大常委会《关于加强网络信息保护的决定》（下文简称《网络信息保护决定》）第5条规定了网络服务提供者发现违法信息应当立即向有关主管部门报告。与之类似的规定还包括《网络安全法》第47条、这里进一步涉及两个问题：一是哪些信息属于“违法信息”，二是向主管部门报告哪些类型的信息。

针对前一个问题，表2所列之违法违规信息通常被纳入报告义务之中，例如《互联网信息服务管理办法》第16条明确将网络信息服务提供者的报告义务指向第15条所列的九种情形。如前所述，不同规范性法律文件中对于“违法信息”的列举方式和内容不尽相同；即便针对具体的信息类型，其法律表述亦边界不清，例如如何界定“民族优秀文化传统”。

就后一个问题即报告内容问题而言，绝大多数法律法规同样尚未明确规定，仅有少数文件有所涉及，例如2013年《信息网络传播权保护条例》第13条规定，著作权行政管理部门为了查处侵犯信息网络传播权的行为，可以要求网络服务提供者提供涉嫌侵权的服务对象的姓名（名称）、联系方式、网络地址等资料。此外，根据2014年最高院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，网络服务提供者在以涉嫌侵权的信息系统网络用户发布为由抗辩时，法院可以责令其提供能够确定涉嫌侵权的网络用户的姓名（名称）、联系方式、网络地址等信息。这一规定在某种程度上也可以解读为要求网络服务提供者在具体案件的司法裁判过程中对法院进行协助。

综上，绝大多数规范性法律文件在规定网络服务提供者的报告义务时，并不区分注册信息、服务信息和内容信息。仍以《网络安全法》第47条为例，网络运营者在发现违法违规信息后，不仅应当存储“有关记录”，还应该向有关部门报告。显然，报告的“内容”可以涵盖“有关记录”，而何为“有关记录”，条文则语焉不详。

[1] 《网络安全法》第28条规定，网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

感谢作者授权，本文仅作学习交流之用

声明：本文来自大数据和人工智能法律研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。