提供网址检测服务的法律分析
2018-02-13唐伟
唐 伟
(腾讯科技(深圳)有限公司 广东深圳 518064)(leintang@sina.com)
随着互联网的不断发展,人们从网络获取的信息越来越多,并且也越来越习惯于通过互联网获取信息.互联网在降低用户获取信息成本的同时,一些恶意网址也通过互联网进行传播.恶意网址指向钓鱼网页、带有木马的网页、色情网页等,背后隐藏着网络诈骗、网络盗窃、侵犯用户隐私、传播淫秽色情内容等违法犯罪行为,严重危害着网络安全和信息安全,侵犯用户的合法权益.为了保护用户的利益,一些安全软件、浏览器开发了网址检测的功能.但是,由于存在误拦误报的情况,网址拦截也面临着侵犯名誉权、妨碍交易、无权行使执法权的质疑.
1 网址检测服务的技术原理
网址检测是由网络安全企业依托安全软件、浏览器向用户提供的风险提示服务,其基本功能是在用户通过浏览器访问某一网址时,安全软件、浏览器对该网址进行检测,如果经过检测判断该网站属于存在风险的网站,安全软件、浏览器将根据风险类别和程度向用户进行风险提示.用户在接收到风险提示后可以选择忽略风险并且继续访问,也可以选择停止访问当前网址,此时的选择权在用户手中.此外,由于存在误拦误报的可能性,网址检测服务提供者会设置解除误拦误报的通道入口,供受到误拦误报的网站进行投诉反馈,保障正当经营的网站的合法权益,提高服务的准确性.
网址检测服务的技术可以分为前端展示和后台检测2个部分.前端展示是指在判定用户访问的网址存在风险时,通过安全软件、浏览器弹出对话框的方式提示用户,对可能存在的风险向用户进行展示.后台检测是指在用户输入网址后,在后台数据库中检测该网址是否落入恶意网址库中.为提高网址检测服务的准确性,需要尽可能广泛地收集恶意网址,进行甄别后纳入恶意网址库中.建设恶意网址库的方式一种是服务提供者通过技术手段对网站的风险类型和程度进行标注;另一种是设置用户举报入口,由用户对特定网址的安全性、风险类型进行举报.
网址检测结果的准确性依赖于技术手段是否先进、数据库内容是否丰富等多方面的因素,检测结果与实际情况可能会存在一定的误差,导致误拦误报情形的存在.比如,在加入恶意网址库时网站确认存在风险,但是恶意网址库在网站修复风险恢复正常后并未将该网址移除,导致用户访问时安全软件、浏览器告警,造成误拦误报.
2 对网址检测服务的质疑及反驳
网址检测服务一方面可以防止网络诈骗等网络犯罪行为,维护网络安全,保障用户利益;另一方面,由于技术和数据等原因造成的局限,难免会存在误拦误报的可能.受到误拦误报的网站运营者认为网址检测属于行政执法的范畴,质疑网络安全企业无权进行网址检测.另外,网址检测的行为还会造成侵犯名誉权、交易机会减少.但是,这些质疑实际上都不能成立.
2.1 侵犯名誉权的质疑及反驳
2.1.1 网址检测服务侵犯名誉权的案例
通过检索公开的司法判决,起诉网址检测服务提供者的法律纠纷共有2起,原告均主张被告的行为构成名誉权侵权.在湖南梦佳娜生物工程有限公司诉北京奇虎科技有限公司名誉权侵权案件中,原告认为被告是软件安全公司,对原告公司网站诋毁为“恶意网站、危险网站、欺诈网站”,并发布访问该网站会导致财产损失和隐私泄露的不实信息,对原告造成了巨大的商誉损失和经济损失①参见湖南梦佳娜生物工程有限公司与北京奇虎科技有限公司名誉权纠纷一审民事判决书,(2016)湘0105民初6791号..最终,法院认为,弹窗提示并非拦截,被告的弹窗提示语使用的词语为“可能”,并非侮辱性、诋毁性的词语;原告的网站曾多次被举报含有欺诈性质的内容,存在夸大产品功效、误导消费者的情形.因此被告在原告网站上标注“恶意网站”亦系对消费者的提醒,并没有故意诋毁、侮辱原告公司网站的意思表示,不构成侵犯名誉权.
在上海衡运航空商务有限公司诉北京奇虎科技有限公司名誉权侵权案件中,原告认为被告用其经营的360搜索保镖,将原告网站标志为“危险网站”,并附设警告原告网站假冒机票销售网站进行诈骗,极大地损害了原告良好的商业信誉和企业形象,给原告造成了巨大的经济损失②参见上海衡运航空商务有限公司与北京奇虎科技有限公司名誉权纠纷判决书,一审:(2013)徐民二(商)初字第1963号;二审:(2015)沪一中民四(商)终字第1000号..一审法院认为不构成侵犯名誉权.二审法院改判认为,奇虎公司仅以衡运公司不具备相关机票销售代理资质为由,就直接将“危险、假冒、诱骗、骗取”等字眼用于对《东方衡运》网站的描述;也不掌握任何用户因此受骗上当投诉衡运公司或者衡运公司涉嫌非法经营的证据;对衡运公司的投诉在答复和处置上存在模棱两可的态度.因此,被告的网址标注行为属严重失实,具备了相当程度的过错,构成名誉权侵权.
2.1.2 如实提示不构成名誉权侵权
名誉是指人们对自然人或法人的品德、才能及其他素质的社会综合评价[1].法人的名誉指有关法人商业或职业道德、资信、商品质量或服务质量方面的社会评价.我国《民法总则》规定了法人、非法人组织享有名誉权①参见《民法总则》第110条:“法人、非法人组织享有名称权、名誉权、荣誉权等权利.”,《侵权责任法》也规定了侵害名誉权应当承担侵权责任②参见《侵权责任法》第2条:“侵害民事权益,应当依照本法承担侵权责任.”.在认定是否需要承担侵害名誉权责任的构成时,需要满足侵权责任承担四要件.侵害名誉权的行为必须具有通过不真实的内容贬损他人名誉,如果传播的内容是真实的,即使有损名誉也不构成侵害名誉权的行为[2].在网址检测服务中,对于存在风险的网站向用户进行如实提示,传播的信息真实,不构成名誉权侵权.
2.1.3 误拦误报不构成名誉权侵权
对于误拦误报的情形,在主观故意的认定中,需要慎重考虑提供网址检测的网络安全企业是否真实存在侵害名誉权的主观过错.网址检测服务提供者之所以开发网址检测功能,是为了让用户能够更加安全地上网获取信息,避免用户在毫无防备的情况下点击访问恶意网站、感染病毒木马、受到网络诈骗等.网络安全企业在提供网址检测服务时,主观上不存在侵害特定对象名誉的故意.恶意网址库中的数据是海量的,服务提供者无法保证每一条数据的准确性,误拦误报是因技术和数据的局限性而导致的一种结果.在受到误拦误报的网站投诉反馈前,网址检测服务提供者在主观上不知道该条数据误报,不存在过错.由于网址检测服务提供者并不具有主观过错,所以不需要承担侵害名誉权的责任.
2.2 减少交易机会的质疑及反驳
交易机会是指经营者与交易相对方完成交易的可能性.在竞争市场中交易机会是有限的,经营者必须通过竞争的方式争取交易机会,竞争的本质便是对交易机会的争夺,竞争行为都是围绕竞争优势和交易机会展开的[3].根据漏斗原理,从流量到成交的概率是逐渐变小的,而且经过的环节越多交易成功的概率就越低.也就是说,在用户浏览网页的过程中,每增加一个交互环节就会造成用户的流失,交易机会将会减少.在网址检测侵犯名誉权的纠纷中,原告均主张被告的网址检测功能导致用户降低对原告的信任,减少交易机会.法院在衡运公司诉奇虎公司的案件中,也认为网址检测结果在客观上剥夺了选择360引擎搜索服务的用户对《东方衡运》网站的访问及交易机会③参见(2015)沪一中民四(商)终字第1000号判决书..
但是,安全软件、浏览器的网址检测服务是否有违公平竞争,进而导致被提示风险的网站交易机会减少,需要结合具体的情形来进行判断.在用户访问网站的过程中,用户属于信息获取方,网站属于信息提供方.信息的传播是按照获取方产生对信息的需求,在需求驱动下点击网站,提供方传播信息给获取方的过程进行的.信息获取方有权利中断信息获取的过程,网站不能单方面决定是否存在潜在客户和交易机会,即用户访问量到交易机会还存在一个转化的过程.
对于交易机会的减少,可以分为误拦误报和正确检测2种情况.对于误拦误报,由于交易是否能够完成受到淡旺季、报价、消费者心理、竞争对手营销策略等多种因素的影响,误拦误报可能会对交易有负面影响,但无法得出网站交易机会的减少与网址检测服务之间存在直接因果关系.并且,误拦误报的情况下交易机会减少实际上是侵犯名誉权成立的情况下的损害后果.如果名誉权侵权不成立,质疑网址检测会导致减少交易机会也就不能成立.对于正确检测出的恶意网址,这些网站或网站中的内容包含淫秽、赌博等法律禁止传播的内容,产生的交易机会是依靠违法信息建立的,不应当受到法律保护.所以,在不构成侵害名誉权的情况下,对网址检测服务会减少交易机会的质疑是不能成立的.
2.3 行使执法权的质疑及反驳
法律对执法权主体的规定被概括为主体法定原则,即法律赋予一个特定行政机构权力,应当也只有该机构能够依法执掌和行使行政权力,其他任何主体在法律上无权执掌和行使该行政权力[4].行政主体资格的法律要件包括:1)是享有行政职权的组织;2)以自己的名义进行行政活动;3)具有独立承担由实施行政活动所带来的法律责任的权利能力[5].在立法上,法律法规均对于网络安全的行政执法机关有明确的授权,例如,《中华人民共和国网络安全法》规定:“国家网信部门负责统筹协调网络安全工作和相关监督管理工作.国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作.”《公共互联网网络安全威胁监测与处置办法》规定:“工业和信息化部负责组织开展全国公共互联网网络安全威胁监测与处置工作.各省、自治区、直辖市通信管理局负责组织开展本行政区域内公共互联网网络安全威胁监测与处置工作.”《计算机病毒防治管理办法》规定:“公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作.地方各级公安机关具体负责本行政区域内的计算机病毒防治管理工作.”网址检测的结果会提示用户该网站为恶意网站、欺诈网站、危险网站,质疑的声音认为对网站的安全或者风险情况进行分析和认定,属于有权机关执法的范畴,应当由行政执法机关才能行使.
行政执法是指国家行政机关及其公职人员依照法定职权和程序行使行政管理权,实施国家立法机关所制定的法律的活动.网址检测服务提供者不是法定的行政机关,另外,某网址在软件A上的检测结果,与在其他企业的软件B上的检测结果并不一定相同,检测结果与行政处罚性质不同,不具有普遍性.因此,网址检测本质上不属于行政执法行为.网址检测不属于行政法律关系的范畴,而是属于民事法律关系的范畴.互联网企业利用自身技术能力和广大的用户基础对潜在的风险进行提示,其性质实质上是一种互联网企业的创新行为.网址检测服务一方面是互联网企业通过保护上网用户的利益来争取用户的方式,另一方面也属于承担社会责任的行为.根据《中华人民共和国网络安全法》规定,网络运营者具有履行网络安全保护的义务①参见《中华人民共和国网络安全法》第9条:“网络运营者开展经营和服务活动必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任.”,在没有不正当目的且有一定依据的情况下,对风险网站进行访问风险提示并不属于行政执法的范畴,对网址检测的质疑难以成立.
3 提供网址检测服务的合法性分析
网址检测服务与公共利益密切相关,是企业自主创新提升用户体验的表现,也是企业勇于承担社会责任的表现,更关系到网络治理.
3.1 维护网络安全
网络和信息技术迅猛发展,互联网已经深深地融入到社会生活的方方面面,极大地影响和改变着人们的社会活动和生活方式,网络安全已经成为关系国家安全、经济发展、社会进步和广大网民切身利益的重大问题.其中,网络入侵、网络攻击等非法活动严重威胁信息基础设施的安全,非法获取、泄露甚至倒卖公民个人信息的活动时有发生,传播恐怖主义、淫秽色情等违法信息危害国家安全和社会公共利益,这些都严重危害着网络安全[6].根据国家计算机网络应急技术处理协调中心(CNCERT)的数据显示,2016年,CNCERT监测发现约17.8万个针对我国境内网站的仿冒页面,从仿冒页面的类型看,积分兑换和用户登录仿冒页面数量最多;约4万个IP地址对我国境内8.2万余个网站植入后门,网站数量较2015年增长9.3%;约1.7万个网站被篡改,被植入暗链的网站占全部被篡改网站的比例高达86%②参见国家计算机网络应急技术处理协调中心(CNCERT)发布的《2016年我国互联网网络安全态势综述》..
网络安全问题不仅仅与国家密切相关,维护网络安全需要社会共同参与,发挥企业、社会组织、公民的作用,充分整合国家力量与社会资源,实现官方与民间的良性互动,共同维护网络安全,实现对网络空间的有效治理.企业需要保护用户隐私,保障网络运行安全和数据安全,维护网民权益.《中华人民共和国网络安全法》规定了形成全社会共同参与促进网络安全的良好环境③《中华人民共和国网络安全法》第6条:“国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境.”.维护网络安全首先要保障网络产品和服务的安全,网址运营者对于检测到的网络产品和服务本身的安全风险、漏洞应及时向用户告知,履行法律规定的维护网络安全的义务.对于产品和服务以外,网络运营者将检测到的风险告知用户,属于社会力量积极参与维护网络安全,能够防止风险扩大和避免损害发生,也是企业社会责任的体现.网址检测服务作为互联网企业向用户提供的一项服务,能够保障用户在访问前受到明确提示,避免访问钓鱼网站植入木马、受到网络攻击、泄露个人信息.
3.2 预防网络犯罪
网络已经成为现代社会的一种生活方式,降低了信息的流通和获取成本,在给社会带来利益的同时,网络也被犯罪分子所利用,衍生出网络犯罪行为.网络技术一定程度上改变了人们的观念和生活方式,也使犯罪行为朝着全新的领域发展[7].网络犯罪是社会发展到一定程度而出现的现象,从网络犯罪的特征出发,网络犯罪可以理解为以网络为犯罪对象或犯罪工具及以网络作为犯罪场所,具有严重社会危害性的行为[8].根据《最高人民法院、最高人民检察院、公安部关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》的规定,网络犯罪的范围包括危害计算机信息系统安全犯罪案件;通过危害计算机信息系统安全实施的盗窃、诈骗、敲诈勒索等犯罪案件;在网络上发布信息或者设立主要用于实施犯罪活动的网站、通信群组,针对或者组织、教唆、帮助不特定多数人实施的犯罪案件;主要犯罪行为在网络上实施的其他案件①《最高人民法院、最高人民检察院、公安部关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》第1条..网络犯罪行为与传统犯罪行为的最大区别就在于利用网络技术实施犯罪行为,通过计算机设备和软件及发送指令,达到犯罪目的.为逃避制裁,犯罪分子往往选择通过境外服务器、计算机设备实施犯罪行为,网络犯罪行为中跨国犯罪行为占比较高.由于网络技术的隐蔽性,预防犯罪存在相当大的困难.
以网络诈骗为例,根据安全联盟《网络诈骗白皮书》公布的数据,2016年,安全联盟共受理网友举报152万条,经由人工审核,有45.6万恶意网址被列入黑名单②参见安全联盟发布的《2016网站诈骗白皮书》..由于网络诈骗是远程非接触性犯罪,近年来,不少大型的诈骗集团采取境内外联合作案的方式,犯罪分子藏身境外,借助现代科技手段和快捷的网银转账手段对内陆网友实施诈骗.
提高用户的自我防范意识是预防网络犯罪的重要组成部分,用户需要采取多种方式,防止自己成为网络犯罪的目标.实践中,网络犯罪的得逞与被害人的自我防范能力较弱有关,如果提高用户的防范意识,网络犯罪相应地能够得到有效预防.实践中,犯罪分子会通过各种方式引诱用户打开链接,用户一旦点击,木马或病毒便植入用户电脑或手机,造成财产损失.网址检测服务能够在点击链接后弹出危险警告,引起用户注意,并且终止访问的流程,避免用户的设备被植入木马或者感染病毒,最终达到预防网络犯罪的目的.无锡市公安局在全国率先推出了“反信息网络诈骗平台”,极大降低了网民上当受骗的概率[9].治理网络犯罪是一个长效的、需要各方配合驱动的事业,目前,网络犯罪呈现集团化的趋势,预防网络犯罪也需要各个部门相互响应,积极合作,并且善于利用反欺诈的工具、系统和技术,进行全面且深入的打击.
3.3 保护用户的知情权和选择权
在互联网时代,网址成为用户进入互联网获取信息的重要入口,用户通过浏览器打开网页获取信息.人们可以通过网络广泛传播网址链接,比如在微博中发一条带网址的微博,任何浏览到这条微博的用户都可以点击该网址打开网页.在这个过程中,用户看到的是一串字母构成的网址,对网址指向的网页内容及安全性一无所知.在互联网活动中,广泛传播的网址可以为网站带来点击量增长,进而实现流量变现.为了提高网站的点击量,网站会采取引人误解的描述,吸引用户点击;或者是为了盗取他人账号发布虚假的信息,诱导用户的好友或粉丝点击.由于用户点击网址的过程中用户与网站之间的信息不对称,用户处于信息劣势,为了矫正这种状态需要给予用户利益进行倾斜性保护.
网址检测服务能够起到保护用户知情权和选择权的作用.在用户点击链接后,网址检测服务提供的信息可以使得用户对风险内容知情,对于访问的网站进行粗略的事前判断.用户可以选择是否继续进行访问,网址检测服务不会对用户的访问行为进行干扰,当然,包含法律明确规定禁止传播的内容的网站除外.对于能够保障用户知情权和选择权的网址检测服务,立法和司法应当采取包容和鼓励的态度.
3.4 法律并未禁止网址检测
按照现有规定,法律并未禁止民事主体提供网址检测服务或者用户提示服务,也没有要求提供此服务需要获得行政许可.根据民事活动中,法无禁止即自由的基本原则,民事主体提供网址检测服务的活动是合法的.不仅如此,法律对社会主体参与网络安全建设采取了鼓励的态度,例如,《中华人民共和国网络安全法》鼓励形成全社会共同参与促进网络安全的良好环境;《国家网络空间安全战略》提出鼓励社会组织等参与网络治理,发展网络公益事业,加强新型网络社会组织建设;《公共互联网网络安全威胁监测与处置办法》鼓励相关单位以行业自律或技术合作、技术服务等形式开展网络安全威胁监测与处置工作.网址检测服务是服务提供者从用户利益出发,为保障用户上网安全而为用户提供的一项服务,在涉及互联网领域的侵权案件中,鼓励和支持科技创新始终被作为一个重要的利益衡量因素来斟酌不法的构成问题[10].
4 误拦误报纠纷中的裁判考量
4.1 主观过错的认定
《侵权责任法》规定,除法律有规定外,对于侵权行为造成的侵权责任采用过错责任原则,侵害名誉权责任构成使用的归责原则一般应采用过错责任原则.过错责任原则以行为人主观是否存在过错作为标准,判断行为人对其行为造成的损害后果承担赔偿责任,有过错则承担责任,无过错则不承担责任.从提供网址检测服务的出发点来看,服务提供者的目的是为了避免恶意网址的存在和传播导致用户利益受损.另外,网址检测使用的恶意数据库中的恶意网址是海量的,网址检测服务被用户使用的次数也是海量的,面对海量的数据,服务提供者对数据是否会造成误拦误报并不知情,要求服务提供者保证每一条数据的准确性将会导致付出高额的成本.
具体来说,如果网站运营者通过反馈渠道通知网址检测服务提供者误拦误报,并且提供了证据材料来证明检测结果确实属于误拦误报,网址检测服务提供者没有合理理由在超过一定期限后仍然未进行更正的,可以认为存在主观过错.设定一个期限的原因是因为从更正到生效在技术上可能会存在时间间隔.
4.2 检测结果提示语是否中立
网址检测服务会对存在风险的网站向用户进行提示,提示的方式和内容会因风险类别和程度有所区别.网址检测引起的名誉权侵权纠纷中,尤其是在误拦误报的案件中需要注意检测结果提示语是否存在中立性.网址检测服务的使命在于给予用户更多的信息,消除浏览网页前的信息不对称,所以,在提示用户时需要避免对网站进行有倾向性的评价.另外,提示语的内容可以尽量采用柔性的表述替代绝对化的表述,例如,“该网站可能属于诈骗网站,请小心访问”.如果检测结果提示语采用绝对化的表述,将网站与风险性进行直接联系,将会承担更高的侵权风险.如果侵权成立,在赔偿责任的承担上也应当存在区别.
4.3 是否提供有效投诉渠道
由于技术和数据的限制,网址检测的结果会存在误拦误报的情形,将正常经营的网站误报为恶意网站.为了避免误拦误报给正当经营的网站造成损害,网址检测服务提供者在产品设计时需要提供纠正的渠道.被标记为存在风险的网站认为标记错误时,可以提供相应的证明材料进行投诉反馈.设置投诉渠道意味着网址检测服务提供者承认存在准确性的局限,需要通过投诉渠道来纠正错误的检测结果,最终逐渐提高服务的准确性.面对投诉人的投诉,如果投诉理由成立服务提供者应进行纠正.
5 结 语
网址检测服务能够维护网络安全,预防网络犯罪,保护用户利益,有助于实现良好的网络治理.科技改变生活,法律相较于技术的发展总是具有滞后性,尤其当某项技术的发展前景尚不十分明朗时更是不宜贸然禁止或抑制,而应当留有余地,循序渐进,为创新和发展留下一定的空间[11].在涉及网址检测误拦误报的纠纷裁判中,应当在保护网站利益与技术发展之间寻求平衡,避免服务提供者承担过重的负担.
