网络服务提供者参与网络治理“三原则”
近日,代理的风险app治理案经广西高院判决,引发了不少互联网法律同行的关注,多家企业法务与我交流他们在实践中遇到的问题和困惑,通常而言,较大型的互联网平台或者面向C端的互联网企业都不可避免的遇到参与网络风险治理的问题,如果网络上出现了危及公益的风险源,而网络服务提供者又有相应的技术条件和可承受的治理成本,则绝大多数公司是愿意有所行动的。但过程中,行动所被允许的边界在哪里是个亟待明确的问题,网络上五花八门的风险和场景中,采取哪些具体措施能够得到法律的支持,在目前的法律规定中是没有明确也不可能逐一明确的,这就需要我们依照既定的法律和现有的判例去提炼和总结出一些较为普适性的原则,本文就是笔者结合自己的代理经验和思考,对解决这一问题所进行的尝试性思考。
需要说明的是,文中所有观点均为个人观点,且为不成熟的构想,与具体的个案、公司及法院等均无必然的指向和关联。尽管我们是成文法体系,但要解决互联网技术浪潮所带来的海量新问题,当代法律人应该有勇气从实践中进行理论抽象,尤其是某个新问题、新领域存在规则真空或者过去的条条框框已经无法覆盖的时候,逻辑自洽基础上的大胆假设将成为理论创新的必然路径。
直入主题,笔者认为,面对网络上存在的风险,网络服务提供者如果准备借助自身的技术等救济力量介入到风险控制从而参与网络共治的话,应当依循如下三个原则才能使其行为获得法律上的正当性认可:
一、公益必要原则
网络共治中的“治”即“治理”,其既包括公权属性也包括私权属性的治理手段,但不论哪一种,应该说追求的目标应该是高度一致的,那就是社会公益效果。具体到网络社会中,就是追求互联网业态的健康、有序和良性发展,让参与其中的绝大多数人获得最大效益。
所以,网络服务提供者参与网络治理的手段可以是“私”力救济式的,但目的则应当是基于公益,否则就失去了救济的正当性。
至于公益的目的如何判断,笔者认为主要看救济结果,从客观结果倒推主观目的(“不看广告,看疗效”),而这个结果的具体判定,则主要取决于“必要”性。从经济学角度,如果网络服务提供者采取治理措施所带来的“收益”大于“损害”和“成本”之和,则可视为满足了“必要性”的要求,如果某个具体的网络服务提供者采取治理措施,其所带来的效果(收益-损害-成本)大于所有其他网络服务提供者采取措施带来的效果,则其就是那个最有理由采取治理措施的主体。
任何治理措施的实施,都会造成经济学上的“损害”(非法律层面的),例如,杀毒软件阻止一款病毒程序的运行,对于病毒程序而言就是一种“损害”,令其无法正常运行及无法获取运行后的收益(可能是非法收益)是这种损害的具体表现。再比如,如果浏览器对风险软件的下载进行提示,对于后者而言也是一种“干预和介入”(仍然是经济学层面的),这种“干预和介入”就需要达到积极的效果才使之具有正当性,例如小米这个案件中,对涉黄软件的下载进行提示,可以让更多用户审慎决定安装和使用涉黄软件,进而对黄色信息的传播、未成年人保护和用户人身财产安全(有证据表明,涉黄软件常伴随着木马、病毒等危及财产和个人信息安全等风险)方面取得多重收益效果,这个效果会随着浏览器用户量的增加而增加,甚至完全可以进行一定程度的定量分析,证明浏览器等风险提示所带来的总收益远大于对涉黄软件造成的影响以及浏览器为此付出的提示成本。
关于公益必要原则的判断,除了上述标准,还有一个较为辅助性的标准,就是考察网络服务提供者在救济过程中,是否将救济所带来的部分收益“引导”到了自身平台,无论是流量、交易还是其他收益,如果有,则可能(但不必然)一定程度上会降低“公益必要”的成立可能性,但并不是说只要有“引导”行为,就不符合“公益必要”,我们常说“举贤不避亲”,如果引导的结果与治理目的高度一致,并对治理结果“锦上添花”,则不影响其正当性。但如果自我引导的结果和公益目的之间并无直接关联,而且明显引导结果是网络服务提供者主要追求的目标,这时候就要重新评估其行为的正当性了。
最后值得指出的是,关于必要性的判断,一方面来自于风险的严重和紧迫程度,这方面主要依靠生活常识和基本的伦理道德规范,有点类似于见义勇为的情况,网络服务提供者可以基于朴素和善良的良知来对风险进行识别从而采取行动;但另一方面,考虑到网络服务提供者与一般的见义勇为个人不同,他们往往关联到大量的C端用户,拥有较为完备的技术力量或者平台规则处置能力,同时自身也有潜在利益牵涉其中,所以是否有必要采取措施,还应当有一个重要的判断维度就是是否有法律上对风险事件较为明确的否定性评价,例如“黄赌毒”一类的风险就是有明确否定性评价的,这种否定性评价在法律层面越明确越严厉,网络服务提供者采取措施的必要性越强,甚至某些情形下,基于法律要求采取措施已经成了其法定义务。
二、最短距离原则
解决网络上某个节点导致的风险问题可以通过公权力和私力救济,公权力救济在合法性和结果(结果不代表效果)上通常比较有保障,但效率和成本方面就不一定可控了。典型的例如司法救济,很多网络侵权和风险都是在极短时间内达到危害的峰值,但诉讼的流程决定了通常只能事后弥补,行政救济也避免不了这个问题,而且成本都是比较高的,无论是维权开支还是公权力介入所需要的花费。
私力救济可以很好的解决效率和成本的问题,但有能力进行私立救济的主体很多,并且通常不像法院或行政执法机关那般具有明确的中立立场,因此除了前文讨论的“公益必要原则”之外,还应当从效率和成本出发从若干能够采取措施的网络服务提供者中挑选最合适的一个,从这意义上讲,“效率即正义”。
公权力位于网络之上,俯瞰全网,公权力采取治理措施时,对于风险源头可以直接自顶向下实施“降维打击”(例如直接给某个风险app断网、下架),与公权力不同,网络服务提供者也是组成网络节点中的一个,其本身就处在网络之中,其与同样作为网络节点的风险源处于同等地位,因此,不同网络服务提供者距离风险源的远近就直接关系到其治理成本和效率。
数学上“两点直接直线最短”,笔者受此启发提出“最短距离”原则,也就是距离“事发”风险网络节点最近的网络服务提供者,或者其采取的措施对“事发”网络节点影响最为直接的网络服务提供者是最合适的网络共治主体。
之所有这个原则,是基于降低治理成本、提升治理效率和效果的角度考量,这也是鼓励网络服务提供者参与网络治理的最关键原因,网络上信息庞杂,问题众多,如果这些问题都要诉诸于公权力(行政执法、诉讼等),救济成本无疑是相当高的,而且治理效果也难以保障。此时就有了引入网络服务提供者参与治理的理由,而具体到个案中,当某个“事发”网络节点的行为导致了社会危害,距离这个节点最近的网络服务提供者采取必要措施的成本必然是最低也最有效的。在广西高院的这个判例中,小米浏览器作为网络服务提供者,用户借助浏览器下载涉案的风险app应用,此时在用户、浏览器和风险app这三点之间形成了一条直线,为了消除风险app带来的潜在危害,浏览器采取提示措施是最合理和高效的,同时也为其所采取的行动创造了最大的合理性理由。
再进一步,如果风险app已经被用户下载到了本地客户端,用户此时选择安装,这个时候距离风险app最近距离的则不再是浏览器而是杀毒软件等本地的安全管理应用,如果杀毒软件、手机管家等安全应用在风险app安装过程中给出风险提示等措施,则是符合“最短距离原则”的。
反过来,如果一个网络服务提供者与风险app之间的距离很远,中间还隔着其他有治理能力的网络服务提供者,这时候其采取措施的必要性和合理性就值得讨论了,并不是一定不可以,但要能够举证其采取措施在成本上是更低的,并且没有对其他网络服务提供者造成不利影响,例如如果用户选择了应用商店下载风险app,这时候采取措施的“最短距离”网络服务提供者就应该是应用商店,如果浏览器或者杀毒软件在这个时候介入,其行为的正当性就存疑了。当然,这不是一个简单的问题,很多时候需要裁判者对网络服务的具体场景和参与者以及各自的角色、行动范围等有清晰的认知,而且也要与时俱进的了解技术的最新发展和商业格局变化,有些传统上不合理的做法随着技术创新和商业格局的演变就有可能变成合理的,这一点确实对裁判者提出了更高的专业要求。
三、匹配原则
匹配当然指的就是治理手段和风险程度之间的匹配。 网络服务提供者如果要参与网络治理,应当尽量对不同风险进行分类分级甚至量化式的评估,并对不同级别的风险对应的措施给予提前设定,这种做法有两个明显的好处,一是通过预设手段和行为之间的映射,让后续的执行有标准可依,不至于对严重风险给予一般处置措施而一般风险却给予严重处置措施,这会给被处理方以质疑的空间。另一方面的好处在于,当处置措施受到质疑时,可以对公众、法院等给出有力解释,也就是说处置措施是对所有风险源无差别预设好的,并不针对某一个或几个特定主体,对风险的处置“一视同仁”,不存在“差别待遇”的问题,毕竟很多时候,一旦出现“差别对待”,就可能被质疑有不正当竞争之嫌,法律面前人人平等,治理措施面前也同样如此。
至于怎样程度的风险跟怎样程度的措施才算匹配,也有三个可以参考的维度:
1、法律有没有要求。这里的法律要求是广泛意义上的,例如在此前的某个判例中,法院曾认可过某种做法,或者曾向网络服务提供者以司法建议等形式提出过建议,又或者是行政主管部门通过《通知》、约谈等要求网络服务提供者采取某些措施;
2、行业通行做法。例如对某些敏感内容进行过滤和屏蔽,对明显违法或侵权的内容停止服务等,如果行业当中已经形成了惯常的做法就可以参考。其中存在的问题是,如果采取的措施超出了行业通行做法的程度,其合理性是否还可以得到认可,这个就涉及到下文所述的第三个维度:
3、经济性。也就是执行治理措施所导致的潜在损害是否与公益性收益匹配,如果手段过于严厉,例如只是接到了单个用户的投诉,没有发现风险源存在全面的高风险就对风险源进行彻底屏蔽,这种就是潜在损害大于收益,不具有经济学上的经济性(“错杀一千,不放过一个”),从而失去了治理效果。反之,即便手段严厉程度超出了业内普遍做法,但与风险造成的公益损失相比仍然有限,则具有合理性,甚至应该鼓励其他网络服务提供者也提升其原有的处置措施。
无论是哪个维度进行评判,对于网络服务提供者而言,都有必要建立健全风险处置的存证留痕体系,消费者投诉渠道也好、舆情监测系统也罢,又或者是风险评估模型等等,要对这些渠道和所收集的风险信息进行留存,说白了就是保护好“犯罪现场”,普通人见义勇为还知道拍个照片录个视频呢,网络治理不留下足够的证据就贸然采取措施,任凭法律上的有多完备的评判模式都没用,这一点算是给网络服务提供者的实务建议了。
