時下，隨著大數據的普及和互聯網技術的發展，各種“掃臉”、指紋等技術大量用于日常生活中，很多民眾反映個人信息大量泄漏，已經成了行走的“透明人”，各類以大數據和信息網絡為支撐的牟利及犯罪活動也愈演愈烈。

在這個背景下，我國政府多次提出要加強網絡信息安全和數據保護，并著力加強該領域的立法和監管。自2019年《電子商務法》正式實施以來，數據安全、信息保護等其他立法進程也在加緊推進，互聯網的監管整體趨嚴，我國在鼓勵創新發展的同時，更加關注行為的合法合規性。目前，《網絡安全法》和國務院《互聯網信息服務管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》、電信條例等法律法規已經基本形成對網絡信息安全和數據保護問題的“合圍”，而一直備受期待的《數據安全法》也已經第十三屆全國人民代表大會常務委員會第二十九次會議通過，并于2021年6月10日發布。

自2020年6月28日以來，《數據安全法》歷經了三次審議與修改，并確定將于2021年9月1日正式施行，這標志我國在數據安全領域有法可依，為各行業數據安全提供監管依據。《數據安全法》明確數據安全主管機構的監管職責，建立健全數據安全協同治理體系，提高數據安全保障能力，促進數據出境安全和自由流動，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，讓數據安全有法可依、有章可循，為數字化經濟的安全健康發展提供了有力支撐。

在我國網絡信息安全和數據保護體系下，通過提供平臺或者通道服務、為使用者通過網絡實現其商業、娛樂、公共服務等價值提供幫助的信息網絡服務提供者是主要角色，故監管和合規的重心也就放在了信息網絡服務提供者之處。然而，大部分網絡服務提供者作為商業主體，其行為邊界如何，以及在日常經營活動中如何進行必要的合規管理以盡可能規避法律風險便成為了一個重要課題。本文在信息網絡安全的背景下，聚焦于網絡服務提供者相關法律法規及司法實踐，對網絡服務提供者的合規運營提供法律上的說明和分析，以襄助體系完善和合規引導。

(一) 網絡服務提供者的認定

《關于加強網絡信息保護的決定》第五條和第六條以服務類型的不同將網絡服務提供者規定為“網絡信息傳輸者、網站接入服務提供者、固話/移動電話入網服務提供者和信息發布服務提供者”。《信息網絡傳播權保護條例》第十四條、二十條和二十一條分別將“網絡服務提供者”劃分為信息存儲空間服務提供者、搜索服務提供者、鏈接服務提供者、網絡自動接入服務提供者和自動傳輸服務提供者。《最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》第四條至第六條將內容服務提供者也納入到“網絡服務提供者”的范疇。

而最高人民法院、最高人民檢察院《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》第一條則從犯罪認定角度給“網絡服務提供者”提供了更具體的表現形式，包括：（一）網絡接入、域名注冊解析等信息網絡接入、計算、存儲、傳輸服務；（二）信息發布、搜索引擎、即時通訊、網絡支付、網絡預約、網絡購物、網絡游戲、網絡直播、網站建設、安全防護、廣告推廣、應用商店等信息網絡應用服務；（三）利用信息網絡提供的電子政務、通信、能源、交通、水利、金融、教育、醫療等公共服務。

從上述規定可見，“網絡服務提供者”主體既包括民營企業，也包括政府機關、其他社會組織等，行為性質既有營利性也有非營利性，行為內容涵蓋了傳統的直接向用戶提供音視頻內容的網站（如愛奇藝、騰訊視頻）；提供音視頻搜索并獲取鏈接或P2P下載種子的網站或軟件客戶端（如快播）；以及由網絡主播向用戶提供涵蓋音樂、舞蹈、游戲解說等各種領域的音視頻直播網站（如斗魚直播、熊貓直播），也包括以淘寶、天貓為代表的第三方交易平臺以及以京東自營、亞馬遜自營為代表的直接面向消費者提供商品的網絡商品經營者。歸納言之，“網絡服務提供者”大體上可以劃分為技術服務提供者和內容服務提供者兩類。

結合上述法律規定及法理，“網絡服務提供者”范圍的界定有助于厘清其責任和行為邊界。對于技術服務提供者，由于其僅提供接入、緩存、信息存儲等技術服務，而不直接向網絡用戶提供信息，一般而言，其無需對網絡用戶提供的信息侵犯他人權益的行為承擔責任，但如果其主動實施侵權行為，如破壞他人技術保護措施、竊取他人個人信息等，則需承擔侵權責任。而對于內容服務提供者，其通常需對發布內容的真實性、合法性負責。故提供的網絡服務內容和形式不同，其所承擔的責任也就不同。在廣州S移動信息科技有限公司與上海X娛樂信息科技有限公司侵害作品信息網絡傳播權糾紛審判監督案中[注1]，網絡服務提供者S公司通過提供司法鑒定意見書測試分析其“S搜索”的小說目錄、網頁框架信息、小說部分章節內容的來源服務器等，以證明其僅提供鏈接等網絡服務，即主張其僅為技術服務提供者。而法院認為，S公司提供的證據不能解釋通過“S搜索”中小說界面標注的第三方網址無法觀看相應小說內容、“S搜索”頁面內容與第三方網站頁面內容不一致等情況，對于第三方網站小說收費章節的提供方式亦未予以證明，從而認定其構成侵權。

(二) 司法實踐中網絡服務提供者的義務和責任

1. 信息安全管理義務

依據《網絡安全法》《互聯網信息服務管理辦法（2011年修訂）》及新出臺的《數據安全法》等相關規定，網絡服務提供者應當履行安全管理義務，采取切實有效預防、識別和應急處置措施，對其服務對象的違法行為采取管理手段，否則將有可能受到監管部門追究，且經監管部門責令采取改正措施而拒不改正的，則可能構成拒不履行信息網絡安全管理義務罪。對于網絡服務提供者未落實個人信息保護措施，符合刑法第二百八十六條之一規定的，也可能構成該罪名。

2. 通知-刪除義務

《民法典》規定“網絡用戶利用網絡服務實施侵權行為的，權利人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。通知應當包括構成侵權的初步證據及權利人的真實身份信息。網絡服務提供者接到通知后，應當及時將該通知轉送相關網絡用戶，并根據構成侵權的初步證據和服務類型采取必要措施；未及時采取必要措施的，對損害的擴大部分與該網絡用戶承擔連帶責任”。《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》規定通知內容包括“通知人的姓名（名稱）和聯系方式、要求采取必要措施的網絡地址或者足以準確定位侵權內容的相關信息、通知人要求刪除相關信息的理由。”《信息網絡傳播權保護條例（2013年修訂）》規定的通知內容包括“權利人的姓名（名稱）、聯系方式和地址、要求刪除或者斷開鏈接的侵權作品、表演、錄音錄像制品的名稱和網絡地址、構成侵權的初步證明材料。”其中，所謂“構成侵權的初步證據”，按照某些學者的觀點，其應當包括以下內容：利用網絡服務實施侵權行為的網絡用戶是誰，該用戶實施了侵害自己何種民事權益的侵權行為，自己享有該民事權益的證明，為何該行為侵害了該等民事權益等。為了更好地保護民事權益，構成侵權的初步證據的要求是比較低的，并不要求足以證明侵權事實的存在[注2]。需要注意的是，司法實踐中，如果權利人事先沒有向網絡服務提供者專門發送通知而是直接起訴，網絡服務提供者在收到起訴狀后能夠詳盡了解到相關情況的，也視為接到了通知[注3]。

另外，刪除、屏蔽等措施也不是網絡服務提供者可以隨意采取的措施，而是要考慮到涉嫌侵權行為的具體情況及可能對他人或公眾產生的影響。在貴州F生物科技有限公司與深圳市T計算機系統有限公司等網絡侵權責任糾紛案中，北京互聯網法院認為，本案相關網絡服務提供者在F公司起訴前后，對案涉文章刪除與否的態度上均出現了根本性變化。在接到起訴狀以后，T公司、W公司未能堅持其首次接到投訴時的立場，不能排除囿于《中華人民共和國侵權責任法》第三十六條第二款及相關司法解釋的規定，從片面減少自身訴累以及訴訟風險的角度出發，對案涉文章進行了刪除。從本案效果上看，兩公司行為有可能導致消費者無從通過案涉文章中的內容，了解到案涉產品的實際情況，從而影響到消費者的知情權。如果為減少訴累以及訴訟風險而讓此類行為泛化，將可能妨礙社會公眾通過自媒體正確、合理、充分的表達觀點。因此本院希望T公司、W公司能夠嚴格依照法律規定，正確適用法律規定，以更加審慎的態度處理投訴，營造開放、包容、有序的互聯網生態環境。[注4]

而鑒于《侵權責任法》第三十六條對通知規則的規定過于簡單，故此，《民法典》專門采用兩條（即第1195條、第1196條）對通知規則的具體適用程序做出了詳細的規定，并載明“網絡服務提供者接到通知后應當及時將該通知轉送相關網絡用戶，并根據構成侵權的初步證據和服務類型采取必要措施”。換言之，網絡服務提供者在收到投訴后并非立即采取刪除、屏蔽等措施，而是要聽取被投訴相關用戶的意見，并進行初步評判，這就對網絡服務提供者提出了更高的要求——即網絡服務提供者應當要求網絡用戶必須實名制和提供有效的通信聯系方式，方能及時將權利人的證據傳遞給涉嫌侵權人，且如果轉遞過程中存在延遲，按照《民法典》的規定，還會承擔損害擴大部分的連帶責任。

此外，網絡服務提供者所采取的必要措施不僅僅是刪除、屏蔽等，還需要對多次侵權的行為采取有效防范措施，乃至停止為侵權人提供網絡服務。而網絡服務提供者是否采取了必要的避免侵權行為發生的措施，結合司法實踐，應當根據網絡服務提供者對侵權警告的反應、避免侵權行為發生的能力、侵權行為發生的幾率大小等因素綜合判定。《最高人民法院公報》2012年第1期公布了一例Y時裝貿易有限公司訴浙江T網絡有限公司及杜某的侵權案件[注5]，Y公司發現杜某銷售侵權商品的行為后，先后7次向T公司發送侵權通知函，而T公司也先后7次刪除了杜某發布的商品信息，該案件的爭議點在于T公司作為網絡服務提供者是否已采取了必要措施。對此，法院認為，根據T公司網站的用戶行為管理規則，其在接到投訴后除刪除商品信息外還設置了限制發布商品信息、扣分直至凍結賬戶等處罰措施，而T公司在知道杜某多次發布侵權商品信息情況下，未嚴格依照其管理規則，仍為杜某提供網絡服務，此是對杜某繼續實施侵權行為的放任、縱容，構成幫助侵權，具有主觀過錯，應承擔連帶責任。

3. 合理注意義務

按照《民法典》第一千一百九十七條之規定，網絡服務提供者在侵權行為中的過錯包括對網絡用戶侵害信息網絡傳播權行為“明知”或者“應知”，明知容易判斷，“應知”則需要結合相關因素進行認定，包括網絡服務提供者應當具備的管理信息的能力，其傳播的作品、表演、錄音錄像制品的類型、知名度及侵權信息的明顯程度，是否主動對作品、表演、錄音錄像制品進行了選擇、編輯、修改、推薦等，是否積極采取了預防侵權的合理措施，是否設置便捷程序接收侵權通知并及時對侵權通知作出合理的反應，是否針對同一網絡用戶的重復侵權行為采取了相應的合理措施等方面的因素，來認定網絡服務提供者對其網絡用戶侵害權利人信息網絡傳播權是否應知。[注6]例如，在貴州F生物科技有限公司與深圳市T計算機系統有限公司等網絡侵權責任糾紛案件中[注7]，北京市互聯網法院認為，在文章真實性與否將涉及消費者知情權及社會公眾利益的情況下，T公司接到原告不符合法定條件的侵權通知書后謹慎處理，及時反饋文章評估情況要求其提供初步證明材料的做法是合理的，已經盡到了合理注意義務，不存在任何過錯，符合《信息網絡傳播權保護條例》中規定的“避風港”原則，不應承擔任何責任。

4. 其他義務

網絡服務提供者還要注意對使用其平臺的特定類型用戶身份進行驗證。比如《中華人民共和國慈善法》規定廣播、電視、報刊以及網絡服務提供者、電信運營商，應當對利用其平臺開展公開募捐的慈善組織的登記證書、公開募捐資格證書進行驗證。未履行驗證義務的，由其主管部門予以警告，責令限期改正；逾期不改正的，予以通報批評。《互聯網域名管理辦法》明確了域名注冊管理機構、注冊服務機構違法開展域名注冊服務、未對域名注冊信息的真實性進行核驗、為違法網絡服務提供域名跳轉等違法行為的處罰措施。

另外，網絡服務提供者有依法配合有關機關的義務。比如《最高人民法院關于互聯網法院審理案件若干問題的規定》第五條規定，互聯網法院審理案件所需涉案數據，電子商務平臺經營者、網絡服務提供商、相關國家機關應當提供，并有序接入訴訟平臺，由互聯網法院在線核實、實時固定、安全管理。《刑事訴訟法》第一百三十七條規定，任何單位和個人，有義務按照人民檢察院和公安機關的要求，交出可以證明犯罪嫌疑人有罪或者無罪的物證、書證、視聽資料等證據。

2019年10月25日，最高人民法院、最高人民檢察院聯合發布《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》，自2019年11月1日起施行。《解釋》明確了拒不履行網絡安全管理義務罪、非法利用信息網絡罪和幫助信息網絡犯罪活動罪的定罪量刑標準和有關法律適用問題，對于依法懲治相關網絡違法犯罪活動，保障網絡安全，維護人民群眾合法權益起到重要作用，也強調了網絡服務提供者的行為可能涉及的刑事風險。就《解釋》所載網絡服務提供者可能涉及的主要刑事罪名，具體說明如下：

(一) 拒不履行網絡安全管理義務罪

為督促有關網絡服務機構履行好監管責任，促使網絡服務提供者切實承擔起安全管理義務，刑法修正案（九）增設刑法第二百八十六條之一——拒不履行網絡安全管理義務罪，其表現為網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，且有下列情形之一的：（1）致使違法信息大量傳播的；（2）致使用戶信息泄露，造成嚴重后果的；（3）致使刑事案件證據滅失，情節嚴重的；（4）有其他嚴重情節的。

就其入罪標準，“致使違法信息大量傳播”主要從違法信息傳播數量和傳播范圍兩個角度規定了數量標準；“致使用戶信息泄露，造成嚴重后果”主要從用戶信息數量和造成后果兩個角度作了規定，這與《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》保持銜接和協調，將用戶信息區分為高度敏感信息、敏感信息、一般信息，其數量標準按照侵犯公民個人信息罪入罪標準的十倍掌握；“致使刑事案件證據滅失，情節嚴重”主要考慮涉及刑事案件的重大程度、證據滅失次數、對刑事訴訟程序的影響等因素；“有其他嚴重情節”主要考慮安全管理義務的重要程度、行為人的主觀惡性、打擊網絡黑灰產業鏈條的需要以及可能造成的嚴重后果等因素。[注8]特別是為了落實《網絡安全法》第二十一條、第二十四條規定的網絡服務提供者按照規定留存相關網絡日志和要求用戶提供真實身份信息的義務，將“對絕大多數用戶日志未留存或者未落實真實身份信息認證義務的”情形規定為入罪標準之一。

該罪名實際上是前文所述信息安全管理義務在刑事領域的延伸，其以“經監管部門責令采取改正措施而拒不改正”作為本罪的前提，這就要求網絡服務提供者審慎對待監管部門的審查和處理意見，切莫心存僥幸、鋌而走險。

(二) 非法利用信息網絡罪

近年來，隨著網絡信息技術發展，網絡違法犯罪活動不斷呈現出線下傳統犯罪不斷向線上網絡犯罪遷移的趨勢。為了對網絡犯罪做到“打早打小”，體現預備行為實行化的立法思路，刑法修正案（九）增設刑法第二百八十七條之一——非法利用信息網絡罪。基于該立法目的，《解釋》第7條規定：“刑法第二百八十七條之一規定的'違法犯罪'，包括犯罪行為和屬于刑法分則規定的行為類型但尚未構成犯罪的違法行為。也就是說，該罪名不僅局限于刑法條文列舉的詐騙、傳授犯罪方法、制作或者銷售違禁物品、管制物品等違法犯罪活動，而是包括刑法分則規定的所有犯罪。但對于刑法未規定、僅在治安管理處罰法或者其他法律法規規定的行政違法行為，從罪刑法定原則出發，即使利用信息網絡實施，也不應當構成非法利用信息網絡罪。[注9]例如，對于買賣駕照計分的行為，目前無法直接追究刑事責任；對于此類行為，即使通過互聯網、通信群組發布相關信息的，也不構成非法利用信息網絡罪。

值得注意的是，本條規定的犯罪是針對行為人為實施違法犯罪活動而設立網站、發布信息的行為，即只要行為人實施了本條規定的行為，達到情節嚴重的程度的，即構成犯罪，而并不考慮行為人的行為是否已實現了具體的犯罪目的。如果行為人設立網站、發布信息，并且還實際實施了相關的犯罪行為，則還可能構成其他犯罪，如設立銷售毒品的網站，發布銷售毒品的信息，并實際銷售了毒品，則還構成販賣毒品罪。這種情況下，其設立銷售毒品網站的行為成為其實施販毒活動的途徑或手段，對這種情況，根據該規定，應當按照處罰較重的罪名定罪處罰。

(三) 幫助信息網絡犯罪活動罪

為及時調整刑法懲處網絡犯罪幫助行為的策略，體現幫助行為正犯化的立法思路，刑法修正案（九）增設刑法第二百八十七條之二——幫助信息網絡犯罪活動罪。[注10]根據該規定，構成幫助信息網絡犯罪活動罪，以明知他人利用信息網絡實施犯罪為前提，而對主觀明知的認定，應當結合一般人的認知水平和行為人的認知能力、相關行為是否違反法律的禁止性規定、行為人是否履行管理職責、是否逃避監管或者規避調查、是否因同類行為受過處罰，以及行為人的供述和辯解等情況進行綜合判斷。[注11]據此，最高人民檢察院總結歸納了七種可以推定“明知”的情形：其一，經監管部門告知后仍然實施有關行為的，即網信、電信、公安等監管部門告知行為人，他人利用其提供的技術支持或者幫助實施犯罪，仍然繼續提供技術支持或者幫助的。其二，接到舉報后不履行法定管理職責的，即行為人接到舉報，知道他人利用其提供的技術支持或者幫助實施犯罪，而不按照網絡安全法等法律法規履行停止提供服務、停止傳輸、消除等處置義務的。其三，交易價格或者方式明顯異常，即行為人的交易價格明顯偏離市場價格，交易方式明顯不符合市場規律的。其四，提供專門用于違法犯罪的程序、工具或者其他技術支持、幫助，即行為人提供的程序、工具或者支持、幫助，不是正常生產生活和網絡服務所需，只屬于為違法犯罪活動提供幫助的專門服務的，比如建設“釣魚網站”、制作專用木馬程序等。其五，頻繁采用隱蔽上網、加密通信、銷毀數據等措施或者使用虛假身份，逃避監管或者規避調查的。其六，為他人逃避監管或者規避調查提供技術支持、幫助的。其七，其他足以認定行為人明知的情形。[注12]

需要注意的是，該罪名要求行為人明知，而該明知行為可能被認定為加入到他人的犯罪活動中，構成共同犯罪，即本罪與其他犯罪的共同犯罪如何區分是實務中的難點問題。目前，傳統犯罪如詐騙罪、盜竊罪等開始向網絡領域蔓延，而網絡服務提供者可能就會成為該類傳統犯罪行為實施的通道或途徑，導致網絡服務提供者陷入刑事犯罪的泥潭，而按照我國刑法相關規定，詐騙罪、盜竊罪相較于幫助信息網絡犯罪活動罪，量刑明顯較重，但由于本罪“明知”的犯罪構成要素，以及我國司法實踐中對于“共同犯罪”認定的較大伸縮性，極有可能將本應按照幫助信息網絡犯罪活動罪定罪處罰的行為認定為構成詐騙、盜竊等犯罪的共同犯罪，而即使網絡服務提供者作為該類犯罪的從犯，其最終的量刑仍可能遠遠高于本罪的量刑上限，造成罪責刑不適應。

在網絡發展之初，美國《數字千年版權法》最早提供了網絡服務提供者責任與違法內容的解決方案，尤其是其設計的“通知-刪除”規則在全世界大部分國家的立法中得到了廣泛的認可和借鑒。目前，我國已初步形成網絡安全合規及監管的規范體系，這對于網絡服務的監管以及網絡生態平衡的促進提供了引導和規范，也對網絡服務提供者提出了更高、更系統的要求。

在該背景下，就網絡服務提供者而言，應當更注重制定全面合理的用戶協議和隱私協議，明確各方的權利義務和需提示的重要事項；完善數據合規及網絡用戶行為規范制度；重視知識產權保護與侵權預防；加強用戶實名制建設及投訴處理機制，注意識別網絡風險特別是刑事風險。網絡信息安全和數據保護合規本身是一個極為復雜的系統，涉及多方面權利的兼顧與平衡，需要網絡服務提供者適應網絡信息安全和數據保護的各項規范并不斷更新完善。