电商平台的安全保障义务构成
The Composition of Security Obligations of E-Commerce Platforms
摘要: 互联网技术的飞速发展推动虚拟经济活动呈指数级增长,电子商务平台作为数字经济的核心枢纽,在重塑交易模式的同时也催生出新型风险分配机制。虚拟空间的匿名性、技术依赖性与监管滞后性导致平台责任边界日趋模糊,司法实践中普遍存在责任认定主观化倾向的问题,加之现行规范对安全保障义务的构成要素、履行标准及免责事由缺乏系统性规定,加剧了责任泛化与创新抑制的悖论。在此背景下,本文旨在厘清电商平台作为“危险源开启者”的法律地位,构建科学合理的安全保障义务体系,以期为破解治理困境贡献绵薄之力。
Abstract: The rapid development of Internet technology has promoted the exponential growth of virtual economic activities. As the core hub of the digital economy, e-commerce platform has also spawned a new risk allocation mechanism while reshaping the transaction mode. The anonymity, technological dependence, and regulatory lag of virtual spaces have led to increasingly blurred boundaries of platform responsibility. In judicial practice, there is a common tendency towards subjective responsibility determination. In addition, the current norms lack systematic provisions on the constituent elements, performance standards, and exemption reasons of security obligations, exacerbating the paradox of responsibility generalization and innovation inhibition. In this context, the purpose of this article is to clarify the legal status of e-commerce platforms as “hazard initiators”, construct a scientific and reasonable system of security obligations, and contribute to solving governance difficulties.
文章引用:刘文蕊. 电商平台的安全保障义务构成[J]. 电子商务评论, 2025, 14(4): 1850-1857. https://doi.org/10.12677/ecl.2025.1441080

1. 引言

互联网技术的迅猛发展催生了虚拟经济活动的全面兴起,电子商务平台作为数字经济时代的核心载体,已从单纯的交易撮合者演变为兼具市场规则制定者、数据管理者与风险防控者的复合型主体。虚拟空间的匿名性、跨地域性与技术依赖性同样也使得传统法律框架在应对网络交易风险时面临严峻挑战,从中不难得出平台责任的泛化问题日益凸显的结论。一方面,司法实践中存在“一刀切”归责倾向,部分判决将用户违法行为简单归咎于平台技术中立性缺陷,导致平台承担过重的监管负担;另一方面,法律对平台安全保障义务的内涵、边界及履行标准缺乏精细化规定,引发责任认定中的主观裁量权滥用。这种责任泛化不仅抑制平台创新活力,更可能因义务标准模糊而削弱用户权益保护实效。

在此背景下,明确电子商务平台作为“危险源开启者”的特殊地位,厘清其安全保障义务的理论基础与制度框架,具有重要的理论价值与实践意义。德国学者乌尔里希·贝克指出,现代社会中的技术风险往往由系统控制者引发,而平台正是网络空间中系统性风险的“制造者”与“放大器”[1]。平台本身所具备的这种“危险源开启者”属性要求其承担与其技术能力、控制范围相匹配的安全保障义务,以平衡商业利益与社会公共利益,构建符合我国国情的义务标准体系,可为司法裁判提供明确依据,推动平台责任从“形式合规”向“实质治理”转型,最终实现数字经济高质量发展与用户权益保障的双重目标。

2. 电商平台安全保障义务的理论基础

2.1. 危险控制理论的引入与演化

传统民法体系中,安全保障义务的理论根基可追溯至罗马法时期的特殊责任制度。当时船东、旅馆业主及马厩经营者因经营场所的特殊性而被赋予了对旅客财产及人身安全的保护义务。由此可见,此类义务的设定源于特定职业或营业活动对社会交往风险的开启与控制需求,体现了早期法律对危险源的规制逻辑。1902年“枯树案”与1903年“撒盐案”的判决,首次将交往安全义务作为《德国民法典》第823条第1款的补充规则,确立了危险控制与损害预防之间的因果关系链条[2]。至19世纪末,德国法通过判例逐步发展出“交往安全义务”,其核心在于要求开启或维持某种危险状态的主体,需采取必要措施防止他人权益受损。该理论强调,义务主体对危险的控制力是责任承担的前提,其法理逻辑在于通过风险分配实现社会整体安全与个体行为自由的平衡。

随着互联网技术的迅猛发展,传统物理空间的安全保障义务框架逐渐难以适应虚拟经济活动的复杂性。电商平台作为数字时代的重要交易媒介,通过技术手段构建了一个开放、动态且去中心化的交易环境。平台经营者不仅是交易撮合者,更是信息流、资金流及物流的枢纽节点,其通过算法规则、数据存储及用户协议等技术工具,实质上掌握了交易活动的核心控制权。在此背景下,危险控制理论被引入电商平台安全保障义务的构建中,其核心命题在于电商平台因技术优势与规则制定权成为虚拟交易风险的开启者与持续者,故需承担与其控制力相匹配的安全保障义务。这一理论的适用需突破传统物理空间与虚拟空间的界限,将控制力从对有形场所的支配延伸至对数据流、算法规则及交易生态的无形管控。

2.2. 虚拟空间对传统安全保障义务的挑战

传统安全保障义务的理论框架以物理空间为基础,强调义务主体对特定场所或活动的实际控制能力。例如《民法典》第1198条规定的公共场所管理者责任,依赖于对实体环境的风险排查与物理防护,而电商平台的虚拟性、开放性与技术依赖性使得传统控制力标准面临重构需求。

2.2.1. 控制力判断标准的嬗变

在物理空间中,控制力表现为对场所的物理隔离、监控设备部署及人员巡查等直观手段;而在虚拟交易环境中,控制力则转化为数据算法、用户协议及交易规则的设计与执行能力。平台可以通过实名认证、信用评分系统及自动过滤技术,可有效识别并阻断高风险交易行为,这种技术赋能的控制力具有即时性、隐蔽性与全局性特征,远超传统场所管理者的物理局限。但虚拟控制力的边界亦存在模糊性,比如平台对用户生成内容(UGC)的审核义务需要在言论自由与风险防控之间寻求平衡,对跨境交易的数据流动则受制于主权国家的法律冲突等。

2.2.2. 义务主体与权利主体的扩展

传统安全保障义务的权利主体通常限于进入特定场所的消费者或参与者,而电商平台的权利主体范围需扩展至包括注册用户、潜在访问者及第三方权益人。例如在“网约车致第三人损害案”1中,非消费者身份的交通事故受害者能否主张平台责任成为司法实践的争议焦点。义务主体方面除电商平台经营者外,提供同质化服务的综合平台,如社交平台内嵌电商功能等亦需纳入规制范畴。这种扩展源于平台经济的生态化趋势,单一功能平台向超级平台的演变,使得风险管控责任需覆盖多元业务场景。

2.2.3. 义务内容的双重维度

传统安全保障义务聚焦于物理环境的安全维护,如消防设施配备、警示标志设置等;电商平台的安全保障义务则需兼顾“技术安全”与“规则安全”双重维度。技术安全涉及数据加密、系统防攻击及交易链路可靠性;规则安全则体现为对平台内经营者资质的审核、商品信息的真实性核验及争议解决机制的有效性,二者共同构成虚拟交易环境的基础信任框架。

3. 现行法律规范解读与适用争议

3.1. 现行法律规范的双重路径及其立法逻辑

我国现行法律体系中,电商平台经营者安全保障义务的规范依据主要体现为《民法典》第1198条与《电子商务法》第38条第2款的双重路径。前者源于传统侵权法中的公共场所管理者责任框架,以“危险开启者”理论为基础,通过场所控制力界定义务边界,将安全保障义务的适用场景限定于物理空间,强调义务主体对场所内人身财产安全的主动维护;后者作为专门性立法,引入“危险控制力”概念将平台经营者视为虚拟交易生态的主导者,要求其通过技术手段与规则设计防范系统性风险,试图构建符合互联网特性的平台责任体系。这种差异化的立法取向,既反映了对传统安全保障义务理论的承继,亦体现了数字时代对平台责任的重构需求。

《民法典》第1198条的规范构造延续了《侵权责任法》第37条的思路,将安全保障义务主体明确为“公共场所的经营者、管理者或群众性活动组织者”。其隐含的前提是义务主体对物理空间具有排他性控制能力,能够通过物理隔离、监控设备等直观手段防范风险,而电商平台的虚拟性、开放性与技术依赖性,使得“公共场所”的认定面临解释困境。传统观念中,只有具备物理实体的公共空间,才能被经营者、管理者有效控制,即将特定的物控制在不会造成他人损害的状态之下[3],而电商平台在于存在于虚拟空间而缺乏物理实体的控制可能性。

《电子商务法》第38条第2款作为专门规范试图弥合上述鸿沟,其立法目的在于构建与平台技术能力相匹配的义务体系,将安全保障义务的适用范围从线下场景延伸至线上交易。该条款将义务内容限定为“资质资格审核”与“安全保障”并将权利主体明确为“消费者”,体现出立法者对平台责任范围的谨慎克制。然而这一限定性设计在实践中引发争议:一方面,“消费者”的狭义解释为仅限为生活消费的自然人,导致大量非消费性用户的权益保护缺位;另一方面,“生命健康权”的狭窄保护范围难以涵盖电商活动中频发的财产损失、数据泄露等新型风险。

3.2. 法律适用路径的冲突与司法实践分歧

司法实践中,法院对双重法律路径的适用呈现显著分歧。主张适用《民法典》第1198条的判决,通常通过两类解释方法扩张条款的适用范围:一是将电商平台定性为“公共场所”,强调其开放性与公共属性;二是将平台经营者解释为“群众性活动组织者”,认为其通过规则制定与流量分配实质控制交易过程。在“某网红直播坠亡案”2中,一审法院曾尝试将直播平台纳入“公共场所”范畴,但二审法院以缺乏物理控制力为由予以否定,转而依据《民法典》第1165条一般过错条款裁判。此类案例表明,物理空间控制力的缺失已成为适用《民法典》第1198条的核心障碍。

相较之下,《电子商务法》第38条第2款的适用困境源于其内在的制度缺陷。首先,义务主体的单向性设计忽视平台生态的复杂性。现行条款仅将电商平台经营者列为义务主体,但实践中大量综合平台,如社交平台内嵌电商功能等,通过技术嵌套规避法律定义导致责任认定模糊。在“微店消费纠纷案”3中,微店平台以“信息发布中介”自居,主张其不属于《电子商务法》规制的“电商平台经营者”,法院最终通过实质审查其交易撮合功能才确认责任主体资格。其次,义务内容的碎片化难以应对技术迭代风险。现行立法将安全保障义务局限于资质审核与生命健康保护,未涵盖算法歧视、数据滥用等新兴风险领域。

典型案例的裁判差异进一步凸显法律适用的混乱。在“网约车致第三人损害案”4中,同一地方法院对相似案情作出截然相反的判决:一例通过目的论扩张将第三人纳入“消费者”范畴,类推适用《电子商务法》第38条第2款;另一例则严格遵循文义解释,以第三人非消费者为由驳回诉求。此类矛盾不仅损害司法公信力,更暴露立法对权利主体范围的界定模糊。

3.3. 制度漏洞与规范体系的结构性缺陷

现行法律规范的结构性缺陷集中体现为义务主体泛化、权益保护局限与责任形态模糊三重困境。首先,义务主体认定标准滞后于平台经济发展。传统立法以“电商平台经营者”为核心概念,但Web3.0时代分布式平台、DAO组织等新型主体的涌现,使得既有定义难以涵盖。其次,权益保护范围与数字权利演进脱节。现有规范仍以生命健康权、知情权等传统权利为保护对象,未能回应数字人格权、算法解释权等新兴权益诉求。

责任形态的模糊性则加剧了法律适用的不确定性。《电子商务法》第38条第2款“相应的责任”表述本质上是立法妥协的产物。在立法审议过程中,草案曾明确采用“补充责任”表述,但因各方对平台责任强度的争议,最终改为开放性概念。这种立法技术的选择虽为司法裁量预留空间,却导致责任认定标准的碎片化。

4. 安全保障义务的构成要素与标准构建

相较于各类传统意义上的市场组织,平台的运行存在更高的失范风险[4]。电子商务平台作为网络空间的核心治理主体,其安全保障义务的履行直接关系到网络交易秩序的稳定与用户权益的保障。随着《电子商务法》的颁布与《刑法修正案(九)》的修订,我国逐步明确了平台在网络安全管理中的法律责任。然而现有法律规范对安全保障义务的具体构成要素及履行标准仍缺乏系统性规定,导致司法实践中存在责任边界模糊、义务履行标准不统一等问题。本章将从构成要素与标准构建两个维度对电子商务平台的安全保障义务进行体系化分析,以期为平台责任的认定提供理论支撑。

4.1. 安全保障义务的构成要素分析

安全保障义务的构成要素是判断平台是否充分履行法定义务的基础[5]。安全保障义务人对于潜在的危险具有控制力,这是其义务的来源[6]。基于《电子商务法》第30条、《网络安全法》第21条及《刑法》第286条之一的规范内涵,结合平台在交易撮合、信息管理、风险防控中的功能定位,可将安全保障义务的构成要素归纳为技术保障义务、信息审核义务、风险预警义务与应急响应义务四大核心内容。

4.1.1. 技术保障义务

技术保障义务是平台履行安全管理责任的前提。该义务要求平台通过技术手段确保网络系统的稳定性与安全性,防止因技术漏洞导致用户数据泄露或交易风险。具体包括以下层面:

其一,基础架构安全。平台需建立符合国家标准的网络安全防护体系,包括防火墙部署、数据加密传输、服务器冗余备份等技术措施。如《网络安全法》第21条明确要求网络运营者采取防范计算机病毒、网络攻击等危害网络安全行为的技术措施。实践中,若平台因未及时更新安全补丁导致用户信息被窃取,可认定其违反基础架构安全义务。

其二,交易环境安全。平台应对交易链路实施全程监控,确保支付接口的安全性、防止中间人攻击或数据篡改。例如,第三方支付平台需符合《非银行支付机构网络支付业务管理办法》规定的加密标准,保障资金流转安全。

其三,隐私保护技术。平台需采用匿名化处理、访问权限控制等技术手段保护用户个人信息。欧盟《通用数据保护条例》(GDPR)第25条提出的“设计隐私与默认隐私”原则值得借鉴,即隐私保护应嵌入系统设计全流程,而非事后补救。

4.1.2. 信息审核义务

审查义务是一种严格的注意义务[7]。信息审核义务是平台对平台内经营者及交易内容实施监管的核心要求。根据平台类型与功能差异,信息审核可分为事前准入审查与事中动态监控两类:

一类是事前准入审查。平台应对入驻经营者的资质进行实质性核验,包括营业执照、行政许可、商品质检报告等文件的真实性。如《电子商务法》第27条要求平台对经营者身份信息进行登记并定期更新,若平台未履行审查义务导致假冒伪劣商品流通,应承担相应责任。另一类是事中动态监控。平台需通过算法筛查、人工抽查等方式对商品信息、用户评价等内容进行持续监测。德国《电信媒体法》第7条规定的“内容分级监管”模式具有参考价值:对明显违法的信息(如儿童色情、恐怖主义内容)采取主动过滤,对一般违规内容则基于用户举报启动处理程序。平台可依据风险等级分配监控资源,提升审核效率。

4.1.3. 风险预警义务

风险预警义务强调平台对潜在违法行为的识别与警示功能。该义务包含以下内容:

其一,风险识别机制。平台应建立大数据分析模型,通过异常交易模式识别、关键词过滤等技术手段预警高风险行为。例如对短期内频繁更换收款账户的商家实施交易限制,防止洗钱活动。

其二,用户教育机制。平台需通过弹窗提示、安全指南等方式向用户普及网络诈骗、信息泄露等风险的防范知识。日本《特定电子商务交易法》第12条要求平台向消费者提供交易风险说明,此类制度可增强用户自我保护能力。

4.1.4. 应急响应义务

应急响应义务是平台在安全事故发生后减轻损害的关键环节。其履行标准包括:

其一,应急预案制定。平台应根据业务特点制定网络安全事件应急预案,明确数据恢复、系统隔离、司法协作等流程。《电子商务法》第30条要求平台制定应急预案,但未细化具体内容。可参考美国国家标准与技术研究院(NIST)发布的《网络安全框架》,将预案分为预防、检测、响应、恢复四个阶段;其二,事件处置时效。平台应在发现违法信息或安全漏洞后及时采取删除、屏蔽、断链等措施。欧盟《电子商务指令》第14条规定的“通知–删除”规则可作为时效性标准,要求平台在接到举报后24小时内启动处理程序;其三,信息披露与协作。平台需依法向监管部门报告安全事件,并提供必要的技术协助。

4.2. 安全保障义务的履行标准构建

安全保障义务的履行标准需兼顾技术可行性、成本合理性与责任公平性。基于比例原则与风险控制理论,可从义务分层、动态调整、合规激励三个方面构建差异化标准体系[8]

4.2.1. 义务分层:区分平台类型与能力

“平台越大,对平台的中立性、公平性、道德性要求就越高”[9]。不同规模与类型的平台在技术资源、管理能力上存在显著差异,义务标准应避免“一刀切”:其一是基础性义务。所有平台均需履行最低限度的安全保障义务,包括基础技术防护、身份核验、违法信息删除等,如小微电商平台虽无需建立高级别风控系统,但必须实现用户数据的加密存储;其二是增强性义务。大型综合平台因具有更强的风险控制能力需承担更高标准的义务,如天猫、京东等头部平台应建立AI智能审核系统,对海量商品信息实施实时筛查;同时需设立独立安全部门,定期接受第三方审计。

4.2.2. 动态调整:适应技术发展与风险变化

安全保障义务的标准需随技术进步与犯罪手段演变动态更新:首先,应当设定技术适应性标准。平台应采用行业公认的先进技术履行义务,如区块链技术可用于提升交易数据不可篡改性,人脸识别可强化用户身份认证,但若平台拒绝采用成熟技术导致风险发生,即可认定其存在过错。

其次,应进行风险分级管理。平台应根据商品类别与用户行为划分风险等级,如金融产品交易需实施双重认证,而普通日用品交易可采用基础验证。

4.2.3. 合规激励:构建免责与减责机制

为鼓励平台主动履行义务,需通过合规激励机制平衡责任承担:一方面是避风港原则的适用。若平台已建立完善的安全管理制度并及时处置违法行为,可免除或减轻责任。另一方面是合规认证制度。监管部门可对通过安全认证的平台给予政策优惠。

4.3. 标准实施中的争议解决路径

有学者认为网络平台提供服务商的行为通常是中立帮助行为,并未制造不被法所容许的危险[10],也有学者认为正当业务抗辩是出罪机制,应以风险、社会常识等多要素综合判断平台的帮助行为是否具有正当性[11]。在司法实践中,安全保障义务的认定常面临“技术中立性”与“责任扩张性”的争议[12]。对此需明确以下裁判规则。

4.3.1. 技术可行性的司法审查

法院应委托第三方机构评估平台技术措施的合理性。在“快播案”中,法院认定快播公司具备过滤淫秽视频的技术能力但未采取行动,此裁判思路可作为技术可行性审查的范例。

4.3.2. 红旗标准的实质化适用

当违法信息已明显到理性人均可识别时,平台不得以“技术中立”抗辩[13]。技术中立并不能完全排除使用技术的行为也具有中立性,所以技术本身的中立性并不能直接得出有罪的结论[14]。例如商家在商品标题中直接使用“高仿”“假货”等词汇,平台若未予处理,应推定其存在明知故意。此类标准还需在法律规定中加以明示和量化,以保证裁判正当性的要求。

4.2.3. 比例原则下的责任限定

法治国原则要求既要有法可依,立法内容又应适当[15]。平台责任应与其过错程度、技术能力相匹配。对于因客观技术限制导致的偶发性安全事件,可依据《刑法》第16条“不可抗力”条款免除刑事责任,仅承担民事补救责任。在现有法条不能解决的问题上,可以适用法律原则来解决争议。具体而言,比例原则的三阶审查框架对互联网犯罪控制义务边界的厘定作用,需从目的正当性、手段适当性及效果均衡性三个维度来权衡。

5. 结语

电子商务平台的安全保障义务构成要素与标准构建需以技术理性与法律价值的平衡为核心。通过明确技术保障、信息审核、风险预警与应急响应的具体内涵,并建立分层、动态、激励相容的标准体系,既可有效遏制网络犯罪,又能避免过度加重平台负担。未来需进一步细化行业技术规范、强化跨部门协同监管,推动形成“预防–控制–救济”一体化的网络空间治理格局。

基金项目

本文系2023年江苏省研究生科研创新计划项目“论犯罪治理视域下网络平台的犯罪控制义务”(项目编号:KYCX23_3480)的阶段性成果。

NOTES

1参见:(2021)沪0105民初第9606号判决书。

2参见:(2020)辽08民终第1939号判决书。

3参见:(2020)京0491民初第27091号判决书。

4同脚注1。

参考文献

[1] 乌尔里希∙贝克, 布鲁诺∙拉图尔, 大卫∙凯里, 王荣江. “如何认识科学”(五): 大卫∙凯里对贝克和拉图尔的访谈[J]. 淮阴师范学院学报(哲学社会科学版), 2015, 37(3): 316-323, 419.
[2] 周友军. 交往安全义务理论研究[M]. 北京: 中国人民大学出版社, 2008: 3-17.
[3] 曹凡. 电商平台经营者安全保障义务标准构建[J]. 学习与探索, 2024(2): 73-81.
[4] 郭渐强, 陈荣昌. 网络平台权力治理: 法治困境与现实出路[J]. 理论探索, 2019(4): 116-122, 128.
[5] 徐可. 网络侵权归责体系中认识要件的起源与嬗变[J]. 福建师范大学学报(哲学社会科学版), 2020(4): 158-168.
[6] 张新宝. 侵权责任法[M]. 第5版. 北京: 中国人民大学出版社, 2020: 173-177.
[7] 王杰. 网络存储空间服务提供者的注意义务新解[J]. 法律科学(西北政法大学学报), 2020, 38(3): 100-113.
[8] 叶金强. 风险领域理论与侵权法二元归责体系[J]. 法学研究, 2009, 31(2): 38-56.
[9] 方军, 程明霞, 徐思彦. 平台时代[M]. 北京: 机械工业出版社: 2019: 235.
[10] 陈洪兵. 网络中立行为的可罚性探究——以P2P服务提供商的行为评价为中心[J]. 东北大学学报(社会科学版), 2009, 11(3): 258-263.
[11] 刘宪权. 论信息网络技术滥用行为的刑事责任——《刑法修正案(九)》相关条款的理解与适用[J]. 政法论坛, 2015, 33(6): 96-109.
[12] 林陶泽. 电商平台经营者“相应责任”法理解析与法律适用探究[J]. 湖北经济学院学报(人文社会科学版), 2023, 20(7): 84-90.
[13] 郑佳宁. 电子商务平台经营者的私法规制[J]. 现代法学, 2020, 42(3): 166-179.
[14] 齐文远, 杨柳. 网络平台提供者的刑法规制[J]. 法律科学(西北政法大学学报), 2017, 35(3): 106-114.
[15] 王利明. 法治: 良法与善治[J]. 中国人民大学学报, 2015, 29(2): 114-121.

为你推荐