ChinaLegalScience

【中文关键词】电商平台；安全漏洞；安全保障义务；举证责任

【摘要】电商平台系统存在重大安全漏洞，致使用户个人信息疑似因此泄露，遭遇诈骗形成财产损失，此类纠纷中电商平台的责任性质为何，过错如何认定，举证责任如何分配，不无争议。电商平台系统安全维护的义务性质可以解释为合同附随义务或网络安全保障义务，实践中宜主张安全保障义务。电商平台系统安全维护的义务标准包括法定义务和注意义务，其中注意义务重点考察漏洞识别难度、防范成本、是否存在安全范本等因素。电商平台安全保障义务与医疗侵权较为类似，具有技术性、信息不对称性以及匿名性和空间性，因此对其过错和因果关系的举证责任应进行一定程度的重新配置。本案涉及的纠纷宜由立法作进一步回应。

【全文】

在电子商务高度发达的现今，用户在网络购物中需要提供大量的个人数据，这些数据往往存储在电商平台服务商的数据系统中。由此，如果电商平台的数据系统存在安全漏洞，导致用户数据的泄露，进而造成用户因财产诈骗等情形受到财产损失，则电商平台自身是否应当承担相应的赔偿责任，不无疑问。自2015年4月至12月，电商平台“苏宁易购”数据系统疑似发生重大安全漏洞，用户得通过自己的订单信息，简单地修改数字参数后任意查看其他用户的详细订单信息。[1]有诈骗团伙疑似利用该漏洞对用户实施电信诈骗行为，并造成了众多苏宁易购用户的财产损失。[2]多名用户认为，苏宁易购未能维护其数据系统的安全，造成数据泄露，这与诈骗行为造成的财产损失成立直接的因果关系，因此发起诉讼，要求苏宁易购承担赔偿责任。[3]由于这些案件的案情和裁判理由均较为相似，本文选取其中典型的一例—“季海红诉苏宁易购案”[4]—作为分析对象，以讨论电商平台在其系统出现安全漏洞并导致用户财产损失的情况下，是否应当承担赔偿责任的问题。

一、基本案情与争议焦点

(一)基本案情

原告认为，其之所以上当受骗、遭受财产损失，关键在于诈骗分子获取了原告在被告网站上购物的详细订单信息。根据原告提供的一系列证据显示，被告并未对原告的详细订单信息尽到最基本的安全保障义务。被告的网站存在着明显、严重的安全漏洞，仅“白帽子”[5]在国内知名漏洞报告平台“乌云网”上提交的被告网站的漏洞即多达270个，其中包括名为“路人甲”的白帽子于2015年10月31日提交的被告网站的漏洞信息，该漏洞信息显示被告没有对用户的订单页面进行验证，任何用户都可以通过自己的订单信息，简单地修改被告网址后面的数字参数后，任意查看其他用户的详细订单信息。因此，被告的系统漏洞直接导致原告相信了诈骗分子的说辞，进而造成了其财产损失，因此被告应当承担赔偿责任。

本案判决认为，原告提供的证据虽能证明被告的网络平台可能存在漏洞，但不足以证明原告被骗与被告网络平台可能存在的漏洞有因果关系。因本案所诉的侵权适用过错责任原则，按照“谁主张、谁举证”的民事诉讼原则，本案中侵权责任构成的要件的举证责任应由原告负担。审理中，原告提供的证据能够证明其损害事实的构成要件，但不能证明被告侵权的其他构成要件：虽然原告提供的证据中有证明被告网络平台漏洞的证据，但是诈骗犯罪人是否通过上述漏洞而获得原告的个人资料，尚不能确定。综上，原告提供的证据不足以证明被告有侵害原告的行为，因此被告不应承担侵权责任。

(二)争议焦点

从上述案情可知，本案中原告的财产损失，并非是由被告直接造成，而是由于受到了诈骗分子的欺诈。但在损失发生的过程中，诈骗分子向原告提供了其在被告网站上详细的购物信息，致使原告误信了诈骗分子为被告的工作人员，这是导致其受到欺骗的主要原因。正是基于这一点理由，在诈骗分子未能被追踪的前提下，原告选择了起诉被告，要求其承担损害赔偿责任。在适用的法律依据层面，原告并未明确其系依照何种请求权基础要求损害赔偿，但在案由选择上，本案被确定为系“隐私权纠纷”。在本案的裁判过程中，法官认定，依据原告提供的证据，可以证明被告的网络系统存在安全漏洞，这一点并无疑问。但法官同时认为，基于“谁主张、谁举证”的民事诉讼原则，原告应当对被告的侵权责任构成进行举证。由于原告并未能完成对被告的过错要件和因果关系要件的举证，因此最终裁判，被告的侵权责任不成立。

笔者认为，在上述裁判中，由于原告的诉求和法官的最终判决，其在表述上均有逻辑环节的省略，因此有必要对其中的争议点作进一步提炼：第一，原告诉求的对象，是被告未能维护其数据系统安全的行为，但这一行为又并非是直接导致原告财产损害的行为，因此原告诉求的法律依据，显然并非局限于《侵权责任法》的一般条款，而是有某种特定的请求权基础。亦即，电商平台对其数据系统安全进行维护的义务，其法律性质为何，首先应当厘清。第二，被告的损害赔偿责任是否成立，需要考察其是否存在过错，这就意味着原被告双方需要证明，被告既有的系统维护行为，是否达到了特定的安全标准，完成了合理的注意义务。这就涉及到了电商平台系统安全维护的标准如何确定的问题。第三，对于被告是否存在过错，以及被告行为与损害间是否存在因果关系，一般而言应当由原告承担举证责任。但在本案涉及的网络服务场景下，其举证责任是否仍然应当由消费者承担，不无疑问。这就构成了本案的第三个争议焦点，即举证责任分配的问题。

二、电商平台系统安全维护的义务性质

第一，从合同法的视角。在本案中，原告与被告存在在先的网络购物合同关系，也正是基于这一合同关系，原告才会在被告的数据系统中留下个人信息，并成为诈骗分子实施诈骗的工具。在我国《合同法》上，除合同本身的主给付履行义务外，合同双方基于合同性质，应当对对方负有相应的附随义务。[7]其中，保密义务即是合同附随义务中的一项重要内容。在本案中，由于被告未能履行保密这一合同附随义务，维护好自身的数据系统安全，这使得诈骗分子能够轻易获取原告储存在被告数据系统中的交易信息，并进一步利用该信息蒙骗被告，造成原告的财产损失，因此应当承担相应的违约责任。这一主张可以成为原告的基本诉求。

第二，从侵权法的视角。在近年来的学术探讨中，不少学者均指出，网络空间的运行和交往活动，与现实场景下的社会性场所、群众性活动有行为模式的相似之处。因此，按照“开启或加入交往空间者对其中的他人负有安全保障义务，应在合理限度内照顾他人权益”的原则，[8]网络服务提供者具备“开启、参与社会交往”及“给他人权益带来潜在危险”两项特征，因此其应对针对其服务用户发生的侵权负有排除义务，并对未来的妨害负有审查控制义务。[9]笔者认为，该义务的法理基础与《侵权责任法》三十七条确立的“安全保障义务”系属同源，虽然当前立法由于相对于技术发展的滞后性，并未明确对网络环境下的网络服务提供者的该种义务，但应当可以通过对《侵权责任法》三十七条的扩大解释，在解释论上确立该义务的存在。

事实上，网络服务提供者的安全保障义务看似属于一种新型的侵权法义务，但其所包含的内在价值机制，是与《侵权责任法》的体系一脉相承的。电商平台作为网络服务提供者，其承担安全保障义务的合理性表现在：

第一，电商平台在提供网络购物服务的过程中，通过对用户数据的搜集和维护，获得了巨大的财产收益，因此，根据我国侵权法理论实际承认的“报偿理论”，[10]从危险中获取利益者应负担制止危险的义务，因此电商平台既然从自己架构的数据系统中获得了利益，就应当对系统危险隐患所造成的损害后果承担责任。[11]本案被告作为国内知名的电商平台，其通过平台构建获得了巨大的商业利益，因此其也理应负起在平台上维护秩序、控制危险的义务。

第二，从电商平台的运营模式来看，用户对电商保障其购物和售后流程的数据安全，必然具有合理的信赖，这种信赖，或基于网络情境下的基本安全需求，或基于网络服务提供者单方给予的默示安全承诺，实际已经形成了用户预期免受第三人侵害的合理信赖利益，因此从保护用户信赖利益的角度出发，法律也应对电商平台课以安全保障义务。本案中，被告正是对其信息仅为原告所掌握、原告不会轻易向第三人泄露的状态产生了合理的信赖，才会对诈骗分子形成轻信，进而导致了财产损失。

第三，通过攻击或利用系统安全漏洞实施的侵权行为，具有发生的经常性和影响的广泛性特点，而网络服务提供者作为系统安全的直接维护者和受益者，对于这类行为无论是在反应机制和技术储备，还是人力财力的支持，都具有高度的应对便利和条件，因此对网络服务提供者课以相应责任，将最有利于被侵权人得到合理的救济，也最符合侵权法的整体效率的实现。在本案中，原告虽然也通过公安机关寻求救济，但限于电信诈骗案件侦破的难度，其获得救济的机会甚微；而如果在此类案件中，被告也被课以相应的民事责任，则无疑将驱动被告进行协助追查和收集证据，并提高被告的防范意识和手段，使受害人获得救济的可能性大大提高。

据此，在本案中，原告在被告经营的网站进行活动，留下了相应的数据记录。被告作为网络服务提供者，理应为原告提供安全的系统保障，防止第三人随意获取该信息以损害原告的财产利益。故原告亦可以违反安全注意义务为由向被告主张侵权损害赔偿。

在本案中，原告应得就上述任一责任向被告进行主张。但仅就一般情形而言，消费者更宜选择上述何者作为其主张依据？笔者认为，相对于违约责任的进路，安全保障义务侵权责任是更有利于消费者的选项，原因在于：第一，违约责任的主张，必须要有在先的消费合同作为其基础，但在电商平台系统漏洞泄露用户信息的情况下，并非一定存在消费合同，由此违约责任的主张条件就受到了限制；第二，合同附随义务往往并未明文标示在合同条款中，需要对合同进行解释方能得出，诸如电商平台是否应当对用户信息完全进行保密、是否对系统安全有维护义务，这类附随义务的解释，将由于在先消费合同的性质差异，很可能受到电商平台的诸多抗辩。因此，相较而言，安全保障义务的主张更具有普适性，也更有利于消费者的举证。

三、电商平台系统安全维护的义务标准

(一)法定义务

法定义务的首要标准为法定标准，即根据法律、法规、规章、国家标准等确定的安全义务标准。例如，根据《网络安全法》的规定，网络服务提供者应当按照网络安全等级制度的要求，履行维护网络运行安全的义务；而我国的信息安全标准由全国信息安全标准化技术委员会组织制定，包括针对信息系统分等级安全管理实施、评估和检查而设立的《信息安全技术、信息系统安全管理要求》；[13]针对按等级化要求进行的安全信息系统的设计和实现而设立的《信息安全技术、信息系统通用安全技术要求》[14]等文件，以及在这些文件的基础上，四部委下发的《信息安全等级保护管理办法》等。[15]其次是行业标准，这既包括行业内公认的标准体系的认证标准，也包括对同类型其他企业的横向比较标准。在与本案同一系列的另一案件中，[16]被告提交了信息系统安全等级保护测评验收报告、南京市信息安全等级保护评测结果通知书、信息安全管理体系认证证书、BSI英标管理体系认证报告等证据，即是意图证明，其对数据系统的安全维护达到了法定义务的标准。

(二)注意义务

在传统的安全保障义务中，所谓的合理注意义务，就是根据社会中一个普通理性人的认知水平，所确定的注意义务。但这一标准在网络环境下，几乎是无法实施的。这是因为，不同于现实世界普通人认知水平发展的停滞状态，在网络空间中，技术的革新是日新月异的。以电商平台的网站构建为例，随着网站代码内容的不断变化和发展，其系统的安全保障要求也会不断发生变化，甚至会不断出现新的系统漏洞，需要时时进行维护；对于试图利用网站系统漏洞进行谋利的“黑客”等群体而言，随着其技术的不断发展精进，也可能发现原先不存在的系统漏洞，并加以利用。以上特点决定了，在网络环境下，所谓的对系统安全的合理注意义务，是一个时时变化的动态性概念，其无法通过相对固定的标准进行衡量。

具体到本案案情中。本案中苏宁易购网站存在的技术漏洞，在于该网站任意用户，可以通过自己的订单信息，简单地修改被告网址后面的数字参数，即可查看其他用户的详细订单信息。由于法定义务标准中一般不会具体涉及这类微小的系统漏洞，因此被告举证证明其系统符合国家法定安全技术标准、符合业内安全技术标准，是没有意义的。相反根据原告的举证，一方面，该漏洞的识别并无难度，乌云网网友“路人甲”已经指出了该漏洞的存在；另一方面，该漏洞的弥补并无太大成本，只需要在查看订单信息的页面增加一层验证程序即可完成系统修复。由此可知，本案涉及的安全漏洞，并不具有高深的技术背景，系业内常见且容易解决的安全漏洞。被告对上述漏洞并未及时察觉，造成用户信息处于易被第三人非法窃取的状态，应当认为是没有完成其应尽的安全保障义务。

四、电商平台安全保障义务的举证责任

本案的另一个争议焦点，也是法官最终判决被告不承担损害赔偿责任的主要理由，是关于侵权责任的举证责任分配问题。按照一般的“谁主张、谁举证”的民事诉讼原则，本案中侵权责任构成要件的举证责任应由原告负担，似无疑问。但如前文分析，网络安全保障义务是一种特殊的侵权法义务，其在举证责任分配上，可能存在额外的讨论空间。

在专业机构与一般消费者之间发生纠纷时，通过在举证责任分配上的合理调整，在双方间实现实质平衡，这在我国法上并非罕例。而其中最为典型的，莫过于在医疗侵权中，过错要件和因果关系要件的举证责任倒置。[17]在医疗侵权中，法律之所以规定过错和因果关系的举证责任倒置，原因在于在医疗行为中，医疗机构相对于患者，处于完全的信息优势状态，且由于医疗行为的技术复杂性，患者往往无力证明医疗机构在医疗行为中存在过错，或者证明医疗行为与损害后果间存在的因果关系。在这种前提下，将举证责任分配给医疗机构，一方面有助于法官通过医疗机构的举证查明事实真相，另一方面也督促和鼓励医疗机构运用其掌握的信息和技术优势自证清白。

此外，网络安全保障的匿名性和空间性特征，也说明了其不宜死板固守“谁主张、谁举证”原则：网络安全破坏往往具有匿名性，几乎没有侵权人在实施侵权行为时会采用实名或留下真实的身份信息，因此普通用户根本无法追踪侵权人，只有网络服务提供者可以根据访问的IP地址等线索对侵权人予以追踪；同时，网络安全破坏行为可以具有广阔的空间性，其实施和传播的途径是抽象化的计算机互联，因此一项侵权行为，其行为实施地与结果发生地之间可能存在巨大的空间距离，这使得普通用户再没有网络服务提供者技术支持的前提下，几乎没有能力和精力对侵权人予以追查。以上理由均指向的结论就是，网络服务提供者的安全保障义务侵权，与医疗侵权类似，应当重构其举证责任的分配，以降低普通用户的证明责任。

当然，所谓的重构举证责任，也并非一定要采用举证责任倒置的手段，要求举证责任完全由被告承担。如学者指出，我国《侵权责任法》医疗侵权规则未明确指明举证责任的倒置问题，即是因为医疗侵权个案的情况非常复杂，完全由医疗机构承担举证责任，在一些情形下对医疗机构是不公平的。[18]对于网络侵权而言，一方面用户对自身财产亦有维护和注意义务；另一方面如果举证责任完全由电商平台承担，则意味着用户一旦疑似发生损失，即可向电商主张救济，形成诉讼—考虑到电子商务的广泛覆盖性，这就几乎必然会引发大范围滥诉，使电商平台疲于应付，长远来看更会损害网络服务行业的健康发展。因此笔者认为，完全的举证责任倒置并不可取，其解决路径应当是通过对举证责任分配的合理平衡，降低普通用户的证明标准，提高电商平台的反证要求，达成双方的实质均衡。

具体而言，在类似本案的侵权责任案件中，原告应当承担如下举证责任：第一，对损害的举证责任，这一点自无疑问，也不因网络环境的特殊性而能够降低证明标准。第二，对过错的举证责任，原告只需要证明，被告数据系统确实存在一定的安全漏洞，即完成其举证责任。至于该安全漏洞的存在是否符合法定的网络安全标准，以及是否违反了前文述及的网络安全合理注意义务，其举证责任由被告承担。第三，对因果关系的举证责任，原告只需要证明，被告系统安全漏洞的存在，对其损害的发生，是合理的、可识别的充分性条件—也就是说该安全漏洞的存在，足以导致损害后果的发生。但原告无需证明安全漏洞的存在，是损害后果发生的必要条件；或者在现实层面，确实是由于安全漏洞的存在，导致了损害后果的发生。这一部分证明，应由被告予以反证。[19]

在本案中，笔者认为，原告已经完成了合理的举证责任。首先，原告对损害的举证，没有疑问，且也受到了法官的认可。其次，对过错的举证，原告不仅明确指出和证明了被告网站存在的系统漏洞，而且在此基础上，举证证明了被告的系统漏洞系属网络常见、非技术难题、易于识别和修复的安全漏洞，从而证明了被告并未完全其应有的安全保障义务，这实际已经超额完成了举证任务。最后，就因果关系的举证，原告证明了其个人信息泄露与财产损害发生之间的因果关系，也证明了其个人信息系由被告泄露的高度可能性，[20]已经完成了举证责任。在此基础上，若被告主张因果关系不成立，则应由被告通过其掌握的技术和信息优势予以举证证明。在本案中，法官将因果关系举证责任完全分配给原告，进而以原告不能确切证明数据是由被告泄露，从而认定因果关系要件不成立，被告无责任。笔者认为，这一结论是不够恰当的。

结论

如果依照本文的观点，法官审理此案需要对《侵权责任法》37条的适用范围作扩大解释，并需要结合立法目的进一步调整网络安全保障义务的举证责任配置，这一法律适用过程已经接近于“造法”的层面，对于法官的法律解释能力提出了非常高的要求。事实上，上述解释论的复杂性，主要还是反映了目前侵权法立法的相对滞后，其难以对近几年才刚刚出现的网络侵权纠纷作完全恰当的回应。因此，本案涉及的争议焦点，亟待网络安全立法、或至少是相应司法解释的进一步细化。

(责任编辑：王锐)

【注释】*王思源，对外经济贸易大学法学博士生。

[3]参见(2016)苏0102民初1119号、(2016)苏0102民初1123号、(2016)粤1702民初1098号等民事判决书。

[4](2016)苏0102民初1120号民事判决书。

[6]王利明：《人格权法研究》，中国人民大学出版社2012年版，第505页。

[7]《合同法》第60条第2款：“当事人应当遵循诚实信用原则，根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。”

[8]刘文杰：“网络服务提供者的安全保障义务”，载《中外法学》2012年第2期。

[9]王思源：“论网络运营者的安全保障义务”，载《当代法学》2017年第1期。

[10]王利明：《侵权责任法研究》(下卷)，中国人民大学出版社2011年版，第88页。

[11]吴汉东：“侵权责任法视野下的网络侵权责任解析”，载《法商研究》2010年第6期。

[12]同前注[10]，第174页。

[13]GB/T20269-2006.

[14]GB/T20271-2006.

[15]公通字[2007]43号。

[16]参见(2016)苏0102民初1119号民事判决书。

[17]《关于民事诉讼证据的若干规定》第4条第8款：“因医疗行为引起的侵权诉讼，由医疗机构就医疗行为与损害结果之间不存在因果关系及不存在医疗过错承担举证责任。”

[18]同前注[10]，第402页。

[19]以与本案类似的另一案件为例，同样是安全漏洞导致用户信息可被不特定第三人查看的情形，被告网站举证证明，原告个人信息页面在涉案期间内仅被浏览过3次，且疑似为原告自己所为，从而完成了对因果关系不存在的反证。参见(2016)琼02民终375号民事判决书。

[20]事实上，如此具体的购物信息泄露，电商平台自身的泄露可能性是最大的。被告主张该信息可能由物流、其他APP数据抓取等途径泄露，但这些途径实际也属于电子购物的流程环节，理应由电商平台全程予以安全把控，因此仍属于电商平台的安全保障义务范围。

【期刊名称】《法律适用司法案例》【期刊年份】2018年【期号】12

Sponsors:InstituteofLawandInstituteofInternationalLaw,ChineseAcademyofSocialSciences

Address:15ShatanBeijie,DongchengDistrict,Beijing100720