单 勇
数字时代的犯罪规律经历了从“城市吸引犯罪”到“网络吸引犯罪”的嬗变。盗窃等传统犯罪的立案数持续下降,电信网络诈骗等利用网络实施的新型犯罪的立案数大幅增长。2020年,诈骗立案数首次超过盗窃立案数,成为公安刑事立案阶段的第一大罪。实际上,“除强奸等必须以行为人自身为工具的传统犯罪外,其他犯罪基本都可以通过互联网实施”(1)喻海松:《网络犯罪二十讲》,北京:法律出版社,2018年,第3-4页。。《中共中央关于党的百年奋斗重大成就和历史经验的决议》专门提及防范和打击新型网络犯罪。网络犯罪治理有赖于党政科层结构下的“组织化调控”,支撑犯罪治理的组织化调控既是一种运用数字技术等方法的技术安排,也是一种整合多元治理主体关系的组织安排,更是一种为治理提供规制依据、优化治理体系的制度安排。三种安排分别对应理解犯罪治理的方法视角、组织视角及规范视角。从制度与治理的关系看,制度能力决定治理能力,三种安排相互关联且相得益彰,而从根本上看,更具基础性、关键性的制度安排影响甚至决定着技术安排和组织安排,特定的技术安排和组织安排均可归结为特定制度安排的有机延伸;不同的制度安排蕴涵着不同的制度能力且对应不同的治理模式,并展现出特殊化的治理能力。
从制度安排看,依据刑事法、政法部门统揽、事后处遇个案的刑事规制是传统治理模式;与之相对,《网络安全法》《网络信息内容生态治理规定》等网络法及《反电信网络诈骗法》(以下简称《反电诈法》)出于前端防范和源头治理的需要,将互联网服务提供者等市场主体视为数字社会的“看门人”(gatekeeper)(2)单勇:《数字看门人与超大平台的犯罪治理》,《法律科学》2022年第2期。,为之设定以在线控制“用户”(国民的数字身份)违法为内容的犯罪控制义务,形塑出愈发丰富的看门人条款或看门人规则,推动了看门人规制的骤然勃兴。以互联网平台这一典型看门人为例,互联网平台大规模参与网络犯罪治理已成为数字时代犯罪治理转型的标志性特征。通过平台的犯罪治理包括平台协助公安机关侦破案件,平台针对平台生态系统中的网络黑灰产业进行专项治理,平台对用户发布违规违法及不良信息的在线内容审核,以及科技公司以市场化机制参与网络犯罪治理等实践活动。(3)单勇:《数字平台与犯罪治理转型》,《社会学研究》2022年第4期。相对偏重在场控制、事后回应、外部规制的刑事规制,看门人规制具有在线控制、主动风控、内部规制等特质。尽管刑事规制与看门人规制两者不可或缺,但为实现网络犯罪的“源头治理、综合治理”,必须理性审视事后回应导向的刑事规制之局限,探究互联网平台等市场主体大规模参与犯罪治理这一新兴社会法律现象,探察《反电诈法》等法律对“看门人”这一新型规制者的立法设定,阐释看门人规则的制度内涵、总结看门人义务的主要类型,剖析基于看门人规则的新型规制模式的内在逻辑,以此把握网络犯罪治理的转型方向。
刑事规制是在刑事法框架下以政法部门统揽为组织形式、以事件性治理(个案处遇)为规制方式、以事后回应为导向的犯罪治理模式。刑法虽有一般预防和特殊预防之功能,但相对前端防范导向的《反电诈法》等预防性法律制度,其主要是在犯罪发生后为惩治犯罪提供依据,故而“事后法”色彩和“回应型法”属性鲜明。刑事规制可谓国家回应犯罪挑战的一般性反应,网络犯罪的刑事规制表现有三:在立法上,立法机关以积极刑法观为指引,通过《刑法修正案》增设新罪名、扩张犯罪圈的方式将类型化的网络越轨行为升格为犯罪(4)《刑法修正案(七)》增设“非法获取计算机信息系统数据、非法控制计算机信息系统罪”和“提供侵入、非法控制计算机信息系统程序、工具罪”;《刑法修正案(九)》增设“非法利用信息网络罪”“帮助信息网络犯罪活动罪”“拒不履行信息网络安全管理义务罪”三个新罪名,并修改“侵犯公民个人信息罪”。;在司法上,司法机关以司法解释推动网络刑法的实体法适用和证据调取等程序法完善(5)为有效惩治网络犯罪,司法机关出台了一系列司法解释,如2019年2月施行的《公安机关办理刑事案件电子数据取证规则》、2019年11月施行的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》、2021年6月22日公布的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》等。,以实现网络犯罪的司法惩治;在执法上,公安机关以日常治理和专项治理相结合方式预警风险、抓获嫌疑人,开启刑事规制的司法程序。从治理效果看,2021年,全国检察机关起诉利用网络实施诈骗、赌博、传播淫秽物品等犯罪28.2万人,同比上升98.5%;起诉非法买卖电话卡和银行卡、帮助提款转账等犯罪12.9万人,是2020年的9.5倍。其中,帮助信息网络犯罪活动罪、诈骗罪、开设赌场罪分列当年起诉人数的第三至五位。虽然刑事规制取得了前所未有的成就,但在治理中也暴露出明显的局限。
以司法漏斗为坐标系,刑事规制所能规制的案件数量相对犯罪总量甚为有限。司法漏斗效应表明,受犯罪黑数影响,真实犯罪数量远高于公安立案数;受破案能力制约,公安侦查的立案数远高于移送检察的案件数;在不起诉程序分流下,检察机关办案量高于移送法院审理的案件数。关于犯罪黑数,学界常引用“我国网络黑产从业者超过150万人,黑产规模达千亿级别”(6)陈慧娟:《网络黑灰产业如何治》,《光明日报》2018年11月27日,第7版。的观点。据笔者2021年在某头部企业调研获知,网络黑灰产从业者规模可能高达500万人。与之相对,2021年全国检察机关共起诉利用网络实施犯罪28.2万人。即便考虑到黑产从业者中有大量参与者未达犯罪标准,潜藏于执法司法视野外的犯罪黑数也相当可观。侦查能力不足以及无法跨境执法导致破案率偏低也是司法漏斗形成的重要原因。非接触性电诈犯罪的破案率远低于接触性诈骗的破案率和全国刑事案件的平均破案率(7)以J省某经济较发达地级市为例,2018-2020年,电诈犯罪的立案数占当年全部诈骗立案数的86.5%、86.4%、92.5%。其中,线下接触性诈骗的破案率为80.2%、50.4%、80.1%,电诈的破案率仅为5.7%、12.8%、15.9%。以J省某经济发达县级市为例,2017-2019年,电诈犯罪的立案数占当年全部诈骗犯罪立案数的86%、87.7%、62.1%。其中,线下接触性诈骗的破案率为41.2%、56.2%、72.2%,电诈的破案率仅为3.8%、3.4%、5.3%。与之相对比,2017-2019年,全国公安机关刑事案件的平均破案率为38.03%、37.92%、39.3%。,某些公安机关每年的全链条破案数仅为个位数。
海量的犯罪黑数和较低的破案率意味着刑事规制仅能将有限的案件纳入司法流程,对更多的网络犯罪及嫌疑人力有未逮。“在运用刑法进行惩治的过程中,成功追究刑事责任的实际上是少数,多数仍游离在规制之外。”(8)喻海松:《网络犯罪黑灰产业链的样态与规制》,《国家检察官学院学报》2021年第1期。以J省公安机关2022年破获的“缅北天空一号”专案为例,专案组通过大数据技术锁定该“杀猪盘”团伙2 669人的真实身份,但截至当年底仅抓获回流人员187人,大多数嫌疑人因在境外而尚未到案。作用范围有限可谓刑事规制的先天不足,如何将更多的网络违法犯罪纳入治理视野成为亟待破解的难题。
刑事规制并非仅注重事后回应而忽视犯罪预防,当下积极预防刑法观大行其道恰恰证明了这一点。“刑法早已由事后惩治犯罪的手段变为事先预防犯罪的工具,积极预防主义成为当下刑法观的主流。”(9)刘艳红:《积极预防性刑法观的中国实践发展——以〈刑法修正案(十一)〉为视角的分析》,《比较法研究》2021年第1期。在立法层面,《刑法修正案》增设新罪名将刑法防线前移,增设“非法利用信息网络罪”将预备行为正犯化,增设“帮助信息网络活动罪”将帮助行为正犯化;在司法领域,通过司法解释和规范性司法文件更好地发挥刑法的规制效能,如“两高一部”《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》就是对电诈犯罪之上下游关联犯罪全链条打击的重要依据。必须承认,刑事规则无论如何积极、怎样主动将刑法防线前移,均以个案的司法惩治为依托。事件性治理或个案处遇乃是刑事规制的直接法律效果。
从实践看,无论如何强调预防,以个案处遇为基础的刑事规制具有明显的事后性和被动性,易陷入治标不治本的窘境。网络犯罪依附于庞大的网络黑灰产业。完整的网络黑灰产业包括上游的提供信息类物料和工具类物料环节、中游的网络诈骗及网络赌博等犯罪实施环节、下游的转移赃款及掩饰隐瞒犯罪所得等洗钱环节。“断卡行动”对黑产下游犯罪的打击力度空前,2021年检察机关起诉帮助信息网络犯罪活动罪(简称“帮信罪”)129 297人,起诉人数在全部案件中排名第三。从立法目的看,“帮信罪”系堵截性罪名,该罪名的大幅适用,“折射出对案件的处理‘浅尝辄止’,难以做到‘罚当其罪’”(10)喻海松:《网络犯罪形态的碎片化与刑事治理的体系化》,《法律科学》2022年第3期。。打击黑产的重点应聚焦于上中游犯罪。既不能因“帮信罪”侦破难度小而轻视网络犯罪的发生原因,忽视对黑产链条的根治;也不能仅强调个案治理而忽视黑产源头的预防,将刑法“惩罚法”属性盲目拔高为“预防法”(11)刘艳红:《网络时代社会治理的消极刑法观之提倡》,《清华法学》2022年第2期。。“刑法的积极作为不意味着刑法万能,尽管刑法在黑灰产治理中作用明显、效果突出,然而单一维度依赖刑事法规制只能治标、尚难治本。”(12)喻海松:《网络犯罪黑灰产业链的样态与规制》,《国家检察官学院学报》2021年第1期。2022年4月,中共中央办公厅、国务院办公厅印发的《关于加强打击治理电信网络诈骗违法犯罪工作的意见》明确“坚持打防结合、防范为先……坚持源头治理、综合治理”的理念。可见,“只依靠事后的刑法打击不能遏制新型网络犯罪,必须建立起有针对性的、系统化的犯罪预防与治理体系”(13)皮勇:《新型网络犯罪的防范与治理》,《犯罪研究》2021年第6期。。
事后回应为主的刑事规制依赖政法部门统揽的组织安排、执法和司法的程序安排而运行。以往,公安机关以数字技术实现了对现实空间中接触性犯罪的“在场控制”;但该策略无法复制到网络空间。从事网络犯罪的不法分子依附于各大平台生态系统,形成了庞大人员基数的黑灰产犯罪圈层。从犯罪分工看,黑灰产从业者分处黑产的组织层、卡号贩卖层、信息贩卖层、技术产品层、技术服务层、洗钱服务层及犯罪实施层。从作用大小看,不法分子在黑产圈层中从边缘到核心依次是外围的黑产兼职圈、以黑产工作室为代表的职业圈、专业黑客及其背后“金主”组成的核心圈。核心圈搭建起黑产犯罪的运行体系,为职业圈提供黑产情报和技术支持;职业圈通过黑产资源、业务工具获利;外围兼职圈在职业圈操纵下从事网络违法的帮助、变现和套利等业务。黑产犯罪是一种在线犯罪,故而须臾离不开“在线控制”;擅长“在场控制”的政法部门缺乏“在线控制”网络空间的有效途径,政法部门相对黑产核心圈、职业圈的治理距离过远,仅凭网安、反诈等部门的技术治理无从及时斩断犯罪圈层间的信息链、资金链、技术链、人员链。“从打击治理实践看,电信网络诈骗不是简单的社会治安问题,而是复杂的社会治理难题。”(14)《多部门发声 对电信网络诈骗保持严打高压》,《经济参考报》2022年4月15日,第A02版。这需要国家和社会开展分工、合作,引入新型社会力量开展“在线控制”,以形成全新的数字社会治理架构和全社会反诈新格局。
综上,刑事规制存在自身无法修复的缺陷,网络犯罪的治理亟待适应数字时代的社会变迁与犯罪变迁,实现从事后回应到前端预防、从在场控制到在线控制、从政法统揽到社会治理的转型。这一转型的目的在于从根本上改善犯罪治理的“国家能力”。政治学的“国家能力”(state capacity)学说立足国家和社会的关系,强调社会在国家治理中的作用,关注国家对社会的吸纳与控制。“国家能力”以迈克尔·曼提出的“基础性权力”(infrastructural power)(15)迈克尔·曼:《社会权力的来源》第1卷,上海:上海人民出版社,2007年,第380页。为内核,包括“渗入社会的能力、调节社会关系、提取资源及以特定方式配置或运用资源的能力”(16)乔尔·S. 米格代尔:《强社会与弱国家:第三世界的国家社会关系及国家能力》,南京:江苏人民出版社,2012年,第5页。,指向国家对社会渗透、汲取与规制的能力。
结合对刑事规制的反思,国家能力学说的启示在于:
其一,国家能力与社会能力是一种互补互融的关系。网络犯罪治理应面向数字社会从中汲取改善国家能力的新兴社会力量,借助互联网平台等市场主体将治理权力和规制能力从现实空间延伸至网络空间。
其二,国家权力及规制能力向网络空间延伸有赖于网络平台对用户的在线控制,在线控制成为科层国家渗透、汲取及规制数字社会的全新路径。
其三,国家能力的关键在于制度能力,制度能力决定治理能力。在线控制的实现以看门人规则为依据,基于看门人规则的新型规制构成了改善网络犯罪治理之国家能力的关键所在。
实际上,在线控制的看门人规则明显有别于刑事规制依托的回应型法,网络犯罪治理转型亦是一种制度安排及其规制方式的转型,故而探究看门人规则及其规制逻辑成为理解犯罪治理转型的动中窾要。
犯罪治理中的“治理”意指国家与社会、市场等多元主体的共治,有赖于国家对社会力量的吸纳和汲取,离不开社会及市场主体发挥基础性作用。在数字时代,以互联网平台为代表的网络服务提供者进化为整个社会不可替代的数字基础设施,以数字在场方式吸纳最广泛的人群成为其用户,“渗透至社会的核心,绕过传统管理制度,改变了社会和公民行为,重塑着国民生活的社会结构”(17)José van Dijck, Thomas Poell and Martijn de Waal,The Platform Society: Public Values in a Connective World,Oxford: Oxford University Press, 2018, p.2.。可以说,“网络空间与现实社会的最大差别之一在于网络空间的基本支撑主体是众多的互联网服务提供商或者中间平台”(18)周汉华:《论互联网法》,《中国法学》2015年第3期。。平台兼具市场属性与公共属性,成为“重塑社会结构的新型规制者”(19)Kate Klonick,“The New Governors:the People, Rules, and Processes Governing Online Speech,”Harvard Law Review,131(6), 2018, pp.1698-1670.和控制网络空间、约束用户守法的“守门人”或“看门人”(gatekeeper)(20)张新宝:《互联网生态“守门人”个人信息保护特别义务设置研究》,《比较法研究》2021年第3期;单勇:《数字看门人与超大平台的犯罪治理》,《法律科学》2022年第2期。,构成科层国家必须整合以及联合的新兴社会力量。
从规范视角看,平台对用户的在线控制是基于看门人规则的法律规制(看门人规制)。从法律渊源看,看门人规则既散见于网络法的丰富规范之中,还被《反电诈法》系统化设定。从法律性质看,看门人规则以义务性规范为主,国家通过看门人规则为平台设定愈发丰富的看门人义务(平台义务),义务履行的实质在于平台对用户的在线控制。“看门人规则”并非明确现于某部法律的条文字面,而是对一揽子看门人义务规范之制度内核的法理凝练,是对义务规范所孕育的全新的在线控制架构的制度表达。从规范文本的创设看,看门人在线控制用户的立法形成是一个制度积累、规则创新的过程,其法律渊源及义务内涵见表1(下页)。
1.看门人规则的网络法源起
看门人规则根植于网络法的土壤,初见于2000年制定、2009年修正的《全国人民代表大会常务委员会关于维护互联网安全的决定》,彼时我国处于网站中心的Web1.0时代,网络违法犯罪刚冒头。该决定第七项要求“从事互联网业务的单位要依法开展活动,发现互联网上出现违法犯罪行为和有害信息时,要采取措施,停止传输有害信息,并及时向有关机关报告”。“从事互联网业务的单位”系初代互联网看门人,该决定可视为看门人规则的制度源头。随着移动互联网兴起(Web2.0时代)、数字社会肇始,2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》以第四至第六项为“网络服务提供者”设定保障个人信息安全、加强对用户发布信息的管理和用户实名核验的看门人义务。在这两部早期的网络法文本中,看门人义务的内涵直指网络违法犯罪防控,尤其是对用户发布信息的内容管理和用户实名核验具有浓厚的预防色彩;但上述义务规范在此时更多呈现为一种原则性义务。
表1 看门人规则一览表
2.看门人规则的网络法发展
随着互联网平台中心的Web3.0时代到来,网络法的立法重心指向“谁能控制赛博空间”(21)胡凌:《人工智能视阈下的网络法核心问题》,《中国法律评论》2018年第2期。的核心问题,聚焦于拥有“媒介性权力”(22)张龑:《网络空间安全立法的双重基础》,《中国社会科学》2021年第10期。的互联网平台。“以《网络安全法》和《互联网信息服务管理办法》等规范为基础,实定法构建起一个以平台为中心的规制体系。”(23)孔祥稳:《网络平台信息内容规制结构的公法反思》,《环球法律评论》2020年第2期。新增的网络法规范将平台视为国家在线控制数字社会的信息枢纽、组织通道和中间制度依托。2017年施行的《网络安全法》为网络运营者设定网络安全保护义务、对侦查犯罪的技术支持和协助执法义务、对用户发布信息的管理义务。2020年3月施行的《网络信息内容生态治理规定》第十条规定:“网络信息内容服务平台不得传播本规定第六条规定的信息,应当防范和抵制传播本规定第七条规定的信息。”该条款要求平台加强内容治理,防范违法信息和不良信息传播。
2021年1月公布的《互联网信息服务管理办法(修订草案征求意见稿)》第二十一条为互联网服务提供者规定主动控制网络违法犯罪和积极响应有关部门指令的犯罪控制义务。2021年10月公布的《互联网平台落实主体责任指南(征求意见稿)》进一步明确了“平台管用户”的看门人义务内涵,包括超大型平台承担对用户传播非法内容的风险评估义务、建立内容审核机制的风险防控义务,还包括所有互联网平台承担的平台内用户管理、内容管理、禁限售管控、禁止传销、网络黑灰产治理、网络安全和数据安全保护、配合执法等义务。2022年1月公布的《移动互联网应用程序信息服务管理规定(征求意见稿)》为应用程序提供者、应用程序分发平台设定用户实名认证、内容审核、对上线具有舆论属性或社会动员能力的新技术开展安全评估、打击网络黑灰产等义务。2022年3月施行的《互联网信息服务算法推荐管理规定》为算法推荐服务提供者设定建立用于识别违法和不良信息的黑样本库、处置违法信息、对老年人的反诈被害预防、对未成年人的网络保护等义务要求。2023年1月施行的《互联网信息服务深度合成管理规定》对深度合成服务提供者设定了一系列的信息安全主体责任和深度合成内容审核义务。
上述网络法规范使用了互联网平台、网络服务提供者、网络运营者、算法推荐服务提供者等不同称谓,但大多指向互联网平台,平台成为承担看门人义务的责任主体。虽然网络法规之立法目的各有不同,但均以专门条款为平台设定网络违法犯罪的在线控制义务,推动了看门人的犯罪控制义务从一般性的原则性义务走向具体化的规则性义务。在网络法的发展中,看门人义务的履行标准发生了从被动协助执法向主动犯罪预防的变迁,义务的涵盖范围从传统的实名制管理、内容管理扩展为包括风险评估和内容审核、网络黑灰产业治理、个人信息保护、数据安全保障、算法治理、针对老年人和未成年人的被害预防等更全面的主体责任体系。可见,看门人规则的创设得益于网络法的发展,散见于各领域、各位阶的网络法规范之中,并逐渐形塑出数字时代网络犯罪治理的基本制度依据。
3.看门人规则的其他法律补充
随着数字法治的完善,看门人规则也出现在网络法以外的其他法律之中。2018年修正的《反恐怖主义法》第十八、十九、二十一条为互联网服务提供者设定对反恐活动的技术支持和协助执法义务、防止含有恐怖主义和极端主义内容的信息传播义务、用户实名管理等义务要求。2021年施行的《未成年人保护法》第八十条第三款规定:“网络服务提供者发现用户利用其网络服务对未成年人实施违法犯罪行为的,应当立即停止向该用户提供网络服务,保存有关记录,并向公安机关报告。”这是要求网络服务提供者防范未成年人遭受网络违法侵害的首个被害预防条款。2022年公布的《未成年人网络保护条例(征求意见稿)》明确了网络服务提供者应履行未成年人网络保护义务,对损害未成年人合法权益的平台内用户或服务提供者停止提供服务等义务要求。2022年5月施行的《反有组织犯罪法》第十六条规定,互联网服务提供者应履行网络安全管理义务,防止含有宣扬、诱导有组织犯罪内容的信息传播。上述法律中的看门人义务条款或针对特定犯罪,或聚焦于特定群体,可以预见未来出台的其他法案必将进一步丰富看门人规则的义务内涵。
《反电诈法》是针对电信网络诈骗的犯罪治理法。与刑事规制的事后回应不同,该法案发展出一套针对犯罪信息链、资金链、人员链、技术链等关键环节的预防性法律制度。该法案确立了预防导向的看门人规制模式,将电信业务经营者、银行业金融机构和非银行支付机构、互联网服务提供者设定为在线控制的看门人,分电信治理、金融治理、互联网治理三个领域为之设置详细的反诈义务。法案明确了国务院及地方政府组织领导、公安部门牵头负责、行业主管部门开展行业监管、互联网服务提供者等市场主体承担具体的风险防控责任的治理分工,形塑出的“国家管看门人、看门人管用户”的双层治理体系,即政府监管部门支持、引导、监督看门人履行反诈控制义务,看门人在线控制用户。
以互联网平台为例,鉴于“网络服务提供者被视为对网络内容有重要控制权的中介者,处于控制违法内容的关键位置”(24)姚志伟:《技术性审查:网络服务提供者公法审查义务困境之破解》,《法商研究》2019年第1期。,《反电诈法》对之设定了全面的看门人义务。第五条要求平台对反诈活动中获取的个人信息承担保密义务;第六条要求平台建立内控机制、承担风险防控责任;第二十一和第二十二条细化了用户实名制和二次实名核验的义务要求,列举出实名验证用户身份的互联网场景及互联网服务,明确了对涉案电话卡关联注册的互联网账号的在线处置措施;第二十三条规定对涉诈应用程序的登记核验义务;第二十四条规定了域名管理的合规义务;第二十五条规定对涉诈帮信活动的监测识别和处置义务;第二十九条规定个人信息处理者的反诈预防义务;第三十条规定了看门人的反诈被害预防义务;第三十二条规定看门人对二次实名核验及处置所涉用户的申诉告知义务;第三十四条规定针对潜在被害人的预警劝阻义务。
《反电诈法》对看门人规则的体系性设定表现有三:
第一,通过市场主体的引入,将基于刑事规制的外部治理转化为基于看门人规制的内部治理。“国家行动必须超越对行政治理的依赖,发展出增进市场、激活社会的新治理模式并使之制度化。”(25)顾昕:《走向互动式治理:国家治理体系创新中“国家-市场-社会关系”的变革》,《学术月刊》2019年第1期。电诈犯罪的发生离不开电话卡和物联网卡、金融账户和支付账户、互联网用户及涉诈黑灰产业的支撑,引入电信、金融及互联网产业的市场主体,依靠市场主体对其服务用户的内部风控,将电诈犯罪治理从外部治理转换为内部治理,从而大大缩短了电诈犯罪的治理距离。因不法分子均具有特定产业或平台的用户身份,其违法活动须借助用户身份实施。相对政法部门外部治理存在治理距离过远、治理主体单一、事后性和被动性等局限,市场主体对用户的内部治理具有治理距离近、手段丰富、预防效果好、主动及时等优势。
第二,看门人的在线控制聚焦于电诈的信息链、资金链、技术链、人员链,由此构筑起前端防范的制度基础。不同于刑事规制以个案处遇为重心,看门人规制强调对犯罪链条的源头治理和整体治理。为斩断犯罪发生的信息链条,法案不仅要求核验用户信息,还规定金融机构和支付机构建立客户尽职调查制度,推动看门人建立卡号、用户、账户使用的风险监测机制和防止个人信息被用于电诈的内控机制等。针对资金链,法案要求金融机构和支付机构调查客户利用账户洗钱的风险、查处异常开户和可疑交易、建立内部风控机制、完善涉诈特征的账户监测模型等。针对技术链,法案支持看门人研发反制技术措施,加强看门人对非法服务、设备、产业的治理。针对人员链,法案要求开展反诈被害预防、对潜在受害群体开展预警劝阻等。
第三,看门人的在线控制以反制技术措施为基本手段,发展出大数据反诈的技术治理体系。法案50个条文中有十几个条文涉及反制技术措施,包括统筹推进跨行业、企业的统一监测系统,规定电信、金融、互联网领域的涉诈异常情形监测、识别和处置,加强行业主管部门的反制技术和公安机关的预警劝阻系统建设,完善看门人的可疑线索移送制度等,从而巩固了大数据反诈的法治依据。
综上,前述法规范确立的看门人规则为看门人设定了体系化的义务性规范。从义务类型看,具体层面的看门人义务还可归纳为中观层面的内容审核义务、个人信息保护及数据安全义务、用户实名核验义务、技术支持和协助执法义务、黑灰产治理义务、被害预防义务、安全风险评估义务七类义务。图1(见下页)延着法律文本时间轴,展现出七类义务规范的出现频率和立法趋势。内容审核义务出现频率最高,系看门人最具日常性的治理义务;随着时代发展,看门人义务的类型愈发丰富,七类义务基本囊括了“表1”法律文本的义务要求。从义务内涵看,看门人规则既包括“国家管看门人”的看门人治理规范及违规惩戒措施,也包括“看门人管用户”的用户行为规范及违规法律责任;既包括看门人必须履行的强制性规范,也包括支持、鼓励看门人参与治理的指导性规范;既包括看门人在线控制用户违法的实体性规定,也包括看门人如何履行犯罪控制义务的程序性规范;既包括针对看门人行业违法和用户一般违法的行政处罚等公法规范,还包括以《反电诈法》第四十六条第二款(26)《反电诈法》第四十六条第二款规定,电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者等违反本法规定,造成他人损害的,依照《中华人民共和国民法典》等法律的规定承担民事责任。为代表的看门人失职应承担民事责任等私法规范。
图1 看门人义务图谱
不同于其他社会治理制度,看门人规则既是义务设定也是权力塑造,其具有鲜明的权力和义务二重性。从法理上看,法律规则分为授权性规则、义务性规则和职权性规则,看门人规则属于职权性规则,其“不仅具有授权性规则的特征,也具有义务性规则的特征”(27)雷磊:《法理学》,北京:中国政法大学出版社,2019年,第41页。。对国家而言,看门人承担和履行犯罪控制义务;对用户而言,看门人拥有在线影响、干预、控制用户的社会权力。看门人规则既是国家为看门人设定的义务性规范,也赋予看门人在线控制用户的法定职权。那么,如何理解看门人规则的权力和义务二重性?
1.以看门人的“市场主体/规制者”二重身份为基础
随着各类平台生态系统对国民数字化生活的全覆盖,平台成为数字社会的信息枢纽和组织枢纽,实现了数字社会的再组织化和再中心化,以新秩序要素和公共产品提供者身份,愈来愈紧密地参与到社会治理之中。“任何一个平台在平台生态中必然扮演着两个截然不同的角色,一是竞争的主体,二是市场秩序的维护者。……平台作为市场秩序维护者即具有‘规制者’的责任。”(28)叶逸群:《互联网平台责任:从监管到治理》,《财经法学》2018年第5期。这一规制者身份源于平台的如下特征:平台拥有雄厚的资本、海量的资源和数据,链接生产和消费,极具网络效应、规模效应及市场支配地位,对数字经济乃至国民的数字生活具有极强控制力,拥有着不可替代的社会动员能力和社会组织能力。可见,以互联网平台为代表的看门人兼具经营属性的市场主体与公共属性的新型规制者二重身份。作为市场主体,平台必须承担和履行政府监管部门设定的各类义务性规范,处于被规制者地位;作为新型规制者,平台履行看门人义务的过程也是对用户在线违规违法进行干预和控制的过程,其相对用户来说又具有规制者地位。平台的二重身份形塑出国家与社会之间全新的社会联结机制,打通了物理空间和网络空间的规制通道,整合了科层与市场两种不同的制度逻辑,从而奠定了看门人规则之权力和义务二重性的现实基础。
2.根植于“国家—看门人—用户”的双层治理结构
传统刑事规制一般基于国家直接控制个体违法的单层结构开展;随着网络平台逐渐成为整个社会的数字基础设施,平台成为国民实现社会连接、在线交互和有机团结的组织容器,构成了数字社会的规制中介。亿万国民多具有社交、视频、支付、购物等平台用户的数字身份,以用户身份“数字在场”。“新技术公司渐成公共治理主体,新技术改变国家权力运行,进而重塑了‘国家-社会’关系。”(29)樊鹏:《利维坦遭遇独角兽:新技术的政治影响》,《文化纵横》2018年第4期。平台位于国家与国民中间层的规制中介地位愈发凸显,“国家管看门人、看门人管用户”的双层治理结构日臻成型。
在双层结构下,“国家管看门人”立基于国家与看门人的关系,表现为国家主导的看门人规则的制定,即国家通过看门人规则为平台等主体设定在线控制用户的一揽子义务;“看门人管用户”立基于看门人与国民的关系,表现为市场主体主导的看门人规则的适用,即各类看门人在义务履行过程中对其用户违规违法的影响、干预、控制。看门人义务的履行同时意味着看门人对用户的实质性影响和控制,这种影响和控制既非公权力,也非私权利,而是一种社会权力,“哪怕遇到反对也能贯彻自己意志的任何机会”(30)马克斯·韦伯:《经济与社会》(上卷),北京:商务印书馆,1997年,第81页。。黄宗智教授指出,“如今中国应该摸索的方向是,怎样更好地结合国家与社会-市场。两者的二元合一无疑是国家能力和发展的关键,怎样将其做到最好乃是未来的关键问题”(31)黄宗智:《国家-市场-社会:中西国力现代化路径的不同》,《探索与争鸣》2019年第11期。。以看门人为规制中介的双层结构在犯罪治理领域圆满地实现了“更好地结合国家与社会-市场”这一目标,“结合国家与社会-市场”的独特方式就是将看门人义务和社会权力集于看门人一身。由此,这种具有权力和义务二重性的看门人规则构成了数字时代全新的社会契约和整个社会的规范性预设。
3.看门人义务的实现有赖于社会权力的行使
看门人义务在本质上是一种阻却用户在线违规违法的风险控制义务,其义务的实现高度依赖于看门人社会权力的行使。看门人义务既是一种积极保护义务,要求看门人在自身的平台生态系统内积极作为,主动控制和积极响应监管部门的控制指令,以保障用户的权利和平台秩序不受违法犯罪侵害;看门人义务也是一种强制性义务,要求看门人依循特定规则开展治理,如若违反强制性义务则要承担法律责任,《反电诈法》“第六章法律责任”为此提供详细的归责依据;看门人义务更是一种综合性义务,全面涵盖“图1”中的七大义务类型。看门人义务的履行和实现表现为看门人以在线控制用户的方式行使社会权力的过程。
一方面,看门人义务的实现离不开看门人对用户解析式社会权力的行使。在数字时代,人的存在形式进化出全新的“数字属性”(32)龚向和:《人的“数字属性”及其法律保障》,《华东政法大学学报》2021年第3期。。“由于整个互联网络具有‘全天候记录’的‘雁过留痕’特性,这是一个‘个体’一旦‘进入’,就不容易真正‘退出’的、带有终极性意味的系统和生态。”(33)王水雄、王沫:《从单位社会到网络社会:个体权利的视角》,《学习与探索》2021年第10期。在平台生态系统中,看门人有能力对用户在线活动进行全景敞视的解析。“数字社会权力的深入是建立在对每个人的身体、情绪、行为的持续不断的观察分析基础上的。数据越多,每个人的特征就越清晰……数据的解析前所未有地使我们看清楚个人或组织的微粒状态。”(34)周尚君:《数字社会对权力机制的重新构造》,《华东政法大学学报》2021年第5期。以协助执法义务为例,平台对用户在线违法的解析式权力推动数字技术与生物性身体在数据宇宙中形成互嵌关系,最终催生出超级控制导向的“数字-生命政治”(35)蓝江:《什么是生命政治》,《武汉大学学报(哲学社会科学版)》2022年第1期。。
另一方面,看门人义务的实现往往借助看门人社会权力的隐蔽化和在线化运行。“数字化以‘看不见的手’让人们感受不到权力的存在形式和作用力。网络平台如同一个‘单向镜’生态,平台企业可以掌握平台上用户的数据,用户却不了解被窥探的程度,也不完全知晓其在平台上留下多少数据‘痕迹’。”(36)周辉:《网络平台治理的理想类型与善治——以政府与平台企业间关系为视角》,《法学杂志》2020年第9期。社会权力的运行之所以是隐蔽的,有赖于平台以在线方式通过算法予以实现。“我们生活在一个算法时代,以算法来助推、偏向、引导、激发、控制和约束人类行为,从而影响、塑造、指引我们的行为和社会的治理。”(37)John Danaher et al.,“Algorithmic Governance: Developing a Research Agenda Through the Power of Collective Intelligence,”Big Data &Society,4(2), 2017, pp.1-21.以内容审核义务为例,基于人工智能的算法治理对用户发布信息进行了自动化、全覆盖、全周期、串联式、主动式的在线控制,从而保障绝大多数违规违法不良信息在最短时间内被删除。
从看门人规则的动态运行看,以权力和义务二重性为特质的看门人规则蕴涵着独特的法律规制逻辑。“规制作为一种当代政策工具,其核心涵义在于指导或调整行为活动,以实现既定的公共政策目标。”(38)科林·斯科特:《规制、治理与法律:前沿问题研究》,北京:清华大学出版社,2018年,第3页。规制最初源于经济学,指向对经济活动的政府规制的“正当性和可问责性”(39)科林·斯科特:《规制、治理与法律:前沿问题研究》,第17页。。看门人规制的规制逻辑不同于“规制国”时代强调直接治理、事后回应的刑事规制等传统规制,而是在“后规制国”时代注重以“元规制”(Meta-Regulation)和“自我规制”(Self-Regulation)的交互实现间接治理、前端防范等功效,从而在相当程度和较大范围上替代了传统规制,更新了数字社会的底层治理架构。
在“国家—看门人—用户”双层结构下,看门人规制的内在逻辑以元规制和自我规制的交互为内核。自我规制聚焦于“看门人管用户”的治理层级,“是规制对象对自身施加命令和结果的规制。……区分自我规制和其他规制进路的标准不在于命令抑或结果,而在于规制者与规制对象的同一性”(40)罗伯特·鲍德温等编:《牛津规制手册》,北京:三联书店,2017年,第167页。。元规制依托于“国家管看门人”的治理层级,是“对规制者的规制”,“无论他们是公共机构、私营企业还是第三方看门人”(41)Christine Parker,The Open Corporation: Effective Self-Regulation and Democracy,Cambridge: Cambridge University Press, 2002, p.15.,“元规制是对自我规制的规制”(42)Bridget M. Hutter,Regulation and Risk: Occupational Health and Safety on the Railways,Oxford: Oxford University Press, 2006, p.215.。具言之,元规制的任务在于通过设定看门人义务和形塑看门人社会权力的方式,搭建规制的原则、主体、方法、义务内涵及其法律后果等看门人规制框架;自我规制通过看门人义务的履行抑或社会权力的行使,以积极响应和主动风控、自行规制和规制外包、公法规制和私法规制的相结合的方式,将元规制分析框架确定的规制事项予以一一落实。
从规制的原则看,“人们服从规制不仅是因为害怕制裁,而且是因为他们认为规制的内容是正确和公正的,并且认为服从规制是一种道德义务”(43)Tom R. Tyler,Why People Obey the Law,UK: Princeton University Press, 2006, p.161.。平台等看门人承担犯罪控制义务的正当性理由在于,平台负有保障网络安全的主体责任和防范平台用户被害的道德义务。国家对看门人的元规制的目的在于,将看门人设定为限制和防范用户在线违法犯罪的第一道防线,通过看门人规范和引导国民在线活动,实现国民自由与社会安全的均衡发展。对此,必须坚持看门人规制的法治原则。
无论是对看门人的元规制还是对用户的自我规制,均不是无节制的规制和一味地限制(44)John Braithwaite, T. Makkai &Valerie Braithwaite,Regulating Aged Care: Ritualism and the New Pyramid,UK: Edward Elgar, 2007, p.323.,规制体系的运行、规制机构与个体之间的互动应当遵循相互尊重和程序公平的原则。(45)Kristina Murphy,“Procedural Justice and its Role in Promoting Voluntary Compliance,”Regulatory Theory,Canberra: Australian National University Press, 2017, pp.43-58.对看门人的元规制须有明确的法律依据,看门人义务的设定要有利于数字经济的健康发展,不能对看门人的正常经营造成严重妨碍,如《反电诈法》第二十五条对互联网服务经营者的监测、识别及处置涉诈帮助行为的义务要求设定为“履行合理注意义务”。看门人对用户的自我规制应依循法治程序开展,用户依法享有申诉和获得救济的权利,如《反电诈法》第三十一条第二款的规定。
从规制的主体看,看门人类型极为丰富,几乎囊括全部涉网络空间治理的市场主体,既包括反电诈领域的电信业务经营者、银行业金融机构和非银行支付机构、互联网服务提供者,也包括落实主体责任层面上的网络服务提供者或互联网平台,还包括针对专项治理的个人信息处理者、算法推荐服务提供者、应用程序提供者、深度合成服务提供者等。
从规制监管链看,各类看门人负责规制用户的在线违法,而对看门人的行业违法行为归属于工信部、网信办、人民银行等行业部门监管。在看门人规则中,互联网平台及其用户应当被视为一个整体,他们共同构成了自我规制的主体,并受法律及国家机关的元规制。平台与用户之间并非相互独立的规制主体与规制对象的关系,鉴于平台对用户账号的所有权抑或支配权,两者之间的连带责任恐怕是无法断然割裂的。有的平台服务协议明确了用户账号的所有权归平台运营商所有,如《微信服务协议》7.1.2规定:“微信账号的所有权归腾讯公司所有,用户完成申请注册手续后,仅获得微信账号的使用权。”(46)参见《腾讯微信软件许可及服务协议》,https://weixin.qq.com/agreement,访问时间:2023年6月28日。支付宝和抖音虽未明确提及“账号的所有权”,但相关条款都将账号作为由平台提供、用户使用服务的凭证,平台对账号具有根本性的支配权。(47)《支付宝服务协议》第二条第一项,“支付宝账户是本公司向您提供的唯一编号”,第四条第三项,“除非另有法律规定或经司法裁判,且征得本公司同意,否则您的支付宝登录名及密码、支付宝账户不得以任何方式转让、赠与或继承(相关的财产权益除外)”。参见《支付宝服务协议》,https://www.taobao.com/go/chn/member/alipay_agreement.php,访问时间:2023年6月30日。《“抖音”用户服务协议》第3.4条,“您在‘抖音’中的注册账号仅限于您本人使用,未经公司书面同意,禁止以任何形式赠与、借用、出租、转让、售卖或以其他方式许可他人使用该账号”。参见《“抖音”用户服务协议》,https://www.douyin.com/draft/douyin_agreement/douyin_agreement_user.html?ug_source=sem_baidu&id=6773906068725565448,访问时间:2023年6月30日。
从规制的义务内涵及其法律后果看,立法机关及相关监管部门通过看门人规则为各类看门人设定了内容审核、用户实名核验、个人信息保护及数据安全、黑灰产治理、被害预防、安全风险评估、技术支持和协助执法七大类义务内涵,并分别设定相应的法律责任。设置这些看门人义务同样具有双重目的,一方面通过法律明确看门人必须履行的自我规制内容;另一方面让看门人适当实施自我规制,在自我规制中遵循相互尊重和程序公平的规制原则,以防止其不合理的自我规制损害用户合法权益。一旦看门人错误地实施了自我规制,那么依法应当承担的法律责任将对其予以纠正。换言之,看门人自我规制承担的元规制义务,是要让看门人的自我规制达到某种均衡,“一个优秀的规制体系应当受到充分制约和平衡,法律赋予并维护其规制权力的最终权威,司法机关确保其规制是基于有效的法律权威,不侵犯受保护的法律权利”(48)Cary Coglianese (ed.),Achieving Regulatory Excellence,Washington D. C.: Brookings Institution Press, 2017, p.97.。
从规制的方法看,规制包含着劝说、学习、奖励、模仿、自我调节、影响、自主合规、威慑和强制等治理活动。(49)Valerie Braithwaite,“Closing the Gap Between Regulation and the Community,”Regulatory Theory,pp.25-41.一方面,法律及相关监管部门对看门人的元规制大量采用了这些规制方法,如行政约谈是典型的劝说活动,法律责任的设置具有鲜明的威慑和强制色彩;另一方面,元规制目的的实现最终又落实在看门人的自我规制之中,而看门人的自我规制以用户服务协议为载体,看门人对用户的规制主要依循服务协议。在服务协议中,用户个人信息保护、反电诈义务要求、知识产权保护、网络安全责任及用户行为规范中的大多数内容,源于法律的强制规定或者行政机关等监管机构的要求,即来自于元规制。看门人若使服务协议真正发挥作用,也必然大量运用上述规制方法。
第一,响应指令与主动风控相结合。依据技术支持和协助执法义务,看门人应积极响应执法部门和监管部门的各类行政指令。最典型的莫过于个案侦破的执法协助和配合调证,如阿里巴巴集团安全部以公安刑事立案决定书和民警工作证为依据,在杭州市局审核下,为执法机关在线调证。响应指令是对看门人的最基本要求,也是其必须完成的自我规制事项。在响应指令基础上,各类看门人结合自身业务场景以用户在线违规违法的风险管理为规制对象,对用户在线活动的信息流、行为流、资金流、交易流、物流开展主动风控,通过数据中台监测在线交易、在线活动中的违法犯罪线索,如在用户注册和登录阶段,对网络账号的用户实名制进行管控,对用户异常在线活动的在线监测,对用户在线违法风险的识别、评分及干预。技术反制措施成为主动风控的主要规制手段,通过风险文本库、风险链接库、风险设备库等黑样本库建设,以“机审+人审”模式对关键词、语义、语音、图片等在线活动进行算法治理,将识别出的可疑线索向执法机关主动移送。实际上,响应指令与主动风控是相互补充、相互促进的,并形成了“案件线索挖掘—确定违法行为—用户实人确认—团伙集群串并—公安联合打击”的在线控制闭环。
第二,自行规制与规制外包并行不悖。根据看门人的规模大小,大型互联网平台一般内设专门的风控机构开展自行规制,依靠自身的数据中台监测用户在平台生态系统中的异常风险,同步开展反制技术措施。例如,阿里安全部具有庞大的组织规模,包括具有超强技术能力的数据中台、研究犯罪模式和犯罪链条的打防中心、共享共治团队、网络黑灰产业研究团队等,其业务范围广泛涉及平台规则的制定和执行、在线风险排查(异常订单分析)、音视频文字等内容审查、敏感物资管控以及对违法用户的全链路风控等。其中,对违法用户的全链路风控是将特定违法用户用一个ID将其在阿里平台生态系统各个应用程序中的各种业务串联起来,形成违规违法用户的精准数据画像。如今,阿里安全部的业务已从最初的挖掘和移送案件线索阶段升级为全方位、系统化的网络空间治理阶段。
与此相对,中小型互联网平台往往通过委托专业的技术服务商履行看门人义务,如某些婚恋交友平台委托“网易易盾”团队协助其履行内容审核义务,采用文字识别、语音识别、语义识别、图像识别、文本分类等AI技术手段,对用户聊天、电商评论、帖子、留言、视频、直播、弹幕等多个场景下的文本、图像、语音、视频等交互内容进行在线审查,以适应国家监管政策和防范“杀猪盘”等电诈犯罪发生。据调研了解,“网易易盾”在2022年共检测超过4 000亿条信息,其中不良有害内容约占9.5%;“网易易盾”通过识别和处置黑产账号,有效治理了搬运洗稿、恶意营销、撰写黑稿、黑账号、刷粉刷量、推广作弊等网络信息内容黑灰产。自行规制与规制外包并行的现象进一步表明,多元化的规制主体之间基于各自不同的特点,既相互促进又相互制约,形成了一个个庞大且复杂的规制网络,共同推动着治理目的的实现。(50)Jennifer Wood &Clifford Shearing,Imagining Security,London: Willan Publishing, 2007, p.149.
第三,公法规制与私法规制兼容并蓄。看门人规则包含着大量的公法规范,以对看门人及其用户的行政处罚甚至刑事处罚为法律后果,故而看门人规制主要是一种公法规制;但不容忽视的是看门人规则也蕴涵着丰富的私法规范,看门人规制也体现出私法规制的面相。《网络安全法》第七十四条第一款规定:“违反本法规定,给他人造成损害的,依法承担民事责任。”《反电诈法》第四十六条第一款针对组织参加电诈活动或为电诈提供帮助的违法犯罪人员,造成他人损害的,依照《民法典》承担民事责任;第四十六条第二款针对电信业务经营者、金融机构和支付机构、互联网服务提供者的行业违法行为,造成他人损害的,依照《民法典》承担民事责任。当然,私法规制最终也要以司法审判作为“其他一切手段都失败时的最后手段”,“并且是具有象征意义和文化独特性的手段”,从这一点看,无论是公法规制还是私法规制,“国家始终发挥着锚定作用”(51)Adam Crawford,“Networked Governance and the Post-regulatory State? Steering, Rowing and Anchoring the Provision of Policing and Security,”Theoretical Criminology,10(4), 2006, pp.449-479.。
在规制实践中,至为紧要的问题可能并非看门人该不该拥有社会权力,而是看门人在已拥有社会权力的情况下,哪些社会权力可以合法化、哪些社会权力不能合法化。这一问题指向看门人自我规制的法治边界。“网络服务提供商收集了太多关于我们的数据,而且保存时间太长。私人行为体致力于了解我们生活的每一个细节,从摇篮到坟墓。基于第三方协助执法义务,他们与政府在公共治理领域的互动对未来的社会结构提出了难题。”(52)Ian Samuel,“The New Writs of Assistance,”Fordham Law Review,86(6), 2018, pp.2873-2924.对此,可结合C公司公安业务兴衰的案例,探讨元规制对自我规制是如何调控和限制的。
近年来,从A头部互联网平台分立出一个全新的数据技术公司——C公司,该公司是连接公安机关与A平台的中间通道,即数据通道、技术通道和服务通道。C公司的公安业务不是典型的看门人规制,而是由A平台提供主要数据且以C公司名义为公安侦查案件提供技术支持和数据分析协助的市场化业务,是A平台与C公司合作下的看门人自我规制的扩张和变种形态。具言之,C公司依托A平台的支持,研发SaaS(Software as a Service)云计算平台,在SaaS架构下开发出“云捕”“云觅”“风洞”等多款犯罪分析软件,将A平台内的数据盘活和增值,针对A平台生态系统内涉嫌犯罪的用户数据进行分析,包括识别用户的网络轨迹、提供侦破案件的“线头”、对立案后的嫌疑人进行精准定位、对复杂案件“拆链”和固定证据等,为公安侦办刑事案件提供基础性技术支持和数据支撑,从而实现独一无二的犯罪数据分析行业优势地位。在庞大的A平台生态系统中,公安机关通过购买C公司研发的犯罪分析软件账号,将特定嫌疑人的网购、出行、移动支付、物流、住宿、订票、本地生活等网络活动轨迹以一个ID串联起来,使嫌疑人的数据画像更为精准,使在线控制更为高效。2017—2022年,共有1 700家公安机关以免费形式、900家公安机关以付费形式接受该服务;仅2020年,C公司协助公安抓捕逃犯2万余人。
看门人规制一般分国家执法监管部门与看门人企业的两端,由公安机关直接向看门人企业提出犯罪控制指令,看门人以履行义务的方式实现规制目标。公安机关在除要求看门人履行技术支持和协助执法之外,为何还向C公司获取有偿的犯罪数据分析服务呢?这主要是出于以下考虑:首先,在网络犯罪挑战严峻的背景下,仅凭看门人的内部风控部门履行技术支持和协助执法等自我规制,无法及时有效地满足公安机关办案需要。其次,在现行规制体系下,看门人的义务履行标准长期存在争议,企业出于市场属性担心扩张在线控制用户的社会权力将影响自身的市场竞争力,执法监管部门则希望企业承担更全面、更具渗透性的主体责任。在这种博弈下,《反电诈法》第二十五条仅对电信业务经营者和互联网服务提供者规定“履行合理注意义务”,但包括看门人在内的各类治理主体都非常清楚仅履行合理注意义务不足以有效防控电诈犯罪。最后,无论是执法监管部门还是看门人企业,都希望出现一种更具主动性和控制力的市场主体作为中间通道,以市场化机制扩张自我规制、提供看门人义务升级版服务,以满足更多层次、更高水平的犯罪治理需要。
虽然C公司曾经迅猛发展,但目前的情况是该公司的公安业务陷入收缩状态。凡在2022年底前购买犯罪分析软件账号服务的公安机关仍可在服务期内使用,但服务期届满不再延续服务;并且C公司不再向没有购买服务的公安机关提供服务。2023年,C公司将仍在服务期内的公安业务移交A平台安全部,预计逐步收缩并将这种扩张形态的自我规制回归常态化自我规制。这种看门人自我规制的扩张形态陷入萎缩的主要原因在于,该业务不符合对看门人元规制的义务要求,其原因主要有四:
其一,监管部门对云计算技术和个人信息处理的重视提高了C公司合规标准。基于该公司的业务类型和云服务的技术特征,C公司使用A平台用户数据的法律依据不足。依据《个人信息保护法》第二十三条,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意”。C公司开展公安业务的基础在于,其能使用A平台的用户数据;但C公司不是A平台安全部,而是A平台之外的独立市场主体,其使用A平台用户数据的适格主体地位存疑。这种自我规制的扩张形态可能欠缺必要的数据合规基础。
其二,C公司以犯罪分析为目的处理个人信息的法律依据不足。根据《个人信息保护法》第十三条,看门人处理其用户的个人信息依据“为履行法定职责或者法定义务所必需”条款中的“法定义务”,即犯罪控制的看门人义务。在当前法律框架下,犯罪分析属于刑事侦查范畴,需在公安刑事立案后获得完整的外包授权,仅依据看门人义务难以为市场化的数据分析行为提供有效法律依据。
其三,C公司面临着云计算安全评估的合规压力。根据2021年12月公布的《网络数据安全管理条例(征求意见稿)》第34条,“国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估”。C公司的SaaS服务虽然在技术和数据资源上高度依附A平台,但由于其公司的独立性和经营业务的特殊性,必须接受单独的安全评估,这无疑增加了合规成本。
其四,C公司的数据处理行为可能为A平台等业务相关主体带来额外的合规风险。SaaS服务囿于云生态的复杂性,导致责任分配的泛化与模糊化,云平台、个人信息处理者及个人信息共同处理者均为个人信息保护的义务主体。作为C公司的业务合作方和技术支持方,A平台在业务履行过程中可能承担同样的数据安全义务和看门人责任,从而增加了A平台的合规风险。
综上,鉴于数据法、个保法等法规范的元规制义务要求,看门人规制不能惟效率导向,看门人自我规制的扩张和创新应在数字法治的制度框架下运行,看门人社会权力的行使应源于明确的看门人规则授权。可见,A平台与C公司合作下看门人自我规制的扩张探索可能尚欠缺较为坚实且严密的合法性依据。
从制度视角看,合理地组织对网络犯罪的反应包括刑事规制和看门人规制两种并行不悖、互补互促的治理模式。政法机关对已侦破案件适用刑事司法程序、运用刑事法、以事件性治理的方式予以事后回应;以互联网平台为代表的看门人等市场主体依据体系化的看门人规则,以履行看门人义务方式在线控制用户,实现更为科学、更高水平的犯罪治理目标。看门人规制有效回应了刑事规制作用范围有限、预防效果不显、治理主体单一等问题,依据刑事法之外的看门人规则,为相关市场主体设定了愈发丰富的看门人义务,将其作为犯罪治理的第一道防线,搭建起前端防范导向的“国家管看门人、看门人管用户”的双层治理体系,成为改善网络犯罪治理之国家能力的关键所在。
当前,看门人规制正处于建章建制、规则细化阶段,亟待完善对看门人的元规制和看门人自我规制的义务规范体系,尤其是对规制权力进行规范和制约。无论是国家对看门人的元规制还是看门人对用户的自我规制,均淋漓尽致地展露出权力的本质——“个人和群体将意志强加于其他人的能力”(53)彼得·布劳:《社会生活中的交往与权力》,北京:华夏出版社,1988年,第137页。。对此,既要运用法治缰绳牵好看门人社会权力的“马笼头”,防范看门人在自我规制中对用户权利造成过度侵犯;更要注意不能随意扩张元规制的“指挥棒”,过度加重看门人企业的义务负担。关于看门人规制的法治实现,至少有四个问题值得深入思考。
以《反电诈法》为代表的看门人规则的明确性有限(仅有50个条文),应完善配套细则、出台行业标准,厘清执法监管部门的规制范围。据悉工信部等部门有20多个行业标准正在制定中,这提供了体系化的监管规则;但必须注意对看门人的元规制不能无限扩张,更不能过度增加看门人义务,要以不严重影响看门人企业的正常经营为边界。以敏感物资管控为例,看门人管控网购中的敏感物资和禁限售商品应有稳定且明确的清单,要考虑企业在敏感物资管控中付出的经济成本。同时,执法监管部门在元规制中的职能范围宜分工明确,以公安机关执行《反电诈法》的处罚范围为例,《反电诈法》的行政处罚包括对一般违法行为的处罚和对行业违法行为的处罚。对于非法买卖“两卡”及涉诈软件设备、从事电诈等尚不构成犯罪的行为,由公安机关作为规制主体不存在争议;但对行业违法行为的处罚,如金融、互联网等企业违反实名制登记、未落实反诈内控机制、未开展监测识别预警等,究竟是由有关主管部门实施处罚还是公安机关也可对之处罚,存在较大争议。“《公安机关对涉电信网络诈骗违法行为实施行政处罚工作指引》起草说明”显示,公安部与人民银行、工信部的意见不一致。全国人大法工委认为,对公安机关网安部门是否属于“有关主管部门”,实践中有不同认识,问题较为复杂,建议不在“工作指引”中明确。最终,公安部考虑立法机关意见,“工作指引”仅规范对一般违法行为的处罚,对于行业违法行为的处罚问题,不做明确规定。2023年7月1日公布的《江苏公安机关适用反电诈法实施行政处罚裁量基准(试行)(征求意见稿)》参考立法机关的意见,将公安机关实施行政处罚的范围聚焦于“一般违法行为”。
《反电诈法》第二十五条要求互联网服务提供者等看门人在对从事涉诈支持、帮助活动进行监测识别处置中承担“合理注意义务”。该规定是立法机关、看门人企业、监管部门各方博弈和妥协的产物。看门人规则为看门人企业设定了方方面面的反诈主体责任,但又迫于保障企业正常经营之压力在条文中写上“注意义务”。看门人企业处于国家与违法个体的中间层的“监控中介”(54)Alan Z. Rozenshtein,“Surveillance Intermediaries,”Stanford Law Review,70(1), 2018, pp.112-114.地位,其履行的反诈规制涵盖犯罪防控的全领域,实质是国家保护义务在数字时代向网络空间的延伸和展开,又岂是作为从义务和附随义务的“注意义务”能够涵盖的?在民法中,“注意义务”属于附随义务且不是法律关系中的主义务。民法的注意义务源于诚信原则,是伴随主义务产生的从义务,但也不能怠于履行。《反电诈法》的看门人义务与民法的注意义务有相似之处,但也存在显著差异。两者相似之处在于,类似于房屋租赁合同的履行,房东应监督租客不得在房屋内实施卖淫嫖娼等违法活动;平台亦属于网络空间的“房东”,同样须防范用户利用其账号和平台服务从事违法活动。两者不同之处在于,民法注意义务的履行基于私主体间的契约关系;“合理注意义务”则是看门人在社会治理中行使社会权力的表现,体现着看门人的主体责任。看门人反诈义务的履行表现出更加主动、义务内涵日趋丰富、需投入更多治理资源、更强调在线控制的及时性、主要依靠技术反制措施等特性。这些特性蕴涵着更多监管义务或第三方义务的成分,绝非单纯的注意义务,且与欧盟《数字服务法案》 “勤勉尽责义务”(Due diligence obligations)存在异曲同工之处。对看门人“合理注意义务”的理解,不能拘泥于字面含义,而应从看门人规则的立法目的及整个规则体系出发做实质性解读,以“勤勉尽责”为义务履行的一般性标准。
《网络安全法》第二十八条规定:“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”看门人对侦查机关技术支持和协助执法的具体要求尚缺乏明确的法律依据。2021年公布的《互联网信息服务管理办法(修订草案征求意见稿)》第二十二条规定:“技术支持和协助的具体要求,由公安机关、国家安全机关会同电信主管部门等有关部门另行制定。”该征求意见稿为此问题的立法完善留下伏笔。对此,应尽快制定此问题的制度依据,从法律上将公安刑事立案作为启动看门人技术支持和协助执法的一般性程序起点,并以“例外清单”形式明确看门人在刑事立案前的线索经营阶段提供方向性信息的案件类型及其具体要求。此外,还应进一步明确技术支持和协助执法的类型、内容、方式,明确执法机关控制指令的形式与下达方式、看门人的响应流程及时间要求、针对不同类型犯罪的信息提取要求等内容。
看门人规制的底层逻辑在于对用户的在线控制,在线控制往往通过算法决策实现,而算法偏误有时无法完全避免。在《反电诈法》施行过程中,一旦看门人“限制电话卡功能、暂停物联网卡服务、限制或中止银行和支付业务、限制网络账号使用”等处置不当或失误,必然影响用户正常经营和生活。《反电诈法》第32条规定:“对涉诈异常情形采取限制、暂停服务等处置措施的,应当告知处置原因、救济渠道及需要提交的资料等事项,被处置对象可以向作出决定或者采取措施的部门、单位提出申诉。作出决定的部门、单位应当建立完善申诉渠道,及时受理申诉并核查,核查通过的,应当即时解除有关措施。”这不仅要求电信业务经营者、金融机构及互联网服务提供者在内控制度上尽快完善事关用户权益保障的告知、申辩、申诉、救济等程序规则,形成便捷高效的申诉渠道和核查机制;还要求看门人修正和完善数据监测模型,优化算法决策的科学性,提高技术反制措施的精准度。
总之,在看门人规制初步搭建的时代背景下,如何保障看门人规制依循法治轨道有序发展已成为数字法治建设的重中之重。这有赖于对元规制和自我规制的规范体系进行持续更新与完善,离不开元规制对看门人自我规制的指引、规范和约束,更离不开规制权力行使与用户权益保障的均衡发展。