電子商務運營與交易安全（電子商務平臺經營者安全保障義務的規範構造）

2023-04-12 08:14:39 1

陸青

浙江大學光華法學院副教授，義大利維羅納大學法學博士，浙江省之江青年學者

要目

一、問題的提出

二、《電子商務法》第38條第2款與《民法典》第1198條的脈絡聯繫

三、《電子商務法》第38條第2款規範內容上的特殊性

四、餘論

一、問題的提出

《電子商務法》第38條在解釋過程中面臨的最大的困惑是，第2款中規定的「安全保障義務」與《侵權責任法》第37條（現《民法典》第1198條，以下不作重複說明）所規定的「安全保障義務」是何種關係，違反此種義務後承擔的「相應的責任」如何理解。對此，學理上提供了各種不同的解釋方案。之所以產生眾說紛紜的局面，歸根到底，在於「相應的責任」的立法表述實在頗具彈性，滋生了諸多困擾。本文試圖以一般法和特別法在安全保障義務上的體系互動關係為著眼點，探討電子商務平臺經營者安全保障義務的規範構造，進而提出個人對「相應的責任」的解釋方案，拋磚引玉，求教大家。

二、《電子商務法》第38條第2款與《民法典》第1198條的脈絡聯繫

《電子商務法》第38條分成兩款：第1款規定了電子商務平臺經營者與平臺內經營者承擔連帶責任的情形，第2款規定承擔「相應的責任」的情形。根據釋義書的說明，本條為平臺經營者承擔連帶責任、相應的責任的特別規定，對應於《侵權責任法》第36條第3款、第37條、《消費者權益保護法》第44條第2款的一般規定。釋義書在解釋安全保障義務的制度設計時，又進一步提到了《消費者權益保護法》第18條第2款。從文字表述上看，《電子商務法》第38條第1款對應《侵權責任法》第36條第3款和《消費者權益保護法》第44條第2款。而其第2款與《侵權責任法》第37條、《消費者權益保護法》第18條第2款的關係卻並不明朗，尚須作進一步說明。

《侵權責任法》第37條第1款規定了公共場所的管理人或者群眾性活動的組織者單獨承擔侵權責任的情形，第2款規定了第三人行為介入時相關管理人和組織者承擔相應的補充責任的情形。《消費者權益保護法》第18條第2款僅調整經營者對消費者所負之安全保障義務，而其他情形仍由《侵權責任法》調整。與之相對應，《電子商務法》第38條規範的也是經營者和消費者之間的關係，故其第2款對應的一般條款，最直接的應為《消費者權益保護法》第18條第2款。但由於《消費者權益保護法》並未就違反安全保障義務的責任承擔作出具體規定，因為在責任承擔問題上，《電子商務法》第38條第2款所對應的一般條款是《侵權責任法》第37條。問題在於，第37條根據有無第三人因素的介入，進一步區分「承擔侵權責任」和「承擔相應的補充責任」兩種情形，那麼，《電子商務法》第38條第2款對應的究竟是《侵權責任法》第37條第1款，還是第2款，抑或兩者兼有？

《電子商務法》第38條第2款中平臺經營者的安全保障義務在指向上有明確的限定，僅為「關係消費者生命健康的商品或者服務」，再結合該法第37條關於平臺經營者在其平臺上開展自營業務時承擔責任的規定，第38條第2款中所指向的「關係消費者生命健康的商品或者服務」並不包括平臺經營者作為交易主體開展自營業務提供的商品或者服務，而僅指平臺經營者開展自營業務之外的「關係消費者生命健康的商品或者服務」。何謂「平臺經營者開展自營業務之外的『關係消費者生命健康的商品或者服務』」？解釋上有兩種可能，一種是僅指平臺內經營者所提供的「關係消費者生命健康的商品或者服務」，一種是還包括平臺經營者作為網絡交易平臺自身所提供的不在自營範圍之內的其他「關係消費者生命健康的服務」。如採第一種解釋，那麼，《電子商務法》第38條第2款中平臺經營者未盡到安全保障義務，對應的只是《侵權責任法》第37條第2款的情形，即平臺經營者對應公共場所（經營場所）管理人或群眾性活動組織者，平臺內經營者對應第三人；如果採第二種解釋，對應的將是《侵權責任法》第37條第1款和第2款兩種情形。具體來說，平臺經營者未盡到安全保障義務，既可能是因其在「電子商務中為交易雙方或者多方提供網絡經營場所、交易撮合、信息發布等服務」時對消費者造成損害，也可能是因平臺內經營者所提供的「關係消費者生命健康的商品或服務」直接對消費者造成損害。對此，筆者傾向於採取第二種解釋方案，蓋事實上的確可能發生平臺經營者所提供的平臺服務影響到消費者生命健康的情形（儘管這種情況並不常見）。比如，平臺為拉攏或吸引客戶使用其服務，有意識地使消費者陷入一種過度沉迷的狀態，或者給消費者帶來某種不安焦躁的情緒。此時，即使並不存在其他第三人的介入，平臺經營者所提供的服務本身就可能造成消費者的生命健康損害。既然在理論上平臺經營者存在違反安全保障義務的兩種情形（有第三人介入或者無第三人介入），而這兩種情形下平臺經營者的責任承擔方式並不相同，如此立法者選擇規定為「相應的責任」自然也就有了解釋上的合理性。

三、《電子商務法》第38條第2款規範內容上的特殊性

前述討論試圖在特別規範和一般規範關係的角度釐清《電子商務法》第38條第2款與《侵權責任法》第37條的對應關係。那麼，從這種對應關係出發，是否可以當然地得出結論：如果平臺經營者的平臺服務直接侵害消費者的生命健康，此時，平臺經營者就應根據《侵權責任法》第37條第1款的規定承擔直接侵權的責任；如果因平臺外第三人或者平臺內經營者的行為導致消費者的生命健康受損，平臺經營者應根據《侵權責任法》第37條第2款的規定承擔相應的補充責任？

此種理解的理論前提是，必須將《電子商務法》第38條第2款理解為（只）是《侵權責任法》第37條一般規範在電子商務領域的具體化。如此，則《電子商務法》第38條第2款在解釋適用上所處的地位將類似於《消費者權益保護法》第18條第2款——後者並未明確規定違反安全保障義務如何承擔責任——故解釋上可以回歸《侵權責任法》第37條，從而明確安全保障義務人的具體責任。但不可否認的是，在此問題上，存在另一種截然不同的解釋路徑，即將前者理解為後者的例外規範。換言之，基於電子商務領域的特殊性，對於平臺經營者安全保障義務的違反，可能改變、背離「相應的補充責任」的一般立場。那麼，究竟哪一種解釋路徑更為合理呢？

我們首先需要對《電子商務法》第38條第2款的特殊性作進一步說明：第一，安全保障義務人範圍的特殊性。《侵權責任法》針對的是公共場所管理人和群體性活動組織者，《消費者權益保護法》針對經營場所經營者，《電子商務法》針對的是電子商務平臺經營者。第二，保護對象的特殊性。《侵權責任法》第37條未作限定，《消費者權益保護法》和《電子商務法》均限定為消費者。第三，義務內容的特殊性。《侵權責任法》和《消費者權益保護法》並未界定安全保障義務的內容，一般認為，包括保護他人的人身和財產安全。《電子商務法》針對的是「關係消費者生命健康的商品或者服務」，不涉及財產安全。雖然「造成消費者損害」的表述中並未明確是何種「損害」，但結合第38條第2款的整體表述，顯然可以得出此處的「損害」，指的是造成消費者「生命健康」受損。第四，規範構造的特殊性。《侵權責任法》第37條僅規定了安全保障義務。《消費者權益保護法》第18條則分為兩款：第1款規定了經營者應當保證其提供的商品或者服務符合保障人身、財產安全的要求，同時規定了其必要的說明和警示義務；第2款規定了賓館、商場等經營場所的經營者應當對消費者盡到安全保障義務。同樣，《電子商務法》第38條也分為兩款，僅在第2款中明確提到安全保障義務，但在規範對象上，兩款同樣指向平臺經營者。此外，《電子商務法》第38條在平臺經營者責任問題上，並非如《消費者權益保護法》那樣單純只規定了經營場所經營者的安全保障義務，還在第1款中規定了就侵害消費者合法權益的行為在特定情形下「採取必要措施」的義務。同時，在第2款中，除了規定對消費者的安全保障義務外，還用「或者」一詞並列地提及了資質資格審核義務。

關於第一點，需要說明的是，《電子商務法》明確平臺經營者具有安全保障義務，是對現行法安全保障義務適用範圍的重要擴張。在該法出臺以前，關於網絡服務提供者，包括網絡平臺是否負有安全保障義務，學理上存在諸多探討。根據《侵權責任法》第36條第2款和第3款的規定，網絡服務提供者履行作為義務的前提是「得到網絡用戶通知」以及「自己知道網絡平臺發生侵權行為」。有學者認為，「這意味著網絡運營者所承擔的是一『事後止損義務』而非『事前保障義務』。這種做法將網絡運營者承擔作為義務的時間點從侵權發生之前延至侵權發生之後，實際上是免除了網絡運營者保障網絡平臺安全的義務。」其認為，《侵權責任法》第36條對於網絡運營者侵權責任的規定是美國《數字千年版權法》中「避風港規則」與「紅旗規則」的舶來品，體現了扶持信息產業發展的需要。但時至今日，保障網絡平臺的安全已成為信息產業無法迴避且必須應對的問題，因此需要立法政策慢慢從保護信息產業向維護網絡安全偏斜。《電子商務法》第38條對網絡平臺經營者的審核義務和安全保障義務的肯定，正是在這種背景下應運而生的。必須說明的是，《電子商務法》上安全保障義務人範圍的特殊性，本身並不能推導出違反該種義務後的責任承擔上的特殊性。儘管學界提出要將安全保障義務的範圍從物理空間擴張到網絡虛擬空間，但其目的似乎更多是要將《侵權責任法》第37條的規定擴張適用於網絡服務提供者，所提出的諸多理由並不能為違反這種安全保障義務後所應承擔責任的特殊性提供充分的指引。

關於第二點，《電子商務法》在保護對象上限定於消費者，那麼，能否認為，基於消費者身份的特殊性，可以改變《侵權責任法》第37條的責任規則，尤其是在涉及第三人因素介入時，可以改變「相應的補充責任」規則呢？答案似乎也是否定的。《消費者權益保護法》第48條規定「經營者對消費者未盡到安全保障義務，造成消費者損害的，應當承擔侵權責任」。很顯然，立法者無意在涉及消費者的相關問題上改變《侵權責任法》第37條的責任分配規則。如此類推，在保護對象同樣是消費者的電子商務領域，相關的責任分配規則也沒有對此加以背離的必要。惟須注意的是，《消費者權益保護法》第44條專門規定了平臺提供者的責任，包括第1款中的先行賠付責任和第2款「未採取必要措施」下的連帶責任。在《電子商務法》出臺之前，理論上甚至可以認為《消費者權益保護法》第18條的安全保障義務不適合擴展到網絡交易平臺，蓋後者不僅在主體範圍上並未提及網絡交易平臺，在責任承擔上也已經有了第48條的專門規定。而針對網絡交易平臺的相關責任，對比《消費者權益保護法》第44條和《電子商務法》第38條的規定，前者的第2款正好對應於後者的第1款表述，兩者的區別主要在於，前者規定了網絡交易平臺的先行賠付義務，而後者則規定了平臺經營者的審核義務和安全保障義務。需要指出，站在消費者保護的立場，承認平臺經營者可能同時負有先行賠付義務，本身並不會直接導致平臺經營者安全保障義務在責任構造上的變化。一則先行賠付義務本身就獨立於安全保障義務；二則很難將平臺提供者「不能提供銷售者或者服務者的真實名稱、地址和有效聯繫方式」理解為平臺經營者「對關係消費者生命健康的商品或者服務」未盡到安全保障義務。既然先行賠付義務的構成前提並不能納入《電子商務法》第38條第2款的規範事由，那麼，該款中「依法承擔相應的責任」，自然也無法包括先行賠付責任。

關於第三點，《電子商務法》第38條第2款對平臺經營者的安全保障義務所涉範圍有明確的限定，即「對關係消費者生命健康的商品或者服務」。那麼，這一點特殊性是否足以改變《侵權責任法》關於安全保障義務的一般規範邏輯呢？

就法律體系整體而言，特別法上有兩處規則提到涉及生命健康的商品或者服務，並均採用了連帶責任的規範構造。其一為《廣告法》第56條第2款。其二為《食品安全法》第131條第1款。需要注意的是，《廣告法》第45條規定：「公共場所的管理者或者電信業務經營者、網際網路信息服務提供者對其明知或者應知的利用其場所或者信息傳輸、發布平臺發送、發布違法廣告的，應當予以制止。」很顯然，在《廣告法》中，網際網路信息服務者的義務僅限於在明知或者應知的情形下對違法廣告應予以制止，即獨立於第56條對廣告經營者、廣告發布者、廣告代言人義務的規定。因此不能認為，對於關係消費者生命健康的商品或者服務，網際網路信息服務者應承擔與廣告經營者等同樣的連帶責任。既然在《廣告法》的規範體系中就並未對網際網路信息服務者課以連帶責任，故將該法第56條第2款比照適用於平臺經營者，顯然並不合適。另外，《食品安全法》第131條明確提到的網絡食品交易第三方平臺提供者的實名登記和審查許可證義務等，與《電子商務法》中規定的平臺經營者審核義務頗為相似。但即使將該條解釋為因食品「關係消費者生命健康」，結合《廣告法》的前述規範，也不能得出一般性的結論，即在食品領域之外只要「關係消費者生命健康」，平臺經營者都應該就安全保障義務的違反承擔連帶責任。

關於第四點，需要就《電子商務法》第38條第1款和第2款之間的關係作進一步說明。筆者認為，兩款規定之所以在構成要件和法律效果上存在諸多差異，主要原因在於，在法律制度設計的親緣關係上，第1款規定對應《侵權責任法》第36條關於網絡服務提供者責任的規範模板，而第2款規定則對應《侵權責任法》第37條安全保障義務的規範模板。因為平臺經營者一方面具有網絡服務提供者的身份，另一方面又具有平臺安全保障義務人的身份，如此就對同一個主體在兩個不同維度下的注意義務提出了不同的要求，並極大提升了法律適用上的複雜性。

仔細審讀《電子商務法》第38條第1款的規定可知，平臺經營者「採取必要措施」的前提，是其「知道或者應當知道平臺內經營者銷售的商品或者提供的服務不符合保障人身、財產安全的要求，或者有其他侵害消費者合法權益行為」。簡言之，平臺經營者「知道或者應當知道」的對象是平臺內經營者「有侵害消費者合法權益行為」。而其是否採取必要措施，則是一個在知道或者應當知道平臺內經營者「有」侵害消費者合法權益行為之後的判斷。那麼，是否可以認為，第38條第1款只是要求作為網絡服務提供者的平臺經營者提供一種在侵權發生之後須採取必要措施的「事後止損義務」？答案似乎也是否定的，蓋《電子商務法》第38條第1款對平臺經營者注意義務的要求從消極地「知道」後採取必要措施明確延展到了「應當知道」後採取必要措施。而為了評價平臺經營者是否「應當知道」平臺內的侵權行為，無疑會對平臺經營者的事先管控義務提出一定的行為要求。換言之，若平臺經營者僅僅具有消極的事後止損義務，又如何能評價其「應當知道」平臺內存在侵權行為呢？對此，釋義書認為，《電子商務法》第29條規定的是平臺經營者對平臺內經營者的經營活動所必須承擔的一般性的監控檢查責任，「這種責任不同於所謂的場所經營者的安全保障義務，應該是基於平臺的技術能力和條件的具體的監督管理責任」。如果進一步結合該法第13條的規定可以發現，第29條對平臺經營者的義務要求和第38條第1款規定頗為相似：「發現」包括事實上已經明知或者根據平臺的技術能力應該可以察覺這兩種情形。延續釋義書的理解，那麼，《電子商務法》第38條第2款的安全保障義務在內涵上似乎就更為清晰了。《電子商務法》並未規定平臺經營者作為經營場所經營者具有一般意義上的安全保障義務，而只在涉及「關係消費者的生命健康的商品或者服務」的情形下，才存在《侵權責任法》第37條公共場所管理人或群體性活動組織者類似意義上的安全保障義務。而基於消費者生命健康的重要性，邏輯上必須認為，這種安全保障義務在行為要求上顯然要高於平臺經營者一般性的監控檢查義務。

那麼，《電子商務法》第38條第2款中的安全保障義務，具體是一種怎樣的行為要求呢？對此，可以注意到，從第2款的行文表述上看，除了提到安全保障義務外，還並列地提到了平臺經營者對平臺內經營者資質資格的審核義務。關於審核義務，釋義書認為，是指「電子商務平臺經營者對進入平臺的經營者的資質、資格應當盡到審查、登記及定期核驗的義務。具體包括兩方面：一是對申請進入平臺的經營者相關資質、資格進行核驗、登記；二是對平臺內經營者的相關資質、資格定期審查核實」。書中還提到，「本法第27條規定電子商務平臺經營者應當對平臺內經營者的行政許可等進行登記並定期核驗，但是對於關係消費者生命健康的商品或者服務，對電子商務經營者規定更為嚴格的審查核實義務和相應的法律責任，能夠促使其積極履行審核義務，加強對平臺內相關經營者的管控，也更有利於對消費者權益的保護」。關於行政許可，法律要求設置行政許可的原因，既可能是因為該行為關係「消費者生命健康」，還可能是為了國家安全、公共安全、經濟宏觀調控、生態環境保護等目的。因此，如平臺經營者違反《電子商務法》第27條的規定，未能核驗和登記相關行政許可的真實信息，未必會當然地構成安全保障義務的違反。但另一方面也可以看出，對於關係消費者生命健康的商品或者服務，平臺經營者除了應該審核經營者的資質、資格外，還可能存在其他行政許可的積極審核義務。而這些其他的行政許可內容只要與保障消費者的生命健康相關，且平臺經營者未能進行有效的審核，其責任便可納入《電子商務法》第38條第2款的「未盡到安全保障義務」的調整範圍內進行確定。

除了對平臺內經營者資質資格之外其他關係消費者生命健康的行政許可材料應該主動進行審核外，平臺經營者是否還存在其他的安全保障義務內容呢？《電子商務法》第30條規定了平臺經營者的網絡安全與交易安全保障義務，尤其是第1款中規定了平臺經營者應當採取技術措施和其他必要措施保證其網絡安全、穩定運行，防範網絡違反犯罪活動，有效應對網絡安全事件，保障電子商務交易安全。在民事責任層面，如果因平臺經營者未盡到相應的網絡安全保障義務，給消費者的生命健康造成損害的，似乎也可納入《電子商務法》第38條第2款的調整範圍之內。另外，第36條規定了平臺經營者應對平臺內經營者違規行為的處置信息進行及時公示。在關係消費者生命健康的商品或者服務領域，這種處置信息的及時公示也應屬於平臺經營者的安全保障義務範疇。當然，除了《電子商務法》的規定外，還存在其他法律、行政法規對平臺經營者的安全保障義務的專門規定，如前述《食品安全法》第131條第1款的特別規定，此處不具體一一列舉。

理論上進一步需要追問的是，既然《電子商務法》第38條第2款的安全保障義務可能產生比第1款中的一般性監控檢查義務更高的行為要求，那麼違反這種義務是否也可以規定更高的責任？這樣的邏輯顯然在一般層面並不能成立，而完全可能得出相反的結論：正因為對其提出了更高的行為要求，所以對於違反此種義務後的責任配置，要不同於違反一般監控檢查義務下可能承擔的連帶責任。至於平臺經營者履行安全保障義務能力上的差異，除非涉及到反壟斷法或反不正當競爭法視域下的特別規定，則完全可以在評價其是否盡到了安全保障義務的過程中體現。在《侵權責任法》第37條的規範邏輯下，不同的公共場所的管理人或者群眾性活動的組織者，其安全保障義務的要求程度可以有不同的評價標準，但並不妨礙違反相關義務後承擔的均是「相應的補充責任」。因此，儘管《電子商務法》第38條在安全保障義務的內容構造上存在諸多特殊性，但這種特殊性無法得出其可以偏離《侵權責任法》第37條的責任配置的結論。

四、餘論

隨著《民法典》的生效和《侵權責任法》的廢除，《電子商務法》第38條所處的規範背景無疑也發生了諸多變化。比如，關於網絡服務提供者的責任，《民法典》第1194條至第1197條修改了《侵權責任法》第36條的規則，確立了網絡侵權中的「通知—轉通知」規則，而且將《侵權責任法》第36條第3款的「知道」修改為「知道或者應當知道」；又比如，在安全保障義務上，《民法典》第1198條修改了《侵權責任法》第37條的規則，在義務主體上增加了「機場、體育場館……等經營場所的經營者」，同時還明確了第三人介入情形下安全保障義務責任人向第三人追償的問題。但通過上文考察可知，《民法典》生效後帶來的規範框架的變化，並未改變在一般規範和特別規範的關係探究層面，《民法典》第1198條（前身是《侵權責任法》第37條）作為《電子商務法》第38條第2款平臺經營者安全保障義務一般規範的基本立場。當然，在具體操作層面，尚留存以下複雜問題有待學理和實踐作進一步的澄清。

如前所述，基於《侵權責任法》第37條第2款的規定，平臺經營者在第三人因素介入的情形下，也應就其違反安全保障義務的行為承擔相應的補充責任。但究竟該如何理解「相應的補充責任」，以及承擔此種責任後，平臺經營者能否向第三人追償，這些問題顯然還存在繼續探討的空間。事實上，也應注意到，圍繞該條第2款補充責任的規則，學界提出了不同的批評或建構意見。在筆者看來，之所以存在諸多爭議，根本原因在於不作為侵權在因果關係認定上的高度複雜性。而無論採取前述何種解釋方案，前提和基礎依然是對《侵權責任法》第37條既有一般規則的解釋。換句話說，在《民法典》依然保留了「相應的補充責任」的規範背景下，完全脫離《民法典》第1198條第2款的規定而尋求其他規範基礎（比如回到過錯侵權的一般規定）的解釋方案值得商榷。至於平臺通過合同約定的方式來改變相應的安全保障義務內容和責任承擔方式，則不在本文探討的範圍之內。

另一個問題是，平臺經營者在違反安全保障義務的情形下，是否還存在適用懲罰性賠償制度的可能？從《消費者權益保護法》的表述來看，這裡的「經營者明知商品或者服務存在缺陷」，似乎指向的是經營者自身所提供的商品或者服務，而平臺經營者即使明知平臺內經營者提供的商品或者服務存在缺陷而未採取必要措施，最多只會引向《電子商務法》第38條，並無適用懲罰性賠償之空間。但如果把《消費者權益保護法》第55條第2款所說的「服務」理解為也包括平臺經營者所提供的平臺服務，那麼，該條文其實還存在另一種解讀的可能性，即平臺經營者明知其「平臺服務」存在「安全保障」上的缺陷，「仍然向消費者提供，造成消費者或者其他受害人死亡或者健康嚴重損害的」，如此似乎又有適用懲罰性賠償制度的可能。但這樣的解讀是否真的符合立法本意，是否會導致懲罰性賠償制度的進一步泛化，這都有待未來實踐加以檢驗了。