根据CNNIC第16次中国互联网络发展状况统计报告,有26.9%的用户认为目前网上交易所面临的最大问题在于网络的安全性得不到保障。和几乎所有安全问题一样,网络安全涉及许多技术问题。但技术本身是不可能解决所有安全问题的。因此,我们仍有必要探讨其中涉及的法律关系和责任分担规则。在此,本文不准备讨论对所有与网络注册中的个人信息安全问题,而只将讨论的焦点集中于“帐号”和“密码”两类信息被盗时所涉及的法律关系。
盗取网络注册信息的密码和帐号侵犯了他人哪些权利?
首先需要区分的是:被窃取的是密码还是帐号,从法律关系上看,二者存在很大的差别;其次,对不同种类的帐号被窃所牵涉的法律关系也可能完全不同。
(一)窃取他人注册在网站上的密码的行为本身,构成对他人隐私权的侵害。
所谓隐私权,包括三方面的要件:
(1)属于个人的特定资料;
(2)该资料的拥有者不希望该资料被披露;
(3)该资料的不披露不会造成对社会公共秩序的妨害。
可以发现,无论在哪一种网站注册程序中所设定的密码都符合上述要件,属于隐私权的客体。所以,行为人只要是未经允许窃取了网络注册信息中的密码——即使没有利用该密码作出任何行为,都构成对密码拥有者隐私权的侵害。
(二)窃取他人密码的行为往往是一种手段性的行为。
窃取密码的目的可能是为了贬损他人的名誉,也可能是为了非法占有或取得他人的财产,还可能是为了无偿使用许可给被报窃取人的知识产权(例如盗窃网络游戏帐号在本质上就属于这一类——有人认为虚拟财产是物权,是不正确的),甚至有可能仅仅为了通过密码冒充被窃人以刺探隐私。在窃取帐号以后,行为人可能会进一步为其它行为(如假冒帐号的主人发布交易信息),那么在这种情况下,就要根据其进一步的行为来判断:窃取人是否还侵犯了其它的权利。
(三)和密码不同,获取他人网络注册帐号的行为本身,则有可能构成侵权,也可能不构成侵权。
之所以不同种类的帐号有不同的法律关系,是因为有的帐号(例如银行卡的卡号)属于个人的隐私,而有的帐号(例如在电子商务中的昵称)则不属于个人的隐私。对于后一种帐号,本身就不存在窃取的问题。因此就更谈不上侵权了。
密码或帐号被盗造成的损失谁来负责?
首先,对密码帐号被盗所造成的损失(无论是用户的还是交易相对方的),其主要责任都当然应由窃取密码的行为人来承担。只是因为互联网十分复杂,要确定是谁窃取了密码或帐号相对困难,在很多时候甚至无法找到究竟“偷盗”者是谁,所以我们需要分析与被窃密码(帐号)相关的其他主体可能承担的责任。
其次,偷盗者之外究竟由谁来承担附带的责任也不能一概而论,而要根据密码和帐号被盗的原因来分析。如果经营电子商务平台的网站在自己保存密码和帐号资料的工作中,没有尽到忠诚勤勉的义务,导致网站所保存的用户数据库资料被窃取,进而造成用户的损失,那么当然要承担责任。
但是,如果是由于用户自己保管密码不善,导致密码泄露,那电子商务交易平台提供商就不承担责任。所谓用户自己保管密码不善,是指用户没有尽到一般正常人的保管密码的注意。例如对用于上网交易的计算机进行基本的软硬件防病毒保护等等。
如果用户已经尽到了一般正常的注意义务,仍然无法避免自己的密码被他人窃取(例如出现新型种类的木马病毒而一般的杀毒软件无法查杀等),那么这个时候就可以免除用户对窃取密码者以其之名给他人造成的损害的责任。
最后,值得注意的是,用户在发现自己的密码被窃取后,承担有立即通知服务商的义务,如果有证据证明用户已经发现自己密码被窃取,却没有立即通知服务商,则即使其密码被窃取是一般正常下无法防范的,仍然要承担责任。与此同时,在服务商方面,接到用户的通知后,也应当及时将该帐号予以冻结,并采取措施消除窃取人发布的交易信息所造成的影响。如果服务商怠于履行这一补救义务,则也要承担相应的责任。
出现密码和帐号被盗的情况,对电子商务的发展会产生哪些影响?
从宏观上讲,不会有大的影响。这就如同自从有了汽车就有了偷车贼,但偷车贼并没有阻碍以汽车为代表的20世纪交通领域的革命一样。“电子商务”本身是一个过渡性的词汇,从大的方向上看,通过数据电文传递信息、达成契约并进而完成交易将肯定成为未来的主要合同签订和履行形式。不过,密码被盗用事件的不断出现,将促使参与电子商务的各方重视信息网络安全问题,通过技术和法律的多重手段确保交易安全。这与交通事故频发使汽车的安全技术和交通安全法律不断进步是一个道理。
现有法律对电子商务行为及其运行环境所进行规范?有哪些不完善的地方?
目前中国对电子商务行为及其运行环境进行规范的法律主要是2005年4月1日生效的《中华人民共和国电子签名法》,该法规定了电子签名的定义、申明了数据电文的可证据性,并具体规定了数据电文成为有效证据的要件。此外,还有一些部门规章涉及到电子商务行为。
说到不完善的地方,我认为主要的问题还不在立法条文,而在于立法的指导思想。至今国内还没有对电子商务过程中的交易安全、交易习惯等问题进行深入的调查。以《电子签名法》为例,整个草案存在偏重于行政责任的确定,对由于使用电子签名而产生的民事关系规范较少。此外,技术特定主义仍然影响着立法,不能在立法中按照某一种特定技术的特征来确定数据电文的证明力。
第三方网上支付平台的出现,能够在技术层面,部分保证网上交易的可靠性。它在一定程度上起到了防范风险的作用。而事实上,例如“支付宝”这种以提供C2C交易的网络服务商的信用来减少买卖双方的风险而言;其本身的商业信用担保本身是有限的,往往只能在小额零单贸易中起到一定的作用。
网民通过互联网进行交易,应选用性能稳定的非公共上网计算机,减少密码被窃取的可能性。此外还应注意将用于交易的网上银行帐户和自己的其它帐户分开,仅在其中留存近期交易所需的小额资金。
值得强调的是,单纯使用技术手段是不可能“保证”网上支付安全的,这是因为,即使有最先进的加密技术,用户密码仍然可能因为保管不当而被别人获取。一旦发现自己的密码被窃,应当尽快通知提供网上银行或交易平台的服务商,要求他们立即采取措施减少损失。同时还应咨询有相关经验的律师,采取各种方式保留和固定证据。