追究互联网服务提供商的责任外文翻译资料

追究互联网服务提供商的责任

道格·利希特曼和埃里克·波斯纳

如今，互联网服务提供商在很大程度上免除了他们在蠕虫、病毒和其他形式的恶意计算机代码的创建和传播中所扮演的角色的责任。在这篇文章中，我们质疑这种事态。我们的目的不是权衡细节——例如，责任应该听起来是疏忽还是严格责任，或者在这种情况下，责任最好通过成文法还是通过逐渐发展的普通法来实施。相反，我们的目标是挑战法院和国会最近的趋势，使互联网服务提供商不再承担责任并转向完全豁免。在我们看来，这种豁免很难以政策为由辩护，而且与传统的侵权法原则严重不一致。互联网服务提供商控制互联网害虫进入和重新进入公共网络的大门。因此，服务提供商不仅应对阻止恶意代码承担一定的责任，还应对帮助识别发起恶意代码的个人承担一定的责任。

一、引言

计算机病毒及其相关株系对许多个体和个体造成了巨大的损失，国家政府已经对这个问题做出了回应，限制和阻止那些创造和传播互联网的人。例如，联邦调查局和国土安全部都为打击网络犯罪分配了大量资源；国会已经通过了许多旨在针对制造互联网病毒和其他形式的恶意计算机代码的麻烦制造者的刑事法规。政府在这些方面的努力也因私人团体的行动而得到加强。例如，微软为任何导致逮捕和定罪的信息提供现金奖励，尤其是破坏性互联网攻击的责任人，许多计算机爱好者自愿帮助追踪互联网恶作剧的来源。

这些策略显然有可能减少网络不安全造成的伤害总量；然而，我们怀疑针对互联网恶作剧者的直接干预是否足以应对。我们担心的是，网络犯罪的肇事者往往超出法律的有效范围，因为这些人几乎无法追踪，而且即使被识别出来，这些人通常也缺乏必要的资源来支付他们造成的损害。因此，在本文中，我们加入了越来越多的法律评论员的行列，他们认为直接干预的尝试必须辅以将互联网服务提供商(ISP)纳入责任链的法律规则。具体而言，当其订户发起恶意互联网代码时，ISP 应在一定程度上承担责任，而当其订户通过电子邮件转发病毒或采取宽松的安全预防措施等方式传播恶意代码时，ISP也应承担一定的责任。反过来又允许恶意用户选择。

这听起来可能很苛刻。但是，在这种情况下，要求一方对另一方的错误承担责任的规则是标准的法律反应，如这里，如果直接适用于一类不良行为者，责任将是可以预见的无效，但存在一类相关方能够控制那些不良行为者或减轻他们造成的损害。换句话说，虽然间接责任有多种形式和形式——严格责任和疏忽；明确的法定条款和更灵活的普通法标准；等等——这是常态，我们看不出有任何理由为什么与网络安全相关的法律规则应该成为管理整个离线世界结构相同交互的规则模式的例外。

诚然，我们的立场与最近的法律趋势背道而驰。例如，在 1996 年《通信规范法》第 230 节中，国会宣布“交互式计算机服务”的提供者在许多方面不得被视为“另一信息内容提供者提供的任何信息的发布者或发言人”。免除互联网服务提供商对业务合作伙伴或客户提供但由服务本身传播的诽谤内容的责任。同样，1998 年的《数字千年版权法》严格限制了服务提供商在服务提供商仅充当有罪材料的渠道的情况下的版权侵权责任，并且该法规更广泛地限制了在服务提供商不知道的情况下的责任关于侵权活动，不知道从哪些事实或情况可以看出该活动是显而易见的，没有从侵权中获得直接经济利益，并根据法定准则采取行动，迅速禁止访问相关材料。解释这些条文的法院强化了 ISP 责任的明显趋势，其中包括解释这些法规来优先于州法律，否则这些法律会鼓励互联网服务提供商采取适当的注意

话又说回来，也许这些趋势并不像最初出现的那样片面。我们支持服务提供商责任的论点主要基于这样一种观点，即 ISP 有能力减少在线不良行为的数量和严重程度；即使在上述豁免和安全港法规中，这种直觉也得到了支持。因此，例如，虽然《通信规范法》确实消除了传输不雅或诽谤内容的间接责任的幽灵，但该法案还鼓励互联网服务提供商通过自愿的私人行动解决不当内容。为此，一项条款免除服务提供者对“出于善意自愿采取的任何行动来限制提供者或用户认为淫秽、猥亵、淫荡、肮脏、过度暴力、骚扰或否则令人反感，无论此类材料是否受宪法保护。”在同一主题上，不仅《数字千年版权法》规定的大部分豁免取决于服务提供商迅速删除可能与侵权相关的内容的努力，而且与《通信规范法》一样，《数字千年版权法》也保护服务“基于服务提供商的善意禁止访问或移除声称侵权的材料或活动或基于侵权活动显而易见的事实或情况的任何索赔，无论该材料或活动是否最终确定侵权。

无论如何，我们的观点既不是关于实在法状态的争论，也不是试图推测国会意图。我们的观点很简单，面对日益严重的网络不安全问题，应该呼吁 ISP 为法律服务。就像责任威胁对酒吧和餐馆的所有者施加压力一样，他们要注意其场所内可能发生的任何版权侵权行为；”而替代责任的普通法原则要求雇主监督、培训和以其他方式对其实施控制。其员工的行为；应使用普通法侵权责任或更仔细定制的联邦法规来鼓励 ISP 尽其所能应对网络蠕虫、病毒、拒绝服务攻击等。服务提供商通过以下方式控制网关哪些 Internet 有害生物进入和重新进入系统。因此，服务提供商可以帮助在这些有害生物传播之前阻止它们，并首先识别制造恶意代码的个人。法律应要求 ISP 参与这些预防措施。

我们预计会有两个主要反对意见。第一个——也是整个文献中反复出现的一个担忧——是责任会导致互联网服务提供商反应过度。正如 Neal Katyal 指出的那样，“因为 ISP 从提供对有风险的用户的访问中获得的效用很小，因此将 ISP 对其用户的行为承担责任的法律制度将很快导致 ISP 从其系统中清除有风险的行为。 Assaf Hamdani 同样担心 ISP 会低效地排除一些用户，因为“ISP 没有捕捉到他们被委托进行监管的行为的全部价值。”在我们看来，这些论点是错误的，就像在每个销售商品的市场中一样。接近边际成本，相关卖家从销售中“获得的效用很小”；并且在市场价格低于客户支付意愿的每个市场中，相关卖家“没有获得买家购买的全部价值”。问题关于互联网访问，并不是 ISP 没有获得销售的全部价值，而是订户创造了广告商、信息提供商、商家、朋友和熟人，因此订阅者的支付意愿低估了新订阅者上线时所创造的社会价值。”以这种方式重新构建，很明显这是一个标准问题 - 在许多市场中存在大量正外部性 - 并且正确的回应不是减少照顾的动机。毕竟，餐馆通过吸引人群进而光顾邻近企业并刺激当地经济来创造正外部性，但没有人建议地方当局应停止执行健康法规；这种反应只会把客户赶走。出于类似的原因，减少 ISP 的责任是没有吸引力的。正如我们将在下面更详细地解释的那样，正确的反应是税收减免或其他补贴，鼓励边缘用户保持在线，即使服务成本上升。

第二个反对意见在《通信规范法》第 230 条的序言中得到回应，其中国会指出，免除 ISP 的责任将具有鼓励“开发能够最大限度地控制用户接收信息的技术”的间接影响，以及还“开发和利用阻止和过滤技术”，这同样可能使互联网用户能够阻止不需要的消息。反对意见是，允许 ISP 逃避将增加订户进行自卫的动力，并因此鼓励独立公司介入并提供病毒防护软件和防火墙等技术解决方案。这都是真的，但是，正如我们将在下面讨论的，逻辑含义并不是对 ISP 的完全豁免。相反，应该根据这种基于市场的自助的可能性来定制责任，目的是鼓励服务提供商采取他们可以最有效地提供的预防措施，同时将任何剩余的预防措施留给其他市场参与者。这又是一个标准场景。行人过马路时可注意谨慎。他们也可以呆在家里而不是在马路附近冒险，他们可以穿着不合时宜的明亮服装，以增加在夜间或恶劣天气下被看到的几率。然而，这些简单的事实并没有导致任何人认为，因为行人可以采取自己的预防措施，汽车司机应该免于侵权责任。同样的直觉在这里也适用。多方可以对恶意计算机代码采取预防措施这一事实可能会支持某种形式的平衡责任制度，让订阅者和 ISP 都需要小心谨慎，但这一事实绝不支持 ISP 完全豁免。 ISP 可以而且应该采取一些预防措施，将网络安全的全部成本转移到 Internet 订户身上会低效地降低每个 ISP 采取这些措施的动机。

现在谈谈我们的术语。我们不需要对术语“互联网服务提供商”进行正式定义，以了解这些是为个人和机构订户提供互联网访问权限的实体的基本概念。与该访问相关的精确功能无关紧要。一些 ISP 为其订户提供电子邮件服务、新闻、存储空间甚至游戏。其他 ISP 只是接收数据，将这些数据转换为与 TCP/IP 协议一致的形式，然后将结果转发给独立的计算机，然后这些计算机提供更丰富的服务和相互作用。然而，出于我们的目的，所有这些实体都被视为“互联网服务提供商”，因为每个实体都控制驻留在私有计算机网络上的信息首先与公共网络接触的点。因此——考虑到行业变化的步伐，SBC 是一家互联网服务提供商，就像美国在线、Road Runner 和 RCN 一样，因此——也许这些很快会给读者带来历史参考。

我们同样认为没有必要为计算机蠕虫、计算机病毒、拒绝服务攻击甚至软件特洛伊木马等概念采用技术定义。对我们来说，这些作为在互联网上传播的任何类别的恶意计算机代码的 mer 占位符，使用或干扰私人拥有的计算机设备，并且以相关私人方未对该使用给予知情同意的方式进行或干扰。除此之外的细节——虽然肯定与了解可用于对抗害虫的具体步骤有关——对我们提出的法律论点没有影响。

我们的讨论分为五个部分。第二部分总结了间接责任的传统经济账户，并将这些教导应用于互联网服务提供商的具体案例。第三部分更详细地考虑了上面概述的两个主要反对意见，即： (1) 有责任的 ISP 会过于谨慎，从而低效地排除边缘用户； (2) 这种责任会降低用户进行有效自助的积极性。第四部分质疑最近的几项法院判决，这些判决似乎不必要地不愿让 ISP 对其订户的不良行为负责。最后，第五部分对我们分析的局限性进行了一些评论，以及我们的讨论与在线版权侵权背景下 ISP 责任的可比讨论有何不同。

二、间接责任理论

A. 标准模型

间接责任据说是在法律规定一方因另一方的错误而承担责任的情况下附加的。一个熟悉的环境是雇佣关系，在这种情况下，雇主可以对其雇员在工作中犯下的侵权行为承担责任。但其他例子比比皆是。当酒保向顾客提供酒精饮料时，酒吧有时会承担责任，而顾客后来在酒后驾车时伤害了他人。如果车主借车的司机最终导致事故，机动车所有人可能会被追究责任。如果房东对犯罪活动采取了不充分的预防措施，而这些犯罪活动反过来又会伤害租户，他们有时就会陷入困境。如果商家使用商场场所销售假冒或灰色市场商品，商场所有者可能需要承担责任。即使是产品责任法也有同样的基本结构：购买者可能会因疏忽使用汽车等危险产品而对第三方造成伤害；如果受害者能够证明如果制造商雇用了一名制造商就不会发生事故更好的设计，受害者可能能够向制造商而不是（或除了）买方追偿。

传统的经济分析表明，当同时满足两个条件时，不需要明确规定施加间接责任的规则：首先，相关的直接行为者受法律的有效影响，我们指的是雇员、司机和商人在我们前面的例子中讨论的很容易识别并且拥有足以支付任何损害的资产；第二，交易成本如此之高，以至于那些直接参与者可以使用合同法将责任转移给任何一方，否则可能会间接责任的有吸引力的目标 直觉是，当满足这些条件时，各方可以通过合同创建间接责任，并且——尽管受到一些二阶约束——将在效率高的情况下这样做。

要看到这一点，请更详细地考虑就业环境。如果送货车的司机本人很容易识别，而且司机有足够的资源来支付在发生事故时可能造成的任何伤害，那么就没有强有力的论据要求相关零售商承担责任。无论法律规则如何，司机和零售商都将通过他们的雇佣合同有效地分配责任。因此，如果最优规则要求零售商有义务每天早上检查每辆送货车，或者随机测试员工是否滥用药物和酒精，那么司机和零售商将通过合同同意这些期望的监控活动。与驾驶卡车对他人造成不可避免的伤害风险类似，司机要么通过赔偿条款将该风险转移给雇主，要么承担该风险并要求更高的工资补偿。这种情况下的法律规则只是默认；在交易成本低且员工有足够资源的情况下，合同允许私人方有效地转移和划分法律责任。

当上述任一条件不成立时，情况就会发生变化。例如，如果司机和零售商之间很容易谈判合同，但司机自己缺乏必要的资源来支付他可能造成的伤害，那么间接责任的缺失会诱使零售商将侵权责任留给零售商。司机，本质上利用司机的经济限制作为法律责任的上限 同样，在可能签订合同但无法确定疏忽员工的身份的情况下——例如，目击者报告说一辆联邦快递面包车撞到了行人，但没有人看到司机——再次没有间接责任将作为侵权责任的事实上的上限，使司机处于他不会对其事故承担全部责任的位置，从而导致零售商和司机一起采取次优的照顾。如果司机有足够的资源，但当事人不能有效地订立合同，法律规则显然也很重要，这一次，因为无法订立合同，当事人就不可能将责任转移给更便宜的成本规避者。

因此，有趣的案例是相关的不良行为者超出法律范围或交易成本使通过合同重新分配变得不可信的案例。对于这些情况，经济分析确定了两个额外的考虑因素：首先，在一方有能力发现或阻止另一方的不良行为的情况下，间接责任可能具有吸引力；其次，在责任可能会影响另一方的不良行为的情况下，间接责任可能具有吸引力。有助于鼓励一方将一些与其活动不可避免地相关的显着负外部性内化。

从第一个考虑开始：如果潜在责任方能够很好地发现和阻止不良行为，那么间接责任可能特别有吸引力。例如，这是雇主对其雇员所犯的侵权行为负责的主要原因之一。雇主可以控制他的雇员。他可以监控他们的行为，在将危险设备委托给他们之前对他们进行筛选，制定鼓励他们谨慎行事的补偿计划，并以其他方式对他们的工作决策产生有益的影响。间接责任的前景迫使雇主利用这些机制，并以此方式将事故的预期成本降至最低。现在无可否认，雇主责任通常是严格的，也就是说——尽管我们刚刚说过——责任并不取决于特定的法院裁定相关雇主应该采取额外的预防措施，因为所涉及的特定事故。然而，从逻辑上看，更详细的调查可能会被证明过于繁琐，因此法律在追究雇主责任方面是错误的。从本质上讲，本申请中的严格责任假定雇主应该采取不同的

剩余内容已隐藏，支付完成后下载完整资料

外文文献出处：

附外文文献原文

Holding Internet Service Providers Accountable

Doug Lichtman and Eric Posner

Internet service providers are today largely immune from liability for their role in the creation and propagation of worms, viruses, and other forms of malicious computer code. In this essay, we question that state of affairs. Om purpose is not to weigh in on the details—for example, whether liability should sound in negligence or strict liability, or whether liability is in this instance best implemented by statute or via gradual common law development. Rather, our aim is to challenge the recent trend in the courts and Congress away from liability and toward complete immunity for Internet service providers. In our view, such immunity is difficult to defend on policy grounds and sharply inconsistent with conventional tort law principles. Internet service providers control the gateway through which Internet pests enter and reenter the public network. Service providers should therefore bear some responsibility not only for stopping malicious code, but also for helping to identify individuals who originate it.

I. INTRODUCTION

Computer viruses and related strains of Internet contagion impose a significant cost on the many individuals and entities that rely on Internet access for commerce, research, and communication. The United States government has responded to this problem with efforts to identify and deter those who create and propagate Internet pests. Thus, for example, both the Federal Bureau of Investigation and the Department of Homeland Security allocate substantial resources to the battle against cyber-crime； and Congress has passed a number of criminal statutes designed to target the troublemakers who create Internet viruses and other forms of malicious computer code. Government efforts along these lines have been augmented by the actions of private parties as well. Microsoft, for example, has offered cash rewards for any information leading to the arrest and conviction of those responsible for particularly disruptive Internet attacks, and many computer hobbyists volunteer to help trace the sources of Internet mischief.

These tactics obviously have the potential to reduce the total amount of harm caused by cyber-insecurity； however, we doubt that direct intervention aimed at perpetrators of Internet mischief can be a sufficient response. Our concern is that the perpetrators of cybercrime are too often beyond the effective reach of law both because these individuals are almost impossible to track, and because, even when identified, these individuals usually lack the resources necessary to pay for the damage they cause. Thus, in this essay we join a growing chorus of legal commentators in arguing that attempts at direct intervention must be supplemented by a legal rule that brings Internet service providers (ISPs) into the chain of responsibility Specifically ISPs should to some degree be held accountable when their subscribers originate malicious Internet code, and ISPs should also to some degree be held accountable when their subscribers propagate malicious code by for example, forwarding a virus over email or adopting lax security precautions that in turn allow a computer to be coopted by a malevolent user.

This might sound harsh. But rules that hold one party liable for wrongs committed by another are the standard legal response in situations where, as here, liability will be predictably ineffective if directly applied to a class of bad actors and yet there exists a class of related parties capable of either controlling those bad actors or mitigating the damage they cause. Phrased another way while indirect liability comes in a wide variety of flavors and forms—strict liability and negligence； explicit statutory provisions and also more flexible common law standards；and so on—it is the norm, and we do not see any reason why legal rules associated with cyber-security should be an exception to the pattern of rules that govern structurally identical interactions throughout the offline world.

Our position admittedly runs counter to recent legal trends. In section 230 of the Communications Decency Act of 1996, for example, Congress announced that a provider of interactive computer ser- vice〃 is not to be treated as “the publisher or speaker of any information provided by another information content provider”， in many ways immunizing Internet service providers from liability for defamatory content that is provided by business partners or customers but disseminated by the service itself. Similarly the Digital Millennium Copyright Act of 1998 sharply limits a service providers liability for copyright infringement in cases where the service provider merely acts as a conduit for the incriminating material, and that statute more broadly limits liability in instances where the service provider did not know about the infringing activity was not aware of facts or circumstances from which the activity would be apparent, did not receive a direct financial benefit from the infringement, and acts in accordance with statutory guidelines to expeditiously disable access to the material in question. Courts interpreting these provisions have reinforced this apparent trend away from ISP liability by among other things, interpreting these statutes to preempt state laws that would otherwise have encouraged ISPs to take due care.

Then again, maybe these trends are not as one-sided as they at first appear. Our argument in favor of service provider liability is primarily based on the notion that ISPs are in a good position to reduce the number and severity of bad acts online； and that intuition finds support even within the aforementioned immunity and safe harbor statutes. So, for example, while the Communications Decency Act does remove the specter of indirect liability for the transmission of indecent or defamatory content, the act also encourag

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[596739]，资料为PDF文档或Word文档，PDF文档可免费转换为Word