法律如何帮助被骗的“徐玉玉们”？

举国关注的徐玉玉被诈骗一案，传来消息，已有四名犯罪嫌疑人被抓获，另有两人被公安部通缉。以这一案件所引发的舆论高度一致的愤怒来看，基于信息系统漏洞的电信网络诈骗极其猖獗，而其中有幸得到大力侦查、快速追赃的，则是凤毛麟角。不少受害人被迫“打掉牙往肚子里咽”，以“金额不大再赚回来”、“花钱买教训”、“不会再被骗第二次”等说辞自嘲了事。但是，这一案子表明，一时的隐忍并不能把问题消灭，对法律的不信任、受嘲感正在蔓延；谁都无法预料到身边最亲近的人，会不会就是明天的王玉玉、李玉玉；并且，这种信任的缺失，实质上,是国家制度资本供给的缺位，造成了阻碍创新、遏制交易的负面激励，将为愈来愈倚靠互联网进行效率与规模提升的中国经济，造成严重后果。

笔者恰巧于2016年5月在京遭遇一起网络诈骗，案件至今未侦破，笔者起诉网络接入服务商与域名所有权人侵权的诉讼，目前还在海淀法院审理中。基于亲身经历，笔者对徐玉玉那撕心裂肺的痛楚深感理解与同情，深知诈骗犯罪绝非受骗者的智商或经验加以提升就能抵御，尤其是以诈骗为生的专业骗子，其对人性弱点的掌控与双簧演技之逼真，绝非一般人能完全防御。预防网络电信诈骗的教育固然重要，但更重要的是加强制度供给，在严惩骗子的同时，让城市信息系统安全相关法律法规运转起来，使得强势的相关方权责利对等起来。

否则，当拥有善意的信任不再是一种美德，当舆论总是嘲笑不幸被杀害的受害者没有练好防身术时，这个社会也就离失败不远了。

依据笔者的研究，目前城市信息系统安全相关法律法规之所以难以运转、电信网络诈骗受害人权利之所以难以得到救济，主要因素有如下几个。

一、相关侵权行为的归责原则不当。

电信网络诈骗实质是侵犯公民财产权，而泄露倒卖公民个人身份信息侵犯了公民的隐私权；通过贩卖信息、提供电信网络接入等技术服务，帮助骗子行骗的，很可能构成共同侵权，甚至构成共同犯罪。侵权责任的一般归责原则是过错责任原则，少部分法律明示列举的行为承担过错推定或者无过错责任，如校园伤害、医疗纠纷、窨井跌落、高空坠物事故等。

2010年7月《侵权责任法》开始实施时，我国尚未提出“互联网+”战略，“信息腐败”不如当前多见，电信网络诈骗尚未成为社会一大公害，故未将此类侵权列为过错推定责任或无过错责任。但随着社会的发展，我们发现，这愈来愈导致权责利不对等：电信网络服务提供者从提供信息服务中大量获利，如170/171骗子专用号段、帮助群发诈骗短信、设立诈骗钓鱼网站等，但没有履行相对应的义务（这包括行政法上的规定、行业标准与生活常理等），一旦发生问题，很容易脱身，把责任统统推给信源（即信息上载者），陷入“帮助骗子越多、获利越大、风险几乎为零”的怪圈，聚集了大量道德风险。

那么为什么民法上的救济比较困难呢？主要原因在于上面所说的归责原则：按照过错责任原则，须证明对方有过错方可归责，证明有过错的举证责任在受害人一方。但正如我们从新闻中所看到的，受害人往往都明显处于弱势位置，取证与诉讼事务都需耗费大量资源，并且该类案件的证据类型往往都是电子数据，存在不稳定易灭失的问题，往往需要公证，动辄需要耗费上千元的公证费，可能比一次诈骗本身的案值还高，更何况，他们对电信网络技术及相关监管法规并不熟悉。这就使得“徐玉玉们”陷入了维权怪圈。

同时，我国民法上对此类侵权行为应承担的责任未有明确规定，仅在《侵权责任法》第36条第三款规定“网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任”，此条款经常被援引用来保护名誉权、隐私权或著作权。

面对信息系统安全堪忧与电信网络诈骗频发的境况，《侵权责任法》显然严重落后于社会现实，如援用上述条款，那么便不恰当地加重了信宿（即信息接收者）的举证义务，减损了信道（即网络服务提供者）的义务——网络服务提供者借此牟利，并且只需假装“不知道”，即可免责？而受害人却要以一己之力多方搜集证据，去证明网络服务者确实“知道”用户利用其网络服务侵权？而此类证据大多存储在网络服务提供者内部服务器上，易于删改，非有专业技术能力与公法赋予的调查权则极难调取，受害人大多因举证不能而落败，如是则难见民法之公平原则。

二、民事法律与行政、刑事法律相脱节。

2014年，随着中央网络安全和信息化领导小组成立，国家网信办的工作迈上了新的台阶，大量与互联网安全相关的行政法规和规章在这之后陆续发布；工信部部门规章《电话用户真实身份信息登记规定》也自2013年9月1日起实施，要求所有电话用户实名登记。这本来可以给电信网络服务提供者的过错认定提供依据，但未见民法的立法与审判与之呼应。

例如：国务院《互联网信息服务管理办法》规定“未取得许可或者未履行备案手续的，不得从事互联网信息服务”——这就给查明适格被告提供了基础条件：骗子可以躲在幕后，违规操作的信息服务提供者可不好跑掉。同时，工信部部门规章《非经营性互联网信息服务备案管理办法》强制要求非经ICP备案不得开展网络信息服务。第18、19条规定了信息服务提供者的义务：“不得为未经备案的组织或者个人从事非经营性互联网信息服务提供互联网接入服务……应当记录其接入的非经营性互联网信息服务提供者的备案信息……做好用户信息动态管理、记录留存、有害信息报告等网络信息安全管理工作，根据信息产业部和省通信管理局的要求对所接入用户进行监督。”但《办法》的出台并未明确违反行政法规与部门规章所实施的侵权行为，应当承担什么样的民事责任。

2015年年末施行的《刑法修正案（九）》更进一步，直接设立了网络服务提供者不履行管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪三大罪名，法定最高刑均为三年有期徒刑。由是，信息服务提供者不履行法律、行政法规规定的信息网络安全管理义务，致使违法信息大量传播、致使用户信息泄露或致使刑事案件证据灭失的，均可能承担刑事责任。再则，设立用于实施诈骗等违法犯罪活动的网站、通讯群组，为实施诈骗等违法犯罪活动发布信息、提供技术支持或者广告推广、支付结算等帮助的行为，均可能构成犯罪。目前，可公开查到的有8例非法利用信息网络罪、1例帮助信息网络犯罪活动罪的有罪判决，但所判刑期大部分仅为几个月至一年零几个月，与违法收益、社会危害性等往往不成比例。

上述法律法规的目的，是预防违法犯罪信息借助互联网渠道传播，保护信赖利益、促进交易。在这种法律环境下，一般人出于善意及交易习惯，有理由相信自己在国内能够登录的网站，本应是经过合法审查及备案，且能够追溯到用户的身份信息及相关登录位置等资料。但民法未对这些（行政/刑事）法律义务及违背这些义务造成损害的侵权责任作出明确规定。刑法新增罪名主观方面均需为故意，而民事侵权中的过错则包括了故意或过失，更有利于保护受害人合法权益。造成疏漏的缘由，是因为就信息系统安全问题，互联网信息服务提供者所处位置，与其他相关方是不平等的——（1）前者明显处于信息、知识、证据、审查能力、控制能力的强势地位；（2）互联网环境具有开放的公共空间的特性，面对的经常是不特定公众，是公私结合的领域，故而信息服务提供者具有一定公共管理的义务。某种意义上，调整平等主体之间关系的民法有些力不从心了，似应采用类似劳动法、消费者权益保护法这样社会法的思维，来看待信息系统安全问题，以便作出适当倾斜，有力保护弱者。

三、对行政不作为的救济存在诸多障碍。

徐玉玉之死能引发如此关注并引得案件快侦快破，恰恰说明了常日里网络电信诈骗经常处于无人监管的状态。笔者自身遭遇的诈骗案件，公安机关态度亦比较消极，经过多番投诉后，方予立案，立案后怠于侦查，骗子所用账户与开设网站至今仍可正常使用。

可以看到，信息安全问题频发与通信管理部门怠于监管、某些地方的公安部门不依法履行法定职责密切相关，这种纵容使得犯罪分子愈发有恃无恐，民众对有关部门信任度下降。

根据新修订的《行政诉讼法》，行政诉讼的受案范围包括“申请行政机关履行保护人身权、财产权等合法权益的法定职责，行政机关拒绝履行或者不予答复的”。又，根据最高法《关于行政诉讼证据若干问题的规定》第4条：“在起诉被告不作为的案件中，原告应当提供其在行政程序中曾经提出申请的证据材料。但有下列情形的除外：（一）被告应当依职权主动履行法定职责的……”所以问题在于，针对不履行法定职责的行政诉讼，往往需要以当事人的请求为前提，电信网络安全问题的特点是随机性、多发性：可能今天A（诈骗未遂的受害人）收到B（骗子）发的诈骗信息，向C（通管局等监管者）提交举报，明天D（受害人）被B成功诈骗，但D难以知道A已经向C举报了B，故而难以就C不履行法定职责提起行政诉讼，要求赔偿损失。

而对于某些公安机关立案后不侦查这种不履行法定职责的行为，目前除了内部监督外，救济途径还比较模糊。因为法释〔2000〕8号《最高法关于执行〈行政诉讼法〉若干问题的解释》所排除的受案范围包括“公安、国家安全等机关依照刑事诉讼法的明确授权实施的行为”，这就出现了一个问题：属于公安机关本应该依据刑事诉讼法的明确授权“为”某一行为，但却怠于履行职责，是否属于行政诉讼受案范围？检察机关的立案监督似也难应用于“立案后不侦查”这一问题。

完善方向

综上，笔者认为想要跳出“徐玉玉困境”，更好地保护城市信息系统安全，打击电信网络诈骗犯罪，提升社会信赖水平进而促进交易与创新，就必须使相关法律法规运转起来，并向保护弱者倾斜。具体如下：

（一）明确对网络服务提供者适用推定过错原则，适当加重网络服务提供者的责任，将举证责任倒置。只要网络服务提供者无法举证自己已努力尽到了法律法规、行业标准与生活常理所要求的高度注意义务（如审核存档网站开办者身份资料、依法备案相关网站并关停不合规网站、确保所有手机号卡均经实名登记、为追查骗子提供有效证据等），即推定为有过错，如有人藉此实施违法犯罪造成损害后果，则须承担侵权责任。

（二）尽快制定网络电信安全专门法律，并从社会法的角度加强对普通用户合法权利的保护，以平衡“大平台”与“小散户”之间的权利义务关系。在严厉的行政、刑事立法之余，关注民事审判工作引导调整各方行为的作用：只有电信网络服务提供商意识到违规操作甚至助纣为虐所要承担的倾家荡产风险，并据此自觉守法；只有“徐玉玉们”的经济损失真正能由违法者予以承担，法律才能真正运转起来，激励机制才可能回归正轨。

（三）行政诉讼方面加强对行政不作为的监督，例如设置统一公共举报平台并进行公示记录，对已有人举报过的不良网站、手机号码，如在合理期限内有权机关未依法履行职责进行查处，导致新的诈骗案件发生，则此类行政不作为应可诉，有权机关应对新的受害人承担赔偿责任。针对公安机关立案却不侦查的行为，应该填补法律空白，明确救济渠道。此外，可能还需要修改《刑事诉讼法》，专门针对电信网络犯罪简化批准采取技术侦查措施的程序，明确专门由网安警种接受此类报案，避免公安内部“走流程”的速度永远赶不上骗子转移阵地的速度。

（作者林玮系清华大学公共管理学院博士研究生，研究领域包括公法学、科技创新与互联网监管政策）