在明确聚合平台在民法视角下的注意义务和数据安全立法视角下的特定义务之后，则需要进一步对责任承担形态问题予以回应。因为聚合业务的特殊性，数据安全事件的发生可能是由入驻网络平台、外部网络等多方面导致，所以聚合平台究竟是承担连带责任还是承担补充责任需要结合违反的义务类型、关系等要件进行类型化分析。

　　人们对网络平台承担的数据安全保障义务并没有太大争议，现行立法以及司法实践均对平台义务的内容和边界形成了较为清晰的范围。在实践中，数据安全风险最为常见的环节之一便是基于业务合作关系所构成的多方主体处理个人信息或数据。基于委托加工、数据标注等业务活动，用户个人信息可能同时处于多个数据处理者控制之下。尽管《个人信息保》对于数据处理者发生变更、对外提供个人信息等情形均明确提及应当征得用户同意，却未能对各自的数据安全保障义务及其义务履行边界予以明确。《个人信息保》第20条了共同处理个人信息的个人信息处理者应当对侵害个人信息权益依法承担连带责任。该条也仅仅能够适用于构成“共同处理”这一种情形，“共同持有”个人信息等其他类型则无法涵盖其中。为此，《网络数据安全管理条例》第40条针对类似聚合平台的数据处理业务关系，明确了平台服务提供者对于平台内的第三方产品和服务提供者负有两个层次的义务：一是明确网络数据安全义务，二是督促加强第三方产品和服务提供者的网络数据安全管理的义务。前一种义务的内容包括在事前阶段通过风险评估报告、合同约定等方式确保第三方产品和服务提供者具备数据安全的能力以及在实际的业务活动中按照法律和合同约定采取必要的数据安全措施。后一种义务的内容则是一种典型的作为义务，即采取相应措施促使第三方产品和服务提供者能够持续保持与合同约定相一致的数据安全能力。

　　《网络数据安全管理条例》第40条所对应的义务内容和前文所提及的基于电子商务平台性质、数据提供关系所延伸出的义务内容呈现出层次化关系。前一种义务内容实际上与注意义务、狭义的义务相互重叠，但是后一种义务有别于其他义务类型。第40条采用的是“应当……督促”这样的表述，而“督促”一词本身具有很大的弹性空间：平台服务提供者以电子邮件形式提醒第三方需要加强数据安全义务属于义务履行方式，而以口头形式通知亦是义务履行方式。相较于一般的数据安全保障义务而言，这种“督促”义务更加侧重相应的行为已经作出，而不关注行为的实施效果如何。因为“督促”并非属于传统意义上的行政监管行为，而是基于事实层面的平台而延伸出的平等主体“干预”行为，所以相应的义务履行标准也只能以履行作出符合“督促”内涵的相应行为为限，而不能强制要求“督促”能够起到强制督促对象从事特定行为的效果。并且，第40条所对应的义务内容是“加强数据安全管理”，而“加强”本身亦是一种不确定的动态过程。因此，在法律责任承担形态层面，显然不能仅因聚合平台未能履行督促义务就要求其与入驻网络平台一并承担连带责任，否则只会导致聚合平台和与其关联的其他网络平台构成事实意义上的“共同处理者”。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19]  下一页