之所以强调对聚合平台数据安全保障义务进行层次划分，是因为这些义务所对应的制度目标、功能定位有所不同。对于注意义务而言，其核心目的是预防风险和控制损失扩大，所以不能因发生数据泄露等安全事件而直接要求聚合平台和其他网络平台一并承担连带责任。对于狭义的义务而言，其设置的正当性基础是聚合平台的法律定位、业务特征、风险来源、风险控制能力等要素，属于聚合平台自身的义务范畴。对于督促业务而言，其设置的正当性基础则是数据安全的全生命周期治理理论。因为数据安全保障义务的履行标准处于动态发展阶段，与数据安全态势保持同步状态。考虑到聚合平台与其他网络平台之间数据提供关系的特殊性，更适宜以督促行为作为相应的义务履行标准，而不是要求聚合平台能够实质性确保与其关联的网络平台采取切实有效的数据安全技术措施。

　　聚合平台具有与一般电子商务平台相类似的法律性质，只不过其平台内的第三方属于的网络平台，故而在数据安全层面的注意义务内容和履行边界更为特殊。如前文所提及的，聚合平台在事前阶段应当对与其合作的网络平台数据安全保障义务进行必要的审核。只不过从实际能力层面考量，这种资质审核更多地属于形式意义上的审核，即从行为外观上使得聚合平台有理由相信入驻的网络平台具备最基本的数据安全义务。例如，入驻网络平台依据《网络安全法》《数据安全法》《个人信息保》等法律法规所作出的风险评估等级较低，短期内入驻的网络平台通过了网络安全审查等。倘若入驻网络平台明显不具备数据安全保障能力，甚至近期因数据安全事件而招致行政处罚，聚合平台依然将其作为聚合的网络平台，显然没有履行合理的高风险预防义务。虽然《电子商务法》第38条第2款直接，电子商务平台未尽到审核义务，造成消费者损害的，应当承担相应的责任。但是，该款的前置性条件是“关系消费者生命健康的商品或者服务”，相应的“审核义务”属于传统民法意义上的安全保障义务范畴，通常适用于网约车聚合平台致人伤亡等情形。相对地，在数据安全层面，聚合平台的审核义务更应当回归到关系层面。

　　对于电子商务平台与其他平台经营者之间的法律责任承担形态而言，常见类型包括补充责任、连带责任或者按份责任。在侵权责任领域，对于网络平台究竟是承担连带责任还是承担补充责任，有学者认为两者的差别在于，人是否受到责任顺位的，连带责任意味着平台和直接侵权人可被列为共同被告，补充责任则意味着不能完全获得补偿时才能向平台主张赔偿。在聚合平台和入驻网络平台法律责任承担形态层面，首先需要排除按份责任，因为其适用前提是多个行为人的行为共同导致损害的发生，而聚合平台未履行注意义务并不会直接导致数据安全事件的发生。其次可以排除连带责任。一方面，连带责任的前提是多个行为人的行为均可以导致损害的发生，而聚合平台未能履行审核义务与数据安全事件发生之间显然不存在法律意义上的关系；另一方面，依据《电子商务法》第38条第1款的连带责任适用情形，聚合平台“知道或者应当知道”入驻网络平台存在侵权行为，且未采取必要措施。最后，聚合平台未尽到注意义务与数据安全事件发生之间属于间接的关系。因为未履行审核义务在事实层面增加了用户个人信息权益受损害的可能性，所以应当认定聚合平台承担相应的补充责任。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19]  下一页