电子商务平台对虚拟财产交易的安全保障义务

——张某某与广州交易猫信息技术有限公司网络服务合同纠纷案

朱晓瑾  冯立斌

裁判要旨：

电子商务平台应当采取技术措施和其他必要措施保证虚拟财产交易安全，对于明显的交易安全漏洞应采取技术措施及时改进；对于平台内交易过程中消费者反映的安全问题应采取及时、有效的措施防止损害的发生。否则，可以认定违反电子商务交易的安全保障义务，应承担相应的民事责任。

案例索引：

广州互联网法院（2020）粤0192民初28060号。

一、案情

原告：张某某。

被告：广州交易猫信息技术有限公司（以下简称交易猫公司）。

2019年8月14日17时6分，张某某在交易猫平台购买游戏账号“【89级狮驼岭·杀破狼】一区勇武区霸号”，商品类型：其他账号【担保】，实际支付7272元。17时6分至18时50分期间，销售者假冒交易猫平台客服要求张某某提供手机号及验证码，但销售者账号的头像仍显示其为“卖家”，张某某未察觉异常并将相关信息提供给销售者。后张某某发觉上当，向交易猫平台客服寻求帮助。客服提示张某某重新登录交易猫平台刷新验证码并帮其登记反馈处理。张某某重新登录多次，但仍未能避免损失。19时26分，张某某的账号被操作确认收货，价款被转移给销售者。

《交易猫用户服务协议》载明用户有义务妥善保管其账号、验证码。因用户过错对用户名、验证码保管不善导致的损失由用户自行承担；如用户发现有他人冒用或盗用其账户、验证码等任何其他未经合法授权之情形时，应立即以有效方式通知交易猫平台，要求交易猫平台暂停相关服务；用户在交易过程中可能产生用户名被盗或被骗的情况，为维护用户的权益，交易猫网站可以视情况采取要求重置用户密码及限制资金支付的操作。

张某某认为其因交易猫平台客服的误导、交易猫平台存在安全漏洞和交易猫平台的不作为，导致销售者骗取其交易猫账号操作收货。张某某因未收到涉案游戏账号而损失款项，遂起诉要求交易猫公司赔偿7272元。

交易猫公司确认交易猫账号不能在两台同类的设备端中同时登录，但可以在不同类的设备端同时登录。若在不同类的设备端登录了交易猫账号，则张某某即使重新登录输入验证码也无法强制已经在另一台设备登录的交易猫账号退出，需要采取其他操作；网页端登录48小时内有效，48小时后失效需重新登录输入验证码。

二、审判

广州互联网法院审理认为，从交易猫公司在涉案订单交易中的地位和所起作用，以及涉案的《交易猫用户服务协议》看，交易猫公司系为交易双方提供交易场所和信息发布等服务的主体，属于电子商务平台经营者。张某某系交易猫公司平台的用户，双方成立网络服务合同关系。本案争议焦点为：交易猫公司是否对张某某的损失承担赔偿责任。

首先，结合张某某提交的与交易猫平台客服对话截图以及交易猫公司提交的后台数据，可认定张某某将涉案交易的手机号码以及验证码发送给了卖家。张某某未能尽到必要的谨慎义务，验证码保管不善，存在一定的过错。

其次，《中华人民共和国电子商务法》第三十条规定，“电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行，防范网络违法犯罪活动，有效应对网络安全事件，保障电子商务交易安全。”本案中，张某某在将涉案手机号以及验证码发给卖家后发觉有问题，向交易猫平台客服反映，交易猫平台客服指导张某某重新登录交易猫账号。但根据交易猫公司的陈述，同一账号可以在不同设备端登录，且网页端有48小时的生效时间，意味着只要其他人在网页端登录张某某账号48小时不退出就可以一直使用其账号。交易猫公司在张某某反映问题后本应及时采取冻结交易、要求重置密码、限制资金支付等必要、及时、有效的措施保障交易安全，但交易猫平台客服未考虑到交易猫账号可以在不同设备中同时登录的风险，仅指引张某某重新登录交易猫账号，未能有效及时防止损失扩大，违反了协议约定，对此存在过错。

《中华人民共和国合同法》第一百零七条规定，“当事人一方不履行合同义务或者履行合同义务不符合约定的，应当承担继续履行、采取补救措施或者赔偿损失等违约责任。”第一百二十条规定，“当事人双方都违反合同的，应当各自承担相应的责任。”交易猫公司在提供交易机会、撮合服务过程中未采取必要措施维护交易的正常进行，违反了交易安全保障义务，存在过错，构成违约，应对张某某的损失承担相应责任。张某某未尽到妥善保管交易个人信息的义务，也应承担相应的责任。结合涉案交易的交易过程、涉案商品页面的提示内容、当事人双方的合同义务内容及履行情况，酌定交易猫公司赔偿张某某损失3636元。

综上，依照《中华人民共和国电子商务法》第三十条，《中华人民共和国合同法》第一百零七条、第一百二十条，《中华人民共和国民事诉讼法》第六十四条第一款之规定，判决如下：一、交易猫公司赔偿张某某3636元；二、驳回张某某其他诉讼请求。

本案适用小额诉讼程序审理，判决已发生法律效力。

三、评析

随着互联网的日新月异、蓬勃发展，互联网平台已经成为我们获取信息与商品、社交、娱乐、参与公共事务的重要途径。电子商务平台（以下简称电商平台）发展势头尤为迅猛，从有体物到虚拟财产的交易，均可以通过平台进行。电商平台带给人们高效、便捷的购物、娱乐等体验的同时，也存在着安全隐患，如钓鱼网站、计算机病毒引发的盗用身份、信息泄露等损害网络用户利益的案例屡见不鲜。电商平台对网络用户人身、财产安全是否承担保障义务以及应尽到何种程度的保障义务，是目前司法实践中的重要课题。本案将安全保障义务引入虚拟财产交易中，通过对电商平台法定义务的赋予来实现对网络乱象的治理。

（一）追根溯源：安全保障义务核心在于危险防范

安全保障义务最早见于德国的交往安全义务，起源于道路交通安全注意义务，此后经过枯树案、兽医案等一系列案例的补充发展，德国法院确认“危险的制造者与维持者，都有义务采取一切必要、适当的措施保护他人和他人的绝对权力”。[1]这一观点也被《中华人民共和国侵权责任法》所吸收，该法第三十七条明确规定，“宾馆、商场、娱乐场所等传统公共场所的管理人或者群众活动的组织者，未尽到安全保障义务，造成他人损害的，应当承担侵权责任。”在《中华人民共和国侵权责任法》中，安全保障义务只适用于特定主体。根据“看门人”理论，这些主体面对不特定的公众开启或持续了某些特定的危险，故法律上对上述主体提出了特别要求，要求其根据具体情况采取必要的、具期待可能性的防范措施，以保护第三人免受损害。

电商平台系指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的平台。[2]电商平台具有开放性，也属于面对不特定消费者的公共场所，网络交易媒介的复杂性还加大了消费者的交易风险，如在平台交易时，用户需要注册、使用平台的账户，若作为交易介质的网络存在漏洞，一旦遭受攻击，海量个人信息泄露，极大侵犯用户的个人隐私，并时刻威胁着消费者的人身和财产安全。同时，还存在技术风险、维权风险等问题，因此，从侵权责任角度可以说平台开启了某些特定的危险。安全保障义务的核心在于危险防范，具有公共属性的电商平台，应视为线下实体公共场所的延伸，同样应赋予其安全保障义务。

本案所涉及的交易猫平台系典型的电商平台经营者，该平台面向广大消费者开放，利用信息网络进行网络游戏虚拟财产交易，在为玩家提供交易机会的同时也开启了虚拟财产交易的风险，同时其有能力避免或者减少危险造成的损失，故可以作为负担安全保障义务的民事主体。

（二）现实思考：虚拟财产的人身依附性及平台优势

电商平台承担安全保障义务的法理基础在于其开启了风险可以控制危险的发生，而具体到本案中提供网络游戏虚拟财产交易的电商平台，这种义务的落实由于虚拟财产的人身依附性而更显必要和迫切，而平台由于技术优势，适用该制度也具有天然优越性。

1.网络游戏虚拟财产交易的人身依附性

网络游戏中的虚拟财产，是指由游戏玩家控制下的，角色、装备、宠物以及账号等具有财产利益，保存在网络游戏服务器上的数据编码。随着网络游戏的盛行，各类游戏账号、道具等虚拟财产也成了明码标价的商品。与有体物交易相比，通过电商平台进行的虚拟财产交易主要依附于买卖双方的手机号码、身份证号等解绑、换绑等具有强烈人身依附性的行为。由于平台虚拟财产的交易属于非现货交易且收货检验需要换绑身份信息，而换绑则意味着交易完成，故如无正规交易平台的介入，则会引发交易乱象，如交易的真实性难以保证、交易后玩家无法登录、游戏账号被找回、游戏装备未实际转移等风险。

根据本案交易猫平台的交易说明，游戏账号交易中，在等待发货环节由平台客服介入，客服会进行验号，截图给买家询问是否继续购买，由客服进行改密、换绑。但是，平台的介入仍无法避免账号被找回的风险，卖家仍然可以通过原注册游戏账号的网站提交身份信息、手机号码等方式，成功找回卖掉的游戏账号。据不完全统计，2020年至今，广州互联网法院受理涉交易猫平台用户主张游戏账号被找回的案件就有近200宗。

2.平台承担安全保障义务的天然优越性

首先，从技术角度而言，作为提供交易撮合及信息技术服务电商平台，制定交易规则，提供交易信息，掌握着交易技术。平台具有维护交易安全的强大技术能力，其可以通过在中央服务器及用户端的程序中设定特定的保护程序，如防漏洞、查杀木马等程序保护虚拟财产不被恶意盗取，也可以通过程序设置向交易方发出各种安全提醒，以保障交易的正常进行。同时，发生第三人侵权时，有能力采取冻结交易、强制用户下线等方式及时制止损害的发生。因此，由平台来维护虚拟财产交易的安全，无可厚非。

其次，根据收益与风险一致的原理要求，在网络交易中，电商平台往往能够从交易中获利，或者是收取商家入驻商务平台的入驻费用，或者是收取买卖交易双方一定比例的服务费用，如本案中的交易猫平台收取销售方8%的服务费。因此，根据利益平衡的原理，平台从危险中获利亦负有减少危险产生的正当性。

（三）违反安全保障的责任认定：契约义务与法定义务的辨析

电商平台的安全保障义务到底是何种性质的义务？目前，主要有以下两种观点：一种观点认为属于契约型义务，强调基于合同关系使平台附有保障用户人身、财产安全的义务；第二种观点认为属于法定义务，强调该义务的目的在于防止平台不作为造成用户的人身、财产损失，违反该义务就要承担侵权责任。

笔者认为，平台安全保障义务属于法定义务。安全保障义务作为一种防范危险的制度安排，是人们对人身、财产安全获得保护的一项基本需求，法定性正符合这一义务的本质要求。另外，法定性具有强制性，也能排除平台通过服务协议、规则等格式合同排除其主要义务，使得平台无法逃避，更好保护用户的交易安全。2018年《中华人民共和国电子商务法》颁布，其中第三十条规定，“电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行，防范网络违法犯罪活动，有效应对网络安全事件，保障电子商务交易安全。”第三十八条规定，“电子商务平台经营者知道或者应当知道平台内经营者销售的商品或者提供的服务不符合保障人身、财产安全的要求，或者有其他侵害消费者合法权益行为，未采取必要措施的，依法与该平台内经营者承担连带责任。对关系消费者生命健康的商品或者服务，电子商务平台经营者对平台内经营者的资质资格未尽到审核义务，或者对消费者未尽到安全保障义务，造成消费者损害的，依法承担相应的责任。”网络安全和交易安全保障义务正式上升为法定义务。

值得强调的是，将交易安全保障义务确定为法定义务，并不阻碍当事人适用合同法来主张权利。平台与用户之间就交易安全达成的约定，该约定仍然有效。随着合同责任的扩大化，法定义务渗透于合同中的现象越来越多。在既有法律规定又有约定的情况下，若合同中的约定已经渗透或者高于法定，则适用约定，此时并不是否认该义务本身具有法定性。本案中，交易猫平台在用户协议中就明确约定了“本网站有义务在现有技术上维护整个网上交易平台的正常运行，并努力提升和改进技术，使用户网上交易活动能够顺利进行”“用户在交易过程中可能产生用户名被盗或被骗的情况，为维护您的权益，本网站可以视情况采取要求重置用户密码及限制资金支付的操作”等具体的安全保障义务，张某某以网络服务合同纠纷诉请交易猫平台对其损失承担违约责任，并无不当。因此，法院结合法定义务以及约定义务同时进行了审查。经审查，交易猫平台明知交易猫账号存在可以在不同设备中同时登录的不可控风险，却未采取相关的技术措施填补这一风险漏洞，防范网络违法犯罪活动，有效应对网络安全事件，可以认定违反了法定的安全保障义务。此外，在张某某反映问题后，交易猫平台未能及时采取冻结交易、要求重置密码、限制资金支付等措施保障交易安全，而是指引张某某采取重新登录这种无法排除危险隐患的解决方式，导致张某某的损失，可以认定交易猫平台违反了双方约定的安全保障义务。不论是法定义务还是约定义务，交易猫公司均未能充分履行，应对张某某的交易损失承担法律责任。

另外，确定平台承担安全保障义务不宜无限度，用户在交易过程中亦负有按照“一般理性人”的标准时刻保持警惕，防范危险的发生。在本案中，张某某将涉案交易的手机号码以及验证码发送给卖家，未能尽到必要的谨慎义务，存在一定的过错，法院亦在判赔损失时予以了相应的考量，强调了用户在网络交易中应具备一定的风险防范意识。

（四）延伸思考：电商平台安全保障义务的范围与内容

电商平台属于电子化的公共场所，其安全保障义务可抽象归纳为对电子商务交易安全的保障，即对其所能控制交易平台空间安全性负有保障义务。由于计算机技术的复杂性，以及涉及用户账号等虚拟财产，一般人员无法通过专业手段修补漏洞，追回被盗虚拟财产等，所以基于电商平台经营者技术上的优势，应课以其高于传统公共场所的注意义务，做到预防与救助并重。

1.预防义务

电商平台的预防义务，体现在危险尚未发生时采取的预防性措施，包括硬件和软件两方面。从硬件方面来讲，电商平台要保证其所提供的服务器及其他配套的硬件设备具有安全性，而且运营过程中对这些硬件设施进行不定期的维护与性能检测。从软件方面来讲，电商平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行，主要措施包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、媒体安全等。[3]预防义务应贯穿于交易始终。电商平台在交易前应加强主体审核，区分自营与他营，对于他营业务，严格审核平台内销售者身份，同时落实用户实名注册信息。在交易中履行警示和通知义务，对于交易中出现的风险及时作出提示，如在平台用户间的对话过程中，出现验证码、转账等词汇时，可自动予以安全提示；对于用户账号的绑定、换绑、解绑等行为及时向用户发送安全验证码、短信提示等安全保障措施。交易结束后履行通知、协助等义务。值得强调的是，电商平台应制定并启动应急预案，对于可以预估到的风险制定相应的补救措施，做到防患于未然。

2.救助义务

当用户的人身、财产安全遭遇第三人侵权的情况下，及时采取暂停相关服务、重置用户密码、限制资金支付等必要、有效的措施禁止虚拟财产的再流转，保障交易安全。事后有义务配合司法、公安等部门的调查取证工作，及时披露经营者主体身份信息，提供完整、可用的交易电子数据，同时应确保数据完整并保存三年，以救助遭到损失的用户。

此外，电商平台还应制定完善方案，堵住安全漏洞，对纠纷中已经暴露出来的电子商务交易安全问题及时整改。建立健全违法行为报告制度、投诉机制，鼓励建立在线争端解决机制，充分履行平台的社会责任，以减少争议、化解纠纷，促进电子商务产业的健康发展。

（作者单位：广州市互联网法院）