作者:尚权律所 时间:2024-04-23
摘要
拒不履行信息网络安全管理义务罪构成中的核心要素是信息网络安全管理义务。《刑法》将该义务的来源限定为法律和行政法规的规定。从具体的内容上看,网络服务提供者的信息网络安全管理义务主要体现在物理安全管理义务、系统安全管理义务和网络安全管理义务。网络服务提供者可以分为接入服务提供者、缓存服务提供者、存储服务提供者、定位服务提供者和内容提供者。它们承担的上述信息网络安全管理义务有共性,但因所提供服务内容的差异,各自承担的信息网络安全管理义务也存在差别。基于能力与义务的密切关系,在认定网络服务提供者信息网络安全管理义务时,要考虑不同主体安全管理能力的差异,也要分析义务冲突时网络服务提供者履行义务的可能性。
关键词:拒不履行信息网络安全管理义务罪;信息网络安全管理义务;网络服务提供者;义务内容
在网络信息化的时代中,信息网络安全一直是各国关注的焦点问题。我国网络信息化走在世界前列,截至2021年12月,我国网民规模达10.32亿;网络成为办公、交易的重要途径,截至2021年12月,在线办公用户规模达4.69亿;2021年全国网上零售额达13.1万亿元。与此同时,我国也面临着突出的网络安全问题。以恶意程序为例,2020年上半年,我国捕获的计算机恶意程序样本数量约1815万个,涉及计算机恶意程序家族约1.1万个,活跃在智能设备上的恶意程序家族超过15种,被恶意程序感染的计算机约304万台。习近平主席在第二届世界互联网大会开幕式的讲话中指出:“网络空间不是‘法外之地’。网络空间是虚拟的,但运用网络空间的主体是现实的,大家都应该遵守法律,明确各方权利义务。”为确保信息网络安全,我国制订了一系列的法律和行政法规,规定了网络参与者的相关义务,尤其是赋予了网络服务提供者更为广泛、具体的信息网络安全管理义务。这是因为,在网络社会中,网络服务提供者居于网络信息流动的中心位置。《刑法》中设置了拒不履行信息网络安全管理义务罪,用刑事手段强化网络服务提供者信息网络安全管理义务的履行。网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务是拒不履行信息网络安全管理义务罪成立的前提条件。因此,在该罪的认定中,如何判定“信息网络安全管理义务”具有十分重要的意义。
一、信息网络安全管理义务的来源
拒不履行信息网络安全管理义务罪是不作为犯罪。在不作为犯罪中,行为人在有能力履行义务的情况下未履行相关义务以致产生严重的危害后果。一般认为行为人的作为义务通常来自于法律明文规定、业务要求、法律行为和先行行为。广义上的法律有宪法、法律、行政法规、地方性法规、部门规章等。针对不同的不作为犯罪,我国刑法分则中有50个条文对不作为义务的来源作了间接规定,分别使用的是“国家规定”、“法律规定”或“法律、行政法规规定”、“规定”或“规章”等概念。其中规定行为人违反“国家规定”的共27个条文,规定行为人违反“法律规定”(包括“法律、行政法规规定”)的共6个条文,规定行为人违反“规定”的共15个条文,规定行为人违反“规章”的共2个条文。根据《刑法》第286条之一的规定,拒不履行信息网络安全管理义务罪中信息网络安全管理义务是来源于“法律、行政法规”的规定。
(一)法律的规定
既然《刑法》第286条之一将“法律、行政法规”并列列举,说明这里的“法律”是狭义上的法律,即由全国人大或其常务委员会制定的法律。例如《网络安全法》由第十二届全国人大常委会第二十四次会议于2016年11月7日通过。该法为网络运营者规定了一系列的信息网络安全管理义务。例如该法第17条从五个方面规定网络运营者的安全管理义务,保障网络免受干扰、破坏或未经授权的访问。又如《反恐怖主义法》由第十二届全国人大常委会第十八次会议于2015年12月27日通过。该法第19条为网络服务提供者规定了恐怖主义、极端主义内容信息的停止传输、保存记录、删除信息及报告的义务。
但这里的“法律”并不等同于“国家规定”。因为根据《刑法》第96条的解释,违反“国家规定”是指违反全国人大及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。该解释是从全国人大、全国人大常委会和国务院这一主体的角度对“国家规定”作了规定。在该解释中,“国家规定”的外延大于“法律”,因为它将国务院的规定纳入其中。
从法律文件的名称上看,全国人大及其常务委员会制定的规范性法律文件可以区分为法律和决定。那么决定是不是拒不履行信息网络安全管理义务罪中“信息网络安全管理义务”的规定来源?无论从形式还是实质上看,法律和决定均存在区别。我国《立法法》中规定了法律、行政法规、地方性法规等制定程序,并未规定决定的制定程序;在立法机关的统计中通常也是将法律和决定分开,例如2021 年 2 月 24 日全国人大常委会副委员长王晨在国家法律法规数据库开通仪式的讲话中说:“国家法律法规数据库已经建成,收录了宪法和现行有效法律275件,法律解释25件,有关法律问题和重大问题的决定147件,行政法规609件,地方性法规、自治条例和单行条例、经济特区法规16000余件,司法解释637件。”又如2022年4 月 25 日,在中共中央宣传部举行的“中国这十年”系列主题新闻发布会上,全国人大常委会委员、 法工委副主任许安标说:“党的十八大以来,全国人大通过了宪法修正案,全国人大及其常委会新制定法律68件,修改法律234件,通过有关法律问题和重大问题的决定 99 件,作出立法解释 9 件,现行有效法律 292 件。”这说明全国人大常委会在统计中是明确将法律和决定分开的。从内容上看,全国人大及其常委会通过的决定涉及政治、经济、文化等方方面面,可分为有关法律问题的决定和有关重大问题的决定。
有关法律问题的决定是不是具有法律的性质?有观点认为,“有关法律问题的决定与法律有区别的必要,二者的区别可以分为名称、制定程序和实质内容三个标准”。名称的差异显而易见,现在决定的制定程序与法律通常也是有明显的区别。但决定与法律关系的处理其实不在于名称和制定程序而在于其内容。从内容看,有关法律问题的决定基本可以分为两个类型:一是对法律修改的决定,如全国人大常委会通过的《关于修改部分法律的决定》,这种决定生效后其涉及的法律内容全部归入到修改的法律中,该决定已经无独立存在的意义。例如该《决定》第82条将《关于维护互联网安全的决定》的第6条第2项中的“治安管理处罚条例”修改为“治安管理处罚法”,经修改后就实现了替换,在对违反《关于维护互联网安全的决定》的行为实施治安管理处罚时无需再引用该《决定》。二是规定具体规则的决定,该种决定自身具有规则性内容,生效后将独立存在。例如全国人大常委会制定的《关于加强网络信息保护的决定》。该《决定》第3条规定,网络服务提供者对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。如果网络服务提供者在业务活动中违反保密的规定,泄露、篡改、毁损,出售或者非法向他人提供其收集的公民个人电子信息,管理部门应当依据该《决定》第11条进行行政处罚。此类决定虽然性质上属于有关于法律问题的决定,但实质上与法律无异。既然此类决定与法律性质无异,当这些决定中规定了网络服务提供者的信息网络安全管理义务时,可以认定该义务为拒不履行信息网络安全管理义务的来源。至于全国人大常委会制定的条例,全国人大常委会联合有关国家机关共同组建的国家法律法规数据库直接将其归类于法律中。因此,如果全国人大常委会制定的条例中为网络服务提供者设定了信息网络安全管理义务,该条例可以成为拒不履行信息网络安全管理义务罪行为主体义务的规定来源。
(二)行政法规的规定
行政法规是国务院根据宪法和法律制定的政治、经济、教育、科技、文化、外事等各类法规的总称。行政法规的制定主体必须是国务院。根据《立法法》第77条的规定,行政法规由总理签署国务院令公布。从现实情况看,国务院制定的网络管理的行政法律中,有的规定了网络服务提供者的信息网络安全管理义务。例如,国务院颁布的《计算机信息系统安全保护条例》第7条规定,任何组织不得利用计算机信息系统从事危害国家利益、不得危害计算机信息系统安全。又如国务院颁布的《计算机信息网络国际互联网安全保护管理办法》第5条规定,任何单位不得利用国际互联网制作、复制、查阅和传播煽动分裂国家、破坏国家统一的信息。
除行政法规外,还有大量的部门规章。部门规章是国务院所属的各部、委员会根据法律和行政法规制定的规范性文件。有的部门规章涉及信息网络安全管理问题。这些规章有的是由国务院的单个部门发布,有的则是由国务院不同部门联合发布。前者如公安部发布的《计算机信息网络国际联网安全保护管理办法》第8条至14条规定的安全保护责任就适用于网络服务提供者;后者如公安部、国家保密局、国家密码管理局和国务院信息工作办公室联合颁布的《信息安全等级保护管理办法》规定了信息系统运营和使用单位信息安全等级保护的义务。
部门规章中规定的网络服务提供者信息网络安全管理义务是否可以成为拒不履行信息网络安全管理义务罪犯罪主体的义务来源?笔者认为,既然《刑法》第286条之一的立法中明确使用的是“行政法规”这一概念,那么部门规章中创设的信息网络安全管理义务就不能成为拒不履行信息网络安全管理义务罪行为主体的义务来源。这主要是三方面的原因所致:一是部门规章与行政法规不属于同一效力层次。部门规章由国务院各部门制定出来,无论是从程序的严格性、规定的严谨性、行政权力运用的审慎性上,部门规章与行政法规不在一个层级。因权力的划分、部门利益的分歧,各部门分别作出的规章完全可能出现矛盾冲突。因此,《刑法》将网络服务提供者信息网络安全管理义务来源限于法律和行政法规,而将规章排除在外。二是为了防止网络服务提供者义务过多。实践中,一些部门为了规范管理,可能会无约束地赋予网络服务提供者安全管理义务。这会导致网络服务提供者因承担过多义务而被极大削弱技术创新的积极性,进而阻碍互联网经济的正常发展。三是刑法中罪刑法定原则的要求。因为网络服务提供者信息网络安全管理义务来源关系到行为人行为是否构成犯罪,因此构罪要件必须严格地依据刑法规定来确定。既然《刑法》限定网络服务提供者信息网络安全管理义务来源为法律和行政法规,实践中行政管理部门根据部门规章责令网络服务提供者采取改正措施,而网络服务提供者拒不改正,这不能成为网络服务提供者构成拒不履行信息网络安全管理义务罪的行政前置条件。例如,国家互联网信息办公室出台的《互联网直播服务管理规定》是一个部门规章,该《规定》中明确要求互联网直播服务提供者应当建立黑名单管理制度,对纳入黑名单的互联网直播服务使用者禁止重新注册账号,并及时向所在地省、自治区、直辖市互联网信息办公室报告。互联网信息办公室依据职责对违反该规定的行为依法予以处罚。有学者认为“凡是违背此类禁止性规范设定义务的,就是不履行网络安全管理义务”。笔者认为,网络直播服务提供者未按上述规定建立黑名单管理制度,虽然是不履行网络安全管理义务的行为,但不属于拒不履行信息网络安全管理义务罪成立要件中的不履行网络安全管理义务,因为该《规定》只是规章,不是国务院制定的行政法规。
同理,地方性法规、自治条例和单行条例也不能成为网络服务提供者信息网络安全管理义务的规定来源。现在一些地方为了维护计算机信息系统和互联网的安全,也制定了一系列的地方性法规。例如,2021年湖南省人大常务委员会通过《湖南省网络安全和信息化条例》就网络安全保障作了较为详细的规定,该《条例》也为违反相关规定的行为规定了行政处罚措施。如果湖南省的网络管理部门仅依据该《条例》责令网络服务提供者采取改正措施,而网络服务提供者拒不改正,网络服务提供者不构成拒不履行信息网络安全管理义务罪。
二、信息网络安全管理义务的类型
信息网络安全管理义务的重心是“网络安全”,如果某些义务属于网络服务提供者的信息网络管理义务,但该义务与安全无关,不能作为拒不履行信息网络安全管理义务罪的义务来源。例如根据《互联网信息服务管理办法》第7条的规定,从事经营性互联网信息服务应当向相关部门申请经营许可证,如果未取得许可证擅自从事经营性互联网信息服务,就要受到行政处罚。显然,这是经营许可问题,不是互联网安全问题。因此擅自从事经营性互联网信息服务者即使经监管部门责令采取改正措施而拒不改正,也不会构成本罪,而只可能按非法经营处理。
有学者认为网络安全法对网络服务提供者的信息网络安全管理义务作了系统和完整的规定,主要有三个方面:一是落实信息网络安全管理制度和安全保护的义务;二是及时发现、处理违法信息;三是在服务过程中必须对网上信息和网络日志信息记录进行备份和留存。这主要是聚焦于违法信息对网络安全管理义务作的分类。但网络服务提供者的网络安全管理远不止对违法信息的管理。
信息网络安全管理义务的类型取决于信息网络安全的类型。信息网络安全可以从不同的角度进行分类。从层级上看,根据网络的应用现状和PCP/IP协议结构,可以将网络安全体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全。也有人将信息网络安全分为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。还有人将信息网络安全分为物理安全、系统安全、电子商务安全、协议安全和应用系统安全。从这些观点中可以看到信息网络安全分类的共性,其安全应当包括物理安全、系统安全、网络安全、应用安全。至于管理安全、通信安全、电子商务安全、数据安全、协议安全均可为上述四种安全所包容。与这些安全类别相应,信息网络安全管理义务可以分为相应主体的物理安全管理义务、系统安全管理义务、网络安全管理义务和应用安全管理义务。而应用安全主要指网络系统应用软件和数据库的安全,包括Web安全、DNS安全和邮件系统安全等。这说明应用安全实际上可以内含于系统安全与网络安全中。因此网络服务提供者的信息网络安全管理义务主要集中于物理安全管理义务、系统安全管理义务和网络安全管理义务。
(一)物理安全管理义务
物理安全是指计算机及网络设备本身、物理环境等方面的安全。首先,从设备本身上看,虽然硬件漏洞比较少,但BIOS中的漏洞和CPU中的缺陷等也可能造成严重的安全问题。其次,从物理环境看,计算机性能、功能的发挥受环境的影响,因此要做好环境管理,如防盗、防火、防潮、防腐、防潮、防电磁干扰、防静电等。对于信息网络安全的物理层安全,国家有相关的规定。例如《计算机信息系统安全保护条例》第10条规定:“计算机机房应当符合国家标准和国家有关规定。在计算机机房附近施工,不得危害计算机信息系统的安全。”这就是涉及信息网络的物理安全,该规定也赋予了计算机机房的所有者和附近施工者相应的安全义务。如果计算机机房建设不符合消防的相关规定,发生火灾导致机房受损,或施工者在机房附近施工未尽注意义务而致计算机网络受损,根据《计算机信息系统安全保护条例》第21条的规定,“由公安机关会同有关单位进行处理”。从实践情况看,如果该机房中的计算机网络系统不涉及公共信息,信息网络管理部门不会因信息网络设备的所有者或附近施工者未尽管理义务对其进行行政处罚,而是由单位自担损失或相关责任者承担民事赔偿。因为信息网络安全重点关注的是信息系统受到破坏后国家安全、社会秩序、公众利益受到损害。也就是说信息网络安全特别关注公法益受到损害而不是信息网络设备所有者自身私法益受损。这在公安部等五部门发布的《信息安全等级保护管理办法》的信息安全分级有清晰的体现。
如果物理安全涉及到国家安全、社会秩序或公众利益,那么物理安全也是信息网络安全的重要内容。现在一些企业提供存储服务。数据存储对企业存储设备的安装、维护、保管、处理等方面有特殊的要求。为保障数据的安全,提供数据存储服务的企业对一些重要的数据应当有容灾备份,甚至将存储介质存放于不同的省份或地区。对于动态数据的管理要求就更高。例如安防数据的采集是7*24小时不间断,且安防音视频信息资料留存的时限不少于30日。这不但对网络宽带、数据处理能力、缓存等有很高的要求,对设备本身及其安装、运行环境也有特定的要求。如果企业在提供存储服务的过程中,存储设备机房不符合国家标准和国家有关规定,致使存储服务提供过程信息丢失、损坏,经监管部门责令采取改正措施而拒不改正,其行为可能构成拒不履行信息网络安全管理义务罪。
但并非只要涉及网络安全就必然与拒不履行信息网络安全义务罪相关,只有网络服务提供者才可能成为该罪的主体。例如,从事工程施工的单位在施工的过程中因未尽注意义务,危及到某重点实验室的计算机机房的安全,经机房单位交涉,施工单位拒不停工。后机房单位向公安机关报案,公安机关责令施工单位停止施工,但施工单位仍继续施工,致使计算机机房及计算机设备受损。这虽然涉及网络安全,但在此类情形下不可能以拒不履行信息网络安全义务罪来规制施工者,因为行为主体不是网络服务提供者。
(二)系统安全管理义务
网络服务提供者一般通过允许网络接入或网络访问的方式为客户提供信息服务,这就要求网络服务提供者本身的系统具备安全性。这里的系统是指网络服务提供者的操作系统,它是提供网络信息服务的基础。由于操作系统是软件程序,因此系统安全不归属于物理安全。例如门户网站(如人民网、新华网、腾讯等)提供各类互联网信息资源并提供有关信息服务,这些网站建设需要大量的硬件设备和软件程序。为确保门户网站的正常访问、浏览、搜索和下载等功能的实现,网站管理者应当确保自身操作系统的安全,这就产生了系统安全的管理义务。系统安全管理义务可以基于系统安全的内容加以细化。系统安全主要有系统漏洞修复、系统安全配置、系统病毒防范等;也可以基于具体的措施细化系统安全管理义务,因为在系统维护中有检测、维护等措施,就产生了相应的义务。一般认为,系统安全义务包括:系统漏洞修复义务、系统安全配置错误防止义务、系统病毒威胁应对义务等。
系统漏洞只是计算机漏洞中的一种。计算机在硬件、软件、协议等方面存在缺陷都属于漏洞。但系统漏洞不是一般缺陷,而是攻击者在未获得授权的情况下访问或破坏系统时可以利用的缺陷。这种缺陷往往是系统开发设计中疏忽所致的技术缺陷,但也不排除是设计者在设计时故意留“后门程序”。正是因为系统漏洞的存在,为不法者非法访问网络提供了便利,进而出现更为严重的破坏性事件或致严重的损失。系统漏洞有操作系统漏洞、应用程序漏洞、连接性漏洞等。操作系统(OS)是管理计算机硬件与应用软件资源的程序,是计算机工作最基础性的程序。操作系统极为庞大,容易出现程序漏洞,例如用户在使用windows操作系统时经常收到漏洞补丁程序。应用程序是指为完成某项或多项特定工作的计算机程序,它确保计算机多功能的用途。但应用程序也容易出现漏洞,引发安全问题。美国新思科技公司(Synopsys)2020年对2600个系统或程序进行的3900次测试,结果表明97%的程序存在漏洞,36%的存在严重的程序漏洞。计算机系统安全配置是保证系统安全的重要组成部分,配置设置的安全性直接影响整个系统的安全。系统安全配置错误使访问控制、认证与授权等方面的安全服务无法生效,系统也处于被入侵的危险之中。系统病毒是计算机病毒的一种,是攻击计算机系统的病毒,对计算机资源进行破坏。该类病毒有可执行性、传染性和潜伏性的特点,网络服务提供者自身系统中的病毒完全可能传染给网络客户,从而造成用户的损失。
针对系统漏洞及他人可能利用漏洞实施攻击行为,网络服务提供者应当尽到安全管理义务,维护系统安全,及时修复安全漏洞,避免系统安全配置错误,防止病毒对系统的入侵和破坏。只有网络服务提供者履行了系统安全管理义务,确保了自身电脑操作系统安全,才可能为客户提供安全的网络服务。《计算机信息系统安全保护条例》第13条规定:“计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。”这是从管理制度上赋予安全管理义务。国务院于2021年发布的《关键信息基础设施安全保护条例》第6条要求运营者在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。这是从技术方面赋予网络运营者安全管理义务。“在技术上,网络罪犯富于创新,只要投资能够获得足够的回报,他们就愿意在技术上投资。”网络攻击者愿意在技术上投资,网络服务提供者也应当注重防范技术的投资。
(三)网络安全管理义务
网络服务提供者要通过网络的媒介与客户产生联系,提供服务。因此,网络服务提供者除了做好自己系统维护、确保系统安全的同时,也要注重网络安全管理。如果网络存在技术或管理漏洞,访问安全得不到保障,数据也可能被篡改、截留、泄露或滥用。我国网络安全方面问题比较突出。“我国有30%以上的网站都在运行期间存在漏洞,且主要集中体现在用户名和密码登录上、浏览网页等,既可能泄漏用户信息,又会受到外界因素的攻击。”2020年上半年国家信息安全漏洞共享平台收录通用型安全漏洞11073个,高危漏洞4280个。特别是在网络访问过程中,计算机病毒利用网络漏洞经常随着用户访问而大肆传播。因此网络安全是网络服务提供者保证用户安全的重要内容。
在网络安全方面,网络服务提供者不但自身不得设置恶意程序或病毒,还要设置病毒防杀程序和病毒监测程序,确保自己系统和网络免被病毒传染和破坏,保护用户访问、下载、存储等方面的安全。网络安全涉及访问安全、数据安全等。网络安全可以分为网络功能安全和网络内容安全,网络安全管理义务也就可以基于此分为两个方面。
首先,从网络功能安全义务看,网络服务提供者应当采取必要的技术和管理手段为用户提供安全和可靠的身份认证、访问控制,以保证用户在通过身份验证或身份识别的基础上对网进行安全访问。网络服务提供者有义务构建访问身份识别机制和入侵检测预警系统,堵塞程序漏洞,如连接漏洞、协议漏洞,防止攻击者冒用用户的身份访问并获取用户数据造成用户损失。连接漏洞是指计算机终端与服务器连接中的缺陷,如远程登陆漏洞、密码设置漏洞等;由于协议的开放性,TCP/IP本身没有提供安全性的保证,导致存在许多协议上的漏洞和隐患;TCP/IP 协议的信息传输以明文形式传播,容易受到攻击;用户登录中设置的“记住密码”使黑客容易获取系统的静态密码。为保障网络功能安全,我国法律和行政法赋予了网络服务者相关的义务。例如,《网络安全法》第22条规定,网络服务提供者不得设置恶意程序,发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当及时告知用户并采取补救措施;第25条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险。
其次,在网络内容安全方面,网络服务提供者应当确保数据传输的完整性、保密性,也要注重审查数据内容的合法性。例如为强化对未成年人的保护,法律、行政法规要求网络服务提供者审查发布的信息,发现危害信息应当采取处置措施。《未成年人保护法》第80条规定,网络服务提供者发现用户发布、传播的信息可能影响未成年人身心健康,应当作出提示或者通知用户予以提示;发现用户发布、传播的信息含有危害未成年人身心健康内容的,应当立即停止传输相关信息,采取删除、屏蔽、断开链接等处置措施,保存有关记录,并向网信、公安等部门报告。为确保数据内容的完整、合法、保密,网络服务提供者有义务从制度管理和技术应对两个方面双管齐下:一方面是构建基于内容的防火墙和网络信息内容审计系统;另一方面通过技术手段,基于模式识别技术对煽动颠覆国家政权、推翻社会主义制度、煽动分裂国家、破坏国家统一、宣扬恐怖主义、极端主义等非法或敏感信息加以过滤。
三、网络服务提供者具体信息网络安全管理义务
(一)网络服务提供者及类型
《刑法》第286条之一使用了“网络服务提供者”的概念,这与《刑法修正案(九)》通过时正生效适用的《侵权责任法》《信息网络传播权保护条例》等法律法规中使用的概念一致,也与现行《民法典》关于民事责任主体的规定一致。但2016年通过的《网络安全法》却使用了“网络运营者”的概念,并将其界定为“网络的所有者、管理者和网络服务提供者”。从《网络安全法》的界定看,网络服务提供者只是网络运营者之一,两者在逻辑上是被包含与包含关系。由于互联网是由若干节点组成,世界上每一台终端设备对网络进行操作时都可以成为网络的一部分,很难说存在严格意义上的网络所有者。这里的“网络所有者”是指网络基础服务的提供者,即主干网络提供者、基础电信运营者,如为有线网络铺设网线、为无线网络架设基站的中国电信和中国联通。“网络管理者”可以从狭义和广义两个层面进行界定。从狭义上看,网络管理者是指网络行政管理者,即履行网络管理职责的行政机关。如根据《网络安全法》第8条的规定,国家网信部门负责统筹协调网络安全和监督管理工作,国务院工业和信息化、公安部门和其他有关部门在各自职责范围内负责网络安全保护和监督管理工作。又如《信息安全等级保护管理办法》第3条规定公安机关负责信息安全等级保护工作的监督、检查、指导。这些都是从行政管理职权、职责的角度对网络管理作的规定,明确了网络的行政管理者。从广义上看,网络管理还包括网络所有者、网络服务提供者对网络或网络服务进行的日常监督管理,但这个意义上的网络管理者实际是网络所有者、网络服务提供者的内部机构,不是独立的网络管理者。既然《网络安全法》并列列举“网络的所有者、管理者和网络服务提供者”,那么这里管理者仅指网络行政管理者。
谁是“网络服务提供者”?“现有法律法规并没有对网络服务提供者进行明确的界定,因而只能通过相关行为的性质来对行为人是否属于网络服务提供者进行界定。”从网络服务内容、功能角度明确网络服务提供者是欧盟的做法。我国相关法律文件也是以网络服务行为内容、功能来界定网络服务提供者。我国较早使用“网络服务提供者”这一概念的《互联网安全保护技术措施规定》第18条从网络服务的内容角度对“互联网服务提供者”作了解释:向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位。与此相应,网络服务提供者应当就是接入服务提供者、数据服务提供者、信息服务提供者和上网服务提供者。《信息网络传播权保护条例》是从信息网络传播的具体功能明确网络服务提供者。从该《条例》第14条、21条、22条和23条的规定看,网络服务的功能主要是提供信息存储空间或者提供搜索、链接服务,因此网络服务提供者包括网络信息存储服务提供者、搜索服务提供者和链接服务提供者。从上述法律文件的规定看,虽然它们都基于服务内容和功能类型化对网络服务提供者进行归类,但相互之间存在交叉、重叠关系。
最高人民法院和最高人民检察院于2019年发布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第1条也是从服务内容类型的角度对网络服务提供者作出分类,即信息网络接入、计算、存储、传输服务提供者,信息网络应用服务提供者,信息网络公共服务提供者三类。该《解释》虽然是以三个类型归纳网络服务提供者,但实际上第三类与前两类是重叠关系。因为公共服务也涉及信息网络接入、计算、存储、传输服务和信息网络应用服务,只不过这些服务是发生在政务、通信、能源、交通等公共领域而已。因此,该分类中表面上分为三类但实质上是两个类型。司法解释中将信息网络公共服务独立出来,其目的在于强调该类信息网络安全更为关键,这些网络服务提供者应当更注意信息网络安全管理义务的履行。
正是由于法律文件未就网络服务提供者的分类作出一致性规定,关于网络服务提供者的分类学理讨论或观点仍然有启示意义。有学者基于德国和欧盟法的分类将网络服务提供者分为四种类型:内容提供者、接入服务提供者、缓存服务提供者和存储服务提供者。有学者借鉴美国《数字千年版权法》的分类将网络服务提供者分为存储服务提供者、缓存服务提供者、接入(或传输)服务提供者和信息定位(搜索、链接)服务提供者。由此看来,学者们关于网络服务提供者分类的共识中应当包括网络接入服务提供者、缓存服务提供者和存储服务提供者。信息定位服务与我国《信息网络传播权保护条例》所规定的网络搜索服务和链接服务一致。因此,结合我国法律文件的规定和学者的观点,网络服务提供者可以分为接入服务提供者、缓存服务提供者、存储服务提供者和定位服务提供者。
至于内容提供者是否属于我国刑法意义上的网络服务提供者,值得探讨。根据“两高”《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的规定,网络服务提供者包括单位和个人。如果某人在信息平台上发布煽动分裂国家、煽动民族仇恨等内容,当网络管理部门责令其删除而其拒不删除时,是否应当基于其内容提供者的身份而将其作为拒不履行信息网络安全管理义务罪的主体?根据现行刑法的规定,对此类行为可以直接依据煽动分裂国家罪、煽动民族仇恨罪行定性处理。在探讨拒不履行信息网络安全管理义务罪的立法意图时,多数学者谈到一个问题,就是帮助行为正犯化,即在实践中一些网络平台在提供网络服务的过程中没有尽到安全管理义务而客观上助力了犯罪行为的发生,为加重网络平台责任,立法者将帮助行为正犯化了。这是否说明内容提供者不能成为拒不履行信息网络安全管理义务罪的主体?笔者认为,通过网络向用户提供内容的服务也是网络服务。如果内容服务提供过程中一个行为触犯两个以上罪名时应按想象竞合处理,不能因此否定内容提供者作为网络服务提供者的身份。
(二)网络服务提供者共同信息网络安全管理义务
网络服务提供者是一个统一的概念。在网络服务提供过程中,不同类型的网络服务提供者具有广泛的共同信息网络安全管理义务。
1.物理安全管理义务。任何网络服务提供者都有自己的计算机网络设备,这些设备的安全是提供网络服务的基础。即使在云计算时代,在基础设施即服务(Iaa,Infrastructure as a service)的理念下,用户也是通过计算机基础设施获得服务。因此,《网络安全法》第22条也规定网络产品、服务应当符合相关国家标准的强制性要求;《计算机信息系统安全保护条例》第10条要求计算机机房应当符合国家标准和相关规定。网络服务提供者的计算机设备、机房建设不符合国家标准和相关规定,公安机关将会同有关单位进行处理。如果该物理安全危及社会公众信息安全,经责令改正而拒不改正的,可以依拒不履行信息网络安全管理义务罪追究责任者的刑事责任。对于公共通信、能源、交通、金融、水利等重要领域的网络服务提供者,国家更是赋予了更多的物理安全管理义务。例如《关键信息基础设施安全保护条例》第19条要求这些关键信息基础设施的运营者应当采购安全可信的网络产品和服务。这里国家对特定领域中网络服务提供者提出了更高的物理安全管理要求,因为如果这些领域的计算机或网络一旦遭到破坏、丧失功能或数据泄露,可能危及国家安全、国计民生和公共利益。如果这些关键信息基础设施运营者采购可能影响国家安全的网络产品或服务,由相关主管部门责令改正。而对于拒不改正者可以按拒不履行信息网络安全管理义务罪追究责任人的刑事责任。
2.系统安全管理义务。网络服务提供者是基于计算机系统和网络系统为公众提供服务,因此任何网络服务提供者都负有系统安全管理义务。《计算机信息系统安全保护条例》第13条规定,网络服务提供者应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。这是从内部管理制度的角度对网络服务者提出的要求。法定的义务往往也是通过内部管理制度落实的。例如,根据《计算机信息系统安全保护条例》第23条和《网络安全法》第22条的规定,网络服务提供者不得故意输入计算机病毒、不得设置恶意程序以及其他有害数据危害计算机信息系统安全。这种义务就要通过网络服务提供者内部管理制度加以明确,以将法律规定的义务落到实处。就具体的系统安全事件而言,为防止和处置系统安全事件,网络服务提供者有事前预防义务、事中处置义务和事后协助义务。
事前预防义务要求网络服务提供者制定安全事件应急预案,以便及时处置系统漏洞、计算机病毒等安全风险。对此《网络安全法》第25条有明确规定。由于计算机系统漏洞和计算机病毒入侵导致计算机崩溃会给网络服务提供者本身造成严重损失,而且计算机病毒具有传染性,社会公众对网络的访问也会导致用户计算机系统感染而发生次生危害。因此确保网络服务提供者计算机系统安全不但是对其本身的保护,也是对社会公众的保护。系统漏洞、病毒预防的应急预案能在一定程度上确保系统安全事件发生时及时采取相应措施,防止损害的进一步扩大。为确保系统安全,国家有关部门会对重要领域的计算机关网络设备进行例行检查,网络服务提供者有配合的义务。例如《关键信息基础设施安全保护条例》第28条规定运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。
事中处置义务是指网络服务提供者在系统安全事件发生时应当立即启动应急预案,采取补救措施,并及时告知用户。当网络服务提供者从自我检查、他人举报或管理部门通知中发现系统漏洞、计算机病毒等,应当立即启动预案修复系统、清除病毒等。在这个过程中,网络服务提供者应当根据《网络安全法》第22条的规定,及时向用户告知发现的安全缺陷、漏洞等风险情况,以便用户能及时采取措施,防止损害的发生或扩大。
事后报告和协助义务是指网络服务提供者在计算机信息系统发生安全事件后应当及时向有关单位报告,并积极配合公安机关、国家安全机关、检察机关、网络信息管理部门等调查处理。如《计算机信息系统安全保护条例》第14条要求网络服务提供者对计算机信息系统发生的案件在24小时内向公安机关报告;《数据安全法》第35条规定,网络服务提供者应当配合公安机关、国家安全机关因依法维护国家安全或侦查犯罪的需要调取数据。
3.网络安全管理义务。网络服务提供者主要是通过网络为用户提供服务,因此网络安全管理在其安全管理义务中更为突出。这些义务主要包括:
首先,网络安全管理制度与安全事件预案制度建立的义务。这是网络安全管理的基础,如果网络服务提供者有健全的全流程数据安全管理制度、开展数据安全培训,网络安全有了基本的保障。在日常管理的过程中,网络服务提供者应当根据《网络安全法》第21条的规定,记录、跟踪网络运行状态,监测、记录网络安全事件,并按照规定留存网络日志。为防范计算机病毒和网络攻击、网络侵入等危害网络安全事件的发生,必要时网络服务提供者应当采用行之有效的技术措施。《网络安全法》第21条规定,网络运营者应当制定网络安全事件应急预案,及时处置网络入侵、网络攻击等安全风险。因此,网络服务提供者应当建立安全事件预案机制,以备网络安全事件发生时及时启动,将损害控制在最小程度。
其次,网络安全事件发生时的及时处置与报告义务。网络安全事件发生后,网络服务提供者应当立即启动预案,采取处置措施。该义务要求网络服务提供者在自身网络发生安全事件时或一定的时间内,向有管理权限的部门报告。不过,网络服务提供者应当何时向相关单位报告,不同法律文件中规定有所不同。有的法律文件未规定报告的具体时间要求,如《关键信息基础设施安全保护条例》第18条要求网络服务提供者在关键信息基础设施发生重大网络安全事件或发现重大网络安全威胁时,向保护工作部门、公安机关报告;《数据安全法》第29条规定,发生数据安全事件时,网络服务提供者应当及时向有关主管部门报告。有的法律文件要求安全事件发生时立即报告:如《网络安全法》第25条规定,在发生危害网络安全的事件时,网络服务提供者应立即按照规定向有关主管部门报告;《保守国家秘密法》第28条规定,发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的,网络服务提供者应当立即向公安机关、国家安全机关或者保密行政管理部门报告。
最后,网络事件配合调查义务。在提供服务的过程中网络受到入侵、攻击时,网络服务提供者本身是受害者,但往往不是唯一的受害者,还有大量的用户甚至社会、国家都受到影响甚至承受损失。为了查明网络入侵、网络攻击等危害行为,相关国家机关会进行调查,网络服务提供者有配合调查的义务。如根据《数据安全法》第35条的规定,网络服务提供者应当配合公安机关、国家安全机关因依法维护国家安全或侦查犯罪的需要调取数据;根据《反间谍法》第32条的规定,在国家安全机关向其调查有关情况、收集有关证据时,网络服务提供者有如实提供的义务;《保守国家秘密法》第28条也规定,互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查。这种调查虽然是安全事件发生后的工作,但为了配合调查,网络服务提供者应当在日常管理中保存好记录,以便相关部门调查时据此作出准确的溯源、分析和判断。在调查的过程中,网络服务提供者应当如实反应网络安全事件发生的情状,提交与安全事件相关的证据。
(三)不同网络服务提供者的信息网络安全管理义务
不同类型的网络服务提供者除有共同的信息网络安全管理义务外,也有各自不同的信息网络安全管理义务。有学者指出:“网络服务提供者的刑事责任以网络服务提供者的类型化为前提。”应根据不同的网络服务提供者业务发展特点、经营风险承担不同类型、不同程序的网络安全管理义务,且其义务应当具有明确性、特定性。网络服务提供者类型化的目的就在于基于类型的不同分析其信息网络安全管理义务,再基于其义务分析其行为的性质。前文中将网络服务提供者分为接入服务提供者、缓存服务提供者、存储服务提供者、定位服务提供者和内容提供者,它们在不同内容的服务中承担着不同的网络安全管理义务。
1.网络接入服务提供者的网络安全管理义务。网络接入是用户通过网络与外界产生联系的必经途径,无论是有线网络还是无线网络,只有网络服务提供者为用户提供接入服务,用户才能成为网络中的一员。因此,网络接入服务是最初始但也是最持久的网络服务。我国实行网络接入实名制,以对抗网络身份匿名的技术异化危险,维护网络空间运行秩序,便于追踪责任主体、发现危害行为轨迹和测量评价网络风险级别等。为此,《网络安全法》第24条规定,网络运营者为用户办理网络接入服务手续时,要求用户提供真实身份信息;用户不提供真实身份信息的,网络运营者不得为其提供相关服务。违反网络接入实名制度,经责令改正而拒不改正,将构成拒不履行信息网络安全管理义务罪。
在提供接入服务中,如果接到有关部门断开网络通知时,网络接入服务提供者有断开网络的义务。例如,在暴恐事件发生时,为了阻断恐怖主义、极端主义内容的信息传播,网信、电信、公安、国家安全等主管部门可以根据《反恐怖主义法》第19条的规定责令网络服务提供者停止传输、删除相关信息,或者关闭相关网站、关停相关服务。网络接入服务提供者接到相关部分的通知后应当立即履行,如果拒不履行,将涉嫌构成拒不履行信息网络安全管理义务罪。
接入服务提供者是否应当有实时审查义务?从网络安全的角度看,如果赋予接入服务提供者该义务,对于保障网络安全、维护社会秩序都有重要意义。但我们必须充分评估赋予接入服务提供者该义务是否具有可行性。在网络技术日新月异的背景下,接入服务的提供者能否提前预测到侵入、破坏事件的发生或实时掌握传播信息的内容,并积极采取技术进行预防,实在值得怀疑。正如有学者所言:“对于纯粹传输服务提供者和接入服务提供者而言,要求其对自己所传输的信息进行监控,首先便存在技术上的难题。”因此,接入服务提供者无法承担实时审查义务。但我们可以倡导接入服务提供者在服务过程中采取技术防范手段,在条件许可的情况下也应当及时引进新的技术,实现安全管理中的“通知——移除”的被动方式向“预防——阻断”的主动方式转变。
2.缓存服务提供者的网络安全管理义务。与前述接入服务提供者不同,本类主体提供的服务不再是为客户提供进入网络的通道,而是为客户缓存信息服务,或允许客户访问在其网络缓存的信息。这里的缓存是指Web高速缓存。为解决多人或者是个人经常访问某个网站而出现的网站响应速度降低、重复付费等问题,一些企业开发出缓存服务器,或通过缓存技术为客户提供服务。例如我们熟知的快播案中,快播公司提供了P2P缓存服务器,快播调试服务器会将用户看过的视频拉拽存储在缓存服务器里,其他用户在看该视频时就从缓存中读取。在网络缓存服务中,提供者具有“通知——移除”的义务,这一点没有疑问。即当缓存服务提供者接到相关的通知,要求其删除其网络缓存中的非法信息时,就应当移除该信息。但缓存服务提供者对缓存信息是否有主动审查义务,社会各界对此有不同的观点,这从快播案引发的争议中体现出来。《互联网信息服务管理办法》第13条规定互联网信息服务提供者应当保证所提供的信息内容合法;同时在第15条规定互联网信息服务提供者不得传播含有危害国家安全、煽动民族仇恨等非法内容的信息;第16条规定如果发现其网站传输的信息明显属于非法内容,应当立即停止传输。提供缓存服务实质上是提供传播服务,因为缓存的目的就是为了用户访问阅读、观看、下载等。只有将主动审查作为义务规定下来,上述规定的义务内容才可能在缓存服务提供中得到切实履行。但将对内容的主动审查作为缓存服务提供者的安全管理义务,并不意味着其未履行该义务就构成犯罪,只有未履行而该义务,经监管部门责令采取改正措施而拒不改正,才会构成拒不履行信息网络安全义务罪。
3.存储服务提供者的网络安全管理义务。存储服务是利用存储软件和解决方案为客户提供数据存储服务。在云存储的概念中,存储即服务(Storage as a Service;SaaS)已发展为公司向客户提供技术专业知识和存储空间的商业模式。云存储是将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统。与缓存服务类似,存储服务为客户存储信息,有“通知——移除”的义务。至于存储服务提供者是否有主动审查的义务,则视信息的公开与否有不同的要求。如果存储的信息非公开,完全是客户自我存储,为尊重客户的隐私或商业秘密,存储服务提供者对存储的信息无主动审查义务;如果存储信息具有公开性,例如为客户提供文档存储、共享服务的网盘中存储的信息,因其具有公开性,存储服务的提供者对其内容有主动审查义务。另外,特定的存储服务提供者原则上应当将信息存储于境内。《网络安全法》第37条规定,关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照规定进行安全评估。
4.定位服务提供者的网络安全管理义务。该类主体包括网络搜索服务提供者和链接服务提供者。该类服务的实质是通过网络程序帮助客户搜索、定位相关信息。搜索服务是协助信息查找者获得网络中的相关信息,链接服务则是帮助信息供应者确定信息在网络中的位置。两者的结合才能实现网络信息的定位。定位服务提供者并非完全中立者,其提供定位服务的过程中往往基于自身利益的需要运用算法程序控制搜索结果的排列顺序,达到推送相关信息的目的。例如常用推荐算法、过滤算法等都可以由搜索引擎进行设置而改变搜索结果及排序。既然定位服务提供者可以通过算法程序控制搜索结果的排序,也就有技术能力通过屏蔽搜索或链接的关键词而禁止非法内容的链接和搜索。从现实情况看,搜索引擎在处置非法信息方面发挥着重要作用。中央网信办统计,2021年第一季度,百度、搜狗、QQ、UC、猎豹、OPPO、神马和夸克等8家搜索引擎和浏览器服务者处置境外色情、赌博类举报信息均为12万余条。定位服务提供者有义务审查链接或搜索信息,对于非法信息有屏蔽义务,未履行该义务,经监管部门责令采取改正措施而拒不改正,可能构成拒不履行信息网络安全义务罪。从立法规定看,对内容的审查义务主要由信息发布或传输者提供者承担。如《网络安全法》第47条规定,网络运营者发现其发布或者传输的用户发布的信息含有法律或行政法规禁止的内容,应当立即停止传输该信息,采取消除等处置措施;《反恐怖主义法》第63条也规定,网络服务提供者不得传播虚假恐怖事件信息、可能引起模仿的恐怖活动的实施细节;《互联网信息服务管理办法》第16条规定,联网信息服务提供者发现其网站传输含有颠覆国家政权、破坏国家统一等危害内容的信息,应当立即停止传输。这里的“传输”“传播”主要是指网络提供者在自己的网站展示信息内容,而信息定位服务本身并未展示信息内容,只是帮助用户得知信息所处位置。但定位服务为用户明确了信息位置,对信息传输、传播起到了十分重要的助推作用,可以说信息定位是信息传输、传播的重要助力者。因此,与信息内容提供者一样,信息定位服务提供者发现其定位的信息中含有危害内容,应当立即停止定位。而发现的方式并非仅限于事后发现,事前程序设计以实现事中实质审查也是必不可少的途径。
5.内容提供者的网络安全管理义务。在网络空间中存在大量的内容提供者。这些内容提供者有的自身提供专业或综合性的内容,有的则是提供一个平台由用户上传相关内容。前者如新闻网站发布记者采访的新闻稿,后者如网站提供网络留言版、公众号的评论区。内容提供者应当对其提供的内容有安全管理义务。这种安全管理义务通常包括三方面的内容:对网络内容的预先审查义务、实时监控义务、报告与删除义务。就网站自身提供的内容而言,这三个方面的安全管理义务都不难履行。但对于用户平台上传或发布的信息,网站或公众号等网络服务者是不是也具有此三项完整的内容,存在不同的观点。笔者认为,此种情况下,平台是一个信息的发布者,与缓存、存储服务类似,同样有审查、监控和删除义务。《互联网信息服务管理办法》第15条规定,互联网信息服务提供者不得制作、复制、发布、传播含有颠覆国家政权、破坏国家统一、煽动民族仇恨和民族歧视等危害内容的信息。该规定主要是赋予网络信息内容提供者审查义务。该办法对制作、发布和传播作了一致性规定,并未将制作与后两者分别开来,说明它们具有同样的义务。该办法第14条规定从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名。记录的目的一方面是强化内容提供者的审查义务,另一方面也能约束留言或评论者,防止其发布非法信息。从可行性上看,已有技术为内容安全审查提供了解决方案,如Web内容过滤器I-Gear,Email过滤器Mail-Gear,以及邮件安全信息网关、即时信息过滤器等各类内容安全产品,为网络内容的安全审查提供了技术支持。
四、信息网络安全管理义务履行可行性之考量
义务与能力虽然是两个不同的范畴,但二者有着密不可分的关系:义务的实质意义离不开对能力的评价。如果行为主体具有法律规定的义务,但行为主体缺乏行为能力,法律上的义务实质上就没有意义。例如刑法中规定了遗弃罪,该罪是指负有扶养义务的人,对年老、年幼、患病或者其他没有独立生活能力的人拒绝抚养、赡养或扶养,情节恶劣的行为。在评价行为人是否构成遗弃罪时,不但要明确其是否具有抚养、赡养或扶养义务,而且要评价其是否有履行该义务的能力。如果没有能力,即使他没有履行其法定义务,其行为可不会构成遗弃罪。同样,“不同的网络服务提供者只有在违背自己职能所承载的义务而助力犯罪,或在自己有能力发挥抑制犯罪作用而不作为时才承担刑事责任。”在拒不履行信息网络安全管理义务罪中网络服务提供者虽然具有上述物理安全管理义务、系统安全管理义务和网络安全管理义务,但它没有能力履行该义务,即使行政管理部门责令其改正而未改正,同样不应当以拒不履行信息网络安全管理义务罪对其定罪判刑。这里我们主要讨论两个方面的问题。
(一)自然人主体与组织主体的能力差异
根据《互联网信息服务管理办法》的规定,只要通过互联网向上网用户提供信息服务活动的,都是互联网信息服务,因此网络服务提供者范围非常广泛。自然人和单位均可以成为网络服务提供者。最高人民法院和最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第1条也明确规定提供网络服务的单位和个人都应当认定为网络服务提供者。
自然人与单位之间存在履行义务能力的差异。我国立法者也承认这种差异。例如《关键信息基础设施安全保护条例》第16条规定,运营者应当保障专门安全管理机构的运行经费、配备相应的人员。这是立法者从管理机构、经费和人员等方面赋予关键信息运营者安全管理义务。这种义务对于关键信息基础设施运营者而言不但是必须的,而且也是可行的,因为这类经营者一定是大型的组织机构,而不可能是单个的自然人。我国立法者并未在其他法律法规中普遍赋予网络服务提供者此类义务。否则,因自然人无法履行该义务会导致义务规定无现实意义。
在信息网络安全管理中,技术支持是重要一环。各国都重视采取技术手段弥补网络漏洞、抵御网络入侵、防范信息泄漏等。欧盟《网络与信息系统安全指令》第14条第1款规定, “成员国应当确保基本服务运营者采取合适和适当的技术与有组织的措施来管理其运营中的网络与信息系统安全风险。”我国《网络安全法》第21条和第43条也分别规定,网络运营者应当采取监测、记录网络支行状态、网络安全事件的技术措施;网络运营者应当采取技术措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。实践中,为确保网络安全也运用各种技术手段。例如网络服务提供者运用密码保护的专业技术手段来确保网络数据安全,创造安全的网络数据信息存储环境。但技术手段的运用需要相应的成本与技术人员的支持,这对自然人网络服务提供者来说可能是个极大的负担,甚至是难以承受的负担。
因此,无论是从制度建设、人员配置还是技术手段的采取上,自然人主体与单位主体存在实质上的差异。如何在信息网络安全管理中正视这种差异,并采取差异性的政策,是值得我们思考的问题。如果自然人网络服务提供者因未履行信息网络安全管理义务而被网络管理部门责令改变,因其不具备改正能力,是否就应当认定为拒不改正?能否因此而被认定为构成拒不履行信息网络安全义务罪?笔者认为,拒不改正是指网络服务提供者客观上有能力改正的情况下主观上拒不改正,而非仅从客观的角度上因其未改正即认定其“拒不改正”。
(二)信息网络安全管理义务的冲突
我国行政管理中职能部门众多,行政管理权力交叉重叠,对于同一个行政事务有不同的行政部门进行管理。同一个行政相对人在同一个事务中可能要应对不同的部门基于自身管理权限所作的行政管理决定。从立法规定看,立法者将众多行政单位设置为网络管理主体。例如根据《网络安全法》第8条的规定,从中央层看,国家网信部门、国务院工业和信息化、公安部门和其他有关部门都是网络安全管理主体;从地方层面看,县级以上地方人民政府有关部门也是网络安全管理主体。这些主体在网络安全管理中,会基于自身职权对网络服务提供者提出要求,而这些要求本身又可能存在冲突。这就会使网络服务提供者在信息网络安全管理过程存在义务冲突问题。而这会引发其网络安全管理义务履行的可行性问题,因为网络服务提供者面对冲突义务会无所适从。
网络服务提供者的安全管理义务冲突主要体现在防止违法信息大量传播与防止刑事犯罪证据灭失之间。法律和行政法规规定网络服务提供者不得传播违法信息,例如《互联网信息服务管理办法》第15条规定,互联网信息服务提供者不得传播含有颠覆国家政权、破坏国家统一、煽动民族仇恨、民族歧视等危害内容的信息;《反恐怖主义法》第19条规定网络服务提供者发现含有恐怖主义、极端主义内容的信息的,应当立即停止传输,删除相关信息。同时法律也规定发现违法信息时网络服务提供者应当保存相关记录。例如《反有组织犯罪法》第16条规定互联网服务提供者发现含有宣扬、诱导有组织犯罪内容的信息的,应当立即停止传输,采取消除等处置措施,保存相关记录。保存的记录是为侦查有组织犯罪保留刑事证据。在违法信息删除与相关记录的保存义务冲突时,如何做到两者种义务的协调,不但是网络服务提供者要充分注意的问题,也是司法机关在认定网络服务提供者信息网络安全管理义务履行中要注意的问题。司法实践中,针对该类安全管理义务的冲突,应当基于网络安全事件发生时的紧急情况、网络服务提供者履行安全管理义务的积极程度、不同网络管理部门介入先后顺序等综合认定,而不能仅基于其未履行其中某一义务就判定其未履行义务。
五、结 语
信息网络安全管理义务是拒不履行信息网络安全管理义务罪认定中的关键要素。由于《刑法》第286条之一将“经监管部门责令采取改正措施而拒不改正”作为该罪成立的前置条件,司法实践中裁判者往往会从形式要件的角度出发,审查案卷材料中是否有网络管理部门责令采取改正措施的行政命令。如果有该行政命令,而网络服务提供者又未按该行政命令改正,法院就会以拒不履行信息网络安全管理义务罪追究其刑事责任。这种不分析网络服务提供者具体信息网络安全管理义务的做法,会导致刑事判决仅具有形式合理性,而失之实质合理性。因此,在拒不履行信息网络安全管理义务案件的处理中,裁判者要结合网络服务提供者信息网络安全管理义务的内容、履行可能性等因素对其行为做实质性判断。
来源:《刑法论丛》2022年第3卷(总第71卷)
作者:赖早兴,湘潭大学法学院教授,博士生导师