文章来源:《法律适用》2020年第21期
童德华,中南财经政法大学刑事司法学院副院长、教授、博士生导师,法学博士,东盟刑事法研究中心主任。
马嘉阳,中南财经政法大学刑事司法学院刑法学硕士研究生。
本文系2020年度最高人民检察院检察理论研究课题“拒不履行信息网络安全管理义务罪研究”(课题编号:GJ2020WLB05)的阶段性成果以及2018年国家社科基金重点项目“中国刑法立法现代化的理论基础与路径选择研究”(项目批准号:18AFX013)的阶段性成果。
摘 要:
基于网络服务提供者在网络空间中的特殊地位,为其设置信息网络安全管理义务不仅能够满足实现现代网络治理的现实需要,同时也是解决规制网络犯罪理论困境的重要途径。当前我国对信息网络安全管理义务的设置存在缺乏明确性、缺乏系统性和缺乏类型性的问题。因此,应当在信息网络安全管理的实体性义务和程序性义务划分的基础上,根据网络服务提供者对终端信息数据的支配控制能力,对信息网络安全管理义务进行合理的配置。
关键词:
拒不履行信息网络安全管理义务罪 信息网络安全管理义务 网络服务提供者
一、问题的提出
互联网的出现和发展不仅是人类通讯技术的一次重大革命,同时也深刻地影响着人们的生活方式。据第45次《中国互联网络发展状况统计报告》显示:截至2020年3月,我国网民规模为9.04亿,互联网普及率达64.5%。在新冠肺炎疫情期间,互联网不仅为人们的衣食住行提供了便利,同时也成为人们开启生活、工作、学习的主要阵地。然而,随着互联网的迅速发展,与互联网相关的犯罪在数量、种类以及行为方式等方面都发生了巨大的变化。
我国刑法在契合社会现实需求的基础上对网络犯罪作出的回应体现了对我国传统刑法理论的突破。例如,共犯正犯化。提供侵入、非法控制计算机信息系统的程序、工具罪,帮助信息网络犯罪活动罪的设立就是帮助行为正犯化的具体表现。又如,对片面共犯的承认。根据我国相关司法解释的规定,利用计算机实施的共同犯罪往往放弃了对“共同意思联络”的要求。新增网络犯罪罪名、对传统刑法理论的突破在有效打击网络犯罪、治理维护网络安全方面发挥了重要的作用。
然而,自《刑法修正案(九)》专门增设拒不履行信息网络安全管理义务罪以来,该罪名的具体适用就一度陷入困境。在理论方面,拒不履行信息网络安全管理义务罪设立的必要性遭到了质疑。例如,有观点认为,该罪名的设立存在情绪性立法的色彩。在司法实践方面,裁判文书网中目前仅有两个案例以“拒不履行信息网络安全管理义务罪”定罪量刑。拒不履行信息网络安全管理义务罪在适用方面的困境,一方面源于对信息网络安全管理义务设置合理性的质疑;另一方面则在于信息网络安全管理义务的不明确性使具体的司法适用畏手畏脚。因此,本文试图在论证为网络服务提供者设置信息网络安全管理义务合理性的基础上,分析当前在信息网络安全管理义务设置方面存在的问题,并对网络服务提供者的信息网络安全管理义务作出合理的配置。
二、信息网络安全管理义务设置的合理性
《刑法修正案(九)》通过设立拒不履行信息网络安全管理义务罪为网络服务提供者设置了信息网络安全管理义务。虽然当前对信息网络安全管理义务罪的内涵和外延还存在一定的争议,但是在刑法中为网络服务提供者设定信息网络安全管理义务的合理性是能够予以证明的。
(一)实现现代网络治理的现实需要
“法律可以界定社会,正如它可以调控社会,但它只能根据社会本身提供的条件来界定社会”。社会的发展催生了现代网络治理为网络服务提供者设置信息网络安全管理义务的现实需要。这种现实需要主要表现在:
第一,互联网的迅速发展对网络治理提出了新的要求。互联网技术的出现和发展不仅影响着我国的社会经济,同时也深刻地改变了人们的生产生活方式。互联网在实现技术创新的同时亦创造了三种物质形态,即硬件形态、软件形态以及信息交互网络。由互联网产生的移动支付、电子货币、信息传输等新型产业打破了传统社会中物理时空的限制。因此,在互联网迅速发展的驱动下生成了网络治理新的现实需求。
首先,互联网发展下虚拟空间的形成对秩序的维护提出了新的要求。在计算机技术产生和发展的初期,由此形成的计算机以及计算机系统仍然表现为现实空间中的物质形态。然而,随着建立在计算机网络基础上的互联网的形成,其构建出区别于现实空间的网络虚拟空间。这种网络空间在具备虚拟性的同时更带有现实性的特征:一方面,网络空间成为了继现实空间之后人们交往活动的主要场所之一,即互联网实现了由单纯的“信息媒介”向“生活平台”的转变;另一方面,网络行为具有了社会意义,网络行为造成的影响可能会延伸到现实的世界。因此,如何维护人们生产生活的“第二空间”,即网络空间的秩序就成为不得不关注的话题。
其次,互联网发展下新型风险的产生对风险的防控提出了新的要求。“网络的匿名性、开放性和跨地域性”孕育了现代社会中的一种新型风险。网络不仅具有工具的属性,同时其还具有经营平台、传播媒介、技术平台、虚拟社会以及意识形态的属性。互联网在给人们的生产生活带来便利的同时,也制造了信息安全、财产安全等风险隐患。而这种新型的风险一旦成为现实则可能会对社会管理秩序、经济安全产生更加强大的破坏力。因此,如何有效地对网络制造的安全风险进行防控就成为网络治理过程中需要予以应对的难题。
最后,互联网发展下日益增加的网络犯罪对犯罪的治理提出了新的要求。“犯罪作为一种社会现象,具有与社会变动之间的联动性,社会的重大变动总是在犯罪中反映出来”。随着互联网的迅速发展,由此而衍生出的网络犯罪也成为刑事案件中的重要组成部分。根据最高人民法院发布的《网络犯罪特点和趋势》司法大数据专题报告显示,2016年-2018年,全国各级法院一审审结的网络犯罪案件共4.8万余件,占到了全部刑事案件的1.54%。同时,网络犯罪案件的数量也呈现出逐年上升的趋势。随着互联网由“联”字当头向“互”字当头的过渡,传统犯罪呈现出网络异化的特点。其一,在犯罪对象方面,计算机技术的发展不仅制造了可以作为犯罪对象的新的物质实体,例如计算机的硬件设备,同时也创造了可以作为犯罪对象的新的数字化虚拟物体,例如计算机系统、虚拟货币。其二,在犯罪行为方面,网络犯罪行为显示出专业性、职业化的特点。例如,将利用木马程序侵入计算机系统作为实施犯罪活动的手段。其三,在犯罪结果方面,互联网的无限延展性使得传统犯罪中的危害结果可能在网络空间中被无限地放大。例如,通过传统的传单、报纸等方式传播虚假信息的行为往往会受到时间、地域的限制,但是以网络的方式传播虚假信息则可以打破时空的限制,产生更大的社会影响。其四,在犯罪主体方面,“链条式”的网络犯罪,更易生成专业化的犯罪团体,因而使共同犯罪成为网络犯罪的主要形式。网络犯罪相较于传统犯罪的特殊性,使互联网犯罪的预防和惩治成为网络治理待以解决的重要问题之一。
第二,将网络服务提供者纳入网络治理的主体范围符合网络治理模式转变的现实需要。随着互联网技术的创新和发展,传统的以国家为主导的单一治理模式在网络治理的过程中逐渐失灵。面对互联网信息内容数量的庞大、传输速度的即时以及物理空间的无障碍,由国家通过立法规制网络违规行为的传统治理方式已经难以充分保障事后惩治作用的有效实现,更不用说发挥事前预防的功能。将网络服务提供者纳入网络治理的主体范围是实现网络治理由传统的“国家—行为人”的二元对立模式向“国家—网络服务商—行为人”的三元关系转变的现实需要。这种做法,对信息网络安全管理秩序的维护具有重要的意义。
首先,为网络服务提供者设置信息网络安全管理义务具有刑事合规的价值。刑事合规是指“避免因企业或企业员工相关行为给企业带来的刑事责任,国家通过刑事政策上的正向激励和责任归咎,推动企业以刑事法律的标准来识别、评估和预防公司的刑事风险,制定并实施遵守刑事法律的计划和措施”。刑事合规强调企业的内部控制机制,即通过企业的自我控制和管理以实现对犯罪的预防和自身责任的消解。将网络服务提供者作为网络治理的主体之一,通过法律法规为其设置信息网络安全管理义务,并施加相应的非刑事责任,甚至是刑事责任以倒逼网络服务提供者实现自我管理,体现了刑事合规的重要价值。
其次,将网络服务提供者和网络安全监管部门作为网络安全监管的双主体能够产生网络治理的“双赢”局面。就网络服务提供者而言,为其设置信息网络安全管理义务,一方面可以督促其建立健全内部的安全管理机制,不断完善提升网络技术手段,从而不仅能够有效防止他人利用其实施网络犯罪,同时也能够有效降低网络服务提供者被非法攻击的可能;另一方面,内部控制管理机制的建立,能够在网络服务提供者被他人利用实施犯罪时实现出罪或者是刑事责任的减轻。就国家和社会而言,双主体的治理方式,在减轻网络安全监管部门监管负担的同时,能够有效提升网络治理的质量和效率,对网络犯罪起到一般预防的作用。
最后,将网络服务提供者纳入网络治理主体的范围有助于推动网络治理的现代化。社会治理是国家治理现代化的重要组成部分,其强调发挥多元治理主体的作用。推进国家治理体系和治理能力现代化“需要围绕多元治理的结构重塑政府与社会关系”。换言之,在实现国家治理现代化的进程中,多元主体的治理模式将逐渐取代一元主体的治理模式,即“政府必须与各种社会组织一起形成协作网络,在共同分担社会责任的基础上形成多元协同治理机制”。网络犯罪治理是国家治理中的重要内容之一,将网络服务提供者纳入网络治理主体的范围内体现了在推进国家治理体系和治理能力现代化的进程中,促进国家与社会协同互动的思路,有利于实现“国家与社会共治”的犯罪治理结构。
(二)解决规制网络犯罪理论困境的重要途径
网络犯罪不同于传统犯罪,一方面,其表现出专业化、职业化的特点。网络犯罪的实施者常常能够通过互联网技术形成环环相扣、链条式的“犯罪共同体”。另一方面,传统犯罪可能借助网络技术跳出传统现实空间的束缚而转移到网络虚拟空间。因此,传统刑法理论在应对网络犯罪时,常常会出现以下的困境:其一,难以认定共同的犯罪故意。由于网络打破了时空的物理界限,因此,共同构建起同一犯罪链条的多个行为人之间可能并不存在犯罪意思的联络。在网络犯罪中,虽然各个行为对于具体犯罪的实施具有不可分割的关联性,但是行为主体的相对独立性使得共同的犯罪故意难以成立。其二,难以认定共犯的成立。根据共犯的从属性理论,共犯的成立需要以正犯的实行着手为前提。然而,在网络犯罪中,一方面由于难以肯定共同犯罪的故意,因而难以认定共同犯罪的成立,那么对于共犯的成立也就无从谈起;另一方面,即使双方具有犯罪意思的联络,也可能由于正犯的行为尚未达到需要刑法予以规制的程度,而难以认定共犯的成立。其三,存在违背罪责刑相适应的刑法基本原则的可能。在网络犯罪中,网络技术帮助行为有时会超越被帮助行为处于犯罪活动的中心地位,从而具有更加严重的社会危害性。然而,根据传统刑法理论对帮助行为的定位,其所承担的刑事责任必然小于正犯行为,因此难以满足罪责刑相适应的刑法基本原则的要求。
设立拒不履行信息网络安全管理义务罪,为网络服务提供者设置信息网络安全管理义务是解决传统刑法理论在规制网络犯罪时所遇困境的重要途径之一,即采用法律拟制的方式,将帮助行为正犯化。就提供网络服务的行为本身而言,其应当属于一种业务行为。当该种业务行为与犯罪活动产生关联时,就可能会存在“中立帮助行为”的问题。中立帮助行为是指在外观上无害的生活行为、业务行为等日常性行为在客观上对犯罪活动提供了帮助的一种情形。一般认为,为了保护国民的自由,中立帮助行为在原则上不应作为帮助犯予以处罚。这一原则也成为对拒不履行信息网络安全管理义务罪合理性提出质疑的理由之一。然而,根据拒不履行信息网络安全管理义务罪构成要件的规定,事实上已经不存在“中立帮助行为”的问题。
首先,“中立帮助行为”的核心在于帮助行为的中立性。然而,被本罪予以规制的是不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,并产生一定后果的行为。虽然中立帮助行为因其具有的日常性和无害化的特征而被原则性地排除在犯罪行为之外,但是被本罪规制的行为已经丧失了中立性的特点。其一,法律、行政法规为网络服务提供者创设了信息网络安全管理义务,因此没有履行该义务的网络服务提供者的业务行为已经具备了非法的性质。其二,“监管部门责令采取改正措施而拒不改正”的前提条件,不仅增加了网络服务提供者不履行信息网络安全管理义务行为的危险性,同时也印证了网络服务提供者对于实际可能产生的危害结果在主观上具有的故意。其三,由于成立本罪需要具备法定的四种情形之一,因此其亦丧失了“无害化”的外观特征。其四,一般能够被归为“中立帮助行为”的情形常常具有可替代性的特点,例如对意欲杀人的行为人出售刀具的行为,既可以由甲商店出售,也可以由乙商店出售。然而,在拒不履行信息网络安全管理义务罪中,由于网络服务提供者对特定网络信息内容具有支配控制的可能, 因而也就成为能够对特定网络信息内容进行管理的不可替代的主体。正是基于上述的原因,能够纳入本罪调整范围的行为事实上已经丧失了中立性的特点。
其次,“中立帮助行为”本身应当是一种帮助行为。在客观方面,“中立帮助行为”除了具备中立性的特点之外,其与一般的帮助行为并无实质的差别。该类行为在客观上能够对实施犯罪活动的主体提供物理或者心理上的支持。然而,本罪予以规制的行为并非是对犯罪活动提供技术帮助的帮助行为,而是经由法律拟制,在附加了限制性条件后的正犯行为。换言之,立法者通过帮助行为正犯化的方式,将网络服务提供者客观上能够对犯罪活动提供帮助的行为置于可能受到刑法规制的范围内。在此种意义上,这种行为已经不能被评价为帮助行为。
帮助行为的正犯化是刑法对具有特殊性的网络犯罪的一种积极回应。在传统的共同犯罪中,帮助行为的社会危害性程度难以脱离,甚至是超越正犯行为。然而,在网络犯罪中,传统的共同犯罪结构出现异化,帮助行为的社会危害性可能远远超过正犯行为的社会危害性。在拒不履行信息网络安全管理义务罪中,当网络服务提供者不履行信息网络安全管理义务时,则可能会产生聚集和扩散的双重效应。网络服务提供者的技术帮助行为可能会导致违法犯罪活动在其控制领域内的聚集。换言之,其可能会同时为多个网络犯罪活动提供技术上的帮助,从而间接产生多名受害人。由于网络服务提供者具有广泛的受众群体,其往往面向不特定的多数人,因而以其作为实施媒介的犯罪活动又会在短时间内产生扩散性的影响。因此,在拒不履行信息网络安全管理义务罪中,网络服务提供者的技术帮助行为在网络犯罪中处于中心的地位,从而具有了将帮助行为正犯化的必要性。
为网络服务提供者设置信息网络安全管理义务,将拒不履行信息网络安全管理义务的行为独立入罪,一方面能够解决传统刑法理论在认定共同犯罪时对犯罪故意和正犯行为依赖的难题;另一方面,其亦能够解决网络犯罪中的“责任倒挂”问题。如前所述,在本罪中,网络服务提供者的帮助行为在法律的规定下成为了拟制的正犯行为,在刑法规范评价方面具有了独立的意义。当网络技术支持的对象,例如违法信息的制造和传播尚未达到需要刑法予以规制的程度时,对于具有严重社会危害性的不履行信息网络安全管理义务的行为就可以采取刑罚的手段予以制裁。
(三)网络服务提供者具有特殊的地位
网络服务提供者在网络空间中的特殊地位主要表现在事实的层面和规范的层面。
在事实的层面,第一,网络服务提供者发挥着承上启下的中介作用。虽然网络服务提供者的内涵和外延在理论和实践中还存在一定的争议,但是对于向公众提供网络接入传输服务以及网络平台服务的主体应当是被纳入到网络服务提供者的范围之内的。因此,网络服务提供者在事实上成为信息发送方和信息接收方的中介。第二,网络服务提供者能够通过自身的技术实现对信息的管理和控制。例如,网络服务提供者可以将其平台上存在的违法信息及时删除或者断开链接。正是基于网络服务提供者具有的技术优势,法律才能为其设置在其技术控制范围内的对诸如违法信息、用户信息、刑事案件证据信息的管理义务。第三,网络服务提供者具有管理者和被管理者的双重身份。网络服务提供者作为网络活动的参与主体,无疑是网络监管部门的监管对象。同时,由于网络服务提供者能够对信息网络进行管理和控制,因而其又成为能够对信息网络安全进行管理的主体之一。
在规范的层面,对网络服务提供者设定信息网络安全管理义务能够从“义务犯”中找到法理的依据。义务犯是指行为人违反了根据其所处的社会地位而应当负有的义务。刑法虽然没有明文规定实行行为的外在形式,但是只要行为人违反了此种义务,就应当构成犯罪。“义务犯”的理论从功能性的规范视角解释了没有积极履行义务的人需要承担刑事责任的根据,即“一个人违反了自己所承担的社会角色提出的履行性要求”。“特别社会领域不同于一般社会领域之处,在于它对某些人提出了特别的积极要求,行为人只要进入该领域,就必须依要求行事”。在拒不履行信息网络安全管理义务罪中,基于网络服务提供者在网络空间中的特殊地位,其对构成要件结果的发生具有潜在的支配可能,因此法律赋予了其在该特殊领域内的特定义务。
三、信息网络安全管理义务设置存在的问题
为网络服务提供者设定信息网络安全管理义务固然有利于督促其不断完善技术安全措施,增强社会责任感,提高网络治理的质量和效率,对网络犯罪发挥提前预防的作用。然而,网络服务提供者不仅仅是网络环境的治理主体,同时其更是网络活动的参与主体。义务的设定如果超出了网络服务提供者能够承受的合理范围,如果打破了网络服务提供者在双重主体身份下的利益平衡,则其不但无法发挥在网络治理方面的积极作用,反而会使网络服务提供者束手束脚,从而阻碍互联网技术的创新和发展。当前拒不履行信息网络安全管理义务罪在司法实践中适用的遇冷,恰恰反映出信息网络安全管理义务的现有设置是存在问题的。
(一)信息网络安全管理义务的设置缺乏明确性
虽然我国刑法第286条之一规定了拒不履行信息网络安全管理义务罪,但是其并未对信息网络安全管理义务作出明确的界定,而是将该义务的具体内容指向了法律和行政法规的规定。当前我国关于网络服务提供者的信息网络安全管理义务主要散见于《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《信息网络传播权保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网信息服务管理办法》等法律法规中。虽然我国运用了多部法律法规来规定网络服务提供者的信息网络安全管理义务,但就具体的内容而言,一方面,其多表现为一般性的、抽象性的义务规定,例如,《中华人民共和国网络安全法》第28条对网络运营者的协助执法义务仅作了一般性的、概括性的规定。另一方面,其涵盖的内容过于宽泛,例如,根据《计算机信息网络国际联网安全保护管理办法》第10条的规定,网络服务提供者负有在建立健全安全保护管理制度、落实安全保护技术措施、负责对本网络用户的安全教育和培训、违法信息的删除等多个方面的义务。信息网络安全管理义务在内涵和外延上明确性的缺乏可能会产生两种极端化的后果:一是无限扩大网络服务提供者承担的信息网络安全管理义务的范围,从而使其不堪重负,增加该罪名被滥用的可能;二是基于信息网络安全管理义务内容的空泛,从而丧失了该义务在实践中被予以履行的可行性,使该罪名被置于高阁,难以发挥维护信息网络安全管理秩序的实际作用。
(二)信息网络安全管理义务的设置缺乏系统性
当前我国对于拒不履行信息网络安全管理义务罪中具体义务的设置采用的是空白罪状的方式。空白罪状是指刑法分则没有具体地规定犯罪构成,而需要参照、援引其他的非刑事法律法规。刑法通过空白罪状将具体义务的内容指向了其他的非刑事法律规范之中,从而带来了信息网络安全管理义务的设置缺乏系统性的问题,其主要表现为:
第一,刑法与非刑事法律规范之间缺乏对应性。拒不履行信息网络安全管理义务罪中的具体义务需要借助其他的非刑事法律规范予以界定。然而,当前我国有关信息网络安全管理义务的规定不仅分散在多部法律法规之中,其具体内容也涉及到网络安全制度构建的各个方面。因此,究竟其中的哪些义务能够与刑法中的规定相对应,事实上并不明确。同时,对网络安全予以规定的非刑事法律规范通常还具有附属刑法的性质。对于其中“构成犯罪的,依法追究刑事责任”的规定,究竟应当与刑法中的哪些条文相互呼应也是不明确的。
第二,各非刑事法律规范之间缺乏协调性。其主要表现在三个方面:其一,对信息网络安全管理义务的内容存在重叠性的设置。例如,《中华人民共和国网络安全法》第47条规定了对用户发布的信息的管理义务,同时《全国人民代表大会常务委员会关于加强网络信息保护的决定》第5条也对该义务作出了相同的规定。其二,具体概念的运用可能难以相互协调。例如,信息网络安全管理义务的责任主体界定不清。《中华人民共和国网络安全法》以“网络运营者”作为责任承担的主体,而在我国刑法以及《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规中,又以“网络服务提供者”作为责任承担的主体。其三,具体义务之间存在发生冲突的可能。例如,违法信息的删除义务与信息数据的留存义务就存在发生冲突的可能。
(三)信息网络安全管理义务的设置缺乏类型性
网络服务提供者的信息网络安全管理义务具有一定的特殊性。一方面,信息网络安全管理义务的内容具有较强的专业性。由网络服务提供者承担的对网络安全的维护往往通过采取技术措施的方式予以履行。例如,对网络中传播的作品的著作权的保护,就需要相应的网络服务提供者采取一定的技术措施以防止服务对象之外的人获取。另一方面,信息网络安全管理义务的内容具有一定的差异性。不同的网络服务提供者在网络链条中拥有不同位置、掌握不同的技术,因此其所承担的义务也应当是不同的。例如,对于提供网络传输服务的主体而言,由于网络信息传输速度的迅速和数量的庞大,如果对其施加主动的内容审查义务则超出了其能力允许的范围。
然而,就当前我国对信息网络安全管理义务的设置而言,其并未充分考虑到不同网络服务提供者在技术方面存在的差异,未根据不同的主体对信息网络安全管理义务进行类型化的设置。其主要表现在:一方面,不加区分地对不同的网络服务提供者设置相同的义务;另一方面,就同一义务没有区分不同网络服务提供者的能力大小而细化义务的具体内容。例如,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第5条为网络服务提供者设置了对用户发布的信息的管理义务。对于以提供接入、传输技术为内容的网络服务提供者而言,如何履行上述的义务就存在现实性和技术性的难题。
四、信息网络安全管理义务的合理配置
如何对网络服务提供者的信息网络安全管理义务进行合理的配置是拒不履行信息网络安全管理义务罪能否发挥网络治理实然效果的关键。当前,对于信息网络安全管理义务的设定主要包括以下几种方式:第一,根据网络信息数据流转的各个环节,对相关义务进行归纳和划分。第二,以刑法第286条之一规定的三种后果为出发点,对其要求的具体义务的合理适用进行探讨。第三,通过字面限缩的方式,将信息网络安全管理义务限定在与“安全”有关的范围内。第四,在对网络服务提供者类型化的基础上,为各类主体配置不同类型与限度的义务。
在上述义务配置的方式中,以网络信息数据流转的环节作为类型化的标准,虽然意识到了对义务进行归类划分的重要性,但是仅考虑网络信息数据流转的环节,而忽视不同网络服务提供者在技术能力方面的差异是难以实现对义务的合理配置的;以刑法规定的三种后果作为义务的具体内容予以构建,虽然能够与刑法的规定相互呼应,但是却不当地限缩了信息网络安全管理义务的范围;通过字面限缩的方式,突出“安全”的核心地位,是限制义务不当扩大的手段,而并未实现对具体义务的合理配置。义务的设置不能忽视主体履行义务的能力,因此,建立在对网络服务提供者类型化的基础上,对各类主体配置不同类型与限度的义务是较为可取的方式。
(一)网络服务提供者的类型化分析
为不同的网络服务提供者设置信息网络安全管理义务需要建立在对网络服务提供者予以类型化的基础上。如何对网络服务提供者进行划分,我国学者进行了较为广泛和深入的研究。例如,根据提供的服务内容可以将其划分为“网络接入服务提供者、网络平台服务提供者、网络内容及产品服务提供者”;或者划分为信息接入或传输服务提供者、信息缓存服务提供者、信息存储服务提供者和信息定位(搜索、链接)服务提供者;或者划分为“信息接入或传输服务提供者、信息存储服务提供者、信息缓存服务提供者、网络平台服务提供者”。又如,根据本罪保护的法益可以将其划分为网络空间的开辟者、运行者和维护者。事实上,随着互联网技术的不断创新发展,网络服务种类的不断增加,在有限的认识能力和科技水平的基础上,是不可能形成一劳永逸的分类方法的。尽管如此,为实现对信息网络安全管理义务的合理配置,应当在把握设置义务的标准的基础上,对网络服务提供者作出相对合理的分类。
1.网络服务提供者类型化的判断标准
网络服务提供者的具体划分应当立足于信息网络安全管理义务配置的依据。换言之,网络服务提供者义务的来源是对其进行类型化的关键。拒不履行信息网络安全管理义务罪是不作为犯,因此信息网络安全管理义务的来源也应当以不作为犯作为义务的来源作为理论依据。
关于不作为犯作为义务来源的根据,理论上主要存在形式的法义务说和实质的法义务说。形式的法义务说将不作为犯义务的来源诉诸于法令,契约、事务管理以及习惯和条理,不仅在内容上具有不确定性,同时亦难以说明设置相应义务的合理依据。实质的法义务说意图从实质的角度探讨设置义务的根据,其中包括先行行为说、事实上的接受说、因果经过支配说等多种学说。当前,“机能的二分说”占据主流的地位。其以行为人为中心,根据行为人与受保护法益之间的关系,行为人与被监督危险之间的关系把作为义务分为保护义务和安全义务。其中,保护义务主要来源于:第一,规范的根据,即为防止特定的法益受到侵害,法律对特定的人设定的保护义务;第二,任意的根据,即不作为者与被害人因合意而设定的保护义务;第三,机能的根据,即因被害人的法益机能性地依附于特定的人而设定的保护义务。安全义务主要来源于:第一,因自身产生的危险性的先行行为而制造了危险的场合;第二,属于行为人所支配的社会领域的场合;第三,对受其监督的被监督者实施监督的场合。
能够对某一具有风险性的对象予以实际支配的行为人,对于被支配对象所制造的风险就具有相应的监督管理义务,换言之“支配的另一面就是答责”。因此,为网络服务提供者设定信息网络安全管理义务能够从机能的二分说中的安全义务找到根据。网络服务提供者作为网络虚拟空间的制造者和参与者,能够通过掌握的技术优势实现对特定网络信息数据的支配和控制。正是基于网络服务提供者在网络虚拟空间中的特殊地位,对于在其能够施以支配和控制范围内出现的风险,就产生了相应的安全义务。换言之,网络服务提供者是否具有对特定网络信息数据的支配控制能力是设置相应的信息网络安全管理义务的核心。因此,对网络服务提供者予以类型化的判断标准就在于对特定网络信息数据的支配控制能力。
2.网络服务提供者的具体类型
结合网络服务提供者的技术性特点,在考虑网络服务提供者距离信息终端远近差异的基础上,根据网络服务提供者对信息终端的支配和控制能力,可以将其分为没有支配控制能力、可能具有支配控制能力以及具有绝对支配控制能力三种类型。
第一,没有支配控制能力。没有支配控制能力是指网络服务提供者对于终端信息数据没有支配和控制的能力。这一类的网络服务提供者主要指的是提供接入、传输等技术性服务的主体。例如,网络传输服务提供者。网络传输服务提供者是指“通过通信网络,将他人的信息进行传输或者接通获得使用这些信息的通道的服务者”。网络传输服务提供者可以具体分为两种类型:一是提供网络接入服务,即在网络用户和互联网之间搭建相互连接的通道;二是提供网络信息传送服务,即在网络用户和网络信息之间搭建相互连接的通道。对于此类网络服务提供者而言,其具有以下的特点:第一,提供的服务具有纯粹技术性的特点。网络传输服务提供者作为网络用户与互联网,网络用户与网络用户之间架接的桥梁,其提供的是具有纯粹技术性的服务。第二,并不介入被传输信息的内容。网络传输服务提供者仅为网络空间的构建搭建相互连通的桥梁,而不具体介入到被传输信息内容的选择和生成之中。
第二,可能具有支配控制能力。可能具有支配控制能力是指网络服务提供者具有对终端信息数据进行支配和控制的可能性。例如,储存服务提供者为网络用户提供了信息数据的储存空间,因此其具有通过技术以实现对该储存空间内的信息数据进行支配控制的可能。又如,缓存服务提供者以提高访问效率为目的,将网络用户频繁访问的内容予以临时性的储存,因此其对于缓存的内容也具有支配控制的可能。对于这类网络服务提供者而言,其是否现实性的能够对终端信息数据进行支配和控制,要判断其是否介入到了信息数据内容的选择和生成之中。如果网络服务提供者对信息数据内容的选择和生成施加了影响,则其具有现实的支配控制能力;反之,则仅具有支配控制的可能。
第三,具有绝对支配控制能力。具有绝对支配控制能力是指网络服务提供者能够对终端信息数据进行完全的支配和控制。最典型的就是网络内容服务提供者。网络内容服务提供者是指为网络用户提供具体网络内容的主体。对于此类网络服务提供者而言,其具有以下的特点:第一,是具体网络信息数据的制造者、发布者;第二,能够直接控制网络信息数据内容的生成。因此,对终端信息数据具有支配控制能力的网络服务提供者应当承担最大程度的信息网络安全管理义务。
(二)信息网络安全管理义务的类型化分析
根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《信息网络传播权保护条例》《互联网信息服务管理办法》等法律法规的规定,根据不同的分类标准,可以将信息网络安全管理义务划分为下述几个类型。
1.网络风险预防义务和网络风险控制义务
根据对网络风险应对阶段的不同,可以将网络安全管理义务分为网络风险预防义务和网络风险控制义务。网络风险预防义务是网络服务提供者在进行业务活动的过程中应当履行的具有基础性的义务,其主要包括:制定相应的内部安全管理制度和操作规程、制定网络安全事件的应急预案、进行网络安全评估、采取维护网络安全的相关技术措施、提供符合国家标准的服务和产品、健全用户信息保护制度、规范用户信息的收集和使用、对信息内容的审查等义务。网络风险控制义务是指在出现网络安全风险时,网络服务提供者应当履行的对风险予以降低、抑制、消除的义务。网络服务提供者在其业务活动的领域范围内,能够通过技术优势实现对特定网络空间的控制。因此,当网络安全风险在其能够施加控制的网络空间内产生时,特定的网络服务提供者就应当履行相应的风险控制义务。网络风险控制义务主要包括:启动网络安全事件应急预案、采取相应的补救措施、及时向有关部门进行报告、对用户信息的更正和删除、对违法信息的限制和删除、协助执法等义务。
2.网络信息安全义务和网络系统安全义务
根据信息网络安全管理对象的不同,可以将信息网络安全管理义务分为网络信息安全义务和网络系统安全义务。网络信息安全义务是指网络服务提供者应当履行的与维护网络信息安全有关的义务。例如,根据《中华人民共和国网络安全法》第40条的规定:网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。网络信息安全义务主要包括:建立网络信息安全投诉、举报制度,对用户信息的保护,对用户发布信息的管理,对相关信息的留存等义务。网络系统安全义务是指网络服务提供者应当履行的与维护网络系统安全有关的义务。例如,根据《中华人民共和国网络安全法》第21条的规定,网络运营者应当采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。网络系统安全义务主要包括采取维护网络系统安全的技术措施,监测、记录网络的运行状态,对网络产品、服务提供安全维护,对网络系统安全进行评估和报告等义务。
3.信息网络安全管理的实体性义务和信息网络安全管理的程序性义务
根据信息网络安全管理义务内容的不同,可以将信息网络安全管理义务分为实体性义务和程序性义务。信息网络安全管理的实体性义务是指网络服务提供者应当履行的具体的信息网络安全管理义务。例如,用户信息保护义务、用户发布信息的管理义务、信息系统安全的维护义务等。信息网络安全管理的程序性义务是指网络服务提供者为实现具体的信息网络安全管理义务所应当采取的相应的技术手段。例如,为实现对用户信息的保密而采取的技术手段;为防止对信息网络的非法入侵而采取的技术手段。之所以对信息网络安全管理义务进行实体性和程序性的划分,其原因在于信息网络安全管理义务带有浓厚的技术性特点。每一个具体实体性义务的履行都离不开特定的技术的支持。而针对同一具体义务,不同的网络服务提供者可能被赋予了不同的技术要求。
(三)信息网络安全管理义务的具体配置
不同的网络服务提供者基于对终端信息数据不同的支配控制能力,在信息网络安全管理义务的承担方面往往存在一定的差异。这种差异性主要表现在两个方面:一是不同的网络服务提供者可能承担不同的信息网络安全管理义务;二是不同的网络服务提供者对相同的信息网络安全管理义务可能存在履行程度上的差异。因此,对信息网络安全管理义务的具体配置应当建立在网络服务提供者以及信息网络安全管理义务双重类型化的基础上。由于信息网络安全管理义务具有较强的技术性特点,因此本文以实体性义务和程序性义务的划分为基础,对不同的网络服务提供者的信息网络安全管理义务进行具体的配置。
1.信息网络安全管理程序性义务的具体配置
信息网络安全管理的程序性义务是网络服务提供者为实现其实体性义务而应当采取的相应的技术手段。不同的网络服务提供者基于其对终端信息数据不同程度的支配控制能力,不仅对不同的实体性义务可能存在不同程度的程序性义务要求,对于同一实体性义务亦可能产生不同程度的程序性义务要求。因此,对信息网络安全管理的程序性义务的配置不仅需要考虑不同网络服务提供者技术能力的差异,同时还要考虑实现不同实体性义务的具体要求。由于信息网络安全管理的程序性义务具有较强的技术性,因此其具体的配置应当根据有关信息网络安全管理的国家标准、行业标准予以确定。根据《中华人民共和国网络安全法》第15条的规定,国家应当建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门应当根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
2.信息网络安全管理实体性义务的具体配置
根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《信息网络传播权保护条例》《互联网信息服务管理办法》等法律、行政法规的规定,网络服务提供者的信息网络安全管理实体性义务的内容较为广泛,因此本文选取其中较为常见的用户信息保护义务、用户发布信息的管理义务以及协助执法义务予以具体论述。
第一,用户信息保护义务。根据《中华人民共和国网络安全法》第22条的规定,网络服务提供者具有对用户信息予以保护的义务。关于用户信息保护义务,主要包括:其一,建立健全用户信息保护制度。其二,规范用户信息的收集和使用。网络服务提供者在收集和使用用户信息的过程中,应当以合法、正当、必要为原则;履行用户信息的保密义务,不得泄露、篡改、毁损;采取相关措施,确保个人信息安全。其三,更正、删除的义务。在用户要求的情况下,网络服务提供者对于错误的信息有义务进行更正,对于违规收集、使用的信息,遭到泄露的信息有义务予以删除。用户信息保护义务应当是网络服务提供者的一项基础性义务。因此,无论网络服务提供者是否对终端信息数据具有支配控制能力,只要其具有收集用户信息的功能,就应当依法履行用户信息保护义务。
第二,用户发布信息的管理义务。根据《中华人民共和国网络安全法》第47条的规定,网络服务提供者负有对其用户发布信息的管理义务。根据违法信息的出现时间,网络服务提供者对用户发布信息的管理义务可以分为三类:一是预先审查的义务;二是实时监控的义务;三是对违法信息的报告、删除义务。是否需要设置以及设置何种程度的对用户发布信息的管理义务,需要根据不同网络服务提供者对终端信息数据的支配和控制能力作出不同的规定。
首先,对于没有支配控制能力的网络服务提供者而言,其不应当承担对用户发布信息的管理义务。网络信息数据不仅数量庞大,同时还具有很快的传播速度,如果对所有的信息数据都进行审查,不仅可能存在技术上的困难,还会大大增加网络服务提供者的经营成本,甚至有可能侵犯网络用户的隐私。因此,对于诸如网络接入、传输等不具有支配控制能力的网络服务提供者而言,不应当承担对用户发布信息的管理义务。
其次,对于具有支配控制可能性的网络服务提供者而言,一般仅需要承担“通知——取下”的义务。“通知——取下”的义务是指网络服务提供者不承担对信息数据内容进行主动审查的义务,但如果被通知存在违法信息,则应当立即采取断开链接、删除等措施以防止违法信息进一步扩散传播。例如,根据《信息网络传播权保护条例》第15条的规定,提供信息存储空间或者提供搜索、链接服务的网络服务提供者在接到权利人的通知后,应当对涉嫌侵权的作品、表演、录音录像制品立即采取删除、断开链接的措施。“通知——取下”义务的设置实质上是网络服务提供者权利与义务相互权衡的结果,也就是所谓的“避风港原则”。根据《信息网络传播权保护条例》第22条、第23条的规定,网络服务提供者在履行了“通知——取下”的义务后,往往不需要对侵权信息承担赔偿责任。需要注意的是,对于具有现实支配控制能力的网络服务提供者而言,由于其对信息数据内容的选择和生成施加了影响,因而其应当承担更进一步的对用户发布信息的管理义务。对于其施加影响的信息数据,其应当承担主动审查的义务。
最后,对于具有绝对支配控制能力的网络服务提供者而言,由于这类主体往往就是信息数据的制造者或者传播者,因而其应当对信息数据的内容承担全部的责任,即承担最为严格的信息管理义务。
第三,协助执法义务。根据《中华人民共和国网络安全法》第28条的规定,网络服务提供者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。关于协助执法的义务,主要包括:其一,配合有关部门依法实施监督检查的义务;其二,保留、提供有关信息和证据的义务。例如,根据《信息网络传播权保护条例》第13条的规定,网络服务提供者有义务提供涉嫌侵权的服务对象的相关信息。一般而言,协助执法义务是网络服务提供者的一项基础性义务,即任何的网络服务提供者都应当对公权力机关的执法活动提供技术支持和协助。然而,需要注意的是,网络服务提供者提供的技术支持和协助应当在其技术能力允许的范围之内。例如,就违法信息而言,不具有支配控制能力的网络服务提供者,仅能采取诸如停止传输、断开链接等措施配合执法;具有支配控制能力的网络服务提供者可能就需要进一步承担信息数据留存等协助执法义务。
五、结语
刑法第286条之一规定的拒不履行信息网络安全管理义务罪,将网络服务提供者不履行信息网络安全管理义务的行为纳入了刑法可能规制的范围。为网络服务提供者设置信息网络安全管理义务是实现网络治理现代化的必然要求,亦是今后网络治理的一种重要趋势。当前我国的法律、行政法规虽然为网络服务提供者设置了较为广泛的信息网络安全管理义务,但是却仍然存在缺乏明确性、缺乏系统性和缺乏类型性的问题,从而加剧了对“不履行法律、行政法规规定的信息网络安全管理义务”的判断难度。因此,在对信息网络安全管理义务进行配置时,应当从信息网络安全管理的实体性义务和程序性义务两个角度出发,根据网络服务提供者对终端信息数据的支配控制能力,为其设置具有差异性的信息网络安全管理义务。
发表评论