文章来源:《法律适用》2020年第13期
陈奕屹,武汉大学法学院刑法学博士研究生。
摘 要:
我国《刑法》虽然于第286条之一规定了拒不履行信息网络安全管理义务罪,并在2019年10月出台了关于本罪的司法解释,然而网络服务提供者的内涵与外延在司法解释中仍缺乏功能性区分,导致包括电子商务平台在内的所有网络服务提供者信息网络安全管理义务的类型缺失,具体内容模糊。因此,疏通电子商务平台拒不履行信息网络安全管理义务罪的认定路径,需要从网络服务提供者的内涵出发,明确电子商务平台的主体资格,并从网络服务提供者的功能入手,将信息网络安全管理义务进行类型化处理,厘清电子商务平台具体的义务内容。
关键词:
拒不履行信息网络安全管理义务罪 电子商务平台 网络服务提供者
随着电子商务活动的飞速发展,发生于电子商务平台内或利用电子商务平台进行的犯罪数量激增,但电子商务平台在犯罪中的作用、安全管理义务及相关刑事责任仍不明确。2015年,《中华人民共和国刑法修正案(九)》(下简称《刑法修正案(九)》)新增了第286条之一拒不履行信息网络安全管理义务罪。此后,由于网络服务提供者的内涵和外延不清晰导致本罪适用困难,最高人民法院、最高人民检察院于2019年10月21日出台了《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(下简称《解释》)。该解释第1条将“提供网络接入、域名注册解析等信息网络接入、计算、存储、传输服务,信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务及利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务的单位和个人”,认定为刑法第286条之一第一款规定的“网络服务提供者”。
然而,上述《解释》中对网络服务提供者的列举、分类仍不能穷尽网络服务提供者的类型,不能完全将电子商务平台这种包含范围极广的网络平台囊括在内。不仅如此,由于本罪是典型的纯正不作为犯罪,作为义务的来源及内容是认定主体是否构成拒不履行信息网络安全管理义务罪的核心,但我国《刑法》及其司法解释仅对本罪的义务来源进行了简单的描述,缺乏对义务类型及义务内容的具体规定,更缺少网络服务提供者与其具体义务的一一对应,导致了电子商务平台认定本罪的困难。
因此,想要疏通电子商务平台拒不履行信息网络安全管理义务罪的认定与刑事责任追究路径,就必须要确定平台构成本罪的主体资格,明确其信息网络安全管理义务的具体内容。
一、电子商务平台拒不履行信息网络安全管理义务罪认定中的问题
在电子商务平台拒不履行信息网络安全管理义务罪的认定过程中,主体资格不适当、信息网络安全管理义务不明确两方面问题使得对电子商务平台进行主体判断和客观方面的判断时均遭遇壁垒,最终导致认定困难。
(一)电子商务平台主体资格不适当
如前所述,拒不履行信息网络安全管理义务罪的主体是《解释》中详细列举的网络服务提供者,但由于其自身业务内容的复杂与广泛性,电子商务平台并不能完全被囊括在列举的范围内。
首先,电子商务平台显然不属于信息网络接入、计算、存储、传输服务或信息网络公共服务提供者,从表面上看,其似乎符合信息网络应用服务提供者中的网络购物服务提供者。然而,结合《电商法》对电子商务的定义,电子商务平台是能够进行商品交易或服务提供活动的互联网平台,其为使用者提供的服务并非“网络购物”这么简单。购物,即购买货物,是一种商品交易行为,网络购物则是利用互联网进行的商品交易行为。而电子商务是利用互联网等其他信息网络进行的经营活动,包括商品交易和服务提供,显然是网络购物的上位概念。网络购物服务提供者自然不能将电子商务平台完全囊括在内。
其次,《解释》第1条中列举的其他信息网络应用服务也不能将电子商务平台提供的服务完全囊括在内。电子商务平台提供的服务是多样的,综合的,可能包括广告推广、网络预约,也可能包括应用商店。然而,电子商务平台为其服务者提供的最重要的服务——提供交易场所却未在条文中列举。
此外,需要强调的是,信息网络应用服务是一个极为宽泛的技术概念,包含了由信息网络系统最终直接给应用进程使用的各种服务。若将其进行广义理解,则包括网络接入、计算、存储、传输服务;若进行狭义理解,信息网络公共服务也应囊括在内。因此,本文认为此处引入这一技术概念是不符合逻辑的,故在评价电子商务平台是否为该条描述的网络服务提供者时,仅考虑列举出的项目。
(二)信息网络安全管理义务内容模糊
根据《刑法》第286条之一规定,信息网络安全管理义务的内容是由其他法律和行政法规进行具体规定的。经过整理,至少有包括《中华人民共和国网络安全法》《中华人民共和国反恐怖主义法》《中华人民共和国慈善法》《中华人民共和国侵权责任法》《中华人民共和国电子商务法》《中华人民共和国电影产业促进法》《中华人民共和国著作权法》《中华人民共和国电信条例》《出版管理条例》《互联网信息管理办法》《信息网络传播权保护条例》等在内的十余项法律法规可能涉及到的信息网络安全管理义务的具体内容。上述法律、法规涉及到的领域广泛、内容庞杂。如果不对义务进行类型化处理,无法确认某一特定的网络服务提供者应当履行哪些具体的义务,司法实践中的认定难度可以想见。
除此此外,拒不履行信息网络安全管理义务罪保护的法益至今仍在争论中。根据《刑法》第286条之一的规定,本罪的客观方面是不履行信息网络安全管理义务,并在责令后仍不改正并导致严重后果。因此,在义务内容不明确的情况下,只能依照本罪侵犯的法益,在上述众多法律规范中检索网络服务提供者违背哪项具体义务,才会导致本罪保护的法益受到侵害。关于本罪保护的法益目前有具备公共利益属性的特定信息专有权、信息网络及信息网络管理秩序、网络安全及信息网络安全管理秩序等多种观点。每一种观点带入到各个网络服务提供者中,涉及的都是不同的具体义务内容,换言之,保护法益不明确的现状加剧了信息网络安全管理义务的模糊程度,使得本罪的认定更为困难。
二、网络服务提供者的功能性区分
网络服务提供者泛指通过信息网络向公众提供信息或者为获取网络信息等目的提供服务的机构,包括网络上的一切提供设施、信息和中介、接入等技术服务的个人用户、网络服务商以及非营利组织。以定义为起点对网络服务提供者进行功能性区分不仅是实现信息网络安全管理义务类型化、具体化的前提,更是确定电子商务平台构成拒不履行信息网络安全管理罪主体资格的基础。对于网络服务提供者的功能性区分,可以借鉴欧盟和德国普遍应用的控制力理论展开。
(一)控制力理论的核心观点
控制力理论,是将网络服务提供者对平台内信息和行为的控制力大小作为判断其义务和责任大小的依据,对信息和行为控制力越强的网络服务提供者,拥有范围越广的监管义务并因此承担更重的责任。以德国《电信媒体法》对网络服务提供者的分类为例,信息传输服务提供者因其仅拥有为电子信息提供一过性通道的功能,对信息内容毫无控制力,对信息内容没有监管义务,不对信息的犯罪或侵权承担责任;自动缓存服务提供者虽然提供对电子信息的存储服务,但这种存储是自动进行的暂时性存储,服务提供者同样对信息没有控制力,也因此不具有监管义务和责任;储存服务提供者提供的存储服务与缓存服务提供者不同,该提供者的存储服务是长期的,当其发现存储信息具有非法性时,只有立即处理才能免于承担责任;内容提供者是对信息控制力最强的网络服务提供者,对其自身提供的信息承担完全的监管义务和责任。
控制力理论针的核心逻辑,是网络服务提供者与相关电子信息的距离越近,其控制电子信息的可能性就越高,也因此对信息承担更重的义务与责任。若将其适用范围从电子信息中扩散开来,辐射至网络空间内的所有犯罪,该逻辑即可推演为网络服务提供者与相关犯罪的距离越近,其发现、约束、遏制犯罪的可能性就越高,也因此对监督控制犯罪承担更重的义务与责任。网络服务提供者与犯罪的距离,主要可从以下两方面入手进行衡量:
知悉犯罪发生的可能性。网络服务提供者的服务内容及其在犯罪过程中的作用决定了其知悉犯罪发生的可能性。以缓存服务提供者和内容提供者为例:缓存服务提供者为用户提供自动、暂时性的储存服务,由于储存活动是自动触发且非永久存在,缓存服务提供者不具有知悉服务空间内犯罪发生的可能;内容提供者则不然,其直接为用户提供了电子信息的内容,自信息出现伊始就可以知悉其内容是否涉嫌犯罪,在知悉犯罪发生的可能性上远高于缓存服务提供者。
遏制犯罪发展的可能性。网络服务提供者的服务内容及其技术水平决定了其知悉犯罪后对犯罪进行及时遏制的可能性。以通道服务提供者和存储服务提供者为例:通道服务提供者的服务内容主要是提供基础性的网络联线服务,完全无法立即知晓行为人利用其联线服务实施的犯罪行为,即使随后知晓,也无法从技术层面实现对犯罪行为的及时遏制;存储服务提供者则是以自己的服务器或系统专门为网络用户提供信息存储空间服务,对自身信息存储空间内发生的犯罪行为(如侵犯知识产权),存储服务提供者虽同样无法预先知悉,但可以在知悉后立即对涉嫌犯罪的行为进行处理,相较通道服务提供者拥有更高的遏制犯罪发展的可能性。
(二)控制力理论指导下网络服提供者的分类
依照控制力理论,可以将网络服务提供者分为通道服务提供者、自动缓存服务提供者、存储服务提供者、内容提供者和网络平台。这一分类方法相较德国的“四分法”多出了网络平台这一类型,它是一种既独立又融合了其他四种网络服务提供者服务内容的特殊主体。
一方面,网络平台的功能远超通道服务提供者、自动缓存服务提供者、存储服务提供者为用户提供的单纯技术保障或通道服务,其具备充分的能力并且也已经积极参与到了对平台内信息流动的控制中。本文认为,面向大众的网络平台可以被认为是互联网空间中的一个场所,其作为场所的搭建方和管理者,为平台使用者提供的服务是一种区别于提供连接通道、缓存、储存服务的展示(包括向不特定的公众进行展示、向特定的部分人进行展示和仅向使用者自己展示)和管理服务。其中,展示服务要求平台为使用者在场所内提供充足的展示空间,使用者除了支付基础的展示费用外(部分平台不收取基础展示费用),可以向平台支付一定的对价以获取更优的展示位置(如网站首页、搜索排名靠前等);管理服务一般针对向不特定的公众和特定的部分人进行内容展示的平台使用者,平台在收取服务费后,通过计划、组织、协调、控制等管理方式使得使用者通过被展示信息的内容获取利益。因此,平台与平台内信息内容之间的关系虽不像内容提供者一般密切,但也绝非同存储服务提供者一样是不涉内容的长期存储服务提供关系,从知悉犯罪可能性的角度来看,是一种独立于其他四种类型的独立主体。
另一方面,由于其自身技术的丰富性,网络平台实际上可以选择或综合提供其他几类提供者的服务,在提供展示、管理服务的同时,向使用者提供通道、缓存、存储甚至内容服务。因此,它在具有独立属性的同时,也融合了其他服务提供者的特征,拥有其他服务提供者的能力。
综上,网络平台在对犯罪的控制力上别于其他四类网络服务提供者。在知悉犯罪的可能性方面,网络平台与平台使用者在平台内的关系显著密切于通道、缓存及储存服务提供者。由于网络平台的展示和管理功能,其对平台内的信息需要预先进行筛选和划分,在知悉犯罪可能性的程度上虽不及内容提供者,但远高于其他三类。遏制犯罪的可能性方面,网络平台对平台内信息有快速删除的能力,对平台使用者的行为也有一定的监测和控制能力。故网络平台对犯罪的遏制可能性低于内容提供者,但高于其他三类。结合以上两点可知,网络平台对平台内犯罪行为的综合控制力低于内容提供者高于通道、缓存和存储服务提供者。
(三)网络平台形式的多样及电子商务平台的地位
与其他四类网络服务提供者为使用者提供的相对单一、统一的服务内容不同,网络平台作为一个虚拟场所的创建者和管理者,其场所的涉及领域涵盖了日常生活中的各个方面。根据其涉及领域和服务、管理的具体内容可将网络平台分为以社交平台、金融平台、播放平台、电子商务平台等四类最为典型的不同形式。
其中,纯粹的社交平台是具有一定范围内信息公开、共享媒介功能的用于社群交往的网络平台,其服务内容主要包括个人生活、通讯信息的公开或私密传播;(互联网)金融平台是为所有的经济需求和供给提供自我搜寻和匹配场所的网络平台,其主要功能是为用户提供资金借贷的中介服务;播放平台一般包括视频播放平台和音乐播放平台,其主要服务内容是为使用者提供视频、音频资源,同时允许使用者上传资源相互交流,播放平台涉及到的法益主要包括社会公共管理秩序和个人智慧法益等;电子商务平台则可进一步细分为商品交易平台、服务提供平台和综合类平台。
综上所述,通过将控制力理论和涉及领域的功能相结合,本文最终将网络服务提供者进行了如下图所示的四级功能性区分。这种区分方式与《解释》中的三分法相比,涵盖的范围更广,也更有利于义务的类型化。此外,依照网络服务提供者的定义及上述区分方式,电子商务平台当然拥有拒不履行信息网络安全管理义务罪的主体资格。
三、信息网络安全管理义务内容的明确
信息网络安全管理义务是《刑法修正案(九)》第一次提出的概念,但在《刑法修正案(九)》中并没有明确规定该义务的范围,其他法律规范中亦没有相关参照。将各网络服务提供者的信息网络安全管理义务进行类型化的处理,除了要对其进行功能性区分,还要明确拒不履行信息网络安全管理义务罪所保护的法益用以判断义务的范围,在明确义务范围的基础上根据各网络服务提供者的功能,确定其具体的义务内容。
(一)拒不履行信息网络安全管理义务罪保护的法益
如前所述,针对拒不履行信息网络安全管理义务罪的义务,目前学界有四种不同的学说:
特定信息专有权说。该说认为,信息网络安全管理义务的内涵是以“网络信息安全保护”为核心的配合义务。基于此,本罪保护的法益是信息法益中的一部分,而刑法所保护的信息法益是指受刑法所保护的信息主体所享有包括信息专有权、信息传播权、信息利用权、信息维持权及信息获取权在内的信息权利。结合本罪的危害结果,本罪保护的信息法益是负责处理违法信息的相关部门为了履行其职能所享有的违法信息专有权、用户信息专有权及刑事案件证据信息专有权。然而,专有权(exclusive right)是一个来源于知识产权法领域的法律概念,是一种与公共利益对立的私人权利。持特定信息专有权说的学者列举出的三种权利中,只有用户信息专有权一种是私人享有的权利。因此,本文认为将拒不履行信息网络安全管理义务罪保护的法益概括为特定信息专有权是不符合专有权这一法律概念的,不能成立。
信息网络及信息网络管理秩序说。该说认为,网络空间是一个独立的空间,其自身和在其中形成的人与网络空间的新型关系都可以被侵害,因此本罪保护的法益除了信息网络管理秩序外,还包括信息网络本身。针对这一观点,本文认为,法益是指根据宪法的基本原则,由法所保护的、客观上可能受到侵害或者威胁的人的生活利益,无论是信息网络空间本身还是该空间与人的关系都不是本罪保护的客观上存在的人的生活利益。首先,空间是一个客观的环境,不能脱离与人的关系独立评价;其次,人与空间之间的关系固然可以被侵害,但在信息网络空间中,人与空间有包括空间与管理者、空间与建造者、空间与使用者、空间与监督者等数种,这些关系间的利益错综复杂并非全部包含在本罪的调整范围之内。综上,信息网络及信息网络管理秩序说也存在明显的瑕疵。
网络安全说。该说认为,拒不履行信息网络安全管理义务罪将网络服务提供者的社会责任和管理义务径直提升为刑法义务,很大程度上超越了对刑法的属性其体系地位的传统定位,彰显的是优先保护网络安全的价值取向,而这种对网络安全的保护是一种出于危险防范的象征性立法,必然会造成刑法功能的损害,本罪中“致使违法信息大量传播”和“致使刑事案件证据灭失”的矛盾就是损害的体现。必须承认的是,保护网络安全确实是设立本罪的目的与价值取向之一,但是目的和价值取向不一定等于法益。因此,本罪所保护的法益应当是一个具象的、客观存在的利益而非抽象的网络安全。
信息网络安全管理秩序说。该说认为,依照对刑法的体系解释,拒不履行信息网络安全管理义务罪保护的法益是网络虚拟空间内的秩序。这种观点虽无错误,但是信息网络安全管理秩序的概念过于笼统,不能形成与危害行为、危害结果的对应,也无法据此推演出信息网络安全管理义务的具体内容。
根据对罪名的体系解释、文义解释和目的解释,结合法益的内涵,本文认为拒不履行信息网络安全管理义务罪保护的法益是以保护网络安全为目的的互联网信息管理制度,具体理由如下:
第一,根据体系解释,本罪保护的法益是一种公共秩序。拒不履行信息网络安全管理义务罪见于我国《刑法》第六章妨害社会管理秩序罪第一节扰乱公共秩序罪中。因此,本罪保护的法益应当是一种公共秩序,既不是人身权利、财产权利等不同于社会管理秩序的其他权利,也不是司法秩序、国边境管理秩序等其他不同于公共秩序的其他社会管理秩序。
第二,根据文义解释,本罪保护的法益是互联网信息管理制度。公共秩序是对一国社会重大利益、法律基本原则、基本政策、社会秩序以及基本道德观念的统称,是公民必须遵守的社会生活规则。依照本罪客观方面中的危害行为可知,本罪保护的公共秩序的表现形式是成文法律和行政法规;依照本罪客观方面中的危害结果可知,本罪保护的公共秩序内容是互联网信息管理制度,该制度包括网络服务提供者对违法信息、个人信息、刑事犯罪证据信息等多种互联网信息的管理义务。
第三,根据目的解释,保护互联网信息管理制度的目的是维护网络安全,符合本罪保护网络安全的立法目的。网络是由信息构成的,信息的安全与否决定了网络安全。因此,保护互联网信息管理制度可以帮助达到本罪维护互联网安全的立法目的。
第四,互联网信息管理制度符合法益“客观上可能受到侵害或者威胁的人的生活利益”的概念。互联网信息管理制度关系到用户的个人信息、知识产权以及整个互联网环境的安全,该制度受到侵害就意味着上述权利和网络环境的安全可能受到侵害,严重威胁普通网民的生活利益。
综合以上四点,拒不履行信息网络安全管理义务罪的客体是互联信息管理制度。信息网络安全管理义务的类型化和具体化应当紧紧围绕这一法益展开。
(二)信息网络安全管理义务的类型化
信息网络安全管理义务的类型化,是指将该义务的内容依照网络服务提供者功能的不同予以区分。如前所述,拒不履行信息网络安全管理义务罪保护的法益是互联网信息管理制度,因此,本罪中抽象的信息网络安全管理义务具象化之后就是网络服务提供者有关互联网信息管理的义务。对该义务进行类型化处理,首先需要对义务内容进行明确,即明确网络服务提供者的互联网信息管理义务包括哪些具体内容。
1.互联网信息管理义务的管理范围
依照拒不履行信息网络安全管理义务罪的危害结果,本罪涉及的互联网信息包括三种:违法信息、用户个人信息、刑事犯罪证据信息。
(1)违法信息
违法信息,包括一般违法信息和刑事犯罪信息。其中,互联网空间中涉及最多的一般违法信息主要是不达刑事犯罪情节标准的侵犯他人知识产权的违法信息以及淫秽、暴力信息;刑事犯罪信息主要是含有恐怖主义、极端主义等内容的信息。针对这一类信息的管理,域外各国主要采取的方式有被动处理义务和主动监管义务两种,并以被动处理为一般义务,以主动监管为特殊义务。
以欧盟出台的《电子商务指令》为例,该指令序言第(46)条规定:信息社会服务的提供者在知悉服务范围内存在非法信息或犯罪行为后,必须迅速删除该信息或禁止访问,这种知悉后立即删除或禁止访问的管理义务即为被动处理义务;此外,该序言第(48)条还规定:各成员国为了防止某类非法活动可以要求一些服务提供者对违法信息和犯罪服务有主动注意义务,这种主动注意义务就是前文所指的主动监管义务。
我国《网络安全法》有关网络服务提供者对其服务范围内违法信息的管理义务仅强调了被动处理义务。该法第47条规定:“网络运营者……发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息……并向有关主管部门报告”。
(2)用户个人信息
用户个人信息,指包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等在内的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的公民个人信息。网络服务提供者对用户个人信息的管理义务应当从信息的获取和信息保存两个阶段来看。
信息获取阶段,德国《电信媒体法》为网络服务提供者收集用户信息时应当履行的义务内容作出了极好的示范。该法规定:服务提供者承担保护用户数据的义务,只能在相关法律许可或者用户同意的范围内,为了提供电信多媒体服务或者为了其他目的而收集和使用个人数据。这一规定要求网络服务提供者在收集用户个人信息时,必须以提供服务为目的、以符合法律规定和用户同意为前提条件,未满足上述任意一条者即未能履行义务。与信息获取阶段相比,网络服务提供者在信息保存阶段则相对简单,即为妥善保存义务。
针对上述两个阶段中电子商务平台对用户个人信息的保护义务,我国《网络安全法》借鉴了德国《电信媒体法》中的相关内容,于第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则……不得收集与其提供的服务无关的个人信息……应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息”。
(3)刑事犯罪证据信息
网络服务提供者对刑事犯罪证据信息的管理义务,实际上是协助执法义务中的数据留存义务。协助执法义务,是指网络服务提供者协助犯罪侦查部门以技术手段获取他人通信内容或通信相关数据,包括通信监视、数据留存及其附随的提供所持有的数据、报告违法信息和活动、提供技术协助、保密等义务,通常由公共电信服务提供者承担。其中的数据留存义务,是指网络服务提供者使用技术手段对用户因使用服务产生的信息进行保存,在有关部门调查刑事犯罪时予以提供的义务。
数据留存义务最早见于2006年欧盟理事会颁布的《数据留存指令》。该指令第5条规定,相关网络服务提供者需留存跟踪和标识通信源所需的数据、标识通信目的地所需的数据、确定通信日期、时间和持续时间所必需的数据、标识通信类型所需的数据、识别用户的通信设备或声称是其设备的所需的数据以及确定移动通信设备位置所必需的数据。然而,如此详尽的指令却在2014年因对用户的隐私和个人信息造成不必要的干扰被欧洲法院判定为无效。《数据留存指令》的废止,表明了欧盟在面对网络服务提供者保护公民个人信息义务与保存违法犯罪证据信息义务之间的矛盾时作出的价值判断与选择,但本文认为这样从“全有”直接到“全无”的选择过于片面,不应全部借鉴。
参照我国《刑事诉讼法》第50条规定的八种基本类型,网络服务提供者管理的证据信息属于电子数据的范畴。目前,我国《刑事诉讼法》及相关司法解释并未明确指出电子数据的具体内容或分类。参照《最高人民法院关于民事诉讼证据的若干规定》第14条的规定,网络平台发布的信息为公开信息,不涉及隐私权或个人信息保护的问题;用户注册信息、身份认证信息为具有身份识别性的个人信息,应当依照《网络安全法》第41条进行采集和储存;通信信息、电子交易记录、通信记录、未公开的电子文件等,是需要着重进行讨论是否应被网络服务提供者留存或应当如何被留存的涉及隐私权的刑事证据信息。本文认为,上述信息都应被网络服务提供者留存。
首先,通信记录、交易记录在非互联网环境中也必须被通信公司和金融机构留存。单纯的留存此类信息,并不会涉及到对用户隐私权的侵犯,只有管理不当造成信息的泄漏时,才会侵犯用户的隐私权。其次,通信信息(指通信内容),当属用户的个人隐私。但是,网络服务提供者是通过数据的形式对通信信息进行留存的,在不经过许可和授权、不对数据进行处理的情况下,其工作人员无法直接从数据中读取信息的内容。因此,储存并妥善管理通信信息不会对用户的隐私权造成侵犯。最后,与通信信息同理,网络服务者也是通过数据的形式对其用户上传的电子文件进行保存,这种数据化的储存不会侵犯用户的隐私权。
此外,对于刑事犯罪证据信息的管理义务,我国《网络安全法》也在第47条及第48条中有相应的规定。
2.互联网信息管理义务的类型化
在明确了三项管理义务的具体内容后,需要根据网络服务提供者功能的不同对其义务进行类型化区分,方便拒不履行信息网络安全管理义务罪在司法实践中的运用。如前文所述,对于网络服务提供者的功能性区分是以控制力理论为依据的,五类网络服务提供者互联网信息管理义务的内容也依照其控制力从寡至多递增。
(1)通道服务提供者
通道服务提供者为其用户提供基础性的网络联线服务。其对利用通道传输的违法信息没有知悉的可能性亦没有控制的能力,故不对违法信息承担管理义务;同理,由于通道服务提供者对利用通道传输的信息没有存储的能力,对这部分信息也不承担刑事证据信息的管理义务。
但是,如果用户在申请通道服务时需要提交个人信息,通道服务提供者需要对被提交的个人信息承担相应的管理义务。同时,通道服务提供者对可以被当作刑事证据信息的通道使用记录、登录日志等,具有管理义务。
(2)自动缓存服务提供者
自动缓存服务提供者为其用户提供自动、暂时性的储存服务。由于其提供的储存服务是自动触发的且具有暂时性和一过性,对自动缓存的违法信息没有知悉可能性和控制能力,不对违法信息承担管理义务。与此同时,由于其对缓存的信息没有存储能力,对这部分信息也不承担刑事证据信息的管理义务。
与通道服务提供者类似,如果用户在申请缓存服务时需要提交个人信息,缓存服务提供者需要对被提交的个人信息承担相应的管理义务,其对可以被当作刑事证据信息的缓存记录也具有管理义务。
(3)存储服务提供者
存储服务提供者为其用户提供相对长期的信息存储服务。与自动缓存服务提供者不同,其对自身空间内存储的违法信息虽然缺乏主动知悉的可能性,但在被动知悉后,其对违法信息具有控制能力,可以对违法信息进行删除或屏蔽。因此,针对违法信息,存储服务提供者虽无主动监管义务,但有被动处理义务,即在知悉存储空间内存在违法信息时须立即对信息进行删除或屏蔽。也正因为存储服务提供者的信息控制能力,其对存储空间内的刑事证据信息也有管理义务。个人信息管理义务与其他两类服务提供者类似,此处不再赘述。
(4)网络平台
网络平台为其用户提供信息展示场所、网络活动场所及场所基本秩序维持、管理服务。与存储服务提供者相比,网络平台对平台内违法信息具有更强的控制能力,因此其当然对平台内违法信息有处理的义务。然而,由于网络平台的功能范围较广,部分平台对其平台内的违法信息拥有知悉的可能性也因此具有主动监管义务(如金融平台),部分平台则完全相反(如社交平台)。
但毋庸置疑的是,各类网络平台均具有个人信息管理义务和刑事证据信息管理义务。
(5)内容提供者
内容提供者为其用户提供电子信息的具体内容。与以上四类网络服务提供者不同,内容提供者与违法信息之间的关系不是管理关系,而是创造、发布关系。当内容提供者为其用户提供了违法信息时,其行为不再是可以被拒不履行信息网络安全管理义务罪调整的不作为行为,而是应当被其他罪名调整的作为行为。但其对个人信息和刑事证据信息的管理义务并不因此而改变。
综上所述,五类网络服务提供者应履行的互联网信息管理义务如下表所示,电子商务平台的信息网络安全管理义务,应据此展开讨论。
(三)电子商务平台的信息网络安全管理义务内容
作为网络平台的一种,电子商务平台的信息网络安全管理义务(结合本罪法益具体为互联网信息管理义务)应当参照上文网络平台的义务内容分类结合红旗标准进行进一步细化。
1.电子商务平台的违法信息管理义务
如前所述,网络服务提供者的违法信息管理义务分为主动监管义务和被动处理义务,参照《电子商务法》,电子商务平台对于平台内的违法信息暂不具有主动监管义务。因此,此处仅讨论平台针对违法信息的被动处理义务,并引入红旗标准作为义务前提的判断依据。
《电子商务法》第45条、《反恐怖主义法》第19条、《网络安全法》第37条规等法律法规,均赋予了电子商务平台对平台内侵犯他人知识产权、含有恐怖主义或极端主义等违法信息具有被动处理义务,其在知道或应当知道平台内有上述违法信息时,须立即采取删除、屏蔽、终止交易等必要措施。而知道或应当知道的判断,则需要引入红旗标准,即当违法信息的违法性已经像一面鲜亮的红旗一样可被与电子商务平台同样处境的一般人知道时,则判定平台知道信息的违法性,须及时对信息进行处理防止其大范围传播,反之亦然。
2.电子商务平台的个人信息管理义务
《电子商务法》第23条将全部电子商务经营者(包括电子商务平台及平台内经营者)的个人信息管理义务链接至其他相关法律法规。结合《网络安全法》第40条、第41条、第42条、第43条的规定,电子商务平台的个人信息管理义务主要包括:对其收集的用户信息严格保密,并建立健全用户信息保护制度;收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
3.电子商务平台的刑事证据信息管理义务
参照《电子商务法》第30条的规定,交易信息作为刑事证据中的电子信息属于电子商务平台的互联网信息管理义务的范围。此外,《网络安全法》《反恐怖主义法》也在多项条文中规定了包括电子商务平台在内的多种网络服务提供者的刑事证据信息管理义务及具体管理内容。
综上所述,电子商务平台具有拒不履行信息网络安全管理义务罪的主体资格,当其没有履行违法信息被动处理义务、个人信息管理义务及刑事证据信息管理义务并导致《刑法》第286条之一规定的严重后果时,应当承担本罪的刑事责任。
发表评论