网络合规管理与法律风险防控

——基于“拒不履行信息网络安全管理义务罪”的分析

王文华^*

摘  要：刑法修正案（九）新增了“拒不履行信息网络安全管理义务罪”，在其他相关立法对“信息网络安全管理义务”的规定不甚完备的情况下，从处罚范围看，显示了刑法应有的扩张性。然而，刑事司法应当通过目的性限缩解释保持适度的谦抑，审慎界定“信息网络安全管理义务”、“监管部门”、“责令”、“拒不改正”、“违法信息”、“致使刑事案件证据灭失”等，从而切实贯彻罪刑法定原则，在保护信息网络监管秩序的同时保障各方主体的合法权益，促进互联网与经济的融合发展。

关键词：拒不履行信息网络安全管理义务罪；司法；目的性限缩；罪刑法定

刑法修正案（九）新增了“拒不履行信息网络安全管理义务罪”，即第286条之一，“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”立法作此规定主要是近年来我国的互联网技术、网络金融、电子商务等发展日新月异、[1]而其“副产品”——网络违法犯罪也迅速蔓延，一些企业的合规性意识不强，立法却又相对滞后，包括刑法在内的现有行法律存在相当的空白之处，给国家安全、社会秩序、公民隐私等合法权益以及社会风尚都带来很大威胁。

从刑事处罚范围看，“拒不履行信息网络安全管理义务罪”的增设无疑是立法的必要扩张，是一种犯罪化的表现，将情节较为严重的网络服务提供者拒不履行信息网络安全管理义务的行为纳入刑法的视野。所谓“扩张”，具体表现在处罚的行为、处罚的对象上都扩大了刑事处罚的范围。同时，刑法也表现出在国家相关立法体系中一定的超前性——在个人信息保护法、网络安全法、电子商务法等相关法律尚未全面规定不履行信息网络安全管理义务行政责任的情况下，刑法先行规定了拒不履行信息网络安全管理义务的刑事责任。然而，这是迫于现实的犯罪态势不得已的反应——面对汹涌而来、“野蛮生长”的网络犯罪，刑法不可能等其他法律都出台了再作规定，各项相关法律也很难实现完全的“联动立法或修订”、在同一时间一起出台。此外，我国也没有严格意义上的附属刑法，无论是电子商务法还是个人信息保护法等都不可能规定具体的罪名、罪状与法定刑，所有涉及罪、刑的规定都只存在于在刑法之中。

然而，在相关立法规定尚不明晰之时，稳妥也是保障人权的题中之意就是司法的限缩，采用目的性限缩解释方法解释第286条之一，有利于准确定罪、限制重刑的适用,也可谓“严而不厉”——立法的法网“严密”、司法的处罚不过于“苛厉”。通过立法与司法之间的一扩一限，实现法律制定与适用的动态平衡，在实践中实现“罪刑法定”。这里的“限缩”不是指限制解释，而是指“以立法目的为根据，限缩法律条文的适用范围，将一些模棱两可的情形排除在该条适用范围之外。”[2]具体需要严格依照罪行法定原则进行解释，对属于其他法律进行填补、规范的内容，例如“违法信息”、“责令改正”等规定，没有成熟依据的，或者相关立法尚未出台的，刑法要根据法益保护的需要，进行条文适用的适当限缩、不轻易介入、不轻易定罪处刑。不能认为刑法规定了罪名就是拿来用的，就可以无顾忌、不考虑其他法律的前置性就予以适用。主要涉及以下几方面。

一、什么是“信息网络安全管理义务”？

第286条之一明确规定，网络服务提供者所违反的“信息网络安全管理义务”是“法律、行政法规规定的信息网络安全管理义务”，当然是针对网络服务提供者的信息网络安全管理的义务性规定。具体有哪些义务呢？国务院《计算机信息网络国际联网安全保护管理办法》第10条明确规定，“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：（一）负责本网络的安全保护管理工作，建立健全安全保护管理制度；（二）落实安全保护技术措施，保障本网络的运行安全和信息安全；（三）负责对本网络用户的安全教育和培训；（四）对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核；[3]（五）建立计算机信息网络电子公告系统的用户登记和信息管理制度；（六）发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在24小时内向当地公安机关报告；（七）按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。”可见，“信息网络安全”主要是指信息内容的安全，也包括信息系统本身的安全。[4]而“信息网络安全的管理”则包括网络营运监管、网络内容监管、网络版权监管、网络经营监管、网络安全监管、网络经营许可监管等。

此外，全国人大常委会《关于加强网络信息保护的决定》、《消费者权益保护法》、国务院《电信条例》、工信部《电信和互联网用户个人信息保护规定》也都包含对网络服务提供者的网络信息管理义务的要求。正在制定的《网络安全法》、《电子商务法》、《个人信息保护法》等也会涉及网络服务提供者的网络信息管理义务。

问题是，“信息网络安全管理义务”是否包括来自国新办、网信办、公安部、工信部、国家新闻出版总署等部门制定的规章等规范性文件？这些部门都是对网络负有重要的监管职责的部门。对此应该严格按照罪刑法定原则进行解释，既然第286条之一明确规定网络服务提供者不履行的是“法律、行政法规规定的信息网络安全管理义务”，就不应包括国新办等部门制定的规章等规范性文件。然而，这些部门各自在自己的职责范围内依法推进、落实网络服务提供者的信息网络安全管理义务履行，当这些部门发现具体问题或接到举报、要求网络服务提供者进行改正的，网络服务提供者负有及时改正的义务。

需要注意的是，本条设置的违反法定义务的犯罪属于纯正不作为犯，前提必须有基本的法律和法规，而且规定义务明确。刑事责任的设置以民事责任、行政责任的前置为基础的，法律责任有其递进性，刑事责任是最重的法律责任，前提必须是行为人负有某项具体义务、有条件履行却违反了该义务，那么这里的义务就必须明确、合理、可行。就目前情况看，网络服务提供者权利义务和法律责任将随着立法的增加而不断增加。在大数据时代，网络服务提供者面临的最大问题之一是监管部门的协调、数据共享，离产业发展、促进“互联网+”的要求还有距离，未来需要在强化对网络信息安全监督管理的同时，突出政府的服务功能、减少不必要的政府干预乃至实现“政府的最小干预”，尽可能少给企业增加负担。

刑法是最后一道防线，是其他法律的保障法，遏制网络犯罪迫切需要有效的行政监管，未来在网络安全法、电子商务法、个人信息保护法等法律出台后，对网络服务提供者的“信息网络安全管理义务”规定会更加完备，届时对第286条之一的适用要更好地发挥行政法律规定的作用。反之，如果前置义务尚不明确，则应慎重追责，特别是应当慎重追究刑事责任。

二、“监管部门”包括哪些部门？

我国对网络服务提供者有权进行监管的部门包括：国信办、工商行政管理部门、工信部和地方通信主管部门、新闻出版部门、教育部门、卫生部门、药品监督管理部门、公安部门和国家安全等,且存在职能交叉现象。若不加以限制，如果所有监管部门的各层级都属于条文规定的“监管部门”，会导致“责令”出自多门，甚至有时可能互相矛盾，使得互联网企业无所适从，形成很重的被监管压力。会导致“责令改正”出自多门，甚至有可能互相矛盾，使得互联网企业承担很重的信息安全管理压力。

从法益保护角度看，本条的立法目的主要是保护信息网络安全，因此，司法实践中最好对“经监管部门责令”的“监管部门”角线目的性限缩解释，通过列举的方式限定为“网络安全监管部门”，从而明确本条所指的法律、行政法规系那些规范国家安全、社会秩序的相关规定。不作为犯罪成立的前提是具有明确的法定义务，对于本法条规定的信息安全管理义务首先应当明确法律、法规的范围。

三、“责令”的内容、形式有无要求？

这个问题有两个方面：责令的内容、责令的形式。

（一）一是责令的内容。

在此有一个聚讼不休的平台责任的边界问题。就网络安全监管而言，当然是国家的监管部门负有监管职责，然而，互联网的出现很大程度上改变了社会治理方式，将过往的政府一元式治理变成“政府+社会”的二元式治理，这里的“社会”首先是网络平台企业，由于其直接面对用户，因此部分承担了网络安全监管的职责，同时也可以说，具有了部分的网络安全监管的职权，而权、责从来就是紧密相关、不可分割的。然而，网络经济、电子商务、电子金融的发展速度远超过网络监管的发展速度，在一定程度上，网络监管跟不上网络经济的发展步伐。另一方面，由于网络治理的特殊性，在自古以来一直在很多人的观念上行政权大于民间权、公权大于私权的我国，罕见地出现了政府不得不与网络服务提供者共同对信息网络进行“联手治理”的现象。然而，平台责任的边界在哪里，与国家网络监管部门的监管职责究竟如何划分？

当一向习惯于公权治理的领域引入私权治理，笔者对两者的治理关系在此不予赘述，但是司法裁判者绕不开的是——对于都担负着不同监管职责的行政主管部门、网络服务提供者，执行过程中都可能会有过错——即使主观上不是故意的，而这种过错，不能都归责于网络服务提供者。换言之，若要追究网络服务提供者的刑事责任，首先就需要确认“监管部门责令采取改正措施”中的“措施”是合法的、正当的、可行的、合理的，才能对“拒不改正”追究刑事责任。因而，司法实践中需要对“责令改正”的内容作实质性判断，不能只是形式性判断。如果认为只要监管部门对网络服务提供者发布有关采取改正措施的“责令”，后者拒不改正导致严重后果的，就追究刑事责任，未免过于严苛。

 （二）二是责令的性质与形式。

“经监管部门责令采取改正措施而拒不改正”中的“责令”是否包括“口头”责令？[5]

《行政处罚法》第8条将行政处罚种类划分为警告、罚款、没收违法所得和非法财物、责令停业、暂扣或吊销许可证或执照、行政拘留等六种，其中并无责令改正。责令改正的性质，不是一种行政处罚，而只是一种行政措施。然而，发出责令是否必须采用书面形式，法律没有专门规定。实践中，监管部门的日常监管一般也不必采用书面形式。而且，监管部门的不同级别的人都有可能通过电话、口头通知发布“责令”，如果将这种非正式的通知包含在“责令”之内，会给企业履行义务带来困扰，导致入罪的风险过大。例如，若必须执行口头的删帖、屏蔽、净网“责令”，则可能“致使刑事犯罪证据灭失”，在口头通知者拒不承认的情况下，互联网企业仍可能构成犯罪。结果是，不执行口头责令会构成犯罪，执行了也可能构成犯罪，使得企业无所适从。

四、对“拒不改正”的界定

作为纯正的不作为犯罪，与第286条之一类似的规定还有拒不执行判决、裁定罪。然而，这两个罪的不同之处在于，拒不执行判决、裁定罪中的“判决、裁定”内容是确定的，而拒不履行信息网络安全管理义务罪中的“义务”却是庞杂、多头、随着相关立法的出台而不断增加的，其空白罪状的特征非常明显。因而，对网络服务提供者的“拒不改正”认定不可以“一刀切”，而要视具体情况进行具体分析。

所谓“改正”就是把错误的改为正确的，而“拒不改正”既包含“不采取改正措施”行为要素，也包含“采取了改正措施但仍然没有达到预期目的”的结果要素。对拒不履行信息网络安全管理义务罪的认定，应当注意对行为人的主观方面，特别是注意对行为人主观恶性的判断，例如行为人对“责令改正”的内容是否明了、改正的可能性与难度、拒不改正的次数等。如果监管部门提出的只有目标没有具体改正措施，或者改正目标在当前技术无法实现，则缺乏期待可能性，不宜定罪。事实上，随着网络技术的飞快发展，针对信息网络服务者实施的破坏计算机信息系统、非法控制计算机信息系统、非法获取公民个人信息等犯罪也越来越猖獗，且手段多变、防不胜防，有时即使服务提供者在接到改正通知后已经尽到了注意义务或者采取了防范措施，仍不足以防止后果发生。由于网络跨地域、传播快等特点，有时即便是穷尽所有的技术救济手段，也无法完全避免违法信息的传播。因而，对是否“改正”、是否属于“拒不改正”都不能仅仅看效果，而要结合网络服务提供者的主观心态、客观所作的努力进行综合判断，否则将陷入“客观归罪”。

五、什么是“违法信息”？

国务院《互联网信息服务管理办法》第15条以及修订后的国务院《电信条例》第56条所严禁的九类违法信息内容是一致的，“任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息：（一）反对宪法所确定的基本原则的；（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（三）损害国家荣誉和利益的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）破坏国家宗教政策，宣扬邪教和封建迷信的；（六）散布谣言，扰乱社会秩序，破坏社会稳定的；（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（八）侮辱或者诽谤他人，侵害他人合法权益的；（九）含有法律、行政法规禁止的其他内容的。”

那么，刑法第286条之一中的“致使违法信息大量传播”是否涵盖上述九种违法信息？该罪的保护法益是国家安全、公共安全、社会秩序及公民个人信息，上述前八种违法信息的内容都十分明确，不会产生太大的异议，主要是第九种，“含有法律、行政法规禁止的其他内容的”，这种兜底式的规定可能被任意解释、扩大适用，违背刑法谦抑性的基本原则。例如，发放垃圾广告、夸大宣传、诽谤他人、侵犯商业信誉等行为也属于“法律、行政法规禁止的其他内容”，本来通过行政法规进行制裁即可，若被解释成上述违法信息的“（九）含有法律、行政法规禁止的其他内容的”，则处罚范围被不当扩大。从异域立法经验看，[6]追究信息网络服务提供者的罪责一般只针对仇恨言论、侵犯著作权、淫秽物品、毒品、诽谤等，而不是对一切违法信息负责。

六、对“灭失”如何界定？

第286条之一规定的第三种情形是“致使刑事案件证据灭失，情节严重的”，此处的“灭失”如何界定，对确立行为人的刑事责任至关重要。通常说来，“灭失”可以是信息被删除但仍可恢复的情形，也包括信息被删除带来的信息不可恢复、永久消失。笔者认为，必须将“灭失”与“情节严重”相联系进行解释，即这种“灭失”要达到“情节严重”的程度，那就不应当将那些仍可恢复的证据“灭失”包括在内。当然，如果在找回的过程中，由于司法机关工作人员的失误造成了信息的不可恢复、永久消失，则不应将这种后果归责于网络服务提供者。

七、第（一）项与第（三）项是否存在矛盾？

有人认为，第286条之一所列举的四种情形，第（一）项和第（三）项在逻辑和实践层面是互相冲突的，第一项规定的情形是“致使违法信息大量传播”，第三项则“致使刑事案件证据灭失”，于是为了防止违法信息的大量传播，行为人就会赶快删除，而删除又导致刑事证据的灭失，亦即，如果不删除“违法信息”，可能“致使违法信息大量传播”，符合了第（一）项的规定；如果删除“违法信息”，可能“致使刑事犯罪证据灭失，严重妨害司法机关依法追究犯罪”，符合了第（三）项的规定。[7]笔者认为，其实并不矛盾。对这种貌似冲突、矛盾规定的解释，需要依据国务院《互联网信息服务管理办法》第十六条的规定，“互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告。”此外，《网络安全法》（草案）第40条拟规定，“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。”表达了同样的含义。

其实有可能出现矛盾的却是“（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的”两项内容。在第（二）项规定中，“用户信息”是指互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、银行卡卡号、密码等能够单独或者与其他信息结合识别用户的信息，以及用户使用服务的时间、地点等信息。实践中，有的监管部门未采取严格的调取证据的程序，就要求网络信息服务提供者提供用户的个人信息。网络服务提供者如果提供这些用户信息，则可能“致使用户信息泄露，造成严重后果”，符合第（二）项的规定；如果不提供这些用户信息，则可能“致使刑事犯罪证据灭失，严重妨害司法机关依法追究犯罪”，符合第（三）项的规定。这会使得网络服务提供者在履行不同的信息网络安全管理义务时，陷入两难的窘境。显然，这再次说明，信息网络监督管理部门的执法规范与否将对网络服务提供者的配合效果发生重大影响，直至刑事责任的认定。因此，在具体办案中，应当引入期待可能性理论，对网络服务提供者的行为所造成的后果进行目的性限缩解释。

八、如何把握“其他严重情节”？

第286条之一所列举的第四种情形是“有其他严重情节的。”之所以如此规定，主要在于网络发展之快超出立法者的预料，对拒不履行信息网络安全管理义务的还会造成何种严重后果、具备何种严重情节，单纯采用列举式恐怕不能涵盖、穷尽，为免得挂一漏万，才作此规定。

然而罪状规定的明确性是罪刑法定原则的必然要求，立法应当尽量避免“其他严重情节”这样开放式、兜底性的规定，因为它给法官留下了较大的解释空间，如果适用不当，容易使司法裁量权过大，损害被告人的合法权益。笔者认为，这里的“其他严重情节”应当是与前三项——（一）致使违法信息大量传播、（二）致使用户信息泄露，造成严重后果、（三）致使刑事案件证据灭失，情节严重——危害性相当的情节，而不应作扩大解释。而且，本罪保护的法益是“信息网络安全”，因此，对“其他严重情节”的法益判断也既包括信息内容安全，也包括信息网络系统的安全。

九、慎用“单位犯罪”条款

刑法修正案（九）对网络犯罪的修订，不仅对第286条之一拒不履行信息网络安全管理义务罪规定了单位犯罪，对第253条之一出售、非法提供公民个人信息罪、非法获取公民个人信息罪、第287条之一非法利用信息网络罪、第287条之二为他人利用信息网络实施犯罪提供帮助罪都规定了单位犯罪，都采用双罚制，即除了对单位判处罚金，对直接负责的主管人员和其他直接责任人员依照前款的规定处罚。对实施网络犯罪的企业进行刑事处罚，其必要性毋庸赘言，但是也需要慎用该规定。在互联网行政立法越来越多的情形下，加在互联网企业身上的信息网络安全管理义务会越来越多，如果企业的管理者刑事风险很高，将严重影响互联网行业的快速发展。由于不少互联网企业已经上市，如果单位受到刑罚处罚，必然导致股票下跌，牺牲投资人利益，影响经济发展和社会稳定。

结  语

综上所述，对第286条之一“拒不履行信息网络安全管理义务罪”的法律适用，应当尽可能采取目的性限缩解释，并且能够用侵权责任、行政处罚解决的，就不要轻易动用刑法，有利于准确定罪量刑。不少犯罪行为本身就同时是侵权行为、违约行为或行政违法行为，只是程度严重才构成犯罪。要解决刑事责任的问题首先要定性分析，而要准确判断其违法性及程度，在相关法律缺失、实践中操作方式五花八门、甚至监管部门做法不一、要求不一、对被监管企业或个人的要求甚至相互矛盾、冲突的情况下，刑法的适用应当尽可能地审慎。正如德国刑法学家耶林（R.von Jhering）所言，“刑法如同双刃之剑，用之不当，则国家与个人两受其害。”立法在网络犯罪方面的扩张规定有其不得已性，但是司法就需要适当地限缩，防止给互联网产业的发展创新带来不应有的危害。不相称的法律风险将损害网络服务提供者的投入，最终损害的还是消费者和社会的进步。

我国互联网产业发展迅猛，是改革开放30多年来唯一能够超越欧盟与其他国家、跟美国齐头并进的行业。根据中国互联网络信息中心（CNNIC）2016年1月22日发布的第37次《中国互联网络发展状况统计报告》显示，“互联网＋”行动计划不断助力企业发展，互联网对于整体社会的影响已进入到新的阶段。因此，既要依靠刑法在内的法律构建良好的网络秩序，维护网络安全，也要通过法的实施保护各方的合法权益，保护互联网产业充分的市场竞争与创新，提高发展质量和效益，促进互联网和经济社会的融合，实现网络强国的战略。