信息网络安全管理义务的刑法教义学展开

点击蓝字

关注我们

文 · 敬力嘉

题图 | 网络

来源 | 《东方法学》2017年第 5 期

      《刑法》第286条之一拒不履行网络安全管理义务罪体现了我国完善信息权刑法保护机制的努力。它所创设的，是网络服务提供者应承担、作为刑事作为义务的“网络信息安全保护义务”，而非作为行政管理义务的“信息网络安全管理义务”。依照刑法规范明确性的要求，此义务核心内涵应为网络信息安全保护。为了避免义务边界不明的法治风险，应当以刑法教义学的规范判断为准绳，对其进行限缩解释。以具体义务类型为依据，以义务主体为前提，以法益保护目的为指引，以履行义务的可能性为保障，可以明晰此“网络信息安全保护义务”的边界，有效限制本罪处罚范围。

一

问题提出：网络服务提供者的义务限度

      信息通信技术（ICT）的发展使人类传播与获取信息的能力得到飞速提升，打破了国家对大量信息收集和管理的垄断，逐步形成了尽管只有少数人可以掌握信息源，但大多数人可以自由获取与传播信息的开放型信息社会，是这一论断最生动的体现。如何重构此开放型信息社会中的社会管理秩序，成为了亟待探索的问题。

面对互联网环境下的侵犯信息权犯罪在刑法理论视野下认定与规制的困难，而这种困难是由刑法作为谦抑自守的司法法所应遵守之基本原则，与传统控制型思维下，社会管理者追求犯罪风险的前置性防控，寄望最具强制力的刑法，希望它能最“有效”地实现这一能动的预防性管理功能的现状之间的冲突所造成，继而使相关犯罪的及时查处与损害修复陷入困境时，应当思考的进路便是，如何重构刑罚权的运行模式。从《刑法修正案（九）》来看，我国刑事立法忽视了网络空间中侵犯信息权犯罪的有效治理，应以对网络信息流动所形成的“价值链”关涉各方进行均衡的综合治理为前提，选择了对网络服务提供者科赋刑事作为义务，我国刑法中的“信息网络安全管理义务”，试图以此实现犯罪风险防控的目的，完善信息权的刑法保护机制。

笔者对此立法的正当性持保留态度，但基于其实定法效力，不拟着墨于立法论层面的批判，将结合具体条文，重点厘清这项义务的存在根基、内涵以及适用范围，亦即以此为中心，以明确此项刑事作为义务作用的机制，力求将立法层面产生的刑法功能失序所导致之负面效应最小化，完成对此“作为义务依赖”在教义学层面的反思。

二

信息网络安全管理义务的正当性根基

      在结合具体的刑法条文展开论述之前，笔者首先要回答一个前置性问题：在刑法中为网络服务提供者设置此信息网络安全管理义务，是否具备正当性根基？

网络空间中的信息流动应受法律规制，这点毋庸置疑。而笔者在上文所提出的问题，实质更细化了一步，探讨的是，将网络服务提供者不履行此义务的不作为犯罪化的正当性根基何在。笔者不从行为犯罪化的“内部限制”，即教义学框架内基本原则的层面对此问题进行探讨，而从其“外部限制”，即入罪对于公民信息权保护的必要性考察出发，将这个问题依两个层次展开，即为网络服务提供者设置法定作为义务的必要性，以及为其设置刑事作为义务的必要性。

（一）网络服务提供者是犯罪治理的关键切入点

      网络空间结构中，网络服务提供者在信息流动中具备中介作用，是侵犯信息权犯罪风险得以实现的最关键一环。因此，这也应当是此类犯罪刑法治理最关键的切入点。为它设置法定作为义务，正是找准了这个切入点。

网络对人类社会组织模式最大的变革，是提供了一种革命性的连接方式，将消极的信息收发个体变为积极的信息交互主体，创造了巨量的信息流动。作为流动空间的网络空间，其根基在于连接与交互，承担这个基本功能的是网络服务提供者，它也因此成为侵害信息权犯罪风险得以实现的关键环节。

在侵犯信息权犯罪的侦办过程中，网络服务提供者发挥着不可替代的重要作用。

依照传统思路，犯罪行为人是犯罪治理当然的中心对象。只有通过认定行为人所为之犯罪行为的不法与责任，才能得以适用刑法对其处罚，从而实现对犯罪的有效治理。但当这个思路适用于侵犯信息权犯罪，而此类犯罪发生在网络空间中时，存在很多现实困难，需要抓住网络服务提供者作为信息中介这一关键环节，为其设置法定作为义务，才能实现对犯罪行为的有效认定。

此类困难主要体现在：首先网络空间中犯罪主体从线下的自然人变成了网络账户，人机同一性认定存在一定难度，导致犯罪行为人的认定困难；其次，受害人分布地域极广，存在众多个案单个危害结果轻微，但危害范围极广的情形，难以对行为不法进行有效认定；再次，侵害信息权犯罪的案件发生于网络空间时，犯罪行为人的行为轨迹直接体现为信息的流动轨迹，案件的搜集取证存在相当的技术门槛。而由于自身的技术优势和常态化的业务活动，网络服务提供者对网络空间中信息的追踪与获取具备无可取代的优势。因此，为它设置相关的法定作为义务，能够有效突破上述难题。

因此，面对互联网与当代社会经济发展高度融合的现状，与网络空间中侵犯信息权犯罪的高发态势，充分认识到网络服务提供者的关键作用，为其设置法定作为义务，具备正当理据。

（二）网络服务提供者的刑事作为义务具备核心价值

      但法定作为义务有众多层次，为何要对网络服务提供者科以刑事作为义务？应当说，基于网络服务提供者的关键作用，为其构建层次明晰的作为义务体系，是防控侵害信息权犯罪风险的理想目标。而基于中国当前国情，对于这一目标的实现，刑法为网络服务提供者设置的刑事作为义务具备核心价值。

2016年11月，我国首部网络专门法《网络安全法》获得通过。虽然此法第三章和第四章分别为网络运营者，包括网络服务提供者设置了网络运营安全和网络信息安全的保护义务，规定明确而具体；第五章也为其不履行相应义务的不作为设置了警告、处分、罚款、吊销营业执照等法律责任，但为了在网络服务提供者的不作为之不法与责任均达到刑罚处罚的要求时，刑事责任是不能缺位的。随着《刑法修正案（九）》的实然生效，“信息网络安全管理义务”作为刑法明文规定的刑事作为义务，对于我国网络服务提供者而言，已经成为具备实际且最严厉法律效力的义务来源，是其法定作为义务体系规制范围的基准。

综上而论，为网络服务提供者设置这一刑事作为义务，具备了核心价值。

三

信息网络安全管理义务的内涵：网络信息安全保护

      对于“信息网络安全管理义务”的内涵，除了可以明确它是我国刑法为网络服务提供者所设置的刑事作为义务，具体的含义又是如何？法条的简略规定无法直接给我们提供答案。通过考察我国拒不履行网络安全管理义务罪的具体规定，并结合世界主要法治发达国家立法，网络服务提供者作为义务的确立与完善沿革，可以明确“信息网络安全管理义务”的本质是刑事作为义务，应符合明确性的要求；其义务内涵需要经过刑法教义学的规范判断，而非前刑法规范中作为义务的简单集合。

（一）本质要求：刑事作为义务的明确性

      根据拒不履行网络安全管理义务罪的规定，网络服务提供者应当履行“法律、行政法规规定的信息网络安全管理义务”。

法条的表述，和本条罪名的确定，传递出的信息是本条设定的刑事作为义务即为“信息网络安全管理义务”，此项义务的法定内涵只能明确至“法律和行政法规规定的、主动监管信息网络安全的义务”的程度，具体的内容则由相应的法律和行政法规确定，学界也已出现了这样的观点。然而，在处于消极司法法地位的刑法框架下，广泛而能动的社会“管理”职能与刑法在社会治理中应有的基本功能是相抵触的。这样的解释所代表的，则是将行政管理义务强行提升为刑法规范确立之刑事作为义务的意图，在立法论层面，笔者认为这并不具备正当理据。

同时，罪刑法定原则对本条设定的刑事作为义务之内涵，具有明确性的基本要求，在教义学层面对本条设定的刑事作为义务即为“法律和行政法规规定的信息网络安全管理义务”进行衡量，也无法得到解释上的自洽。

可以说，任何部门法都没有同刑法一般如此强调法律规范的明确性。因为刑法涉及对公民自由最为严厉的限制与剥夺，刑法条文必须清楚地告诉人们，什么是禁止的，以便让大家能够以此规束自己的举止。“对犯罪构成要件各个特征同样地也要描述得如此具体，使得对它们的意思含义和意义含义可以通过解释的方法来获取。”

那么，如果认为法条已经明确了此项义务的内涵，前提是“法律和行政法规”中对此已经有了明确的认定。有关于此，国务院《计算机信息网络国际联网安全保护管理办法》可以作为根据，其10条规定，“信息网络安全的管理”包括网络内容监管、网络经营监管、网络经营许可监管等。

通过进一步对法律和行政法规的考察，会遗憾地发现，依据前刑法规范的规定，此义务内涵的解释无法得到明确，反而会产生矛盾。我国互联网领域的基本法——《网络安全法》规定了承担此义务的主体。其第8条即明确规定，国务院电信主管部门、公安部门和其他有关机关依照相关法律规定，负责对网络安全的管理和监督，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。也就是说，此义务的适格主体应当是国家法律法规明确赋权的主管部门，而非网络服务提供者。但刑法中此义务的主体已经明确为网络服务提供者，这与上述结论产生了明显的冲突。

究其原因，是法条对何为“信息网络安全管理义务”并未明确，若直接适用前刑法规范意义上的理解，将此义务解释为广泛的主动监管义务，无法得到解释上的自洽，需要进一步明确，作为此项刑事作为义务的适格主体，网络服务提供者所承担的义务内涵究竟是什么。

（二）内涵：网络信息安全保护

1.“避风港原则”为义务范畴的基本限制

刑事作为义务也是法定义务之一种，廓清整体上网络服务提供者法定作为义务的内涵，是进一步理解我国语境下其刑事作为义务含义的前提。

追本溯源，美国所提出的基本归责原则，以网络服务提供者是否对经由其传播的信息内容没有任何积极的介入以及是否知情为标准，在过去近二十年中，成为了世界各国对于网络服务提供者进行归责认定所继受的基本框架。其《数字千年版权法》第512节列举了对不同类型网络服务提供者免责的条件，从而为网络服务提供者创设了法律规制中的“避风港”；Zeran v AOL案确认了对《传播净化法案》（Comunication Decency Act）第230条的解释，即网络服务提供者对任何己方所提供但来源于第三方主体的信息所造成之危害结果免责。两者与其后美国法院的判例一起，共同创设了上述基本原则。继而还要求“搜寻侵权信息及通知服务提供者的责任由版权人承担”，网络服务提供者只要保持对信息内容不作积极介入且能证明并不知情，并履行“通知——取下”的配合义务，即可免责。

在避风港原则的框架之下，以“内容管理”为核心，并按照对信息内容是否积极介入，对网络服务提供者的类型进行划分，在“类型化”的框架下分别明确各自是否应承担内容管理义务，这样的观念被广为接受。美国《数字千年版权法》中提出的两分法，即网络信息内容提供者和网络服务提供者，以及德国和欧盟法律中的四分法，即内容提供者、网络接入服务提供者、缓存服务提供者、存储服务提供者，都是基于这样的理念而提出。

2.德国法中“妨害人责任”对义务内涵的扩展及其限制

然而，距离上述法案颁布毕竟已经过去近二十年，并且，它也仅仅停留在侵权行为规制的范畴，网络服务提供者应承担的法定义务内涵随着其功能与业务范围的扩展，已经得到相当程度的拓展。互联网已然进入Web2.0，即信息积极交互的时代，虽然仍有作为“纯粹中介性通道”的网络服务提供者存在，但传统的网络服务提供者类型已开始产生进一步的分化，如网络平台提供者所发挥的作用就已远远超出单纯的技术支持。作为信息交互平台的管理者，而非单纯的“内容”展示平台，网络平台提供者有能力和义务防控其框架内信息传播与获取过程中产生的违法犯罪风险，其应当承担的法定义务内涵已远超内容管理。

有鉴于此，德国的司法实践中，联邦最高法院通过类推适用《德国民法典》第1004条和第823条所创设的“妨害人责任”，要求网站对正在发生的侵权有排除义务，并对未来的妨害负有审查控制义务。

但是，作为德国民法中普遍适用、对“人身和财产性法益保护极端重要”的民事责任，在德国互联网法律的理论和实务界，对于“妨害人责任”在网络空间中能够延伸多远，一直存在巨大的争议。传统上，在德国法律体系中主要适用《电信传媒法》的第5至10条，为不同类型的网络服务提供者设定作为义务并赋予相应的法律责任。而自2006年汉堡高等法院在下述案件，即WLAN的私人拥有者由于未设置密码，而使他人连接上自己的WLAN从而完成对他人虚拟财产侵害的案件中认定此私人拥有者应当作为“服务提供者”承担“妨害人责任”开始，暂且不论欧洲与德国范围内围绕WLAN私人拥有者是否可以解释为“服务提供者”展开的争议，若认可其可以解释为网络接入服务提供者，仅由此责任给网络接入服务提供者科赋之风险审查义务的正当性，就引起了德国法律界的广泛质疑。

在以具备妨害发生之风险而非妨害结果即足的前提下，德国联邦最高法院继受了国民法理论中对“妨害人责任”的认定的三个限定条件，即放任妨害发生之故意，具备相当因果关系的作为加功或者违反法定义务的不作为，以及具备排除妨害的可能性。在2015年11月26日作出的判决中，有限度地承认了它对网络接入服务提供者的适用。这事实上打破了“避风港原则”的基本限制，有限度地赋予了传统上被视作“中立技术通道”的网络接入服务提供者以风险审查的义务。

自此，在前刑法规范的范畴内，借由“妨害人责任”突破“避风港原则”对网络服务提供者的所谓“技术中立”的绝对保护，从而有限度地将网络服务提供者的义务内涵由“内容管理”扩展到“信息传播治理”，已成为不可逆转的趋势。但是，对于此义务的限度进行探寻的努力也一直没有停止。例如，2016年7月21日通过的对《电信传媒法》第8条的修改，即为网络接入服务提供者创设了免责条款。

此外，德国联邦宪法法院在近期审理的公民Bf.诉《反恐怖主义数据管制法》第8至12条违宪一案的判决中认为，警局对网络通讯软件服务提供者所掌握的、依据本法认定涉恐之信息的管制，只有在与公民的“通信秘密及其它由宪法保护之不可侵犯之基本权利相冲突”时，才能得以解除，即是德国联邦宪法法院在认可上文所述义务之内涵扩张的基本前提下，试图通过法益冲突衡量的教义学路径，对网络服务提供者的风险审查义务进行限缩。

3.我国语境下的刑法教义学判断与限缩理解

而具体到我国语境下，经过刑法教义学的规范判断，可以将此“信息网络安全管理义务”的内涵限缩理解为网络信息安全的保护。应当说，我国承认了避风港原则的精神，通过《侵权责任法》和《信息传播权保护条例》等法律法规的规定，为网络服务提供者的侵权责任设定了免责条件。但是，在上文所述的普遍趋势下，再来考察我国刑法中的拒不履行网络安全管理义务罪所设定的“信息网络安全管理义务”，会发现两点重要的变化。

其一，作为网络服务提供者刑事归责的义务来源，从前刑法规范中的“信息内容管理”到刑法中的“信息传播治理”，在义务主体的层面是作出了限缩，限定于网络服务提供者，这是刑法规范明确性的应然要求。

上文中，笔者已经论证了以下观点，在刑法层面，网络服务提供者所需承担的“信息网络安全管理义务”不可能是广泛的信息内容监管义务。将前刑法规范中如此广泛的“信息网络安全管理义务”都作为刑事作为义务赋予网络服务提供者，极其不现实，也与刑罚分配所应遵循的基本原则相悖。

其二，在义务实质内容的层面，由“信息内容管理”到“信息传播治理”则是产生了扩张。

“信息传播治理义务”所要求的，是网络服务提供者除了对信息内容的事后管理之外，还应对网络空间中侵害信息权犯罪风险进行主动与前置性的审查与防控。考察相关的法律和行政法规规定，会发现《网络安全法》第三章和第四章中为网络运营者，包括网络服务提供者设定的“网络运营安全保护义务”和“网络信息安全保护义务”都应属于“信息传播治理义务”。后者是对信息内容的管理义务，即对网络服务提供者对于网络信息的储存、使用、公开等行为设置了相应的作为义务；前者则要求对网络空间信息流动中所产生的风险进行主动监测与防控。那么，在义务实质内涵的层面，本罪设定的“信息网络安全管理义务”是否涵盖了上述两种类型呢？因为此义务是刑事作为义务，那么它的范围应受到刑法条文的明确限定，它的具体内涵也应经过刑法教义学的规范判断得出。

作为刑事作为义务，它所规制的只能是具有值得动用刑法进行处罚之严重性的情形，因为刑法的发动不能超越公正和效用的边界。那么，它就不能为网络服务提供者设定广泛的“信息传播治理义务”。继续来看本罪的规定，本罪罪状列举了“致使违法信息大量传播”、“致使用户信息泄露，造成严重后果”以及“致使刑事案件证据灭失，情节严重”三种情形，作为兜底条款的“其他严重情节”应当与前三种情形具备相当性，才可以适用本罪处罚。

笔者认为，本罪通过这些具体情形的列举，将“信息网络安全管理”的内涵限定在了对所明文列举之相关信息安全的保护。同时，本罪“经监管部门责令采取改正措施而拒不改正”的规定，将“经监管部门责令采取改正措施而改正”作为对网络服务提供者刑事归责免责的条件，也就明白无误地排除了信息网络安全管理义务中对犯罪风险主动监测，也就是“网络运营安全保护义务”的内涵，将本义务限缩在了网络信息安全保护义务的范畴。

正如上文所述，刑法规范的明确性以可以通过解释的方法获取其含义为基本界限。那么作为刑法所设定的刑事作为义务，信息网络安全管理义务的内涵通过以上的解释判断，可以明确为网络信息安全的保护。也即是说，《刑法》286条之一为网络服务提供者创设的不是作为行政管理义务的“信息网络安全管理义务”，而是作为刑事作为义务的“网络信息安全保护义务”。作此区分，也可以明确本条创设的刑事作为义务，与前刑法规范所创设的、作为行政管理义务的“信息网络安全管理义务”之间的本质区别。

四

信息网络安全管理义务的边界

      至此可以明确，我国《刑法》286条之一为网络服务提供者设定的，不是“信息网络安全管理义务”，而是“网络信息完全保护义务”，其适用边界至此已完全厘清了吗？笔者以为恐怕不能。接下来，笔者拟对此项义务边界不明会产生的法治风险进行梳理，进而识别与评估，并通过刑法教义学的限缩解释对此风险加以规避，以实现在尊重实定刑法的规范效力与内涵的基础上，对其进行符合刑事政策目标、刑法规范的法益保护目的以及刑法教义学逻辑的限缩，使符合构成要件、违法且有责因而真正值得刑罚处罚的行为被定罪量刑的目标。

（一）廓清边界的动因：义务边界不明晰的法治风险

1.司法适用不确定的风险

笔者认为，从刑法教义学的视角出发，此信息网络安全管理义务的义务主体，即处于刑事保证人地位之保证人尚不够明确，这催生了第一个风险，即此项义务司法适用不确定的风险。

作为不作为犯，在寻找刑事保证人地位实质根据已经成为学界共识的背景下，仅由法条为网络服务提供者设定了信息网络安全管理义务，不必然产生网络服务提供者的刑事保证人地位，需要从学理上对其进一步明确。在对刑事保证人地位实质根据进行探讨的诸多学说中，笔者认为危险源监督说最为有力。“对于危险源的监督，产生了保护他人法益不受来自于自己控制领域危险威胁的义务。这种对危险源的控制是不作为犯的义务，其根据在于，复杂社会系统中的秩序必须依赖于（处分权人）所管理的特定空间和特定控制领域的安全。”以此观之，网络服务提供者作为此义务刑事保证人地位的确立，仅明确至“网络服务提供者”这一概括的上位概念尚显不足，还应当对它的功能类型作进一步的区分，进而才能认定各自应承担的具体义务类型。

然而，无论是从拒不履行网络安全管理义务罪，还是前刑法规范中的法条规定，都缺乏对“网络服务提供者”具体内涵明确的认定。而刑法条文的明确性则是决定刑法适用确定性的重要因素之一。

所谓刑法规范的确定性，是指刑法是否总是（或者大多数时候或者从不）对法律问题提供唯一正确的答案。在作为公民的角色中，行为人要承担他对于社会共同体的、合法的共同责任。在这种共同责任里，他与刑罚联系在了一起。为了使刑罚的发动具备正当性，刑法的适用应当具有确定性。这种确定性可以为司法机关提供明确的裁判规范，限制其权力的恣意发动，也可以为公民提供明晰的行为规范，使其明确知晓可为与不可为的界限。若对网络服务提供者的类型和义务的具体类型不作明确区分，此种确定性便不可得。

2.窒息网络服务提供者创新与发展的风险

其次值得注意的风险，是忽略此项义务应有的法益保护目的和网络服务提供者履行义务的可能性，进而对其创新与发展带来沉重负担的风险。

对于本罪设立的批判者来说，其最大的理据便是认为不可能要求网络服务提供者对网络空间中的信息传播承担广泛的治理义务，这会给它们制造巨大的人力、金钱与时间负担，进而会扼杀互联网产业的创新与发展，是“情绪化”的刑事立法。法益保护目的的缺失与义务履行可能性考量的缺位是两个重要的影响因素。

法益的概念对于作为限制科学的刑法教义学功能，即追求逻辑自洽、功能自足、体系一致与有效、限制刑法适用、实现个案公正之功能的发挥具有重要意义。具体而言，确定拒不履行网络安全管理义务罪所保护的法益为何，可以将信息网络安全管理义务的适用限定于保护法益之目的，从而避免将网络服务提供者的业务活动全面纳入规制范围。

而承担义务的可能性则是完成对网络服务提供者刑事归责的保障。此种可能性在现实层面体现为义务履行的技术可能性，在规范层面，则体现为义务履行的期待可能性。正如前文所述，在我国经济社会的发展中，网络服务提供者已经逐渐占据愈加重要的地位，将其纳入法治规范的轨道实为必然。然而在网络世界中，信息自由流动所产生的碰撞是创新与发展的动力源泉，而不能被一概视作网络空间这一统一机体上的病痛，采取措施加以祛除。只有对网络刑事法进行技术制衡，才能避免窒息网络的发展。因此，在现实层面，应当考量网络服务提供者在具体的技术环境下是否可能履行义务，而在刑事归责的规范层面，则应当以技术可能性为基础，在教义学的判断中考量网络服务提供者是否具有履行义务的期待可能性。

（二）具体的义务类型为依据

      如何明晰义务的边界，消解法治风险？这需要通过刑法教义学的规范判断，确立明确的标准。具体的义务类型，是明晰义务边界的依据。拒不履行网络安全管理义务罪中“经监管部门责令采取改正措施而拒不改正”的表述，才确认了网络服务提供者具体的义务类型。考察我国《网络安全法》的具体规定之后，可以确认为本法第三章第一节中规定的、只限于自我管理以及对用户和主管部门进行配合范围内的网络运营安全保护义务；以及在四章所规定的网络信息安全保护义务。两者的性质可以归纳为配合义务，具备配合风险审查与配合信息内容管理的两个侧面。

所谓配合义务，是指在法律明文授权的前提下，所有类型的网络服务提供者配合用户或者国家主管部门将特定目标信息存储、提供或公开的义务。因为当下网络空间中侵害信息权的犯罪行为难以像传统犯罪中一般通过现实空间中证据材料的搜集进行认定，只有行为产生的信息流动的轨迹才可以作为此类犯罪的证据材料，网络服务提供者的配合对于此轨迹的确定就显得非常重要。避风港原则所设立的“通知——取下”义务便属于配合义务的范畴，我国《侵权责任法》36条第3款对此予以肯定。

通过《网络安全法》第三章第一节的规定，为网络服务提供者设立了广泛的配合义务。其本质是网络服务提供者为主动审查侵犯信息权犯罪风险提供配合，但并非是主动审查，这是配合义务的风险防控侧面。就笔者探讨的中心而言，作为本罪确定的刑事作为义务，其内容由前刑法规范设定，但是否成立犯罪继而承担本罪设定的刑事责任，应以不纯正不作为犯的刑事归责路径进行展开，笔者不作展开。而《网络安全法》第四章所设定的网络信息安全管理义务，其本质是网络服务提供者配合义务的信息内容管理侧面。

也就是说，作为刑事作为义务的“网络信息安全保护义务”，其具体的义务类型为网络服务提供者的配合义务，包含风险审查的配合与信息内容的管理两个侧面。

（三）明晰的义务主体为前提

      本罪的义务主体，即“网络服务提供者”之明确内涵，是信息网络安全管理义务得以准确适用的前提。基于功能标准考量，此处所谓“内涵”即其具体的类型。笔者接下来欲结合我国《网络安全法》和欧洲议会于2016年7月6日二读审议通过的《网络与信息系统安全指令》（即NIS指令）有关网络服务提供者类型的规定，具体明确其类型区分，以及对所承担的具体义务类型的影响。

1.网络服务提供者的概念与传统分类

在我国互联网领域立法并不完善的当下，缺乏对于网络活动主体规范的法律界定。2010年颁行的《侵权责任法》、2013年修订的《信息网络传播权保护条例》以及2015年通过《刑法修正案（九）》增设的拒不履行网络安全管理义务罪都使用了“网络服务提供者”的概念，却并没有相应的法律或行政法规对其内涵进行阐释。而作为我国互联网领域的基本法，《网络安全法》中使用了“网络产品和服务提供者”、“关键信息基础设施运营者”、“网络运营者”等多个概念，却缺乏对这些网络活动主体概念明确而规范的界定，因此需要对其进行学理解释，明确本罪所设定此项刑事作为义务的主体。

所谓网络服务提供者，从广义的角度看，指专营为社会公众提供网络信息通讯服务，并保存任何经由其构建的网络空间“收费站”之用户所留下的信息流动轨迹的“守门人”。

传统上，一般根据提供服务内容的不同，将网络服务提供者分为两大类：第一类是网络信息内容提供者（ICP），指自己组织信息通过网络向公众传播的主体；第二类是网络服务提供者，指为传播网络信息提供中介服务的主体。

这样的分类思路源起美国1998年《数字千年版权法》，在那个互联网刚刚起步的年代，基于对网络发展创新的鼓励，最终确定以是否参与内容制作以及是否对内容知情为网络服务提供者在法规范视野内类型化的依据，网络服务提供者属于不参与内容制作并对内容不知情者，进而通过第512节设立的避风港原则实质确立了对这一类主体的责任限制制度，并逐步演变为对网络服务提供者的普遍归责原则。根据拒不履行网络安全管理义务罪中“不履行法律、行政法规规定的信息网络安全管理义务”及相应后果的规定，可以认定本罪主体“网络服务提供者”是不参与内容制作并对内容不知情的网络服务提供者。

2.网络服务提供者的功能分化与意义

《数字千年版权法》所确立的、并为全世界广泛继受的归责原则排斥给网络服务提供者科以对网络空间中侵犯信息权犯罪风险主动审查的义务，认为这会是网络服务提供者不可承受之重，会阻碍互联网的创新与发展。然而，随着时代的发展与技术的进步，在接受上述以促进互联网发展创新为导向的原则性框架的前提下，网络服务提供者的功能在两个维度上进一步发生分化，从而导致其应当承担的作为义务也产生了变化。目前学界对于应当根据网络服务提供者的不同类型分别认定其刑事责任基本已形成共识，但对于笔者所指出的两个功能分化的维度却缺乏必要的关注，值得加以深入探讨。

第一，网络平台的功能已经远远超出“单纯通道”或技术保障，成为了网络空间信息交互的综合平台，网络平台提供者的角色也早已不具备被动性、工具性和中立性的特质，而是具备充分的能力并且也已经积极参与到了对平台内信息流动的控制中，成为了网络空间中那只“无形之手”。对它们来说，“对网络空间的控制并不存在过多障碍。”一个极好的例证是阿里巴巴对于制假售假的打击。阿里巴巴公司充分利用自身所掌握的大数据资源，从2015年4月至9月，向执法机关推送售假团伙线索717条，获各地执法部门立案的为330条，被破获的案件为279起。其间，阿里巴巴协助警方捣毁制假、仓储、售假窝点600余个，抓获犯罪嫌疑人715人。

这充分说明，作为信息交互、进而已具备部分社交功能的平台，网络平台有能力也有义务前置性防控在其平台服务的范畴内所产生的侵害信息权犯罪的风险。并且，在可以预见的将来，网络平台提供者对于网络空间服务的集成范围只会不断扩大，云端服务的产生与发展即代表了这一趋势。在此背景下，网络平台提供者应当在应然的限度内承担对犯罪风险主动审查的义务，亦即网络运营安全保护义务。而单纯的接入服务提供者，包括硬件和软件接入服务提供者，以及代理缓存和存储服务提供者则不应承受这样的负担。

笔者认为，《网络安全法》第三章第一节规定中所谓的“网络运营者”和“网络产品和服务提供者”的规定中所谓的“网络产品和服务提供者”均应理解为笔者意义上的网络服务提供者。依本节的规定，后两者也需承担网络运营安全保护义务，但只限于自我管理以及对用户和主管部门报告相关犯罪风险的配合义务范围内。

第二，互联网在以“摩尔定理”的速度发展着，它的触角能够延伸到的广度也在逐步以“摩尔定理”的速度增加，网络服务提供者所能影响的法益的重要性层次也必然愈加复杂，法律保护的力度也就不能一刀切。仅以功能的区分标准作为网络服务提供者法定作为义务的区分标准是不可取的。因为如果不对法律想要禁止的最终危害进行分类，也就很难对其想要禁止的行为分类。在基本功能界分的框架下，还应当根据该主体所保护法益的重要性，对义务主体作出第二层次的划分，以此决定该主体应当承担的作为义务强度。《网络安全法》中即作出了“关键信息基础设施运营者”和“网络运营者”的划分，并且通过本法31条明确了“关键信息基础设施”的内涵，“网络运营者”的含义则没有规范的定义，可以参考《指令》的规定，在今后的立法中进一步完善。

网络服务提供者属于关键信息设施运营者还是一般的网络运营者，决定了该主体所保护信息权的重要性。那么如果接入服务提供者（IAP）、代理缓存服务提供者和储存服务提供者为关键信息基础设施运营者时，也应承担对侵犯信息权犯罪风险的主动审查义务。《网络安全法》中对此作出了明确的规定，其第三章第二节即为关键信息基础设施运营者设置了显著的风险主动审查义务。如本法第38条，即对关键信息基础设施运营者规定了就网络运营安全风险定期检测和报告的义务。而一般的“网络运营者”，根据本法第三章第一节和第四章的规定，应承担对信息内容进行管理的网络信息安全保护义务，其应承担的网络运营安全保护义务只限于自我管理以及对用户和主管部门报告相关犯罪风险的配合义务范围内，不包括对风险的主动审查义务。

综合以上的分析，笔者认为，结合上述两种标准，才可对网络空间中侵害信息权行为的社会危害性进行实质判断，不能单纯基于预防性的管理需求，认为网络因为其跨越地域的流动特性造成了网络信息流动的难以控制，就天然带有令以管理者自居者恐惧的原罪。既然“信息网络安全管理义务”只应限于配合义务的范畴，那么，就配合风险防控而言，在功能区分的层面上，网络平台服务提供者为适格主体，网络接入服务提供者、代理缓存和存储服务提供者不应是适格主体，在所连接法益重要性区分的层面上，基础信息设施服务提供者均为适格主体，一般网络运营者则需参照功能区分进行认定；就配合信息内容管理而言，所有类型的网络服务提供者均为适格的义务主体。

（四）法益保护目的为指引

      既然已经明确“信息网络安全管理义务”的内涵是以“网络信息安全保护”为核心的配合义务，它的适用范围如何来确定？这需要法益保护目的的指引。在刑法教义学层面，特定罪名所保护的法益应是其解释适用的出发点，决定了其附随之刑罚所打击的基本射程。

在“网络信息安全保护”的范畴下，本罪所保护的对象已经呼之欲出，那就是信息。从刑法的角度来看，刑法保护的信息法益就是基于刑法的规定，受刑法所保护的信息主体所享有的信息权利。我国有关信息权的研究主要在民法学领域，限于个人信息权，作为与隐私权相区分的独立人格权展开，2016年6月第十二届全国人大常务会第二十一次会议初次审议通过的《民法总则（草案）》也在第108条规定了对数据信息的知识产权予以保护，表达了对个人信息权财产属性的认可态度，但在我国刑法学领域的研究中，却鲜有涉及。究其原因，笔者认为主要在于刑法规范远高于民法的明确性要求，致使在刑法理论中实现将“信息权”作为法益进行界定的目标非常困难。

具体到本罪来说，条文所规定的三种情形，而非“法律和行政法规”才规定了本罪所保护的信息权类型，这是刑法规范明确性的必然要求。即，“致使用户信息泄露，造成严重后果”和“致使刑事案件证据灭失，情节严重”保护的法益分别是用户和刑事案件侦办机构所享有的用户信息专有权与刑事案件证据信息专有权，而“致使违法信息大量传播”所保护的则应是负责处理违法信息的相关部门为了履行其职能所享有的违法信息专有权。

基于信息的流动性所带来内涵与信息权主体的非确定性，和对刑法规范谦抑品格的坚持，笔者认为作为刑法法益的信息专有权不能完全的去实质化，应当坚持人本的法益观，继续寻求本罪所保护的信息专有权之中的个体权利根基。笔者认为，此根基，亦即信息专有权的核心，在于信息专有权主体对于数据处理的同意。对其内涵的进一步厘清，要以两个概念的解析为基础，即“信息专有权主体”和“同意”。首先，信息专有权主体可以分为个人主体与非个人主体。在大数据的时代背景下，随着数据收集和信息挖掘技术的飞速进步，对个人信息的规模化利用已成为趋势，随着网络的发展，信息交流加快，特别是网上金融交易和网上购物的开展，促进了个人信息的流动，诸如密码外泄门事件等非法收集、利用、公开个人信息的案件也随之出现，在此过程中对公民个体也产生了引人注目的人格与财产侵害，个人信息的保护已经成为各国关注的重要问题。正因如此，学界对个人信息法律保护的关注历久不衰。本罪规定的第一种情形，所保护的即用户个人信息专有权。而对于后面两种情形所分别保护的刑事案件证据信息专有权和违法信息专有权，其权利主体均为非个人主体，即刑事案件侦办机构和负责处理违法信息的相关部门，其对相应信息的专有权并非天然所有，而是来自法律规范的赋予。

其次，与信息专有主体相对应，“同意”可以分为相应信息专有权主体的事实同意与法律拟制的同意。作为自然人，用户就涉个人数据的处理当然可以进行实然意义上的事实同意；而作为非自然人的机构，其对涉及所享有专有权之数据处理的同意，是法律规范所拟制。而刑法将本罪规定在分则第六章第一节“违反社会公共秩序罪”中，其意图即欲将本罪保护的特定信息专有权限定为社会公共秩序。后两种情形所规定的非个人主体的信息专有权，不是真正的信息专有权，其保护的实质是相关机构对自身职权范围内所有之信息的行政管理秩序，适用行政法规进行保护即可，不值得动用刑法进行保护，不应成为真正的刑法法益；而本罪真正保护的法益，是具备社会公共利益属性的用户信息专有权，也就是具备人格权和财产权属性的、不特定或者多数用户的信息专有权之集合。通过这样的解释，应当在本罪的实际适用中避免使用后两个保护伪信息专有权的条款，避免刑事违法与行政违法之间的相对性界限因此而崩溃。

（五）履行义务的可能性为保障

      最后，网络服务提供者履行义务的可能性是实现对其刑事归责的保障。笔者已经对此义务提出了三个具体的限缩标准，即网络服务提供者的类型，具体的义务类型，以及法益保护目的，那么，对此可能性的探讨自然在这个限定的语境下展开。

首先是网络平台服务提供者。当前语境下的网络平台服务提供者，其本身已经超越了传统网络服务提供者作为“中介”的范畴，成为了综合多种服务的、具备一定社交性质的信息交互平台。基于对具备公共利益属性的特定信息专有权之保护目的，网络平台服务提供者应当能够履行体现为配合义务、内涵为网络信息安全保护义务的“信息网络安全管理义务”。

此种判断的现实基础，在于软件的中心化为网络平台提供者提供了技术可能性，使其可以通过服务对终端进行控制，未来的云服务更是代表了这种趋势。教义学规范判断中，这样的技术可能性是期待可能性的存在论根基。而其规范根基则还需在个案中对一定的法益冲突进行衡量之后才能找到。即在公民言论自由和隐私权等基本权利与履行义务所保护之法益产生冲突时，衡量之后得出应当要求履行的结论时，网络平台服务提供者才具备履行此义务的规范根基。

其次，再来看网络接入服务提供者。由于网络传输信息的海量性、加密设置以及对数据传输进行实时监控的现实困难，以及宪法所保障的言论自由和公民隐私权保护等因素的考量，单纯作为“技术通道”的网络接入服务提供者不可能对其传输的内容实现控制。就算是接到了相关主管部门责令改正的通知，除非其付出巨大代价彻底关闭或转型，否则不足以前置性介入的，出于利益冲突衡量及公共政策妥当性的考量，也不能够对其作此要求。因此它不是风险监控配合层面之“信息网络安全管理义务”的适格主体，只具备履行信息内容管理配合层面之“信息网络安全管理义务”的可能性。

最后，是代理缓存服务提供者和存储服务提供者。两者通过服务器或者云存储等方式，为他人提供信息数据存储服务，能够对存储空间进行物理或者远程的直接控制，接到告知以后，也能够迅速对相关违法涉罪信息进行删除。但基于信息数据加密等设置，和与网络接入服务提供者同样的考量，只能认定能够履行信息内容管理配合层面之“信息网络安全管理义务”。（作者系武汉大学法学院博士研究生，德国弗莱堡大学法学院博士研究生。）

本文系2016年国家建设高水平大学生派研究生项目（项目批准号：CSCNO.201606270181）

END

注

仅供交流，不代表平台观点。