皮勇:论网络服务提供者的管理义务及刑事责任
载《法商研究》2017年第5期
皮勇
(武汉大学法学院教授、博士生导师)
摘要:给网络服务提供者设定管理义务是各国立法的趋势。国内外立法规定的义务内容基本相同,主要是协助执法、内容信息监管、用户数据保护,我国相关立法在管理义务的类型化、区别化方面与外国立法差距较大。我国网络服务提供者除可能构成作为犯形式的帮助犯外,还可能单独构成帮助他人利用信息网络犯罪活动罪和拒不履行信息网络安全管理义务罪。外国网络服务提供者违反管理义务的法律责任主要是民事责任和行政责任。我国刑法设立拒不履行信息网络安全管理义务罪存在过度犯罪化之缺陷。
关键词:网络服务提供者 信息网络安全 管理义务 中立的帮助行为 刑事责任
在信息网络化社会中网络服务提供者处于核心地位,网络社会活动高度依赖网络服务,同时,与网络服务相关的违法犯罪数量也迅速增长,给网络社会的治理提出了新的严峻挑战。网络服务提供者协助网络安全管理是网络社会治理的键。晚近通过的《中华人民共和国网络安全法》(以下简称《网络安全法》)和《中华人民共和国刑法修正案(九)》[以下简称《刑法修正案(九)》]明确规定了网络服务提供者的信息网络安全管理义务(以下简称管理义务)和法律责任(包括刑事责任)。然而,在网络服务提供者是否负有管理义务及其刑事责任的边界等问题上,学者的认识存在分歧,进而影响到网络社会治理路径的选择。网络服务法治化是各国立法面临的共同课题。笔者在下文中拟通过比较研究国内外关于网络服务提供者的管理义务及刑事责任的立法,探寻网络服务提供者管理义务的合理范围及其刑事责任的合理边界。
一、网络服务提供者管理义务的合理设定
网络服务提供者是社会服务提供者,其本来不具有社会管理的权力和义务,但是网络社会的特殊性要求网络服务提供者履行一定的信息网络安全管理义务。当前网络违法犯罪数量巨大且具有跨区域性,仅靠以条块架构组织起来的传统国家管理部门难以管控,而网络服务提供者能够在第一时间管控信息网络空间的违法犯罪活动,其实时管理能力超过专门的社会管理部门。此外,网络服务提供者构建网络信息活动空间,设定网络活动规则,直接管理网络信息活动,与包括犯罪分子在内的服务接受者共生互利,具有特殊的社会地位和能力,应是“网络社会重要的组织力量,对维护网络信息安全负有重要的社会责任”。网络服务提供者的管理义务“是国家向网络服务提供者(服务商)施加的义务———从另一个角度看,这也是一种授权,服务商有权删除网络信息———法律要求他们这么做,否则将承担法律责任”。信息发达国家普遍给网络服务提供者规定了这种特殊的法律义务,我国可借鉴信息发达国家的相关立法来合理设定我国网络服务提供者的管理义务。
(一) 外国网络服务提供者的管理义务
1 协助执法义务
协助执法义务,是指网络服务提供者协助犯罪侦查部门以技术手段获取他人通信内容或通信相关数据,包括通信监视、数据留存及其附随的提供所持有的数据、报告违法信息和活动、提供技术协助、保密等义务,通常由公共电信服务提供者承担。随着互联网通信的发展,提供公共通信服务的网络服务提供者也成为义务承担者。协助执法义务既见于外国的刑事立法中,也见于国际组织的重要立法中。
协助通信监视义务,是指网络服务提供者依照法律的规定和调查机关的要求,利用通信技术主动对被监控对象的通信数据与通信内容进行实时获取和记录。代表性立法有《欧盟理事会关于合法拦截通信的决议》、《欧洲理事会关于网络犯罪公约》(以下简称《关于网络犯罪公约》)、德国2004年《电信法》和《电信监控法令》、美国1994年《通信协助执法法》等。以上立法因增加了网络服务提供者的经营成本、影响其运营和发展、侵犯公众隐私权、削弱与客户的信任关系而广受批评。对此外国立法主要采用两种方法弥补:一种是限制协助监控要求,避免强制网络服务提供者过度投入,如《关于网络犯罪公约》第20、21条规定的协助限于“服务提供商在其技术能力范围内”;另一种是提供协助监控的费用或者补偿,如美国1994年《通信协助执法法》第109条、德国2004年《电信法》的相关规定。
数据留存义务,是指网络服务提供者采取一定的技术手段保存用户使用通信网络所产生的通信数据,在有关部门调查刑事犯罪、恐怖活动等时予以提供。例如,《美国法典》第2703条规定了按要求披露用户通信或者记录,第2704条规定了数据保护备份。在欧洲,根据2006年《欧洲议会和欧盟理事会关于存留因提供公用电子通信服务或者公共通信网络而产生或处理的数据及修订第2002/58/EC指令的第2006/24/EC指令》,德国于2008年对多部法律进行了修改,要求德国公用电信和公共通信网络服务提供者承担存储数据、保护数据安全的数据留存义务。但是,前述指令和立法遭到广泛的批评和反对,2010年德国联邦宪法法院以侵犯通信秘密及违反比例原则为由判决关于数据留存的法律违宪,2014年欧洲法院判定前述指令无效。德国于2015年通过的《通信数据的存储义务与最高存储期限引入法》,对网络服务提供者的数据留存义务作了若干限制,包括限制存储的数据类型、存储期限、政府机关使用数据的范围等。
2 内容信息监管义务
信息网络空间存在海量的违法内容信息,执法部门仅靠自身的力量难以有效监控,欧盟和美国的立法规定网络服务提供者承担内容信息监管义务。
2000年《欧盟电子商务指令》规定了信息社会服务提供者的义务:(1)一般性非监管义务和特殊情况下法律或命令规定的监督义务;(2)知晓非法活动后迅速删除、阻止他人访问非法信息义务;(3)对非法信息活动的注意义务。该指令还对提供“纯粹传输”“缓存”“存储”服务的3类中间服务提供者规定了共同免责条件,并排除普通监督义务。缓存、存储服务提供者在知晓非法活动后,必须迅速移除或者阻止他人访问涉及的信息才能免责。以上免责规定“不应影响法院或者行政机关根据成员国的法律制度,要求服务提供者终止或者预防侵权行为的可能性”,也不适用于“服务提供者故意与服务接受者合作实施超越‘纯粹传输服务’或‘缓存’活动的非法行为”。
德国1997年《电信服务法》规定,服务提供者对自己提供的内容信息应承担责任,同时,要求其承担一般法律要求的封锁他人提供的违法内容信息的义务,但是,同时满足“知晓内容”“技术上有可能阻止”“阻止不超过其承受能力”3个条件的,免除其法律责任。仅“提供(违法内容信息)利用途径”或者“自动缓存(违法内容信息)”的服务提供者不承担监管义务。在前述欧盟指令生效后,德国2007年《电信媒体法》坚持了前述两部法律文件的立场并规定:对自己提供的信息依照一般法律承担责任;提供“作为信息的传输通道”“为加速信息的传输的临时存储”“信息存储”3种中间网络服务的服务提供者同时满足前述3个条件的,免除其对他人提供的违法信息承担法律责任;所有服务提供者都必须承担法律规定的移除或者阻拦对违法信息访问的义务。
《美国法典》规定在一定的条件下免除服务提供者的民事责任。提供短时间的数字网络通信、系统缓存、根据用户指令在系统或者网络中寄存信息、信息地址工具服务的4类服务提供者的共同免责条件是:(1)不是信息的提供者,不能对信息内容进行修改,也不能对信息进行选取;(2)不知晓目标信息是侵权材料,或者没有认识到明显存在侵权行为的事实或者情况,或者在认识到后或者接到侵权通知后,迅速予以移除该信息或者阻断、屏蔽对其的访问;(3)服务提供者没有在其网络用户的侵权行为中直接获得经济利益。网络服务提供者不因阻拦和审查内容信息而承担发布信息的民事责任。但是,服务提供者仍有可能因违反《美国法典》的其他法条而承担刑事责任。
3 用户数据保护义务
欧美国家立法重视保护个人数据,明确规定网络服务提供者应承担保护和管理用户个人数据的义务。德国 2007年《电信媒体法》规定,服务提供者承担保护用户数据的义务,只能在相关法律许可或者用户同意的范围内,为了提供电信多媒体服务或者为了其他目的而收集和使用个人数据,有权机关可以依法要求网络服务提供者提供个人数据,协助相关部门履行法定职责。《美国法典》规定了通信服务提供者保护用户个人数据、依法披露、备份用户通信数据和内容信息的义务,政府部门可以依法要求披露用户通信和记录。
前述欧美国家立法具有以下特点:(1)区别化的管理义务立法。网络服务提供者原则上应承担一般的法律规定的管理义务,但单纯技术服务类型的网络服务提供者在一定的条件下不承担民事责任,不同类型的服务提供者承担的管理义务不同,如协助执法机关进行通信监控、数据留存和保护用户数据是各类公共通信服务提供者的共同义务,网络服务提供者不承担审查用户上传信息的义务,如果没有同时满足“知晓内容”“技术上有可能阻止”“阻止不超过其承受能力”等条件,那么提供纯粹传输、缓存、数据存储服务等所谓中间服务提供者不对用户提供的非法信息承担责任。(2)在一定程度上体现了立法的适度性和利益平衡性。立法的适度性表现在对协助执法者规定了补偿或支付费用,对中间服务提供者规定了免责条件,对数据留存的范围和使用条件进行限制等。给网络服务提供者设定管理义务是国家管理权的延伸,过度扩张该权力必然侵犯公众的网络表达和言论自由等权利,前述立法体现了维护法秩序与保障公民权利的平衡,如将网络服务提供者协助收集通信内容数据限定在严重犯罪的范围内,限制网络服务提供者收集、使用个人数据的范围等。(3)规定了义务冲突解决机制。网络服务提供者负有服务合同规定的义务,可能与法定的管理义务发生冲突,如依法披露用户数据可能违反保密约定。前述欧美国家立法规定,网络服务提供者根据有权机关的要求提供、披露用户个人数据的,免除其违反服务协议的法律责任,避免了不同义务之间的冲突。
(二) 我国网络服务提供者管理义务立法的特点及完善对策
我国互联网的发展与电信业有着紧密的联系,公众使用的互联网接入服务主要由中国电信、中国移动和中国联通等电信企业提供,公共电信服务提供者和互联网服务提供者被合称为网络服务提供者。目前我国关于网络服务提供者管理义务的立法具有以下特点:(1)网络服务提供者协助管理义务的立法多层级化。相关的法律法规规章有《中华人民共和国刑法》(以下简称《刑法》)、《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《关于加强网络信息保护的决定》)、《中华人民共和国反恐怖主义法》(以下简称《反恐怖主义法》)、《网络安全法》等法律以及大量的行政法规和部门规章。(2)法律和行政法规对网络服务提供者进行了简单的类型化,《互联网直播服务管理规定》等部门规章对其进行了细致的类型化。以上法律法规规章将网络服务提供者分为中间服务提供者(包括网络接入、服务器托管、网络存储、虚拟空间租用、通信传输等纯粹的网络技术服务提供者)、互联网信息服务提供者、网络交易服务提供者(包括为网络商品交易、网络金融服务等市场交易活动提供第三方交易平台的服务提供者)。(3)各类网络服务提供者的协助管理义务差别小。现行立法对各类网络服务提供者规定的协助管理义务见下图中的A-G项义务。1997年《刑法》只是概括地规定了网络服务提供者的管理义务,而《网络安全法》、《反恐怖主义法》、《关于加强网络信息保护的决定》3部法律交叉规定了各类网络服务提供者应承担下图中的A、C、D、E、F、G项义务,《互联网信息服务管理办法》规定了互联网信息服务和接入服务提供者承担B项义务,各类网络服务提供者的管理义务几乎完全相同。其中,互联网信息服务提供者和互联网接入服务提供者承担的协助管理义务最宽,而第三方交易平台服务提供者只承担与中间服务提供者相同的义务。
比较国内外的上述相关立法可以发现,其共同之处是都给网络服务提供者设立了一定的法律义务,且义务的内容基本相同,都包括协助执法、数据留存、保护用户信息、管控违法信息和违法活动4类管理义务。国内外的网络服务提供者都应承担立法规定的管理义务,而非只承担中立义务,它们“不再是纯粹的商业活动经营者,因而在法律上都兼具网络服务提供者与网络安全管理者双重主体形象”。从社会地位和作用看,网络服务提供者是网络社会生态环境的主要创建者、网络活动规则的主要制定者,有责任向社会提供便捷和安全的产品,当前“重便捷、轻安全、缺信用”的网络服务状况是网络违法犯罪形势严峻的根本原因。在网络社会环境下,只有网络服务提供者才能及时、直接管控网络违法犯罪活动,如果不要求其承担必要的管理义务,那么其就有可能成为网络犯罪的帮凶,因此,从法理上讲网络服务提供者不应当是中立的。
我国关于网络服务提供者管理义务的立法与欧美国家相关立法的差别主要表现在以下两个方面:
(1)在网络服务提供者的类型化、相关管理义务的区别化方面差异大。前述欧美国家立法根据网络服务提供者的业务活动类型和义务承受能力,规定了类型化、区别化的管理义务,中间服务提供者的义务要明显轻于互联网信息服务提供者的义务。我国法律对网络服务提供者的类型化并不充分,仅前述行政法规和部门规章对网络服务提供者作了分类,并且,其管理义务几乎没有区别。
(2)管理义务立法的适当性程度差别大。法治国原则要求既要有法可依,立法内容又应适当。我国相关立法设置不当,主要表现在以下几个方面:1)各类网络服务提供者的管理义务基本无差别,特别是要求互联网接入、信息存储和缓存等服务提供者承担前述D、E项义务,既不符合其业务活动性质和承受能力,也必然阻碍我国社会信息化的发展。2)对第三方交易平台服务提供者的义务规定不足。在网络交易活动中,网络违法犯罪分子能直接侵害公众的人身、财产权益,与中间服务和互联网信息服务相比,第三方交易平台服务提供者如淘宝网等电商网,掌握巨量的用户信息,控制交易的能力更强,本应承担更多的管理义务,而当前仅部门规章规定其负有留存用户信息和交易信息的义务,法律规范的层级低、效力弱,难以有效督促其履行义务。3)保护用户信息的义务规定不完善。网络服务提供者依法向相关部门和调查机关披露用户信息,欠缺披露信息的实体和程序规定。4)数据留存义务规定不合理。用户数据留存义务不仅会严重影响网络服务提供者的经营活动,也会被用于侵犯公众的合法权益,现有立法对该项义务规定得过于宽泛。5)义务设置没有体现利益平衡原则。我国立法非但没有规定网络服务提供者协助管理的补偿或者支付费用,反而将其协助义务范围设置得过于宽泛,也没有充分保障公众的相关权利。
负有管理义务是网络服务提供者承担法律责任包括刑事责任的前提,我国相关立法在网络服务提供者的类型化、义务的区别化和适当化等方面存在不足,加重了网络服务提供者的法律责任,扩大了网络服务提供者的刑事责任范围。我国应当借鉴外国相关立法合理设定管理义务,推进相关立法的类型化、区别化和适当化。详述如下:
(1)我国法律应当明确规定不同类型的网络服务提供者。《网络安全法》、《反恐怖主义法》、《刑法》等法律应当将网络服务提供者主要分为3类,即中间服务提供者,互联网信息服务提供者和第三方交易平台服务提供者。中间服务提供者应当包括网络接入、服务器托管、网络存储、虚拟空间租用、通信传输等纯粹的网络技术服务提供者,互联网信息服务提供者是相对于中间服务提供者而言在业务活动中更易于管理内容信息的网络服务提供者,网络交易服务提供者应当包括为网络商品交易、网络金融服务等市场交易活动提供第三方交易平台的网络服务提供者。将网络服务提供者类型化是设定区别化的管理义务的基础。
(2)我国法律应当规定区别化的管理义务。中间服务提供者不应承担管理发现的违法信息、主动审查含有恐怖主义、极端主义内容信息两项管理义务,因为该义务超越其业务活动能力的合理范围。各类网络服务提供者不应承担主动审查含有恐怖主义、极端主义内容信息的管理义务,因为若承担该义务必然导致对用户信息秘密的审查和信息活动的监视,严重破坏网络服务提供者与用户之间的相互信任;同时,极速增长的信息量将使得履行该义务的成本巨大,严重阻碍网络服务提供者的正常经营活动。唯一需要增加管理义务的是网络交易平台服务提供者。目前我国网络交易平台服务提供者的管理义务严重不足,由于网络经济活动缺失网络交易平台服务提供者的安全管理是导致当前互联网经济、金融领域诈骗犯罪泛滥的重要原因之一,因此应给网络交易平台服务提供者设定与其社会地位和能力相适应的管理义务。区别化的管理义务是立法科学性的重要体现。
(3)我国法律设定管理义务应当适度。适度立法就是要找到国家、社会、企业和公众等各方利益的平衡点,过分依赖网络社会管控反而会导致各方利益受损。目前需要适当缩限管理义务的范围,既应对义务的种类进行前述限制,又应规定免除相关法律责任的条件,只有在同时满足“知情”“技术上有可能阻止”“阻止不超过其承受能力”等条件时才能要求其承担法律责任。此外,还应充分保障用户的个人信息权利,对于设定向刑事调查机关和国家相关部门提供用户个人数据的义务,应当明确规定提供的实体条件和法律程序,并规定收集、提交数据的范围和条件,以及以上数据的使用、销毁、用户权利救济等。对于数据留存义务,我国法律应当明确规定留存数据的种类、保存时间、销毁等,设定数据留存义务不应严重影响网络服务提供者的正常经营活动,同时还要防止这些数据被用于侵犯数据指向人的合法权利。
二、网络服务提供者刑事责任的合理界定
欧美国家网络服务提供者的法律责任分为3类。第一类是网络服务提供者对自己提供的内容信息承担一般的法律规定的责任。前述欧盟和德国立法规定,网络服务提供者的身份或业务活动性质不是豁免法律责任的依据,如果其实施法律规定的违法犯罪行为,那么应当承担法律责任包括刑事责任。第一类刑事责任与网络服务提供者的管理义务无关,网络服务提供者因自身违反刑法的相关规定而负担。第二类是网络服务提供者对他人提供的内容信息承担监督义务,同时设定了免除法律责任的条件,只有同时满足法律规定的“知情”“技术上有可能阻止”“阻止不超过其承受能力”等条件,网络服务提供者才承担一般的法律规定的责任包括刑事责任。网络服务提供者承担第二类刑事责任不是因为其不履行网络安全管理义务,而是因为其行为符合传统犯罪立法。第三类是网络服务提供者因不履行协助执法等管理义务而承担相应的法律责任,主要是民事责任和行政责任。当然,也有国家以立法的形式规定了刑事责任,如英国《调查权管理法案》第11条第7款对违反协助执法义务的行为规定了监禁、罚金等刑罚。
与外国立法的规定相似,我国网络服务提供者也可能构成3类犯罪,网络服务提供者自己提供违法信息的行为可以构成作为犯形式的单独犯,如果是知晓他人提供违法信息或实施违法行为,那么既可以构成帮助性质的犯罪,包括传统犯罪的共同犯罪、帮助信息网络犯罪活动罪,也可以构成不履行管理义务的不作为犯———拒不履行信息网络安全管理义务罪。这些犯罪行为与其正常的业务活动紧密联系且难以区分,其不履行管理义务的法律责任既有行政法律责任又有刑事责任,新设立的帮助信息网络犯罪活动罪和拒不履行信息网络安全管理义务罪被学者批评为在网络服务领域过度扩张了刑法的适用范围。因此,如何合理界定网络服务提供者的刑事责任值得探究。
(一) 作为犯形式的单独犯
随着社会网络化的发展,不仅出现了新型网络犯罪,而且传统犯罪也在向网络化发展。这些犯罪都可以由网络服务提供者实施,如互联网信息服务提供者故意传播自己制作、编辑整理的恐怖主义内容信息,可能构成宣扬、煽动恐怖主义罪;网络通信接入、主机托管、数据存储服务提供者非法获取用户通信内容可能构成侵犯通信自由罪或侵犯公民个人信息罪,非法获取、非法提供用户个人信息可能构成侵犯个人信息罪等。这表明网络服务提供者可构成作为犯形式的单独犯,类似于前述德国立法规定的网络服务提供者对自己提供的信息“承担一般法律规定的责任”。
对于他人提供的违法内容信息,网络服务提供者在知晓的情况下进行编辑、整理等改变并通过自己的网络服务器传播的,也构成本类犯罪。但是,不应将缓存服务等中间服务行为一概视为正犯的传播行为,因为这会将互联网信息服务提供者刑事责任的范围不当扩大,阻碍互联网的应用和网络社会的发展。外国免除法律责任的立法模式值得我国立法时借鉴。
网络服务提供者构成第一类犯罪,不履行管理义务不是成立该类犯罪的前提条件,学者对其适当性也不存在异议。由于网络服务提供者具有技术、业务活动优势,侵犯的对象更广泛,危害更严重,隐蔽性更强,在一定情况下要从重处罚,有学者也赞同对该行为予以重罚。
(二) 具有帮助性质的犯罪
具有网络技术和工具是网络犯罪的关键条件,除了国家行为体之外,网络服务提供者具有最强的提供技术、程序工具等的能力,如果其明知他人利用信息网络实施犯罪而提供帮助,那么可以按照以下两种方式追究犯罪主体的刑事责任:(1)按帮助犯处理。在实践中网络服务提供者的帮助行为容易与正常的业务活动相混淆,犯罪主体的主观心态是犯罪成立的关键要件。根据我国刑法学通说,帮助犯与实行犯之间必须存在共同的犯罪故意(包括共谋的故意与片面帮助的故意)。 (2)按帮助利用信息网络犯罪活动罪独立定罪处罚。1997年《刑法》第287条之二规定的“提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助”的犯罪主体主要是网络服务提供者,因为在当前网络服务行业垄断化的形势下,非网络服务提供者的自然人主体很难具有提供以上技术和帮助的物质技术条件,更难以赢得用户。国内外立法都没有将不履行管理义务作为网络服务提供者构成具有帮助性质犯罪的前提条件,司法实务部门也很少将不履行该义务作为影响刑事责任的因素。
网络服务提供者成立帮助犯的条件比较明确,相关的讨论比较多,而对于构成帮助利用信息网络犯罪活动罪的观点并不统一,有学者以帮助犯的相关理论对其作出不同的解释,提出该罪立法是帮助行为正犯化或者帮助犯的量刑规则。笔者认为,以传统的帮助犯相关理论来解释该罪并不妥当,同时,该罪法定刑的设立也不科学。详述如下:
(1)增设帮助信息网络犯罪活动罪并非设立帮助犯的量刑规则。有学者认为:“我国《刑法》第287之二所规定的帮助信息网络犯罪活动罪,并不是帮助犯的正犯化,只是帮助犯的量刑规则”。这实际上否认其独立犯罪化的价值。按照该观点,构成该罪必须符合共同犯罪的构成要件,可是这在客观上限制了该罪的适用范围。当网络服务提供者仅为某一个具体的下游犯罪提供帮助时,的确可以按照传统的帮助犯定罪处罚,但是对帮助犯刑事责任的追究要依附于对实行犯刑事责任的追究。在网络犯罪产业链化的态势下,被帮助的正犯作为犯罪行为的直接实行人,“不仅服务器可能设置在境外,而且其人可能也躲避在境外。对网络共同犯罪进行刑事归责时,经常面临提供网络服务的帮助犯被追诉而正犯却逍遥法外的困境”。同时,收集、审查、认定网络犯罪案件中的电子数据仍是追诉网络犯罪案件的主要司法难题,案件办结的难度大,如果对网络服务提供者按照帮助犯处理,那么最终可能无法追究犯罪主体的刑事责任。
笔者认为,上述学者是以传统社会的眼光看待网络社会,传统的共同犯罪理论是建立在“一人对一人”或者“一人对少数人”的传统社会活动结构的基础之上的,不适合用来分析“一人服务于人人、人人服务于一人”的网络社会活动。网络服务提供者从来就不是向某一个或少数人而是向公众提供服务,将其按照帮助犯定罪处罚没有反映出网络服务的产业链行为特征,不能做到罚当其罪及有效遏制犯罪。网络服务提供者的技术支持和帮助行为具有明显的犯罪产业链行为特征,是整个网络犯罪链的重要环节,并非为帮助某一个具体的下游犯罪而单独存在,而是为了谋求自身独立的经济利益为众多下游网络犯罪提供服务。
此外,该种犯罪具有不同于帮助犯的独立性,“网络空间中某些犯罪的帮助行为的社会危害性已经远远超过实行行为的危害性”,这种比实行行为社会危害性更严重的社会危害性不可能为从属性行为所具有,只能是因其自身具有独立性。将该罪按其手段行为予以独立犯罪化,给予兜底性刑罚处罚,可以与按照帮助犯模式处理相互补充。例如,该罪行为人向相互独立的网络犯罪分子提供技术支持与帮助,按照帮助犯处理都不能成立犯罪,但是其帮助多人的行为如果被评价为“情节严重”,那么可以按照该罪处理;当按照帮助犯处理刑罚更重时,如构成贩卖毒品罪的帮助犯,那么仍应按照贩卖毒品罪定罪处罚。至于该罪是否过度扩张刑法的边界,笔者认为,构成该罪不仅要求行为人明知他人犯罪,而且必须具有“情节严重”的要件,以在规范层面避免过度犯罪化。诚如有学者所指出的那样,该罪立法具有必要性和合理性,有利于全面遏制网络犯罪,是我国刑法顺应网络社会发展的适应性调整,而不是所谓积极主义的刑法立法。
(2)增设帮助信息网络犯罪活动罪并非帮助行为正犯化。有学者认为,增设帮助信息网络犯罪活动罪是帮助行为正犯化,并提出“完全可以脱离正犯去评价共犯行为,共犯行为的独立属性为这种刑法评价预留了足够的理论空间,对共犯正犯化的立法规定在共同犯罪理论体系中不存在障碍”。笔者不同意这种观点。其理由是:1)根据我国刑法学通说,仅教唆犯具有从属性和独立性的双重属性,认为帮助犯也具有独立性缺乏法律依据和刑法学理论的支撑。2)帮助行为正犯化的基础是行为在性质上仍然属于帮助行为,只是因为存在新的犯罪立法,其定罪脱离原来的正犯,但是这种立法“弱化了正犯责任应有的独立性,也造成了正犯责任和片面共犯责任的适用冲突,一旦通过总则性司法解释将片面共犯全面引入后,帮助利用信息网络犯罪活动罪就会被空置”。可见,对该罪作帮助行为正犯化的解读面临立法与帮助犯理论相互排斥的问题。3)受限于刑事责任的从属性。如果该罪在性质上仍然被定位为帮助犯,那么其刑事责任必然要从属于正犯,或者依附于正犯的刑罚,或者只能规定较轻的刑事责任。有学者提出“必要帮助犯的主犯化”“帮助行为可以在共同犯罪中起主要作用”等观点,试图解决帮助犯刑罚从属性和较轻的问题,但是这种方案非但难以获得共同犯罪理论的广泛认同,反而说明下游犯罪对这类帮助性质的犯罪存在依赖性,后者在犯罪链中起主要作用,是核心的犯罪行为,需要独立成罪并进行刑事责任的独立评价。
从罪刑单位的结构看,该罪设置了独立的法定刑,不可能是下游犯罪帮助犯的量刑规则,但是该罪的法定刑较轻似乎意味着立法者将其定性为从属性的犯罪。从我国刑法的相关规定看,能对其他犯罪起到帮助作用的并非只有帮助犯,也并非都被认为是帮助行为正犯化,如洗钱罪、运输毒品罪等犯罪的行为人都明知下游犯罪的性质,由于其自身在犯罪链中具有独立性,并且其行为被立法认定为具有严重的社会危害性,进而被规定为独立的犯罪并设置了多层次的法定刑,其法定刑并非一律相对较轻。因此,符合帮助犯特征的独立犯罪并非都是帮助行为正犯化,还要看该犯罪在犯罪生态中是否具有独立的地位。帮助利用信息网络犯罪活动罪与洗钱罪、运输毒品罪、提供侵入、非法控制计算机信息系统的程序、工具罪具有相同的特点,我国刑法将其设立为独立的犯罪是合理的。为了实现罪刑均衡,应改变对其帮助犯性质的认识,其法定刑应当增设“具有特别严重情节的,处3年以上7年以下有期徒刑,并处罚金”。此外,将该罪的罪名解释为“为他人利用信息网络实施犯罪提供技术支持和帮助罪”更为恰当。
(三) 不履行管理义务的不作为犯
前文提到,外国立法如英国立法仅将拒不履行协助执法义务的行为入罪,而我国法律和行政法规不仅规定了较为宽泛的管理义务,而且我国刑法还设立了拒不履行信息网络安全管理义务罪。该罪是法定犯、不作为犯和情节犯,其立法的适当性及司法适用的限度值得研究。
1.对立法适当性的思考网络社会的良好治理需要网络服务提供者协助,但这仅表明网络服务提供者协助管理的必要性,而不是将拒不履行协助管理义务行为犯罪化的充分理由。根据我国刑法学通说,犯罪应具有相当程度的社会危害性、刑事违法性和应受刑罚处罚性,不具备其中任何一个特性,犯罪立法就缺乏必要性和合理性。
(1)该行为是否具有严重的社会危害性存疑。该罪被设定为情节犯,但情节要件标准的模糊性降低了该罪入罪的门槛,部分不具有严重社会危害性的行为可能按该罪被处罚。详言之:1)难以区分行政违法行为与犯罪行为。《网络安全法》、《反恐怖主义法》和《互联网信息服务管理办法》都将“情节严重”规定为对网络服务提供者适用较重行政处罚的条件,其内容可以涵盖1997年《刑法》第286条之一列举的4项情节。无论未来对拒不履行信息网络安全管理义务罪的“情节严重”作何种司法解释,其属于酌定情节的性质不会改变,在司法实践中难以区分行政法意义与刑法意义上的“情节严重”,该罪与行政违法行为的边界难以确定。2)该罪是法定犯和不作为犯,严重后果应当是构成要件。该罪的后果是他人的违法行为非由正常的网络服务引起,只是因为网络服务提供者处于保证人的地位,被要求“对于危险源的监督,产生了保护他人法益不受来自于自己控制领域的危险威胁的义务。这种对于危险源的控制是不作为犯的义务。这种保证人义务的根据在于,复杂社会系统中的秩序必须依赖于(处分权人所管理的)特定空间和特定控制领域的安全”。网络服务提供者不履行管理义务,只有在应当履行、有能力且不超过其合理的承受能力范围,而未防止他人违法行为或者系统危险导致产生严重后果,才具备刑事追责的可能性和必要性。该罪可类比于消防责任事故罪,行为人违反消防管理法规且拒绝执行改正措施,造成严重后果的,才承担刑事责任,相比之下,拒不履行信息网络安全管理义务罪不是危害公共安全罪,犯罪性质不如消防责任事故罪严重,如果没有发生严重后果,仅具有“严重情节”,那么不足证明该行为具有严重的社会危害性及追究刑事责任的必要性。3)危害后果规定不明确。该罪法条规定的“违法信息大量传播”和“刑事案件证据灭失,情节严重”的界线不清晰,违法信息大量传播的标准难以合理界定,轻罪刑事案件的证据灭失不应被评价为情节严重和具有严重的社会危害性。
(2)该行为是否应受刑罚处罚存疑。刑法是其他部门法的保障法,刑罚是一把“双刃剑”,只有在其他法律手段不能有效规制行为时,才能动用刑罚。刑法立法和适用都应遵循谦抑原则。该罪规定的管理义务由《网络安全法》、《反恐怖主义法》、《关于加强网络信息保护的决定》以及《互联网信息服务管理办法》设定,并规定了相应的行政法律责任,网络服务提供者拒不履行该义务,最重可能被处以关闭网站、吊销经营许可证或者营业执照等处罚。如果网络服务提供者受到以上重处,那么其要么已经丧失提供网络服务的能力,不可能实施该罪;要么其身份已经不是网络服务提供者,不能适用该罪。并且,拒不履行信息网络安全管理义务罪是轻罪,对单位犯罪只能处以罚金,刑事责任反而比前述行政处罚轻,且没有剥夺其再犯能力。虽然能通过对直接责任人员处以刑罚来遏制犯罪,但是受行政监管的网络服务提供者都是以单位形式存在,处罚单位比处罚个人效果更好,同时还能避免短期自由刑的弊端。当然,前述行政法律法规规定的行政处罚适用标准、处罚轻重、处罚措施不统一,行政执法可能遇到困难,解决之道应当是完善前述行政立法,而不是以刑代管。
总之,无论是从国内外立法的比较还是从该罪适用的实际效果分析,该罪立法属于滥用刑法的威慑、惩罚功能,欠缺立法的必要性和适当性,不能替代良好的行政监管,对我国信息社会的发展弊大于利。如果不废除该罪,那么未来至少应提高该罪的入罪门槛,将其修改为结果犯。
2.司法适用的限制从上文的分析不难看出,增设拒不履行信息网络安全管理义务罪存在过度犯罪化的缺陷,在立法没有修改前,应对该罪的构成要件做限缩解释,以免对网络服务提供者不当施刑。
(1)不履行管理义务的认定。该罪是不作为犯,不履行管理义务是该罪成立的前提,认定义务的范围应注意以下两点:1)该义务来源于法律和行政法规的规定,当前仅有《网络安全法》、《反恐怖主义法》、《关于加强网络信息保护的决定》、《互联网信息服务管理办法》可以作为义务来源的根据,其他部门规章和地方性法规的规定不能成为义务来源的根据。 2)义务的内容受限于刑法规定的范围。根据以上法律和行政法规,该罪中的管理义务是网络用户身份的实名认证和服务限制、协助执法、关键信息基础设施中的个人信息和重要数据的境内留存、保护个人信息、监管发现的违法信息以及针对恐怖主义、极端主义内容信息的监督义务,但是违反前述6项义务,并非都要承担刑事责任,根据1997年《刑法》第287条之一的规定,还必须能够造成“违法信息传播”“用户信息泄露”“刑事案件证据灭失”的后果,并有其他严重情节。其中,违反对网络用户身份实名验证和服务限制义务与发生上述3种结果之间的因果链条过长,本身不具有引起的性质,不可能引起严重后果,没有制造出法所不允许的风险,违反该义务的行为不应是犯罪行为,只可能是行政违法行为。此外,对于网络服务提供者未能完全履行恐怖主义、极端主义内容信息的监督义务,以致该类信息被大量传播的,也不应当追究刑事责任。《反恐怖主义法》要求网络服务提供者对传输、存储、处理的恐怖主义、极端主义内容信息进行内容审查、搜索和过滤,超越了网络服务提供者的管理能力和合理承受能力,如果其已经付出必要的努力,那么即使出现前述内容信息被大量传播的情形,也不应追究其刑事责任。
(2)拒不履行义务的认定。该罪是特殊的不作为犯,除了应满足不作为犯的基本特征外,还必须被监管部门责令采取改正措施,因此,认定拒不履行义务时,应注意以下几点:1)监管部门责令其采取改正措施的认定。《网络安全法》第8条规定,互联网信息部门负责统筹协调网络安全工作和相关监督管理工作,电信主管部门、公安部门和其他有关机关依照相关法律和行政法规,在职责范围内负责网络安全的监督管理工作。其他部门如工商行政管理部门、广播电影电视管理部门依据部门规章责令网络服务提供者采取改正措施,不应被认为是符合该罪规定的监管部门。前述有权监管部门提出的改正措施应指向相对具体的违法活动和违法内容信息,而不能是一般性的责令履行管理义务。2)网络服务提供者履行义务能力的认定。该罪是不作为犯,成立该罪,网络服务提供者必须有能力履行前述义务、执行监管部门责令的改正措施。网络服务提供者的管理能力不同于服务能力,其受限于互联网技术及其整体构架、信息系统的软硬件设备设施、网络服务平台管理的技术和条件、网络服务的经营成本等多方面。以网络信息服务提供者为例,面对海量的图片、音视频形式的色情、暴恐等违法信息,其目前只能适用能识别特征信息的计算机进行自动搜索和采用人工审查两种措施,无法实时、无遗漏地发现全部违法信息,如果违法内容信息被使用了隐藏技术、非通用语言和密码技术等,那么很难被有效发现和监管。因此,应借鉴前述德国的立法经验,只有同时满足“技术上有可能阻止”“阻止不超过其承受能力”的条件,才能认定网络服务提供者具有履行义务的能力。一般应采取兼顾业界一般能力水平与个体能力的判断标准,以当时多数网络服务单位履行义务能力的一般水平为基础,具体考察特定单位实际履行义务的可能性和承受能力。如果改正措施超出当时的一般能力水平,或者要求投入的管理成本太高,以致严重影响被监管人的正常经营,那么不能认为其具有履行义务的能力。3)故意不执行改正措施的认定。该罪的核心是“拒不改正”,犯罪主体主观上具有拒不履行协助管理义务、对抗法律的心理,客观上拒不改正,未阻止法定后果的发生。拒不改正表现为两种情形:一种是完全不执行;另一种是表面应付、实际上不执行。前者容易判断,而后者则容易与执行不能、执行迟缓、执行困难等相混淆。笔者认为,应当根据监管部门责令改正措施的内容和网络服务提供者执行改正措施的实际状况来综合判断。如果内容比较明确、具体,执行难度不大,处于行为人有能力执行的范围内,行为人故意不投入必要的人力物力、故意拖延和应付的,那么应当认定为拒不执行改正措施;如果超出行为人的管理能力,或者改正工作量巨大导致过程长,或者其能力不足以完全改正,那么即使发生法定的后果,也不应认定为故意不执行改正措施。
(3)严重情节。1997年《刑法》第286条之一规定了4项“严重情节”,并且规定对不履行用户信息保护义务的按照结果犯认定,而对不履行其他义务的按照情节犯认定。前文已指出,“严重情节”的含义模糊,对该要件的“粗犷”适用不仅会使网络服务提供者承担个案的刑事责任,而且还会使网络服务业界面临现实的刑事责任风险,迫使其强化对网络信息的筛查监控,侵害公众的网络表达和言论自由权利。笔者认为,在该构成要件没有修改之前,认定“严重情节”应当符合宪法原则,兼顾打击犯罪与保护人权。由于该条对不履行用户信息保护义务要求造成严重后果,因此对该罪的其他“严重情节”也应按“造成严重后果”来解释:将“刑事案件证据灭失”解释为导致应判处3年以上有期徒刑的犯罪的构成要件事实证据灭失;对“致使违法信息大量传播”的数量标准规定得比故意传播违法信息犯罪(如传播淫秽物品罪)更高,且违法信息的大量传播应与严重危害社会事件有因果关系。
三、结 语
网络服务提供者在网络社会中处于核心地位,网络社会的治理需要网络服务提供者协助管理,给网络服务提供者设立管理义务是各国立法的趋势。国内外立法要求网络服务提供者承担的义务基本相同,主要是协助执法(协助通信监视、数据留存与提供)、内容信息监管、用户数据保护。我国相关立法在协助管理义务的类型化、区别化方面与外国立法的差距较大。外国立法对网络服务提供者较少规定专门的犯罪。网络服务提供者对自己提供的内容信息应当承担一般的法律规定的责任;对他人提供的内容信息,在满足“知情”“技术上有可能阻止”“阻止不超过其承受能力”3项条件时,网络服务提供者有义务阻止,如果不阻止,那么将承担一般的法律规定的责任包括刑事责任;网络服务提供者违反法律规定的管理义务应承担的法律责任主要是民事责任和行政责任。我国网络服务提供者可能构成作为犯形式的单独犯、帮助犯、帮助他人利用信息网络犯罪活动罪和拒不履行信息网络安全管理义务罪,前二者与外国立法相似,而拒不履行信息网络安全管理罪立法的必要性、适当性则需要继续研究,当前应当对该罪做限制性解释。
(责任编辑 田国宝)
(公众号学生编辑 吴艳芳)
注:为方便推文,编辑时隐去了原文注释,读者可于CNKI数据库下载完整版原文。
探求法意、传承学术。为构建中国特色、中国风格、中国气派的法学理论提供高端前瞻的平台。
《法商研究》出品