雙劍合璧:拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪與網(wǎng)絡(luò)安全法規(guī)之銜接

微信圖片_20191205140414.png


  隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展,新的商業(yè)模式的出現(xiàn),人們的工作生活得到了極大豐富,也促成了新的權(quán)利義務(wù)關(guān)系的產(chǎn)生,新的違法犯罪模式的出現(xiàn),對(duì)法律的修改完善提出了新的要求。為了回應(yīng)這一要求,2015年通過(guò)的刑法修正案(九)在第286條破壞計(jì)算機(jī)系統(tǒng)罪之后補(bǔ)充了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪,為網(wǎng)絡(luò)服務(wù)提供商劃定了法律紅線(xiàn)。

  一、 刑修九新增罪名:拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪

  在網(wǎng)絡(luò)安全事件頻發(fā),網(wǎng)絡(luò)空間亟需建立新的秩序的當(dāng)下,網(wǎng)絡(luò)服務(wù)提供商因其在網(wǎng)絡(luò)空間的中介地位以及技術(shù)性?xún)?yōu)勢(shì),在網(wǎng)絡(luò)安全保障之戰(zhàn)中的地位是不言而喻的,如果不能保證網(wǎng)絡(luò)服務(wù)提供者依法履行其義務(wù),網(wǎng)絡(luò)安全也就難以推進(jìn),因而刑法新增的這一規(guī)定可謂是及時(shí)雨。

  根據(jù)第286條之一的規(guī)定,網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門(mén)責(zé)令采取改正措施而拒不改正,造成違法信息大量傳播、用戶(hù)信息泄露后果嚴(yán)重、刑事案件證據(jù)滅失等結(jié)果的,構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。根據(jù)該條規(guī)定,成立本罪的前提條件是:(1)網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),(2)經(jīng)監(jiān)管部門(mén)責(zé)令采取改正措施而拒不改正,(3)導(dǎo)致出現(xiàn)危害社會(huì)的結(jié)果。但是,對(duì)于網(wǎng)絡(luò)服務(wù)提供者的范圍以及其應(yīng)該遵守何種信息網(wǎng)絡(luò)安全管理義務(wù),刑法修正案(九)并沒(méi)有作出明確規(guī)定。

  人大法工委在對(duì)刑法修正案(九)的解釋中,首先從主體的角度出發(fā),明確了本條中的“網(wǎng)絡(luò)服務(wù)提供者”同時(shí)包括互聯(lián)網(wǎng)接入服務(wù)提供者和互聯(lián)網(wǎng)內(nèi)容服務(wù)提供者,前者即為終端用戶(hù)提供專(zhuān)線(xiàn)、撥號(hào)上網(wǎng)等服務(wù)的提供商,而后者指代的則是包括新浪、搜狐等向用戶(hù)提供新聞、信息、資料、音視頻等內(nèi)容服務(wù)的提供商。

  而從行為的角度而言,人大法工委指出,認(rèn)定行為人是否有不履行安全管理義務(wù)行為時(shí),要結(jié)合法律和行政法規(guī)對(duì)于安全管理義務(wù)的具體規(guī)定,主要義務(wù)來(lái)源包括《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《電信條例》等。人大法工委還特別指出,網(wǎng)絡(luò)服務(wù)提供者的安全管理義務(wù)主要包括落實(shí)網(wǎng)絡(luò)安全管理制度和安全保護(hù)技術(shù)措施、及時(shí)發(fā)現(xiàn)和處置違法信息,及對(duì)網(wǎng)上信息和網(wǎng)絡(luò)日志信息記錄進(jìn)行備份和留存。

  人大法工委對(duì)“網(wǎng)絡(luò)服務(wù)提供者”的解釋是基于對(duì)PC時(shí)代互聯(lián)網(wǎng)的理解作出的,不能解決移動(dòng)互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)時(shí)代的許多問(wèn)題?!度珖?guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》作為法律卻僅強(qiáng)調(diào)對(duì)個(gè)人信息的保護(hù);《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《電信條例》是行政法規(guī),對(duì)網(wǎng)絡(luò)服務(wù)提供者安全管理義務(wù)規(guī)定是零散的,缺乏系統(tǒng)性,存在多個(gè)監(jiān)管部門(mén)之間的職責(zé)不清,處罰標(biāo)準(zhǔn)不明、處罰依據(jù)不充分的問(wèn)題。

  二、 刑法與網(wǎng)絡(luò)安全法規(guī)之銜接:從難以落實(shí)到柳暗花明

  拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的制定雖然看似是互聯(lián)網(wǎng)監(jiān)管的一場(chǎng)及時(shí)雨,但卻并沒(méi)有起到解決燃眉之急的作用。但從已公布的裁判文書(shū)以及相關(guān)新聞報(bào)道來(lái)看,自2015年刑法修正案(九)生效至今,這一罪名的司法實(shí)踐仍然近乎一紙空白。中國(guó)裁判文書(shū)網(wǎng)上可以檢索到的以該罪名定罪的案件目前只有三起,其中兩起涉及非法提供VPN服務(wù),例如2018年9月做出判決的胡某拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)一案,被告人胡某利用上海絲洱網(wǎng)絡(luò)科技有限公司擅自建立其他信道進(jìn)行國(guó)際聯(lián)網(wǎng),且經(jīng)上海市公安局浦東分局行政處罰后仍不改正,最終被判處拘役六個(gè)月,緩刑六個(gè)月,罰金人民幣三萬(wàn)元。以及2018年12月做出判決的朱皓非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)一案,被告人朱某注冊(cè)成立公司并創(chuàng)建網(wǎng)站以銷(xiāo)售VPN軟件,供用戶(hù)訪(fǎng)問(wèn)境外互聯(lián)網(wǎng)網(wǎng)站,公訴機(jī)關(guān)以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪之名義起訴,但法院認(rèn)為朱某的行為應(yīng)當(dāng)構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。另一起案件則涉及非法開(kāi)設(shè)線(xiàn)上賭場(chǎng),但這些案件對(duì)于網(wǎng)絡(luò)服務(wù)提供商而言,似乎都不具有很大的可供參考性。

  拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪未能得到充分的落實(shí)與這一罪名的特殊性有不可分割的關(guān)系。正如前文所述,構(gòu)成本罪的行為要求網(wǎng)絡(luò)服務(wù)提供者未按照法律及行政法規(guī)的要求履行安全管理義務(wù),經(jīng)監(jiān)管部門(mén)責(zé)令采取改正措施而拒不改正,這就使得本罪天然具有刑法與其他法律、行政法規(guī)相銜接的問(wèn)題。但是,我國(guó)的網(wǎng)絡(luò)安全法規(guī)體系,在網(wǎng)絡(luò)安全法出臺(tái)以前,體現(xiàn)出的不完備和碎片化的特點(diǎn),導(dǎo)致了本罪適用的困難。

  2016年11月7日,《網(wǎng)絡(luò)安全法》發(fā)布。根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定,承擔(dān)危害網(wǎng)絡(luò)安全的責(zé)任主體有: 網(wǎng)絡(luò)運(yùn)營(yíng)者,網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者,電子信息發(fā)送服務(wù)提供者和應(yīng)用軟件下載服務(wù)提供者等。這些負(fù)有維護(hù)信息網(wǎng)絡(luò)安全管理義務(wù)的主體因具體角色不同,承擔(dān)的維護(hù)網(wǎng)絡(luò)安全義務(wù)有所區(qū)別,但承擔(dān)義務(wù)的本質(zhì)是相同的?!毒W(wǎng)絡(luò)安全法》規(guī)定的其網(wǎng)絡(luò)安全管理義務(wù)可以大致分為兩類(lèi): 一是一般性義務(wù),即網(wǎng)絡(luò)安全責(zé)任主體均應(yīng)遵守的義務(wù); 二是特殊性義務(wù),即與具體網(wǎng)絡(luò)主體有關(guān)的維護(hù)網(wǎng)絡(luò)安全的義務(wù)。

  值得注意的是,《網(wǎng)絡(luò)安全法》規(guī)定的承擔(dān)危害網(wǎng)絡(luò)安全的責(zé)任主體在名稱(chēng)上與刑法修正案(九)規(guī)定的拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的主體(網(wǎng)絡(luò)服務(wù)提供者)似乎并不一致。不久前剛剛施行的兩高《關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)等刑事案件適用法律若干問(wèn)題的解釋》,對(duì)“網(wǎng)絡(luò)服務(wù)提供者”的范圍進(jìn)行了明確,基本涵蓋了《網(wǎng)絡(luò)安全法》規(guī)定的承擔(dān)危害網(wǎng)絡(luò)安全的責(zé)任主體。

  如前所述《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)安全管理義務(wù)可以分為兩類(lèi): 一是一般性義務(wù),二是特殊性義務(wù)。一般性義務(wù),是網(wǎng)絡(luò)安全責(zé)任主體均應(yīng)遵守的義務(wù)。而實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)則是網(wǎng)絡(luò)安全管理一般性義務(wù)中最基本的安全保護(hù)義務(wù)。

  三、 網(wǎng)絡(luò)服務(wù)提供者安全管理義務(wù)新視角:等保2.0

  新技術(shù)的發(fā)展使信息網(wǎng)絡(luò)安全管理義務(wù)的范圍不斷變化。另一可能促使拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪在實(shí)務(wù)中適用增多的因素是網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0(以下簡(jiǎn)稱(chēng)“等保2.0”)時(shí)代的到來(lái)。

  《網(wǎng)絡(luò)安全法》明確提出實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度;但是《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)的規(guī)定較為原則,仍然不能滿(mǎn)足法律實(shí)踐的需要。為了深入推進(jìn)實(shí)施國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,公安部已制定《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》,細(xì)化了各類(lèi)網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)。需要注意的是,網(wǎng)絡(luò)應(yīng)用與科技密切相關(guān),只有將網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)與技術(shù)標(biāo)準(zhǔn)相結(jié)合,才可能具體明確網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)的范圍。

  1994年國(guó)務(wù)院發(fā)布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,首次提出了國(guó)家信息安全工作信息系統(tǒng)是分等級(jí)實(shí)施保護(hù)的,標(biāo)志我國(guó)信息安全工作信息系統(tǒng)分級(jí)的開(kāi)始。根據(jù)人大法工委對(duì)拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的解釋?zhuān)鋵?shí)網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)服務(wù)提供者安全管理義務(wù)的組份,而這一制度應(yīng)當(dāng)以網(wǎng)絡(luò)安全等級(jí)保護(hù)制度為一大重點(diǎn)。

  2007年,公安部等四部門(mén)頒布了《信息安全等級(jí)保護(hù)管理辦法》,明確了等級(jí)保護(hù)所有的相關(guān)的工作以及各種參與決策的職責(zé)分工等等,從此等級(jí)保護(hù)這項(xiàng)工作就正式開(kāi)始實(shí)施,此后,在2008年至2012年間,包括《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在內(nèi)的網(wǎng)絡(luò)安全等級(jí)保護(hù)1.0相關(guān)國(guó)家標(biāo)準(zhǔn)相繼問(wèn)世。

  隨著安全趨勢(shì)和形勢(shì)的變化,以及新技術(shù)、新應(yīng)用、新業(yè)務(wù)形態(tài)的大量出現(xiàn),尤其是大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等的應(yīng)用,網(wǎng)絡(luò)安全產(chǎn)業(yè)產(chǎn)生了巨大變革,原來(lái)發(fā)布的標(biāo)準(zhǔn)已經(jīng)不再適用于當(dāng)前的安全要求。因此從2015年開(kāi)始,我國(guó)開(kāi)始逐步著手制定等保2.0標(biāo)準(zhǔn),從而滿(mǎn)足我國(guó)現(xiàn)階段網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施大量應(yīng)用的安全形勢(shì)的要求。于2017年開(kāi)始正式實(shí)施的《網(wǎng)絡(luò)安全法》中明確提出實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,也正式拉開(kāi)了等保2.0的序幕。今年12月,《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》三個(gè)國(guó)家標(biāo)準(zhǔn)將正式實(shí)施,標(biāo)志著我們將正式邁入等保2.0時(shí)代。

  這一《網(wǎng)絡(luò)安全法》配套法規(guī)體系的建立,也將為網(wǎng)絡(luò)服務(wù)提供者建立起一個(gè)重要的行為準(zhǔn)則體系,同時(shí),拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪中網(wǎng)絡(luò)服務(wù)提供者的安全管理義務(wù)也將得以更好地明確化。如果網(wǎng)絡(luò)服務(wù)提供者沒(méi)有及時(shí)依規(guī)建立等級(jí)保護(hù)系體,且具有拒不履行網(wǎng)安部門(mén)發(fā)出的整改通知書(shū),并造成司法解釋中所列的嚴(yán)重后果的情形,不僅會(huì)導(dǎo)致企業(yè)、機(jī)構(gòu)被處以罰金,更可能導(dǎo)致主管人員和其他責(zé)任人員被處三年以下有期徒刑、拘役或者管制。

  事實(shí)上,近年來(lái),因未做好等保合規(guī)而受到行政處罰的案例已屢見(jiàn)不鮮,例如在2017年7月20日,廣東汕頭網(wǎng)警對(duì)市內(nèi)某信息科技有限公司三級(jí)以上系統(tǒng)未按規(guī)定進(jìn)行網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng),作出警告和責(zé)令改正處罰,以及在2018年3月26日,株洲市網(wǎng)安部門(mén)對(duì)某教育科技公司未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,約談法人代表及管理員,作出警告并責(zé)令改正處罰。隨著網(wǎng)安法發(fā)布及相關(guān)配套規(guī)范的出臺(tái),網(wǎng)絡(luò)安全等級(jí)保護(hù)制度與刑法規(guī)定之間的銜接越來(lái)越通暢,企業(yè)因未做好等保合規(guī)而承擔(dān)刑事責(zé)任的可能性也就越來(lái)越大。等保2.0相關(guān)標(biāo)準(zhǔn)與兩高這一重要司法解釋前后腳出臺(tái),頒布、生效時(shí)間相差不足數(shù)月,也許正是相關(guān)部門(mén)在向網(wǎng)絡(luò)服務(wù)提供者發(fā)出信號(hào):及時(shí)建立網(wǎng)絡(luò)安全等級(jí)保護(hù)體系,不僅是在保護(hù)用戶(hù),也是在保護(hù)提供商自己。

  四、 結(jié)語(yǔ)

  刑法修正案(九)規(guī)定了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪,但是對(duì)于網(wǎng)絡(luò)服務(wù)提供者據(jù)不履信息網(wǎng)絡(luò)安全管理義務(wù)的認(rèn)定,需要依據(jù)法律、行政法規(guī)規(guī)定及監(jiān)管部門(mén)的行政處罰;本罪規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)系將行政責(zé)任上升為刑事責(zé)任。

  我國(guó)現(xiàn)存的網(wǎng)絡(luò)安全法規(guī)體系對(duì)網(wǎng)絡(luò)服務(wù)提供者規(guī)定了一種一般性、積極性的監(jiān)管義務(wù)。而實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)則是網(wǎng)絡(luò)安全管理一般性義務(wù)中最基本的安全保護(hù)義務(wù)。網(wǎng)絡(luò)應(yīng)用與科技密切相關(guān),只有將網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)與技術(shù)標(biāo)準(zhǔn)相結(jié)合,才可能具體明確網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)的范圍。

  新技術(shù)的發(fā)展使信息網(wǎng)絡(luò)安全管理義務(wù)的范圍不斷變化。移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的發(fā)展促使網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代的到來(lái)。網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0在增加了信息網(wǎng)絡(luò)安全管理義務(wù)范圍的同時(shí),也明確了信息網(wǎng)絡(luò)安全管理義務(wù)的具體行為。這將會(huì)極大增加拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪在實(shí)務(wù)中的適用。

  信息網(wǎng)絡(luò)安全管理責(zé)任猶如懸在網(wǎng)絡(luò)服務(wù)提供者頭上的一把“達(dá)摩克利斯之劍”。對(duì)于網(wǎng)絡(luò)服務(wù)提供者而言,防止“達(dá)摩克利斯之劍”落下,當(dāng)務(wù)之急就是堅(jiān)決貫徹實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,做好網(wǎng)絡(luò)安全保護(hù)義務(wù)。(Alan和Stella對(duì)本文有貢獻(xiàn)。)