来源:《南大法学》2020年第3期。篇幅较长,已略去原文注释。
作者:王肃之,最高人民法院法官助理,法学博士。
摘要:自拒不履行信息网络安全管理义务罪增设以来,对于其系真正不作为犯还是不真正不作为犯并未取得一致认识,但是保证人理论日益成为理论阐释的主要依据。然而德国网络服务提供者适用保证人理论与保证人地位法定化和二元制的刑事立法体系有关,我国存在不同的现实情况。应基于网络服务提供者、作为义务、不作为类型和不作为情节的法定化,将该类行为理解为真正不作为犯。在此前提下,应致力于信息网络安全管理义务的定型化,推动不作为犯理论的本土适用和创新发展。
关键词:网络服务提供者;信息网络安全管理义务;保证人理论;真正不作为犯
目次
一、网络服务提供者不作为的理论争议
二、不真正不作为犯适用空间的反思
三、真正不作为犯的规范依据
四、信息网络安全管理义务的定型化
五、结语
关于网络服务提供者的刑事责任,我国和德国进行了不同的立法探索。德国在二元刑事立法的结构下,以刑法典规定一般的不作为犯保证责任,以专门立法规定网络服务提供者的作为义务,由此确立其特殊的保证人地位与刑事作为义务,不真正不作为犯的路径得以确立。在一元的刑事立法结构下,2015年《中华人民共和国刑法修正案(九)》在《中华人民共和国刑法》(以下简称《刑法》)中增设第286条之1拒不履行信息网络安全管理义务罪,对于网络服务提供者的“信息网络安全管理义务”以及具体的不作为行为予以规定。2019年10月25日最高人民法院、最高人民检察院发布了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释[2019]15号)(以下简称《新型网络犯罪解释》)对于拒不履行信息网络安全管理义务罪作出更为具体的规定。自该罪增设以后,不少学者借鉴德日的保证人理论来阐释网络服务提供者的作为义务及不作为责任,试图以此来推动义务和责任的明确化。然而我国网络服务提供者刑事责任的规范路径与德日不同,应否借鉴保证人理论进行阐释尚需进行细致和具体的考察,并在此基础上明确拒不履行信息网络安全管理义务的不作为性质。
一、网络服务提供者不作为的理论争议
“区分网络服务提供者之作为与不作为,以及不作为的义务来源和边界,是网络服务提供者责任划分中最为核心的问题”。《刑法》第286条之1拒不履行信息网络安全管理义务罪的规定不仅在我国属于突破性规定,在其他大陆法系国家也无先例,自该罪增设以来如何对其不作为性质进行阐释成为理论和实务界普遍关注的焦点问题。围绕该罪的一些基础性问题,比如在拒不履行信息网络安全管理义务行为属于正犯行为(实行行为)还是共犯行为(帮助行为),属于作为还是不作为,属于故意行为、过失行为还是复合罪过(或模糊罪过)行为,学界均进行了广泛的讨论。晚近以来,随着讨论的深入以及《新型网络犯罪解释》的出台,拒不履行信息网络安全管理义务行为的不作为属性日益为学者所认可,但是关于该罪的争议并未就此终结,如何正确阐释网络服务提供者的刑法地位及其不作为性质的争论仍在持续。
一种观点从《刑法》第286条之1的规定出发,基于网络服务提供者的法定地位进行阐释。如有学者认为,根据该条的规定,拒不履行信息网络安全管理义务罪是一个纯正不作为的义务犯,其行为形式仅限于不作为。基于理论的共识,纯正不作为之作为义务只能是“法律、法规有明确规定者”,即法律、法规已有具体规定且《刑法》明确了公民的作为义务的,其典型义务类型如纳税义务,如果公民不履行则可能构成逃税罪。拒不履行信息网络安全管理义务罪要求网络服务提供者履行现行有效的信息网络安全管理法律、法规所明确规定的信息网络安全管理的作为和不作为义务。据此,《刑法》第286条之1中网络服务提供者的不作为系真正不作为犯。
另一种观点则是借用德日不作为犯理论中的保证人理论来阐明网络服务提供者的不作为性质。如有学者认为:“保证人学说的巨大优势在于对行为人是否具有保证人地位及能否履行特定的保证义务,可与网络服务提供者在管理、控制网络信息中的地位和作用相匹配、衔接,从而达到在网络服务分类的基础上,合理界定不同网络服务提供者的刑事责任范围。”或直接认为应仿照日本对网络服务提供者从保证人地位层面进行分析。特别是随着德日理论在我国的盛行,愈来愈多的学者在保证人理论的框架下进行探讨,将这一原本适用于不真正不作为犯的理论适用于网络服务提供者的不作为行为判断。
在保证人义务类型的层面,诸多学者从危险源管理监督型义务的视角寻找网络服务提供者的不作为责任根据。如有学者认为,在互联网中网络服务提供者的不作为犯义务来源于对危险源的监督,进而产生了保护他人法益免受源自其所控制领域危险威胁的义务,具体的义务根据在于复杂社会系统的秩序有赖于权利人对特定空间和特定控制领域安全的管理。在此视角下,有的学者希望通过类型化的方式探求网络服务提供者的实质义务来源。如认为,我国关于网络服务提供者刑事义务的来源仍属于形式义务阶段,司法实践中仅是简单援引相关法律条文,并未深入保证人义务的实质根据中。而在理论上已经将法律规定直接作为义务来源的形式主义保证人义务认定方法抛弃的情况下,直接将法律、法规的义务作为网络服务提供者的义务来源有失妥当,因此应当在对于网络服务提供者类型化的前提下进行具体判断,缓存服务提供者和存储服务提供者(不包括接入服务提供者)可能形成基于危险源监督的保证人地位,且需要其主观上明知违法内容存在。有的学者则希望基于网络环境的特性对网络服务提供者的保证人地位进行反思,限缩其刑事责任。如认为,网络媒介具有去中心化与门槛低的特征,在其中传播的信息则具有匿名性和易获取性,因此应基于言论自由的视角不对网络服务提供者科以过重的不作为刑事责任。
此外,在保证人理论的视角下另有学者寻求“保证人地位法定化”的方式。如认为:“作为不作为犯,在寻找刑事保证人地位实质根据已经成为学界共识的背景下,仅由法条为网络服务提供者设定了信息网络安全管理义务,不必然产生网络服务提供者的刑事保证人地位。”其注意到了《刑法》第286条之1的刑事立法规定,认识到保证人理论原有的适用领域为不真正不作为犯,通常与刑事立法的规定具有互斥性,如果沿着既有的保证人理论的路径可能导致与《刑法》规定的冲突,因此认为不妨将《刑法》第286条之1关于网络服务提供者及其刑事责任的规定视为对于保证人地位的法定化,在此基础上寻求网络服务提供者不真正不作为责任的依据。
纵观以上讨论,虽然“不作为”“保证人”等表述纷纷在其讨论中出现,但是显然对于相关概念范畴与定位是在不同层面上把握的。比如,有的学者是基于形式判断的视角,认为只要立法对于特定主体、特定义务作出规定,那么自应属于真正不作为犯;与之相反,有学者则是基于实质判断的视角,认为在《刑法》第286条之1规定义务不具体的情况下,应当基于保证人地位进行具体判断。再如,有的学者对于保证人地位是在理论层面把握的,其基于立法未能明确网络服务提供者作为义务的理论判断,提出借由保证人理论对于网络服务提供者的不作为义务予以明确;有的学者则是认为保证人地位可以基于立法规定,《刑法》第286条之1关于网络服务提供者的规定可以作为保证人地位的规范来源,即认为保证人地位可以实现法定化。因此,仅明确拒不履行信息网络安全管理义务的不作为性质依然未能解决《刑法》第286条之1的适用问题。源自德日不真正不作为犯范畴的保证人理论究竟能否被借鉴于我国《刑法》第286条之1的具体适用?网络服务提供者的不作为义务又该如何进行科学建构?亟需基于本土适用与比较分析的视角进行深入分析。
二、不真正不作为犯适用空间的反思
对于不真正不作为犯而言,最为核心的问题即为在不作为并没有明示为构成要件要素加以规定的情况下如何确定作为义务的内容。保证人理论的产生即是为了解决这一问题。为了避免违法性说的缺陷,德国学者那格拉(Nagler)首次提出了保证人理论,该理论认为只有法律上负有防止结果发生的作为义务的人,即处于保证人地位的人之不作为才符合构成要件,从而将作为义务的判断从违法性阶段转至构成要件阶段。其后,阿明·考夫曼(Armin Kaufmann)、亨克尔(Henkel)等则提出了将等价性作为一种独立要素的见解,被称为“新保证人理论”。然而无论保证人理论何种变迁,其始终是在不真正不作为犯的范畴内展开的。如德国学者指出,个人具备保证人地位这一情况是不纯正不作为犯不成文的构成要件要素。
国内学者对于保证人理论的引入通常也是在不真正不作为犯的范畴。如有学者指出:“不真正不作为犯实际上是具有作为义务的保证人,利用或放任了起因能够造成法益侵害的客观事实而实现对法益的侵害。”并对其进行中国语境的解读:“关于在何种情形下始具有‘保证人地位’,或何种情形可归属于‘保证人类型’,探讨的就是作为义务的根据,大体相当于我国刑法理论中的‘作为义务的来源’。”由此,“保证人理论是不真正不作为犯领域的核心理论,以保证人理论‘跨领域’适用于真正不作为犯,必须论证其适当性”。然而将保证人理论扩大适用于网络服务提供者的刑事责任则难以具有这种适当性,具体表现在两个层面:
于保证人理论的规范前提层面,我国并未同德国一样在刑法典总则中规定“保证人地位法定化”,从而在实质上阻却了保证人理论扩大适用的空间。根据《德国刑法典》第13条的规定,任何人只有当其负有防止刑法构成要件结果发生的法定义务,且其未履行该防止义务与作为实现构成要件相当时,方应受到刑事处罚。这一将不真正不作为犯保证人地位通过刑法典总则条款进行一般规定的形式也即“保证人地位法定化”。与之不同,我国刑法总则中并无关于不真正不作为犯保证人地位的一般规定,没有将保证人之地位立法化,从而没有为不纯正不作为犯与作为犯的等置提供总则依据。由此,对于保证人理论扩大适用缺乏必要的规范基础。
于网络服务提供者不作为责任的具体条款层面,不作为行为类型已经完成法定化,不必再借助保证人理论辅助判定。《刑法》第286条之1拒不履行信息网络安全管理义务罪对于网络服务提供者及其履行“法律、行政法规规定的信息网络安全管理义务”作出规定,与德日刑法典不直接涉及网络服务提供者不作为类型与刑事责任的做法存在区别。由此,前述将保证人理论推广适用至拒不履行信息网络安全管理义务的观点存在问题:对于直接移植保证人理论的观点而言,在《刑法》第286条之1已经明文规定了网络服务提供者的不作为义务及其刑事责任的情况下,强行移植保证人理论会导致理论与规范的冲突,其效果只会“南橘北枳”。对于保证人地位法定化的观点,由于我国刑法总则与《德国刑法典》的做法不同,并未赋予保证人地位以法定化的空间,对《刑法》已经明文规定的拒不履行网络安全义务行为进行强行解释难免会导致理论造法的结果,导致犯罪成立要件解释的随意化,与其所寻求的“法定化”目标“南辕北辙”。
在此还需要说明《刑法》第286条之1拒不履行信息网络安全管理义务罪并非不真正不作为犯的“法令义务”情形。这关系到法定义务判断的二重性问题。在不真正不作为犯作为义务产生根据层面,确实涉及法律义务的判断。比如,德日曾经的通说“形式的法义务说”认为,作为义务的产生根据主要有三个方面:一是基于法令(法律)产生的义务,如基于民法产生的亲权者的监护义务;二是基于合同、事务管理产生的义务,如保姆基于其与幼儿家长之间的合同产生的保护义务,或者没有义务的人将病人带回自己家里产生的治疗保护义务;三是基于习惯、条理产生的作为义务。在其中确实出现了对于法定义务的判断,但是需要明确“法令义务”系对于非刑事法律法定义务的判断,而非刑事法定义务的判断,否则便应进行是否构成真正不作为犯的认定,而非是否构成不真正不作为犯的认定。在此意义上,法定义务判断具有二重性:第一重判断系在刑事立法层面,判断是否具有明文规定的作为义务,以此判定依照真正不作为犯还是不真正不作为犯进行认定;第二重判断系在非刑事立法层面,判断其法定义务是否能够成为不真正不作为犯的作为义务。因此,前述学者所述将法律规定直接作为义务来源的形式主义保证人义务认定方法抛弃的情形仅限于非刑事法定义务的前提下,且依然是在不真正不作为犯的语境下。而《刑法》第286条之1已经通过刑事法律直接明确规定了法定义务,显然无法运用不真正不作为犯的“法令义务”进行阐释。
与此相反,在德国的刑事立法与司法实践中,网络服务提供者的刑法地位认定借助保证人地位的判定,其根本原因在于刑法典中并无其作为义务的具体规定,而是在其他法律中予以明确。比如,《德国刑法典》并未涉及网络服务提供者的不作为与刑事责任,而是在相关法律中进行具体的规定,最主要的法律即为《电信媒体法》(Telemediengesetz)。《电信媒体法》全面规定了网络服务提供者的义务与责任,特别是该法第5条至第10条为不同类型的网络服务提供者设定作为义务并赋予相应的法律责任,包括2016年7月21日通过的对《电信媒体法》第8条的修改,为网络接入服务提供者创设了免责条款。因此,其网络服务提供者的作为义务的确未出现在《德国刑法典》中,而是需要求诸《电信媒体法》等相关法律的判断,网络服务提供者不作为具有不真正性。与之类似,《日本刑法典》中也未规定网络服务提供者的不作为犯,其刑事责任的认定也确可基于保证人的视角展开。
由此,运用危险源管理监督型义务阐释网络服务提供者的不作为责任则更是建构“空中楼阁”。如有学者即将保证人地位的两种类型划分为监督者保证人地位(berwachergarantenstellung)和保护者保证人地位(Beschützergarantenstellung)。危险源管理监督型义务是在不真正不作为犯义务来源判定上的延伸归纳。机能的二分说根据“保障人义务”的“机能”进行分类,将其分为法益保护义务和危险源管理义务。其中,危险源管理监督型义务又分为对于危险物或者设备、对于人的行为以及对于不可罚的先行行为等类型。德国有学者认可基于危险源管理监督型义务来设定网络服务提供者的作为义务,如认为可将互联网视为危险源并对网络服务提供者赋予保证人地位。但也有学者在更广泛的视角内展开对网络服务提供者保证人地位的阐释,并非将危险源管理监督型义务作为唯一义务来源,而是对网络服务提供者来源于法律的保证人义务、来源于先行行为的保证人义务与来源于危险源监督的保证人义务等义务类型进行系统分析。但是如前所述,德国既有规定了保证人地位法定化的总则条款,又无明确网络服务提供者不作为类型与刑事责任的分则条款,因此借助保证人理论在不真正不作为犯的视角下基于危险源管理监督型义务或者其他义务类型予以阐释均有其空间;而我国既规定了无保证人地位法定化的总则条款,又有明确网络服务提供者不作为类型与刑事责任的分则条款,其作为义务来源、不作为类型已有《刑法》条文明确规定,并无再借助“危险源管理监督型义务”或类似义务予以确证的必要。
三、真正不作为犯的规范依据
与其强行移植保证人理论证成拒不履行网络安全义务行为的不作为性,不如回归《刑法》本身的规定,基于真正不作为犯的视角分析网络服务提供者的法定不作为性质。即便根据保证人理论,其所关注的也在于保证人地位与作为义务两个层面,由此形成一体说与分离说的分歧:一体说认为保证人地位与作为义务应当在社会观念上作一体化的理解,因为对二者的区分是相当困难的;分离说认为应当将保证人地位与作为义务分离地考虑,前者属于构成要件的内容,后者属于违法性的内容。然而正是在独立主体地位与独立作为义务层面,拒不履行信息网络安全管理义务行为均实现了法定化,从《刑法》第286条之1的规定来看,我国刑事立法已经规定了网络服务提供者不作为义务的法定化,并且探索了不作为情节的规定模式。
第一,网络服务提供者的法定化。从法律条文进行考察,拒不履行信息网络安全管理义务罪明确将信息网络安全管理义务的履行主体表述为“网络服务提供者”,并针对其设定了独立的刑事责任。对此,官方解释也作出对应描述:“(拒不履行信息网络安全管理义务罪)犯罪的主体是网络服务提供者,包括通过计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,向公众提供网络服务的机构和个人”。《新型网络犯罪司法解释》第1条更是对于提供网络服务的单位和个人构成“网络服务提供者”的情形进行了列举:“(1) 网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(2) 信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(3) 利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。”基此,《刑法》和《新型网络犯罪司法解释》的规定不仅使用了“网络服务提供者”的概念,更是就其典型类型、主体范围进行了具体的规定,从而使这一概念从刑法理论概念成为刑事立法概念,“网络服务提供者”的独立刑事主体地位得以确立,为其承担独立的作为义务奠定了前提。此外,在法定化的前提下,网络服务提供者的范围也基于《刑法》和《新型网络犯罪司法解释》得以必要限定,使之与法定不作为义务更加契合:
其一,网络服务的正当性。拒不履行网络安全管理义务罪实际体现了对于特定主体的适法性要求,即网络服务提供者有义务履行信息网络安全管理义务,在法律规定的框架下进行活动,如果有违反法律、行政法规的情形,经监管部门责令采取改正措施有义务改正。如果不存在上述适法性要求,即便出现违法信息大量传播、用户信息泄露、刑事案件证据灭失等后果,其也不应当承担相应的刑事责任。在此意义上,“服务提供”的表述也一定程度上体现了正当营业性,亦即网络服务的提供应当是法律法规所认可的,其内容应当具有正当性,不具有非法性。与之不同,《刑法》第287条之2帮助信息网络犯罪活动罪中“提供互联网接入、服务器托管、网络存储、通讯传输等技术支持”以及“提供广告推广、支付结算等帮助”的表述,虽然在业务类型上具有相近性,但是其系“明知他人利用信息网络实施犯罪”而予提供,不仅具有违法性而且具有刑事违法性,不具有正当营业性。虽然帮助信息网络犯罪活动罪并不否认网络服务提供者可以实施,但是并不排除网络服务提供者之外的主体实施(比如仅帮助信息网络犯罪活动而未开展正当营业的个人)。因此,正当营业性应作为理解网络服务提供者的重要内涵。
其二,服务提供者的限定性。随着社会的网络化,网络主体的范围十分广泛,但是只有提供网络服务的主体才符合《刑法》第286条之1的规定要求。《中华人民共和国网络安全法》(以下简称《网络安全法》)实际上规定了更为广泛的“网络运营者”概念。根据其第76条第(3)项的规定,网络运营者,是指网络的所有者、管理者和网络服务提供者。从这一界定出发,网络运营者包括的具体类型有两种,一种为网络的所有者、管理者,另一种为网络服务提供者,网络运营者系网络服务提供者的上位概念。在主体关系上,网络的所有者、管理者体现为“主体—客体”的关系,不涉及其他网络主体;网络服务提供者体现为“主体—主体”的关系,其向其他网络主体提供服务。德国学者也认为网络服务提供者的数据传输通常涉及若干人(自然人和法人),而非仅指向自身。在此意义上,网络服务提供者本身既是对于某一部分网络运营者的特定规范指称。
第二,网络服务提供者作为义务的法定化。《刑法》第286条之1对于网络服务提供者作为义务的表述为“法律、行政法规规定的信息网络安全管理义务”。前述持保证人理论的学者多数认为该义务内容规定不明,难以成为适格的真正不作为犯的作为义务。如认为《刑法》第286条之1并未对“信息网络安全管理义务”予以明确,如果直接适用前刑法规范的作为义务并将其延展为广泛的主动监管义务,难以完成刑法解释的自洽。或认为,立法机关旨在通过《刑法》第286条之1建立打击网络犯罪的合作模式,具体通过引入监督管理责任,由此推动网络服务提供者履行(信息网络)安全管理义务,但是(信息网络)安全管理义务的不明确性导致了刑事合规理念无法贯彻。
然而本文认为,上述理解实为误读了“法律、行政法规规定”与“信息网络安全管理义务”。对其误读有两种原因:
一种原因为对于“法律、行政法规规定”的误读。如前所述,在德日保证人理论中对于法律规定的义务与不作为犯的作为义务分别可以在不同层面展开,于真正不作为犯层面要求作为义务为刑法条文所规定,于不真正不作为犯层面要求作为义务为其他法律条文所规定。那么问题在于,对于刑法条文中规定以其他法律所规定的义务作为不作为犯的义务来源时该如何认定?对于这一问题,德国和我国有着不同的刑事立法体系,由此导致刑法适用的立场未必一致。
德国采取的是二元制的刑事立法体系,除了《德国刑法典》外也通过其他专门立法中的刑事条款打击不同类型的犯罪行为,在此背景下德国刑事立法可以只对于作为义务十分明确的犯罪类型在刑法典中予以规定(如遗弃罪),而对于作为义务需要借助其他法律进一步阐释的犯罪类型在专门法律的刑事条款中予以规定(如逃税罪即规定于《德国税法》第369条、第370条等)。在此意义上,《德国刑法典》对于真正不作为犯采取限缩态度,对于不真正不作为犯采取扩张态度,将一部分刑法上的实质作为义务的内容规定于专门法律的刑事条款中,从而通过不真正不作为犯(特别是保证人理论)完成非刑事法律规定的作为义务与不作为人刑事责任之间的关联。类似的,日本也是沿用了这一立法模式与理论立场。与之不同,我国采取的是一元制的刑事立法体系,所有犯罪行为均须规定于《刑法》分则的各个条文之中,无法借由其他专门法律规定刑事责任条款。对于不作为犯罪,《刑法》分则既需要对于遗弃罪等作为义务十分明确的犯罪类型予以规定(《刑法》第261条),也需要对于逃税罪等作为义务需要借助其他法律进一步阐释的犯罪类型予以明文规定(《刑法》第201条)。基于此,我国《刑法》对于真正不作为犯采取扩张态度,对于不真正不作为犯采取限缩态度,对于需要借助其他法律判断作为义务内容的不作为犯罪往往也需要在分则条文中予以明确规定。
明确这一区别,自然可以对于《刑法》第286条之1“法律、行政法规规定”进行正确的解读。“法律、行政法规规定”是《刑法》条文所规定,并且指明了具体的“信息网络安全管理义务”,因此“信息网络安全管理义务”本身也是适格的刑事立法意义上的作为义务。对此,已有学者明确指出“信息网络安全管理义务”兼具行政法义务与刑法义务的性质,如果网络服务提供者有能力履行而不履行,在经相关监管部门责令改正而拒不改正的情况下,符合《刑法》第286条之1的规定则可构成犯罪。
另一种原因为对于“信息网络安全管理义务”的误读。前述持保证人理论的学者不少人认为信息网络安全管理义务的内涵不够明确,难以作为真正不作为犯的作为义务。本文认为,一项义务能否成为适格的作为义务需要在两个方面进行考察,而信息网络安全管理义务能够符合要求:一个方面是需要有具体的义务内容,比如纳税义务、抚养义务,都可以让人理解为缴纳税款、抚养他人,与之类似,信息网络安全管理义务也可以让人理解是对于信息网络安全进行管理。另一个方面是需要义务的内容能够与义务主体相对应,像纳税义务、抚养义务都有为社会所公认的履行义务主体,而信息网络安全管理义务的履行主体为网络服务提供者,这一对应关系已经通过《刑法》第286条之1所明确。
至此,持保证人理论的学者可能仍会认为难以具体确定信息网络安全管理义务的具体类型。如有持保证人理论的学者认为:“即使是真正的不作为犯,有时也仍免不了需要对保证人进行规范性的实质判断,而拒不履行信息网络安全管理义务罪恰恰就属于这种情形。原因在于,普通公众乃至专业人士对何为‘信息网络安全管理义务’远未达成基础性的共识。”但是本文认为,只要能够判定这一义务能够成为适格的刑法作为义务已足,信息网络安全管理义务的具体类型应在立法、理论和司法的互动中日益定型化。纳税义务等中国语境下的真正不作为犯作为义务,也是经由规范确立和理论协同所共同形塑的。在类似的情形中,信息财产认定难点在于数额判断的问题,有学者即提出对于定性问题与定量问题分别考虑的观点,并以传统财产犯罪对象予以佐证:“显然,毒品、淫秽物品等违禁品虽然无法准确估价,但盗窃毒品、淫秽物品的行为性质没有变化,仍然成立盗窃罪。既然如此,对于盗窃虚拟财产的行为,就不能以数额难以计算为由而否认盗窃罪的成立。”与之类似,如果从刑事立法和理论上可以证成信息网络安全管理义务能够成为适格的刑法作为义务,那么所关注和探讨的方向应为如何使其进一步具体化、科学化,而非急于移植域外理论导致理论和立法的冲突。
第三,不作为类型的法定化。《刑法》第286条之1拒不履行信息网络安全管理义务罪所规定的行为系网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正。从其行为内容看,具体包括两个层面:第一个层面为网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务;第二个层面为经监管部门责令采取改正措施而拒不改正。如果仅有第一个层面的行为规定,势必属于典型的不作为犯规定,那么第二个层面的行为规定是否影响不作为的行为判定?本文认为不会产生这种影响,该条所规定的行为类型依然是适格的法定不作为类型。
“经监管部门责令采取改正措施而拒不改正”实为在“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务”的基础上所额外增设的入罪条件。在此意义上,即便网络服务提供者未履行信息网络安全管理义务,但是经监管部门责令采取改正措施后完成改正或者未曾经监管部门责令改正,那么也不构成拒不履行信息网络安全管理义务罪。因此,第二个层面的行为规定系增加的额外构成要件要素,是对于网络服务提供者不履行信息网络安全管理义务行为的限缩,而非否定。由此,“经监管部门责令采取改正措施而拒不改正”并不影响行为的判定,“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务”行为已经为《刑法》明文规定,又明示了义务主体(网络服务提供者)、义务内容(法律、行政法规规定的信息网络安全管理义务)和不作为行为形态(不履行),已经完成了不作为类型的法定化。
第四,不作为情节的法定化。《刑法》第286条之1规定了网络服务提供者拒不履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,构成犯罪的四种情形:“(1) 致使违法信息大量传播的;(2)致使用户信息泄露,造成严重后果的;(3) 致使刑事案件证据灭失,情节严重的;(4) 有其他严重情节的。”该罪增设后,即有学者认为其内容存在不明确性,如认为:“‘严重情节’的含义模糊,对该要件的‘粗犷’适用不仅会使网络服务提供者承担个案的刑事责任,而且还会使网络服务业界面临现实的刑事责任风险,迫使其强化对网络信息的筛查监控,侵害公众的网络表达和言论自由权利。”《新型网络犯罪解释》第3条至第6条分别对于这四种情形进行阐释,从而回答了上述疑问。结合《刑法》第286条之1和《新型网络犯罪解释》的规定看,拒不履行信息网络安全管理义务行为的情节已经完成了法定化。
在此首先需要明确不作为情节与结果的关系。传统意义上,不作为犯的构成必须要有相应的结果发生。比如日本学者指出,不作为犯成立要件包括:(1) 客观要件(法律上的作为义务;作为可能性和对作为义务的违反,不作为实行行为性的认定;未遂结果/危险结果发生和因果关系未遂阶段发展的认定;既遂结果发生和既遂阶段发展的认定);(2)主观要件(故意/过失等)。在其中,结果是作为不可缺失的必要要素。正是由于传统意义上不作为结果要件与《刑法》第286条之1不作为情节存在一定差异,因此不少学者未基于真正不作为犯的路径进行理解。然而本文认为,对于不作为犯要求有特定结果的发生不仅应从形式层面进行理解,而且应进一步挖掘关联性、必要性:其一,特定结果发生并非为不作为犯专有,过失犯也要求有特定结果的发生,且特定结果的刑法意义正在消解。比如,围绕义务与结果的关联,旧过失论以结果预见可能性为中心,而基于汽车的普及所带来的交通事故增加等问题,新过失论以结果回避义务为中心设定一定的行为标准——客观的注意义务。然而结果作为绝对要素的立场也在松动,特别是科学技术高度发达、交通运输高速化的现代社会中,由于不注意导致重大事故,产生严重的损害结果的情况并不鲜见。“被允许的危险”理论并不依赖于具体的人进行判断,而是基于社会有用性,对采矿、高速交通、医疗领域、大规模土木建设等行为,在发生法益侵害结果的场合于一定范围内予以允许。因此,同样对于特定结果发生有额外要求的过失犯中,特定结果的绝对意义正在消解。其二,情节犯与结果犯并不存在根本性的冲突。结果严重本身即情节严重的情形之一,这一事实不仅为我国《刑法》所长期采用,晚近以来也为《德国刑法典》所接纳。比如,《德国刑法典》2007年修正时在第303条b增设了情节严重条款,包括以下几种情形:造成重大财产损失;作为职业或者犯罪组织成员继续实施破坏计算机罪;妨碍国民生活上的重大利益或服务供给,或德意志联邦共和国的安全。其中“造成重大财产损失”即最为典型的结果严重情形。
具体到拒不履行信息网络安全管理义务行为,其实也是以结果为中心构建的“情节严重”入罪标准,并通过《刑法》第286条之1和《新型网络犯罪解释》实现法定化。在《刑法》第286条之1规定的四种情形中,其规范结构可以分为三类:第一类为“结果”类,包括“致使违法信息大量传播”,以及“致使用户信息泄露”“造成严重后果的”;第二类为“结果+情节”类,系“致使刑事案件证据灭失”“情节严重的”;第三类为“情节”类,包括“有其他严重情节的”。结合《新型网络犯罪解释》第3条至第6条的规定看,结果仍然是其核心的评价要素。
此外,评价不作为情节的适法性问题时还应考虑结果的相对性。从广义来说,任何犯罪都造成危害社会的结果,否则便没有必要通过刑法予以规制,通常在犯罪成立体系中评价所考虑的结果本身即是狭义的结果。在不作为犯、过失犯行为本身的强度弱于故意作为犯的情况下,需要补强其刑事处罚的必要性与正当性,因此通常要求具备更高的要求,犯罪结果即是其一。然而,犯罪结果并不是唯一要求,如不作为犯还要求具有作为义务。更为重要的是,这种补强也可以通过设置情节犯标准来实现。
比如,“致使用户信息泄露”“造成严重后果”的情形,根据《新型网络犯罪解释》第4条第(1)项至第(3)项,即包括:(1)致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;(2) 致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;(3) 致使泄露第一项、第二项规定以外的用户信息五万条以上的。然而上述规定与相关规定相比,已经设置了更高的入罪标准。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释[2017]10号)第5条第(3)项至第(5)项的规定,非法获取、出售或者提供公民个人信息“情节严重”的入罪标准即包括:(1)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(2) 非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(3) 非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的。因此,网络服务提供者对于拒不履行信息网络安全管理义务“致使用户信息泄露”承担刑事责任的入罪标准实际上十倍于以作为方式非法获取、出售或者提供公民个人信息的入罪标准。因此,虽然《刑法》第286条之1对于不作为情节的规定突破了不作为结果的范畴,但是并不影响其不作为行为成立必要要素的法定化。
四、信息网络安全管理义务的定型化
就目前而言,虽然可以肯定拒不履行信息网络安全管理义务行为的真正不作为性,但是由于信息网络安全管理义务的法定化时日未久,其内涵的定型化还应结合《网络安全法》等重要法律、法规进一步完成,从而科学地指导司法适用。
第一,“法律、行政法规规定”范围的教义限缩。在我国的立法体系中,各类法律、行政法规林林总总、体系庞杂,如果全部作为信息网络安全管理义务的来源规范,势必会导致这一义务的无限扩大,从而最终影响网络社会的发展,也背离了拒不履行信息网络安全管理义务罪设立的初衷。结合我国真正不作为犯的语境,“法律、行政法规规定”需要进行必要的限定,以契合网络服务提供者刑事作为义务的应然边界。由此应当进行两个层面的限缩:
其一,“法律、行政法规”应主要指向行政法,而非民法。刑法、民法与行政法作为三大实体法体系,在内容特点上有所不同。民法具有私法属性,调整平等主体之间人身关系与财产关系,属于调整特定领域的“纵向”法律关系。在公私两分的法律划分中,行政法与刑法均属于公法,有着天然的关联性。更为重要的是,相比于其他调整“纵向”法律关系的民法而言,行政法与刑法均是调整“横向”法律关系的法律,二者对于各个领域违反法律的行为均有规定,而非仅仅规制某一领域的某一类或几类行为。
在具体义务类型上,也是具有行政法与刑法衔接的先例。其典型犯罪类型即《刑法》第201条逃税罪。比如,《中华人民共和国个人所得税法》第1条第1款即规定:“在中国境内有住所,或者无住所而一个纳税年度内在中国境内居住累计满一百八十三天的个人,为居民个人。居民个人从中国境内和境外取得的所得,依照本法规定缴纳个人所得税。”从而形成了个人所得税纳税义务的根本规范依据。
此外,从拒不履行信息网络安全管理义务罪本身来看,其法益应当具有公共性,一般的个体民事权利不在其直接保护之列。拒不履行信息网络安全管理义务罪的法益应为信息安全管理秩序,而非具体个人的某项法益。如在《刑法》第286条之1所明确列举的三种情形中,“致使违法信息大量传播”以及“致使刑事案件证据灭失”“情节严重”的情形显然均直接指向社会管理秩序,即便是“致使用户信息泄露”“造成严重后果”的情形也是强调对于公众(公共)信息安全的保护。如前所述,《新型网络犯罪解释》第4条第(1)项至第(3)项采取了“五百条”“五千条”“五万条”的标准,已经充分说明并非致使某一用户个人的信息泄露,而是导致大量用户个人的信息泄露。如果网络服务提供者对于个人遭受侵权未履行信息网络安全管理义务,则可依照《中华人民共和国侵权责任法》第36条的规定处理:网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。
其二,“法律、行政法规”的范围不应作扩大理解。早期虽有学者认为网络安全管理义务的归责前提包括《网络安全法》《互联网直播服务管理规定》《网络表演经营活动管理办法》等。但是更多的学者认为“法律、行政法规”不应扩大解释为规章。如认为,对真正不作为犯之作为义务来源已有共识,即真正不作为之作为义务只能是法律、法规有明确规定者。或认为既然《刑法》第286条之1明确规定网络服务提供者不履行的是“法律、行政法规规定的信息网络安全管理义务”,就不应包括部门制定的规章等规范性文件。《新型网络犯罪解释》也是采取后者的立场,其第2条作出侧面规定,要求无论是“监管部门责令采取改正措施”还是“经监管部门责令采取改正措施而拒不改正”均须考察监管部门与责令改正是否具有法律、行政法规的规定依据。
此外,其中“行政法规”应当限于具有全国效力的行政法规,不包括地方性法规。这是因为,如果肯定了地方性法规的适格性,势必导致不必要的司法冲突,导致信息网络安全管理义务走向零碎化,不利于构建科学的刑事作为义务。
第二,“信息网络安全管理义务”的类型化。《刑法》第286条之1与《新型网络犯罪解释》均仅是对于“信息网络安全管理义务”的规定或适用,并未直接界定其具体的义务内容。因此,这一义务的具体内容需要结合《刑法》第286条之1以及《网络安全法》等法律和行政法规的规定加以确定,并通过类型化使之成为典型的、明确的义务。
不少学者也试图探讨网络服务提供者义务的类型化,形成了若干种观点,有代表性的为以下几种:其一,积极义务与消极义务。如认为,信息网络安全管理义务兼具积极义务与消极义务的性质,即义务类型包括主动审查义务与配合义务,前者为积极义务,后者为消极义务。具体而言,根据《网络安全法》第三章、第四章的规定,关键信息基础设施运营者承担显著的风险主动审查义务(如网络运营安全风险定期检测和报告的义务)以及配合义务;其他网络服务提供者只承担自我管理以及向用户和主管部门报告相关犯罪风险的配合义务,不包括对风险的主动审查义务。其二,事前义务与事后义务。如认为,根据义务履行时间划分,可将不同网络服务提供者的信息网络安全管理义务区分为事前审查义务与事后管理义务(或资源管理义务)。其中事前审查义务具体体现在保证所提供的信息内容合法,不得制作、复制、发布、传播含有法律、行政法规禁止的违法或犯罪信息;事后管理义务具体体现在发现其网站传输的信息明显属于违法或犯罪信息的,应当立即停止传输,保存有关记录,并向国家有关机关报告。其三。禁止性规范义务与命令性规范义务。如认为,目前信息网络安全管理相关法律、法规的禁止性规范必须为网络服务提供者所遵守,如果其违反则为未遵守信息网络安全管理义务;而对于以“必须”或“应当”表述的命令性规范设定,网络服务提供者必须采取相应的积极作为,否则即违反信息网络安全管理义务。
本文认为,上述分类均难以成为科学的信息网络安全管理义务类型。信息网络安全管理义务既然明文规定于《刑法》之中,作为网络服务提供者真正不作为犯的义务来源,必须能够完成不作为犯意义上的义务指引。实现这一目的需要具备两个层面的要求,而上述分类难以符合:其一,义务类型必须与网络服务提供者之间具有特定的、唯一的关联性。对于真正不作为犯而言,其与特定的义务类型需要具有对应性,在此意义上不作为犯也具有身份犯的色彩。比如逃税罪中纳税人与纳税义务,遗弃罪中扶养人与扶养义务,均具有这样的关联性。然而前述分类,无论是积极义务与消极义务、事前义务与事后义务、禁止性规范义务与命令性规范义务,均难以体现这种特定的关联性。特别是禁止性规范义务与命令性规范义务更是任何主体必须遵守的义务类型。其二,义务类型必须在确定作为义务与不作为行为的对应关系中发挥作用。前述分类难以实现这一目标,比如事前义务与事后义务,如果网络服务提供者未履行事前义务而履行了事后义务,或者未履行事后义务而履行了事前义务,如何对其评价则存在疑问。即便这一问题可能通过其他构成要件要素进行消解(比如“经监管部门责令采取改正措施而拒不改正”),但是这一义务类型本身难以被评价为科学。
基于此,应当基于信息网络安全管理义务本身,从其独特的义务内容进行类型化,逐步构建真正具有特定性、独立性的作为义务,从而为网络服务提供者的不作为行为判定提供科学依据。具体而言,可以具体分为网络服务安全管理义务与服务信息安全管理义务两类。
其一,网络服务安全管理义务。即网络服务提供者必须确保其网络服务不被用于危害国家、社会或他人的违法犯罪行为。在此需要明确,网络服务提供者的网络安全管理义务仅限于网络服务的范畴,而不包括所有的网络安全管理。有学者即认为,根据《网络安全法》第三章、第四章的规定,关键信息基础设施运营者、其他网络服务提供者分别承担不同的信息网络安全管理义务。也有其他学者对于网络服务作出扩大理解,如认为网络服务提供者作为网络运营者的下位主体,同样适用《网络安全法》第21条的规定,即网络运营者应当按照网络安全等级保护制度的要求,履行多项安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
然而回归《网络安全法》第76条第(3)项,网络运营者,是指网络的所有者、管理者和网络服务提供者。“关键信息基础设施运营者”并非网络服务提供者,从关键信息基础设施运营者来看,其所运营的是关系“国家安全、国计民生、公共利益的关键信息基础设施”(《网络安全法》第31条),并非对于网络用户提供服务的主体。再者,《网络安全法》第21条隶属于第三章“网络运行安全”,其所指向的也是网络的所有者、管理者,而非网络服务提供者。比如,《网络安全法》第21条第(2)项为“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”,即便某个网络公司因未履行这一义务导致遭受网络攻击,产生了较大的危害后果,显然也不能构成拒不履行信息网络安全管理义务罪,至多承担《网络安全法》所规定的行政法责任。
《网络安全法》真正适格的网络服务安全管理义务可以在第四章“网络信息安全”中寻得。比如其第47条规定:“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。”其中“应当立即停止传输该信息”的表述既体现了该条中的“网络运营者”包括网络服务提供者(信息传输是基本的网络服务类型),也体现了该条规定的作为义务指向网络服务安全。与之类似,其第48条第2款对于另外的两类网络服务提供者作出同样规定:“电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。”
其二,服务信息安全管理义务。即网络服务提供者必须确保网络服务涉及的用户信息、服务内容信息等不被非法破坏、删除、获取等。在此需要明确,服务信息安全管理义务既包括对于合法信息的管理也包括对于违法信息的管理。对于合法信息管理的典型情形为对于用户信息的保护,如果网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务导致用户信息泄露,经监管部门责令采取改正措施而拒不改正,符合《新型网络犯罪司法解释》第4条的规定即构成犯罪。违法信息管理除了可能体现在“致使违法信息大量传播”的情形中,也可能体现在“致使刑事案件证据灭失”“情节严重”的情形中,如果对于与犯罪相关的具有证据意义的违法信息未能有效管理,网络服务提供者同样可能难辞其咎。
服务信息安全管理义务也可在《网络安全法》第四章“网络信息安全”中寻得。其第40条至第44条规定了对用户信息(核心为个人信息)的管理义务。就网络服务提供者而言,规定用户信息管理义务的典型条款为第42条:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”该条中,至少为网络服务提供者确立了妥善保管义务(不得泄露、篡改、毁损或未经同意提供其收集的个人信息),有效保护义务(采取技术措施和其他必要措施)以及补救和报告义务。
五、结语
《刑法》第286条之1拒不履行信息网络安全管理义务罪是我国在网络服务提供者刑事责任问题上率先进行的立法探索,如何从理论上进行体系的阐释对于推动该罪的有效适用具有重要的意义。随着刑法研究的德日化倾向增强,学者多参考德日保证人理论进行阐释。但是拒不履行信息网络安全管理义务罪是真正不作为犯,而非德日刑法中不真正不作为犯,保证人理论在我国面临不同的现实语境,不应盲目扩大适用于网络服务提供者。对于拒不履行信息网络安全管理义务不作为性的研究理应回归规范本身,基于不作为犯法定化的视角,探索网络服务提供者刑事归责的本土化,为互联网刑事治理过程中妥当规制网络服务提供者提供中国方案。
发表评论