拒不履行信息网络安全管理义务罪的实质解释

卢雨薇

(西北政法大学法律硕士教育学院， 陕西 西安 710063)

拒不履行信息网络安全管理义务罪的实质解释

卢雨薇

(西北政法大学法律硕士教育学院， 陕西 西安 710063)

基于刑事政策考虑增设的拒不履行信息网络安全管理义务罪，恐有实际扩大处罚范围之虞。站在刑法的实质主义立场，从利益衡量、行为可罚性及刑法谦抑性三个角度考虑，宜提倡在司法实践中审查涉案行政责令是否具有正当性。只有正当行政责令履行的义务与法律、法规规定的信息网络安全管理义务的交集才是本罪的作为义务，保证不值得刑事处罚的行为不在犯罪圈之内。

拒不履行信息网络安全管理义务罪； 作为义务； 实质解释

随着网络信息服务行业的飞速发展，利用网络服务进行犯罪的现象也愈加突出。为了更好地保护人民群众人身财产安全，赋予中立地位的网络服务提供者对网络信息安全监管义务，在其不履行义务时定罪处罚，成为《刑法修正案(九)》(以下简称《刑(九)》)应对网络犯罪的立法思路。《刑(九)》增设的《刑法》第二百八十六条之一——拒不履行信息网络安全管理义务罪，规定网络服务者以不作为方式不履行信息网络安全管理义务且情节严重的应处刑罚。该罪为纯正不作为犯罪，作为义务边界的确定对于明确入罪标准有着重要意义。

1 问题的提出

《刑(九)》增设拒不履行信息网络安全管理义务罪，刑法第二百八十六条之一规定“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或单处罚金……”根据刑法条文描述符合构成要件的行为类型是不履行法定的信息网络安全管理义务并拒绝履行监管部门要求的改正措施。司法机关在解释适用本条罪名时，如果对刑法规范作形式的、机械的字面解释，有可能将不具有刑事处罚性的行为主体定罪处罚。

以案例论证，例如某个自己不发布内容，仅以提供当地生活信息为同乡提供交流平台为主要业务的地方论坛网站，因较有名气每天发帖回帖数量巨大，有个别用户不断更换用户名在此论坛上发布不实信息，扰乱社会秩序。该论坛迅速采取人工审核、过滤、删帖、禁言等技术措施同时及时报告监管部门。无奈发帖频繁并采用拼音、英文、暗喻等方式规避过滤系统和人工审核。监管部门以《网络安全法》第六十八条为依据直接责令其关闭网站，但网站拒绝执行，认为其安全技术达到国家标准，并且也履行了《网络安全法》规定的“及时删除违法信息”的义务。从形式上来说，上述案例中的行为事实完全符合违反网络安全管理义务“经监管部门责令拒不履行”的构成要件，但其实际上不具有刑事处罚性。欲解决这一矛盾应采取实质解释的立场，对作为义务作相对于字面意义缩小的解释。

2 解释的实质立场

“刑法的目的是保护法益，分则条文将值得科处刑法的法益侵害行为类型化为(违法)构成要件”[1]；“刑法中的构成要件是将生活事实的类型化，但它并非是纯粹的经验事实，作为犯罪的成立条件，从一开始就蕴含了立法者否定的价值判断，它是价值性的载体”[2]。因此在对构成要件进行解释适用时，不能只机械遵从规范的表面文意而放弃价值评判，应在罪刑法定的原则之内作最有利于实现刑法目的解释。“当刑法条文可能包含了不值得科处刑罚的时候，通过实质解释论，将单纯符合刑法文字但实质上不值得刑法处罚的行为排除在犯罪之外”[3]。只有当行为对法益的侵害达到一定程度时才是值得刑法处罚的。在所有可以涵摄于拒不履行信息网络安全管理义务罪构成要件之下的行为中，不履行违法行政责令但符合有关信息网络安全规定的行为是不值得刑事处罚的，应当排除在犯罪圈之外。以下从利益衡量、中立帮助行为、刑法谦抑性三个角度对这一观点进行论证。

2.1 基于利益衡量角度

在司法实践中采取不同的解释做不出不同的审判结果都是对涉案利益的一种协调、分配，此时如果不对行政责令进行审查，那么就是在司法实践中选择更倾向于保护因网络而受侵害的法益，同时意味着对网络服务提供者及履行自由表达权的公民采取更为严苛的态度。这一点从域外不同国家对网络服务主体的归责规则及司法实践中的做法可以看出。

在此不得不提的是全球网络服务者归责规则初始蓝图的“避风港规则”与“红旗规则”。“避风港规则”与“红旗规则”源于美国《数字千年版权法》，虽然起初只适用于知识产权领域，因其合理性逐步为世界各国接受、承继成为网络服务者归责的一般规则。所谓“避风港规则”是指：“自身不提供内容的网络服务提供者只要尽到了合理注意义务，按照法定程序，根据权利人所提出的合格的通知及时地处理涉嫌侵权的信息，便能够被免除侵权责任。”[4]“当然，例外的情形是存在的，即所谓的‘红旗规则’。当侵犯著作权的事实显而易见，就像红旗一样飘扬，网络服务提供者商就不能装作看不见，或以不知道侵权的说辞来推脱责任。”[5]1998年的《数字千年版权法》是通过立法的方式推翻了美国原有的严格责任模式，其背后是网络服务商和版权人的相互博弈：双方都游说国会通过有利于自己的法案，最终利益的天秤显然倒向网络服务商。

欧盟法院在2011年做出的 对Scarlet v.SABAM一案的判决，认定网络服务提供者没有过滤、监控网络上非法内容的义务。“其理由是：在设定网络服务提供者的义务时，必须兼顾公民个人的基本权利与ISP的运营商经营自由的平衡”[6]

由以上例证我们可以看出，对网络服务商义务的认定背后是社会利益的分配，是不同时代不同政府对被害人与网络服务提供者及公民言论自由三者之间关系的平衡红线的划定。我国学界对于此已经没有分歧的是互联网空间需要法律的规制，但对网络信息行业监管过苛、赋予责任过重势必拖慢新兴行业发展步伐，有分歧的是平衡的红线究竟应划在哪里，给网络服务提供者提供的创新、经营、自由行动的空间上限到底在哪？这个问题看似抽象难以把握，其实答案早已规定写在了相应国家标准中。有关网络信息安全的国家标准参照国际上先进标准而制定，一般有效时间为5年，以保障国家标准能适应最新的社会生活和技术。同时国家标准代表了一个行业规避风险的普适性技术标准，因为国家标准是我国四个级别标准中门坎最低的，技术要求要宽松于行业标准、地方标准、企业标准。有关网络信息安全的国家标准，经过配套法律、行政法规的确认成为了网络服务提供者必须履行的义务，以此规范网络信息服务，最大化减少自己的网络服务可能带来的风险。也就是说网络服务提供者提供的服务只要符合相应等级的国家标准，就可以自由逐利、发展创新，笔者以为利益平衡的红线就在于此。因此，只要履行法律规定的信息网络安全义务，即便不履行不合法、不合理的行政责令也就没有逾越利益平衡的红线。

2.2 基于中立帮助行为角度

中立帮助行为又称外部的中立行为、职业的典型行为、日常的行为等，是指那些“从外表看通常属于无害、与犯罪无关、不追求非法目的的行为，客观上却又对他人的犯罪行为起到了促进作用的情形。”[7]值得注意的是中立帮助行为并非规范概念，而是以普通人视角对生活中一类行为的总结。本罪罪状描述的类型行为无疑是符合中立帮助行为概念的：外表无害，经营自己的网络服务业务，但违反相关规定并不改正的行为，却是以不作为的方式为其他违法行为的实施提供了便利。

中立帮助行为理论在学界尚有争议，但从当今社会形势看来，将其入刑具有一定的必要性。愈来愈多的犯罪人躲在匿名的网络背后实施犯罪，司法机关抓捕侦破难度大，为了保障国家、公民的法益不受不法侵害，立法将目光转到网络服务提供者身上，赋予他们保障安全的义务，以刑事责任的方式督促义务的履行。可以说拒不履行信息网络安全管理义务罪的增设是刑事政策立法化，更多的是对现有社会形势的一种回应，但直接立法将不作为方式的网络中立帮助行为正犯化似乎又扩大了处罚圈，是否可以用中立帮助行为的限制可罚性理论来限缩本罪的入罪范围？笔者认为应否定这个思路。

中立帮助行为入罪的途径只有两个：一是归为其他主犯的帮助犯，二是直接认定为正犯。除去以上两种归入刑罚圈内的，剩下的中立帮助行为就不在刑法规制的范畴之中，没有可罚性。而所谓中立帮助行为的“限制可罚说”，是有限制条件地将中立帮助行为归为帮助犯，处罚“限制”是对于中立帮助行为认定为帮助犯而言，而非针对所有中立帮助行为的可罚性。

而本罪类型行为已经刑事立法犯罪化，显然属于中立帮助行为入罪的另一条途径。故探讨一个行为是否具有本罪的构成要件该当性，与是否具有帮助犯的可罚性毫无关系，我们仅需要用认定正犯可罚性的方法来研究本罪即可。具体说来，笔者认为当行政责令不具有正当性、没有法律依据时，而网络服务提供者并没有违反法律、法规规定的网络安全管理义务，也就是提供了符合国家标准的服务只是不履行监管部门的失当责令，这种行为没有引起法所不允许的风险不应具有可罚性。因为符合法律、法规确认的国家标准的经营业务行为就算也有帮助他人实施违法性行为的可能性，也应为社会自我消化，方能促进社会生产的进步。如同机动车的使用一定会有侵害法益的风险，但只要按照交通法规驾驶机动车，所造成的风险就应为社会所容许。

2.3 基于刑法谦抑性

本罪属于行政犯。虽然学界对行政犯与自然犯的划分还有争议，但是行政犯保障行政法实施体现刑法的救济性、补充性是没有争议的。“行政犯而言,其本质特征在于 ,与自然犯相比 ,行政犯是违反国家行政目的、侵犯行政秩序而被刑法规定作为犯罪处罚的行为。 不论是研究行政犯罪的内涵还是外延 , 都不应该脱离“行政”属性与“法定”特质”[8]。因此，忽略对“经监管部门责令采取改正措施而拒不改正”的解释适用就是忽略罪名特性对解释的限定作用。故应对行政责令进行实质审查，不能直接以行政文书上的违法认定作为审判依据，而是根据刑事证据事实，查找相关行政法规判断行政责令是否具有正当性，防止将行政违法判断错误延续至刑事违法判断环节中来。这种观点正是基于刑法的谦抑性。

因为刑法在众多部门法中具有特殊的意义，具有保障法的地位。按照法律体系的设置，只有其他部门法规则无法调整使法律关系恢复正常时，才能启动刑事程序适用刑法来保障其他部门法的实施。在本罪认定中，如果责令适用法律错误，就意味着行政法调整社会关系这一过程发生了错误，那么为何还要发挥具有保障性、补充性的刑法去保障错误的保护性法律关系？当行政犯的前提处于不确定状态，刑法的触角自然向后退缩。

3 对作为义务边界的实质探讨

根据法条对构成本罪犯罪行为的描述“不履行法律、行政法规规定的信息网络安全管理义务，在经监管部门责令采取改正措施而拒不改正”，欲成为本罪的犯罪行为必定先违反法定信息网络安全管理义务，后不履行监管部门针对前违法行为做出的行政责令，方属于刑法规制的行为类型。

想要明确作为义务边界，首先探讨法定信息网络安全管理义务范围。根据前文分析，本罪犯罪行为所违反的信息网络安全管理义务只由狭义法律、行政法规规定，其他部门规章、地方性法规等广义上的法律规定的网络安全管理义务不在刑法承认的范围之内。但对于此，有学者认为法律、行政法规规定的网络安全管理义务范围并不明确，提出本罪作为义务的不确定的观点。如周光权教授认为“什么是网络服务提供者‘不履行法律、行政法规规定的信息网络安全管理义务’？很难界定。如果网络管制的行政法规体系不完善，就先在刑法上设置罪名，必然导致处罚泛滥，罪行法定的大堤被冲破。”[9]支持这类观点的学者认为边界模糊的网络安全管理义务将导致刑罚适用的滥觞。对此笔者以为法定的信息网络安全管理义务并非抽象没有可操作性。根据“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务”的描述，法条只承认由法律、行政法规规定的网络安全管理义务是本罪作为义务来源。规定网络安全管理义务内容的法律、行政法规是《中华人民共和国网络安全法》(以下简称《网络安全法》)、国务院制定的《互联网信息服务管理办法》(以下简称《信息服务管理办法》)。其中《网络安全法》中有关网络安全保护制度和安全保护措施的落实都是围绕国家标准的强制性要求和网络安全等级保护制度展开并以此为基础的。我国现推行《信息安全等级保护等级定级指南》《信息系统安全等级保护基本要求》《信息安全保护等级保护管理办法》等对《网络安全法》提及的网络安全等级保护制度进行配套衔接，另有《信息系统安全等级保护基本要求》对不同网络安全保护等级作出具体的技术要求和管理要求。由此看到，法律、行政法规规定的网络安全管理义务并非是没有可操作行的抽象规定，而是以安全等级保护制度、系统安全保护能力等级为基础与相关国家标准进行配套衔接，将义务按照等级分类细化，成为具体可执行的标准。

接下来对监管部门责令网络服务提供者改正的义务范围作探讨。“行政责令”既可以理解为正当的行政责令，也可以理解为不正当的行政责令，立法者当然不可能要求法律适用对象履行没有法律依据的义务，但现实生活中不正当行政行为并不少见。基于上文从实质的解释立场的论证，不履行违法行政责令但符合有关信息网络安全规定的行为，是不值得刑事处罚的，在实践中应提倡对涉案行政责令做实质审查，判断做出责令的行政决定违法事实认定是否存在明显错误、适用法律是否正确，再结合网络服务提供者是否违反法定网络安全管理义务，认定行为主体是否履行本罪的作为义务。需要明确的是，此举并非自行增加入罪条件，而是通过刑法解释论的方法对本罪法律条文的应有之意进行释明，符合罪刑法定原则。其一，这一解释结果是在文字可能具有的意思范围内根据处罚必要性进行的选择；其二，对本罪作为义务边界的实质解释，能够真正发挥构成要件的违法推断性机能，将不具刑事处罚性的行为排除出入罪范围，既契合“法不强人所难”又符合民众的法感情，也合理回答了哪些风险应由网络服务提供者自己承担，哪些风险应由社会自我答责这一问题。故对行政责令采取实质审查既符合法律用语可能具有的语义，也考虑了处罚的必要性，符合罪刑法定原则对于刑法解释的要求。

综上，通过实质解释，将本罪作为义务限缩为网络安全管理义务与正当行政责令的交集，以保障刑法只处罚值得处罚的行为。

4 结束语

我国信息网络安全管理义务体系是以行业相关国家标准为基石建立的，网络服务者在经营过程中只要履行了信息网络安全管理义务，就尚在社会赋予该行业的自由“红线”之内。这条“红线”是网络服务信息行业引发侵害法益风险和创造社会有益价值的平衡点，是国家站在公共管理高位的一种思考，并通过推行国家标准、创立法律的方式将它以规范的形式确立。因此，履行法定信息网络安全管理义务拒绝履行不正当责令的行为，虽然符合规定本罪刑法规范的字面含义，但没有实质违法性不应受到刑法处罚，故为保障新兴行业的发展空间，采用实质解释的方法将其出罪。

[1] 张明楷.实质解释论的再提倡[J].中国法学,2010(4):49.

[2] 刘艳红.走向实质解释的刑法学——刑法方法论的发端、发展与发达[J].中国法学,2006(5):177.

[3] 李立众,吴学斌.刑法新思潮——张明楷教授学术观点探究[M].北京大学出版社2008:67.

[4] 梅夏英，刘明.网络侵权归责的现实制约及价值考量——以《侵权责任法》第 36 条为切入点[J].法律科学,2013(2):85.

[5] 刘艳红.无罪的快播与有罪的思维[J].政治与法律,2016(12):106.

[6] 涂龙科.网络内容管理义务与网络服务提供者的刑事责任[J].法学评论,2016(3):67.

[7] 陈洪兵.中立的帮助行为论[J].中外法学,2008(6):932.

[8] 刘艳红.行政犯罪分类理论反思与重构[J].法律科学,2008(4):113.

[9] 周光权.网络服务商的刑事责任范围[J].中国法律评论,2015(2):178.

SubstantiveInterpretationsofObligationBoundaryintheCrimeofRefusingtoFulfillInformationNetworkSecurityManagementObligation

LU Yuwei

(SchoolofLawMasterEducation,NorthwestUniv.ofPoliticalScience,Xi’an710063,China)

The added crime of refusing to fulfill the obligation of information network security management based on the criminal policy will actually increase the scope of punishment.Standing at the substantive position of criminal law,from the perspectives of interest measurement,penalty of behavior and moderation of criminal law,it is appropriate to advocate whether it is justified in judicial practice to examine the order of administrative adjudication involved.Only the intersection of the obligation of the proper administrative order to perform and the laws and regulations and the obligation of information network security management is the obligation of this crime and it has to be ensured that the act not worth the criminal punishment is not within the criminal circle.

the crime of refusing to fulfill information network security management obligation; obligation; substantive interpretations

2017-10-10

熊丽娟(1991-)， 女，湖北鄂州人，湖北工业大学，湖北工业大学硕士研究生，研究方向为国际贸易问题

1003-4684(2017)06-0043-04

DF626

： A

[责任编校：张众]