李本灿
(山东大学 法学院,山东济南 250100)
拒不履行信息网络安全管理义务罪的两面性解读
李本灿
(山东大学 法学院,山东济南 250100)
拒不履行信息网络安全管理义务罪的设立,开创了网络犯罪领域的合作治理,值得点赞。但是,由于主观构成要件的错误定位以及客观构成要件的不合理设置,导致了该罪与帮助网络犯罪活动罪关系的模糊以及规制范围的不当限缩,应当对此予以修正。在总体肯定该罪的同时,也应当保持适度理性,对构成要件进行目的性限缩解释。
拒不履行信息网络安全管理义务罪;刑事合规;合作治理;网络犯罪
1997年《刑法》开始了对网络犯罪的立法规制。从网络犯罪罪名体系的发展思路看,基本上遵循了从针对计算机本身的犯罪,到以计算机网络为工具的犯罪的逻辑顺序。*参见于冲:《网络犯罪罪名体系的立法完善与发展思路》,载《中国政法大学学报》2015年第4期。然而,不论是针对计算机的犯罪,还是以计算机网络为工具的犯罪的治理,均是一种回应式的立法思路,缺乏前瞻性。*参见王肃之:《从回应式到前瞻式:网络犯罪刑事立法思路的应然转向》,载《河北法学》2016年第8期。而且,从治理模式上说,归属于单一的刑罚治理模式,亦即“大棒模式”。单一的国家规制难以应对犯罪数居高不下的严峻形势。因此,引导私人主体积极主动地展开自我规制,强化个人、企业、市场的自我意识,成为国家规制模式成功与否的关键。*参见高秦伟:《社会自我规制与行政法的任务》,载《中国法学》2015年第5期。论者认为,企业犯罪预防应当由单一的国家规制向国家与企业合作治理转型。*参见李本灿:《企业犯罪预防中国家规制向国家与企业共治转型之提倡》,载《政治与法律》2016年第2期。值得欣喜的是,拒不履行信息网络安全管理义务罪规定了网络平台服务商的刑事责任,也将以责任倒逼互联网企业实施合规管理,实现国家与企业的合作治理。对于企业而言,它意味着出罪机制的引入,即责任的免除;对于国家而言,它意味着犯罪控制效率的提升以及司法资源的节约,应当为该罪的积极面向点赞。但与此同时,该罪也设置了不合理的构成要件,限缩了其适用范围,需要反思。
(一)网络犯罪的传统治理模式
1.立法对网络犯罪的回应。随着信息时代的到来,网络世界出现了越来越多的违规行为。为此,1997年《刑法》有针对性地增设了两个罪名,第285条的“非法侵入计算机信息系统罪”和第286条的“破坏计算机信息系统罪”。同时,对于利用计算机实施传统犯罪的行为做出了延伸解读。随后,《全国人民代表大会常务委员会关于维护互联网安全的决定》对于上述两个刑法条款进行了细化。例如,将故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害,以及违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行的行为,依照破坏计算机信息系统罪定罪处罚。因为该规定超越了传统对计算机系统的保护,对通信网络的攻击行为以犯罪论处,无疑扩大了计算机犯罪的规制范围。Web 2.0 时代之后,网络已经融入社会生活各个层面,单纯进行的计算机系统攻击破坏行为已经不是常态,更多的是,以网络为工具进行其他的犯罪。从这个意义上说,将规制范围由系统攻击破坏行为向破坏网络通信行为扩张具有重大意义。紧接着,《刑法修正案(七)》对于网络犯罪立法体系进行了进一步完善,即在第285条第2款、第3款分别增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统的程序、工具罪。前者对于犯罪对象的“计算机信息系统”进行了范围的拓展,即对于国家事务、国防建设、尖端科学技术领域的计算机信息系统之外的信息系统进行了刑法保护;后者是一种典型的帮助犯正犯化的立法,即将网络犯罪的帮助行为进行了正犯化处理。帮助行为的正犯化处理,也是回应网络犯罪帮助行为危害性提升的重要立法举措。*参见于志刚:《网络空间中犯罪帮助行为的制裁体系与完善思路》,载《中国法学》2016年第2期。
2.司法解释的进一步补充。司法解释对于网络犯罪的补充,主要遵循两种模式:对片面共犯的承认以及共犯正犯化。我国《刑法》25条明确规定了共同犯罪的含义,从中可以看出,共同犯罪的成立要求有共同的故意,即双方的意思联络。因而,片面共犯理论受到我国传统刑法理论所排斥。然而,2010年颁布实施的《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(二)》第7条却规定:“明知是淫秽网站,以牟利为目的,通过投放广告等方式向其直接或者间接提供资金,或者提供费用结算服务,具有下列情形之一的,对直接负责的主管人员和其他直接责任人员,依照刑法第三百六十三条第一款的规定,以制作、复制、出版、贩卖、传播淫秽物品牟利罪的共同犯罪处罚……”这意味着,司法解释放弃了共犯认定中“双方面的意思联络”的要求,而承认了片面帮助犯。此后,两高协同公安部联合发布的《关于办理网络赌博犯罪案件适用法律若干问题的意见》第2条将明知是赌博网站,而为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道等服务的行为,认定为开设赌场罪的共同犯罪;《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第9条也规定:明知他人实施《刑法》285、286条规定的计算机犯罪,而为其提供相关技术支持的,以相应条款的共同犯罪论处。也就是说,片面共犯理论已经在司法解释中得到了全面的支持。此外,“共犯正犯化”的立法思路也在相关司法解释及立法中得以确立。具体来说,《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(二)》第3条至第6条均体现了共犯正犯化的思想。例如第6条规定,电信业务经营者、互联网信息服务提供者明知是淫秽网站,而为其提供相关技术支持的,以传播淫秽物品牟利罪定罪处罚。值得注意的是,这种思路在《刑法修正案(九)》之中也得到了确认,这主要表现在“帮助信息网络犯罪活动罪”的设立,即将上述司法解释中的正犯化思路,通过独立构罪的方式,对上述具体的网络犯罪帮助行为进行了一揽子的概括规定,从而使得网络犯罪帮助行为的正犯化得到了彻底的贯彻。
3.对两种回应方式的总结。如上所述,在前《刑法修正案(九)》时代的网络犯罪治理立法中,强调的是行为者的责任,即国家通过刑事立法,将具有现实意义的网络违规行为予以规制。在这个过程中,强调的是“国家—行为人”的二元对立关系。然而,随着网络的普及,网络实际上已经成为一种生活方式,网络空间亦成为民众活动的重要场所。在网络空间中,网络服务商是网络平台的缔造者和管理者,其具有独特的技术、管理优势,因而是网络空间治理的重要力量。鉴于网络服务商重要的社会地位及其背离职责可能带来的严重社会危害性,有学者提出,应当确立平台服务商的刑事责任:“应当直接确立平台责任方的管理责任,明确平台服务商的行为规范。在民事、行政领域都确立了平台服务商的管理责任规范之上,刑法直接将平台服务商作为独立的评价主体,作出相应的刑事规范,是合理的。”*李源粒:《网络安全与平台服务商的刑事责任》,载《法学论坛》2014年第6期。该论者所谓的“平台责任”实际上意在通过刑事责任的方式,倒逼网络服务商进行自我管理,自觉构建安全管理机制,履行安全管理义务。这种思路恰恰契合了“刑事合规”的基本理念。在这种治理模式中,网络服务商承担了自我管理的职责,形成了“国家-网络服务商-行为人”三元关系。毫无疑问,网络服务商的加入,必将使得网络犯罪治理的效果有所提升。
(二)网络犯罪合作治理模式的确立
1.刑事合规的实质解读。刑事合规是一个崭新的理论课题,即使在发达的英美、德日,对其讨论也是近20多年的学术现象。对于国内学术界而言,刑事合规还处在观念的倡导期,因而有必要首先对其进行内涵解读。对此,刑事合规的权威专家Thomas Rotsch教授经过具体化尝试之后,给刑事合规下了一个具体的定义:“刑事合规包含所有客观上事前必要的或者事后被刑法认可的规范性、制度性以及技术性的属于某一组织的措施,这些措施的相对人既可以是组织的成员、商业合作者,也可以是国家或者社会大众。这些措施的目的是a)降低组织或者组织成员实施的与组织有关且违反国内或国外法的经济犯罪行为的风险或者是相应的犯罪嫌疑的风险;或者是b)与刑事执法机构达成一致而对刑事处罚产生积极影响,并最终借此以提高企业的价值。”*Thomas Rotsch, Compliance und Strafrecht—Fragen, Bedeutung, Perspektiven: Vorbemerkungen zu einer Theorie der sog. Criminal Compliance“, ZStW 2013: 125(3), S.494.从这个定义中不难看出,刑事合规的核心要素包含两个:内部控制措施以及与此相关联的刑罚意义。通过刑事合规制度设计,可以推动组织体进行自我管理,进而达到犯罪预防以及组织体自身责任的减轻或者消解的目的。综合各国合规实践主要存在两种方式:以美国为代表的合规模式和以英国为代表的合规模式。就前者而言,主要体现在《美国联邦量刑指南》第八章的“组织量刑”之中。该章导言部分开篇就指出:“本章旨在维持预防、发现和举报犯罪的内在机制,使对组织及其代理人的制裁总体上能够提供公正的惩罚、足够的威慑和对组织的激励。”*U.S. Sentencing Guideline Manual, § 8, Introductory Commentary.在具体的罚金量定时,内部控制机制的存在将导致刑罚的减轻:“如已经存在防止和发现违法行为的有效内控机制,但仍然发生某犯罪行为,则减少3个责任点数。”*U.S. Sentencing Guideline Manual, § 8C2.5(f).就后者而言,主要体现在英国的《2010贿赂罪法案》之中。该法案第7条“商业组织预防腐败失败的法律效果”部分第(2)部分规定,如果该商业组织拥有旨在预防组织成员实施犯罪行为的足够的措施,则构成合法辩护;第9条规定,国务大臣应当制定关于预防组织成员犯罪的适当程序和措施的指南并进行适时修订。*Bribery act 2010, Chapter 23, §7-(2) and §9-(1)(2).
2.该罪确立了网络犯罪的合作治理模式。在《刑法修正案(九)》之前,网络服务提供者的安全管理责任仅仅规定在《全国人民代表大会常务委员会关于加强网络信息保护的决定》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》《即时通信工具公众信息服务发展管理暂行规定》等法律、行政法规、部门规章之中。例如,《即时通信工具公众信息服务发展管理暂行规定》第5条规定:即时通信工具服务提供者应当落实安全管理责任,建立健全各项制度,配备与服务规模相适应的专业人员,保护用户信息及公民个人隐私,自觉接受社会监督,及时处理公众举报的违法和不良信息。尽管如此,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务的情况仍比较常见,有的甚至造成了严重后果。为此,《刑法修正案(九)》增加了拒不履行信息网络安全管理义务罪,意在通过管理监督责任的引入,促进网络服务提供者切实履行安全管理义务,保障网络安全和网络服务业的健康、有序发展。*这里有必要做一个说明:刑事合规中独立构罪的模式中,经常表现为管理监督过失理论的引入。由此,刑事合规的所有要素均已得到满足,网络犯罪治理的合作治理模式得以确立。
3.合作治理模式的积极意义。刑事合规是现代风险刑法的一个结果。这不仅意味着,与犯罪有关的合规很明显是一个用来降低现代社会中潜在风险的工具。相反,刑事合规也反映出了一部日益膨胀的刑法,而在这个意义上刑法是一部风险刑法,即有危险性的刑法(riskantes Strafrecht)。*参见Vgl. Kuhlen, in: Kuhlen/Kudlich/Ortiz de Urbina( Hrsg.), Compliance und Strafrecht, 2013, S. 14.对Kuhlen教授的论断可以从两个方面进行解读:首先,风险社会理念对于刑法的渗透,使得刑法表现出了更多的干预性。就网络服务商的责任而言,传统观点基于对言论自由和信息自由的重视,旗帜鲜明地采取了责任限制性的立场,明确排除网络服务提供者一般性的监督控制义务的同时,又非常清晰地对各种类型的网络服务提供者规定了具体的免责条件。*参见王华伟:《网络服务提供者的刑事责任比较研究》,载《环球法律评论》2016年第4期。然而,基于网络安全的考虑,理论和立法实践的一个倾向是,赋予网络服务商更大的责任,问题的关键成为如何在安全和自由之间寻求平衡,而不是要不要对网络服务商附加一般性的管理义务。我国刑事立法中针对网络服务商的刑事责任系列条款尽管面临传统信息自由的质疑,但是必须承认的是,通过对网络服务商附加刑事义务,可以更好地实现网络犯罪的治理。毕竟,网络服务商距离网络风险最近,具有绝对的技术优势,从而可以保证其监督管理义务的履行。其次,对于网络服务商而言,刑事责任的倒逼可以促使其更加谨慎地履行内控义务,从而防止外部风险,或者在刑事风险出现时,以义务的履行主张合规抗辩。也就是说,合规成为了网络服务商降低风险的工具。
概言之,网络犯罪治理模式的转型必将实现网络犯罪治理的“双赢”局面:从网络服务商的角度讲,鉴于刑罚的严厉性以及可能由此带来的企业名誉的减损、与此相关的股票价值大幅下跌、市场的丧失等经济损失,其更倾向于履行刑事法规范的要求,建立健全内部安全管理机制,从而不仅可以减少他人利用网络平台的犯罪,而且还可以预防针对服务平台自身的网络系统、服务器的犯罪行为;即使出现其服务平台被利用的局面,也会因为内部控制机制的建立,从而主张合规抗辩,实现出罪或者责任的减轻;从国家的角度讲,服务商认真实施合规管理,可以带来司法效率的提升:相关犯罪证据被妥善地记录、保存,使得犯罪更容易被侦破;内部管理系统的建立意味着内部职员犯罪后组织体的及时反应并配合司法机关办理案件,从而提高司法效率。
(一)主观构成要件的错误定位产生立法过剩及规制范围限缩
拒不履行信息网络安全管理义务罪的立法表述为“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(1)致使违法信息大量传播的;(2)致使用户信息泄露、造成严重后果的;(3)致使刑事案件证据灭失,情节严重的;(4)有其他严重情节的。”对于该罪名,容易产生的疑问是,这是过失犯罪,还是故意犯罪?对此,张明楷教授认为,“本罪的责任形式是故意,行为人误以为信息不违法而没有采取改正措施时,属于事实认识错误,阻却故意的成立。”*张明楷:《刑法学》(第5版),法律出版社2016年版,第1050页。李源粒博士也认为,平台服务商的刑事责任不应是结果责任,需以其不及时履行控制、处理网络信息安全的管理职责为前提。*参见李源粒:《网络安全与平台服务商的刑事责任》,载《法学论坛》2014年第6期。言外之意,该罪是故意犯罪。从两高最终对该罪名确立的名称来看,“拒不履行”表达的是对于法规范的直接对抗;况且,从法定刑设置看,与《刑法》第287条之二故意型的犯罪“帮助网络犯罪活动罪”基本一致。从这两点判断,立法者意在将其定位为故意型犯罪。然而,如果将该罪理解为故意犯罪,如何处理其与第287条之二的“帮助信息网络犯罪活动罪”的关系就成为问题。如果将该罪理解为故意犯罪,也就意味着,如下的情形也在该条含义的辐射范围之内:网络服务商明知其他人在利用其管理漏洞实施网络犯罪,而拒不履行整改命令,进而产生了严重的后果。权威文献对此做了明确解读:“一些网络服务提供者因受利益驱动等原因,故意不落实法律法规确定的安全管理义务,如有的明知他人利用网络从事违法犯罪活动仍为其提供加密代理等服务,导致大量网络资源被用于违法犯罪活动;为此《刑法修正案(九)》根据有关方面意见,增加了本条规定,以促使网络服务提供者切实履行安全管理义务,保障网络安全和网络服务业的健康、有序发展。”*全国人大常委会法制工作委员会刑法室编著:《中华人民共和国刑法修正案(九)解读》,中国法制出版社2015年版,第190页。然而,这种情形实际上是一种网络犯罪的帮助行为。从表述上看,与第287条之二的“明知他人利用信息网络实施犯罪,为其提供……等技术支持”并无两样。因此,拒不履行信息网络安全管理义务罪中的个别情形也可以构成帮助信息网络犯罪活动罪。这意味着,拒不履行信息网络安全管理义务罪与帮助信息网络犯罪活动罪出现了功能重合,显得立法过剩。此外,如果将该罪界定为故意犯罪,也会导致处罚上的不周:一般情况下,专门从事网络服务的企业相比于行政监管机构具有显著的技术优势,监管机构的整改责令可能是相对落后的技术要求或者管理措施,企业在满足了行政整改命令之后可能存在更高程度的认知,其本可以自觉履行,但可能出于技术自信或者成本控制的考虑而没有尽到监管责任,从而最终导致其平台被犯罪分子所利用的严重后果。这种情况下,拒不履行信息网络安全管理义务罪也没有评价空间。总之,如果将该罪界定为故意犯罪,则势必造成法条之间的功能重叠,同时会造成处罚上的不周延,有必要对其主观要件进行重新解读。
(二)“经责令而拒不改正”限缩了处罚范围
“经责令而拒不改正”要件的设置意味着,犯罪的成立与监管部门的整改命令之有无、是否执行联系在一起,而不是取决于网络服务商自身对于风险的认知。这是一种作茧自缚的立法态度:首先,如上所述,网络服务商处于技术革新的风口浪尖,其对于风险的感知要明显高于监管机构,当其自身已经认识到技术漏洞,但是监管机构尚未对此形成认知的情况下,即便服务商出于成本节约等考虑而不主动健全安全管理机制,并最终被犯罪分子所利用,造成严重后果,也不能被评价为本罪;其次,行政监管是一种例行性的活动,由于行政资源的限制,根本难以实现对于网络风险的即时感知以及对于网络服务商的“贴身盯防”,安全管理漏洞即使出现,而行政监管机关并未及时发现并提出整改措施的情况并不少见,这种情况下,即便网络服务商对于风险不予理睬,也不能构成本罪;再次,在行政程序法缺失的情况下,命令的做出具有很大程度上的不规范性;或者由于工作失误、徇私枉法等情况的发生,根本没有做出整改命令,此时,即便网络服务商怠于健全安全管理机制并因此造成重大后果,也不能构成本罪。*这在其他犯罪中也曾出现,进而导致了处罚不周延。例如,拒不支付劳动报酬罪中,“责令支付”成了本罪入罪常态化的严重障碍,有论者建议删除“责令支付”要件。参见陈松然:《拒不支付劳动报酬罪宜删除“责令支付”要件》,载《中国检察官》2015年第12期。此外,也有论者指出,“‘先行政后司法’现象虽然可以强化行政执法权威、减轻司法审判负担,但如果行政执法存在公权力滥用瑕疵,也会引发行政不公损及刑事审判公正的威胁。”*吴亮:《“先行政后司法”中的公权力滥用及其审查规则》,载《政治与法律》2013年第11期。最后,如何判断“拒不改正”也是个问题。例如,在整改期限未到的情况下,发生了严重后果,能否评价为拒不改正并因此处罚网络服务商?*参见曹菲:《管理监督过失研究——多角度的审视与重构》,法律出版社2013年版,第85-87页。总之,将罪与非罪的判断建立在行政机关的命令的基础上,将会大大限缩该罪的处罚范围。
(一)主观要件的重新定位:必要性及其证成
1.必要性:主观要件的重新定位有利于建构协调完备的责任体系。基于“故意论”所造成的立法过剩以及处罚范围不周的问题,本文认为有必要对该罪的主观要件进行重新定位。对于这个问题,有论著指出:一方面,该罪实际上是引入了一种“过失责任”,这也是刑事立法分别设立帮助信息网络犯罪活动罪和拒不履行信息网络安全管理义务罪的意义所在。如果将该罪理解为一种“故意责任”,那么,帮助信息网络犯罪活动罪将全面包含拒不履行信息网络安全管理义务罪,使得该罪的设立不再具有价值;另一方面又认为,过失责任的引入并不是将拒不履行信息网络安全管理义务罪限定为过失犯罪;在认识因素上,网络服务提供者经过监管部门责令改正,应当已经认识到自己不履行义务的行为具有造成严重后果的可能性;在意志因素上,网络服务提供者对上述特定严重结果的发生是持放任的心态或者轻信避免的心态。因而,该罪是英美法中复合罪过模式引入的例证。*参见于志刚:《网络空间中犯罪帮助行为的制裁体系与完善思路》,载《中国法学》2016年第2期。认识到该罪包含过失责任是值得赞许的,但是,将其理解为复合罪过模式,则为本文所不取。因为复合罪过形式混淆了故意与过失应有的区别,不利于发挥刑法的规范价值,既有违我国刑法对罪过形式的规定,又与刑法的谦抑性价值相冲突。*参见向朝阳、悦洋:《复合罪过形式理论之合理性质疑》,载《法学评论》2005年第3期。
基于此,不如直接将本罪的主观方面认定为过失。如此一来,也将构建起协调、相对完备的网络服务商的责任体系:在网络服务商的安全管理机制存在缺陷的大前提下,(1)如果服务商已经知道其漏洞被利用,并且犯罪行为已经实施,仍拒绝完善安全管理机制,则可归入《刑法》第287条之二的“帮助信息网络犯罪活动罪”,该情形属于不作为形式的帮助,采用积极作为的方式实施的帮助当然亦在其列;如果其意识到管理缺陷的存在,并且该缺陷可能被利用以实施网络犯罪,仍拒绝完善安全管理机制,仍是一种帮助行为,属于第287条之二所要求的“明知”。因为“明知”的语义学内涵要大于我们传统的认识。“‘明知’就是‘知道’。就认识的对象而言,‘明知’不仅可以是对过去已经发生的或正在发生的事情的认识,也可以是对未来的尚未发生的事情的认识;就认识的程度而言,‘明知’不仅可以是确定性认识,也可以是可能性认识。”*邹兵建:《“明知”未必是“故犯”——论刑法“明知”的罪过形式》,载《中外法学》2015年第5期。就是说,对于他人可能利用其网络实施犯罪认识,也属于“明知”的语义学范畴;(2)如果服务商已经意识到其管理缺陷,但是自信有技术,可以避免犯罪活动,因而拒绝整改,则构成该罪,也是一种监管过失;如果服务商认为,其安全管理体系根本就不认为存在漏洞,监管机关所谓的整改措施不具有合理性,因而拒绝整改,之后发生严重后果,则构成该罪,是一种监管过失。以上两种情形都在第286条拒不履行信息网络安全管理义务罪的评价范围之内;*尽管与故意形式的帮助网络犯罪活动罪相比,过失形式的拒不履行信息网络安全管理义务罪法定刑相当,但是仔细考察仍有细微差别,亦即,后者多出了一种选择主刑,即管制刑,显然更加轻微。而且,后者以造成法定的严重结果为前提,而前者仅仅使用了抽象表达“情节严重”,相比而言,后者的入罪更加谨慎,也符合过失犯罪处罚的例外性原则。(3)如果网络服务商仅仅参与了网络违法犯罪活动的准备工作,例如对于网站、通讯群组设立提供支持的,则构成第287条之一的“非法利用信息网络罪”;(4)具有前几种情形,同时触犯其他罪名的,按照处罚较重的规定进行处罚,亦即,按照共犯理论分别认定为传统犯罪的帮助犯或者共谋共同正犯。例如,对于网络集资诈骗或者网络恐怖主义的参与,可能成立集资诈骗罪和恐怖主义犯罪的相关犯罪的共犯,而不仅仅是帮助网络犯罪活动罪;对于重大犯罪预备的参与,可能成立相关犯罪的共犯预备,而不仅仅是非法利用信息网络罪。
综上所述,论者认为,该罪的主观罪过形式是过失,“如果网络服务提供者在对危害结果具有预见可能性和回避可能性的情况下,实施了不作为的监督过失行为,该行为与危害结果之间具有因果关系,那么网络服务提供者就应当承担刑事责任。”*陆旭:《网络服务提供者的刑事责任及展开》,载《法治研究》2015年第6期;“主观过失论”的提出,不仅可以划清本罪与帮助网络犯罪活动罪的界限,亦可以使得网络服务商的刑事责任体系趋于协调、完备。
2.“主观过失论”的证成。拒不履行信息网络安全管理义务罪主观方面“故意论”的得出,很大程度上源于对于“拒不履行”内涵的误读。从词义上说,“拒不履行”表达的是一种积极的目的追求,以及在此目的支配下的积极举动。我国《刑法》中还有其他类似的表述,例如,“拒不支付劳动报酬罪”、“拒不执行判决、裁定罪”的罪状表述中的“拒不说明来源”、“拒不缴纳税款”等。这些罪名无一例外,都表达了对于构成要件结果的积极追求,因而成立故意犯罪。但是,对于刑法术语或词汇的解读应当放在个别语境中进行,而不能一劳永逸。例如,刑法中的“犯罪“概念,有时仅指客观行为,有时指排除了犯罪预备情形的犯罪,有时指符合犯罪成立条件的一切形态的犯罪。同样的道理,对于“拒不履行信息网络安全管理义务罪”中“拒不履行”的解读也应当放在本条的特定语境之中。与“拒不支付劳动报酬”、“拒不执行判决裁定”不同,此处的“拒不”的对象仅仅是行政机关的整改责令,而不是构成要件的结果,因而不能因为“拒不”本身表征了积极的身体举动就认定该罪是故意犯。对本罪法定构成结果的出现,行为人显然并非故意,而只能是因为义务的不履行导致了严重的结果,行为人对该结果成立过失犯罪。同样的例子在我国《刑法》中还有很多:“交通肇事罪”中的肇事者“违反交通运输管理法规”的行为显然也可以理解为“拒不履行交通运输管理法规规定的安全行车的义务”,其对于前置行政法规范的违反都是故意,但是,该罪是过失犯罪没有疑问;《刑法》第139条的“违反消防管理法规,经消防监督机构通知采取改正措施而拒绝执行”显然也是故意,但是其对于构成要件结果,仅成立过失。对比“拒不履行信息网络安全管理义务罪”与“消防责任事故罪”的法条表述可知,两者具有类似的表述和构成,即违反前置性法规——经通知改正而拒绝执行——最终造成严重后果,因此罪过形式也应当统一起来。*从某种意义上说,对本罪罪过形式的误读也受到法定罪名的误导,为了更加清晰地体现罪过形式,“网络监管失职罪”或者“网络监管责任事故罪”之类的罪名或许更为合适。如此一来,也可以与监管失职或者重大责任事故类犯罪的罪名统一起来。
对“拒不履行”的解读,涉及到更深层的问题,即如何理解刑法中的特定语言在认定犯罪罪过形式中的意义。一般而言,罪过形式可以通过特定关键词眼识别,例如,拒不支付劳动报酬罪中的“拒不支付”;运输假币罪中的“明知……而运输”;生产、销售有毒、有害食品罪中的“明知……而销售”等,所有这些情形都表征了犯罪的故意罪过形式。然而,在个别情形下,这种通常的解读并不合适。例如,对于教育设施重大安全事故罪中“明知”的解读就不能采取其一般意义。正是因为在传统“明知即故意”的认知下,对该罪“明知”的解读遭遇了尴尬,有学者主张将该罪中的“明知”解释为“已经预见”,维护本罪罪过形式的过失论。*参见张明楷:《刑法学》,法律出版社2011年版,第642页。也就是说,此处的“明知”并不能表达故意罪过。甚至,即便是总则故意概念中的“明知”也未必一定是故意。对此,有论者从语义、法理等角度分别进行了深入的阐释,最终认为,“明知”未必是“故犯”:“总则‘明知’和分则‘明知’没有实质性差别,而且‘明知’不等于故意。通过语义学的诠释可知‘明知’和‘预见’是包含与被包含的关系,因而以刑法在且仅在故意定义中使用了‘明知’为由主张‘明知’即是故意,是不能成立的。从法理上看,‘明知’即是故意的观点属于故意本质问题上的认知论,但无论是从立法规定,还是从教义学原理,抑或从刑事政策的角度来看,认知论都是不能成立的。”*参见邹兵建:《“明知”未必是“故犯”——论刑法“明知”的罪过形式》,载《中外法学》2015年第5期。同样的道理,对于本文讨论的“拒不履行”的解读,也可以背离其通常含义,亦即,“拒不履行”不能表征故意罪过,本罪的罪过形式只能是过失。
(二)取消“经责令而拒不改正”要件
将拒不履行信息网络安全管理义务罪的成立建立在行政命令的基础之上将造成其规制范围的大大限缩。从比较法的角度看,有学者经过对多个国家责任事故相关犯罪构成要件的归纳总结之后,指出:“各个国家对责任事故犯罪的规定有共同之处:其一,责任事故犯罪的成立,要求行为人违反了特定的义务;其二,成立责任事故犯罪,要以行为人的行为导致了一定的危害后果为要件。”*王俊平:《责任事故犯罪构成要件之比较》,载高铭暄、赵秉志主编:《刑法论丛(第7卷)》,法律出版社2003年版,第315页。也就是说,从具有普遍意义的经验看,“责令要件”是不必要的。无论是从普遍的立法态度,还是从该构成要件自身存在的问题看,都有必要做出改变,取消“经责令而拒不改正”要件,以风险回避义务的履行以及危害后果为中心评价信息网络安全的监管责任,以更好地推动网络犯罪治理中服务商合规管理的展开。当然,责令要件的废除意味着其预警和缓存功能的丧失,增大了入罪的可能性,但这并不会导致对于网络服务商自由的任意干预。刑事追诉的发动需要出现义务的背离、严重的危害结果,同时也需要在网络服务商保证人地位确立的基础上,根据刑法教义学的论证逻辑和归责路径,进一步依次具体判断网络服务提供者不履行信息网络安全管理义务的不作为与危害结果之间的归因与归责、该特定网络服务提供者是否具有事实上的具体行为可能性以及规范上的期待可能性,以进一步限缩刑事归责的范围。*详见北京大学法学院梁根林教授在2016年互联网法律大会·电子商务法律论坛上发表的题为《传统犯罪网络化:归责障碍、刑法应对与教义限缩》的相关学术观点。
(三)对构成要件的目的性限缩解释
网络服务商的刑事责任问题在理论上存在很大争议,即在网络自由与安全之间如何进行价值选择和利益平衡,是否赋予网络服务商刑事法义务等均未达成合理的意见。在新近的《网络安全法》通过之前,相关行政法规尚未全面规定不履行信息网络安全管理义务的行政责任。在这种情况下,刑事立法径直设立了网络服务商的刑事责任条款,不得不说,其具有一定的超前性。应当说,该罪的设立是对于近年日益严峻的犯罪网络化的有力回应,对于网络犯罪治理必将产生积极意义。尽管如此,对其犯罪构成的解读仍应采用目的性限缩的解释方法,从严把握,避免处罚范围的不当扩大。首先,应当合理解读“法律、行政法规规定的信息网络安全管理义务”要件。现实中,国新办、公安部、网信办等机关均是网络服务商的重要监管机构。相应地,这些部门也会通过订立部门规章等方式规定网络服务商的义务。例如,上文提到的《即时通信工具公众信息服务发展管理暂行规定》就是由网信办发布的规范性文件,其中也规定了网络服务商建立安全控制机制的义务。那么,对这类义务的不予履行能否理解为“法律、行政法规规定的信息网络安全管理义务”?对此,应当按照罪刑法定原则的要求,严格对“法律、行政法规”的解读,亦即,网络安全管理义务不应当包括部门规章等规范性文件,司法实践中在认定行为人是否有不履行相关安全管理义务的行为时,需要结合相关法律、行政法规的具体规定和要求认定。*参见全国人大常委会法制工作委员会刑法室编著:《中华人民共和国刑法修正案(九)解读》,中国法制出版社2015年版,第192页。其次,对于“违法信息”也应当从严把握。权威解读认为,“违法信息”主要是指其内容违反相关法律法规规定的信息。《电信条例》第56条规定,“违法信息”是指含有反对宪法所确定的基本原则;危害国家安全,泄露国家秘密,颠覆国家政权,破坏民族团结;破坏国家宗教政策,宣扬邪教和封建迷信;散布谣言,扰乱社会秩序,破坏社会稳定;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;侮辱或者诽谤他人,侵害他人合法权益;含有法律、行政法规禁止的其他内容等的信息。*参见全国人大常委会法制工作委员会刑法室编著:《中华人民共和国刑法修正案(九)解读》,中国法制出版社2015年版,第195页。对此,《互联网信息服务管理办法》第15条也做出了统一的规定。如何解读“法律、行政法规禁止的其他内容”?有学者认为,应限制对该条的任意解释,诸如发放垃圾广告、夸大宣传、侵犯商业信誉等行为,通过行政法规进行制裁即可,而不应被不当扩大解释成《电信条例》第56条的“其他内容”;这样的理解也符合域外法的经验,即追究信息网络服务提供者的罪责一般只针对仇恨言论、侵犯著作权、淫秽信息、毒品、诽谤等,而不是对一切违法信息负责。*参见王文华:《网络合规管理与法律风险防控——基于拒不履行信息网络安全管理义务罪的分析》,载《第四届企业家刑事风险防控与经济发展高端论坛会议文集》(2016年),第70页。最后,应当对“其他严重情节”进行严格限定。这一规定是为了应对实践中可能出现的各种复杂情况所做的一个兜底规定,对于保持刑法的适度扩张性具有一定意义。然而,对其解释也不应当无边无际,而应比照前三款的规定进行解读。
拒不履行信息网络安全管理义务罪是一个半合理的刑法条款。一方面,它的设立体现了刑事合规的基本理念,网络犯罪治理由传统的“大棒模式”转向了“大棒-胡萝卜模式”。可以期待,责任的强化必将刺激网络服务商在网络犯罪控制上发挥更大的作用,对国家治理形成有益补充,对此应当给其点赞;另一方面,它的主观要件的错误定位导致了立法过剩的产生以及规制范围过窄的尴尬,因此,应当对该罪的主观方面进行重新定位。亦即,将其理解为监督管理过失在网络犯罪治理中的运用。这样一来,不仅可以合理界定其与《刑法》第287条之二的“帮助网络犯罪活动罪”的关系,也可以避免规制范围过窄的现象,严厉网络犯罪治理的刑事政策。除此之外,“经责令而拒不改正”要件的设置,使得该罪的认定依赖于行政命令,摆脱了以义务违反为中心的不作为犯的评价规则,造成规制范围被动缩减,应当予以取消。在总体肯定拒不履行信息网络安全管理义务罪的前提下,也应当保持适度克制,对构成要件进行目的性限缩解释。
[责任编辑:谭 静]
Subject:Two-sidedness of the Crime Refusing to Fulfill the Information and Network Security Management Obligation
Author & unit:LI Bencan
( Law school, Shandong University, Jinan Shandong 250100, China)
The establishment of the crime refusing to fulfill the information and network security management obligation has changed the governance model. Specifically, the governance model in cyber crime has changed from single means (merely relying on the government) to cooperative regulation. That is a point worthy praising. However, the misunderstanding with the subjective elements and the unreasonable setting of the objective elements of the crime lead to two problems. Firstly, we can not easily tell the crime from the crime of helping cyber crimes. Secondly, they limit the regulation scope of the crime. For all that reasons above, we maintain that the crime should be revised. Overall, we have to speak highly of the crime. Meanwhile, we need to stay rational and narrow its regulation scope.
the crime of refusing to fulfill the information and network security management obligation; criminal compliance; cooperative regulation; cyber crime
2017-03-23
本文系山东大学基本科研业务费专项资金资助项目《腐败犯罪治理的合规路径研究》(2016GN003)和中国博士后面上基金第59批面上一等资助项目《刑事合规制度研究》(2016M590628)的阶段成果。
李本灿(1987-),男,河南新乡人,法学博士,山东大学法学院讲师、硕士生导师、博士后流动站研究人员,主要研究方向:经济刑法。
D924.36
A
1009-8003(2017)03-0138-08