第三方支付平台构成拒不履行网络安全义务罪的疑难问题解析

王佳男+于子平

摘 要：京东在最近几年凭借其一流的服务、成熟的物流体系等优势吸引了大批优质用户。然而，京东快速发展的同时，也存在着巨大的风险，尤其在用户信息安全保障方面。2016年12月，京东商城的用户数据库资料怀疑遭到泄露，虽然调查结果显示用户被盗可能性比较大，但电商行业屡屡发生数据泄露事件，不少用户仍心有余悸。在《刑法修正案九》中明确规定了拒不履行信息网络安全管理义务罪。然而自2015年11月1日实施以来，适用尚少。因此，京东数据泄露与拒不履行信息网络安全管理义务罪的司法适用的关系就具有重要的研究意义。

关键词：京东；第三方支付平台；拒不履行信息网络安全管理义务罪

第三方支付，指的是与一些银行签约，并具有一定实力和信誉保障的第三方机构提供的交易平台，通过在收付款人之间设置过渡账户，使汇转款项实现可控性停顿，直指决定资金去向。京东是现阶段普及率比较高的交易手段。

一、支付实现原理

消费者先向第三方传递客户信息，然后由第三方与主要银行签订协议，实现第三方和银行之间的实现数据和相关信息的交换。消费者再登陆简单、熟悉的支付页面进行交易。由此，消费者及银行、商家就通过第三方支付建立起一个支付流程。

二、第三方支付平台的网络安全风险

（1）“网络钓鱼”导致账户信息被泄露。用户在网上交易进入支付的时候容易受诱导单击不安全的链接，登录伪造的支付界面而被恶意的用户获取其银行账户和密码。

（2）第三方支付平台的设计问题。京东要求客户提供相关的身份信息，作为双方交易的担保。一旦数据库有漏洞，信息泄露后的后果是十分严重的。

（3）隐私政策的不合理。第三方支付平台掌握了大量用户的真实信息，但目前网站隐私政策的普遍不完整、内容不合理，免责条款过多，导致发生问题时维权艰难。

（4）个人选择和第三方解除绑定之后，个人信息不能得到很好的保护。

三、第三方支付平台的法律义务

结合《全国人大常委会关于加强网络信息保护的决定》和《网络安全法》可以归纳、总结出第三方支付平台的义务来源如下：

（1）合法正当必要收集使用信息义务。网路运营者如果要收集、使用公民个人电子信息，必须遵循合法、正当、必要的原则，只有在得到被收集者的许可后方能使用。

（2）信息审查、监管义务。网络运营者应当采取技术措施和其他必要的补救措施，保障信息安全，防止所收集到的公民个人电子信息泄露、毁损、丢失。

（3）保护隐私、保障信息安全义务。网络运营者应当对其收集的用户信息严格保密，不得泄露、篡改、毁损，也不可出售或者非法向他人提供。

（4）信息保管以及协助调查的义务。要求网络运营者为依法维护国家安全和侦查犯罪的活动提供技术支持和帮助。

（5）提示、警告义务。附属于网络服务者的电子布告栏系统，在一段时间内诈骗信息案件多发，支付宝应该向用户进行提示和警告；同时建立其面向未来的防范措施，杜绝相似侵害行为的再次发生。

（6）及时更新设备、确保网络安全的义务。从事互联网业务不仅要求其拥有法律法规、行业标准等所要求的硬件软件水平和技术实力，也要求提供与其自身业务规模相当及使用网络快速发展所需要的设施设备，提供技术支持，以确保网络安全。

四、拒不履行信息网络安全管理义务罪的义务来源

信息网络安全管理义务，是指网络服务提供者积极主动审查在其控制管理的网络范围下的网络用户信息，发现是违法信息、用户信息和刑事案件证据的，负有采取合理措施防止违法信息大量传播、防止用户信息泄露以及防止刑事案件证据灭失的义务。具体而言，其信息网络安全管理义务包括以下几个方面：

（1）审查义务。即在确定该网络信息的性质后，才能对该网络信息进行安全管理。而且只是对网络信息进行的初步审查，只需要确定该信息是否是违法信息、用户信息或者刑事案件证据等。

（2）防止违法信息大量传播义务。主动审查后的信息被确定是违法信息的，必须履行采取合理措施防止其传播的义务。尽管网络服务提供者有时候确实难以分辨信息是否违法，但是我国的相关法律对于“违法信息”的内容都有列举规定。

（3）防止用户信息泄露义务。用户信息按用户是否已经主动公开为标准，分为公开的用户信息和隐秘的用户信息。网络服务提供者只对用户隐秘信息且是自己在提供服务过程中收集的信息负有保护的义务。

（4）防止刑事案件证据灭失义务。要求网络服务提供者承担防止刑事案件证据灭失的义务，是因为储存或者呈现在信息网络上的刑事案件证据，电子数据证据的形成、储存都在信息网络之中，网络服务提供者对电子数据证据的存亡灭失具有决定性的作用。

五、第三方支付平台触犯本罪的可能性

2016年12月“京东数据外泄，12G信息数据包在黑市流通的信息”在法律界引起很大的争议。借助这一案例，结合上述两部分的内容，对网络经营者数据信息保护责任作出相应的分析，可以对各类互联网经营者起到有益的借鉴作用。

（一）本罪的构成要件

（1）犯罪主体。通说认为本罪的主體为网络服务提供者，单位和个人均可构成本罪。此外，还有一种观点认为本罪的犯罪主体是单位，并且限于网络义务提供者。本文采纳通说的观点，因为网络服务提供者对网络安全具有支配地位，其他人或机构很难进入此领域进行及时有效的安全管理，司法实践中，侵犯用户个人信息的犯罪更多的发生在网络服务提供者单位的工作人员身上，因此对于工作人员也存在规制的必要。京东作为单位，可以成为本罪的主体。

（2）本罪的主观方面应当表现为故意。也有学者认为本罪的主观方面应当是过失，因为拒不改正的态度是故意的，但关键是看行为人对违反这一义务的危害结果是否持希望或放任。笔者认为本罪处罚的关键并非不履行管理义务，而是拒不改正。因拒不改正而导致的危害结果才是本罪所要求的危害结果。京东数据泄露事件，虽然造成了12G信息数据在黑市上流通的严重后果，但是这种结果的产生并不是内部工作人员或者单位故意不作为或者拒不改正而导致的，因此不符合本罪的主观条件。endprint

（3）本罪侵犯的客体是社会管理秩序的一种，京东数据的泄露对国家的网络管理秩序造成了极大的破坏，侵害了国家的合法权益。

（4）客观方面表现为网络服务提供者负有履行法律、行政法规规定的信息网络安全管理的义务，能够履行而实际没有履行并造成严重后果。同时，行为和结果之间必须具有刑法上的因果关系。京东将此次数据泄露的原因归结于2013年struts2的安全漏洞。2013年struts2的安全漏洞使当时国内大量互联网运营机构都因此受到了影响，所以京东既没有不履行法律义务，也没有拒不改正，不符合这两个条件，不能构成本罪。

（5）必须具有法律规定的严重后果。本罪的成立，要求出现以下几种情形：①致使违法信息大量传播的；②致使用户信息泄露，造成严重后果的；③致使刑事案件证据灭失，情节严重的；④有其他严重情节的。京东数据泄露事件造成了用户信息泄露，造成严重后果不言而喻。

总之，京东虽然符合本罪的主体要件、客体要件和犯罪结果的认定，但是却其不符合客观条件和主观条件的认定，不能同时符合本罪的四个犯罪要件。因此，京东数据泄露不可能构成本罪。但是对于这个案例仍然有进行假设研究的必要性。

（二）关于本罪的有关争议

（1）责令改正的主体和方式。虽然刑法明确规定，责令改正的主体是“监管部门”。但根据相关规定，公安机关和国家安全局、国家保密局在职责范围内，也可以成为责令改正的主体。需要进一步研究的是，责令改正的主体有无级别限制，是否任何级别的监管部门均能责令网络服务提供者采取改正措施。笔者认为，责令形式应当仅限于法律文书形式，对责令改正的主体的级别作出限制，至少应当限于县级以上的监管部门。

（2）责令改正的内容。从网络服务行业的长远发展而言，当前似不宜赋予其过重且事实上无法做到的义务要求。因此，责令改正的内容原则上应当具体明确，通常应当限于已经发生的危害行为。

（3）拒不改正的认定。通常情况下，在责令改正法律文书指定的期限內未采取改正措施的，应当认定为经监管部门责令采取改正措施而“拒不改正”。考虑到司法实践的情况较为复杂，应当认为存在例外，即有证据证明行为人确因自然灾害等不可抗力或者其他正当事由未知悉责令改正或者未及时采取改正措施的除外。2013年struts2的安全漏洞可以成为拒不改正的例外情形。

（4）免责规则的确立。信息网络服务安全有其自身的复杂性和高风险性，为避免网络服务提供者承担过重的安全责任，激发从事信息网络服务的积极性，基于不作为犯罪的基本原理，倘若京东已经履行法律、行政法规规定的信息网络安全管理义务，或者虽没有履行有关安全管理义务但根据监管部门的责令采取改正措施，仍然出现违法信息大量传播、用户信息泄露或者刑事案件证据灭失等情形的，不构成犯罪。

综上所述，只有在经监管部门即县级以上的公安机关、国家安全部、国家保密局对于单位及其分支机构或者内设部门、机构在责令改正的法律文书指定的期限内对于已经发生危害的行为除却不可抗力或者其他正当事由后仍未采取改正措施时，才可适用本罪。

参老文献：

[1]用户数据疑遭泄露 京东称或被盗号[J].商场现代化，2014（06）：11.

[2]李永升，袁汉兴.拒不履行信息网络安全管理义务罪的理解与适用[J].宜宾学院学报，2017（02）：92-99.

[3]喻海松.网络犯罪的立法来扩张与司法适用.

[4]邱赛兰.拒不履行信息网络安全管理义务罪构成特征探析[J].经济师，2016（10）：85-86+88.endprint