个人信息保护中网络服务提供者的刑事责任

张希嘉

（安徽大学 法学院，安徽 合肥 230601）

当前，侵犯公民个人信息的案件数量和恶劣程度日益突出，科技的飞速发展使得网络空间成为这一问题的重灾区，网络服务提供者在其中的作用和责任不可小觑。随着《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和《中华人民共和国网络安全法》的颁布和实施，网络服务提供者在公民个人信息保护中的刑事责任得到进一步明确，但仍然存在主体范围、刑事责任基础等问题，有待探讨。

一、公民个人信息刑法保护中的网络服务提供者

（一）主体范围

我国“网络服务提供者”概念的提出可以追溯到国务院2006年公布的《信息网络传播权保护条例》，该条例分别在第20条、22条、23条列举了提供自动接入传输服务、提供信息存储空间服务和提供搜索和链接服务的三种类型，但这是条例的不完全列举，是知识产权领域针对信息网络传播权所作的规定，因此难以在刑法中直接适用。我国法律法规中至今没有明确这一主体的概念和范围，也没有像美国《数字千年版权法》《通讯规范法》根据服务商的不同类型设置不同责任。学术界存在的各种界定多存在于民事侵权责任法和知识产权法中。如第一类为向用户提供互联网接入、终端设备存放、服务器托管等业务网络服务提供商；第二类为网络内容提供商，通过互联网向用户有偿提供信息或者网页服务活动；第三类为建立网络中转站、租用信道和电话线路以提供中介服务的网络接入服务者；第四类为主要提供数据查询、检索等服务的在线服务提供者。[1]（P118）

刑法中的网络服务提供者可能涉及上述所有分类，但在具体认定犯罪时，还应结合该提供者日常主营业务类型和犯罪行为的关联度、因果性等进行综合考量。

（二）主体的特殊性

2017年5月最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），第一条即明确了 “公民个人信息”的范围，“电子”形式的信息被单独列出，在一定程度上反映了以网络为链条侵犯公民个人信息案件的代表性和特殊性，这和网络服务提供者在此类犯罪中的特点和作用息息相关。

首先，网络服务提供者对公民个人信息的获取和管理具有直接控制力，有人形象地将其喻为网络空间信息流动的“守门人”[2]（P51）。虽然网络服务提供者提供的服务内容存在差异，对信息的掌控、预见并避免违法犯罪行为的能力也各不同，但其因业务需要往往要求用户注册登记，从而涉及账号密码、联系方式、身份证号码等信息的上传，而这些均为《解释》中明确列举的“公民个人信息”。他们对此收集成本低、准确度高、数量大、针对性强，产生相应的保管责任和监督义务，若不严格规制信息管理，则会成为滋生犯罪的温床。

其次，互联网更易于实现信息的线上传播和交易，从而被不法行为人利用。大量网络电信诈骗犯罪的背后往往是被害人个人信息的被窃取、被滥用，严重影响到公民人身、财产安全和正常的社会、网络秩序。2017年7月19日，山东临沂中级人民法院一审判决徐玉玉案主犯犯诈骗罪、非法获取公民个人信息罪，一个月后的24日，罗庄区法院当庭宣判非法出卖徐玉玉个人信息的黑客杜天禹犯侵犯公民个人信息罪，杜天禹陈述他利用木马侵入“安全性”存在漏洞的网站,“打包下载个人信息、账号、密码”，徐玉玉的信息就是从山东省2016高考网上报名信息系统中非法获取的。[3]若网络服务提供者加强网络安全性保护，防止被不法利用，杜天禹等就难以非法获取公民个人信息，或者说增大了他们犯罪的难度和成本。治本抓源头，打击网络侵犯公民个人信息等犯罪，割断与关联犯罪的联系，须在网络服务提供者环节加强预防。

再次，涉及网络服务提供者的案件具有一般网络犯罪的共同特点。一是行为主体分布地广泛，多跨省市、跨国远程作案；二是行为人之间联系不紧密、意思联络不直接明确，很多情况下共犯仅表现为间接故意的主观心态；三是侦查、取证难度大，犯罪技术含量高，犯罪活动涉及的电脑、QQ、移动存储介质、手机、银行卡等数据的提取、固定、转化和验证等给公安机关刑侦、网安等部门工作加大了难度[4]，但不可因此降低电子证据的证明标准。

二、网络服务提供者刑事责任的基础

（一）社会危害性

社会危害性是犯罪的本质特征。在 “互联网+”的大数据时代，网络服务提供者的社会危害性主要表现为提供了新的犯罪平台和空间，使得关联犯罪在“线上”“线下”同时产生危害。其作为网络犯罪的平台管理者，具有资深的信息技术背景，也熟谙网络服务设施的操作，更容易预见到风险和损害后果，对危险有直接控制力，是网络领域国家网监部门之外最重要的“家长”。当网络逐步形成独立空间时，网络空间的管理者也应承担相应的法律责任。[5](P43)

（二）信息网络安全管理义务

犯罪的实体是违法和有责，只有发生了违法事实且能够就该事实进行非难才能认定犯罪，尤其在不作为犯罪中，作为义务的有无是判断行为违法与否的前提。对于网络服务提供者而言，应当履行网络安全管理义务，包括为法律、行政法规规定的命令性规范和不为禁止性规范：前者如2017年6月1日起施行的《中华人民共和国网络安全法》第42条，“应当采取技术措施和其他必要措施，确保其收集的个人信息安全……在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”，2011年修订的《计算机信息网络国际联网安全保护管理办法》针对互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织列举了七项“安全保护职责”；后者如2017年10月1日起实施的 《民法总则》第111条，“任何组织和个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。

（三）中立帮助行为之否定

中立的帮助行为一般是指外表上属于日常生活行为、业务行为等不追求非法目的，但客观上对他人的犯罪起到促进作用的行为。[6](P11)在刑法修正案（九）草案审议的过程中，有学者指出，不能处罚客观上单纯提供网络技术的中立行为[7]（P175-176）,刑法的全面管制会使科技的发展萎缩。但实际上，刑法对入罪设置了严苛的门槛，并非只要行为人利用了网络服务提供者的服务，就会使其一概入罪——日本Winny案最高裁判所的判决提出这样一种处理路径，“如欲认定为帮助犯,需出现超越一般可能性的具体的利用侵害状况,而且需要提供人认识或者容忍这种状况”[8]（P20），即当网络服务提供者提供的服务非例外地被违法犯罪行为所利用时，其帮助行为就难以证明是中立的。此外，我国《刑法》第253条之一、287条之二对“情节严重”的要求以及第286条之一对“拒不改正”的要求也不失为一种思路，在成立条件的规定上限定了中立帮助行为的处罚范围。

三、网络服务提供者涉及的罪名

（一）侵犯公民个人信息罪

为完善对公民个人信息保护刑法层面的规制，刑法修正案（九）将修正案（七）增设的出售、非法提供公民个人信息罪和非法获取公民个人信息罪修改为侵犯公民个人信息罪，将出售或者提供公民个人信息，情节严重的行为，及窃取或以其他方法非法获取公民个人信息的行为纳入刑法打击范围，并对出售或者提供在履行职责或者提供服务过程中获得的公民个人信息的行为从重处罚。修正案（九）将该罪的特殊主体改为一般主体，客观方面涵盖了“出售或者提供”和“窃取或者以其他方法非法获取”一出一进两种指向的行为方式。

修正案（九）保持了对行为“情节严重”的规定，保证了刑法的谦抑性。该罪名列于刑法侵犯公民人身权利、民主权利罪一章中，该章有关“情节严重”的一般要求有“致使当事人重伤、死亡、精神失常”等，但由于该罪的行为对象是个人信息，具有相当经济价值，网络更赋予其广泛的物质利益，侵犯个人信息往往也可能侵犯到公民财产权利，因此除了上述一般“情节严重”的情况之外，《解释》第五条还对违法所得情况等作出了规定，包括“非法获取、出售或者提供公民个人信息 500条以上、违法所得5 000元以上”，以及在为合法经营活动而非法购买、收受其他公民个人信息的情形下,“获利五万元以上、曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚又非法购买、收受公民个人信息”等情节。这种量化的规定为网络服务提供者明确了行为方向，也有助于其及时有效抑制犯罪。

（二）拒不履行信息网络安全管理义务罪

《解释》第9条规定：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第286条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”第286条之一是刑法修正案（九）增设的罪名，该罪主体仅为网络服务提供者；该罪是真正不作为犯，作为义务来源是现行有效的“法律、行政法规规定的信息网络安全管理义务”，不包括部门规章等其他规范性文件；为了匹配法律对网络服务提供者的期待可能，法条还要求“经监管部门责令采取改正措施而拒不改正”表明其主观心态已经不是过失，而是故意，其有作为可能性但不为，也排除了即使网络服务提供者采取措施也无法防止信息泄露的情况。《侵权责任法》第36条将被侵权人通知网络服务提供者采取必要措施作为扩大责任的条件，其连带责任与此有异曲同工之处；就危害结果而言，“造成严重后果”可对应《解释》第五条“情节严重”的规定从信息条数、人身相关程度、非法获利金额等方面认定公民个人信息泄露是否 “造成严重后果”。“此条主要处理网络服务提供者及其客户之间不知情、没有串通犯罪的情况。适用这一条应处理好网监部门和网络服务提供者之间的关系，他们的根本利益是相同的，即共同防止行为人利用网络服务进行违法犯罪。”[9]

（三）非法利用信息网络罪

《解释》第8条规定：“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚”。该罪也是修正案（九）增设的罪名，行为主体是设立网站、通讯群组的自然人或单位，其设立的网站、通讯群组供他人实行了非法获取、出售或者提供公民个人信息等违法犯罪行为，主观方面是故意。有人割裂地看，认为该罪规制的行为仅为“违法犯罪活动”的预备行为，应比照对应的实行行为“从轻、减轻或者免除处罚”，但该“预备行为”本身就具有社会危害性，且不可一概认为设立的行为和侵犯公民个人信息等违法犯罪行为的主体具有同一性，也不可一概认为二者可能具有共同的意思联络、形成牵连。该罪本身设置的法定刑较轻，不影响刑法的谦抑性；法条对“情节严重”没有做出具体界定，在不与其他罪名产生竞合的情况下，由于是出于对公民个人信息的刑法保护，可依据《解释》第 5条“情节严重”进行司法适用。这同时也保证了情节轻微的单纯“预备行为”不被纳入到刑法评价的范围中。对于“同时构成侵犯公民个人信息罪”的情况存在想象竞合的问题，立法者对此采用了从一重处的规则，由于侵犯公民个人信息罪的法定刑较非法利用信息网络罪更高，因此以前者论处。

（四）帮助信息网络犯罪活动罪

刑法修正案（九）第29条将“明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的”行为规定为刑法第287条之二帮助信息网络犯罪活动罪，以期切断网络服务提供者与犯罪行为人之间非法合作链条，从而实现相关网络犯罪的预防。该罪非实质意义上的帮助犯的正犯化，而是刑法独立设置的帮助犯的量刑规则，依然服从共犯从属性原则，犯罪的成立以正犯实施符合构成要件的不法行为为前提[6](P3-6),只有他人利用信息网络实施了侵犯公民个人信息的犯罪，且为其提供技术支持或者帮助行为，才有以该罪定罪量刑的可能。

此外，网络服务提供者还有可能构成其他罪名的共同犯罪。大陆、英美法系国家普遍仅追究其共犯责任[10]（P109），我国在之前的司法解释中对网络服务提供者大多也是以帮助犯的形式实现追责的，如2004年《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》第7条、2010年的解释(二)第6条对其提供网络接入、服务器托管、网络存储、通讯传输通道等帮助行为处以刑罚。刑法修正案(九)将司法解释中的这些规定统一立法，对部分行为设置了独立法定刑，但仍然存在构成相应犯罪共犯的情形——如网络服务提供者明知行为人以实施电信诈骗、敲诈勒索等犯罪为直接目的，向其出售或者非法提供掌握的个人信息的，也可能构成相应诈骗罪、敲诈勒索罪的帮助犯。

四、网络服务提供者的刑事责任风险防控

（一）履行法定的信息网络安全管理义务

首先，在国家严厉打击网络犯罪和侵犯公民个人信息犯罪的态势下，网络服务提供者在网络日常营运管理中，应注意国家法律、行政法规对网络服务提供者行业、业务的要求、政策和强制性规定，自觉、主动履行法定的“对其收集的用户信息严格保密”等信息网络安全管理义务。其次，对于监管部门的调查工作应积极配合，若调查中发现存在问题被责令采取改正措施或给予行政处罚的，不得贪图一时的非法获利，而应积极成立专业技术团队应对风险，及时履行法定信息网络安全管理的义务，改正存在风险的不当行为，将风险扼制在萌芽阶段，并在今后的业务活动中加以注意。

（二）“明知”之否定

包括《刑法》第287条之二 “明知他人利用信息网络实施犯罪”在内，非绝对共犯正犯化的情况下，行为是否构成帮助犯，取决于帮助行为是否加功于正犯结果，以及提供帮助的行为人是否具有帮助的故意，而这又取决于行为人是否明知正犯在实施符合构成要件的不法行为。[6](P12-13)我国司法实践通行的做法是将“明知”解释为“知道和应当知道”[11]（P94），这要求网络服务提供者必须不知道且不应当知道他人利用其服务实施侵犯公民个人信息等其他违法犯罪活动。因此网络服务提供者应做好日常网络安全维护工作，做好相关状态的检测和维护，及时发现并避免 “他人利用信息网络实施犯罪”的情况，谨防被非法利用。

（三）单位人员的管理

网络服务等一切社会生产经营活动中，“人”都是最不具有安定性的元素。单位技术人员一方面因业务原因研究发展网络系统的运营和管理，另一方面也因此能够直接掌握第一手的信息。当工作人员出现问题，如利用职务之便，非法获取、出售客户信息，其所在单位往往就容易陷入法律风险。因此，网络服务提供企业须有针对性地加强对其从业人员的职业道德教育和法律知识培训，提高个人风险防范意识，在个体层面防范、杜绝违法犯罪行为的发生。

随着社会公众对通过网络侵犯公民个人信息问题的关注，国家立法也规定了网络服务提供者的义务和责任，但相关问题尚有探讨论证的空间，也有待司法实践的支撑。通过对网络服务提供者在公民个人信息刑法保护中的特殊性分析，结合法律规定，得出其具有承担刑事责任的基础，从而消除滥用刑罚制裁技术中立的服务机构等疑虑。在明确上述问题的基础上，分析包括侵犯公民个人信息罪在内的网络服务提供者可能构成的罪名，从而有针对性地提出刑事责任风险防控对策。随着今后更多相关判例的公布，网络服务提供者在公民个人信息保护中的刑事责任将进一步以司法实践的形式明确，也会为相关企业和个人提供行为指引。

［1］鲁春雅.网络服务提供者侵权责任的类型化解读［J］.政治与法律，2011（4）.

［2］敬力嘉.论拒不履行网络安全管理义务罪——以网络中介服务者的刑事责任为中心展开［J］.政治与法律，2017（1）.

［3］徐日丹.详解徐玉玉案：“黑客”杜天禹是谁？死因成庭审最大争议点［EB/OL］.（2017－06－28）［2017－09－03］.http：//news.jcrb.com/jszx/201706/t20170628_1770331.html.

［4］中华人民共和国最高人民检察院.侵犯公民个人信息犯罪典型案例［EB/OL］.（2017－05－16）［2017－09－04］.http：//www.spp.gov.cn/xwfbh/wsfbt/201705/t20170516_190645_1.shtml.

［5］于冲.网络犯罪罪名体系的立法完善与发展思路：从97年刑法到《刑法修正案（九）草案》［J］.中国政法大学学报，2015（4）.

［6］张明楷.论帮助信息网络犯罪活动罪［J］.政治与法律，2016（2）.

［7］周光权.网络服务商的刑事责任范围［J］.中国法律评论，2015（2）.

［8］松宫孝明.结果反（无）价值论［J］.张小宁，译.法学，2013（7）.

［9］中国人大网.法工委解读《刑法修正案（九）》涉网络条款［EB/OL］.（2015－11－18）［2017－09－04］.http：//www.npc.gov.cn/npc/fzgzwyh/2015－11/18/content_1952070.htm.

［10］涂龙科.网络服务提供者的刑事责任模式及其关系辨析［J］.政治与法律，2016（4）.

［11］陈兴良.刑法分则规定之明知：以表现犯为解释进路［J］.法学家，2013（3）.