多重法律属性视野下网络账号的刑法保护

陈婧旖

(中国政法大学 刑事司法学院，北京 100080)

一、问题的提出

随着计算机技术和信息网络的发展，尤其是网络空间化时代的到来，网络社会与现实社会并存的“双层社会”成为了新的社会形态[1]，网络渗透进人们生活的方方面面，网络平台应运而生，为人们提供便捷、丰富的网络服务。网络账号是用户进入网络空间、接受网络服务的身份凭证，包括账号和对应的密码。网络的超时空特性使网络犯罪不再受制于时间、地点，网络犯罪的成本、难度降低，网络账号受侵害的风险急剧增加，同时网络犯罪具有无限延展的可能性，侵犯网络账号的危害后果无限展开，产生巨大的社会危害性[2]，严重危及网络安全和用户的人身、财产安全，加强网络账号的法律保护势在必行。

网络时代，法律的滞后性显得尤为突出。技术的更新升级导致犯罪的迭代异化，传统刑法在适用时出现障碍。网络账号是信息时代的产物，能否适用传统罪名以及适用何种罪名对其进行保护，在司法实践和刑法理论中都产生了分歧。

二、我国现有刑法体系下网络账号法律属性的认定

刑法打击侵犯网络账号的行为时，认定网络账号的法律属性是首要问题。但是目前对网络账号的法律属性并没有统一的认定标准，主要有以下三种观点：

(一)数据说

“数据是指通过计算机技术在互联网上收集、储存、传输、处理和产生的各种电子代码。”[3]据说从网络账号的自然属性出发，认为网络账号是以二进制代码的形式生成、运行、存储于计算机或其他网络终端中的电磁记录。数据是网络账号的载体和物理属性，侵犯网络账号的行为实际上表现为对电子数据的非法获取、删除、增加、修改、移动等，因此数据才应该是法律规制的直接对象[4]。

(二)财物说

我国《民法》中物权客体不限于有体物，包括动产、不动产和权利，并且《民法典》第二百五十二条规定“无线电频谱资源属于国家所有，”肯定了无形财产的物权客体地位。基于民刑一体理论，刑法中的财物也不应局限于有体物，将无形财产纳入刑法保护范围符合立法和司法实践，例如我国《刑法》第二百六十五条将财产性利益作为盗窃罪的对象，盗接通信线路、复制电信码号、使用盗接复制的电信设备设施以盗窃罪处罚。因此对刑法中的财物应该做广义的理解，包括有体物、无体物和财产性利益[5]。网络账号虽然以数据形式存在于虚拟空间中，不属于有体物，但只要符合财物的特征就属于广义上的财物。

张明楷认为财物必须具备三个特征：“第一，管理可能性；第二，转移可能性；第三，价值性，包括使用价值(主观价值)和交换价值(客观价值)，只有既无客观价值也无主观价值的物才不属于财产罪的对象。”[6]同时，刘明祥强调财物必须具有经济价值，并且其经济价值能够以客观的价值尺度进行衡量，主要通过市场关系来体现[7]。财物如果只有使用价值而无经济价值(交换价值)，其财产属性难以被社会认同，而且具有经济价值的事物必然对人们具有客观作用或者精神(感情)意义从而具有使用价值，因此管理可能性、转移可能性、经济价值性是财物的必要特性。网络账号具有管理可能性和转移可能性，用户通过账号密码占有控制网络账号；行为人通过获得账号密码或者采取技术手段突破计算机系统的安全保障程序等方式控制并转移网络账号。主要从网络账号的价值性论证其是否属于刑法中的财物，产生了否定说与肯定说的分歧。

1.否定说

否定说认为需要支付一定金钱或者花费大量时间注册的网络账号，具有价值性，属于财物；普通的网络账号虽然具有管理可能性和转移可能性，但是不具有价值性，不属于刑法中的财物[8]。

第一，根据洛克的劳动财产权理论，劳动创造价值[9]，普通网络账号的注册程序十分简单，用户按照网络平台的预设流程填写信息，不需要投入大量的时间和精力，即没有投入可以产生价值的个人劳动，网络账号不具有价值。

第二，网络账号不具有经济价值。首先，网络服务提供商可以随意创建网络账号而不需要支出成本，网络账号不具有稀缺性；普通的网络账号是由用户免费注册获得，本身并没有经济价值。其次，网络账号与现实世界的货币没有形成稳定的兑换关系，无法以货币衡量其价值。网络账号不具有传统财物在占有、使用上的排他性，用户对网络账号只有使用权而无所有权，受网络服务提供商的限制也无法自由交易。如腾讯《QQ号码规则》规定：“腾讯根据本规则对QQ号码的使用授权，仅限于初始申请注册人。未经腾讯许可，初始申请注册人不得赠与、借用、租用、转让或售卖QQ号码或者以其他方式许可其他主体使用QQ号码。”

第三，刑法并没有规定网络账号是财物，根据罪刑法定原则，不能将其作为财产犯罪的对象。《刑法》第九十二条对公民私人所有财产规定：“依法归个人所有的股份、股票、债券和其他财产”。应该将“其他财产”解释为与股份、股票、债券具有相同或类似性质的事物，网络账号明显不具有有价证券的性质，不属于第九十二条规定的“其他财产”，如果将其解释为财物属于类推解释，违反罪刑法定原则。

第四，网络账号被侵犯，最直接的不利影响是用户丧失了账号的操作权限，故网络账号实质上是用户的账户操作权限，而信息工具系统中的账户操作权限不可能属于特定的财产或财产权益[10]48。

2.肯定说

肯定说认为网络账号不仅具有管理可能性、转移可能性，还具有价值性，属于刑法中的财物。

第一，网络账号凝聚了用户的个人劳动。虽然绝大多数网络账号是用户免费注册获得，但随着账号使用者不断投入时间、金钱，网络账号会产生增值，账号使用者对网络账号的投入及维护是一种产生价值的人类劳动，所以网络账号是有价值的[11]。

第二，网络账号具有经济价值。首先，网络账号具有稀缺性，用户不能无限制的申请注册网络账号，网络服务提供商也不能任意创建网络账号，需要考虑市场供求关系，遵循市场规律创建网络账号。其次，用户通过掌控账号密码排他性占有、使用网络账号，不受他人的干涉。网络服务提供商为了加强对网络账号的管理，在用户协议中明确禁止转让网络账号，但是该规定过于限制用户对网络账号的处分权，属于格式合同中限制、排除用户主要权利的条款，应归于无效(1)《中华人民共和国民法典》第四百九十七条：有下列情形之一的，该格式条款无效：(二)提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利；(三)提供格式条款一方排除对方主要权利。；法律并没有禁止网络账号的交易行为[12]，用户协议禁止转让的规定违背了网络账号交易市场的发展规律，现实中网络账号的交易行为十分普遍并且拥有巨大的交易市场，个别网络账号因自身的极度稀缺性而具有巨大的经济价值。经济价值包括合法交易的价值、非法交易的价值[13]，如法律禁止违禁品的交易，但是违禁品显然具有经济价值，属于刑法中的财物。因此即使有禁止交易的规定，也并不影响网络账号本身的财产性质。

第三，法律具有滞后性、僵化性，需要灵活解释法律文本的含义。于志刚主张对“财产、财物”进行章名和具体用语的统一解释[14]71-72。我国《刑法》主要将“财产”规定在总则部分，如没收财产，公私财产；“财物”主要作为具体犯罪的对象规定分则中：金融诈骗罪、财产犯罪、贪污贿赂犯罪、包庇类犯罪等。我国《刑法》对“财产、财物”并没有实质上的区分，基本是在相同意义上使用财产和财物。例如“侵犯财产罪”章中具体犯罪的对象几乎都是“财物”；《刑法》第六十四条将“财物、财产”混用，“犯罪分子违法所得的一切财物，应当予以追缴或者责令退赔；对被害人的合法财产，应当及时返还；违禁品和供犯罪所用的本人财物，应当予以没收。没收的财物和罚金，一律上缴国库，不得挪用和自行处理。”洗钱罪的对象是犯罪所得及其收益即财物，同时第二款规定“将财产转换为现金、金融票据、有价证券”。因此应将第九十二条的“其他财产”解释为一切具有经济价值的有体物、无体物和财产性利益，网络账号具有经济价值从而可以解释为财物。

第四，2011年《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机系统安全解释》)第七条规定：“明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权，而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒，违法所得五千元以上的，应当按照刑法第三百一十二条第一款的规定，以掩饰、隐瞒犯罪所得罪处罚。”司法实践承认了计算机信息系统的数据、控制权为犯罪所得(2)陈某等收购他人非法获取的计算机信息系统数据并出售案，《刑事审判参考》第1102号。，即财物，实际上肯定了计算机信息系统的数据、控制权具有财产属性[14]74-75。

(三)个人信息说

我国刑法对个人信息的概念并没有明确的规定，为了加强对个人信息的保护，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息解释》)第一条对个人信息进行了界定：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。该解释以可识别性作为个人信息的重要标准，“将具有身份可识别性的个人信息、可能影响人身和财产安全的‘公民个人信息’以及其他个人信息都纳入了‘公民个人信息’的范围进行保护。”[15]18其中账号密码被明确列举为公民个人信息。

《中国互联网络发展状况统计报告》显示截止2020年6月，我国网民数量突破9.40亿，庞大的网络用户群体以及网络空间身份的虚拟性、匿名性、易变性、流动性等加剧了网络管理的难度，为了维护网络空间秩序和公共安全，我国强制推行网络实名制，旨在建立网络虚拟身份和现实真实身份的对应关系[16]。《互联网用户账号名称管理规定》第七条规定：“互联网信息服务提供者应当按照‘后台实名、前台自愿’的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号。”在此背景下，用户在同一网络平台中的网络账号具有唯一性，用户注册账号时需要填写身份信息，如姓名、手机号码、电子邮箱、身份证号码、联系地址等，进行实名认证。网络账号结合注册时填写的信息可以间接识别到特定的个人，甚至一些网络账号可以直接识别到特定的个人，如支付宝账号、直播账号、经认证的微博账号等；虽然有的网络账号是通过第三方平台的账号登录，并未绑定用户的手机号码、电子邮箱等个人身份信息，无法识别到特定的个人，但是网络账号的控制权直接关联账号内数据的控制权，用户登录账号发布的文字、图片、视频、聊天记录等数据涉及用户的隐私利益等人身权益或财产权益，此时网络账号属于可能影响人身财产安全的个人信息。网络账号作为识别用户网络空间身份的数字标识，绝大部分已经具有了识别特定自然人的功能，属于具有身份可识别性的个人信息；即使不具有可识别性的网络账号也可能影响公民的人身财产安全，综上网络账号属于公民个人信息。

(四)评析

数据说和财物说都过于片面，只强调了网络账号某一方面的法律属性，不能全面反映网络账号的性质。实质上网络账号具有多重法律属性，包括数据属性、财产属性、人身属性。网络账号的人身属性主要表现在：网络账号是用户在网络空间中身份的象征，是用户人格在网络空间的延伸，用户的姓名、肖像、荣誉、名誉、隐私等人格利益集中体现在网络账号上。

公民个人信息的概念在相关法律法规和司法解释的不断扩张下拥有十分广泛的范围，兼具人身特性、经济属性、社会属性[15]20，个人信息的复杂法律属性完全可以容纳网络账号的所有法律属性。将网络账号纳入公民个人信息的范畴加以刑法保护，可以全面评价侵犯网络账号的行为，准确定罪量刑，维护用户的人身财产安全，促进网络空间秩序的良好发展。

三、网络账号的刑法保护模式

网络账号具有数据属性、财产属性和人身属性等多重法律属性,侵犯网络账号的行为可能触犯多个罪名：侵犯通信自由罪，侵犯公民个人信息罪等人身犯罪；盗窃罪、诈骗罪等财产犯罪；非法获取计算机信息系统数据罪、破坏计算机信息系统罪等网络犯罪，并由此产生了不同的刑法保护模式。

(一)公共秩序保护模式

公共秩序保护模式基于数据说，将网络账号视为计算机信息系统数据，通过非法获取计算机信息系统罪、破坏计算机信息系统罪打击侵犯网络账号的行为(3)唐兆国等盗取他人QQ号码案，江苏省南通市通州区(市)人民法院刑事判决书(2012)通刑初字第0425号。。此时，数据是作为与网络安全有关的公共秩序利益获得刑法保护[10]41。

根据《计算机系统安全解释》，非法获取计算机信息系统数据罪的对象“计算机信息系统的数据”仅限身份认证信息，而破坏计算机信息系统罪对“数据”并没有上述的限制性规定。网络账号是用户在网络空间的身份凭证，是用于确认用户在计算机信息系统上操作权限的数据，属于两罪的行为对象。

但是公共秩序保护模式存在缺陷：第一，规制范围过窄，非法获取计算机信息系统数据罪只打击以侵入等技术手段非法获取数据的行为，以技术手段之外的方式获取网络账号不在规制范围内，如行为人通过交易、欺骗、威逼利诱等方式获得网络账号。第二，法定刑当量配置不足，刑罚普遍偏轻。非法获取计算机信息系统罪只有两档量刑幅度：“情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”对于危害性巨大、罪行及其恶劣的犯罪分子难以罚当其罪，有违罪责刑一致原则，有损司法的权威性。第三，过度强调对公共秩序利益的保护，突出网络账号的数据属性、社会属性，忽视了人身属性才是最重要的法律属性，不利于正确认定危害行为的不法性质进而保护用户的人身、财产权益。网络犯罪保护的法益是公共秩序，但有的行为人针对网络账号实施犯罪侵犯的是个人法益，例如盗取特定的某个网络账号，即使行为人的违法所得数额或者被害人的经济损失数额达到情节严重标准的，此种行为也不会对公共秩序造成损害，如果将其认定为侵害公共法益的网络犯罪以保护个人法益，明显不当。“虽然大数据时代数据是众多权利在计算机系统、云端之中的载体，但是法律对数据所要保护的不仅仅是记载方式，更是以权利义务为重心的记载内容，这就要求刑法对数据的判断不能仅停留在其技术属性，而应上升至其所表征的权利内容。”[17]

(二)财产权保护模式

财产权保护模式基于财物肯定说，将网络账属性，但是不应将其纳入财产犯罪的规制范围。

从我国的刑事立法看，刑法并没有将所有具有财产属性的对象都纳入财产犯罪的规制范围。例如商业秘密具有经济价值，《刑法》在“破坏社会主义市场经济秩序罪”一章中规定了侵犯商业号视为财产犯罪的对象，对于窃取他人网络账号、出售网络账号后又以申诉途径取回等行为，以盗窃罪、诈骗罪等财产犯罪处罚。网络账号虽然具有财产秘密罪处罚侵犯商业秘密的行为；数据凝聚了人们的劳动，具有巨大的经济价值和交易需求，《刑法》专门规定了网络犯罪以保护数据；公民个人信息具有财产利益，可能影响财产安全，对窃取、非法获取、出售、提供个人信息的行为《刑法》没有以财产犯罪论处，而是在“侵犯公民人身权利、民主权利”一章中专门规定了侵犯公民个人信息罪。可见，对具有多重法律属性的对象应该以占主导地位的法律属性为标准确定保护模式和适用罪名，不能单纯以该对象具有财产属性就认定其属于财产犯罪的对象。网络账号具有复杂的法律属性，其中人身属性是其最突出、最重要的属性，财产属性、社会属性依附于人身属性发挥作用，因此以财产权保护模式规制网络账号有失妥当。

(三)隐私权保护模式

隐私权保护模式基于部分网络账号所具有的隐私属性，以侵犯通信自由罪、侵犯公民个人信息罪打击不法行为，侧重对隐私权益的保护，与隐私无关的网络账号不在刑法的保护范围之内。

1.侵犯通信自由罪

曾智峰、杨医男盗卖QQ号码案中(4)广东省深圳市南山区人民法院刑事判决书(2006)深南法刑初字第56号。，司法机关认为盗卖QQ号的行为使用户无法使用本人的QQ号与他人联系，造成侵犯他人通信自由的后果，构成侵犯通信自由罪。但是判断某不法行为是否构成犯罪，不能仅依据行为所造成的危害后果，还需要判断其他构成要件的符合性。《刑法》第二百五十二条规定隐匿、毁弃或者非法开拆他人信件，侵犯公民通信自由权利，情节严重的构成侵犯通信自由罪。本罪的行为对象是“信件”，在前网络时代，是指书信、电话、电报、传真等。网络时代产生了微信、QQ、阿里旺旺等网络通信工具，因此对“信件”也应做出与时俱进的解释。《关于维护互联网安全的决定》第四条规定：“非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密构成犯罪的，依照《刑法》有关规定定罪量刑。”该规定将“电子邮件和其他数据资料”纳入“信件”的范围，“其他数据资料”是指与电子邮件具有相同特性的通信内容，如短信、微信信息等通讯信息。网络账号本身并不属于通讯信息，将“信件”解释为网络账号超出了用语的最大文义和国民的预测可能性，有类推之嫌。

2.侵犯公民个人信息罪

狭义的个人信息是指隐私信息，具有隐私利益的网络账号属于个人信息，适用侵犯公民个人信息罪进行保护(5)孟东东购买、出售支付宝账户信息案，四川省邻水县人民法院刑事判决书(2018)川1623刑初172号。。

(1)出售、提供公民个人信息以“违反国家有关规定”为前置条件。《个人信息解释》为了应对有关个人信息保护的法律、行政法规不足的现状，将“违反国家有关规定”解释为违反法律、行政法规、部门规章。该解释的合理性是存疑的，根据罪刑法定原则，应该依据刑法条文的词义严格解释，不能因为相关的法律、行政法规不足就超越刑法条文的本来含义进行类推解释。根据历史解释，《刑法修正案(七)》规定的是“违反国家规定”，即违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令，《刑法修正案(九)》将“违反国家规定”修改为“违反国家有关规定”；根据体系解释，除了本罪的表述是“违反国家有关规定”，《刑法》涉及类似规定的罪名的表述都是“违反国家规定”，可见此处的“国家有关规定”和“国家规定”不存在实质的差异。基于刑法体系的整体统一性，“违反国家有关规定”应解释为：违反法律、行政法规有关保护个人信息的规定。有关个人信息保护的国家规定主要是《关于加强网络信息保护的决定》《网络安全法》《消费者权益保护法》和《民法典》。

在个人信息的概念界定方面，《关于加强网络信息保护的决定》《网络安全法》和《民法典》都以可识别性作为个人信息的标准(6)《关于加强网络信息保护的决定》的第一条；《网络安全法》第七十六条；《民法典》第一千零三十四条。：《个人信息解释》除了保护具有可识别性的个人信息，行踪轨迹、财产状况、账号密码等活动情况也在刑法的保护范围内。不具有可识别性的活动信息不在行政法、民法的保护范围内，出售、提供此类对象不符合“违反国家有关规定”的前置条件，无法适用刑法；但是非法获取此类对象在刑法的保护范围内，作为最后保障法的《刑法》打击范围反而更广，有违刑法的谦抑性。因此有必要统一刑法和国家规定中个人信息的概念，发挥国家规定对侵犯个人信息行为的违法审查功能，全面打击不法行为。

(2)行为方式。本罪的行为方式包括非法获取、出售、提供行为。《关于加强网络信息保护的决定》和《网络安全法》对侵犯个人信息的违法行为做了规范化、类型化的规定：禁止一般主体非法获取、出售、提供个人信息；禁止特殊主体(网络运营商或网络服务提供商、有关主管部门及其工作人员)非法收集和使用、泄露、篡改、毁损行为。《民法典》规定个人信息的处理行为包括收集、存储、使用、加工、传输、提供、公开等。

法律、行政法规中规定了更广泛的侵犯个人信息的行为方式，除了非法获取、出售、提供行为，还包括非法存储、使用、加工等数据持有、处理行为，此类行为社会危害性巨大、具有刑事可罚性，刑法有必要将其纳入规制范围对其进行打击。

网络服务提供商等特殊主体往往掌握海量的个人信息，一旦实施篡改、毁损、使用个人信息等行为将造成巨大的危害后果，损害个人信息的完整性、保密性、可靠性，因此有必要将其纳入刑法的规制范围并加大惩治力度，如规定更重的刑罚或降低入罪门槛。尽管部分网络服务提供者实施此类行为可以构成拒不履行信息网络安全管理义务罪，但是拒不履行信息网络安全管理义务罪只有一档法定刑“三年以下有期徒刑、拘役或者管制，并处或者单处罚金”，而本罪有两档法定刑，网络服务提供者实施侵犯个人信息的行为社会危害性明显高于一般主体实施的相同行为，如果以拒不履行信息网络安全管理义务罪进行评价就会导致其刑罚轻于一般主体，有失妥当。

3.隐私权保护模式的缺陷

隐私权模式不能适应网络时代下个人信息的保护需求，隐私权保护模式侧重保护人身利益中的隐私权，对具有多重法律属性的网络账号无法进行全面保护。第一，《民法典》《网络安全法》等法律和相关司法解释中对“个人信息”的规定,都超出了隐私的范畴,网络账号并非都具有隐私利益，除了涉及隐私权益的敏感网络账号还包括一般网络账号，隐私权模式无法有效保护不涉及隐私利益的一般网络账号。此外“隐私”的概念也十分模糊，缺乏明确的认定标准。第二，隐私权保护模式强调对网络账号的绝对保护，在权利受侵害或现实的侵害威胁时才能获得救济，并且不直接保护经济利益。网络账号兼具消极防御功能和积极使用功能，基于信息自决权，用户可以积极利用自己的网络账号获取经济利益，隐私权保护模式忽视了网络账号不同于一般的人格权或者人身性权益，在人格权之外确实承载着巨大的财产性利益[15]21。第三，《民法典》在新增的人格权编中规定了隐私权和个人信息保护专章，将个人信息作为人格权的客体，但是并未采取隐私权保护模式，而是明确区分隐私和个人信息，将两者规定在不同的条文中，为了实现法律体系的统一，在个人信息保护方面，刑法和民法需要保持一致，将个人信息与隐私区分，采取新的保护模式。

(四)个人信息权保护模式的提倡

基于广义的个人信息说，个人信息包括具有可识别性的个人信息和可能影响人身、财产安全的个人信息，网络账号属于《刑法》中的个人信息，兼具人格权和财产权，同时是社会管理的工具，具有社会属性，其中最重要的法律属性是人身属性，财产属性、社会属性依附于人身属性。因此对网络账号的保护必须立足于其个人信息的本质，以人身属性为主，兼顾财产属性和社会属性。我国刑法单纯将网络账号以数据权、财产权或隐私权加以保护都有失妥当，因此为了实现对网络账号的全面保护，有必要探索新的刑法保护模式。

于志刚提出了个人信息权保护模式，采取保护与利用并重原则，对网络账号的人身权益和财产权益进行统一的保护。根据个人信息权保护模式，权利人对网络账号享有积极使用并许可他人使用的权利和消极防御他人侵害的权利，兼具人格权与财产权[18]。网络账号的保护模式应当从单纯的事后消极防御转变为事前积极控制与事后消极防御并重，增强权利主体对网络账号的控制权以实现对网络账号的保护和利用，赋予权利主体更广泛的个人信息权，包括知情同意权、信息报酬请求权、利用权、反对权、查询权、更正权、删除权、被遗忘权等[19]。个人信息权保护模式以侵犯公民个人信息罪作为保护网络账号的主要罪名，但是有必要克服该罪名的不足之处。

网络账号对个人、企业、国家都具有十分重要的意义：网络账号是用户享受网络服务、参与网络生活的基础，是用户网络空间的身份识别凭证，承载了人身权利和财产权利；网络账号具有商业价值，已注册的网络账号是企业的重要财产，也是评价企业市值的重要依据；网络账号具有公共管理价值，国家和企业通过管理网络账号维护社会秩序，也为国家的政策制定、公共服务提供、民意调查等提供依据。因此在个人信息权保护模式的基础上，对网络账号应采取双重规制模式[20]，对网络账号权利主体侧重设立保护机制，赋予其个人信息权；对网络安全管理主体侧重设立义务机制，在网络管理权限范围内承担保护网络账号、维护网络空间秩序的义务。网络共治模式下，国家、企业共同承担网络安全管理义务，国家主要通过制定实施法律法规、政策以及打击违反犯罪行为履行网络安全管理义务；企业在其业务范围内承担对应的网络安全管理义务。用户希望企业不断提高技术标准以保护网络账号安全，但是对企业而言这意味着技术难度、运营成本的增加,可能导致企业选择可规避的路径[21]，因此企业承担的网络安全管理义务应该以其业务范围、履行义务的能力为限。同时，企业强调网络安全利益优于用户个人利益，为了维护关键法益可以牺牲用户个人利益，如通过采集分析登录设备信息、登录地点、行为习惯等数据判断账号是否异常进而维护网络安全。企业、国家的网络管理权限并不是无限制的，需要明确网络管理权限与个人信息权的界限，实现企业、国家管理网络账号的公共利益和用户保护、利用网络账号的个人利益之间的平衡。

结 语

网络账号作为个人信息具有人身属性、财产属性、社会属性等多重法律属性，为了避免公共秩序保护模式、财产权保护模式和隐私权保护模式的缺陷，实现对网络账号的全面保护和管理，有必要采取个人信息权保护模式，在保护和利用网络账号的同时，国家和企业应当履行网络安全管理义务。

对网络账号的保护也不能只依靠刑法，需要与民法、行政法等其他部门法合作，促进行刑衔接、民刑衔接，构建一个全方位、多层次的网络账号保护体系，统一法律上个人信息的概念，对非法获取、持有、处理、出售提供、利用网络账号的不法行为实现全链条的打击，维护社会秩序；重视民法、行政法等部门法保护个人信息的基础性功能，发挥刑法最后保障法的作用，对于严重侵犯个人信息的行为，其他部门法无法有效评价的，适用刑法进行规制。