网络服务提供商涉“帮信罪”风险的规范认定及合规建设

□ 曹 波，李沁尧

（贵州大学 法学院，贵州 贵阳 550025）

互联网的高速发展使网络信息技术不断融入公众生活的各个方面，但是利用网络信息技术实施犯罪的行为也随之而来。为此，《中华人民共和国刑法修正案（九）》（以下简称《刑法修正案（九）》）新增设帮助信息网络犯罪活动罪（以下简称“帮信罪”）用以规制为网络犯罪活动提供帮助的行为，拓展打击网络犯罪的范围，严密网络刑事法网。本文力图通过对“帮信罪”中“明知”“犯罪”“情节严重”等构成要素进行教义学诠释，针对网络帮助这一特殊情形建立科学高效的刑事合规制度，以期减少网络服务提供商陷入被刑事追责困境的可能性。

一、适用现状：“帮信罪”司法适用的整体态势

近年来，各种传统犯罪日益向互联网迁移，网络犯罪呈高发多发态势，严重危害国家安全、社会秩序和人民群众合法权益。基于网络犯罪帮助行为的新型化、独立化，《刑法修正案（九）》新增设“帮信罪”用以规制网络犯罪的延伸行为和边缘行为。以2015年11月1日—2021年7月31日为区间，笔者在“中国裁判文书网”上以“刑事案由”“帮助信息网络犯罪活动罪”“判决书”为关键词检索出8425篇生效文书，占同一期间全部刑事案件判决书 （4840615篇） 的0．1740%，占全部妨害社会管理秩序罪判决书（952085篇）的0．8849%，占全部扰乱社会秩序罪判决书（268781篇）的3．1345%。其中最早的是河南省新安县人民法院于2016年12月1日判决的郭某帮助犯罪分子逃避处罚案件 ［河南省新安县人民法院（2016）豫0323刑初304号刑事判决书］；最晚的是湖南省临武县人民法院于2021年7月27日判决的谢某洁帮助信息网络犯一审案件［湖南省临武县人民法院（2021）湘1025刑初105号刑事判决书］。

从“帮信罪”司法适用情况来看，2016年有3件，2017年有10件，2018年有22件，2019年有86件，2020年有2532件，2021年有5769件（见下图）。2019年11月1日，最高人民法院、最高人民检察院发布《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称《帮信案件适用法律解释》），其中第十一条、第十二条、第十三条对罪状中相关术语认定作出了明确回应，激活了“帮信罪”在司法实务中的适用。2020年10月10日，国务院召开打击治理电信网络新型违法犯罪工作部际联席会，决定在全国范围内开展“断卡”行动。自“断卡”行动开展以来，帮助信息网络犯罪活动案件呈井喷式增长。

从法律规定来看，“帮信罪”一般处三年以下有期徒刑或者拘役，并处或者单处罚金。按照《中华人民共和国刑事诉讼法》的相关规则，法定最高刑为三年有期徒刑罪行属于《中华人民共和国刑法》（以下简称《刑法》）中的轻罪，一般由基层人民法院一审、中级人民法院二审。根据“帮信罪”各级人民法院裁判数量可知，基层人民法院判决书共8398篇，占全部裁判案件的99．6795%，说明基层人民法院是判决“帮信罪”的绝对力量（见下表）。

从整体判决情况来看，除规制个人为牟取非法利益而将其办理的电话卡、银行卡等提供给他人用于支付结算的行为外，“帮信罪”多用于打击网络服务提供商提供的网络帮助行为。如厦门珝羽互联网科技有限公司为他人用以实施诈骗的行为提供广告推广业务成立帮助信息网络犯罪活动罪案［山东省平原县人民法院（2017）鲁1426刑初77号刑事判决书］，判处罚金人民币三十万元；武汉旭文信息科技有限公司、余某文等帮助信息网络犯罪活动罪案［江苏省无锡市锡山区（市）人民法院（2018）苏0205刑初537号刑事判决书］，判处罚金人民币三十五万元；湖北千千兆网络科技发展有限公司、姜某等帮助信息网络犯罪活动罪案［湖北省仙桃市人民法院（2020）鄂9004刑初273号刑事判决书］，判处罚金人民币三万元。目前，网络服务提供商潜在的刑事风险正逐渐增加，将成为“帮信罪”高频适用的对象。

二、罪名诠释：“帮信罪”的教义学展开

《刑法修正案（九）》增设“帮信罪”将“明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的”行为立法犯罪化。“帮信罪”的构成要件虽然没有明确指明用以规制提供网络服务的企业，但是其描述“为其犯罪提供互联网接入、服务器托管、网络储存、通讯传输等技术支持”的罪状却与网络服务提供商存在密切联系。有学者认为，“帮信罪”是专门针对网络服务提供商而设置的。简言之，作为网络参与者的网络服务提供商，其提供网络服务时需要运用网络接入、储存、信息传输等技术手段，此罪无疑为追究网络服务提供商的刑事责任提供了一种新的潜在可能性。

（一）“明知他人利用信息网络实施犯罪”中“明知”的认定规则

《刑法》第二百八十七条之二将“明知他人利用信息网络实施犯罪”规定置于本罪罪状的最前端，表明了“明知”在认定“帮信罪”中的前提性和重要性，也明确了帮助者对被帮助者所从事的犯罪行为是否“明知”成为区分罪与非罪、此罪与彼罪的重要标准。司法实践中，为信息网络犯罪提供技术支持、广告推广等帮助者多数是网络服务提供商。因而，为了保障网络经营者的合法权利、促进网络技术的发展，在认定网络服务提供商的主观明知时必须慎重。本罪主观上的“明知”所对应的具体内容是“他人利用信息网络实施犯罪”，这一内容应属于客观要素，即首先实际存在他人利用信息网络实施犯罪，若不认定为客观要素，则会处罚实际正犯（被帮助者）尚未实施犯罪行为时的帮助者，容易不当扩大刑事犯罪圈。

具体而言，对于“明知”的内容主要有三种不同观点：第一种观点认为，应将广义的违法行为纳入“明知”范围之内，只要帮助者认识到他人将要实施的是网络违法行为；第二种观点主张认识到具有刑事违法可能性的行为即可，即具有满足符合刑法分则规定的构成要件的行为；第三种观点认为，应严格限制为犯罪，达到刑法定罪量刑处罚的行为。笔者认为，采取第一种观点将扩大打击网络服务行为的范围，刑法应当对产生社会危害性的行为予以规制，当被帮助者实施的行为未达到刑法规制的程度，要求帮助者广泛注意仅具有违法性的行为是不合理的。而第三种观点要求帮助者认识到被帮助行为成立犯罪（能被刑法定罪量刑的行为），无疑提高了对帮助者刑法知识的能力要求，实际上一般人很难对犯罪行为作出准确认定。为此，应采取第二种观点，帮助者达到一般人的认知水平，从一般人角度认识到被帮助者将实施的行为是比违法程度更深的行为，且实际上该被帮助的行为符合刑法分则构成要件的规定，就应认定其在构成此罪上具有“明知”。有学者认为，认识规范的构成要件要素事实时，要以社会通常的观念作为基础，不以专家认识的程度作为必要，只要一般人通常能够认识到就已足够。此外，“明知”沿用司法解释的观点应包含“知道”或“应当知道”，上述已论及关于认识因素的事实内容，原则上不要求帮助者具有明确的定性认知，只需具备概括的认识。从帮助犯正犯化的视角，承认“帮信罪”“明知”的独立性，不依赖于实行行为人的意思联络，对具体罪名主观上的认识偏差不阻碍“帮信罪”的成立。为此，应当要求帮助者具有一定程度的认识或者概括性的认识，而无需达到清楚明确的程度，因为网络犯罪活动中帮助者与被帮助者之间不存在事前意思联络。帮助者不会清楚了解且也不会关心被帮助者所将实施的不法行为，二者之间不属于共同实施犯罪的主观故意，否则二者将成立被帮助者实施的共同犯罪，而不以“帮信罪”论处。详言之，“明知”中的“知道”是一种确定性的明知，可称“确证明知”；“应当知道”是一种推定意义上的“明知”，不应包括过失意义上的应当知道，可概括为“推定明知”。“确证明知”方式就是根据有效的、显见的事实，认定行为人主观上的“明知”；“推定明知”是一种通过证据证明进行事实认定的方法。

（二）“明知他人利用信息网络实施犯罪”中“犯罪”的实质内涵

“帮信罪”将可罚的帮助行为纳入刑法规制范围，设置较低的入罪标准，且减轻以往网络犯罪处罚帮助行为的主观犯意证明难度（即不要求双方存在犯罪意思联络），彰显了我国对于网络犯罪全链条的严惩立场。“帮信罪”成立的前提是“明知他人利用信息网络实施犯罪”，那么是否一定要求被帮助行为构成犯罪（满足刑法定罪量刑的认定），则“犯罪”的认定意义重大。共犯从属性理论要求狭义共犯（帮助犯、教唆犯）的成立必须以正犯成立为前提。“帮信罪”的罪状描述凸显此罪实行行为具有帮助的性质，正因帮助行为促进了法益侵害，从而此罪以处罚帮助犯为目的，属于帮助犯正犯化。实践中，“帮信罪”仍存在罪名适用过宽的质疑，罪状中被帮助的“犯罪”实际认定中应采取限缩解释。对于网络帮助行为以“帮信罪”起诉时，理应对被帮助行为进行严格的犯罪行为认定。按照罪刑法定的基本原则，“犯罪”不仅要求是刑法规定的类型，还应符合刑法分则罪名的罪量要求，若不要求罪量要素，那么“犯罪”一词就可能成为在治安处罚意义上的违法行为。

（三）罪状规定中“情节严重”的具体标准

三、应对动因：网络服务提供商刑事合规建设的当代价值

（一）帮助网络服务提供商减少刑事风险，建立起抵御潜在犯罪危险的“防火墙”

《刑法修正案（九）》增设三个纯正的网络犯罪罪名：“帮信罪”、拒不履行信息网络安全管理义务罪、非法利用信息网络罪，明确单位可以成为本罪规制的犯罪主体，这意味着国家已将管控和监督网络服务提供商作为互联网治理的重心。根据德国刑事合规专家Thomas Rotsch的界定，“刑事合规包括事前及事后的规范性、制度性和技术性的措施。通过此种措施，企业可以降低违法犯罪的风险，兼而在企业被追究刑事责任时可获得刑罚的减轻或免除。”换言之，刑事合规建设是针对企业在刑事领域方面作合规规范，对企业即将面临的刑事风险提出有效的防控措施或针对正在面临的企业刑事案件采取有效的措施，减少企业的损失。

（二）提高网络服务提供商整体法律意识，形成企业可持续发展的“护身符”

互联网设立初衷在于信息的分享和数据的传递，网络服务提供商所从事的网络技术开发和应用、信息数据处理、平台推广交流等业务行为都离不开网络空间，使其难免成为信息网络犯罪活动的主要推手，如网络诈骗、侵犯公民个人信息、掩饰、隐瞒犯罪所得等犯罪活动都依赖于网络服务技术。为此，网络服务提供商刑事责任风险防范的问题逐渐得到关注，引导其积极主动应对刑事风险成为必须关注的议题。通过促进企业刑事合规来防范刑事法律风险，可以保障企业的可持续发展。刑事合规建设将在网络服务提供商内部形成一项治理机制，使其员工能够积极学习合规制度内容、规范履行岗位义务，使整个企业从上到下形成依法经营、合法赢利的企业文化。

（三）减少犯罪带来的损害，刑事合规成为企业的“免死牌”

通过在企业内部引进刑事合规的方式推动企业建立一套旨在预防和发现犯罪行为的内部措施，对企业各个经营环节和经营人员进行防控，既可以定期培训企业员工（法定代表人、财务人员、技术人员等），提高其对法律风险的防范意识，也可以成立专门刑事合规部门，定期对企业进行尽职调查和筛选评估，审查企业中可能存在的刑事风险，提出实质性解决方案。此外，建立刑事合规体系的企业，在因涉嫌犯罪而被卷入刑事诉讼过程中，可以获得不起诉、从轻或减轻处罚等实体权利，甚至可以作为涉案企业进行无罪抗辩的理由。2020年，深圳、浙江、江苏、上海等地基层检察机关积极探索，刑事合规不起诉在全国迅速铺开。2021年，企业合规改革试点工作“渐入佳境”，试点范围进一步扩大。可见，企业刑事合规既可以预防违法犯罪行为，减少企业出现不法行为的可能性，使企业日常经营活动符合刑事法律法规，也可以产生实体的法律效果，当企业涉嫌犯罪时可获得不起诉或从宽处罚的机会。

四、建议方案：化解网络服务提供商刑事风险的合规建设

（一）逐渐规范并细化经营行为，加强对被服务方的审查

网络服务提供商是预防刑事风险的直接行动方，也是直接受益方。网络服务提供商需要在内部制定有效的合规计划和标准化制度，有侧重地对被服务方的所有网络行为进行监管、审查。对于“帮信罪”中“明知”（知道或应当知道）的认定，网络服务提供商需对企业员工建立明确的行为要求制度条款。对于“帮信罪”中“知道”的认定，则意味着企业员工明确知道被服务方将可能实施犯罪，则不能为其提供网络服务。如果他人要求为其提供广告推广而内容涉嫌卖淫嫖娼、诈骗或明知技术支持的对象是非法集资、诈骗、传播盗版信息等时，企业员工都应及时予以拒绝；当接到相关监管部门通知以及有关人员举报其提供的网络技术服务正在被用以实施犯罪活动时，网络服务提供商应属于已认识到其行为正在为被帮助者提供确定的帮助，此时日常业务行为必然对网络犯罪活动产生加功作用，则应采取删除相关犯罪信息、撤销对被帮助行为的服务等措施，否则将具备帮助实施网络犯罪的直接故意，可能构成不作为的“帮信罪”。因此，网络服务提供商在提供网络技术服务时需要承担一定的事后监管义务。同时，要重视对被服务方借助网络服务实施的业务行为的合法性审查。因为成立“帮信罪”客观上所要求的“技术支持”是针对“他人的犯罪”，若发现被服务方存在犯罪的可能（具有刑事违法可能性），应当及时与之沟通，暂停有关网络服务，将检测到的违法犯罪情形向其说明，要求尽快作出解释、答复与整改，避免网络服务提供商自身陷入为网络犯罪活动提供帮助的刑事风险。

（二）增强企业人员法律意识，设置专门刑事合规部门

一方面，制定关于员工行为的业务管理制度规范，通过明文规定指引员工行为，合法合规参与企业经营管理活动。同时，积极引导企业各部门人员了解与网络服务提供商经营有关的各项规定，提高企业人员法律意识，将刑事合规制度有效内化为企业文化的一部分。实践中，网络服务提供商的日常经营行为与网络犯罪活动的帮助行为具有高度重合性。若被帮助者将网络服务提供商按照法律法规和合法公司章程所进行的正常经营行为用于实施网络犯罪，未造成严重后果或未产生严重危险，则网络服务提供商不应被刑法规制；造成严重后果，网络服务提供商在其正常经营的范畴内尽到了应有的注意义务，能够说明不法风险的发生不是由其行为实现的，其行为与法益侵害之间没有关联，则也不应受到刑事处罚。另一方面，设置专门刑事合规部门。专门刑事合规部门应当管理与刑事合规有关的所有问题，从制度、人员、技术等方面都应被纳入其刑事合规工作内容。首先，有关刑事合规制度的制定、评估、实施、修改、废止等应由专门刑事合规部门主持和决定，或同其他有关部门和人员商议，实现专人专事、有效运作。其次，刑事合规部门要对相关人员的招聘、培训、监督等环节严格把关，不断向员工普及企业的合规政策和标准，定期组织合规学习培训。同时，合规培训应当遵循持续性原则、适当性原则、有效性原则、可追溯性原则和重要性原则。最后，细化对信息网络技术的规范，网络服务的帮助行为根据法律规定分为两类：一类是互联网接入、网络存储、通讯传输等技术支持，另一类是提供广告推广、支付结算等帮助行为。前者中接入和传输网络服务不涉及网络内容的选择和审查，存储服务只是提供了存放空间，通讯传输则是日常生活行为，那么对这类网络服务技术的监管应着重关注如何避免认定为“帮信罪”中的“明知”。后者是进行广告推广、支付结算之类行为，这些行为具有选择、传播的能力，能够对被帮助行为起到促进实现危险的作用。因此，这类技术行为应当实行更严格的控制和更有力的监管，因为一定程度上后者的帮助行为所能增加的被帮助者行为创设的不被法律所容忍的风险要比前者要大。

（三）建立完整的风险管理体系，加强不定期筛选和评估

基于我国对犯罪认定要求定性与定量结合的模式，网络服务提供商需要针对“帮信罪”中“情节严重”的规定制定刑事合规条款，不定期筛选和评估企业经营过程中是否出现以上规定的情形。如对网络服务对象行为进行评估时，已经出现三个或三个以上的服务对象可能存在违法犯罪行为，则应立即采取技术措施，停止对其提供网络服务，或者筛选出为其提供支付结算业务的被服务方存在刑事风险、涉及不当交易等情况，且支付结算金额将大于二十万元或是企业所得利益超过一万元都应及时阻断服务合作行为，避免达到“帮信罪”“情节严重”的程度。此外，关注被服务方违法犯罪行为涉及的账号个数、转发次数、阅读数量等指标，将牵涉范围广泛的被服务方行为整理给专门刑事合规部门，用以评估这些被服务方实施的违法犯罪行为是否还会危及国家、社会等重大法益。除日常服务行为监管外，还应监管企业收取的业务费用金额，若明知技术客观上可以促进犯罪，又收取明显不符合行业一般标准的资费后提供了网络服务的，可以认定对帮助网络犯罪具有主观的明知，此时不属于企业无差别提供网络服务业务行为，具有帮助的故意，那么与这些收费有关的企业网络服务提供行为具有刑事风险，应及时终止与这些被服务方的网络服务合作，将所涉企业员工进行惩戒，追究有关人员责任。