信息网络安全管理义务的刑法规制：理念与适用

□杨智宇，张庆元

（1.武汉大学 法学院，湖北 武汉 430072；2.广东省社会科学院 法学所，广东 广州 510635）

信息网络技术的不断发展催生出新的网络服务类型，以ISP（网络服务提供者）为代表的平台运营商打破了传统的、直接为广大用户群体提供互联网信息接入、信息服务和增值服务的ICP（网络内容提供者）服务模式，而将内容服务转变为平台服务，即自身并不创造内容，仅为内容提供者与其他互联网使用者提供中介服务。这种网络社会下形成的新的社会结构没有改变社会形态的具体内容，仍然需要得到法律规制。但由于网络服务提供者并不直接提供内容服务，难以进行刑事归责，这也是在网络社会的当下全世界共同面对的难题——网络运营商对于第三方通过滥用网络的方式提供非法和有害内容应当承担怎样的责任。

我国是互联网技术发展较为成熟的国家，网络社会的成长和进步必须依靠制度化、法治化方能得以全面有序推进。立法机关早已意识到网络服务提供者就其网络安全监管行为需要得到法律的规制，在民事法律、知识产权法律中都有相关立法，但是刑事立法却一直缺位。因此在《刑法修正案（九）》的立法过程中对网络服务提供者的刑法规制采用对网络安全监管行为赋予刑事义务的方法，因此设置了《刑法》第286条之一的拒不履行信息网络安全管理义务罪。在此后的2019年11月，《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称“2019年《网络犯罪解释》”）的出台也对相关犯罪的法律适用问题予以更加具体的规定。

虽然通过上述刑事立法和司法解释表明我国对网络服务提供者的刑法责任规定已经十分详细，但实践中其使用率却很低，也存在一些适用问题，不免使人对罪名的具体效用产生怀疑。这种现象不得不让我们反思，以惩处不履行或怠于履行信息网络安全管理义务的罪名为何会出现此类问题。本文试图从信息网络安全管理义务的立法目的入手，通过分析该义务在刑法中规制的问题，以厘清信息网络安全管理义务的刑法规制路径。

一、信息网络安全管理义务刑法规制的理念

（一）信息网络安全的刑法保护需要

新的技术模式也需要在法律的护航下进行，现代信息法的首要任务就是新技术的发展要符合有效的法律。但当网络服务提供者并非直接参与犯罪而仅仅提供平台服务时，放任违法信息的传播、怠于积极有效的管理亦具有较为严重的社会危害。既有的刑法规定无法对这种行为进行规制。因此，对网络服务提供者的刑法规制有必要采用新设立法的方式进行，在适当程度内扩张犯罪圈的范围。

1.网络技术与网络犯罪的发展。网络环境具有相对特殊性，网络的发展彻底改变了人类的生存空间与生存方式，与此相对的网络犯罪表现形式也异于传统犯罪，更为甚者例如恐怖分子利用网络形式扩大了恐怖信息传播、利用网络策划恐怖袭击、筹措资金，乃至于直接利用网络形式实施恐怖攻击，造成了极为恶劣的影响，因此应当采用不同于普通犯罪的刑事治理模式。针对网络犯罪的治理，各国立法在一定程度上都偏离了危害原则，出现了刑事立法扩大化的趋势，在我国也不例外。具体来说，一方面，大量新型网络犯罪刑事案件的出现催生通过刑法犯罪圈的完善对其治理的需要。例如近年兴起的网络平台上出现了多起行为人利用网络平台进行犯罪活动的案件，造成了较为恶劣的社会影响。但在这些案件中，除了具体犯罪行为所具有的社会危害之外，网络服务提供者怠于对此进行积极管理的行为也是相关案件发生的重要原因之一。另一方面，当下刑法治理理念有所转变。通常刑法仅仅对其他法律规范尚且无法规制的行为进行治理，是社会治理的最后手段，但是现阶段出现大量刑法条文对社会问题的治理提前介入，不再固守“最后手段性”。对于网络犯罪来说，此类犯罪具有传播广、后果难以控制等特点，对此进行治理如果仍然保持事后法的姿态，在发生十分严重后果时予以规制可能为时已晚、风险较大。尤其是近年来网络犯罪呈上升趋势，各种传统犯罪日益向互联网迁移。因此，维护网络安全的相关法律尤其是刑事法律亟待完善立法，形成全面、成熟的网络犯罪刑事治理体系。

2.平台服务刑法规制的特殊性。基于治理网络犯罪的需要与网络服务提供者的技术能力，国家认为对平台服务进行刑法规制有助于减少网络犯罪的发生。但与积极作为型网络犯罪不同的是，行为人基于网络平台服务所实施的犯罪只是借助平台企业的资源，平台企业并非犯罪参与者。因此，对平台企业的刑事治理应当采用不同于直接设置禁止性规定的方法。对此立法者不但需要将处罚提前，还将避免危害结果发生的监管责任部分分配给网络服务提供者，对其监管责任设置刑事作为义务。事实上这种做法并没有超越网络服务提供者对刑事义务的作为可能性，网络服务提供者在提供平台服务时对自己管理的领域具有较高的理解力和控制力，处于强势地位。而当下刑事立法中设立不作为犯的模式也是立法者面对风险防控下更为青睐的选择。综上，刑事立法设置了以不作为犯模式规制网络服务提供者的管理义务符合国家、社会现实需要与平台企业所具有的技术管理能力现实。

（二）不作为犯式刑事立法的治理理念

在网络时代应对新型犯罪形态，如不能对既有条文进行扩大解释，则有必要修改或新设相关的法律条文。对网络服务提供者应当负担的平台责任而言，对于新型的犯罪治理需要只能通过新设犯罪的方式，在《刑法修正案（九）》中对于网络服务提供者的信息网络安全管理义务的刑事治理体现为增设拒不履行信息网络安全管理义务罪。但作为新增的不作为犯立法，在扩张犯罪圈的同时也意味着增加相关主体的作为义务。分配的责任都应取决于现有的能力和可能付出的代价，对于行为主体增设刑法义务应当慎重，以保持入罪必要性和人权保障之间的平衡。

1.犯罪圈扩张的要求。对于作为提供平台的网络服务提供者来说，对其刑事治理需要采取新的形式。在我国立法中，对此的刑事治理表现为增设拒不履行信息网络安全管理义务罪，该罪名的设置被认为是增加了网络服务提供者的对于信息网络安全的刑事管理义务，是立法的必要扩张。同时，任何刑事立法引发的犯罪圈扩张都应当达到一个平衡的状态。对于网络服务提供者的刑事作为义务来说，需在公民言论自由、互联网技术发展与被害人权利保护三者之间保持平衡。立法扩张加重了网络服务提供者的刑事义务，也需要对这种扩张进行一定限制，这种扩张与限缩的平衡反映了现代民主法治国家一直面临的安全与自由之间的张力。

2.国家主导、企业代为管理的思路。对于立法正当性，以拒不履行信息网络安全管理义务罪为代表的新设不作为犯立法面临着不作为犯义务来源的问题，即作为犯罪主体的网络服务提供者是违反了何种刑事义务。

从根本上说，义务来自责任。那么，信息网络安全管理义务对网络服务提供者要求的责任就是对网络平台安全、合法、稳定运行的监管责任。有观点认为，这种责任的主体属于国家与网络服务提供者的共同治理或合作治理，国家设立本罪的核心目的应当在于与网络服务提供者共同对信息网络安全负责。因为只有当网络服务提供者拥有与国家相同的监管责任时，对于这种安全管理义务的不履行才能获罪。

但如果采用共同治理模式去解释作为义务的扩张，一方面，这将大大扩张网络服务提供者的刑事风险。在技术发展方面，国家从无例外地对此进行监控和领导。这不但体现在国家对相关罪名的设置上赋予了网络服务提供者等主体更多的作为义务，还体现在国家对网络技术监管的专属性。网络服务提供者只是提供相应的技术服务，并不属于相关国家机关和职能部门，也正因为如此，难以理所当然认为其负有刑法上对网络犯罪监管的信息网络安全管理义务和对他人可能实施违法犯罪活动进行监督的义务。另一方面，信息网络安全管理义务并非不言自明，其边界和范畴较为缥缈不定，必然导致其认定上可能出现随意罪的设立，无疑给网络服务提供者赋予了更大的责任。因此，很难认为这种并不确定边界的义务能够成为合适的刑事义务。

事实上，网络服务提供者并没有能力成为网络社会的完全监管主体之一。从立法实际来看，就本罪的立法目的而言，国家需要遏制网络犯罪，建立健康有序的网络社会秩序。也必须承认的是，虽然政府对网络环境具有监管职责，但是由于技术能力的限制，继续遵循以往点对点的社会治理模式难以应对信息网络安全管理，而对于特定网络空间范围内的经营、管理者来说，他们对风险防控具有更为专业的能力，可以有效地将危险控制在一定程度内。因此就赋予义务自治而言，虽然在网络空间治理上需要公民有效参与以弥补国家在对网络空间治理中存在的不足之处，具体表现为国家与社会在治理网络空间上的协作。但仍需要根据作为能力和管理职责，采用由国家主导，将部分监管任务分配给具体网络服务提供者的做法。就有学者将这种模式表述为“代理式监管思路”，是刑事立法中国家根据实际情况对平台企业赋予刑事义务的整体思路。

二、信息网络安全管理义务的刑事立法体现

虽然网络服务提供者只是国家对网络安全治理的代为管理者，但上述讨论仅解决了其整体理念的问题。对于基于该理念的具体刑事作为义务内容还需要进一步探讨。拒不履行信息网络安全管理义务罪的刑事义务主要存在信息网络安全管理的刑事义务说与对行政责令改正拒不履行的配合义务说两种观点。

（一）信息网络安全管理义务的性质厘清

如认为本罪的刑事义务是信息网络安全管理义务，那么作为犯罪主体的网络服务提供者应当成为信息网络安全的保证人，保证人地位的存在要求有作为义务的人所应防止危害结果的发生。

基于上述逻辑，信息网络安全管理义务作为刑事义务需要使网络服务提供者具有对网络运行中可能出现的危险具有完全的掌控力。虽然本罪作为真正不作为犯的刑事义务来源于法律的直接规定，但对于立法内涵的理解可以借助保证人地位学说来正确理解本罪的义务来源和处罚范围。对于将信息网络安全管理义务作为刑事义务的观点来说，肯定论的观点有以下几个理由：

一方面，在作为可能性上，由于作为网络监管主体的网络平台确实具有相应的管理、控制能力，因此需要成为平台经营范围内网络安全的监督者、管理者，那么他们应当同时具有对危险源的监控者义务，即对某些危险场所或者危险物体危及法益时，相关管理者承担监控义务。另一方面，从刑法解释上来说，由于从本罪的名称来看似乎立法规制的目的便是处罚对信息网络安全管理义务拒不履行的行为。也就是说，一旦网络服务提供者拒绝履行相应的义务，便应当承担刑事责任。

综合上述两点，肯定论者认为，国家新设该罪的目的在于给予网络服务提供者自我治理的义务，即赋予网络服务提供者以信息网络安全管理义务这一刑事义务，网络服务提供者应当与国家共同治理网络环境。因为只有当网络服务提供者拥有与国家相同的监管责任时，对于这种安全管理义务的不履行才能获罪，此时该罪名中的“拒不履行”的“责令要件”是不必要的，即完全以信息网络安全管理义务作为入罪的依据，或者直接将该罪改成“不履行信息网络安全管理义务罪”。

但是，上述问题十分明显。即便从保证人作为义务的角度来说，由于在不作为犯罪中，危险源的监督者与管理者均对危险源可能发生的危害结果负有监督与防护的义务，必须保证其运行安全。因此，认为网络服务提供者是网络环境安全的保证人的观点将网络的一般运行环境直接设定成为一种危险源，网络服务提供者在自己的领域内对网络是否安全具有绝对的控制权，因而其需要对自己管理领域的网络安全问题负责。但网络服务提供者是否真的具有对网络环境中的危险情况进行控制的能力，以至于其能够成为本罪名所要求的避免危害结果发生的保证人地位？

第一，从保证人地位的理论来说。由于保证人地位的存在基础是对于特定危险源负有的监督义务，对于制造者或者有可能诱发危险源发生的人来说，仅有在其所支配或管理的危险源范围内负有保证人义务，例如父母对未成年子女，人对自己饲养的宠物，等等。这与不作为犯型网络犯罪（例如本罪）的情况有所不同，正如德国刑法学家瓦勒留斯教授（Dr.Brian Valerius）所认为的，这一罪名欲将网络服务提供者设定为“网络”这一危险源的保证人，但所谓保证人地位涉及的是自己直接控制的危险源，而不包含由第三人行为所致的风险。因此，保证人地位学说引导出的信息网络安全管理义务作为刑事义务的观点并不符合实际情况，无法解决该罪的义务来源问题，基于保证人地位而分析该罪名主体义务范围的观点存在根基性错误。

第二，从刑法犯罪圈扩张的平衡来说。如上文所述，本罪的适用应当适量地增加公民的刑事义务，在不作为义务来源的认定上也要做到合理。但如果认为该罪的义务来源在于监督义务，那么就变相地强调了网络服务提供者在信息网络安全管理义务中的刑事可罚性。即本罪的设立目的在于处罚违反该义务的行为，但此时法律条文规定的“拒不改正”构成要件就不具有存在的价值，只重视行为人应当履行信息网络安全管理义务而将行政责令行为的作用边缘化。因此，无论是认为“拒不改正”是一种加重情节还是认为其没有存在的价值，都会导致该罪名出现走向事前刑法、单纯客观归罪等问题的风险。

第三，从行为人信息网络安全管理义务的作为能力来说。虽然在一般不作为犯中危险源的监督者对于危险源具有绝对的支配权，此处的支配权是物理意义上的完全支配，而非该罪名中的对实施具体危害行为者进行有限的监督、管理的人。例如，如果将信息网络安全管理义务视为刑事作为义务，那么网络服务提供者应当对相关涉及网络安全的内容具体审查，但显然很难要求其具有对海量信息的逐条审查和管理能力，不能认为其承担的作为义务应与作为能力相匹配。因此，信息网络安全管理义务作为刑事义务并不现实。

第四，在民事案件中也表明网络服务提供者一般仅仅处于代为管理的地位。例如，在门某、范某某诉张某、腾讯计算机系统有限公司生命权、健康权、身体权纠纷案中，法院认为：腾讯公司并无事先主动审查、监管QQ群聊信息的法定义务，其只承担事后被动审查、监管QQ群聊信息的义务，即腾讯公司负有在接到相关权利人通知或确知侵权事实存在的情况下采取必要处置措施的义务。具体来说，平台企业在发现互联网上出现违法犯罪行为和有害信息时，要采取措施，停止传输有害信息，并及时向有关机关报告。因此，从事互联网服务的单位承担的信息网络安全管理义务并非对危害行为要主动发现，法律仅要求其在知晓违法事实后审查、监管。

第五，根据不作为犯法理，不作为犯的判断中首先需要满足的一点便是行为人负有实施某种积极行为的特定义务。特别是在超个人法益的真正不作为犯上，其义务来源的规范一般都规定得较为清晰，能够为刑法条文中的义务内容划定基本的界限。因此，边界模糊的信息网络安全管理义务不能作为刑法上的作为义务。

（二）配合义务作为刑事处罚根据的正当化考量

当然，即便认为信息网络安全管理义务并非刑事义务，也不能直接推导出本罪中刑事义务的实质是对行政责令的配合义务。在许多情况下，行为人对行政命令拒不配合履行的情况并不罕见，无法直接认为其具有刑事违法性。因此，要证明配合义务在本罪中属于刑事义务，则需要对其拒不配合行为存在社会危害性进行阐述。

单纯地违反信息网络安全管理义务时仍然属于违反行政法律要求的监管义务，因此即便出现与信息网络安全有关的严重社会危害行为，网络服务提供者对未履行义务的责任上限也并没有超过相关行政义务要求的上限，同理可得该义务直接被理解为刑事义务的错误之处。但将这种行政义务直接设定为刑事义务也并不具有合理性，表现出刑法对行政事项的介入不当。

因此，需要基于行为主体监管行为的作为可能性及怠于监管导致危险情况的发生的可能性来对犯罪圈进行合理限定。对于前者，只能将具有作为可能性的配合义务设定为刑事义务，而对于后者，则需要设定具体的法定危害结果来限定处罚范围。因此，立法表述中的“责令改正而拒不改正”的内容通过连接信息网络安全管理义务，并设定具体的法定危害后果，起到了限缩刑法处罚范围的作用。因此，网络服务提供者的刑事义务是“配合义务”具有合理性。

这种观点也在其他法律条文中得到了印证，例如《网络安全法》第8条：“国务院电信主管部门、公安部门和其他有关机关……负责对网络安全的管理和监督，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。”在其他相关法律中也存在相关的表述，明确了网络安全的监管责任归属于国家，而非网络服务提供者。

从义务认定的角度上来说，无论是基于作为能力还是条文逻辑等原因，拒不履行信息网络安全管理义务罪的本质都是规制行为主体对监管要求怠于履行改正措施的行为。与此同时，将行政责令改正行为的不配合作为刑事义务对于罪名的有效运行还有下列效用：

1.配合义务具有确认违法性的功能。如果认为违反信息网络安全管理义务时已经产生刑法作为义务，那么行政责令改正的出现就是对违反信息网络安全管理义务的确认。但并非所有网络服务提供者对该义务的违反都会被行政机关责令改正，并招致可能的刑事责任。因此，对信息网络安全管理义务的刑事规制会表现为具有随机性。而如果认为刑法规制的依据是行为人是否存在拒不履行行政责令改正行为的话，被行政机关发现并责令改正的构成要件还发挥着推定网络服务提供者明知自己具有违反信息网络安全管理义务的作用。

2.配合义务具有确定形式合理性的功能。行政责令改正是一种行政行为，国家对于行政行为赋予了相当高形式的要求，也正因此以行政责令改正为代表的行政行为具有较强的公信力，也能够成为证明行为人怠于改正的行为确实已经违反了信息网络安全管理义务的证据。

因此，相关部门对网络服务提供者责令采取改正措施的范围也应当在相应的信息网络安全管理义务的范围内。对义务外的责令改正要求来说，网络服务提供者拒不改正也不会符合该罪的构成要件，即便偶然或间接产生了符合该罪名列举的法定危害后果时也不符合该罪的规制范围。因网络服务提供者拒不改正，从而只有在义务范围内不履行而导致的法定的危害后果才符合构成要件，“如果法律法规未赋予平台相应的管理义务，即便主体具有管理能力与管理可能，也不宜直接追究其刑事责任”。

综上，行政责令改正要件会将网络服务提供者的刑事责任严格限制在行政机关要求改正的范围内，在判断上也应当达到刑法因果关系判断的要求。据此，行政责令改正要件成为义务筛选机制，恰好能够满足限缩处罚范围的要求，即监管部门根据法定职责对网络服务提供者的义务进一步限制，避免了民事、行政责任不当地被认定为刑事责任。

3.配合义务具有推定明知的功能。有观点认为，“拒不改正”反映了网络服务提供者对危险结果积极追求或者放任的态度，因此不作为的心理要素只能是故意。但是，“责令改正而拒不改正”要件并非推定故意，而是推定明知，仅仅通过法条的表述无法确定行为人的主观罪过。这种推定并非推定故意违反拒不履行信息网络安全管理义务，而是推定其明知存在应当配合履行的义务而拒不履行。

如上文所述，信息网络安全管理责任在于国家，因此，国家有关部门才是真正负有监管责任的主体，但监管行为必须要求网络服务提供者的配合。行政机关提出这一行政责令改正的作用就是在于“防止信息扩散”和“保存记录”。换言之，网络服务提供者的义务并非“补救”，其作为行政被管理人，应当配合行政机关的指令，无行政责令改正则无配合义务，自然无法构成该罪。在接到指令后拒不改正时，由于行政行为的明示作用，可以推定行为人应当明知自己的既有行为违反了信息网络安全管理义务，产生了主观和客观上的可罚性。

对于主观罪过的认定则应当进行扩张解释。即使重视该罪表述中的“拒”，但拒不履行并不必然是故意不履行的行为。实践中可能会存在网络服务提供者轻视相关部门的责令改正要求，认为不需要改正也不会再发生或疏于及时改正而导致相关结果的发生，这种过失的不作为犯仍然在该罪处罚的射程范围内。因此，行政责令改正只具有明知推定的功能，罪过仍然依赖于个案判断。

三、信息网络安全管理的刑事义务适用困境

虽然上文对拒不履行信息网络安全管理义务罪的设立理念和构成要件运用进行了阐释，但在司法实践中该罪名适用甚少，而即便仅有的相关案例中也出现了一些适用错误的问题。例如在起诉书、判决书等司法文书中并没有说明行为人违反的是何种信息网络安全管理义务，特别是对于作为严重社会危害性的法定后果来说，在大量文书中甚至没有能够证明行为人实施了条文中规定的严重情节。显然，本罪在司法活动中仍属于未被激活的状态，这与同为《刑法修正案（九）》增设立法的帮助信息网络犯罪活动罪被广泛活跃地适用完全不同。造成这一现象的根源在于对罪名的构成要件结构分析和对构成要件要素的解释存在复杂性，具体来说包括以下几个方面：

（一）信息网络安全管理义务的概念模糊导致立法虚置

虽然信息网络安全管理义务并非刑事义务，但作为构成要件组成部分，其仍然属于程序性构成要件要素，是犯罪成立的前置性要件。但是，与一般性行政义务不同的是，信息网络安全管理义务是对各种互联网中信息安全进行管理、监管义务的统称。不但义务的内容具有不确定性，而且规定相关义务的法律规范也呈现出多元分布特点。据此，导致拒不履行信息网络安全管理义务罪在实践中出现了被虚置的风险。展开来说，主要存在以下两个方面的问题：

1.信息网络安全管理义务的界限不明。信息网络安全管理义务的认定问题除了其内容庞杂、边界模糊之外，还容易出现本罪与其他犯罪的构成要件竞合的问题，即违反信息网络安全管理义务本身也是刑法规定的其他犯罪。这种竞合不但包括其他网络犯罪，还包括网络诽谤、网上开设赌场等传统犯罪网络化的情况。例如，在何某某、李某某开设赌场案中，两被告人利用互联网游戏平台开设赌场，情节严重；又在经营、管理该平台的过程中不履行信息网络安全管理义务，且经监管部门责令改正而拒不改正，甚至明知他人利用信息网络实施犯罪仍为他人提供技术支持。因此同时触犯了开设赌场罪、拒不履行信息网络安全管理义务罪和帮助信息网络犯罪活动罪，择一重罪处罚。本罪甚少适用的另一原因便是其构成要件行为常常同时符合其他犯罪，没有突出本罪刑事立法的特殊性。

第一，既有的信息网络安全管理义务散见于各类法律规范之中。具有有关该义务的文件有：2013年修订的《消费者权益保护法》、2016年《网络安全法》以及2018年《电子商务法》等。尤其是《网络安全法》第21条，已经明确规定了网络服务提供者的义务。在司法解释中，主要有《全国人民代表大会常务委员会关于加强网络信息保护的决定》《国务院互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》《电信条例》，等等。具体来说，其内容主要有：（1）落实信息网络安全管理制度和安全保护技术措施；（2）及时发现、处置违法信息；（3）网络服务提供者在提供服务过程中，应当对网上信息和网络日志信息记录进行备份和留存。

第二，信息网络安全管理义务的范围仍然处于动态变化之中。例如拒不履行信息网络安全管理义务罪问世之初，《网络安全法》尚未出炉，该义务的内涵自然会随着《网络安全法》的出现而发生变化。由于该义务的动态变化，就有学者建议“通过列举的方式进一步明确信息网络安全管理义务的内涵”。刑法的处罚应当具有明确性，但在信息网络时代下即使要求网络服务提供者及时对信息网络安全管理义务的内容进行学习和掌握，也不可避免地会出现网络服务提供者仍然不知新法、新的义务内容的情况。

庞杂和不断变化的信息网络安全管理义务来源也足以说明该义务来源的多样性和复杂性，反映出法律的社会治理方法在规制信息网络方面的有限性。同时值得注意的是，在《网络安全法》等重要的规定信息网络安全管理义务的法律尚未出现之前，本罪就已经被设立的现实虽然表明基于网络犯罪呈高发多发态势下，国家积极应对网络犯罪上升趋势，防止各种传统犯罪向互联网迁移等原因，但也可以证明的是，维护网络安全的相关法律法规尚不全面、成熟，并有可能长期无法符合立法者期望达到的法律效果。

2.信息网络安全管理义务与行政责令改正之间的联系存在壁垒。由于配合义务是该条文真正的刑事作为义务，信息网络安全管理义务的作用在于限制行政责令的范围。这表明，该罪名的逻辑脉络是在网络服务提供者违反信息网络安全管理义务后，因拒不改正该违反义务的行为，最终导致相应的情节严重的后果，才符合拒不履行信息网络安全管理义务罪的规定。因此，作为违反信息网络安全管理义务与发生法定后果串联的拒不履行行政责令改正，是罪名成立的核心判断要素。

但责令改正要件在实践中容易出现问题。除前述对何种义务是刑法作为义务的讨论之外，还容易出现忽略构成要件中的两个义务与情节严重之间的因果关系的问题。例如在一起案件中，行为人胡某租用服务器自行制作相关“翻墙软件”（VPN），在被两次责令停止进行服务后拒不改正，继续出租相关的软件。法院据此对其以本罪判处刑罚。但是在该案中，公诉机关出具的证据中并没有由于胡某的行为导致相应的刑事案件证据灭失、情节严重的后果，本案的不履行义务行为尚未造成相应的严重情节，难以认为胡某触犯了该罪名。

（二）对法定后果的理解存在偏离

根据条文规定，需要发生四种法定的严重情形才符合犯罪构成。但是既有案件对法定后果的认定存在问题。例如司法文书中对于行为人实施的盗取公民个人信息、提供非法境外互联网接入服务（VPN）和开设赌场的行为并未指明属于何种法定后果以及是否达到了程度要求。该问题出现的另一重要原因是条文对四种行为的规定较为笼统，通常司法实践依赖司法解释的细化。即便2019年《网络犯罪解释》对该四项严重情形进行了较为详细的规定，特别是其中第6条中再次使用了列举及其他的立法方式规定了什么是“有其他严重情节”，但从现有案例来看，司法机关在审理过程中还是难以正确把握对严重情节的判断。其中第一、二项关于传播违法信息与泄露用户信息的规定由于存在较大的解释空间，尚且可以通过扩大解释的方法适用。但对于其中第三点的“刑事案件证据灭失”与第四点的兜底条款的解释仍然存在问题。

1.“刑事案件证据灭失”的类推解释。该后果虽是为了惩罚妨碍公安机关查处和打击网络违法犯罪行为，例如网络服务提供者非法为他人提供反侦查技术，如VPN代理等，使不法分子借以逃避追究和取证。但在实践中出现了明显扩大化倾向，例如行为人仅因出售VPN代理服务而被行政机关责令改正，最终因其拒不改正而获罪，但并未发生因其违反信息网络安全管理义务而导致刑事案件证据灭失、情节严重的行为。因此值得思考的是，该严重后果的存在缘由是什么。

事实上，按照学理解释和刑法规定，该后果包括的范围极为有限。例如，如果网络服务提供者拒不改正的原因是为了暗中帮助网络犯罪分子，则网络服务提供者成为共犯，此处的共犯包括片面共犯。而由于2019年《网络犯罪解释》第5条的规定中大量存在“造成”“致使”等表述。因此只能认为其影响定罪量刑的刑事案件证据灭失应当产生实际损害的结果。

2.“其他严重情节”的同类解释难题。按照同类解释规则，对于刑法中的“其他”的解释应当具有与明文列举部分社会危害具有相当的程度。但是在该罪名中难以判断前三中严重情形有何相似之处，有学者试图举例为“如引发群体性事件；引发公共秩序混乱；引发民族、宗教冲突；损害国家形象，严重危害国家利益；造成重大财产损失；拒不改正，态度恶劣等”。即使是2019年《网络犯罪解释》第6条做出了具体规定，但还是难以明晰具体的认定标准，只能表明该危害后果中的网络信息应当具有一定的公共利益属性。

四、信息网络安全管理义务的适用的应然进路

（一）行政责令改正对信息网络安全管理义务明确性的消解

刑法的处罚应当具有明确性，就该罪的构成要件来说，在信息网络时代下即使要求网络服务提供者及时对信息网络安全管理内容进行学习和掌握，但由于信息网络安全管理义务的内容存在指向不明与动态变化的情况，因此可能出现作为行为主体的网络服务提供者提出其不知法律的情况。

但事实上这种问题并不影响罪名的成立，该义务在本罪中的价值意蕴并不因此而存在瑕疵。例如在立法上，2015年《刑法修正案（九）》早于2016年《网络安全法》，但这并没有对本罪名的适用造成根本性否定。也就是说，拒不履行信息网络安全管理义务罪中空白罪状引用的相关规定尚未明确时并不影响罪名的运行，信息网络安全管理义务只具有犯罪构成的提示性功能。单纯违反该义务并不会触及刑罚，而触犯后如被行政机关提示需要履行责令改正时，就能够明确行为人所触及的是何种信息网络安全管理义务。

因此，相关部门做出的行政责令改正行为应当具有一定的形式要求，即具有明确性与书面性等特征。由于行政行为作为国家公权力实施的行为，行政行为本身也应当具有合理性与公信力。对于信息网络安全管理义务的违反来说，行政机关做出的行政责令改正行为也应当具有相关法律、法规的依据。因此，根据行政责令改正的执法依据，能够得出行为主体触犯的是何种信息网络安全管理义务。

另外，在因果关系判断上，信息网络安全管理义务可以限定拒不按照行政责令进行改正行为的刑事处罚范围。对义务外的行政责令改正要求来说，网络服务提供者拒不改正也不会符合该罪的构成要件，即便偶然或间接产生了符合该罪名列举的法定危害后果时也不符合罪名的构成要件。因此，信息网络安全管理义务只是本罪犯罪构成的前置性行政义务，对于本罪核心的配合义务来说，拒不履行行政责令改正而发生法定情形的行为也是因为违反了相应的信息网络安全管理义务，据此就可以避免刑法处罚的不明确性。

（二）法定严重情节的抽象化修正

1.法定严重情节适用问题的原因。真正令司法者对本罪的适用掣肘的构成要件是法定严重情节。由于网络服务提供者违反了信息网络安全管理义务与其拒不履行行政责令改正要求的情况出现得较多，司法判断也相对比较简单，其社会危害性也有限。因此立法者设定了严格的法定严重情节来限制罪名的犯罪圈，但这种限制条件过高，并没有较好地在合适的范围内规范因拒不履行信息网络安全管理义务而发生的具有社会危害性的行为。犯罪圈大小需要修正的现实也是出现罪名难以适用、罪名错误适用以及本罪容易与其他罪名发生法条竞合的原因。

特别是对于上文论及的本罪中第3、4项法定严重情节的理解问题来说，对于“致使刑事案件证据灭失，情节严重”的判断，从既有案例的判决书论证来看，法院已经采用了危险犯的认定方法，具有类推解释的嫌疑。例如行为人提供VPN服务并不必然是为了为他人提供反侦查技术。但根据条文表述，符合这一要求的行为应当仅限于网络服务提供者提供了平台服务时，经行政责令改正而拒不改正，继而确实发生了刑事案件证据灭失实害的结果。而对于“其他严重情节”无论是条文表述还是司法解释，都是将各种情况予以列举，很难将它们进行归纳，不具有采用同类解释规制进行解释的基础，相关观点认为只能从行为人所违反的信息网络安全管理义务的重要程度、是否存在前科情况、造成后果是否严重等方面进行解释，但这种方法仍然难以反映出立法者对本条法定严重情节的价值取向。

如果仍然按照既有的条文表述进行理解，可以预见的是在将来很长一段时间内本罪仍然难以被激活。因此，有必要从立法目的与规制方法上，探讨法定严重情节的修改。

2.合并公约数：法定严重情节的立法目的。从本罪的立法目的出发，由于网络服务提供者并非直接实施犯罪行为，而国家在追究相应犯罪时发现许多平台企业对相关犯罪行为的监管不作为是危害社会行为的发生或逃避侦查的重要条件之一。因此，违法信息的传播、用户信息泄露以及致使刑事案件证据灭失，都相应地对相关犯罪的实施或逃避侦查起到了客观的帮助作用。但就具体犯罪行为来说，如果也惩罚网络平台的监管不作为，则属于过大延伸了因果关系链条，是对于危险的发生认定中过于抽象的危险犯处罚方法。在立法中不易对并不紧迫的犯罪行为采用这种抽象危险犯的立法技术，只能单独设立新的罪名处罚该类监管不作为，且仅针对由于监管的不作为很容易发生相关其他犯罪的情况。

3.法定严重情节的抽象化修正。法定严重情节的列举应当考虑两个因素：第一，法定严重情节的发生极易导致其他犯罪的发生。第二，在网络环境下，任何违法行为所具有的影响应当适当扩大化理解。例如就同样的诈骗犯罪行为劳动量而言，传统诈骗行为通常只能一对一，而网络环境下一对多并非难事。因此，在网络犯罪环境下，就网络平台监管的不作为引发犯罪的情况而言，作为限定处罚要件的法定严重情节必须存在，但其内容虽然需要具备极易导致其他犯罪行为发生可能之外，还可以适当将该标准进行抽象化理解，即重视其他犯罪发生的可能性大小，而并不要求真的监管不作为而发生具体的犯罪行为。

例如，就该法定严重情节的前两项而言，“违法信息大量传播”包括诸多种类的破坏国家、社会、个人内容的信息。而“用户信息泄露”也包括用户基本信息、行为类信息与反映用户行为与心理的相关信息。但是根据条文与司法解释的规定，上述两项的判断标准也仅仅是法定后果行为本身的量级，而并不要求发生其他具体的犯罪行为。因此，第三项严重情节的要求显然有些苛刻，它要求“致使刑事案件证据灭失”的确定情况出现。但这种情况不但难以出现，而且难以证明。例如，网络服务提供者故意监管不作为，拒不履行行政责令改正，同时其主观上希望网络使用者犯罪行为的证据灭失时，完全可以成立帮助毁灭证据罪。而其仅仅提供相关服务，偶然导致证据灭失时，又很难确定其监管不作为行为确实具有较大的社会危害性。因此，有必要按照上文的标准，统一第三项的构成要件规范程度，将“致使刑事案件证据灭失”转化为“具有刑事案件证据灭失可能”。而对于第四项的兜底条款，由于其本身已经具有扩大解释的基础，因此在适用中需要做出严格的限缩解释，将违反信息网络安全管理义务且拒不履行行政责令改正的监管不作为的行为仅仅限定在具有极易导致其他犯罪发生可能的情况下。

五、结语

该罪的设立某种意义上是一种刑事立法对社会问题的积极回应，虽然产生了一定的效果，但是也遭到了诸多的质疑。事实上，该罪的构成要件实际上是赋予了网络服务提供者对于国家监管权的“代监管”关系，使刑事立法与网络信息发展保持相对平衡，在技术进步的同时赋予法律保障。国家仍然属于监管的主体，但是网络服务提供者不能一直以中立的经营者自居，在怠于履行信息网络安全管理义务且被监管部门责令改正后仍然拒不改正时，将可能受到刑罚处罚。