1. 问题提出
《中华人民共和国刑法修正案(九)》在我国《刑法》第286条之一中增设拒不履行信息网络安全管理义务罪。该罪是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒绝执行,致使违法信息大量传播,或致使用户信息泄露,造成严重后果,或致使刑事犯罪证据灭失、严重妨害司法机关依法追究犯罪,或有其他严重情节的行为。该罪使网络服务提供者管理网络信息安全的社会责任法律化,而网络暴力现象在大型互联网平台上随处可见,且伴随着肆虐传播的个人信息。2023年9月20日生效的“两高一部”针对网络暴力违法犯罪颁布的《最高人民法院最高人民检察院公安部关于依法惩治网络暴力违法犯罪的指导意见》中明确规定:网络服务提供者对于所发现的有关网络暴力违法犯罪的信息不依法履行信息网络安全管理义务符合拒不履行信息网络安全管理义务罪构成要件的,以拒不履行信息网络安全管理义务罪定罪处罚。从这个层面上说,该罪的设定应是督促网络服务提供者发挥力量整治网络暴力行为的不二之选。然而,在现实生活中,通过该罪对网络暴力行为规制的案例却是0。
造成这种现象的一个原因是,法律条文中涉及的部分条件无直接且明确的法律解释。该罪的前置条件是网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务而被监管部门责令采取改正措施却拒不改正。何谓信息网络安全管理义务?如果不明确这一条件,监管部门很难以此责令采取改正措施,也就不存在网络服务提供者拒不改正的情节。
故而,接下来笔者将具体探究信息网络安全管理义务的义务设置的合理性,归纳现行定义模式,总结其对网络暴力行为规制的意义以及存在的问题,并最终提出应对建议,从而帮助适用拒不履行信息网络安全管理义务罪,进一步限制网络暴力行为。
2. 信息网络安全管理义务的定义模式
2.1. 理论背景
信息网络安全管理义务本质上是不作为犯罪的作为义务,准确而言,是针对互联网不作为行为设定的法律义务。这种义务的产生有一定的历史背景。十九世纪初期,个人本位主义盛行,权利保障、权利优先的观念深入人心和不可动摇,所以,“其时所谓犯罪,乃指侵害法益或侵害权利而言,故置重于作为犯,所有刑法上的问题,皆与作为犯发生关联而被展开者,原则上并未有不作为可构成犯罪的想法,仅就违反法律之规定或违反由于契约等之义务的情形,例外地认定不作为之违法性”[1]。至十九世纪末期和二十世纪初,个人主义式微并让位于社会本位,信用诚实的原则推行且应用于社会日常生活,不作为之构成犯罪并逐步发展。及至重视社会生活之互相扶助的团体主义或曰全体主义抬头,立法者开始对违反特定义务而消极地不实行法所期待之行为设立命令性规范,以维持并防卫社会秩序。于是不作为犯罪明文化,作为义务的来源也逐步扩大[2]。因此,信息网络安全管理义务是社会本位在互联网时代的体现,具有合理的义务历史背景。
理论学界对于不作为犯罪中的特定义务的研究也体现了对于社会本位的追求,对于此特定义务的研究有利于落实法律制度,而现代社会的法律制度往往体现着对于社会利益的追求,与此同时,对于该特定义务的研究也体现了法律演进的过程。自19世纪末至20世纪初,德国司法实践与理论界就开始关注不作为犯罪中特定义务的来源问题,即探讨在何种情况下某人需要承担阻止某种结果(或犯罪行为)发生的义务。德国学界采用“形式三分法”将这种义务来源划分为法律、合同和先行行为。现历经近百年发展,已经形成了“二源说”“三源说”“四源说”以及“五源说”,本文采用传统的三源理论,该理论在中国化的过程中,紧密结合了中国的实际情况和历史文化背景,进行了深入的本土化改造和创新。这种改造和创新不仅保留了原理论的精髓和核心要义,而且使其更加符合中国的国情和实际需要。即刑法中不作为犯罪的作为义务来源有三:(1) 法律上明文规定的义务。(2) 职业和职务上的义务。(3) 行为人先前行为产生的义务。
从《中华人民共和国刑法》中第二百八十六条规定中,可以明晰信息网络安全管理义务来源于刑法中明文规定的义务,是真正不作为犯的刑事义务。设定信息网络安全管理义务的恰当性在于以法律规范确定网络服务提供者监督监管义务,即要求作为网络监管主体的网络平台需要具有相应的监管能力以应对网络犯罪。面对波诡云谲的网络形势,倘若只以国家监管作为单一治理网络环境主体,对于日益增长的网络安全需求是存在滞后性与缺陷性。而国家苛以网络服务提供者以相当的监管义务,实质上是让其成为信息网络安全的保证人,要求网络服务提供者对于网络平台可能存在的危险有相当程度的注意义务乃至必要时候采取措施的义务。只有以义务规范落实责任,才能够为信息网络自由发展打造一个安全可靠的平台,才能使得网络安全与自由保障达到平衡,从而促进信息网络的健康发展。
2.2. 义务目的
信息网络安全管理义务的设置旨在发挥网络服务提供者的网络暴力治理作用。
一方面,互联网发展下新型风险的产生对风险的防控提出了新的要求。网络不仅具有工具的属性,同时,其还具有经营平台、传播媒介、技术平台、虚拟社会以及意识形态的属性[3]。互联网在给人们的生产生活带来便利的同时,也制造了信息安全、财产安全等风险隐患。
另一方面,该义务的设置是解决规制网络犯罪理论困境的重要途径。网络犯罪不同于传统犯罪,其表现出专业化、职业化的特点。网络犯罪的实施者常常能够通过互联网技术形成环环相扣、链条式的“犯罪共同体”[4]。在网络犯罪中,网络技术帮助行为有时会超越被帮助行为处于犯罪活动的中心地位,从而具有更加严重的社会危害性。然而,根据传统刑法理论对帮助行为的定位,其所承担的刑事责任必然小于正犯行为,因此难以满足罪责刑相适应的刑法基本原则的要求。
设立拒不履行信息网络安全管理义务罪,为网络服务提供者设置信息网络安全管理义务是解决传统刑法理论在规制网络犯罪时所遇困境的重要途径之一,即采用法律拟制的方式,将帮助行为正犯化。就提供网络服务的行为本身而言,其应当属于一种业务行为。当该种业务行为与犯罪活动产生关联时,就可能会存在“中立帮助行为”的问题。中立帮助行为是指在外观上无害的生活行为、业务行为等日常性行为在客观上对犯罪活动提供了帮助的一种情形。一般认为,为了保护国民的自由,中立帮助行为在原则上不应作为帮助犯予以处罚。这一原则也成为对拒不履行信息网络安全管理义务罪合理性提出质疑的理由之一。然而,根据拒不履行信息网络安全管理义务罪构成要件的规定,事实上已经不存在“中立帮助行为”的问题[5]。
并且,信息网络安全管理义务是针对网络服务提供者而设立的专门义务,该义务的设置有利于平台更好地承担其权利和权力指向的社会责任。平台的公共属性决定其应受公法规制,承担社会责任。互联网平台具有私人营利及公共空间双重属性,其公共空间属性主要体现在:其一,作为媒介组织的互联网平台通过筛选、整合及精准推送海量信息,实现信息的高效传导及互动,纠正个体、组织在社会行为中的信息偏在状态,有利于社会有序运行发展;其二,互联网平台扮演市场交易场所的角色,为个体与个体、个体与企业、企业与企业提供交易空间,平台具有市场功能,承担促进经济资本、消费资料流通及降低交易成本的职能;其三,互联网平台担任公共平台管理者的角色,在众多交叉的业务活动基础上,平台促进形成了诸多社会关系及公共空间,既需要对自身经营行为负责,又需要对平台内商户、用户的权益负责。此外,很多时候平台还可以对社会秩序维护、公共危机消解等发挥重要作用[6]。
平台的权力决定其应承担社会责任和反垄断义务。随着互联网的普及、网民数量的增加和数字化社会的深刻变革,互联网平台已经从商业模式、技术工具上升为信息社会的核心组织形式。互联网平台正在崛起成为政府之外的社会管理者:互联网平台可以为平台上的各方制定行为规则,决定数字经济市场的交易规则、准入条件和资源配置,能够建立在线纠纷解决机制自主地对平台上的纠纷进行处理[7]。此外,国家也越来越多地依靠互联网平台提供公共服务、开展执法活动,大型的互联网平台还成为社区和环保等公共服务的提供者,互联网平台企业成为一类新的非国家行为体,他们深度地影响了国内外的政治、经济、社会和文化的发展,乃至决定了公民一些基本权利的行使。
2.3. 信息网络安全管理义务的定义模式
拒不履行信息网络安全管理义务罪的前置行政条件是监管部门责令网络服务提供者采取改正措施却拒不改正。责令改正是在网络服务提供者违反信息网络安全管理义务的前提下做出的,网络服务提供者被认定为犯罪就必须要具备行政违法性和刑事违法性这双重属性,那么前置行政行为合法性的判断就显得尤为重要,因此,想要行政监管部门完成责令改正的行为,就必须先明确信息网络安全管理义务的范围。
检索而知,信息网络安全管理义务这一法定义务的概念仅被定义在刑法286条中,该法律条文明确将该义务的范围限定在“法律、行政法规规定”中。根据现有的司法裁判来看,李小全拒不履行信息网络安全管理义务案中监管部门对其违反实名制规定进行处罚和责令改正;胡某拒不履行信息网络安全管理义务案中监管部门则是对擅自建立其他信道进行国际联网的行为责令改正并处以行政处罚。在上述的案件中,行为人都拥有对其提供网络服务平台的支配和管理能力,但他们却违反相关法律、行政法规的规定做出逃避履行义务的行为,且在经监管单位发出“责令”要求改正后仍拒绝加以履行,最终造成包括使用其服务的网络用户的隐私内容被不当传播、收获大量违法所得等严重后果。
由此可知,信息网络安全管理义务具有有限的广泛性,一方面,其内容覆盖广泛,涉及《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《信息网络传播权保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网信息服务管理办法》等法律法规中[5];另一方面,这些义务的法律依据已经被严格限制在“法律、行政法规规定”范围内,并不是无限扩张。而且,这些义务规定总体较为分散,这是我国法律、行政法规规定客观上不可避免的不够集中统一造成的,由于本罪义务的分散性规定,不同学者对义务的界定也有不尽相同的理解。例如谢望原教授是通过将相关的法律法规划分为禁止性规范和命令性规范的方法来界定网络服务者所要遵循的义务[8]。具体而言,禁止性规范是禁止人们做出一定行为的规范,通常在表述中有“不得”、“禁止”、“不准”等字样的存在。代入到本罪中就是网络服务商“不得”、“不准”或者是“禁止”做出某项行为,行为主体一旦做出禁止性规范所列明的行为,违背了禁止性规范所规定的义务,就是不履行信息网络安全管理义务的行为。总而言之,信息网络安全管理义务的范围还是缺乏明确性和系统性,使之在现实中缺乏履行的可能性。
因此,笔者认为,该义务与我国人格权内容定义方式相似,采用了“概括式 + 列举式”的双重定义模式。概括式在于以一个高度抽象的“信息网络安全管理义务”概念为拒不履行信息网络安全管理义务罪面对日益增多的网络服务提供者可履行的社会责任提供规范层面的支持,以保持其开放性。这种方式与刑法286条仅规定信息网络安全管理义务却无外延列举的立法实践一致。列举式在现行法律规范和司法解释中并未贯彻,但行政性质案例对相关涉及信息管理的网络服务提供者进行的规制则以实际可行的角度列举出具体的“信息网络安全管理义务”,如《中华人民共和国信息安全法》中的信息安全保护义务。这一层面的义务则需要司法机关和行政机关共同协作、不断探索,也需要学者的耐心梳理。
3. 信息网络安全管理义务模式既存问题
从前文的理论分析与现实立法动态出发,我国信息网络安全管理义务的设置不能满足网络暴力治理的需要。在法学的研究中,对某一抽象概念进行定义本质上是为了研究其种类以及限定其范围,以便解决司法实践中实际存在的相关问题。笔者将前述定义模式的问题归纳为以下三个方面。
3.1. 义务来源合理性尚有缺陷
我国刑法第二百八十六条的规定将信息网络安全管理义务的来源范围限定在“法律、行政法规”之下,即机械地来自法律明文规定的义务。这与笔者前文提及的“三源论”符合,可是,该法定义务设置是否合理?该义务对网络服务提供者的责任承担是否分配过重?这些问题并没有得到解决,难免使人怀疑立法的正确性,从而不利于法律威慑力的维护。在实际施行过程中,该义务也显得过于片面,容易随着法律的更改而造成范围的不稳定性。
3.2. “列举式”定义模式种类过少
前文认为,信息网络安全管理义务与我国人格权内容定义方式相似,采用了“概括式 + 列举式”的双重定义模式,其中,列举式的定义模式是将复杂的对象以合理的方式归纳成具体的事项,通过将研究的细节内容都列举下来以完成对复杂对象的定义。该方式需要大量列举事项的支持才能全方面定义。列举式在现行法律规范和司法解释中并未贯彻,我国现有的列举事项种类过少,没有法律理论的支持,“列举式”的定义方式不能成为该义务的判断标准,根据其定下的定义也可能不够精准。
3.3. “概括式”定义模式过于开放
在“概括式 + 列举式”的双重定义模式中,不仅列举式有种类过少的缺陷,概括式也存在部分内容过于开放的问题。前文认为概括式在于以一个高度抽象的“信息网络安全管理义务”概念为拒不履行信息网络安全管理义务罪面对日益增多的网络服务提供者可履行的社会责任提供规范层面的支持,以保持其开放性。在逻辑学上,概括式的定义范围大于列举式,两者相互补足,但由于列举式在现行法律规范和司法解释中并未贯彻,对信息网络安全管理义务中的部分内容未作细致规定,单以概括式方法定义显得过于开放,无法做到精准定义,在实际适用时不利于确定范围。
4. 解决方案之探析
4.1. 对义务来源进行教义限制
将“法律、行政法规”的犯罪进行教义限制,指向的是行政法、而非民法。从调整的方向上来看,行政法与刑法都属于公法,这两者具有目标一致性以及较强的关联性。但民法属于私法,调整的是普通公民、组织间的权利义务关系,从根本上说,与刑法的关联性不大。其次,“法律、行政法规”不应该包括规章与地方性法规。有学者提出既然《刑法》第二百八十六条之一明确规定网络服务提供者不履行的是“法律、行政法规”,就不应包括部门制定的规章等规范性文件[9]。这样能使得相关主体在适用过程中更加清晰明确,利于构建统一科学的刑事作为义务,能够减轻义务范围的扩大,减轻网络服务提供者的负担,利于网络市场发展。
4.2. “列举式”的缺陷弥补
笔者建议可以从立法层面上对网络服务提供者应当履行的义务进行界定划分,明确义务类型和范围,更好得履行法律法规规定的义务。
从时间上来看,网络服务提供者的义务可以分为事前预先的审查,事中实时的监控,事后报告保存记录,网络服务提供者的义务范围应依托于网络空间,网络能够克服时间和空间的障碍,我国网民数量众多,使得网络服务提供者要面临的网络信息数量不计其数,不可能要求其对网络信息进行提前筛选,这也不利于公民基本权利的实现,抑制了网络行业的发展。因此,笔者认为,从现实可操作性以及刑法谦抑性原则来说,网络服务提供者的义务,从时间上来看,应当更侧重于对网络信息的监督、报告、备份保存,并且在出现犯罪行为时,及时采取相应的改正或保护措施,防止危害结果的发生和进一步扩大。
4.3. “概括式”的缺陷弥补
拒不履行信息网络安全管理义务罪借鉴最早的网络服务提供者的特殊责任规则——美国《数字千年版权法案》。我国采取“通知–取缔”特殊责任规则来处理网络服务提供者责任的思维方式是正确的,但存在法律法规与实际义务具体落实存在脱节,这也是概括式定义所带来的缺陷之一。如《网络安全法》中第四十七条所规定:“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。”采取概括式则往往将该条款束之高阁,因其缺乏网络服务提供者如何鉴定违法性、如何界定该义务上升到刑事法律规范所规范的程度等细则的规定,导致确定义务环节的落空。针对此种问题,笔者认为可以借鉴德国《网络执行法》的经验,《网络执行法》采取将刑法分则规则与其《网络执行法》有机结合,以刑法分则的合规义务与违反网络安全管理的违法行为一一对应,通过刑法中确定和精细的合规义务来定义网络安全管理行为的危害性,也就是说,当发生了网络违法行为时,网络服务提供者有路径定位该行为是否具有危害性即是否上升到刑法义务。此外,《美国法典》对于网络服务提供者的义务区别化的落实到保护用户个人数据,依法披露、备份用户通信数据和内容信息的义务等,如果没有同时满足知晓内容”“技术上有可能阻止”“阻止不超过其承受能力”等条件,作为中间服务提供者无须承担责任。同时,《美国法典》还设置了相应的冲突解决机制,即在一定条件下免除网络服务提供者的部分责任。处理好披露用户个人数据的违法与违反法定管理义务的冲突也体现立法者对于保障公民权利与维护秩序利益的权衡。《美国法典》对于我国立法的意义体现在立法过程中的顶层设计上,即以立法多层级、多维度来替代立法单一化、片面化。落实到网络安全管理义务中,立法者应当对其进行细致的类型化、层级化。我国仅在行政法规和部门规章分类了网络服务者,并且单一地规定了管理义务。对于不同主体设定不同层级的义务是该立法过程的主要任务。将网络服务提供者简单的区分为中间服务提供者,互联网信息服务提供者和第三方交易平台服务提供者三类已经不能满足治理网络环境的需求。应当进一步细化,举例来说,可以将中间服务提供者细化为网络接入、信息储存、通信传输、服务器管理等具体的网络技术服务提供者。并对此规定区别化的管理义务,不同主体承担不同程度的义务。毕竟苛责一个纯粹网络技术服务提供者去承担过度的监管义务既非必要也非适当。
5. 结语
目前《关于切实加强网络暴力治理的通知》中提到的网络服务提供者中平台义务并未全部法律化,而这些义务对“列举式”定义信息网络安全管理义务提供了专门治理网络暴力和信息管理的义务来源,因此,我国立法应落实通知的相关规定,早日将涉及到的义务法律化,以此治理网络暴力行为,防止网络暴力现象肆虐。这些义务的法律化也能促进监管部门责令改正工作的进行。从立法目的来说,也是让拒不履行信息网络安全管理义务罪的圆满落实。