1. 本罪立法背景与相关概念厘定
1.1. 拒不履行信息网络安全管理义务罪立法背景
德国社会学家乌尔里希·贝克,曾在其《风险社会》一书中把当前的现代社会诊断为“风险社会”[1]。他认为人类所面临的风险,正是由工业社会所制造的,而工业化生产中潜藏的各种风险,是我们足以信赖的科学技术在暗中给“风险”发放通行许可。2014年,总书记提出总体国家安全观,网络安全成为其中重要内容[2]。随着互联网普及率提高和电子商务发展,网络风险增加,安全需求提升,刑法加强对网络维度的管控。针对网络诈骗、谣言传播、网店刷单等异化行为,法律体系需作出回应。
行为须由主体完成,要管控电子商务这一特殊行业的行为乱象,除了公权力的介入,还需要电子商务平台这一重要主体的配合。据此,《刑法》修正案九规定了,针对网络服务提供者的拒不履行信息网络安全管理义务罪。
电子商务平台以网络为消费者提供服务,与本罪的“网络服务提供者”和《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(下简称《解释》)中的主体具有相似性。电子商务平台具有安全管理义务,旨在与监管者共同防范网络违法犯罪。
1.2. 电子商务平台概念的厘清
厘清概念是研究问题的前提,在研究电子商务平台拒不履行信息网络安全义务罪的认定与出路上,有必要对电子商务平台进行概念的界定。关于电子商务平台的概念学界有不同的观点,主要归纳如下:
第一,有学者认为其是交易与洽谈平台。电子商务平台利用Internet构建虚拟空间,促进商务活动,保障稳健运营。它帮助企业和商家突破地域限制,拓展业务,推动电商行业的繁荣发展[3]。
第二,另一些学者认为是网络交易平台与经营场所。根据电子商务法,电子商务平台是指在电子商务交易中为双方或多方提供网络经营场所、交易撮合、信息发布、支付结算等服务,供交易双方或者多方独立开展交易活动的平台;这种定义强调了平台在交易过程中的中介和支持作用[4]。
第三,还有学者认为是交易与交流服务的提供者。电子商务平台通过互联网和计算机技术连接供应商和消费者,实现商品信息的在线交流和货物交易,并提供支付、物流、售后等全方位服务[5]。
这些定义展现了电子商务平台功能的多样性和复杂性,不仅限于购物。它集成了在线购物、支付、物流跟踪、客户服务等功能,是综合性的商务平台。因此,电子商务平台是网络购物的上位概念,应纳入“网络服务提供者”进行管控。
然而,当前《解释》对网络服务提供者的分类不够全面,特别是电子商务平台这类功能复杂的平台,其定位模糊。这种法律规定的不确定性,导致在相关的司法实践中“暴露无遗”。
2. 电子商务平台拒不履行信息网络安全管理义务罪的现状与问题
2.1. 电子商务平台拒不履行信息网络安全管理义务罪的司法现状
根据最高人民检察院于2024年3月9日发布的权威统计数据,我国依法严惩网络犯罪行为,共计起诉利用网络实施的犯罪达到32.3万人,相较于去年同期,这一数字显著上升了36.2%1。可见,网络犯罪案件日渐成为刑事案件的重要组成部分。但是,该罪作为网络犯罪中的主要罪名之一,其适用率却与网络犯罪趋势相差甚远。笔者在2024年5月17日以“电子商务平台”“刑事案由”、“拒不履行信息网络安全管理义务罪”为关键词在中国裁判文书网进行检索,共检索到刑事裁判文书5份,除一个侵犯公民个人信息和传播淫秽物品、不公开文书外,仅3份为有效文书,笔者将以此作为剖析样本,得出电子商务平台关于本罪的大致司法运行状态2。
由于下文笔者将对三份判决书中的内容进行详细分析,加之篇幅原因。在此就不再列举案情简介,但将案件名称与案号附上,方便读者详细了解。案例一:李小全拒不履行信息网络安全管理义务案((2020)云0103刑初1206号);案例二:胡某拒不履行信息网络安全管理义务案((2018)沪0115刑初2974号);案例三:何学勤、李世巧开设赌场案((2018)赣0102刑初585号)。案例三中行为人因同时构成本罪和开设赌场罪而择一重罪判处开设赌场罪,所以仍然选入。由于本文探讨的是,电子商务平台拒不履行信息网络安全管理义务罪的认定与出路问题。在这个意义上,结合前文所述,将案例分析的观点主要集中在两个方面。即,电子商务平台是否囊括于网络服务提供者,及其相关具体的管理义务。
首先,在网络服务提供者的认定上,三个案例在判决书中的表述为:案例一,“被告人李小全2014年8月在远特(北京)通信技术有限公司工作,是公司的高级运营总监”;案例二,“被告人胡某为非法牟利,租用国内、国外服务器,自行制作并出租‘土行孙’、‘四十二’翻墙软件,为境内2000余名网络用户非法提供境外互联网接入服务”;案例三,“被告人何学勤正式担任浙江省金华市盘古信息技术有限公司总经理,2015年5月起,被告人李世巧担任盘古公司客服部经理。”就此而言,法官在认定网络服务提供者上均是间接认定,即通过行为人的职务和行为就默示行为人是相关的网络服务的提供者,没有进行积极的肯定,更不要说指明行为人为哪类具体的网络服务提供者。这与该罪的《解释》第一条3规定的若干网络服务的提供者不相对应。那么不得产生疑问,既然司法解释中对相关网络服务提供者已经做了看似详细的例举,但是为什么司法人员仍然在司法适用中有避重就轻之嫌呢?这是否表明,也从反面论证了,本罪的相关司法解释在实际的适用中仍然存在问题,司法人员仍然不能对网络服务提供者作出明确的认定。
其次,在认定不履行前置法规定的管理义务上,三个案例在判决书中的表述为:案例一,“被告人负有查验、评估、审核行业卡使用情况的职责,违反实名制管理规定的情况下……违反用户实名制进行挑卡。经证实,远特公司违反了电话用户实名制、行业卡安全管理等相关规定。”;案例二,“2016年3月、6月上海市公安分局先后两次要求其停止联网服务。后又作出责令停止联网等行政处罚。被告人胡某拒不改正,继续出租‘土行孙’翻墙软件。”;案例三,“被告人何学勤、李世巧在经营、管理盘古公司的辰龙游戏平台的过程中,不履行法律、行政法规规定的信息网络安全管理义务。”就此而言,法官在认定不履行安全管理义务时均是间接认定,即通过列举行为人的行为,甚至直接援引法条就得出肯定的结论,在说理上存在欠缺。更不要说,指明行为人是违反了哪类具体的安全管理义务。而在上述司法解释中,也未对相关的义务进行规定,这就导致司法实践中相关不作为义务来源庞大,司法人员无从下手的困境。
综上,结合仅有的司法判例,可以发现本罪在电子商务领域的司法适用上至少有两大方面问题。即,本罪的主体:“网络服务提供者”;行为:“不履行安全管理义务”上存在构成要素范围过大,无法明确认定的情形。这就导致在认定关于电子商务平台相关违法行为是否构成本罪上,存在相关问题。首先,电子商务平台要构成本罪,主体是否适格?其次,电子商务平台具有何种信息网络安全管理义务?
2.2. 电子商务平台拒不履行信息网络安全管理义务罪认定困境
2.2.1. 网络服务提供者类型划分不明
网络服务提供者作为犯罪主体,需界定电子商务平台是否适格。尽管有司法解释列举“网络服务提供者”,但司法人员在实践中对其适用持谨慎态度,导致认定与说理含糊不清。通过分析《解释》中的三项列举4发现如下问题。
《解释》第1条将网络服务提供者划分为技术类、应用类和公共服务类三种类型,采用双层次划分标准。
首先,公共服务类提供者与其他两类在技术上可能存在交叉重叠。例如,技术类与公共服务类在基础联网服务上,应用类与公共服务类在电子支付与移动金融服务上的技术相似性[6]。这种交叉使得分类在界定各主体应配备的技术属性、相匹配的管理义务以及区分刑事责任时失去意义。
其次,《解释》在网络服务提供者的分类上未能针对不同类型主体设定差异化的监管义务。目前的规定仍然笼统地为所有类型的网络服务提供者设定了统一且无差别的刑事责任分配规则[7]。这种做法忽略了不同类型网络服务提供者在技术特点、管理能力以及对信息安全的控制力等方面的显著差异,因此无法有效地实现精准监管和公平追责。
2.2.2. 信息网络安全管理义务内容模糊
根据我国《刑法》第286条之一,信息网络安全管理义务需参照其他法律法规界定。梳理发现,涉及此义务的法律法规有十余项,内容复杂。不对这些义务进行类型化处理,将加大司法实践中对电子商务平台职责与义务认定的难度与复杂性。
目前,关于拒不履行信息网络安全管理义务罪所保护的法益,学界仍存在广泛的争议,尚未形成统一认识。根据《刑法》第286条之一的规定,该罪的客观构成要件聚焦于网络服务提供者拒不履行信息网络安全管理义务,并且在受到相应责令后仍然拒绝改正,进而引发了严重后果的情形。然而,由于现行法律体系中尚未明确界定信息网络安全管理义务的具体内容,我们仅能依托本罪所维护的法益,深入剖析和解读相关的法律规范,以期准确判断网络服务提供者是否违反了这些具体义务,并进而确定其是否侵犯了本罪所保护的法益[8]。换言之,由于保护法益的不确定性,信息网络安全管理义务的模糊性被进一步加剧,从而使得电子商务平台构成本罪的认定变得更为复杂和困难。
3. 电子商务平台拒不履行信息网络安全管理义务罪司法认定的完善
3.1. 网络服务提供者的合理划分
明确网络服务提供者有助于司法实践准确判断电子商务平台是否为犯罪主体,并为其配置相应义务与责任。但现行《解释》在主体划分上不明确。因此,在制定类型化标准上,需考虑技术控制能力,确保覆盖广泛、适应未来,避免功能重叠,并以控制力判断其责任大小。
其次在具体的划分上:在上述划分标准基础上,可以将借助技术控制力的大小将网络服务提供者作出如下具体分类:
第一,网络接入服务提供者。如电信、移动、联通等,主要提供硬件设施帮助用户接入互联网,但无法干预用户后续的网络活动。因此,对于用户入网后的犯罪行为,接入服务提供者往往难以知晓和控制,仅能要求断开连接[9]。在案例一中,“远特公司”作为接入服务提供者,其高管“李某”虽涉及监管问题,但提供网络服务的主体仍是远特公司。由此可知,李某只是下属的主要负责人,不应作为本罪的主体网络服务提供者加以直接处罚。
第二,中间服务提供者。包括传输、缓存、存储、信息定位等技术服务类型,如讯雷等下载app。这些服务提供者距离违法信息较近,虽难以知悉犯罪,但可在其支配领域内控制犯罪,如停止传输、屏蔽、移除违法信息等[10]。
第三,网络平台服务提供者。为用户提供多样化平台服务,包括社交、金融、播放、电子商务等,以及游戏、广告等其他平台。其功能不仅包括技术支持和接入,更涵括管理平台内信息流动、提供展示和管理服务[11]。网络平台与其信息关系介于内容服务提供者与技术支持者之间。将网络平台提供者独立分类,有助于界定其信息支配力,形成有序的责任层级体系,确保监管义务和刑事责任得当。如案例三所示,被告人利用游戏平台进行的赌博活动,游戏平台提供者即属此类。
第四,网络内容服务提供者。即利用接入服务线路,通过有目标的收集、筛选、编辑、修改后,向用户展示各类信息的主体。作为网络信息发布的源头,其信息来源多样,无论是自主创作还是他人提供的图片、视频、新闻等,内容提供者都对发布的信息拥有绝对的选择和生成控制权,如同传统出版商校对、审核内容一般[12]。因此,内容服务提供者既是信息的发布者,也是创造者,他们与信息的关系最为紧密,能够提前发现信息中的犯罪内容,并迅速采取措施移除,确保信息的合规性。
3.2. 管理义务的合理界定
前文根据控制力理论将网络服务提供者分为四类。现以前文网络服务提供者的权限来对其相应的义务进行界定。
针对网络接入服务提供者,由于其距离犯罪中心的距离最远,既无从知悉违法信息,也难以从技术上阻止违法信息。所以,在这个意义上,接入服务提供者仅有对用户信息的合理使用和保密义务,以及技术支持与数据留存的义务。如案例一中,远特公司违反了其作为接入服务提供者的电话实名制义务。
针对网络中间服务提供者,由于其只提供信息传播的技术支持,无法事先知悉违法犯罪,但在技术上可以停止传输违法信息、移除或屏蔽信息、断开链接等支配违法信息。由此观之,中间服务提供者对于违法信息没有主动审查义务,但存在发现管理义务。因为“发现”即存在主观上的明知,断开链接等技术措施是符合其技术可行性,能够被合理期待的[13]。
而对于网络平台服务提供者,其信息控制能力介于内容提供者和中间服务提供者之间。所以,平台服务提供者对平台上的信息有发布前审核与发布后的管理义务。如果平台发现用户在平台上有相关的违法言论,按照其相关的技术支持能对空间内的数据立刻移除,能够在一定程度上监控平台使用者的行为[14]。如案例三中,何某、李某作为游戏平台提供者,不仅对平台上的赌博行为不加以管制,还对其“放任自流”。可见,何某、李某违背了其作为平台服务提供者的管理义务。
而作为网络内容服务提供者,其能预先知悉信息中涉及犯罪的内容,但由于违法信息由其自身提供,因此,其提供违法信息的行为不再由本罪调整,而应由其触犯的具体罪名调整,属于积极的作为行为[15]。除此之外,内容提供者对于用户信息的合理使用、保密、技术支持、数据留存义务等与其他提供者一样。
就此言之,电子商务平台作为拒不履行网络安全管理义务的主体已确立,其安全管理义务的界定需根据实际控制力进行。因此,电商平台在运营时必须严格遵守法律法规,切实履行网络安全管理职责,以保障网络安全,维护公众利益和公民权益。
4. 结语
拒不履行信息网络安全管理义务罪,作为应对网络犯罪普遍化与风险社会趋势而生的一项法律条文,其出台契合了时代发展和立法需求。然而,自该罪名实施以来,其司法实践中的适用率却异常低下。通过深入分析现有的司法判决书,本文发现该罪名在司法运用过程中存在若干问题,其中主要包括对网络服务提供者(包括电子商务平台)的界定模糊不清,以及信息网络安全管理义务具体内容的不明确。鉴于此,本文认为有必要对网络服务提供者进行更为精细化的分类,如将其划分为接入服务提供者、中间服务提供者、平台服务提供者和内容服务提供者等,以更好地明确不同类型主体的法律责任。同时,对于信息网络安全管理义务,亦需进行更为具体和明确的界定,包括用户信息的合理使用与保密、用户发布信息的管理、技术支持以及数据留存等方面的要求。通过对上述两方面的明确界定,本文将有助于厘清电子商务平台在网络安全管理中的主体资格,以及其具体应承担的义务内容。这不仅有助于提升网络安全管理的有效性,也能为司法实践提供更为明确和具体的指导,从而促进法律条文的公正适用和有效执行。
NOTES
1数据来源:最高人民检察院网上发布厅,刑事检察工作白皮书(2023)发布时间:2024年03月09日。网址:https://www.spp.gov.cn/xwfbh/wsfbh/202403/t20240309_648173.shtml。查询时间:2024年5月17日。
2来源:中国裁判文书网,网址:https://wenshu.court.gov.cn/website/wenshu/181217BMTKHNT2W0/index.html?pageId=148158d1534b1366937ee0009ddc1e7b&s8=02。检索日期:2024年5月17日。
3《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第一条规定:“提供下列服务的单位和个人,应当认定为刑法第二百八十六条之一第一款规定的‘网络服务提供者’:(一) 网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(二) 信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(三) 利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。”
4《解释》第一条三项具体内容为:“(一) 网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(二) 信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(三) 利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。”