拒不执行信息网络安全管理义务 罪主体与义务分析

浙江九段律师事务所 郑白

《刑法（九）》中关于拒不履行信息网络安全管理义务罪的条文看似明确了本罪的主体为网络服务提供者，然而，到底什么是网络服务提供者，其范围、类型到底如何界定，并无统一的定论。法律是一种最为严谨的社会规范，而刑法又是法律体系之中最具强制性的，因此对于作为犯罪构成要件之一的主体，其定义、范围及类型务必更为明确，在具体的司法实践适用中才更为准确且具有可操作性。明确本罪的主体范围和类型的意义还在于，根据不同的主体类型能够进一步科学、准确的判定网络服务提供者的义务内容，有利于本罪在司法实践中的适用。

第一节 拒不履行信息网网络安全管理义务罪主体的内涵  

一、本罪主体在法律中的定义      

原邮电部于1997年出台的《中国公众多媒体通信管理办法》中首次提出了类似的信息网络服务主体的概念，这部部门规章出现于信息网络科技开始飞速发展的初期，条文中将当时提供多媒体通信服务者分为“公众多媒体通信接入服务经营者”、“公众多媒体信息源提供者”、“公众多媒体通信业务经营者”三种。相关条文对于上述三类网络服务提供者的定义还是相当明确，根据当时网络技术发展的程度，分别按照已有的三种提供不同服务内容的网络服务进行了详细规定。在此之后《互联网信息服务管理办法》由国务院发布，根据出台该行政法规所针对的互联网信息服务这一对象，出现了“互联网信息服务提供者”这一概念，并且根据不同的服务内容还提出了“互联网接入服务提供者”概念，对于这两类不同主体的定义根据相关条文的表述还是可以明确的。

在此之后，各类有权机关相继出台了一系列的法律、法规等，以调整信息网络技术发展所带来的社会问题。最高院《关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》、国务院《信息网络传播权保护条例》等文件中，“网络服务提供者”这一概念被明确提出，并且适用于各个与信息网络相关的法律、行政法规及其他规范性文件中，作为一类信息网络环境中的固定主体。但是，所有规范性文件中对于网络服务提供者的定义非常笼统，并无一个准确界定。

 2016年11月17日颁布的《中华人民共和国网络安全法》第七十六条中，“网络服务提供者”这一概念再次被提及。该法第七十六条明确定义了网络运营者指网络所有者、管理者和网络服务提供者，而网络服务提供者的具体含义却未再进一步阐述，同时在该法中，对于网络服务提供者的相关行为表述，也无法准确总结出其定义。

二、本罪主体在信息网络专业领域中的定义   

鉴于对于网络服务提供者在法律领域的定义并不明确，而本身与网络服务提供者相关的立法系为配合信息网络技术大发展这一背景而出台，如果脱离本罪主体自身专业领域的原理、性质，仅以纯法律人的角度去定义，那一定是与实际情况相偏离的，且在适用中越来越缺乏可操作性。因此，笔者将从信息网络技术专业领域的知识进一步去明确网络服务提供者的定义。然而，笔者通过对大量信息网络专业技术类书籍、文献、材料进行搜索后，并未能找到“网络服务提供者”这一明确概念。进一步进行各方检索后发现，“网络服务提供者”确实并非网络技术领域的专业概念，其本身就是在我国法律领域，总结信息网络技术的情况和特点而提出的法律概念。因此，笔者根据信息网络专业领域的内容对该法律概念进行后续分析。

“网络服务提供者”并非我国原创词汇，而直译自英文的“Internet Server Provider”（ISP），根据国际上的通说，ISP被认为是提供互联网访问和使用服务的组织，由于信息网络技术的不断变化发展，其定义与涵盖的范围也在不断扩充,最终均按照对网络服务内容进行概括的方式定义。

笔者认为，虽然ISP一词的英文原意指的是互联网服务提供者，但是结合本罪的立法背景，此时对于信息网络的范围应当按照文意解释的方法。本罪所指的网络，不应当仅限于互联网,对网络服务提供者应当包括互联网、广播电视网、通信网络等信息网络的服务提供者。

其次，所有的信息传输都由单个环节组成，即由信息产生的源头发出，通过一定的通道进行传输，最终传输至信息接收方被其接收。网络信息的传输也就是这样一个信息传输的过程：最初的信息发布者、上载者是信源，而接受信息的广大网络用户是新宿，而此时网络服务提供者就是“信道”，是信息的通道、平台。网络服务提供者所提供的各类网络技术服务，使得终端网络用户能够与网络信息资源相联接。1998年美国的《数字千年版权法案》中对网络服务提供者的定义即为用户提供了“通讯连接”、“传输、传送”功能。虽然《数字千年版权法案》主要针对的是著作权保护，但是由此拓展开来，结合网络服务的本质，网络服务提供者就应当是在各类信息网络中，通过其提供的不同类型的网络服务，作为平台、通道将用户与信息网络联通的法律主体。

第二节 拒不履行信息网络安全管理义务罪主体的分类  

一、本罪主体分类的意义及必要性      

关于网络服务提供者的分类，在民事侵权责任领域，各方面学者已经进行了大量深入的研究讨论，网络服务提供者作为第三方主体，对其类型的区分与侵权责任的归责原则的区分有着直接的关系。《刑修（九）》颁布之后，对网络服务提供者的分类问题在刑事研究领域逐渐被关注并展开研究。

“义务”是本罪的核心内容，是判定网络服务提供者是否承担本罪刑事责任的前提，它直接关系到罪与非罪的界限以及司法适用尺度。为避免对于不同主体类型采用同样的刑事责任判定标准，出现“一刀切”的情况，义务的具体范围应当与主体的不同类型相联系。第一节中笔者已分析，网络服务提供者的分类在我国理论界一直都没有一个权威、明确的标准，这在司法实践过程中对网络服务提供者的刑事责任认定造成了很大障碍。对于网络服务提供者分类的分析探讨，不但能够使得在司法适用过程中对于不同主体义务范围的认定更为明确，同时也能对于我国信息网络相关立法的进一步完善有一定的借鉴意义。

二、本罪主体分类的方式     

(一) 我国立法中的分类现状

关于网络服务提供者的分类，在我国立法中暂时并没有统一的方式，几乎每一部规范性文件都是根据本文件所针对的规范对象而重新进行一次划分。这样的方式有其值得肯定的地方，现在的信息网络环境复杂多样，每一个网络服务提供者所提供的服务内容、技术手段、服务形式都不可能是单一存在，几乎都是不同内容的复合。因此在不同的法律、法规、规范性文件出台时，可以根据每次所针对不同方面的问题，按照服务内容不同、所担任的角色不同、是否营利等不同方式对所有网络服务提供商者按此问题的特点进行概括或分类，一定程度上确实能够较全面的规范、约束，以免遗漏，对此法要保护的法益的保护能更有针对性。

然而，此种方式也有其明显的弊端。并非所有的现行规范性文件都对网络服务提供者进行了明确分类，更多的是在条文中列出各种网络服务提供者的具体行为，由执法者、司法者、网络服务提供者自行对照适用，因为类型的不明确，这个适用就没有了明确的标准，存在明显的适用困难。而且由于不同法律法规中标准不同，整个立法体系中对于此内容的规定缺乏体系性，其分类的合理性、准确性、可适用性都存在一定问题。接下来，笔者将从具体的条文出发进行分析。

在第一节中笔者已经提过，1997年的《中国公众多媒体通信管理办法》在制定时按照多媒体通信服务中不同的服务，将服务提供主体明确分成了三类，且对于每一种类型的主体均给出了明确的定义，这给我国信息网络立法中对于服务主体的分类一个不错的开端。但是，之后发布的《互联网信息服务管理办法》中，却抛弃了原有根据服务内容进行区分的方式，而按经营性和非经营性来区分互联网服务，将是否以营利为目的作为区分标准，完全背离其信息网络技术的本质属性，缺乏科学性。并且，根据当前的信息网络发展趋势，经营性与否已经越来越不能有效体现主体之间的主要差别。在此之后，《互联网安全保护技术措施规定》由公安部发布，其中将互联网服务提供者分为提供互联网接入、上网服务、信息服务、数据中心服务四类服务的主体。国务院于2006年颁布《信息网络传播权管理条例》，其条文将亦根据不同服务内容将其分为了五类。笔者对于将网络服务提供者根据其所提供的服务内容不同而进行具体类型化的立法方式是赞同的，但是在后续的立法文件中又继续以网络服务提供者这一概念进行笼统的表述，理论界对于相关司法适用也只能按照笼统的方式进行概括研究。同时，《刑修（九）》对于拒不履行信息网络安全管理义务罪规定的四类法定危害结果，包括前述《互联网安全保护技术措施规定》、《信息网络传播权管理条例》对网络服务提供者的分类，并不能很明确的与这四类后果相对应，缺乏司法适用过程中的可操作性。这导致本罪的具体适用又出现了笼统模糊的状态，只能根据案件具体情况套用法条，且最终很可能产生大量适用兜底条款的情形，导致刑法处罚范围的扩大化。这也是我国立法体系中没有系统、科学的对网络服务提供者进行分类所造成的。

(二) 国外立法中的分类方式

对于国外立法中网络服务提供者的分类，虽然在细微之处各有不同，但是却有一个共同的特点：采用技术性标准，根据不同类型网络服务提供者的实质服务内容，与身份所应承担的责任类型相联系。以分类最为细致的美国为例，美国的《数字千年版权法案》是现在网络版权领域在全球范围内影响最大的法律，其中所列的网络服务提供者按照其所提供的网络服务内容或技术手段的不同，一共包括四类：在系统或网络中提供存储信息服务、息传播服务、实行信息搜索功能的服务、网络缓存服务。德国2007年《电信媒体法》将网络服务提供者区分与美国的《数字千年版权法案》也非常相似，略有调整，包括存储服务、临时性或自动性缓存服务、内容服务、信息传输服务。两国的立法对于这一主体的分类都直接从网络技术不同阶段，各类主体所提供的服务性质进行区分。同时，不论是《数字千年版权法案》还是《电信媒体法》以及其他一些国家及地区的法律中，对于主体进行分类的意义直接在不同类型的主体所承担的责任条款中予以体现，不同类型的主体因其所提供的服务不同，在责任承担的程度上也有明显的区别。

（三）改进建议

 结合上述现状分析以及与外国立法的对比，笔者认为对于网络服务提供者的分类方式，首先要以信息网络技术类型为标准，考虑信息网络运行原理，以及在运行的各个阶段、各网络服务提供者所提供的服务内容对其进行划分，避免单纯以法律角度进行分类；其次，对于网络服务提供者的分类还应当从法律角度考虑各类主体承担的责任程度；最后，在分类方式上还应当综合考虑立法体系的整体性，避免针对单独的法律法规而进行狭义分类。结合以上三个标准，笔者主张按照信息网络接入传输服务提供者、缓存服务提供者、存储服务提供者、平台服务提供者、内容服务提供者五种不同的类型对网络服务提供者进行分类。

三、与本罪主体相对应的网络安全管理义务类型

根据拒不履行信息网络安全管理义务罪三类危害结果，并结合前述不同类型网络服务提供者的技术特点，笔者将各类网络服务提供者的一般义务的分成以下四类：

（一）、监督、管理、审查义务

无论从违法信息的传播、用户信息的泄露亦或刑事案件证据灭失角度看，其前提都需要网络服务提供者要对其提供的网络服务进行适当的管理，对使用其服务的网络用户进行必要的监督。网络服务提供者利用其技术优势，监督接受其所提供服务的用户在其服务范围内的活动，采取专业技术对信息网络进行管理，维护网络秩序。监督、管理义务是网络服务提供者最核心的义务。

而审查义务则是根据“造成违法信息大量传播”这一危害结果所反推出的义务内容，要识别违法信息，则应当对信息进行主动审查，在《网络安全法》中也规定了网络服务提供者需进一步加强对用户发布信息的管理。作为网络内容服务提供者对于自行提供的内容，具有当然的合法性审查义务，然而，根据现在国际上普遍的以及我国的民事侵权责任规定的角度，网络服务提供者对于用户所提供的内容信息，并无事前审查义务。

对于监督、管理义务以及审查义务是否妥当，需要进一步讨论，但根据现行法律、行政法规的规定，各类网络服务提供者均应在自己所提供的服务范围内全面的履行。而审查义务对于信息网络内容服务提供者更为重要。

（二）、备份、保管义务

要防止刑事案件证据灭失，网络服务提供者就应当承担相关的证据保全的责任。《网络安全法》中规定，网络运营者应当配合侦查活动，提供技术支持和协助。而协助侦查活动的主要方式除了技术支持之外，另一重要的内容便是刑事案件证据的保全提供。

在信息网络中的证据大量是电子数据信息，各类网络服务提供者与用户之间实质以电子数据信息传输的方式进行联通。2012年修订的《刑事诉讼法》中将电子数据列为了刑事证据的种类之一。电子数据的保存需要进行有效的备份保管，《网络安全法》中明确了网络服务运营者对重要数据有备份的义务，《互联网信息服务管理办法》、《中华人民共和国电信条例》中也有相应条文要求网络服务提供者对于发现几类明文规定的违法信息应当保存相关记录。

对于该义务，最直观的会联想到信息网络缓存服务提供者和存储服务提供者。缓存服务与存储服务性质类似，从网络技术角度，缓存与存储存在实质区别，因此将其区分。直观的说，缓存服务更侧重数据的临时存放，将用户临时或频繁使用的信息存储于数据交换的缓冲区，它相较于存储服务的储存方式，在读取这些存储在缓冲区的数据时所占用的带宽较少，运行速度较快。而存储服务提供者其提供的服务内容是为用户提供硬件空间或虚拟空间进行长期的、稳定的数据存放。正由于其技术原理、性质的不同，从保管备份义务上说，存储服务提供者的义务要求和责任程度要更高于缓存服务提供者。

（三）、保密义务

造成用户信息泄露，其原因就是网络服务提供者未能采取有效措施保管用户信息。用户信息作为用户的隐私，隐私权是我国不同部门法中都明文规定予以保护的对象，仅从由与用户之间达成的网络服务合同角度，所保密义务是网络服务提供者的合同义务之一。《网络安全法》对网络运营者的保密义务进行了详细的规定，且在没有得到信息被收集人的许可，禁止向任何第三人透露所收集的个人信息。但笔者认为对于用户信息的保护义务要以不妨碍国家安全、刑事案件侦查为限度。

所有类型的的网络服务提供者均会通过其服务接触到用户的相关信息，其中接入、传输服务提供者和平台服务提供者无疑是其中责任要求更为严格的。接入、传输服务是所有信息网络的联通最基础环节，其他各类网络服务的提供也需要以接入、传输服务提供者的服务作为基础。我国现行法律已经明确了进行所有网络接入，需对用户进行实名审核，网络接入服务提供者的用户信息汇集量最为巨大，虽然从其技术原理不需进行内容审核，只是入口通道功能，但其从技术角度确保信息的安全性，防止信息的泄露。

（四）、技术保障义务

技术保障义务是网络服务提供者的核心义务之一，也是其他三项义务的前提。网络服务提供者的技术是其提供服务的实质条件，其有义务利用适当且必要的技术手段、措施以保障信息网络安全、稳定运行安全。有效的履行技术保障义务才能在发现、知晓违法信息存在时有效防止其传播，确保用户信息不泄露，并使数据信息不会灭失。