隨著信息網絡技術的發展,新的商業模式的出現,人們的工作生活得到了極大豐富,也促成了新的權利義務關系的產生,新的違法犯罪模式的出現,對法律的修改完善提出了新的要求。為了回應這一要求,2015年通過的刑法修正案(九)在第286條破壞計算機系統罪之后補充了拒不履行信息網絡安全管理義務罪,為網絡服務提供商劃定了法律紅線。
一、 刑修九新增罪名:拒不履行信息網絡安全管理義務罪
在網絡安全事件頻發,網絡空間亟需建立新的秩序的當下,網絡服務提供商因其在網絡空間的中介地位以及技術性優勢,在網絡安全保障之戰中的地位是不言而喻的,如果不能保證網絡服務提供者依法履行其義務,網絡安全也就難以推進,因而刑法新增的這一規定可謂是及時雨。
根據第286條之一的規定,網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,造成違法信息大量傳播、用戶信息泄露后果嚴重、刑事案件證據滅失等結果的,構成拒不履行信息網絡安全管理義務罪。根據該條規定,成立本罪的前提條件是:(1)網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,(2)經監管部門責令采取改正措施而拒不改正,(3)導致出現危害社會的結果。但是,對于網絡服務提供者的范圍以及其應該遵守何種信息網絡安全管理義務,刑法修正案(九)并沒有作出明確規定。
人大法工委在對刑法修正案(九)的解釋中,首先從主體的角度出發,明確了本條中的“網絡服務提供者”同時包括互聯網接入服務提供者和互聯網內容服務提供者,前者即為終端用戶提供專線、撥號上網等服務的提供商,而后者指代的則是包括新浪、搜狐等向用戶提供新聞、信息、資料、音視頻等內容服務的提供商。
而從行為的角度而言,人大法工委指出,認定行為人是否有不履行安全管理義務行為時,要結合法律和行政法規對于安全管理義務的具體規定,主要義務來源包括《全國人大常委會關于加強網絡信息保護的決定》《互聯網信息服務管理辦法》《電信條例》等。人大法工委還特別指出,網絡服務提供者的安全管理義務主要包括落實網絡安全管理制度和安全保護技術措施、及時發現和處置違法信息,及對網上信息和網絡日志信息記錄進行備份和留存。
人大法工委對“網絡服務提供者”的解釋是基于對PC時代互聯網的理解作出的,不能解決移動互聯網以及物聯網時代的許多問題。《全國人大常委會關于加強網絡信息保護的決定》作為法律卻僅強調對個人信息的保護;《互聯網信息服務管理辦法》《電信條例》是行政法規,對網絡服務提供者安全管理義務規定是零散的,缺乏系統性,存在多個監管部門之間的職責不清,處罰標準不明、處罰依據不充分的問題。
二、 刑法與網絡安全法規之銜接:從難以落實到柳暗花明
拒不履行信息網絡安全管理義務罪的制定雖然看似是互聯網監管的一場及時雨,但卻并沒有起到解決燃眉之急的作用。但從已公布的裁判文書以及相關新聞報道來看,自2015年刑法修正案(九)生效至今,這一罪名的司法實踐仍然近乎一紙空白。中國裁判文書網上可以檢索到的以該罪名定罪的案件目前只有三起,其中兩起涉及非法提供VPN服務,例如2018年9月做出判決的胡某拒不履行信息網絡安全管理義務一案,被告人胡某利用上海絲洱網絡科技有限公司擅自建立其他信道進行國際聯網,且經上海市公安局浦東分局行政處罰后仍不改正,最終被判處拘役六個月,緩刑六個月,罰金人民幣三萬元。以及2018年12月做出判決的朱皓非法獲取計算機信息系統數據、非法控制計算機信息系統一案,被告人朱某注冊成立公司并創建網站以銷售VPN軟件,供用戶訪問境外互聯網網站,公訴機關以非法獲取計算機信息系統數據、非法控制計算機信息系統罪之名義起訴,但法院認為朱某的行為應當構成拒不履行信息網絡安全管理義務罪。另一起案件則涉及非法開設線上賭場,但這些案件對于網絡服務提供商而言,似乎都不具有很大的可供參考性。
拒不履行信息網絡安全管理義務罪未能得到充分的落實與這一罪名的特殊性有不可分割的關系。正如前文所述,構成本罪的行為要求網絡服務提供者未按照法律及行政法規的要求履行安全管理義務,經監管部門責令采取改正措施而拒不改正,這就使得本罪天然具有刑法與其他法律、行政法規相銜接的問題。但是,我國的網絡安全法規體系,在網絡安全法出臺以前,體現出的不完備和碎片化的特點,導致了本罪適用的困難。
2016年11月7日,《網絡安全法》發布。根據《網絡安全法》的規定,承擔危害網絡安全的責任主體有: 網絡運營者,網絡產品、服務的提供者,關鍵信息基礎設施的運營者,電子信息發送服務提供者和應用軟件下載服務提供者等。這些負有維護信息網絡安全管理義務的主體因具體角色不同,承擔的維護網絡安全義務有所區別,但承擔義務的本質是相同的。《網絡安全法》規定的其網絡安全管理義務可以大致分為兩類: 一是一般性義務,即網絡安全責任主體均應遵守的義務; 二是特殊性義務,即與具體網絡主體有關的維護網絡安全的義務。
值得注意的是,《網絡安全法》規定的承擔危害網絡安全的責任主體在名稱上與刑法修正案(九)規定的拒不履行信息網絡安全管理義務罪的主體(網絡服務提供者)似乎并不一致。不久前剛剛施行的兩高《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》,對“網絡服務提供者”的范圍進行了明確,基本涵蓋了《網絡安全法》規定的承擔危害網絡安全的責任主體。
如前所述《網絡安全法》規定的網絡安全管理義務可以分為兩類: 一是一般性義務,二是特殊性義務。一般性義務,是網絡安全責任主體均應遵守的義務。而實施網絡安全等級保護則是網絡安全管理一般性義務中最基本的安全保護義務。
三、 網絡服務提供者安全管理義務新視角:等保2.0
新技術的發展使信息網絡安全管理義務的范圍不斷變化。另一可能促使拒不履行信息網絡安全管理義務罪在實務中適用增多的因素是網絡安全等級保護2.0(以下簡稱“等保2.0”)時代的到來。
《網絡安全法》明確提出實行網絡安全等級保護制度;但是《網絡安全法》關于網絡安全等級保護義務的規定較為原則,仍然不能滿足法律實踐的需要。為了深入推進實施國家網絡安全等級保護制度,公安部已制定《網絡安全等級保護條例(征求意見稿)》,細化了各類網絡安全等級保護義務。需要注意的是,網絡應用與科技密切相關,只有將網絡安全等級保護義務與技術標準相結合,才可能具體明確網絡安全等級保護義務的范圍。
1994年國務院發布了《計算機信息系統安全保護條例》,首次提出了國家信息安全工作信息系統是分等級實施保護的,標志我國信息安全工作信息系統分級的開始。根據人大法工委對拒不履行信息網絡安全管理義務罪的解釋,落實網絡安全管理制度是網絡服務提供者安全管理義務的組份,而這一制度應當以網絡安全等級保護制度為一大重點。
2007年,公安部等四部門頒布了《信息安全等級保護管理辦法》,明確了等級保護所有的相關的工作以及各種參與決策的職責分工等等,從此等級保護這項工作就正式開始實施,此后,在2008年至2012年間,包括《信息安全技術信息系統安全等級保護基本要求》在內的網絡安全等級保護1.0相關國家標準相繼問世。
隨著安全趨勢和形勢的變化,以及新技術、新應用、新業務形態的大量出現,尤其是大數據、物聯網、云計算等的應用,網絡安全產業產生了巨大變革,原來發布的標準已經不再適用于當前的安全要求。因此從2015年開始,我國開始逐步著手制定等保2.0標準,從而滿足我國現階段網絡信息基礎設施大量應用的安全形勢的要求。于2017年開始正式實施的《網絡安全法》中明確提出實行網絡安全等級保護制度,也正式拉開了等保2.0的序幕。今年12月,《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》和《信息安全技術 網絡安全等級保護安全設計技術要求》三個國家標準將正式實施,標志著我們將正式邁入等保2.0時代。
這一《網絡安全法》配套法規體系的建立,也將為網絡服務提供者建立起一個重要的行為準則體系,同時,拒不履行信息網絡安全管理義務罪中網絡服務提供者的安全管理義務也將得以更好地明確化。如果網絡服務提供者沒有及時依規建立等級保護系體,且具有拒不履行網安部門發出的整改通知書,并造成司法解釋中所列的嚴重后果的情形,不僅會導致企業、機構被處以罰金,更可能導致主管人員和其他責任人員被處三年以下有期徒刑、拘役或者管制。
事實上,近年來,因未做好等保合規而受到行政處罰的案例已屢見不鮮,例如在2017年7月20日,廣東汕頭網警對市內某信息科技有限公司三級以上系統未按規定進行網絡安全等級測評,作出警告和責令改正處罰,以及在2018年3月26日,株洲市網安部門對某教育科技公司未落實網絡安全等級保護制度,約談法人代表及管理員,作出警告并責令改正處罰。隨著網安法發布及相關配套規范的出臺,網絡安全等級保護制度與刑法規定之間的銜接越來越通暢,企業因未做好等保合規而承擔刑事責任的可能性也就越來越大。等保2.0相關標準與兩高這一重要司法解釋前后腳出臺,頒布、生效時間相差不足數月,也許正是相關部門在向網絡服務提供者發出信號:及時建立網絡安全等級保護體系,不僅是在保護用戶,也是在保護提供商自己。
四、 結語
刑法修正案(九)規定了拒不履行信息網絡安全管理義務罪,但是對于網絡服務提供者據不履信息網絡安全管理義務的認定,需要依據法律、行政法規規定及監管部門的行政處罰;本罪規定的信息網絡安全管理義務系將行政責任上升為刑事責任。
我國現存的網絡安全法規體系對網絡服務提供者規定了一種一般性、積極性的監管義務。而實施網絡安全等級保護則是網絡安全管理一般性義務中最基本的安全保護義務。網絡應用與科技密切相關,只有將網絡安全等級保護義務與技術標準相結合,才可能具體明確網絡安全等級保護義務的范圍。
新技術的發展使信息網絡安全管理義務的范圍不斷變化。移動互聯網、物聯網的發展促使網絡安全等級保護2.0時代的到來。網絡安全等級保護2.0在增加了信息網絡安全管理義務范圍的同時,也明確了信息網絡安全管理義務的具體行為。這將會極大增加拒不履行信息網絡安全管理義務罪在實務中的適用。
信息網絡安全管理責任猶如懸在網絡服務提供者頭上的一把“達摩克利斯之劍”。對于網絡服務提供者而言,防止“達摩克利斯之劍”落下,當務之急就是堅決貫徹實施網絡安全等級保護制度,做好網絡安全保護義務。(Alan和Stella對本文有貢獻。)