查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《东方法学》
信息网络安全管理义务的刑法教义学展开
【英文标题】 Management Duties of Information Network Security: A Criminal Law Dogmatic Analysis
【作者】 敬力嘉
【作者单位】 武汉大学法学院{博士研究生},德国弗莱堡大学法学院{博士研究生}
【分类】 刑法学
【中文关键词】 信息权刑法保护;网络服务提供者;网络信息安全保护;义务边界
【期刊年份】 2017年【期号】 5
【页码】 77
【摘要】 《刑法》第286条之一拒不履行网络安全管理义务罪体现了我国完善信息权刑法保护机制的努力。它所创设的,是网络服务提供者应承担、作为刑事作为义务的“网络信息安全保护义务”,而非作为行政管理义务的“信息网络安全管理义务”。依照刑法规范明确性的要求,此义务核心内涵应为网络信息安全保护。为了避免义务边界不明的法治风险,应当以刑法教义学的规范判断为准绳,对其进行限缩解释。以具体义务类型为依据,以义务主体为前提,以法益保护目的为指引,以履行义务的可能性为保障,可以明晰此“网络信息安全保护义务”的边界,有效限制本罪处罚范围。
【全文】法宝引证码CLI.A.1228695    
  一、问题提出:网络服务提供者的义务限度
  信息通信技术(ICT)的发展使人类传播与获取信息的能力得到飞速提升,打破了国家对大量信息收集和管理的垄断,逐步形成了尽管只有少数人可以掌握信息源,但大多数人可以自由获取与传播信息[1]的开放型信息社会,是这一论断最生动的体现。如何重构此开放型信息社会中的社会管理秩序,成为了亟待探索的问题。
  面对互联网环境下的侵犯信息权犯罪在刑法理论视野下认定与规制的困难,而这种困难是由刑法作为谦抑自守的司法法所应遵守之基本原则,与传统控制型思维下,社会管理者追求犯罪风险的前置性防控,寄望最具强制力的刑法,希望它能最“有效”地实现这一能动的预防性管理功能的现状之间的冲突所造成,[2]继而使相关犯罪的及时查处与损害修复陷入困境时,应当思考的进路便是,如何重构刑罚权的运行模式。从《刑法修正案(九)》来看,我国刑事立法忽视了网络空间中侵犯信息权犯罪的有效治理,应以对网络信息流动所形成的“价值链”[3]关涉各方进行均衡的综合治理为前提,选择了对网络服务提供者科赋刑事作为义务,我国刑法中的“信息网络安全管理义务”,[4]试图以此实现犯罪风险防控的目的,完善信息权的刑法保护机制。
  笔者对此立法的正当性持保留态度,但基于其实定法效力,不拟着墨于立法论层面的批判,将结合具体条文,重点厘清这项义务的存在根基、内涵以及适用范围,亦即以此为中心,以明确此项刑事作为义务作用的机制,力求将立法层面产生的刑法功能失序所导致之负面效应最小化,完成对此“作为义务依赖”在教义学层面的反思。
  二、信息网络安全管理义务的正当性根基
  在结合具体的刑法条文展开论述之前,笔者首先要回答一个前置性问题:在刑法中为网络服务提供者设置此信息网络安全管理义务,是否具备正当性根基?
  网络空间中的信息流动应受法律规制,这点毋庸置疑。而笔者在上文所提出的问题,实质更细化了一步,探讨的是,将网络服务提供者不履行此义务的不作为犯罪化的正当性根基何在。笔者不从行为犯罪化的“内部限制”,[5]即教义学框架内基本原则的层面对此问题进行探讨,而从其“外部限制”,[6]即入罪对于公民信息权保护的必要性考察出发,将这个问题依两个层次展开,即为网络服务提供者设置法定作为义务的必要性,以及为其设置刑事作为义务的必要性。
  (一)网络服务提供者是犯罪治理的关键切入点
  网络空间结构中,网络服务提供者在信息流动中具备中介作用,是侵犯信息权犯罪风险得以实现的最关键一环。因此,这也应当是此类犯罪刑法治理最关键的切入点。为它设置法定作为义务,正是找准了这个切入点。
  网络对人类社会组织模式最大的变革,是提供了一种革命性的连接方式,将消极的信息收发个体变为积极的信息交互主体,创造了巨量的信息流动。作为流动空间的网络空间,其根基在于连接与交互,承担这个基本功能的是网络服务提供者,它也因此成为侵害信息权犯罪风险得以实现的关键环节。
  在侵犯信息权犯罪的侦办过程中,网络服务提供者发挥着不可替代的重要作用。
  依照传统思路,犯罪行为人是犯罪治理当然的中心对象。只有通过认定行为人所为之犯罪行为的不法与责任,才能得以适用刑法对其处罚,从而实现对犯罪的有效治理。但当这个思路适用于侵犯信息权犯罪,而此类犯罪发生在网络空间中时,存在很多现实困难,需要抓住网络服务提供者作为信息中介这一关键环节,为其设置法定作为义务,才能实现对犯罪行为的有效认定。
  此类困难主要体现在:首先网络空间中犯罪主体从线下的自然人变成了网络账户,人机同一性认定存在一定难度,导致犯罪行为人的认定困难;其次,受害人分布地域极广,存在众多个案单个危害结果轻微,但危害范围极广的情形,难以对行为不法进行有效认定;再次,侵害信息权犯罪的案件发生于网络空间时,犯罪行为人的行为轨迹直接体现为信息的流动轨迹,案件的搜集取证存在相当的技术门槛。而由于自身的技术优势和常态化的业务活动,网络服务提供者对网络空间中信息的追踪与获取具备无可取代的优势。因此,为它设置相关的法定作为义务,能够有效突破上述难题。
  因此,面对互联网与当代社会经济发展高度融合的现状,与网络空间中侵犯信息权犯罪的高发态势,充分认识到网络服务提供者的关键作用,为其设置法定作为义务,具备正当理据。
  (二)网络服务提供者的刑事作为义务具备核心价值
  但法定作为义务有众多层次,为何要对网络服务提供者科以刑事作为义务?应当说,基于网络服务提供者的关键作用,为其构建层次明晰的作为义务体系,是防控侵害信息权犯罪风险的理想目标。而基于中国当前国情,对于这一目标的实现,刑法为网络服务提供者设置的刑事作为义务具备核心价值。
  2016年11月,我国首部网络专门法《网络安全法》获得通过。[7]虽然此法第三章和第四章分别为网络运营者,包括网络服务提供者设置了网络运营安全和网络信息安全的保护义务,规定明确而具体;第五章也为其不履行相应义务的不作为设置了警告、处分、罚款、吊销营业执照等法律责任,但为了在网络服务提供者的不作为之不法与责任均达到刑罚处罚的要求时,刑事责任是不能缺位的。随着《刑法修正案(九)》的实然生效,“信息网络安全管理义务”作为刑法明文规定的刑事作为义务,对于我国网络服务提供者而言,已经成为具备实际且最严厉法律效力的义务来源,是其法定作为义务体系规制范围的基准。
  综上而论,为网络服务提供者设置这一刑事作为义务,具备了核心价值。
  三、信息网络安全管理义务的内涵:网络信息安全保护
  对于“信息网络安全管理义务”的内涵,除了可以明确它是我国刑法为网络服务提供者所设置的刑事作为义务,具体的含义又是如何?法条的简略规定无法直接给我们提供答案。通过考察我国拒不履行网络安全管理义务罪的具体规定,并结合世界主要法治发达国家立法,网络服务提供者作为义务的确立与完善沿革,可以明确“信息网络安全管理义务”的本质是刑事作为义务,应符合明确性的要求;其义务内涵需要经过刑法教义学的规范判断,而非前刑法规范中作为义务的简单集合。
  (一)本质要求:刑事作为义务的明确性
  根据拒不履行网络安全管理义务罪的规定,网络服务提供者应当履行“法律、行政法规规定的信息网络安全管理义务”。
  法条的表述,和本条罪名的确定,传递出的信息是本条设定的刑事作为义务即为“信息网络安全管理义务”,此项义务的法定内涵只能明确至“法律和行政法规规定的、主动监管信息网络安全的义务”的程度,具体的内容则由相应的法律和行政法规确定,学界也已出现了这样的观点。[8]然而,在处于消极司法法地位的刑法框架下,广泛而能动的社会“管理”职能与刑法在社会治理中应有的基本功能[9]是相抵触的。这样的解释所代表的,则是将行政管理义务强行提升为刑法规范确立之刑事作为义务的意图,在立法论层面,笔者认为这并不具备正当理据。
  同时,罪刑法定原则对本条设定的刑事作为义务之内涵,具有明确性的基本要求,在教义学层面对本条设定的刑事作为义务即为“法律和行政法规规定的信息网络安全管理义务”进行衡量,也无法得到解释上的自洽。
  可以说,任何部门法都没有同刑法一般如此强调法律规范的明确性。[10]因为刑法涉及对公民自由最为严厉的限制与剥夺,刑法条文必须清楚地告诉人们,什么是禁止的,以便让大家能够以此规束自己的举止。“对犯罪构成要件各个特征同样地也要描述得如此具体,使得对它们的意思含义和意义含义可以通过解释的方法来获取。”[11]
  那么,如果认为法条已经明确了此项义务的内涵,前提是“法律和行政法规”中对此已经有了明确的认定。有关于此,国务院《计算机信息网络国际联网安全保护管理办法》可以作为根据,其10条规定,“信息网络安全的管理”包括网络内容监管、网络经营监管、网络经营许可监管等。
  通过进一步对法律和行政法规的考察,会遗憾地发现,依据前刑法规范的规定,此义务内涵的解释无法得到明确,反而会产生矛盾。我国互联网领域的基本法——《网络安全法》[12]规定了承担此义务的主体。其第8条即明确规定,国务院电信主管部门、公安部门和其他有关机关依照相关法律规定,负责对网络安全的管理和监督,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。也就是说,此义务的适格主体应当是国家法律法规明确赋权的主管部门,而非网络服务提供者。但刑法中此义务的主体已经明确为网络服务提供者,这与上述结论产生了明显的冲突。
  究其原因,是法条对何为“信息网络安全管理义务”并未明确,若直接适用前刑法规范意义上的理解,将此义务解释为广泛的主动监管义务,无法得到解释上的自洽,需要进一步明确,作为此项刑事作为义务的适格主体,网络服务提供者所承担的义务内涵究竟是什么。
  (二)内涵:网络信息安全保护
  1.“避风港原则”为义务范畴的基本限制
  刑事作为义务也是法定义务之一种,廓清整体上网络服务提供者法定作为义务的内涵,是进一步理解我国语境下其刑事作为义务含义的前提。
  追本溯源,美国所提出的基本归责原则,以网络服务提供者是否对经由其传播的信息内容没有任何积极的介入以及是否知情为标准,[13]在过去近二十年中,成为了世界各国对于网络服务提供者进行归责认定所继受的基本框架。其《数字千年版权法》第512节列举了对不同类型网络服务提供者免责的条件,[14]从而为网络服务提供者创设了法律规制中的“避风港”;Zeran v AOL[15]案确认了对《传播净化法案》(Comunication Decency Act)第230条的解释,即网络服务提供者对任何己方所提供但来源于第三方主体的信息所造成之危害结果免责。两者与其后美国法院的判例[16]一起,共同创设了上述基本原则。继而还要求“搜寻侵权信息及通知服务提供者的责任由版权人承担”,[17]网络服务提供者只要保持对信息内容不作积极介入且能证明并不知情,并履行“通知——取下”[18]的配合义务,即可免责。
  在避风港原则的框架之下,以“内容管理”为核心,并按照对信息内容是否积极介入,对网络服务提供者的类型进行划分,在“类型化”的框架下分别明确各自是否应承担内容管理义务,这样的观念被广为接受。美国《数字千年版权法》中提出的两分法,即网络信息内容提供者和网络服务提供者,以及德国和欧盟法律中的四分法,即内容提供者、网络接入服务提供者、缓存服务提供者、存储服务提供者,都是基于这样的理念而提出。
  2.德国法中“妨害人责任”对义务内涵的扩展及其限制
  然而,距离上述法案颁布毕竟已经过去近二十年,并且,它也仅仅停留在侵权行为规制的范畴,网络服务提供者应承担的法定义务内涵随着其功能与业务范围的扩展,已经得到相当程度的拓展。互联网已然进入Web2.0,即信息积极交互的时代,虽然仍有作为“纯粹中介性通道”的网络服务提供者存在,但传统的网络服务提供者类型已开始产生进一步的分化,如网络平台提供者所发挥的作用就已远远超出单纯的技术支持。作为信息交互平台的管理者,而非单纯的“内容”展示平台,网络平台提供者有能力和义务防控其框架内信息传播与获取过程中产生的违法犯罪风险,其应当承担的法定义务内涵已远超内容管理。
  有鉴于此,德国的司法实践中,联邦最高法院通过类推适用《德国民法典》第1004条和第823条所创设的“妨害人责任”,要求网站对正在发生的侵权有排除义务,并对未来的妨害负有审查控制义务。[19]
  但是,作为德国民法中普遍适用、对“人身和财产性法益保护极端重要”[20]的民事责任,在德国互联网法律的理论和实务界,对于“妨害人责任”在网络空间中能够延伸多远,一直存在巨大的争议。传统上,在德国法律体系中主要适用《电信传媒法》的第5至10条,为不同类型的网络服务提供者设定作为义务并赋予相应的法律责任。[21]而自2006年汉堡高等法院在下述案件,即WLAN的私人拥有者由于未设置密码,而使他人连接上自己的WLAN从而完成对他人虚拟财产侵害的案件中[22]认定此私人拥有者应当作为“服务提供者”承担“妨害人责任”开始,暂且不论欧洲与德国范围内围绕WLAN私人拥有者是否可以解释为“服务提供者”展开的争议,[23]若认可其可以解释为网络接入服务提供者,仅由此责任给网络接入服务提供者科赋之风险审查义务的正当性,就引起了德国法律界的广泛质疑。
  在以具备妨害发生之风险而非妨害结果即足的前提下,德国联邦最高法院继受了国民法理论中对“妨害人责任”的认定的三个限定条件,即放任妨害发生之故意,[24]具备相当因果关系的作为加功或者违反法定义务的不作为,[25]以及具备排除妨害的可能性。[26]在2015年11月26日作出的判决中,[27]有限度地承认了它对网络接入服务提供者的适用。这事实上打破了“避风港原则”的基本限制,有限度地赋予了传统上被视作“中立技术通道”的网络接入服务提供者以风险审查的义务。
  自此,在前刑法规范的范畴内,借由“妨害人责任”突破“避风港原则”对网络服务提供者的所谓“技术中立”的绝对保护,从而有限度地将网络服务提供者的义务内涵由“内容管理”扩展到“信息传播治理”,已成为不可逆转的趋势。但是,对于此义务的限度进行探寻的努力也一直没有停止。例如,2016年7月21日通过的对《电信传媒法》第8条的修改,即为网络接入服务提供者创设了免责条款。[28]此外,德国联邦宪法法院在近期审理的公民Bf.诉《反恐怖主义数据管制法》第8至12条违宪一案[29]的判决中认为,警局对网络通讯软件服务提供者所掌握的、依据本法认定涉恐之信息的管制,只有在与公民的“通信秘密及其它由宪法保护之不可侵犯之基本权利相冲突”时,才能得以解除,即是德国联邦宪法法院在认可上文所述义务之内涵扩张的基本前提下,试图通过法益冲突衡量的教义学路径,对网络服务提供者的风险审查义务进行限缩。
  3.我国语境下的刑法教义学判断与限缩理解
  而具体到我国语境下,经过刑法教义学的规范判断,可以将此“信息网络安全管理义务”的内涵限缩理解为网络信息安全的保护。应当说,我国承认了避风港原则的精神,通过《侵权责任法》和《信息传播权保护条例》等法律法规的规定,为网络服务提供者的侵权责任设定了免责条件。但是,在上文所述的普遍趋势下,再来考察我国刑法中的拒不履行网络安全管理义务罪所设定的“信息网络安全管理义务”,会发现两点重要的变化。
  其一,作为网络服务提供者刑事归责的义务来源,从前刑法规范中的“信息内容管理”到刑法中的“信息传播治理”,在义务主体的层面是作出了限缩,限定于网络服务提供者,这是刑法规范明确性的应然要求。
  上文中,笔者已经论证了以下观点,在刑法层面,网络服务提供者所需承担的“信息网络安全管理义务”不可能是广泛的信息内容监管义务。将前刑法规范中如此广泛的“信息网络安全管理义务”都作为刑事作为义务赋予网络服务提供者,极其不现实,也与刑罚分配所应遵循的基本原则相悖。[30]
  其二,在义务实质内容的层面,由“信息内容管理”到“信息传播治理”则是产生了扩张。
  “信息传播治理义务”所要求的,是网络服务提供者除了对信息内容的事后管理之外,还应对网络空间中侵害信息权犯罪风险进行主动与前置性的审查与防控。考察相关的法律和行政法规规定,会发现《网络安全法》第三章和第四章中为网络运营者,包括网络服务提供者设定的“网络运营安全保护义务”和“网络信息安全保护义务”都应属于“信息传播治理义务”。后者是对信息内容的管理义务,即对网络服务提供者对于网络信息的储存、使用、公开等行为设置了相应的作为义务;前者则要求对网络空间信息流动中所产生的风险进行主动监测与防控。那么,在义务实质内涵的层面,本罪设定的“信息网络安全管理义务”是否涵盖了上述两种类型呢?因为此义务是刑事作为义务,那么它的范围应受到刑法条文的明确限定,它的具体内涵也应经过刑法教义学的规范判断得出。
  作为刑事作为义务,它所规制的只能是具有值得动用刑法进行处罚之严重性的情形,因为刑法的发动不能超越公正和效用的边界。那么,它就不能为网络服务提供者设定广泛的“信息传播治理义务”。继续来看本罪的规定,本罪罪状列举了“致使违法信息大量传播”、“致使用户信息泄露,造成严重后果”以及“致使刑事案件证据灭失,情节严重”三种情形,作为兜底条款的“其他严重情节”应当与前三种情形具备相当性,才可以适用本罪处罚。笔者认为,本罪通过这些具体情形的列举,将“信息网络安全管理”的内涵限定在了对所明文列举之相关信息安全的保护。同时,本罪“经监管部门责令采取改正措施而拒不改正”的规定,将“经监管部门责令采取改正措施而改正”作为对网络服务提供者刑事归责免责的条件,也就明白无误地排除了信息网络安全管理义务中对犯罪风险主动监测,也就是“网络运营安全保护义务”的内涵,将本义务限缩在了网络信息安全保护义务的范畴。
  正如上文所述,刑法规范的明确性以可以通过解释的方法获取其含义为基本界限。那么作为刑法所设定的刑事作为义务,信息网络安全管理义务的内涵通过以上的解释判断,可以明确为网络信息安全的保护。也即是说,《刑法》286条之一为网络服务提供者创设的不是作为行政管理义务的“信息网络安全管理义务”,而是作为刑事作为义务的“网络信息安全保护义务”。作此区分,也可以明确本条创设的刑事作为义务,与前刑法规范所创设的、作为行政管理义务的“信息网络安全管理义务”之间的本质区别。
  四、信息网络安全管理义务的边界
  至此可以明确,我国《刑法》286条之一为网络服务提供者设定的,不是“信息网络安全管理义务”,而是“网络信息完全保护义务”,其适用边界至此已完全厘清了吗?笔者以为恐怕不能。接下来,笔者拟对此项义务边界不明会产生的法治风险进行梳理,进而识别与评估,[31]并通过刑法教义学的限缩解释对此风险加以规避,以实现在尊重实定刑法的规范效力与内涵的基础上,对其进行符合刑事政策目标、刑法规范的法益保护目的以及刑法教义学逻辑的限缩,[32]使符合构成要件、违法且有责因而真正值得刑罚处罚的行为被定罪量刑的目标。
  (一)廓清边界的动因:义务边界不明晰的法治风险
  1.司法适用不确定的风险
  笔者认为,从刑法教义学的视角出发,此信息网络安全管理义务的义务主体,即处于刑事保证人地位之保证人尚不够明确,这催生了第一个风险,即此项义务司法适用不确定的风险。
  作为不作为犯,在寻找刑事保证人地位实质根据已经成为学界共识的背景下,仅由法条为网络服务提供者设定了信息网络安全管理义务,不必然产生网络服务提供者的刑事保证人地位,需要从学理上对其进一步明确。在对刑事保证人地位实质根据进行探讨的诸多学说中,笔者认为危险源监督说最为有力。“对于危险源的监督,产生了保护他人法益不受来自于自己控制领域危险威胁的义务。这种对危险源的控制是不作为犯的义务,

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1228695      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多