信息網路安全管理義務的刑法教義學展開
文 · 敬力嘉
題圖 網路
來源 《東方法學》2017年第 5 期
《刑法》第286條之一拒不履行網路安全管理義務罪體現了我國完善信息權刑法保護機制的努力。它所創設的,是網路服務提供者應承擔、作為刑事作為義務的「網路信息安全保護義務」,而非作為行政管理義務的「信息網路安全管理義務」。依照刑法規範明確性的要求,此義務核心內涵應為網路信息安全保護。為了避免義務邊界不明的法治風險,應當以刑法教義學的規範判斷為準繩,對其進行限縮解釋。以具體義務類型為依據,以義務主體為前提,以法益保護目的為指引,以履行義務的可能性為保障,可以明晰此「網路信息安全保護義務」的邊界,有效限制本罪處罰範圍。
一
問題提出:網路服務提供者的義務限度
信息通信技術(ICT)的發展使人類傳播與獲取信息的能力得到飛速提升,打破了國家對大量信息收集和管理的壟斷,逐步形成了儘管只有少數人可以掌握信息源,但大多數人可以自由獲取與傳播信息的開放型信息社會,是這一論斷最生動的體現。如何重構此開放型信息社會中的社會管理秩序,成為了亟待探索的問題。
面對互聯網環境下的侵犯信息權犯罪在刑法理論視野下認定與規制的困難,而這種困難是由刑法作為謙抑自守的司法法所應遵守之基本原則,與傳統控制型思維下,社會管理者追求犯罪風險的前置性防控,寄望最具強制力的刑法,希望它能最「有效」地實現這一能動的預防性管理功能的現狀之間的衝突所造成,繼而使相關犯罪的及時查處與損害修復陷入困境時,應當思考的進路便是,如何重構刑罰權的運行模式。從《刑法修正案(九)》來看,我國刑事立法忽視了網路空間中侵犯信息權犯罪的有效治理,應以對網路信息流動所形成的「價值鏈」關涉各方進行均衡的綜合治理為前提,選擇了對網路服務提供者科賦刑事作為義務,我國刑法中的「信息網路安全管理義務」,試圖以此實現犯罪風險防控的目的,完善信息權的刑法保護機制。
筆者對此立法的正當性持保留態度,但基於其實定法效力,不擬著墨於立法論層面的批判,將結合具體條文,重點釐清這項義務的存在根基、內涵以及適用範圍,亦即以此為中心,以明確此項刑事作為義務作用的機制,力求將立法層面產生的刑法功能失序所導致之負面效應最小化,完成對此「作為義務依賴」在教義學層面的反思。
二
信息網路安全管理義務的正當性根基
在結合具體的刑法條文展開論述之前,筆者首先要回答一個前置性問題:在刑法中為網路服務提供者設置此信息網路安全管理義務,是否具備正當性根基?
網路空間中的信息流動應受法律規制,這點毋庸置疑。而筆者在上文所提出的問題,實質更細化了一步,探討的是,將網路服務提供者不履行此義務的不作為犯罪化的正當性根基何在。筆者不從行為犯罪化的「內部限制」,即教義學框架內基本原則的層面對此問題進行探討,而從其「外部限制」,即入罪對於公民信息權保護的必要性考察出發,將這個問題依兩個層次展開,即為網路服務提供者設置法定作為義務的必要性,以及為其設置刑事作為義務的必要性。
(一)網路服務提供者是犯罪治理的關鍵切入點
網路空間結構中,網路服務提供者在信息流動中具備中介作用,是侵犯信息權犯罪風險得以實現的最關鍵一環。因此,這也應當是此類犯罪刑法治理最關鍵的切入點。為它設置法定作為義務,正是找准了這個切入點。
網路對人類社會組織模式最大的變革,是提供了一種革命性的連接方式,將消極的信息收發個體變為積極的信息交互主體,創造了巨量的信息流動。作為流動空間的網路空間,其根基在於連接與交互,承擔這個基本功能的是網路服務提供者,它也因此成為侵害信息權犯罪風險得以實現的關鍵環節。
在侵犯信息權犯罪的偵辦過程中,網路服務提供者發揮著不可替代的重要作用。
依照傳統思路,犯罪行為人是犯罪治理當然的中心對象。只有通過認定行為人所為之犯罪行為的不法與責任,才能得以適用刑法對其處罰,從而實現對犯罪的有效治理。但當這個思路適用於侵犯信息權犯罪,而此類犯罪發生在網路空間中時,存在很多現實困難,需要抓住網路服務提供者作為信息中介這一關鍵環節,為其設置法定作為義務,才能實現對犯罪行為的有效認定。
此類困難主要體現在:首先網路空間中犯罪主體從線下的自然人變成了網路賬戶,人機同一性認定存在一定難度,導致犯罪行為人的認定困難;其次,受害人分布地域極廣,存在眾多個案單個危害結果輕微,但危害範圍極廣的情形,難以對行為不法進行有效認定;再次,侵害信息權犯罪的案件發生於網路空間時,犯罪行為人的行為軌跡直接體現為信息的流動軌跡,案件的搜集取證存在相當的技術門檻。而由於自身的技術優勢和常態化的業務活動,網路服務提供者對網路空間中信息的追蹤與獲取具備無可取代的優勢。因此,為它設置相關的法定作為義務,能夠有效突破上述難題。
因此,面對互聯網與當代社會經濟發展高度融合的現狀,與網路空間中侵犯信息權犯罪的高發態勢,充分認識到網路服務提供者的關鍵作用,為其設置法定作為義務,具備正當理據。
(二)網路服務提供者的刑事作為義務具備核心價值
但法定作為義務有眾多層次,為何要對網路服務提供者科以刑事作為義務?應當說,基於網路服務提供者的關鍵作用,為其構建層次明晰的作為義務體系,是防控侵害信息權犯罪風險的理想目標。而基於中國當前國情,對於這一目標的實現,刑法為網路服務提供者設置的刑事作為義務具備核心價值。
2016年11月,我國首部網路專門法《網路安全法》獲得通過。雖然此法第三章和第四章分別為網路運營者,包括網路服務提供者設置了網路運營安全和網路信息安全的保護義務,規定明確而具體;第五章也為其不履行相應義務的不作為設置了警告、處分、罰款、吊銷營業執照等法律責任,但為了在網路服務提供者的不作為之不法與責任均達到刑罰處罰的要求時,刑事責任是不能缺位的。隨著《刑法修正案(九)》的實然生效,「信息網路安全管理義務」作為刑法明文規定的刑事作為義務,對於我國網路服務提供者而言,已經成為具備實際且最嚴厲法律效力的義務來源,是其法定作為義務體系規制範圍的基準。
綜上而論,為網路服務提供者設置這一刑事作為義務,具備了核心價值。
三
信息網路安全管理義務的內涵:網路信息安全保護
對於「信息網路安全管理義務」的內涵,除了可以明確它是我國刑法為網路服務提供者所設置的刑事作為義務,具體的含義又是如何?法條的簡略規定無法直接給我們提供答案。通過考察我國拒不履行網路安全管理義務罪的具體規定,並結合世界主要法治發達國家立法,網路服務提供者作為義務的確立與完善沿革,可以明確「信息網路安全管理義務」的本質是刑事作為義務,應符合明確性的要求;其義務內涵需要經過刑法教義學的規範判斷,而非前刑法規範中作為義務的簡單集合。
(一)本質要求:刑事作為義務的明確性
根據拒不履行網路安全管理義務罪的規定,網路服務提供者應當履行「法律、行政法規規定的信息網路安全管理義務」。
法條的表述,和本條罪名的確定,傳遞出的信息是本條設定的刑事作為義務即為「信息網路安全管理義務」,此項義務的法定內涵只能明確至「法律和行政法規規定的、主動監管信息網路安全的義務」的程度,具體的內容則由相應的法律和行政法規確定,學界也已出現了這樣的觀點。然而,在處於消極司法法地位的刑法框架下,廣泛而能動的社會「管理」職能與刑法在社會治理中應有的基本功能是相抵觸的。這樣的解釋所代表的,則是將行政管理義務強行提升為刑法規範確立之刑事作為義務的意圖,在立法論層面,筆者認為這並不具備正當理據。
同時,罪刑法定原則對本條設定的刑事作為義務之內涵,具有明確性的基本要求,在教義學層面對本條設定的刑事作為義務即為「法律和行政法規規定的信息網路安全管理義務」進行衡量,也無法得到解釋上的自洽。
可以說,任何部門法都沒有同刑法一般如此強調法律規範的明確性。因為刑法涉及對公民自由最為嚴厲的限制與剝奪,刑法條文必須清楚地告訴人們,什麼是禁止的,以便讓大家能夠以此規束自己的舉止。「對犯罪構成要件各個特徵同樣地也要描述得如此具體,使得對它們的意思含義和意義含義可以通過解釋的方法來獲取。」
那麼,如果認為法條已經明確了此項義務的內涵,前提是「法律和行政法規」中對此已經有了明確的認定。有關於此,國務院《計算機信息網路國際聯網安全保護管理辦法》可以作為根據,其10條規定,「信息網路安全的管理」包括網路內容監管、網路經營監管、網路經營許可監管等。
通過進一步對法律和行政法規的考察,會遺憾地發現,依據前刑法規範的規定,此義務內涵的解釋無法得到明確,反而會產生矛盾。我國互聯網領域的基本法——《網路安全法》規定了承擔此義務的主體。其第8條即明確規定,國務院電信主管部門、公安部門和其他有關機關依照相關法律規定,負責對網路安全的管理和監督,國家網信部門負責統籌協調網路安全工作和相關監督管理工作。也就是說,此義務的適格主體應當是國家法律法規明確賦權的主管部門,而非網路服務提供者。但刑法中此義務的主體已經明確為網路服務提供者,這與上述結論產生了明顯的衝突。
究其原因,是法條對何為「信息網路安全管理義務」並未明確,若直接適用前刑法規範意義上的理解,將此義務解釋為廣泛的主動監管義務,無法得到解釋上的自洽,需要進一步明確,作為此項刑事作為義務的適格主體,網路服務提供者所承擔的義務內涵究竟是什麼。
(二)內涵:網路信息安全保護
1.「避風港原則」為義務範疇的基本限制
刑事作為義務也是法定義務之一種,廓清整體上網路服務提供者法定作為義務的內涵,是進一步理解我國語境下其刑事作為義務含義的前提。
追本溯源,美國所提出的基本歸責原則,以網路服務提供者是否對經由其傳播的信息內容沒有任何積極的介入以及是否知情為標準,在過去近二十年中,成為了世界各國對於網路服務提供者進行歸責認定所繼受的基本框架。其《數字千年版權法》第512節列舉了對不同類型網路服務提供者免責的條件,從而為網路服務提供者創設了法律規制中的「避風港」;Zeran v AOL案確認了對《傳播凈化法案》(Comunication Decency Act)第230條的解釋,即網路服務提供者對任何己方所提供但來源於第三方主體的信息所造成之危害結果免責。兩者與其後美國法院的判例一起,共同創設了上述基本原則。繼而還要求「搜尋侵權信息及通知服務提供者的責任由版權人承擔」,網路服務提供者只要保持對信息內容不作積極介入且能證明並不知情,並履行「通知——取下」的配合義務,即可免責。
在避風港原則的框架之下,以「內容管理」為核心,並按照對信息內容是否積極介入,對網路服務提供者的類型進行劃分,在「類型化」的框架下分別明確各自是否應承擔內容管理義務,這樣的觀念被廣為接受。美國《數字千年版權法》中提出的兩分法,即網路信息內容提供者和網路服務提供者,以及德國和歐盟法律中的四分法,即內容提供者、網路接入服務提供者、緩存服務提供者、存儲服務提供者,都是基於這樣的理念而提出。
2.德國法中「妨害人責任」對義務內涵的擴展及其限制
然而,距離上述法案頒布畢竟已經過去近二十年,並且,它也僅僅停留在侵權行為規制的範疇,網路服務提供者應承擔的法定義務內涵隨著其功能與業務範圍的擴展,已經得到相當程度的拓展。互聯網已然進入Web2.0,即信息積極交互的時代,雖然仍有作為「純粹中介性通道」的網路服務提供者存在,但傳統的網路服務提供者類型已開始產生進一步的分化,如網路平台提供者所發揮的作用就已遠遠超出單純的技術支持。作為信息交互平台的管理者,而非單純的「內容」展示平台,網路平台提供者有能力和義務防控其框架內信息傳播與獲取過程中產生的違法犯罪風險,其應當承擔的法定義務內涵已遠超內容管理。
有鑒於此,德國的司法實踐中,聯邦最高法院通過類推適用《德國民法典》第1004條和第823條所創設的「妨害人責任」,要求網站對正在發生的侵權有排除義務,並對未來的妨害負有審查控制義務。
但是,作為德國民法中普遍適用、對「人身和財產性法益保護極端重要」的民事責任,在德國互聯網法律的理論和實務界,對於「妨害人責任」在網路空間中能夠延伸多遠,一直存在巨大的爭議。傳統上,在德國法律體系中主要適用《電信傳媒法》的第5至10條,為不同類型的網路服務提供者設定作為義務並賦予相應的法律責任。而自2006年漢堡高等法院在下述案件,即WLAN的私人擁有者由於未設置密碼,而使他人連接上自己的WLAN從而完成對他人虛擬財產侵害的案件中認定此私人擁有者應當作為「服務提供者」承擔「妨害人責任」開始,暫且不論歐洲與德國範圍內圍繞WLAN私人擁有者是否可以解釋為「服務提供者」展開的爭議,若認可其可以解釋為網路接入服務提供者,僅由此責任給網路接入服務提供者科賦之風險審查義務的正當性,就引起了德國法律界的廣泛質疑。
在以具備妨害發生之風險而非妨害結果即足的前提下,德國聯邦最高法院繼受了國民法理論中對「妨害人責任」的認定的三個限定條件,即放任妨害發生之故意,具備相當因果關係的作為加功或者違反法定義務的不作為,以及具備排除妨害的可能性。在2015年11月26日作出的判決中,有限度地承認了它對網路接入服務提供者的適用。這事實上打破了「避風港原則」的基本限制,有限度地賦予了傳統上被視作「中立技術通道」的網路接入服務提供者以風險審查的義務。
自此,在前刑法規範的範疇內,藉由「妨害人責任」突破「避風港原則」對網路服務提供者的所謂「技術中立」的絕對保護,從而有限度地將網路服務提供者的義務內涵由「內容管理」擴展到「信息傳播治理」,已成為不可逆轉的趨勢。但是,對於此義務的限度進行探尋的努力也一直沒有停止。例如,2016年7月21日通過的對《電信傳媒法》第8條的修改,即為網路接入服務提供者創設了免責條款。
此外,德國聯邦憲法法院在近期審理的公民Bf.訴《反恐怖主義數據管制法》第8至12條違憲一案的判決中認為,警局對網路通訊軟體服務提供者所掌握的、依據本法認定涉恐之信息的管制,只有在與公民的「通信秘密及其它由憲法保護之不可侵犯之基本權利相衝突」時,才能得以解除,即是德國聯邦憲法法院在認可上文所述義務之內涵擴張的基本前提下,試圖通過法益衝突衡量的教義學路徑,對網路服務提供者的風險審查義務進行限縮。
3.我國語境下的刑法教義學判斷與限縮理解
而具體到我國語境下,經過刑法教義學的規範判斷,可以將此「信息網路安全管理義務」的內涵限縮理解為網路信息安全的保護。應當說,我國承認了避風港原則的精神,通過《侵權責任法》和《信息傳播權保護條例》等法律法規的規定,為網路服務提供者的侵權責任設定了免責條件。但是,在上文所述的普遍趨勢下,再來考察我國刑法中的拒不履行網路安全管理義務罪所設定的「信息網路安全管理義務」,會發現兩點重要的變化。
其一,作為網路服務提供者刑事歸責的義務來源,從前刑法規範中的「信息內容管理」到刑法中的「信息傳播治理」,在義務主體的層面是作出了限縮,限定於網路服務提供者,這是刑法規範明確性的應然要求。
上文中,筆者已經論證了以下觀點,在刑法層面,網路服務提供者所需承擔的「信息網路安全管理義務」不可能是廣泛的信息內容監管義務。將前刑法規範中如此廣泛的「信息網路安全管理義務」都作為刑事作為義務賦予網路服務提供者,極其不現實,也與刑罰分配所應遵循的基本原則相悖。
其二,在義務實質內容的層面,由「信息內容管理」到「信息傳播治理」則是產生了擴張。
「信息傳播治理義務」所要求的,是網路服務提供者除了對信息內容的事後管理之外,還應對網路空間中侵害信息權犯罪風險進行主動與前置性的審查與防控。考察相關的法律和行政法規規定,會發現《網路安全法》第三章和第四章中為網路運營者,包括網路服務提供者設定的「網路運營安全保護義務」和「網路信息安全保護義務」都應屬於「信息傳播治理義務」。後者是對信息內容的管理義務,即對網路服務提供者對於網路信息的儲存、使用、公開等行為設置了相應的作為義務;前者則要求對網路空間信息流動中所產生的風險進行主動監測與防控。那麼,在義務實質內涵的層面,本罪設定的「信息網路安全管理義務」是否涵蓋了上述兩種類型呢?因為此義務是刑事作為義務,那麼它的範圍應受到刑法條文的明確限定,它的具體內涵也應經過刑法教義學的規範判斷得出。
作為刑事作為義務,它所規制的只能是具有值得動用刑法進行處罰之嚴重性的情形,因為刑法的發動不能超越公正和效用的邊界。那麼,它就不能為網路服務提供者設定廣泛的「信息傳播治理義務」。繼續來看本罪的規定,本罪罪狀列舉了「致使違法信息大量傳播」、「致使用戶信息泄露,造成嚴重後果」以及「致使刑事案件證據滅失,情節嚴重」三種情形,作為兜底條款的「其他嚴重情節」應當與前三種情形具備相當性,才可以適用本罪處罰。
筆者認為,本罪通過這些具體情形的列舉,將「信息網路安全管理」的內涵限定在了對所明文列舉之相關信息安全的保護。同時,本罪「經監管部門責令採取改正措施而拒不改正」的規定,將「經監管部門責令採取改正措施而改正」作為對網路服務提供者刑事歸責免責的條件,也就明白無誤地排除了信息網路安全管理義務中對犯罪風險主動監測,也就是「網路運營安全保護義務」的內涵,將本義務限縮在了網路信息安全保護義務的範疇。
正如上文所述,刑法規範的明確性以可以通過解釋的方法獲取其含義為基本界限。那麼作為刑法所設定的刑事作為義務,信息網路安全管理義務的內涵通過以上的解釋判斷,可以明確為網路信息安全的保護。也即是說,《刑法》286條之一為網路服務提供者創設的不是作為行政管理義務的「信息網路安全管理義務」,而是作為刑事作為義務的「網路信息安全保護義務」。作此區分,也可以明確本條創設的刑事作為義務,與前刑法規範所創設的、作為行政管理義務的「信息網路安全管理義務」之間的本質區別。
四
信息網路安全管理義務的邊界
至此可以明確,我國《刑法》286條之一為網路服務提供者設定的,不是「信息網路安全管理義務」,而是「網路信息完全保護義務」,其適用邊界至此已完全釐清了嗎?筆者以為恐怕不能。接下來,筆者擬對此項義務邊界不明會產生的法治風險進行梳理,進而識別與評估,並通過刑法教義學的限縮解釋對此風險加以規避,以實現在尊重實定刑法的規範效力與內涵的基礎上,對其進行符合刑事政策目標、刑法規範的法益保護目的以及刑法教義學邏輯的限縮,使符合構成要件、違法且有責因而真正值得刑罰處罰的行為被定罪量刑的目標。
(一)廓清邊界的動因:義務邊界不明晰的法治風險
1.司法適用不確定的風險
筆者認為,從刑法教義學的視角出發,此信息網路安全管理義務的義務主體,即處於刑事保證人地位之保證人尚不夠明確,這催生了第一個風險,即此項義務司法適用不確定的風險。
作為不作為犯,在尋找刑事保證人地位實質根據已經成為學界共識的背景下,僅由法條為網路服務提供者設定了信息網路安全管理義務,不必然產生網路服務提供者的刑事保證人地位,需要從學理上對其進一步明確。在對刑事保證人地位實質根據進行探討的諸多學說中,筆者認為危險源監督說最為有力。「對於危險源的監督,產生了保護他人法益不受來自於自己控制領域危險威脅的義務。這種對危險源的控制是不作為犯的義務,其根據在於,複雜社會系統中的秩序必須依賴於(處分權人)所管理的特定空間和特定控制領域的安全。」以此觀之,網路服務提供者作為此義務刑事保證人地位的確立,僅明確至「網路服務提供者」這一概括的上位概念尚顯不足,還應當對它的功能類型作進一步的區分,進而才能認定各自應承擔的具體義務類型。
然而,無論是從拒不履行網路安全管理義務罪,還是前刑法規範中的法條規定,都缺乏對「網路服務提供者」具體內涵明確的認定。而刑法條文的明確性則是決定刑法適用確定性的重要因素之一。
所謂刑法規範的確定性,是指刑法是否總是(或者大多數時候或者從不)對法律問題提供唯一正確的答案。在作為公民的角色中,行為人要承擔他對於社會共同體的、合法的共同責任。在這種共同責任里,他與刑罰聯繫在了一起。為了使刑罰的發動具備正當性,刑法的適用應當具有確定性。這種確定性可以為司法機關提供明確的裁判規範,限制其權力的恣意發動,也可以為公民提供明晰的行為規範,使其明確知曉可為與不可為的界限。若對網路服務提供者的類型和義務的具體類型不作明確區分,此種確定性便不可得。
2.窒息網路服務提供者創新與發展的風險
其次值得注意的風險,是忽略此項義務應有的法益保護目的和網路服務提供者履行義務的可能性,進而對其創新與發展帶來沉重負擔的風險。
對於本罪設立的批判者來說,其最大的理據便是認為不可能要求網路服務提供者對網路空間中的信息傳播承擔廣泛的治理義務,這會給它們製造巨大的人力、金錢與時間負擔,進而會扼殺互聯網產業的創新與發展,是「情緒化」的刑事立法。法益保護目的的缺失與義務履行可能性考量的缺位是兩個重要的影響因素。
法益的概念對於作為限制科學的刑法教義學功能,即追求邏輯自洽、功能自足、體系一致與有效、限制刑法適用、實現個案公正之功能的發揮具有重要意義。具體而言,確定拒不履行網路安全管理義務罪所保護的法益為何,可以將信息網路安全管理義務的適用限定於保護法益之目的,從而避免將網路服務提供者的業務活動全面納入規制範圍。
而承擔義務的可能性則是完成對網路服務提供者刑事歸責的保障。此種可能性在現實層面體現為義務履行的技術可能性,在規範層面,則體現為義務履行的期待可能性。正如前文所述,在我國經濟社會的發展中,網路服務提供者已經逐漸佔據愈加重要的地位,將其納入法治規範的軌道實為必然。然而在網路世界中,信息自由流動所產生的碰撞是創新與發展的動力源泉,而不能被一概視作網路空間這一統一機體上的病痛,採取措施加以祛除。只有對網路刑事法進行技術制衡,才能避免窒息網路的發展。因此,在現實層面,應當考量網路服務提供者在具體的技術環境下是否可能履行義務,而在刑事歸責的規範層面,則應當以技術可能性為基礎,在教義學的判斷中考量網路服務提供者是否具有履行義務的期待可能性。
(二)具體的義務類型為依據
如何明晰義務的邊界,消解法治風險?這需要通過刑法教義學的規範判斷,確立明確的標準。具體的義務類型,是明晰義務邊界的依據。拒不履行網路安全管理義務罪中「經監管部門責令採取改正措施而拒不改正」的表述,才確認了網路服務提供者具體的義務類型。考察我國《網路安全法》的具體規定之後,可以確認為本法第三章第一節中規定的、只限於自我管理以及對用戶和主管部門進行配合範圍內的網路運營安全保護義務;以及在四章所規定的網路信息安全保護義務。兩者的性質可以歸納為配合義務,具備配合風險審查與配合信息內容管理的兩個側面。
所謂配合義務,是指在法律明文授權的前提下,所有類型的網路服務提供者配合用戶或者國家主管部門將特定目標信息存儲、提供或公開的義務。因為當下網路空間中侵害信息權的犯罪行為難以像傳統犯罪中一般通過現實空間中證據材料的搜集進行認定,只有行為產生的信息流動的軌跡才可以作為此類犯罪的證據材料,網路服務提供者的配合對於此軌跡的確定就顯得非常重要。避風港原則所設立的「通知——取下」義務便屬於配合義務的範疇,我國《侵權責任法》36條第3款對此予以肯定。
通過《網路安全法》第三章第一節的規定,為網路服務提供者設立了廣泛的配合義務。其本質是網路服務提供者為主動審查侵犯信息權犯罪風險提供配合,但並非是主動審查,這是配合義務的風險防控側面。就筆者探討的中心而言,作為本罪確定的刑事作為義務,其內容由前刑法規範設定,但是否成立犯罪繼而承擔本罪設定的刑事責任,應以不純正不作為犯的刑事歸責路徑進行展開,筆者不作展開。而《網路安全法》第四章所設定的網路信息安全管理義務,其本質是網路服務提供者配合義務的信息內容管理側面。
也就是說,作為刑事作為義務的「網路信息安全保護義務」,其具體的義務類型為網路服務提供者的配合義務,包含風險審查的配合與信息內容的管理兩個側面。
(三)明晰的義務主體為前提
本罪的義務主體,即「網路服務提供者」之明確內涵,是信息網路安全管理義務得以準確適用的前提。基於功能標準考量,此處所謂「內涵」即其具體的類型。筆者接下來欲結合我國《網路安全法》和歐洲議會於2016年7月6日二讀審議通過的《網路與信息系統安全指令》(即NIS指令)有關網路服務提供者類型的規定,具體明確其類型區分,以及對所承擔的具體義務類型的影響。
1.網路服務提供者的概念與傳統分類
在我國互聯網領域立法並不完善的當下,缺乏對於網路活動主體規範的法律界定。2010年頒行的《侵權責任法》、2013年修訂的《信息網路傳播權保護條例》以及2015年通過《刑法修正案(九)》增設的拒不履行網路安全管理義務罪都使用了「網路服務提供者」的概念,卻並沒有相應的法律或行政法規對其內涵進行闡釋。而作為我國互聯網領域的基本法,《網路安全法》中使用了「網路產品和服務提供者」、「關鍵信息基礎設施運營者」、「網路運營者」等多個概念,卻缺乏對這些網路活動主體概念明確而規範的界定,因此需要對其進行學理解釋,明確本罪所設定此項刑事作為義務的主體。
所謂網路服務提供者,從廣義的角度看,指專營為社會公眾提供網路信息通訊服務,並保存任何經由其構建的網路空間「收費站」之用戶所留下的信息流動軌跡的「守門人」。
傳統上,一般根據提供服務內容的不同,將網路服務提供者分為兩大類:第一類是網路信息內容提供者(ICP),指自己組織信息通過網路向公眾傳播的主體;第二類是網路服務提供者,指為傳播網路信息提供中介服務的主體。
這樣的分類思路源起美國1998年《數字千年版權法》,在那個互聯網剛剛起步的年代,基於對網路發展創新的鼓勵,最終確定以是否參與內容製作以及是否對內容知情為網路服務提供者在法規範視野內類型化的依據,網路服務提供者屬於不參與內容製作並對內容不知情者,進而通過第512節設立的避風港原則實質確立了對這一類主體的責任限制制度,並逐步演變為對網路服務提供者的普遍歸責原則。根據拒不履行網路安全管理義務罪中「不履行法律、行政法規規定的信息網路安全管理義務」及相應後果的規定,可以認定本罪主體「網路服務提供者」是不參與內容製作並對內容不知情的網路服務提供者。
2.網路服務提供者的功能分化與意義
《數字千年版權法》所確立的、並為全世界廣泛繼受的歸責原則排斥給網路服務提供者科以對網路空間中侵犯信息權犯罪風險主動審查的義務,認為這會是網路服務提供者不可承受之重,會阻礙互聯網的創新與發展。然而,隨著時代的發展與技術的進步,在接受上述以促進互聯網發展創新為導向的原則性框架的前提下,網路服務提供者的功能在兩個維度上進一步發生分化,從而導致其應當承擔的作為義務也產生了變化。目前學界對於應當根據網路服務提供者的不同類型分別認定其刑事責任基本已形成共識,但對於筆者所指出的兩個功能分化的維度卻缺乏必要的關注,值得加以深入探討。
第一,網路平台的功能已經遠遠超出「單純通道」或技術保障,成為了網路空間信息交互的綜合平台,網路平台提供者的角色也早已不具備被動性、工具性和中立性的特質,而是具備充分的能力並且也已經積极參与到了對平台內信息流動的控制中,成為了網路空間中那隻「無形之手」。對它們來說,「對網路空間的控制並不存在過多障礙。」一個極好的例證是阿里巴巴對於制假售假的打擊。阿里巴巴公司充分利用自身所掌握的大數據資源,從2015年4月至9月,向執法機關推送售假團伙線索717條,獲各地執法部門立案的為330條,被破獲的案件為279起。其間,阿里巴巴協助警方搗毀制假、倉儲、售假窩點600餘個,抓獲犯罪嫌疑人715人。
這充分說明,作為信息交互、進而已具備部分社交功能的平台,網路平台有能力也有義務前置性防控在其平台服務的範疇內所產生的侵害信息權犯罪的風險。並且,在可以預見的將來,網路平台提供者對於網路空間服務的集成範圍只會不斷擴大,雲端服務的產生與發展即代表了這一趨勢。在此背景下,網路平台提供者應當在應然的限度內承擔對犯罪風險主動審查的義務,亦即網路運營安全保護義務。而單純的接入服務提供者,包括硬體和軟體接入服務提供者,以及代理緩存和存儲服務提供者則不應承受這樣的負擔。
筆者認為,《網路安全法》第三章第一節規定中所謂的「網路運營者」和「網路產品和服務提供者」的規定中所謂的「網路產品和服務提供者」均應理解為筆者意義上的網路服務提供者。依本節的規定,後兩者也需承擔網路運營安全保護義務,但只限於自我管理以及對用戶和主管部門報告相關犯罪風險的配合義務範圍內。
第二,互聯網在以「摩爾定理」的速度發展著,它的觸角能夠延伸到的廣度也在逐步以「摩爾定理」的速度增加,網路服務提供者所能影響的法益的重要性層次也必然愈加複雜,法律保護的力度也就不能一刀切。僅以功能的區分標準作為網路服務提供者法定作為義務的區分標準是不可取的。因為如果不對法律想要禁止的最終危害進行分類,也就很難對其想要禁止的行為分類。在基本功能界分的框架下,還應當根據該主體所保護法益的重要性,對義務主體作出第二層次的劃分,以此決定該主體應當承擔的作為義務強度。《網路安全法》中即作出了「關鍵信息基礎設施運營者」和「網路運營者」的劃分,並且通過本法31條明確了「關鍵信息基礎設施」的內涵,「網路運營者」的含義則沒有規範的定義,可以參考《指令》的規定,在今後的立法中進一步完善。
網路服務提供者屬於關鍵信息設施運營者還是一般的網路運營者,決定了該主體所保護信息權的重要性。那麼如果接入服務提供者(IAP)、代理緩存服務提供者和儲存服務提供者為關鍵信息基礎設施運營者時,也應承擔對侵犯信息權犯罪風險的主動審查義務。《網路安全法》中對此作出了明確的規定,其第三章第二節即為關鍵信息基礎設施運營者設置了顯著的風險主動審查義務。如本法第38條,即對關鍵信息基礎設施運營者規定了就網路運營安全風險定期檢測和報告的義務。而一般的「網路運營者」,根據本法第三章第一節和第四章的規定,應承擔對信息內容進行管理的網路信息安全保護義務,其應承擔的網路運營安全保護義務只限於自我管理以及對用戶和主管部門報告相關犯罪風險的配合義務範圍內,不包括對風險的主動審查義務。
綜合以上的分析,筆者認為,結合上述兩種標準,才可對網路空間中侵害信息權行為的社會危害性進行實質判斷,不能單純基於預防性的管理需求,認為網路因為其跨越地域的流動特性造成了網路信息流動的難以控制,就天然帶有令以管理者自居者恐懼的原罪。既然「信息網路安全管理義務」只應限於配合義務的範疇,那麼,就配合風險防控而言,在功能區分的層面上,網路平台服務提供者為適格主體,網路接入服務提供者、代理緩存和存儲服務提供者不應是適格主體,在所連接法益重要性區分的層面上,基礎信息設施服務提供者均為適格主體,一般網路運營者則需參照功能區分進行認定;就配合信息內容管理而言,所有類型的網路服務提供者均為適格的義務主體。
(四)法益保護目的為指引
既然已經明確「信息網路安全管理義務」的內涵是以「網路信息安全保護」為核心的配合義務,它的適用範圍如何來確定?這需要法益保護目的的指引。在刑法教義學層面,特定罪名所保護的法益應是其解釋適用的出發點,決定了其附隨之刑罰所打擊的基本射程。
在「網路信息安全保護」的範疇下,本罪所保護的對象已經呼之欲出,那就是信息。從刑法的角度來看,刑法保護的信息法益就是基於刑法的規定,受刑法所保護的信息主體所享有的信息權利。我國有關信息權的研究主要在民法學領域,限於個人信息權,作為與隱私權相區分的獨立人格權展開,2016年6月第十二屆全國人大常務會第二十一次會議初次審議通過的《民法總則(草案)》也在第108條規定了對數據信息的知識產權予以保護,表達了對個人信息權財產屬性的認可態度,但在我國刑法學領域的研究中,卻鮮有涉及。究其原因,筆者認為主要在於刑法規範遠高於民法的明確性要求,致使在刑法理論中實現將「信息權」作為法益進行界定的目標非常困難。
具體到本罪來說,條文所規定的三種情形,而非「法律和行政法規」才規定了本罪所保護的信息權類型,這是刑法規範明確性的必然要求。即,「致使用戶信息泄露,造成嚴重後果」和「致使刑事案件證據滅失,情節嚴重」保護的法益分別是用戶和刑事案件偵辦機構所享有的用戶信息專有權與刑事案件證據信息專有權,而「致使違法信息大量傳播」所保護的則應是負責處理違法信息的相關部門為了履行其職能所享有的違法信息專有權。
基於信息的流動性所帶來內涵與信息權主體的非確定性,和對刑法規範謙抑品格的堅持,筆者認為作為刑法法益的信息專有權不能完全的去實質化,應當堅持人本的法益觀,繼續尋求本罪所保護的信息專有權之中的個體權利根基。筆者認為,此根基,亦即信息專有權的核心,在於信息專有權主體對於數據處理的同意。對其內涵的進一步釐清,要以兩個概念的解析為基礎,即「信息專有權主體」和「同意」。首先,信息專有權主體可以分為個人主體與非個人主體。在大數據的時代背景下,隨著數據收集和信息挖掘技術的飛速進步,對個人信息的規模化利用已成為趨勢,隨著網路的發展,信息交流加快,特別是網上金融交易和網上購物的開展,促進了個人信息的流動,諸如密碼外泄門事件等非法收集、利用、公開個人信息的案件也隨之出現,在此過程中對公民個體也產生了引人注目的人格與財產侵害,個人信息的保護已經成為各國關注的重要問題。正因如此,學界對個人信息法律保護的關注歷久不衰。本罪規定的第一種情形,所保護的即用戶個人信息專有權。而對於後面兩種情形所分別保護的刑事案件證據信息專有權和違法信息專有權,其權利主體均為非個人主體,即刑事案件偵辦機構和負責處理違法信息的相關部門,其對相應信息的專有權並非天然所有,而是來自法律規範的賦予。
其次,與信息專有主體相對應,「同意」可以分為相應信息專有權主體的事實同意與法律擬制的同意。作為自然人,用戶就涉個人數據的處理當然可以進行實然意義上的事實同意;而作為非自然人的機構,其對涉及所享有專有權之數據處理的同意,是法律規範所擬制。而刑法將本罪規定在分則第六章第一節「違反社會公共秩序罪」中,其意圖即欲將本罪保護的特定信息專有許可權定為社會公共秩序。後兩種情形所規定的非個人主體的信息專有權,不是真正的信息專有權,其保護的實質是相關機構對自身職權範圍內所有之信息的行政管理秩序,適用行政法規進行保護即可,不值得動用刑法進行保護,不應成為真正的刑法法益;而本罪真正保護的法益,是具備社會公共利益屬性的用戶信息專有權,也就是具備人格權和財產權屬性的、不特定或者多數用戶的信息專有權之集合。通過這樣的解釋,應當在本罪的實際適用中避免使用後兩個保護偽信息專有權的條款,避免刑事違法與行政違法之間的相對性界限因此而崩潰。
(五)履行義務的可能性為保障
最後,網路服務提供者履行義務的可能性是實現對其刑事歸責的保障。筆者已經對此義務提出了三個具體的限縮標準,即網路服務提供者的類型,具體的義務類型,以及法益保護目的,那麼,對此可能性的探討自然在這個限定的語境下展開。
首先是網路平台服務提供者。當前語境下的網路平台服務提供者,其本身已經超越了傳統網路服務提供者作為「中介」的範疇,成為了綜合多種服務的、具備一定社交性質的信息交互平台。基於對具備公共利益屬性的特定信息專有權之保護目的,網路平台服務提供者應當能夠履行體現為配合義務、內涵為網路信息安全保護義務的「信息網路安全管理義務」。
此種判斷的現實基礎,在於軟體的中心化為網路平台提供者提供了技術可能性,使其可以通過服務對終端進行控制,未來的雲服務更是代表了這種趨勢。教義學規範判斷中,這樣的技術可能性是期待可能性的存在論根基。而其規範根基則還需在個案中對一定的法益衝突進行衡量之後才能找到。即在公民言論自由和隱私權等基本權利與履行義務所保護之法益產生衝突時,衡量之後得出應當要求履行的結論時,網路平台服務提供者才具備履行此義務的規範根基。
其次,再來看網路接入服務提供者。由於網路傳輸信息的海量性、加密設置以及對數據傳輸進行實時監控的現實困難,以及憲法所保障的言論自由和公民隱私權保護等因素的考量,單純作為「技術通道」的網路接入服務提供者不可能對其傳輸的內容實現控制。就算是接到了相關主管部門責令改正的通知,除非其付出巨大代價徹底關閉或轉型,否則不足以前置性介入的,出於利益衝突衡量及公共政策妥當性的考量,也不能夠對其作此要求。因此它不是風險監控配合層面之「信息網路安全管理義務」的適格主體,只具備履行信息內容管理配合層面之「信息網路安全管理義務」的可能性。
最後,是代理緩存服務提供者和存儲服務提供者。兩者通過伺服器或者雲存儲等方式,為他人提供信息數據存儲服務,能夠對存儲空間進行物理或者遠程的直接控制,接到告知以後,也能夠迅速對相關違法涉罪信息進行刪除。但基於信息數據加密等設置,和與網路接入服務提供者同樣的考量,只能認定能夠履行信息內容管理配合層面之「信息網路安全管理義務」。(作者系武漢大學法學院博士研究生,德國弗萊堡大學法學院博士研究生。)
本文系2016年國家建設高水平大學生派研究生項目(項目批准號:CSCNO.201606270181)
END
注
僅供交流,不代表平台觀點。
