据不履行信息网络安全管理义务的刑事责任

作者:冯超 周亮

观点

近日,央行批准的8家个人征信试点机构之一考拉征信因涉嫌非法提供公民个人信息9800多万次,获利3800万元,受到公安机关的调查,也再次引起了社会各界对于信息网络安全的广泛关注。2015年出台的《刑法修正案(九)》增加了“拒不履行信息网络安全管理义务罪”这一新的罪名,规定网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务的,需承担相应刑事责任,但对于责任承担的主体和构成犯罪的具体情形,均缺乏具体的规定。

2017年实施的《网络安全法》规定了网络运营者、网络产品和服务的提供者负有广泛的信息安全管理义务,对于违反《网络安全法》,构成犯罪的,依法追究刑事责任。因此,对《刑法》规定的拒不履行信息网络安全管理义务罪进行细化,成为贯彻落实《网络安全法》的迫切需要。

因此,最高人民法院和最高人民检察院于2019年10月21日联合发布了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(“《信息网络犯罪司法解释》”),对拒不履行信息网络安全管理义务罪的犯罪主体、构成犯罪的具体情形等进行了明确,该司法解释自2019年11月1日起施行。

一、承担责任的主体

《网络安全法》规定的信息网络安全管理义务的主体主要是“网络运营者”。根据《网络安全法》第七十六条的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。

《刑法》第二百八十六条之一规定的“拒不履行信息网络安全管理义务罪”的责任承担主体为“网络服务提供者”。从文本上看,《网络安全法》规定的承担信息网络安全管理义务的主体和《刑法》规定的“拒不履行信息网络安全管理义务罪”的责任主体并不一致,且对于“网络服务提供者”的概念,我国法律法规也缺乏明确规定。

为了明确上述问题,《信息网络犯罪司法解释》首先对“网络服务提供者”的概念进行了明确。该司法解释第一条规定,提供下列三类服务的单位和个人,应当认定为刑法第二百八十六条之一第一款规定的“网络服务提供者”,包括:    

(1)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;

(2)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;

(3)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。

二、承担责任的前提

根据《刑法》第二百八十六条之一规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,并造成特定的危害结果的,需承担相应的刑事责任。因此,网络服务提供者构成“拒不履行信息网络安全管理义务罪”,并承担刑事责任的前提是“经监管部门责令采取改正措施而拒不改正”。

根据《网络安全法》的规定,网络运营者违反信息网络安全管理义务的,由有关主管部门责令改正,给予警告,但对于有关主管部门责令改正的主体、形式、内容、期限等缺乏明确规定。

《信息网络犯罪司法解释》第二条规定,“监管部门责令采取改正措施”,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门,以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施

对于认定“经监管部门责令采取改正措施而拒不改正”,应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。

因此,主管部门按照《网络安全法》的规定责令网络服务提供者改正的,应该采取书面形式,提出明确、合理的改正措施和期限,并不得超出网络服务提供者的能力范围。否则,网络服务提供者不构成“拒不履行信息网络安全管理义务罪”,无需承担刑事责任。

三、承担责任的具体情形

《刑法》第二百八十六条之一规定了构成拒不履行信息网络安全管理义务罪的几种情形,包括:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。这一规定属于原则性的规定,缺乏可操作性。本次《信息网络犯罪司法解释》对上述几种情形进行了非常具体的细化,极大地增强了上述规定的可操作性。

1. 致使违法信息大量传播

根据《信息网络犯罪司法解释》第三条的规定,符合下列情形的,属于“致使违法信息大量传播”的情形,包括:

(1)致使传播违法视频文件二百个以上的;

(2)致使传播违法视频文件以外的其他违法信息二千个以上的;

(3)致使传播违法信息,数量虽未达到第一项、第二项规定标准,但是按相应比例折算合计达到有关数量标准的;

(4)致使向二千个以上用户账号传播违法信息的;

(5)致使利用群组成员账号数累计三千以上的通讯群组或者关注人员账号数累计三万以上的社交网络传播违法信息的;

(6)致使违法信息实际被点击数达到五万以上的;

(7)其他致使违法信息大量传播的情形。

2. 泄露用户信息,造成严重后果

根据《信息网络犯罪司法解释》第四条的规定,符合下列情形的,属于“致使用户信息泄露,造成严重后果”的情形,包括:

(1)泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;

(2)泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;

(3)致使泄露第一项、第二项规定以外的用户信息五万条以上的;

(4)数量虽未达到第一项至第三项规定标准,但是按相应比例折算合计达到有关数量标准的;

(5)造成他人死亡、重伤、精神失常或者被绑架等严重后果的;

(6)造成重大经济损失的;

(7)严重扰乱社会秩序的;

(8)造成其他严重后果的。

3. 致使刑事案件证据灭失,情节严重

根据《信息网络犯罪司法解释》第五条的规定,符合下列情形的,属于“致使刑事案件证据灭失,情节严重”的情形,包括:

(1)造成危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪案件的证据灭失的;

(2)造成可能判处五年有期徒刑以上刑罚犯罪案件的证据灭失的;

(3)多次造成刑事案件证据灭失的;

(4)致使刑事诉讼程序受到严重影响的;

(5)其他情节严重的情形。

4. 其它严重情节

根据《信息网络犯罪司法解释》第六条的规定,其它严重情节主要包括:

(1)对绝大多数用户日志未留存或者未落实真实身份信息认证义务的;

(2)二年内经多次责令改正拒不改正的;

(3)致使信息网络服务被主要用于违法犯罪的;

(4)致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活的;

(5)致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的;

(6)致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活的;

(7)其他严重违反信息网络安全管理义务的情形。

此外,《信息网络犯罪司法解释》还规定,对于单位实施犯罪的,依照自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚(第十四条);同时,对于实施犯罪被判处刑罚的单位和个人,可以根据犯罪情况和预防再犯罪的需要,依法宣告职业禁止(第十七条)。

四、合规建议

本次《信息网络犯罪司法解释》的出台体现了在新形势下加强网络安全保护的司法导向。从绝对数量上看,构成拒不履行信息网络安全管理义务罪的数量标准并不高,如传播违法视频文件200个、泄露个人征信信息500条或者未留存网络用户日志就有可能构成犯罪。另外,对于构成犯罪的,其承担责任的内容较为广泛,除限制人身自由和罚金之外,还包括职业禁止。对于以公司为主体实施犯罪的,其直接负责的主管人员也可能被定罪处罚。这些都会使广大网络服务提供者,尤其是相关企业,面临比较高的法律风险。

对于广大提供网络服务的企业而言,为了避免遭受刑事处罚,应该从以下几个方面入手,提早预防,将法律风险最小化。

1. 明确企业网络安全义务,建立配套制度体系。

《网络安全法》基本上将网络运营主体分为一般网络运营者和关键信息基础设施运营者,分别对应有程度不同的网络安全管理义务。同时,我国实行网络安全等级保护制度,对于不同保护等级的信息网络,实施不同的安全保护要求。对于网络服务企业来说,首先应该明确自身定位,厘清企业自身负有何种网络安全管理义务,并根据《网络安全法》和有关国家标准的要求,建立相应的配套制度。涉及个人信息的,还应该满足有关个人信息保护的法律法规和国家标准。

2. 切实落实网络安全整改措施。

企业因网络安全管理义务履行不到位,收到有关主管部门的责令整改通知书的,应该切实落实,严肃认真地按照整改通知书的要求,采取相应措施,弥补网络安全管理漏洞。网络服务企业构成拒不履行信息网络安全管理义务罪,并承担刑事责任的前提是“经监管部门责令采取改正措施而拒不改正”,切实落实相关部门的责令整改通知书将为广大网络服务企业提供一道防范相关法律风险的防火墙。

3. 及时发现和报告网络安全隐患和网络安全事件。

根据《网络安全法》的有关规定,发生网络安全事件的,网络运营者应该及时向主管机关报告。广大网络服务企业应该提高的网络安全风险防控意识,加强网络安全风险监控,及时发现和报告网络安全隐患和网络安全事件。这样不仅可以及时采取补救措施,防止出现《信息网络犯罪司法解释》的严重后果,在出现严重后果的情况下,也可以作为减轻或者免除刑事处罚的考量因素之一。


作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 新葡集团3522 京ICP备11012394号
Baidu
sogou
欣昌电子有限公司 凯祥电子有限公司 利仁电子有限公司 金广电子有限公司 干瑞电子有限公司 弘康电子有限公司 大鼎电子有限公司 复禄电子有限公司 万美电子有限公司 厚辉电子有限公司