随着信息网络技术的发展,新的商业模式的出现,人们的工作生活得到了极大丰富,也促成了新的权利义务关系的产生,新的违法犯罪模式的出现,对法律的修改完善提出了新的要求。为了回应这一要求,2015年通过的刑法修正案(九)在第286条破坏计算机系统罪之后补充了拒不履行信息网络安全管理义务罪,为网络服务提供商划定了法律红线。
一、 刑修九新增罪名:拒不履行信息网络安全管理义务罪
在网络安全事件频发,网络空间亟需建立新的秩序的当下,网络服务提供商因其在网络空间的中介地位以及技术性优势,在网络安全保障之战中的地位是不言而喻的,如果不能保证网络服务提供者依法履行其义务,网络安全也就难以推进,因而刑法新增的这一规定可谓是及时雨。
根据第286条之一的规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,造成违法信息大量传播、用户信息泄露后果严重、刑事案件证据灭失等结果的,构成拒不履行信息网络安全管理义务罪。根据该条规定,成立本罪的前提条件是:(1)网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,(2)经监管部门责令采取改正措施而拒不改正,(3)导致出现危害社会的结果。但是,对于网络服务提供者的范围以及其应该遵守何种信息网络安全管理义务,刑法修正案(九)并没有作出明确规定。
人大法工委在对刑法修正案(九)的解释中,首先从主体的角度出发,明确了本条中的“网络服务提供者”同时包括互联网接入服务提供者和互联网内容服务提供者,前者即为终端用户提供专线、拨号上网等服务的提供商,而后者指代的则是包括新浪、搜狐等向用户提供新闻、信息、资料、音视频等内容服务的提供商。
而从行为的角度而言,人大法工委指出,认定行为人是否有不履行安全管理义务行为时,要结合法律和行政法规对于安全管理义务的具体规定,主要义务来源包括《全国人大常委会关于加强网络信息保护的决定》《互联网信息服务管理办法》《电信条例》等。人大法工委还特别指出,网络服务提供者的安全管理义务主要包括落实网络安全管理制度和安全保护技术措施、及时发现和处置违法信息,及对网上信息和网络日志信息记录进行备份和留存。
人大法工委对“网络服务提供者”的解释是基于对PC时代互联网的理解作出的,不能解决移动互联网以及物联网时代的许多问题。《全国人大常委会关于加强网络信息保护的决定》作为法律却仅强调对个人信息的保护;《互联网信息服务管理办法》《电信条例》是行政法规,对网络服务提供者安全管理义务规定是零散的,缺乏系统性,存在多个监管部门之间的职责不清,处罚标准不明、处罚依据不充分的问题。
二、 刑法与网络安全法规之衔接:从难以落实到柳暗花明
拒不履行信息网络安全管理义务罪的制定虽然看似是互联网监管的一场及时雨,但却并没有起到解决燃眉之急的作用。但从已公布的裁判文书以及相关新闻报道来看,自2015年刑法修正案(九)生效至今,这一罪名的司法实践仍然近乎一纸空白。中国裁判文书网上可以检索到的以该罪名定罪的案件目前只有三起,其中两起涉及非法提供VPN服务,例如2018年9月做出判决的胡某拒不履行信息网络安全管理义务一案,被告人胡某利用上海丝洱网络科技有限公司擅自建立其他信道进行国际联网,且经上海市公安局浦东分局行政处罚后仍不改正,最终被判处拘役六个月,缓刑六个月,罚金人民币三万元。以及2018年12月做出判决的朱皓非法获取计算机信息系统数据、非法控制计算机信息系统一案,被告人朱某注册成立公司并创建网站以销售VPN软件,供用户访问境外互联网网站,公诉机关以非法获取计算机信息系统数据、非法控制计算机信息系统罪之名义起诉,但法院认为朱某的行为应当构成拒不履行信息网络安全管理义务罪。另一起案件则涉及非法开设线上赌场,但这些案件对于网络服务提供商而言,似乎都不具有很大的可供参考性。
拒不履行信息网络安全管理义务罪未能得到充分的落实与这一罪名的特殊性有不可分割的关系。正如前文所述,构成本罪的行为要求网络服务提供者未按照法律及行政法规的要求履行安全管理义务,经监管部门责令采取改正措施而拒不改正,这就使得本罪天然具有刑法与其他法律、行政法规相衔接的问题。但是,我国的网络安全法规体系,在网络安全法出台以前,体现出的不完备和碎片化的特点,导致了本罪适用的困难。
2016年11月7日,《网络安全法》发布。根据《网络安全法》的规定,承担危害网络安全的责任主体有: 网络运营者,网络产品、服务的提供者,关键信息基础设施的运营者,电子信息发送服务提供者和应用软件下载服务提供者等。这些负有维护信息网络安全管理义务的主体因具体角色不同,承担的维护网络安全义务有所区别,但承担义务的本质是相同的。《网络安全法》规定的其网络安全管理义务可以大致分为两类: 一是一般性义务,即网络安全责任主体均应遵守的义务; 二是特殊性义务,即与具体网络主体有关的维护网络安全的义务。
值得注意的是,《网络安全法》规定的承担危害网络安全的责任主体在名称上与刑法修正案(九)规定的拒不履行信息网络安全管理义务罪的主体(网络服务提供者)似乎并不一致。不久前刚刚施行的两高《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,对“网络服务提供者”的范围进行了明确,基本涵盖了《网络安全法》规定的承担危害网络安全的责任主体。
如前所述《网络安全法》规定的网络安全管理义务可以分为两类: 一是一般性义务,二是特殊性义务。一般性义务,是网络安全责任主体均应遵守的义务。而实施网络安全等级保护则是网络安全管理一般性义务中最基本的安全保护义务。
三、 网络服务提供者安全管理义务新视角:等保2.0
新技术的发展使信息网络安全管理义务的范围不断变化。另一可能促使拒不履行信息网络安全管理义务罪在实务中适用增多的因素是网络安全等级保护2.0(以下简称“等保2.0”)时代的到来。
《网络安全法》明确提出实行网络安全等级保护制度;但是《网络安全法》关于网络安全等级保护义务的规定较为原则,仍然不能满足法律实践的需要。为了深入推进实施国家网络安全等级保护制度,公安部已制定《网络安全等级保护条例(征求意见稿)》,细化了各类网络安全等级保护义务。需要注意的是,网络应用与科技密切相关,只有将网络安全等级保护义务与技术标准相结合,才可能具体明确网络安全等级保护义务的范围。
1994年国务院发布了《计算机信息系统安全保护条例》,首次提出了国家信息安全工作信息系统是分等级实施保护的,标志我国信息安全工作信息系统分级的开始。根据人大法工委对拒不履行信息网络安全管理义务罪的解释,落实网络安全管理制度是网络服务提供者安全管理义务的组份,而这一制度应当以网络安全等级保护制度为一大重点。
2007年,公安部等四部门颁布了《信息安全等级保护管理办法》,明确了等级保护所有的相关的工作以及各种参与决策的职责分工等等,从此等级保护这项工作就正式开始实施,此后,在2008年至2012年间,包括《信息安全技术信息系统安全等级保护基本要求》在内的网络安全等级保护1.0相关国家标准相继问世。
随着安全趋势和形势的变化,以及新技术、新应用、新业务形态的大量出现,尤其是大数据、物联网、云计算等的应用,网络安全产业产生了巨大变革,原来发布的标准已经不再适用于当前的安全要求。因此从2015年开始,我国开始逐步着手制定等保2.0标准,从而满足我国现阶段网络信息基础设施大量应用的安全形势的要求。于2017年开始正式实施的《网络安全法》中明确提出实行网络安全等级保护制度,也正式拉开了等保2.0的序幕。今年12月,《信息安全技术 网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》和《信息安全技术 网络安全等级保护安全设计技术要求》三个国家标准将正式实施,标志着我们将正式迈入等保2.0时代。
这一《网络安全法》配套法规体系的建立,也将为网络服务提供者建立起一个重要的行为准则体系,同时,拒不履行信息网络安全管理义务罪中网络服务提供者的安全管理义务也将得以更好地明确化。如果网络服务提供者没有及时依规建立等级保护系体,且具有拒不履行网安部门发出的整改通知书,并造成司法解释中所列的严重后果的情形,不仅会导致企业、机构被处以罚金,更可能导致主管人员和其他责任人员被处三年以下有期徒刑、拘役或者管制。
事实上,近年来,因未做好等保合规而受到行政处罚的案例已屡见不鲜,例如在2017年7月20日,广东汕头网警对市内某信息科技有限公司三级以上系统未按规定进行网络安全等级测评,作出警告和责令改正处罚,以及在2018年3月26日,株洲市网安部门对某教育科技公司未落实网络安全等级保护制度,约谈法人代表及管理员,作出警告并责令改正处罚。随着网安法发布及相关配套规范的出台,网络安全等级保护制度与刑法规定之间的衔接越来越通畅,企业因未做好等保合规而承担刑事责任的可能性也就越来越大。等保2.0相关标准与两高这一重要司法解释前后脚出台,颁布、生效时间相差不足数月,也许正是相关部门在向网络服务提供者发出信号:及时建立网络安全等级保护体系,不仅是在保护用户,也是在保护提供商自己。
四、 结语
刑法修正案(九)规定了拒不履行信息网络安全管理义务罪,但是对于网络服务提供者据不履信息网络安全管理义务的认定,需要依据法律、行政法规规定及监管部门的行政处罚;本罪规定的信息网络安全管理义务系将行政责任上升为刑事责任。
我国现存的网络安全法规体系对网络服务提供者规定了一种一般性、积极性的监管义务。而实施网络安全等级保护则是网络安全管理一般性义务中最基本的安全保护义务。网络应用与科技密切相关,只有将网络安全等级保护义务与技术标准相结合,才可能具体明确网络安全等级保护义务的范围。
新技术的发展使信息网络安全管理义务的范围不断变化。移动互联网、物联网的发展促使网络安全等级保护2.0时代的到来。网络安全等级保护2.0在增加了信息网络安全管理义务范围的同时,也明确了信息网络安全管理义务的具体行为。这将会极大增加拒不履行信息网络安全管理义务罪在实务中的适用。
信息网络安全管理责任犹如悬在网络服务提供者头上的一把“达摩克利斯之剑”。对于网络服务提供者而言,防止“达摩克利斯之剑”落下,当务之急就是坚决贯彻实施网络安全等级保护制度,做好网络安全保护义务。(Alan和Stella对本文有贡献。)