文/谢望原

论拒不履行信息网络安全管理义务罪

文/谢望原

由于计算机技术的迅速普及并被广泛运用于我们生活的方方面面，今天早已变成了“天网恢恢”的网络世纪。物联网（internet of things）或“互联网+ ”大数据时代的来临，更使我们的全部生活与信息网络紧紧联系在一起。网络安全乃是一个关系到国家安全、社会公共安全、国家和公民财产安全、个人生活以及信息安全的极其重大的社会问题，国家必须加大对信息网络安全的保护力度。为了有效地管理网络安全秩序，我国已经先后出台了诸多有关信息网络安全管理的法律、法规。它们多数具有行政法律、法规性质，也包括有关刑法性质的规定。但是客观而言，我国原有立法并不足以有效地对繁纷复杂的网络违法犯罪进行打击与防范。有鉴于此，作为《刑法》第286 条之一，《刑法修正案（九）》第 28 条新增设了拒不履行网络安全管理义务罪。

所谓拒不履行信息网络安全管理义务罪，是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，符合《刑法》第286条之一第一款规定的四种情形之一的行为。由于本罪尚属新罪，不仅我国刑事司法实践中目前还没有本罪的判例，学术界至今亦未对其展开系统而深入地研究，而国家与公民时时刻刻都处在复杂的网络关系之中，故全面、透彻地研究本罪的相关问题，厘清网络服务提供者的刑事法律责任与界限，从而有效地保护包括网络服务提供者在内的全社会利益和网络安全，这已经是迫在眉睫的问题。

行为要素（Actus reus）

在两大法系的刑法理论体系中，行为要素均属于犯罪构成的客观要素，包括行为主体、侵害法益（客体、利益），以及与作为、不作为相关的行为表现要素等。

（一）作为客观要素的行为主体

本罪主体仅限于网络服务提供者。在我国当前的法律语境下，网络服务提供者不能只局限于早期欧美立法上的“服务提供者”的范围，而是包括了公用电话网服务、广播电视网服务和计算机网络服务的提供者。具体言之，网络服务提供者是指通过信息网络向公众提供信息，或者为获取网络信息等目的提供服务的机构或个人，包括信息网络上的一切提供设备、信息和中介、接入等技术服务的个人、网络服务商以及非营利网络服务提供者。根据其提供的“服务”类型来划分，网络服务提供者具体可分为网络接入服务提供者、网络平台服务提供者、网络内容及产品服务提供者。

以上分析表明，自然人和公司、企业等单位均可以成为本罪主体，并且，网络服务提供者作为本罪的主体，与其提供的网络服务是否具有营利性毫无关系。不过，在认定具体责任主体时，应当根据具体情况具体分析，准确认定个案的具体责任人。也就是要查明具体犯罪发生的具体环节，弄清究竟是哪一个或者处在哪个环节的网络服务提供者的不履行义务行为与违法后果具有因果关系，不可任意扩大责任范围，株连无辜。

（二）作为客观要素的行为事实

本罪的具体构成要件行为事实，表现为行为人不履行信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，行为人具有符合《刑法》第286条之一第一款规定的四种情形之一。作为本罪的行为事实，必须同时满足以下三个方面条件：

1．不履行信息网络安全管理义务。该义务可分为禁止性规范为网络服务提供者设定的义务和命令性规范为网络服务提供者设定的义务。

2．经监管部门责令采取改正措施而拒不改正。“监管部门”是指依据法律、法规，具有网络安全监督管理职权的部门；“拒不改正”，是指网络服务提供者收到法定监管部门责令采取改正措施的通知、指令等而拒绝接受，并且不采取改正措施，继续维持其违反作为义务的不作为状态。本罪作为一个典型的义务犯，其“义务”具有双层次特点。第一层次义务乃是非刑事法律规定的网络服务提供者应当履行的网络安全管理义务；换言之，该层次义务通常是行政法律、法规规定的网络服务提供者所具有的网络安全管理行政义务，前段所述禁止性规范和命令性规范规定的义务即是。但是，考虑到网络服务提供者所从事的业务只是“服务”，无论是从权利义务的合理分配，还是从法律可以期待网络服务提供者的应有能力来看，国家不可以强求网络服务提供者承担网络警察的监管义务与责任。因此，立法者为了避免过分增加网络服务提供者的网络安全管理的法律负担，特别设计了与一般义务犯成立的不同标准——第二层次义务或刑事义务——“经监管部门责令采取改正措施而拒不改正”。只有行为人在已经违反第一层次义务（行政义务）的前提下，进一步违反第二层次义务（刑事义务）时，其行为才可能受到刑法的评价。

3．符合《刑法》第286条规定的四种情形之一。行为人即使满足了前述两种条件，仍然不能简单地认定其构成了本罪。即只有在满足前述两种条件，同时又具有下列情形之一的，方才成立本罪：第一，致使违法信息大量传播；第二，致使用户信息泄露，造成严重后果；第三，致使刑事案件证据灭失，情节严重；第四，有其他严重情节。

心理要素（Mens rea）

犯罪的心理要素是指行为人行为之时所抱持的心理态度——故意或过失、意图或目的，甚至包括特定的动机。就本罪而言，值得关注的乃是本罪的心理要素只能是直接故意，且本罪故意内容中不要求具有特定目的。所谓直接故意是指行为人在意识上已经认识到其行为必然或者可能发生危害后果，行为人却以积极态度在意志上追求或者希望该危害后果发生。由于本罪法条使用了“经监管部门责令采取改正措施而拒不改正”这样的语句，而“拒不改正”恰恰反映了行为人对危害后果的积极追求或希望态度，故本罪不可能由间接故意（单纯的放任）行为构成。同样道理，过失行为不可能存在“拒不改正”的问题，所以，如果行为人因为工作失误而没有采取改正措施，即使造成了危害后果的，亦不能以本罪论处。关于本罪的心理要素，应当特别注意的问题有二： 一是本罪行为人故意的认识程度有何要求？二是发生违法性认识错误时如何处理？

（一）故意的认识程度（范围）

本罪行为人至少需要认识到《刑法》第286条之一规定的“构成要件的该当事实”，才能满足本罪故意的认识程度要求。哪些事实属于拒不履行信息网络安全管理义务罪的“构成要件的该当事实”？这就是刑法条文规定的“不履行法律、法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正”，且认识到自己不履行信息网络安全管理义务、经监管部门责令采取改正措施而拒不改正的行为必然或者可能引起四种结果（致使违法信息大量传播；致使用户信息泄露，造成严重后果；致使刑事案件证据灭失，情节严重；有其他严重情节）之一，却追求或者希望该结果发生，才初步满足本罪故意的认识程度。不过，要成立本罪，还必须是行为人认识到了其行为具有“违法性”，即行为人还需要认识到自己“不履行信息网络安全管理义务”以及“拒不改正”的行为是法律所禁止的。

（二）发生违法性认识错误时如何处理

违法性认识错误有两种形式：一是不知道法律的存在，二是错误理解法律。对于不知法律的情形，一般认为应当遵循 “不知法律不成为辩护事由”（Ignorantia juris neminem excusat）的古老格言，除非行为人能够反证自己有合理理由不知道法律的存在，原则上不能因为行为人不知道法律的存在而不负刑事责任。但是，无论是不知法律还是对法律存在误解，仍然存在诸多争议。

两大法系刑法理论在违法性认识问题上存在某些共通之处，这就是对于一些故意犯罪来说，成立某一犯罪，行为人需要具有违法性认识，亦即行为人需要对其行为性质及其必然或者可能引起的危害结果有认识。在违法性方面发生法律认识错误时，可以排除行为人之行为的犯罪性。之所以如此，其实正如1825年金特诉杰菲里斯案（Gent v．Jefferys）的裁判书所言：“上帝禁止想象检察官或律师甚至法官必然知晓所有的法律。”既然法律专业人士尚且有不知晓的法律，那么要求普通公民知道所有法律就实在有些强人所难了。因此，当行为人确实因为不知道法律禁止或者发生法律错误认识时，应该作出有利于行为人的判断或评价。所以，就作为行政犯的拒不履行信息网络安全管理义务罪而言，当信息网络服务提供者与网络安全监管机构关于违法性认识产生冲突时——比如，针对信息网络上出现的严厉批评国家民族政策、宗教政策失误的信息，网络监管部门认为此批评属于“有损国家形象”的违法信息，要求网络服务提供者及时清除，但网络服务提供者在咨询法学教授后得知，这些信息内容仍然属于宪法所保护的言论自由的范围，故行为人拒绝将其清除。对此，笔者认为，应当坚持运用刑法学关于违法性认识错误的通说理论来处理类似案件，不宜认定信息网络服务提供者具有行为故意，因而不应当以犯罪论处。

本罪涉及的相关问题

（一）与有关危害国家安全罪的问题

本罪的表现形式之一乃是“致使违法信息大量传播”，如果这里的“违法信息”包含了分裂国家、颠覆国家政权等危害国家安全犯罪的相关内容时，就可能使本罪与危害国家安全罪中的煽动分裂国家罪（《刑法》103条第2款）以及煽动颠覆国家政权罪（《刑法》第105条第2款）出现部分重合。因为“违法信息大量传播”在客观上与“煽动分裂国家”“煽动颠覆国家政权”可能具有客观形式上的类似性。但是它们之间仍然存在明显区别：它们除了侵害法益不同和主体构成不同外，最为应当引起关注的还有主观故意内容不同。本罪行为人的故意内容乃是在有明确认知的前提下，故意不履行信息网络安全管理义务，但行为人主观认知中并无危害国家安全的目的；而后两罪的心理要素方面，恰恰要求行为人具有危害国家安全的目的，行为人之故意内容正是危害国家安全。

（二）从一重罪处断

《刑法》第286条之一第3款规定：“有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”所谓“同时构成其他犯罪”可能包括两种情况：一是竞合行为，二是牵连行为。虽然我国刑法中没有关于竞合犯与牵连犯的立法规定，但是，无论是理论上还是司法实践中，我国均认可竞合犯与牵连犯。竞合犯又分为法条竞合犯与想象竞合犯。对于法条竞合犯的处罚，原则上采取“特别法优于普通法”原则；对于想象竞合犯的处罚，则与牵连犯相同，即原则上采取“从一重罪处断”。但是我国立法上，也有一些刑法条文规定对某些竞合犯或牵连犯按照数罪并罚原则处理。就本罪的情况来看，只要是行为人实施拒不履行信息网络安全管理义务罪，无论是发生法条竞合、想象竞合还是牵连犯的场合，均不涉及数罪并罚问题，一律按照从一重罪处断原则处理。

（三）本罪没有未遂

关于既遂、未遂问题，首先要考虑实行行为的着手。因为，在实行行为之前的行为属于预备行为，而在实行行为着手之后，因为客观原因而没有产生行为人预期结果的是未遂；行为人实现预期目标的就是既遂。大陆法系刑法理论关于实行行为着手的时点认定，有客观说（包括形式的客观说与实质的客观说）、主观说（包括主观的客观说)）以及折中说。客观说以客观主义刑法思想为根据。形式的客观说主张与构成要件直接密接的行为时间是着手的时间。实质的客观说认为，未遂犯可罚性的实质性根据是着手时间的判断基准；发生侵害法益现实危险的时间就是着手的时间。主观说则以主观主义的刑法思想为根据，其代表性的观点认为：着手时间是指犯意的成立根据其行为可以确定地认定之时。折中说认为，根据行为人关于行为的认识，直接开始实施构成要件行为之时是着手。一般认为，主观主义的着手见解较之于客观主义的着手见解其处罚范围要大得多。而客观说属于通说。但是在笔者看来，折中说可能因为既考虑到了行为人对自己行为性质的主观认识（已有违法性认识） ，又考虑到了客观方面行为人已经展示自己反法规范的性格，因此，以折中说的标准作为认定着手的时点可能更为合理。

结合拒不履行信息网络安全管理义务罪的构成要件来考察，笔者认为，“经监管部门责令采取改正措施而拒不改正”，这里的“拒不改正”一方面反映了行为人对自己的行为性质已有认识，另一方面正好也是行为人“直接开始实施构成要件行为”的开始。依据《刑法》第286条之一的规定，在监管部门“责令采取改正措施”之前，即使行为人存在“致使大量违法信息传播”等事实，却因为监管部门尚没有提出“责令改正”通知而并不构成犯罪；而一旦监管部门提出“责令改正”通知，行为人仍然拒不改正时，就已经成立犯罪（既遂）。虽然在监管部门提出“责令改正”通知与网络服务提供者改正之间可能存在某一时间期间，如监管部门限令网络服务提供者在一定期间内改正，但是这一限令改正的缓冲时间仍然只是向成立犯罪方向发展的一个过渡时间；只有超出这一期间行为人仍然拒不改正才能成立犯罪；如果行为人在此期间内已经改正，则不能成立犯罪。由此可见，本罪根本没有成立犯罪未遂的可能。

（四）网络服务提供者提供的网络服务是否属于不值得处罚的中性行为

所谓中性行为，是指就其独立存在的角度来看，具有日常性、职业性等特点的行为。如出租车司机运送客人、五金店老板售卖刀具、铁锤等。但当这种行为与其他人的犯罪行为具有某种关系时，如行为人估计到或者认识到他人买刀具用于杀人而卖给他人刀具，他人后来用所买刀具杀人了，刑法理论上将经营者售卖刀具之类的行为称之为“中性帮助行为”。颇具影响力的德国学者罗克辛教授认为：就所谓中性的帮助行为来说，帮助者仅仅是估计到了实行人的犯罪举止，而因为自己的“日常行为”或“职业行为”卖给他人（实行人）刀具的，不应当承担帮助责任；而帮助者已经认识到实行人的犯罪决定，仍然卖给其刀具的，就应当承担帮助责任。笔者认为罗克辛教授的观点是有道理的。因为，正如著名的阿特金（Atkin）法官首创的相邻原则（neighbour principle），即人们有义务必须保持必要的注意，以免可预见的作为或者不作为伤及四邻所例证的那样，任何人都有不得对他人造成危险的义务，以及不得伤害（或杀害）他人的义务。考虑到我国现行刑法已经将网络服务提供者拒不履行信息网络安全管理义务的行为纳入了刑法调控范围，因此，在当下我国刑法立法框架下，网络服务提供者拒不履行网络安全管理的行为已经不再具有中立性。

（作者系中国人民大学刑事法律科学研究中心教授；摘自《中国法学》2017年第2期）