文/汪莹，华南理工大学

1 问题提出：用刑法规制网络服务提供者的必要性

互联网的主要特征是开放与自由，但于志刚教授等众多学者都坚定认为“网络空间并非法外之地”；相反，犯罪行为人利用网络特性加工犯罪行为以呈现复制性、聚焦性、扩散性的犯罪危害结果，必然迫使刑法更积极关注网络空间动态，以控制高位运行的刑事风险。

网络空间的开放式、扁平化、平等性特点成就了网络空间的去中心化，由此带来两个问题：一是网络犯罪主体与犯罪行为有扩张趋势；但凡能接触网络的个人都是潜在的网络犯罪行为实施者，且其犯罪行为范围远大于以往认定的罪行范围；二是政府无法介入其中对大量的网络信息内容数据实现全面监控和治理。在网络空间犯罪愈演愈烈的现实背景下，在传统刑法回应网络空间犯罪捉襟见肘的窘境下，在信息网络安全管理秩序急需恢复和稳定的现实要求下，网络服务提供者被摄入刑法视野，网络服务提供者协助政府分担部分安全管理义务，实属必要。

为此，《刑法修正案（九）》新增第286条之一拒不履行信息网络安全管理义务罪：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（1）致使违法信息大量传播的；（2）致使用户信息泄露，造成严重后果的；（3）致使刑事案件证据灭失，情节严重的；（4）有其他严重情节的”，以法律明文规定的方式确立网络服务提供者的安全管理义务，网络服务提供者拒不履行该义务有可能会被追究刑事责任。

网络服务提供者拒不履行此义务的行为不必然导致社会危害结果的出现，不必然使行为客体陷入具体的危险，但此不作为行为本身预示着不确定的、破坏社会安全的严重倾向性和高度盖然性。“风险的本质并不在于它正在发生，而在于它可能会发生。”这是风险社会下，管理型刑法的必要扩张。

一般而言，刑罚的发生仅在出现严重后果时方可适用，但“风险刑法”理论认为，在一个信息与物质流动加速的社会中，必须对某些具有潜在后果的行为进行规制与预防，否则不足以维持良好的社会秩序。但即便如此，“刑法也不得肆意扩张，否则必将生出人人安全无虞但丧失自由的社会。”另外，严格意义上，网络服务提供者仅为商业主体，并非公权力机关，不具有公权力，也就不具有“信息网络安全管理义务”，在网络服务提供者经营业务过程中，其更多的是追求私权利的实现。传统公私法结构分为国家和私人二元法律结构，“法无授权不得行、法有授权必须为”是公权力的特征；相反，私权利的最大特点是“法无禁止即自由、法无禁止即可为”。“面对风险行为犯罪化立法趋势的增强，刑法立法必须秉持一定的谦抑心态，将社会维护的基本需要、社会心理的普遍认定和道德层面的最低限度作为科技风险行为的刑法应对标准。”刑法第286条之一突破经典学说的二元区分，以风险刑法为理论基础对私人——网络服务提供者科以更为严苛的义务，则对其苛责的义务应当在该罪法益保护目的下进行适当限缩，以遵循刑法的谦抑性，缩小犯罪圈。并且网络服务提供者类型不一，所经营的业务范围不同，也就导致其分担的义务不尽相同，因此需要厘清网络服务提供者及其义务边界，明确哪些网络服务提供者承担哪些安全管理义务。

2 信息网络安全管理义务的界定

《刑法》第286条之一规定“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务……”，这里的“信息网络安全管理义务”究竟指什么？首先得回答“信息网络”具体包括哪些网络。

有学者认为该罪是刑法对互联网为实施犯罪提供技术支持与帮助的常态情况的积极回应，确立了“不作为型的信息网络犯罪帮助犯责任”；也有学者认为，“我国互联网的发展与电信业有着紧密的联系，公共电信服务提供者和互联网服务提供者被合称为网络服务提供者”；另有学者认为，互联网2.0时代形成了网络虚拟空间，实现了“网民之间、网民与平台之间、平台与平台之间全面的互动关系，该罪的设立正是为了保护网络虚拟空间秩序的有序运转”；从上述学者的观点可以得出，该罪涉及的信息网络安全管理义务仅指互联网安全管理义务，司法实践中亦有持此观点之人。

不同的是，谢望原教授认为，“我国已经基本实现‘三网融合、互联互通’，故‘信息网络’包括了公用电话网、广播电视网和计算机网”，笔者赞同谢望原教授的观点。参照《保守国家秘密法》，“公共信息网络”包括互联网、移动通信网等；参照《电影产业促进法》，“信息网络”包括互联网、电信网、广播电视网等信息网络；另《网络安全法》规定：“网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”；鉴于一国法律用语的谨慎性和严谨性，再结合“三网融合”的现实背景，笔者认为该罪的“信息网络”不仅仅指互联网，也包括电信网、广播电视网。

根据《网络安全法》规定，网络安全指的是网络运行安全和网络信息安全。结合刑法第286条之一规定，该罪涉及的“信息网络安全管理义务”必须是现行有效的法律、行政法规规定给网络服务提供者的义务，且网络服务提供者拒不履行该义务的不作为将“致使违法信息大量传播”、“致使用户信息泄露”的“严重后果”、“致使刑事案件证据灭失”的“严重情节”和其他严重情节。鉴于此，敬力嘉博士认为，该义务的核心在于“信息传播治理”而非“内容管理”，笔者认为这不太妥当，理由有三。

（1）该罪所指义务是关系到网络安全的义务，主要包括信息内容的安全，也包括信息系统本身的安全。刑法所欲保护的法益是“信息内容”而不是“信息传播”。传播的含义是“广泛散布”，是一种积极的行为，“传播的根本目的是社会信息的传递”。戈德的“共享说”认为，传播就是变独有为共有的过程。信息传播治理从字面意义上来看，侧重点仍然在于信息的传播。内容，是事物内部所含的实质或意义。信息内容管理，重点关注信息内容本身，包括信息内容的安全、固定、可读取等等。“违法信息”、“用户信息”、“刑事案件证据”都指向信息内容本身。

（2）“信息传播治理”义务不当扩大了刑事犯罪圈。敬力嘉博士将“信息传播治理”的范畴限制在“对侵犯具备公共属性的特定信息专有权犯罪的治理”以期“为主动审查义务提供用以限缩范围的法益保护目的”；但其又以《网络安全法》相关规定要求网络服务提供者“从设备或服务安装购置等最前端环节开始就应承担对侵害网络与信息系统安全行为的主动审查义务”；也就是说，网络服务提供者未通过国家安全审查，经责令采取改正措施而拒不改正，致使发生前述三种情形或有其他严重情节的，可以被追究该罪。这里，网络服务提供者的义务有扩大化趋势，违反义务本身没有制造出法所不允许的风险，违反义务与结果之间的因果链条被明显拉长。

（3）“致使刑事案件证据灭失”所指的刑事案件证据应是“现实的”刑事案件证据信息，而不是“可能的”会是刑事案件证据的网络信息。以公安机关等有关国家机关已经立案的案件为基础要求网络服务提供者协助配合固定刑事证据，不落入“信息传播治理”的范围，而应属于“信息内容管理”范畴，信息内容管理包括信息的固定、保存、安全和可读取。

根据我国刑法学通说，犯罪是具有社会危害性、刑事违法性和应受刑罚处罚性的行为。具备社会危害性，但若没有达到应受刑罚处罚的程度，也不构成犯罪。笔者认为，该罪所指“信息网络安全管理义务”的核心在于“信息内容管理”，是网络服务提供者可支配范围内的信息，且仅限于违法信息、用户信息、公安部门等国家机关要求网络服务提供者协助执行刑事案件证据固定的信息和其他网络信息。“可支配”是网络服务提供者能够履行义务的前提条件，“刑事案件证据信息”不是“未来的”、“可能的”而应当是“现实的”刑事案件证据信息。这不仅符合该罪的立法原理，也避免无限扩大网络服务提供者的义务，在规制网络服务提供者必要性基础上充分考虑了合理性。

3 网络服务提供者的认定

我国至今尚未形成统一的网络服务提供者概念，网络服务提供者一词见诸我国多部法律文件。最早于2000年《关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》使用了“网络服务提供者”和“提供内容服务的网络服务提供者”概念，但并未对此作实质内涵区分。2006年《信息网络传播权保护条例》使用了“对提供信息存储空间或者提供搜索、链接服务的网络服务提供者”概念，试图从服务类型上区分网络服务提供者，但仍旧没有解释“网络服务提供者”概念。2011年修订的《互联网信息服务管理办法》似乎是在三网融合背景下探讨网络服务提供者的一个分支。2016年《网络安全法》颁布，但依然未对网络服务提供者概念进行界定，而仅在附则规定“网络运营者，是指网络的所有者、管理者、和网络服务提供者”。

敬力嘉博士认为，网络服务提供者即网络中介服务者，借鉴欧洲议会颁布的《网络与信息系统安全指令》（即NIS指令）有关网络服务提供者类型的规定，在功能与重要性两个维度上区分为两个类型，一是网络平台提供者和基础服务运营者，二是网络接入服务提供者和数字服务提供者。笔者认为，对于该罪网络服务提供者的认定并不妥当，理由在于以下方面。

（1）前述论及信息网络应当包括互联网、电信网、广播电视网，则网络服务提供者当然不仅限于电信服务提供者和互联网服务提供者，还应当包括广播电视网服务提供者。（2）电信、联通、移动、广播电视网不仅仅是网络的所有者，网络所有者为用户提供网络接入服务时更多的是扮演着网络接入服务提供者角色，承担着网络接入服务提供者的职责。第三，NIS指令对网络服务提供者的类型区分并不符合我国国情。NIS指令不适用于提供公共通信网络或公共电子通讯服务领域；公共通信网络是指完全或主要用于提供公共电子通讯服务的电子通信网络，电子通讯服务包括电信服务和广播传输服务，也即指令规定的无论是基础服务运营者还是数字服务提供者都不包括电信网和广播电视网，但明显我国《网络安全法》是覆盖“三网”的。

在前述论及“信息内容与信息管理”义务基础上，结合我国网络服务提供者的技术服务类型，维持与我国《网络安全法》相一致的法律用语习惯，笔者认为负不作为义务的网络服务提供者主要包括网络接入服务提供者与网络平台服务提供者。