收稿日期:2018-01-20
作者简介:马荣春(1968-),男,江苏东海人,教授,法学博士后,从事刑法学研究;万邵鹏(1991-),男,江苏扬州人,2016级法律硕士研
究生。
略论拒不履行网络监管义务的
不法与责任
———立于公民个人信息保护的考量
马荣春,万邵鹏
(扬州大学法学院,江苏扬州 225127檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶
  摘 要:互联网2.0时代,公民个人信息泄密案件时有发生,公众期盼刑法保护个人信息安全的呼声
日益高涨。作为最严厉的惩罚措施,刑法固然应当有所作为,但仍需谨记自身冷静的品格。为了避免刑法过分干预公众日常生活,保持互联网社会有序健康发展,我们需要付诸网络服务提供者以一定的网络监督义务。实践中,司法机关应当按照“不法—有责”的逻辑顺序,首先判断由于网络服务提供者拒不履行网络监督义务,从而引起高度危险或结果发生是否具备不法;随后再考察是否可以将上述危险或结果的发生视为网络服务提供者消极不作为的“作品”。
  关键词:网络服务提供者;网络监督义务;不作为;公民个人信息
  中图分类号:D922.1  文献标识码:A  文章编号:1006-0448(2018)檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶02-0092-09
  随着互联网2.0时代的到来,网络服务提供者在人们生活中越来越扮演着不可或缺的角。一个直观的感受便是原本以或为主要功能的手机,越来越被各种层出不穷的APP软件客户端所占领。诸如“美食外卖”“跑腿代购”“电子导航”等应用软件如雨后春笋般涌现,信息资源的高度共享打破了物理空间的隔阂,人们足不出户便可以享受网络发展所带来的方便快捷。网络服务提供者不仅突破了人们对于虚拟空间的既有认识,而且在宏观上改变了人们的生活方式。伴随着共享经济、移动支付、电子货币等一系列新兴产业的诞生发展,互联网领域对人们生活的影响不仅在深度而且在广度上都是前所未有的。
但我们也应当清醒地看到,互联网世界犹如一把双刃剑,网络服务在极大便利人们日常生活的同时,也对公民个人信息安全带来前所未有的威胁。例如2016年12月曝光的“京东泄密事件”,有媒体
披露称京东一个12G的数据包开始在黑市流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。此消息一经曝光,迅速引发了公众对于公民个人信息安全的担忧,相关涉事公司也不得不花费巨额的经济代价消除公众的不满情绪。除此之外,由于网络实名制的广泛实施,现实中几乎任何一个网络账号的注册使用都需要公民提供相应的个人信息,这些数量可观的公民个人信息已经不单单由公民个人所独占,而是某种程度上与网络服务提供者所“共享”。我们不禁要问,诸如京东、淘宝、美团等网络服务提供者凭借合同条款获取并保管着海量的公民个人信息,而出于对公民合理信赖的积极回应,是否也意味着网络服务提供者应当履行必要的监督义务?更进一步来讲,出于风险分配的考量,为了扭转公民个人信息频遭泄露的现状,刑法是否应当迎难而上继而有所作为?实践中,网络服务提供者恶意侵犯公民个人信
第49卷第2期
2018年4月
南昌大学学报(人文社会科学版)
JOURNALOFNANCHANGUNIVERSITYVol.49No.2
Apr.2018
息的情形较为少见,更多时候表现为一种对于网络监督义务的漠视与拒绝,那么刑法打击网络服务提供者此种“不作为”举动的可罚性依据何在?
围绕上述问题,本文将以我国当前打击侵犯公民个人信息的司法困境为切入点,指出上述现象的症结在于“网络监督义务”的缺失;随后本文将按照“不法—有责”的逻辑顺序,在确认网络服务提供者由于拒不履行网络监督义务,从而导致高度盖然危险或危害结果的发生符合构成要件这一基础上,如果不存在违法性阻却事由,那么就可以肯定网络服务提供者已具备不法。由此,本文提倡从规范层面考察网络服务提供者的责任判定标准,即使客观上具备高度盖然危险或危害结果业已发生,仍需个别考量行为人是否具备犯罪主体资格,主观上有无犯罪故意以及是否可期待其积极履行法律义务。
  一 公民个人信息屡遭泄露的司法困境
  中国互联网络信息中心(CNNIC)所发布的第39次《中国互联网络发展状况统计报告》显示,截至2016年12月,我国网民规模达7.31亿,全年共计新增网民4299万人。互联网普及率为53.2%,较2015年底提升2.9个百分点,中国网民规模已经相当于欧洲人口总量。与此同时,侵犯公民个人信息安全案件也呈现出几何式增长之势。本文以“无讼网案例库”为检索源,并以“侵犯公民个人信息罪”为关键词进行搜索,共获得自2010年以来相关案件的一审刑事判决书1339件,
其中2010年4件,2011年10件,2012年37件,2013年126件,2014年335件,2015年286件,2016年429件,2017年954件(见表1)。虽然由于客观原因,上述统计样本难以做到精确无误,但上述样本数据已基本反映了我国侵犯公民个人信息案件持续高发的现状特征。因此,下文尝试从宏观上就我国公民个人信息频遭侵犯的现状加以描述,从源头上寻刑法保障公民个人信息安全失范的症结所在。
表1 侵犯公民个人信息罪一审刑事判决书
年份统计(截至2017年底)
年份20102011201220132014201520162017数量/件41037126335286429954增长率/%150270240166-14650122
1.刑法修订未能有效遏制公民个人信息屡遭侵犯
随着互联网2.0时代的到来,网络空间已由早先的“联”字当头向当前的“互”字当头发展[1](P110)。面对层出不穷的新型网络犯罪,特别是涉及侵犯公民个人信息类犯罪,从近年来颁布的几个刑法修正案来看,立法部门似乎倾向于采取扩大犯罪圈的方法加以规制。例如《刑法修正案(七)》新设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,而《刑法修正案(九)》又将上述两个罪
名合并为侵犯公民个人信息罪,此外还新增“拒不履行信息网络安全管理义务罪”“泄露不应公开的案件信息罪”和“披露、报道不应公开的案件信息罪”等3个罪名对公民个人信息进行间接保护[2](P72)。显然,立法者寄希望于通过严密刑事法网从而有效打击侵犯公民个人信息犯罪,但现实情况似乎事与愿违。通过检索分析“无讼网案例库”的样本数据,从时间维度来看,表1所示自2010年以来,侵犯公民个人信息类犯罪的发案数基本上与时间发展呈正相关,并没有随着相关刑法修正案的颁布实施而显著下降;随后,本文继续在“无讼网案例库”中以“侵犯公民个人信息罪”“基层人民法院”为关键词进行搜索,共得到2010年至今的一审刑事判决书2248件,其中排名前八位的地区分别是上海(352件)、广东(248件)、浙江(240件)、福建(234件)、江苏(227件)、重庆(120件)、北京(116件)、湖北(99件),占全部一审刑事判决书总数的72.8%(见表2)。从空间维度来看,上述地区基本上位于我国东部沿海或长江流域,国民生产总值和居民生活质量均居于全国前列。可见,侵犯公民个人信息类案件的发案数又与各地经济发展水平呈正相关,经济水平越是发达的地区可能越容易滋生侵犯公民个人信息犯罪。遗憾的是,虽然在应然层面法律宣示了公民个人信息安全不容侵犯,但实然层面上却是刑法的不断完善似乎并不能有效遏制公民个人信息频遭侵犯。通过分析表1和表2所统计的数据,我们有理由担心随着时间的推移和经济的发展,侵犯公民个人信息犯罪将有愈演愈烈之势。
表2 侵犯公民个人信息罪一审刑事判决书
侵害公民个人信息
地区统计(截至2017年底)
地区上海广东浙江福建江苏重庆北京湖北其他数量/件35224824023422712011699612占比/%15.71110.710.410.15.35.24.427.2
2.网络服务提供者刑法责任显著缺失
通过分析上文所显示的样本数据,一个明显的现象便是虽然《刑法修正案(九)》已正式生效实施
·
·
第2期     
马荣春等:略论拒不履行网络监管义务的不法与责任———立于公民个人信息保护的考量
近2年,但通过相关案例数据库的检索发现,司法机关对于侵犯公民个人信息类犯罪,大多偏向于以《刑法修正案(九)》颁布前就已存在的出售、提供公民个人信息罪或非法获取公民个人信息罪(《刑法修正案(九)》生效后上述两罪已统一为侵犯公民个人信息罪)论处,而对于《刑法修正案(九)》所新设的“拒不履行信息网络安全管理义务罪”,司法机关似乎少有问津。本文通过“无讼网案例库”检索系统,以《刑法修正案(九)》新增的“拒不履行信息网络安全管理义务罪”为关键词进行搜索,惊讶的发现截止目前尚未有相关案例予以收录。为缩小样本误差,本文随后又以“中国裁判文书网”为检索源,同样输入“拒不履行信息网络安全管理义务罪”为关键词进行搜索,结果仍然显示没有相关案例。由于该罪的主体要求是“网络服务提供者”,因此相对于侵犯公民个人信息罪而言,其犯罪主体的范围相对狭窄。那么我们可否认为,因为尚未出现大量拒不履行信息网络安全管理义务罪的司法判例,所以我国当前网络服务提供者在保护公民个人信息安全方面的表现已经完美无缺了呢?
近年来,诸如淘宝、京东、美团等网络服务提供者,无一不曾遭遇“泄密门”的困扰。对此司法机关往往将打击重点着眼于具体的盗用公民个人信息实施者身上,单独对其处以刑罚。至于保管海量客户信息的网络服务提供者,一旦遭遇“泄密门”事件,更多时候仅仅是面对舆论的压力和公众的质疑,至多是付出一定数额的经济代价,而没有上升到刑事制裁的高度。以中国裁判文书网收录的2011年至2017年非法获取公民个人信息案件为例,其所收录的615件案例中,单位犯罪仅有5件。可见司法实践中对于侵犯公民个人信息类案件,司法机关往往热衷于打击“独狼型”犯罪,而对于时常以单位身份出现的
网络服务提供者,包括网络平台运营商、网络中介服务商、网络设备管理商等盈利法人实体,实践中大多由行政机关采取行政措施一罚了之,根本不能伤其筋骨。我国《刑法》第3条明确规定,法律明文规定为犯罪行为的,依照法律定罪处罚。既然我国刑法条文已经规定了较为完善的侵犯公民个人信息类犯罪,立法机关也顺应社会发展及时颁布了相关刑法修正案,那么我们就应当反思在刑事法网日趋严密的今天,为何网络服务提供者依然能够“独善其身”,轻易逃避刑事责任的制裁。换言之,刑法理论需要思考网络服务提供者刑法责任的缺失到底应当归咎于立法者在制定法律时的百密一疏还是司法者在适用法律时的机械僵化?
3.部门法间缺乏衔接,法律适用困扰依然存在
为了解决《刑法修正案(九)》生效实施后司法机关在办理侵犯公民个人信息案件时的法律适用难题,2017年5月“两高”又颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息案件解释》),该解释就涉及侵犯公民个人信息类犯罪中诸如“公民个人信息”“违反国家有关规定”“提供公民个人信息”“情节严重”等以往内涵模糊的概念作出了详细规定;同时,随着《网络安全法》于2017年6月1日正式实施,终于告别了长期以来侵犯公民个人信息类犯罪前置法缺失的困境,也在很大程度上解决了司法部门在实践中由于概念不清所导致的法律适用难题。但由于我国立法机关奉行“分头立法”的传统模式,刑事法律和行政法律往往由不同的立法机关牵头起草,刑事法律与行政法律之间由于立法思路的分歧,在具体的概念表达上时常出现误差,导致法律适用产生困扰。
例如《刑法》第286条之一所规定的“拒不履行信息网络安全管理义务罪”中,犯罪主体的范围被限定为“网络服务提供者”;同样,在《侵权责任法》《信息网络传播权保护条例》等法律条文中,相关责任主体也均表述为“网络服务提供者”。但新生效实施的《网络安全法》中,却出现了所谓“网络运营者”这一全新责任主体的表述,此外还有诸如“网络产品或者服务的提供者”等概念。至于上述责任主体的概念如何界定,相关法律条文却语焉不详,导致司法机关在适用法律条文时一头雾水。对此,张明楷教授认为,如果可以通过解释路径应对网络犯罪,就没有必要甚至不应当采取立法路径,只有当解释路径违反罪刑法定原则时,才能通过立法路径应对网络犯罪[3](P74)。本文虽然一直以来赞同将刑法解释学贯彻到司法实践中,但现实中由于司法机关行政化气息浓厚,司法工作人员似乎更加习惯于被动司法而排斥主动释法。一旦遇到法律适用难题,司法工作人员往往还是倾向于援引上级部门颁布的“司法解释”“批复”“答复”等规范性文件,待到旧的司法解释难以适用时,再寻求新的司法解释加以弥补,如此循环往复,使得刑法司法解释大有成为刑法适用法之势。此举虽然可能暂时解决了法律适用难题,但终究是“头痛医头,脚痛医脚”,并没有从根本上消除部门法律之间或刑法条文之间的冲突矛盾,司法实践中的法律适用困扰依然存在。
·
·南昌大学学报(人文社会科学版)2018年 
  二 拒不履行网络监督义务的不法分析
  虽然当前我国公民个人信息屡遭侵犯,但由于网络监督义务的缺失,网络服务提供者如果没有恶意泄露公民个人信息,司法机关很难对其拒不履行网络监督义务的行为科处刑罚。刑法解释学应当服务于司法实践,刑法条文存在明显疏漏时,刑法解释学应当积极承担起严密法网的职责。虽然我国刑法条文没有明确规定“网络监督义务”,但是并不妨碍刑法学者从解释学立场讨论将网络服务提供者拒不履行网络监督义务的行为评价为不法的依据。
1.网络服务提供者拒不履行网络监督义务具有严重的社会危害性
现代刑法学理论普遍认为,犯罪的本质在于法益侵害或者危险。由于公民个人信息具有极高的人身属性,一旦被不法分子所获取极易造成后续的二次侵害。例如震惊全国的“山东徐玉玉案”,犯罪分子从QQ上获取到被害人徐玉玉的姓名、学校、、家庭情况等信息后,冒充教育局工作人员以发放奖学金为由欺骗徐玉玉将自己银行卡上的9900元余额转至指定账户,导致徐玉玉得知真相后猝死。由于公民个人信息本身并没有遭到破坏,所以与传统的自然犯罪不同,侵害公民个人信息类犯罪往往并不会立即造成某种立竿见影的法益侵害后果,但如果据此否定侵犯公民个人信息的行为具有刑事可罚性也并不可取。虽然本文一直秉持结果无价值论的基本主张,反对行为无价值论者以规范违反作为刑事可罚
性的依据,但如今的结果无价值论早已抛弃了早先严格恪守危害结果发生的主张,同意把危险的发生作为刑罚的依据。换言之,坚持结果无价值的立场也并不意味着对足以产生法益侵害的高度危险视而不见。特别是在危险的形成与危害结果的发生具有高度盖然性的场合,如果过分强调刑法的干预必须以危害结果的发生为前提则显然为时已晚,有悖于法益保护的根本立场而为本文所不取。
更进一步而言,出于应对不确定性风险的考量,我们不妨立足于实质犯罪论的观点,一旦可以肯定某种行为与危害结果的发生具有高度盖然性,现实中也时常出现由于这一行为而引发的危害结果,并且这种行为为社会公众所憎恶,就可以肯定其具备严重的社会危害性。为了实现法益保护机能,如果某种行为具有严重的社会危害性,在坚持罪刑法定原则的基础上,应当允许对刑法条文作出适度的扩张解释。况且,此处使用“社会危害性”概念,很大程度上是考虑到目前传统的“四要件体系”在我国刑法实务界仍然根深蒂固,加之我国《刑法》第13条对于犯罪概念的表述采取了“形式定义”与“实质定义”相结合的“混合定义”方法[4](P40-42),司法工作人员对于某行为罪与非罪的判断很多时候仍然离不开对其社会危害性的价值考量。为了最大程度地求同存异,减少刑法理论界与实务界不必要的纷争,坚持结果无价值论并不意味着全盘抛弃“四要件体系”的基本概念,“社会危害性”的概念同样可以适用于结果无价值的观点立场。对于网络服务提供者而言,由于其保管着海量的公民个人信息,犹如一座风雨飘摇的水库,倘若稍有不慎导致公民个人信息大量泄露,就可能给公众带来不可挽回的灭顶之灾。正如有学者指出,姑息网络服务提供者的不作为,社会将会付出的代价不仅是单个受害人的权利受损,更是社会秩序
的丧失以及公众对法律和互联网本身失去的信心[5](P404)。虽然网络服务提供者主观上并不一定存在恶意传播、散布公民个人信息的故意,但是由于其没有积极履行法律法规所要求的网络监督义务,甚至在有关部门责令改正后还拒不履行致使公民个人信息泄露,这种对网络监督义务的漠视与不法分子的纵容足以反映出其主观恶性。因为公民个人信息本身并不具有经济价值,不法分子获取公民个人信息的目的往往在于实施二次侵害,进而寻求一定的经济利益。对他们而言,重要的是公民个人信息本身,而它们的来源则无关紧要。由结果无价值论出发,在首先确认发生了公民个人信息遭到泄露这一危害结果后,可以肯定的是网络服务提供者拒不履行网络监督义务的行为具有使得该结果发生的高度危险。出于对网络服务提供者此种具备严重社会危害性的行为之否定,由于发生了法益侵害的危害结果以及足以造成危害结果的高度危险,刑法的适当介入也就理所应当了。
2.网络服务提供者具备“保证人”身份
从互联网1.0时代到2.0时代,传统网络传媒不断遭受冲击,新兴自媒体时代悄然到来,社会公众已不满足于被动的接受信息,转而向积极的信息制造者和传播者发展。根据美国1998年《数字千年版权法》所作的划分,根据提供服务内容的不同,网络服务提供者分为两类,即网络信息内容提供者(ICP)和网络中介服务者(包括网络接入服务提供者(IAP)、网络平台提供者(IPP))。前者自己组织信息通过网络向公众传播,而后者仅仅为他人传播
·
·
第2期     
马荣春等:略论拒不履行网络监管义务的不法与责任———立于公民个人信息保护的考量
网络信息提供中介服务[6](P54-55)。随着微商、直播等网络自媒体行业的快速发展,网络服务提供者更多时候已从台前转向幕后,由先前以网络信息内容提供者(ICP)为主的信息发布者向以网络中介服务者(IAP和IPP)为主的居间联络者发展。因为网络服务提供者的身份发生转变,在当前服务行业“效率至上”与“利润至上”的大环境下,其往往忽视对公民个人信息的审查核实,更不必说专门投入人力、物力、财力,对所获取的公民个人信息履行监督保管义务了。
近年来,随着德日刑法学理论的广泛传播,有关的“保证人”理论值得关注。该理论认为,刑法意义上的保证人是指具有作为义务的行为主体,如果其没有履行好应尽的作为义务,进而造成法益侵害的后果,那么该保证人就具备构成要件的主体身份。德国刑法学者认为,作为义务发生的根据在于刑法对特定法益的保护义务和保证人对危险源的监督义务,而此处的“保证人”又可以细分为管理危险源的人、对第三
者负有监督义务的人和先行行为对他人制造了危险的人[7](P100-101)。而无论是特定法益的保护者亦或是危险源的监督者,包括传统理论所热衷的“先前行为实施者”,都不妨可以看作是在特定条件下对引起结果的原因具有支配力的人。由于这种支配力具有排他性,使得行为人在特定的时空条件下掌握了因果流程,因此可以视为刑法上的义务来源。
应当认为,网络服务提供者在特定条件下对引起结果的原因具有支配力,可以将其视为刑法意义上的“保证人”。如果网络服务提供者没有履行网络监督义务,造成公民个人信息泄露等危害结果的发生,那么其就符合构成要件的犯罪主体身份。首先,网络世界是把双刃剑,公众在享受互联网领域海量信息服务的同时,往往是以提供个人基本信息为代价获得的,这些数以万计的公民个人基本信息时刻为不法分子所觊觎,一旦泄露出去势必造成整个社会难以估量的恐慌,因此可以将它们视为刑法意义上的“危险源”。就对于该“危险源”的控制力来看,相比于社会大众,网络服务提供者明显居于支配地位。如同储户将存款存入银行,公众把个人信息提供给网络服务提供者,其实就相当于把自己的隐私存入了网络服务提供者的保险柜内。即使网络服务提供者将公民个人信息泄露出去,公民个人往往也无法加以阻止,只能采取事后补救措施。其次,虽然网络服务提供者并不能确保他人不利用其所提供的网络服务实施违法犯罪行为,但是根据国内外通行的“避风港原则”和“红旗条款”,网络服务提供者在明确知晓他人利用网络平台对他人实施法益侵害时,有义务及时制止不法行为并避免危害结果进一步扩大。而无论是“避风港原则”还是“红旗条款”,均是在肯定网络服务提供者具备对因果流程具备支配力的前提下展开的。因为网络
服务提供者具备技术性优势,当不法分子利用网络平台实施违反犯罪活动后,往往也只有网络服务提供者本身可以迅速采取删帖、屏蔽、辟谣等技术手段避免危害进一步扩大,而社会公众在网络不法活动发生时显然不具备此种能力,因此可以将网络服务提供者这种技术性优势视为支配力。在特定时空条件内具备支配力的情况下,网络服务提供者就具备了刑法所赋予的保证人身份。
3.网络服务提供者拒不履行网络监督义务与公民个人信息泄露间具有刑法因果关系
所谓因果关系,我国刑法通说认为是指客观现象间引起与被引起的关系,其具有客观性而不以人们的主观认识为前提[8](P78)。但随着近年我国刑法理论日益“去苏联化”,该通说的合理性受到了广泛质疑。例如有学者指出,由于我国刑法因果关系研究领域长期以来盛行苏联刑法理论中的以区分必然性与偶然性为特征的庸俗哲学观,导致因果关系研究成果根本无法适应司法实践的需要[9](P86)。为了解决我国传统刑法因果关系理论囿于哲学化思辨的困扰,“条件说”“相当因果关系说”“双层次因果关系说”“客观归责理论”等因果关系理论经由部分刑法学者的引入推广,已取得了我国刑法学研究领域的广泛共识,大有取传统因果关系理论而代之之势。为了克服原因与结果间陷入循坏论证的窘境,回归刑法因果关系理论的客观化本质,本文赞成从条件说的基本立场出发,在可以确定没有实行行为就没有侵害结果时,就可以肯定二者之间具有刑法上的因果关系,用著名的“条件公式”(“but-for”公式)概括便是“非P则非Q”。
根据条件公式,假如没有网络服务提供者不履行网络监督义务这一先行行为,致使公民个人信息陷入一种“保管松弛”的危险状态,那么就不会发生不法分子乘虚而入进而窃取公民个人信息的危害结果。有学者质疑,由于网络传输具有即时性,虽然网络服务提供者未能履行网络监督义务,但是实践中可能出现即使采取了一定的补救措施,也仍然造成公民个人信息泄露的后果,最终可能使得刑法规定
·
·南昌大学学报(人文社会科学版)2018年