信息网络安全管理义务的立法现状、批判与匡正:从涂尔干社会分工论观瞻
2021-09-09储琪
储琪
(北京师范大学 北京 100875)
由纵向阶层分化演变为横向功能分化①业已成为社会结构变化的显著趋势。在各种领域横向联结的现代社会背景下,互联网服务也逐渐朝模块化、精细化方向发展,社团和个人的职能愈加专业,这使得网络服务提供者的角色从单纯的服务提供者逐渐向参与者、中介者甚至主导者转换,角色嬗变则反向证成了其在实现信息流动、塑造公共领域中的作用更加突出,在审查信息、保存数据、协助执法等方面,毋庸置疑需要承担维护网络运行安全、网络信息安全在内的各种信息网络安全管理义务②。鉴此,刑法将锋芒指向了网络服务提供者,通过增设拒不履行信息网络安全管理义务罪,将网络服务提供者不履行法定义务的行为上升至刑法层面评价,以达到预防或阻断犯罪的目的。尽管这一举措被认为并不高明,然而在实定法效力面前,再纠结于立法论评价已无多少意义,在前置规范已经设立了广泛的信息网络安全管理义务的前提下,如何合理厘定义务的内涵及外延,确保该罪准确适用,是当下需要思考的问题。
目前,学界对信息网络安全管理义务的存在依据、义务来源、义务内容、义务分配等均有相应的阐述③。总体上看,既有讨论具有一定共性:一是都选择从学科内部展开对义务的探讨,二是在实定法框架内具体探讨义务内容及其分配,这是法教义学研究的一贯思路。但是,虽然这些研究成果颇多且具有相当的学术价值,信息网络安全管理义务的认定却至今尚未形成统一标准,理论上大多各行其是、缺乏争锋:学者们普遍自立标准,却又未能对确立标准的依据为何给出答案,更是甚少对其他标准予以反驳,导致义务认定趋于混乱。之所以会出现此种情况,或许在于研究思路出了问题——法教义学将实定法秩序奉为圭臬,其研究的具体展开都以“实定法准确无误”为先决条件,在解释法律上确实具有其他方法不可比拟的优势,然而,若“实定法漏洞百出”,研究价值就会大打折扣。检视信息网络安全管理义务的立法可以发现,现行立法在义务的设定方式和内容设置上并不科学,那么,直接以此作为解释义务内涵及外延的大前提,所得出的结论自然难以信服,因此,学界始终对此莫衷一是的根源在于研究方法的桎梏。
另值得注意的是,在社会科学的视角中,法律作为社会的产物,其发展历程都与社会环境的变化有关。社会学家埃米尔·涂尔干在研究社会分工与法律变化之间的关系时指出,社会分工越精密,社会成员联系得越紧密,群体间及群体内部的关系越能维持,这些关系的数量与规定它们的法律规范的数量成正比,社会生活辐射面不断扩大,必然伴随法律活动的增加[1]28。所以,在分析某一法律的产生原因、适用现状和对其未来走向提供建议之前,不能不对其背后的社会因素进行考量,但这一点在法学研究中往往被忽略。因此,本文试图跳脱传统法教义学视角,选择从交叉学科的角度探究信息网络安全管理义务:首先在刑法学层面梳理信息网络安全管理义务的立法现状,进而利用涂尔干的社会分工论从社会学层面分析现行立法的局限及其成因所在,最后回归刑法学层面,重新厘定信息网络安全管理义务的意涵,实现对立法的匡正。
一、信息网络安全管理义务的立法现状
目前,虽然《网络安全法》、《互联网信息服务管理办法》等法律和行政法规较为全面地阐述了信息网络安全管理义务的内容,但是,“网络服务提供者”一词实际上并非在法律和行政法规中首次登场④,“信息网络安全管理义务”的内涵也早已见诸于各类部门规章和有权解释中⑤。因此,全面梳理涉及两者的规范性文件,于整体视野下考察信息网络安全管理义务的立法现状,在发现问题和提出对策上,也许比囿于前置法范围下探讨更具优势⑥。
以“服务提供者”“网络经营者”“网络平台”为关键词,以法律效力存在与否、内容相关度高低为标准,在北大法宝网共筛选出15 份符合条件的法律文件⑦。可以发现,尽管立法在规制主体、规制范围和义务内容上各有侧重,但在设置义务时都采取“两步走”的思路:通过分设禁止性规范和命令性规范告知“应为”与“不为”的领域,在“应为”项下推进义务设置多样化。
现行立法对禁止性规范的设定基本一致,一般以服务对象区分:面对用户,不得设置恶意程序及格式条款;面对行政机关,不得无正当理由拒绝向其提供或拖延提供有关资料;面对竞争对手不得进行不正当竞争⑧。相比之下,命令性规范丰富许多,既有宏观性、原则性的探讨,也有微观性、具体性的规制,故本文将其进一步分为抽象义务和具体义务。
(一)抽象义务
抽象义务包括制度建设、规则设立、方案制定、物质保障、人员管理五方面。
制度建设义务,是指网络服务提供者应当根据行业规范和工作性质设立各项管理制度,确保网络服务正常运行⑨。规则设立义务,是指网络服务提供者应当根据服务内容,设立具体服务规则⑩。方案制定义务包括两方面内容:一是要针对业务发展制定实施方案,如《互联网信息服务管理办法》第6 条规定,经营类互联网信息服务提供者应当制定适合业务发展的计划和技术方案,二是要针对网络安全保障制定应急预案,如《网络安全法》第25条要求网络运营者需制定网络安全事件应急预案,事先准备补救措施。物质保障义务,是指网络服务提供者应当具备为网络活动提供资金、设备等物质条件⑪。人员管理义务,是指网络服务提供者应当配备与服务规模相适应的专业人员,既要在从业前审查应聘者的网络安全背景,还要在从业后定期组织各类培训,考核从业者的专业技能⑫。
(二)具体义务
具体义务包括用户信息保护与管理、信息内容审查与监督、签订有关协议、法定资格审核、技术保障、数据保存、“发现-删除”、协助执法八个方面。
1.用户信息保护与管理。该义务在不同阶段有不同内涵:首先是提供服务之前,服务提供者为用户办理入网手续时需要先行核验用户身份,要求其提供真实身份信息,如不提供则不得为其服务;其次是收集信息之时,服务提供者应当充分、如实告知用户被收集信息的内容、方式及目的,在征求用户明确同意后合法收集相关信息;再次是获取信息之后,服务提供者应当依法律规定或合同约定,合法使用用户信息,不得随意泄露、篡改、毁损或向他人出售;最后是发生事故之时,服务提供者应当立即采取补救措施,如实告知用户,并向主管部门报告真实情况⑬。
2.信息内容审查与监督。《广告法》第34条、《互联网信息服务管理办法》第13条为网络服务提供者赋予了信息内容的合法审查义务,《互联网直播服务管理规定》第11 条则进一步指出,互联网直播服务提供者还应加强对评论、弹幕的实时管理,这意味着除审查义务外,网络服务提供者还需承担对信息内容的实时监督义务。
3.签订有关协议。鉴于一些网络服务具有特殊性,故部分服务提供者需履行协议签订义务。该义务包括签订一般协议与签订重要协议两个层面,服务性质不同使得义务的履行有所差别,究竟履行哪个层面的义务以及义务的履行程度为何,则与服务性质有关⑭。
4.法定资格审核。与签订协议义务类似,部分服务提供者在提供服务时还需具备一定资质,未取得有关资质便直接提供相关服务,构成对信息网络安全管理义务的违反⑮。
5.技术保障。技术保障义务要求网络服务提供者具有保证包括信息安全、运行安全、交易安全在内的技术措施,这些措施必须能够有效防范危害网络安全行为,保证网络的正常运行⑯。
6.数据保存。网络服务提供者在提供服务过程中往往会产生或接触各类数据信息,这些数据通常涉及个人隐私或重要机密,日后也可能成为有关部门依法查询的资料,因此,其应当履行数据保存义务,主要包括记录、保存有关数据信息,对有关数据采取备份、加密措施等⑰。
7.“发现-删除”。《侵权责任法》第36 条规定,互联网服务提供者负有在发现违法信息后,立即停止传输、保存记录并删除信息的义务,简称“发现-删除”义务。实际上,该义务为美国《数字千年版权法》(DMCA)第512 条的变种。根据该法第512 条第(a)至(d)款的规定,网络服务提供者在接到被侵权人通知后,应当立刻移除侵权信息、断开访问链接,即其负有对侵权信息的“通知-删除”义务⑱。可以发现,这种义务的履行是被动的——DMCA 不认为网络服务提供者需要主动审查信息内容、主动发现违法信息的存在,只有在接到通知后,才负有对违法信息的删除义务。我国在借鉴时对此义务进行了改造,将“发现”替代了“通知”,这意味着,侵权事实既可以是服务提供者“主动发现”,也可以是经通知后“被动发现”。“发现”一词的中立性替代了“通知”的被动性,实则表明,立法认为所有服务提供者在承担主动审查、监督信息内容的义务上具有应然性。
8.协助执法。协助执法义务包括手段协助和内容协助两方面:在调查部门需要获取一定信息或数据时,网络服务提供者或是为其获取信息提供技术协助,或是依据法律法规,在不侵犯他人隐私及遵守保密义务的前提下,为其提供所需信息或数据,履行内容协助义务⑲。
(三)小结
从禁止性规范和命令性规范的划分来看,立法形成了不同的设立思路:禁止性规范以服务对象为区分标准,所占比例较小、内容单一,零散性特征显著,命令性规范则丰富得多,所占份额较大、内容涵盖抽象义务和具体义务两方面,系统性特征突出。
从抽象义务与具体义务的划分来看,立法将信息网络安全管理义务向细致化方向推进:一方面,从抽象义务来看,物质保障义务强调财力支撑,而人员管理义务强调队伍组建,立法同时设置两者,意在要求网络服务提供者在人力财力两方面都能实现有效跟进;同样,制度建设义务强调建构总体框架,而方案制定义务强调出台具体对策,立法同时设置两者,意在要求网络服务提供者兼顾各项服务从决策到执行的整个过程。这些抽象义务的设立,说明立法旨在从外部把网络服务提供者塑造成遵守规则、制度完备的“完美型人设”。另一方面,由具体义务观之,签订协议义务、法定资格审核义务强调对网络服务形式的遵循,而用户信息保护与管理义务、数据保存义务等强调对网络服务内容的实质把握,立法同时设置两者,意在要求网络服务提供者在提供服务时不得存在丝毫瑕疵。并且,这些具体义务实际上涵括提供服务的事前(验证身份、审查资格)、事中(审核内容、保存数据)和事后(删除信息、协助执法)全过程,也与用户从接入网络到接受服务的上网流程相对应,但很显然,用户的上网流程分为不同阶段,而不同阶段对应不同类型的服务提供者,那么,他们在履行义务的内容和程度上必然存在差异。但是,具体义务的内容表明,立法忽视了主体类型差异,总括式地探讨所有服务提供者的刑责,试图从内部将其打造成“包办型选手”。
总之,信息网络安全管理义务的设置在精细中扩展,内容上不仅分设禁止性规范与命令性规范,而且细分抽象义务和具体义务,在具体义务项下进一步设置形式与实质义务等内容,形成“全包围式”结构;方式上忽略服务类型差异,对所有服务提供者的义务设置采取“一刀切”式规定。可以说,现行立法为网络服务提供者构建了一套庞杂的义务体系⑳。
二、信息网络安全管理义务的立法批判
“任何持续存在的社会生活都不可避免地会形成一种限制形式和组织形式,法律就是这些组织中最稳固、最明确的形式。”[1]28法律的发展源于社会变化。晚近以来,我国网络犯罪治理逐渐走向工程式控制21模式[2]——通过加强对网络社会活动内容和主体的控制来达到治理目标。网络服务提供者在网络分工中的重要地位,恰好赋予了立法一个不断挖掘其实质价值的正当理由,因此,信息网络安全管理义务的设立与扩张具有极强的社会动因。应当承认,这种治理模式一定程度上确能应对猖獗的犯罪,但工程式控制思维要求控制对象是明确且稳定的,面对不确定的网络社会,延续此种治理模式就会出现问题。
网络空间是网络技术发展中空间社会化的产物[3],它具有社会属性。网络服务提供者在网络分工中的作用凸显引发角色变迁,导致立法思路发生转变,利用涂尔干的社会分工论对当前义务体系进行整体观瞻,是检视体系缺陷的可行路径。
(一)网络社会分工现状:有机团结到机械团结的倒退
涂尔干认为,分工的功能在于在人人之间建立一种团结感,分工发展程度不同决定了团结形式不同:当人们因功能相似而聚集,成员间差别小,行动趋于一致,由此建立起“机械团结”;当人们因个性结合,成员间各司其职、协同合作,组织关系紧密,由此衍生出“有机团结”。机械团结下形成的社会原始且低级,有机团结则是现代高级社会的象征[1]31-79。
自2012年《全国人大常委会关于加强网络信息保护的决定》出台以来,我国网络空间治理走向“公权+私权”的共治新局面——在国家监管之外,为网络服务提供者合理设置对网络安全的管理义务,实现对违法犯罪行为的有效认定,整体上逐步形成法治化的有机团结形式。随后数年间,立法者密集发布十余部规范性文件,不断强化网络服务提供者的主体责任,《网络安全法》和《刑法修正案〈九〉》的出台将义务强化至最高点。立法在此过程中不断挖掘网络服务提供者的实质价值,试图充分利用其“守门人”角色阻断犯罪,达到网络空间的良治目标。但是,网络社会是复杂且未知的,技术更替表明旧漏洞解决就会有新漏洞出现,不论采取何种严密控制,都无法避免缝隙的产生。因此,延续工程式控制思维意味着控制没有终点,在新风险出现时,治理者只会采取层层加码的方式不断强化控制,走向矫枉过正的极端[4]。
当前,我国信息网络安全管理义务体系之所以如此庞大,根源在于立法深陷工程式控制思维。义务的从无到有、从有到多反映了国家对网络服务提供者功能变化的正向把握,从多到繁、从繁到杂则说明前者对后者职能的过度介入。现行立法的“全包围”式结构和“一刀切”式规定不仅颠倒了行政机关与网络服务提供者的社会角色,也使后者脱离固有价值而沦为国家完成任务的工具,在宏观层面,网络社会分工实际上从有机团结倒退为机械团结;在微观层面,机械团结下构建的义务体系存在主体类型区分不合理和义务设置无差别的问题。
(二)网络服务提供者类型的区分:机械团结下的不当治理
网络服务提供者因服务内容或服务性质不同而具有不同类型。立法对此主要采取两种区分方式:一是以服务性质为标准,通过判断是否具有营利目的,分为经营性和非经营性网络服务提供者22;二是以服务内容为标准,分为“平台服务”与“其他服务”,并在“其他服务”项下细分存储空间、搜索链接等具体类型,更有甚者在此基础上进一步将具体类型分为服务器托管、虚拟空间租用等。23
第一种思路源自于论坛、博客的普及。由于提供由互联网向公众发布信息的服务可能涉及多方面的社会安全问题,因此,在准许各类主体进入市场时,需要行政法根据不同服务主体的性质设置不同入市门槛。第二种思路启发自技术的发展:一方面,网络平台在网络空间中的支配地位越发突出,面对平台对于信息的管理和控制兼具支配和滥用可能的既定事实,必须寻求新的归责依据与归责原则;另一方面,网络服务提供者本质上是个笼统的概念,服务顺序先后、服务对象是谁都会影响类型的划分,不同的服务类型决定了不同的法律责任。这两种标准顺应社会变化而建立,是社会发展和技术革新的时代化产物,但应承认,前述区分标准并不合理,缺乏理论和实践价值。
1.以“服务性质为标准”的区分思路不合理。虽然《互联网信息服务管理办法》采取了“营利与否”的区分标准,修法说明也强调此次修法旨在“明确主体责任”24,可是,该法全篇落笔于服务提供者的外部市场准入制度,而非内部主体义务划分,纵使谈及义务划分,也多围绕政府部门和服务提供者间展开。也即,区分经营性与非经营性信息服务的做法,只能判断服务经营者是否具备市场准入资格、明确政府部门与服务提供者间的义务界限,而不能区分不同服务性质经营者各自的义务范围。并且,在交易之外附赠商品的做法已成为行之有效的营销策略[5],目前,许多服务提供者提供非营利性服务的做法,大部分是为后续营利性服务的开拓做铺垫,对此是以经营性行为还是非经营性行为评价,值得商榷。
2.以“服务内容为标准”的具体划分不合理。第一,“平台服务”和“其他服务”的划分逻辑有误。按照《电子商务法》第9 条、《商务部关于网上交易的指导意见(暂行)》第1 条第2 款的规定,平台服务提供者主要为网络活动提供场所,这与提供商品交易、信息存储、传输服务等其他服务提供者不同,前者重在提供服务的场域,后者将具体的、特定的网络服务作为服务内容。按照社会地理学的观点,前者提供的是“空间”“领域”,后者提供的是“空间内单元”“空间内实体”[6],主体性质和服务内容的差异表明两者不应是并列概念,不应将其置于同一平面上讨论。第二,具体类型的划分方式过于冗杂。例如,《网络交易管理办法》将交易服务分为提供网络接入、服务器托管等,《关于办理暴力恐怖和宗教极端刑事案件适用法律若干问题的意见》更是详细列举了9种类型。可是,这些类型仅在内容上有别,本质仍属于交易服务或应用服务,故此种划分只能起提示作用,并不会实质影响义务范围的确定,这种悉数列举的方式,只会让义务体系更加臃肿。
(三)信息网络安全管理义务的设置:反常的社会分工
分工可以带来社会的团结,但也会带来完全相反的结果。涂尔干认为存在失范的分工、强制的分工和不适当分工三种反常形式。强制的分工是指当维系分工的规范不再与事物真实状态相呼应时,人们就会采取强制力来维护群体团结,不适当分工则出现在功利主义视角下忽略个人需求、盲目追求效益的场合[1]313-333。受有机团结转入机械团结的影响,由于没有找准网络服务提供者的定位,信息网络安全管理义务的设定在不同维度引发了反常的分工。
1.公私主体间义务的强制分工。有学者认为,“信息网络安全管理”是指对网络营运、内容、安全的“监督”和“管理”,是对一切信息网络安全活动的监管,所以,信息网络安全管理义务包括对网络安全的监管义务[7],此观点实际上没有划清网监部门和服务提供者间的权力(利)界限。《网络安全法》第8条明确规定,网络安全的协调、保护监督管理工作由国家有关部门负责,这是行政机关的职责所在,换言之,网络安全活动监管的适格主体是法律法规明确赋权的主管部门,而不是各类网络服务提供者。强制向属于私权主体的服务提供者赋予属于公权主体的监管义务,不但不能实现维护网络安全的立法目的,反而会模糊公私主体间的权力(利)界限,网络空间的刑法治理最终会走向公权控制下的私权泛滥模式。
2.私主体间义务的不适当分工。第一,是网络服务提供者与其他网络活动主体间义务的不适当分工。《网络安全法》创造了“网络运营者”的概念并设定广泛义务,同时规定,网络运营者包括网络所有者、管理者和服务提供者,意味着该法设定的所有义务无差别地适用于前三类主体,这是文义解释的结果。[8]然而,所有者、管理者和服务提供者显然代表了三类不同主体,义务承担上必然存在差异,将赋予所有者和管理者的义务同等赋予服务提供者,无疑会使其责任过载。
第二,是不同网络服务提供者之间义务的不适当分工。成立拒不履行信息网络安全管理义务罪,除实施了拒不履行义务、经责令改正而拒不改正的行为外,还需造成“致使违法信息大量传播”“致使用户信息泄露”“致使刑事案件证据灭失”三种情形之一。然而,三者面向的服务提供者并不总是相同:例如,情形(一)涉及信息传播,显然是由管理信息的服务提供者不履行义务所致,通常情况下,不参与提供信息服务、单纯提供上网接入等技术服务的提供者便无需为此后果担责;再如,情形(三)涉及证据保存,显然主要针对负有信息数据保存义务的服务提供者,那么,追责范围就不应波及仅为信息数据提供传输通道的服务提供者。此种忽略类型差异、为不同主体不适当地赋予职责范围外的信息网络安全管理义务的归责方式,必然会模糊不同主体间的刑责界限。
综上,从社会分工论观瞻,网络服务提供者在网络社会分工中的角色转换决定了它承担信息网络安全管理义务的应然性,但受工程式控制思维影响,网络社会从有机团结向机械团结倒退,导致义务体系的建构逐渐脱离网络服务提供者应有的分工定位,趋于混乱庞杂。可以说,当下这种概括式、包办式的错位分工,不仅不能实现网络空间的良治,反而可能阻碍甚至窒息整个行业的发展[9]。
三、信息网络安全管理义务的解释匡正
网络社会的发展趋势表明信息网络安全管理义务的设定是社会分工走向有机团结的必然结果。尽管目前义务的立法设置并不完备,但问题在于分工的反常而不在分工自身。明确网络服务提供者的角色定位,进而在解释论范畴下重新厘定信息网络安全管理义务的内容,实现对立法的匡正,才是对待该罪的应有态度。
(一)信息网络安全管理义务的范围划定
1.外部划定。《网络安全法》第76条将网络运营者分为网络所有者、管理者和网络服务提供者。按企业管理学的观点,所有者即企业所有权的掌握者,他的责任在于建立企业的价值观与目标,指引企业发展;管理者在所有者指引下,制定和执行具体发展战略,以满足所有者的预期。除此以外,核心利益相关者还包括员工。员工的职责在于受前两者管理,实施具体工作,三者间是上下管理又相互独立的不同概念[10]。这能为理解何为网络服务提供者提供思路——服务提供者,就是在所有者创设、管理者管控的领域内,遵守一定规则,向用户提供服务的经营主体,性质上近似于所有者、管理者之外的“员工”,其自然无需履行属于所有者、管理者的义务。因此,要对信息网络安全管理义务进行外部限缩。意即:前置规范设置的制度建设、物质保障义务,实则是属于网络所有者的义务;规则设立、方案制定、人员管理义务,是属于网络管理者的义务。这些抽象义务的适格主体不是网络服务提供者,它不因不履行上述义务面临被刑事问责的可能,将此类义务排除在外,才是基于网络服务提供者角色定位的合理解释。
2.内部划定。前置规范还设立了签订有关协议和法定资格审核两项具体义务,若网络服务提供者不履行这些义务,经责令改正而拒不改正造成严重后果的,便会面临追责风险。但是,对这类形式义务的违反并不必然招致对网络社会管理秩序的妨害,仅代表网络服务提供者在履行义务时存在些许瑕疵。没有人可以成为常胜将军,若认为不履行此类程序性义务构成“拒不履行”,会无限制地延长刑法因果关系链条,也是对网络服务提供者的苛责。因此,应当遵循刑法的谦抑性、尊重网络社会发展现实,将这两项具体义务排除在外。
综上,应首先从内外重新划分义务范围,从外部排除抽象义务,于内部排除形式的具体义务,将信息网络安全管理义务的内容限制在用户信息保护与管理、信息内容审查与监督、技术保障、数据保存、“发现-删除”、协助执法六个方面。
(二)网络服务提供者的类型界定
尽管信息网络安全管理义务的范围已经确定,但并不意味着所有网络服务提供者应该无差别地履行这些义务,原因在于“服务”的概念具有广义性,而“网络”的前缀让“服务”的涵义进一步扩大,服务内容不同决定了服务类型有别,也影响后续不同主体间的义务分配。以服务内容作为区分标准的立法尝试值得肯定,但具体做法要么逻辑有误,要么分类方式冗杂。界定网络服务提供者的类型,需要在服务内容标准下,结合“互联网”的特性,再行确立更明晰的辅助标准。
1.“两类五种”模式的构建。互联网服务的宗旨在于“智能+融合”,本质是为线下主体与线上空间搭建信息互通的平台。根据上网的线性流程,可以将其分为“线下-线上互联”“线上空间互联”和“线上人人互联”三个阶段。
首先,是线下-线上互联。上网的前提是网络和设备,网络一般由电信服务商(中国移动等)提供,设备主要包括服务器、路由器等,它们共同为线下用户与线上空间的联动提供技术支持,是实现“联”的前提。因此,接入服务提供者是网络服务中出现的第一个主体。
其次,是线上空间互联。在实现接入服务后,用户真正从线下进入了线上社会,紧接着在各类应用中搜索需要的信息。以百度为例,用户在浏览器地址栏内搜索具体域名,操作系统随之进行域名解析——系统根据用户指令,首先从本地浏览器的缓存中寻找域名对应的IP 地址,查看该地址是否被解析过,若找到则直接使用,未找到则进一步从存储文件中查找。系统若仍未搜集到有关信息,就会向对应IP地址的服务器发送域名解析请求,获取域名对应的IP地址,服务器收到请求后对域名进行处理,把解析后的IP地址返给用户系统内核,由内核传输给浏览器,浏览器拿到IP地址后实施渲染,至此,域名解析过程结束,用户进入目的网站。在此过程中,系统为实现从A 域名到B域名的跳转,经历了查找域名-查找缓存信息-查找存储信息-实现定位四个环节25。在此过程中,系统实质是服务请求者的角色,只负责“查找”,不负责具体信息的“提供”,因此,除用户和系统外,各个环节还有其他主体参与,分别是搜索服务提供者、缓存服务提供者和存储服务提供者。这三类主体在不同阶段提供了相应的技术支持,为用户在不同线上空间中流转搭建桥梁,实现空间之间“互”的目的。
最后,是线上人人互联,这是用户在线上空间的信息获取阶段。前一阶段的空间互联运送用户到达提供各类信息的场域,用户通过实现与内容提供者的互联,获取所需信息,达到上网目的,形成上网链条下“互”+“联”的闭环。
因此,在服务内容项下,继续以上网流程为辅助标准来划分网络服务提供者的类型,既能与“互联网”之特性相呼应,也能避免划分方式过于冗杂。在“服务内容+上网流程”的双重标准下,可以构建网络服务提供者基本类型的“两类五种”模式:“联”阶段的接入服务提供者、搜索服务提供者、缓存服务提供者、存储服务提供者等技术服务提供者,以及“互”阶段的内容服务提供者。
2.对其他分类方式的回应。这里主要作以下三个方面的回应:
(1)缓存服务和存储服务不是同一类型。有学者认为,缓存服务无需和存储服务并列,二者只有时间长短的差异而无本质区别,可以视为同一种服务提供者[11]。实际上,这是对缓存和存储只做了“储存”意义上的机械性理解。缓存是指将需要频繁访问的内容暂时存放在系统固定位置,具有自动、中介和暂时的特征,存储是为用户提供存储技术和调配存储空间,并保障存储数据的安全,包括服务器托管和虚拟空间租用等。除时间长短不同外,缓存服务近似提供“通道”,而存储服务趋近于提供“场域”,前者实际上与接入服务提供者相近,后者则是空间提供者,两者应作为网络服务提供者的不同类型,不能混为一谈。
(2)内容服务提供者应当是独立类型。有论者指出,应将内容服务提供者排除在外,因为自行在网络上生成犯罪言论或对此加工的网站与线下媒体没有区别,可径直以有关罪名认定[12]。若按此观点,接入服务、搜索服务、缓存服务和存储服务也不应列入基本范围,毕竟它们本质上是共同犯罪的帮助行为,可直接依据共犯理论定罪处罚。如此,网络服务提供者的概念便沦为空壳,拒不履行信息网络安全管理义务罪将被彻底弃置,成为网络犯罪规制浪潮中的象征性立法。
此论忽略了传统犯罪在网络空间异化或进化的事实。技术发展将线下犯罪平移至线上领域,技术加功让犯罪构成要件演化出新样态,内容提供者或其他服务提供者的行为都在网络空间中被无限拉长与放大。拒不履行信息网络安全管理义务罪的设置,就是为了应对技术对传统社会的冲击,通过行政前置程序限制由线下到线上的各类中立行为的处罚范围。因此,不能因服务行为本质属性未改变而将相关主体排除在外,毕竟,提供内容服务是互联网服务中不可缺少的环节。
(3)平台不是网络服务提供者的类型。诸多学者主张将平台作为网络服务提供者的类型[13],各法律文件及行政会议中也频繁提出“科学界定平台责任、严肃查处为网络犯罪提供服务的平台”26。平台提供者早已成为约定俗成的概念,其网络服务提供者的形象业已确立。
然而,正如前文所述,平台服务与其他服务存在本质区别,不能将其视为网络服务提供者的不同类型,并且,当前的平台不再是中立的传输通道或展示载体,活动范围触及各个角落。以阿里集团为例,其已从最初的电商服务平台,扩展至包括网络借贷、物流提供、大数据云计算等在内的综合型平台,业务范围涵盖网络接入、内容存储和信息提供多方面,平台的实质内核发生改变,日渐发展成为集接入、搜索、信息提供、产品交易于一体的生产力组织者和生产要素掌控者,实际上行使着定义、影响利益相关者的巨大权力。意即,阿里集团的日常业务涉及从准入到服务的全部阶段,若继续将其归为网络服务提供者的类型,意味着它需要在各个环节积极履行相应义务,这种做法不仅徒劳而且严苛,更重要的是,平台对于网络活动的整体参与性特征也不能与网络服务提供者的阶段参与性特征匹配。因此,将平台纳入基本类型的做法,不仅存在逻辑谬误,也不能在责任的衔接上做到轻重有序,反倒可能会导致强化平台整体责任或弱化平台模块责任等异态形式出现,将其排除在基本类型外更加妥当。
综言之,单纯以服务内容为界定标准的做法将成为过去,技术发展表明我们需要思考新进路。构建“两类五种”模式,既能将上网流程整体纳入,也能回应立法及理论的迷思,同时,排除平台服务提供者的地位,证成内容服务提供者的地位,区分缓存服务与存储服务提供者的地位,可以实现网络服务提供基本类型的廓清,为最终不同主体的义务确定奠定基础。
(三)不同服务提供者的义务确定
1.危险源监督说的引入。对不作为犯而言,作为义务的判断总是与刑事保证人的确定有关。在刑事保证人义务实质化的当下,面对不同的网络服务提供者,前置规范设定的信息网络安全管理义务并不必然赋予其保证人身份,而需要结合具体服务内容进行个别地判断,如此才能解决不同主体间义务承担无差别的问题。
对于保证人作为义务的发生根据,危险源监督说值得提倡。该说认为,管理特定危险系统、危险物品的人,对危险来源负有监督控制义务,由于其不履行义务而对被害人产生现实危险状况的,可能会承担刑责[14]。原因在于,受横向功能分化趋势的影响,在现代社会尤其是网络社会,“复杂社会系统中的秩序,必须依赖处分权人所管理的特定空间和特定控制领域的安全。”[15]这种“管理”的核心在于“直接”“特定领域”和“控制”,而这正与网络服务提供者在网络社会中的作用与地位相匹配[16]:网络服务提供者在网络分工中的作用凸显,恰好体现了其“控制”信息流动的能力;不同服务提供者专注于各自的服务“领域”,也可以对所提供的具体服务实现“直接”管理。因此,在确定不同服务提供者的义务时,危险源监督说可以作为判断其是否具有保证人地位的理论标准。
2.不同主体的义务内容。由前文对信息网络安全管理义务内容的具体阐释可见,部分义务的履行需要具备“专业性”,义务主体要么擅长技术协助、要么擅长内容提供,因此这些义务只应由专门以此为服务内容的提供者承担,只有特定服务提供者对此负有保证人义务。部分义务则无此门槛,其对“专业性”的要求较小,并且贯穿用户从接入网络到接收服务的全过程,意味着处于不同环节的服务提供者都应在职责范围内承担这些义务,所有服务提供者对这些义务均处于保证人地位。
表1 不同类型网络服务提供者的信息网络安全管理义务
(1)属于所有主体的共同义务。如表,“发现-删除”、协助执法义务以及所有禁止性规范属于所有主体的共同义务,但认定时仍要结合服务类型做实质判断。
“发现-删除”义务当然属于所有服务提供者的保证人义务。任何服务提供者,在主动发现、经权利人通知或有关部门通知,明确知道其所提供的服务含有不法信息内容后,应当立即采取删除信息等改正措施,避免不法信息扩散,这属于网络服务提供者的基本职责。需要注意的是,履行此义务应以技术可能性为限,理由在于该义务的完成度与技术水平高低有关,在发现不法信息和采取措施上,技术服务提供者比内容服务提供者更有优势,因此,若“发现-删除”的技术要求突破服务提供者的能力限度,哪怕经责令改正拒不改正、造成了法定严重后果,也不能以拒不履行信息网络安全管理义务罪归责。此外,“发现”不当然表明所有服务提供者负有对上网信息的实时监控义务。由于互联网信息传输的海量性,网络服务提供者不可能通过单项服务实现对所有信息的实时控制,且网络安全的监管工作本应由国家有关部门负责,虽然我国在表述上用“发现”替代了“通知”,但认定时仍应遵循DMCA 的立法思路,对“发现”做限缩解释,即该义务的履行要以“被通知”(被动性)为前提,否则是对网络服务提供者的苛待。
协助执法义务也属于共同义务,但履行时各有侧重。技术服务提供者主要负责在技术上协助有关部门,内容服务提供者则专注于信息内容的提供,二者恰好与协助执法义务的两方面对应。需要注意的是,对内容服务提供者而言,所提供的资料可能涉及个人信息或商业信息,因此,履行协助执法义务时也要严格遵守法律规定或合同约定,履行合理的保密义务,不得侵犯他人隐私。
禁止性规范分为对用户、竞争对手和公权力机关三类,这三类主体与网络服务提供者间关系密切,几乎参与了网络服务的全部流程,因此,所有服务提供者都应同等遵守禁止性规范,一旦违反禁止性规范所设定的义务,便构成对信息网络安全管理义务的“拒不履行”。
(2)属于部分主体的专有义务。除属于所有主体的共同义务外,信息网络安全管理义务还包括属于部分主体的专有义务。危险源监督说强调处分权人对特定领域的控制,据此,技术服务提供者和内容服务提供者只需履行与其服务内容有关的信息网络安全管理义务。
技术保障义务以“技术”为核心,故该义务属于接入服务提供者、搜索服务提供者、缓存服务提供者、存储服务提供者的信息网络安全管理义务。这四类主体处于在技术上保障网络信息安全、运行安全的保证人地位,不仅要在日常工作中及时更新技术设施、提升技术水平,保障网络正常运行,防范网络安全事件发生,也要在事故发生后采取有效措施及时止损,避免危害后果进一步扩大。
具备数据保存义务保证人身份的主体要能接触到各类数据信息,且负有留存数据、记录信息的职责,因此,单纯从事接入服务、搜索服务的主体自然无需履行此项义务,此义务是缓存服务、存储服务和内容服务提供者的专属义务。这些主体能够通过服务器、虚拟空间或云存储的方式储存信息内容,而且要在法定期限内留存这些信息,以供用户或有关部门查询27。由于所存储的信息内容可能涉及个人隐私或商业机密,故在用户和有关部门要求提供时,上述主体必须按照法定程序核验主体身份,对身份不符、手续不齐全、请求内容不明确的主体不予提供,严格遵循保密义务。
用户信息保护与管理义务要求服务主体与用户间实质产生联系,搜索服务、缓存服务和存储服务提供者只负责为用户上网提供传输通道,不与用户进行实质交流,而负责“线下-线上互联”的接入服务提供者需要为用户办理入网手续、负责“线上人人互联”的内容服务提供者要在用户要求上传内容或为用户提供特定内容时确认身份,故只有这两类主体处于此项义务的保证人地位。二者要核验用户身份,要求其提供真实信息,在征得同意收集信息后,合法使用用户信息,发生安全事故后还要及时采取措施保护信息安全,并向用户如实说明情况。
信息内容审查与监督义务要求服务主体保证内容合法,能够对信息进行实际管理与控制,内容服务提供者显然处于该义务的保证人地位。该义务分为对信息内容的审查和监督两方面,但如前所述,网络服务提供者不可能也不应当承担对信息内容的实时监控义务,因而要重新解释“审查与监督”的含义——当信息内容由服务提供者自行生成、上传和提供时,其需要履行对信息内容的“审查”义务。当信息内容由用户提供,服务提供者仅提供上传、展示服务时,其需要在信息上传之前,对用户提供信息的行为、方式和内容履行“监督”义务。审查义务和监督义务针对的对象不同,但义务履行都限于提供信息内容之前,而不包括提供信息之后对所提供信息的实时监管义务。
综上,在确定信息网络安全管理义务的归属时,要以危险源监督说为指引,结合服务类型与服务内容,具体、实质、个别地判断谁处于各项义务的刑事保证人地位,而不能做笼统、形式、概括式处理,无差别地将所有义务赋予不同主体。并且,网络服务提供者仅不履行上述义务并不当然构罪,还需满足经责令改正拒不改正、造成法定严重后果,才能以拒不履行信息网络安全管理义务罪归责。
四、结语
现代社会建立在分工整合基础之上,特地为单一领域赋予“元”位置实现对社会整体秩序的调整,将对其他领域造成冲击,造成社会整合基础的缺失。信息网络安全管理义务的现行立法是网络社会分工失范的典型,据此认定网络服务提供者的刑责,只会减少并最终使其丧失自身的实质价值。基于网络服务提供者的分工定位,重新厘定信息网络安全管理义务的内容以匡正立法,是实现该罪立法目的和确保司法适用的最佳路径。然而,网络社会的复杂化与不确定性要求社会治理机制同样需要作出回应,换言之,利用解释解决立法问题只是控制思维下的缓兵之计,如何完成网络犯罪治理思维的转变,才是网络时代刑法理论与实务的长久议题。
[注释]:
①社会学家尼克拉斯·卢曼区分了三种社会分化的形式:区隔分化、阶层分化和功能分化。区隔分化存在于原始社会,各部落间形成简单平等的分工;阶层分化存在于古代社会,是按照等级高低形成的社会分工;功能分化则是指现代社会依据不同领域的特定功能,横向上将社会分化成政治、经济、法律、教育等各个系统,系统间边界分明,系统内部也有独立的运行逻辑,各系统为整个社会的运行履行独特的功能。
②《网络安全法》第9条规定,网络运营者(包括网络服务提供者)应当履行网络安全保护义务,并将网络安全分为网络运行安全与网络信息安全。本文参照该法,将“信息网络安全管理义务”理解为“网络安全保护义务”,包括运行安全和信息安全两方面。
③这些研究成果的作者和论题主要有:陈洪兵的《中立帮助行为的处罚边界》,载于《中国法学》2017年第1期;敬力嘉的《信息网络安全管理义务的刑法教义学展开》,载于《东方法学》2017年第5期;梁根林的《传统犯罪网络化:归责障碍、刑法应对与教义限缩》,载于《法学》2017年第2期;陆旭的《网络服务提供者的刑事责任及展开——兼评〈刑法修正案(九)〉的相关规定》,载于《法治研究》2015 年第6 期;谢望原的《论拒不履行信息网络安全管理义务罪》,载于《中国法学》2017 年第2 期;周光权的《拒不履行信息网络安全管理义务罪的司法适用》,载于《人民检察》2018年第9期。
④网络服务提供者一词最早出现在2005年《互联网安全保护技术措施规定》第18条。
⑤例如,《互联网直播管理规定》《全国人大常立法解释委会关于加强网络信息保护的决定》《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》等都对信息网络安全管理义务有所阐述。
⑥需要说明的是,基于研究目的需要,本文也选取了前置法范围之外的法律文件作为研究样本,仅仅是为了能够更全面地检视立法现状,在最终厘定义务时,仍然会依据前置法设定的义务范围进行,严格遵循法律文件的效力位阶。
⑦包括:《侵权责任法》《网络安全法》《反恐怖主义法》《电子商务法》《英雄烈士保护法》等5 部法律;《互联网信息服务管理办法》《信息网络传播权保护条例》《食品安全法实施条例》等3部行政法规;《互联网安全保护技术措施规定》《商务部关于网上交易的指导意见(暂行)》《网络交易管理办法》《互联网直播管理规定》等4部部门规章;《全国人大常立法解释委会关于加强网络信息保护的决定》1份立法解释,《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》和《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》等2份司法解释。
⑧参见《电子商务法》第24条、《网络交易管理办法》第19条、《互联网安全保护技术措施规定》第14条、《信息网络传播权保护条例》第22至25条。
⑨例如,《反恐怖主义法》第18条规定互联网服务提供者应当设立信息内容监督制度,《电子商务法》第39条规定电子商务平台经营者应当健全信用评价制度。
⑩例如,《电子商务法》第41条规定电子商务平台经营者要建立知识产权保护规则,《互联网直播管理规定》第15条要求直播服务提供者建立信用等级管理体系,《网络交易管理办法》第25条要求第三方交易平台建立平台内交易规则。
⑪《商务部关于网上交易的指导意见(暂行)》第3 条第2 款规定,除具备合法主体资格外,网络交易服务提供者还应在资金、设备、技术管理人员方面具备一定的物质条件。
⑫参见《互联网直播服务管理规定》第7条、《网络安全法》第34条。
⑬参见《互联网安全保护技术措施规定》第4条、《网络交易管理办法》第18条、《全国人大常委会关于加强网络信息保护的决定》第1至3条。
⑭例如,《互联网直播管理规定》第13条规定直播服务提供者应与直播服务使用者签订直播服务协议,《网络安全法》第36条规定关键基础设施运营者在采购网络产品和服务时,除签订一般协议外,还应与提供者签订安全保密协议。
⑮例如,《电子商务法》第27条规定电子商务平台经营者需要审核平台内经营者是否具有经营资格,《互联网信息服务管理办法》第5条规定新闻、药品等服务提供者提供服务时应取得相关资质。
⑯参见《互联网直播服务管理规定》第8条、《全国人大常委会关于加强网络信息保护的决定》第4条。
⑰参见《网络安全法》第21条、《互联网直播服务管理规定》第16条。
⑱参见Digital Millennium Copyright Act,512(a),(b),(c),(d).原文为:(网络服务提供者)在收到权利人声称的侵权通知后,应立刻移除侵权信息或禁止访问被侵权产品。
⑲参见《反恐怖主义法》第18条、《食品安全法实施条例》第32条。
⑳文中列举的各项义务虽综合15 份研究样本所得,但笔者发现,前置规范以外的法律文件对义务的规定与前置规范相差无几,只是在表述上更加细致。因此,可以认为文中各项义务就是前置规范设定的信息网络安全管理义务的全部内容。
21工程式控制思维看重确定性和实用性,强调外在控制。因此,在面对不确定性因素时,该思维便就变得捉襟见肘。
22参见《互联网信息服务管理办法》第3条。
23参见《电子商务法》第9 条、《信息网络传播权保护条例》第14 至25 条、《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第1条。
24《关于〈互联网信息服务管理办法(修订草案征求意见稿)〉的说明》,国务院新闻办公室官网:http://www.scio.gov.cn/zxbd/zcfg/document/1169097/1169097.htm(2012-06-07),2020年11月5日访问。
25参见《HTTP与HTTPS协议:从原理到流程》,CSDN 社区,https://edu.csdn.net/course/detail/23458?utm_medium=distrib‐ute.pc_relevant_t0.none-task-course-BlogCommendFromMachineLearnPai2-1.control&depth_1-utm_source=distribute.pc_rele‐vant_t0.none-task-course-BlogCommendFromMachineLearnPai2-1.control(2019-08-06),2021年1月5日访问。
26《中央政法工作会议:加强网络治理维护网络安全》,中国新闻网,https://www.chinanews.com/gn/2018/01-23/8431464.shtml(2018-01-23),2020年11月10日访问。
27例如:《电子商务法》第31 条规定,电子商务平台经营者保存有关信息时间自交易完成之日起不少于三年;《互联网信息服务管理办法》第14条规定,信息服务提供者、接入服务提供者的记录备份应当保存60日。