麦学礼

（天津商业大学 法学院，天津 300400）

随着大数据时代的到来，信息网络的安全问题越发引起人们关注。《刑法修正案（九）》增设了拒不履行网络安全管理义务罪（第二百八十六条之一），以此促使网络服务提供者积极履行网络安全管理义务。这是我国刑法对“拒不履行网络安全管理义务”行为在立法层面的规制。数据显示，截至2019年9月，全国法院共审理相关网络犯罪案件260件，判决473人。其中，非法利用信息网络刑事案件159件、223人，帮助信息网络犯罪活动刑事案件98件、247人[1]。这些数据说明拒不履行网络安全管理义务罪的设立，并不能有力地遏制居高不下的网络犯罪。笔者拟从合规理念角度对此问题进行分析，并提出建议。

一、“拒不履行网络安全管理义务罪”背后的合规理念

拒不履行网络安全管理义务罪的设立，虽然没有全面发挥维护网络安全的作用，但其背后所体现的刑事合规理念为有效实现网络安全管理提供了一种新的思维模式和方向。

（一）对网络安全管理义务的刑法规制

在增设拒不履行网络安全管理义务罪以前，网络安全管理义务只是网络服务提供者的一种行业内部自我管理、自我监督的业务行为。但在本罪设立后，网络安全管理义务便成了一种具有刑罚意义的监管措施，体现了刑法对网络行业内部安全管理的规制。刑法通过使网络服务提供者承担刑事责任的方式，促使其积极地进行网络安全的管理工作，避免网络安全管理义务的名存实亡。因此，这是一种来自刑法、来自外部（相对于网络服务行业内部而言）的监管和规制。

（二）刑法规制是否过度介入网络行业义务

进一步说，这种规制并不是所谓的刑事的过度介入或刑事干涉。一方面，从此罪的设立目的来看，其并不仅仅只是为了对拒不履行网络安全管理义务的网络服务提供者加以惩罚，而更多的是欲通惩罚来威慑网络服务提供者加强网络安全，从而遏制破坏网络安全的犯罪行为。此目的和大多数网络服务提供者的目的是一致的，两者都希望有一个良好的网络安全环境，而刑法作为一个帮助者、合作者的角色登台。另一方面，从法条的规定来看，只有在网络服务提供者不履行网络安全管理义务并且经监管部门责令采取改正措施而拒不改正的，才有可能以犯罪论处。这意味着，刑法并没有将网络安全管理义务直接上升为刑事义务，而是在拒不改正时才将其纳入犯罪圈。因此这种规制与“直接把行政义务规定为刑事义务”“过度介入”是完全不同的。

（三）网络安全中刑法规制的本质即“合规理念”

“所谓刑事合规，是指为避免因企业或企业员工相关行为给企业带来的刑事责任，国家通过刑事政策上的正向激励和责任归咎，推动企业以刑事法律的标准来识别、评估和预防公司的刑事风险，制定并实施遵守刑事法律的计划和措施。”[2]7刑事合规是内外部控制的结合体。在内部，企业能够控制员工的日常工作行为符合规范，加强自我管理，以免触碰法律、行政法规的红线；在外部，国家基于对企业运行状态的考察，对具有良好规范和行为的企业在刑事责任上给予减免之类的激励，从而达到鼓励企业良好发展的目的。因此，笔者认为，合规理念在网络安全中，就是通过企业内部手段和刑事手段相结合，采取自我管理和刑事规制的共治模式，充分发挥对网络安全的预防、激励、内外监管等功能，以使网络安全管理符合规范的理念。简言之，网络安全管理的合规理念，就是要将网络行业内部的安全管理规范与刑法上的特别要求相互融合起来。这种理念颠覆了以往只让网络服务提供者来进行自我规制的做法，也颠覆了以往刑罚偏重于事后惩罚和威慑而轻视事前预防的单一模式。本罪的设立，表明刑法开始注重对履行网络安全管理义务的监管，通过配置刑罚倒逼网络服务提供者进行更强有力的自我监管，从而发挥网络安全管理的预防作用。这从一定程度上反映了这一罪名的设立背后确实有合规理念的影子，但仍存在部分缺失或不完整，下文以此展开论述。

二、网络安全管理义务和刑事义务之间存在错位

《刑法修正案（九）》在该问题上合规理念的不完整，主要表现在“经责令改正拒不改正”构成要件的不合理性上。刑法第二百八十六条之一规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，并具有法定四种情形之一的，构成拒不履行本罪。其中，“经责令改正拒不改正”该如何理解、责令的依据是什么、依据是否合理及其原因，下文一一论述。

（一）“责令”的依据是什么

责令的主体，即监管部门，作出责令时必须有据可依。笔者认为，存在两个依据，分别是形式依据和行为依据。首先是形式依据，指的是有关网络安全管理义务的法律、行政法规。如《网络安全法》第9条规定：“网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。”其次是行为依据，指的是网络服务提供者在监管部门发出责令通知书后仍然作出违背责令通知书内容的行为。如监管部门责令网络服务提供者在限期内删除其网络平台上的虚假广告信息，而被责令人超期后仍不采取任何安全措施导致严重后果。

（二）“责令”的依据是否合理

在形式依据中，虽然《网络安全法》 《全国人民代表大会常务委员会关于加强网络信息保护的决定》 《互联网直播服务管理规定》等法律法规都能作为依据，但这些法律法规均没有对网络安全管理义务作出明确的规定，使得本罪中“网络安全管理义务”的认定存在困难。监管部门和检察机关，对于实质上不属于网络安全管理义务的行为，他们一般也只能依据有关的法律、行政法规进行一种形式上的监管。在行为依据中，网络服务提供者的“拒不改正”是拒“监管部门所认定的义务”而不改正，还是拒“客观上所能够履行的义务”而拒不改正？结合我国的有关实践以及本罪的法条行文逻辑，就会发现检察机关判断网络服务提供者是否拒不履行网络安全管理义务时，重点考察的是网络服务提供者是否具有“不履行责令通知的行为”。也就是说，本罪中的“拒不改正”所拒绝的是责令通知上的内容，而不是“网络服务提供者客观上所能够履行的义务”。这种定性不实际考察网络安全管理义务的内容合理性和实质可行性，更不考虑网络服务提供者为履行责令通知上的义务内容所付出的时间、经济等成本，一切以责令通知书的内容为准，这显然是不合理的。

（三）“责令”的不合理源于义务错位问题

1.网络安全管理义务和刑事义务的界定

“责令通知”的内容在现行刑法中之所以规定得不合理，其主要根源于网络服务提供者行业内部的监管义务和刑法所要求的监管义务之间的难以协调、难以达成共识，而刑法又急于找到一个标准，导致网络安全管理义务与刑事义务之间存在错位。在分析二者的错位问题之前，有必要就二者的具体内容进行界定。

笔者认为，“网络安全管理义务”有三种界定：一是指网络服务提供者在行业内自觉形成的自我监管的义务；二是刑法第二百八十六条之一中依据有关的法律、行政法规规定的具有刑罚意义的义务；三是通过合规理念将前文的两种界定相协同一致而产生的义务。其次是“刑事义务”，在本罪中，“履行法律、行政法规规定的信息网络安全管理义务”是第一性的行政义务，而“履行责令通知所认定的义务”是第二性的刑事义务。本罪就是在违反第一性义务的基础上，进而违反第二性义务的罪名。因此，笔者在义务错位问题中所指的“刑事义务”正是本罪中第二性的刑事义务，并且是以“网络安全管理义务”的第二种界定为基础的刑事义务，这点在新法条中便能轻易看出。

按照第一种界定，网络安全管理义务的内容完全由网络服务提供者自己决定，私人性、随意性较强。若以此为基础来判断行为人是否违反刑事义务，则会导致入刑的随意性、主观性，会导致大量的网络危害行为逃出法网。按照第二种界定，是依据“有关的法律、行政法规”而确定的义务，但我国关于“网络安全管理义务”仍没有法规明文规定，有关网络安全的法规仍不完善。对于本应列入网络安全管理义务范畴的行为却没有被列入，在法律上也无据可依，难以真正起到规制作用。按照第三种界定，不仅兼顾监管部门对网络安全刑罚意义的考量以及网络服务提供者的专业性、行业特殊性的情况，而且克服监管部门的滞后性和网络服务提供者的随意性。这种界定符合合规理念，能够克服以上两种界定的缺陷。因此，笔者赞同第三种界定。

就“刑事义务”而言，本罪中的刑事义务是以上文所述网络安全管理义务的第二种界定为前提条件的。但笔者认为，把网络安全管理义务作为第二种界定来理解是不合理的，前文已有解释，在此不再赘述。

2.义务错位问题的产生

按照前文对两种义务界定的分析，理想的状态应当是：在网络服务提供者违反第一性义务进而违反第二性义务的过程中，网络安全管理义务能够合理地作为违反刑事义务的基础条件。笔者认为，网络安全管理义务是否能够合理地作为违反刑事义务的基础条件取决于是否符合网络安全管理义务的第三种界定。符合这种界定的，则是合理的，反之则不然。因此，网络安全管理义务能够合理作为违反刑事义务的基础条件，却在法条中不被刑事义务予以承认的，或网络安全管理义务不能合理作为违反刑事义务的基础条件，却在法条中被刑事义务予以承认的，则称为义务错位。概言之，义务错位就是合理却不被承认或不合理却被承认的两种义务错位关系，而后者便是本罪的义务错位表现。其实质是网络安全管理义务和刑事义务缺乏衔接性，两者不能达成共识，从而产生错位。

把“网络安全管理义务”做第二种界定，监管部门非专业的属性就决定了这种层面上的管制必定有漏洞。本罪法条中刑事义务所承认的是“不合理的网络安全管理义务”（第二种界定），这就是笔者所论的网络安全管理义务（第三种界定）①下文所提的“网络安全管理义务”均指第三种界定的网络安全管理义务。和刑事义务的错位问题。

3.义务错位问题的本质

其实，从《网络安全法》到《计算机信息网络国际联网安全保护管理办法》，再到相关司法解释的出台，都是在为网络服务行业的监管提供专业化的标准，使得监管部门在监管的过程中有法可依，以纠正这种错位。这反映了监管部门的认知和网络服务提供者的认知是有差异的，正是这种认知差异使得网络安全管理义务与刑事义务之间缺乏衔接性，从而导致两种义务的错位。

义务错位问题的本质是认知的差异。认知的差异包括两方面的内容：一方面是获取信息上的差异。一般情况下，专门从事网络服务的企业相比于行政监管机构具有显著的技术优势，监管机构的整改责令可能是相对落后的技术要求或者管理措施，企业在满足了行政整改命令之后可能存在更高程度的认知，其本可以自觉履行，但可能出于技术自信或者成本控制的考虑而没有尽到监管责任，从而最终导致其平台被犯罪分子所利用的严重后果。这是两种主体对信息的获取能力差异导致的[3]。另一方面是价值判断的分歧。例如，“快播公司传播淫秽物品案”中，公诉方认为快播公司是网络服务内容提供者，其提供网络缓存平台供用户上传和下载淫秽视频的行为，是违反其作为网络服务提供者的网络安全管理义务的。但快播公司认为其只是网络服务技术提供者，其行为只是提供一个中立的网络平台，属于“技术中立而无罪”的情形。这涉及价值判断的问题，快播公司在此案中到底属于哪一类提供者，认知不同，判断就不同，对网络安全管理义务的理解也会不同。

三、用合规理念进行错位纠正

如前所述，依据我国现行刑法，无法很好地解决义务错位的问题。因此，笔者认为，必须以认知的差异作为所要解决的问题方向，以合规理念为解决问题的思维方式，通过行政手段和刑事手段相结合，来解决网络安全管理问题。其实这就是网络安全管理合规化的过程。在此，笔者提出以下几点网络安全管理合规化的建议。

（一）制定合理的、专业的、明确的合规规则

首先，关于网络安全管理合规规则制定中的合理性与专业性问题。一方面，注重合理性。以网络平台为例，其开放程度不同，信息传播范围不同，其所产生的社会影响亦有差异，网络平台服务提供者对平台用户发布的消息或从事的行为的管理义务和注意程度亦应有所不同。例如对于信息公开，淘宝作为电子商务平台必须公开商业登记信息，微信作为社交平台在依法披露用户信息时却须谨慎衡量[4]。因此，监管部门必须结合不同网络平台类型对网络行为在刑法意义上作出客观合理的评价。同时监管部门也不能因为对相关的网络知识存在盲区，而消极地将其排除在监管的范围之外。另一方面，注重专业性。网络服务提供者作为离网络平台最“近”的主体，有着监管部门没有的经验和专业知识。对于其在特定的网络平台中，能不能够履行某种安全管理义务、能够履行多大程度的管理义务、如何履行管理义务，其都有着丰富的经验和毋庸置疑的判断能力、预知能力。因此，制定合规规则要兼顾合理性和专业性，使得自我管理和行政、刑事监管达到一个能够前后衔接的状态。

其次，关于网络安全管理合规规则制定中的明确性问题。在形式上，以条文的形式将合规规则予以明确规定。比较法上已有类似做法，如德国的《网络执行法》在面对类似本罪的这种空白罪状时，其处理办法就是在法律体系中嵌入合规规则。这种做法，能够克服拒不履行网络安全义务罪中所依据法律、行政法规的不明确性。在我国的《网络安全法》中，可以明确规定“网络安全管理义务”的范围、网络服务提供者定期报告网络安全管理日志等。在内容上，必须对本罪的构成要件进一步予以明确。实际上，本罪中的“违法信息”的具体内涵，已经在《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》 （拒不履行信息网络安全管理义务，具有下列情形之一的，应当认定为刑法第二百八十六条之一第一款第一项规定的“致使违法信息大量传播”：（1） 致使传播违法视频文件二百个以上的；（2）致使传播违法视频文件以外的其他违法信息二千个以上的；（3） 致使传播违法信息，数量虽未达到前述规定标准，但是按相应比例折算合计达到有关数量标准的；（4） 致使向二千个以上用户账号传播违法信息的；（5） 致使利用群组成员账号数累计三千以上的通讯群组或者关注人员账号数累计三万以上的社交网络传播违法信息的；（6）致使违法信息实际被点击数达到五万以上的；（7）其他致使违法信息大量传播的情形）进行了非常明确的规定，其具体到了违法视频的数量、点击量、受众的用户数等等。合规规则也应如此，甚至应该更加细致。

（二）合规规则必须在动态中有效运行

为保障合规规则能在动态中保持良好运行，笔者主张建立保障合规规则运行的一系列机制。

一是投诉机制，让用户参与进来，对网络服务提供者实行合规规则有一定的监督作用。前者对网络平台上的违法信息进行投诉，后者负责收集、汇总投诉意见，并且在限定的时间内给予满意的答复并采取相应措施，如删除违法信息、修复平台漏洞等等。在实践中已经有这种机制，例如我国《网络安全法》第四十九条规定，网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。但仍需完善投诉的具体处理方式，可以借鉴德国的《网络执行法》，其规定网络服务提供者通常应该在接收到投诉之日起7日之内删除相关违法内容，而对于“明显的违法内容”则应该在24小时之内删除[5]。

二是储存和记录机制，在管理网络安全的过程中，维护网络平台安全运行以及处理网络危险因素所产生的数据，必须储存和记录下来。例如，网络服务提供者采取措施移除了木马，事后必须把此种木马的数据特征储存起来，把处理措施记录下来，以便将来更有效率地处理相同的情况。另外，这种储存数据的记录，还能在日后作为刑事追诉中的证据使用。

三是上报机制，网络服务提供者需要定期向监管部门上报网络平台营运的状况，包括最近一段时间内所做的安全措施、所遇到的安全问题及问题解决进度等等。这种机制不仅能让监管部门及时掌握网络服务提供者的安全状况，而且还能证明拒不履行安全管理义务罪中的主观构成要件“明知”。

四是经济补助机制，网络服务提供者无论在处理安全问题的过程中，还是在定期上报的过程中，无可避免会涉及审查、整理、汇总、决策等工作，都需要一定的人力物力去支撑，否则寸步难行[6]。笔者认为政府可以给予一定的经济补助。虽然网络安全管理义务是网络服务提供者法定的、应当履行的义务，但合规规则下的义务是高规格、高要求的，在现今的网络发展大背景下，为避免守法成本大于违法成本，这种经济补助机制是必不可少的。

（三）将合规规则及其运行作为刑事责任归咎、刑罚裁量的考虑因素

1.作为刑事责任归咎的考虑因素

网络服务提供者在实践中多数为网络企业，而在网络企业中，具体违法行为往往是由企业内部的员工个人完成的。此时就涉及单位犯罪和自然人犯罪的区分问题，具体来说就是拒不履行网络安全管理义务的刑事责任应该归责于哪个主体的问题。

例如，甲是一家网络服务企业，乙是企业的员工。甲不履行网络安全管理义务，在甲经监管部门责令改正的情况下，乙知情但未经单位决策，按照个人的意愿实施了违反安全管理义务的行为，致使违法信息大量传播。按照传统的观点，单位犯罪和自然人犯罪的区别在于犯罪行为是否体现单位的意志或者是否由单位决策，一般不能体现单位意志或不是由单位决策的犯罪行为，将被认定为自然人犯罪。因此，此例中属于自然人犯罪，乙构成拒不履行网络安全管理义务罪。按照合规理念的观点，乙作为企业内部成员，应受到甲企业合规规则的规范和限制，具体分为两种情况。一是如果甲没有设置合规规则或者怠于落实合规规则，则可能将违法行为归责于甲企业。二是如果甲在收到责令通知书后立刻告知员工乙停止相关违反义务行为，而乙自作主张仍继续实施违反义务行为，那么甲因符合合规规则而免于承担责任，从而定性为乙自然人犯罪。这种将合规规则及其运行作为企业刑事责任归咎的一个新增考虑因素的做法，在国外早有体现。例如“保安公司的人员按照内容严格的守法计划在实行保安业务时引起物品上的损害或者人身伤害”在日本刑法第35条中，因上述行为符合合规规则而属于正当业务行为[7]。再如，根据意大利2001年6月8日颁布第231号法令第6条的规定，如果公司能够证明在犯罪行为发生之前业已确立旨在防止该类犯罪行为的管理体制并且该体制得以有效运行，公司可以免于承担责任，但公司管理体制足以免除其责任的证明责任由公司来承担[8]。

2.作为刑罚裁量的考虑因素

早在20世纪80年代，美国联邦量刑委员会曾经规定，企业应制定有效的合规计划，以注意预防和发现犯罪行为。如果在犯罪行为发生之时，企业拥有有效的合规计划，可以减轻处罚[2]14。由此可见，合规规则的良好运行状态能为网络服务提供者减轻罪责。一方面，用合规规则影响刑罚裁量与刑法的罪刑相适应原则是一致的。因为良好有效的合规规则背后，反映了网络服务提供者在整个安全管理过程中，已经履行了其力所能及的义务，即使有危害结果的出现，也无可厚非，不具有十分严重的社会危害性或刑事可谴责性。简言之，网络服务提供者承担刑罚的轻重应与其义务履行的程度相适应。另一方面，合规规则影响量刑裁量的过程中，蕴含着激励和预防机制。合规规则的良好运行为企业减刑带来可能性，能够促进企业的自我监管，使国家对犯罪行为的监管压力有所释放。或者说，本来专属于刑法的威慑力，在合规规则的作用下，部分转移到了企业的自我管理。正是因为合规规则在刑罚中发挥着积极的一般预防作用，与以往消极的一般预防是不同的，前者能带来更好的社会效果，使传统单一的刑罚模式向预防性、共治性的刑罚模式转变，所以合规规则能够作为刑罚裁量的因素[9]。

（四）在网络自由和网络安全的价值权衡中不断更新合规规则

为维护网络安全而制定的合规规则，实质就是网络自由和网络安全之间的取舍和博弈。一方面，网络服务提供者向往自由，要把门打开，越多的用户、数据、点击和关注，就有越多的盈利。但没有一个安全的网络环境，网络服务提供者也会转化为受害者，例如被“黑客”攻击网络服务平台。另一方面，监管部门向往秩序和安全，必须经过层层“安检”才能把门打开，因为即使是一个小小的网络危险因素，也会迅速扩散开来。但如果没有一个自由的网络环境，网络技术和服务就不能为我们的生活带来极大的便利、为社会带来新型的经济发展。因此，要使两者的矛盾趋向平衡，那就要充分发挥“合规规则”这一润滑剂的作用。具体来说，监管部门在监管中，要充分考虑网络服务提供者的违法成本和守法成本的问题。例如，过去在博客上发一篇文章，一小时的阅读量不过百；现在在微博上发一篇文章，一小时阅读量可以上万。因此，现在网络服务提供者关闭一个小时服务器进行整改而给网络服务提供者、用户造成的损失，与过去同样关闭一个小时服务器造成的损失，是完全不能同日而语的。监管部门在监管的过程中，不能用过去的处理方式对待同样的违法情况。必须尽可能缩短服务器的关闭时间，同时能够进行快速的整改和保障网络服务提供者的损失降到最低。这体现了网络安全对网络自由的让步。相反，如果网络服务提供者纵容的网络违法行为具有严重的社会危害性，那么网络服务提供者的利益将要很大程度地让位于网络安全。这体现了网络安全对自己阵地的坚守。无论是让步还是坚守，这个过程其实就是网络自由和网络安全之间的一个权衡和兼顾的过程[10]。在这个过程中，合规规则随着网络更新迭代而必须有所改变，以适应更为复杂的网络环境。

四、结语

合规规则对企业决策、行为方式的影响是很大的，网络服务企业也不例外。笔者认为，网络服务提供企业必须引入合规规则。其中拒不履行网络安全管理义务罪是我国对网络服务提供者的一种合规理念体现，但仍然有很多不足，需要日后的精细化、专业化去补充、纠正。例如“快播案”中快播公司的行为是否属于“技术中立”、网络服务提供者分为哪几类等问题，对案件的定性有很大的影响。根据快播案刑事二审判决书，网络服务的“内容提供者”不属于技术中立的情形，单纯的“技术提供者”才属于该情形。类似这种判断必须在相关网络专业知识背景下才能作出，而合规规则能够填补裁判者在网络专业知识层面的不足，更有利于纠正网络安全管理义务与刑事义务之间的错位。