◇许亚洁

随着网络经济和技术的突飞猛进，侵犯个人信息的违法犯罪行为十分猖獗。在公安部开展的“净网2019”专项行动中，依法整改2090款APP，依法查处1121款APP，集中曝光100款违法违规收集使用个人信息行为的APP。[1]2020年10月，《个人信息保护法草（案提）》请十三届全国人大常委会第二十二次会议审议，草案主要聚焦个人信息保护突出问题，落实个人信息保护相关主体责任。尽管我国对个人信息的立法保护逐步加强，但是法律体系尚未形成，具体细则尚未颁布，这就导致实践中打“擦边球”的行为层出不穷。正如有学者提到，如果对个人数据资料没有相应的法律保护制度，将会阻碍经济的发展。有些国家在很短的时间里就出台了这类法律规定，而且有时很正规，但是我们知道，有时这些规定只是一纸空文，从来不会得以执行的；或者这些规定会给实践带来很多的困难。[2]网络服务者对个人信息的处理过程至少包括收集、储存、使用三个阶段。不同阶段，网络服务者都应当承担相应的保护义务。各类互联网服务提供商对于一国网络安全的维护负有极大的安全保障义务和责任，现实中各主体是否已最大限度地尽到其义务，这在实践中并无一个确定的标准可言。[3]尽管我国相关法律法规中规定了网络服务者的义务，但是仍存在抽象化、碎片化等问题。

一、网络服务者个人信息保护义务设置的缺陷及影响

（一）个人信息保护义务类型设置的泛化现象

首先，收集个人信息的告知义务存在格式化问题。一方面，网络服务者告知义务的履行方式剥夺了信息主体协商的空间。网络服务者在相关协议或隐私条款中履行收集个人信息告知义务，但当信息主体不同意时，信息主体往往被拒绝使用相应服务。另一方面，告知义务内容模糊抽象，为超范围收集个人信息留有空间。中国消费者协会曾于2018年7月17日至8月13日组织开展“应用软件个人信息泄露情况”问卷调查，调查结果显示手机应用软件存在过度采集个人信息的趋势，且应用软件隐私政策的“合规性”及“标准化程度”有待提高。[4]网络服务者往往通过“等”“包括但不限于”等概括性字眼扩大收集范围。例如在携程网站的隐私政策中，关于“信息收集”规定：“在您注册为携程会员时，至少需提供手机号并设置密码用以创建携程账号。”“当您使用在线商城购物服务时，您至少需提供手机号、邮箱、姓名、证件信息。”其条款中多次使用“至少”以模糊信息收集的范围。可见，各大网络服务者确实设置了合规性条款，但是其信息收集阶段的告知义务仍存在格式化问题。

其次，信息泄露通知义务存在被架空的问题。《2019年数据泄露成本报告》发现，从2014年到2019年数据泄露事件增长了21%，识别和遏制数据泄露所需要的平均时间为279天。[5]网络服务者作为直接相关者与责任者有信息泄露的通知管理义务，但是我国法律法规对数据泄露通知的规定过于简单并存在冲突。例如，《网络安全法》要求网络服务者在“可能发生”个人信息泄露、损毁、丢失的情况并且没有其他限定条件下履行该义务，这明显对其要求过高，很难具有可行性。同时，“可能发生”也没有具体的判断标准，极有可能沦为“口号”型条款。2019年新修订的《个人信息安全规范（草案）》规定，只有当“发生超过100万人个人信息或者关系国计民生、公共利益的个人敏感信息泄露、毁损、丢失的安全事件”，才要求将有关情况报网信部门。但是，《电信和互联网用户个人信息保护规定》规定，造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告。在通知时间上，法律法规也未设置任何限制。由于没有时间的限制，网络服务者为了逃避法律责任，完全有可能不通知或在事件发生很久之后再通知。但是信息安全事件发生后，只有及时履行通知义务、采取相关措施才能防止损害后果的扩大，否则这项义务将失去价值，流于形式。

最后，数据共享过程中法律义务的空白现象。为了实现盈利最大化，网络服务者之间总会共享自身数据库，因此网络服务者除了通过自身服务获得数据外，还会链接不同数据源获得外部数据，同时还会将自身从各个渠道获得的数据提供、出售给更多的网络服务者。可见，网络服务者之间层层使用、交叉使用个人数据的现象普遍存在。例如，微梦（新浪微博）诉淘友（脉脉软件）不正当竞争案①北京市海淀区人民法院（2015）海民（知）初字第12602号。中，正是因为双方签订了《开发者协议》约定，脉脉可以获得新浪微博用户的ID头像、好友关系（无好友信息）、标签、性别信息，而产生的纠纷。汉涛公司（大众点评）诉百度公司不正当竞争案、淘宝诉美景公司不正当竞争案等也都是基于两者“共享”数据库而产生的纠纷。个人信息主体只在数据收集阶段与第一层网络服务者之间签订协议，授权其收集、使用个人数据，但无法得知第一层和第二层、第二层和第三层等其他层面网络服务者之间的约定协议。同时，法律法规并没有设置特定的义务责任应对共享个人数据的情况。可见，在这种权利与义务不对等的情况下，个人数据安全岌岌可危。

（二）网络服务者行政违法与刑事责任衔接不畅

基于网络技术和服务的特点，信息法是一门横向的学科，必须要求掌握民法、刑法和公法三大领域的知识。例如在德国，探讨供应商责任时，《德国远程媒体法》相应的规定对德国三大法域都适用，这就可以预料到存在彼此的紧张关系和误解的可能。[6]目前根据我国刑法的规定，在有关个人信息犯罪中，网络服务者可能承担四种类型的刑事责任。一是单独犯责任，即网络服务者违反国家有关规定，非法获取、出售、提供公民个人信息的，可能构成侵犯公民个人信息罪的单独犯；二是共犯责任，即网络服务者与他人共谋故意侵犯公民个人信息，可能构成侵犯公民个人信息罪的共犯；三是帮助行为正犯化责任，即网络服务者明知他人通过网络实施侵犯个人信息的犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助的，可能构成帮助信息网络犯罪活动罪；四是拒不履行法定义务责任，网络服务者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的，可能构成拒不履行信息网络安全管理义务罪。这四种刑事责任都与网络服务者的保护义务息息相关，而保护义务的抽象模糊会导致刑事责任认定的诸多困境。

网络服务者的刑事责任体系不严密。目前，网络服务者的前置保护义务设置呈现原则化和松散化特征。一些义务的设置仅具有“宣誓”意义，配套细则没有跟上，例如信息泄露通知义务，履行通知义务的时间、方式等都没有明确规定；一些重要规则被忽略，导致法律漏洞的出现。例如，在个人信息被二次或多次使用的情况下，各个网络服务者的义务规则也没有被明确设定。不管是侵犯公民个人信息罪还是拒不履行信息网络安全管理义务罪，刑事违法的判断都在一定程度上以行政违法为根据，只有在行政违法的前提下才有判断刑事违法的可能性。但是，前置义务设置的漏洞，可能使某些侵害行为逃脱行政违法，即使造成严重的社会危害性，也无法追究其刑事责任。例如，网络服务者在收集个人信息时，往往采用模糊用词和格式条款获取信息主体授权。在形式上，网络服务者确实在获得信息主体的“同意”后收集个人信息，但在实质上却存在超范围收集、滥用个人信息的情况。在这种情况下，很难认定网络服务者违反相关行政义务，更不用说刑事责任。

网络服务者的刑事责任范围易扩张。网络服务者以其先进的网络技术和服务成为网络经济的重要参与者和推动者，因此在法律层面，其行为总与网络中立技术行为密切相关。在我国入罪化思维的背景下，处理网络中立帮助行为的内在逻辑是寻找中立帮助行为入罪的可能性，而不是对其采取处罚范围限定理论。[7]立法上的扩张趋势意味着在司法适用上需采取审慎态度才能避免对网络经济发展的扼杀。这就需要前置法与刑法之间协调衔接，发挥前置法的“筛选”作用，将合法的行为或仅仅构成行政违法而尚未上升至刑事违法的行为截流，防止网络中立行为的不当入罪。而前置法的“筛选”作用有赖于保护义务和责任的设定，如果保护义务过于片面则会导致行政法失去实质作用，网络服务者的刑事责任不当扩大。

二、个人信息领域行政违法与刑事违法的关系

（一）法定犯设定的优势与困境

在风险社会概念的普及之下，风险刑法的概念应运而生。劳东燕教授在2007年发表的《公共政策与风险社会的刑法》一文开启了我国学者讨论风险刑法的先河。风险刑法的讨论在我国刑法界一直未曾停歇。不同法学家各执一词，但都可归结为两大阵营，一方是强调风险社会到来对刑法的挑战以及刑法为应对风险社会已经作出了顺应风险刑法理论的改变，即强调和肯定了风险刑法理论的正面价值，并主张刑法应当从保障法转变为预防法；另一方，则是从传统刑法的基本立场、精神和风险刑法的社会学依据——风险社会对风险刑法理论进行批判，主张刑法应当持续保持谦抑性。抛开风险刑法的应然价值，在实然层面，刑法的犯罪圈正在不断扩张，原先仅是行政违法的行为通过刑事立法可能成为刑事违法行为。这无疑是刑法预防功能的重要体现。因此，与其争论风险刑法理论的真伪，不如将目光和学术讨论转移到预防性刑事立法的合理限度和边界的讨论。加罗法洛在其经典著作《犯罪学》中，站在社会防卫的角度，以犯罪行为是否具有道德异常为标准，提出了“自然犯”和“法定犯”。[8]法定犯设置成为刑法应对风险社会机制的原因是明显的。一方面，风险社会意味着风险的增加且此部分风险不能通过市场自行调节，需要政府的多重干预。就法律层面而言，行政责任和刑事责任是由政府介入对风险的管理。法定犯融合了行政违法与刑事责任的犯罪类型，刚好是政府可以利用的介入手段。另一方面，从责任体系来看，行政责任位于刑事责任之前，轻于刑事责任。当政府采用刑事手段预防风险时，势必在风险形成的较早阶段就予以介入，以实现刑法的预防风险作用。刑事责任的前置不可避免地与行政责任产生碰撞，而法定犯正是以其特殊的犯罪构成要件协调了扩张到行政责任领域的刑事责任与行政责任的矛盾问题。因此，法定犯应对风险具有天然的优势。随着网络技术和数据科技的突飞猛进，信息数据成为炙手可热的财富之源。有利益就有风险，个人信息数据的安全风险正是风险社会中不断增加的风险类型。为了回应不断升级的安全风险，政府率先采用刑事手段积极干预。与个人信息数据安全相关的犯罪类型正是采用了法定犯的方式。例如在侵犯公民个人信息罪的构成要件中规定了“违反国家有关规定”，在拒不履行信息网络安全管理义务罪中规定了“网络服务者不履行法律、行政法规规定的信息网络安全管理义务”。

尽管在预防风险方面，法定犯具有诸多优点。但不可否认，法定犯的认定仍存在许多争议问题，其中最重要和最基础的问题是违法性判断标准问题。关于行政违法、刑事违法的区分界限，域外主要观点可以分为以质的差异说、量的差异说、质量的差异说为核心的德国学说，以严格的违法一元论、缓和的违法一元论、违法相对论为核心的日本学说。[9]就法定犯的违法性判断而言，争议的焦点在于行政违法在刑事违法判断中的作用。一方面，法定犯的构成要件设置决定了刑事违法性判断依赖于前置行政法规的规定。例如，在拒不履行信息网络安全管理义务罪中，构成要件行为就是前置行政法规定的义务。如果行为人拒不履行的行为不是前置行政法规定的义务，那么行为人一定不存在刑事违法行为。但是如果刑事违法的判断仅依赖于行政违法，可能造成司法判案不公、司法资源浪费等问题。例如，王力军非法经营案①内蒙古自治区巴彦淖尔市中级人民法院（2017）内刑08刑再1号刑事判决书。、赵春华非法持有枪支案②天津市第一中级人民法院（2017）津01刑终41号刑事判决书。都是司法机关机械适用、过度依赖行政违法判断刑事违法的典型案例。另一方面，行政执法、刑事司法的不同操作流程和办案机制导致违法性判断存在独立性。但这种割裂很容易造成刑法将某一行为认定为犯罪行为但这种行为在行政法上却是合法的行为。这明显违反了法秩序统一性原则。因此在“完全依赖”与“完全割裂”之间寻求最佳平衡点成为法定犯违法性认定的重点和难点。社会转型在带来进步繁荣的同时，也一并伴随着诸多社会风险。面对社会风险，刑法学的首要任务是：刑法介入社会风险的实践合理性和合理处罚的边界。[10]法定犯作为刑法应对风险的具体手段具有立法的不可避免性，因此，其违法性的边界划定成为当前困扰理论界和司法实践的主要问题。

（二）行政违法与刑事违法存在相对统一关系

最早区分行政不法与刑事不法的法律是德国1794年的《普鲁士一般法》，之后围绕行政不法与刑事不法的区别展开了不小的争论。[11]尽管法秩序的统一性要求宪法、民法、刑法、经济法等多个法律部门组成的法秩序内部不能存在相互冲突和矛盾，但是由于不同部门法之间的目的、性质与适用上具有差异，违法性的质和量都会存在差别。不同法域的违法性判断存在绝对统一性和相对统一性两种观点。违法判断的绝对统一性过分强调刑法从属于前置法，不仅忽视刑法目的自主性与品格独立性的一面，也有忽略刑法问题性思考之嫌。相对的违法性判断才是科学协调和保证不同部门法之间的法秩序统一。值得强调的是，相对违法性判断理念的适用范围仅是法定犯，而不包括其他类型的犯罪。例如，在自然犯类型下，刑事违法判断不以行政违法为前提，具有绝对独立性。因此，在法定犯语境下，行政违法与刑事违法应当具有相对统一关系。

第一，行政违法与刑事违法的“统一”体现于形式识别。“相对统一”的观点应当包括两个重点：一是“相对”，二是“统一”。当前，由于司法争议较大的案件都是因为违法判断过于“统一”而造成的司法不公和舆论质疑，导致理论界多强调和主张刑事违法判断的“相对”。这无疑使“统一”遭到忽视，但是 “统一”的理念同等重要。具体而言，法定犯的刑事违法性判断就是构成要件要素符合性的判断，多数法定犯以空白罪状的方式设置，此时需要在前置的行政法中识别构成要件从而进一步判断案件事实的构成要件符合性。也即，行政违法是违法性判断中的形式判断，只有行为违反了前置行政法规才具有成为犯罪行为的可能性。可见，行政违法是刑事违法的“门槛”。综上所述，法定犯的行政违法与刑事违法具有形式上的统一性。

第二，行政违法与刑事违法的 “相对”体现于“质”的区别。在“相对”的部分，“相对”的标准具有不同的观点。量的区别说认为，刑事违法与行政违法之间没有本质区别，两者之间的区别仅仅在于量的不同，即刑事违法性=一般违法性+可罚的违法性。[12]质的区别说认为，刑事违法性与行政违法性具有本质的区别，强调刑法并不是对违反其他法律的行为直接给予刑事制裁，而是根据特定目的评价、判断对某种行为是否需要给予刑事制裁。[13]质量区别说认为，刑事违法不仅在量上具有较高的损害性和社会破坏性，而且在质上具有较严重的伦理问题，具有反社会性；行政违法在量上所侵害的客体价值较低，在质上也未侵害社会的伦理，不具有反社会性。[14]

量的区别说对违法性的理解值得商榷。一方面，犯罪的构成一般需要经过构成要件复合性、违法性和有责性的判断并且这三个阶段具有顺序性。因此，违法性是判断有责性的前提，而可罚性应当是在有责性阶段加以判断。可见，“可罚的违法性”本身就混淆了违法性和有责性的概念。另一方面，刑法的违法性认定需要通过对构成要件的实质解释，也即从刑法理论出发解释和判定构成要件的符合性。刑法基于其法律地位的后置性和刑罚手段的严重性，具有与其他法律或生活常识不同的语言理解和要素解释，而不仅仅只是危害结果的“量”上堆积。质量混合区别说是结合了量的区别说和质的区别说的折中说，但是其本身也具有不可忽视的缺陷。最明显的是，质量混合区别说中的“社会伦理价值”标准具有不确定性。由于现代社会的多元复杂，欲确定可为社会普遍接受之伦理道德标准，本属不易，况且时代环境之不断变迁，社会价值观亦难维持长久不变。[15]质的区别说在解释行政违法性和刑事违法性上具有优势。详言之，一方面，质的区别说强调刑法违法性的独立判断，这符合犯罪构成要件符合性的实质解释要求。刑法的作为义务与行政作为义务并不是对等的关系，例如，《网络安全法》第 49条规定：“网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。”然而，网络运营者未履行上述义务的，并不成立任何犯罪。可见，是否违反刑法还需要根据刑法的基本原则、补充性原理等进行实质分析。而质的区别说正是在违法性判断阶段就强调两者的本质区别。另一方面，强调质的区别有助于限制入罪范围，提供出罪路径。目前，刑法立法存在扩张趋势，司法缺乏出罪机制，导致入罪容易出罪难的问题。质的区别说相较于量的区别说、质量混合区别说而言，将刑事违法和行政违法区分得更加彻底，更有利于扫清出罪路径和提高出罪效率，符合当前我国的司法现状。综上，行政违法性与刑事违法性密不可分，同时又相互区别。尽管行政违法与刑事违法具有“质”的区别，但是仍不可忽视两者在形式判断上的统一性。第一步，发挥行政法的“门槛”作用，积极识别行政义务。第二步，发挥刑法的“筛选”作用，实质解释犯罪构成。

三、完善网络服务者义务类型的具体化路径

（一）收集个人信息告知义务的层级化

首先，告知义务应当以个人信息分类为基础。个人信息分类保护模式能够明确不同信息之间的根本差异，实现个人信息保护体系的周延性和自足性，保证个人信息在市场中的开放性和流动性。不同类型的个人信息对信息主体的权益影响程度不同，在收集个人信息时，网络服务者就应当针对不同类型个人信息履行不同的告知义务。其次，告知义务应当具有层级化结构。在一些行政法规、部门规章或地方性法规中，已经将个人信息明确区分为敏感个人信息和一般个人信息。例如，《信息安全技术个人信息安全规范》《信息安全技术公共及商用服务信息系统个人信息保护指南》。一般而言，敏感个人信息对信息主体权益的影响程度更高，而一般个人信息则较低。网络服务者可以采取不同的告知模式获取信息主体同意。具体而言，收集敏感个人信息时，网络服务者应履行高层级的告知义务要求。在形式上，网络服务者可以通过电邮、短消息等方式一一通知信息主体，并采用加粗、加大等比一般通知条款更显著的方式提请信息主体注意。同时，只有获得信息主体的明示同意才具有有效性。例如，2019年10月，欧盟法院在德国消费者组织联合会起诉德国公司Planet49案中强调，通过“预选框”的方式所取得的用户同意，不能作为有效同意，因为数据处理者无法假设未取消要求的人会积极参与。①CJEU Case C-673/17.在内容上，网络服务者应当明确告知信息主体收集的信息类型和用途，同时应当告知敏感个人信息处理可能涉及的重大利益和可能产生的实质损害，并不得采用“等”这样的模糊字眼。收集一般个人信息时，网络服务者则可以履行较低层级的告知义务要求。在形式上，可以采用隐私政策等格式条款进行通知，但仍需具有明确性和显著性。在内容上，网络服务者应当明确告知信息主体收集的信息类型和用途，包括信息活动的性质、可能受影响的利益、如何利用个人信息等，并不得采用“等”这样的模糊字眼。

（二）个人信息泄露通知义务的精细化

个人信息泄露的通知义务是保障数据安全非常重要的事后措施。首先，应当明确和扩大通知义务的对象。我国法律法规已经规定向有关主管部门和用户报告的义务。一方面，应当确定数据安全监管的主管部门。目前，有关数据安全的监督管理部门有国家网信主管部门、国家电信主管部门、公安部门等，呈现多头管理的现象。国家应当确定牵头、负责的主管部门，并确定各个单位的职责清单，使网络服务者明确应当报告的主管部门。另一方面，通知义务的对象还应当包括网络服务者和公众。当多个网络服务者共享或处理同批数据并存在利益关系的，他们之间也应当互相履行信息泄露的通知义务。再者，当信息泄露规模较大，可能造成公共利益或国家安全重大危险时，网络服务者也应当有义务向公众告知泄露事件。

其次，应当明确规定信息泄露义务履行的条件和方式。当信息泄露范围较小、涉及人数不多或可能对小范围人群造成重大危急影响时，网络服务者只需要通过电邮、短信等方式一一通知。而当信息泄露范围较大、涉及人数众多或可能造成大范围重大危急影响的情况下，网络服务者应当报告主管部门和公众。当信息泄露可能对其他网络服务者业务产生重大影响的，还应当及时通知对方。同时，根据信息泄露的范围、涉及人数和影响，通过实际统计和调研，法律法规应当设置科学并有梯度的标准。例如，美国的《卫生信息技术促进经济和临床健康法案》（Health Information Technology for Economic and Clinical Health Act）规定，如果涉及人数少于500人，则只需提供书面通知。对于更大规模的信息泄露，需要通过知名媒体发布通知。同时，尽管泄露行为涉及不到500人，也必须通知卫生部部长。②Gina Stevens, Data Security Breach Notification Laws.www.crs.gov.19.法律法规还应当明确规定通知期限，通知义务具有时效性，只有及时履行该义务才能达到及时止损的效果。例如美国华盛顿州的《数据泄露通知法》规定，企业在发现泄露后的30天内通知受影响的居民和州检察长。

最后，应当单独设置对应的法律责任。正如上文所述，信息泄露通知义务的罚则没有被单独设立，同时由于通知义务的规定过于原则，实践中鲜有对违反此类义务进行处罚。在完善通知义务自身的设置后，也应当对其单独设置包括责令改正、罚款、吊销营业执照等行政罚则。同时，在未履行或者违法履行该项义务导致的后果非常严重时，也可能上升至刑事违法，应当注重行政责任与刑事责任的协调衔接。

（三）个人信息数据共享场景下的义务分配

信息数据共享使用是当下网络服务者处理信息的常规、共赢模式。明确数据传输共享过程中网络服务者之间的义务责任可以使网络服务者权责分明，预防个人信息滥用风险。首先，非第一层使用者应得到双重授权。当网络服务者从其他网络服务者而不是直接面向网络用户收集、使用个人信息时，可以称之为非第一层使用者。当这些使用者获取、使用个人信息时不仅需要通过签订合同得到上层网络服务者的授权还需要得到信息主体的授权。授权内容也需要按照法律法规规定，明确目的、方式和范围。实践中，由于非第一层使用者并不直接面向用户，往往通过第一层使用者与用户之间的授权条款获得信息主体同意。这种方式容易导致授权条款的模糊化和原则化。因此，如果采用这种方式，在该协议中第一层使用者应当明确其他使用者的名称、其他使用者处理信息的方式、范围和用途。

其次，网络服务者审慎义务的设置。网络服务者之间转移共享数据的权责并不明确，这使得网络服务者的违法成本大大降低。可见，网络服务者在共享信息数据时也应当承担合理的义务责任以威慑违法的盈利行为。第一，数据控制者或数据处理者应进行合理的尽职调查，以确保个人资料的接受者能够按照透明度声明和个别通知保护这些资料。①The American Law Institute, Principles of the Law Data Privacy.The American Law Institute Ninety-Sixth Annual Meeting, Philadelphia, 2019.91.第二，非第一层使用者再次对外提供、出售信息数据的应当事先通知上层使用者，上层使用者有权同意或拒绝信息数据的再次转移。第三，共享信息数据后，数据使用者有义务配合上层使用者合理的监督措施，上层使用者履行合理的监督义务。

最后，共享个人信息数据的网络服务者之间在一定条件下应当承担连带责任。设置问责机制是威慑和预防违法犯罪行为的最直接的手段。在网络服务者共享个人信息过程中，由于不直接面向信息主体，更容易滋生违法收集和滥用信息的行为。在这种情况下，由于信息不对称，个人信息主体往往不清楚个人信息是被谁泄露、如何泄露，导致维权更加困难。因此，正是基于网络服务者之间的监督义务，当非第一层使用者违法对外提供、出售、滥用个人信息时，上层使用者明知或疏于履行监督义务的，都应当承担连带责任。

四、网络服务者违反前置法定义务的刑事责任

（一）刑事罪名中信息网络安全管理义务的范围

拒不履行信息网络安全管理义务罪是惩治网络服务者犯罪行为的不作为犯罪类型，其义务来源的识别是成立该罪的起点和重点。但是，刑法条文的寥寥数语无法告诉我们信息网络安全管理义务的内涵、类型和边界。那么，信息网络安全管理义务究竟是前置法中义务的简单集合，还是有其他自身的限度和标准？行政违法与刑事违法的相对统一关系决定了刑事违法需要一定程度的独立性判断。信息网络安全管理义务作为刑事作为义务理应具有自身独立的判断规则。该义务的确定应当符合明确性的要求，其义务内涵需要经过刑法教义学的规范判断。正是基于刑法的谦抑性和刑罚的严重性，该义务范围应当进行限缩解释，以实现在尊重实定刑法的规范效力与内涵的基础上，对其进行符合刑事政策目标、刑法规范的法益保护目的以及刑法教义学逻辑的限缩。笔者认为应当结合形式标准和实质标准对作为刑事义务的信息网络安全管理义务进行解释。形式标准是前置法律法规明确规定违反该义务对应的行政责任。由于构成该罪需要满足“经监管部门责令采取改正措施而拒不改正”的要件，因此该义务的行政责任应具有明晰性和严重性，否则不能被监管部门责令采取改正措施。同时，如果一项义务的行政责任都没有被明确规定，那么刑事法律更不会将其纳入犯罪视野。实质标准是义务内容应当符合该罪的法益保护目的。法益保护是刑法的重要机能和首要任务，因此每个犯罪要件的解释和认定都不能脱离本罪的法益保护。拒不履行信息网络安全管理义务罪保护的法益是信息网络安全管理秩序，因此与信息安全相关的义务才是该罪的刑事作为义务。

（二）行政程序性要素对刑事违法认定的影响

“经监管部门责令采取改正措施而拒不改正”是构成拒不履行信息网络安全管理义务罪的要件之一。对于拒不履行信息网络安全管理义务罪的“行政责令改正”的罪状设置，学界大体上存在着“行政附属性规定说”“前置性的行政不法说”“程序性构成要件说”三种代表性学说。[16]这三种学说在本质上都将行政程序要素作为行政附属性要素。但是，笔者不以为然。

第一，“行政责令改正”是独立的刑法构成要件。在刑法条文中包含行政程序要素的情况并不少见，例如拒不支付劳动报酬罪、消防责任事故罪等。行政程序要素从内容上看需要依附行政程序进行认定，从位置来看是刑法罪状的一部分。可见，行政程序要素是刑法与行政法交叉的典型表现。这是否意味着该要素的认定标准应当取决于行政法而不是刑法？笔者认为该要素应是刑法意义上的行政程序要素。一方面，刑法本身具有谦抑性和后置性，犯罪行为具有二次违法性，因此，将作为前置法的行政程序纳入罪状表述并没有突破刑法理论和立法，具有一定合理性。另一方面，该要素是判断罪名是否成立的构成要件要素，对犯罪不法和有责两方面都有实质影响，因此该要素的本质仍是特定罪名的构成要件要素。正如，卢勤忠教授所指出的，程序性构成要件要素是指刑法中规定的作为构成要件的有关程序性要素。它具有二次性和后续性的特征，必须是法定的构成要件要素。[17]

第二，行政程序要素表明刑事违法判断的独立性。尽管行政程序要素是犯罪构成要件要素，但是其内容仍离不开行政法。这自然引发拒不履行信息网络安全管理义务罪行政违法与刑事违法之间的关系问题。正如上文提及，行政违法与刑事违法之间是相对统一关系。而行政程序要素就是行政违法与刑事违法的“质”的区别。行政违法是行政相对人违反行政法上义务的行为。而刑事违法是完全符合犯罪构成要件的行为。网络服务者不履行法律、行政法规规定的信息网络安全管理义务，已经构成行政违法。但尚不构成拒不履行信息网络安全管理义务罪的刑事违法，因为该罪除了“不履行法律、行政法规规定的信息网络安全管理义务”外，还需要符合“经监管部门责令采取改正措施而拒不改正”这一要件。该要件并不是实质意义上的行政违法，而是行政相对人构成行政违法后，行政机关做出的具体行政行为。因此，拒不履行信息网络安全管理义务罪正是基于此程序性要件使该罪的刑事违法判断独立于行政违法。例如，胡某拒不履行信息网络安全管理义务罪案，被告人胡某通过租用的服务器和技术手段，为他人非法提供境外互联网接入服务。当地公安局分局先后两次约谈被告人胡某，并要求其停止联网服务，并对其予以了警告、罚款和没收违法所得。事后，胡拒不改正继续出租翻墙软件，违法所得共计人民币20余万元。法院审理认为，胡某未经许可提供国际联网代理服务，同时监管部门通过约谈责令采取改正措施后仍然拒不改正，属于情节严重，已经构成拒不履行信息网络安全管理义务罪。①上海市浦东新区人民法院（2018）沪0115刑初2974号。在该案中，尽管监管部门并未采用正式书面文书的方式责令被告人整改，但是被告人已经被约谈两次，从实质解释的立场，其法律效果已与责令整改相同，应等同视之。可见，“经监管部门责令采取改正措施而拒不改正”需要进行独立、实质的刑法违法性判断。

第三，程序性要素应视为重要的出罪事由。网络服务者是网络经济发展的中坚力量，尽管立法需要严惩破坏网络安全管理秩序的行为，但是也不能过度扩张网络犯罪的范围，这样会抑制网络技术创新和经济增长。因此，对于那些提供并非专门便于他人实施犯罪的网络技术支持等网络服务的行为，特意设置了“经监管部门责令采取改正措施而拒不改正”的前置程序，以限制网络中立帮助行为的处罚范围。[18]司法机关在认定该罪时需要从出罪角度发挥该要件的职能，即没有经监管部门责令采取改正措施或经监管部门责令采取改正措施而改正的，都不能入罪。当然，在出罪时也需要考察行为人是否实质履行改正义务。根据该罪的相关后果要件，只有改正义务的履行有效防止损害后果进一步扩大，才能认定其已经采取改正措施。

（三）违法收集、泄露、共享个人信息的刑事责任认定

非法收集个人信息是网络服务者未按照法律法规履行收集个人信息通知义务的行为。一方面，非法获取个人信息行为并没有以“违反国家有关规定”为前置要件，那么如何判断两者之间的关系呢？从文义解释来看，两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《个人信息司法解释》）明确了侵犯公民个人信息罪中“国家有关规定”包括部门规章，其他法律层级较低的地方性法规、其他部门规范性文件等都被排除在外。而“非法”即是违反广义上的法律。尽管“国家有关规定”的范围大于《刑法》第96条的“国家规定”，其合理性还存在争议。但是“非法”的范围一定是大于并包含“违反国家有关规定”。具体而言，“非法”不仅限于全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令，部门规章，还包括其他效力更低的法规、规章制度。“非法”也不仅限于行政违法，也包括民事违法。如果APP经营者收集用户个人信息的行为违反法律法规或双方约定的，都可认定为“非法获取”。这种理解能够实现《刑法》与《网络安全法》的衔接，也更符合刑法体系解释的原理。[19]另一方面，上文提及个人信息通知义务的履行标准与个人信息的类型有关。收集敏感个人信息的通知义务要求高于一般个人信息。因此，在判断网络服务者是否构成非法获取个人信息时，应当以个人信息的类型为起点进一步判断其行政违法性和刑事违法性。具体而言，网络服务者收集敏感个人信息时，应当从通知内容和通知形式两方面进行审查，违反任何一项义务要求都应当判断网络服务者具有行政违法性，再结合《个人信息司法解释》中有关情节和数量的认定，定罪量刑。值得注意的是，当根据相关法律法规很难判断网络服务者的行为是否违法时，应当降低违法门槛，对敏感个人信息进行严格保护。

在网络服务者未履行相关信息管理义务导致个人信息泄露的情况下，首先，应当判断网络服务者未履行的义务是否属于刑事法中的信息网络安全管理义务。就信息泄露而言，根据保障信息安全的事前义务和事后义务，可能包括两种情况：网络服务者事先未采取相关措施保障信息安全，导致个人信息泄露。网络服务者已建立数据信息安全管理制度，但遭受外部攻击导致个人信息泄露后未履行信息泄露报告义务。根据前置法的规定并结合形式标准和实质标准，采取措施保障个人信息安全义务、个人信息泄露报告义务都在该罪义务范围的射程之内。其次，需要审查网络服务者是否经监管部门责令采取改正措施而拒不改正。为了防止拒不履行信息网络安全管理义务罪的空置，司法认定中应当发挥刑事审查的独立性，对于“监管部门”“责令”程序等要素可以适当在合法的范围内放宽解释标准。同时，当行为人已经改正并有效阻止损害结果进一步扩大的，应当不认定为犯罪。就网络服务者“多层使用”个人信息而言，尽管网络服务者恣意“共享”个人信息的情况普遍存在，但是行政法上尚未赋予网络服务者明确的审慎义务或通知义务，因此很难构成拒不履行信息网络安全管理义务罪。只有在发生严重后果的情况下，才可能运用侵犯公民个人信息罪或其他犯罪予以规制，这显然不利于个人信息安全的风险预防。因此，只有完善行政法的相关义务设置，才能更有效地保障信息网络安全。