二、拒不履行公民个人信息安全管理义务行为的处理_最高人民法院、最高人民检察院侵犯公民个人信息罪司法解释理解与适用-QQ阅读男生都市网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

二、拒不履行公民个人信息安全管理义务行为的处理

（一）拒不履行信息网络安全管理义务罪的增设

互联网已不仅仅是一个媒体或者信息交换平台，而是已经形成一个社会，现实社会的角色基本在互联网上都会有。网络安全是互联网一切活动的基础和前提，离开网络安全，则互联网上的一切行为将失控，互联网会成为违法犯罪的工具。当前，“网络安全问题也日益凸显。一是，网络入侵、网络攻击等非法活动，严重威胁着电信、能源、交通、金融以及国防军事、行政管理等重要领域的信息基础设施的安全，云计算、大数据、物联网等新技术、新应用面临着更为复杂的网络安全环境。二是，非法获取、泄露甚至倒卖公民个人信息，侮辱诽谤他人、侵犯知识产权等违法活动在网络上时有发生，严重损害公民、法人和其他组织的合法权益。三是，宣扬恐怖主义、极端主义，煽动颠覆国家政权、推翻社会主义制度，以及淫秽色情等违法信息，借助网络传播、扩散，严重危害国家安全和社会公共利益。网络安全已成为关系国家安全和发展，关系人民群众切身利益的重大问题”[3]。

互联网有关各方在享有权利的同时，都应当承担维护网络安全的相应义务。《全国人民代表大会常务委员会关于维护互联网安全的决定》规定：“从事互联网业务的单位要依法开展活动，发现互联网上出现违法犯罪行为和有害信息时，要采取措施，停止传输有害信息，并及时向有关机关报告。”《网络安全法》进一步规定了各类网络主体的合法权利和应当承担的网络安全义务。

有关部门提出，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务的行为，只有行政责任的追究；对于情节严重，特别是造成严重后果的，应当追究刑事责任。网络犯罪“高发低破”，网络服务提供者未能切实履行网络安全义务是其中的重要原因。例如，在发现和制止黑客攻击行为后，由于网络服务提供者未能有效留存登录日志等原因，无法追查到行为人的，则无法有效惩治和预防这类行为。这严重影响追查危害互联网安全的行为，对于网络安全形成重大隐患，对于情节严重的应当入刑。唯有如此，才能从当前被动应付危害网络安全违法犯罪行为的局面，转向主动防范危害互联网安全违法犯罪行为的局面，网络安全才能真正落到实处，互联网才能真正健康发展。经研究，为强化网络服务提供者的信息网络安全管理义务，《刑法修正案（九）》增设了拒不履行信息网络安全管理义务罪，规定网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（1）致使违法信息大量传播的；（2）致使用户信息泄露，造成严重后果的；（3）致使刑事案件证据灭失，情节严重的；（4）有其他严重情节的。

（二）拒不履行公民个人信息安全管理义务行为的处理

当前，一些单位因为履行职责或者提供服务的需要，掌握着海量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。例如，2016年12月，拥有9000万用户的国家电网传出了掌上电力APP、电e宝用户信息被泄露的消息，不过随后国家电网对该消息予以了否认。[4]实际上，侵犯公民个人信息违法犯罪的猖獗，与有关单位保护公民个人信息工作存在疏漏有一定关联，相关管理机制有进一步完善的空间。这一问题在互联网时代更为突出。为了促进网络运营者采取切实有效的措施加强对公民个人信息的保护，《网络安全法》明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的原则，将收集和使用个人信息的网络运营者设定为个人信息保护的责任主体。其中，第四十条明确规定：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”与之相衔接，《刑法修正案（九）》增设的拒不履行信息网络安全管理义务罪，就涉及网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的情形。[5]因此，对于网络服务提供者未切实落实个人信息保护措施，符合刑法第二百八十六条之一规定的，可能构成拒不履行信息网络安全管理义务罪。据此，《解释》第九条规定：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”

（三）拒不履行公民个人信息安全管理义务行为定性应当注意的问题

1.“网络服务提供者”的范围。根据刑法第二百八十六条之一第一款的规定，拒不履行信息网络安全管理义务罪的主体为“网络服务提供者”。本书认为，可以从提供网络服务和利用网络提供公共服务这两个角度把握“网络服务提供者”的范围。具体而言，提供下列服务的主体，应当认定为“网络服务提供者”：（1）网络接入服务、信息服务、数据中心服务、网络加速服务、上网服务、应用服务、域名服务等网络接入、存储、传输、应用服务；（2）利用信息网络提供的政务、金融、通信、交通、民航、教育、医疗、能源等公共服务。

从实践来看，网络服务提供者往往在各地设立分支机构。例如，某运营商是网络服务提供者，其在各地都有分支机构，但可能只有各省分公司具有法人资格，市级和县级分支机构未必具有法人资格。对于单位的分支机构（特别是不具有法人资格的主体）拒不履行信息网络安全管理义务的行为，实践中如何进行责令改正、以及如何追究刑事责任，存在不同认识。本书认为，单位的分支机构可以成为拒不履行信息网络安全义务管理罪的主体。主要考虑如下：第一，如果认为单位的分支机构不能成为本罪的主体，则意味着实践中进行责令改正，须向单位进行责令改正。如对某运营商省公司的责令改正文书须向总公司作出，不具有可操作性。第二，对于单位分支机构实施拒不履行信息网络安全管理义务犯罪，根据罪责自负原则，不宜由单位承担刑事责任，故应当将单位分支机构作为刑事责任追究的对象。

2.“信息网络安全管理义务”的把握。在不作为犯罪中，行为人负有的作为义务是构成刑法上不作为的前提。根据刑法第二百八十六条之一的规定，行为人须负有信息网络安全管理义务，且须为法律、行政法规规定的义务。根据《网络安全法》等相关法律法规的规定，刑法第二百八十六条之一涉及的网络服务提供者的信息网络安全管理义务包括防止用户信息泄露义务。《网络安全法》第四十二条第二款规定：“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”据此，网络服务提供者对网络用户呈现于其控制、管理的网络领域的用户信息，负有采取合理措施防止其泄露的义务。

3.“经监管部门责令采取改正措施而拒不改正”的认定。根据刑法第二百八十六条之一第一款的规定，拒不履行信息网络安全管理义务罪的入罪前提为“经监管部门责令采取改正措施而拒不改正”。司法适用中应当妥当把握这一要件，既要防止打击面不当扩大，也要切实发挥本罪的威慑和教育功能。（1）责令改正的主体和方式。根据刑法明确规定，责令改正的主体是“监管部门”。而根据《人民警察法》第六条和《计算机信息系统安全保护条例》第六条的规定，公安机关负责计算机信息系统安全保护的监管工作。基于此，责令改正的主体包括但不限于公安机关。例如，《计算机信息系统安全保护条例》第六条第二款规定：“国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”据此，在国家安全部、国家保密局的职责范围内，其也可以成为责令改正的主体。需要进一步研究的是，责令改正的主体有无级别限制，是否任何级别的监管部门（如县级公安机关的派出所）均能责令网络服务提供者采取改正措施。本书认为，为规范责令改正行为，兼顾信息网络安全规制的现实需要，宜对责令改正的主体的级别作出限制（至少应当限于县级以上的监管部门）。此外，由于责令改正涉及刑事责任的追究，宜将责令形式限于法律文书形式。（2）责令改正的对象。通常情况下，对于责令改正的对象不存在争议。需要注意的是，如前所述，单位的分支机构或者内设机构、部门可以成为拒不履行信息网络安全义务管理罪的主体。故而，单位的分支机构或者内设机构、部门不履行法律、行政法规规定的信息网络安全管理义务的，监管部门应当向单位的分支机构或者内设机构、部门责令采取改正措施。（3）责令改正的内容。责令改正的内容与网络服务提供者的网络管理义务范围直接相关。从网络服务行业的长远发展而言，当前似不宜赋予其过重且事实上无法做到的义务要求。因此，责令改正的内容原则上应当具体明确，通常应当限于已经发生的危害行为。实践中，不宜作出“下次不得再出现违法信息”“一经出现违法信息马上删除”等抽象责令改正要求。[6]但是，这并不意味着责令改正的具体措施不能涉及防范未来可能发生的危害行为。例如，责令网络服务提供者采取特定措施，以筛查违法信息的，应当属于可以责令改正的内容。（4）拒不改正的认定。通常情况下，在责令改正法律文书指定的期限内未采取改正措施的，应当认定为经监管部门责令采取改正措施而“拒不改正”。考虑到司法实践的情况较为复杂，应当认为存在例外，即有证据证明行为人确因自然灾害等不可抗力或者其他正当事由未知悉责令改正或者未及时采取改正措施的除外。（5）免责规则的确立。考虑到信息网络服务安全的复杂性和高风险性，为使网络服务提供者不致于承担过重的安全责任，以激发从事信息网络服务的积极性，基于不作为犯罪的基本原理，对于网络服务提供者履行法律、行政法规规定的信息网络安全管理义务，或者虽未履行有关安全管理义务但根据监管部门的责令采取改正措施，仍然出现用户信息泄露的，不构成犯罪。

4.“情节严重”的认定。根据刑法第二百八十六条之一的规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正的行为，致使用户信息泄露，造成严重后果的，才构成犯罪。“用户信息”与“公民个人信息”存在交叉竞合，但不能等同。一般认为，用户信息是指用户在接受信息网络服务中被采集、存储、传输信息。具体而言，主要包括下列信息：（1）网络公民个人信息；（2）账号、密码、数字证书等用于确认用户操作权限的身份认证信息；（3）上网轨迹、交易记录、浏览记录、通信记录、位置记录等网络行为信息；（4）通信内容。本书认为，基于全面保护的原则，用户信息不限于不能被公开获取的信息。但是，对于经权利人同意发布、获取的信息，实际上不存在“泄露”的问题，故不作上述限制并不会导致刑事介入的宽泛。至于“造成严重后果”，可以根据用户信息的重要程度以及泄露可能造成的危害程度，从信息数量、涉及用户数量、损失数额等方面，认定是否致使用户信息泄露“造成严重后果”。