信息網絡安全管理義務的刑法教義學展開

敬力嘉

內容摘要：《刑法》第286條之一拒不履行網絡安全管理義務罪體現了我國完善信息權刑法保護機制的努力。它所創(chuàng)設的，是網絡服務提供者應承擔、作為刑事作為義務的“網絡信息安全保護義務”，而非作為行政管理義務的“信息網絡安全管理義務”。依照刑法規(guī)范明確性的要求，此義務核心內涵應為網絡信息安全保護。為了避免義務邊界不明的法治風險，應當以刑法教義學的規(guī)范判斷為準繩，對其進行限縮解釋。以具體義務類型為依據，以義務主體為前提，以法益保護目的為指引，以履行義務的可能性為保障，可以明晰此“網絡信息安全保護義務”的邊界，有效限制本罪處罰范圍。

關鍵詞：信息權刑法保護 網絡服務提供者 網絡信息安全保護 義務邊界

一、問題提出：網絡服務提供者的義務限度

信息通信技術（ICT）的發(fā)展使人類傳播與獲取信息的能力得到飛速提升，打破了國家對大量信息收集和管理的壟斷，逐步形成了盡管只有少數人可以掌握信息源，但大多數人可以自由獲取與傳播信息 〔1 〕的開放型信息社會，是這一論斷最生動的體現。如何重構此開放型信息社會中的社會管理秩序，成為了亟待探索的問題。

面對互聯網環(huán)境下的侵犯信息權犯罪在刑法理論視野下認定與規(guī)制的困難，而這種困難是由刑法作為謙抑自守的司法法所應遵守之基本原則，與傳統(tǒng)控制型思維下，社會管理者追求犯罪風險的前置性防控，寄望最具強制力的刑法，希望它能最“有效”地實現這一能動的預防性管理功能的現狀之間的沖突所造成，〔2 〕繼而使相關犯罪的及時查處與損害修復陷入困境時，應當思考的進路便是，如何重構刑罰權的運行模式。從《刑法修正案（九）》來看，我國刑事立法忽視了網絡空間中侵犯信息權犯罪的有效治理，應以對網絡信息流動所形成的“價值鏈” 〔3 〕關涉各方進行均衡的綜合治理為前提，選擇了對網絡服務提供者科賦刑事作為義務，我國刑法中的“信息網絡安全管理義務”，〔4 〕試圖以此實現犯罪風險防控的目的，完善信息權的刑法保護機制。

筆者對此立法的正當性持保留態(tài)度，但基于其實定法效力，不擬著墨于立法論層面的批判，將結合具體條文，重點厘清這項義務的存在根基、內涵以及適用范圍，亦即以此為中心，以明確此項刑事作為義務作用的機制，力求將立法層面產生的刑法功能失序所導致之負面效應最小化，完成對此“作為義務依賴”在教義學層面的反思。

二、信息網絡安全管理義務的正當性根基

在結合具體的刑法條文展開論述之前，筆者首先要回答一個前置性問題：在刑法中為網絡服務提供者設置此信息網絡安全管理義務，是否具備正當性根基？

網絡空間中的信息流動應受法律規(guī)制，這點毋庸置疑。而筆者在上文所提出的問題，實質更細化了一步，探討的是，將網絡服務提供者不履行此義務的不作為犯罪化的正當性根基何在。筆者不從行為犯罪化的“內部限制”，〔5 〕即教義學框架內基本原則的層面對此問題進行探討，而從其“外部限制”，〔6 〕即入罪對于公民信息權保護的必要性考察出發(fā)，將這個問題依兩個層次展開，即為網絡服務提供者設置法定作為義務的必要性，以及為其設置刑事作為義務的必要性。

（一）網絡服務提供者是犯罪治理的關鍵切入點

網絡空間結構中，網絡服務提供者在信息流動中具備中介作用，是侵犯信息權犯罪風險得以實現的最關鍵一環(huán)。因此，這也應當是此類犯罪刑法治理最關鍵的切入點。為它設置法定作為義務，正是找準了這個切入點。

網絡對人類社會組織模式最大的變革，是提供了一種革命性的連接方式，將消極的信息收發(fā)個體變?yōu)榉e極的信息交互主體，創(chuàng)造了巨量的信息流動。作為流動空間的網絡空間，其根基在于連接與交互，承擔這個基本功能的是網絡服務提供者，它也因此成為侵害信息權犯罪風險得以實現的關鍵環(huán)節(jié)。

在侵犯信息權犯罪的偵辦過程中，網絡服務提供者發(fā)揮著不可替代的重要作用。

依照傳統(tǒng)思路，犯罪行為人是犯罪治理當然的中心對象。只有通過認定行為人所為之犯罪行為的不法與責任，才能得以適用刑法對其處罰，從而實現對犯罪的有效治理。但當這個思路適用于侵犯信息權犯罪，而此類犯罪發(fā)生在網絡空間中時，存在很多現實困難，需要抓住網絡服務提供者作為信息中介這一關鍵環(huán)節(jié)，為其設置法定作為義務，才能實現對犯罪行為的有效認定。

此類困難主要體現在：首先網絡空間中犯罪主體從線下的自然人變成了網絡賬戶，人機同一性認定存在一定難度，導致犯罪行為人的認定困難；其次，受害人分布地域極廣，存在眾多個案單個危害結果輕微，但危害范圍極廣的情形，難以對行為不法進行有效認定；再次，侵害信息權犯罪的案件發(fā)生于網絡空間時，犯罪行為人的行為軌跡直接體現為信息的流動軌跡，案件的搜集取證存在相當的技術門檻。而由于自身的技術優(yōu)勢和常態(tài)化的業(yè)務活動，網絡服務提供者對網絡空間中信息的追蹤與獲取具備無可取代的優(yōu)勢。因此，為它設置相關的法定作為義務，能夠有效突破上述難題。

因此，面對互聯網與當代社會經濟發(fā)展高度融合的現狀，與網絡空間中侵犯信息權犯罪的高發(fā)態(tài)勢，充分認識到網絡服務提供者的關鍵作用，為其設置法定作為義務，具備正當理據。

（二）網絡服務提供者的刑事作為義務具備核心價值

但法定作為義務有眾多層次，為何要對網絡服務提供者科以刑事作為義務？應當說，基于網絡服務提供者的關鍵作用，為其構建層次明晰的作為義務體系，是防控侵害信息權犯罪風險的理想目標。而基于中國當前國情，對于這一目標的實現，刑法為網絡服務提供者設置的刑事作為義務具備核心價值。

2016年11月，我國首部網絡專門法《網絡安全法》獲得通過。〔7 〕雖然此法第三章和第四章分別為網絡運營者，包括網絡服務提供者設置了網絡運營安全和網絡信息安全的保護義務，規(guī)定明確而具體；第五章也為其不履行相應義務的不作為設置了警告、處分、罰款、吊銷營業(yè)執(zhí)照等法律責任，但為了在網絡服務提供者的不作為之不法與責任均達到刑罰處罰的要求時，刑事責任是不能缺位的。隨著《刑法修正案（九）》的實然生效，“信息網絡安全管理義務”作為刑法明文規(guī)定的刑事作為義務，對于我國網絡服務提供者而言，已經成為具備實際且最嚴厲法律效力的義務來源，是其法定作為義務體系規(guī)制范圍的基準。

綜上而論，為網絡服務提供者設置這一刑事作為義務，具備了核心價值。

三、信息網絡安全管理義務的內涵：網絡信息安全保護

對于“信息網絡安全管理義務”的內涵，除了可以明確它是我國刑法為網絡服務提供者所設置的刑事作為義務，具體的含義又是如何？法條的簡略規(guī)定無法直接給我們提供答案。通過考察我國拒不履行網絡安全管理義務罪的具體規(guī)定，并結合世界主要法治發(fā)達國家立法，網絡服務提供者作為義務的確立與完善沿革，可以明確“信息網絡安全管理義務”的本質是刑事作為義務，應符合明確性的要求；其義務內涵需要經過刑法教義學的規(guī)范判斷，而非前刑法規(guī)范中作為義務的簡單集合。

（一）本質要求：刑事作為義務的明確性

根據拒不履行網絡安全管理義務罪的規(guī)定，網絡服務提供者應當履行“法律、行政法規(guī)規(guī)定的信息網絡安全管理義務”。

法條的表述，和本條罪名的確定，傳遞出的信息是本條設定的刑事作為義務即為“信息網絡安全管理義務”，此項義務的法定內涵只能明確至“法律和行政法規(guī)規(guī)定的、主動監(jiān)管信息網絡安全的義務”的程度，具體的內容則由相應的法律和行政法規(guī)確定，學界也已出現了這樣的觀點。〔8 〕然而，在處于消極司法法地位的刑法框架下，廣泛而能動的社會“管理”職能與刑法在社會治理中應有的基本功能 〔9 〕是相抵觸的。這樣的解釋所代表的，則是將行政管理義務強行提升為刑法規(guī)范確立之刑事作為義務的意圖，在立法論層面，筆者認為這并不具備正當理據。

同時，罪刑法定原則對本條設定的刑事作為義務之內涵，具有明確性的基本要求，在教義學層面對本條設定的刑事作為義務即為“法律和行政法規(guī)規(guī)定的信息網絡安全管理義務”進行衡量，也無法得到解釋上的自洽。

可以說，任何部門法都沒有同刑法一般如此強調法律規(guī)范的明確性。〔10 〕因為刑法涉及對公民自由最為嚴厲的限制與剝奪，刑法條文必須清楚地告訴人們，什么是禁止的，以便讓大家能夠以此規(guī)束自己的舉止。“對犯罪構成要件各個特征同樣地也要描述得如此具體，使得對它們的意思含義和意義含義可以通過解釋的方法來獲取。” 〔11 〕

那么，如果認為法條已經明確了此項義務的內涵，前提是“法律和行政法規(guī)”中對此已經有了明確的認定。有關于此，國務院《計算機信息網絡國際聯網安全保護管理辦法》可以作為根據，其第10條規(guī)定，“信息網絡安全的管理”包括網絡內容監(jiān)管、網絡經營監(jiān)管、網絡經營許可監(jiān)管等。

通過進一步對法律和行政法規(guī)的考察，會遺憾地發(fā)現，依據前刑法規(guī)范的規(guī)定，此義務內涵的解釋無法得到明確，反而會產生矛盾。我國互聯網領域的基本法——《網絡安全法》 〔12 〕規(guī)定了承擔此義務的主體。其第8條即明確規(guī)定，國務院電信主管部門、公安部門和其他有關機關依照相關法律規(guī)定，負責對網絡安全的管理和監(jiān)督，國家網信部門負責統(tǒng)籌協調網絡安全工作和相關監(jiān)督管理工作。也就是說，此義務的適格主體應當是國家法律法規(guī)明確賦權的主管部門，而非網絡服務提供者。但刑法中此義務的主體已經明確為網絡服務提供者，這與上述結論產生了明顯的沖突。

究其原因，是法條對何為“信息網絡安全管理義務”并未明確，若直接適用前刑法規(guī)范意義上的理解，將此義務解釋為廣泛的主動監(jiān)管義務，無法得到解釋上的自洽，需要進一步明確，作為此項刑事作為義務的適格主體，網絡服務提供者所承擔的義務內涵究竟是什么。

（二）內涵：網絡信息安全保護

1.“避風港原則”為義務范疇的基本限制

刑事作為義務也是法定義務之一種，廓清整體上網絡服務提供者法定作為義務的內涵，是進一步理解我國語境下其刑事作為義務含義的前提。

追本溯源，美國所提出的基本歸責原則，以網絡服務提供者是否對經由其傳播的信息內容沒有任何積極的介入以及是否知情為標準，〔13 〕在過去近二十年中，成為了世界各國對于網絡服務提供者進行歸責認定所繼受的基本框架。其《數字千年版權法》第512節(jié)列舉了對不同類型網絡服務提供者免責的條件，〔14 〕從而為網絡服務提供者創(chuàng)設了法律規(guī)制中的“避風港”；Zeran v AOL 〔15 〕案確認了對《傳播凈化法案》（Comunication Decency Act）第230條的解釋，即網絡服務提供者對任何己方所提供但來源于第三方主體的信息所造成之危害結果免責。兩者與其后美國法院的判例 〔16 〕一起，共同創(chuàng)設了上述基本原則。繼而還要求“搜尋侵權信息及通知服務提供者的責任由版權人承擔”，〔17 〕網絡服務提供者只要保持對信息內容不作積極介入且能證明并不知情，并履行“通知——取下” 〔18 〕的配合義務，即可免責。

在避風港原則的框架之下，以“內容管理”為核心，并按照對信息內容是否積極介入，對網絡服務提供者的類型進行劃分，在“類型化”的框架下分別明確各自是否應承擔內容管理義務，這樣的觀念被廣為接受。美國《數字千年版權法》中提出的兩分法，即網絡信息內容提供者和網絡服務提供者，以及德國和歐盟法律中的四分法，即內容提供者、網絡接入服務提供者、緩存服務提供者、存儲服務提供者，都是基于這樣的理念而提出。

2.德國法中“妨害人責任”對義務內涵的擴展及其限制

然而，距離上述法案頒布畢竟已經過去近二十年，并且，它也僅僅停留在侵權行為規(guī)制的范疇，網絡服務提供者應承擔的法定義務內涵隨著其功能與業(yè)務范圍的擴展，已經得到相當程度的拓展。互聯網已然進入Web2.0，即信息積極交互的時代，雖然仍有作為“純粹中介性通道”的網絡服務提供者存在，但傳統(tǒng)的網絡服務提供者類型已開始產生進一步的分化，如網絡平臺提供者所發(fā)揮的作用就已遠遠超出單純的技術支持。作為信息交互平臺的管理者，而非單純的“內容”展示平臺，網絡平臺提供者有能力和義務防控其框架內信息傳播與獲取過程中產生的違法犯罪風險，其應當承擔的法定義務內涵已遠超內容管理。

有鑒于此，德國的司法實踐中，聯邦最高法院通過類推適用《德國民法典》第1004條和第823條所創(chuàng)設的“妨害人責任”，要求網站對正在發(fā)生的侵權有排除義務，并對未來的妨害負有審查控制義務。〔19 〕

但是，作為德國民法中普遍適用、對“人身和財產性法益保護極端重要” 〔20 〕的民事責任，在德國互聯網法律的理論和實務界，對于“妨害人責任”在網絡空間中能夠延伸多遠，一直存在巨大的爭議。傳統(tǒng)上，在德國法律體系中主要適用《電信傳媒法》的第5至10條，為不同類型的網絡服務提供者設定作為義務并賦予相應的法律責任。〔21 〕而自2006年漢堡高等法院在下述案件，即WLAN的私人擁有者由于未設置密碼，而使他人連接上自己的WLAN從而完成對他人虛擬財產侵害的案件中 〔22 〕認定此私人擁有者應當作為“服務提供者”承擔“妨害人責任”開始，暫且不論歐洲與德國范圍內圍繞WLAN私人擁有者是否可以解釋為“服務提供者”展開的爭議，〔23 〕若認可其可以解釋為網絡接入服務提供者，僅由此責任給網絡接入服務提供者科賦之風險審查義務的正當性，就引起了德國法律界的廣泛質疑。

在以具備妨害發(fā)生之風險而非妨害結果即足的前提下，德國聯邦最高法院繼受了國民法理論中對“妨害人責任”的認定的三個限定條件，即放任妨害發(fā)生之故意，〔24 〕具備相當因果關系的作為加功或者違反法定義務的不作為，〔25 〕以及具備排除妨害的可能性。〔26 〕在2015年11月26日作出的判決中，〔27 〕有限度地承認了它對網絡接入服務提供者的適用。這事實上打破了“避風港原則”的基本限制，有限度地賦予了傳統(tǒng)上被視作“中立技術通道”的網絡接入服務提供者以風險審查的義務。

自此，在前刑法規(guī)范的范疇內，借由“妨害人責任”突破“避風港原則”對網絡服務提供者的所謂“技術中立”的絕對保護，從而有限度地將網絡服務提供者的義務內涵由“內容管理”擴展到“信息傳播治理”，已成為不可逆轉的趨勢。但是，對于此義務的限度進行探尋的努力也一直沒有停止。例如，2016年7月21日通過的對《電信傳媒法》第8條的修改，即為網絡接入服務提供者創(chuàng)設了免責條款。〔28 〕此外，德國聯邦憲法法院在近期審理的公民Bf.訴《反恐怖主義數據管制法》第8至12條違憲一案 〔29 〕的判決中認為，警局對網絡通訊軟件服務提供者所掌握的、依據本法認定涉恐之信息的管制，只有在與公民的“通信秘密及其它由憲法保護之不可侵犯之基本權利相沖突”時，才能得以解除，即是德國聯邦憲法法院在認可上文所述義務之內涵擴張的基本前提下，試圖通過法益沖突衡量的教義學路徑，對網絡服務提供者的風險審查義務進行限縮。

3.我國語境下的刑法教義學判斷與限縮理解

而具體到我國語境下，經過刑法教義學的規(guī)范判斷，可以將此“信息網絡安全管理義務”的內涵限縮理解為網絡信息安全的保護。

應當說，我國承認了避風港原則的精神，通過《侵權責任法》和《信息傳播權保護條例》等法律法規(guī)的規(guī)定，為網絡服務提供者的侵權責任設定了免責條件。但是，在上文所述的普遍趨勢下，再來考察我國刑法中的拒不履行網絡安全管理義務罪所設定的“信息網絡安全管理義務”，會發(fā)現兩點重要的變化。

其一，作為網絡服務提供者刑事歸責的義務來源，從前刑法規(guī)范中的“信息內容管理”到刑法中的“信息傳播治理”，在義務主體的層面是作出了限縮，限定于網絡服務提供者，這是刑法規(guī)范明確性的應然要求。

上文中，筆者已經論證了以下觀點，在刑法層面，網絡服務提供者所需承擔的“信息網絡安全管理義務”不可能是廣泛的信息內容監(jiān)管義務。將前刑法規(guī)范中如此廣泛的“信息網絡安全管理義務”都作為刑事作為義務賦予網絡服務提供者，極其不現實，也與刑罰分配所應遵循的基本原則相悖。〔30 〕

其二，在義務實質內容的層面，由“信息內容管理”到“信息傳播治理”則是產生了擴張。

“信息傳播治理義務”所要求的，是網絡服務提供者除了對信息內容的事后管理之外，還應對網絡空間中侵害信息權犯罪風險進行主動與前置性的審查與防控。考察相關的法律和行政法規(guī)規(guī)定，會發(fā)現《網絡安全法》第三章和第四章中為網絡運營者，包括網絡服務提供者設定的“網絡運營安全保護義務”和“網絡信息安全保護義務”都應屬于“信息傳播治理義務”。后者是對信息內容的管理義務，即對網絡服務提供者對于網絡信息的儲存、使用、公開等行為設置了相應的作為義務；前者則要求對網絡空間信息流動中所產生的風險進行主動監(jiān)測與防控。那么，在義務實質內涵的層面，本罪設定的“信息網絡安全管理義務”是否涵蓋了上述兩種類型呢？因為此義務是刑事作為義務，那么它的范圍應受到刑法條文的明確限定，它的具體內涵也應經過刑法教義學的規(guī)范判斷得出。

作為刑事作為義務，它所規(guī)制的只能是具有值得動用刑法進行處罰之嚴重性的情形，因為刑法的發(fā)動不能超越公正和效用的邊界。那么，它就不能為網絡服務提供者設定廣泛的“信息傳播治理義務”。繼續(xù)來看本罪的規(guī)定，本罪罪狀列舉了“致使違法信息大量傳播”、“致使用戶信息泄露，造成嚴重后果”以及“致使刑事案件證據滅失，情節(jié)嚴重”三種情形，作為兜底條款的“其他嚴重情節(jié)”應當與前三種情形具備相當性，才可以適用本罪處罰。筆者認為，本罪通過這些具體情形的列舉，將“信息網絡安全管理”的內涵限定在了對所明文列舉之相關信息安全的保護。同時，本罪“經監(jiān)管部門責令采取改正措施而拒不改正”的規(guī)定，將“經監(jiān)管部門責令采取改正措施而改正”作為對網絡服務提供者刑事歸責免責的條件，也就明白無誤地排除了信息網絡安全管理義務中對犯罪風險主動監(jiān)測，也就是“網絡運營安全保護義務”的內涵，將本義務限縮在了網絡信息安全保護義務的范疇。

正如上文所述，刑法規(guī)范的明確性以可以通過解釋的方法獲取其含義為基本界限。那么作為刑法所設定的刑事作為義務，信息網絡安全管理義務的內涵通過以上的解釋判斷，可以明確為網絡信息安全的保護。也即是說，《刑法》第286條之一為網絡服務提供者創(chuàng)設的不是作為行政管理義務的“信息網絡安全管理義務”，而是作為刑事作為義務的“網絡信息安全保護義務”。作此區(qū)分，也可以明確本條創(chuàng)設的刑事作為義務，與前刑法規(guī)范所創(chuàng)設的、作為行政管理義務的“信息網絡安全管理義務”之間的本質區(qū)別。

四、信息網絡安全管理義務的邊界

至此可以明確，我國《刑法》第286條之一為網絡服務提供者設定的，不是“信息網絡安全管理義務”，而是“網絡信息完全保護義務”，其適用邊界至此已完全厘清了嗎？筆者以為恐怕不能。接下來，筆者擬對此項義務邊界不明會產生的法治風險進行梳理，進而識別與評估，〔31 〕并通過刑法教義學的限縮解釋對此風險加以規(guī)避，以實現在尊重實定刑法的規(guī)范效力與內涵的基礎上，對其進行符合刑事政策目標、刑法規(guī)范的法益保護目的以及刑法教義學邏輯的限縮，〔32 〕使符合構成要件、違法且有責因而真正值得刑罰處罰的行為被定罪量刑的目標。

（一）廓清邊界的動因：義務邊界不明晰的法治風險

1.司法適用不確定的風險

筆者認為，從刑法教義學的視角出發(fā)，此信息網絡安全管理義務的義務主體，即處于刑事保證人地位之保證人尚不夠明確，這催生了第一個風險，即此項義務司法適用不確定的風險。

作為不作為犯，在尋找刑事保證人地位實質根據已經成為學界共識的背景下，僅由法條為網絡服務提供者設定了信息網絡安全管理義務，不必然產生網絡服務提供者的刑事保證人地位，需要從學理上對其進一步明確。在對刑事保證人地位實質根據進行探討的諸多學說中，筆者認為危險源監(jiān)督說最為有力。“對于危險源的監(jiān)督，產生了保護他人法益不受來自于自己控制領域危險威脅的義務。這種對危險源的控制是不作為犯的義務，其根據在于，復雜社會系統(tǒng)中的秩序必須依賴于（處分權人）所管理的特定空間和特定控制領域的安全。” 〔33 〕以此觀之，網絡服務提供者作為此義務刑事保證人地位的確立，僅明確至“網絡服務提供者”這一概括的上位概念尚顯不足，還應當對它的功能類型作進一步的區(qū)分，進而才能認定各自應承擔的具體義務類型。

然而，無論是從拒不履行網絡安全管理義務罪，還是前刑法規(guī)范中的法條規(guī)定，都缺乏對“網絡服務提供者”具體內涵明確的認定。而刑法條文的明確性則是決定刑法適用確定性的重要因素之一。〔34 〕

所謂刑法規(guī)范的確定性，是指刑法是否總是（或者大多數時候或者從不）對法律問題提供唯一正確的答案。〔35 〕在作為公民的角色中，行為人要承擔他對于社會共同體的、合法的共同責任。〔36 〕在這種共同責任里，他與刑罰聯系在了一起。為了使刑罰的發(fā)動具備正當性，刑法的適用應當具有確定性。這種確定性可以為司法機關提供明確的裁判規(guī)范，限制其權力的恣意發(fā)動，也可以為公民提供明晰的行為規(guī)范，使其明確知曉可為與不可為的界限。若對網絡服務提供者的類型和義務的具體類型不作明確區(qū)分，此種確定性便不可得。

2.窒息網絡服務提供者創(chuàng)新與發(fā)展的風險

其次值得注意的風險，是忽略此項義務應有的法益保護目的和網絡服務提供者履行義務的可能性，進而對其創(chuàng)新與發(fā)展帶來沉重負擔的風險。

對于本罪設立的批判者來說，其最大的理據便是認為不可能要求網絡服務提供者對網絡空間中的信息傳播承擔廣泛的治理義務，這會給它們制造巨大的人力、金錢與時間負擔，進而會扼殺互聯網產業(yè)的創(chuàng)新與發(fā)展，是“情緒化”的刑事立法。〔37 〕法益保護目的的缺失與義務履行可能性考量的缺位是兩個重要的影響因素。

法益的概念對于作為限制科學的刑法教義學功能，即追求邏輯自洽、功能自足、體系一致與有效、限制刑法適用、〔38 〕實現個案公正之功能的發(fā)揮具有重要意義。具體而言，確定拒不履行網絡安全管理義務罪所保護的法益為何，可以將信息網絡安全管理義務的適用限定于保護法益之目的，從而避免將網絡服務提供者的業(yè)務活動全面納入規(guī)制范圍。

而承擔義務的可能性則是完成對網絡服務提供者刑事歸責的保障。此種可能性在現實層面體現為義務履行的技術可能性，在規(guī)范層面，則體現為義務履行的期待可能性。正如前文所述，在我國經濟社會的發(fā)展中，網絡服務提供者已經逐漸占據愈加重要的地位，將其納入法治規(guī)范的軌道實為必然。然而在網絡世界中，信息自由流動所產生的碰撞是創(chuàng)新與發(fā)展的動力源泉，而不能被一概視作網絡空間這一統(tǒng)一機體上的病痛，采取措施加以祛除。〔39 〕只有對網絡刑事法進行技術制衡，才能避免窒息網絡的發(fā)展。因此，在現實層面，應當考量網絡服務提供者在具體的技術環(huán)境下是否可能履行義務，而在刑事歸責的規(guī)范層面，則應當以技術可能性為基礎，在教義學的判斷中考量網絡服務提供者是否具有履行義務的期待可能性。

（二）具體的義務類型為依據

如何明晰義務的邊界，消解法治風險？這需要通過刑法教義學的規(guī)范判斷，確立明確的標準。具體的義務類型，是明晰義務邊界的依據。拒不履行網絡安全管理義務罪中“經監(jiān)管部門責令采取改正措施而拒不改正”的表述，才確認了網絡服務提供者具體的義務類型。考察我國《網絡安全法》的具體規(guī)定之后，可以確認為本法第三章第一節(jié)中規(guī)定的、只限于自我管理以及對用戶和主管部門進行配合范圍內的網絡運營安全保護義務；以及在四章所規(guī)定的網絡信息安全保護義務。兩者的性質可以歸納為配合義務，具備配合風險審查與配合信息內容管理的兩個側面。

所謂配合義務，是指在法律明文授權的前提下，所有類型的網絡服務提供者配合用戶或者國家主管部門將特定目標信息存儲、提供或公開的義務。〔40 〕因為當下網絡空間中侵害信息權的犯罪行為難以像傳統(tǒng)犯罪中一般通過現實空間中證據材料的搜集進行認定，只有行為產生的信息流動的軌跡才可以作為此類犯罪的證據材料，網絡服務提供者的配合對于此軌跡的確定就顯得非常重要。〔41 〕避風港原則所設立的“通知——取下”義務便屬于配合義務的范疇，我國《侵權責任法》第36條第3款對此予以肯定。

通過《網絡安全法》第三章第一節(jié)的規(guī)定，為網絡服務提供者設立了廣泛的配合義務。其本質是網絡服務提供者為主動審查侵犯信息權犯罪風險提供配合，但并非是主動審查，這是配合義務的風險防控側面。就筆者探討的中心而言，作為本罪確定的刑事作為義務，其內容由前刑法規(guī)范設定，但是否成立犯罪繼而承擔本罪設定的刑事責任，應以不純正不作為犯的刑事歸責路徑進行展開，筆者不作展開。而《網絡安全法》第四章所設定的網絡信息安全管理義務，其本質是網絡服務提供者配合義務的信息內容管理側面。

也就是說，作為刑事作為義務的“網絡信息安全保護義務”，其具體的義務類型為網絡服務提供者的配合義務，包含風險審查的配合與信息內容的管理兩個側面。

（三）明晰的義務主體為前提

本罪的義務主體，即“網絡服務提供者”之明確內涵，是信息網絡安全管理義務得以準確適用的前提。基于功能標準考量，此處所謂“內涵”即其具體的類型。筆者接下來欲結合我國《網絡安全法》和歐洲議會于2016年7月6日二讀審議通過的《網絡與信息系統(tǒng)安全指令》（即NIS指令） 〔42 〕有關網絡服務提供者類型的規(guī)定，具體明確其類型區(qū)分，以及對所承擔的具體義務類型的影響。

1.網絡服務提供者的概念與傳統(tǒng)分類

在我國互聯網領域立法并不完善的當下，缺乏對于網絡活動主體規(guī)范的法律界定。2010年頒行的《侵權責任法》、2013年修訂的《信息網絡傳播權保護條例》以及2015年通過《刑法修正案（九）》增設的拒不履行網絡安全管理義務罪都使用了“網絡服務提供者”的概念，卻并沒有相應的法律或行政法規(guī)對其內涵進行闡釋。而作為我國互聯網領域的基本法，《網絡安全法》中使用了“網絡產品和服務提供者”、“關鍵信息基礎設施運營者”、“網絡運營者”等多個概念，卻缺乏對這些網絡活動主體概念明確而規(guī)范的界定，因此需要對其進行學理解釋，明確本罪所設定此項刑事作為義務的主體。

所謂網絡服務提供者，從廣義的角度看，指專營為社會公眾提供網絡信息通訊服務，并保存任何經由其構建的網絡空間“收費站”之用戶所留下的信息流動軌跡的“守門人”。〔43 〕

傳統(tǒng)上，一般根據提供服務內容的不同，將網絡服務提供者分為兩大類：第一類是網絡信息內容提供者（ICP），指自己組織信息通過網絡向公眾傳播的主體；第二類是網絡服務提供者，指為傳播網絡信息提供中介服務的主體。〔44 〕

這樣的分類思路源起美國1998年《數字千年版權法》，在那個互聯網剛剛起步的年代，基于對網絡發(fā)展創(chuàng)新的鼓勵，最終確定以是否參與內容制作以及是否對內容知情為網絡服務提供者在法規(guī)范視野內類型化的依據，網絡服務提供者屬于不參與內容制作并對內容不知情者，進而通過第512節(jié)設立的避風港原則實質確立了對這一類主體的責任限制制度，并逐步演變?yōu)閷W絡服務提供者的普遍歸責原則。根據拒不履行網絡安全管理義務罪中“不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務”及相應后果的規(guī)定，可以認定本罪主體“網絡服務提供者”是不參與內容制作并對內容不知情的網絡服務提供者。

2.網絡服務提供者的功能分化與意義

《數字千年版權法》所確立的、并為全世界廣泛繼受的歸責原則排斥給網絡服務提供者科以對網絡空間中侵犯信息權犯罪風險主動審查的義務，認為這會是網絡服務提供者不可承受之重，會阻礙互聯網的創(chuàng)新與發(fā)展。然而，隨著時代的發(fā)展與技術的進步，在接受上述以促進互聯網發(fā)展創(chuàng)新為導向的原則性框架的前提下，網絡服務提供者的功能在兩個維度上進一步發(fā)生分化，從而導致其應當承擔的作為義務也產生了變化。目前學界對于應當根據網絡服務提供者的不同類型分別認定其刑事責任基本已形成共識，〔45 〕但對于筆者所指出的兩個功能分化的維度卻缺乏必要的關注，值得加以深入探討。

第一，網絡平臺的功能已經遠遠超出“單純通道”或技術保障，成為了網絡空間信息交互的綜合平臺，網絡平臺提供者的角色也早已不具備被動性、工具性和中立性的特質，〔46 〕而是具備充分的能力并且也已經積極參與到了對平臺內信息流動的控制中，成為了網絡空間中那只“無形之手”。〔47 〕對它們來說，“對網絡空間的控制并不存在過多障礙。” 〔48 〕一個極好的例證是阿里巴巴對于制假售假的打擊。阿里巴巴公司充分利用自身所掌握的大數據資源，從2015年4月至9月，向執(zhí)法機關推送售假團伙線索717條，獲各地執(zhí)法部門立案的為330條，被破獲的案件為279起。其間，阿里巴巴協助警方搗毀制假、倉儲、售假窩點600余個，抓獲犯罪嫌疑人715人。〔49 〕

這充分說明，作為信息交互、進而已具備部分社交功能的平臺，網絡平臺有能力也有義務前置性防控在其平臺服務的范疇內所產生的侵害信息權犯罪的風險。并且，在可以預見的將來，網絡平臺提供者對于網絡空間服務的集成范圍只會不斷擴大，云端服務的產生與發(fā)展即代表了這一趨勢。〔50 〕在此背景下，網絡平臺提供者應當在應然的限度內承擔對犯罪風險主動審查的義務，亦即網絡運營安全保護義務。而單純的接入服務提供者，包括硬件和軟件接入服務提供者，以及代理緩存和存儲服務提供者則不應承受這樣的負擔。

筆者認為，《網絡安全法》第三章第一節(jié)規(guī)定中所謂的“網絡運營者”和“網絡產品和服務提供者”的規(guī)定中所謂的“網絡產品和服務提供者”均應理解為筆者意義上的網絡服務提供者。依本節(jié)的規(guī)定，后兩者也需承擔網絡運營安全保護義務，但只限于自我管理以及對用戶和主管部門報告相關犯罪風險的配合義務范圍內。

第二，互聯網在以“摩爾定理”的速度發(fā)展著，它的觸角能夠延伸到的廣度也在逐步以“摩爾定理”的速度增加，網絡服務提供者所能影響的法益的重要性層次也必然愈加復雜，法律保護的力度也就不能一刀切。僅以功能的區(qū)分標準作為網絡服務提供者法定作為義務的區(qū)分標準是不可取的。因為如果不對法律想要禁止的最終危害進行分類，也就很難對其想要禁止的行為分類。〔51 〕在基本功能界分的框架下，還應當根據該主體所保護法益的重要性，對義務主體作出第二層次的劃分，以此決定該主體應當承擔的作為義務強度。《網絡安全法》中即作出了“關鍵信息基礎設施運營者”和“網絡運營者” 〔52 〕的劃分，并且通過本法第31條明確了“關鍵信息基礎設施”的內涵，〔53 〕“網絡運營者”的含義則沒有規(guī)范的定義，可以參考《指令》的規(guī)定，在今后的立法中進一步完善。

網絡服務提供者屬于關鍵信息設施運營者還是一般的網絡運營者，決定了該主體所保護信息權的重要性。那么如果接入服務提供者（IAP）、代理緩存服務提供者和儲存服務提供者為關鍵信息基礎設施運營者時，也應承擔對侵犯信息權犯罪風險的主動審查義務。《網絡安全法》中對此作出了明確的規(guī)定，其第三章第二節(jié)即為關鍵信息基礎設施運營者設置了顯著的風險主動審查義務。如本法第38條，〔54 〕即對關鍵信息基礎設施運營者規(guī)定了就網絡運營安全風險定期檢測和報告的義務。而一般的“網絡運營者”，根據本法第三章第一節(jié)和第四章的規(guī)定，應承擔對信息內容進行管理的網絡信息安全保護義務，其應承擔的網絡運營安全保護義務只限于自我管理以及對用戶和主管部門報告相關犯罪風險的配合義務范圍內，不包括對風險的主動審查義務。

綜合以上的分析，筆者認為，結合上述兩種標準，才可對網絡空間中侵害信息權行為的社會危害性進行實質判斷，不能單純基于預防性的管理需求，認為網絡因為其跨越地域的流動特性造成了網絡信息流動的難以控制，就天然帶有令以管理者自居者恐懼的原罪。〔55 〕既然“信息網絡安全管理義務”只應限于配合義務的范疇，那么，就配合風險防控而言，在功能區(qū)分的層面上，網絡平臺服務提供者為適格主體，網絡接入服務提供者、代理緩存和存儲服務提供者不應是適格主體，在所連接法益重要性區(qū)分的層面上，基礎信息設施服務提供者均為適格主體，一般網絡運營者則需參照功能區(qū)分進行認定；就配合信息內容管理而言，所有類型的網絡服務提供者均為適格的義務主體。

（四）法益保護目的為指引

既然已經明確“信息網絡安全管理義務”的內涵是以“網絡信息安全保護”為核心的配合義務，它的適用范圍如何來確定？這需要法益保護目的的指引。在刑法教義學層面，特定罪名所保護的法益應是其解釋適用的出發(fā)點，決定了其附隨之刑罰所打擊的基本射程。

在“網絡信息安全保護”的范疇下，本罪所保護的對象已經呼之欲出，那就是信息。從刑法的角度來看，刑法保護的信息法益就是基于刑法的規(guī)定，受刑法所保護的信息主體所享有的信息權利。〔56 〕我國有關信息權的研究主要在民法學領域，限于個人信息權，作為與隱私權相區(qū)分的獨立人格權 〔57 〕展開，2016年6月第十二屆全國人大常務會第二十一次會議初次審議通過的《民法總則（草案）》也在第108條規(guī)定了對數據信息的知識產權予以保護，表達了對個人信息權財產屬性的認可態(tài)度，但在我國刑法學領域的研究中，卻鮮有涉及。究其原因，筆者認為主要在于刑法規(guī)范遠高于民法的明確性要求，致使在刑法理論中實現將“信息權”作為法益進行界定的目標非常困難。

具體到本罪來說，條文所規(guī)定的三種情形，而非“法律和行政法規(guī)”才規(guī)定了本罪所保護的信息權類型，這是刑法規(guī)范明確性的必然要求。即，“致使用戶信息泄露，造成嚴重后果”和“致使刑事案件證據滅失，情節(jié)嚴重”保護的法益分別是用戶和刑事案件偵辦機構所享有的用戶信息專有權與刑事案件證據信息專有權，而“致使違法信息大量傳播”所保護的則應是負責處理違法信息的相關部門為了履行其職能所享有的違法信息專有權。

基于信息的流動性所帶來內涵與信息權主體的非確定性，和對刑法規(guī)范謙抑品格的堅持，筆者認為作為刑法法益的信息專有權不能完全的去實質化，應當堅持人本的法益觀，〔58 〕繼續(xù)尋求本罪所保護的信息專有權之中的個體權利根基。筆者認為，此根基，亦即信息專有權的核心，在于信息專有權主體對于數據處理的同意。對其內涵的進一步厘清，要以兩個概念的解析為基礎，即“信息專有權主體”和“同意”。首先，信息專有權主體可以分為個人主體與非個人主體。在大數據的時代背景下，隨著數據收集和信息挖掘技術的飛速進步，對個人信息的規(guī)模化利用已成為趨勢，〔59 〕隨著網絡的發(fā)展，信息交流加快，特別是網上金融交易和網上購物的開展，促進了個人信息的流動，諸如密碼外泄門事件等非法收集、利用、公開個人信息的案件也隨之出現，在此過程中對公民個體也產生了引人注目的人格與財產侵害，個人信息的保護已經成為各國關注的重要問題。正因如此，學界對個人信息法律保護的關注歷久不衰。〔60 〕本罪規(guī)定的第一種情形，所保護的即用戶個人信息專有權。而對于后面兩種情形所分別保護的刑事案件證據信息專有權和違法信息專有權，其權利主體均為非個人主體，即刑事案件偵辦機構和負責處理違法信息的相關部門，其對相應信息的專有權并非天然所有，而是來自法律規(guī)范的賦予。

其次，與信息專有主體相對應，“同意”可以分為相應信息專有權主體的事實同意與法律擬制的同意。作為自然人，用戶就涉?zhèn)€人數據的處理當然可以進行實然意義上的事實同意；而作為非自然人的機構，其對涉及所享有專有權之數據處理的同意，是法律規(guī)范所擬制。而刑法將本罪規(guī)定在分則第六章第一節(jié)“違反社會公共秩序罪”中，其意圖即欲將本罪保護的特定信息專有權限定為社會公共秩序。后兩種情形所規(guī)定的非個人主體的信息專有權，不是真正的信息專有權，其保護的實質是相關機構對自身職權范圍內所有之信息的行政管理秩序，適用行政法規(guī)進行保護即可，不值得動用刑法進行保護，〔61 〕不應成為真正的刑法法益；而本罪真正保護的法益，是具備社會公共利益屬性的用戶信息專有權，也就是具備人格權和財產權屬性的、不特定或者多數用戶的信息專有權之集合。通過這樣的解釋，應當在本罪的實際適用中避免使用后兩個保護偽信息專有權的條款，避免刑事違法與行政違法之間的相對性界限因此而崩潰。

（五）履行義務的可能性為保障

最后，網絡服務提供者履行義務的可能性是實現對其刑事歸責的保障。筆者已經對此義務提出了三個具體的限縮標準，即網絡服務提供者的類型，具體的義務類型，以及法益保護目的，那么，對此可能性的探討自然在這個限定的語境下展開。

首先是網絡平臺服務提供者。當前語境下的網絡平臺服務提供者，其本身已經超越了傳統(tǒng)網絡服務提供者作為“中介”的范疇，成為了綜合多種服務的、具備一定社交性質的信息交互平臺。基于對具備公共利益屬性的特定信息專有權之保護目的，網絡平臺服務提供者應當能夠履行體現為配合義務、內涵為網絡信息安全保護義務的“信息網絡安全管理義務”。此種判斷的現實基礎，在于軟件的中心化為網絡平臺提供者提供了技術可能性，使其可以通過服務對終端進行控制，未來的云服務更是代表了這種趨勢。〔62 〕教義學規(guī)范判斷中，這樣的技術可能性是期待可能性的存在論根基。而其規(guī)范根基則還需在個案中對一定的法益沖突進行衡量之后才能找到。即在公民言論自由和隱私權等基本權利與履行義務所保護之法益產生沖突時，衡量之后得出應當要求履行的結論時，網絡平臺服務提供者才具備履行此義務的規(guī)范根基。

其次，再來看網絡接入服務提供者。由于網絡傳輸信息的海量性、加密設置以及對數據傳輸進行實時監(jiān)控的現實困難，以及憲法所保障的言論自由和公民隱私權保護等因素的考量，單純作為“技術通道”的網絡接入服務提供者不可能對其傳輸的內容實現控制。就算是接到了相關主管部門責令改正的通知，除非其付出巨大代價徹底關閉或轉型，否則不足以前置性介入的，出于利益沖突衡量及公共政策妥當性的考量，〔63 〕也不能夠對其作此要求。因此它不是風險監(jiān)控配合層面之“信息網絡安全管理義務”的適格主體，只具備履行信息內容管理配合層面之“信息網絡安全管理義務”的可能性。

最后，是代理緩存服務提供者和存儲服務提供者。兩者通過服務器或者云存儲等方式，為他人提供信息數據存儲服務，能夠對存儲空間進行物理或者遠程的直接控制，接到告知以后，也能夠迅速對相關違法涉罪信息進行刪除。但基于信息數據加密等設置，和與網絡接入服務提供者同樣的考量，只能認定能夠履行信息內容管理配合層面之“信息網絡安全管理義務”。