点击蓝字 关注我们
您对于《论拒不履行信息网络安全管理义务罪中的“信息网络安全管理义务”》的内容有何看法呢?欢迎在下方留言或者来稿参与讨论。对于在本微信平台发送的原创稿件,将结合阅读量酌情给予奖励,湖南省刑事法治研究会每年还将对原创文章进行评奖并予以不同等级的奖励。还等什么,快来投稿吧!
投稿邮箱:hnsxsfzyjh@126.com。
一
文章信息
文章标题:《论拒不履行信息网络安全管理义务罪中的“信息网络安全管理义务”》
文章作者:赖早兴,男,汉族,湖南浏阳人,湘潭大学法学院教授、博士生导师。
文章来源:《刑法论丛》,2022年第3卷。
摘要:拒不履行信息网络安全管理义务罪构成中的核心要素是信息网络安全管理义务。《刑法》将该义务的来源限定为法律和行政法规的规定。从具体的内容上看,网络服务提供者的信息网络安全管理义务主要体现在物理安全管理义务、系统安全管理义务和网络安全管理义务。网络服务提供者可以分为接入服务提供者、缓存服务提供者、存储服务提供者、定位服务提供者和内容提供者。它们承担的上述信息网络安全管理义务有共性,但因所提供服务内容的差异,各自承担的信息网络安全管理义务也存在差别。基于能力与义务的密切关系,在认定网络服务提供者信息网络安全管理义务时,要考虑不同主体安全管理能力的差异,也要分析义务冲突时网络服务提供者履行义务的可能性。
关键词:拒不履行信息网络安全管理义务罪;信息网络安全管理义务;网络服务提供者;义务内容
二
内容品读
文章除结语外,一共有四个部分。在第一部分,主要在形式上对网络服务提供者信息网络安全管理义务来源的梳理。除狭义意义上的法律和行政法规外,还包括全国人大常委会制定的规定具体规则的决定(如全国人大常委会制定的《关于加强网络信息保护的决定》)以及全国人大常委会制定的为网络服务提供者设定信息安全管理义务的条例。
文章第二部分则以“网络安全”为重心,根据网络应用现状和PCP/IP协议结果,并结合目前对信息安全分类观点的共性,将信息网络安全分类为以下四类:物理层安全、系统层安全、网络层安全、应用层安全,在此基础上将信息网络安全管理义务初步划分为物理安全管理义务、系统安全管理义务、网络安全管理义务以及应用安全管理义务,而应用安全主要指网络系统应用软件和数据库的安全,包括Web安全、DNS安全和邮件系统安全等,实际上内含于系统安全与网络安全中。因此网络服务提供者的信息网络安全管理义务主要集中于物理安全管理义务、系统安全管理义务和网络安全管理义务,具体情况如下图所示。
在搭建完信息网络安全管理体系的初步框架后,第三部分对网络服务提供者的具体信息网络安全管理义务进行进一步展开,可分为三个板块:一是对行为主体,即网络服务提供者的分类;二是网络服务提供者共同的信息网络安全管理义务;三是网络服务提供者基于其类型的不同,所承担的不同的信息安全管理义务。
结合我国法律文件的规定和学者的观点,网络服务提供者可以分为接入服务提供者、缓存服务提供者、存储服务提供者和定位服务提供者。而内容服务提供者通过网络向用户提供内容的服务也是网络服务。如果内容服务提供过程中一个行为触犯两个以上罪名时应按想象竞合处理,不能因此否定内容提供者作为网络服务提供者的身份。义务内容则整理如下。
第四部分则从义务履行可行性对网络服务提供者的信息安全管理义务进行了补充。本文主要讨论了自然人主体与组织主体的能力差异和信息网络安全管理义务的冲突这两方面的问题。首先,自然人与单位之间存在履行义务能力的差异,这种差异在我国立法中也有所体现。例如《关键信息基础设施安全保护条例》第16条规定,运营者应当保障专门安全管理机构的运行经费、配备相应的人员。这种义务对于关键信息基础设施运营者是必须且也是可行的,但不可能是单个的自然人,我国立法者并未在其他法律法规中普遍赋予网络服务提供者此类义务。此外,技术手段的运用需要相应的成本与技术人员的支持,这对自然人网络服务提供者来说可能是个极大的负担,甚至是难以承受的负担。其次,我国行政管理中职能部门众多,行政管理权力交叉重叠,对于同一个行政事务有不同的行政部门进行管理。这些主体在网络安全管理中,会基于自身职权对网络服务提供者提出要求,而这些要求本身又可能存在冲突,主要体现在防止违法信息大量传播与防止刑事犯罪证据灭失之间。如何做到两者种义务的协调,不但是网络服务提供者要充分注意的问题,也是司法机关在认定网络服务提供者信息网络安全管理义务履行中要注意的问题。针对该类安全管理义务的冲突,司法机关不能仅基于其未履行其中某一义务就判定其未履行义务,应当基于网络安全事件发生时的紧急情况、网络服务提供者履行安全管理义务的积极程度、不同网络管理部门介入先后顺序等综合认定。
三
阅读感受
阅读本文后,我最大的收获就是学习了如何对一项内容多样、关系复杂的课题进行具体的归纳梳理。拒不履行信息网络安全管理义务罪同时具备行政犯和不作为犯的特点,但《刑法》第286条之一的原文表述和相应的司法解释较为简略,刑法条款中“法律、行政法规”的原文表述背后是庞大的行政规范群——根据中央网络安全和信息化领导小组办公室、国家互联网信息办公室政策法规局编写的《中国互联网法规汇编(第2版)》,我国有关互联网管理的法律有三部、行政法规10部、部门规章28部、司法解释13部、规范性文件32件,此外,另有其他28部法律规定了有关互联网信息管理的内容。义务性条款散见于不同的法律规范中,而且我国网络领域的法律专业属于又存在不统一适用的情况,使得网络服务提供者的信息安全管理义务体系更显杂乱。
本文按照形式——实质和共同——特殊的思路对拒不履行信息网络安全管理义务罪中网络服务提供者的各项信息安全管理义务进行了系统梳理。首先,就信息网络安全管理义务的来源进行了限定,这也为后续规范设定了一个基础范围,排除了部门规章等其他法律规范内容对本罪义务的干扰。然后对义务的核心实质内容“网络安全”进行了分类,在此基础上划定信息网络安全管理的各项义务。这里值得一提的是,应用安全主要指网络系统应用软件和数据库的安全,包括Web安全、DNS安全和邮件系统安全等,实际上可以内含于系统安全与网络安全中,故不单独另设应用安全,后续义务也不再单列应用安全管理义务。在对复杂义务进行分类,强调差异性的同时,也应注意到各同级元素之间的关系,应用安全的省略避免了单列应用安全管理义务后对系统安全管理义务、网络安全管理义务的重复,是对原本庞杂义务体系的简化。搭建好信息网络安全的层级后,先对网络服务提供者这一行为主体的概念和类型进行了明确,再讨论所有网络服务提供者的共同义务,最后对网络服务提供者网络接入服务提供者等各类主体的具体义务进行了进一步讨论,求同存异,层层递进,结构清晰。此外,另设一章从自然人和组织、信息网络安全管理义务的冲突两个方面对义务履行过程中的“义务履行能力”进行了补充。而在后续补充阅读中,发现:自然人主体和组织主体在义务履行能力存在差异,组织主体内部的义务履行能力的差异也存在巨大悬殊。在此基础上,其相应的信息安全管理义务也应体现出差异性。例如欧盟的《数字服务法》(Data Services Act, DSA)DSA第五节第33至43条专门规定了超大型在线平台和超大型在线搜索引擎提供者管理系统性风险的额外义务。大型网络平台基于其资源和地位上的非对称性,对平台内活动负有监管的职责,而且也存在滥用“数字权力”的风险,应承担相较于其他组织主体而言更重的义务。
监制:张永江
作者:廖佩蕾,湘潭大学法学院2022级法律(法学)硕士研究生
编辑:李雯婧
责编:曹恩妮
审核:王奎
微信号|湖南省刑事法治研究会
新浪微博|湖南省刑事法治研究会
今日头条|湖南省刑事法治研究会
