网络安全管理义务不履行的客观方面

按照《刑法》对于拒不履行信息网络安全管理义务罪的具体规定，本罪在客观方面必须同时具备三个要素:不履行信息网络安全管理义务，经监管部门责令拒不改正，造成《刑法》第286条之一第1款规定的四种危害结果之一。

(一)不履行法律、行政法规规定的信息网络安全管理义务

所谓义务，是相对于权利的一个概念，乃指法律上应尽的责任，包括作为义务与不作为义务。而管理义务则是作为具有管理责任的人，因其职务或业务的内在特性，法律所赋予的一种监督管理责任。^[5]网络服务提供者的经营场所虽然是网络这个虚拟空间的区域，但是其仍然属于我们社会中的一员，其进行业务经营行为也就必须保证要遵守法律规范的相关规定，要合乎相关要求。因此，立法者赋予其相关的管理义务具有一定的合理性。

拒不履行信息网络安全管理义务罪的义务来源于法律、行政法规的规定。在全国人大常委会通过的《关于加强网络信息保护的决定》，以及国务院制定的《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》《中华人民共和国电信条例》中，对网络服务提供者履行法律、行政法规规定的信息网络安全管理义务有直接或间接的规定。而《中华人民共和国网络安全法》(以下简称《网络安全法》)对网络服务提供者的信息网络安全管理义务则规定得更为系统和完整，主要包括以下内容:①落实信息网络安全管理制度和安全保护义务。其要求网络运营者建立相应的管理制度，包括网站安全保障制度、信息安全保密管理制度、用户信息安全管理制度等，尤其是规定为网络用户提供服务时要实行“实名制”，并采取措施防止用户个人信息泄露。这在《网络安全法》第24条、第41条、第42条中作了明确规定。②及时发现、处置违法信息。一旦发现违法信息，必须立即停止传输。采取删除措施，防止信息扩散，保存有关记录，并向有关主管部门报告。这在《网络安全法》第25条、第47条中都有完整体现。③网络服务提供者在提供服务过程中，必须对网上信息和网络日志信息记录进行备份和留存。这在《网络安全法》第21条第3项中有明确规定。上述关于网络服务提供者管理责任的规定，成为其成立该罪的义务来源。^[6]

(二)经监管部门责令采取改正措施而拒不改正

网络服务提供者不履行上述义务并非一定会受到刑事归责，还需要经过监管部门责令采取改正措施并且拒不改正，从而导致产生了法定的四种情形才有可能成立犯罪。具体而言，作为一个典型的不作为犯，本罪同其他不作为犯又有些许不同。首先，不作为犯要构成犯罪必须有其所要遵循的义务，本罪的义务只能是法律、行政法规所规定的网络安全管理义务，具体包括事前预先审查、事中实时监控以及事后的报告和删除义务。其次，立法者为了避免让网络服务提供者承担严格责任而导致自身负担过重，还为网络服务提供者设定了更深层次的刑事义务——经监管部门责令采取改正措施而拒不改正。即行为主体违反了法定义务的前提下，还要进一步收到监管部门的责令改正而不改正，才有可能受到刑法的评价。

1.监管部门的范围及职责。依据《网络安全法》第8条的规定:“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。”由本条规定可知，负责我国网络安全的监督和管理的是国家网信部门、国家电信主管部门、公安部门以及县级以上地方人民政府的相关部门。

除了《网络安全法》中的相关规定以外，还有其他行政法规也同样规定了负责网络安全管理的相关部门。如《计算机信息系统安全保护条例》第6条规定:“公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作”;再如《电信和互联网用户个人信息保护规定》第3条规定:“工业和信息化部和各省、自治区、直辖市通信管理局依法对电信和互联网用户个人信息保护工作实施监督管理”。

综上可知，本罪中所规定的监管部门，往往都是有相关法律法规予以确定且监管部门的设置体现了总体统筹、微观调整的特点。具体而言，首先，中央网络安全和信息化领导小组对全国的网络信息安全进行宏观监管，对我国发生的各领域的网络信息安全事件都具有管辖权，是一个统筹全局的部门，其他单位相关规定和职责行为不能与该领导小组产生冲突。其次，微观调控层面，按照相关规定，各个监管部门应当只对其所涉及的相关领域的网络信息安全负有监管职责。此外，关于地方性的监管部门，也只对本行政区域的网络信息安全负责，对其他区域的网络信息安全不具有监管职责，这也是为了防止行政区域的划分所产生的职能冲突的局面。总而言之，各监管部门都应该严格按照法律、行政法规的相关规定，在其自身的职能范围之中履行监管职责。

2.责令采取改正措施而拒不改正。本罪作为一个行政犯，为网络服务提供者设定了一个更深层次的入罪前提，即需要有监管部门责令改正这一行政前提。换言之，网络服务提供者要入罪就必须要有行政违法性与刑事违法性双重违法性质。这也是我国《刑法》条文中行政犯的明显特征。换言之，“尽管行政性法规……不能直接规定犯罪，但实际上具有间接地规定犯罪的功能，是认定犯罪的规范根据”^[7]。同时网络服务提供者还必须满足接到监管部门改正的通知以后不采取措施，反而继续维持其违反法定义务的不作为状态。“拒不改正”也是立法者对网络服务提供者进行刑事归责的最后底线。关于“监管部门责令采取改正措施而拒不改正”这一客观行为，可以从以下几方面进行理解:

第一，适格的监管主体，即必须是上文所述的监管部门，且监管部门必须是在自己的职权范围内所进行的网络安全监管。任何超越职权范围所作出的责令行为都不得成为网络服务提供者承担刑事责任的前提。此外，任何非法定的具有监管职责的部门或者个人无权干预网络服务提供者的业务运营，网络服务提供者也可以直接拒绝非法定的相关单位或者个人作出的干预行为。

第二，“责令改正”是行政主体对特定对象作出的决定，是一个具体行政行为，“责令改正”应当以何种形式发出，《刑法》中并没有明确规定。但依据《中华人民共和国行政许可法》《中华人民共和国行政处罚法》《中华人民共和国行政强制法》的相关规定，作为一项改变行政行为相对人权利义务的行政行为，通常是需要以书面形式作出，并要求送达行政相对人，行政相对人必须明知，否则可作为在之后行政诉讼程序中的抗辩理由。因此，如果作为责令采取改正措施的网络服务提供者并没有得知监管部门的通知从而没有采取改正措施，就不可能构成本罪。即使是当时不能够以书面形式通知的，也可采用电话、电传等形式予以通知，但必须予以登记在案，之后应当及时办理书面的手续。^[8]当然，监管部门的日常监管一般不用采取书面形式，只有当发现网络服务提供者的业务运营过程中存在违法行为应当予以纠正时，才应当采用书面形式。

第三，监管主体作出的“责令改正”的事项及行为必须有明确的法律、法规依据。即监管主体只能是对网络服务提供者不符合法律、法规规定的事项作出责令改正的决定，如果网络服务提供者的行为本身就是合法的，那么就不存在改正的必要，网络服务提供者也有权拒绝。关于这个问题，司法实践中，不可避免地会出现对“责令改正”的合法性作出不同的判断。网络服务提供者认为监管部门的通知不合法，但监管部门认为自己的行为是合法的，两者之间的冲突会严重影响到之后对网络服务提供者定罪的问题。因此，刑法需要坚持“自身判断的独立性，防止这种过度依赖行政机关的前置性判断，造成司法权事实上被行政权架空和僭越，违背司法独立、中立和终局的内在属性要求。”^[9]即刑事司法可以就行政不法与刑事不法作不一样的认定。这是因为虽然《刑法》明确规定了监管部门责令改正是作为本罪的构成要素之一，但行政机关对于网络服务提供者的不作为作出责令改正的不法认定只是相当于刑事诉讼中类似于书证或者是鉴定意见的证据，需要经过质证等程序，刑事审判者可以依据自己的判断作出是否予以采信的决定。

第四，准确认定“拒不改正”。譬如网络服务提供者要改正的内容是什么?什么时候改正?接到监管部门的改正通知后，在整改期限未到的情况下，发生了严重后果，能否评价为拒不改正并因此处罚网络服务提供者?^[10]具体而言，“拒不改正”这一行为要件包括的不仅仅是行为要素，更包含了结果要素。必须是网络服务提供者在接到监管部门的“责令采取改正措施”的通知之后，对该通知视而不见，不及时采取改正措施，从而产生了严重后果的情形或者是虽然采取了改正措施，但是怠于改正，不能尽力避免危害结果的发生，这样才能认定为“拒不改正”。如果是尽力采取了改正措施，但客观上不能实现避免危害结果的发生，这也不宜认定为“拒不改正”，因为缺乏相对应的结果回避可能性。这其实就对监管部门的行政执法提出了要求，即责令必须明确具体，譬如改正的措施、改正的期限、改正的内容等。^[11]只要网络服务提供者严格按照责令的内容进行改正，就不应当被认定为“拒不改正”。(www.xing528.com)

(三)符合《刑法》第286条之一第1款规定的四种情形之一

要构成本罪，在客观要件中，行为人不仅要满足上文所述的客观要件，此外还必须造成法定的四种严重后果之一，即致使违法信息大量传播的;致使用户信息泄露，造成严重后果的;致使刑事案件证据灭失，情节严重的;有其他严重情节的。

第一，致使违法信息大量传播。“违法信息”是本罪的客观要素之一，也是认定是否符合本情形的关键要件。关于“违法信息”的规定，目前可以评判的标准就是《互联网上网服务营业场所管理条例》第14条的规定，以及相关联的行政法规如《互联网信息服务管理办法》等普遍确立的禁止制作、复制、发布、传播的违法内容信息。具体而言，包括以下几个类别:①反对宪法确定的基本原则的;②危害国家统一、主权和领土完整的;③泄露国家秘密，危害国家安全或者损害国家荣誉和利益的;④煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族风俗、习惯的;⑤破坏国家宗教政策，宣扬邪教、迷信的;⑥散布谣言，扰乱社会秩序，破坏社会稳定的;⑦宣传淫秽、赌博、暴力或者教唆犯罪的;⑧侮辱或者诽谤他人，侵害他人合法权益的;⑨危害社会公德或者民族优秀文化传统的;⑩含有法律、行政法规禁止的其他内容的。

至于“大量传播”，本次修订没有给出明确的标准。具体考量的标准，可以参照以下两部规范性文件:最高人民法院、最高人民检察院2013年颁布的《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》中的有关转发、浏览、点击次数的规定来判断。具体数量上，根据最高人民法院、最高人民检察院在《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》第2条第1项的规定，同一诽谤信息实际被点击、浏览次数达到5000次以上，或者被转发次数达到500次以上的可认定为情节严重，那么对本罪的大量传播也可采用上述标准来认定，即该违法信息实际被点击、浏览次数达到5000次以上，或者被转发次数达到500次以上可认定为“大量传播”，或者传播违法信息达到500条以上的可认定为“大量传播”。^[12]

第二，致使用户信息泄露，造成严重后果。所谓的“用户信息”是指网络用户在网络服务提供者提供的平台上所储存的相关信息。这里的网络用户既可以是个人也可以是单位;而相关信息的种类则非常多，只要是与个人或单位有关的，都可以成为用户信息。如个人的身份证号、出生地、出生时间、家庭住址、家庭成员、学历情况、电子邮件、收入情况、QQ账户、微信账户、银行账户等各种与个人私密有关的信息，同时也包括了各个单位中不适宜向外公开的信息。此外，这里的“用户信息”并不等同于“公民信息”，用户信息的内涵和外延相比于公民信息的内涵和外延来讲，要小得多。根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定，从外延上看，公民个人信息:①与公民个人直接相关，能够反映公民的局部或整体特点;或是一经取得、使用即具有专属性。前者如公民的出生日期、指纹等，后者如身份证编号、家庭住址等。②具有法律保护价值，如果任由他人泄露、获取，必然导致公民时刻处于可能遭受侵害的危险状态。③公民个人信息的保护不以信息所有人请求为前提，任何组织和个人均无权泄露、获取其个人信息。而“用户信息”仅指网络用户在网络服务提供者提供的平台上所储存的相关信息，并不包括所有的个人信息。

至于造成严重后果的，有学者认为以下几个情形是符合“严重后果”这一要件:①泄露用户信息数量较大的;②因泄露用户信息，违法所得数额较大的;③造成用户重大经济损失的;④泄露的用户信息被他人用以实施犯罪，造成用户轻伤、重伤或者死亡结果的;⑤造成恶劣社会影响的。^[13]我们可以看到，造成严重后果往往是一种负面的评价，严重的后果往往是指网络用户的个人利益遭受严重的损害。

第三，导致刑事案件证据灭失，情节严重的。导致刑事案件证据灭失，是指负有保存或者备份相关网络活动记录义务的网络服务提供者，没有按照法律、法规规定时间、范围等进行保存或者备份，从而导致刑事案件证据灭失。网络互动记录在保存时，可能还没有形成刑事案件证据，只有在刑事案件发生时，经过当事人、公安机关、检察机关、律师或法院调取才成为刑事案件证据。如果由于网络服务提供者不履行或不充分履行保存或备份网络活动记录的义务，导致该证据灭失的，网络服务提供者可能构成本罪。例如，《计算机信息网络国际联网安全保护管理办法》中规定“发现有本办法第4条、第5条、第6条、第7条所列情形之一的，应当保留有关原始记录，并在24小时内向当地公安机关报告”。由于网络互动属于瞬时性的，这就要求网络服务提供者自动留存相关记录或者痕迹以备查。

此情节要求网络服务提供者对网络用户在其所具有控制和管理的平台上所储存的信息，进行主动审查后，发现是有可能成为刑事案件证据的，要采取合理的措施予以保护，防止相关信息灭失。当然，这部分信息作为刑事案件的证据，必须满足《刑事诉讼法》关于证据的原则性的规定，即客观性、相关性和合法性。拒不履行信息网络安全管理义务罪中的刑事案件证据主要是指电子数据证据。关于电子数据证据的概念，存在如计算机证据、电子证据、电子文件证据、网络证据等各种观点。虽然《刑事诉讼法》和《关于办理死刑案件审查判断证据若干问题的规定》《关于办理刑事案件排除非法证据若干问题的规定》没有提及电子数据的明确概念，但是从最高人民法院、最高人民检察院、公安部、国家安全部、司法部《关于办理死刑案件审查判断证据若干问题的规定》第16条对电子数据的列举规定，可以得出电子数据证据属于网络证据的结论。^[14]

第四，有其他严重情节。在我国《刑法》条文中，类似于本项规定的兜底条款随处可见，从罪刑的明确性要求出发，对这种兜底条款的解释应注意以下三点:一是该兜底条款仅限于对本条款的兜底，而不能扩张到对该条款所属章节之罪名的解释;二是解释该兜底条款时，应符合比例原则的要求，即这里的“严重情节”所具有的不法与责任的程度必须与前三项规定的情形相当;三是应从罪刑法定原则与法益保护原则出发解释该兜底条款，即这里的“其他严重情节”也应具有限定性与类型性，即仅限于严重侵犯本罪所保护的法益的情形。

(四)第286条之一第1款四项规定之间的关系

《刑法》第286条之一第1款第1项“致使违法信息大量传播”与第3项“致使刑事案件证据灭失”的规定是否自相矛盾，因为网络服务提供者阻止违法信息大量传播的方式必然包括将违法信息删除，而一旦案件进入刑事诉讼程序后，之前的删除违法信息行为将很可能导致证据灭失。有观点回应，“对这种貌似冲突、矛盾规定的解释，需要依据国务院《互联网信息服务管理办法》第16条的规定进行理解，‘互联网信息服务提供者发现其网站传输的信息明显属于本办法第15条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告’”^[15]。也有观点认为，可能出现矛盾的是第2项“致使用户信息泄露”与第3项“致使刑事案件证据灭失”的规定。因为实践中，有的监管部门未采取严格的调取证据程序，就要求网络服务提供者提供用户信息而“致使用户信息泄露”，如果不提供，则可能“致使刑事案件证据灭失”，这会使得网络服务提供者在履行不同的信息网络安全管理义务时陷入两难境地。^[16]

我们认为，拒不履行信息网络安全管理义务罪的几项规定之间并不矛盾，因为几项规定均可以在《网络安全法》中找到相应的义务根据。例如，《网络安全法》第47条规定，“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告”，可谓第1项和第3项的义务根据。又如，《网络安全法》第42条规定，“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”，可谓第2项的义务来源。再如，《网络安全法》第21条中网络运营者应当“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于6个月”的规定，可谓第3项的义务根据。因此，在认定每项规定的时候要避免单一的从法条出发，要结合相关法律条文综合认定。