□吴波  俞小海

拒不履行信息网络安全管理义务罪是《刑法修正案（九）》新增的三个信息网络犯罪之一，是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使违法信息大量传播，或用户信息泄露，造成严重后果，或刑事案件证据灭失，情节严重，或有其他严重情节的行为。2019年10月21日最高人民法院、最高人民检察院联合发布了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称《信息网络犯罪司法解释》），对本罪的司法适用相关问题作了规定。虽然该司法解释在一定程度上回应了本罪理论上的部分争议，但关于本罪的司法适用仍存在一些值得研究的问题，有必要对这些问题进行梳理分析。

关于本罪犯罪主体暨网络服务提供者的司法认定

拒不履行信息网络安全管理义务罪的犯罪主体是网络服务提供者。理论上一般认为，本罪是真正身份犯。对此，应从以下两个方面予以把握：

一是网络服务提供者的类型化。理论上一般认为，本罪中的网络服务提供者，包括通过计算机互联网、广播电视网、固定通信网、移动通信网等信息网络，向公众提供网络服务的机构和个人。围绕网络服务的类型化，学界形成了多种不同的观点。比如，有的根据服务的内容，将网络服务分为接入服务、存储服务、缓存服务、中介服务等；有的根据经营性质，将网络服务分为经营性和非经营性两类；有的根据网络服务提供者对网络内容的参与程度，区分为网络内容提供者与网络服务提供者；有的根据服务功能，将网络服务提供区分为内容提供、接入服务提供、缓存服务提供、存储服务提供；还有的根据本罪保护法益，将网络服务提供者分成中间服务提供者、互联网信息服务提供者、第三方交易平台服务提供者三类等。我们认为，基于不同的维度，既可以得出不同的结论，也可以得出相似的结论，比如根据服务的内容对网络服务所作的划分和根据服务功能对网络服务所作的划分，就存在重合之处，此其一。其二，基于不同的分类标准分别得出的结论，均具有一定的不周延性，换言之，都难以完全囊括司法实践中的网络服务提供者具体类型。因此，纠结于网络服务提供者的分类依据这一技术层面的争议，对于司法实务或许并无实益。对于网络服务提供者的司法认定问题，我们应该寻求更为深入、更为务实的解释立场。

二是网络服务提供者理解的实质化。我们认为，对于网络服务提供者的理解和把握，重点不在于网络服务提供者的划分标准，而在于划分的时候能够最大限度的保持周延性，以保持对日新月异的信息网络空间的适应性。根据《信息网络犯罪司法解释》第1条规定，“网络服务提供者”包括：（1）网络接入、域名注册解析等信息网络接入、计算、存储、传输服务；（2）信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务；（3）利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。由于司法解释并未采用“网络服务提供者是指……”的定义表述模式，而是采取了“……应当认定为网络服务提供者”的列举式表述模式，因此在司法解释提及的“信息网络接入、计算、存储、传输服务”“信息网络应用服务”和“信息网络公共服务”三种类型之外，还有其他可能的类型。从这一角度而言，《信息网络犯罪司法解释》关于本罪“网络服务提供者”的解释既充分吸收了学界观点和我国有关行政法规的表述精神，又尽量做到了周延性，体现了极为务实的立场。此外，需要进一步明确的是，网络服务提供者与网络运营者的关系。网络运营者也是信息网络空间中的一类主体，《中华人民共和国网络安全法》就频繁使用了“网络运营者”这一表述。根据《网络安全法》第76条，网络运营者，是指网络的所有者、管理者和网络服务提供者。虽然网络运营者是网络服务提供者的上位概念，但是应当看到，实践中也存在网络所有者、管理者和网络服务提供者身份重合的情况，这种情况下，就不必拘泥于三者的严格划分。

关于本罪客观行为方面的司法认定

本罪的客观行为方式包括三个方面的内容：第一，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务；第二，经监管部门责令采取改正措施而拒不改正；第三，有严重情节（情节严重）或造成严重后果。《信息网络犯罪司法解释》对此规定较为简单，仍有一些需要理论上予以进一步分析的问题。

一是“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务”的理解与认定。当前，我国规定信息网络安全管理义务的法律、行政法规主要有《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》《互联网信息服务管理办法》等。从上述法律、行政法规相关规定来看，信息网络安全管理义务种类较多，基于不同的标准也可以作出不同的分类。以《网络安全法》为例，从管理义务的内容来看，既有网络运行安全的管理，也要网络信息安全的管理；从管理义务的性质来看，既有积极的管理义务，也有消极的管理义务；从具体程度来看，既有宏观的、抽象的管理义务，也有针对具体行为的管理义务。

我们认为，在理解与认定“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务”时，首先应当严格遵循上述法律、行政法规的规定。这是前提。在这一基础上，应对网络服务提供者的“不履行”作进一步的界定。考虑到本罪还有“经监管部门责令采取改正措施而拒不改正”这一构成要件要素，因此“不履行”既包括网络服务提供者明知而故意不履行，也包括网络服务提供者应知而不履行和确实不知而未履行。不管哪一种“不履行”，只要具有导致违法信息大量传播、用户信息泄露、刑事案件证据灭失等严重后果现实可能性的，都可成立本罪中的“不履行”。

二是“经监管部门责令采取改正措施而拒不改正”的理解与认定。根据《信息网络犯罪司法解释》规定，“监管部门责令采取改正措施”，是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门,以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施。认定“经监管部门责令采取改正措施而拒不改正”，应当综合考虑监管部门责令改正是否具有法律、行政法规依据，改正措施及期限要求是否明确、合理，网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。对此，我们认为在理解与适用时应注意两点：

第一，承担信息网络安全监管职责的部门必须是依照法律、行政法规的规定。实践中，承担信息网络安全监管职责的部门很多，但并非所有承担信息网络安全监管职责的部门都符合本罪“责令采取改正措施”的“监管部门”。比如，信息产业部《非经营性互联网信息服务备案管理办法》（2005年2月8日）和工业和信息化部《规范互联网信息服务市场秩序若干规定》（2011年12月29日）对互联网信息服务的备案管理以及互联网信息服务活动的监督管理作了规定，都涉及到信息网络安全，因而工业和信息化部和各省、自治区、直辖市通信管理局承担了信息网络安全的监管职责，但是《非经营性互联网信息服务备案管理办法》和《规范互联网信息服务市场秩序若干规定》均为部门规章，并非法律或行政法规的范畴，因此，工业和信息化部和各省、自治区、直辖市通信管理局对互联网信息服务活动的监督管理就不属于本罪的“监管部门责令采取改正措施”。“依照法律、行政法规的规定”并不仅指“依照法律、行政法规的直接规定”，还包括“依照法律、行政法规的间接规定”。比如，《网络安全法》第8条所明确列举的网信、电信、公安和其他有关机关等监管部门就是“依照法律、行政法规的直接规定”。但是该条还同时规定：“县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。”这里所指出的县级以上地方人民政府有关部门，就是“依照法律、行政法规的间接规定”。

第二，“经监管部门责令采取改正措施而拒不改正”需要满足形式和实质要求。司法解释明确的形式要求是“以责令整改通知书或者其他文书形式”责令改正，监管部门责令改正应具有法律、行政法规依据，改正措施及期限应明确、合理；实质要求则包括网络服务提供者是否具有按照要求采取改正措施的能力等。我们认为，对于“经监管部门责令采取改正措施而拒不改正”的把握，首先应当明确的就是网络服务提供者明知行为违法而故意拒绝履行监管部门的改正指令，因此对于“拒不改正”的理解应坚持主客观相一致的原则，即行为人主观上具有拖延或者拒绝执行的故意，客观上以不作为的方式不采取任何改正措施，或者采取的改正措施未达到监管部门责令改正的要求。其次，网络服务提供者拒不改正完全是因为自身的主观原因。如果网络服务提供者拒不改正是因为监管部门的改正措施没有法律、行政法规依据，或者改正措施及期限不合理、不明确，或者自身因技术、资金限制而没有改正能力等客观性原因，则不能认定为“经监管部门责令采取改正措施而拒不改正”。再次，“以责令整改通知书或者其他文书形式”，既包括书面方式也包括电子方式。最后，监管部门作出的责令整改通知书或者其他文书，必须要以有效的方式送达网络服务提供者，以让网络服务提供者充分知悉。

关于本罪与其他信息网络犯罪的关系问题

《刑法》第286条之一第3款规定，实施本罪的同时构成其他犯罪的，依照处罚较重的规定定罪处罚。由此需要准确理解和把握本罪与其他犯罪尤其是信息网络犯罪的关系。

一是本罪与非法利用信息网络罪、帮助信息网络犯罪活动罪的关系。拒不履行信息网络安全管理义务罪中，行为人拒不履行信息网络安全义务、经责令整改而拒不改正的行为，客观上可能会起到帮助他人利用信息网络实施犯罪的效果，但是一方面，拒不履行信息网络安全管理义务罪的成立以违反法律、行政法规规定的义务为前提，是典型的义务犯，应坚持义务犯的法理；另一方面，本罪是不作为犯，这种不作为主要通过违反义务和经责令整改而拒不改正两个层面表现。而非法利用信息网络罪和帮助信息网络犯罪活动罪既无犯罪主体的限制，也不以违反法律、行政法规规定的义务为前提，实际上规制的是一种作为的行为方式。

二是《刑法》第286条之一第3款规定的理解与适用。本罪与非法利用信息网络罪和帮助信息网络犯罪活动罪三个罪名的法定刑完全一致，均为“三年以下有期徒刑、拘役或者管制，并处或者单处罚金”，三个罪名之间并不存在“处罚较重”。显然，如果“同时构成其他犯罪的，依照处罚较重的规定定罪处罚”中的“其他犯罪”包括非法利用信息网络罪和帮助信息网络犯罪，那么就会导致《刑法》第286条之一第3款“有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚”这一法条表述毫无意义。这也充分说明，《刑法》第286条之一第3款“同时构成其他犯罪的，依照处罚较重的规定定罪处罚”中的“其他犯罪”并不包括非法利用信息网络罪和帮助信息网络犯罪，而只能是其他可能处罚较重的犯罪。

(作者简介：吴波，上海市人民检察院办公室主任，上海检察业务专家，法学博士；俞小海，华东政法大学法律方法论专业博士研究生，上海市高级人民法院研究室司法改革科科长。）