汇业评论

文 | 李天航 合伙人 黄春林 合伙人 汇业律师事务所

近日，中国裁判文书网公开的一则案例，上海市浦东新区人民法院对胡某一审判决构成“拒不履行信息网络安全管理义务罪”（判决书〔（2018）沪0115刑初2974号〕，下称“胡某案”），引起业界广泛关注。

自《刑法修正案（九）》、《网络安全法》实施以来，“拒不履行信息网络安全管理义务罪”一直成为悬在企业网络安全负责人、IT负责人头上的一把剑。这则案例显示网络安全管理领域刑事法律风险不再停留在法条层面。

本文中，汇业网络安全与数据合规委员会详细分析了该案的法律适用及司法裁量标准，就企业及网络安全负责人应对网安刑事法律风险提出了部分合规建议。

一、胡某案基本事实及法律分析

（一）案件基本事实

2015年7月至2016年12月30日间，胡某为非法牟利，租用国内、国外服务器，自行制作并出租“土行孙”、“四十二”翻墙软件，为境内2000余名网络用户非法提供境外互联网接入服务。2016年3月、2016年6月上海市公安局浦东分局先后两次约谈胡某，并要求其停止联网服务。2016年10月20日，上海市公安局浦东分局对胡某利用上海丝洱网络科技有限公司擅自建立其他信道进行国际联网的行为，作出责令停止联网、警告、并处罚款人民币15,000元，没收违法所得人民币40,445.06元的行政处罚。

胡某拒不改正，于2016年10月至2016年12月30日，继续出租“土行孙”翻墙软件，违法所得共计人民币236,167元。经鉴定，“土行孙”翻墙软件采用了gotunnel程序，可以实现代理功能，适用本地计算机通过境外代理服务器访问境外网站。

（二）案件裁判要旨

法院认为，胡某非法提供国际联网代理服务，拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施后拒不改正，情节严重，其行为已构成拒不履行信息网络安全管理义务罪。

（三）案件简要分析

1. 本案中，胡某不具有提供网络接入服务的资质（ISP），违反《电信条例》等开展网络接入服务。如果单纯从该角度入手，应当与本罪有关信息网络安全管理义务吻合度较低，但从《计算机信息网络国际联网安全保护管理办法》第十条互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当承担的安全保护职责切入更加妥当。

2.本案中公安机关没有单独作出责令改正的决定，但是在约谈中有要求停止联网的内容，也作出了责令停止联网的行政处罚决定，因此，法院认定前述情况可以视为责令改正。

3.本案中除违法所得外，未见其他严重情节，法院应是将擅自建立国际联网信道本身作为第二百八十六条之一第一款第四项“有其他严重情节”。

4.该案非孤例，据今日头条报道2018年10月9日四川省泸州市江阳区人民法院审理了中国旧城论坛网站管理人许华拒不履行信息网络安全管理义务罪一案，但至今未作出判决；2018年10月25日江西省南昌市东湖区人民法院一审刑事判决书〔（2018）赣0102刑初585号〕对何学勤、李世巧开设赌场罪作出判决，二被告虽已触犯拒不履行信息网络安全管理义务罪，但因法条竞合原因，择一重罪处罚，被判处开设赌场罪。

二、未履行信息网络安全管理义务的刑责边界

拒不履行信息网络安全管理义务罪于2015年8月29日由《刑法修正案（九）》首次增设，《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》（法发〔2016〕32号）以及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）分别将司法实践中与电信诈骗和侵犯公民个人信息犯罪有关的情形也归入该罪。现将该罪的刑事风险边界分析如下：

（一）适用主体

本罪针对的主体为网络服务提供者，属于负有特定义务主体，但现有法律、行政法规并未对网络服务提供者的内涵和外延作出界定。根据《网络安全法》第七十六条第三项，网络运营者是指网络的所有者、管理者和网络服务提供者。因此，网络服务提供者属于网络运营者，对其界定可遵循《网络安全法》有关规定：

1.网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。具体形态包括互联网（含移动互联网）、局域网、专用网络、电信网络、有限电视网络、卫星通信网络、闭路电视系统等，此外，当前也出现了一些网络新形态，如通过电力网络传输信息的也可构成网络。

2.网络服务提供者是提供基于前述网络相关服务的法人、非法人组织和自然人。根据服务的内容，可将网络服务提供者分为网络接入服务提供者、网络平台服务提供者、网络产品和内容服务提供者。

3.在胡某案中，胡某被界定为网络接入服务提供者；许华案中，其作为中国酒城论坛的管理人可能被界定为网络信息服务提供者；何学勤、李世巧赌博案中，其所任职的盘古公司作为网络平台服务提供者；对于非营利性的企业自有网站或者个人网站，因其通过网络提供网络信息，可被认定为网络内容服务提供者。在实践中，网络服务提供者的界定需根据开展业务的具体情形判断。

（二）行为边界

拒不履行信息网络安全管理义务罪属于行政犯和不纯正不作为犯罪，其行为构成须以行政法规制为前提，并以监管部门责令改正为前置条件。

1.行政法规制

该罪以违反法律、行政法规规定的信息网络安全管理义务为前提。

（1）与刑法第九十六条规定的“国家规定”相比，此处之法律和行政法规当属狭义概念。同时，对于规章（含）以下效力等级的法律文件原则上也不属于本罪的行政法规制依据，但是如果由国务院各部门制定并报经国务院批准的“规章”，因其效力等同于行政法规，也属于本罪所指的行政法规，如《计算机信息网络国际联网安全保护管理办法》；

（2）相关义务应当指信息网络安全管理范畴，并非指网络服务提供者应当遵守所有义务，比如网站管理者应当进行ICP备案或者ICP许可的义务不属于信息网络安全管理范畴，但是如果网站没有履行网络安全等级保护制度则属于违反信息网络安全管理范畴义务。具体而言，以《网络安全法》《电信条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》等一系列法律、行政法规为主体的法律体系规定的信息网络安全管理义务构成了该罪的行政法规制义务。

2.前置条件

监管部门责令改正是构成本罪的前置条件。

（1）责令改正有口头责令改正和书面责令改正两种方式。因口头责令改正在证据固定方面存在较大困难，实践中一般不为监管部门所采取，但是如果在口头责令改正时，监管部门制作书面笔录并由被责令改正人签字确认的，也属于有效的证据固定方式。

（2）责令改正的形态

a）单独作出书面责令改正、限期改正；

b）作出行政处罚的同时责令改正或者限期改正；

c）在约谈时要求或者责令改正、限期改正，一般会制作约谈笔录记载相关内容，并由被约谈人签字确认；

d）责令暂停相关业务、停业整顿以及责令停止使用、停止联网等行政处罚，前述行政处罚理论上也属于责令改正的情形。

由于前述情形存在交叉的可能性，且在《网络安全法》的法律责任一章中基本均对违法行为要求监管部门责令改正，因此，在实践中如遇到监管部门对网络服务提供者进行调查、处罚或者约谈等情况时，应当特别注意是否有责令改正的决定、通知、笔录等或者含有责令改正内容的处罚措施。

（3）责令改正的内容应当具体、明确，具有可执行性。

（4）根据管理职责，一般情况下涉及的监管部门主要有网信部门、公安机关、工信部门、密码管理部门、保密管理部门等。

3.拒不改正

拒不改正是本罪的直接表现形式，代表了行为人的主观意愿和主观态度，其外在客观表现形式为对监管部门责令改正的要求不作为、不落实，直观的呈现形式为被责令改正的行为未做任何改变或者采取弥补措施。但在实践中，未做改变或者采取弥补措施的原因既有主观不愿落实、不想落实，也有正在采取相关改正措施但效果尚未显现，或者因客观原因确实无法采取改正措施等。前述情形不一而足，在实践中应当区别对待。

（三）后果衡量

构成本罪还必须造成一定的后果，具体分析如下：

1. 致使违法信息大量传播

（1）当前尚无司法解释对本罪的“违法信息”进行界定，《网络安全法》第十二条第二款和《电信条例》第五十六条对违法信息作了界定，根据前述规定，除了明确列举的情形之外，凡是被法律、行政法规禁止的内容均有可能被归入违法信息的范畴。

（2）对于“大量”的量化标准也没有相应司法解释进行明确，只能由司法机关在具体案件中进行把握。

2. 致使用户信息泄露，造成严重后果

（1）用户信息在实践中既包括自然人信息，也包括法人、非法人组织信息。本罪所指用户信息是否等同于公民个人信息尚无明确解释，但是从《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）第九条看此处用户信息不仅仅包含公民个人信息，也包括公民个人信息以外的其他信息和法人、非法人组织的信息。

（2）严重后果当前缺乏明确标准，有待司法解释予以明确，或者在具体案件中由司法机关进行把握。

3. 致使刑事案件证据灭失，情节严重

该标准仅指刑事案件证据，不包括行政案件（含治安处罚案件），且证据灭失并不必然导致构成该罪，仍需情节严重，然而情节严重也需司法解释进一步明确。

4.其他严重情节

该项属于兜底条款，系我国立法中常用的立法手段，如无司法解释进一步限制，在司法实践中，司法机关将具有较大的自由裁量权，根据案件情况和需要，将无法归入前述三种情形的归入该标准。

（四）单位犯罪

根据刑法第三十四条，法律明确规定为单位犯罪的，方能构成单位犯罪，否则只能以自然人犯罪处理。刑法第二百八十六条之一第二款明确单位可构成本犯罪，对单位判处罚金，并追究直接负责的主管人员和其他直接责任人员的刑事责任。

（五）处罚

1.犯拒不履行信息网络安全管理义务罪的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。

2.单位犯该罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员依照第1项处罚。

3.有前两项行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

三、刑事合规建议

拒不履行信息网络安全管理义务罪是悬在网络服务提供者头上的达摩克利斯之剑，一旦触发刑事法律风险，不仅使企业面临极大风险，也会使企业的网络安全直接责任人、主管负责人，甚至法定代表人遭受刑事处罚。

然而，该罪的法律风险并非一蹴而就，企业只要能够按照国家法律、法规、标准及指引逐层、逐级、逐项开展网络安全合规建设，不仅有利于降低企业的行政违法风险，还能够有效降低相应的刑事法律风险。汇业网络安全与数据合规法律委员会建议，企业应当结合自身业务特点，开展如下合规建设：

1. 企业应当建立健全网络安全及数据保护有关的合规制度与合规体系，定期审计执行情况。

2. 企业应当建立网络安全及数据保护有关的岗位，设定岗位职责及工作指引，配备相适应的人员、资源，合理隔离相应的法律风险。

3. 企业网络安全及数据保护负责人应当建立相应的决策记录、工作留档机制，重大及高风险业务应当及时聘请外部机构支持，合理转移相应的法律风险。

4. 企业应当自行或外聘机构建立网络内容审查机制、数据分级与加密机制、等保评测备案机制、电信业务准入审查机制、网络产品合规审查机制、个人信息安全影响评估机制，等等。

5. 企业应当建立上下游供应商网络安全与数据合规审查机制，在业务合同中加入相应的网络安全专用条款和签署单独的安全责任承诺函。

6. 企业应当强化员工合规意识，建立网络安全及数据保护有关的法律培训机制，做好培训记录，要求相关工作人员签署相应的合规承诺函，完善员工合同及劳动手册等。

7. 企业应当编制政府调查/行政违法、刑事调查应对指引，慎重对待可能的调查、约谈、听证及处罚程序，重视行政违法处罚的严重性，及时聘请专业人员介入。

8. 一旦发生刑事案件，第一时间安抚涉案员工家属，协助涉案员工家属聘请专业律师，开展会见、辩护等工作。等等。