随着网络信息技术的飞速发展及其在社会生活中的广泛普及, 网络中的各项服务早已成为公众生活中的必需品, 网络给人们带来便捷和高效的同时, 也夹杂着一定的风险, 信息网络安全问题日益突出。信息网络安全事关国家安全、社会公共利益以及公民、法人和其他组织的合法权益, 因此为了合理规范网络服务活动, 维护信息网络秩序和安全, 国家出台了一系列法律、法规和相关规范性文件来明确网络活动中各参与主体的权利和义务。但是在实践中, 原有的立法设计并不足以制止纷繁复杂的犯罪行为, 尤其是一些网络服务提供者怠于履行法定管理义务并造成了相应严重后果的情况较为多见。为了促使网络服务提供者更好地履行其法定管理义务, 《刑法修正案(九)》增设了拒不履行信息网络安全管理义务罪^[1]。

作为典型的行政犯, 拒不履行信息网络安全管理义务罪自设立之初就存在较大争议。网络服务提供者信息网络安全管理义务的具体内容以及边界何在、如何掌握本罪与帮助信息网络犯罪活动罪等相关罪名之间的关系等问题至今仍未能达成较为一致的共识。学界对本罪的讨论多从比较研究的角度入手, 通过借鉴域外先进的立法经验试图进一步划分网络服务提供者的类型并为其设定不同的管理义务; 也有学者试图扩大本罪的处罚范围, 利用保证人理论对网络服务提供者的管理义务进行实质化的判断, 以充分发挥本罪的价值。笔者认为, 上述观点都存在一定的缺陷。对本罪中信息网络安全管理义务的解读, 必须从本罪作为行政犯的特质出发, 结合本罪的规范保护目的对前置法中规定的管理义务进行合理地转化, 才能在罪刑法定原则的框架内将其明确化、具体化。因此, 本文将从拒不履行信息网络安全管理义务罪的本质出发, 明晰本罪的规范保护目的以及犯罪行为的性质, 在总结反思不同研究路径的基础上, 对网络服务提供者的信息网络安全管理义务进行适当的教义学解读。

一、拒不履行信息网络安全管理义务罪的本质

《刑法》第二百八十六条之一规定, 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务, 经监管部门责令采取改正措施而拒不改正同时具有法定情节的, 构成拒不履行信息网络安全管理义务罪。从本罪规制的犯罪主体来看, 本罪属于身份犯, 即只有网络服务提供者才能成为本罪的适格主体, 其他主体不在本罪的规制范围内。本罪的行为构造可以简化为网络服务提供者不履行法定作为义务, 经监管部门责令改正仍不履行, 并导致特定结果发生, 可见本罪同时属于不作为犯罪, 学界对此并无争议。根据笔者总结, 学界对于本罪性质的争议主要体现在不作为类型之争以及法益内涵之争。

1.纯正不作为犯抑或不纯正不作为犯

虽然理论上对不纯正不作为犯的作为义务来源及其概念存有一定的争议, 但是对纯正不作为犯的义务来源及其概念已达成一定的共识。一般认为, 所谓纯正不作为犯是指刑法明确规定以不作为的方式实施的犯罪, 不纯正不作为犯是指既可以通过作为方式也可以通过不作为方式实施的犯罪^[2]。对于纯正不作为犯而言, 其构成要件是由法律明确规定的^[3]。由此可见, 本罪应属于纯正不作为犯罪。然而, 对“法律明确规定”这一概念的不同理解, 就成为部分学者主张本罪是不纯正不作为犯的主要理由。如有学者认为, 本罪中“法律和行政法规”的规定过于笼统, 在刑法层面无法明确网络服务提供者具体的作为义务, 因此是不纯正不作为犯^[4]。在笔者看来, 这是对纯正不作为犯和不纯正不作为犯概念的一种形式化理解。由于我国刑法总则当中并没有不纯正不作为犯的规定, 因此不纯正不作为犯总是附属于作为犯当中, 通过考察其不作为对法益所造成的危险结果以及与作为的等价值性来寻求处罚不作为的依据, 因此不纯正不作为犯的处罚依据主要发生在法律适用的过程中。而纯正不作为犯是与作为犯相互独立的, 具有法定处罚依据的犯罪行为, 对其的处罚是由于法律的创设。这与刑法条文是否采用空白条款、是否需要进一步解释无关, 否则像遗弃罪中的“抚养义务”这一概念在刑法中也并不明确, 难道也要将其列为不纯正不作为犯？综上所述, 拒不履行信息网络安全管理义务罪应属纯正不作为犯的范畴。不作为类型之争并不是抽象的概念游戏, 对此问题的不同理解将直接影响解释者在判断作为义务过程中的路径选择。下文对此还会进一步展开说明, 此处不再赘述。

2.本罪法益的内涵与外延

本罪保护的法益内涵与外延为何？对此问题的解答直接决定了本罪处罚边界的划定, 目前学界大致有两种观点。

一种观点认为, 本罪法益核心内涵是“具备公共利益属性的特定信息专属权”^[5]。其理由主要有两方面:一方面, 论者认为信息网络安全管理义务的适格主体是国家网络安全管理机构, 将内容不明且内涵广阔的网络安全管理义务赋予网络服务提供者明显不妥, 违反罪刑法定的明确性要求; 另一方面, 论者通过对法定的犯罪后果进行抽象, 认为不论是“违法信息大量传播”“致使用户信息泄露”还是“刑事证据损毁灭失”, 其都属于网络信息的范畴, 是对信息专属权的保护。

笔者认为, 上述观点并不可取。首先, 可以肯定的是, 由于网络服务提供者具有的特殊技术和地位, 其对网络服务内容的介入日益深入, 这使得其在网络安全治理过程中形成了与国家管理机构二元共治的局面。因此, 根据网络服务提供者的特定能力设置相应的安全管理义务并无不妥。其次, 明确性并不是要求刑法条文要事无巨细, 将前置法中的作为义务一一列举并无可能也无必要。借助于前置性法律法规修改程序的便利性, 可以缓解刑法滞后性带来的治理能力不足的困境。最后, 对法益的解读不能仅从犯罪情节中进行抽象。犯罪的成立要求具备特定的情节, 并不意味着该罪只保护前述情节的最大公约数, 否则就会得出放火罪的法益是公民生命财产安全的结论, 然而这只是公共安全法益概念的一个子集而已。

另一种观点认为, 本罪法益的内涵乃是信息网络安全管理秩序。根据体系解释, 本罪被安排在《刑法分则》第六章第一节中, 属于扰乱公共秩序罪的范畴, 再结合本罪的立法目的和文义解释, 认为本罪的法益是公共秩序项下的具体的信息网络安全管理秩序^[6]。本文赞同此观点, 并进一步认为本罪的规范保护目的在于通过强调网络服务提供者的信息网络安全管理义务来确证信息网络安全管理秩序, 从而保障信息网络安全。具体而言, 本罪所保护的信息网络安全管理秩序是由法律和行政法规明确规定的, 由网络服务提供者的信息网络安全管理义务所构成的。这种秩序本身并不具有绝对正当性, 必须是经过刑法上的筛选和过滤且与网络安全紧密相关。在对该秩序进行解读的过程中, 应该充分考虑秩序背后所蕴含的价值是否足以使其上升为刑事不法的判断标准, 是否存在刑法保护的必要^[7]。

值得注意的是, 有学者主张在信息网络安全管理秩序的法益内涵下, 本罪的法益外延应该涵摄公民线下的生命、财产安全等重大法益。论者借助客观归责理论认为, 如果由于网络服务提供者未履行法定管理义务导致违法信息传播, 该违法信息以符合经验法则的方式实现了客观损害结果, 比如滴滴乘客生命健康受到侵害, 在网络服务提供者能预见到的情况下仍不采取措施的, 则应当对其在现实中的损害结果负责^[8]。还有观点认为, 由于虚拟空间危险源具有潜伏性和隐蔽性, 网络技术带来的线上线下交互性使得公民人身财产安全被网络信息平台充分暴露, 相较于传统现实空间更容易受到侵害, 为了实现法益的保护周延, 人身财产安全等重大法益应该涵盖在本罪的保护范围当中, 甚至可以适时突破责令履行这一程序性要件^[9]。

笔者认为, 本罪的规制范围应仅限于在网络空间范围内发生的由网络信息直接引发的风险。依照德国通说的观点, 客观归责理论要求创设法所不容许的风险, 并且该风险在该当不法构成要件的结果中实现。判断网络服务提供者不履行信息网络安全管理义务创设了什么样的风险就成为了首要的问题。网络服务提供者对于网络空间的信息传播来讲处于危险源监管的保证人地位, 其仅对危险源可能发生的风险具有防止其发生的义务, 这种风险是危险源内在的、特有的, 而不可能是任何类型的风险^[10]。比如主人对宠物狗的监管义务使其仅需对狗咬伤他人的结果负责, 而无需因其他动物见到狗后引发躁动造成损害而负责。具体在网络服务提供者的情况下, 其仅需对网络空间中信息的大量传播具有风险管辖, 而并不是对弱势群体提供全方位的保护。在滴滴案件中, 滴滴公司并未对受害人形成保证人地位, 其本身也没有积极实施危及被害人生命健康的危险行为, 犯罪分子利用平台的疏漏给被害人创设的风险早已脱离了平台本身能够管控的范畴。不能因为只要有条件关系就肯定刑法上因果关系的存在, 那样对于平台而言未免是一种苛责。此外, 线下的生命财产安全也并非在本罪的规范目的范畴内。规范目的作为风险实现要件中的一个子规则, 要求结果的发生必须是行为人所违反的规范意欲排斥的结果, 否则结果的发生不能归责于行为人。只有当法益侵害的具体过程属于规范意图禁止的范围时, 才能认为该法益侵害结果属于该罪构成要件中的结果。因此, 这就需要结合规范的内容加以确定。在拒不履行信息网络安全管理义务罪中, 法律、行政法规所要求的网络服务提供者具有报告、存档、删除、落实安全责任制等规范, 其目的在于确保网络信息系统的安全, 促进互联网信息服务健康有序发展, 避免公民隐私泄露或者违法信息大量被传播, 其目的并不在于防止公民根据该信息进行线下的非法活动, 这属于其他规范的保护范畴。因此, 在本罪的规制范围内, 网络服务提供者仅对将网络信息传播作为构成要件的犯罪承担不作为的刑事责任, 除非网络服务提供者与他人具有共同的犯罪故意。

二、信息网络安全管理义务研究路径探析

本罪是不作为犯罪, 信息网络安全管理义务就是网络服务提供者的作为义务, 是认定本罪成立与否的核心要素。对拒不履行信息网络安全管理义务罪性质的认识, 在一定程度上决定了信息网络安全管理义务的研究路径选择, 更是决定了本罪的处罚范围大小。例如主张本罪属于不纯正不作为犯的学者, 大多直接运用保证人地位理论进行探讨, 对何谓法律、行政法规的规定置之不理; 而主张本罪法益包含线下人身财产安全的学者, 一般强调刑事不法的独立性而允许特定条件下对法律、行政法规的规定以及责令改正程序限制进行突破。本部分将在总结既有研究成果的基础上, 分析各种研究路径的利弊, 以期找到更加科学的方式使信息网络安全管理义务的内涵更明确。

1.网络服务提供者类型化划分路径

部分学者在探究信息网络安全管理义务的过程中认为, 应将网络服务提供者进行分类, 并对不同的网络服务提供者赋予不同的管理义务。比如皮勇教授对国内外有关信息网络安全管理义务的立法进行比较分析后, 主张我国应该借鉴国外相关立法, 推进管理义务的类型化、区别化。将网络服务提供者分为中间服务提供者、互联网信息服务提供者和第三方交易平台服务提供者。主张加大网络交易平台的义务, 减轻中间服务提供者的义务^[11]。另有观点主张借鉴德国和欧盟法律中的四分法, 将网络服务提供者分为内容提供者、网络接入服务提供者、缓存服务提供者、存储服务提供者, 并对各个类型赋予不同的义务^[12]。还有学者主张将网络服务提供者分为为自己信息提供服务者和网络中间服务提供者, 在网络中间服务者中网络平台服务者的管理义务最重, 缓存服务者由于对信息也具有一定的管控能力, 因此责任重于信息接入和定位服务提供者^[13]。

笔者认为, 上述讨论仅在立法论层面具有借鉴意义, 在解释论层面无法与既有的法律体系进行衔接, 缺少解释依据。尽管在我国法律体系中存在对网络服务提供者进行分类的规定, 但多集中体现在部门规章当中, 如《互联网直播服务管理规定》《通信短信息服务管理规定》等, 其法律层级较低。在法律、行政法规当中并没有区分网络服务提供者的具体类型, 比如根据《中华人民共和国网络安全法》(以下简称《网络安全法》)第七十六条之规定, 网络服务提供者与网络所有者、管理者的概念相并列, 同属于“网络运营者”这一上位概念的子集, 所以本法中对网络运营者所做的权利义务规定, 在原则上应无差别地适用于所有网络服务提供者。《互联网信息服务管理办法》第二条将网络服务提供者区分为经营性和非经营性两种, 但两者的区别仅体现在各自不同的市场准入要求上, 并不影响具有共性的管理义务。既然更高层级的法律、行政法规并未区分网络服务提供者的类型, 那么相关的规范在无特殊规定的情况下就当然地适用于全体网络服务提供者, 这是体系解释的逻辑结果。

综上所述, 我们有理由认为区分网络服务提供者类型化的策略是失效的, 因为在我国法律中网络服务提供者往往具有相同的支持性和程序性义务, 即使对其进行划分也无太大意义。法教义学的研究对象是实定法, 必须在实定法范围内展开活动, 即使是进行理论创造或理论构建也必须能够被包含于法律规定之中^[14]。在此理解下, 解释者所采取的分类标准以及解释结论无法获得既有法律规定的支撑, 往往局限于个人经验质感和感情喜好, 不同学者采取的分类标准不同, 结论也相差巨大, 缺少说服力。

2.保证人理论的实质化判断路径^①

① 这两种路径并不互相排斥, 往往是相伴而行的, 经常是在对网络服务提供者区分不同类型后进行保证人地位的判断。本文为了提请读者注意才将其与前述路径并列。

在既有的研究中, 直接采用保证人理论来探究网络服务提供者的作为义务是常见的现象, 即使在主张本罪属于纯正不作为犯的学者中也同样如此。所谓保证人, 就是对防止特定结果的发生负有作为义务之人。保证人理论作为实质的作为义务根据, 是在批判形式的作为义务论容易泛化的基础上产生的。目前德国主流的观点主张机能二分说, 将作为义务分为特定法益的保护义务和危险源的监督义务^[15]。有论者认为, 在判断网络服务提供者刑事责任范围领域, 保证人理论能够结合网络服务提供者对信息的管理、控制能力来判断其是否形成保证人地位, 是否能够履行特定的义务, 从而合理判断不作为犯的成立与否^[16]。更有学者在保证人理论的基础上, 进一步抽象出直接支配标准来判断具体情境中的网络服务提供者是否具有刑事责任^[17]。

笔者认为, 在信息网络安全管理义务的判断过程中, 不宜直接运用保证人理论, 理由主要有两点:其一, 在笔者看来, 保证人理论在创始之初, 是为了限缩不纯正不作为犯的作为义务的范畴, 其适用场域主要限于不纯正不作为犯。理论上一般认为, 保证人理论对于不纯正不作为犯是一种有说服力的理论, 为不纯正不作为犯的作为义务提供了实质依据^[18], 但对于纯正不作为犯的适用资格以及作用大小未置可否。因此, 能否在不加论证的情况下径直打破保证人理论的适用空间、跨越不同问题的论域, 这些是存在疑问的。在笔者看来, 至少其不具有单独直接适用的空间, 因为纯正不作为犯面临的问题是对规范的解释, 即使规范本身是模糊的, 它终究存在一个明确的范畴, 在此范畴内我们通过解释方法使该规范得以明确; 而借助于保证人理论的不纯正不作为犯是一个法律适用问题, 保证人理论更多的是从结果出发来考虑行为人要不要对此结果负责。如果直接打破两者的“次元壁”, 将削弱纯正不作为犯与不纯正不作为犯的区分意义, 弱化构成要件的价值, 违反罪刑法定原则。其二, 直接运用保证人理论作为网络服务提供者刑事责任的判断标准过于空泛, 对前置性法律规范的不当忽视并不会对限缩本罪作为义务的范畴起到积极作用。能否跨越法律的明确规定而直接对作为义务进行实质化判断是存在疑问的。从保证人理论的适用逻辑上看, 保证人理论一般是在具体情境中判断行为人是否具有保证人地位, 以此来判断作为义务的来源和起点, 是一种从后往前追溯的过程。它只能解决网络服务提供者何时具有防止结果发生的作为义务, 至于这种作为义务的种类、形式、程度等, 该理论无法提供明确的答案, 而这恰恰是我们想要确定的信息网络安全管理义务的核心内容。因此, 无论是危险源的监督还是特定法益的保护, 都需要结合法定的作为义务, 辅之以形式的标准, 才能使作为义务的范围更明确。

综上所述, 在我国立法并不倾向于对网络服务提供者采用分类方式区分责任范围的背景下, 对本罪中信息网络安全管理义务的解释, 必须要回到法律和行政法规的具体规定当中。本罪属于空白罪状, 即不直接具体地说明某一犯罪构成的特征, 仅是指明了必须参照的法律规范。管理义务的内涵并非由刑法明确界定, 而是由其他法律和行政法规来确定, 但我们同时又必须对前置法的规定保持应有的清醒和克制, 毕竟刑罚是如此的严厉而且刑法也有自己特殊的价值追求。面对这一开放性构成要件, 需要借助保证人理论中的实质价值来探讨在怎样的范围内刑法可以独立于前置法的判断, 从而避免行政法对刑法的过度干预, 确保刑法的谦抑性。

三、前置性法律规范的转化与融合

本罪的逻辑结构在于:网络服务提供者不履行法定义务, 经责令改正而拒不改正, 导致法定后果的出现。因此, 合理解读法律、行政法规规定的信息网络安全管理义务就是本罪成立的逻辑前提。虽然作为前置法的法律、行政法规为本罪的管理义务划定了相对确定的界限, 但是需要进一步研究的是, 是否前置法中有关网络服务提供者的所有管理义务都可以当然地成为刑法上的作为义务？对此问题的回答, 站在不同的学术立场上会得出不同的答案。

1.刑事不法判断立场之选择

主张刑事不法判断具有从属性的学者认为, 刑事不法与行政不法仅存在量上的差别, 在违法的本质上是相同的。在此立场下, 主张前置法定性和刑事法定量的统一, “犯罪行为的实质危害和违法本质取决于前置法而非刑事法的规定”^[19], 强调刑法的第二次规范属性。刑事不法从属性论者通过坚持所谓的法秩序统一性原理和罪刑法定原则, 将刑法当中的构成要件严格按照前置法的规定进行理解, 比如“假药”“枪支”等概念。当行为符合行政法规范的否定评价之后, 行为就具有了刑法意义上的构成要件该当性。

笔者认为, 在我国立法背景下不宜主张刑事不法判断从属性理论。主要理由如下:第一, 德日刑法理论是建立在该国立法背景下所得出的教义学解释结论, 在我国并不具有合理性。从属性理论主张的法定犯与行政法律规范“质相同, 量有别”, 在我国立法背景下毫无意义。因为我国《刑法》第十三条但书的规定, 明确把定量因素引入到犯罪的概念中来。可以说, 量的区别是所有犯罪与一般违法行为的区别共性, 而不是法定犯与行政违法行为的差异个性。第二, 从属性论者主张的法秩序统一性, 不当限缩了“整体法秩序”这一概念, 把特定的前置法理解为整体法秩序, 明显是一种偷换概念^[20]。第三, 如果主张法定犯与行政违法在性质上毫无差别, 将前置法中的规定不加筛选地全部移植到刑法当中来, 毫无疑问是在抹杀这两部法律的不同价值追求, 莫不如将法定犯全部移入前置法中, 附加刑罚条款即可, 何必还要经过构成要件论的体系化审查？第四, 前置性规范与刑法规范并不是完全对接的关系, 存在大量的不一致, 在行为主体、行为对象和方式、主观要求上并不相同, 这种不一致决定了刑法必须具有独立解释的品格。第五, 从属性理论导致的司法实践效果极差, 大量的行政不法行为被认定为犯罪, “陆勇假药案”“赵春华持枪案”“王力军非法经营案”等一些列案件引起了社会各界的广泛关注。其主要原因在于, 司法人员没能对构成要件作实质解释, 没能对刑事违法性作实质性判断^[21]。

在我国立法背景下, 应坚持违法判断相对独立性说。所谓相对独立, 指的是对于行政犯当中的违法性要素, 必须要与前置法相衔接, 不能超出前置法的范畴, 这是实质解释独立性的边界。不具备前置法的违法性, 就不能具有刑事违法性, 在任何情况下都不能突破。但是仅具备前置法之违法性未必就当然地符合刑事违法性, 需要结合具体罪名的规范保护目的。相对独立性说与刑法的谦抑性和保障法属性并不冲突, 反而更加强调了刑法作为第二次性规范所具有的特殊意义和独立价值。坚持相对独立性说同样不会违背法秩序统一性, 因为法秩序统一性只可能在目的论层面达到统一^[22]。刑法与前置法具有不同的价值追求和规范目的, 即使保护相同的利益, 也会在保护方式、介入时点、保护程度上存在差异, 但各自所设立的行为规范都是在利益保护的前提下展开的, 具有目的统一性。

综上所述, 本文主张违法性判断相对独立性说, 尤其是在我国语境下研究法定犯的相关问题, 应当更多地防止前置法过多地侵入到刑法当中, 发挥刑法解释在立法和司法适用中的作用, 努力通过解释方法限制, 防止犯罪圈的肆意扩大。具体到本罪当中, 应当以法益保护为视角限定前置法规定的管理义务范围。根据法益保护原则, 只有当前置法中规定的义务直接指向所保护的法益时才具有刑法作为义务的品格。通过结合本罪的规范目的来探究行为的实质可罚性, 从而对前置性法律规范作限制性理解, 限缩刑罚权的范围。

2.前置法中的义务梳理与转化

法律不可能面面俱到, 因此对于空白罪状就需要解释者运用解释方法填补可能的漏洞, 为法官判决提供可供选择的依据。站在违法判断相对独立性的立场上, 对于本罪应当加强刑法规范目的与法律、行政法规之间的衔接、协调。

对网络服务提供者规定有关信息网络安全管理义务的法律和行政法规主要有《网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》(以下简称《计算机管理办法》)和《中华人民共和国反恐怖主义法》(以下简称《反恐法》)。

在《网络安全法》中, 规定了大量有关网络服务提供者的安全管理义务^①, 集中体现在第二章“网络运行安全”和第三章“网络信息安全”当中。这些义务并不全然与法益产生直接关联, 比如确定负责人落实安全责任^②、培训义务^③, 这些秩序并不具有刑法价值, 因为对此种义务的违反并不直接产生法益侵害行为。在对前置法进行筛选的过程中, 必须剔除此类倡导性、章程管理性义务。据此, 笔者认为《网络安全法》当中规定的安全管理义务主要包括以下几点:①采取必要的安全技术措施; ②数据留存、加密; ③及时补救、删除、报告义务; ④关键信息服务提供者应定期风险评估; ⑤建立健全投诉、举报机制; ⑥实施网络服务实名制义务, 等等。值得注意的是, 在《网络安全法》第四十七条及相关条款中规定, 网络运营者应当加强对其用户发布的信息的管理, 发现法律、行政法规禁止发布或者传输的信息的, 应当采取相应的措施。这是否意味着赋予了网络服务提供者主动进行信息审查义务？此问题争议较大。部分学者根据经验和法感情, 认为对网络服务提供者设置预先审查和实时监控义务会导致其负担过重, 阻碍其经营自由, 束缚网络发展空间。笔者认为, 可以将本条理解为赋予网络服务提供者主动审查义务, 这是文义解释的必然结果。只是可以将此种审查义务限制在技术措施层面, 即要求网络服务提供者采取必要的技术措施, 加强对违法信息的过滤和排查。履行此义务并不会造成学者们担忧的结果出现, 相反, 用科技的手段去解决科技带来的问题才是更好的办法。现有的技术手段已经能够达到对违法信息进行一定程度上的排查和过滤, 比如欧盟已经提出了立法建议, 主张网络服务提供者加强与版权人的合作, 采用内容识别等技术措施防范盗版^[23]。因此, 有限度地承认网络服务提供者的审查义务更符合立法目的, 也更符合技术发展背景下的网络实践。

① 《中华人民共和国网络安全法》的条文表述是网络运营者, 但是在第76条中也表明了网络服务提供者与网络运营者的关系。作为网络运营者的下位概念, 在无特殊规定的情况下, 对网络运营者的义务规定即是对网络服务提供者的规定。

② 《中华人民共和国网络安全法》第二十一条第(一)项、第三十四条第(一)项。

③《中华人民共和国网络安全法》第三十四条第(二)项。

同样, 通过结合本罪的规范保护目的对《互联网信息服务管理办法》的相关规定进行筛选, 我们可以得出如下结论:①采取适当的安全保障措施; ②停止传输、保存记录; ③不得制作、复制、发布、传播违法信息, 等等。其中, 《互联网信息服务管理办法》第十五条和第二十条的立法用语可以再次为网络服务提供者具有主动审查义务提供佐证。在本行政法规当中, 存在大量的行政管理性规定, 即登记、表明许可编号等义务, 对此类义务的违反并不会导致本罪的法益产生危险, 即使存在一定的因果联系也不符合此类规范的目的。此类规范意在加强网络监督机构对网络服务提供者的监管和控制, 并不是为了避免造成特定的网络安全风险, 就像道路交通法中要求机动车驾驶人持证驾驶一样, 如果仅违反持证驾驶规定而导致事故发生, 则不应将结果归责于驾驶人, 因为持证驾驶的规定与避免结果发生没有规范关联。

在《计算机管理办法》和《反恐法》当中直接针对网络服务提供者的规范并不多, 综合来看主要有如下义务:①不得利用国际联网制作、复制、查阅和传播违法信息; ②落实安全保护技术措施; ③对信息发布主体登记、内容审核义务; ④及时删除、信息保存、主动报告义务, 等等。在这两部规范中, 都再次强调了网络服务提供者的信息审查义务, 而且所规定的义务与前述规范中的义务大致趋同, 无出其右。只是这里需要强调的是, 前述规范当中出现的禁止性规范, 如禁止传播违法信息的规定, 一般来看不必运用不作为犯对其加以规制, 一旦行为人主动传播或者与他人共谋传播违法信息, 则直接适用相关作为犯的罪名加以惩治即可; 若行为人只是明知或者预见到违法信息可能在自己的平台或者其他在其可控范围内的渠道传播而加以放任, 那么行为人具体违反的也只是审查义务和删除义务, 没必要将禁止性规定列入纯正不作为犯的作为义务当中。

综上所述, 笔者可以认为, 法律、行政法规规定的信息网络安全管理义务主要包括:①采取必要的安全技术措施, 保障网络信息安全(其中包括内容审核)、网络运行安全; ②对数据保存、加密; ③发现安全风险后及时补救、删除违法信息、及时报告义务; ④对信息发布主体登记、实施网络服务实名制; ⑤建立健全投诉、举报机制; ⑥关键信息服务提供者应定期进行风险评估。对上述义务的违反, 会导致产生相应的网络安全风险, 比如违反实名制义务, 将导致刑事案件证据损毁灭失的风险; 违反健全投诉、举报机制的义务, 将会严重阻碍网络服务提供者的应急处理能力, 会导致网络服务提供者无法及时发现、处理网络安全问题。在网络环境中对于网络安全的维护, 仅仅依靠网络服务提供者自省自查是远远不够的, 健全问题反映渠道是维护网络安全的重要环节; 关键信息服务提供者除了应履行上述义务之外, 还应履行定期风险评估的义务, 这是由其所提供的信息服务的重大性质所决定的。尽管违反风险评估义务并不必然会发生网络安全危险, 但是一旦发生涉及关键信息的危险, 将产生难以想象的后果。在网络领域进行风险防范往往是系统性的工程, 网络安全的保障离不开每一个细小的环节, 因此为了在关键信息领域将风险降至最低, 有必要将风险评估义务作为关键信息服务提供者的刑事作为义务。

四、结语

拒不履行信息网络安全管理义务罪作为纯正的不作为犯, 其作为义务的确定就是研究本罪的核心。然而, 本罪采用的空白罪状却为此增加了不少难度。对于本罪中的核心概念——信息网络安全管理义务, 本文在总结既有研究的基础上, 选择出了合适的研究路径:立足于违法判断的相对独立性对空白条款进行实质解释, 即通过本罪的规范保护目的来过滤和筛选前置法中的相关义务性规定, 从而为本罪划定合理的作为义务范畴, 防止前置性法律规范过分侵入刑法领域, 挤压公民的自由与安全。但是对于本罪来说, 并不是违反了前述作为义务就成立本罪, 还需要满足程序性的犯罪构成要素, 即经监管部门责令改正而拒不改正导致后果发生的才符合本罪的构成要件。

可以说, 本罪是双重的不作为犯罪, 前后两次作为义务是相互并列的, 仅在时间上存在先后顺序, 并不会相互吸收和排斥。有论者认为, 在经监管机关责令改正后拒不改正, 可以将网络服务提供者的主动审查义务消解为被动审查义务, 只需在被责令以后再审查即可。如此解读将架空本罪的前置法上的作为义务, 因为本罪的逻辑构造是有义务不履行, 责令改正后仍不履行导致结果发生。不履行法定的作为义务是本罪成立的前提, 也是监管机关介入的依据。因此, 本罪在不法层面所具有的依附性不仅体现在信息网络安全管理义务的界定上, 还体现在这种程序性构成要件的规定上, 刑罚权的发动离不开监管机关的权力行使, 因此有必要严格规范监管机关的此项权力, 细化各监管部门之间的权利义务配置, 使得本罪能够及时惩处严重危及网络安全的不作为行为。