企业合规必读:网络平台防锤指南!
自《刑法修正案(九)》颁布以来,【拒不履行信息网络安全管理义务罪】一直是高悬在网络服务提供者头顶的“达摩克利斯之剑”。 该罪规定,如果网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,并符合该罪第一款规定的四种情形之一的,便要承担刑事责任。
滴滴出行接受国家安全审查事件再次将数据安全风险摆在网络从业者们的面前。其他如各种境外的中概股等,也存在着数据安全防控义务,一着不慎就有可能被锤! 即将于2021年9月1日实施的《数据安全法》,又明确增加了更多法定义务。
与此同时,截止今日,裁判文书网中收录涉及本罪的案件仅有寥寥数篇。 一头是千头万绪的法定义务,另一头又没有全面清晰的刑事司法判例。 于是网络从业者们“思绪万千”:网络平台到底该如何有效“防锤”, 怎样做才能遵守“信息网络安全管理义务”,并实现企业合规发展? 今天,鹅师傅隆重推出一份《网络平台防锤指南》,手把手教大家在“信息网络安全管理义务”面前实现“遵纪守法”,免除大家的后顾之忧!
1
“信息网络安全管理义务”对网络空间治理产生重要影响
首先,在万物互联互通的背景下,重视网络服务提供者的关键作用,对于证据搜集、案件追踪、犯罪认定等,均具有重要意义,可以有效防控网络安全风险。
其次,“信息网络安全管理义务”的设立,提高了网络服务提供者刑事合规的要求,可以借此督促其建立健全内部的安全管理机制,减少犯罪分子的可乘之机,更好保护人民群众合法权益。
最后,从另一个角度来看,“信息网络安全管理义务”也增强了相关从业者的执业风险。如果其在工作过程中因自身原因未能履行法定义务,再符合本罪规定的其他条件,相关直接责任人、主管负责人,甚至法定代表人都有可能面临“三年以下有期徒刑、拘役或者管制,并处或者单处罚金”的高昂刑事责任成本,职业生涯也会遭到“灭顶之灾”。
然而,也有专家指出,网络平台本身是市场主体,其履行管理职责时天然缺乏权威性和中立性,将所有监管责任都归责于网络服务提供者未必符合公平原则,互联网监管应是监管机构之间横向合作以及监管机构与网络平台纵向联动的综合治理,不能对网络平台过于求全责备。
但不管如何,及时厘清信息网络安全管理义务,提前做好刑事风险防范,对于网络平台来讲,显得尤为地重要。
2
实践中这样认定“信息网络安全管理义务”!
以“拒不履行信息网络安全管理义务罪”为关键词在各大数据库中检索,鹅师傅累计获得5个司法案例、4篇裁判文书。案件数量虽少,但也能看出司法实践中对该罪的认定思路及大致分布领域。
①“两卡”犯罪
该案是全国首例电信运营商因实名制监管不到位而以本罪定罪处罚。其中,涉案远特(北京)公司高管们分别被判处1年4个月至1年10个月的有期徒刑或拘役,给公司和相关人员招致极其严重的灾难性后果。
②翻墙软件
在仅有的几个案例之中,因制作翻墙软件而被定罪的频率最高。但需注意的是,此类案件以非法经营罪处理最为常见,其次是以提供侵入、非法控制计算机信息系统的程序、工具罪处理(鹅师傅在之前的文章中有详细讨论),只有极少数才定本罪。
③为开设网络赌场提供帮助
如果同时触犯开设赌场罪、拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪的,择一重罪处罚。
除此之外,违反网络安全管理义务未达到值得科处刑罚的程度之时,并不意味着义务人可以不承担任何法律责任。实践中所存在的较多行政处罚案件再次为义务人敲响了警钟。
在这些案件里,规范的援引频率往往与义务人的风险程度相关联。为避免承担高昂法律成本,下面这张风险指数表你该看看!
数据来源于北京市2021年1月至7月13日行政处罚公示情况的统计
很明显,不履行国际联网备案职责及网络安全保护义务受处罚的频率遥遥领先于其他义务类型。
近期,国家层面加强了对网络安全的审查,并发布《网络安全审查办法》征求意见稿;同时,本年度9月1日起将施行的《网络产品安全漏洞管理规定》,细化了《网络安全法》第21条、第25条等相关规定,监管部门对网络安全的监管将更明确和具可操作性。可以预见,上述规定落地之后,类似的行政处罚的数量还会持续上升,相关义务人应格外注意!
3
“信息网络安全管理义务”是什么?
通过这些案例我们可以发现,能否以拒不履行信息网络安全管理义务罪定罪处罚,关键难点便是要确定是否存在相应的“信息网络安全管理义务”。
那么,我们首先需要搞清楚,什么是“信息网络安全”,哪些行为属于对其“管理”,什么样的“义务”才符合本罪的条件。
目前,“信息网络安全”的对象覆盖很全面,既包括信息内容的安全,也包括信息系统本身的安全。这样,向外呈现的内容及支持内容呈现的系统都被纳入了保护范畴。
与之相联系,对网络营运监管、网络内容监管、网络版权监管、网络经营监管、网络安全监管、网络经营许可监管等都属于对“信息网络安全”的管理行为。
二者相结合,就是“信息网络安全管理”的完整法律内涵。
同时,任何规范性文件都可能对“信息网络安全管理”行为设置相应的义务。但由于刑法是最严厉的部门法,是其他部门法的保障与后盾,其规定,只有法律、行政法规所明文规定的内容才属于刑法意义上的“信息网络安全管理义务”,与刑法第96条规定的“国家规定”相比要狭义很多,大大缩小了义务范围,减轻了相关从业者们的“负担”。
这意味着,对于规章、地方性法规等其他规范性文件不属于本罪的前置法依据。可如果是由国务院各部门制定并报经国务院批准的“规章”,因其效力等同于行政法规,也符合本罪规定的前置法依据,如《计算机信息网络国际联网安全保护管理办法》等。
4
“义务清单”助力刑事合规
目前,这些义务零散地分布在诸多法律、行政法规之中,包括但不限于《网络安全法》、《数据安全法》、《关于加强网络信息保护的决定》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《电信条例》、《信息网络传播权保护条例》、《网络信息内容生态治理规定》等。
除此之外,《电子商务法》、《消费者权益保护法》、《食品安全法》、《广告法》、《反恐怖主义法》、《慈善法》、《反不正当竞争法》、《公共图书馆法》、《药品管理法》等法律也有部分条款规定了“信息网络安全管理义务”。
(1)三大类义务编织成一个类型丰富、覆盖广泛的“义务群”
①网络风险预防义务和网络风险管控义务
网络风险越多,网络服务提供者所应承担的责任就越大。
为了更好地防控网络风险,“事前预防+事中、事后管控”的模式作用极大。例如,《数据安全法》规定,要事先建立全流程数据安全管理制度;同时,《数据安全法》和《网络安全法》均规定了事中要进行风险监测与及时告知和报告等。
②网络信息安全义务和网络系统安全义务
此种分类是根据“信息网络安全”所包含的两类对象进行的。
例如,《网络安全法》多个规范条文均规定了用户信息保护制度以及用户信息发布管理义务;第21条规定要采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,保护网络系统安全。
③不同网络服务提供者具有不同的义务类型
根据两院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的规定,“网络服务提供者”包括三类,相对应的义务也可分为网络技术服务提供者的义务,网络内容服务提供者的义务以及网络公共服务提供者的义务。
(2)达到刑事合规离不开一份详尽的“义务清单”
在所有规范条文中,最集中规定这些义务的当属《数据安全法》第四章以及《网络安全法》第三、四章。
下面,鹅师傅将重点以这两部法律为模板,简要梳理一下各式各样的“信息网络安全管理义务”。
①“网络运营者”篇
②“数据处理者”篇
除此之外,其他法律、行政法规中仍存在体量较大的义务规范,无法被穷尽。网络平台主体需要根据自身的具体业务,按照鹅师傅上面梳理的方式,从相关的法律、行政法规中梳理出与业务相关的、具体的“信息网络安全管理义务”,并将之细化到业务的操作流程中去。
鹅师傅在此郑重提醒:为避免承担高昂的刑事责任成本,相关网络服务提供者应对这些法定义务,尤其是新增加、新修改的义务进行系统化梳理、前瞻性布局并予以严格执行,方能使得企业在刑事合规的道路上稳健前行。