第三方支付平臺構(gòu)成拒不履行網(wǎng)絡(luò)安全義務(wù)罪的疑難問題解析

王佳男+于子平

摘 要：京東在最近幾年憑借其一流的服務(wù)、成熟的物流體系等優(yōu)勢吸引了大批優(yōu)質(zhì)用戶。然而，京東快速發(fā)展的同時，也存在著巨大的風(fēng)險，尤其在用戶信息安全保障方面。2016年12月，京東商城的用戶數(shù)據(jù)庫資料懷疑遭到泄露，雖然調(diào)查結(jié)果顯示用戶被盜可能性比較大，但電商行業(yè)屢屢發(fā)生數(shù)據(jù)泄露事件，不少用戶仍心有余悸。在《刑法修正案九》中明確規(guī)定了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。然而自2015年11月1日實(shí)施以來，適用尚少。因此，京東數(shù)據(jù)泄露與拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的司法適用的關(guān)系就具有重要的研究意義。

關(guān)鍵詞：京東；第三方支付平臺；拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪

第三方支付，指的是與一些銀行簽約，并具有一定實(shí)力和信譽(yù)保障的第三方機(jī)構(gòu)提供的交易平臺，通過在收付款人之間設(shè)置過渡賬戶，使匯轉(zhuǎn)款項(xiàng)實(shí)現(xiàn)可控性停頓，直指決定資金去向。京東是現(xiàn)階段普及率比較高的交易手段。

一、支付實(shí)現(xiàn)原理

消費(fèi)者先向第三方傳遞客戶信息，然后由第三方與主要銀行簽訂協(xié)議，實(shí)現(xiàn)第三方和銀行之間的實(shí)現(xiàn)數(shù)據(jù)和相關(guān)信息的交換。消費(fèi)者再登陸簡單、熟悉的支付頁面進(jìn)行交易。由此，消費(fèi)者及銀行、商家就通過第三方支付建立起一個支付流程。

二、第三方支付平臺的網(wǎng)絡(luò)安全風(fēng)險

（1）“網(wǎng)絡(luò)釣魚”導(dǎo)致賬戶信息被泄露。用戶在網(wǎng)上交易進(jìn)入支付的時候容易受誘導(dǎo)單擊不安全的鏈接，登錄偽造的支付界面而被惡意的用戶獲取其銀行賬戶和密碼。

（2）第三方支付平臺的設(shè)計(jì)問題。京東要求客戶提供相關(guān)的身份信息，作為雙方交易的擔(dān)保。一旦數(shù)據(jù)庫有漏洞，信息泄露后的后果是十分嚴(yán)重的。

（3）隱私政策的不合理。第三方支付平臺掌握了大量用戶的真實(shí)信息，但目前網(wǎng)站隱私政策的普遍不完整、內(nèi)容不合理，免責(zé)條款過多，導(dǎo)致發(fā)生問題時維權(quán)艱難。

（4）個人選擇和第三方解除綁定之后，個人信息不能得到很好的保護(hù)。

三、第三方支付平臺的法律義務(wù)

結(jié)合《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》和《網(wǎng)絡(luò)安全法》可以歸納、總結(jié)出第三方支付平臺的義務(wù)來源如下：

（1）合法正當(dāng)必要收集使用信息義務(wù)。網(wǎng)路運(yùn)營者如果要收集、使用公民個人電子信息，必須遵循合法、正當(dāng)、必要的原則，只有在得到被收集者的許可后方能使用。

（2）信息審查、監(jiān)管義務(wù)。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要的補(bǔ)救措施，保障信息安全，防止所收集到的公民個人電子信息泄露、毀損、丟失。

（3）保護(hù)隱私、保障信息安全義務(wù)。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，不得泄露、篡改、毀損，也不可出售或者非法向他人提供。

（4）信息保管以及協(xié)助調(diào)查的義務(wù)。要求網(wǎng)絡(luò)運(yùn)營者為依法維護(hù)國家安全和偵查犯罪的活動提供技術(shù)支持和幫助。

（5）提示、警告義務(wù)。附屬于網(wǎng)絡(luò)服務(wù)者的電子布告欄系統(tǒng)，在一段時間內(nèi)詐騙信息案件多發(fā)，支付寶應(yīng)該向用戶進(jìn)行提示和警告；同時建立其面向未來的防范措施，杜絕相似侵害行為的再次發(fā)生。

（6）及時更新設(shè)備、確保網(wǎng)絡(luò)安全的義務(wù)。從事互聯(lián)網(wǎng)業(yè)務(wù)不僅要求其擁有法律法規(guī)、行業(yè)標(biāo)準(zhǔn)等所要求的硬件軟件水平和技術(shù)實(shí)力，也要求提供與其自身業(yè)務(wù)規(guī)模相當(dāng)及使用網(wǎng)絡(luò)快速發(fā)展所需要的設(shè)施設(shè)備，提供技術(shù)支持，以確保網(wǎng)絡(luò)安全。

四、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的義務(wù)來源

信息網(wǎng)絡(luò)安全管理義務(wù)，是指網(wǎng)絡(luò)服務(wù)提供者積極主動審查在其控制管理的網(wǎng)絡(luò)范圍下的網(wǎng)絡(luò)用戶信息，發(fā)現(xiàn)是違法信息、用戶信息和刑事案件證據(jù)的，負(fù)有采取合理措施防止違法信息大量傳播、防止用戶信息泄露以及防止刑事案件證據(jù)滅失的義務(wù)。具體而言，其信息網(wǎng)絡(luò)安全管理義務(wù)包括以下幾個方面：

（1）審查義務(wù)。即在確定該網(wǎng)絡(luò)信息的性質(zhì)后，才能對該網(wǎng)絡(luò)信息進(jìn)行安全管理。而且只是對網(wǎng)絡(luò)信息進(jìn)行的初步審查，只需要確定該信息是否是違法信息、用戶信息或者刑事案件證據(jù)等。

（2）防止違法信息大量傳播義務(wù)。主動審查后的信息被確定是違法信息的，必須履行采取合理措施防止其傳播的義務(wù)。盡管網(wǎng)絡(luò)服務(wù)提供者有時候確實(shí)難以分辨信息是否違法，但是我國的相關(guān)法律對于“違法信息”的內(nèi)容都有列舉規(guī)定。

（3）防止用戶信息泄露義務(wù)。用戶信息按用戶是否已經(jīng)主動公開為標(biāo)準(zhǔn)，分為公開的用戶信息和隱秘的用戶信息。網(wǎng)絡(luò)服務(wù)提供者只對用戶隱秘信息且是自己在提供服務(wù)過程中收集的信息負(fù)有保護(hù)的義務(wù)。

（4）防止刑事案件證據(jù)滅失義務(wù)。要求網(wǎng)絡(luò)服務(wù)提供者承擔(dān)防止刑事案件證據(jù)滅失的義務(wù)，是因?yàn)閮Υ婊蛘叱尸F(xiàn)在信息網(wǎng)絡(luò)上的刑事案件證據(jù)，電子數(shù)據(jù)證據(jù)的形成、儲存都在信息網(wǎng)絡(luò)之中，網(wǎng)絡(luò)服務(wù)提供者對電子數(shù)據(jù)證據(jù)的存亡滅失具有決定性的作用。

五、第三方支付平臺觸犯本罪的可能性

2016年12月“京東數(shù)據(jù)外泄，12G信息數(shù)據(jù)包在黑市流通的信息”在法律界引起很大的爭議。借助這一案例，結(jié)合上述兩部分的內(nèi)容，對網(wǎng)絡(luò)經(jīng)營者數(shù)據(jù)信息保護(hù)責(zé)任作出相應(yīng)的分析，可以對各類互聯(lián)網(wǎng)經(jīng)營者起到有益的借鑒作用。

（一）本罪的構(gòu)成要件

（1）犯罪主體。通說認(rèn)為本罪的主體為網(wǎng)絡(luò)服務(wù)提供者，單位和個人均可構(gòu)成本罪。此外，還有一種觀點(diǎn)認(rèn)為本罪的犯罪主體是單位，并且限于網(wǎng)絡(luò)義務(wù)提供者。本文采納通說的觀點(diǎn)，因?yàn)榫W(wǎng)絡(luò)服務(wù)提供者對網(wǎng)絡(luò)安全具有支配地位，其他人或機(jī)構(gòu)很難進(jìn)入此領(lǐng)域進(jìn)行及時有效的安全管理，司法實(shí)踐中，侵犯用戶個人信息的犯罪更多的發(fā)生在網(wǎng)絡(luò)服務(wù)提供者單位的工作人員身上，因此對于工作人員也存在規(guī)制的必要。京東作為單位，可以成為本罪的主體。

（2）本罪的主觀方面應(yīng)當(dāng)表現(xiàn)為故意。也有學(xué)者認(rèn)為本罪的主觀方面應(yīng)當(dāng)是過失，因?yàn)榫懿桓恼膽B(tài)度是故意的，但關(guān)鍵是看行為人對違反這一義務(wù)的危害結(jié)果是否持希望或放任。筆者認(rèn)為本罪處罰的關(guān)鍵并非不履行管理義務(wù)，而是拒不改正。因拒不改正而導(dǎo)致的危害結(jié)果才是本罪所要求的危害結(jié)果。京東數(shù)據(jù)泄露事件，雖然造成了12G信息數(shù)據(jù)在黑市上流通的嚴(yán)重后果，但是這種結(jié)果的產(chǎn)生并不是內(nèi)部工作人員或者單位故意不作為或者拒不改正而導(dǎo)致的，因此不符合本罪的主觀條件。endprint

（3）本罪侵犯的客體是社會管理秩序的一種，京東數(shù)據(jù)的泄露對國家的網(wǎng)絡(luò)管理秩序造成了極大的破壞，侵害了國家的合法權(quán)益。

（4）客觀方面表現(xiàn)為網(wǎng)絡(luò)服務(wù)提供者負(fù)有履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理的義務(wù)，能夠履行而實(shí)際沒有履行并造成嚴(yán)重后果。同時，行為和結(jié)果之間必須具有刑法上的因果關(guān)系。京東將此次數(shù)據(jù)泄露的原因歸結(jié)于2013年struts2的安全漏洞。2013年struts2的安全漏洞使當(dāng)時國內(nèi)大量互聯(lián)網(wǎng)運(yùn)營機(jī)構(gòu)都因此受到了影響，所以京東既沒有不履行法律義務(wù)，也沒有拒不改正，不符合這兩個條件，不能構(gòu)成本罪。

（5）必須具有法律規(guī)定的嚴(yán)重后果。本罪的成立，要求出現(xiàn)以下幾種情形：①致使違法信息大量傳播的；②致使用戶信息泄露，造成嚴(yán)重后果的；③致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；④有其他嚴(yán)重情節(jié)的。京東數(shù)據(jù)泄露事件造成了用戶信息泄露，造成嚴(yán)重后果不言而喻。

總之，京東雖然符合本罪的主體要件、客體要件和犯罪結(jié)果的認(rèn)定，但是卻其不符合客觀條件和主觀條件的認(rèn)定，不能同時符合本罪的四個犯罪要件。因此，京東數(shù)據(jù)泄露不可能構(gòu)成本罪。但是對于這個案例仍然有進(jìn)行假設(shè)研究的必要性。

（二）關(guān)于本罪的有關(guān)爭議

（1）責(zé)令改正的主體和方式。雖然刑法明確規(guī)定，責(zé)令改正的主體是“監(jiān)管部門”。但根據(jù)相關(guān)規(guī)定，公安機(jī)關(guān)和國家安全局、國家保密局在職責(zé)范圍內(nèi)，也可以成為責(zé)令改正的主體。需要進(jìn)一步研究的是，責(zé)令改正的主體有無級別限制，是否任何級別的監(jiān)管部門均能責(zé)令網(wǎng)絡(luò)服務(wù)提供者采取改正措施。筆者認(rèn)為，責(zé)令形式應(yīng)當(dāng)僅限于法律文書形式，對責(zé)令改正的主體的級別作出限制，至少應(yīng)當(dāng)限于縣級以上的監(jiān)管部門。

（2）責(zé)令改正的內(nèi)容。從網(wǎng)絡(luò)服務(wù)行業(yè)的長遠(yuǎn)發(fā)展而言，當(dāng)前似不宜賦予其過重且事實(shí)上無法做到的義務(wù)要求。因此，責(zé)令改正的內(nèi)容原則上應(yīng)當(dāng)具體明確，通常應(yīng)當(dāng)限于已經(jīng)發(fā)生的危害行為。

（3）拒不改正的認(rèn)定。通常情況下，在責(zé)令改正法律文書指定的期限內(nèi)未采取改正措施的，應(yīng)當(dāng)認(rèn)定為經(jīng)監(jiān)管部門責(zé)令采取改正措施而“拒不改正”?？紤]到司法實(shí)踐的情況較為復(fù)雜，應(yīng)當(dāng)認(rèn)為存在例外，即有證據(jù)證明行為人確因自然災(zāi)害等不可抗力或者其他正當(dāng)事由未知悉責(zé)令改正或者未及時采取改正措施的除外。2013年struts2的安全漏洞可以成為拒不改正的例外情形。

（4）免責(zé)規(guī)則的確立。信息網(wǎng)絡(luò)服務(wù)安全有其自身的復(fù)雜性和高風(fēng)險性，為避免網(wǎng)絡(luò)服務(wù)提供者承擔(dān)過重的安全責(zé)任，激發(fā)從事信息網(wǎng)絡(luò)服務(wù)的積極性，基于不作為犯罪的基本原理，倘若京東已經(jīng)履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，或者雖沒有履行有關(guān)安全管理義務(wù)但根據(jù)監(jiān)管部門的責(zé)令采取改正措施，仍然出現(xiàn)違法信息大量傳播、用戶信息泄露或者刑事案件證據(jù)滅失等情形的，不構(gòu)成犯罪。

綜上所述，只有在經(jīng)監(jiān)管部門即縣級以上的公安機(jī)關(guān)、國家安全部、國家保密局對于單位及其分支機(jī)構(gòu)或者內(nèi)設(shè)部門、機(jī)構(gòu)在責(zé)令改正的法律文書指定的期限內(nèi)對于已經(jīng)發(fā)生危害的行為除卻不可抗力或者其他正當(dāng)事由后仍未采取改正措施時，才可適用本罪。

參老文獻(xiàn)：

[1]用戶數(shù)據(jù)疑遭泄露 京東稱或被盜號[J].商場現(xiàn)代化，2014（06）：11.

[2]李永升，袁漢興.拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的理解與適用[J].宜賓學(xué)院學(xué)報，2017（02）：92-99.

[3]喻海松.網(wǎng)絡(luò)犯罪的立法來擴(kuò)張與司法適用.

[4]邱賽蘭.拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪構(gòu)成特征探析[J].經(jīng)濟(jì)師，2016（10）：85-86+88.endprint