信息網絡安全管理義務的刑法規制：理念與適用

□楊智宇，張慶元

（1.武漢大學 法學院，湖北 武漢 430072；2.廣東省社會科學院 法學所，廣東 廣州 510635）

信息網絡技術的不斷發展催生出新的網絡服務類型，以ISP（網絡服務提供者）為代表的平臺運營商打破了傳統的、直接為廣大用戶群體提供互聯網信息接入、信息服務和增值服務的ICP（網絡內容提供者）服務模式，而將內容服務轉變為平臺服務，即自身并不創造內容，僅為內容提供者與其他互聯網使用者提供中介服務。這種網絡社會下形成的新的社會結構沒有改變社會形態的具體內容，仍然需要得到法律規制。但由于網絡服務提供者并不直接提供內容服務，難以進行刑事歸責，這也是在網絡社會的當下全世界共同面對的難題——網絡運營商對于第三方通過濫用網絡的方式提供非法和有害內容應當承擔怎樣的責任。

我國是互聯網技術發展較為成熟的國家，網絡社會的成長和進步必須依靠制度化、法治化方能得以全面有序推進。立法機關早已意識到網絡服務提供者就其網絡安全監管行為需要得到法律的規制，在民事法律、知識產權法律中都有相關立法，但是刑事立法卻一直缺位。因此在《刑法修正案（九）》的立法過程中對網絡服務提供者的刑法規制采用對網絡安全監管行為賦予刑事義務的方法，因此設置了《刑法》第286條之一的拒不履行信息網絡安全管理義務罪。在此后的2019年11月，《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》（以下簡稱“2019年《網絡犯罪解釋》”）的出臺也對相關犯罪的法律適用問題予以更加具體的規定。

雖然通過上述刑事立法和司法解釋表明我國對網絡服務提供者的刑法責任規定已經十分詳細，但實踐中其使用率卻很低，也存在一些適用問題，不免使人對罪名的具體效用產生懷疑。這種現象不得不讓我們反思，以懲處不履行或怠于履行信息網絡安全管理義務的罪名為何會出現此類問題。本文試圖從信息網絡安全管理義務的立法目的入手，通過分析該義務在刑法中規制的問題，以厘清信息網絡安全管理義務的刑法規制路徑。

一、信息網絡安全管理義務刑法規制的理念

（一）信息網絡安全的刑法保護需要

新的技術模式也需要在法律的護航下進行，現代信息法的首要任務就是新技術的發展要符合有效的法律。但當網絡服務提供者并非直接參與犯罪而僅僅提供平臺服務時，放任違法信息的傳播、怠于積極有效的管理亦具有較為嚴重的社會危害。既有的刑法規定無法對這種行為進行規制。因此，對網絡服務提供者的刑法規制有必要采用新設立法的方式進行，在適當程度內擴張犯罪圈的范圍。

1.網絡技術與網絡犯罪的發展。網絡環境具有相對特殊性，網絡的發展徹底改變了人類的生存空間與生存方式，與此相對的網絡犯罪表現形式也異于傳統犯罪，更為甚者例如恐怖分子利用網絡形式擴大了恐怖信息傳播、利用網絡策劃恐怖襲擊、籌措資金，乃至于直接利用網絡形式實施恐怖攻擊，造成了極為惡劣的影響，因此應當采用不同于普通犯罪的刑事治理模式。針對網絡犯罪的治理，各國立法在一定程度上都偏離了危害原則，出現了刑事立法擴大化的趨勢，在我國也不例外。具體來說，一方面，大量新型網絡犯罪刑事案件的出現催生通過刑法犯罪圈的完善對其治理的需要。例如近年興起的網絡平臺上出現了多起行為人利用網絡平臺進行犯罪活動的案件，造成了較為惡劣的社會影響。但在這些案件中，除了具體犯罪行為所具有的社會危害之外，網絡服務提供者怠于對此進行積極管理的行為也是相關案件發生的重要原因之一。另一方面，當下刑法治理理念有所轉變。通常刑法僅僅對其他法律規范尚且無法規制的行為進行治理，是社會治理的最后手段，但是現階段出現大量刑法條文對社會問題的治理提前介入，不再固守“最后手段性”。對于網絡犯罪來說，此類犯罪具有傳播廣、后果難以控制等特點，對此進行治理如果仍然保持事后法的姿態，在發生十分嚴重后果時予以規制可能為時已晚、風險較大。尤其是近年來網絡犯罪呈上升趨勢，各種傳統犯罪日益向互聯網遷移。因此，維護網絡安全的相關法律尤其是刑事法律亟待完善立法，形成全面、成熟的網絡犯罪刑事治理體系。

2.平臺服務刑法規制的特殊性。基于治理網絡犯罪的需要與網絡服務提供者的技術能力，國家認為對平臺服務進行刑法規制有助于減少網絡犯罪的發生。但與積極作為型網絡犯罪不同的是，行為人基于網絡平臺服務所實施的犯罪只是借助平臺企業的資源，平臺企業并非犯罪參與者。因此，對平臺企業的刑事治理應當采用不同于直接設置禁止性規定的方法。對此立法者不但需要將處罰提前，還將避免危害結果發生的監管責任部分分配給網絡服務提供者，對其監管責任設置刑事作為義務。事實上這種做法并沒有超越網絡服務提供者對刑事義務的作為可能性，網絡服務提供者在提供平臺服務時對自己管理的領域具有較高的理解力和控制力，處于強勢地位。而當下刑事立法中設立不作為犯的模式也是立法者面對風險防控下更為青睞的選擇。綜上，刑事立法設置了以不作為犯模式規制網絡服務提供者的管理義務符合國家、社會現實需要與平臺企業所具有的技術管理能力現實。

（二）不作為犯式刑事立法的治理理念

在網絡時代應對新型犯罪形態，如不能對既有條文進行擴大解釋，則有必要修改或新設相關的法律條文。對網絡服務提供者應當負擔的平臺責任而言，對于新型的犯罪治理需要只能通過新設犯罪的方式，在《刑法修正案（九）》中對于網絡服務提供者的信息網絡安全管理義務的刑事治理體現為增設拒不履行信息網絡安全管理義務罪。但作為新增的不作為犯立法，在擴張犯罪圈的同時也意味著增加相關主體的作為義務。分配的責任都應取決于現有的能力和可能付出的代價，對于行為主體增設刑法義務應當慎重，以保持入罪必要性和人權保障之間的平衡。

1.犯罪圈擴張的要求。對于作為提供平臺的網絡服務提供者來說，對其刑事治理需要采取新的形式。在我國立法中，對此的刑事治理表現為增設拒不履行信息網絡安全管理義務罪，該罪名的設置被認為是增加了網絡服務提供者的對于信息網絡安全的刑事管理義務，是立法的必要擴張。同時，任何刑事立法引發的犯罪圈擴張都應當達到一個平衡的狀態。對于網絡服務提供者的刑事作為義務來說，需在公民言論自由、互聯網技術發展與被害人權利保護三者之間保持平衡。立法擴張加重了網絡服務提供者的刑事義務，也需要對這種擴張進行一定限制，這種擴張與限縮的平衡反映了現代民主法治國家一直面臨的安全與自由之間的張力。

2.國家主導、企業代為管理的思路。對于立法正當性，以拒不履行信息網絡安全管理義務罪為代表的新設不作為犯立法面臨著不作為犯義務來源的問題，即作為犯罪主體的網絡服務提供者是違反了何種刑事義務。

從根本上說，義務來自責任。那么，信息網絡安全管理義務對網絡服務提供者要求的責任就是對網絡平臺安全、合法、穩定運行的監管責任。有觀點認為，這種責任的主體屬于國家與網絡服務提供者的共同治理或合作治理，國家設立本罪的核心目的應當在于與網絡服務提供者共同對信息網絡安全負責。因為只有當網絡服務提供者擁有與國家相同的監管責任時，對于這種安全管理義務的不履行才能獲罪。

但如果采用共同治理模式去解釋作為義務的擴張，一方面，這將大大擴張網絡服務提供者的刑事風險。在技術發展方面，國家從無例外地對此進行監控和領導。這不但體現在國家對相關罪名的設置上賦予了網絡服務提供者等主體更多的作為義務，還體現在國家對網絡技術監管的專屬性。網絡服務提供者只是提供相應的技術服務，并不屬于相關國家機關和職能部門，也正因為如此，難以理所當然認為其負有刑法上對網絡犯罪監管的信息網絡安全管理義務和對他人可能實施違法犯罪活動進行監督的義務。另一方面，信息網絡安全管理義務并非不言自明，其邊界和范疇較為縹緲不定，必然導致其認定上可能出現隨意罪的設立，無疑給網絡服務提供者賦予了更大的責任。因此，很難認為這種并不確定邊界的義務能夠成為合適的刑事義務。

事實上，網絡服務提供者并沒有能力成為網絡社會的完全監管主體之一。從立法實際來看，就本罪的立法目的而言，國家需要遏制網絡犯罪，建立健康有序的網絡社會秩序。也必須承認的是，雖然政府對網絡環境具有監管職責，但是由于技術能力的限制，繼續遵循以往點對點的社會治理模式難以應對信息網絡安全管理，而對于特定網絡空間范圍內的經營、管理者來說，他們對風險防控具有更為專業的能力，可以有效地將危險控制在一定程度內。因此就賦予義務自治而言，雖然在網絡空間治理上需要公民有效參與以彌補國家在對網絡空間治理中存在的不足之處，具體表現為國家與社會在治理網絡空間上的協作。但仍需要根據作為能力和管理職責，采用由國家主導，將部分監管任務分配給具體網絡服務提供者的做法。就有學者將這種模式表述為“代理式監管思路”，是刑事立法中國家根據實際情況對平臺企業賦予刑事義務的整體思路。

二、信息網絡安全管理義務的刑事立法體現

雖然網絡服務提供者只是國家對網絡安全治理的代為管理者，但上述討論僅解決了其整體理念的問題。對于基于該理念的具體刑事作為義務內容還需要進一步探討。拒不履行信息網絡安全管理義務罪的刑事義務主要存在信息網絡安全管理的刑事義務說與對行政責令改正拒不履行的配合義務說兩種觀點。

（一）信息網絡安全管理義務的性質厘清

如認為本罪的刑事義務是信息網絡安全管理義務，那么作為犯罪主體的網絡服務提供者應當成為信息網絡安全的保證人，保證人地位的存在要求有作為義務的人所應防止危害結果的發生。

基于上述邏輯，信息網絡安全管理義務作為刑事義務需要使網絡服務提供者具有對網絡運行中可能出現的危險具有完全的掌控力。雖然本罪作為真正不作為犯的刑事義務來源于法律的直接規定，但對于立法內涵的理解可以借助保證人地位學說來正確理解本罪的義務來源和處罰范圍。對于將信息網絡安全管理義務作為刑事義務的觀點來說，肯定論的觀點有以下幾個理由：

一方面，在作為可能性上，由于作為網絡監管主體的網絡平臺確實具有相應的管理、控制能力，因此需要成為平臺經營范圍內網絡安全的監督者、管理者，那么他們應當同時具有對危險源的監控者義務，即對某些危險場所或者危險物體危及法益時，相關管理者承擔監控義務。另一方面，從刑法解釋上來說，由于從本罪的名稱來看似乎立法規制的目的便是處罰對信息網絡安全管理義務拒不履行的行為。也就是說，一旦網絡服務提供者拒絕履行相應的義務，便應當承擔刑事責任。

綜合上述兩點，肯定論者認為，國家新設該罪的目的在于給予網絡服務提供者自我治理的義務，即賦予網絡服務提供者以信息網絡安全管理義務這一刑事義務，網絡服務提供者應當與國家共同治理網絡環境。因為只有當網絡服務提供者擁有與國家相同的監管責任時，對于這種安全管理義務的不履行才能獲罪，此時該罪名中的“拒不履行”的“責令要件”是不必要的，即完全以信息網絡安全管理義務作為入罪的依據，或者直接將該罪改成“不履行信息網絡安全管理義務罪”。

但是，上述問題十分明顯。即便從保證人作為義務的角度來說，由于在不作為犯罪中，危險源的監督者與管理者均對危險源可能發生的危害結果負有監督與防護的義務，必須保證其運行安全。因此，認為網絡服務提供者是網絡環境安全的保證人的觀點將網絡的一般運行環境直接設定成為一種危險源，網絡服務提供者在自己的領域內對網絡是否安全具有絕對的控制權，因而其需要對自己管理領域的網絡安全問題負責。但網絡服務提供者是否真的具有對網絡環境中的危險情況進行控制的能力，以至于其能夠成為本罪名所要求的避免危害結果發生的保證人地位？

第一，從保證人地位的理論來說。由于保證人地位的存在基礎是對于特定危險源負有的監督義務，對于制造者或者有可能誘發危險源發生的人來說，僅有在其所支配或管理的危險源范圍內負有保證人義務，例如父母對未成年子女，人對自己飼養的寵物，等等。這與不作為犯型網絡犯罪（例如本罪）的情況有所不同，正如德國刑法學家瓦勒留斯教授（Dr.Brian Valerius）所認為的，這一罪名欲將網絡服務提供者設定為“網絡”這一危險源的保證人，但所謂保證人地位涉及的是自己直接控制的危險源，而不包含由第三人行為所致的風險。因此，保證人地位學說引導出的信息網絡安全管理義務作為刑事義務的觀點并不符合實際情況，無法解決該罪的義務來源問題，基于保證人地位而分析該罪名主體義務范圍的觀點存在根基性錯誤。

第二，從刑法犯罪圈擴張的平衡來說。如上文所述，本罪的適用應當適量地增加公民的刑事義務，在不作為義務來源的認定上也要做到合理。但如果認為該罪的義務來源在于監督義務，那么就變相地強調了網絡服務提供者在信息網絡安全管理義務中的刑事可罰性。即本罪的設立目的在于處罰違反該義務的行為，但此時法律條文規定的“拒不改正”構成要件就不具有存在的價值，只重視行為人應當履行信息網絡安全管理義務而將行政責令行為的作用邊緣化。因此，無論是認為“拒不改正”是一種加重情節還是認為其沒有存在的價值，都會導致該罪名出現走向事前刑法、單純客觀歸罪等問題的風險。

第三，從行為人信息網絡安全管理義務的作為能力來說。雖然在一般不作為犯中危險源的監督者對于危險源具有絕對的支配權，此處的支配權是物理意義上的完全支配，而非該罪名中的對實施具體危害行為者進行有限的監督、管理的人。例如，如果將信息網絡安全管理義務視為刑事作為義務，那么網絡服務提供者應當對相關涉及網絡安全的內容具體審查，但顯然很難要求其具有對海量信息的逐條審查和管理能力，不能認為其承擔的作為義務應與作為能力相匹配。因此，信息網絡安全管理義務作為刑事義務并不現實。

第四，在民事案件中也表明網絡服務提供者一般僅僅處于代為管理的地位。例如，在門某、范某某訴張某、騰訊計算機系統有限公司生命權、健康權、身體權糾紛案中，法院認為：騰訊公司并無事先主動審查、監管QQ群聊信息的法定義務，其只承擔事后被動審查、監管QQ群聊信息的義務，即騰訊公司負有在接到相關權利人通知或確知侵權事實存在的情況下采取必要處置措施的義務。具體來說，平臺企業在發現互聯網上出現違法犯罪行為和有害信息時，要采取措施，停止傳輸有害信息，并及時向有關機關報告。因此，從事互聯網服務的單位承擔的信息網絡安全管理義務并非對危害行為要主動發現，法律僅要求其在知曉違法事實后審查、監管。

第五，根據不作為犯法理，不作為犯的判斷中首先需要滿足的一點便是行為人負有實施某種積極行為的特定義務。特別是在超個人法益的真正不作為犯上，其義務來源的規范一般都規定得較為清晰，能夠為刑法條文中的義務內容劃定基本的界限。因此，邊界模糊的信息網絡安全管理義務不能作為刑法上的作為義務。

（二）配合義務作為刑事處罰根據的正當化考量

當然，即便認為信息網絡安全管理義務并非刑事義務，也不能直接推導出本罪中刑事義務的實質是對行政責令的配合義務。在許多情況下，行為人對行政命令拒不配合履行的情況并不罕見，無法直接認為其具有刑事違法性。因此，要證明配合義務在本罪中屬于刑事義務，則需要對其拒不配合行為存在社會危害性進行闡述。

單純地違反信息網絡安全管理義務時仍然屬于違反行政法律要求的監管義務，因此即便出現與信息網絡安全有關的嚴重社會危害行為，網絡服務提供者對未履行義務的責任上限也并沒有超過相關行政義務要求的上限，同理可得該義務直接被理解為刑事義務的錯誤之處。但將這種行政義務直接設定為刑事義務也并不具有合理性，表現出刑法對行政事項的介入不當。

因此，需要基于行為主體監管行為的作為可能性及怠于監管導致危險情況的發生的可能性來對犯罪圈進行合理限定。對于前者，只能將具有作為可能性的配合義務設定為刑事義務，而對于后者，則需要設定具體的法定危害結果來限定處罰范圍。因此，立法表述中的“責令改正而拒不改正”的內容通過連接信息網絡安全管理義務，并設定具體的法定危害后果，起到了限縮刑法處罰范圍的作用。因此，網絡服務提供者的刑事義務是“配合義務”具有合理性。

這種觀點也在其他法律條文中得到了印證，例如《網絡安全法》第8條：“國務院電信主管部門、公安部門和其他有關機關……負責對網絡安全的管理和監督，國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。”在其他相關法律中也存在相關的表述，明確了網絡安全的監管責任歸屬于國家，而非網絡服務提供者。

從義務認定的角度上來說，無論是基于作為能力還是條文邏輯等原因，拒不履行信息網絡安全管理義務罪的本質都是規制行為主體對監管要求怠于履行改正措施的行為。與此同時，將行政責令改正行為的不配合作為刑事義務對于罪名的有效運行還有下列效用：

1.配合義務具有確認違法性的功能。如果認為違反信息網絡安全管理義務時已經產生刑法作為義務，那么行政責令改正的出現就是對違反信息網絡安全管理義務的確認。但并非所有網絡服務提供者對該義務的違反都會被行政機關責令改正，并招致可能的刑事責任。因此，對信息網絡安全管理義務的刑事規制會表現為具有隨機性。而如果認為刑法規制的依據是行為人是否存在拒不履行行政責令改正行為的話，被行政機關發現并責令改正的構成要件還發揮著推定網絡服務提供者明知自己具有違反信息網絡安全管理義務的作用。

2.配合義務具有確定形式合理性的功能。行政責令改正是一種行政行為，國家對于行政行為賦予了相當高形式的要求，也正因此以行政責令改正為代表的行政行為具有較強的公信力，也能夠成為證明行為人怠于改正的行為確實已經違反了信息網絡安全管理義務的證據。

因此，相關部門對網絡服務提供者責令采取改正措施的范圍也應當在相應的信息網絡安全管理義務的范圍內。對義務外的責令改正要求來說，網絡服務提供者拒不改正也不會符合該罪的構成要件，即便偶然或間接產生了符合該罪名列舉的法定危害后果時也不符合該罪的規制范圍。因網絡服務提供者拒不改正，從而只有在義務范圍內不履行而導致的法定的危害后果才符合構成要件，“如果法律法規未賦予平臺相應的管理義務，即便主體具有管理能力與管理可能，也不宜直接追究其刑事責任”。

綜上，行政責令改正要件會將網絡服務提供者的刑事責任嚴格限制在行政機關要求改正的范圍內，在判斷上也應當達到刑法因果關系判斷的要求。據此，行政責令改正要件成為義務篩選機制，恰好能夠滿足限縮處罰范圍的要求，即監管部門根據法定職責對網絡服務提供者的義務進一步限制，避免了民事、行政責任不當地被認定為刑事責任。

3.配合義務具有推定明知的功能。有觀點認為，“拒不改正”反映了網絡服務提供者對危險結果積極追求或者放任的態度，因此不作為的心理要素只能是故意。但是，“責令改正而拒不改正”要件并非推定故意，而是推定明知，僅僅通過法條的表述無法確定行為人的主觀罪過。這種推定并非推定故意違反拒不履行信息網絡安全管理義務，而是推定其明知存在應當配合履行的義務而拒不履行。

如上文所述，信息網絡安全管理責任在于國家，因此，國家有關部門才是真正負有監管責任的主體，但監管行為必須要求網絡服務提供者的配合。行政機關提出這一行政責令改正的作用就是在于“防止信息擴散”和“保存記錄”。換言之，網絡服務提供者的義務并非“補救”，其作為行政被管理人，應當配合行政機關的指令，無行政責令改正則無配合義務，自然無法構成該罪。在接到指令后拒不改正時，由于行政行為的明示作用，可以推定行為人應當明知自己的既有行為違反了信息網絡安全管理義務，產生了主觀和客觀上的可罰性。

對于主觀罪過的認定則應當進行擴張解釋。即使重視該罪表述中的“拒”，但拒不履行并不必然是故意不履行的行為。實踐中可能會存在網絡服務提供者輕視相關部門的責令改正要求，認為不需要改正也不會再發生或疏于及時改正而導致相關結果的發生，這種過失的不作為犯仍然在該罪處罰的射程范圍內。因此，行政責令改正只具有明知推定的功能，罪過仍然依賴于個案判斷。

三、信息網絡安全管理的刑事義務適用困境

雖然上文對拒不履行信息網絡安全管理義務罪的設立理念和構成要件運用進行了闡釋，但在司法實踐中該罪名適用甚少，而即便僅有的相關案例中也出現了一些適用錯誤的問題。例如在起訴書、判決書等司法文書中并沒有說明行為人違反的是何種信息網絡安全管理義務，特別是對于作為嚴重社會危害性的法定后果來說，在大量文書中甚至沒有能夠證明行為人實施了條文中規定的嚴重情節。顯然，本罪在司法活動中仍屬于未被激活的狀態，這與同為《刑法修正案（九）》增設立法的幫助信息網絡犯罪活動罪被廣泛活躍地適用完全不同。造成這一現象的根源在于對罪名的構成要件結構分析和對構成要件要素的解釋存在復雜性，具體來說包括以下幾個方面：

（一）信息網絡安全管理義務的概念模糊導致立法虛置

雖然信息網絡安全管理義務并非刑事義務，但作為構成要件組成部分，其仍然屬于程序性構成要件要素，是犯罪成立的前置性要件。但是，與一般性行政義務不同的是，信息網絡安全管理義務是對各種互聯網中信息安全進行管理、監管義務的統稱。不但義務的內容具有不確定性，而且規定相關義務的法律規范也呈現出多元分布特點。據此，導致拒不履行信息網絡安全管理義務罪在實踐中出現了被虛置的風險。展開來說，主要存在以下兩個方面的問題：

1.信息網絡安全管理義務的界限不明。信息網絡安全管理義務的認定問題除了其內容龐雜、邊界模糊之外，還容易出現本罪與其他犯罪的構成要件競合的問題，即違反信息網絡安全管理義務本身也是刑法規定的其他犯罪。這種競合不但包括其他網絡犯罪，還包括網絡誹謗、網上開設賭場等傳統犯罪網絡化的情況。例如，在何某某、李某某開設賭場案中，兩被告人利用互聯網游戲平臺開設賭場，情節嚴重；又在經營、管理該平臺的過程中不履行信息網絡安全管理義務，且經監管部門責令改正而拒不改正，甚至明知他人利用信息網絡實施犯罪仍為他人提供技術支持。因此同時觸犯了開設賭場罪、拒不履行信息網絡安全管理義務罪和幫助信息網絡犯罪活動罪，擇一重罪處罰。本罪甚少適用的另一原因便是其構成要件行為常常同時符合其他犯罪，沒有突出本罪刑事立法的特殊性。

第一，既有的信息網絡安全管理義務散見于各類法律規范之中。具有有關該義務的文件有：2013年修訂的《消費者權益保護法》、2016年《網絡安全法》以及2018年《電子商務法》等。尤其是《網絡安全法》第21條，已經明確規定了網絡服務提供者的義務。在司法解釋中，主要有《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《國務院互聯網信息服務管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》《電信條例》，等等。具體來說，其內容主要有：（1）落實信息網絡安全管理制度和安全保護技術措施；（2）及時發現、處置違法信息；（3）網絡服務提供者在提供服務過程中，應當對網上信息和網絡日志信息記錄進行備份和留存。

第二，信息網絡安全管理義務的范圍仍然處于動態變化之中。例如拒不履行信息網絡安全管理義務罪問世之初，《網絡安全法》尚未出爐，該義務的內涵自然會隨著《網絡安全法》的出現而發生變化。由于該義務的動態變化，就有學者建議“通過列舉的方式進一步明確信息網絡安全管理義務的內涵”。刑法的處罰應當具有明確性，但在信息網絡時代下即使要求網絡服務提供者及時對信息網絡安全管理義務的內容進行學習和掌握，也不可避免地會出現網絡服務提供者仍然不知新法、新的義務內容的情況。

龐雜和不斷變化的信息網絡安全管理義務來源也足以說明該義務來源的多樣性和復雜性，反映出法律的社會治理方法在規制信息網絡方面的有限性。同時值得注意的是，在《網絡安全法》等重要的規定信息網絡安全管理義務的法律尚未出現之前，本罪就已經被設立的現實雖然表明基于網絡犯罪呈高發多發態勢下，國家積極應對網絡犯罪上升趨勢，防止各種傳統犯罪向互聯網遷移等原因，但也可以證明的是，維護網絡安全的相關法律法規尚不全面、成熟，并有可能長期無法符合立法者期望達到的法律效果。

2.信息網絡安全管理義務與行政責令改正之間的聯系存在壁壘。由于配合義務是該條文真正的刑事作為義務，信息網絡安全管理義務的作用在于限制行政責令的范圍。這表明，該罪名的邏輯脈絡是在網絡服務提供者違反信息網絡安全管理義務后，因拒不改正該違反義務的行為，最終導致相應的情節嚴重的后果，才符合拒不履行信息網絡安全管理義務罪的規定。因此，作為違反信息網絡安全管理義務與發生法定后果串聯的拒不履行行政責令改正，是罪名成立的核心判斷要素。

但責令改正要件在實踐中容易出現問題。除前述對何種義務是刑法作為義務的討論之外，還容易出現忽略構成要件中的兩個義務與情節嚴重之間的因果關系的問題。例如在一起案件中，行為人胡某租用服務器自行制作相關“翻墻軟件”（VPN），在被兩次責令停止進行服務后拒不改正，繼續出租相關的軟件。法院據此對其以本罪判處刑罰。但是在該案中，公訴機關出具的證據中并沒有由于胡某的行為導致相應的刑事案件證據滅失、情節嚴重的后果，本案的不履行義務行為尚未造成相應的嚴重情節，難以認為胡某觸犯了該罪名。

（二）對法定后果的理解存在偏離

根據條文規定，需要發生四種法定的嚴重情形才符合犯罪構成。但是既有案件對法定后果的認定存在問題。例如司法文書中對于行為人實施的盜取公民個人信息、提供非法境外互聯網接入服務（VPN）和開設賭場的行為并未指明屬于何種法定后果以及是否達到了程度要求。該問題出現的另一重要原因是條文對四種行為的規定較為籠統，通常司法實踐依賴司法解釋的細化。即便2019年《網絡犯罪解釋》對該四項嚴重情形進行了較為詳細的規定，特別是其中第6條中再次使用了列舉及其他的立法方式規定了什么是“有其他嚴重情節”，但從現有案例來看，司法機關在審理過程中還是難以正確把握對嚴重情節的判斷。其中第一、二項關于傳播違法信息與泄露用戶信息的規定由于存在較大的解釋空間，尚且可以通過擴大解釋的方法適用。但對于其中第三點的“刑事案件證據滅失”與第四點的兜底條款的解釋仍然存在問題。

1.“刑事案件證據滅失”的類推解釋。該后果雖是為了懲罰妨礙公安機關查處和打擊網絡違法犯罪行為，例如網絡服務提供者非法為他人提供反偵查技術，如VPN代理等，使不法分子借以逃避追究和取證。但在實踐中出現了明顯擴大化傾向，例如行為人僅因出售VPN代理服務而被行政機關責令改正，最終因其拒不改正而獲罪，但并未發生因其違反信息網絡安全管理義務而導致刑事案件證據滅失、情節嚴重的行為。因此值得思考的是，該嚴重后果的存在緣由是什么。

事實上，按照學理解釋和刑法規定，該后果包括的范圍極為有限。例如，如果網絡服務提供者拒不改正的原因是為了暗中幫助網絡犯罪分子，則網絡服務提供者成為共犯，此處的共犯包括片面共犯。而由于2019年《網絡犯罪解釋》第5條的規定中大量存在“造成”“致使”等表述。因此只能認為其影響定罪量刑的刑事案件證據滅失應當產生實際損害的結果。

2.“其他嚴重情節”的同類解釋難題。按照同類解釋規則，對于刑法中的“其他”的解釋應當具有與明文列舉部分社會危害具有相當的程度。但是在該罪名中難以判斷前三中嚴重情形有何相似之處，有學者試圖舉例為“如引發群體性事件；引發公共秩序混亂；引發民族、宗教沖突；損害國家形象，嚴重危害國家利益；造成重大財產損失；拒不改正，態度惡劣等”。即使是2019年《網絡犯罪解釋》第6條做出了具體規定，但還是難以明晰具體的認定標準，只能表明該危害后果中的網絡信息應當具有一定的公共利益屬性。

四、信息網絡安全管理義務的適用的應然進路

（一）行政責令改正對信息網絡安全管理義務明確性的消解

刑法的處罰應當具有明確性，就該罪的構成要件來說，在信息網絡時代下即使要求網絡服務提供者及時對信息網絡安全管理內容進行學習和掌握，但由于信息網絡安全管理義務的內容存在指向不明與動態變化的情況，因此可能出現作為行為主體的網絡服務提供者提出其不知法律的情況。

但事實上這種問題并不影響罪名的成立，該義務在本罪中的價值意蘊并不因此而存在瑕疵。例如在立法上，2015年《刑法修正案（九）》早于2016年《網絡安全法》，但這并沒有對本罪名的適用造成根本性否定。也就是說，拒不履行信息網絡安全管理義務罪中空白罪狀引用的相關規定尚未明確時并不影響罪名的運行，信息網絡安全管理義務只具有犯罪構成的提示性功能。單純違反該義務并不會觸及刑罰，而觸犯后如被行政機關提示需要履行責令改正時，就能夠明確行為人所觸及的是何種信息網絡安全管理義務。

因此，相關部門做出的行政責令改正行為應當具有一定的形式要求，即具有明確性與書面性等特征。由于行政行為作為國家公權力實施的行為，行政行為本身也應當具有合理性與公信力。對于信息網絡安全管理義務的違反來說，行政機關做出的行政責令改正行為也應當具有相關法律、法規的依據。因此，根據行政責令改正的執法依據，能夠得出行為主體觸犯的是何種信息網絡安全管理義務。

另外，在因果關系判斷上，信息網絡安全管理義務可以限定拒不按照行政責令進行改正行為的刑事處罰范圍。對義務外的行政責令改正要求來說，網絡服務提供者拒不改正也不會符合該罪的構成要件，即便偶然或間接產生了符合該罪名列舉的法定危害后果時也不符合罪名的構成要件。因此，信息網絡安全管理義務只是本罪犯罪構成的前置性行政義務，對于本罪核心的配合義務來說，拒不履行行政責令改正而發生法定情形的行為也是因為違反了相應的信息網絡安全管理義務，據此就可以避免刑法處罰的不明確性。

（二）法定嚴重情節的抽象化修正

1.法定嚴重情節適用問題的原因。真正令司法者對本罪的適用掣肘的構成要件是法定嚴重情節。由于網絡服務提供者違反了信息網絡安全管理義務與其拒不履行行政責令改正要求的情況出現得較多，司法判斷也相對比較簡單，其社會危害性也有限。因此立法者設定了嚴格的法定嚴重情節來限制罪名的犯罪圈，但這種限制條件過高，并沒有較好地在合適的范圍內規范因拒不履行信息網絡安全管理義務而發生的具有社會危害性的行為。犯罪圈大小需要修正的現實也是出現罪名難以適用、罪名錯誤適用以及本罪容易與其他罪名發生法條競合的原因。

特別是對于上文論及的本罪中第3、4項法定嚴重情節的理解問題來說，對于“致使刑事案件證據滅失，情節嚴重”的判斷，從既有案例的判決書論證來看，法院已經采用了危險犯的認定方法，具有類推解釋的嫌疑。例如行為人提供VPN服務并不必然是為了為他人提供反偵查技術。但根據條文表述，符合這一要求的行為應當僅限于網絡服務提供者提供了平臺服務時，經行政責令改正而拒不改正，繼而確實發生了刑事案件證據滅失實害的結果。而對于“其他嚴重情節”無論是條文表述還是司法解釋，都是將各種情況予以列舉，很難將它們進行歸納，不具有采用同類解釋規制進行解釋的基礎，相關觀點認為只能從行為人所違反的信息網絡安全管理義務的重要程度、是否存在前科情況、造成后果是否嚴重等方面進行解釋，但這種方法仍然難以反映出立法者對本條法定嚴重情節的價值取向。

如果仍然按照既有的條文表述進行理解，可以預見的是在將來很長一段時間內本罪仍然難以被激活。因此，有必要從立法目的與規制方法上，探討法定嚴重情節的修改。

2.合并公約數：法定嚴重情節的立法目的。從本罪的立法目的出發，由于網絡服務提供者并非直接實施犯罪行為，而國家在追究相應犯罪時發現許多平臺企業對相關犯罪行為的監管不作為是危害社會行為的發生或逃避偵查的重要條件之一。因此，違法信息的傳播、用戶信息泄露以及致使刑事案件證據滅失，都相應地對相關犯罪的實施或逃避偵查起到了客觀的幫助作用。但就具體犯罪行為來說，如果也懲罰網絡平臺的監管不作為，則屬于過大延伸了因果關系鏈條，是對于危險的發生認定中過于抽象的危險犯處罰方法。在立法中不易對并不緊迫的犯罪行為采用這種抽象危險犯的立法技術，只能單獨設立新的罪名處罰該類監管不作為，且僅針對由于監管的不作為很容易發生相關其他犯罪的情況。

3.法定嚴重情節的抽象化修正。法定嚴重情節的列舉應當考慮兩個因素：第一，法定嚴重情節的發生極易導致其他犯罪的發生。第二，在網絡環境下，任何違法行為所具有的影響應當適當擴大化理解。例如就同樣的詐騙犯罪行為勞動量而言，傳統詐騙行為通常只能一對一，而網絡環境下一對多并非難事。因此，在網絡犯罪環境下，就網絡平臺監管的不作為引發犯罪的情況而言，作為限定處罰要件的法定嚴重情節必須存在，但其內容雖然需要具備極易導致其他犯罪行為發生可能之外，還可以適當將該標準進行抽象化理解，即重視其他犯罪發生的可能性大小，而并不要求真的監管不作為而發生具體的犯罪行為。

例如，就該法定嚴重情節的前兩項而言，“違法信息大量傳播”包括諸多種類的破壞國家、社會、個人內容的信息。而“用戶信息泄露”也包括用戶基本信息、行為類信息與反映用戶行為與心理的相關信息。但是根據條文與司法解釋的規定，上述兩項的判斷標準也僅僅是法定后果行為本身的量級，而并不要求發生其他具體的犯罪行為。因此，第三項嚴重情節的要求顯然有些苛刻，它要求“致使刑事案件證據滅失”的確定情況出現。但這種情況不但難以出現，而且難以證明。例如，網絡服務提供者故意監管不作為，拒不履行行政責令改正，同時其主觀上希望網絡使用者犯罪行為的證據滅失時，完全可以成立幫助毀滅證據罪。而其僅僅提供相關服務，偶然導致證據滅失時，又很難確定其監管不作為行為確實具有較大的社會危害性。因此，有必要按照上文的標準，統一第三項的構成要件規范程度，將“致使刑事案件證據滅失”轉化為“具有刑事案件證據滅失可能”。而對于第四項的兜底條款，由于其本身已經具有擴大解釋的基礎，因此在適用中需要做出嚴格的限縮解釋，將違反信息網絡安全管理義務且拒不履行行政責令改正的監管不作為的行為僅僅限定在具有極易導致其他犯罪發生可能的情況下。

五、結語

該罪的設立某種意義上是一種刑事立法對社會問題的積極回應，雖然產生了一定的效果，但是也遭到了諸多的質疑。事實上，該罪的構成要件實際上是賦予了網絡服務提供者對于國家監管權的“代監管”關系，使刑事立法與網絡信息發展保持相對平衡，在技術進步的同時賦予法律保障。國家仍然屬于監管的主體，但是網絡服務提供者不能一直以中立的經營者自居，在怠于履行信息網絡安全管理義務且被監管部門責令改正后仍然拒不改正時，將可能受到刑罰處罰。