2019年11月19日
两高发布司法解释 打磨惩治网络犯罪利剑
来源:财经杂志
2019 年 10 月 25 日,两高出台《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(下称《网络犯罪司法解释》)。这部3000多字的司法解释与每一家互联网企业,甚至每一个网民密切相关,其影响与重要性不言而喻。
一言以蔽之,《网络犯罪司法解释》回应了社会关切和群众期待,明确了刑法规定的拒不履行信息网络安全管理义务罪、非法利用信息网络罪及帮助信息网络犯罪活动罪三个罪名的入罪标准,增加了这些罪名的可操作性及适应率,对互联网企业与广大网民提出了更加明确的责任与要求。
2015 年11月1日起施行的《刑法修正案(九)》增设了拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪三个罪名,以期严密网络犯罪刑事法网、打击网络犯罪。但由于对上述网络犯罪条文某些规定的理解存在一些争议,导致其适用情况不太理想,近年来理论界及司法实务界要求出台司法解释以激活上述罪名条款的呼声越来越高。
此次《网络犯罪司法解释》的出台,可谓是应时之需。
《网络犯罪司法解释》“看点”颇多,界定了“网络服务提供者”的范围;拒不履行信息网络安全罪如同悬在互联网企业头上的“达摩克利斯之剑”;非法利用信息网络罪为全体网民的网络言论与行为设置了不可逾越的红线;帮助信息网络犯罪活动罪将严惩网络犯罪黑灰产业中间人。
谁是“网络服务提供者”?
刑法第二百八十六条之一与二百八十七条之二均规定了网络犯罪的主体是“网络服务提供者”。
鉴于网络服务种类繁多,且网络商业模式及分类不断推陈出新,为明确拒不履行信息网络罪的犯罪主体范围,《网络犯罪司法解释》在第一条就界定了网络服务提供者范围,其包括提供如下三类网络服务的单位和个人:第一类是网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;第二类是信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;第三类是利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。
上述三类网络服务提供者不仅仅局限于单位,也包括个人,因此本罪的主体不仅限于经许可及备案的合法的门户网站、网络平台,也包括未经许可的个人网络服务提供者。提供上述网络服务的单位和个人,拒不履行信息网络安全管理义务,经监管部门责令改正而拒不改正的,具有本解释所规定的严重情节或发生严重后果,都有可能构成该罪。
值得注意的是,《网络犯罪司法解释》将利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务也划入网络服务提供者范围,意味着这些提供电子政务、公共服务的网络平台也受到刑法的规制,也可能成为拒不履行信息网络安全义务罪的主体,实际上对其设定了与互联网企业相同的信息网络安全义务。
由于政务、公共服务平台信息高度真实、敏感且具有巨大商业价值,加之风控措施相对较差,上述平台信息保护形势比较严峻。从近几年地下数据交易的情况来看,交易量最高的数据往往是车主信息、博彩网站的注册信息、高铁乘客信息、开房信息、个人简历、银行大客户以及全国股民信息等。《网络犯罪司法解释》将上述电子政务与公共服务网络平台纳入网络服务提供者范围,无疑将有助于督促其履行信息网络安全义务,加强风控措施。
拒不履行信息网络安全罪:互联网企业的“达摩克利斯之剑”?
拒不履行信息网络安全管理义务罪是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播,或致使用户信息泄露,造成严重后果,或致使刑事犯罪证据灭失、严重妨害司法机关依法追究犯罪,或有其他严重情节的行为。“经监管部门责令采取改正措施”是网络服务提供者构成本罪的前提条件。该罪名司法实践中极少得到适用,“经监管部门责令采取改正措施而拒不改正”的规定过于原则,难以把握。《网络犯罪司法解释》第二条、第三条对上述规定进行了如下细化及限制:
其一,与《网络安全法》第8条规定相衔接,《网络犯罪司法解释》指明了对信息网络安全负有监管职责的部门为网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门。
其二,《网络犯罪司法解释》规定了监管部门责令采取改正措施的具体形式,须“以责令整改通知书或者其他文书形式”,限定于书面责令形式,澄清了此前责令形式“是否必须以书面形式,还是在可能造成重大网络安全事故的紧急情形下也可以采取口头方式”的争议。
其三,《网络犯罪司法解释》规定了责令改正措施的内容,必须有法律、行政法规依据,改正措施及期限应明确、合理、现实,即网络服务提供者应具备按照要求采取改正措施的能力。其中将“网络服务提供者是否具有按照要求采取改正措施的能力等因素”作为判断其是否拒不改正的标准之一,这可以起到安全阀的作用,避免对网络服务提供者提出超出其对信息网络安全管控能力的要求,使得网络服务提供者停止所有可能引起刑事责任的网络服务,引发网络空间的寒蝉效应,阻碍互联网技术的发展及信息交流。
其四,《网络犯罪司法解释》划定了拒不履行信息网络安全义务罪所要求的“致使违法信息大量传播”“致使用户信息泄露,造成严重后果”以及“致使刑事案件证据灭失,情节严重”“其他严重情节”的具体标准,为该罪划定了“起刑点”及区分一般行政违法行为与刑事犯罪的界限。
其中,“致使违法信息大量传播”是指致使传播违法视频文件200个以上的,违法视频文件以外的其他违法信息2000个以上的,向2000个以上用户账号传播违法信息等情形;“致使用户信息泄露,造成严重后果”参照《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,根据不同泄露信息的不同种类规定了不同的标准,对于行踪轨迹信息、通信内容、征信信息、财产信息等高度敏感的信息起刑点是500条以上的,对于一般敏感信息如住宿信息、通信记录、健康生理信息、交易信息等起刑点是5000条以上,其它信息则为5万条以上,以及信息泄露后造成他人死亡、重伤、精神失常或者被绑架等严重后果、重大经济损失、严重扰乱社会秩序等情形;“致使刑事案件证据灭失,情节严重的”主要指造成危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪案件四类重大案件的证据灭失、严重影响刑事诉讼程序等情形,这条规定无疑将倒逼网络服务提供者对上述四类犯罪信息加大审查与证据信息保存力度,将上述工作作为刑事合规工作的重中之重。
拒不履行信息网络安全义务罪尽管较少适用,但对于网络平台的威慑力极大,有如悬在网络平台头上的“达摩克利斯”之剑,一旦落下,可能就是致命的。根据《网络犯罪司法解释》,一旦泄漏信息被不法分子利用实施犯罪导致被害人死亡、重伤、精神失常或者被绑架等严重后果也可入罪。但网络平台的开放性延长了犯罪链条,犯罪分子随时可能介入滥用泄露信息,而其何时滥用及如何滥用,网络平台是无法控制的。上述规定可能有以结果论罪之嫌,未免显得过于严苛。
另外,这一罪名解释的适用须考虑到互联网经济生态复杂、犯罪链条深长的现实,不能在无法查清泄露信息源头的情况下一律追究网络平台的责任。以电子商务为例,参与主体有店铺经营者、物流、第三方支付和银行卡、网络平台以及推广商、广告商、数据服务商等,到底在哪个环节泄露公民信息有时难于确定。当前个别用户为利益主动提供甚至出售自己的个人信息、身份证件、银行卡、手机卡的情况也不鲜见,但由于数据信息的内容和格式大都有明显的某一平台的识别性,在泄露源头不清楚的情况下,监管部门一概责令平台改正不公正也不现实。
《网络犯罪司法解释》要求,责令改正的措施要具体明确而现实,也对监管部门切实履行监管职责、转变监管观念、提高监管能力提出了要求,避免一般性地下达“责令限期整改”等空洞、抽象的行政命令。对于大型门户网站、头部企业来说,最为理想的情况是使得本罪成为永不落下的“达摩克利斯之剑”,为监管部门提供监管“牙齿” 与武器,督促互联网进行规范的企业合规与风控,实现监管部门与互联网企业的齐抓共管、良性互动,为网民创建一个清朗的网络空间。
非法利用信息网络罪:全体网民的红线?
当前互联网违法信息泛滥,电子论坛、电子商务平台上充斥大量“重金求子”等诈骗信息,枪支刀具、“听话水”、“麻醉药”等违禁品销售信息,以及“传授开锁方法”、“自制火药”等传授犯罪方法信息。上述信息为实施诈骗、故意杀人、故意伤害、强奸等暴力犯罪准备工具、制造条件,便利了上述犯罪的发生,《刑法修正案(九)》设立非法利用信息网络罪将上述传统犯罪的预备行为规定为独立的犯罪行为,从源头进行网络违法犯罪信息治理,将刑法介入上述犯罪的时点提前。
根据刑法第二百八十七条之一的规定,实施上述行为情节严重才构成犯罪。但达到何种程度属于情节严重,司法实践中标准不统一,导致法律适用不平等,有些非法利用信息网络案件仅作为行政违法行为处罚,有些按照处罚较重的诈骗罪等定罪处罚,少数案件以本罪处罚。
《网络犯罪司法解释》进一步明确非法利用信息网络罪的主观目的、入罪标准及“发布信息”的含义。针对实践中不法犯罪分子为了规避信息审查及屏蔽不发布直接违法信息内容,而是发布信息链接、截屏或者发布网盘的访问账号、密码等情形,司法解释将“利用信息网络提供信息的链接、截屏、二维码、访问账号密码及其他指引访问服务也解释为“发布信息”。据此,发布信息不仅仅指发布诈骗、违禁品的文字、图片、视频等直接表述上述违法犯罪内容的信息,也包括可以导引至上述信息内容的链接、截屏、二维码、账号密码等间接的导引路径信息。
这种解释是否超出了刑法第二百八十七条之一“信息”的字面含义进行了扩大解释,以及这种解释是否符合罪刑法定原则的要求,还有待于学界及司法实践的探讨。据此,向群组成员数累计达到3000以上的通讯群组发送包含上述信息的链接、二维码等或者在关注人员账号数达到3万以上的微博等社交网络上张贴包含上述信息的链接、二维码等,可能都会构成本罪。该条规定无疑给人们利用社交媒体设定了发布链接、二维码等信息内容的原则与底线,即在网络发布信息不得涉及本条所规定的违法犯罪信息,无论是直接信息内容还是间接的路径导引信息。虽然本罪不是过失犯罪而是故意犯罪,但如果有可能知道其所发布的链接、二维码、账号密码涉嫌诈骗、传授犯罪方法等信息而未点击确认,也可能构成间接故意形式的非法利用信息网络罪。
实践中设立钓鱼网站获取用户账号密码进行诈骗的案例时有发生。2015年胡某为实施诈骗活动的台湾地区居民设立、维护专门用于实施违法犯罪活动的虚假“中华人民共和国最高人民检察院网站”等非法网站,致使李某登录虚假的“最高人民检察院网站”等非法网站,造成巨额经济损失。鉴于金融机构、国家机关网站被仿冒后被害人受骗风险与损失程度都极大,《网络犯罪司法解释》对假冒国家机关、金融机构名义设立网站采取零容忍态度,即使仅设立一个上述钓鱼网站也构成犯罪。
帮助信息网络犯罪活动罪:惩治黑灰产业中间人
网络空间的匿名性与扩散性使得其日益成为犯罪的温床,孕育了庞大而联系松散、分工细化的黑灰产业链。产业链环节上的犯罪嫌疑人无需互相接触,信息网络技术可为犯罪的实施提供技术支持与联通。互联网的联通放大了犯罪的规模与效应,也增加了司法机关侦查与证明犯罪的难度。
《刑法修正案(九)》增加了帮助信息网络犯罪活动罪,将明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、支付推广等帮助行为单独规定为犯罪。但本罪在司法实践中适用混乱,司法机关对于帮助者“明知”及被帮助者“实施犯罪”的理解不一,案件在侦查、起诉、判决界定司法机关适用罪名多不一致,显示司法机关内部对于网络帮助行为的定性存在较大分歧,且改判率较大。大多数网络帮助行为都按照处罚较重的诈骗罪、传播淫秽物品牟利罪、非法经营罪、侵犯公民个人信息等其它犯罪论处,仅有少部分案件以帮助利用信息网络罪论处。
此次《网络犯罪司法解释》明确了上述问题。根据《网络犯罪司法解释》第十一条规定,网络平台等经监管部门告知、接到举报后仍不履行法定管理职责继续提供服务属于“明知”,司法判例中能够确凿认定“明知”的大多属于这种情形。
当前色情、赌博、诈骗团伙为逃避侦查,往往通过违反国家支付结算制度未经许可、依托第三方支付平台的所谓“第四方平台”层层转账、转移资金,危害甚巨,为此公安机关近年加大对“第四方平台”的查处力度。2019年1月福建、北京、河北等地公安机关查处为网络犯罪提供资金通道的第四方支付平台、抓获犯罪嫌疑人 42名。对于这种情形下的“明知”证明问题,《网络犯罪司法解释》明确将“提供服务交易价格或者方式明显异常的”规定为具有明知,可谓是为收取高额“佣金”或“手续费”的“第四方支付平台”量身订做。
此外,如果网络服务提供者专门提供用于违法犯罪的程序、工具或者其他技术支持、帮助的,或提供服务时频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查的,或为他人逃避监管或者规避调查提供技术支持、帮助的,就丧失了所谓“技术中立性”,无论是否对他人具体犯罪计划有认识,也视为明知情形。例如,在互联网销售“改号软件”提供“改号服务”便利他人实施犯罪活动,由于”改号软件”具有任意更改显示号码、无法查找呼叫原号码、隐蔽性强等特点,国家已明令禁止销售此类商品或提供此类服务的违法行为,即属于上述情形,应认定具有对他人实施犯罪的明知,构成本罪。
网络犯罪链条上下游联系松散,犯罪行为人之间往往素未谋面,具有所谓“非接触性”特征,帮助者可能仅认识到被帮助者的行为可能涉嫌犯罪,但具体该犯罪是否达到犯罪所要求的情节、数量要求,以及犯罪具体实施到何种阶段及程度等往往并不了解。尤其是被帮助的下游犯罪行为人呈广泛的区域分布,有些甚至身处国外,被帮助的犯罪行为未达到或者无法确定是否达到犯罪程度,是否影响帮助者构成犯罪?对这一此前存在广泛争议的问题,《网络犯罪司法解释》给出了答复:确因客观条件限制无法查证被帮助对象是否达到犯罪的程度,但相关数额总计达到《网络犯罪司法解释》规定标准五倍以上,或者造成特别严重后果的,应当以帮助信息网络犯罪活动罪追究行为人的刑事责任。“被帮助对象实施的犯罪行为可以确认,但尚未到案、尚未依法裁判或者因未达到刑事责任年龄等原因依法未予追究刑事责任的,不影响帮助信息网络犯罪活动罪的认定。”该规定可以有效震慑为服务器设置在境外的淫秽色情网站提供宽带接入、支付结算等服务的行为人,即使色情网站运营者无法到案或者营利所得无法查清,也可以根据新的解释定罪处罚。
《网络犯罪司法解释》明确了哪些情况下可以认定或推定网络服务提供者对被帮助的犯罪行为具有明知,无疑将廓清实践中的混乱认识,提高该罪的适用率。该罪的惩治的对象主要针对为淫秽、赌博网站及违禁品买卖的网站及个人提供信息传输支持与支付推广等帮助的不法网络服务提供者,即为网络犯罪提供帮助的黑灰产业“中间人”。
但也要注意到,过于宽泛的解释及不区分网络服务提供者服务技术类型,可能导致误伤合法提供网络信息传输技术支持的网络服务提供者。
网络服务提供者具有不同的技术类型,对所传输的信息控制与监管的能力也各不相同。中国《信息网络传播权保护条例》采纳了网络自动接入、自动传输、内容缓存、信息存储、搜索或链接等网络服务提供者分类,并分别规定了不同的免责情形,司法实践中“微信小程序案”和“阿里云”案等也承认了并非所有网络运营者均具有相同的内容管理义务。
从国际立法来看,美国《数字千年版权法(DMCA)》将网络服务提供者分为短暂的数据网络通讯提供者、系统缓存提供者、信息存储服务提供者和信息定位工具提供者,也分别规定责任豁免情形。以德国《远程媒体法》为代表的欧盟也采取了类似的阶梯式的责任限制,将网络服务提供者责任根据度其对所传输信息的控制支配程度从网络存储、系统缓存到网络接入依次降低。
一般来说,电信、宽带公司、域名解析等网络接入服务提供者对所传输的信息不进行存储,要求其对所有信息进行实时监控也不现实,如果因为其在服务过程中接到举报反映其传输的信息包含犯罪信息而没有及时处理或者停止服务就认为其构成帮助信息网络活动罪,可能打击面过广,过于扩大了刑事可罚圈的范围。
《网络犯罪司法解释》细化刑法第二百八十六条之一至第二百八十七条之二网络刑法条款,澄清理论及实务界对条文理解的争议,向日益猖獗的网络犯罪亮剑。但如何在用户、平台之间进行责任平衡,对网络平台根据其类型功能进行适度责任豁免,实现网络犯罪及黑灰产业的精准打击而不致扼杀互联网产业创新与用户行为活性,是数字经济时代立法者与司法者必须应对的挑战,也是值得网络产业界、网络用户及全社会的关注与思考的时代话题。