286-1
第二百八十六条之一 【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
【本条释义】
本条共分三款。第1款是关于对网络服务提供者不履行法律、行政法规规定的安全管理义务如何定罪处罚的规定。根据本款规定,不履行网络安全管理义务犯罪具有以下特征:
1.犯罪的主体是网络服务提供者,包括通过计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,向公众提供网络服务的机构和个人。根据其提供的服务内容,可以分为互联网接入服务提供者和互联网内容服务提供者。其中,互联网接入服务提供者为终端用户提供专线、拨号上网或者其他接入互联网的服务,包括物理网络提供商和网络接口提供商;互联网内容服务提供者向用户提供新闻、信息、资料、音视频等内容服务,如新浪、搜狐、163等国内知名互联网企业就是典型的互联网内容提供商。此外,按照服务对象和提供的信息的不同,还可以进一步分为网上媒体运营商、数据库运营商、信息咨询商和信息发布代理商等。
2.犯罪客观方面,须具备下列条件:一是行为人不履行法律、行政法规规定的信息网络安全管理义务;二是行为人经监管部门责令改正而拒不改正;三是行为人拒不改正的行为导致特定危害后果的发生。
1.行为人不履行法律、行政法规规定的信息网络安全管理义务。根据本款规定,网络服务提供者不履行网络安全管理义务,是指不履行法律和行政法规规定的义务。司法实践中在认定行为人是否有不履行相关安全管理义务的行为时,需要结合相关法律、行政法规关于安全管理义务的具体规定和要求认定。这方面的法律、行政法规主要有《全国人大常务委员会关于加强网络信息保护的决定》、国务院《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》《中华人民共和国电信条例》等。根据这些法律、行政法规的规定,网络服务提供者的安全管理义务主要有:(1)落实信息网络安全管理制度和安全保护技术措施。互联网服务提供者应当建立相应的管理制度,包括网站安全保障制度、信息安全保密管理制度、用户信息安全管理制度等。如关于加强网络信息保护的决定要求网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息;应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失;在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。(2)及时发现、处置违法信息。根据《中华人民共和国电信条例》《互联网信息服务管理办法》等规定,互联网信息服务提供者应当向上网用户提供良好的服务,并保证所提供的信息内容合法。任何单位和个人不得利用互联网制作、复制、查阅和传播违法信息,网络服务提供者发现上述信息,应当立即停止传输该信息,采取删除网络中含有上述内容的地址、目录或者关闭服务器等处置措施,同时保留有关原始记录,并向主管部门报告。(3)网络服务提供者在提供服务过程中,应当对网上信息和网络日志信息记录进行备份和留存。如《互联网信息服务管理办法》要求从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。
2.“经监管部门责令采取改正措施而拒不改正”。这里的监管部门是指依据法律、行政法规的规定对网络服务提供者负有监督管理职责的各个部门。由于信息网络安全涉及面较广,相关监管部门也涉及各个领域。如《互联网信息管理办法》规定,国务院信息产业主管部门和省、自治区、直辖市电信管理机构,依法对互联网信息服务实施监督管理,新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门,在各自职责范围内依法对互联网信息内容实施监督管理。《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》授权国家互联网信息办公室负责全国互联网信息内容管理工作,并负责监督管理执法。《计算机信息网络国际联网安全保护管理办法》规定,公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。这里的“责令采取改正措施”应当是上述负有监督管理职责的部门,根据相关网络服务提供者在安全管理方面存在的问题,依法提出的改正错误,堵塞漏洞,加强防范等要求。即责令的主体,责令的方式和程序,都要有法律、行政法规的依据,符合依法行政的要求。至于监管部门“责令采取改正措施”的形式和内容,往往要视具体情况而定。有的是监管部门发现网络服务提供者安全防范措施不符合要求,要求其采取加强措施;有的是发现网络服务提供者没有严格执行相关安全管理制度,如对网上信息内容和网络日志信息记录备份不全或留存时间过短等;有的是在日常安全检查时发现网络上出现违法信息,要求网络服务提供者采取临时性补救措施,如监管部门发现传播违法信息的网址、目录或者服务器,通知网络服务提供者删除信息、关闭服务,防止信息进一步扩散;还有的是依法采取相关处罚措施,如责令停业整顿或者暂时关闭网站;等等。
3.网络服务提供者被监管部门责令采取改正措施而拒不改正,并导致了特定危害后果的发生。“拒不改正”是指明知而故意加以拒绝,实践中,认定网络服务提供者是否“拒不改正”,应当考虑以下因素:(1)网络服务提供者是否收到监管部门提出的责令采取改正措施的要求;相关责令整改要求是否明确、具体。(2)网络服务提供者对监管部门提出的采取改正措施的要求,在主观上是否具有拖延或者拒绝执行的故意。(3)网络服务提供者是否具有依照监管部门提出的要求,采取相应改正措施的能力。对于确实因为资源、技术等条件限制,没有或者一时难以达到监管部门要求的,不能认定为是本款规定的“拒不改正”。
根据本款的规定,网络服务提供者拒不采取改正措施,导致了下列危害后果的发生的,才能追究其刑事责任:(1)致使违法信息大量传播。违法信息是指其内容违反相关法律法规规定的信息。如电信条例规定,“违法信息”是指含有反对宪法所确定的基本原则;危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一;损害国家荣誉和利益;煽动民族仇恨、民族歧视,破坏民族团结;破坏国家宗教政策,宣扬邪教和封建迷信;散布谣言,扰乱社会秩序,破坏社会稳定;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;侮辱或者诽谤他人,侵害他人合法权益;含有法律、行政法规禁止的其他内容等的信息。违法信息大量传播,会对公民的人身权利、财产权利以及国家安全、社会稳定等造成严重损害,因此,网络服务提供者拒不采取改正措施,致使发生违法信息大量传播的危害后果的,应当依照本款规定追究刑事责任。需要注意的是,造成违法信息大量传播本身就是其行为造成的危害后果,只要事实上造成了违法信息大量传播,即可构成本罪,而不是一定要发生具体的实害性的犯罪结果。认定违法信息大量传播,主要可根据违法信息的数量、被转载的次数、受众的人数以及传播的具体渠道等因素综合考量。(2)致使用户信息泄露,造成严重后果的。这里的“用户信息”主要包括三类:一是关于用户基本情况信息,如网络服务提供者在服务的过程中收集的个人用户的姓名、出生日期、身份证件号码、住址、电话号码等,以及企业用户商业信息等。这类信息通常涉及用户个人隐私,也是法律保护的重点。二是用户的行为类信息,如用户购买服务或者产品的记录;与企业的联络记录;用户的消费行为、偏好、生活方式等相关信息。例如,电子商务网站记录的用户购买的商品、交易的时间、频率等;移动通讯公司记录的用户的通话时间、时长、呼叫号码、状态、通话频率等。三是与用户行为相关的,反映和影响用户行为和心理的相关信息,包括用户的满意度、忠诚度、对产品或服务的偏好、竞争对手行为等。上述用户信息有的涉及公民个人隐私,有的属于企业商业秘密,根据相关法律、行政法规的规定,网络服务提供者应当对其收集或者保存的用户信息采取保护措施,防止信息的泄露。“造成严重后果”包括:导致用户遭到人身伤害、名誉受到严重损害、受到较大经济损失、正常生活或者生产经营受到严重影响等。(3)致使刑事案件证据灭失,情节严重的。主要是指网络服务提供者未按照要求保存用户信息或者采取其他安全防卫措施,导致相关刑事追诉活动因为重要证据灭失而遭受严重障碍。这里的“情节严重”,主要可以根据所涉及的案件的重大程度,灭失的证据的重要性,证据灭失是否可补救,对刑事追诉活动的影响等因素综合考量。(4)有其他严重情节的。这一规定是为了应对实践中可能出现的各种复杂情况,所作的一项兜底规定。司法实践中在具体适用时,可以参考本款前三项规定的情形中造成的社会危害程度,结合行为人拒不采取改正措施给公民合法权益,给社会公共利益以及国家利益造成的危害后果的具体情况认定。
对于本罪的刑罚,根据第1款的规定,网络服务提供者不履行安全管理义务,构成犯罪的,处3年以下有期徒刑、拘役或者管制,并处或者单处罚金。
第2款是关于单位不履行网络安全管理义务的处刑规定。实践中,网络服务提供者多数为互联网企业,现行法律、行政法规对互联网企业的安全管理义务都有明确具体的规定,只有互联网企业切实履行法律、行政法规赋予的安全管理义务,网络安全才能够真正落到实处,因此,本款对单位犯罪的处刑作了规定。根据本款规定,单位犯本罪的,实行双罚制,即对不履行网络安全管理义务的单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第1款的规定,处以3年以下有期徒刑、拘役或者管制,并处或者单处罚金。
第3款是关于有前两款行为,同时构成其他犯罪的,如何定罪处罚的规定。本条是对网络服务提供者拒不履行安全管理义务犯罪的专门规定,实践中网络服务提供者拒不履行安全管理义务的行为,根据其具体情况还可能构成刑法规定的其他犯罪,如刑法第120条之三规定的宣扬恐怖主义、极端主义的犯罪,第364条规定的传播淫秽物品罪,第398条规定的故意或者过失泄露国家秘密罪,第307条规定的帮助毁灭、伪造证据罪,第311条规定的拒绝提供间谍犯罪、恐怖主义、极端主义犯罪证据罪等。根据本款的规定,对网络服务提供者不履行网络安全管理义务,构成其他犯罪的,依照处罚较重的规定定罪处罚,即从一重罪定罪处罚。
【立案标准】
最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释
第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释
最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见
三、全面惩处关联犯罪
(六)网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使诈骗信息大量传播,或者用户信息泄露造成严重后果的,依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪追究刑事责任。同时构成诈骗罪的,依照处罚较重的规定定罪处罚。
最高人民法院 最高人民检察院 公安部 司法部《关于依法惩治妨害新型冠状病毒感染肺炎疫情防控违法犯罪的意见》
二、准确适用法律,依法严惩妨害疫情防控的各类违法犯罪
(六)网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使虚假疫情信息或者其他违法信息大量传播的,依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。