本文共字，预计阅读时间。

网络空间以法律的形式在《国家安全法》第25条确立。在传统主权国家空间，国家各类机构、社会多种组织遍及领土、领海、领空；在网络空间，尤其是“互联网＋”时代，网络平台则承担着组织、交流、管理等多项职能，相应的承担着更多义务。《网络安全法》第74条，明确了违反该法规定，构成犯罪的，依法追究刑事责任。本文以刑事犯罪入口来谈谈网络平台可能面临的刑事法律风险。

一、网络平台义务

（一）网络平台分类

笔者以为，网络平台承担刑事责任应当以对网络平台类型化为前提。那么何为网络平台？笔者认为网络平台就是利用互联网技术搭建一个网站或者APP，通过提供内容等服务，促进双方或者多方需求平衡。这种需求根据内容可能是新闻资讯、娱乐购物或者沟通交流等。

1. 按服务主体区分。包括UGC(User-generated Content，即用户生产内容，如火山视频、新浪微博、知乎等)、OGC（Occupationally-generated Content，即职业生产内容，如人民网、新浪、搜狐等新闻资讯网站）和PGC（Professionally-generated Content，专业生产内容，如今日头条）。PGC和OGC的区别，相对容易，以是否领取相应报酬作为分界，PGC往往是出于“爱好”，义务的贡献自己的知识，形成内容；而OGC是以职业为前提，其创作内容属于职务行为。

具体到OGC网站平台，基本上是走媒体型的路线，根据《互联网新闻信息服务管理规定》，新闻信息要经过新闻单位报道刊发后，取得互联网新闻信息服务许可证的商业网站获得新闻单位的版权后才能转载报道。因此网易、腾讯等商业网站是国家二类新闻资质单位，其需要获得人民网、新华网等国家二类新闻资质单位的版权后，才能转载且必须注明来源、不得删减新闻内容。

另外，UGC网络平台的注意义务和管理义务明显要低于OGC网络平台。以微博为例，由于其内容均来源于网友的主动上传，假设出现了宣扬恐怖、暴力、色情等内容的信息时，微博仅仅需要及时删除即可，反之OGC网站则责任就完全不同，因为内容更多的网站自身主动创作，出删除内容外，很大概率承担民事、行政、甚至是刑事责任，下文将举例说明。

2. 按服务内容区分。包括网络信息内容提供者（ICP，即自己组织信息通过网络向公众传播的主体，如门户网站、网购交易网站）、网络服务提供者（即为传播网络信息提供中介服务的主体，如社交网站、P2P网站）。这类分类思路起源美国《数字千年版权法》（1998年），确定了以是否参与内容制作以及是否对内容知情为网络服务提供者在法规范视野内类型化的依据，网络服务提供者属于不参与内容制作并对内容不知情者。网络服务提供者有分成3类：中间服务提供者（如网络接入、服务器托管等）、互联网信息服务提供者、第三方交易平台服务提供者（提供网络商品交易、网络金融服务等活动进行第三方交易平台的）。

特别需要提醒的是，“网络服务提供者”这一概念在2010年颁行的《侵权责任法》、2013年修订的《信息网络传播权保护条例》以及刑法第286条之一拒不履行网络安全管理义务罪予以明确，而《网络安全法》提到了“网络产品和服务提供者”“关键信息基础设施运营者”“网络运营者”等多个概念。学界和司法实践部门对于刑法关于拒不履行网络安全管理义务罪的责任主体做限缩解释还是扩大解释，一直存在争议。如谢望原教授认为，网络服务提供者不能只局限于早期欧美立法上的“服务提供者”的范围,而是包括了公用电话网服务、广播电视网服务和计算机网络服务的提供者[1]，又如敬力嘉博士认为根据拒不履行网络安全管理义务罪中“不履行法律、行政法规规定的信息网络安全管理义务”及相应后果的规定，可以认定本罪主体是不参与内容制作并对内容不知情的网络服务提供者[2]。本文赞同谢望原教授的观点，具体论证下文将会详细阐述。

3. 按行为方式区分。包括参与交换型（即承担引导资源交换功能，又承担收集、提供资源内容的职能）、引导交换型（即至承担引导资源交换，不承担收集、提供资源内容的职能）。当前，很多网络平台均兼具以上两种特点，需要根据具体行为予以判断。以神州专车为例，在神州专车平台上，既有神州的自有车辆，还有神州合作的U+平台接入的非神州自有车辆。这种分类判断在于区分网络平台是否具有中立性，是否对网络平台信息负有主动审查的义务。

（二）网络平台义务来源

从刑法角度，网络平台义务来源于法律和行政法规，如《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《反恐怖主义法》《电信和互联网用户个人信息保护规定》《计算机信息网络国际联网安全保护管理办法》等等，不一而足。具体而言，平台作为网络运营者承担的主要法律义务包括：

1. 用户身份管理的义务。根据《网络安全法》第24条的立法精神，网络运营者为用户提供信息发布等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息，对于当事人相关资质做出必要的审核。可以看出，网络平台不再是单纯的商业活动经营者，并非只承担中立义务，而更多的是兼具网络服务提供者与网络安全管理者双重主体身份。如2017年7月14日发生的李文星事件，死者李文星在BOSS直聘网站被假冒正规公司的传销组织录用，后意外溺水死亡。事件发生后，BOSS直聘被北京市网信办、天津市网信办联合约谈。

2. 保护和合理使用用户信息的义务。可能触及刑法第253之一、285、286，对应的是侵犯公民个人信息罪非法获取计算机信息系统数据罪、破坏计算机信息系统罪。《网络安全法》第40-45条完整的建立起以用户同意原则为基础、网络运营者担负维护用户个人信息完整、合法使用的义务。其中第44条，明确“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”。在此之前，《电信和互联网用户个人信息保护规定》《刑法》及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》均规定了个人信息保护。而《网络安全法》在强调了个人信息保护重要性的基础上，规定了如何落实相关信息保护制度。

一直以来，用户个人信息归谁所有、如何使用等问题争论不休。2017年6月1日，顺丰速运和菜鸟网络先后关闭与对方的数据接口，这一做法直接导致用户无法在淘宝网选择顺丰作为快递服务公司，反之亦然。对此顺丰速运官方微博回应中的第三条：菜鸟于5月基于自身商业利益出发，要求丰巢提供与其无关的客户隐私数据，此类信息隶属于客户，丰巢本着“客户第一”的原则，拒绝了这一不合理要求。假设，菜鸟的要求合理，顺丰是否可以向其提供用户个人数据？又或者，丰巢某一客户明确要求顺丰将自己的个人数据向菜鸟提供，顺丰是否应当无条件答应并立即执行？实际上，关于上述疑虑《网络安全法》第10条就已经有了明确规定，即网络建设者、运营者承担维护网络数据的完整性、保密性和可用性的责任。一言以蔽之：授权范围内合理、安全使用。具体到顺丰、菜鸟数据之争，则属于《网络安全法》落地实施的问题。

3. 信息网络安全管理义务。UGC网站平台表现尤为明显，触犯刑法第286条之一拒不履行网络安全管理义务罪的风险较高。基于《网络安全法》第47条的明文规定，网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。国务院《计算机信息网络国际联网安全保护管理办法》有更为详细的规定，如该办法第10条列明“信息网络安全的管理”包括网络内容监管、网络经营监管、网络经营许可监管等。2017年8月11日，国家网信办立案调查微信、微博、百度贴吧三家网站平台，指责上述三家平台内容存在用户传播暴力恐怖、虚假谣言、淫秽色情等危害国家安全、公共安全、社会秩序的信息，涉嫌违反《网络安全法》等法律法规，对其用户发布的信息未尽到管理义务。

（三）域外平台义务规定

其他国家“以网管网”的特色较为明显，因此笔者主要介绍域外对网络平台的管理义务。

1. 协助执法义务。该项义务主要是指以网络平台为代表的网络服务提供者协助侦查机关以技术手段获取他人通信内容或者通信相关数据，包括通信监控、数据留存及其附随的提供技术协助、保密等义务。以协助通信监控为例，德国2004年《电信法》《电信监控法令》，美国1994年《通信协助执法法》，欧盟《欧盟理事会关于合法拦截通信的决议》等，这些法律和国际公约因涉及侵犯公民隐私权而广受批评。如去年FBI大战苹果就是一例。[3]

2.内容信息监管义务。如2000年《欧盟电子商务指令》中规定：（1）一般性非监管义务和特殊情况下法律或者命令规定的监管义务；（2）知晓非法活动后迅速删除、阻止他人访问非法信息义务；（3）缓存、存储服务提供者在知晓非法活动后，必须迅速移除或者组织他人访问涉及的信息才能免责。以上免责规定“不影响法院或者行政机关根据成员国的法律制度，要求服务者终止或者预防侵权行为的可能性”；（4）也不适用于“服务提供者故意与服务接受者合作实施超纯粹传输义务或缓存活动的非法行为”。

3. 用户数据保护义务。如德国2007年《电信媒体法》规定，服务提供者保护用户数据的义务，只能在相关法律行为许可或者用户同意的范围内，为了提供电信多媒体服务或者为了其他目的而收集和使用个人数据，有权机关可以依法要求网络服务提供者提供个人数据，协助相关部门履行法律职责。

二、刑事法律风险

除了上文《网络安全法》提供了网络平台入刑的路径之外，其背后的理论依据是什么？学界存在不同的看法。多数观点是“中立帮助行为正犯化”作为理论根据[4]；第二种观点认为入罪的根据是“保证人地位 (说) ”或曰“不作为说”，[5]第三种观点是“监管过失说”[6]。上述观点代表了学界从不同层面对网络平台入罪问题的理论思考，同时也表明这一问题存在诸多争议。本文认为，中立帮助行为正犯化是传统共犯理论在互联网领域的延伸，目前理论本身仍存在颇多适用争议，难以形成共识，且其理论价值更在于约束和限制刑法对中立帮助行为的追责。而从“以网管网”的基本定位来看，“监督过失说”或“不作为说”的思维进路似乎更有道理。但这里需要进一步说明的是，《刑法修正案 (九) 》增设了“拒不履行信息网络安全管理义务罪”乃是考虑到网络平台服务提供者在网络监管中“不尽职责”或“不负责任”的态度，不能等同于立足于责任事故类犯罪的“监督过失说”，[7]也不同于不作为犯罪中的“保证人地位说”。[8]

（一）拒不履行网络安全管理义务罪

拒不履行网络安全管理义务罪，是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使违法信息大量传播的，致使用户信息泄露，造成严重后果的，致使刑事案件证据灭失，情节严重的，有其他严重情节的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。

1. 本罪的犯罪客体为简单客体，即信息网络安全。结合本罪的危害后果如违法信息大量传播、用户信息泄露造成严重后果、刑事案件证据灭失情节严重等等，显然本条立法目的旨在保护社会秩序免受信息网络的破坏。

2. 本罪的责任主体是网络服务提供者，哪些网络平台主体适格呢？这需要结合法条本身进行实质解释。首先，网络服务提供者应当具备管理、控制网站平台用户个人信息、平台内容信息、平台数据库等实质权限，离开了这点就无从谈及不履行法律、行政法规规定的义务，因为权责义三者是统一的整体。第二，一旦网络平台出现了第286条之一的危害后果，责任并不必然规则给网络平台。以UGC形式的微博为例，微博运营商、微博服务器提供商均有能力对用户信息、用户发布内容进行处理，微博一旦发生用户信息泄露造成严重后果，从权限主体若并非微博本身管理问题，而是服务器提供商“内鬼”所为，那么以危害结果去追求微博运营商的本罪责任则有失公允。第三，如今的网络平台功能更加复合、多元，像有的学者所说的“不参与内容制作并对内容不知情的网络服务提供者”事实上已经在互联网行业难以见到，如于志刚教授认为“今天的互联网与诞生之初相比已经貌合神离---它不再是单纯的信息媒介”[9]。笔者以UGC模式的典型知乎为例，目前该平台上不仅有用户参与话题讨论、知乎周刊，还有知乎书店、付费咨询等，并且在平台首页，知乎根据用户兴趣爱好，根据计算机算法向用户精准推送个性化内容。故，在这一背景之下倘若仍然拘泥“不制作内容且对内容不知情的”，则脱离实际，也并非立法初衷。总之，本罪的责任主体内涵远大于网络平台。因此，笔者赞同谢望原教授的观点，网络服务提供者包括网络上一切提供设备、信息和中介、接入等技术服务的个人、网络服务商以及非营利网络服务提供者。

3. 本罪的客观方面表现为行为人拒不履行信息网络管理义务，属于不作为，必须包括下列两个行为：一是不履行信息网络安全管理义务，二是经监管部门责令改正措施而拒不改正。网络服务提供者必须满足上述两个行为才有可能被追责，仅仅不履行网络安全管理义务并不能构成本罪。笔者上文梳理不作为的义务来源包括但不限于《网络安全法》《侵权责任法》等法律以及《互联网信息服务管理办法》《中华人民共和国计算机信息系统安全保护条例》等行政法规。其他位阶的不属于本罪不作为的义务来源。

本罪的法律义务来源较为明确，但认定的难点在于如何界定该罪描述的“严重后果”、“情节严重”等客观危害结果，这也是网络平台较为关心的。社会危害性、刑事可罚性和应受刑罚处罚性等犯罪特点，要求立法者、司法解释权力机关及时对该罪作出相对具体的规定。当前，笔者尚未查找到关于本罪生效的司法判例。对此，笔者尝试通过比照类似行为、主观恶性、法理等对本罪入罪情节与读者进行探讨，仅为一家之言，请批评指正。

一是致使违法信息大量传播。目前我国刑法关于传播违法信息的犯罪有传播淫秽物品牟利罪、传播淫秽物品罪等，从主观恶性比较，致使违法信息大量传播的行为明显低于传播淫秽物品，因此在入罪门槛应当是传播淫秽物品罪，即参照两高《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释（二）》（2010年2月2日），且违法信息的大量传播和危害后果存在相当因果关系；二是致使用户信息泄露，造成严重后果的。严重后果的界定需要可以量化的标准予以明确，如造成用户死亡、重伤、精神失常、绑架等，造成重大经济损失或者恶劣社会影响等。三是致使刑事案件证据灭失，情节严重的。由于本罪法定刑为三年以下有期徒刑、拘役或者管制，并处或者单处罚金，因此致使刑事案件应当理解为可能判处三年以上有期徒刑的犯罪，否则可能刑事可罚性存在怀疑。应当比照上述犯罪的最高标准。四是有其他严重情节的。

（二）非法获取计算机信息系统数据罪

刑法第285条规定，非法获取计算机信息系统数据罪是指违法国家规定，侵入除国家事务、国防建设、尖端科学技术领域的计算机信息系统之外的计算机信息系统或者采取其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据。

本罪的客观行为包括侵入或者其他技术手段。侵入与其他技术手段均需突破权限设置，只是方式有别，侵入需避开或者突破计算机信息安全系统，其他技术手段只需要与侵入具有相应的社会危险性，即行为人无权获取数据。本罪的其他技术手段是与侵入不同的方式，侵入方式获取数据最典型的形式诸如攻击服务器、爆破、破解通信协议等。其他技术手段则是首先取得用户身份，通过用户识别，获取数据，即骗取、窃取用户身份，取得数据。其他手段获取数据，则主要是以钓鱼网站、植入木马、伪造身份信息等方式先行骗取用户的账号、密码，登录之后再获取数据。

PGC、IPC网络平台易涉及本罪。如2014年，“wifi上网精灵”通过模拟“WIFI万能钥匙”软件用户，获取对方软件数据库内WIFI热点密码并进行解密保存，后被上海市杨浦区人民检察院以本罪起诉；2016年7月，实时公交查询软件“酷米客”大数据被“车来了”公司窃取平台大数据，创始人兼CEO邵凌霜因犯非法获取计算机信息系统数据罪被判处有期徒刑三年，缓刑四年执行，并处罚金10万元。

（三）侵犯公民个人信息罪

刑法第二百五十三条之一规定了三种行为，一是违反国家有关规定，向他人出售或者提供公民个人信息的；二是履职或者提供服务过程中获得的公民个人信息，出售或者提供给他人的；三是窃取或者以其他方法非法获取公民个人信息的。

笔者通过梳理当前司法判例、走访大型互联网企业，发现一个有趣的现象，利用爬虫技术抓取网站数据在互联网企业技术运用中广泛存在，出现数据被盗、数据复制等案件发生时，权利主体往往通过民事侵权诉讼尤其是侵犯知识产权、反不正当竞争，但是权利主体对最终结果却并不满意，原因诉讼时效长，即便胜诉但造成的损害已经无法弥补，还会出现“劣币驱逐良币”的负面示范效应。

事实上，类似的民事案件暴露出很强的刑事案件风险。笔者以微博诉脉脉案为例，分析其中的刑事法律风险。2016年12月30日，全国首例大数据不正当竞争纠纷案在北京知识产权法院二审宣判，根据（2016）京73民终588号终审判决书认定驳回上诉，维持原判，即认定脉脉存在非法抓取、使用新浪微博的用户信息等四种侵权行为。其中法院认定的第一种行为涉及本节讨论的非法获取计算机信息系统数据罪。终审认定了非法抓取的行为，理由是诉讼双方在合作已经终止而脉脉仍然有大量微博用户数据的结果推定，且双方的辩称均无法成立。其中被上诉人新浪微博未能提供网络日志以证明脉脉绕过微博的OpenAPI[10]接口非法抓取相关信息而不予认定；上诉人脉脉称通过建立大量微博账号，模拟正常用户行为在网页主站、无线客户端等进行信息抓取或者购买大量IP 来伪造调用IP来伪造调用IP 来源，通过伪造为正常用户的请求等手段实现信息抓取，也未提供证据予以作证。

本案以民事判决宣告结束，而事实上，正如诉讼双方当申请的专家辅助人到庭作证的那样：互联网行业获取数据的方式有OpenAPI等方式合法获取和采用爬虫的非法获取。而网络爬虫抓取哪些数据，是以rotbots.txt为依据的，它是一种存放在网站根目录下的文本文件，告诉网络爬虫，此网站中哪些内容可以抓取，哪些内容不能抓取，如果涉及公民个人信息，这就涉及刑法第253条之一非法获取公民个人信息罪第三款。

该条规定的行为方式有窃取或者其他非法方法，具体本案两种行为均要求未经同意擅自获取。窃取等方式包括采取侵入、突破计算机信息安全系统、取得用户身份的情况下进入获取等。如果微博网站日志记载了脉脉绕过OpenAPI权限获取微博用户职业、教育信息等，符合两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，构成侵犯公民个人信息罪。

事实上，网络平台可能面临的刑事法律风险还包括传播淫秽物品牟利罪、帮助信息网络犯罪活动罪、非法利用信息网络罪等等，笔者基于网络平台经营目的合法性、商业竞争等角度，重点只对拒不履行网络服务管理义务罪等三个罪名进行阐述。

三、风险防控建议

目前各国对网络空间治理均注重从技术、法律、行业自律等方面多管齐下。

（一）技术防控

网络平台承担着网络安全管理责任，唯有通过强化技术防控，针对内容分级管理和技术保护的方法才能正确履行好安全管理职责。以腾讯的微信、QQ，依靠人工巡查几乎不可能完全安全管理任务，而只能主要依靠于关键词监测技术。而就移动电信联通这样的网络平台而言，他们的短信内容“监管”，可以采取与腾讯微信、QQ一样的关键词监测技术措施。再比如淘宝，由于信息主要都是“明文”存储，完全可以通过关键词监测技术，甚至是人工巡查，达到安全管理目的。而但是，他们对于“伪基站”这样违法犯罪行为，关键词监测技术又是不能适用的，得采取“集中掉网监测”这样的针对性技术措施。显然，不同类型的“网络平台”必须有其不同的“非法”监测技术，无法“照葫芦画瓢”。换言之，技术安全监管措施只能由各个网络平台根据自身的技术和业务特点进行开发、建立。这就决定了，网络平台的技术安全管理法律规则只能是一种“软法”。

（二）规则管控

网络平台负责信息发布、服务器运维、网络安全管理等人员层级、权限及数量较多，平台从业者、下属职员、外包人员所实施的相关行为均有可能使得网络平台承担单位刑事责任，因此，在平台本身和具体业务实操人之间应当确立规则，设置防火墙，从而有效防止单位犯罪。

（三）法律制约

明确的法律规范对网络平台的日常行为具有指引、评价的作用。毋庸讳言，上文提及的罪名罪状描述单一，又无相应的司法解释，司法实践难以把握。据悉，两高日前正在共同研究起草《关于办理网络犯罪案件适用法律若干问题的解释》，将针对《刑法修正案（九）》增设的拒不履行网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪），明确定罪量刑标准和有关法律适用问题。

---

[1] 谢望原：论拒不履行信息网络安全管理义务罪，载《中国法学》2017年第2期。

[2] 敬力嘉：信息网络安全管理义务的刑法教义学展开，系2016年国家建设高水平大学生派研究生项目（项目批准号：CSCNO.201606270181）,载中国法学网Http://www.lolaw.org.cn/showNews.asxp?id=60636 ，访问时间2017年11月12日。

[3] 案例回放：2015年12月2日，美国加利福尼亚州圣贝纳迪诺县发生一起枪击案，警方找到一部凶手的手机Iphone 5c，于是FBI拿着法院的指令要求苹果为其开发“政府系统”，苹果公司以保护用户隐私权为由拒绝，最终FBI起诉后又撤诉，最终第三方公司cellebrite为FBI提供破解技术支持，本次事件宣告结束。

[4] 参见郭泽强、张曼：《网络服务提供者刑事责任初论---以中立帮助行为的处罚为中心》，载《预防青少年犯罪研究》2016年第2期。

[5] 参见齐文远、杨柳：《网络平台提供者的刑法规制》，载《法律科学》2017年第5期。

[6] 参见陆旭:《网络服务提供者的刑事责任及展开---兼评<刑法修正案（九）的相关规定>》，载《法治研究》2015年第6期。

[7] 监督过失说认为，对危害结果发生而言，监督者没有或者没有完全履行监督义务，使处于监督支配之下的被监督者（具有义务上监督与被监督的身份关系）的行为直接引起责任事故的发生，因而监督者被追究刑事责任。参见钱叶六：《监督过失理论及其适用》，载刘明祥主编：《过失犯研究以交通过失和医疗过失为中心》，北京大学出版社2010年版，第167-168页。

[8] 传统上刑法中的“保证人地位”，强调对“犯罪结果之发生，法律上负有防止义务，能防止而不防止者，与因积极行为发生结果者相同”，参见林东茂：《刑法综览》，中国人民大学出版社2010年版，第114页。

[9] 参见于志刚：《网络思维的演变与网络犯罪的制裁思路》，《中外法学》2014年第4期。

[10] OpenAPI即开放API（Application Programming Interface，应用编程接口），是服务型网站常见的一种应用，网站的服务商将自己的网站服务封装成一系列API开放出去，供第三方开发者使用，这种行为称作开放网站的API，所开放的API被称作OpenAPI。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文版权归原作者所有，如有侵权，请联系删除。