随着信息網絡技術的發展，新的商(shāng)業模式的出現，人們的工(gōng)作生(shēng)活得到了極大(dà)豐富，也促成了新的權利義務關系的産生(shēng)，新的違法犯罪模式的出現，對法律的修改完善提出了新的要求。爲了回應這一(yī)要求，2015年通過的刑法修正案（九）在第286條破壞計算機系統罪之後補充了拒不履行信息網絡安全管理義務罪，爲網絡服務提供商(shāng)劃定了法律紅線。

　　一(yī)、 刑修九新增罪名：拒不履行信息網絡安全管理義務罪

　　在網絡安全事件頻(pín)發，網絡空間亟需建立新的秩序的當下(xià)，網絡服務提供商(shāng)因其在網絡空間的中(zhōng)介地位以及技術性優勢，在網絡安全保障之戰中(zhōng)的地位是不言而喻的，如果不能保證網絡服務提供者依法履行其義務，網絡安全也就難以推進，因而刑法新增的這一(yī)規定可謂是及時雨。

　　根據第286條之一(yī)的規定，網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，造成違法信息大(dà)量傳播、用戶信息洩露後果嚴重、刑事案件證據滅失等結果的，構成拒不履行信息網絡安全管理義務罪。根據該條規定，成立本罪的前提條件是：（1）網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，（2）經監管部門責令采取改正措施而拒不改正，（3）導緻出現危害社會的結果。但是，對于網絡服務提供者的範圍以及其應該遵守何種信息網絡安全管理義務，刑法修正案（九）并沒有作出明确規定。

　　人大(dà)法工(gōng)委在對刑法修正案（九）的解釋中(zhōng)，首先從主體(tǐ)的角度出發，明确了本條中(zhōng)的“網絡服務提供者”同時包括互聯網接入服務提供者和互聯網内容服務提供者，前者即爲終端用戶提供專線、撥号上網等服務的提供商(shāng)，而後者指代的則是包括新浪、搜狐等向用戶提供新聞、信息、資(zī)料、音視頻(pín)等内容服務的提供商(shāng)。

　　而從行爲的角度而言，人大(dà)法工(gōng)委指出，認定行爲人是否有不履行安全管理義務行爲時，要結合法律和行政法規對于安全管理義務的具體(tǐ)規定，主要義務來源包括《全國人大(dà)常委會關于加強網絡信息保護的決定》《互聯網信息服務管理辦法》《電信條例》等。人大(dà)法工(gōng)委還特别指出，網絡服務提供者的安全管理義務主要包括落實網絡安全管理制度和安全保護技術措施、及時發現和處置違法信息，及對網上信息和網絡日志(zhì)信息記錄進行備份和留存。

　　人大(dà)法工(gōng)委對“網絡服務提供者”的解釋是基于對PC時代互聯網的理解作出的，不能解決移動互聯網以及物(wù)聯網時代的許多問題。《全國人大(dà)常委會關于加強網絡信息保護的決定》作爲法律卻僅強調對個人信息的保護；《互聯網信息服務管理辦法》《電信條例》是行政法規，對網絡服務提供者安全管理義務規定是零散的，缺乏系統性，存在多個監管部門之間的職責不清，處罰标準不明、處罰依據不充分(fēn)的問題。

　　二、 刑法與網絡安全法規之銜接：從難以落實到柳暗花明

　　拒不履行信息網絡安全管理義務罪的制定雖然看似是互聯網監管的一(yī)場及時雨，但卻并沒有起到解決燃眉之急的作用。但從已公布的裁判文書(shū)以及相關新聞報道來看，自2015年刑法修正案（九）生(shēng)效至今，這一(yī)罪名的司法實踐仍然近乎一(yī)紙(zhǐ)空白(bái)。中(zhōng)國裁判文書(shū)網上可以檢索到的以該罪名定罪的案件目前隻有三起，其中(zhōng)兩起涉及非法提供VPN服務，例如2018年9月做出判決的胡某拒不履行信息網絡安全管理義務一(yī)案，被告人胡某利用上海絲洱網絡科技有限公司擅自建立其他信道進行國際聯網，且經上海市公安局浦東分(fēn)局行政處罰後仍不改正，最終被判處拘役六個月，緩刑六個月，罰金人民币三萬元。以及2018年12月做出判決的朱皓非法獲取計算機信息系統數據、非法控制計算機信息系統一(yī)案，被告人朱某注冊成立公司并創建網站以銷售VPN軟件，供用戶訪問境外(wài)互聯網網站，公訴機關以非法獲取計算機信息系統數據、非法控制計算機信息系統罪之名義起訴，但法院認爲朱某的行爲應當構成拒不履行信息網絡安全管理義務罪。另一(yī)起案件則涉及非法開(kāi)設線上賭場，但這些案件對于網絡服務提供商(shāng)而言，似乎都不具有很大(dà)的可供參考性。

　　拒不履行信息網絡安全管理義務罪未能得到充分(fēn)的落實與這一(yī)罪名的特殊性有不可分(fēn)割的關系。正如前文所述，構成本罪的行爲要求網絡服務提供者未按照法律及行政法規的要求履行安全管理義務，經監管部門責令采取改正措施而拒不改正，這就使得本罪天然具有刑法與其他法律、行政法規相銜接的問題。但是，我(wǒ)國的網絡安全法規體(tǐ)系，在網絡安全法出台以前，體(tǐ)現出的不完備和碎片化的特點，導緻了本罪适用的困難。

　　2016年11月7日，《網絡安全法》發布。根據《網絡安全法》的規定，承擔危害網絡安全的責任主體(tǐ)有: 網絡運營者，網絡産品、服務的提供者，關鍵信息基礎設施的運營者，電子信息發送服務提供者和應用軟件下(xià)載服務提供者等。這些負有維護信息網絡安全管理義務的主體(tǐ)因具體(tǐ)角色不同，承擔的維護網絡安全義務有所區别，但承擔義務的本質是相同的。《網絡安全法》規定的其網絡安全管理義務可以大(dà)緻分(fēn)爲兩類: 一(yī)是一(yī)般性義務，即網絡安全責任主體(tǐ)均應遵守的義務; 二是特殊性義務，即與具體(tǐ)網絡主體(tǐ)有關的維護網絡安全的義務。

　　值得注意的是，《網絡安全法》規定的承擔危害網絡安全的責任主體(tǐ)在名稱上與刑法修正案（九）規定的拒不履行信息網絡安全管理義務罪的主體(tǐ)（網絡服務提供者）似乎并不一(yī)緻。不久前剛剛施行的兩高《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件适用法律若幹問題的解釋》，對“網絡服務提供者”的範圍進行了明确，基本涵蓋了《網絡安全法》規定的承擔危害網絡安全的責任主體(tǐ)。

　　如前所述《網絡安全法》規定的網絡安全管理義務可以分(fēn)爲兩類: 一(yī)是一(yī)般性義務，二是特殊性義務。一(yī)般性義務，是網絡安全責任主體(tǐ)均應遵守的義務。而實施網絡安全等級保護則是網絡安全管理一(yī)般性義務中(zhōng)最基本的安全保護義務。

　　三、 網絡服務提供者安全管理義務新視角：等保2.0

　　新技術的發展使信息網絡安全管理義務的範圍不斷變化。另一(yī)可能促使拒不履行信息網絡安全管理義務罪在實務中(zhōng)适用增多的因素是網絡安全等級保護2.0（以下(xià)簡稱“等保2.0”）時代的到來。

　　《網絡安全法》明确提出實行網絡安全等級保護制度；但是《網絡安全法》關于網絡安全等級保護義務的規定較爲原則，仍然不能滿足法律實踐的需要。爲了深入推進實施國家網絡安全等級保護制度，公安部已制定《網絡安全等級保護條例（征求意見稿）》，細化了各類網絡安全等級保護義務。需要注意的是，網絡應用與科技密切相關，隻有将網絡安全等級保護義務與技術标準相結合，才可能具體(tǐ)明确網絡安全等級保護義務的範圍。

　　1994年國務院發布了《計算機信息系統安全保護條例》，首次提出了國家信息安全工(gōng)作信息系統是分(fēn)等級實施保護的，标志(zhì)我(wǒ)國信息安全工(gōng)作信息系統分(fēn)級的開(kāi)始。根據人大(dà)法工(gōng)委對拒不履行信息網絡安全管理義務罪的解釋，落實網絡安全管理制度是網絡服務提供者安全管理義務的組份，而這一(yī)制度應當以網絡安全等級保護制度爲一(yī)大(dà)重點。

　　2007年，公安部等四部門頒布了《信息安全等級保護管理辦法》，明确了等級保護所有的相關的工(gōng)作以及各種參與決策的職責分(fēn)工(gōng)等等，從此等級保護這項工(gōng)作就正式開(kāi)始實施，此後，在2008年至2012年間，包括《信息安全技術信息系統安全等級保護基本要求》在内的網絡安全等級保護1.0相關國家标準相繼問世。

　　随着安全趨勢和形勢的變化，以及新技術、新應用、新業務形态的大(dà)量出現，尤其是大(dà)數據、物(wù)聯網、雲計算等的應用，網絡安全産業産生(shēng)了巨大(dà)變革，原來發布的标準已經不再适用于當前的安全要求。因此從2015年開(kāi)始，我(wǒ)國開(kāi)始逐步着手制定等保2.0标準，從而滿足我(wǒ)國現階段網絡信息基礎設施大(dà)量應用的安全形勢的要求。于2017年開(kāi)始正式實施的《網絡安全法》中(zhōng)明确提出實行網絡安全等級保護制度，也正式拉開(kāi)了等保2.0的序幕。今年12月，《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》和《信息安全技術 網絡安全等級保護安全設計技術要求》三個國家标準将正式實施，标志(zhì)着我(wǒ)們将正式邁入等保2.0時代。

　　這一(yī)《網絡安全法》配套法規體(tǐ)系的建立，也将爲網絡服務提供者建立起一(yī)個重要的行爲準則體(tǐ)系，同時，拒不履行信息網絡安全管理義務罪中(zhōng)網絡服務提供者的安全管理義務也将得以更好地明确化。如果網絡服務提供者沒有及時依規建立等級保護系體(tǐ)，且具有拒不履行網安部門發出的整改通知(zhī)書(shū)，并造成司法解釋中(zhōng)所列的嚴重後果的情形，不僅會導緻企業、機構被處以罰金，更可能導緻主管人員(yuán)和其他責任人員(yuán)被處三年以下(xià)有期徒刑、拘役或者管制。

　　事實上，近年來，因未做好等保合規而受到行政處罰的案例已屢見不鮮，例如在2017年7月20日，廣東汕頭網警對市内某信息科技有限公司三級以上系統未按規定進行網絡安全等級測評，作出警告和責令改正處罰，以及在2018年3月26日，株洲市網安部門對某教育科技公司未落實網絡安全等級保護制度，約談法人代表及管理員(yuán)，作出警告并責令改正處罰。随着網安法發布及相關配套規範的出台，網絡安全等級保護制度與刑法規定之間的銜接越來越通暢，企業因未做好等保合規而承擔刑事責任的可能性也就越來越大(dà)。等保2.0相關标準與兩高這一(yī)重要司法解釋前後腳出台，頒布、生(shēng)效時間相差不足數月，也許正是相關部門在向網絡服務提供者發出信号：及時建立網絡安全等級保護體(tǐ)系，不僅是在保護用戶，也是在保護提供商(shāng)自己。

　　四、 結語

　　刑法修正案（九）規定了拒不履行信息網絡安全管理義務罪，但是對于網絡服務提供者據不履信息網絡安全管理義務的認定，需要依據法律、行政法規規定及監管部門的行政處罰；本罪規定的信息網絡安全管理義務系将行政責任上升爲刑事責任。

　　我(wǒ)國現存的網絡安全法規體(tǐ)系對網絡服務提供者規定了一(yī)種一(yī)般性、積極性的監管義務。而實施網絡安全等級保護則是網絡安全管理一(yī)般性義務中(zhōng)最基本的安全保護義務。網絡應用與科技密切相關，隻有将網絡安全等級保護義務與技術标準相結合，才可能具體(tǐ)明确網絡安全等級保護義務的範圍。

　　新技術的發展使信息網絡安全管理義務的範圍不斷變化。移動互聯網、物(wù)聯網的發展促使網絡安全等級保護2.0時代的到來。網絡安全等級保護2.0在增加了信息網絡安全管理義務範圍的同時，也明确了信息網絡安全管理義務的具體(tǐ)行爲。這将會極大(dà)增加拒不履行信息網絡安全管理義務罪在實務中(zhōng)的适用。

　　信息網絡安全管理責任猶如懸在網絡服務提供者頭上的一(yī)把“達摩克利斯之劍”。對于網絡服務提供者而言，防止“達摩克利斯之劍”落下(xià)，當務之急就是堅決貫徹實施網絡安全等級保護制度，做好網絡安全保護義務。(Alan和Stella對本文有貢獻。)