尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐丨莫洪宪:企业新型网络犯罪风险的法律防控

作者:尚权律所 时间:2023-08-24

2023年4月习近平主持召开二十届中央全面深化改革委员会第一次会议并发表重要讲话。强调促进民营经济发展壮大,要着力优化民营经济发展环境,破除制约民营企业公平参与市场竞争的制度障碍,引导民营企业在高质量发展中找准定位,通过企业自身改革发展、合规经营、转型升级,不断提升发展质量。2023年7月《中共中央 国务院关于促进民营经济发展壮大的意见》进一步强调深化涉案企业合规改革,推动民营企业合规守法经营。

    

网络社会的崛起在给企业带来新发展机遇的同时,也带来了新的风险与挑战。刑法第二百五十三条之一侵犯公民个人信息罪、第二百八十六条之一拒不履行信息网络安全管理义务罪、第二百八十七条之二帮助信息网络犯罪活动罪等罪名均设有单位犯罪条款,企业如果违反,则可能承担刑事责任,同时还要考虑企业信息网络犯罪行刑衔接的问题。立足企业法律风控的视角,有必要从刑事角度考察新型网络犯罪的法律风险,并进行法律防控。

    

学者多从客观维度、基于风险防控视角展开研究,从对象层面探讨数据风险、安全风险的防控。但是这一视角对于主体的关照不足,还需要从主体的视角出发,对企业相关的新型网络犯罪风险予以类型化,从而确立科学的法律防控机制。由此,应当基于企业自身视角来考察新型网络犯罪风险,可从保障型、管理型和帮助型新型网络犯罪风险三个层面展开。

    

一、保障型新型网络犯罪风险的法律防控

    

保障型新型网络犯罪风险主要针对企业基于自身地位防止自身或他人实施不当网络犯罪行为,主要包括:非法获取数据行为,即涉案企业未经用户授权或者超越授权,采用技术与非技术的方式非法获取用户数据的行为;非法提供数据行为,即涉案企业未经用户授权或者超越授权,采用技术与非技术的方式,非法向他人出售或者以其他方式(如分享)提供用户数据的行为;非法利用数据行为,即涉案企业未经用户授权或者超越授权,采用技术与非技术的方式,实施“大数据杀熟”、广告推广等利用用户数据的行为。

    

典型性罪名为刑法第二百五十三条之一侵犯公民个人信息罪。企业在提供各类服务中不可避免地需要收集和使用客户、用户的公民个人信息,而企业对于这些信息具有相应保障义务,如果未履行保障义务导致信息泄露,乃至造成严重后果,则需要承担相应的刑事责任。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第(三)至(五)项明确了刑法第二百五十三条之一侵犯公民个人信息罪的核心定量标准:“(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的。”实践中企业应对上述标准予以重视。

    

对企业来说,保障型新型网络犯罪风险突出体现在风险的涉众性,往往客户、用户泄露是批量性、集中性的,危害十分巨大。仅在2022年就有多起重大用户信息泄露事件,如6月21日媒体报道大学生学习软件“超星学习通”的数据库信息被公开售卖,超1.7亿条信息疑遭泄露;8月,上海随申码数据泄露,4850万居民信息存在泄露风险等等。

    

保障型新型网络犯罪风险突出体现在保障用户、客户信息不被非法侵犯上。对此可从主体和行为两个方面进行防控:

    

第一,在主体层面,保障企业、从业人员不侵犯个人信息。(1)企业本身做好刑事数据审查,杜绝侵犯公民个人信息的行为。2022年7月21日,因滴滴全球股份有限公司违法处理个人信息647.09亿条,国家互联网信息办公室依据网络安全法、数据安全法、个人信息保护法、行政处罚法等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,而其如果不整改还可能面临刑事责任,足以敲响警钟。(2)企业还应保障从业人员遵规守法,保护用户、客户信息安全。大量用户、客户个人信息泄露和企业“内鬼”密不可分。据公开报道,2021年检察机关起诉侵犯公民个人信息犯罪9800余人,同比上升64%;起诉泄露公民个人信息的“内鬼”500余人,涉及通信、银行、保险、房产、酒店、物业、物流等多个行业。

    

第二,在行为层面,全面防控非法获取、非法提供、非法利用个人信息。(1)防止非法获取用户、客户信息。如在收集提供服务的必要信息之外,不应对于诸如个人身份证号码、住址、通讯方式等个人信息进行过度收集,强行获取个人信息,更不应在电脑应用程序或者手机APP安装“后门”,在未经个人许可的情况下私自对于个人电脑或手机中的个人信息予以暗自收集。(2)防止非法提供用户、客户信息。如基于提供信息服务占有大量的用户、客户信息,不应出于自身利益的考量将所占有的个人信息非法提供给他人。(3)不应非法利用用户、客户信息。如不得利用用户、客户账户用于“恶意差评”进行非法获利等。

    

二、管理型新型网络犯罪风险的法律防控

    

管理型新型网络犯罪风险主要为企业自身对于他人实施的违法行为,未履行相关义务,需要承担刑事责任,具体包括:未履行数据管理义务的情形,即对处于涉案企业自身支配下的数据,或者支配下的其他数据控制的数据,未履行必要的管理义务,导致数据被窃取、破坏,产生严重后果;未履行数据监督义务的情形,即涉案企业具有相应的数据监督义务,应履行而未履行,产生前述类似后果的情形。

    

企业由于提供特定服务,往往需要履行相应的信息网络安全管理义务。管理型新型网络犯罪风险的典型罪名为刑法第二百八十六条之一拒不履行信息网络安全管理义务罪。实践中,该罪虽然适用频率不高,但是却直接和网络服务提供者等企业密切相关,更需结合构成要件防控刑事风险:

    

第一,应对企业是否属于“网络服务提供者”进行全面深入的考察。对于企业是否具有网络服务提供者身份,应当全面、具体审查所提供的服务类型,进行准确判断。从“网络服务提供者”的本意考察,并未将其限于平台类网络服务提供者,技术类网络服务提供者、功能类网络服务提供者也可能存在拒不履行信息网络安全管理义务的行为,不应将网络服务提供者的范围作出过狭的理解。如果是提供现实服务,附带提供网络服务,则在认定时秉持更加慎重的态度。

    

第二,不同于其他犯罪的主动型风险,管理型新型网络犯罪风险为被动型风险。因此,企业除了要遵守信息网络领域的禁止性规范外,还应全面履行相关强制性规范的义务条款。具体可从两个方面进行考察:(1)网络安全管理义务。网络服务提供者首先对于网络安全管理承担义务,其对用户利用网络技术服务针对他人信息、违法信息和电子证据信息等实施侵害行为的情形,未履行法律、行政法规规定的网络安全管理义务,经监管部门责令采取改正措施时应予改正。(2)信息安全管理义务。网络服务提供者对自身或者用户发布的信息内容负责,其未履行法律、行政法规规定的信息安全管理义务,经监管部门责令采取改正措施时应予改正。实践中应注意准确把握这两种义务的不同,网络安全管理义务强调权限安全,注重形式评价,信息安全管理义务强调内容安全,注重实质评价。

    

第三,充分通过义务审查消弭刑事风险。拒不履行信息网络安全管理义务罪要求网络服务提供者不履行“法律、行政法规规定的信息网络安全管理义务”,才会引发“经监管部门责令采取改正措施而拒不改正”的情形,因此前置义务的审查也是企业刑事风险防控的重要环节。出于保护企业的考虑,网络服务提供者的安全管理义务是特定的而不是一般性的,对已经显现出来的且可以修复的技术或服务漏洞,涉案企业视而不见而被服务使用者利用后也不采取纠正措施的,监管部门才能对其进行行政处罚。并且在初始阶段,监管机关有提醒约谈的义务,而不能一经发现就对其予以行政处罚,更不能直接入罪。此外,在考察法律义务时除了需要关注网络安全法、电子商务法、个人信息保护法、数据安全法等信息网络安全领域专门立法外,也应关注治安管理处罚法等一般性法律义务。在新型网络犯罪领域,治安管理处罚法也分别设有与刑法衔接的条款,如其第二十九条即规定了计算机和数据领域的违法行为,因此必须在规范层面体系性地把握前置义务的内涵,切实保障新型网络犯罪条款对于企业风险法律防控的突出作用。

    

三、帮助型新型网络犯罪风险的法律防控

    

帮助型新型网络犯罪风险的情形中,涉案企业自身帮助实施违反刑事法律的行为(如非法提供用户数据),并且与之关联的其他主体也实施的犯罪行为(如非法利用用户数据),其典型罪名为帮助信息网络犯罪活动罪。近年来帮助信息网络犯罪活动罪的适用力度加大,已经跃升为案件数排名第三的刑法罪名。该罪同样规定有单位犯罪条款,而且所规定的行为与经营活动密切相关,企业也应特别注意防控构罪风险。具体而言,应特别注重以下三类活动的犯罪风险:

    

第一,提供技术服务的犯罪风险。“提供互联网接入、服务器托管、网络存储、通讯传输等技术支持”属于帮助信息网络犯罪活动罪的行为类型,一般企业都不会故意提供非法技术支持,比如非法提供电话卡批量插入设备,或具有改变主叫号码、虚拟拨号、互联网电话违规接入公用电信网络等功能的设备、软件。但是对于正常提供的网络服务,如果明知他人予以利用实施信息网络犯罪,但是仍予提供的,也有构成犯罪的风险。

    

第二,提供广告推广的犯罪风险。提供“广告推广”也是帮助信息网络犯罪活动罪的行为类型之一。企业除了应关注传统意义上为他人在媒体上发布广告外,通过即时通讯账户群组,或者通过网络上“广告联盟”等方式进行宣传,也属于“广告推广”。同时还应注意提供“广告推广”与刑法第二百八十七条之一非法利用信息网络罪“发布信息”的区别,实践中如果是为他人发布招募人员等信息,则不宜认定为具有“广告”属性,可考虑从非法利用信息网络罪的角度防控刑事风险。

    

第三,提供支付结算帮助的犯罪风险。近年来,绝大部分的帮助信息网络犯罪活动罪案件是涉“两卡”(手机卡、银行卡)案件,特别是提供银行账户、支付账户的案件。司法实践中,企业对公账户由于转账数额大、限制少,也是电信诈骗等信息网络犯罪用于“走流水”的重要渠道,企业应当注重对相关账户、人员、信息加强监管,防止被滥用或冒用。此外,在支付网络化的当下,诸如微信等即时通讯账户、支付宝等第三方支付账户都具有支付功能,甚至“第四方支付平台”也有被用于实施犯罪的情况,企业除了应当加强对员工的宣传教育外,还需加强微信等账户的监管,切实防止被用于犯罪资金流转。

 

 

 

来源:人民法院报

作者:莫洪宪,武汉大学法学院教授