第三方支付平臺(tái)構(gòu)成拒不履行網(wǎng)絡(luò)安全義務(wù)罪的疑難問(wèn)題解析

王佳男+于子平

摘 要：京東在最近幾年憑借其一流的服務(wù)、成熟的物流體系等優(yōu)勢(shì)吸引了大批優(yōu)質(zhì)用戶(hù)。然而，京東快速發(fā)展的同時(shí)，也存在著巨大的風(fēng)險(xiǎn)，尤其在用戶(hù)信息安全保障方面。2016年12月，京東商城的用戶(hù)數(shù)據(jù)庫(kù)資料懷疑遭到泄露，雖然調(diào)查結(jié)果顯示用戶(hù)被盜可能性比較大，但電商行業(yè)屢屢發(fā)生數(shù)據(jù)泄露事件，不少用戶(hù)仍心有余悸。在《刑法修正案九》中明確規(guī)定了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。然而自2015年11月1日實(shí)施以來(lái)，適用尚少。因此，京東數(shù)據(jù)泄露與拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的司法適用的關(guān)系就具有重要的研究意義。

關(guān)鍵詞：京東；第三方支付平臺(tái)；拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪

第三方支付，指的是與一些銀行簽約，并具有一定實(shí)力和信譽(yù)保障的第三方機(jī)構(gòu)提供的交易平臺(tái)，通過(guò)在收付款人之間設(shè)置過(guò)渡賬戶(hù)，使匯轉(zhuǎn)款項(xiàng)實(shí)現(xiàn)可控性停頓，直指決定資金去向。京東是現(xiàn)階段普及率比較高的交易手段。

一、支付實(shí)現(xiàn)原理

消費(fèi)者先向第三方傳遞客戶(hù)信息，然后由第三方與主要銀行簽訂協(xié)議，實(shí)現(xiàn)第三方和銀行之間的實(shí)現(xiàn)數(shù)據(jù)和相關(guān)信息的交換。消費(fèi)者再登陸簡(jiǎn)單、熟悉的支付頁(yè)面進(jìn)行交易。由此，消費(fèi)者及銀行、商家就通過(guò)第三方支付建立起一個(gè)支付流程。

二、第三方支付平臺(tái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

（1）“網(wǎng)絡(luò)釣魚(yú)”導(dǎo)致賬戶(hù)信息被泄露。用戶(hù)在網(wǎng)上交易進(jìn)入支付的時(shí)候容易受誘導(dǎo)單擊不安全的鏈接，登錄偽造的支付界面而被惡意的用戶(hù)獲取其銀行賬戶(hù)和密碼。

（2）第三方支付平臺(tái)的設(shè)計(jì)問(wèn)題。京東要求客戶(hù)提供相關(guān)的身份信息，作為雙方交易的擔(dān)保。一旦數(shù)據(jù)庫(kù)有漏洞，信息泄露后的后果是十分嚴(yán)重的。

（3）隱私政策的不合理。第三方支付平臺(tái)掌握了大量用戶(hù)的真實(shí)信息，但目前網(wǎng)站隱私政策的普遍不完整、內(nèi)容不合理，免責(zé)條款過(guò)多，導(dǎo)致發(fā)生問(wèn)題時(shí)維權(quán)艱難。

（4）個(gè)人選擇和第三方解除綁定之后，個(gè)人信息不能得到很好的保護(hù)。

三、第三方支付平臺(tái)的法律義務(wù)

結(jié)合《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》和《網(wǎng)絡(luò)安全法》可以歸納、總結(jié)出第三方支付平臺(tái)的義務(wù)來(lái)源如下：

（1）合法正當(dāng)必要收集使用信息義務(wù)。網(wǎng)路運(yùn)營(yíng)者如果要收集、使用公民個(gè)人電子信息，必須遵循合法、正當(dāng)、必要的原則，只有在得到被收集者的許可后方能使用。

（2）信息審查、監(jiān)管義務(wù)。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要的補(bǔ)救措施，保障信息安全，防止所收集到的公民個(gè)人電子信息泄露、毀損、丟失。

（3）保護(hù)隱私、保障信息安全義務(wù)。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶(hù)信息嚴(yán)格保密，不得泄露、篡改、毀損，也不可出售或者非法向他人提供。

（4）信息保管以及協(xié)助調(diào)查的義務(wù)。要求網(wǎng)絡(luò)運(yùn)營(yíng)者為依法維護(hù)國(guó)家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和幫助。

（5）提示、警告義務(wù)。附屬于網(wǎng)絡(luò)服務(wù)者的電子布告欄系統(tǒng)，在一段時(shí)間內(nèi)詐騙信息案件多發(fā)，支付寶應(yīng)該向用戶(hù)進(jìn)行提示和警告；同時(shí)建立其面向未來(lái)的防范措施，杜絕相似侵害行為的再次發(fā)生。

（6）及時(shí)更新設(shè)備、確保網(wǎng)絡(luò)安全的義務(wù)。從事互聯(lián)網(wǎng)業(yè)務(wù)不僅要求其擁有法律法規(guī)、行業(yè)標(biāo)準(zhǔn)等所要求的硬件軟件水平和技術(shù)實(shí)力，也要求提供與其自身業(yè)務(wù)規(guī)模相當(dāng)及使用網(wǎng)絡(luò)快速發(fā)展所需要的設(shè)施設(shè)備，提供技術(shù)支持，以確保網(wǎng)絡(luò)安全。

四、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的義務(wù)來(lái)源

信息網(wǎng)絡(luò)安全管理義務(wù)，是指網(wǎng)絡(luò)服務(wù)提供者積極主動(dòng)審查在其控制管理的網(wǎng)絡(luò)范圍下的網(wǎng)絡(luò)用戶(hù)信息，發(fā)現(xiàn)是違法信息、用戶(hù)信息和刑事案件證據(jù)的，負(fù)有采取合理措施防止違法信息大量傳播、防止用戶(hù)信息泄露以及防止刑事案件證據(jù)滅失的義務(wù)。具體而言，其信息網(wǎng)絡(luò)安全管理義務(wù)包括以下幾個(gè)方面：

（1）審查義務(wù)。即在確定該網(wǎng)絡(luò)信息的性質(zhì)后，才能對(duì)該網(wǎng)絡(luò)信息進(jìn)行安全管理。而且只是對(duì)網(wǎng)絡(luò)信息進(jìn)行的初步審查，只需要確定該信息是否是違法信息、用戶(hù)信息或者刑事案件證據(jù)等。

（2）防止違法信息大量傳播義務(wù)。主動(dòng)審查后的信息被確定是違法信息的，必須履行采取合理措施防止其傳播的義務(wù)。盡管網(wǎng)絡(luò)服務(wù)提供者有時(shí)候確實(shí)難以分辨信息是否違法，但是我國(guó)的相關(guān)法律對(duì)于“違法信息”的內(nèi)容都有列舉規(guī)定。

（3）防止用戶(hù)信息泄露義務(wù)。用戶(hù)信息按用戶(hù)是否已經(jīng)主動(dòng)公開(kāi)為標(biāo)準(zhǔn)，分為公開(kāi)的用戶(hù)信息和隱秘的用戶(hù)信息。網(wǎng)絡(luò)服務(wù)提供者只對(duì)用戶(hù)隱秘信息且是自己在提供服務(wù)過(guò)程中收集的信息負(fù)有保護(hù)的義務(wù)。

（4）防止刑事案件證據(jù)滅失義務(wù)。要求網(wǎng)絡(luò)服務(wù)提供者承擔(dān)防止刑事案件證據(jù)滅失的義務(wù)，是因?yàn)閮?chǔ)存或者呈現(xiàn)在信息網(wǎng)絡(luò)上的刑事案件證據(jù)，電子數(shù)據(jù)證據(jù)的形成、儲(chǔ)存都在信息網(wǎng)絡(luò)之中，網(wǎng)絡(luò)服務(wù)提供者對(duì)電子數(shù)據(jù)證據(jù)的存亡滅失具有決定性的作用。

五、第三方支付平臺(tái)觸犯本罪的可能性

2016年12月“京東數(shù)據(jù)外泄，12G信息數(shù)據(jù)包在黑市流通的信息”在法律界引起很大的爭(zhēng)議。借助這一案例，結(jié)合上述兩部分的內(nèi)容，對(duì)網(wǎng)絡(luò)經(jīng)營(yíng)者數(shù)據(jù)信息保護(hù)責(zé)任作出相應(yīng)的分析，可以對(duì)各類(lèi)互聯(lián)網(wǎng)經(jīng)營(yíng)者起到有益的借鑒作用。

（一）本罪的構(gòu)成要件

（1）犯罪主體。通說(shuō)認(rèn)為本罪的主體為網(wǎng)絡(luò)服務(wù)提供者，單位和個(gè)人均可構(gòu)成本罪。此外，還有一種觀(guān)點(diǎn)認(rèn)為本罪的犯罪主體是單位，并且限于網(wǎng)絡(luò)義務(wù)提供者。本文采納通說(shuō)的觀(guān)點(diǎn)，因?yàn)榫W(wǎng)絡(luò)服務(wù)提供者對(duì)網(wǎng)絡(luò)安全具有支配地位，其他人或機(jī)構(gòu)很難進(jìn)入此領(lǐng)域進(jìn)行及時(shí)有效的安全管理，司法實(shí)踐中，侵犯用戶(hù)個(gè)人信息的犯罪更多的發(fā)生在網(wǎng)絡(luò)服務(wù)提供者單位的工作人員身上，因此對(duì)于工作人員也存在規(guī)制的必要。京東作為單位，可以成為本罪的主體。

（2）本罪的主觀(guān)方面應(yīng)當(dāng)表現(xiàn)為故意。也有學(xué)者認(rèn)為本罪的主觀(guān)方面應(yīng)當(dāng)是過(guò)失，因?yàn)榫懿桓恼膽B(tài)度是故意的，但關(guān)鍵是看行為人對(duì)違反這一義務(wù)的危害結(jié)果是否持希望或放任。筆者認(rèn)為本罪處罰的關(guān)鍵并非不履行管理義務(wù)，而是拒不改正。因拒不改正而導(dǎo)致的危害結(jié)果才是本罪所要求的危害結(jié)果。京東數(shù)據(jù)泄露事件，雖然造成了12G信息數(shù)據(jù)在黑市上流通的嚴(yán)重后果，但是這種結(jié)果的產(chǎn)生并不是內(nèi)部工作人員或者單位故意不作為或者拒不改正而導(dǎo)致的，因此不符合本罪的主觀(guān)條件。endprint

（3）本罪侵犯的客體是社會(huì)管理秩序的一種，京東數(shù)據(jù)的泄露對(duì)國(guó)家的網(wǎng)絡(luò)管理秩序造成了極大的破壞，侵害了國(guó)家的合法權(quán)益。

（4）客觀(guān)方面表現(xiàn)為網(wǎng)絡(luò)服務(wù)提供者負(fù)有履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理的義務(wù)，能夠履行而實(shí)際沒(méi)有履行并造成嚴(yán)重后果。同時(shí)，行為和結(jié)果之間必須具有刑法上的因果關(guān)系。京東將此次數(shù)據(jù)泄露的原因歸結(jié)于2013年struts2的安全漏洞。2013年struts2的安全漏洞使當(dāng)時(shí)國(guó)內(nèi)大量互聯(lián)網(wǎng)運(yùn)營(yíng)機(jī)構(gòu)都因此受到了影響，所以京東既沒(méi)有不履行法律義務(wù)，也沒(méi)有拒不改正，不符合這兩個(gè)條件，不能構(gòu)成本罪。

（5）必須具有法律規(guī)定的嚴(yán)重后果。本罪的成立，要求出現(xiàn)以下幾種情形：①致使違法信息大量傳播的；②致使用戶(hù)信息泄露，造成嚴(yán)重后果的；③致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；④有其他嚴(yán)重情節(jié)的。京東數(shù)據(jù)泄露事件造成了用戶(hù)信息泄露，造成嚴(yán)重后果不言而喻。

總之，京東雖然符合本罪的主體要件、客體要件和犯罪結(jié)果的認(rèn)定，但是卻其不符合客觀(guān)條件和主觀(guān)條件的認(rèn)定，不能同時(shí)符合本罪的四個(gè)犯罪要件。因此，京東數(shù)據(jù)泄露不可能構(gòu)成本罪。但是對(duì)于這個(gè)案例仍然有進(jìn)行假設(shè)研究的必要性。

（二）關(guān)于本罪的有關(guān)爭(zhēng)議

（1）責(zé)令改正的主體和方式。雖然刑法明確規(guī)定，責(zé)令改正的主體是“監(jiān)管部門(mén)”。但根據(jù)相關(guān)規(guī)定，公安機(jī)關(guān)和國(guó)家安全局、國(guó)家保密局在職責(zé)范圍內(nèi)，也可以成為責(zé)令改正的主體。需要進(jìn)一步研究的是，責(zé)令改正的主體有無(wú)級(jí)別限制，是否任何級(jí)別的監(jiān)管部門(mén)均能責(zé)令網(wǎng)絡(luò)服務(wù)提供者采取改正措施。筆者認(rèn)為，責(zé)令形式應(yīng)當(dāng)僅限于法律文書(shū)形式，對(duì)責(zé)令改正的主體的級(jí)別作出限制，至少應(yīng)當(dāng)限于縣級(jí)以上的監(jiān)管部門(mén)。

（2）責(zé)令改正的內(nèi)容。從網(wǎng)絡(luò)服務(wù)行業(yè)的長(zhǎng)遠(yuǎn)發(fā)展而言，當(dāng)前似不宜賦予其過(guò)重且事實(shí)上無(wú)法做到的義務(wù)要求。因此，責(zé)令改正的內(nèi)容原則上應(yīng)當(dāng)具體明確，通常應(yīng)當(dāng)限于已經(jīng)發(fā)生的危害行為。

（3）拒不改正的認(rèn)定。通常情況下，在責(zé)令改正法律文書(shū)指定的期限內(nèi)未采取改正措施的，應(yīng)當(dāng)認(rèn)定為經(jīng)監(jiān)管部門(mén)責(zé)令采取改正措施而“拒不改正”?？紤]到司法實(shí)踐的情況較為復(fù)雜，應(yīng)當(dāng)認(rèn)為存在例外，即有證據(jù)證明行為人確因自然災(zāi)害等不可抗力或者其他正當(dāng)事由未知悉責(zé)令改正或者未及時(shí)采取改正措施的除外。2013年struts2的安全漏洞可以成為拒不改正的例外情形。

（4）免責(zé)規(guī)則的確立。信息網(wǎng)絡(luò)服務(wù)安全有其自身的復(fù)雜性和高風(fēng)險(xiǎn)性，為避免網(wǎng)絡(luò)服務(wù)提供者承擔(dān)過(guò)重的安全責(zé)任，激發(fā)從事信息網(wǎng)絡(luò)服務(wù)的積極性，基于不作為犯罪的基本原理，倘若京東已經(jīng)履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，或者雖沒(méi)有履行有關(guān)安全管理義務(wù)但根據(jù)監(jiān)管部門(mén)的責(zé)令采取改正措施，仍然出現(xiàn)違法信息大量傳播、用戶(hù)信息泄露或者刑事案件證據(jù)滅失等情形的，不構(gòu)成犯罪。

綜上所述，只有在經(jīng)監(jiān)管部門(mén)即縣級(jí)以上的公安機(jī)關(guān)、國(guó)家安全部、國(guó)家保密局對(duì)于單位及其分支機(jī)構(gòu)或者內(nèi)設(shè)部門(mén)、機(jī)構(gòu)在責(zé)令改正的法律文書(shū)指定的期限內(nèi)對(duì)于已經(jīng)發(fā)生危害的行為除卻不可抗力或者其他正當(dāng)事由后仍未采取改正措施時(shí)，才可適用本罪。

參老文獻(xiàn)：

[1]用戶(hù)數(shù)據(jù)疑遭泄露 京東稱(chēng)或被盜號(hào)[J].商場(chǎng)現(xiàn)代化，2014（06）：11.

[2]李永升，袁漢興.拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的理解與適用[J].宜賓學(xué)院學(xué)報(bào)，2017（02）：92-99.

[3]喻海松.網(wǎng)絡(luò)犯罪的立法來(lái)擴(kuò)張與司法適用.

[4]邱賽蘭.拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪構(gòu)成特征探析[J].經(jīng)濟(jì)師，2016（10）：85-86+88.endprint