“技术中立”能脱罪吗?

来源:大成成都办公室

文章摘要
前言 技术不断跃迁使得技术逐步突破传统法域,直观表现为网络犯罪数量激增。

前言
技术不断跃迁使得技术逐步突破传统法域,直观表现为网络犯罪数量激增。除了关注利用不断跃迁的互联网技术实施犯罪的犯罪分子,网络服务提供者的法律责任也进入大众视野,其中轰动一时的快播案更是给诸多网络服务提供者敲响警钟。《刑法》第二百八十六条之一明确规定,拒不履行法律、行政法规规定的信息网络安全管理义务的网络服务提供者构成拒不履行信息网络安全管理义务罪。该罪以《网络安全法》《互联网信息服务管理办法》《数据安全法》《计算机信息网络国际联网安全保护管理办法》《个人信息保护法》等规定的信息网络安全管理义务为前置,但网络服务提供者究竟有哪些安全管理义务并不清晰,由此,“技术中立论”又再度出现在大众视野之中。
一、技术中立是个伪命题
“技术中立原则”又名“菜刀理论”,指科技或者工具的发明者无法控制使用者如何使用该工具,所以也不应为意料之外的工具用途负责。在网络犯罪的语境中,对“技术中立”的讨论聚焦于该原则能否作为刑事责任的豁免依据。
换句话说,技术真的是“法外空间”吗?
劳东燕教授将“技术”划分为三个层面:科技视角下的技术、伦理视角下的技术与法律视角下的技术,并指出,科技系统内部技术是中立的,但当技术作用于现实社会时,便具有了价值观。伦理视角下,技术被评价为善的技术和恶的技术;而在法律视角下,技术被评价为合法的技术和非法的技术。
所以,在法律参照系,“技术中立”命题无法当然成立,“技术中立”并不能简单等同于“法律中立”。
二、刑法视角下网络服务技术提供者的中立
刑法范畴内的“中立”问题主要指“中立的帮助行为是否构成帮助犯”,理论界对此仍有争议。中立行为一般具有“业务性、专业性、职业性、日常性”的特征,中立的帮助行为由于具有“中立性”特征,因此也具备了出罪可能。
一般来说,中立的帮助行为可以分为三种:销售型的中立帮助行为、服务型的中立帮助行为、技术型的中立帮助行为。[1]网络服务提供者提供的是技术型服务,也就是说,在讨论网络服务提供者是否成立帮助犯时,需要同时考虑服务与技术是否都具有中立性。具有中立性的服务和技术,都是在正常业务活动中产生的,都有可能被人利用而对受保护的法益产生一定危险。判断服务是否具有中立性主要在于服务流程是否合法。[2]而当技术服务出现时,虽然此种服务仍然服务于日常生活,但却缺少了传统服务“匿名性、可替代性”的特征,并且,由于“黑箱理论”在技术领域普遍存在,流程并不透明,所以,“服务的中立性”判定标准不能直接适用。
在具体案件中,首先需要判断是否属于中立的帮助行为,然后再考察此种中立帮助行为是否可罚。对中立行为的违法性判断最终落脚于行为人是否具有某种义务,是因为具有中立外观的行为因行为人的不作为具有实质违法性。对网络服务提供者来说,需明确其业务性质、才能明确其义务,再能够判断其是否履行义务,最终判断是否存在不作为犯罪的情形。然而,在我国的司法实践中,大都将中立帮助行为一概视为帮助犯予以处罚。
三、法定的网络服务提供者义务
由于网络空间的虚拟性和匿名性, 网络空间中对犯罪的预防与对抗更加依赖于网络技术的支持和主要网络空间主体的参与。从法律性质上说,网络服务提供者的审查义务属于第三方义务,实际上是按照法律的要求扮演控制违法行为的“守门人”角色。“守门人”责任理论强调,如果对直接违法者进行执法面临困难,那么将执法目标转向对直接违法者提供某种形式支持的中介者,要求这些中介者对直接违法者的行为采取阻止措施,否则法律将对他们施以惩罚。[3] 所以,网络服务提供者同时具有自由市场经营主体和监管主体的双重法律形象, 这决定了其义务来源具有复合性,[4]也就是网络服务提供者同时具有作为经营者的合规管理义务和作为监管者的安全保障义务。
从我国目前的立法现状来看,私法领域已经豁免了网络服务提供者的信息审查义务,但公法领域仍然规定了网络服务提供者的信息审查义务,主要围绕着《网络安全法》第二十一条展开(国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务)。总体而言,网络服务提供者的义务主要落脚于保障网络空间安全,包括:内部合规管理义务、外部攻击技术防范义务、网络运行记录留档义务、数据保护义务,以及散见于其他法律法规的义务。
《网络安全法》第二十一条规定的一般领域网络服务提供者(非关键信息基础设施网络服务提供者,关键信息基础设施领域详见《网络安全法》第31条)的四类具体义务及其他义务可进行如下扩展:
1、合规管理义务:制定安全管理制度,确定最终责任人。
(1)网络安全事件应急预案(《网络安全法》第25条);
(2)网络信息安全投诉、举报制度(《网络安全法》第49条);
(3)数据安全管理制度(《数据安全法》第27条);
(4)个人信息内部管理制度与操作规程(《个人信息保护法》第51条);
(5)大型互联网平台的个人信息保护特别义务:建立个人信息保护合规制度体系,成立监督机构(《个人信息保护法》第58条);
(6)个人信息处理者的合规保障义务:①定期进行合规审计(《个人信息保护法》第54条);②分类管理;个人信息加密、去标识化;确定处理信息的操作权限(《个人信息保护法》第51条);③个别情形下的个人信息事前评估(《个人信息保护法》第55条);
(7)部分数据处理服务应当取得行政许可(《数据安全法》第34条)。
2、风险防控义务:防范外部攻击和侵入,排查系统风险,及时响应、报告。
(1)风险、隐患及时补救并报告有关主管部门(《网络安全法》第22条第一款第42条;《数据安全法》第29条;《个人信息保护法》第57条);
(2)对产品、服务提供安全维护(《网络安全法》第22条第二款);
(3)(数据处理者)定期风险评估,并向有关部门报送风险评估报告(《数据安全法》第30条);
(4)违法信息及时处置(《网络安全法》第47条第48条)。
3、监测、记录网络运行状态,留存网络运行记录、日志。
4、个人信息、数据分类及保护义务。
4.1个人信息的分类与保护
(1)对用户信息的收集应当征求用户同意(《网络安全法》第22条第41条);
(2)不得出售或向他人提供个人信息(《网络安全法》第44条);
(3)个人信息处理者的合规保障义务:①定期进行合规审计(《个人信息保护法》第54条);②分类管理;个人信息加密、去标识化;确定处理信息的操作权限(《个人信息保护法》第51条);③个别情形下的个人信息事前评估(《个人信息保护法》第55条);
4.2数据的分类与保护
(1)(数据处理者)对数据定期风险评估,并向有关部门报送风险评估报告(《数据安全法》第30条);
(2)不得向境外提供重要数据(《数据安全法》第31条);
(3)不得以非法方式获取数据。如法律、法规对收集、使用数据的范围、目的有规定的,在法律、法规规定的范围内收集、使用数据(《数据安全法》第32条);
(4)未经主管部门批准,不得向境外司法或执法机构提供数据(《数据安全法》第36条)。
5、其他义务。
(1)提供公安机关、国家安全机关因依法维护国家安全或侦查犯罪的技术支持和协助义务(《网络安全法》第28条);
(2)配合网信部门和有关部门监督检查义务(《网络安全法》第49条);
(3)协助、配合履行个人信息保护职责的部门履行职责的义务,不得拒绝、阻挠(《个人信息保护法》第63条);
(4)配合公安机关、国家安全机关因依法维护国家安全或侦查犯罪的需要调取数据(《数据安全法》第35条);
(5)大型互联网平台需接受社会监督(《个人信息保护法》第58条)。
需要注意的是,《刑法》第二百八十六条之一所规定的安全管理义务来源为“法律、行政法规”,虽有大量规范性文件规定了网络服务提供者的安全管理义务,但仍须围绕着法律、行政法规展开解释。
四、技术提供者脱罪难
上述分析及对网络服务提供者的安全管理义务的梳理,不难看出,随着互联网空间立法逐步完善,“技术中立”已不能作为刑事责任的豁免事由。同时,快播案也告诉我们,技术中立在刑事犯罪中就是个伪命题。
《刑法》第二百八十六条之一规定的拒不履行信息网络安全管理义务罪,若网络服务提供者拒不履行管理义务,经监管部门责令采取改正措施而拒不改正,又造成严重后果的构成犯罪。实践中,安徽某提供VPS(虚拟专用服务器)出租服务的公司,因未按照规定留存网络日志,未要求办理网络接入客户提供真实身份信息,被犯罪分子利用该司服务器进行诈骗,并致使刑事案件证据灭失,被依法追究刑事责任。
《刑法》第二百八十五条第三款规定的提供侵入、非法控制计算机信息系统程序、工具罪,提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施违法犯罪而提供程序、工具,情节严重的构成犯罪。上海“小白改机”案中,犯罪分子故意制作能够篡改、抓取“饿了么”等平台数据的软件进行销售获利,最终相关人员被判处提供侵入、非法控制计算机信息系统程序、工具罪无可争议。但在本所刑事专业组研讨的一起案件中,嫌疑人利用微信自带的,给开发者用调取工具,借用某官方网站程序漏洞,获取公民个人信息,该调取工具提供者则因技术中立性质免于法律责任。
《刑法》第二百八十七条之二规定的帮助信息网络犯罪活动罪,明知他人利用信息网络实施犯罪,为犯罪提供互联网接入、服务器托管、网络储存、通讯传输等技术支持,情节严重的构成犯罪。一起帮信罪案中,犯罪分子成立公司,为从事色情、赌博、诈骗等网站提供技术维护,最终负责人被判处帮助信息网络犯罪活动罪。但在另一起网络赌博案中,为赌博网站提供技术支持和运营维护的嫌疑人因不清楚充值资金性质、来源,未意识到被他人利用实施犯罪,则被检察院认定为不构成犯罪。
综合以上所述,在刑事案件中,技术中立不是万能的脱罪理由。其技术提供者是否构成犯罪,构成何种罪名主要还需要结合;1提供的技术是否是用作非法用途,或者只能被用作非法用途;2技术提供者是否具有故意,即明知他人违法犯罪依旧提供技术支持;3行为所造成的后果是否达情节严重的地步。其中,若能证明已经尽到了合理的网络服务安全管理义务,则可作为构罪要件的有力辩驳。
五、小结
不可否认的是,由于“算法黑箱”的存在及法律对于概念的解释滞后性,如若不将法律分析建立在以技术为基础的功能分析之上,便无法明晰技术提供者的责任范围。但仅从法律层面切入对网络服务提供者的安全管理义务进行梳理是不够的,还需结合服务特性对服务提供者的性质进行区分并进一步细化服务提供者的安全监管义务。从而将技术支持与使用者的犯罪行为隔离,减少刑事风险。
本团队进行总结、探讨形成本篇文章,供各位参考。
文中附注
[1] 陈兴良.论中立的帮助行为[J].东方法学,2022,(04):132-145
[2]周光权.中性业务活动与帮助犯的限定——以林小青被控诈骗、敲诈勒索案为切入点[J].比较法研究,2019,05:34-49
[3] 姚志伟.技术性审查:网络服务提供者公法审查义务困境之破解[J].法商研究,2019,36(01):31-42
[4] 王华伟.网络服务提供者刑事责任的认定路径——兼评快播案的相关争议[J].国家检察官学院学报,2017,25(05):3-32+173

技术驱动法律,专业成就未来