◇許亞潔

隨著網(wǎng)絡(luò)經(jīng)濟(jì)和技術(shù)的突飛猛進(jìn)，侵犯?jìng)€(gè)人信息的違法犯罪行為十分猖獗。在公安部開展的“凈網(wǎng)2019”專項(xiàng)行動(dòng)中，依法整改2090款A(yù)PP，依法查處1121款A(yù)PP，集中曝光100款違法違規(guī)收集使用個(gè)人信息行為的APP。[1]2020年10月，《個(gè)人信息保護(hù)法草（案提）》請(qǐng)十三屆全國(guó)人大常委會(huì)第二十二次會(huì)議審議，草案主要聚焦個(gè)人信息保護(hù)突出問題，落實(shí)個(gè)人信息保護(hù)相關(guān)主體責(zé)任。盡管我國(guó)對(duì)個(gè)人信息的立法保護(hù)逐步加強(qiáng)，但是法律體系尚未形成，具體細(xì)則尚未頒布，這就導(dǎo)致實(shí)踐中打“擦邊球”的行為層出不窮。正如有學(xué)者提到，如果對(duì)個(gè)人數(shù)據(jù)資料沒有相應(yīng)的法律保護(hù)制度，將會(huì)阻礙經(jīng)濟(jì)的發(fā)展。有些國(guó)家在很短的時(shí)間里就出臺(tái)了這類法律規(guī)定，而且有時(shí)很正規(guī)，但是我們知道，有時(shí)這些規(guī)定只是一紙空文，從來不會(huì)得以執(zhí)行的；或者這些規(guī)定會(huì)給實(shí)踐帶來很多的困難。[2]網(wǎng)絡(luò)服務(wù)者對(duì)個(gè)人信息的處理過程至少包括收集、儲(chǔ)存、使用三個(gè)階段。不同階段，網(wǎng)絡(luò)服務(wù)者都應(yīng)當(dāng)承擔(dān)相應(yīng)的保護(hù)義務(wù)。各類互聯(lián)網(wǎng)服務(wù)提供商對(duì)于一國(guó)網(wǎng)絡(luò)安全的維護(hù)負(fù)有極大的安全保障義務(wù)和責(zé)任，現(xiàn)實(shí)中各主體是否已最大限度地盡到其義務(wù)，這在實(shí)踐中并無一個(gè)確定的標(biāo)準(zhǔn)可言。[3]盡管我國(guó)相關(guān)法律法規(guī)中規(guī)定了網(wǎng)絡(luò)服務(wù)者的義務(wù)，但是仍存在抽象化、碎片化等問題。

一、網(wǎng)絡(luò)服務(wù)者個(gè)人信息保護(hù)義務(wù)設(shè)置的缺陷及影響

（一）個(gè)人信息保護(hù)義務(wù)類型設(shè)置的泛化現(xiàn)象

首先，收集個(gè)人信息的告知義務(wù)存在格式化問題。一方面，網(wǎng)絡(luò)服務(wù)者告知義務(wù)的履行方式剝奪了信息主體協(xié)商的空間。網(wǎng)絡(luò)服務(wù)者在相關(guān)協(xié)議或隱私條款中履行收集個(gè)人信息告知義務(wù)，但當(dāng)信息主體不同意時(shí)，信息主體往往被拒絕使用相應(yīng)服務(wù)。另一方面，告知義務(wù)內(nèi)容模糊抽象，為超范圍收集個(gè)人信息留有空間。中國(guó)消費(fèi)者協(xié)會(huì)曾于2018年7月17日至8月13日組織開展“應(yīng)用軟件個(gè)人信息泄露情況”問卷調(diào)查，調(diào)查結(jié)果顯示手機(jī)應(yīng)用軟件存在過度采集個(gè)人信息的趨勢(shì)，且應(yīng)用軟件隱私政策的“合規(guī)性”及“標(biāo)準(zhǔn)化程度”有待提高。[4]網(wǎng)絡(luò)服務(wù)者往往通過“等”“包括但不限于”等概括性字眼擴(kuò)大收集范圍。例如在攜程網(wǎng)站的隱私政策中，關(guān)于“信息收集”規(guī)定：“在您注冊(cè)為攜程會(huì)員時(shí)，至少需提供手機(jī)號(hào)并設(shè)置密碼用以創(chuàng)建攜程賬號(hào)。”“當(dāng)您使用在線商城購(gòu)物服務(wù)時(shí)，您至少需提供手機(jī)號(hào)、郵箱、姓名、證件信息?！逼錀l款中多次使用“至少”以模糊信息收集的范圍?？梢?，各大網(wǎng)絡(luò)服務(wù)者確實(shí)設(shè)置了合規(guī)性條款，但是其信息收集階段的告知義務(wù)仍存在格式化問題。

其次，信息泄露通知義務(wù)存在被架空的問題?！?019年數(shù)據(jù)泄露成本報(bào)告》發(fā)現(xiàn)，從2014年到2019年數(shù)據(jù)泄露事件增長(zhǎng)了21%，識(shí)別和遏制數(shù)據(jù)泄露所需要的平均時(shí)間為279天。[5]網(wǎng)絡(luò)服務(wù)者作為直接相關(guān)者與責(zé)任者有信息泄露的通知管理義務(wù)，但是我國(guó)法律法規(guī)對(duì)數(shù)據(jù)泄露通知的規(guī)定過于簡(jiǎn)單并存在沖突。例如，《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)服務(wù)者在“可能發(fā)生”個(gè)人信息泄露、損毀、丟失的情況并且沒有其他限定條件下履行該義務(wù)，這明顯對(duì)其要求過高，很難具有可行性。同時(shí)，“可能發(fā)生”也沒有具體的判斷標(biāo)準(zhǔn)，極有可能淪為“口號(hào)”型條款。2019年新修訂的《個(gè)人信息安全規(guī)范（草案）》規(guī)定，只有當(dāng)“發(fā)生超過100萬人個(gè)人信息或者關(guān)系國(guó)計(jì)民生、公共利益的個(gè)人敏感信息泄露、毀損、丟失的安全事件”，才要求將有關(guān)情況報(bào)網(wǎng)信部門。但是，《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》規(guī)定，造成或者可能造成嚴(yán)重后果的，應(yīng)當(dāng)立即向準(zhǔn)予其許可或者備案的電信管理機(jī)構(gòu)報(bào)告。在通知時(shí)間上，法律法規(guī)也未設(shè)置任何限制。由于沒有時(shí)間的限制，網(wǎng)絡(luò)服務(wù)者為了逃避法律責(zé)任，完全有可能不通知或在事件發(fā)生很久之后再通知。但是信息安全事件發(fā)生后，只有及時(shí)履行通知義務(wù)、采取相關(guān)措施才能防止損害后果的擴(kuò)大，否則這項(xiàng)義務(wù)將失去價(jià)值，流于形式。

最后，數(shù)據(jù)共享過程中法律義務(wù)的空白現(xiàn)象。為了實(shí)現(xiàn)盈利最大化，網(wǎng)絡(luò)服務(wù)者之間總會(huì)共享自身數(shù)據(jù)庫，因此網(wǎng)絡(luò)服務(wù)者除了通過自身服務(wù)獲得數(shù)據(jù)外，還會(huì)鏈接不同數(shù)據(jù)源獲得外部數(shù)據(jù)，同時(shí)還會(huì)將自身從各個(gè)渠道獲得的數(shù)據(jù)提供、出售給更多的網(wǎng)絡(luò)服務(wù)者?？梢姡W(wǎng)絡(luò)服務(wù)者之間層層使用、交叉使用個(gè)人數(shù)據(jù)的現(xiàn)象普遍存在。例如，微夢(mèng)（新浪微博）訴淘友（脈脈軟件）不正當(dāng)競(jìng)爭(zhēng)案①北京市海淀區(qū)人民法院（2015）海民（知）初字第12602號(hào)。中，正是因?yàn)殡p方簽訂了《開發(fā)者協(xié)議》約定，脈脈可以獲得新浪微博用戶的ID頭像、好友關(guān)系（無好友信息）、標(biāo)簽、性別信息，而產(chǎn)生的糾紛。漢濤公司（大眾點(diǎn)評(píng)）訴百度公司不正當(dāng)競(jìng)爭(zhēng)案、淘寶訴美景公司不正當(dāng)競(jìng)爭(zhēng)案等也都是基于兩者“共享”數(shù)據(jù)庫而產(chǎn)生的糾紛。個(gè)人信息主體只在數(shù)據(jù)收集階段與第一層網(wǎng)絡(luò)服務(wù)者之間簽訂協(xié)議，授權(quán)其收集、使用個(gè)人數(shù)據(jù)，但無法得知第一層和第二層、第二層和第三層等其他層面網(wǎng)絡(luò)服務(wù)者之間的約定協(xié)議。同時(shí)，法律法規(guī)并沒有設(shè)置特定的義務(wù)責(zé)任應(yīng)對(duì)共享個(gè)人數(shù)據(jù)的情況?？梢姡谶@種權(quán)利與義務(wù)不對(duì)等的情況下，個(gè)人數(shù)據(jù)安全岌岌可危。

（二）網(wǎng)絡(luò)服務(wù)者行政違法與刑事責(zé)任銜接不暢

基于網(wǎng)絡(luò)技術(shù)和服務(wù)的特點(diǎn)，信息法是一門橫向的學(xué)科，必須要求掌握民法、刑法和公法三大領(lǐng)域的知識(shí)。例如在德國(guó)，探討供應(yīng)商責(zé)任時(shí)，《德國(guó)遠(yuǎn)程媒體法》相應(yīng)的規(guī)定對(duì)德國(guó)三大法域都適用，這就可以預(yù)料到存在彼此的緊張關(guān)系和誤解的可能。[6]目前根據(jù)我國(guó)刑法的規(guī)定，在有關(guān)個(gè)人信息犯罪中，網(wǎng)絡(luò)服務(wù)者可能承擔(dān)四種類型的刑事責(zé)任。一是單獨(dú)犯責(zé)任，即網(wǎng)絡(luò)服務(wù)者違反國(guó)家有關(guān)規(guī)定，非法獲取、出售、提供公民個(gè)人信息的，可能構(gòu)成侵犯公民個(gè)人信息罪的單獨(dú)犯；二是共犯責(zé)任，即網(wǎng)絡(luò)服務(wù)者與他人共謀故意侵犯公民個(gè)人信息，可能構(gòu)成侵犯公民個(gè)人信息罪的共犯；三是幫助行為正犯化責(zé)任，即網(wǎng)絡(luò)服務(wù)者明知他人通過網(wǎng)絡(luò)實(shí)施侵犯?jìng)€(gè)人信息的犯罪，為其犯罪提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲(chǔ)、通訊傳輸?shù)燃夹g(shù)支持，或者提供廣告推廣、支付結(jié)算等幫助的，可能構(gòu)成幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪；四是拒不履行法定義務(wù)責(zé)任，網(wǎng)絡(luò)服務(wù)者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，致使用戶信息泄露，造成嚴(yán)重后果的，可能構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。這四種刑事責(zé)任都與網(wǎng)絡(luò)服務(wù)者的保護(hù)義務(wù)息息相關(guān)，而保護(hù)義務(wù)的抽象模糊會(huì)導(dǎo)致刑事責(zé)任認(rèn)定的諸多困境。

網(wǎng)絡(luò)服務(wù)者的刑事責(zé)任體系不嚴(yán)密。目前，網(wǎng)絡(luò)服務(wù)者的前置保護(hù)義務(wù)設(shè)置呈現(xiàn)原則化和松散化特征。一些義務(wù)的設(shè)置僅具有“宣誓”意義，配套細(xì)則沒有跟上，例如信息泄露通知義務(wù)，履行通知義務(wù)的時(shí)間、方式等都沒有明確規(guī)定；一些重要規(guī)則被忽略，導(dǎo)致法律漏洞的出現(xiàn)。例如，在個(gè)人信息被二次或多次使用的情況下，各個(gè)網(wǎng)絡(luò)服務(wù)者的義務(wù)規(guī)則也沒有被明確設(shè)定。不管是侵犯公民個(gè)人信息罪還是拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，刑事違法的判斷都在一定程度上以行政違法為根據(jù)，只有在行政違法的前提下才有判斷刑事違法的可能性。但是，前置義務(wù)設(shè)置的漏洞，可能使某些侵害行為逃脫行政違法，即使造成嚴(yán)重的社會(huì)危害性，也無法追究其刑事責(zé)任。例如，網(wǎng)絡(luò)服務(wù)者在收集個(gè)人信息時(shí)，往往采用模糊用詞和格式條款獲取信息主體授權(quán)。在形式上，網(wǎng)絡(luò)服務(wù)者確實(shí)在獲得信息主體的“同意”后收集個(gè)人信息，但在實(shí)質(zhì)上卻存在超范圍收集、濫用個(gè)人信息的情況。在這種情況下，很難認(rèn)定網(wǎng)絡(luò)服務(wù)者違反相關(guān)行政義務(wù)，更不用說刑事責(zé)任。

網(wǎng)絡(luò)服務(wù)者的刑事責(zé)任范圍易擴(kuò)張。網(wǎng)絡(luò)服務(wù)者以其先進(jìn)的網(wǎng)絡(luò)技術(shù)和服務(wù)成為網(wǎng)絡(luò)經(jīng)濟(jì)的重要參與者和推動(dòng)者，因此在法律層面，其行為總與網(wǎng)絡(luò)中立技術(shù)行為密切相關(guān)。在我國(guó)入罪化思維的背景下，處理網(wǎng)絡(luò)中立幫助行為的內(nèi)在邏輯是尋找中立幫助行為入罪的可能性，而不是對(duì)其采取處罰范圍限定理論。[7]立法上的擴(kuò)張趨勢(shì)意味著在司法適用上需采取審慎態(tài)度才能避免對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展的扼殺。這就需要前置法與刑法之間協(xié)調(diào)銜接，發(fā)揮前置法的“篩選”作用，將合法的行為或僅僅構(gòu)成行政違法而尚未上升至刑事違法的行為截流，防止網(wǎng)絡(luò)中立行為的不當(dāng)入罪。而前置法的“篩選”作用有賴于保護(hù)義務(wù)和責(zé)任的設(shè)定，如果保護(hù)義務(wù)過于片面則會(huì)導(dǎo)致行政法失去實(shí)質(zhì)作用，網(wǎng)絡(luò)服務(wù)者的刑事責(zé)任不當(dāng)擴(kuò)大。

二、個(gè)人信息領(lǐng)域行政違法與刑事違法的關(guān)系

（一）法定犯設(shè)定的優(yōu)勢(shì)與困境

在風(fēng)險(xiǎn)社會(huì)概念的普及之下，風(fēng)險(xiǎn)刑法的概念應(yīng)運(yùn)而生。勞東燕教授在2007年發(fā)表的《公共政策與風(fēng)險(xiǎn)社會(huì)的刑法》一文開啟了我國(guó)學(xué)者討論風(fēng)險(xiǎn)刑法的先河。風(fēng)險(xiǎn)刑法的討論在我國(guó)刑法界一直未曾停歇。不同法學(xué)家各執(zhí)一詞，但都可歸結(jié)為兩大陣營(yíng)，一方是強(qiáng)調(diào)風(fēng)險(xiǎn)社會(huì)到來對(duì)刑法的挑戰(zhàn)以及刑法為應(yīng)對(duì)風(fēng)險(xiǎn)社會(huì)已經(jīng)作出了順應(yīng)風(fēng)險(xiǎn)刑法理論的改變，即強(qiáng)調(diào)和肯定了風(fēng)險(xiǎn)刑法理論的正面價(jià)值，并主張刑法應(yīng)當(dāng)從保障法轉(zhuǎn)變?yōu)轭A(yù)防法；另一方，則是從傳統(tǒng)刑法的基本立場(chǎng)、精神和風(fēng)險(xiǎn)刑法的社會(huì)學(xué)依據(jù)——風(fēng)險(xiǎn)社會(huì)對(duì)風(fēng)險(xiǎn)刑法理論進(jìn)行批判，主張刑法應(yīng)當(dāng)持續(xù)保持謙抑性。拋開風(fēng)險(xiǎn)刑法的應(yīng)然價(jià)值，在實(shí)然層面，刑法的犯罪圈正在不斷擴(kuò)張，原先僅是行政違法的行為通過刑事立法可能成為刑事違法行為。這無疑是刑法預(yù)防功能的重要體現(xiàn)。因此，與其爭(zhēng)論風(fēng)險(xiǎn)刑法理論的真?zhèn)危蝗鐚⒛抗夂蛯W(xué)術(shù)討論轉(zhuǎn)移到預(yù)防性刑事立法的合理限度和邊界的討論。加羅法洛在其經(jīng)典著作《犯罪學(xué)》中，站在社會(huì)防衛(wèi)的角度，以犯罪行為是否具有道德異常為標(biāo)準(zhǔn)，提出了“自然犯”和“法定犯”。[8]法定犯設(shè)置成為刑法應(yīng)對(duì)風(fēng)險(xiǎn)社會(huì)機(jī)制的原因是明顯的。一方面，風(fēng)險(xiǎn)社會(huì)意味著風(fēng)險(xiǎn)的增加且此部分風(fēng)險(xiǎn)不能通過市場(chǎng)自行調(diào)節(jié)，需要政府的多重干預(yù)。就法律層面而言，行政責(zé)任和刑事責(zé)任是由政府介入對(duì)風(fēng)險(xiǎn)的管理。法定犯融合了行政違法與刑事責(zé)任的犯罪類型，剛好是政府可以利用的介入手段。另一方面，從責(zé)任體系來看，行政責(zé)任位于刑事責(zé)任之前，輕于刑事責(zé)任。當(dāng)政府采用刑事手段預(yù)防風(fēng)險(xiǎn)時(shí)，勢(shì)必在風(fēng)險(xiǎn)形成的較早階段就予以介入，以實(shí)現(xiàn)刑法的預(yù)防風(fēng)險(xiǎn)作用。刑事責(zé)任的前置不可避免地與行政責(zé)任產(chǎn)生碰撞，而法定犯正是以其特殊的犯罪構(gòu)成要件協(xié)調(diào)了擴(kuò)張到行政責(zé)任領(lǐng)域的刑事責(zé)任與行政責(zé)任的矛盾問題。因此，法定犯應(yīng)對(duì)風(fēng)險(xiǎn)具有天然的優(yōu)勢(shì)。隨著網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)科技的突飛猛進(jìn)，信息數(shù)據(jù)成為炙手可熱的財(cái)富之源。有利益就有風(fēng)險(xiǎn)，個(gè)人信息數(shù)據(jù)的安全風(fēng)險(xiǎn)正是風(fēng)險(xiǎn)社會(huì)中不斷增加的風(fēng)險(xiǎn)類型。為了回應(yīng)不斷升級(jí)的安全風(fēng)險(xiǎn)，政府率先采用刑事手段積極干預(yù)。與個(gè)人信息數(shù)據(jù)安全相關(guān)的犯罪類型正是采用了法定犯的方式。例如在侵犯公民個(gè)人信息罪的構(gòu)成要件中規(guī)定了“違反國(guó)家有關(guān)規(guī)定”，在拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪中規(guī)定了“網(wǎng)絡(luò)服務(wù)者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)”。

盡管在預(yù)防風(fēng)險(xiǎn)方面，法定犯具有諸多優(yōu)點(diǎn)。但不可否認(rèn)，法定犯的認(rèn)定仍存在許多爭(zhēng)議問題，其中最重要和最基礎(chǔ)的問題是違法性判斷標(biāo)準(zhǔn)問題。關(guān)于行政違法、刑事違法的區(qū)分界限，域外主要觀點(diǎn)可以分為以質(zhì)的差異說、量的差異說、質(zhì)量的差異說為核心的德國(guó)學(xué)說，以嚴(yán)格的違法一元論、緩和的違法一元論、違法相對(duì)論為核心的日本學(xué)說。[9]就法定犯的違法性判斷而言，爭(zhēng)議的焦點(diǎn)在于行政違法在刑事違法判斷中的作用。一方面，法定犯的構(gòu)成要件設(shè)置決定了刑事違法性判斷依賴于前置行政法規(guī)的規(guī)定。例如，在拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪中，構(gòu)成要件行為就是前置行政法規(guī)定的義務(wù)。如果行為人拒不履行的行為不是前置行政法規(guī)定的義務(wù)，那么行為人一定不存在刑事違法行為。但是如果刑事違法的判斷僅依賴于行政違法，可能造成司法判案不公、司法資源浪費(fèi)等問題。例如，王力軍非法經(jīng)營(yíng)案①內(nèi)蒙古自治區(qū)巴彥淖爾市中級(jí)人民法院（2017）內(nèi)刑08刑再1號(hào)刑事判決書。、趙春華非法持有槍支案②天津市第一中級(jí)人民法院（2017）津01刑終41號(hào)刑事判決書。都是司法機(jī)關(guān)機(jī)械適用、過度依賴行政違法判斷刑事違法的典型案例。另一方面，行政執(zhí)法、刑事司法的不同操作流程和辦案機(jī)制導(dǎo)致違法性判斷存在獨(dú)立性。但這種割裂很容易造成刑法將某一行為認(rèn)定為犯罪行為但這種行為在行政法上卻是合法的行為。這明顯違反了法秩序統(tǒng)一性原則。因此在“完全依賴”與“完全割裂”之間尋求最佳平衡點(diǎn)成為法定犯違法性認(rèn)定的重點(diǎn)和難點(diǎn)。社會(huì)轉(zhuǎn)型在帶來進(jìn)步繁榮的同時(shí)，也一并伴隨著諸多社會(huì)風(fēng)險(xiǎn)。面對(duì)社會(huì)風(fēng)險(xiǎn)，刑法學(xué)的首要任務(wù)是：刑法介入社會(huì)風(fēng)險(xiǎn)的實(shí)踐合理性和合理處罰的邊界。[10]法定犯作為刑法應(yīng)對(duì)風(fēng)險(xiǎn)的具體手段具有立法的不可避免性，因此，其違法性的邊界劃定成為當(dāng)前困擾理論界和司法實(shí)踐的主要問題。

（二）行政違法與刑事違法存在相對(duì)統(tǒng)一關(guān)系

最早區(qū)分行政不法與刑事不法的法律是德國(guó)1794年的《普魯士一般法》，之后圍繞行政不法與刑事不法的區(qū)別展開了不小的爭(zhēng)論。[11]盡管法秩序的統(tǒng)一性要求憲法、民法、刑法、經(jīng)濟(jì)法等多個(gè)法律部門組成的法秩序內(nèi)部不能存在相互沖突和矛盾，但是由于不同部門法之間的目的、性質(zhì)與適用上具有差異，違法性的質(zhì)和量都會(huì)存在差別。不同法域的違法性判斷存在絕對(duì)統(tǒng)一性和相對(duì)統(tǒng)一性兩種觀點(diǎn)。違法判斷的絕對(duì)統(tǒng)一性過分強(qiáng)調(diào)刑法從屬于前置法，不僅忽視刑法目的自主性與品格獨(dú)立性的一面，也有忽略刑法問題性思考之嫌。相對(duì)的違法性判斷才是科學(xué)協(xié)調(diào)和保證不同部門法之間的法秩序統(tǒng)一。值得強(qiáng)調(diào)的是，相對(duì)違法性判斷理念的適用范圍僅是法定犯，而不包括其他類型的犯罪。例如，在自然犯類型下，刑事違法判斷不以行政違法為前提，具有絕對(duì)獨(dú)立性。因此，在法定犯語境下，行政違法與刑事違法應(yīng)當(dāng)具有相對(duì)統(tǒng)一關(guān)系。

第一，行政違法與刑事違法的“統(tǒng)一”體現(xiàn)于形式識(shí)別。“相對(duì)統(tǒng)一”的觀點(diǎn)應(yīng)當(dāng)包括兩個(gè)重點(diǎn)：一是“相對(duì)”，二是“統(tǒng)一”。當(dāng)前，由于司法爭(zhēng)議較大的案件都是因?yàn)檫`法判斷過于“統(tǒng)一”而造成的司法不公和輿論質(zhì)疑，導(dǎo)致理論界多強(qiáng)調(diào)和主張刑事違法判斷的“相對(duì)”。這無疑使“統(tǒng)一”遭到忽視，但是 “統(tǒng)一”的理念同等重要。具體而言，法定犯的刑事違法性判斷就是構(gòu)成要件要素符合性的判斷，多數(shù)法定犯以空白罪狀的方式設(shè)置，此時(shí)需要在前置的行政法中識(shí)別構(gòu)成要件從而進(jìn)一步判斷案件事實(shí)的構(gòu)成要件符合性。也即，行政違法是違法性判斷中的形式判斷，只有行為違反了前置行政法規(guī)才具有成為犯罪行為的可能性?？梢?，行政違法是刑事違法的“門檻”。綜上所述，法定犯的行政違法與刑事違法具有形式上的統(tǒng)一性。

第二，行政違法與刑事違法的 “相對(duì)”體現(xiàn)于“質(zhì)”的區(qū)別。在“相對(duì)”的部分，“相對(duì)”的標(biāo)準(zhǔn)具有不同的觀點(diǎn)。量的區(qū)別說認(rèn)為，刑事違法與行政違法之間沒有本質(zhì)區(qū)別，兩者之間的區(qū)別僅僅在于量的不同，即刑事違法性=一般違法性+可罰的違法性。[12]質(zhì)的區(qū)別說認(rèn)為，刑事違法性與行政違法性具有本質(zhì)的區(qū)別，強(qiáng)調(diào)刑法并不是對(duì)違反其他法律的行為直接給予刑事制裁，而是根據(jù)特定目的評(píng)價(jià)、判斷對(duì)某種行為是否需要給予刑事制裁。[13]質(zhì)量區(qū)別說認(rèn)為，刑事違法不僅在量上具有較高的損害性和社會(huì)破壞性，而且在質(zhì)上具有較嚴(yán)重的倫理問題，具有反社會(huì)性；行政違法在量上所侵害的客體價(jià)值較低，在質(zhì)上也未侵害社會(huì)的倫理，不具有反社會(huì)性。[14]

量的區(qū)別說對(duì)違法性的理解值得商榷。一方面，犯罪的構(gòu)成一般需要經(jīng)過構(gòu)成要件復(fù)合性、違法性和有責(zé)性的判斷并且這三個(gè)階段具有順序性。因此，違法性是判斷有責(zé)性的前提，而可罰性應(yīng)當(dāng)是在有責(zé)性階段加以判斷?？梢?，“可罰的違法性”本身就混淆了違法性和有責(zé)性的概念。另一方面，刑法的違法性認(rèn)定需要通過對(duì)構(gòu)成要件的實(shí)質(zhì)解釋，也即從刑法理論出發(fā)解釋和判定構(gòu)成要件的符合性。刑法基于其法律地位的后置性和刑罰手段的嚴(yán)重性，具有與其他法律或生活常識(shí)不同的語言理解和要素解釋，而不僅僅只是危害結(jié)果的“量”上堆積。質(zhì)量混合區(qū)別說是結(jié)合了量的區(qū)別說和質(zhì)的區(qū)別說的折中說，但是其本身也具有不可忽視的缺陷。最明顯的是，質(zhì)量混合區(qū)別說中的“社會(huì)倫理價(jià)值”標(biāo)準(zhǔn)具有不確定性。由于現(xiàn)代社會(huì)的多元復(fù)雜，欲確定可為社會(huì)普遍接受之倫理道德標(biāo)準(zhǔn)，本屬不易，況且時(shí)代環(huán)境之不斷變遷，社會(huì)價(jià)值觀亦難維持長(zhǎng)久不變。[15]質(zhì)的區(qū)別說在解釋行政違法性和刑事違法性上具有優(yōu)勢(shì)。詳言之，一方面，質(zhì)的區(qū)別說強(qiáng)調(diào)刑法違法性的獨(dú)立判斷，這符合犯罪構(gòu)成要件符合性的實(shí)質(zhì)解釋要求。刑法的作為義務(wù)與行政作為義務(wù)并不是對(duì)等的關(guān)系，例如，《網(wǎng)絡(luò)安全法》第 49條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度，公布投訴、舉報(bào)方式等信息，及時(shí)受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報(bào)。”然而，網(wǎng)絡(luò)運(yùn)營(yíng)者未履行上述義務(wù)的，并不成立任何犯罪?？梢?，是否違反刑法還需要根據(jù)刑法的基本原則、補(bǔ)充性原理等進(jìn)行實(shí)質(zhì)分析。而質(zhì)的區(qū)別說正是在違法性判斷階段就強(qiáng)調(diào)兩者的本質(zhì)區(qū)別。另一方面，強(qiáng)調(diào)質(zhì)的區(qū)別有助于限制入罪范圍，提供出罪路徑。目前，刑法立法存在擴(kuò)張趨勢(shì)，司法缺乏出罪機(jī)制，導(dǎo)致入罪容易出罪難的問題。質(zhì)的區(qū)別說相較于量的區(qū)別說、質(zhì)量混合區(qū)別說而言，將刑事違法和行政違法區(qū)分得更加徹底，更有利于掃清出罪路徑和提高出罪效率，符合當(dāng)前我國(guó)的司法現(xiàn)狀。綜上，行政違法性與刑事違法性密不可分，同時(shí)又相互區(qū)別。盡管行政違法與刑事違法具有“質(zhì)”的區(qū)別，但是仍不可忽視兩者在形式判斷上的統(tǒng)一性。第一步，發(fā)揮行政法的“門檻”作用，積極識(shí)別行政義務(wù)。第二步，發(fā)揮刑法的“篩選”作用，實(shí)質(zhì)解釋犯罪構(gòu)成。

三、完善網(wǎng)絡(luò)服務(wù)者義務(wù)類型的具體化路徑

（一）收集個(gè)人信息告知義務(wù)的層級(jí)化

首先，告知義務(wù)應(yīng)當(dāng)以個(gè)人信息分類為基礎(chǔ)。個(gè)人信息分類保護(hù)模式能夠明確不同信息之間的根本差異，實(shí)現(xiàn)個(gè)人信息保護(hù)體系的周延性和自足性，保證個(gè)人信息在市場(chǎng)中的開放性和流動(dòng)性。不同類型的個(gè)人信息對(duì)信息主體的權(quán)益影響程度不同，在收集個(gè)人信息時(shí)，網(wǎng)絡(luò)服務(wù)者就應(yīng)當(dāng)針對(duì)不同類型個(gè)人信息履行不同的告知義務(wù)。其次，告知義務(wù)應(yīng)當(dāng)具有層級(jí)化結(jié)構(gòu)。在一些行政法規(guī)、部門規(guī)章或地方性法規(guī)中，已經(jīng)將個(gè)人信息明確區(qū)分為敏感個(gè)人信息和一般個(gè)人信息。例如，《信息安全技術(shù)個(gè)人信息安全規(guī)范》《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》。一般而言，敏感個(gè)人信息對(duì)信息主體權(quán)益的影響程度更高，而一般個(gè)人信息則較低。網(wǎng)絡(luò)服務(wù)者可以采取不同的告知模式獲取信息主體同意。具體而言，收集敏感個(gè)人信息時(shí)，網(wǎng)絡(luò)服務(wù)者應(yīng)履行高層級(jí)的告知義務(wù)要求。在形式上，網(wǎng)絡(luò)服務(wù)者可以通過電郵、短消息等方式一一通知信息主體，并采用加粗、加大等比一般通知條款更顯著的方式提請(qǐng)信息主體注意。同時(shí)，只有獲得信息主體的明示同意才具有有效性。例如，2019年10月，歐盟法院在德國(guó)消費(fèi)者組織聯(lián)合會(huì)起訴德國(guó)公司Planet49案中強(qiáng)調(diào)，通過“預(yù)選框”的方式所取得的用戶同意，不能作為有效同意，因?yàn)閿?shù)據(jù)處理者無法假設(shè)未取消要求的人會(huì)積極參與。①CJEU Case C-673/17.在內(nèi)容上，網(wǎng)絡(luò)服務(wù)者應(yīng)當(dāng)明確告知信息主體收集的信息類型和用途，同時(shí)應(yīng)當(dāng)告知敏感個(gè)人信息處理可能涉及的重大利益和可能產(chǎn)生的實(shí)質(zhì)損害，并不得采用“等”這樣的模糊字眼。收集一般個(gè)人信息時(shí)，網(wǎng)絡(luò)服務(wù)者則可以履行較低層級(jí)的告知義務(wù)要求。在形式上，可以采用隱私政策等格式條款進(jìn)行通知，但仍需具有明確性和顯著性。在內(nèi)容上，網(wǎng)絡(luò)服務(wù)者應(yīng)當(dāng)明確告知信息主體收集的信息類型和用途，包括信息活動(dòng)的性質(zhì)、可能受影響的利益、如何利用個(gè)人信息等，并不得采用“等”這樣的模糊字眼。

（二）個(gè)人信息泄露通知義務(wù)的精細(xì)化

個(gè)人信息泄露的通知義務(wù)是保障數(shù)據(jù)安全非常重要的事后措施。首先，應(yīng)當(dāng)明確和擴(kuò)大通知義務(wù)的對(duì)象。我國(guó)法律法規(guī)已經(jīng)規(guī)定向有關(guān)主管部門和用戶報(bào)告的義務(wù)。一方面，應(yīng)當(dāng)確定數(shù)據(jù)安全監(jiān)管的主管部門。目前，有關(guān)數(shù)據(jù)安全的監(jiān)督管理部門有國(guó)家網(wǎng)信主管部門、國(guó)家電信主管部門、公安部門等，呈現(xiàn)多頭管理的現(xiàn)象。國(guó)家應(yīng)當(dāng)確定牽頭、負(fù)責(zé)的主管部門，并確定各個(gè)單位的職責(zé)清單，使網(wǎng)絡(luò)服務(wù)者明確應(yīng)當(dāng)報(bào)告的主管部門。另一方面，通知義務(wù)的對(duì)象還應(yīng)當(dāng)包括網(wǎng)絡(luò)服務(wù)者和公眾。當(dāng)多個(gè)網(wǎng)絡(luò)服務(wù)者共享或處理同批數(shù)據(jù)并存在利益關(guān)系的，他們之間也應(yīng)當(dāng)互相履行信息泄露的通知義務(wù)。再者，當(dāng)信息泄露規(guī)模較大，可能造成公共利益或國(guó)家安全重大危險(xiǎn)時(shí)，網(wǎng)絡(luò)服務(wù)者也應(yīng)當(dāng)有義務(wù)向公眾告知泄露事件。

其次，應(yīng)當(dāng)明確規(guī)定信息泄露義務(wù)履行的條件和方式。當(dāng)信息泄露范圍較小、涉及人數(shù)不多或可能對(duì)小范圍人群造成重大危急影響時(shí)，網(wǎng)絡(luò)服務(wù)者只需要通過電郵、短信等方式一一通知。而當(dāng)信息泄露范圍較大、涉及人數(shù)眾多或可能造成大范圍重大危急影響的情況下，網(wǎng)絡(luò)服務(wù)者應(yīng)當(dāng)報(bào)告主管部門和公眾。當(dāng)信息泄露可能對(duì)其他網(wǎng)絡(luò)服務(wù)者業(yè)務(wù)產(chǎn)生重大影響的，還應(yīng)當(dāng)及時(shí)通知對(duì)方。同時(shí)，根據(jù)信息泄露的范圍、涉及人數(shù)和影響，通過實(shí)際統(tǒng)計(jì)和調(diào)研，法律法規(guī)應(yīng)當(dāng)設(shè)置科學(xué)并有梯度的標(biāo)準(zhǔn)。例如，美國(guó)的《衛(wèi)生信息技術(shù)促進(jìn)經(jīng)濟(jì)和臨床健康法案》（Health Information Technology for Economic and Clinical Health Act）規(guī)定，如果涉及人數(shù)少于500人，則只需提供書面通知。對(duì)于更大規(guī)模的信息泄露，需要通過知名媒體發(fā)布通知。同時(shí)，盡管泄露行為涉及不到500人，也必須通知衛(wèi)生部部長(zhǎng)。②Gina Stevens, Data Security Breach Notification Laws.www.crs.gov.19.法律法規(guī)還應(yīng)當(dāng)明確規(guī)定通知期限，通知義務(wù)具有時(shí)效性，只有及時(shí)履行該義務(wù)才能達(dá)到及時(shí)止損的效果。例如美國(guó)華盛頓州的《數(shù)據(jù)泄露通知法》規(guī)定，企業(yè)在發(fā)現(xiàn)泄露后的30天內(nèi)通知受影響的居民和州檢察長(zhǎng)。

最后，應(yīng)當(dāng)單獨(dú)設(shè)置對(duì)應(yīng)的法律責(zé)任。正如上文所述，信息泄露通知義務(wù)的罰則沒有被單獨(dú)設(shè)立，同時(shí)由于通知義務(wù)的規(guī)定過于原則，實(shí)踐中鮮有對(duì)違反此類義務(wù)進(jìn)行處罰。在完善通知義務(wù)自身的設(shè)置后，也應(yīng)當(dāng)對(duì)其單獨(dú)設(shè)置包括責(zé)令改正、罰款、吊銷營(yíng)業(yè)執(zhí)照等行政罰則。同時(shí)，在未履行或者違法履行該項(xiàng)義務(wù)導(dǎo)致的后果非常嚴(yán)重時(shí)，也可能上升至刑事違法，應(yīng)當(dāng)注重行政責(zé)任與刑事責(zé)任的協(xié)調(diào)銜接。

（三）個(gè)人信息數(shù)據(jù)共享場(chǎng)景下的義務(wù)分配

信息數(shù)據(jù)共享使用是當(dāng)下網(wǎng)絡(luò)服務(wù)者處理信息的常規(guī)、共贏模式。明確數(shù)據(jù)傳輸共享過程中網(wǎng)絡(luò)服務(wù)者之間的義務(wù)責(zé)任可以使網(wǎng)絡(luò)服務(wù)者權(quán)責(zé)分明，預(yù)防個(gè)人信息濫用風(fēng)險(xiǎn)。首先，非第一層使用者應(yīng)得到雙重授權(quán)。當(dāng)網(wǎng)絡(luò)服務(wù)者從其他網(wǎng)絡(luò)服務(wù)者而不是直接面向網(wǎng)絡(luò)用戶收集、使用個(gè)人信息時(shí)，可以稱之為非第一層使用者。當(dāng)這些使用者獲取、使用個(gè)人信息時(shí)不僅需要通過簽訂合同得到上層網(wǎng)絡(luò)服務(wù)者的授權(quán)還需要得到信息主體的授權(quán)。授權(quán)內(nèi)容也需要按照法律法規(guī)規(guī)定，明確目的、方式和范圍。實(shí)踐中，由于非第一層使用者并不直接面向用戶，往往通過第一層使用者與用戶之間的授權(quán)條款獲得信息主體同意。這種方式容易導(dǎo)致授權(quán)條款的模糊化和原則化。因此，如果采用這種方式，在該協(xié)議中第一層使用者應(yīng)當(dāng)明確其他使用者的名稱、其他使用者處理信息的方式、范圍和用途。

其次，網(wǎng)絡(luò)服務(wù)者審慎義務(wù)的設(shè)置。網(wǎng)絡(luò)服務(wù)者之間轉(zhuǎn)移共享數(shù)據(jù)的權(quán)責(zé)并不明確，這使得網(wǎng)絡(luò)服務(wù)者的違法成本大大降低。可見，網(wǎng)絡(luò)服務(wù)者在共享信息數(shù)據(jù)時(shí)也應(yīng)當(dāng)承擔(dān)合理的義務(wù)責(zé)任以威懾違法的盈利行為。第一，數(shù)據(jù)控制者或數(shù)據(jù)處理者應(yīng)進(jìn)行合理的盡職調(diào)查，以確保個(gè)人資料的接受者能夠按照透明度聲明和個(gè)別通知保護(hù)這些資料。①The American Law Institute, Principles of the Law Data Privacy.The American Law Institute Ninety-Sixth Annual Meeting, Philadelphia, 2019.91.第二，非第一層使用者再次對(duì)外提供、出售信息數(shù)據(jù)的應(yīng)當(dāng)事先通知上層使用者，上層使用者有權(quán)同意或拒絕信息數(shù)據(jù)的再次轉(zhuǎn)移。第三，共享信息數(shù)據(jù)后，數(shù)據(jù)使用者有義務(wù)配合上層使用者合理的監(jiān)督措施，上層使用者履行合理的監(jiān)督義務(wù)。

最后，共享個(gè)人信息數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)者之間在一定條件下應(yīng)當(dāng)承擔(dān)連帶責(zé)任。設(shè)置問責(zé)機(jī)制是威懾和預(yù)防違法犯罪行為的最直接的手段。在網(wǎng)絡(luò)服務(wù)者共享個(gè)人信息過程中，由于不直接面向信息主體，更容易滋生違法收集和濫用信息的行為。在這種情況下，由于信息不對(duì)稱，個(gè)人信息主體往往不清楚個(gè)人信息是被誰泄露、如何泄露，導(dǎo)致維權(quán)更加困難。因此，正是基于網(wǎng)絡(luò)服務(wù)者之間的監(jiān)督義務(wù)，當(dāng)非第一層使用者違法對(duì)外提供、出售、濫用個(gè)人信息時(shí)，上層使用者明知或疏于履行監(jiān)督義務(wù)的，都應(yīng)當(dāng)承擔(dān)連帶責(zé)任。

四、網(wǎng)絡(luò)服務(wù)者違反前置法定義務(wù)的刑事責(zé)任

（一）刑事罪名中信息網(wǎng)絡(luò)安全管理義務(wù)的范圍

拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪是懲治網(wǎng)絡(luò)服務(wù)者犯罪行為的不作為犯罪類型，其義務(wù)來源的識(shí)別是成立該罪的起點(diǎn)和重點(diǎn)。但是，刑法條文的寥寥數(shù)語無法告訴我們信息網(wǎng)絡(luò)安全管理義務(wù)的內(nèi)涵、類型和邊界。那么，信息網(wǎng)絡(luò)安全管理義務(wù)究竟是前置法中義務(wù)的簡(jiǎn)單集合，還是有其他自身的限度和標(biāo)準(zhǔn)？行政違法與刑事違法的相對(duì)統(tǒng)一關(guān)系決定了刑事違法需要一定程度的獨(dú)立性判斷。信息網(wǎng)絡(luò)安全管理義務(wù)作為刑事作為義務(wù)理應(yīng)具有自身獨(dú)立的判斷規(guī)則。該義務(wù)的確定應(yīng)當(dāng)符合明確性的要求，其義務(wù)內(nèi)涵需要經(jīng)過刑法教義學(xué)的規(guī)范判斷。正是基于刑法的謙抑性和刑罰的嚴(yán)重性，該義務(wù)范圍應(yīng)當(dāng)進(jìn)行限縮解釋，以實(shí)現(xiàn)在尊重實(shí)定刑法的規(guī)范效力與內(nèi)涵的基礎(chǔ)上，對(duì)其進(jìn)行符合刑事政策目標(biāo)、刑法規(guī)范的法益保護(hù)目的以及刑法教義學(xué)邏輯的限縮。筆者認(rèn)為應(yīng)當(dāng)結(jié)合形式標(biāo)準(zhǔn)和實(shí)質(zhì)標(biāo)準(zhǔn)對(duì)作為刑事義務(wù)的信息網(wǎng)絡(luò)安全管理義務(wù)進(jìn)行解釋。形式標(biāo)準(zhǔn)是前置法律法規(guī)明確規(guī)定違反該義務(wù)對(duì)應(yīng)的行政責(zé)任。由于構(gòu)成該罪需要滿足“經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正”的要件，因此該義務(wù)的行政責(zé)任應(yīng)具有明晰性和嚴(yán)重性，否則不能被監(jiān)管部門責(zé)令采取改正措施。同時(shí)，如果一項(xiàng)義務(wù)的行政責(zé)任都沒有被明確規(guī)定，那么刑事法律更不會(huì)將其納入犯罪視野。實(shí)質(zhì)標(biāo)準(zhǔn)是義務(wù)內(nèi)容應(yīng)當(dāng)符合該罪的法益保護(hù)目的。法益保護(hù)是刑法的重要機(jī)能和首要任務(wù)，因此每個(gè)犯罪要件的解釋和認(rèn)定都不能脫離本罪的法益保護(hù)。拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪保護(hù)的法益是信息網(wǎng)絡(luò)安全管理秩序，因此與信息安全相關(guān)的義務(wù)才是該罪的刑事作為義務(wù)。

（二）行政程序性要素對(duì)刑事違法認(rèn)定的影響

“經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正”是構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的要件之一。對(duì)于拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的“行政責(zé)令改正”的罪狀設(shè)置，學(xué)界大體上存在著“行政附屬性規(guī)定說”“前置性的行政不法說”“程序性構(gòu)成要件說”三種代表性學(xué)說。[16]這三種學(xué)說在本質(zhì)上都將行政程序要素作為行政附屬性要素。但是，筆者不以為然。

第一，“行政責(zé)令改正”是獨(dú)立的刑法構(gòu)成要件。在刑法條文中包含行政程序要素的情況并不少見，例如拒不支付勞動(dòng)報(bào)酬罪、消防責(zé)任事故罪等。行政程序要素從內(nèi)容上看需要依附行政程序進(jìn)行認(rèn)定，從位置來看是刑法罪狀的一部分?？梢姡姓绦蛞厥切谭ㄅc行政法交叉的典型表現(xiàn)。這是否意味著該要素的認(rèn)定標(biāo)準(zhǔn)應(yīng)當(dāng)取決于行政法而不是刑法？筆者認(rèn)為該要素應(yīng)是刑法意義上的行政程序要素。一方面，刑法本身具有謙抑性和后置性，犯罪行為具有二次違法性，因此，將作為前置法的行政程序納入罪狀表述并沒有突破刑法理論和立法，具有一定合理性。另一方面，該要素是判斷罪名是否成立的構(gòu)成要件要素，對(duì)犯罪不法和有責(zé)兩方面都有實(shí)質(zhì)影響，因此該要素的本質(zhì)仍是特定罪名的構(gòu)成要件要素。正如，盧勤忠教授所指出的，程序性構(gòu)成要件要素是指刑法中規(guī)定的作為構(gòu)成要件的有關(guān)程序性要素。它具有二次性和后續(xù)性的特征，必須是法定的構(gòu)成要件要素。[17]

第二，行政程序要素表明刑事違法判斷的獨(dú)立性。盡管行政程序要素是犯罪構(gòu)成要件要素，但是其內(nèi)容仍離不開行政法。這自然引發(fā)拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪行政違法與刑事違法之間的關(guān)系問題。正如上文提及，行政違法與刑事違法之間是相對(duì)統(tǒng)一關(guān)系。而行政程序要素就是行政違法與刑事違法的“質(zhì)”的區(qū)別。行政違法是行政相對(duì)人違反行政法上義務(wù)的行為。而刑事違法是完全符合犯罪構(gòu)成要件的行為。網(wǎng)絡(luò)服務(wù)者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，已經(jīng)構(gòu)成行政違法。但尚不構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的刑事違法，因?yàn)樵撟锍恕安宦男蟹?、行政法?guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)”外，還需要符合“經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正”這一要件。該要件并不是實(shí)質(zhì)意義上的行政違法，而是行政相對(duì)人構(gòu)成行政違法后，行政機(jī)關(guān)做出的具體行政行為。因此，拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪正是基于此程序性要件使該罪的刑事違法判斷獨(dú)立于行政違法。例如，胡某拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪案，被告人胡某通過租用的服務(wù)器和技術(shù)手段，為他人非法提供境外互聯(lián)網(wǎng)接入服務(wù)。當(dāng)?shù)毓簿址志窒群髢纱渭s談被告人胡某，并要求其停止聯(lián)網(wǎng)服務(wù)，并對(duì)其予以了警告、罰款和沒收違法所得。事后，胡拒不改正繼續(xù)出租翻墻軟件，違法所得共計(jì)人民幣20余萬元。法院審理認(rèn)為，胡某未經(jīng)許可提供國(guó)際聯(lián)網(wǎng)代理服務(wù)，同時(shí)監(jiān)管部門通過約談責(zé)令采取改正措施后仍然拒不改正，屬于情節(jié)嚴(yán)重，已經(jīng)構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。①上海市浦東新區(qū)人民法院（2018）滬0115刑初2974號(hào)。在該案中，盡管監(jiān)管部門并未采用正式書面文書的方式責(zé)令被告人整改，但是被告人已經(jīng)被約談兩次，從實(shí)質(zhì)解釋的立場(chǎng)，其法律效果已與責(zé)令整改相同，應(yīng)等同視之?？梢?，“經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正”需要進(jìn)行獨(dú)立、實(shí)質(zhì)的刑法違法性判斷。

第三，程序性要素應(yīng)視為重要的出罪事由。網(wǎng)絡(luò)服務(wù)者是網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展的中堅(jiān)力量，盡管立法需要嚴(yán)懲破壞網(wǎng)絡(luò)安全管理秩序的行為，但是也不能過度擴(kuò)張網(wǎng)絡(luò)犯罪的范圍，這樣會(huì)抑制網(wǎng)絡(luò)技術(shù)創(chuàng)新和經(jīng)濟(jì)增長(zhǎng)。因此，對(duì)于那些提供并非專門便于他人實(shí)施犯罪的網(wǎng)絡(luò)技術(shù)支持等網(wǎng)絡(luò)服務(wù)的行為，特意設(shè)置了“經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正”的前置程序，以限制網(wǎng)絡(luò)中立幫助行為的處罰范圍。[18]司法機(jī)關(guān)在認(rèn)定該罪時(shí)需要從出罪角度發(fā)揮該要件的職能，即沒有經(jīng)監(jiān)管部門責(zé)令采取改正措施或經(jīng)監(jiān)管部門責(zé)令采取改正措施而改正的，都不能入罪。當(dāng)然，在出罪時(shí)也需要考察行為人是否實(shí)質(zhì)履行改正義務(wù)。根據(jù)該罪的相關(guān)后果要件，只有改正義務(wù)的履行有效防止損害后果進(jìn)一步擴(kuò)大，才能認(rèn)定其已經(jīng)采取改正措施。

（三）違法收集、泄露、共享個(gè)人信息的刑事責(zé)任認(rèn)定

非法收集個(gè)人信息是網(wǎng)絡(luò)服務(wù)者未按照法律法規(guī)履行收集個(gè)人信息通知義務(wù)的行為。一方面，非法獲取個(gè)人信息行為并沒有以“違反國(guó)家有關(guān)規(guī)定”為前置要件，那么如何判斷兩者之間的關(guān)系呢？從文義解釋來看，兩高出臺(tái)的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（以下簡(jiǎn)稱《個(gè)人信息司法解釋》）明確了侵犯公民個(gè)人信息罪中“國(guó)家有關(guān)規(guī)定”包括部門規(guī)章，其他法律層級(jí)較低的地方性法規(guī)、其他部門規(guī)范性文件等都被排除在外。而“非法”即是違反廣義上的法律。盡管“國(guó)家有關(guān)規(guī)定”的范圍大于《刑法》第96條的“國(guó)家規(guī)定”，其合理性還存在爭(zhēng)議。但是“非法”的范圍一定是大于并包含“違反國(guó)家有關(guān)規(guī)定”。具體而言，“非法”不僅限于全國(guó)人民代表大會(huì)及其常務(wù)委員會(huì)制定的法律和決定，國(guó)務(wù)院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令，部門規(guī)章，還包括其他效力更低的法規(guī)、規(guī)章制度?！胺欠ā币膊粌H限于行政違法，也包括民事違法。如果APP經(jīng)營(yíng)者收集用戶個(gè)人信息的行為違反法律法規(guī)或雙方約定的，都可認(rèn)定為“非法獲取”。這種理解能夠?qū)崿F(xiàn)《刑法》與《網(wǎng)絡(luò)安全法》的銜接，也更符合刑法體系解釋的原理。[19]另一方面，上文提及個(gè)人信息通知義務(wù)的履行標(biāo)準(zhǔn)與個(gè)人信息的類型有關(guān)。收集敏感個(gè)人信息的通知義務(wù)要求高于一般個(gè)人信息。因此，在判斷網(wǎng)絡(luò)服務(wù)者是否構(gòu)成非法獲取個(gè)人信息時(shí)，應(yīng)當(dāng)以個(gè)人信息的類型為起點(diǎn)進(jìn)一步判斷其行政違法性和刑事違法性。具體而言，網(wǎng)絡(luò)服務(wù)者收集敏感個(gè)人信息時(shí)，應(yīng)當(dāng)從通知內(nèi)容和通知形式兩方面進(jìn)行審查，違反任何一項(xiàng)義務(wù)要求都應(yīng)當(dāng)判斷網(wǎng)絡(luò)服務(wù)者具有行政違法性，再結(jié)合《個(gè)人信息司法解釋》中有關(guān)情節(jié)和數(shù)量的認(rèn)定，定罪量刑。值得注意的是，當(dāng)根據(jù)相關(guān)法律法規(guī)很難判斷網(wǎng)絡(luò)服務(wù)者的行為是否違法時(shí)，應(yīng)當(dāng)降低違法門檻，對(duì)敏感個(gè)人信息進(jìn)行嚴(yán)格保護(hù)。

在網(wǎng)絡(luò)服務(wù)者未履行相關(guān)信息管理義務(wù)導(dǎo)致個(gè)人信息泄露的情況下，首先，應(yīng)當(dāng)判斷網(wǎng)絡(luò)服務(wù)者未履行的義務(wù)是否屬于刑事法中的信息網(wǎng)絡(luò)安全管理義務(wù)。就信息泄露而言，根據(jù)保障信息安全的事前義務(wù)和事后義務(wù)，可能包括兩種情況：網(wǎng)絡(luò)服務(wù)者事先未采取相關(guān)措施保障信息安全，導(dǎo)致個(gè)人信息泄露。網(wǎng)絡(luò)服務(wù)者已建立數(shù)據(jù)信息安全管理制度，但遭受外部攻擊導(dǎo)致個(gè)人信息泄露后未履行信息泄露報(bào)告義務(wù)。根據(jù)前置法的規(guī)定并結(jié)合形式標(biāo)準(zhǔn)和實(shí)質(zhì)標(biāo)準(zhǔn)，采取措施保障個(gè)人信息安全義務(wù)、個(gè)人信息泄露報(bào)告義務(wù)都在該罪義務(wù)范圍的射程之內(nèi)。其次，需要審查網(wǎng)絡(luò)服務(wù)者是否經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正。為了防止拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的空置，司法認(rèn)定中應(yīng)當(dāng)發(fā)揮刑事審查的獨(dú)立性，對(duì)于“監(jiān)管部門”“責(zé)令”程序等要素可以適當(dāng)在合法的范圍內(nèi)放寬解釋標(biāo)準(zhǔn)。同時(shí)，當(dāng)行為人已經(jīng)改正并有效阻止損害結(jié)果進(jìn)一步擴(kuò)大的，應(yīng)當(dāng)不認(rèn)定為犯罪。就網(wǎng)絡(luò)服務(wù)者“多層使用”個(gè)人信息而言，盡管網(wǎng)絡(luò)服務(wù)者恣意“共享”個(gè)人信息的情況普遍存在，但是行政法上尚未賦予網(wǎng)絡(luò)服務(wù)者明確的審慎義務(wù)或通知義務(wù)，因此很難構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。只有在發(fā)生嚴(yán)重后果的情況下，才可能運(yùn)用侵犯公民個(gè)人信息罪或其他犯罪予以規(guī)制，這顯然不利于個(gè)人信息安全的風(fēng)險(xiǎn)預(yù)防。因此，只有完善行政法的相關(guān)義務(wù)設(shè)置，才能更有效地保障信息網(wǎng)絡(luò)安全。