论危害网络安全罪的罪名体系

陈梦寻

（中国人民大学刑事法律科学研究中心， 北京 100872）

危害网络安全罪是以网络的运行安全、信息安全和内容安全为被侵具体法益的犯罪。网络安全不同于国家安全、公共安全，危害网络安全罪不应依附于危害国家安全罪、危害公共安全罪，而应成为一类独立的犯罪。现有规制危害网络安全行为的刑法条文较为分散，若要充分发挥这些条文的潜力，有力打击危害网络安全的犯罪，就必须对危害网络安全罪展开系统研究。只有在条理分明的框架中，才能认清相关罪名的性质与功能，发现不足并加以完善。本文将从网络安全的含义出发，先理清网络安全与国家安全、公共安全的关系，再依据被侵具体法益对相关罪名进行分类，以此构建一个由原则统辖、依逻辑分类的罪名体系，进而检视既有规定的不足并提出完善的建议。

一、网络安全的定义

关于网络安全的定义，学界虽然存在不同观点，但都认为网络运行安全与网络数据安全是其重要内容。一种观点将网络安全定义为：“通过采用各种技术和管理措施、使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。”[1]这种观点与《网络安全法》的定义非常接近，都是从网络运行安全与网络信息安全两个方面展开的①。另一种观点在运行安全与信息安全之外，还提及了网络服务，认为网络安全是指“网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，使系统连续、可靠、正常地运行，网络服务不中断”[2]。事实上，网络服务不中断是网络稳定可靠运行的重要体现，同样属于网络运行安全的范畴，这种观点也是从运行安全与信息安全两方面定义网络安全的。不论未来网络空间如何扩容，网络的两个固有属性是不会改变的：第一，网络的运行必须依托于设备、系统、应用等软硬件设施，这些设施是网络的基本组成部分；第二，网络的内容是信息，网络的基本使命是传送信息。然而，以网络运行安全与网络信息安全来概括网络安全是不完全的，除了物理层面的运行安全、功能层面的信息安全以外，意义层面的内容安全也应包含在网络安全以内，网络安全应包含以下内容。

1.网络运行安全

网络运行安全是网络安全的基础，保障网络运行安全将在未来体现出更大的价值。物联网时代以5G启用为开端，将开启新一轮的生产、生活方式变革，物品将借助传感器进入网络，物品之间、人与物品之间、物品与环境之间的信息交互将得以实现[3]。随着万物互联时代的到来，人、程序、数据与物品四大要素将以一种更相关、更高效、更有价值的方式相互连接，信息将进一步转化成创造新能力、新经验和新机遇的行动[4]。从网络时代到物联网时代，再到万物互联时代，这是一个信息持续爆炸增长的过程，也是一个网络设备不断增加的过程。物理世界的计算机、手机、传感器、服务器、基站、通讯线路、自动化控制设备等不断更新换代，网络节点不断扩张，为网络空间的扩容提供着硬件支撑，搭载其上的传输协议、系统以及应用则为网络空间的扩容提供软件支撑。随着网络化进程的不断加深，网络的安全运行越来越成为社会生活正常开展的基础，因此保障网络运行安全不仅具有基础价值，而且是越来越迫切的现实需要。

2.网络信息安全与网络内容安全

网络信息安全是网络安全的核心，网络内容安全是网络安全的关键。网络信息安全与网络内容安全虽然都围绕信息展开，但二者却是完全不同的范畴。保障网络信息安全是保障网络信息本身的安全，是保障网络信息的完整性、保密性与可用性的能力；保障网络内容安全则是维护网络信息的传播秩序，是禁止违法信息在网络中的传播，这不仅要求个人与单位不得发布法律、行政法规明确禁止传输的信息，还要求网络运营者履行及时处置违法信息的法律义务。换言之，网络内容安全的重点在于维持信息传播的秩序。安全与秩序都是一种状态，但是安全是指主体处于一种“没有危险”的状态[5]，秩序则是规范体系作用于社会后形成的有条不紊的状态[6]。网络信息安全不包括保障违法犯罪信息的完整性、保密性和可用性。禁止利用网络发布和传输违法犯罪信息以形成清朗有序的网络空间，使网络信息的传播有条理、不混乱，并使网络的内容合法，这属于网络内容安全的范畴。传统刑法中早有对违法信息的规制，例如禁止“内幕信息”“未公开信息”“商业秘密”“国家秘密”“虚假信息”“未公开的案件信息”的披露或传播。那么为什么网络信息的内容安全不能归于这些传统罪名之中，而要独立出来作为网络安全的重要内容？这是由网络信息的传播特点决定的。信息的传播过程可以简要描述为：信源→信道 → 信宿，信息从信息的发布者出发，借助传播媒介到达信息的接受者，传统的信息传播对信源的控制是极其严格的，通常只有广播、电视台、门户网站等机构能够成为信源。网络时代则彻底颠覆了传统的传播结构，让所有的上网者都能成为信源，高速的网络极大拓宽了信道，并连接了更多的信宿，形成了去中心的泛在互联的传播结构。传统刑法以“点”规制某种或某几种信息的弱控制模式，必然难以面对网络时代信息爆炸的现实，刑法要继续发挥维护社会稳定与秩序的功能，只能顺应增强信息控制的治理趋势。《刑法修正案（九）》新增加了对非法利用信息网络的禁止，以及对网络服务提供者违反信息网络安全管理义务的追责，都是为应对这一新挑战的具体举措。

二、罪名体系化的基础与必要性

1.危害网络安全罪罪名体系化的基础

危害网络安全罪罪名体系化的基础在于网络安全法益的独立性和独特性，网络安全法益的独立性表现在以下两个方面。

首先，网络安全不同于国家安全、公共安全。有观点认为，在网络空间产生的重要法益不仅与传统国家安全、公共安全相并存，更是与国家安全、公共安全相互交织，成为新时代的一种集合性的升级版法益[7]。一方面，网络安全正在不断发展成为公共安全的组成部分，基本上可以视为公共安全；另一方面，网络空间成为了国家安全的重要领域，网络安全是关系国家安全的关键问题[8]。随着网络已经深度融入了社会生活的各个方面，网络安全关注的应当是网络作为一种新生事物所应当追求的“没有危险”的客观状态。这种状态是实体的一种属性，总是相对一定主体而言[5]，国家安全是国家处于没有危险的客观状态，国家是这一客观属性的主体，公共安全是社会处于“没有危险”的客观状态，社会是这一客观属性的主体，网络安全也就是网络处于一种“没有危险”的客观状态，网络是这一客观属性的主体。尽管网络的发展与大规模使用，让安全问题在网络空间中有了新的表现形式，不同领域不同内容的安全相互交织融合，但这并未改变不同的安全主体，改变的只是我们的安全观念以及保障安全的措施。国家安全、公共安全、网络安全作为这些不同主体的属性，自然具有彼此相异的内容。

其次，网络安全不同于网络空间安全，网络空间安全中包含了网络安全。有学者认为，“网络安全与网络空间安全形成了跨时空、多层次、立体化、广渗透、深融合的新形态，与其他传统安全和非传统安全领域形成了交叉渗透的联系，成为具有总体安全、综合安全、共同安全、合作安全性质的包含各类安全问题的新领域”，网络空间安全与网络安全差别细微，只是前者更注重“空间”与“全球”的范畴[9]。这种观点实际上混用了网络安全与网络空间安全，网络空间安全才是反应网络安全与各个领域安全相互交织的现状与趋势的最佳范畴。网络空间虽然已经成为一种独特的人文社会生活空间[10]，但始终是现实空间的投射与延伸，现实世界的安全问题必然会在网络空间体现出来。因此，在外延上网络空间安全不仅包括网络本身的安全，也包含国家安全、公共安全等各个安全领域在网络空间的变形。正如刘军所言，网络空间安全除了网络安全外，还包括网络社会或者虚拟社会的秩序与安全[11]。

网络安全法益的独特性则在于网络的工具性。网络运行安全、网络信息安全与网络内容安全从根本上是网络作为一项工具的安全性，这具体表现为设备不受攻击，服务不被中断，信息不受窃取与破坏以及网络不被滥用。由此带来的法律适用问题是法官所面临的现实挑战。只有明确网络安全法益作为网络自身安全的性质、内容、独立性与重要性，才能正确认识手段犯罪与目的犯罪之间的关系，才能根据网络犯罪的特征为其确定不同于传统犯罪的追诉标准。

2.危害网络安全罪罪名体系化的必要性

危害网络安全罪罪名体系化有助于发挥既有刑法条文的规制潜力。自1997年以来，刑法虽然增设了多个网络犯罪，但在条文中明确提到“网络安全”的，仅有拒不履行信息网络安全管理义务罪。在未系统解读网络安全法益并将其与具体罪名对应的情况下，形成了对网络犯罪性质的保守理解与模糊认知。例如，很多观点认为非法利用信息网络罪只是预备犯的实行化，不承认其具有独立地位，这种从传统犯罪的角度理解网络犯罪的观点，实际上是忽视了网络犯罪的独特形态，没有从本质上理解非法利用信息网络罪对于打击网络犯罪的重要意义。再如，有观点认为拒不履行信息网络安全管理义务罪与帮助信息网络犯罪活动罪在犯罪主体、罪过以及行为方式上均存在一定重合，因而难以从这几方面明确界分两罪，二者的区别应在于设立前罪有限制中立帮助行为处罚范围的考量[12]。拒不履行信息网络安全管理义务罪中确实有保护网络发展的考虑，但这不是与帮助信息网络犯罪活动罪的根本区别。二者的区别应在于，前罪是为了督促网络服务提供者履行网络安全管理义务而设，意在保护网络安全，后罪却不是为了保护网络安全而设，因此构成前罪必须对网络安全造成相当程度的危害，构成后罪却并不以此为必要。这些适用争议必然会给司法实践带来困惑，在一定程度上阻碍既有罪名的实际适用。危害网络安全罪罪名体系化就是要将网络安全的意义脉络引入既有纯正网络犯罪规定中，串联起分散的条文规定，呈现刑法规定的全新视角，这个视角将有助于我们发现不同罪名之间的区别，为新罪名的司法适用扫清障碍，也有利于我们检视既有刑法规定的不足并提出完善建议。

危害网络安全罪罪名体系化还有助于实现犯罪的精准评价。与其他领域的安全研究不同，刑法的使命是保护法益、保障人权，刑法关注的是微观上犯罪行为的精准评价。在刑法中，分辨不同类型安全法益之间的区别，比发现不同类型安全法益之间的联系更具实践性，因为只有明确不同类型安全的具体内容与界限，才能确定不同行为侵害法益的严重性，进而衡量行为的危害性大小，最终实现罪刑相适应。危害网络安全罪罪名体系化就是要将既有相关罪名与网络安全的具体内容（网络运行安全、网络信息安全、网络内容安全）分别对应起来，使刑法对危害网络安全行为的评价能够更加细致、更加准确。前述将网络安全解读为包含国家安全、公共安全集合法益的观点，可能会使犯罪评价丧失精确性。例如，当行为是以侵入关键信息基础设施系统的方式危害国家安全时，依照这种观点，只需将行为评价为危害网络安全的犯罪即可实现刑法的全面评价，无需再比较行为对国家安全造成的危害大还是对网络自身安全造成的危害大，这将导致刑法的评价不能突出犯罪侵害的主导利益，进而影响刑罚的准确量定。毕竟网络安全、国家安全、公共安全、个人安全等法益在刑法中的重要性程度不同，危害不同类型安全的刑事制裁也是不同的。与此不同，体系化的危害网络安全罪则能够实现犯罪的精准评价，在体系化的过程中，网络安全的内容得以仔细甄别，危害网络安全各罪之间的关系得以清晰揭示，危害网络安全罪与危害国家安全罪、危害公共安全罪的边界得以明确划定，这将为刑法的细致评价提供重要的评价依据与评价标准。

三、危害网络安全的一般主体犯罪

基于犯罪主体的差异，危害网络安全罪可分为危害网络安全的一般主体犯罪和危害网络安全的特殊主体犯罪。而基于被侵法益的具体内容，危害网络安全的一般主体犯罪又可分为危害网络运行安全的犯罪、危害网络信息安全的犯罪与危害网络内容安全的犯罪。

1.危害网络运行安全的犯罪

网络也是一种计算机信息系统，危害计算机信息系统安全的罪名自然可以规制危害网络运行安全的行为。具体而言，危害网络运行安全的犯罪包括以下几项：一是非法侵入计算机信息系统罪；二是非法控制计算机信息系统罪；三是破坏计算机信息系统罪；四是提供侵入、非法控制计算机信息系统程序、工具罪。前三项用来规制非法侵入网络，非法控制网络，增加、删除、干扰网络功能的行为，第四项则专门用来打击为实施侵入、非法控制网络提供帮助的行为。在这些罪名中，非法侵入计算机信息系统罪面临较大挑战，该罪的保护范围过于狭窄，基于以下几方面考虑，应当扩大该罪的保护对象。

首先，将非法侵入计算机信息系统罪的犯罪对象扩张到所有的计算机信息系统。非法侵入计算机信息系统罪增设于1997年刑法典，当时设立这一罪名不是为了保护计算机信息系统安全本身，而是为了保护国家事务、国防建设以及尖端科学技术领域的秘密不受非法侵害。非法侵入计算机信息系统被认为是侵犯上述重要秘密的犯罪预备行为，由于这类预备行为一旦进入实行阶段将造成极为严重的后果，因此需要将这种预备行为提升为具体犯罪的犯罪构成行为[13]。可见，非法侵入计算机信息系统行为本身的危害性在立法之初并没有得到关注，立法目的主要在于预防其他严重犯罪的实害化。然而，这种认识在网络时代却显得不合时宜，随着非法侵入计算机信息系统罪的独立性不断凸显，其本身具备了刑事处罚的正当性，而不再仅仅为了防止入侵以后造成的严重危害。非法侵入计算机系统是为了对抗危害计算机系统安全的所有威胁与攻击，同时也是为了保护个人与单位以一种不受干扰、不受阻碍的方式管理、操作与控制自己的计算机信息系统。随着网络化的加深，计算机信息系统中将储存越来越多的个人信息，人们也会越来越注重个人设备的隐私与安全保护，这从手机、笔记本电脑一般需要解锁使用就能看出。计算机信息系统本身不被非法侵入日渐成为一种重要利益，这种利益应当得到法律的承认，非法侵入计算机信息系统罪应当成为保障这一利益的规范支撑。

其次，将非法侵入计算机信息系统罪的犯罪对象扩张到所有的计算机信息系统，是其与《网络安全法》衔接的内在要求。目前，不仅国家事务、国防建设、尖端科技领域的计算机信息系统极具重要性，公共通信、信息服务、能源、交通、水利、金融、公共服务等重要行业与领域的计算机信息系统都具有重要地位。因此，《网络安全法》确立了关键信息基础设施运行安全重点保护制度。为了在法律体系中完善对关键信息基础设施的保护，刑法至少应当将非法侵入罪的保护范围扩展到关键信息基础设施领域。在国家安全与网络日益捆绑的前提下，同时也是公共利益、个人和单位利益与网络不断交织的过程，行为的危害性已经不能再通过“领域”这一宽泛的因素来衡量，应当结合计算机系统本身的功能、内容、使用范围、使用主体、使用目的等综合决定。刑法对社会危害性的要求不应再由三大领域承载，而应在犯罪对象扩张的同时，加入“情节严重”的裁量要求，改变原先非法侵入计算机信息系统罪是行为犯的设置，通过司法解释与法官裁量来具体化“情节严重”。

再次，将非法侵入计算机信息系统罪的犯罪对象扩张到所有的计算机信息系统，有利于消除该罪与“非法获取计算机信息系统数据、非法控制计算机信息系统罪”之间的不协调。《刑法》第285条第2款明确规定：违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，最高可判处七年有期徒刑。《刑法》第285条第1款中规定的三个领域的计算机信息系统，实际上被排除在了第2款的保护范围之外，如果行为人侵入了这三个领域的计算机信息系统，非法获取了系统中的数据，即使情节特别严重，也只能依照第一款的规定处罚，最高判处三年有期徒刑[14]。对于这种不协调，有学者建议，为了实现第285条第1款与第2款之间的处罚均衡，应将第2款中的“前款规定以外”解释为表面的构成要件要素，当行为人非法侵入第1款规定的三个领域的计算机信息系统，获取其中的数据或者实施非法控制，情节特别严重时，也应当按照第2款的规定处罚[15]。这种观点虽然通过解释实现了刑法的处罚均衡，但终究是权宜之计，不能从根本上解决第1款与第2款之间的矛盾，要彻底实现二者之间的逻辑顺畅，只能通过刑事立法的途径解决。

2.危害网络信息安全的犯罪

网络信息安全保障的是网络数据的完整性、保密性和可用性。其中，完整性是指防止信息被不正当地修改或破坏，包括确保信息的不可否认性和真实性；保密性是指保留对获取、披露信息的授权限制；可用性则是指确保及时可靠地获取和使用信息[16]。保障信息的完整性、保密性与可用性能力需要在一个系统的、可持续监控的框架内展开，既离不开技术措施，更要依靠管理措施，而法律就是最基本的管理措施，刑法因此也承担着不可推脱的保障任务。《刑法》对网络信息安全的保障集中体现在非法获取计算机信息系统数据罪与破坏计算机信息系统罪中。非法获取计算机信息系统数据罪主要保护计算机信息系统中存储、处理、传输数据的保密性，破坏计算机信息系统罪主要保护计算机信息系统中存储、处理或者传输数据的完整性。

就现有《刑法》规定而言，将数据限定在“计算机信息系统中存储、处理或者传输的数据”上，会不可避免地造成处罚漏洞。如今，移动存储设备已经具备极强的存储能力，如果《刑法》还止步于计算机信息系统中的数据，将移动存储设备中的数据排除在外，那么刑法保障数据安全将成为一纸空谈。本质上，数据是以一种适合计算机信息系统处理的方式存在的信息，既可以流通于不同的计算机信息系统之中，也可以储存在相对独立于计算机信息系统的介质中，并能随时连接到系统之中。数据的流动性决定了数据的传输安全是数据安全的重要内容，数据的相对独立性则决定了数据保护的范围不应当局限于计算机信息系统。

就未来立法而言，危害网络信息安全的犯罪中还需增设“非法提供计算机信息系统数据罪”，用以规制非法提供数据的行为，与现有的非法获取行为、破坏行为构成完整的规制体系。首先，“非法提供计算机信息系统数据罪”可以用来打击违反个人信息、重要数据本地化的要求，故意向境外主体提供本应经过审查才能出境的数据的行为，以满足数据不属于国家秘密、商业秘密、情报等情况下维护国家安全、公共安全的需求。其次，“非法提供计算机信息系统数据罪”还可用来规制大数据交易，原则上个人信息不存在绝对的匿名状态，匿名化只是降低个人被识别的风险，并不能排除风险[17]，如果对匿名化的大数据交易不加规制，少数居心不良的主体在技术与数据的双重加持下，将拥有无可比拟的犯罪能力。因此，非法提供数据行为入罪对于完善法律对大数据规制很有必要。从长期来看，刑法应当将“非法提供计算机信息系统数据罪”与“非法获取计算机信息系统数据罪”以及“破坏计算机信息系统数据罪”统合规定为“危害计算机数据罪”，毕竟三种危害行为的对象都是数据，侵害的都是数据的完整性、保密性和可用性。由于全面修订刑法的时机尚不成熟，目前无法对纯正网络犯罪作重大的体系性调整，短期内较为可行的做法是，以修正案的形式在《刑法》第285条第2款之后增设“非法提供计算机信息系统数据罪”。

3.危害网络内容安全的犯罪

网络内容安全的核心是维护网络信息的传播秩序，禁止违法信息在网络中的散布与传播。在《刑法》中，非法利用信息网络罪应是规制危害网络内容安全的独立罪名。不断完善的前置法规定为非法利用信息网络罪的适用提供了规则支撑。《电信条例》第57条和《互联网信息服务管理办法》第15条详细列举了9种违法信息，任何组织、个人不得利用网络制作、复制、发布、传播9种类型的信息。《网络安全法》则进一步明确了危害网络信息安全的行为类型与法律责任，不仅明确规定“任何组织和个人不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布实施诈骗、制作或者销售违禁物品、管制物品以及其他违法犯罪活动的消息”，还规定实施上述行为尚不构成犯罪的，可由公安机关处以拘留、罚款②。不论是在违法类型的选择上还是在具体表述上，《网络安全法》的规定都与非法利用信息网络罪高度吻合，可以说，非法利用信息网络罪与《网络安全法》《电信条例》《互联网信息服务管理办法》等前置法规定共同组成了维护网络内容安全的规制体系，非法利用信息网络罪应是以网络内容安全为保护法益的独立罪名。因此，网络内容安全的本质是限制非法信息在网络中的流动，一般性地预防利用网络实施的违法犯罪行为。维护网络内容安全是为保障重要法益所做的前置性、预防性的制度设计，不论信息内容是与国家安全、公共安全有关，还是与个人权利、经济秩序、社会秩序有关，只要符合刑法预先设定的构成要件，利用网络传播非法信息的行为，就有可能构成非法利用信息网络罪。

然而，关于非法利用信息网络罪的保护法益与罪名地位，学界争论颇多。多数观点认为，非法利用信息网络罪是实质预备犯，难以一一查实、查全各种危害行为的特征，出于减轻侦查起诉负担的考量，从打早打小的刑事政策出发，将刑事规制的环节前移而实现的预备行为实行化[18]。相反观点认为，非法利用信息网络罪不是实质预备犯，而是侵犯信息网络安全管理秩序的新型网络犯罪[19]。本文赞成后一种观点，认为非法利用信息网络罪不是预备犯罪的实行化，而是刑法在网络时代为打击网络犯罪而设置的独立罪名。

首先，非法利用信息网络罪不满足实质预备犯的两项基本要求。其一，非法利用信息网络罪不必然对下游犯罪发挥预备作用。实质预备犯必然是为了实施犯罪行为而作的预备，然而，构成非法利用信息网络罪的行为却有可能已经是他罪的着手[19]。例如，在网站上发布制作毒品的方法，如果他人按照这一方法能成功地制成毒品，那么行为人至少构成了传授犯罪方法罪的着手而非预备。其二，非法利用信息网络不具有实质预备犯所要求的“实质正当性”。实质预备犯不仅需要经过刑事立法获得“类型化、定型化”的形式正当性，还需要“对重大法益造成抽象危险”以获得实质正当性[20]。换言之，预备行为本身具有危害重大法益的抽象危险。然而，非法利用信息网络罪的下游犯罪侵害的未必都是重大法益，如在网络上发布销售淫秽物品的信息，是为了实施传播淫秽物品牟利罪，很难说传播淫秽物品牟利罪是为了保护某种重大法益，因此非法利用信息网络罪不符合设置实质预备犯的基本法理。相反，结合前置法的规定我们可以发现，网络信息传播的规则体系已经初步形成，刑法应当认同并保障网络内容安全这一重要法益，将非法利用信息网络理解为具有特殊保护法益的独立罪名，而非为预防其他犯罪设立的预备犯。

其次，非法利用信息网络罪的客观构成要件是围绕信息传播展开的，其具有独特的罪行构造。本罪共规定了三种行为方式：一是设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组；二是发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息；三是为实施诈骗等违法犯罪活动发布信息。上述三类行为的共同特征在于非法传播与犯罪活动相关的网络信息。根据相关司法解释不难发现，本罪“情节严重”的入罪标准也主要是根据信息的传播面确立的。如设立用于实施违法犯罪活动的网站，当数量达到三个以上或者注册账号数累计达到两千以上，或者在网站上发布有关违法犯罪的信息一百条以上的，或者向两千个以上用户账号发送有关信息的，均属“情节严重”③。这表明本罪是专门规制信息传播的罪名，既不要求下游犯罪客观上已经实施，也不像其他犯罪的构成要件要求信息具有特定的内容。从本质上说，网络借助“信息流动”重塑了社会关系，横向上极大地密切了现代社会中人与人之间的联系，纵向上大大缩短了原因事件与结果事件之间的发生间隔，这种时空结构深度变革了人们的认知方式与行动方式，也必然影响了网络犯罪的形态。与传统犯罪不同，网络犯罪的行为人能在极短的时间内，接触数量众多的被害人，造成大规模的分散危害，并迅速转移逃匿。因此，刑法确立“打早打小”的刑事政策，从源头上、从关键环节上打击网络犯罪。非法利用信息网络罪的确立正是对网络犯罪形态的立法回应，一定程度上从规制人的行动转向了规制信息的流动。

四、危害网络安全的特殊主体犯罪

拒不履行信息网络安全管理义务罪只能由网络服务提供者实施，这是网络治理多元化、社会化在刑法中的体现。网络环境下，传统的法律效力理论开始从对“人”转向对“信息”发挥效力，信息本身成为法律规范的对象，不需要具体落实到行为人，只要对信息本身实行管理即可收到良好效果[21]。而要对信息实现直接管理，必然离不开网络服务提供者的支撑。网络服务提供者是网络信息的主要控制者、高效处理者以及最大受益者，不仅拥有更多了解安全风险的机会，掌握更强的控制安全风险的能力，而且具有更多的数据优势，理所应当是网络安全治理的重要力量，承担信息网络安全管理的适当义务[22]。刑法将拒不履行信息网络安全管理义务的行为入罪既是对网络服务提供者协同治理主体地位的认可与肯定，也是对网络服务提供者履行网络安全管理义务的督促与保障。

网络服务提供者的责任虽然在确立之初受到较大争议，如今已经在世界范围内获到了认可，因不履行网络安全管理义务而需承担刑事责任的刑事规范也陆续设立。如印度《2000信息技术法案》为网络服务提供者配置了多项法定管理义务，该法案第67C条规定了记录留存义务，第69条规定了提供拦截、监控、解密协助的义务，第69B条规定了提供监控、通信量数据的义务，网络服务提供者违反上述规定拒不履行法定义务的，最高可被判处7年监禁并处罚金。又如，保加利亚《刑法》第319f条规定，信息服务提供者违背《电子文件和电子信托服务法案》第6条第2款第5项的规定④，如果未被判处其他更严重刑罚，最高可判处5 000列弗的罚金。再如，新加坡《2018网络安全法案》规定，网络安全服务提供者必须将法律规定的相关信息至少留存3年，如果网络安全服务提供者拒不履行这项义务，可能被判处10 000新元的罚金，或者判处12个月以下监禁，或者并处二者。我国对网络服务提供者的刑事责任设置与上述国家的做法存在一定差异，我国不是针对网络服务提供者的某一项或某几项网络安全管理义务具体地配置刑事责任，而是一般地规定，只要是法律、行政法规规定的网络安全管理义务即可。拒不履行信息网络安全管理义务罪虽然是特殊主体犯罪，但其却涉及网络安全保障的方方面面。网络服务提供者需要履行法律、行政法规规定的各种网络安全管理义务，这包括日志记录与备份义务，网络安全等级保护义务，用户身份管理义务，网络安全事件应急处置义务，执法支持与协助义务，个人信息保护义务，违法信息管理义务，违法信息处置义务，电信普遍服务义务等⑤。正因为网络安全管理义务的广泛性，拒不履行信息网络安全管理义务罪也呈现出多样性。该罪规定，具有下列情形之一的，最高可判处3年有期徒刑，并处或者单处罚金：1）致使违法信息大量传播的；2）致使用户信息泄露，造成严重后果的；3）致使刑事案件证据灭失，情节严重的；4）有其他严重情形的。其中，第一种情形是对网络内容安全造成严重侵害的后果表述，第二种情形是对网络信息安全造成严重侵害的后果表述，第三种情形则是对严重阻碍网络安全追责的后果表述，除此之外第4项还设置了兜底规定。未来，随着网络治理的精细化，网络安全管理义务必然会发展变化，过于具体地限定在某一项或某几项特定的网络安全管理义务上，会导致刑法很快落后于网络治理的演化，造成刑事处罚的不力或者刑法规范的频繁变动。

注 释：

①《网络安全法》第76条将网络安全定义为“通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性能力”。

②《网络安全法》第46条、第67条。

③最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第10条。

④《电子文件和电子信托服务法案》（Electronic Document and Electronic Trust Services Act）第6条第2款第5项规定，信息服务提供者必须将法律规定的相关信息留存1年。

⑤分别见《互联网信息服务管理办法》第14条、《网络安全法》第21条、《网络安全法》第24条、《网络安全法》第25条、《网络安全法》第28条、《网络安全法》第42条、《互联网信息服务管理办法》第15条、《网络安全法》第47条以及《电信条例》第43条。