网络服务提供者刑事责任原则

网络服务提供者（internet service provider），“指通过信息网络为获取信息等目的提供服务或者为公众提供信息的单位或个人”^[63]。网络服务既是一种新兴服务行为又是一种技术含量极高的科技行为，因此提供网络服务行为具有“中立性”，也就是说其技术属性并没有任何违法犯罪之目的，往往是针对不特定人实施的具有日常性、反复性的业务行为；同时，提供网络服务行为还具有“帮助性”，即往往对他人实施的违法犯罪行为起到促进作用，如在博客上发布谣言诽谤他人、利用深度链接行为侵犯他人著作权，或者通过即时通讯软件传播淫秽视频等，在这些犯罪中，网络服务行为起到了重要的“推波助澜”作用。我国《刑法》第287条之一关于非法利用信息网络罪的规定，就是网络服务行为帮助性特征的客观反映。因此，提供网络服务具有典型的中立帮助行为的属性，对网络服务提供者刑事责任的探讨应始终置于中立帮助行为理论和视角下进行。

（一）刑事责任非难之必要性

网络服务行为以互联网技术为核心，技术固然具有中立性，但这并不能直接推导出无罪的结论，因为技术具有中立性并不能得出使用技术的行为也自然具有中立性的结论。对于网络服务提供者法律责任问题，虽然民事法领域已有较多规定，如《民法典》第1194条至1197条中对网络服务提供者的侵权责任作出三个层次的划分，分别是：第一，直接侵权责任；第二，未履行“避风港原则”要求的“通知—删除”义务和对损失扩大部分承担的连带责任；第三，“知道”侵权事实情况下却未采取必要措施的连带责任。^[64]但是，在刑事犯罪领域的研究则处于起步阶段，且刑法理论上一直存在争议：既有人主张网络服务提供者不应负有事先审查义务，其只是负责提供技术支持，这种行为属于正常的业务中立行为，不应处罚^[65]；也有人认为借鉴国外的立法和司法实践，应对网络服务提供者按照帮助犯定罪处罚；另外，还有学者从在网络犯罪中网络服务提供者的作用、行为危害性以及克服传统共同犯罪理论对网络犯罪共犯异化问题适用的困境角度出发，认为应将网络空间中网络服务提供者所实施的表象上属于帮助犯但实质上已然具有独立性的行为视为正犯，通过刑法分则的基本犯罪构成进行定罪处罚。这种观点近年来逐渐成为重要影响学说。

本书认为：第一，网络社会已经逐渐走向风险社会，国家安全、金融风险、社会公共秩序等越来越多地受到网络安全和网络秩序的影响，而因网络犯罪引发的系统性风险将越来越大。因此，如何发挥网络服务提供者对网络安全风险防范的社会责任，成为当前的时代话题和刑事司法领域的重要课题，这也意味着对网络服务提供者有必要进行一定程度的责任非难。第二，网络服务提供者在一些网络活动中起到主导作用，如搭建金融交易平台、提供索引链接服务等，其所具有的风险支配地位也决定了应承担必要的阻止网络犯罪风险的责任，“对于充满安全风险的网络空间，网络服务提供者应当承担起与其经营范围、经营领域相对应的安全责任”^[66]。第三，根据域外“守门人”制度原理^[67]，网络服务提供者具有信息和技术等方面的优势，刑法科以其相应的作为义务和刑事责任，不仅有利于实现犯罪惩处的及时性、便利性、高效性，也有利于从源头上预防网络犯罪，实现一般预防和特殊预防的综合效果。网络服务提供者在网络犯罪中享有技术优势、处于技术支配地位，其完全具备从技术层面去判断网络用户是否具有犯罪意图的能力和可能性。如网络贷款平台完全可以监控网络借贷主体的交易行为、资金往来、信息公开等环节是否存在异常情况，从而审查和识别网络用户的行为是否合法、是否具有犯罪意图。因此，对于网络服务提供者而言，发挥技术优势来履行审查义务并非难事。第四，刑事政策应发挥因时而动的立法先导作用。进入21世纪以来，互联网行业获得了空前的发展，但相伴而来的是网络犯罪日益严重，网络安全、网络秩序与网络行业自由发展之间的动态平衡也应有所调整，由积极鼓励网络创新和减少干预向积极引导和必要干预转向，体现在更加微观的刑事责任领域就是要由事后处罚、被动干预向事前预防、主动监管转向，这是维护互联网的信息安全与管理秩序的迫切需要^[68]。实际上，虽然当前许多国家和地区对网络服务提供者的刑事责任采取相对宽松的有限责任政策，但几乎没有免除其刑事责任的规定。随着近年来网络安全事件和网络犯罪多发的形势变化，网络服务提供者的刑事责任范围也在不断加大，特别是在某些特定情形下其被赋予了较为严格的义务。如美国1998年颁布的《性侵儿童保护法》第604条明确规定对于有关儿童色情方面的内容，网络服务提供者应履行主动报告义务，否则将受到罚款的处罚。^[69]

从我国法律规定上看，我国刑法对网络服务提供者刑事责任的态度经历了从没有规定、不处罚到按照帮助犯处罚再到可以认定为实行犯的变化过程。如2004年《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》（法释〔2004〕19号）（以下简称《知识产权刑事案件解释》）中仅就互联网用户在网络上发布他人享有知识产权作品的行为规定构成侵犯著作权罪，并没有对网络服务提供者的行为性质作出规定。^[70]此后多部法律解释对网络服务提供行为的刑事责任作出规定，如2005年《最高人民法院、最高人民检察院关于办理赌博刑事案件具体应用法律若干问题的解释》（以下简称《办理赌博案件解释》）中明确规定了网络服务提供者的共犯责任；^[71]2010年《最高人民法院、最高人民检察院关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释（二）》（法释〔2010〕3号）（以下简称《淫秽电子信息案件解释（二）》）中明确规定了网络服务提供者的正犯责任；^[72]而《刑法修正案（九）》在刑法中增设了帮助信息网络犯罪活动罪和拒不履行信息网络安全管理义务罪，又对网络服务提供者作出共犯正犯化的拟制规定。

笔者认为，对于网络服务提供者刑事责任的探讨应注重把握以下原则：一是坚持平衡原则，即兼顾积极保护与必要打击相结合的刑事政策。互联网行业作为一项新兴的重要领域，对世界经济、政治、社会、文化等各方面发展都具有不可替代的作用。因此，即便对其中严重犯罪行为进行处罚也要保持必要、合理限度，防止因刑事法律的不当介入导致出现寒蝉效应，使互联网技术创新噤若寒蝉，这样就因过度打击而严重制约其健康发展。中立帮助行为理论在平衡法律保护和刑事打击方面显得较为恰当，该理论对网络服务提供者一般性经营活动的主体地位进行了客观评价，并充分重视这种中立性技术行为在社会发展和经济运行过程中的作用，也着重对各种利益与风险进行了权衡和比较^[73]，可以提供合理的标准尺度。第二，坚持区分原则，即合理区分类型化业务行为与个人犯罪行为的界限，不能因提供网络服务行为具有业务中立性，而忽视对那些与他人具有事先通谋进而提供网络帮助者的处罚，这类行为已经严重偏离了中立帮助行为属性，与常见的共同犯罪没有差别，适用共同犯罪理论处理即可。因此，本书对网络服务提供者刑事责任的讨论均是针对排除了此种“事先通谋事中帮助”情形以外的提供服务行为。三是坚持谦抑原则，要求网络服务提供者承担刑法作为义务，原则上以必要为限，不应过分要求其承担主动的检查、审查义务，要严格区分刑法上的义务与其他非刑事法上的义务，即使在民事上其可能承担一定积极作为义务，但是不能轻易上升为刑法义务，要对网络服务提供者是否具有保证人地位进行实质判断，不然犯罪圈的无限扩大带来的可能是对互联网行业的毁灭性打击，这也是“避风港原则”的核心要求。近年来，随着网络犯罪高发，从规制难度、效果与成本角度考虑，国家更倾向于将管控的重心由网络用户转向网络服务提供者，从而导致网络违法犯罪管控模式由“打击前端”向“约束后台”的转变，但在此过程中更要避免一味地加重网络服务提供者的刑事责任，导致其难担重负。例如，对于网络服务提供者是否负有预先审查的义务，国外的通行做法大多持否定态度，因为这将涉及对公民网络行为自由的限制，如果要求网络服务提供者对公民任何网络行为都进行预先审查，可能将导致很多人难以获得正常的网络服务，网络行为自由将受到极大限制，这其中难免包括很多正当的权利。因此，欧盟法院认为公民个人基本权利和网络服务提供者经营自由是在设定网络服务提供者的义务时必须予以兼顾和平衡的两大利益，要求网络服务提供者对内容的预先审查和过滤会严重侵害上述两大利益，也会给网络服务提供者带来昂贵的成本。^[74]但在我国司法实践中，司法机关在处理刑事案件中会潜意识地认为网络服务提供者应承担预先审查义务，并以此作为裁判的依据，如在快播案中，审判机关法官撰文认为快播公司的网络平台使“站长”可以自由发布链接、上传淫秽视频，是帮助传播，并以此认为快播公司的该先行行为产生了作为义务。^[75]这实际上就是认为作为网络服务提供者的快播公司应当对网络用户的行为进行预先审查，防止淫秽视频进入网络空间。

（二）刑事责任承担的范围及限制

在美国及德国等欧盟国家，“避风港原则”被作为追究网络服务提供者侵权责任的指导性原则。该原则首次被规定在1998年美国制定的《数字千年版权法案》，其核心内容是网络服务提供者在收到权利人通知后及时删除侵权内容的，可以免除侵权责任，也就是明确免除网络服务提供者的主动审查义务，不承担对其服务对象（网络用户）网络行为的主动审查义务，因此“避风港原则”也被称为“通知—删除”原则。虽然该原则最早出现在著作权领域，但随后扩展到网络链接、搜索引擎、网络平台、网络存储等网络服务的方方面面。《中华人民共和国著作权法》（以下简称《著作权法》）《民法典》《互联网著作权行政保护办法》等法律规定中虽然没有原文规定“避风港原则”，但对该原则的核心内容均有具体体现。值得关注的是，“避风港原则”虽然最初是民事法领域的重要原则，但近年来在刑事法领域也被引进和借鉴，德国司法实践中将其直接运用于刑事责任认定过程。我国有学者提炼了“避风港原则”中对网络服务提供者刑事责任的教义学规则，笔者概括起来，大致包括以下三个方面：第一，“避风港原则”只适用于网络服务提供者间接责任，不适用于直接利用网络服务实施犯罪的情况，并且网络服务提供者的间接刑事责任也以其对他人违法犯罪具有“明知”为前提。第二，应对网络服务提供者进行分类，并结合不同主体类型及其技术控制能力来判定其刑事作为义务，这也是确定网络服务提供者刑事责任的前提。第三，不应要求网络服务提供者承担主动监督和审查违法内容或行为的义务，其义务范围和追责程序启动要受“通知—删除”规则和程序的限制。^[76]

“避风港原则”设立的初衷在于鼓励互联网行业的发展，避免因过度监管出现削足适履的不良后果，从某种程度上来说，也符合互联网行业的特点，如网络信息传播迅速、复杂，网络服务提供者很难像现实中的经营场所管理者一样对经营场所、经营活动实施事前、事中审查。但是网络发展到今天，情形发生了很大变化，网络技术的成熟和网络行业的发展以及网络违法犯罪的高发，都与当初的情况大为不同，“重保护轻打击”的政策应有所调整。不可否认，对网络服务提供者科以审查义务必然会增加其运营成本，不过《刑法》通过对拒不履行信息网络安全管理义务罪的构成要件规定“经责令改正”的前置性程序，以及通过司法解释对帮助信息网络犯罪活动罪中的“明知”要件进行解释，有意识地减轻了网络服务商的审查义务，有效地控制了其运营成本增加的幅度，将其维持在网络服务商可以承担的范围之内。^[77]然而，由于在互联网领域对“避风港原则”的过分依赖，一些非刑事法律中对网络服务提供者审查义务的规定却相对过于宽松，如根据《中华人民共和国食品安全法》（以下简称《食品安全法》）第61条、第62条^[78]规定可知，“网络食品交易第三方平台提供者仅需要对食品实际经营者进行身份登记和许可证验收，不但明确食品安全管理责任在经营者，并且无须像集中交易市场的开办者、柜台出租者那样定期对经营环境和条件进行检查”^[79]。因此，在当前网络传播效率更加快速、传播方式更加多元、传播范围更加广泛的情况下，一味采用“避风港原则”有时难以满足打击网络犯罪的需求，其对网络服务提供者信息审查义务标准设定偏低，有必要进行改进。特别是根据刑法规定，相关监管部门的责令改正通知成为一种处罚前置程序，很可能因行政机关不作为而影响对违法网络服务提供者的处罚，从而使被害人的权利得不到平等保护。因此，为了对“避风港原则”加以限制，美国司法实践逐渐形成了一套新的认定规则——“红旗原则”，即当侵权行为已经十分显而易见，像红旗一样明显的时候，若网络服务提供者再不采取有效限制措施，便不再享受“避风港原则”给予的责任限制方面的优越待遇。^[80]在美国《数字千年版权法案》和我国《信息网络传播权保护条例》中“避风港原则”和“红旗原则”均被同时加以规定，形成了一种“原则+例外”的责任认定模式。(www.xing528.com)

笔者认为，在刑事责任领域也应借鉴此种做法，即原则上网络服务提供者根据“避风港原则”不承担主动审查、删除义务，但在网络用户具有明显的违法犯罪行为时，应承担“红旗原则”要求的主动删除义务。这样，“红旗原则”将在以下两个方面发挥限制作用：一是，明确了网络服务提供者主观明知的推定标准，将评价视角由行为人转换到一般人，即使无法证明网络服务提供者对他人违法犯罪事实存在实际明知，但只要违法犯罪事实达到像“红旗”般高高飘扬的明显程度，就认为网络服务提供者“应当知道”，据此推定主观上存在“明知”。二是，对网络服务提供者科以主动删除义务，而不是一味遵循“通知—删除”程序限制。在该原则下，当网络服务提供者应当知道违法犯罪行为如红旗般显而易见时，仍视而不见的，就失去了“避风港原则”的庇护，将被认定为承担相应的刑事责任。综上，在原则上采取“避风港原则”，并以“红旗原则”加以例外限制的认定思路下，对网络服务提供者刑事责任的认定，应侧重于从事实上判断其主观是否存在对违法犯罪行为的“知道”或“应当知道”，客观上根据职业相当性标准判断其提供网络服务行为是否履行了相应法律义务，据此判断某一网络服务行为是否具有业务中立属性，进而判断其是否制造或增加了法所不容许的危险。

（三）现有刑事责任体系的不足

纵观我国刑事法律及相关法律解释中对网络服务提供者刑事责任的规定，笔者认为存在以下问题：一是没有对信息网络安全管理义务的范围作出明确界定。信息网络安全管理义务的涵义的抽象性和范围的不明确性，将会严重影响该罪在司法实务中的适用，基于在当前严厉打击网络违法犯罪行为、维护信息网络安全的形势背景，司法机关往往会有意无意地将“信息网络安全管理义务”进行扩大化的理解，进而不当地扩张刑罚的处罚范围。^[81]因此，应进一步明确化和精细化，在义务设定上既要考虑刑事政策所决定的处罚范围，又要关注网络服务提供者的技术能力和可控范围，不应对其苛以明显不合理或不现实的义务，否则既可能因网络服务提供者确实无法履行而失去刑法规范的指引作用，又不利于互联网行业的积极发展。

二是对网络服务提供者刑事责任的规定与民事责任方面的规定衔接不畅、协调性不足。在我国民事侵权责任领域，法律对网络服务提供者责任的规定相对较为完善，但与刑事责任的归责方向有所不同，前者多侧重于限制侵权责任适用，而我国近年来刑法则在不断扩张网络服务提供者的刑事责任范围，二者在立法价值上存在一定抵牾，也一定程度上消减了刑法规定的具体适用效果。因此，今后应充分考虑和尊重与民事法律规范的内在逻辑，要注重从整体法秩序的高度来审视和权衡网络服务提供者的刑事责任问题^[82]。

三是没有对网络服务提供者的类别作出明确划分。在我国司法实务中，无论是行为评价还是责任认定的落脚点都仍是提供网络服务的具体个人，缺少从业务类别乃至整个行业的整体思考，因而才会忽视网络服务行为的业务中立性；同时，也缺乏对不同网络服务业务类别的差异化考察，缺乏类型化思维，因而得出的结论有时难免片面。实际上，正是由于我国目前尚未对网络服务提供者的类别作出科学区分，才导致对其义务规定过于笼统，这两个问题是密切联系的。

四是缺少网络过失行为责任的规定。目前，在我国刑事立法和司法实践中，对网络服务提供者刑事责任的规定均为故意责任，后文将具体分解为三种责任模式，但现有网络犯罪制裁体系中对网络过失行为的罚则基本处于空白。在当前互联网领域高速发展的背景下，一些网络技术过失行为的危害后果从具体的财产损失和计算机信息系统损坏逐步扩展到公共安全甚至国家安全，因此应当增加涉网络过失犯罪的规定，如破坏计算机信息系统犯罪的过失形态、信息网络安全监管过失类犯罪。^[83]网络服务提供者具有网络安全监管义务，其不履行法律义务的行为既可能出于故意也可能出于过失。笔者认为，在提供网络服务行为这一领域，应当引入监督过失责任，以严密刑事法网。所谓监督过失，是指组织管理、业务操作等领域对他人行为的适当性承担监督责任的人，因为没有做到适当地指导、指挥、监督而导致被监督者的行为造成了重大损害结果，其因监督不当而构成的一种刑法上的过失责任。这里的“监督”，具体内容包括对他人行动前的指示或提示、行动中的监督及事后的检查。^[84]广义的监督过失概念中还包括因怠于确立安全管理体制所构成的管理过失。^[85]鉴于对网络服务提供行为限制处罚的总体原则考量，本书认为网络犯罪制裁体系中的监督过失应仅限于狭义的监督过失责任，要求网络服务提供者对网络用户滥用网络服务行为进行必要的监督管理，在其没有履行必要监督义务时承担一定刑事责任。同时，还要对网络服务提供者监督过失责任的范围进行严格限制，只有在发生极其严重后果的情况下才应启动监督过失责任的追究程序。一方面，网络服务提供者对该监督过失责任的承担须以其具有法定义务和具备监督能力为前提，为此应全面审慎考察网络服务提供者的预见能力和技术水平；另一方面，由于监督过失责任是一种严格责任（推定过失责任），^[86]为避免其严重阻碍互联网行业的发展，应允许网络服务提供者援引信赖原则主张免除刑事责任。

综上所述，对网络服务提供者刑事责任的认定，应按照本书构建的认定逻辑，在确定网络服务行为与危害结果之间具有因果关系的基础上，重点判断是否增加了法所不容许的风险，以此为核心确立其刑事责任评价的客观基础，再结合有关网络服务业务规范和经营归责方面的法律规定及网络技术能力、社会常识等因素来衡量服务行为的职业相当性，进而综合认定网络服务提供者的刑事责任有无及大小。