【作者】王平(中国政法大学刑事司法学院教授、博士生导师);李梦(中国政法大学刑事司法学院博士后研究人员)
【来源】北大法宝法学期刊库《江西社会科学》2022年第5期。因篇幅较长,已略去原文注释。
三
网络平台刑事合规的注意义务分析
刑事合规是企业的合规程度与企业的刑事责任程度产生联系的企业刑事风险内控机制。在我国的法律法规中,网络平台设置的信息安全管理义务主要包括两大类,即删除违法犯罪信息义务和出现违法犯罪信息后及时断开链接义务,在少数情况下还规定了向主管部门报告的义务。为了降低安全管理义务带来的刑事法律风险,网络平台企业需要按照国家法律法规、行业自律标准逐级逐项开展网络安全合规建设。网络平台需要履行的网络安全管理义务主要来源于以下三个方面:其一,国家层面的法律法规;其二,社会层面的行业规则以及商业道德;其三,企业层面的管理制度以及企业文化。其中,法治社会中对网络平台的监管力度最大的就是法律法规。法律法规对网络平台方的监管主要涉及两类:一是与互联网相关的监管;二是对经营活动所处行业的监管。法律明确规定的主管部门包括网信、电信、能源、交通、水利、金融等多个部门。主管部门具有监督网络平台落实安全义务的职责,这与多数国家的规制方式相同,都是选择政府监管网络平台进行自律管理的路径。通过网络安全审查的主管部门搭建的争端解决平台,统筹各相关主管部门意见,实现维护国家安全的目的。
(一)网络平台的注意义务类型划分
如果侵犯他人权利的行为是由第三方行为主体实施的,网络平台服务商对于网络违法内容只承担最低的注意义务,即对第三方主体的经营资质进行审核的义务以及得知侵权后及时删除的义务。关于明知监管部门责令停止侵权行为的情形,如果他人并未按照监管要求采取恢复权利的措施。网络交易平台方知道他人利用网络平台提供的网络服务实施侵权行为,仍然为其提供网络服务或者没有采取必要阻止措施,网络交易平台应当承担监管责任。平台方可以用内部的合规管理体系作为抗辩的根据,依据合规体系的内容判断单位的主观方面不存在构成犯罪的主观意志因素,从而将单位责任与个人责任进行切割。即便合规经营行为产生危害后果,也可以认为由于网络平台缺乏预见可能性,出现了无法预测的危害行为类型,不能对行为人进行法的非难,也就不存在刑法上的责任。因此,为了免除刑事处罚,网络平台采用合规制度为自身的侵权行为进行辩解,以求免除责任。如果监管部门没有责令采取改正措施或者监管部门责令采取改正措施之后网络平台积极改正,网络平台的行为就是社会交往场合中能够被接受的行为类型,从而不具有刑事可罚性。讨论网络平台的刑事合规问题,重点是对不同的网络平台模式进行场景化分析,根据不同平台模式下的法律关系对合规制度的注意义务类型予以划分。
第一,业务形式的注意义务类型。根据不同的互联网平台经济模式,每个行业的网络平台都会面临不同业务内容的注意义务。网络交易平台和关联网络平台的义务略有差别,前者需要提供数据信息和技术支持,后者只提供数据信息但是不需要提供技术支持。目前法律只规定关联网络平台负有提供数据信息的义务,而没有规定提供技术支持的义务。但是随着对公民权利保护的重视,网络平台删除的范围逐渐扩大化,除了违法信息,还包括违法技术。网络交易平台经营者既要向监管部门提供执法活动需要的相关交易信息,还要提供技术支持,配合监管部门对违法交易行为进行监测工作。网络交易平台作为网络交易提供服务方需要配合监管部门调查提供用户的数据信息。在Everalbum侵犯信息权案中,美国联邦贸易委员会(FTC)要求Everalbum公司删除违法收集的用户照片,以及AI算法模式。关联网络平台方负有协助执法的义务不仅是企业内部的合规计划内容,也是法律规定的重要义务。关联网络平台对于犯罪行为具有披露义务、向主管部门汇报义务以及配合司法机关办案提供违法犯罪证据的义务(例如提供相关人的性侵记录)。
与线下空间的犯罪治理模式相比,网络平台具有高度的自治性。因为网络平台在互联网中承担着较多的监管责任,所以法律规范要求网络平台具备高于普通人的、持续性的注意义务。网络平台只制定合规计划却搁置合规建设,继续实施侵权违法行为拒不改正的,是不贯彻合规制度的行为。不贯彻合规制度的行为不属于企业能够免责的理由。例如在快播案中,快播公司实际控制的云帆搜索技术侵犯了他人的信息网络传播权。云帆搜索技术属于中立技术行为,在接到监管部门的行政处罚通知后,应当及时删除侵权作品或者断开侵权链接行为。快播公司建立了自己的合规制度,并且成立专门的信息安全组负责合规实务。然而快播企业内部并没有真正落实合规制度的建设。虽然快播公司在公司内部建立了110平台系统用以屏蔽链接侵权网站,但是并没有将该110平台系统坚持运营下去,导致合规制度在预防犯罪方面的收效甚微。
刑事合规体系是由网络平台自身或者由独立的第三方专业机构参与构建。为了防范潜在的风险,网络平台可以与独立第三方机构进行合作,提高信息核查过程中的透明度。同时网络平台运营方应当留存网络日志不少于六个月,详细记录网络监测运营状况、网络安全事件等数据或资料。(P77)网络数据安全监测预警体系作为企业提前介入评估风险的手段,能够覆盖各种安全运营场景。当数据流通的第三方在其他国家时,为保证数据流通安全还需要对目的国的通信行业法律进行评估。网络平台可以建立数据泄露通知制度,在发生用户信息泄漏风险时,企业向用户履行通知义务,在必要情况下还需要向监管机关履行报告义务。网络平台还应部署安全态势感知平台,制定网络安全事件预案并定期演练。例如,网络平台方可以通过健全投诉、举报制度,广泛发动群众,从而高效、及时应对可能发生的危险。对于用户访问大数据的每一步骤都应当形成平台访问痕迹,增设安全审查功能,在出现危险时能够及时追溯到当事人。
第二,规范形式的注意义务类型。为达到预防犯罪的目的,虽然公权力可以介入网络平台企业内部干预经营活动,但是并不意味着刑事合规体系由政府主导执行建设。恰恰相反,各国政府并不直接参与监控大多数的互联网违法犯罪案件,反而对政府自身的监管权力进行约束,使其作用最小化。为了解决网络中充斥的大量违法信息问题,大多数国家的法律规范都规定了一旦网络运营者发现违法内容信息,便可以自行对违法信息进行封堵、过滤。针对网络平台的自律性较弱的现状,德国的《网络执行法》针对网络平台建立起一套加强平台企业对网络信息内容监管的规制体系。欧盟各国采取多利益相关方协同治理的模式打击网络不实信息传播。英国政府采用立法手段为网络平台创设信息内容的注意义务,《网上有害内容监管白皮书》规定监管有害信息内容不是行业自律行为而是法定的义务。法国的“反假新闻法案”为网络平台设定了合作治理虚假信息的义务。新加坡针对网络虚假信息制定了严厉的监管政策和刑事处罚措施,并且在《防止网络谣言与信息操纵法案》中明确规定网络平台等中间服务机构具有阻止虚假信息线上传播的义务。虽然我国的法律规范文件没有明确界定网络平台注意义务的内涵,但是一些法律规范文件将从事特定业务的互联网平台作为规制对象,例如移动应用分发平台、提供互联网群组信息服务的平台、提供互联网用户公众账号注册使用服务的网络平台等都是由专门性法律规范对各自的业务活动进行约束。
网络平台通过互联网开展经营活动应当遵守行业相关法律法规对主体资格和业务资质的审查要求。互联网法律法规对平台的监管重心是有效甄别具体业务模式和技术部署方式以便确保平台具有开展网上业务的资质。网络平台运营方不仅应当遵守电信业务法律法规的要求,还应当接受调整行业经营活动法律法规的监管。例如网络存储平台根据安全保障义务的法律规定,优先保护被侵害的法益,对技术研发行为、技术推广行为、技术使用行为、监督管理平台运营行为和技术支持行为进行安全审核。网络存储平台服务商自身根据特定业务内容的特点,对平台存储内容进行合法性审查并且禁止他人借用网络平台传播违法信息。网络服务提供者设置的管理义务应当符合网络监管部门的规定,当网络平台的经营行为符合合规计划明确的管理义务标准时,就可以据此对网络平台免责。如果实践中行为人通过技术手段绕过网络平台的管理获取他人网站中的公民个人信息,该行为就属于窃取、非法获取计算机系统数据信息的个人行为,我们不能将相关危害后果归咎于网络平台行为。
(二)网络平台注意义务的社会道德评价
网络平台内部建立合规管理体系,不仅可以防范现实紧迫的法律风险的发生,还可以充分回应社会赋予网络平台的道德期待。网络平台行为的复杂性以及参与主体的多元化决定了行政监管很难完全取代互联网行业自律。对网络平台进行专门立法,可以在客观上强化政府对企业平台自律的监管职责。如果网络平台不遵守法律、监管规定以及自律组织条款的有关规定,就可能遭受法律制裁、监管处罚、重大财务损失或者声誉受损的风险。网络企业作为犯罪控制模式的共同本位者可以采用制定自治规范的方式以及刑罚之外的制裁手段控制犯罪形势。尤其对于受法律法规重点保护的作品,网络平台企业在开展经营活动过程中负有较高的注意义务。网络播放平台企业对列入国家版权局重点保护名单的作品承担更高的注意义务。例如快播公司作为具有网络存储平台性质的播放器服务商,对于缓存于播放器中的视频内容具有安全审查义务,有责任删除存储在播放器内的淫秽视频。
网络平台制定合规计划是实现“以网管网”自我规制的基本方式。“以网管网”将事实层面的网络平台职责转化为法律层面的作为义务,实现国家和企业共同治理网络犯罪的局面。合规内容本身不在刑事立法的范畴内,因此不属于犯罪构成要件要素的组成部分。所以社会大众普遍认为“以网管网”自我规制是网络平台遵守职业道德的体现。虽然用户是犯罪行为的实施者,网络平台只是起到辅助作用的技术提供者,但是网络平台仍然对信息内容负有审核义务。网络平台建立合规体系本身表明网络平台主观上努力地阻止第三方在平台运营范围内实施可罚行为。网络平台的合规体系在处理违法信息的投诉程序中会产生正反不同的两种结果:投诉成立以及投诉不成立。前者则删除违法信息;后者则驳回申请删除信息。当认为网络平台按照合规规则的评估结果不存在违法而驳回删除申请时,网络平台审核确认信息违法并且删除违法信息的行为属于履行网络安全管理义务的行为。然而我们不能认为网络平台依规驳回第三人关于违法信息的投诉就不属于履行网络安全管理注意义务的范畴。当网络平台已经按照合规体系的要求审核信息,确认被投诉信息内容不存在违法并且履行报告义务的,网络平台的合规审查行为仍然具有阻却责任的效力。
信息网络安全管理义务是网络平台企业合规制度的重要前提。网络安全审查制度是信息网络领域维护国家安全的兜底制度。合规制度的重要内容之一就是建立内部网络安全管理制度。网络平台运营方可以对不同安全保护等级对象的安全管理机构和人员安全管理设置不同的强度的基本要求。政府监管网络平台履行安全管理义务,网络平台通过自律管理履行网络监管义务。在司法认定网络平台的安全保障义务的有无和范围时,不能采用“一刀切”认定标准,而是应当综合判断。整个合规方案的核心是让管理层参与到合规制定过程中。一言以蔽之,就是确定网络安全负责人并且建立内部数据系统安全体系。内部数据系统安全体系要求平台方设立独立的数据安全管理部门,设立安全负责人岗位。配备专门人员不仅可以及时更新安全软件的管理完成数据分级控制,还可以将重要数据信息获取的身份权限认证限定在企业内部的较小范围内,实现数据加密控制。设立统一的数据安全管理部门对数据的开发和应用尤为重要,加强对工作人员数据权限的管控,确保数据管理的最小化原则。关于网络平台的运营流程,企业应当设置专门的岗位和人员,建立审查流程指引,加强客户资质及业务合法性审查,并保留相应的审查档案和记录。
四
网络平台刑事合规的刑事政策功能分析
在刑法教义学回答行为是否需要承担刑事责任之前,先要从刑事政策角度确认该行为是违法的。刑事合规的预防犯罪与刑法理论的预防犯罪有着千丝万缕的联系。刑事合规源于对风险社会的反思与回应,作为预防犯罪的“最高等级防范目标”与风险刑法天然地密切相关。由于刑事法律风险的前置化,刑事合规的预防犯罪是在刑法范畴之外进行讨论的。出于预防犯罪的考量,网络平台通过建设刑事合规体系达到平衡企业经营活动和经济秩序安全的目的。因此刑事合规体系本身是超前于刑法的预防性制度规范。例如,数字经济的风险之一是数字安全风险,数据安全合规体系是网络平台构建数据安全体系的重要内容,同时构建严密的数据犯罪罪名体系也是刑事立法的方向。
(一)网络平台刑事合规的事前预防犯罪考察
因为刑事合规可以防范刑事法律风险,所以是防范等级最高并且最为严苛的内控制度体系。面对网络空间的复杂风险,网络平台拥有自我管理的职责,并且通过持续监控违规行为达到预防犯罪的目的。在事实层面上,网络平台具有控制网络犯罪治理的“软权力”,使平台自身拥有高度自我调控的能力。网络平台在业务能力范围内对业务伙伴以及网络服务的消费者进行风险管理。对于已经出现的风险,网络平台企业可以自主决定采取相应措施,例如关闭平台账户、举报到监管部门。在符合公司利益的基础上,网络平台在甄别企业发展道路中的各种风险的同时也会在公司制定的章程里规定注意义务以加强风险管理。随着网络平台规模扩大以及员工人数增多,企业面临的法律风险就愈加严重。合规体系具有防范民商事法律风险、行政法律风险以及刑事法律风险的功能。为了保证企业合法经营,网络平台的合规义务范围覆盖民事义务、行政义务以及刑事义务。其中刑事合规是对多种合规风险的预防,不仅包括刑事法律风险,还包括非刑事法律风险。
网络平台建立一整套合规体系可以有效豁免基于网络平台内部人员犯罪导致企业承担不履行信息网络安全管理义务的失职责任。合规负责人对企业员工特定的监管义务具有保证人地位。只要合规计划中有确定的企业义务,合规负责人就不会因企业员工个人的故意犯罪行为担责。这种采用制定网络平台规则以肃清网络运行秩序的方式属于网络平台预防犯罪的内控范畴。网络平台企业内部失控不仅让网络平台陷入刑事犯罪的困境,而且那些在互联网中具有重要影响力的网络平台企业实施的危害较大的失控行为将会导致网络空间大范围出现秩序混乱的后果,也会给线下社会带来潜在的风险。德国的《电信媒体法》明确规定网络运营者为防止潜在的危险,具有面向未来的审查义务。在德国司法实践中,针对安全保障义务不仅应当删除违法信息,而且还要求网络服务商对其他可能的危险进行扫描。在意大利和美国,网络社交平台与独立的第三方事实核查组织开展合作的方式,通过对事实进行核查来帮助用户辨别真假消息。总之,网络平台对违法内容的监管属于行业自律范畴,网络平台不必等到危害结果发生之后,被动地处理侵权行为,而是可以主动采取必要且可行的防范措施提前规避可能的危险。
合规制度为企业设置的合规义务不同于刑法规范提到的信息网络安全管理义务。鉴于网络平台维持秩序高度依赖网络技术,所以应当适用技术归化理论构建网络平台治理相关法律规则体系。在网络信息监管体系中,网络平台处于“把关者”(gatekeeper)地位,既有社会责任也有法律义务。网络平台在收集用户个人信息的过程中,应当建立独立的信息保护制度用以保证用户个人信息的安全。网络平台在收集和使用用户个人信息之前应当明确告知用户收集、使用个人信息的具体范围与目的用途。建立数据的分级管理,针对用户个人信息数据、医疗数据以及其他来源合法的数据的采集、流通与共享采集都应当遵循合法、正当且必要的原则。为降低个人信息泄露的风险,平台应当严格管理数据分享渠道和数据抓取工具,只能在获得用户同意的范围内才能处理数据业务。出于对通信自由的保护,对于不公开的私人之间传输的网络信息与公开的网络信息的安全审查方式应当予以区分。尤其注意保护用户的敏感信息,处理敏感信息应当关注对用户个人信息的脱敏。在敏感数据的流通过程中,需要对数据流通涉及的第三方进行数据安全的风险评估,通过匿名化处理保证用户信息安全。企业在开展匿名化处理的过程中,需要从操作层面完成对原始数据的隐藏,生成替代数据避免他人识别信息主体的身份。
(二)网络平台刑事合规的事后减轻责任考察
传统的事后止损方式由于无法敦促网络平台积极主动履行网络服务的安全保障义务,容易造成网络空间安全漏洞日益加剧的危害后果。出于规范网络平台经营秩序以及发展网络平台经济的考量,法律规定网络交易平台经营者负有检查和监控平台内的商品和服务交易义务。在网络平台开放网络资源供他人使用的过程中,可以根据违法事实存在差异将网络平台中的违法传播行为分为两种行为模式。
一种是网络平台自己编撰整理信息并主动进行传播,即网络平台的主页内容侵权情形。如果侵犯他人权益的内容指向的网页属于网络平台所有,应由网络平台承担刑事责任。网络平台作为独立的行为主体,不履行前置行政法规定的网络安全管理义务就会造成严重后果。网络信息安全管理义务是刑法规定的网络平台服务商的法定职责,例如网络平台非法获取个人信息行为可能构成非法获取公民个人信息罪和非法获取计算机信息系统数据罪的法条竞合犯。
另一种是他人编写后放到网络平台进行传播扩散。网络空间中有许多提供存储与交换网络资源的网络存储平台,当网络存储平台没有履行对信息内容的特定审查义务时,就需要为不作为行为的危害后果承担责任。当网络平台发现交易行为人实施违反法律法规和规章的行为时,平台可以采取警告、暂停或者终止提供平台服务的必要处置措施。在网络平台不知道侵权事实存在的场合下,网络平台不应当承担侵权责任。只有网络平台得知用户上传到平台的作品可能侵犯到他人权益(例如知识产权),网络平台才有义务及时移除上传内容。虽然网络平台没有直接实施犯罪行为,但是在明知用户实施违法犯罪行为的情况下,网络平台还向违法犯罪行为提供协助和支持,就需要承担侵权责任。在履行合理的移除义务之后,网络平台对上传侵权作品得以免责。对于用户擅自上传到网络平台的侵权作品,应当综合考量按照“避风港原则”进行处理。“避风港原则”是最基本的安全保障义务准则,即网络平台在发现违法信息后立即删除违法信息,就可以认定为履行了安全保障义务。但是一旦网络传播的范围广泛且持续时间较长,此时仅仅删除违法信息不足以保护受侵害的法益,那么“避风港原则”在面对保障网络空间秩序的安全需求时就会捉襟见肘。
从事后合规的角度考量,完善的合规制度具有刑事激励的功能。在企业发生犯罪行为的场合,经由国家的刑事司法程序督促、约束和激励企业合规建设。关于合规制度的规范依据范围可以由司法机关(例如检察机关)颁布量刑指南的方式予以明确。针对合规建设存在的不足,检察机关可以对其提出检察建议,督促企业进一步完善合规体系。目前有的地方检察机关正在进行刑事合规的试点探索,以检察建议的形式提出不同限度的激励政策:合规出罪制度、宽大刑事处罚以及暂缓起诉协议或者附条件不起诉协议等。鉴于企业的刑事案件数量逐年攀升,将合规体系认定为定罪量刑情节的种类纳入刑事司法体系将势在必行。构建企业合规制度最大的推动力是合规制度带来的企业激励机制。企业激励机制指为促进企业建立合规计划而在刑事处罚中对企业宽大处理。检察机关在处理单位犯罪刑事案件时应当遵循“预防为主,打击为辅”的刑事政策。“预防为主”具体体现在检察机关应当督促涉案企业建立合规管理体系,将“严管”落实在制度上。在督促涉案企业开展刑事合规管理的过程中,检察机关作为第三人承担监管职责。“打击为辅”具体体现在刑事诉讼的各个阶段,在侦查阶段能不捕的不捕,在起诉阶段能不诉的不诉,在审判阶段能不判实刑的适用缓刑。需要注意的是,刑事合规制度衍生的刑法激励作用应当在规范执法的限度内发挥作用。只有在企业行为符合法律规范的场合,合规制度才具有防控法律风险的功能。刑事合规制度可以作为企业的抗辩理由,尤其在企业员工实施犯罪行为时可以完成企业与自然人之间的刑事责任切割。对于建立合规管理体系的互联网企业而言,合规计划能够换取刑罚从宽的待遇。
五
结语
在数字经济时代,网络犯罪的危害性要比线下犯罪具有的危害性严重得多,网络平台犯罪的危害后果不仅产生颠覆平台企业的风险,也会让国家安全利益、公共利益以及个人权益在网络空间中“裸奔”。网络犯罪的法益侵害并非仅仅局限于网络空间,而且还会导致现实空间面临一系列潜在的法律风险。在危害结果发生时,如果只是被动地等待监管部门开展一揽子调查,从公司业务到规章制度都要等待鉴定结果,烦琐且漫长。这不仅不利于保护受害者,而且受到侵权纠纷悬而未决的影响,还会对平台的声誉带来负面评价。建设刑事合规制度是网络平台企业防止网络平台业务行为成立犯罪的内部制度保障。企业合规计划以及信息网络行业自治规章参与到犯罪治理中,促使合规计划与国家法律法规共同维持信息网络的持续健康发展。将合规计划融入国家法律制度中,尤其是刑事法律制度,既能激活企业内部监管,又能引导企业刑事合规体系的建设。合规计划作为积极预防网络犯罪的社会责任证明,可以推动网络犯罪治理模式从监管网络平台向赋予平台企业合规抗辩权利转变。互联网犯罪的控制模式正在发生转变,不仅由外部控制模式向外部和内部共同控制模式转变,而且还会由被动控制犯罪向主动控制犯罪改变。强调刑事合规管理体系的建设不能忽视营造稳定的、可预期的执法环境。互联网企业没有动力开展刑事合规建设的主要原因在于建设和维护合规管理体系的人力成本、经济成本都十分巨大。尤其在不公正执法的营商环境下投入和产出不成比例,将导致多数中小微互联网企业的管理者难以意识到刑事合规经营战略的重要性。
《江西社会科学》(Jiangxi Social Sciences)是江西省社会科学院主办的综合性学术理论月刊,1980年12月创刊,2006年8月改编辑部为杂志社。经过多年发展本刊以正确的办刊方向、高雅的学术品位、淳厚的大家风范,成为国家社科基金资助期刊、CSSCI来源期刊、全国中文核心期刊、中国人文社会科学核心期刊、RCCSE中国权威学术期刊、中国期刊方阵期刊,并多次获得华东地区优秀期刊奖、江西省优秀期刊奖。栏目设置以“学科与主题相结合”为导向,按学科分设哲学、文学、史学、法学、经济学、政治学、社会学等栏目。还设有:“学子语类”,每期聚焦一个学术热点,力求新锐深入、犀利鲜明;“海外传真”,刊登海外专家学者在中国内地的首发稿,搭建中国学术与世界交流的平台。学术是生命,创新是灵魂。传承学术,创新理论,是《江西社会科学》不倦的追求。