最高人民法院、最高人民检察院(“两高”)《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号,“《解释》”)今日公布,将于2019年11月1日起施行。这是最近信息网络和个人信息案件频发、互联网金融和大数据行业爆雷等背景下,两高为打击犯罪打出的一记重拳。
《解释》共十九条,主要对《刑法》第二百八十六条之一“拒不履行信息网络安全管理义务罪”、第二百八十七条之一“非法利用信息网络罪”、第二百八十七条之二“帮助信息网络犯罪活动罪”三项罪名作出解释。这三项与信息网络犯罪有关的罪名均由2015年11月1日起施行的《刑法修正案(九)》增设。
《解释》对三项罪名相关问题的明确和细化将对此类案件的查办、法律适用和定罪量刑有所助益。同时,提供网络服务的企业(“网络运营者”)也需要关注《解释》所确立的各项标准,加强信息网络合规管理,避免触犯刑法、承担刑事责任。
基于此,我们对《解释》的主要条款加以梳理和解读,供各方参考。
一、对《刑法》第二百八十六条之一
“拒不履行信息网络安全管理义务罪”的解释
《刑法》第二百八十六条之一 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
致使违法信息大量传播的;
致使用户信息泄露,造成严重后果的;
致使刑事案件证据灭失,情节严重的;
有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
就上述规定,《解释》进一步明确、细化如下:
(一)主体范围
《刑法》规定本罪的主体为“网络服务提供者”,《解释》明确了其中具体包括以下主体:
网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;
信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;
利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。
由于目前各种传统犯罪日益向互联网迁移,所使用的网络技术、利用的网络服务呈现多样性特点,因此,《解释》第一条规定的网络服务提供者几乎覆盖了各类主流互联网服务。作为网络运营者,无论经营哪一项具体业务,均需要关注并防范不法分子利用网络服务开展犯罪活动。
(二)适用前提
根据《刑法》规定,本罪的适用前提是“不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正”。
根据《解释》,监管部门是指网信、工信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门。认定是否属于“拒不改正”需要综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。
如果网络运营者虽未尽到或未完全尽到网络安全管理义务,但在监管机关要求后积极完成整改,则应当不会构成本罪。
(三)入罪标准
《解释》对第二百八十六之一规定的四类入罪标准进行了细化:
1. 致使违法信息大量传播的,具体从违法信息数量、传播范围等方面加以判断。
传播视频文件,向用户账号传播,通过通讯群组、社交网络传播,违法信息被点击,这几种情形达到一定数量的可能入罪。
2. 致使用户信息泄露、造成严重后果的,具体从泄露的用户信息类型、数量、后果严重程度等方面加以判断。
其中特别明确了泄露行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等影响人身、财产安全的用户信息的数量标准,也明确了泄露用户信息“造成他人死亡、重伤、精神失常或者被绑架等严重后果的”作为本罪的入罪标准。
今年下半年以来,部分互联网金融公司、数据服务机构因违规使用个人信息而受到刑事调查,例如使用用户通信信息、行踪轨迹信息用于暴力催收、造成他人受伤等后果,产生了恶劣的社会影响。由于这些信息是网络运营者日常业务运营中收集的较为常见的信息类型,需要特别注意依法依规对这些信息进行收集、使用、保存和安全管理。
此外,财产状况、行踪轨迹、征信信息等信息也是两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)中规定的公民个人信息。根据该司法解释,出售或者提供行踪轨迹信息、被他人用于犯罪的,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,可能构成《刑法》第二百五十三条之一“侵犯公民个人信息罪”,网络运营者对此需要予以同等关注。
3. 致使刑事案件证据灭失、情节严重的,具体从相关证据所涉案件重要程度、造成证据灭失的次数、对刑事诉讼程序的影响等方面加以判断。
4. 有其他严重情节的,具体从拒不履行信息网络安全管理义务的重要程度、前科情况、造成后果等方面加以判断。
特别是“对绝大多数用户日志未留存或者未落实真实身份信息认证义务的”属于其他严重情节。网络运营者需要关注严格落实用户真实身份信息认证,采取有效、可靠的技术手段对用户真实身份进行查验。
二、对《刑法》第二百八十七条之一
“非法利用信息网络罪”的解释
《刑法》第二百八十七条之一 利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:
设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;
发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;
为实施诈骗等违法犯罪活动发布信息的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
就上述规定,《解释》进一步明确、细化如下:
(一)行为方式
《刑法》规定了本罪的三种行为方式。《解释》进一步规定:
以实施违法犯罪活动为目的而设立或者设立后主要用于实施违法犯罪活动的网站、通讯群组,应当认定为刑法规定的“用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组”。
利用信息网络提供信息的链接、截屏、二维码、访问账号密码及其他指引访问服务的,应当认定为刑法规定的“发布信息”。
(二)入罪标准
《刑法》规定本罪的入罪标准是非法利用信息网络“情节严重”,《解释》从以下几方面明确了“情节严重”的认定标准:
设立网站、通讯群组、发布信息的数量。对于假冒国家机关、金融机构名义,设立网站,设立通讯群组,发布违法信息等情形分别设定了属于“情节严重”的数量标准。
违法所得数额。违法所得一万元以上的,属于“情节严重”。
前科情况。二年内曾因非法利用信息网络等受过行政处罚,又非法利用信息网络的,属于“情节严重”。
三、对《刑法》第二百八十七条之二
“帮助信息网络犯罪活动罪”的解释
《刑法》第二百八十七条之二 明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
就上述规定,《解释》进一步明确、细化如下:
(一)主观状态
根据刑法规定,构成帮助信息网络犯罪活动罪,行为人主观上应当“明知”。《解释》明确对当事人“明知”的推定规则:
经监管部门告知后仍然实施有关行为的;
接到举报后不履行法定管理职责的;
交易价格或者方式明显异常的;
提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的;
频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查的;
为他人逃避监管或者规避调查提供技术支持、帮助的;
其他足以认定行为人明知的情形。
网络运营者接到监管部门通知、或用户等其他主体举报而不采取应对措施、继续为信息网络犯罪活动提供服务的,将会被认定为主观上对犯罪活动明知。建议网络运营者设置相关管理岗位和管理制度,积极应对监管部门的执法以及用户的投诉举报,依法履行网络安全管理责任。
(二)入罪标准
根据《刑法》规定,帮助信息网络犯罪活动罪的入罪标准是“情节严重”。《解释》进一步细化如下:
为三个以上对象提供帮助的;
支付结算金额二十万元以上的;
以投放广告等方式提供资金五万元以上的;
违法所得一万元以上的;
二年内曾因非法利用信息网络、帮助信息网络犯罪活动、危害计算机信息系统安全受过行政处罚,又帮助信息网络犯罪活动的;
被帮助对象实施的犯罪造成严重后果的;
其他情节严重的情形。
四、单位犯罪
根据《刑法》规定,单位均可能构成上述三个罪名。《解释》进一步明确,单位犯罪的,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
五、职业禁止和禁止令
《刑法》规定,因利用职业便利实施犯罪的,人民法院可以根据犯罪情况和预防再犯罪的需要,禁止其自刑罚执行完毕之日或者假释之日起从事相关职业,期限为三年至五年;判处管制、宣告缓刑的,可以根禁止犯罪分子在执行期间从事特定活动。
由于信息网络犯罪存在利用职业便利实施犯罪和再犯的特点,《解释》特别规定对构成上述三个罪名的罪犯可以依法宣告职业禁止和禁止令。
天元数据合规服务
天元团队连续二十余年为TMT行业提供法律服务,对通信及互联网产业政策、行业发展和变迁历程、以及业务有着深刻的理解和感受。从2012年底全国人大常委会关于公民个人信息保护的第一个专门性法律颁布至今,天元持续为行业内领先的企业客户提供数据合规、用户个人信息保护、网络和信息安全方面的法律服务。天元数据合规服务包括:对企业的业务模式、业务规则、业务流程以及业务方案中涉及的用户个人信息保护、数据使用与安全、数据跨境等问题进行合规性审查和论证;为企业审查和起草用户个人信息协议、授权文件、隐私政策等文件;协助企业搭建数据业务合规体系,制订相关文件;以及数据合规培训。天元数据合规服务涵盖数据及个人信息的收集、使用、存储、管理、合作、经营以及数据跨境等业务及安全管理的全链条。