■ 数字法视界

开栏语

我们需要构建怎样的中国特色数字法律体系，来保障数字经济高质量发展？数字经济下的AI治理面临哪些新挑战，又有哪些新的应对思路？涉数字经济犯罪有哪些新态势……作为现代法治的新形态，数字法治已成为法学理论和法律实务关注的重要命题。《法治周末》特推出“数字法视界”专栏，记录数字法治进程。

□ 游涛

近日，江西省南昌市公安网安部门发现，南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。公安网安部门立即开展“一案双查”，在成功抓获3名犯罪嫌疑人的同时，对涉案高校不履行数据安全保护义务的违法行为开展执法检查。

经查，涉案高校在开展数据处理活动中，未建立全流程数据安全管理制度，未采取技术措施保障数据安全，未履行数据安全保护义务，导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵，其中3万余条教职工、学生个人敏感信息数据被非法兜售。根据数据安全法第四十五条的规定，公安网安部门对该学校作出责令改正、警告并处80万元人民币罚款的处罚，对其主要责任人作出人民币5万元罚款的处罚。

有很多互联网企业负责人或法务、合规负责人认为，拒不履行信息网络安全管理义务罪，是以网络服务提供者受到过行政处罚为前提，其实不然。而且，即使受到过行政处罚，行为人继续不履行信息网络安全管理义务，造成刑法第二百八十六条的后果，也不意味行为人必然可以构成拒不履行信息网络安全管理义务罪。

根据刑法第二百八十六条，拒不履行信息网络安全管理义务罪，是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使违法信息大量传播或者致使用户信息泄露，造成严重后果或者致使刑事案件证据灭失，情节严重或者有其他严重情节的行为。

法条表述的“经监管部门责令采取改正措施”，并不等同于行政处罚。行政处罚法第九条规定行政处罚的种类包括：（一）警告、通报批评；（二）罚款、没收违法所得、没收非法财物；（三）暂扣许可证件、降低资质等级、吊销许可证件；（四）限制开展生产经营活动、责令停产停业、责令关闭、限制从业；（五）行政拘留；（六）法律、行政法规规定的其他行政处罚。

责令采取改正措施，并非上述任何一种行政处罚的种类。实际上，“责令改正”是一个行政命令，是一种具体的行政行为，与行政处罚性质不同。行政处罚是对违法行为人进行的一种制裁和惩戒，而责令改正或者责令限期改正仅仅是要求违法行为人停止违法行为、消除不良后果、恢复原状，其本身不具有惩罚的性质。而行政处罚要让违法行为人为其违法行为及造成的不良后果付出代价，这个代价有的时候虽然与其通过违法行为所得的收益相当，但通常是高出违法收益的，如在没收违法所得的同时给予罚款。而责令改正或者责令限期改正基本上限于使违法行为人即时停止违法状态。

行政处罚法第二十八条规定“行政机关实施行政处罚时，应当责令当事人改正或者限期改正违法行为”。这里使用“应当”一词，意味着行政处罚时，行政机关必须同时责令当事人改正或者限期改正。但是，在实践中存在行政机关在作出行政处罚时，没有对当事人作出责令改正或者限期改正违法行为的命令。在这种情况下，当事人可以以没有得到责令改正或者限期改正的命令，而不构成拒不履行信息网络安全管理义务罪进行抗辩。

另外，根据最高法、最高检《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第二条规定，刑法第二百八十六条之一第一款规定的“监管部门责令采取改正措施”，应当以责令整改通知书或者其他文书形式，责令网络服务提供者采取改正措施。如果行政机关作出了责令改正或者限期改正，但没有以书面形式作出，当事人也可以以此抗辩不构成拒不履行信息网络安全管理义务罪。

实际上，责令改正或者限期改正违法行为，并不是行政处罚的附随命令，行政机关针对当事人的违法行为，有时没有作出行政处罚时，也会作出责令改正或者限期改正违法行为的命令。例如，工业和信息化部于今年7月7日通报了31款侵害用户权益APP，督促上述31款APP及SDK按有关规定进行整改，但并没有对这31款APP的网络服务提供者作出行政处罚。在这种情况下，如果这31款的网络服务提供者没有落实整改，后造成刑法第二百八十六条规定的法定后果发生，则这些网络服务提供者依然构成拒不履行信息网络安全管理义务罪。

其实，责令改正或者责令限期改正作为一种行政命令，形式有很多种，不同的实体法有不同的规定。网络服务提供者应该正确理解监管机关对其作出的行政命令，准确把握责令改正和责令限期改正的实质内涵，而不被行政命令的形式所障目。

值得注意的是，责令改正既可以单独制作文书，市场监督管理领域常见的有责令改正通知书、责令退款通知书、监察指令书等；也可以不单独制作文书，将责令改正的具体内容制作于其他文书当中，市场监督管理领域常见的有当场处罚决定书、行政处罚决定书等。

当然，如果监管部门仅仅作出了口头的责令改正或者责令限期改正，那么当事人可能还有一次被书面责令改正或者责令限期改正的机会才能构成拒不履行信息网络安全管理义务罪。

近些年来，国家网信办、工信部及各地方监管机关都在连续加强对违法违规APP运营等网络服务提供者的监督整改工作，仅工信部就已经连续通报侵害用户权益APP（SDK）共30批。

8月10日，公安部召开新闻发布会，发布打击整治侵犯公民个人信息违法犯罪典型案例并通报相关情况。通报信息显示，网上即时通讯、电子邮箱等应用软件传输的个人信息，政务、商务、社交等网络平台存储的个人信息，行业内部信息系统搜集的个人信息，是信息被非法获取的第一个环节。2020年以来，公安机关锚定行业内部泄露，共抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼”2300余名。同时，公安机关全面摸清产业链各环节特点，开展上溯源头、下追买家全链条打击，并同步跟进“一案双查”，对互联网企业平台严管严查，压实企业主体责任，坚决遏制侵犯公民个人信息违法犯罪蔓延。  

2022年通过并实施的反电信网络诈骗法第二十九条第二款规定：“履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护。公安机关办理电信网络诈骗案件，应当同时查证犯罪所利用的个人信息来源，依法追究相关人员和单位责任。”公安机关正在积极落实电信网络诈骗法要求，同步跟进“一案双查”，相信将有更多的网络服务提供者被责令改正或者责令限期改正，甚至行政处罚。

因此，这里要重点提醒受到过责令改正或者责令限期改正的网络服务提供者，一定要履行好信息网络安全管理义务：制定内部管理制度和操作规程，建立健全全流程数据安全管理制度；对个人信息实行分类管理；采取相应的加密、去标识化等安全技术措施；合理确定个人信息处理的操作权限，并定期对从业人员进行数据安全教育培训；制定并组织实施个人信息安全事件应急预案；重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。如果仍然不能做好上述工作，则企业和相关负责人将会受到“拒不履行信息网络安全管理义务罪”的处罚。

责任编辑：谢婷