◇許亞潔

隨著網絡經濟和技術的突飛猛進，侵犯個人信息的違法犯罪行為十分猖獗。在公安部開展的“凈網2019”專項行動中，依法整改2090款APP，依法查處1121款APP，集中曝光100款違法違規(guī)收集使用個人信息行為的APP。[1]2020年10月，《個人信息保護法草（案提）》請十三屆全國人大常委會第二十二次會議審議，草案主要聚焦個人信息保護突出問題，落實個人信息保護相關主體責任。盡管我國對個人信息的立法保護逐步加強，但是法律體系尚未形成，具體細則尚未頒布，這就導致實踐中打“擦邊球”的行為層出不窮。正如有學者提到，如果對個人數(shù)據資料沒有相應的法律保護制度，將會阻礙經濟的發(fā)展。有些國家在很短的時間里就出臺了這類法律規(guī)定，而且有時很正規(guī)，但是我們知道，有時這些規(guī)定只是一紙空文，從來不會得以執(zhí)行的；或者這些規(guī)定會給實踐帶來很多的困難。[2]網絡服務者對個人信息的處理過程至少包括收集、儲存、使用三個階段。不同階段，網絡服務者都應當承擔相應的保護義務。各類互聯(lián)網服務提供商對于一國網絡安全的維護負有極大的安全保障義務和責任，現(xiàn)實中各主體是否已最大限度地盡到其義務，這在實踐中并無一個確定的標準可言。[3]盡管我國相關法律法規(guī)中規(guī)定了網絡服務者的義務，但是仍存在抽象化、碎片化等問題。

一、網絡服務者個人信息保護義務設置的缺陷及影響

（一）個人信息保護義務類型設置的泛化現(xiàn)象

首先，收集個人信息的告知義務存在格式化問題。一方面，網絡服務者告知義務的履行方式剝奪了信息主體協(xié)商的空間。網絡服務者在相關協(xié)議或隱私條款中履行收集個人信息告知義務，但當信息主體不同意時，信息主體往往被拒絕使用相應服務。另一方面，告知義務內容模糊抽象，為超范圍收集個人信息留有空間。中國消費者協(xié)會曾于2018年7月17日至8月13日組織開展“應用軟件個人信息泄露情況”問卷調查，調查結果顯示手機應用軟件存在過度采集個人信息的趨勢，且應用軟件隱私政策的“合規(guī)性”及“標準化程度”有待提高。[4]網絡服務者往往通過“等”“包括但不限于”等概括性字眼擴大收集范圍。例如在攜程網站的隱私政策中，關于“信息收集”規(guī)定：“在您注冊為攜程會員時，至少需提供手機號并設置密碼用以創(chuàng)建攜程賬號。”“當您使用在線商城購物服務時，您至少需提供手機號、郵箱、姓名、證件信息?！逼錀l款中多次使用“至少”以模糊信息收集的范圍?？梢?，各大網絡服務者確實設置了合規(guī)性條款，但是其信息收集階段的告知義務仍存在格式化問題。

其次，信息泄露通知義務存在被架空的問題?！?019年數(shù)據泄露成本報告》發(fā)現(xiàn)，從2014年到2019年數(shù)據泄露事件增長了21%，識別和遏制數(shù)據泄露所需要的平均時間為279天。[5]網絡服務者作為直接相關者與責任者有信息泄露的通知管理義務，但是我國法律法規(guī)對數(shù)據泄露通知的規(guī)定過于簡單并存在沖突。例如，《網絡安全法》要求網絡服務者在“可能發(fā)生”個人信息泄露、損毀、丟失的情況并且沒有其他限定條件下履行該義務，這明顯對其要求過高，很難具有可行性。同時，“可能發(fā)生”也沒有具體的判斷標準，極有可能淪為“口號”型條款。2019年新修訂的《個人信息安全規(guī)范（草案）》規(guī)定，只有當“發(fā)生超過100萬人個人信息或者關系國計民生、公共利益的個人敏感信息泄露、毀損、丟失的安全事件”，才要求將有關情況報網信部門。但是，《電信和互聯(lián)網用戶個人信息保護規(guī)定》規(guī)定，造成或者可能造成嚴重后果的，應當立即向準予其許可或者備案的電信管理機構報告。在通知時間上，法律法規(guī)也未設置任何限制。由于沒有時間的限制，網絡服務者為了逃避法律責任，完全有可能不通知或在事件發(fā)生很久之后再通知。但是信息安全事件發(fā)生后，只有及時履行通知義務、采取相關措施才能防止損害后果的擴大，否則這項義務將失去價值，流于形式。

最后，數(shù)據共享過程中法律義務的空白現(xiàn)象。為了實現(xiàn)盈利最大化，網絡服務者之間總會共享自身數(shù)據庫，因此網絡服務者除了通過自身服務獲得數(shù)據外，還會鏈接不同數(shù)據源獲得外部數(shù)據，同時還會將自身從各個渠道獲得的數(shù)據提供、出售給更多的網絡服務者。可見，網絡服務者之間層層使用、交叉使用個人數(shù)據的現(xiàn)象普遍存在。例如，微夢（新浪微博）訴淘友（脈脈軟件）不正當競爭案①北京市海淀區(qū)人民法院（2015）海民（知）初字第12602號。中，正是因為雙方簽訂了《開發(fā)者協(xié)議》約定，脈脈可以獲得新浪微博用戶的ID頭像、好友關系（無好友信息）、標簽、性別信息，而產生的糾紛。漢濤公司（大眾點評）訴百度公司不正當競爭案、淘寶訴美景公司不正當競爭案等也都是基于兩者“共享”數(shù)據庫而產生的糾紛。個人信息主體只在數(shù)據收集階段與第一層網絡服務者之間簽訂協(xié)議，授權其收集、使用個人數(shù)據，但無法得知第一層和第二層、第二層和第三層等其他層面網絡服務者之間的約定協(xié)議。同時，法律法規(guī)并沒有設置特定的義務責任應對共享個人數(shù)據的情況。可見，在這種權利與義務不對等的情況下，個人數(shù)據安全岌岌可危。

（二）網絡服務者行政違法與刑事責任銜接不暢

基于網絡技術和服務的特點，信息法是一門橫向的學科，必須要求掌握民法、刑法和公法三大領域的知識。例如在德國，探討供應商責任時，《德國遠程媒體法》相應的規(guī)定對德國三大法域都適用，這就可以預料到存在彼此的緊張關系和誤解的可能。[6]目前根據我國刑法的規(guī)定，在有關個人信息犯罪中，網絡服務者可能承擔四種類型的刑事責任。一是單獨犯責任，即網絡服務者違反國家有關規(guī)定，非法獲取、出售、提供公民個人信息的，可能構成侵犯公民個人信息罪的單獨犯；二是共犯責任，即網絡服務者與他人共謀故意侵犯公民個人信息，可能構成侵犯公民個人信息罪的共犯；三是幫助行為正犯化責任，即網絡服務者明知他人通過網絡實施侵犯個人信息的犯罪，為其犯罪提供互聯(lián)網接入、服務器托管、網絡存儲、通訊傳輸?shù)燃夹g支持，或者提供廣告推廣、支付結算等幫助的，可能構成幫助信息網絡犯罪活動罪；四是拒不履行法定義務責任，網絡服務者不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務，經監(jiān)管部門責令采取改正措施而拒不改正，致使用戶信息泄露，造成嚴重后果的，可能構成拒不履行信息網絡安全管理義務罪。這四種刑事責任都與網絡服務者的保護義務息息相關，而保護義務的抽象模糊會導致刑事責任認定的諸多困境。

網絡服務者的刑事責任體系不嚴密。目前，網絡服務者的前置保護義務設置呈現(xiàn)原則化和松散化特征。一些義務的設置僅具有“宣誓”意義，配套細則沒有跟上，例如信息泄露通知義務，履行通知義務的時間、方式等都沒有明確規(guī)定；一些重要規(guī)則被忽略，導致法律漏洞的出現(xiàn)。例如，在個人信息被二次或多次使用的情況下，各個網絡服務者的義務規(guī)則也沒有被明確設定。不管是侵犯公民個人信息罪還是拒不履行信息網絡安全管理義務罪，刑事違法的判斷都在一定程度上以行政違法為根據，只有在行政違法的前提下才有判斷刑事違法的可能性。但是，前置義務設置的漏洞，可能使某些侵害行為逃脫行政違法，即使造成嚴重的社會危害性，也無法追究其刑事責任。例如，網絡服務者在收集個人信息時，往往采用模糊用詞和格式條款獲取信息主體授權。在形式上，網絡服務者確實在獲得信息主體的“同意”后收集個人信息，但在實質上卻存在超范圍收集、濫用個人信息的情況。在這種情況下，很難認定網絡服務者違反相關行政義務，更不用說刑事責任。

網絡服務者的刑事責任范圍易擴張。網絡服務者以其先進的網絡技術和服務成為網絡經濟的重要參與者和推動者，因此在法律層面，其行為總與網絡中立技術行為密切相關。在我國入罪化思維的背景下，處理網絡中立幫助行為的內在邏輯是尋找中立幫助行為入罪的可能性，而不是對其采取處罰范圍限定理論。[7]立法上的擴張趨勢意味著在司法適用上需采取審慎態(tài)度才能避免對網絡經濟發(fā)展的扼殺。這就需要前置法與刑法之間協(xié)調銜接，發(fā)揮前置法的“篩選”作用，將合法的行為或僅僅構成行政違法而尚未上升至刑事違法的行為截流，防止網絡中立行為的不當入罪。而前置法的“篩選”作用有賴于保護義務和責任的設定，如果保護義務過于片面則會導致行政法失去實質作用，網絡服務者的刑事責任不當擴大。

二、個人信息領域行政違法與刑事違法的關系

（一）法定犯設定的優(yōu)勢與困境

在風險社會概念的普及之下，風險刑法的概念應運而生。勞東燕教授在2007年發(fā)表的《公共政策與風險社會的刑法》一文開啟了我國學者討論風險刑法的先河。風險刑法的討論在我國刑法界一直未曾停歇。不同法學家各執(zhí)一詞，但都可歸結為兩大陣營，一方是強調風險社會到來對刑法的挑戰(zhàn)以及刑法為應對風險社會已經作出了順應風險刑法理論的改變，即強調和肯定了風險刑法理論的正面價值，并主張刑法應當從保障法轉變?yōu)轭A防法；另一方，則是從傳統(tǒng)刑法的基本立場、精神和風險刑法的社會學依據——風險社會對風險刑法理論進行批判，主張刑法應當持續(xù)保持謙抑性。拋開風險刑法的應然價值，在實然層面，刑法的犯罪圈正在不斷擴張，原先僅是行政違法的行為通過刑事立法可能成為刑事違法行為。這無疑是刑法預防功能的重要體現(xiàn)。因此，與其爭論風險刑法理論的真?zhèn)?，不如將目光和學術討論轉移到預防性刑事立法的合理限度和邊界的討論。加羅法洛在其經典著作《犯罪學》中，站在社會防衛(wèi)的角度，以犯罪行為是否具有道德異常為標準，提出了“自然犯”和“法定犯”。[8]法定犯設置成為刑法應對風險社會機制的原因是明顯的。一方面，風險社會意味著風險的增加且此部分風險不能通過市場自行調節(jié)，需要政府的多重干預。就法律層面而言，行政責任和刑事責任是由政府介入對風險的管理。法定犯融合了行政違法與刑事責任的犯罪類型，剛好是政府可以利用的介入手段。另一方面，從責任體系來看，行政責任位于刑事責任之前，輕于刑事責任。當政府采用刑事手段預防風險時，勢必在風險形成的較早階段就予以介入，以實現(xiàn)刑法的預防風險作用。刑事責任的前置不可避免地與行政責任產生碰撞，而法定犯正是以其特殊的犯罪構成要件協(xié)調了擴張到行政責任領域的刑事責任與行政責任的矛盾問題。因此，法定犯應對風險具有天然的優(yōu)勢。隨著網絡技術和數(shù)據科技的突飛猛進，信息數(shù)據成為炙手可熱的財富之源。有利益就有風險，個人信息數(shù)據的安全風險正是風險社會中不斷增加的風險類型。為了回應不斷升級的安全風險，政府率先采用刑事手段積極干預。與個人信息數(shù)據安全相關的犯罪類型正是采用了法定犯的方式。例如在侵犯公民個人信息罪的構成要件中規(guī)定了“違反國家有關規(guī)定”，在拒不履行信息網絡安全管理義務罪中規(guī)定了“網絡服務者不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務”。

盡管在預防風險方面，法定犯具有諸多優(yōu)點。但不可否認，法定犯的認定仍存在許多爭議問題，其中最重要和最基礎的問題是違法性判斷標準問題。關于行政違法、刑事違法的區(qū)分界限，域外主要觀點可以分為以質的差異說、量的差異說、質量的差異說為核心的德國學說，以嚴格的違法一元論、緩和的違法一元論、違法相對論為核心的日本學說。[9]就法定犯的違法性判斷而言，爭議的焦點在于行政違法在刑事違法判斷中的作用。一方面，法定犯的構成要件設置決定了刑事違法性判斷依賴于前置行政法規(guī)的規(guī)定。例如，在拒不履行信息網絡安全管理義務罪中，構成要件行為就是前置行政法規(guī)定的義務。如果行為人拒不履行的行為不是前置行政法規(guī)定的義務，那么行為人一定不存在刑事違法行為。但是如果刑事違法的判斷僅依賴于行政違法，可能造成司法判案不公、司法資源浪費等問題。例如，王力軍非法經營案①內蒙古自治區(qū)巴彥淖爾市中級人民法院（2017）內刑08刑再1號刑事判決書。、趙春華非法持有槍支案②天津市第一中級人民法院（2017）津01刑終41號刑事判決書。都是司法機關機械適用、過度依賴行政違法判斷刑事違法的典型案例。另一方面，行政執(zhí)法、刑事司法的不同操作流程和辦案機制導致違法性判斷存在獨立性。但這種割裂很容易造成刑法將某一行為認定為犯罪行為但這種行為在行政法上卻是合法的行為。這明顯違反了法秩序統(tǒng)一性原則。因此在“完全依賴”與“完全割裂”之間尋求最佳平衡點成為法定犯違法性認定的重點和難點。社會轉型在帶來進步繁榮的同時，也一并伴隨著諸多社會風險。面對社會風險，刑法學的首要任務是：刑法介入社會風險的實踐合理性和合理處罰的邊界。[10]法定犯作為刑法應對風險的具體手段具有立法的不可避免性，因此，其違法性的邊界劃定成為當前困擾理論界和司法實踐的主要問題。

（二）行政違法與刑事違法存在相對統(tǒng)一關系

最早區(qū)分行政不法與刑事不法的法律是德國1794年的《普魯士一般法》，之后圍繞行政不法與刑事不法的區(qū)別展開了不小的爭論。[11]盡管法秩序的統(tǒng)一性要求憲法、民法、刑法、經濟法等多個法律部門組成的法秩序內部不能存在相互沖突和矛盾，但是由于不同部門法之間的目的、性質與適用上具有差異，違法性的質和量都會存在差別。不同法域的違法性判斷存在絕對統(tǒng)一性和相對統(tǒng)一性兩種觀點。違法判斷的絕對統(tǒng)一性過分強調刑法從屬于前置法，不僅忽視刑法目的自主性與品格獨立性的一面，也有忽略刑法問題性思考之嫌。相對的違法性判斷才是科學協(xié)調和保證不同部門法之間的法秩序統(tǒng)一。值得強調的是，相對違法性判斷理念的適用范圍僅是法定犯，而不包括其他類型的犯罪。例如，在自然犯類型下，刑事違法判斷不以行政違法為前提，具有絕對獨立性。因此，在法定犯語境下，行政違法與刑事違法應當具有相對統(tǒng)一關系。

第一，行政違法與刑事違法的“統(tǒng)一”體現(xiàn)于形式識別?！跋鄬y(tǒng)一”的觀點應當包括兩個重點：一是“相對”，二是“統(tǒng)一”。當前，由于司法爭議較大的案件都是因為違法判斷過于“統(tǒng)一”而造成的司法不公和輿論質疑，導致理論界多強調和主張刑事違法判斷的“相對”。這無疑使“統(tǒng)一”遭到忽視，但是 “統(tǒng)一”的理念同等重要。具體而言，法定犯的刑事違法性判斷就是構成要件要素符合性的判斷，多數(shù)法定犯以空白罪狀的方式設置，此時需要在前置的行政法中識別構成要件從而進一步判斷案件事實的構成要件符合性。也即，行政違法是違法性判斷中的形式判斷，只有行為違反了前置行政法規(guī)才具有成為犯罪行為的可能性?？梢?，行政違法是刑事違法的“門檻”。綜上所述，法定犯的行政違法與刑事違法具有形式上的統(tǒng)一性。

第二，行政違法與刑事違法的 “相對”體現(xiàn)于“質”的區(qū)別。在“相對”的部分，“相對”的標準具有不同的觀點。量的區(qū)別說認為，刑事違法與行政違法之間沒有本質區(qū)別，兩者之間的區(qū)別僅僅在于量的不同，即刑事違法性=一般違法性+可罰的違法性。[12]質的區(qū)別說認為，刑事違法性與行政違法性具有本質的區(qū)別，強調刑法并不是對違反其他法律的行為直接給予刑事制裁，而是根據特定目的評價、判斷對某種行為是否需要給予刑事制裁。[13]質量區(qū)別說認為，刑事違法不僅在量上具有較高的損害性和社會破壞性，而且在質上具有較嚴重的倫理問題，具有反社會性；行政違法在量上所侵害的客體價值較低，在質上也未侵害社會的倫理，不具有反社會性。[14]

量的區(qū)別說對違法性的理解值得商榷。一方面，犯罪的構成一般需要經過構成要件復合性、違法性和有責性的判斷并且這三個階段具有順序性。因此，違法性是判斷有責性的前提，而可罰性應當是在有責性階段加以判斷?？梢?，“可罰的違法性”本身就混淆了違法性和有責性的概念。另一方面，刑法的違法性認定需要通過對構成要件的實質解釋，也即從刑法理論出發(fā)解釋和判定構成要件的符合性。刑法基于其法律地位的后置性和刑罰手段的嚴重性，具有與其他法律或生活常識不同的語言理解和要素解釋，而不僅僅只是危害結果的“量”上堆積。質量混合區(qū)別說是結合了量的區(qū)別說和質的區(qū)別說的折中說，但是其本身也具有不可忽視的缺陷。最明顯的是，質量混合區(qū)別說中的“社會倫理價值”標準具有不確定性。由于現(xiàn)代社會的多元復雜，欲確定可為社會普遍接受之倫理道德標準，本屬不易，況且時代環(huán)境之不斷變遷，社會價值觀亦難維持長久不變。[15]質的區(qū)別說在解釋行政違法性和刑事違法性上具有優(yōu)勢。詳言之，一方面，質的區(qū)別說強調刑法違法性的獨立判斷，這符合犯罪構成要件符合性的實質解釋要求。刑法的作為義務與行政作為義務并不是對等的關系，例如，《網絡安全法》第 49條規(guī)定：“網絡運營者應當建立網絡信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關網絡信息安全的投訴和舉報?！比欢?，網絡運營者未履行上述義務的，并不成立任何犯罪?？梢?，是否違反刑法還需要根據刑法的基本原則、補充性原理等進行實質分析。而質的區(qū)別說正是在違法性判斷階段就強調兩者的本質區(qū)別。另一方面，強調質的區(qū)別有助于限制入罪范圍，提供出罪路徑。目前，刑法立法存在擴張趨勢，司法缺乏出罪機制，導致入罪容易出罪難的問題。質的區(qū)別說相較于量的區(qū)別說、質量混合區(qū)別說而言，將刑事違法和行政違法區(qū)分得更加徹底，更有利于掃清出罪路徑和提高出罪效率，符合當前我國的司法現(xiàn)狀。綜上，行政違法性與刑事違法性密不可分，同時又相互區(qū)別。盡管行政違法與刑事違法具有“質”的區(qū)別，但是仍不可忽視兩者在形式判斷上的統(tǒng)一性。第一步，發(fā)揮行政法的“門檻”作用，積極識別行政義務。第二步，發(fā)揮刑法的“篩選”作用，實質解釋犯罪構成。

三、完善網絡服務者義務類型的具體化路徑

（一）收集個人信息告知義務的層級化

首先，告知義務應當以個人信息分類為基礎。個人信息分類保護模式能夠明確不同信息之間的根本差異，實現(xiàn)個人信息保護體系的周延性和自足性，保證個人信息在市場中的開放性和流動性。不同類型的個人信息對信息主體的權益影響程度不同，在收集個人信息時，網絡服務者就應當針對不同類型個人信息履行不同的告知義務。其次，告知義務應當具有層級化結構。在一些行政法規(guī)、部門規(guī)章或地方性法規(guī)中，已經將個人信息明確區(qū)分為敏感個人信息和一般個人信息。例如，《信息安全技術個人信息安全規(guī)范》《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》。一般而言，敏感個人信息對信息主體權益的影響程度更高，而一般個人信息則較低。網絡服務者可以采取不同的告知模式獲取信息主體同意。具體而言，收集敏感個人信息時，網絡服務者應履行高層級的告知義務要求。在形式上，網絡服務者可以通過電郵、短消息等方式一一通知信息主體，并采用加粗、加大等比一般通知條款更顯著的方式提請信息主體注意。同時，只有獲得信息主體的明示同意才具有有效性。例如，2019年10月，歐盟法院在德國消費者組織聯(lián)合會起訴德國公司Planet49案中強調，通過“預選框”的方式所取得的用戶同意，不能作為有效同意，因為數(shù)據處理者無法假設未取消要求的人會積極參與。①CJEU Case C-673/17.在內容上，網絡服務者應當明確告知信息主體收集的信息類型和用途，同時應當告知敏感個人信息處理可能涉及的重大利益和可能產生的實質損害，并不得采用“等”這樣的模糊字眼。收集一般個人信息時，網絡服務者則可以履行較低層級的告知義務要求。在形式上，可以采用隱私政策等格式條款進行通知，但仍需具有明確性和顯著性。在內容上，網絡服務者應當明確告知信息主體收集的信息類型和用途，包括信息活動的性質、可能受影響的利益、如何利用個人信息等，并不得采用“等”這樣的模糊字眼。

（二）個人信息泄露通知義務的精細化

個人信息泄露的通知義務是保障數(shù)據安全非常重要的事后措施。首先，應當明確和擴大通知義務的對象。我國法律法規(guī)已經規(guī)定向有關主管部門和用戶報告的義務。一方面，應當確定數(shù)據安全監(jiān)管的主管部門。目前，有關數(shù)據安全的監(jiān)督管理部門有國家網信主管部門、國家電信主管部門、公安部門等，呈現(xiàn)多頭管理的現(xiàn)象。國家應當確定牽頭、負責的主管部門，并確定各個單位的職責清單，使網絡服務者明確應當報告的主管部門。另一方面，通知義務的對象還應當包括網絡服務者和公眾。當多個網絡服務者共享或處理同批數(shù)據并存在利益關系的，他們之間也應當互相履行信息泄露的通知義務。再者，當信息泄露規(guī)模較大，可能造成公共利益或國家安全重大危險時，網絡服務者也應當有義務向公眾告知泄露事件。

其次，應當明確規(guī)定信息泄露義務履行的條件和方式。當信息泄露范圍較小、涉及人數(shù)不多或可能對小范圍人群造成重大危急影響時，網絡服務者只需要通過電郵、短信等方式一一通知。而當信息泄露范圍較大、涉及人數(shù)眾多或可能造成大范圍重大危急影響的情況下，網絡服務者應當報告主管部門和公眾。當信息泄露可能對其他網絡服務者業(yè)務產生重大影響的，還應當及時通知對方。同時，根據信息泄露的范圍、涉及人數(shù)和影響，通過實際統(tǒng)計和調研，法律法規(guī)應當設置科學并有梯度的標準。例如，美國的《衛(wèi)生信息技術促進經濟和臨床健康法案》（Health Information Technology for Economic and Clinical Health Act）規(guī)定，如果涉及人數(shù)少于500人，則只需提供書面通知。對于更大規(guī)模的信息泄露，需要通過知名媒體發(fā)布通知。同時，盡管泄露行為涉及不到500人，也必須通知衛(wèi)生部部長。②Gina Stevens, Data Security Breach Notification Laws.www.crs.gov.19.法律法規(guī)還應當明確規(guī)定通知期限，通知義務具有時效性，只有及時履行該義務才能達到及時止損的效果。例如美國華盛頓州的《數(shù)據泄露通知法》規(guī)定，企業(yè)在發(fā)現(xiàn)泄露后的30天內通知受影響的居民和州檢察長。

最后，應當單獨設置對應的法律責任。正如上文所述，信息泄露通知義務的罰則沒有被單獨設立，同時由于通知義務的規(guī)定過于原則，實踐中鮮有對違反此類義務進行處罰。在完善通知義務自身的設置后，也應當對其單獨設置包括責令改正、罰款、吊銷營業(yè)執(zhí)照等行政罰則。同時，在未履行或者違法履行該項義務導致的后果非常嚴重時，也可能上升至刑事違法，應當注重行政責任與刑事責任的協(xié)調銜接。

（三）個人信息數(shù)據共享場景下的義務分配

信息數(shù)據共享使用是當下網絡服務者處理信息的常規(guī)、共贏模式。明確數(shù)據傳輸共享過程中網絡服務者之間的義務責任可以使網絡服務者權責分明，預防個人信息濫用風險。首先，非第一層使用者應得到雙重授權。當網絡服務者從其他網絡服務者而不是直接面向網絡用戶收集、使用個人信息時，可以稱之為非第一層使用者。當這些使用者獲取、使用個人信息時不僅需要通過簽訂合同得到上層網絡服務者的授權還需要得到信息主體的授權。授權內容也需要按照法律法規(guī)規(guī)定，明確目的、方式和范圍。實踐中，由于非第一層使用者并不直接面向用戶，往往通過第一層使用者與用戶之間的授權條款獲得信息主體同意。這種方式容易導致授權條款的模糊化和原則化。因此，如果采用這種方式，在該協(xié)議中第一層使用者應當明確其他使用者的名稱、其他使用者處理信息的方式、范圍和用途。

其次，網絡服務者審慎義務的設置。網絡服務者之間轉移共享數(shù)據的權責并不明確，這使得網絡服務者的違法成本大大降低。可見，網絡服務者在共享信息數(shù)據時也應當承擔合理的義務責任以威懾違法的盈利行為。第一，數(shù)據控制者或數(shù)據處理者應進行合理的盡職調查，以確保個人資料的接受者能夠按照透明度聲明和個別通知保護這些資料。①The American Law Institute, Principles of the Law Data Privacy.The American Law Institute Ninety-Sixth Annual Meeting, Philadelphia, 2019.91.第二，非第一層使用者再次對外提供、出售信息數(shù)據的應當事先通知上層使用者，上層使用者有權同意或拒絕信息數(shù)據的再次轉移。第三，共享信息數(shù)據后，數(shù)據使用者有義務配合上層使用者合理的監(jiān)督措施，上層使用者履行合理的監(jiān)督義務。

最后，共享個人信息數(shù)據的網絡服務者之間在一定條件下應當承擔連帶責任。設置問責機制是威懾和預防違法犯罪行為的最直接的手段。在網絡服務者共享個人信息過程中，由于不直接面向信息主體，更容易滋生違法收集和濫用信息的行為。在這種情況下，由于信息不對稱，個人信息主體往往不清楚個人信息是被誰泄露、如何泄露，導致維權更加困難。因此，正是基于網絡服務者之間的監(jiān)督義務，當非第一層使用者違法對外提供、出售、濫用個人信息時，上層使用者明知或疏于履行監(jiān)督義務的，都應當承擔連帶責任。

四、網絡服務者違反前置法定義務的刑事責任

（一）刑事罪名中信息網絡安全管理義務的范圍

拒不履行信息網絡安全管理義務罪是懲治網絡服務者犯罪行為的不作為犯罪類型，其義務來源的識別是成立該罪的起點和重點。但是，刑法條文的寥寥數(shù)語無法告訴我們信息網絡安全管理義務的內涵、類型和邊界。那么，信息網絡安全管理義務究竟是前置法中義務的簡單集合，還是有其他自身的限度和標準？行政違法與刑事違法的相對統(tǒng)一關系決定了刑事違法需要一定程度的獨立性判斷。信息網絡安全管理義務作為刑事作為義務理應具有自身獨立的判斷規(guī)則。該義務的確定應當符合明確性的要求，其義務內涵需要經過刑法教義學的規(guī)范判斷。正是基于刑法的謙抑性和刑罰的嚴重性，該義務范圍應當進行限縮解釋，以實現(xiàn)在尊重實定刑法的規(guī)范效力與內涵的基礎上，對其進行符合刑事政策目標、刑法規(guī)范的法益保護目的以及刑法教義學邏輯的限縮。筆者認為應當結合形式標準和實質標準對作為刑事義務的信息網絡安全管理義務進行解釋。形式標準是前置法律法規(guī)明確規(guī)定違反該義務對應的行政責任。由于構成該罪需要滿足“經監(jiān)管部門責令采取改正措施而拒不改正”的要件，因此該義務的行政責任應具有明晰性和嚴重性，否則不能被監(jiān)管部門責令采取改正措施。同時，如果一項義務的行政責任都沒有被明確規(guī)定，那么刑事法律更不會將其納入犯罪視野。實質標準是義務內容應當符合該罪的法益保護目的。法益保護是刑法的重要機能和首要任務，因此每個犯罪要件的解釋和認定都不能脫離本罪的法益保護。拒不履行信息網絡安全管理義務罪保護的法益是信息網絡安全管理秩序，因此與信息安全相關的義務才是該罪的刑事作為義務。

（二）行政程序性要素對刑事違法認定的影響

“經監(jiān)管部門責令采取改正措施而拒不改正”是構成拒不履行信息網絡安全管理義務罪的要件之一。對于拒不履行信息網絡安全管理義務罪的“行政責令改正”的罪狀設置，學界大體上存在著“行政附屬性規(guī)定說”“前置性的行政不法說”“程序性構成要件說”三種代表性學說。[16]這三種學說在本質上都將行政程序要素作為行政附屬性要素。但是，筆者不以為然。

第一，“行政責令改正”是獨立的刑法構成要件。在刑法條文中包含行政程序要素的情況并不少見，例如拒不支付勞動報酬罪、消防責任事故罪等。行政程序要素從內容上看需要依附行政程序進行認定，從位置來看是刑法罪狀的一部分?？梢?，行政程序要素是刑法與行政法交叉的典型表現(xiàn)。這是否意味著該要素的認定標準應當取決于行政法而不是刑法？筆者認為該要素應是刑法意義上的行政程序要素。一方面，刑法本身具有謙抑性和后置性，犯罪行為具有二次違法性，因此，將作為前置法的行政程序納入罪狀表述并沒有突破刑法理論和立法，具有一定合理性。另一方面，該要素是判斷罪名是否成立的構成要件要素，對犯罪不法和有責兩方面都有實質影響，因此該要素的本質仍是特定罪名的構成要件要素。正如，盧勤忠教授所指出的，程序性構成要件要素是指刑法中規(guī)定的作為構成要件的有關程序性要素。它具有二次性和后續(xù)性的特征，必須是法定的構成要件要素。[17]

第二，行政程序要素表明刑事違法判斷的獨立性。盡管行政程序要素是犯罪構成要件要素，但是其內容仍離不開行政法。這自然引發(fā)拒不履行信息網絡安全管理義務罪行政違法與刑事違法之間的關系問題。正如上文提及，行政違法與刑事違法之間是相對統(tǒng)一關系。而行政程序要素就是行政違法與刑事違法的“質”的區(qū)別。行政違法是行政相對人違反行政法上義務的行為。而刑事違法是完全符合犯罪構成要件的行為。網絡服務者不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務，已經構成行政違法。但尚不構成拒不履行信息網絡安全管理義務罪的刑事違法，因為該罪除了“不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務”外，還需要符合“經監(jiān)管部門責令采取改正措施而拒不改正”這一要件。該要件并不是實質意義上的行政違法，而是行政相對人構成行政違法后，行政機關做出的具體行政行為。因此，拒不履行信息網絡安全管理義務罪正是基于此程序性要件使該罪的刑事違法判斷獨立于行政違法。例如，胡某拒不履行信息網絡安全管理義務罪案，被告人胡某通過租用的服務器和技術手段，為他人非法提供境外互聯(lián)網接入服務。當?shù)毓簿址志窒群髢纱渭s談被告人胡某，并要求其停止聯(lián)網服務，并對其予以了警告、罰款和沒收違法所得。事后，胡拒不改正繼續(xù)出租翻墻軟件，違法所得共計人民幣20余萬元。法院審理認為，胡某未經許可提供國際聯(lián)網代理服務，同時監(jiān)管部門通過約談責令采取改正措施后仍然拒不改正，屬于情節(jié)嚴重，已經構成拒不履行信息網絡安全管理義務罪。①上海市浦東新區(qū)人民法院（2018）滬0115刑初2974號。在該案中，盡管監(jiān)管部門并未采用正式書面文書的方式責令被告人整改，但是被告人已經被約談兩次，從實質解釋的立場，其法律效果已與責令整改相同，應等同視之?？梢?，“經監(jiān)管部門責令采取改正措施而拒不改正”需要進行獨立、實質的刑法違法性判斷。

第三，程序性要素應視為重要的出罪事由。網絡服務者是網絡經濟發(fā)展的中堅力量，盡管立法需要嚴懲破壞網絡安全管理秩序的行為，但是也不能過度擴張網絡犯罪的范圍，這樣會抑制網絡技術創(chuàng)新和經濟增長。因此，對于那些提供并非專門便于他人實施犯罪的網絡技術支持等網絡服務的行為，特意設置了“經監(jiān)管部門責令采取改正措施而拒不改正”的前置程序，以限制網絡中立幫助行為的處罰范圍。[18]司法機關在認定該罪時需要從出罪角度發(fā)揮該要件的職能，即沒有經監(jiān)管部門責令采取改正措施或經監(jiān)管部門責令采取改正措施而改正的，都不能入罪。當然，在出罪時也需要考察行為人是否實質履行改正義務。根據該罪的相關后果要件，只有改正義務的履行有效防止損害后果進一步擴大，才能認定其已經采取改正措施。

（三）違法收集、泄露、共享個人信息的刑事責任認定

非法收集個人信息是網絡服務者未按照法律法規(guī)履行收集個人信息通知義務的行為。一方面，非法獲取個人信息行為并沒有以“違反國家有關規(guī)定”為前置要件，那么如何判斷兩者之間的關系呢？從文義解釋來看，兩高出臺的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《個人信息司法解釋》）明確了侵犯公民個人信息罪中“國家有關規(guī)定”包括部門規(guī)章，其他法律層級較低的地方性法規(guī)、其他部門規(guī)范性文件等都被排除在外。而“非法”即是違反廣義上的法律。盡管“國家有關規(guī)定”的范圍大于《刑法》第96條的“國家規(guī)定”，其合理性還存在爭議。但是“非法”的范圍一定是大于并包含“違反國家有關規(guī)定”。具體而言，“非法”不僅限于全國人民代表大會及其常務委員會制定的法律和決定，國務院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令，部門規(guī)章，還包括其他效力更低的法規(guī)、規(guī)章制度?！胺欠ā币膊粌H限于行政違法，也包括民事違法。如果APP經營者收集用戶個人信息的行為違反法律法規(guī)或雙方約定的，都可認定為“非法獲取”。這種理解能夠實現(xiàn)《刑法》與《網絡安全法》的銜接，也更符合刑法體系解釋的原理。[19]另一方面，上文提及個人信息通知義務的履行標準與個人信息的類型有關。收集敏感個人信息的通知義務要求高于一般個人信息。因此，在判斷網絡服務者是否構成非法獲取個人信息時，應當以個人信息的類型為起點進一步判斷其行政違法性和刑事違法性。具體而言，網絡服務者收集敏感個人信息時，應當從通知內容和通知形式兩方面進行審查，違反任何一項義務要求都應當判斷網絡服務者具有行政違法性，再結合《個人信息司法解釋》中有關情節(jié)和數(shù)量的認定，定罪量刑。值得注意的是，當根據相關法律法規(guī)很難判斷網絡服務者的行為是否違法時，應當降低違法門檻，對敏感個人信息進行嚴格保護。

在網絡服務者未履行相關信息管理義務導致個人信息泄露的情況下，首先，應當判斷網絡服務者未履行的義務是否屬于刑事法中的信息網絡安全管理義務。就信息泄露而言，根據保障信息安全的事前義務和事后義務，可能包括兩種情況：網絡服務者事先未采取相關措施保障信息安全，導致個人信息泄露。網絡服務者已建立數(shù)據信息安全管理制度，但遭受外部攻擊導致個人信息泄露后未履行信息泄露報告義務。根據前置法的規(guī)定并結合形式標準和實質標準，采取措施保障個人信息安全義務、個人信息泄露報告義務都在該罪義務范圍的射程之內。其次，需要審查網絡服務者是否經監(jiān)管部門責令采取改正措施而拒不改正。為了防止拒不履行信息網絡安全管理義務罪的空置，司法認定中應當發(fā)揮刑事審查的獨立性，對于“監(jiān)管部門”“責令”程序等要素可以適當在合法的范圍內放寬解釋標準。同時，當行為人已經改正并有效阻止損害結果進一步擴大的，應當不認定為犯罪。就網絡服務者“多層使用”個人信息而言，盡管網絡服務者恣意“共享”個人信息的情況普遍存在，但是行政法上尚未賦予網絡服務者明確的審慎義務或通知義務，因此很難構成拒不履行信息網絡安全管理義務罪。只有在發(fā)生嚴重后果的情況下，才可能運用侵犯公民個人信息罪或其他犯罪予以規(guī)制，這顯然不利于個人信息安全的風險預防。因此，只有完善行政法的相關義務設置，才能更有效地保障信息網絡安全。