互聯(lián)網(wǎng)企業(yè)個人信息泄露的刑法規(guī)制路徑探尋
——以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的激活為視角*

范詩瑤

（華東政法大學(xué)，上海 200333）

一、問題的提出：互聯(lián)網(wǎng)企業(yè)個人信息泄露案件多發(fā)但法律規(guī)制不足

（一）互聯(lián)網(wǎng)企業(yè)個人信息泄露案件多發(fā)

個人信息在大數(shù)據(jù)時代到來后，表現(xiàn)出了無法估量的經(jīng)濟效益與戰(zhàn)略意義。作為無可替代的重要戰(zhàn)略資源與資產(chǎn)，除行政管理機關(guān)基于管理需要收集個人信息以外，企業(yè)對個人信息收集、利用和流通的需求也空前膨脹。[1]但與此同時，企業(yè)卻沒有承擔(dān)起足夠的安全保護責(zé)任，致使個人信息泄露，為洗錢、電信詐騙等諸多的下游犯罪提供了便利，不僅嚴(yán)重侵害個人的隱私權(quán)、財產(chǎn)權(quán)，更甚者，對我國的市場秩序、金融環(huán)境造成了諸多的負(fù)面影響。根據(jù)第47次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》，截至2020年12月，網(wǎng)民所遭遇的網(wǎng)絡(luò)安全問題中，信息泄露以21.9%的高比例位居各類網(wǎng)絡(luò)安全問題榜首。[2]互聯(lián)網(wǎng)行業(yè)在個人信息占有量上的優(yōu)勢地位，也導(dǎo)致該行業(yè)成為了個人信息泄露的高發(fā)區(qū)。譬如，甲骨文公司旗下的BlueKai對數(shù)據(jù)庫保管不善，導(dǎo)致多達數(shù)十億條個人信息泄露；[3]2020年7月圓通速遞公司內(nèi)部員工竊取內(nèi)部運單信息，導(dǎo)致40萬條個人信息泄露。[4]

（二）刑法介入的必要性與可行途徑

如上所述，個人信息泄露已成為當(dāng)前公民信息安全的重大威脅。基于積極的一般預(yù)防理論，我國法律不僅要注重事后的懲治，更要著重于事前的預(yù)防，在對法益的侵害尚未發(fā)生時，就介入個人信息保護中，實現(xiàn)更好的預(yù)防效果。事實上，我國早已在《刑法修正案（九）》（下文簡稱“刑修九”）中增設(shè)了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，為網(wǎng)絡(luò)服務(wù)提供者設(shè)置了管理個人信息的刑法義務(wù)?！靶绦蘧拧币呀?jīng)出臺了六年，那么本罪在實務(wù)中的適用情況如何？

搜集了2015年起截至2021年7月期間，裁判文書網(wǎng)公布的各級人民法院審結(jié)的企業(yè)泄露個人信息案件判決共計104例。①通過對以上裁判文書的整理分析，發(fā)現(xiàn)企業(yè)拒不履行管理義務(wù)所導(dǎo)致的過失泄露個人信息泄露案件鮮見于裁判當(dāng)中：在19例刑事案件中，除卻被判處詐騙罪與挪用資金罪兩罪的，其它17例均為故意泄露個人信息。與此同時，搜集整理了2015年起截至2021年7月期間，裁判文書網(wǎng)所公布的以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪作為裁判結(jié)果的判決，發(fā)現(xiàn)僅有兩例，②且無涉?zhèn)€人信息安全保護，而是用于規(guī)制私人開展VPN業(yè)務(wù)的行為。易言之，在實務(wù)中互聯(lián)網(wǎng)企業(yè)過失導(dǎo)致個人信息泄露的案件中，沒有一例被判處拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。對企業(yè)的個人信息保護義務(wù)的刑法規(guī)制不見于實踐。在刑法已經(jīng)明確規(guī)定企業(yè)需要承擔(dān)個人信息保護義務(wù)的情況下，企業(yè)泄露個人信息的案件仍然頻頻發(fā)生，本文將在分析個人信息安全保護義務(wù)的刑法規(guī)制為何不足的基礎(chǔ)上，嘗試提出解決路徑。

二、信息網(wǎng)絡(luò)安全管理義務(wù)的刑法規(guī)制何以不足

（一）拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪保護目的不清

拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的保護目的直接影響著本罪在實踐中的應(yīng)用與定位?，F(xiàn)存學(xué)界觀點中，有的將本罪的法益界定為特定（用戶）信息專有權(quán)，[5]有的認(rèn)為本罪的法益是企業(yè)信息權(quán)這一新型法益，[6]有的認(rèn)為是信息網(wǎng)絡(luò)安全管理秩序。[7]幾種觀點的重要區(qū)別在于對本罪保護目的的定位不同，分別側(cè)重人身屬性、經(jīng)濟屬性與社會屬性。

首先，有學(xué)者傾向于以“個人數(shù)據(jù)權(quán)”這一新型人格權(quán)對個人信息進行保護，這就將該罪的保護目的定位為側(cè)重人身屬性，將保護目的建立在人格權(quán)的基礎(chǔ)上，為個人賦予了更多的權(quán)利，體現(xiàn)了對個人保護的重視。[8]但一味重視人格權(quán)的保障，而對當(dāng)前個人信息日益增長的經(jīng)濟價值閉目塞聽的做法，會使個人信息保護成為社會發(fā)展的桎梏。其次，若認(rèn)為本罪主要體現(xiàn)了保護財產(chǎn)權(quán)的傾向，這就將該罪的保護目的定位為側(cè)重經(jīng)濟屬性。通常認(rèn)為除了直接包含個人銀行賬號等財產(chǎn)信息的個人信息，絕大部分的個人信息在經(jīng)過收集處理前，不具有經(jīng)濟價值，其產(chǎn)生價值的過程在于對它的收集、處理。[9]也就是將個人信息經(jīng)濟價值的權(quán)屬給予個人信息的收集者、處理者。這一做法有利于個人信息經(jīng)濟價值的發(fā)掘，但勢必伴隨著濫用個人信息的風(fēng)險。不得不令人質(zhì)疑，個人是否會成為這一過程的犧牲品。最后，一味注重個人信息的保護，而阻斷個人信息的流通、交易，也會為數(shù)據(jù)規(guī)模化造成阻礙，無法實現(xiàn)其經(jīng)濟效益與社會效益。[10]這就將該罪的保護目的定位為側(cè)重社會屬性。在這個意義上，我們對個人信息的保護還需要將刑事政策納入考量范圍，但是根據(jù)權(quán)利的普遍法則：“凡是妨礙自由的事情都是錯誤的，任何方式的強制或強迫都是對自由的妨礙或抗拒”，[11]對個人信息所具有的超個人法益屬性的確認(rèn)，存在著將公共利益凌駕于私人權(quán)利之上的危險。以上的不同保護目的指向了不同的義務(wù)范疇，增加了本罪的適用難度。

厘清拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的保護目的具有重要意義，這有助于我們明確該罪的本質(zhì)，從而劃定本罪的處罰邊界。正是由于在理論及實踐中該罪的保護目的不清，才導(dǎo)致了該罪在司法實踐中的“虛置”。因此，要想“激活”拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，首先必須從明確該罪保護目的入手。

（二）互聯(lián)網(wǎng)企業(yè)內(nèi)部控制制度構(gòu)建不足

個人信息保護案件技術(shù)性強，具有專業(yè)壁壘，非本專業(yè)人員難以掌握技術(shù)情況，同時侵害的主體范圍廣，部分主體甚至不知道本人的個人信息遭到泄露的事實，也為取證造成困難。種種原因都導(dǎo)致了司法機關(guān)、行政機關(guān)在個人信息保護中力有未逮?；ヂ?lián)網(wǎng)企業(yè)作為與政府一同承擔(dān)網(wǎng)絡(luò)治理任務(wù)的主體，是個人信息保護的關(guān)鍵角色。我國目前的個人信息保護也不得不依賴互聯(lián)網(wǎng)企業(yè)的協(xié)助。但個人信息的利用與保護在一定程度上存在著矛盾之處。完備的個人信息安全保護內(nèi)部控制制度的建立，需要企業(yè)制定內(nèi)部的管理制度、加強技術(shù)保障、增加對員工的培訓(xùn)、設(shè)置相應(yīng)的負(fù)責(zé)人或是機構(gòu)等。這對于企業(yè)而言不得不說是一個額外的支出，增加了企業(yè)的經(jīng)濟壓力。個人信息保護固然具有長遠利益，但是對于大多數(shù)企業(yè)而言，節(jié)約支出、增加利潤仍然是位于第一順位的事情，更何況諸多企業(yè)的經(jīng)營狀況處于左支右絀的境地，要求其主動承擔(dān)個人信息保護義務(wù)，無異于緣木求魚。

在企業(yè)主觀能動性不足的情況下，法律能否為其提供外部的驅(qū)動呢？有學(xué)者提出，拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的設(shè)置是刑事合規(guī)進入刑法的體現(xiàn)，已然推動了企業(yè)內(nèi)控的實踐。目前所公認(rèn)的刑事合規(guī)意為組織體自我管理的立法與實踐，[12]這與本罪的前置法所設(shè)置的網(wǎng)絡(luò)安全保護義務(wù)雖然有著一定的交叉重合之處，但實質(zhì)并不相同。網(wǎng)絡(luò)安全保護義務(wù)側(cè)重于防范網(wǎng)絡(luò)安全事件，保護網(wǎng)絡(luò)安全管理秩序，內(nèi)控制度的建設(shè)在本罪的前置法義務(wù)中只占據(jù)極小部分。本罪的設(shè)立對于推動企業(yè)內(nèi)控實踐并未起到關(guān)鍵性作用。

法律驅(qū)動作用不足的根源在于我國不同于他國的單位犯罪歸責(zé)基礎(chǔ)。縱觀各國，無論是美國的“上級責(zé)任原則”和“同一視原則”[13]或是英國的“替代責(zé)任原則”和“預(yù)防失職模式”理論，[14]背后的根基均是法人擬制說，即單位不具有自己獨立意志，而是從員工的意志與行為中歸納出單位的意志?！疤娲?zé)任原則”對公司的犯罪故意以及對員工犯罪的明知，都不做要求，僅要求員工具有為單位謀取利益的主觀目的，滿足這一點就可以把員工責(zé)任轉(zhuǎn)嫁給單位。“同一視原則”則以單位內(nèi)部高級代理人的行為與思想來認(rèn)定單位的意志。[15]“集合責(zé)任原理”集合了員工對于違法行為的認(rèn)識，將這一集合認(rèn)定為單位意志。[16]而我國單位犯罪規(guī)則基礎(chǔ)以法人實在說為理論根基，在單位犯罪的規(guī)定中，[17]將法人的意志與內(nèi)部成員的意志做了較為徹底的切割，只有經(jīng)過規(guī)定的決策路徑所形成的意志可以成為企業(yè)的意志，非單位自身意志不能成立單位犯罪，客觀上減輕了單位的法律責(zé)任負(fù)擔(dān)。在這一歸責(zé)基礎(chǔ)的指導(dǎo)下，司法實踐中對于企業(yè)內(nèi)部員工泄露個人信息的案件，僅針對員工定罪懲處，企業(yè)往往因為在主觀上不存在明知，得以脫罪。那么，互聯(lián)網(wǎng)企業(yè)只需要裝聾作啞，不制定內(nèi)控制度，不構(gòu)建信息泄露的發(fā)現(xiàn)機制，就可以保持對個人信息泄露不明知的狀態(tài)，從而逃脫法律的制裁。此種認(rèn)定方式無疑會助長企業(yè)漠視個人信息的安全管理義務(wù)，對員工泄露個人信息的行為不制定任何的防范機制。

（三）義務(wù)邊界的不明確性導(dǎo)致義務(wù)承擔(dān)的客觀障礙

在確定了互聯(lián)網(wǎng)企業(yè)需要承擔(dān)預(yù)防責(zé)任之后，下一步需要明確的是互聯(lián)網(wǎng)企業(yè)需要承擔(dān)何種個人信息安全管理義務(wù)。但《刑法》對此沒有給出明確的回答，而是選擇將這一問題交給前置法來解決。目前，前置法的規(guī)定散落在各個法律文件當(dāng)中，呈現(xiàn)出無序的狀態(tài)。這使得個人信息安全管理義務(wù)邊界不明確，進而導(dǎo)致了互聯(lián)網(wǎng)企業(yè)義務(wù)承擔(dān)的客觀障礙。

為了明確互聯(lián)網(wǎng)企業(yè)的義務(wù)邊界，理論界做出了各種各樣的努力。有學(xué)者嘗試對拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的義務(wù)進行類型化處理，從而明晰本罪中所指安全管理義務(wù)的內(nèi)容。首先，這一做法根據(jù)網(wǎng)絡(luò)服務(wù)提供者對個人信息的控制力，將其區(qū)分為通道服務(wù)提供者、自動緩存服務(wù)提供者、存儲服務(wù)提供者、內(nèi)容提供者和網(wǎng)絡(luò)平臺等。其次，對義務(wù)進行類型化處理，分為違法信息、用戶個人信息、刑事犯罪證據(jù)信息等。最后，將不同的信息管理義務(wù)匹配不同的網(wǎng)絡(luò)服務(wù)提供主體。[18]但是此種對于網(wǎng)絡(luò)服務(wù)提供者的義務(wù)劃分于法無據(jù)。以“服務(wù)提供者”與“個人信息”為關(guān)鍵字，在北大法寶進行搜索，③在所得到的法律文件中，并沒有區(qū)分網(wǎng)絡(luò)服務(wù)提供者的具體類型，既然如此，那么對網(wǎng)絡(luò)服務(wù)提供者的義務(wù)進行劃分僅在立法論層面具有借鑒意義，在解釋論層面無法與既有的法律體系進行銜接，缺少解釋依據(jù)。[19]

另外，也有學(xué)者直接采用保證人理論來探究網(wǎng)絡(luò)服務(wù)提供者的作為義務(wù)。他們認(rèn)為，保證人理論可以通過直接支配標(biāo)準(zhǔn)，來判斷具體情境中的網(wǎng)絡(luò)服務(wù)提供者是否具有刑事責(zé)任，從而劃定網(wǎng)絡(luò)服務(wù)提供者的義務(wù)邊界。一方面，拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪作為純正不作為犯，不宜直接運用保證人理論。拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的構(gòu)成要件是由法律明確規(guī)定，它面臨的問題是對規(guī)范的解釋，即使規(guī)范本身是模糊的，它終究存在一個明確的范疇。[20]而保證人理論所解決不是規(guī)范解釋的問題，而是法律適用的問題。因此，在拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪中，不能直接適用保證人理論。另一方面，直接運用保證人理論作為判斷網(wǎng)絡(luò)服務(wù)提供者作為義務(wù)的界定標(biāo)準(zhǔn)顯得過于空泛。我們需要依據(jù)法律的直接規(guī)定來明確該罪的義務(wù)邊界，而不是忽視法律規(guī)定，轉(zhuǎn)而去關(guān)注作為義務(wù)的實質(zhì)。過于空泛的界定標(biāo)準(zhǔn)并不能給我們很多幫助，反而還會使該罪的義務(wù)邊界變得更加模糊不清。

三、信息網(wǎng)絡(luò)安全管理義務(wù)刑法規(guī)制的加強路徑

（一）拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪具有多重保護目的

企業(yè)通常以過度保護個人信息將會削弱個人信息經(jīng)濟活力為自己的利用行為做辯護。但是在當(dāng)前社會實踐中存在的問題不是個人信息保護過度，導(dǎo)致信息流通不暢。恰恰相反，多發(fā)的個人信息泄露案件，說明了當(dāng)前的問題正是個人信息保護不足。作為對社會弱勢群體的扶助與對社會問題的糾偏，本罪的保護目的重心所在必然不是個人信息的收集者與利用者對個人信息的財產(chǎn)權(quán)。本罪的立法意圖就是使互聯(lián)網(wǎng)企業(yè)承擔(dān)更多的個人信息安全保護義務(wù)，以糾正當(dāng)前個人信息亂象?？疾煳覈⒎ㄑ馗?，2012年所頒行的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》對自然人的個人信息進行了較高程度的保護，給予其類似人格權(quán)的地位；在2020年所通過的《中華人民共和國民法典》中，個人信息被置于人格權(quán)篇中，事實上承認(rèn)了個人信息權(quán)作為人格權(quán)的地位，也體現(xiàn)了重保障的立法傾向。將個人信息作為人格權(quán)進行保障，是一種更為尊重人的主體性的做法，[21]也是筆者所贊同的做法。至于個人信息所具有的社會屬性，筆者無意否定。事實上，按照體系解釋，本罪位于《刑法》中公共秩序章，必然帶有公共秩序?qū)傩浴９P者所想要澄清的是本罪保護目的的多樣性，并強調(diào)本罪的人身屬性。

如果將本罪的保護目的僅認(rèn)定為公共屬性，就會造成本罪保護范圍的不當(dāng)限縮。譬如，有學(xué)者認(rèn)為本罪的規(guī)范保護目的是網(wǎng)絡(luò)安全管理秩序這一公共法益，進而認(rèn)為線下的生命財產(chǎn)安全不屬于本罪的保護目的。[22]更為妥當(dāng)?shù)淖龇ㄊ菍⑷松韺傩缘姆ㄒ嬉布{入本罪的保護目的，將因互聯(lián)網(wǎng)企業(yè)泄露個人信息所導(dǎo)致的個人線下的人身財產(chǎn)傷害置于本罪的保護目的之中，可以使本罪司法解釋中“造成他人死亡、重傷、精神失?；蛘弑唤壖艿葒?yán)重后果”這一規(guī)定回歸本意。

（二）以歸責(zé)模式的改變與刑事合規(guī)的引入倒逼內(nèi)控機制的建立

目前，學(xué)界試圖通過引入刑事合規(guī)制度，達到建立企業(yè)內(nèi)控機制的目的。在引進過程中，不能忽略國外的刑事合規(guī)制度的產(chǎn)生有著不同于我國的單位犯罪歸責(zé)背景。正是因為國外的單位承擔(dān)了重于我國的替代責(zé)任，才促進了刑事合規(guī)制度的產(chǎn)生，以此為企業(yè)進行松綁。如果忽視這一背景，在我國單位犯罪歸責(zé)門檻低于國外時貿(mào)然嫁接刑事合規(guī)制度，非但不會實現(xiàn)倒逼企業(yè)建立內(nèi)控機制的目的，反而更加減輕了單位的責(zé)任承擔(dān)，使單位進一步地降低履行個人信息安全保護義務(wù)的意愿。因此，有學(xué)者提出應(yīng)當(dāng)引入替代責(zé)任制度，以改變我國目前的單位犯罪歸責(zé)模式。[23]也有學(xué)者提出應(yīng)當(dāng)引入同一視理論作為我國單位犯罪的刑事責(zé)任歸責(zé)根據(jù)。[24]這兩種歸責(zé)模式均以法人擬制說為理論基礎(chǔ)，秉持著擴大單位責(zé)任范圍的目的，區(qū)別主要在于前者將普通員工視作單位責(zé)任的來源，后者則將來源限縮在具有決策權(quán)的領(lǐng)導(dǎo)集體上。無論是法人擬制說還是法人實在說，其核心問題在于將何種意志認(rèn)定為單位意志?；诩又貑挝回?zé)任的考慮，勢必需要改變當(dāng)前的認(rèn)定方式，增加單位意志認(rèn)定的范圍。

可以借鑒英國的“預(yù)防失職模式”理論全面引入刑事合規(guī)制度，也就是賦予企業(yè)就單位內(nèi)部員工實施犯罪的預(yù)防義務(wù)。當(dāng)員工實施了犯罪，而企業(yè)沒有履行自身的預(yù)防義務(wù)，企業(yè)就構(gòu)成了特定的失職犯罪。[25]拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪可以成為引入預(yù)防失職理論的法律進路。本罪與該模式有著類似的理論構(gòu)造，為單位附加了監(jiān)督義務(wù)。當(dāng)企業(yè)沒有履行前置法所要求的義務(wù)時，即構(gòu)成失職罪，達到阻斷企業(yè)以自己對犯罪行為不存在明知進行辯護的效果，倒逼企業(yè)建立內(nèi)控機制。此外，合規(guī)計劃還有助于輔助認(rèn)定企業(yè)安全管理義務(wù)的認(rèn)定。根據(jù)企業(yè)所制訂的合規(guī)計劃，以及其合規(guī)計劃的實施情況，可以明確企業(yè)是否在經(jīng)營過程中遵循了前置法中所列明的規(guī)定。

（三）前置法中安全管理義務(wù)的梳理與選擇

對檢索得到的法律文件中所涉及的網(wǎng)絡(luò)服務(wù)提供者個人信息的安全保護義務(wù)進行了梳理。（以“服務(wù)提供者”“網(wǎng)絡(luò)平臺”為關(guān)鍵字在北大法寶進行法規(guī)搜索，得到12份有關(guān)法律文件）法律文件的規(guī)定從禁止性規(guī)范以及命令性規(guī)范兩個層面展開。其中，禁止性規(guī)范規(guī)定多見于有關(guān)違法性的規(guī)定，就個人信息安全保護而言，法律文件中要求服務(wù)提供者不得設(shè)置用戶對自身信息的權(quán)利障礙；而命令性規(guī)范更為詳盡，將其按照流程分為事前階段、收集階段、加工階段、存儲階段、流轉(zhuǎn)階段以及事后階段等義務(wù)，對其歸納如下：

在事前階段，對服務(wù)提供者提出了應(yīng)當(dāng)取得相應(yīng)的行政許可、進行登記備案、設(shè)置專門負(fù)責(zé)人并報送有關(guān)部門等要求。并要求其在制度構(gòu)建方面有所建樹，制訂發(fā)展計劃、技術(shù)方案、應(yīng)急預(yù)案等，針對部分信息存儲量較大的公司，還需要建立健全的合規(guī)制度。

在收集階段，服務(wù)提供者需要向用戶充分告知信息用途，經(jīng)過用戶的同意方可收集，此外還需要對信息進行類型評估。

在加工階段，對個人信息處理者提出了公開要求規(guī)定了處理限制，要求其公開處理信息的規(guī)則、目的、方式和范圍等，同時其信息處理應(yīng)當(dāng)合法、正當(dāng)且必要。

在存儲階段，要求信息處理者以分類管理、采取安全技術(shù)措施的方式避免信息泄露，并對從業(yè)人員進行培訓(xùn)，設(shè)置操作權(quán)限。除此之外，要求其配合用戶對個人信息進行查閱、復(fù)制和更正。

在流轉(zhuǎn)階段，個人信息處理者不能隨意泄露、篡改、損毀或向他人出售個人信息，其提供行為需要征求自然人的同意，并在進行交易時說明數(shù)據(jù)來源、做好記錄的留存工作。

在事后階段，面對個人信息的泄露、篡改、丟失，個人信息處理者應(yīng)當(dāng)立即采取補救措施，并履行通知義務(wù)。即使在個人信息沒有發(fā)生以上危險的情況下，也需要定期履行合規(guī)審計義務(wù)與風(fēng)險評估義務(wù)。

本罪關(guān)涉?zhèn)€人信息保護的條款中，明確指出了該條所規(guī)制的情況是個人信息泄露所造成的危害結(jié)果。那么，只有增加了個人信息泄露風(fēng)險，會對本罪所保護的法益造成威脅的行為才具有刑法價值，才對本罪的成立具有意義。在前述所歸納的各項義務(wù)當(dāng)中：面向用戶的禁止性規(guī)范、事前階段的行政管理類義務(wù)、在加工階段對信息處理規(guī)則的公開義務(wù)實際上都不會增加個人信息泄露的風(fēng)險。那么這一類義務(wù)就自然不能夠納入本罪的義務(wù)范疇。除此以外的各項義務(wù)的違反均會導(dǎo)致泄露風(fēng)險的增加，威脅著本罪所保護的法益，是本罪所意圖規(guī)制的對象。根據(jù)現(xiàn)行法律對義務(wù)進行梳理能夠彌補前述根據(jù)保證人理論進行義務(wù)定型化處理這一做法的弊端，符合純正不作為犯的定位。也能夠規(guī)避對網(wǎng)絡(luò)服務(wù)提供者進行類型化處理分配義務(wù)的做法的短處，使對義務(wù)的限制于法有據(jù)。

四、結(jié)語

本文試圖針對實踐中互聯(lián)網(wǎng)企業(yè)屢屢泄露個人信息的問題進行深挖，探尋解決方法。既然前置法無法單獨完成個人信息的保護任務(wù)，刑法需要當(dāng)仁不讓地兜底個人信息安全保護。作為賦予企業(yè)個人信息安全保護義務(wù)的率先嘗試，實踐中可以通過喚醒拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪達到企業(yè)與國家協(xié)同保護個人信息的效果。喚醒拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的措施主要分為三項：第一，澄清拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的保護目的兼具社會屬性與人身屬性，具有人身屬性的法益也屬于本罪的保護范圍；第二，借助拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，引入預(yù)防失職模式，為單位施加更嚴(yán)格的責(zé)任，同時引入刑事合規(guī)制度完善單位的內(nèi)控制度；第三，梳理前置法中的互聯(lián)網(wǎng)企業(yè)個人信息安全保護義務(wù)，根據(jù)本罪的法益，對義務(wù)進行篩選，達到明確安全保護義務(wù)邊界的目的。

注釋：

① 通過搜索“企業(yè)”與“個人信息泄露”兩個關(guān)鍵詞鎖定上述判決書并下載，其中，78例民事案件，19例刑事案件，7例行政案件。

② 通過搜索“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，并排除以侵犯公民個人信息罪作為裁判結(jié)果的案例。

③ 包括《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》等7部法律，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等5部行政法規(guī)以及《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等司法解釋。