電信網絡詐騙犯罪中網絡服務提供者的不作為責任研究

李明魯

(武漢大學法學院 武漢 430072)

2021年4月9日，習近平總書記對于懲治電信網絡詐騙犯罪作出重要指示，強調要注重綜合治理、源頭治理，通過加強法律制度建設，落實互聯網、通信、金融等行業的監管責任，以遏制電信網絡詐騙犯罪的多發高發態勢.[1]隨著互聯網、大數據和人工智能的信息技術變革，電信網絡詐騙犯罪已經實現了從短信、電話向互聯網發展的轉變，并且呈現出一種詐騙手段智能化、專業化、產業化的發展特點.為了應對當下詐騙手法不斷翻新的電信網絡詐騙犯罪，可以以人工智能技術的發展為契機，加強技術反制，并充分發揮網絡服務提供者的監督管理作用，探索一種刑事立法、司法與社會治理有機結合的綜合治理模式.

1 人工智能時代我國電信網絡詐騙犯罪治理的新挑戰

1.1 電信網絡詐騙手段愈加多樣化、智能化

目前電信網絡詐騙犯罪形勢嚴峻，詐騙手段不斷“推陳出新”，貸款詐騙、刷單詐騙、冒充客服詐騙、殺豬盤詐騙等詐騙犯罪活動正愈演愈烈[1].以當下高發的“殺豬盤”詐騙套路為例，行為人實施這種交友類詐騙犯罪一般先是和被害人進行網上聊天，建立親密關系，取得被害人的信任，待時機成熟，再誘導被害人參與投資或者賭博活動.當達到騙財目的之后便不再與被害人聯系，從此銷聲匿跡.被害人在發覺自己被騙時，已經遭受了金錢和感情的雙重損失，可以說殺豬盤詐騙方式相比于僅騙財的電信網絡詐騙，對被害人造成的傷害更大.根據2021年4月7日最高人民檢察院發布的研究數據，電信網絡詐騙犯罪的主要作案手法及其占比如圖1所示[2].

技術是一把雙刃劍，人工智能技術在為人們的生活提供便利、促進社會發展的同時，也存在被不法行為人濫用的可能，從而增加了防范電信網絡詐騙犯罪的風險隱患.例如，行為人利用人工智能深度偽造技術實施換臉或換聲詐騙，或者通過人工智能技術進行數據分析和數據挖掘，從而針對不同需求的人群設計不同的詐騙方案，實施精準詐騙.再如，通過人工智能技術制作自動化程序，進行深度學習，開展群聊群控的電信網絡詐騙活動[3].無論是深度偽造的新型詐騙、目標性更強的精準詐騙，還是群聊群控，都無疑增加了詐騙活動成功的概率，擴大了詐騙范圍，給電信網絡詐騙犯罪的治理帶來諸多困難和挑戰.

1.2 電信網絡詐騙呈黑灰產業發展態勢

電信網絡詐騙犯罪之所以屢禁不止、愈演愈烈，另一個重要原因在于當下的電信網絡詐騙犯罪呈現出一種黑灰產業利益鏈的發展態勢.在這條黑灰產業鏈中，上游的不法行為人為中游的電信網絡詐騙提供用于實施違法犯罪的程序、工具或者其他技術支持和幫助，下游的犯罪行為人通過支付通道將詐騙違法所得“洗白”[2].不同環節的不法行為人分工配合，使得電信網絡詐騙犯罪的實施更加“高效”，而這種“專業化”的詐騙手法意味著會有更多的受害者陷入詐騙犯罪分子的圈套.

針對電信網絡詐騙犯罪黑灰產的治理，需要對詐騙犯罪活動的不同環節分別加以規制.據統計，電信網絡詐騙犯罪中超過七成是與公民個人信息泄露有關[4]，所以維護公民個人信息安全，加強數據安全保護是防治電信網絡詐騙犯罪的關鍵，同時也是加強源頭治理的必要舉措.然而，產業化的電信網絡詐騙犯罪給犯罪治理帶來的困境之一，是對于上游行為人的犯罪認定問題.因為上游的行為人實施公民個人信息犯罪，或者為詐騙犯罪實施提供技術支持，往往會以對下游詐騙犯罪的不知情為理由，以自己不存在幫助故意而逃避責任[5].

2 電信運營商拒不履行信息網絡安全管理義務案的教義學分析

2021年4月16日，全國首起電信運營商拒不履行信息網絡安全管理義務案，在云南省昆明市盤龍區法院進行了宣判.

2.1 電信運營商拒不履行信息網絡安全管理義務案的基本情況

亞飛達信息科技股份有限公司(以下簡稱亞飛達公司)是虛擬運營商遠特(北京)通信技術有限公司(以下簡稱遠特公司)的一級代理商，主要業務是幫助電信運營商銷售各類電話卡.經查，亞飛達公司為多個犯罪團伙提供大量“電話黑卡”(1)電話黑卡，是指未進行實名登記并被不法分子利用實施違法犯罪活動的移動電話卡(含無線上網卡)用于實施電信網絡詐騙犯罪活動.在2020年12月31日，亞飛達公司的相關責任人曾因從事電信網絡詐騙犯罪活動而觸犯幫助信息網絡犯罪活動罪、侵犯公民個人信息罪、非法利用信息網絡罪等罪名.在明知亞飛達公司從事違法犯罪活動的情況下，遠特公司并未采取必要措施維護用戶信息安全，仍為亞飛達公司供應大量電話黑卡，為其開通高級權限，經監管部門責令改正后仍不改正.最后，遠特公司因觸犯拒不履行信息網絡安全管理義務罪，董事長和其他直接責任人分別被判處1年4個月至1年10個月的有期徒刑或拘役.這是電信運營商因電話卡監管不到位、造成嚴重后果發生而獲刑的全國第1案[6].

這起電信運營商拒不履行信息網絡安全管理義務案也體現出了當前電信網絡詐騙犯罪黑灰產業化的特征(詳見圖2).電信網絡詐騙犯罪往往依托微信、QQ、游戲賬號、交友軟件賬號等虛擬身份，而這些虛擬身份的賬號需要依附于電話卡才能注冊，因此批量購買電話卡，制作虛擬身份的黑灰產業鏈由此產生.遠特公司因拒不履行信息網絡安全管理義務罪而獲罪，其未履行信息網絡安全管理義務的不法行為只是電信網絡詐騙犯罪黑灰產業鏈的其中一環.遠特公司向亞飛達公司供應的電話黑卡，被亞飛達公司大量售賣給下一環節的電信網絡詐騙犯罪行為人——“黑兔子”工作室.“黑兔子”工作室是專門出售虛擬賬號的犯罪團伙，該犯罪團伙從手機黑卡中盜取與該手機卡綁定的QQ、微信、支付寶等虛擬賬號，然后再販賣給實施具體電信網絡詐騙犯罪活動的行為人[7].電信網絡詐騙犯罪行為人利用這些虛擬身份，根據精心設計的詐騙劇本，向潛在的被害人施展騙術，進而達到騙取被害人錢財的目的.

“號商”即盜號(竊取電話卡中的數據和個人信息)的行為人向“卡商”購買的電話卡大致可以分為2種:第1種是向電信運營商購買未實名登記的電話卡，自己注冊虛擬身份然后販賣給實施電信網絡詐騙犯罪的行為人；第2種是從電信運營商手中違規購買“回收卡”，然后從回收卡中盜取原來已經注冊的虛擬身份再進行販賣.對于電話回收卡而言，因為被棄用的電話卡綁定了先前用戶的個人微信號等虛擬身份和信息，在廢棄不用后應當經過一段時間的冷凍處理，才能再次流入市場銷售.但是一些電信運營商違反行業卡安全管理相關規定，將綁定個人微信號的電話卡回收，制作成行業卡直接用以出售[8]，進而流入盜號團伙手中.這些盜號的不法行為人通過技術手段將回收卡中的個人信息提取出來，而且還能夠破解虛擬賬號的密碼，然后將這些賬號和信息販賣給下游產業鏈的詐騙犯罪行為人[9].對于非法買賣電話黑卡的行為，一些電信運營商違反電話卡實名制規定或者行業內鬼利用自己的權限便利，跳過實名認證，制作并出售大量電話黑卡.電話黑卡被盜號行為人用于批量注冊虛擬網絡賬號，然后再將這些虛擬賬號販賣給不法行為人，從而導致各類電信網絡詐騙犯罪的發生.

2.2 電信運營商拒不履行信息網絡安全管理義務案的犯罪認定

根據我國刑法第286條之一的規定,網絡服務提供者在經監管部門責令改正后,仍不履行法律、行政法規規定的信息網絡安全管理義務,造成4種法定情形之一的,則依法成立拒不履行信息網絡安全管理義務罪.對于該罪的理論認定,本文將從行為主體、義務來源、法定后果這3個方面展開論述.

1) 行為主體：電信運營商屬于網絡服務提供者.

電信運營商作為提供即時通訊服務的單位，根據《最高人民法院最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)第1條的規定，電信運營商符合拒不履行信息網絡安全管理義務罪中的網絡服務提供者這一主體要件.所以虛擬運營商遠特公司作為網絡服務提供者，在防范電信網絡詐騙犯罪的“斷卡行動”中，應當依法承擔相應的企業監管責任，清理整頓靜默卡、睡眠卡、一證多卡等高風險號卡，強化對異?？ǖ谋O測，履行法定的信息網絡安全管理義務.

2) 義務來源：法律、行政法規規定的信息網絡安全管理義務.

根據《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)第24條第1款和第42條的規定，本案中遠特公司不履行法定的信息網絡安全管理義務的行為具體包括：一是違反電話用戶實名登記的法律規定而出售電話卡；二是違反信息安全監督管理義務，為亞飛達公司開通高級權限，并將攜帶有大量公民個人信息的回收卡提供給亞飛達公司，客觀上為電信網絡詐騙犯罪的實施提供了便利.

首先，對于遠特公司違反電話用戶實名認證義務的行為，不應作為認定其“不履行法律、行政法規規定的信息網絡安全管理義務”的依據.因為對于拒不履行信息網絡安全管理義務罪構成要件符合性的判斷，只有當網絡服務提供者所違反的網絡安全管理義務與法定危害結果之間存在刑法上的因果關系時，才能將這一危害結果歸屬于網絡服務提供者的不作為.然而，違反實名認證的網絡安全管理義務并不能直接產生“致使用戶信息泄露”以及該罪所規定的其他法定后果.而且也不應當對本罪的兜底條款“其他嚴重情節”進行無限的擴張解釋，否則將會把原本僅構成一般行政違法的行為作為刑事犯罪論處，從而不當擴大了刑事處罰的范圍[10].

其次，虛擬運營商遠特公司在出售未實名登記的電話卡之外，還將電話回收卡違規提供給亞飛達公司，為其開通高級權限，違反了法定的網絡信息安全管理義務.因為這些回收卡綁定了先前用戶的微信號等虛擬身份，而微信賬號與其他信息結合便可以識別到特定的自然人，因此屬于公民個人信息(2)山西省晉城市中級人民法院(2019)晉05刑終286號刑事裁定書.而遠特公司作為網絡服務提供者，根據《網絡安全法》第42條的規定，對其所收集的用戶個人信息負有安全管理義務，應當采取技術措施確保個人信息安全，向他人提供信息時必須先對個人信息進行處理，確?！盁o法識別特定個人且不能復原”，防止信息泄露的發生.但是，遠特公司并未履行相應的網絡信息安全監督管理義務，將大量回收卡違規提供給亞飛達公司，客觀上為電信網絡詐騙犯罪的實施提供了卡號支持和幫助，并最終導致了用戶信息大量泄露的危害結果發生.

3) 法定后果：致使用戶信息泄露，造成嚴重后果.

構成拒不履行信息網絡安全管理義務罪，還需要滿足一定的結果要件.根據《解釋》第4條的規定，拒不履行信息網絡安全管理義務，致使用戶信息泄露，當達到一定數量時，應當認定為刑法第286條之一第1款第2項規定的“造成嚴重后果”.

遠特公司作為網絡服務提供者，出于業務開展的需要,獲取了大量的公民個人信息,作為信息持有主體和信息管理者,其對于公民個人信息具有支配地位和支配能力.無論是基于形式的法義務說中的“先行行為義務”(3)先行行為義務，是指基于先行行為產生的作為義務，即由于自己實施的先行行為產生了發生結果的急迫危險，行為人必須承擔防止該結果發生的義務[11]，還是基于機能二分說中的“風險監督管理義務”[12],網絡服務提供者對于在服務過程中收集的公民個人信息均負有安全管理的義務.如果其有能力履行卻不履行法定的信息網絡安全管理義務,則應依法承擔相應的不作為責任.具體到本案，遠特公司違反電話用戶實名制、行業卡安全管理等相關規定，將攜帶公民個人信息的電話卡回收制作成行業卡出售給亞飛達公司，經監管部門責令采取改正措施而拒不改正，最終致使用戶信息泄露，造成嚴重后果，依法構成拒不履行信息網絡安全管理義務罪.

3 電信網絡詐騙犯罪中網絡服務提供者不作為犯罪的責任邊界

隨著大數據和人工智能技術的快速發展，個人信息泄露成為引發電信網絡詐騙犯罪的重要因素，所以網絡服務提供者依法履行信息網絡安全管理義務，維護公民個人信息安全，是抵御電信網絡詐騙犯罪發生的必要舉措.如果在電信網絡詐騙犯罪發生之后,網絡服務提供者對于他人侵害其所管理的公民信息的不作為,可能依法構成拒不履行信息網絡安全管理義務罪.如果是在電信網絡詐騙犯罪活動的實行過程中,網絡服務提供者知道或者應當知道他人實施電信網絡詐騙違法犯罪，而為其提供某種技術幫助，其幫助行為與不法結果之間存在刑法上的因果關系,那么這種“1對多”的網絡幫助行為將依法構成幫助信息網絡犯罪活動罪或其他不純正不作為犯罪.

需要注意的是，網絡服務提供者的信息網絡安全管理義務不是主動審查義務，而僅僅是一種監管義務.因為面對龐雜的億萬條數據信息,如果要求網絡服務提供者逐字逐條地進行審查,從實際可操作性上已經遠遠超出了網絡服務提供者的能力范圍, 同時也不利于保證互聯網技術開發與應用的積極性，與經濟社會的效率原則背道而馳.雖然近年來電信網絡詐騙犯罪活動仍屢禁不止,電信詐騙行為不可不依法懲治,但也應當秉持法重在疏通而非抑制的治理理念.規范網絡服務提供者在電信網絡詐騙犯罪中的不作為責任邊界,量定刑事犯罪與一般行政違法之間的界限,一方面可以明確其構成不作為犯罪的認定標準,另一方面也具有限制犯罪成立范圍的作用,堅持法有所為有所不為,以確保刑法的謙抑性.

3.1 客觀限制：網絡服務提供者不作為犯罪的因果關系認定

在他人實施了電信網絡詐騙犯罪行為的情況下,如果網絡服務提供者不履行法定的信息網絡安全管理義務,并且造成了用戶信息泄露等嚴重后果的發生,只有當能夠認定其不作為與危害結果之間具有刑法上的因果關系時,才能進一步追究其不作為犯罪的刑事責任.根據德國學者羅克辛提出的客觀歸責理論,對構成要件行為進行客觀歸責,需要經過前后2個階段的檢驗.

首先，對網絡服務提供者的不作為和危害結果作出事實因果關系的認定.根據風險管轄理論，如果行為人創設或接管了某種風險，并且該風險具有促進構成要件結果發生的客觀危險,那么該風險及其結果便處于行為人的管轄范圍之內[12]，如果行為人的不作為導致其管轄范圍內的風險在構成要件結果中實現，那么這一不作為與構成要件結果之間存在事實因果關系.具體到網絡服務提供者在電信網絡詐騙犯罪中的不作為,如果網絡服務提供者的違反義務的行為是法定危害結果發生的條件,那么就可以認定二者之間具有事實因果關系.

然后,在事實因果關系成立的前提下,再進一步判斷該結果能否歸責于網絡服務提供者的不作為.只有當危害后果能夠歸責于網絡服務提供者的不作為,網絡服務提供者才需要對這一危害結果承擔刑事責任.對于結果歸責,羅克辛提出了允許的風險理論——當一行為客觀上對法益造成了一定的危險,但該行為并非為法律所不允許,而是具有社會相當性的正常行為,其所制造的風險只是一般的生活風險,則不能認為行為以相當的方式侵害了法益[13].如果在電信網絡詐騙犯罪活動中，網絡服務提供者所提供的只是一般性的網絡存儲、通訊傳輸、互聯網介入、服務器托管等技術性服務，則屬于技術中立幫助行為.雖然提供技術服務的行為客觀上能夠為信息違法犯罪的實施提供便利,提高犯罪結果發生的可能性,但不應僅以網絡技術支持可能誘發社會危害后果這一方面,而一概否定其對于網絡社會所產生的巨大價值和發揮的積極作用.正如交通事故每天都在上演,機動車運輸給人們的出行帶來很大的安全風險,但我們卻不會因此而取締車輛運輸那樣，允許在特定時期風險存在并承認其正當性的理論,是對社會發展與公民個人生存二者之間的利益沖突進行權衡之后的結果.因此,網絡服務提供者提供純粹技術性服務的行為屬于法所允許的風險，而不應將其作為創設風險的先行行為,從而認定網絡服務提供者的技術服務行為與電信網絡詐騙犯罪的危害后果之間存在法律因果關系,否則便不當擴大了刑事因果關系的歸責范圍.

3.2 主觀要求：網絡服務提供者對于電信網絡詐騙犯罪的明知

認定網絡服務提供者構成不作為犯罪，需要審查網絡服務提供者對于電信網絡詐騙犯罪事實的發生是否存在認識.認識、預見的事實是指包含于構成要件之中的事實[14],因此在網絡服務提供者的不作為犯罪中,則需要網絡服務提供者對他人利用其所提供的網絡服務實施的電信詐騙違法犯罪行為及行為危害后果的事實存在認識.可對于信息繁雜、違法手段隱蔽的互聯網領域犯罪來說,很多時候難以發現他人利用其提供的技術服務而實施的違法犯罪，難以鑒別或者鑒別需要耗費巨大的經濟成本和人力成本.所以如果網絡服務提供者沒有可能預見到他人實施的電信網絡詐騙犯罪行為,這時即便造成了嚴重的危害后果,網絡服務提供者也不需要對該犯罪結果承擔不作為的刑事責任.

只有在網絡服務提供者對于他人利用信息網絡實施犯罪的行為及其后果存在認識，但仍為其提供技術支持或者幫助，希望或者放任危害結果發生的情況下，才能依法追究其不作為的刑事責任.雖然在司法實踐中,網絡服務提供者的主觀心態難以探知, 但依據主觀心態客觀化的判斷思路,能夠推斷其是否具有明知的故意.根據《解釋》第11條提供的關于“明知”的判斷標準，比如是否有逃避監管或規避調查的行為，是否在接到舉報后仍不履行法定管理職責等，可以推定網絡服務提供者是否具有明知的故意.

3.3 窮盡其他法律救濟手段

刑罰作為最嚴厲的法律制裁方式，在適用時應當遵循最后性原則.刑法作為保護國家和公民的最后一道屏障,應當審慎適用,如果過分苛責網絡服務提供者，不當擴張犯罪圈，將不利于網絡社會的發展,阻滯文化和信息的交流與傳播,造成萬馬齊喑的消極勢態.窮盡行政救濟后方可啟動刑法保護,這既是刑法謙抑性的要求,同時也是行政違法與刑事犯罪相互銜接的要求.

以拒不履行信息網絡安全管理義務罪為例，構成該罪必須經過行政前置程序，即“經監管部門責令采取改正措施而拒不改正”.首先，本罪中的“監管部門”是指依法具有網絡安全監督管理職權的政府機構，具體包括工業與信息化部門、電信部門、公安部門等共計16個不同的職能部門[15]，而不包括企業內部的監管部門.其次，網絡服務提供者違反法定的信息網絡安全管理義務，即使已經造成了用戶信息泄露等法定危害后果，在認定其成立本罪之前，必須先經過行政監管部門責令改正，只有當該網絡服務提供者在規定期限內仍未按要求采取改正措施的，才可能構成本罪.如果該網絡服務提供者在收到責令改正的通知后，積極采取了改正措施，則不構成本罪.

但是,是否正如有些學者所擔心的那樣, 網絡服務提供者只有在經監管部門通知責令改正之后,仍不采取改正措施的,才有構成犯罪之可能,那么這一行政前置程序的存在會使拒不履行信息網絡安全管理義務罪成為備而無用的象征性罪名，事實上，如果在主觀方面能夠認定網絡服務提供者具有幫助行為人實施電信網絡詐騙犯罪的故意,即明知行為人正在實施電信網絡詐騙違法犯罪,卻不主動采取措施加以阻止的,則可能構成非法利用信息網絡罪、幫助信息網絡犯罪活動罪等犯罪，而不再符合拒不履行信息網絡安全管理義務罪的構成要件.在這種情況下,就不必等到行政監管部門責令采取改正措施之后再追究其不作為犯罪的刑事責任.

4 結 語

科學技術的發展在促進社會進步的同時，法律風險也相伴而生[16].在信息網絡快速發展的背景下，電信網絡詐騙已成為當前發展最快、嚴重影響人民群眾安全感的刑事犯罪[17].徹底懲治電信網絡詐騙犯罪活動，不能僅僅依靠法律的制裁，因為法律只能作為一種事后的懲罰和救濟途徑，但對于已經造成的危害結果毫無挽回之力.要把電信網絡詐騙犯罪的危害降到最低，最大程度地維護公民的合法權益，需要依靠政府、企業以及公眾的共同努力，實現多方主體協同共治、綜合治理的良好效果.

根據公安部提供的政務信息，為遏制電信網絡詐騙犯罪，自2020年以來，公安部會同工信部、人民銀行、最高法、最高檢和3大電信運營商聯合開展“斷卡”行動，截至2021年4月9日，全國共抓獲犯罪嫌疑人21.3萬名，繳獲手機卡328.6萬張、銀行卡19.1萬張[17].當前電信網絡詐騙犯罪仍呈多發高發之勢，為了對抗猖獗的電信網絡詐騙犯罪，從根本上鏟除電信網絡詐騙這顆毒瘤，必須調動起全社會各界的力量.不僅要依靠最高司法機關和公安部發揮的政策引導作用，還需要互聯網、通信和金融等行業自覺承擔起行業監管責任，同時公民自身也應當增強對于電信網絡詐騙的防范意識，提高防騙能力.只有當司法、行政部門，電信運營商等網絡服務提供者，社會組織以及公民個人共同參與到打擊電信網絡詐騙犯罪活動中來，才能織就嚴密的防治之網，讓從事電信網絡詐騙的不法分子沒有可乘之機[18].