文章为转载，侵权联系删除

　　《网络安全法》实施一年以来, 网络运营者因违反《网络安全法》等法律法规被行政处罚的案例不在少数。需要提醒企业注意的是, 违反《网络安全法》后果并不仅限于行政责任, 严重的可能会被判处刑罚。本文将对网络运营者可能触犯的刑事法律、构成要件及后果进行简要分析。

　　一.网络运营者可能触犯哪些罪名

　　（一）侵犯公民个人信息罪

　　根据刑法第253条之一和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《两高司法解释》）, 判断是否构成侵犯公民个人信息罪的要件有:

　　1.  违反国家有关规定

　　违反国家有关规定是指违反包括法律、行政法规、部门规章在内的国家层面的规定, 与刑法第96条规定的“国家规定”相比, 增加了部门规章。因此, 不仅违反《网络安全法》《消费者权益保护法》等法律, 而且违反《电信和互联网用户个人信息保护规定》《网络交易管理办法》等规章有关个人信息保护规定的, 都有可能构成犯罪。

　　2.  行为

　　在前述违反国家有关规定的前提下, 下列行为可能构成犯罪:

　　a)  出售公民个人信息的;

　　b)  向特定人提供公民个人信息, 以及通过信息网络或者其他途径发布公民个人信息的;

　　c)  未经被收集者同意, 将合法收集的公民个人信息向他人提供的, 但经过处理无法识别特定个人且不能复原的除外;

　　d)  窃取公民个人信息的;

　　e)  通过购买、收受、交换等方式获取公民个人信息;

　　f)  在履行职责、提供服务过程中收集公民个人信息的。

　　3.  入刑标准

　　实施前述第2项所列行为, 达到以下条件的, 将被追究刑事责任:

　　4.  合规提示

　　基于上述分析, 结合本所的执业经验, 我们提醒企业应注意以下场景, 避免因涉嫌刑事犯罪被调查:

　　a)    企业向第三方出售公民个人信息或者出售的数据中含有公民个人信息的;

　　b)    企业让第三方以该第三方名义采取调查问卷等形式获取公民个人信息后再转给企业, 并由企业支付一定费用的;

　　c)    企业从第三方处购买的数据中含有公民个人信息, 或者直接购买公民个人信息的;

　　d)    企业接受第三方提供的公民个人信息, 未获得个人信息主体同意或者授权, 或者存在其他违反国家有关规定的情形的;

　　e)    企业转让个人信息, 或者与第三方交换、共享个人信息, 但未获得该个人信息主体的合法授权或者同意的;

　　f)     企业在经营中收集公民个人信息过程中, 未通过隐私政策、与个人信息主体签署协议等形式获得个人信息主体的授权或者同意;

　　g)    开展征信业务的企业向没有获得征信主体合法授权的企业或者个人提供征信主体的征信信息的。

　　（二）拒不履行信息网络安全管理义务罪

　　根据刑法第二百八十六条之一和《两高司法解释》, 判断是否构成拒不履行信息网络安全管理义务罪的要件有:

　　1.违反法律、行政法规规定

　　与侵犯公民个人信息罪不同的是, 构成该罪的前提必须为违反法律、行政法规规定的信息网络安全管理义务, 如《网络安全法》《计算机信息系统安全保护条例》等, 违反部门规章不能构成该罪。

　　2.行为

　　违反法律、行政法规规定的信息网络安全管理义务要求, 经监管部门责令采取改正措施而拒不改正的行为可能构成犯罪。

　　a)    责令采取改正措施

　　i.  一般情况下, 责令改正须为书面作出;

　　ii.对于监管部门口头要求违法的企业改正的,在司法实践中由于难以证明监管部门作出责令改正的要求而难以认定。但是如果监管部门通过对企业负责人或者直接负责的主管人员通过做笔录形式责令改正, 且该负责人或者直接负责的主管人员签字确认的, 也符合该罪关于责令改正的要求;

　　iii.    对于企业违法的行为如果作出行政处罚的,也应当视为已经做出责令改正的要求, 因为改正违法行为是行政处罚的内在要求, 被处罚的行为应当予以改正;

　　iv.责令改正应有明确的要求, 如责令日志留存必须达到6个月的要求等, 模糊或者笼统的要求使企业难以执行。

　　b)    拒不改正

　　i.  对监管部门的决定采取不作为形式的, 当然视为拒不改正;

　　ii.正在采取改进措施或者正在准备采取改进措施但尚未完全改正的, 可以作为抗辩的理由, 尤其是对于以下情况, 被采纳的可能性较大:

　　i)  因客观原因导致改正措施尚未完成的, 如硬件已经采购但企业尚未收到等;

　　ii)改正措施需要较长时间和较大工作量, 接到监管部门责令改正决定即开始着手实施的;

　　iii)    已经聘请专门机构或者供应商实施改正措施,但因该专门机构或者供应商原因导致未完成改正工作。

　　3.  入刑标准

　　上述行为构成拒不履行信息网络安全管理义务罪还须以行为造成以下后果为前提:

　　a)    致使违法信息大量传播的;

　　b)    致使用户信息泄露, 造成严重后果的;

　　c)    致使刑事案件证据灭失, 情节严重的;

　　d)    有其他严重情节的。

　　4.  合规提示

　　基于上述分析, 结合本所的执业经验,我们提醒企业应注意以下场景, 避免因涉嫌刑事犯罪而被调查:

　　a)    企业未依法开展网络安全等级保护定级并履行等级保护义务, 被公安机关责令改正后, 既未委托等保评测机构进行评测定级, 也没有对照法律要求采取安全保护措施, 致使企业存储的大量个人信息泄露, 或者发生刑事案件后, 致使证据灭失的;

　　b)    企业未履行网络实名制义务, 对用户核实真实身份信息, 经监管部门责令改正拒不改正, 在该用户实施刑事犯罪后, 无法查证犯罪嫌疑人的;

　　c)    企业未制定网络安全应急预案, 经监管部门责令改正后拒不改正发生黑客攻击等网络安全事件, 导致企业存储的大量个人信息泄露的;

　　d)    企业未采取技术措施和其他必要措施, 确保其收集的个人信息安全, 被监管部门责令改正拒不改正, 导致个人信息大量泄露的;

　　e)    互联网信息服务提供者对其用户发布的信息未尽到加强管理义务, 未采取对违法违禁信息的停止传输、消除等处置措施, 保存有关记录, 经监管部门责令改正拒不改正, 导致违法信息大量传播或者证据无法固定的。

　　二.建议

　　企业做好合规工作是避免触犯侵犯公民个人信息罪和拒不履行信息网络安全管理义务罪最好的途径。我们根据长期的合规法律服务经验提出以下建议, 供企业参考。

　　1.  合法、合规收集公民个人信息。梳理本企业收集、使用、转让、共享、交换等处置公民个人信息的环节, 对照法律、行政法规和部门规章的要求, 开展合规审查和改正工作。

　　2.  重视监管部门的管理。正确履行信息网络安全管理义务, 尤其是对于监管部门检查后作出的处罚决定、责令改正决定等, 应当积极采取改正措施。即使不具备条件或者无法立即改正的, 也应当做好准备工作, 制定工作计划。

　　3.  建立健全内控制度。加强企业内控制度建设,做好员工的教育管理工作, 避免因员工个人的犯罪行为致使企业遭受查处或者处罚。