预言很快被现实印证。小到一份外卖订单、一篇公众号推送，大到智慧城市建设、“新基建”战略，“数字化”元素正在重塑我们的生活方式，“信息DNA”也成为了和原子一样基础的社会要素。在数据价值日益凸显的今天，个人信息的滥采滥用、倒买倒卖开始成为大数据产业的灰色地带；随着网络“爬虫”等技术手段的日新月异，违法获取信息、窃取数据的门槛也在降低。对个人信息和公共数据安全的保护，乃至在数据跨境流动中对数据主权、国家安全的保护，成为了国家、企业和个人共同关注的热点问题。

为了促进经济社会信息化的健康发展，我国近年来先后出台了《网络安全法》《数据安全法》和《个人信息保护法》，全面构筑起保护网络信息安全的第一道防线。而伴随着“信息法益”内涵的扩充，作为“社会最后屏障”的刑法对网络信息犯罪的规制思路也在与时俱进的转变；相应地，作为用户网络信息收集企业也有了新的数据合规要求。

一、当我们谈网络信息犯罪时，我们在谈什么？

数据信息在互联网上的纵向流转包括收集、存储、使用、加工、传输、提供和公开等环节，广义的网络信息犯罪就是在以上一个或几个信息流转的环节中出现的法益侵害行为：既包括直接侵害法益的作为行为，也包括不履行网络安全管理义务的不作为行为；既包括非法利用网络信息实施犯罪的正犯行为，也包括明知他人在实施信息网络犯罪，仍为其提供技术支持的帮助行为。

从信息网络传播导致法益侵害的方式上看，纳入刑法调整的范围主要有两类：

第一类是信息本身含有“原罪”：比如传播淫秽物品，传授犯罪方法，销售枪支、毒品等违禁品，对他人的侮辱诽谤，含有侵犯知识产权的内容，等等。此类犯罪在理论上称为“表达犯”，其对法益的侵害以信息传播方和接收方的“交流”为前提。[1]

第二类是信息处理行为构成犯罪：比如向他人出售或者提供公民个人信息，非法侵入特定领域的计算机信息系统，对计算机信息系统功能进行删除、修改、增加、干扰，特定主体不履行信息保护的义务，等等。

从关联罪名上看：

纯粹的网络信息犯罪包括非法利用信息网络罪、非法侵入计算机信息系统罪、破坏计算机信息系统罪、拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪等。

而像侵犯公民个人信息罪，其实并不仅局限于通过网络手段，凡是违规向他人出售或者提供公民个人信息造成严重后果的，不论线上线下，均有可能构成此罪，其与网络信息犯罪有一定的交集。《刑法》第二百八十七条第一款也对利用计算机进行其他犯罪做了注意规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”

由此可见，并非犯罪涉及网络信息就属于网络信息犯罪，当前已有太多犯罪是借助互联网手段完成，但纳入网络信息犯罪研究范畴的罪名应该要求“网络信息”本身就属于该罪的构成要件要素之一。

二、刑法对网络信息犯罪的规制发生了哪些转变？

《刑法修正案（九）》设立了网络信息犯罪的新罪名，并发布了与之配套的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称“《解释》”），这是刑法适应网络社会特征而进行的调整，背后的逻辑在于对网络信息法益内涵理解的深化与扩充。

（一）网络信息的法益扩充

如前所述，网络信息犯罪是一类犯罪现象的统称，不同的罪名保护的法益各有侧重，关于网络信息到底涉及哪些值得刑法保护的法益，在理论界也有不同观点。[2]目前越来越多的学者认可，互联网背景下的信息安全是一种复合法益，甚至有学者提出“数据安全是最重要的新型刑法法益，应当确立其独立地位。”[3]笔者认为，随着用户数据通过网站或APP的高度集中和大数据经济价值的凸显，网络信息法益已经从个人法益转向个人法益与公共法益并存，法益所蕴含的价值也不仅局限于隐私权的内容，还包括了数据财产权、公共安全、国家数据主权等。

具体而言，网络信息（1）关乎个人的隐私权，公民在网络空间内可以自由支配个人的私密事情，并且有不被他人知晓、复制、搜集、传播的权利；（2）关乎数据的所有权和与之相伴的财产性权益（详见文章：《数中有术、术中有数——数据权益理论与司法实践探析》）；（3）关乎社会公共安全，个人信息的聚合以及社会运行对网络数据的依赖促使信息安全向社会公共生活领域扩展。网络信息犯罪与诈骗、抢劫、绑架、敲诈勒索等下游犯罪联系密切，互联网的倍增效应、放射效应加剧了信息泄密对社会不特定多数人的潜在风险性；[4]（4）关乎国家安全和数据主权，不少国家和经济体已经将数据权益和数据安全上升到战略层次，在企业等市场主体的对外交流中，对于潜在的“大数据”泄露风险开展实质性审查。

（二）刑法规制思路的转变

传统刑事立法对于网络信息犯罪的打击主要体现于针对特定对象、特定事件的事后处罚，而网络技术的快速发展和网络信息法益的扩充使得传统刑法对信息安全保护的独立性、及时性和普遍性存在不足。《刑法修正案（九）》展现了刑事立法对打击网络信息犯罪的新思路，也体现了风险刑法的特征。

1、共犯行为正犯化：帮助信息网络犯罪活动单独成罪

共犯行为正犯化是指原本依附于实行行为的帮助行为直接被当作犯罪的实行行为独立对待，在刑法分则中确立单独罪名，认定帮助行为是否构成犯罪不再依附于原来的实行行为。

根据传统共犯理论，共犯是全面从属于正犯的行为，共犯的成立以正犯符合犯罪构成要件（至少是客观要件）为前提，但是网络信息犯罪的帮助行为（下称“帮信犯”或“帮信罪”）对传统共犯理论和司法实践产生了较大冲击[5]：

第一，帮助行为的危害性可能已超越了实行行为。举例而言，一个为下游犯罪团伙提供网络接口、数据传输、广告推广或支付结算的平台，可能同时服务于若干个骗、抢、盗的团伙，上游的帮助行为借助互联网辐射效应可能产生了“一对多”的犯罪效果，帮助行为的危害已不亚于下游某一犯罪团伙的实行行为。

第二，帮助行为的独立性已突破了共犯意思联络的要求。从现有案例来看，部分帮助行为的实施者与下游正犯的意思联络非常微弱，比如在群聊平台里非法倒卖银行卡、手机卡的行为人凭常识能够意识到购买者用这些非实名卡很有可能要“干坏事”，但购买者是拿去诈骗还是洗钱，出卖方又在所不问。如果不将帮信犯单独成罪，部分帮助行为很难认定与正犯行为存在共同故意。

第三，如果仍按照共犯理论处理帮助行为，将导致极大的司法困难。例如，一个帮信犯网络平台同时服务于5个犯罪团伙，1个销售毒品的团伙已经审判完毕，1个传播淫秽信息牟利的团伙正在统计浏览量和获利情况，1个诈骗团伙刚刚到案，另外2个犯罪团伙在逃，这种情况下，如果适用传统共犯理论，只有等所有下游正犯的犯罪情况，尤其是定量情况都查清后才能准确认定上游帮助行为是否够罪及危害性有多大。但这样不仅需要消耗大量的司法资源，而且必然导致案件推进困难、久拖不决。

鉴于以上原因，《刑法修正案（九）》增设【帮助信息网络犯罪活动罪】，对于明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助，情节严重的，即构成本罪。如果帮助犯与正犯存在共同犯罪故意，同时构成其他犯罪的，从一重罪处罚。

帮信罪设立以来，2015-2018年平均每年只有几十个一审判决，2019年也不到200个判决，但在2020年突然激增至3400余个，2021年前三季度已有7300多个判决，近两年呈现出指数化上升趋势。究其原因，一方面是公安部连续两年开展“断卡行动”打击电信诈骗，非法贩卖电话卡、银行卡的行为大量被定为该罪；另一方面，共犯正犯化之后，帮信罪存在向“口袋罪”发展的趋势。根据我们的办案经验，对于一些旗下业务包括游戏、新闻、广告、短视频等的网络平台公司，一旦部分业务板块被不法分子利用，则整个平台都有被以帮信罪查处的风险，比如因应用商店的游戏涉嫌赌博而导致平台被追责。因此，如何明确网络平台的审查义务和边界，如何看待“技术中立”行为，如何平衡鼓励网络技术创新与防范中立技术被应用于犯罪的风险，都是新罪名设立后司法需要面对的新课题。

2、保护措施前置化：不作为行为入罪

网络犯罪存在“高发低破”的办案难点，网络信息法益又关乎社会公共安全价值，一旦出现犯罪，不特定多数人的权益都将受到潜在威胁。正因如此，在对犯罪的治理上出现了保护措施前置化的立法，即由事后刑罚转向预防与惩罚并重的监管思路。

网络服务提供者是网络生活中的重要主体，对遏制网络犯罪发挥着不可替代的作用，《刑法修正案（九）》将网络服务提供者怠于履行监管职责的行为入罪，增设【拒不履行信息网络安全管理义务罪】，要求网络服务提供者在法律、行政法规规定的信息网络安全管理义务面前不能“躺平”。这也意味着《网络安全法》《数据安全法》《个人信息保护法》等法律中有关网络运营者应承担的义务规定将直接转化为不作为犯罪的作为义务来源。

该罪的入罪情形包括：（1）致使违法信息大量传播的；（2）致使用户信息泄露，造成严重后果的；（3）致使刑事案件证据灭失，情节严重的；（4）有其他严重情节的。具体的认定标准在《解释》第三至第六条中有详细规定。[6]

有意思的是，在司法实践中该罪的出现频次与帮信罪呈现出两个极端，从罪名设立至今，仅有4个一审判决。究其原因，主要是犯罪构成要件设立了“责令改正而拒不改正”这一处罚阻却事由。正如同哪怕偷逃个税金额过亿，只要在税务机关下达追缴通知后及时补缴应纳税款和滞纳金就能免除刑责，在接到网信、电信、公安等机关责令采取改正措施后积极改正的，就能避免构成该罪。

这样的立法目的主要是基于两方面考量：“一方面，网络犯罪频发，迫使网络服务提供者承担监管义务，是遏制网络犯罪的重要途径；另一方面，相关行业尚处发展期，令业者承担责任过多，可能致其不堪重负，阻碍行业创新发展。”[7]但实践中该罪名被束之高阁还是引发了一定的争议，有观点就认为处罚条件归于苛刻导致入罪门槛太高，无法达到犯罪预防效果，进而要求为这一罪名“松绑”，比如责令改正不应再拘泥于书面文件，口头责令应具有同样效力；再如网络服务提供者是否具有采取改正措施的能力不应纳入考量范围，没有改正能力不是出罪事由，等等。该罪的入罪标准在后续司法实践中是否会有所调整仍值得继续关注。

3、调控对象全面化：增加对单位犯罪的规定

数据的价值对于互联网公司是无需赘言的，相应的，对数据安全的侵害早已不再是江湖黑客的个人行为。为了防止资本面对利润时的铤而走险，甚至践踏法律，《刑法修正案（九）》不仅在新增设的网络信息犯罪中均规定了对单位犯罪的处罚，同时也为【非法侵入计算机信息系统罪】、【非法获取计算机信息系统数据、非法控制计算机信息系统罪】、【提供侵入、非法控制计算机信息系统程序、工具罪】和【破坏计算机信息系统罪】打了“补丁”。单位前述罪的，对单位判处罚金，对单位直接负责的主管人员和其他直接责任人员与自然人犯罪同罪同罚。

三、企业网络安全合规是否涉及“刑事合规”问题？

面对不断完善的信息网络安全立法，网络安全合规自然是企业合规的重要组成部分，而网络安全的合规建设是否涉及到刑事合规问题，主要看两点，第一，刑事合规在这一领域有无特别价值；第二，刑事合规在这一领域有无特别措施。

（一） 网络安全刑事合规的价值

建立网络安全刑事合规制度，对于互联网公司至少有三点特别价值：

第一，从主观层面看，成为证明单位不具有犯罪故意的有力证据。目前，有观点主张，应当将企业建立刑事合规制度直接吸纳为法定的违法阻却事由，即刑事合规制度可以如同正当防卫、紧急避险一样阻却单位行为的违法性。而互联网企业建立起完备的网络安全刑事合规制度还可以从另一个层面为单位提供责任阻却事由，即证否单位的犯罪故意。

比如对于帮信犯而言，要求明知他人在利用信息网络实施犯罪并提供帮助才构成本罪，而“明知”可以通过客观行为予以推定，也可以通过相反证据推翻推定。倘若平台合规制度运行良好，即便由于技术原因未及时发现并清除违法犯罪内容，依然能够凭借合规制度否定其故意心态的存在。[8]

第二，从客观层面看，刑事合规制度的设立可以排除部分罪名的客观构成要件。比如以刑事合规制度安排充实“作为”的内容，从而排除被以不作为方式入罪的可能。如前所述，如果能够有证据证明公司或平台从日常制度和风险发现的角度都已有相应的措施和安排，切实履行网络安全管理责任，那么就从客观构成要件上排除了构成拒不履行信息网络安全管理义务罪的可能性。再如刑事合规制度的建立一方面能起到对现有技术刑事风险检视、监测、调整的作用，另一方面在合规制度下运营的信息网络也能避免构成“非法利用信息网络罪”的情况。

第三，刑事政策层面看，对建立刑事合规体系的企业优先考虑适用合规不起诉。我国的合规不起诉制度简而言之即检察机关在办理涉企刑事案件时，督促涉案企业作出合规承诺并积极整改落实以换取不起诉结果的一项改革。今年4月，最高检下发《关于开展企业合规改革试点工作的方案》正式启动第二期企业合规改革试点工作，目前试点城市都在积极探索到底应对哪些企业、哪些情形适用合规不起诉制度。我们认为，即使不能在构成要件上直接排除对企业的网络信息犯罪认定，也至少可以对建立了网络安全刑事合规的企业优先适用合规不起诉制度。这也可以视为从刑事政策的角度激励互联网企业履行数据安全保护义务，主动预防网络信息犯罪。

（二） 网络安全刑事合规的措施

实际上，企业的网络安全合规措施需要涵盖的内容在《网络安全法》第四章、《数据安全法》第四章和《个人信息保护法》第五章都有专章规定。这些内容当然是信息收集和数据处理过程中最基本的合规要求，在此我们不再简单罗列相关法条和司法解释，而想结合办案实践，谈几点值得特别注意的措施：

第一，建立试运营机制。很多合规风险不是纸面上地推演能预测到的，也不是有了监测团队和应急预案就都能顺利解决的。尤其是对于新兴技术的运用，往往是在项目投入实战后，一些技术上和法律上的问题才会陆续暴露出来。为了尽早发现问题、打好补丁，我们建议互联网企业对于APP新设立的服务内容、游戏公司对于新推出的游戏或玩法都要进行充分的内部测试+一定期限和范围的试运营。

第二，重视用户投诉。最早发现问题的人往往就是自身权益被侵害的人，因此企业不仅要建立畅通的用户投诉机制，更要在观念上充分重视用户的投诉。对于用户反映属实的问题要及时整改，对于尚需深入调查的问题应先采取保护措施：该屏蔽的内容要屏蔽，该断开的链接要断开，该下架的APP至少应暂时下架。切不可因为投诉人数不多而在经济利益的驱使下“选择性失明”。实际上，“接到举报后不履行法定管理职责”也是实践中认定帮信犯“明知”的法定情形之一。

第三，与监管部门密切合作。目前，部分办案机关在认定网络信息犯罪的“明知”上采取了简单判断的思路，即倘若平台基于盈利目的，又疏于履行平台的安全监管职责，致使违法犯罪结果出现，便可以据此认定其间接故意的放任心态。[9]为了避免被监管部门认定为“疏于履行监管职责”，企业在设立合规制度时可以主动与监管部门沟通明确合规要求，遇到困难主动汇报并请求指导，发现问题第一时间向监管部门报告，切不可心存侥幸听之任之。实际上，避免被认定为帮信犯或共犯的有效手段就是考虑先行报案，确立自己“受害者”的身份。