日前全国人大常委会通过了刑法修正案(九)，其中有关互联网信息安全的诸多规定随即引发业界热议，而二百八十六条之一有关“明确网络服务提供者履行网络安全管理的义务”更是备受关注，如何解读与贯彻落实，成为摆在网络服务提供者面前的重要课题。就这一问题，笔者近日采访了北京知道创宇资深网络安全顾问陆宝华，对这一条款进行了深入解读。

　　我们先来看一下修正案原文：

　　在刑法第二百八十六条后增加一款，作为第二百八十六条之一：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

　　(一)致使违法信息大量传播的;

　　(二)致使用户信息泄露，造成严重后果的;

　　(三)致使刑事案件证据灭失，情节严重的;

　　(四)有其他严重情节的。

　　“单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。”

　　“有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”

　　首先值得注意的是，过去一些网络服务提供者不履行信息网络安全管理义务且拒不改正，针对这一情况，这次刑法修正案为网络服务提供者增加了刑事责任的规定。“新规定中的四种情节都可以用刑事责任来制裁网络服务提供者”，这相当于给网络服务提供者下了个通牒，这个可以构成单位犯罪，既可以制裁个人，也可以制裁单位。

　　知道创宇资深网络安全顾问陆宝华

　　对此陆宝华认为，刑法修正案(九)首次明确了网络服务提供者的违法犯罪行为，刑法的二百八十六条，原来是对网络服务提供的破坏者进行的定罪，并没有对相应网络服务提供者提出刑事要求，这一要求的提出是对网络服务提供者法律责任方面的重大突破。虽然还没有看到相应的司法解释，对其内涵和外延还不能做准确的解读，但是从法条的规定上已经能看出这样的一些信息：

　　1、从事网络服务的提供者，不能任意在网络上“主动和被动”发布和传播违法信息，所谓“被动”包括因其管理不当造成的网民在其管理的网站发布的违法信息。这就要求网络信息的服务提供者，要加强对信息内容的管理，防范“违法”的网络信息的传播，特别是那些涉黄、涉黑、涉枪、涉毒、欺诈等严重危害国家安全和社会秩序的违法信息。同时，对一些上传的违法信息要有及时报警和相应的证据固定和保存的义务。

　　这对目前许多网络服务提供者对违法信息放任、纵容，甚至是主观故意投放是一个严厉的约束。

　　从目前安全联盟每天获取的信息中我们可以看到，这类违法信息的传播是相当严重的，以2015年6月份数据来看，各类违法信息，单月总数高达3000余万，可见此次刑法修正案(九)新增的第二百八十六条之一的必要性。

　　2、网络服务的提供者，有加强自身安全的义务，有保护“用户信息”的义务和责任。不能再出现，整个用户数据库被拖，连一句道歉的话都没有的现象了。刑法二百八十六条的修改明确了相应的安全责任主体，这是一大进步。我们国家的各类法律、法规中对网络安全的责任主体都有明确：“谁主管谁负责、谁运营谁负责”。主体是明确的，但具体这个主体应该负什么样的责任并没有规定清楚，这一条的规定，可以对将来其他的网络安全责任的落实提供了一个很好借鉴。责任主体清楚了，具体的责任清楚，追责才好操作，相应的责任主体才能真正的“负责”。

　　这就要求网络服务的提供者，必须认真落实好相应的安全措施，包括技术的和行政的。需要对提供服务的网络和系统的脆弱性有清楚的了解和防范，同时还要求，要有完整的日志记录。

　　其实这些要求，早在1997年公安部发布的《计算机信息网络国际联网安全保护管理办法》中就有明确的规定，并且针对相应的条款，公安部在2005年还出台了82号令进行了明确的规定。但是，由于没有相应的刑责，只是罚款和停止联网与停机整顿的要求，处罚的力度还没能引起网络服务提供者足够的重视。

　　3、对刑事犯罪证据的固定和保存对网络服务提供者来说也是一个必须重视的问题。需要注意到的是，法条上阐述的是对“刑事犯罪证据的灭失”，而没有具体的说是仅针对网络安全事件。这就是说对于利用网络进行的各类犯罪，都存在着“证据灭失”问题。这一项规定非常具有前瞻性，不仅对我们目前的网络环境下，利用和针对网络的犯罪有意义，特别是对将来的“云、移、大、智”更加有意义。在“智慧城市”中，网络犯罪被侵害的对象已经不一定是网络本身了，完全可能是现实社会中的对象。个人曾经针对刑法的法条进行过研究，除性侵害之外的所有刑事犯罪，都有可能直接利用网络实现(性侵害，一些技术大牛们说，他们也有办法实现)。

　　最后陆宝华表示，刑法二百八十六条的修改是非常必要的，也非常有意义，并且非常及时。但是，在司法实践中还需要相应的司法解释和配套的认定方法和规则，特别是涉及到了技术措施方面的问题，确实存在着责任主体不易明确的问题。如一个安全事件的发生，是因为主体技术措施不到位，还是因为某个产品中存在问题被利用，还是因为对安全策略理解上存在偏差，还是我们的整体能力和水平不足以抵御相应的入侵等等。大家都说安全是相对的，相对的就容易出现责任不确定的问题。这就是需要法律方面的专家和技术方面的专家共同来分析和研究。但是，我们并不是对所有的安全事件都不能认定其责任，国家的等级保护制度及相应的技术标准和政策法规，实际上已经提供了一个很好的责任认定依据。