吴卫明 律师/博士 高级合伙人 上海市锦天城律师事务所

《网络安全法》下网络运营者的刑事责任分析

我国第十二届全国人大常委会于2016年11月审议通过了《中华人民共和国网络安全法》（以下简称“网络安全法”），该法律自2017年6月1日起正式施行。全法共七章七十九条，是我国首部全面规范网络空间安全管理的基础性法律，标志着我国在网络治理领域迈入法治化新阶段。

在法律责任方面，网络安全法第六章集中规定了违法行为的法律后果，并于第七十四条明确指出，违反本法可能承担民事责任、行政责任（含治安管理处罚）以及刑事责任三类法律后果。尤其值得注意的是，第六十三条对“网络安全管理和网络运营关键岗位”设置了从业禁止条款，其中明确规定：因犯罪行为受到刑事处罚的人员，终身不得从事相关岗位工作。这一规定实际上确立了特定网络岗位的任职合规门槛，要求网络运营者在人事管理中必须强化背景审查与合规准入机制。

[此处为图片1]

一、网络运营者面临的刑事风险总体概述

在《刑法修正案（九）》出台之前，我国刑法并未将“网络运营者”作为独立的特殊犯罪主体予以规定，相关刑事责任多通过司法解释针对具体经营行为进行细化，适用范围相对局限，仅覆盖特定类型的网络服务提供者。然而，随着互联网业态日益复杂，国家刑事政策逐步转向扩大打击范围、加重刑罚力度，《刑法修正案（九）》应运而生，增设多项专门罪名，系统性地完善了针对网络空间犯罪的刑事规制体系。

以下结合近年来主要司法解释及立法变动，梳理网络运营者可能涉及的刑事法律责任：

1. 2004年《关于办理利用互联网等制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》

最高人民法院、最高人民检察院于2004年9月发布该解释，在涉及淫秽信息传播的犯罪中首次明确将网络经营者纳入刑事责任主体范畴。其第七条规定：“明知他人实施制作、复制、出版、贩卖、传播淫秽电子信息犯罪，为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算等帮助的，对直接负责的主管人员和其他直接责任人员，以共同犯罪论处。”

据此，提供网络接入服务的技术支持方若主观上存在明知且实施协助行为，其直接责任人可被认定为共犯，成为刑事追责对象。

2. 2004年《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》

同年11月，“两高”发布的该解释第十一条指出：“通过信息网络向公众传播他人文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的行为，应当视为刑法第217条规定的‘复制发行’。”

此项解释将网络传播行为纳入著作权侵权刑事规制范围，但其所约束的主体主要限于内容服务商，即实际参与或主导内容发布的网络运营者。

[此处为图片2]

3. 2005年《关于办理赌博刑事案件具体应用法律若干问题的解释》

2005年5月，“两高”进一步明确网络赌博犯罪的认定标准。第二条规定：“以营利为目的，在计算机网络上建立赌博网站，或者为赌博网站担任代理并接受投注的”，属于刑法中的“开设赌场”行为；第四条则规定：“明知他人实施赌博犯罪活动，仍为其提供资金、计算机网络、通讯、费用结算等直接帮助的，以赌博罪的共犯论处。”

此解释实现了虚拟空间犯罪行为的实体化处理，将提供网络技术支持的服务商纳入共犯评价体系，扩展了刑事责任边界。

4. 2010年《关于办理利用互联网等传播淫秽电子信息刑事案件具体应用法律若干问题的解释（二）》

该解释（简称《淫秽信息解释（二）》）第六条规定：“电信业务经营者、互联网信息服务提供者明知是淫秽网站，仍为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、代收费等服务，并收取服务费的，以传播淫秽物品牟利罪定罪处罚。”

相较于早期解释，本条规定不再区分网络接入服务商、内容服务商或平台服务商的身份差异，统一将各类网络服务提供者纳入规制范围，显著拓宽了刑事追责的对象类别。

[此处为图片3]

5. 群组管理与网站放任行为的责任延伸

根据《淫秽信息解释（二）》，利用互联网建立主要用于传播淫秽电子信息的群组，成员达三十人以上或造成严重后果的，对建立者、管理者和主要传播者，以传播淫秽物品罪定罪处罚；第四条还规定，以牟利为目的，网站建立者或直接管理者明知他人发布淫秽内容，仍允许或放任在其管理的网站或网页上传播的，构成传播淫秽物品牟利罪。

此类情形虽非典型的网络运营行为本身，实则体现了平台管理义务的刑事化趋势，反映出我国刑事司法实践中“共犯正犯化”理论的实质性运用——即将原本属于帮助性质的行为提升为独立正犯予以惩治。

6. 《刑法修正案（九）》的制度突破

《刑法修正案（九）》从国家立法层面补充和完善了网络安全相关的刑事罪名体系，不仅延续并强化了以往依赖司法解释治理网络犯罪的路径，更实现了结构性升级，主要包括以下几个方面：

• 对原有危害计算机信息系统安全的相关罪名进行了补充与细化；
• 明确强化网络服务提供者的安全管理义务，推动平台责任法定化；
• 将信息网络上具有预备性质的常见行为（如设立用于犯罪的网站、通讯群组等）独立入罪；
• 将具有帮助他人实施犯罪属性的行为（如提供技术支持、广告推广、支付结算等）单独设定为新型罪名，例如“帮助信息网络犯罪活动罪”。

上述修改标志着我国对网络空间犯罪的打击已由事后追惩转向事前防控与全过程监管相结合，网络运营者在技术中立之外，需更加重视自身行为的法律边界与合规风险。

随着网络经济在社会生活中的地位日益提升，相关监管体系逐步完善，刑法制度也在不断演进。特别是在《网络安全法》实施的背景下，针对网络运营者的刑事责任呈现明显扩张趋势，刑事风险显著上升，必须引起高度重视。

2016年12月20日，最高人民法院、最高人民检察院与公安部联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》（以下简称《意见》），进一步强化了此前刑法修正案及司法解释中对网络运营者责任的延伸，被视为《网络安全法》落地过程中的重要刑事配套政策。

该《意见》第三部分明确提出“全面惩处关联犯罪”，多处明确指出网络经营者在经营活动中可能涉及的具体网络犯罪罪名，并规定：若行为同时构成诈骗罪，则依照处罚较重的规定定罪量刑。此外，《意见》还首次明确了网络经营者在特定情形下的过失犯罪责任——即在经营过程中违反国家规定，被电信网络诈骗犯罪分子所利用，导致他人财产受损的，依法应承担相应责任；构成犯罪的，依法追究刑事责任。

[此处为图片1]

第四部分“准确认定共同犯罪与主观故意”则系统列举了网络经营者可能被认定为共犯的情形。其中强调，“明知”状态需结合多种主客观因素综合判断，包括行为人的认知能力、过往经历、行为频次与手段、与他人的关系、获利情况、是否曾因电信网络诈骗受过处罚，以及是否存在故意规避调查等行为。

值得注意的是，刑法修正案（九）也对多项与网络安全相关的条款进行了配套修订：进一步完善了非法出售或提供公民个人信息的入罪标准；新增将编造或传播虚假险情、疫情、灾情、警情等四类易引发社会恐慌的信息行为纳入犯罪范畴，无论造谣还是明知为假仍予以传播，均可能构成犯罪；同时还对泄露依法不公开审理案件中不应公开信息的行为作出明确规定。

二、网络经营者在《网络安全法》框架下可能触犯的主要罪名

1. 侵犯公民个人信息罪

依据现行刑法第二百五十三条之一，任何单位或个人均可构成本罪。网络经营者若存在“违反国家有关规定，向他人出售或提供公民个人信息，情节严重”的行为，或“窃取以及以其他非法方式获取公民个人信息”的，即可能触犯此罪。尤其在履行职责或提供服务过程中实施上述行为的，依法从重处罚。在当前“700元即可购得同事行踪及开房记录”等事件频发的背景下，此类案件的发生概率将持续上升。

2. 侵犯商业秘密罪

根据刑法第二百一十九条，单位或个人均可构成本罪。网络经营者最可能涉及的情形是：通过盗窃或其他不正当手段获取权利人的商业秘密，或披露、使用、允许他人使用前述非法获取的商业秘密，并给权利人造成重大损失的行为。

3. 非法侵入计算机信息系统罪

该罪名规定于刑法第二百八十五条，适用于单位和个人。网络经营者若实施“侵入涉及国家事务、国防建设、尖端科学技术领域的计算机信息系统”的行为，即构成此罪。

4. 非法获取计算机信息系统数据、非法控制计算机信息系统罪

同样规定于刑法第二百八十五条。除上述三类特殊系统外，若网络经营者非法侵入其他计算机信息系统，或采用技术手段非法获取系统内存储、处理或传输的数据，或对系统实施非法控制，且情节严重的，可构成本罪。

5. 提供侵入、非法控制计算机信息系统程序、工具罪

亦属刑法第二百八十五条规制范围。当网络经营者提供专门用于侵入或非法控制计算机信息系统的程序、工具，或明知他人从事此类违法犯罪活动仍为其提供技术支持，且情节严重时，即可能被追究刑事责任。

6. 破坏计算机信息系统罪

依据刑法第二百八十六条，单位或个人均可构成本罪。主要表现为：对计算机信息系统功能进行删除、修改、增加或干扰，导致系统无法正常运行；或对系统中存储、处理、传输的数据和应用程序进行删改增操作，造成严重后果的行为。

7. 拒不履行信息网络安全管理义务罪

规定于刑法第二百八十六条之一，主体为网络服务提供者。若其不履行法律法规规定的安全管理义务，在监管部门责令改正后仍拒不采取措施，并导致违法信息大量传播、用户信息泄露造成严重后果、刑事案件证据灭失情节严重，或其他严重情节的，将依法追责。

8. 非法利用信息网络罪

依据刑法第二百八十七条之一，单位或个人均可构成。网络经营者若有下列“情节严重”的行为之一：（一）设立用于实施诈骗、传授犯罪方法、制作或销售违禁品、管制物品等违法犯罪活动的网站、通讯群组；（二）发布有关毒品、枪支、淫秽物品等违禁品或管制物品的违法信息；（三）为实施诈骗等违法犯罪活动发布信息，即可能构成本罪。

9. 帮助信息网络犯罪活动罪

规定于刑法第二百八十七条之二，单位或个人均可触犯。指网络经营者明知他人利用信息网络实施犯罪，仍为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，且情节严重的行为。

综上所述，随着网络安全立法与司法实践的持续推进，网络经营者面临的刑事合规压力不断加大。各类罪名覆盖范围广、认定标准日趋细化，必须加强内部风控机制建设，防范潜在法律风险。

诈骗罪在我国现行刑法第二百六十六条中有所规定。当网络经营者涉及利用电信网络技术手段进行诈骗，且诈骗公私财物价值达到三千元以上时，可能构成该罪。如前文所述，根据最新的司法指导意见，若网络经营者存在不当行为，可能被认定为诈骗罪的共犯，并在出现罪名竞合的情况下，依照处罚较重的规定定罪量刑。

明知他人实施信息网络犯罪活动，仍为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或提供广告推广、支付结算等协助，且情节严重的，亦可能构成相关犯罪的帮助行为。[此处为图片1]