《111-06-4100台商張老師月刊111年10月第278期》

李永然律師

一、在大陸從事網絡服務提供的業務應注意個人信息保護

中國大陸為了保護個人信息權益，規範個人信息處理活動，訂有《個人信息保護法》，違反該法的規定，其處罰分別有「民事責任」、「行政責任」及「刑事責任」的不同。

    大陸《個人信息保護法》第71條後段規定：違反《個人信息保護法》規定，構成「犯罪」的，依法追究「刑事責任」。在犯罪的處罰針對「網絡服務提供者」於大陸《刑法》第286條之1第1款規定：「網絡服務提供者」不履行法律、行政法規規定的「信息網絡安全管理義務」，經監管部門責令採取改正措施而不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，併處或者單處罰金：

• 致使違法信息「大量傳播」的；
• 致使用戶信息洩露，造成「嚴重後果」的；
• 致使刑事案件證據滅失，「情節嚴重」的；
• 有其他「嚴重情節」的。

這條規定是於2015年8月29日《刑法修正案(九)》所新增，本罪名為「拒不履行信息網絡安全管理義務罪」，該罪係為透過規制「網絡服務提供者」而保護網絡安全，同時起了保護「個人信息」的作用，筆者藉本文剖析構成本罪的法律要件。

二、構成本罪的法律要件

　　首先基於「罪刑法定主義」（註1），構成「拒不履行網絡安全管理義務罪」，須符合下述要件：

1、犯罪主體為「網絡服務提供者」：其包括(1)網絡接入、域名註冊解析等信息相關網絡接入、計算、存儲、傳轉服務；(2)信息發布、搜索引擎、即時通訊、網絡支付、網絡預約、網絡購物、網絡遊戲、網絡直播、網站建設、安全防護、廣告推廣、應用商店等信息網絡應用服務；(3)利用信息網絡提供的電子政務、通信、能源、水利、金融、教育、 醫療等公共服務（參見大陸〈最高人民法院．最高人民檢察院關於《辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》〉第1條）。

2、拒不履行信息網絡安全管理義務：此乃指「信息網絡服務提供者」依法應當履行現行有效的信息網絡安全管理法律、法規所明確規定的信息網絡安全管理的「作為」和「不作為義務」，包括「禁止性規範設定之義務」及「命令性規範設定的義務」（註2）。

3、經「監管部門」責令採取改正措施而拒不改正，且有大陸《刑法》第286條之1第1款所列四項情形之一者，如：「致使違法信息大量傳播的」…等。

三、必須拒不履行網絡安全管理義務的行為情節嚴重

　　再者，如上所述，信息網絡服務提供者違反網絡安全管理義務的行為必須情節嚴重，才構成犯罪處罰，即：

1、致使違法信息「大量傳播的」；必須達到「大量」的程度；

2、致使用戶信息洩漏，造成「嚴重」後果的；必須後果達到「嚴重」的程度；

3、致使刑事案件證據滅失，情節「嚴重」的；必須情節達到「嚴重」的程度；

4、其他「嚴重」情節的。

而行為是否構成「大量傳播」、「嚴重後果」、「情節嚴重」，則須適用大陸〈最高人民法院、最高人民檢察院關於《辦理非法利用網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》〉第3條、第4條、第5條及第6條（註3）。

四、結語

以上說明，供在中國大陸經營提供信息網絡服務之台商參酌運用（本文作者為台商張老師、台北市企業經理協進會理事長）。

註1、大陸《刑法》第3條：法律明文規定為犯罪行為的，依照法律定罪處罰；法律沒有明文推定為犯罪行為的，不得定罪處罰。

註2、馬改然著：新信息技術下個人信息刑事保護研究，頁48，2021年11月第1版第1刷，法律出版社出版。

註3、個人信息保護法小法典，頁100~102，2021年11月第1版第2刷，中國法制出版社出版。