（原标题：刑事合规对金融机构有多重要？从具体罪名说起）

在金融创新飞速发展的今天，在金融产品与服务日趋丰富、层出不穷的同时，一些金融机构由于怠于履行特定法律义务，导致收到行政处罚甚至触发刑事风险的案例比比皆是。金融机构一旦涉刑，机构领导、中高层管理人员及各项目负责人等，立刻就有面临刑事指控和刑事处罚的风险，不仅会导致金融机构无法正常经营，甚至还会对机构员工个人和家庭生活带来严重影响。因此，金融机构合规经营，防范刑事风险，既是应有之义也是必要之事。

今天，飒姐团队就以金融机构中常见的不作为犯罪——拒不履行信息网络安全管理义务罪为讨论焦点，从刑事合规的角度与大家聊一聊规避法律风险的正确做法，希望能给诸位金融机构从业者们提供一些新思路和新见解，使各金融机构都能实现合规、长远的发展。

拒不履行信息网络安全管理义务罪是在《刑法修正案（九）》中才增设的罪名，在设立之初就在具体适用上面临困境，同时也是容易被网络服务者忽略的罪名。

实践中，金融机构在网络空间以APP、群组等形式提供服务的情况下，对信息网络安全应负有管理义务。如果经监管部门责令采取改正措施而拒不改正，致使违法信息大量传播，或者用户的公民个人信息泄露，造成严重后果的，则可能违反刑法第二百八十六条之一的规定，涉嫌拒不履行信息网络安全管理义务罪。

一、该罪所保护的法益

关于拒不履行信息网络安全管理义务罪的法益主要有以下四种争议观点：“具备公共利益属性的特定（用户）信息专有权说”、“信息网络说”、“网络安全说”以及“信息网络安全管理秩序说”。

关于以上四种学说的各自观点，由于篇幅限制笔者在此不再赘述，有兴趣者可以查阅相关资料。通过比较以上四种学说，笔者个人支持“信息网络安全管理秩序说”的相关观点。从立法安排来看，本罪被放在《刑法》第286条之一的位置，处在《刑法》分则第六章第一节之中，属于‘扰乱公共秩序罪’的范畴，它所侵犯的法益乃是社会管理秩序所涵盖的信息网络安全管理秩序，本罪所保护的法益是网络虚拟空间秩序的安全顺畅运行。

从文理解释出发，由本罪犯罪构成可知，主体拒不履行义务由两个递进的行为构成。第一个行为是没有履行法律、行政法规规定的信息网络安全管理义务，第二个行为是没有履行监管部门责令改正的义务。网络服务提供者实施了违法行为之后不遵照监管部门的责令改正通知予以改正，是对行政命令不予服从，导致自上而下的行政管理失效，网络服务提供者由外向内的自我管理停滞，信息网络安全岌岌可危，信息网络安全秩序节节溃败，信息网络安全管理秩序受到损害。

就金融机构而言，在利用网络提供服务时，必然会涉及到信息的收集、储存与适用，在此过程中会受到行政监管部门的约束与管理，在其实施相关违法行为时比如致使用户信息泄漏将收到责令改正的通知，此时可以认定该金融机构的行为已经对信息网络安全管理秩序造成破坏。而当行政规制无法发挥相应的作用，刑事手段便走上台前来保护已经被破坏的信息网络安全管理秩序。

二、该罪的犯罪主体

两高《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第一条规定了三类“网络服务提供者”，即作为网络技术服务提供者、网络内容服务提供者和网络公共服务提供者的单位和个人。通说认为本罪的主体为网络服务提供者，单位和个人均可构成本罪。

此外，还有一种观点认为本罪的犯罪主体是单位，并且限于网络服务提供者。本文采纳通说的观点，因为网络服务提供者对网络安全具有支配地位，其他人或机构很难进入此领域进行及时有效的安全管理，司法实践中，侵犯用户个人信息的犯罪更多的发生在网络服务提供者单位的工作人员身上，因此对于工作人员也存在规制的必要。

而对于“单位”应作何理解？《全国法院审理金融犯罪案件工作座谈会纪要》明确了单位的分支机构或者内设机构、部门实施犯罪行为的，应认定为单位犯罪。据此，分公司等分支机构被涵盖到刑法“单位”的概念中，因而也应该可以作为本罪的犯罪主体。那么当某一分支机构被监管部门责令采取改正措施后，哪些主体可能成为本罪的适格主体？对于这个问题的回答将会对具有很多分支机构的大型企业产生巨大的影响。如果因为分支机构被责令采取改正措施，整个企业就要负担整改义务并可能会触犯到该罪，那么这将会使上述企业负担过重的监管与整改义务，使其开展业务面临困境。

因此如何回答这一问题，将会在实务界产生重大影响。对于金融机构来说也是如此，分支机构是否是此罪的犯罪主体也将决定金融机构集团对于此罪的合规整改方向。

三、该罪在刑事合规视角下的新解读

刑事合规是指蕴含企业犯罪责任模式预防转型以及涉企刑法系统整合的旨在激励企业主动实施合规计划的法律制度体系，其目的是在于通过制定或实施刑事合规计划，在避免卷入刑事风险的同时来为企业创造价值，促进企业更好地发展。而拒不履行信息网络安全管理义务罪中隐含的逻辑为：刑法并不否定行为人不履行法定义务的违法性，但是采取有效补救措施，可以免于或者减轻刑罚的不利后果。可以看出，二者在目标与取向方面蕴含一定的相似性。

同时，企业实施刑事合规计划大致可以分为三种情况：(1）在违法行为发生之前，行为人已经主动制定并实施了合规计划；(2）在违法行为发生之后、执法、司法机关启动制裁程序之前，主动制定并实施合规计划；(3）在执法、司法机关启动制裁程序之后，主动或者被动制定并实施合规计划。而网络服务提供者根据监管部门的行政命令采取改正措施，可以认定为是第三种情况。

因此，进行刑事合规与拒不履行信息网络安全管理义务罪中“根据监管部门的行政命令采取改正措施”具有一致性。从此视角来看，金融机构刑事合规整改还具有避免落入此罪的作用。同时，该罪构成要素设置完全符合刑事合规的精神，也可以成为推动刑事合规制度的规范基础。

四、写在最后

拒不履行信息网络安全管理义务罪设立至今，经过近几年实务界与理论界的研究，虽在适用中慢慢完善，但仍然存在问题，比如责令改正的内容不清等。从网络服务行业的长远发展而言，当前似不宜赋予其过重且事实上无法做到的义务要求。因此，责令改正的内容原则上应当具体明确，通常应当限于已经发生的危害行为。

此外还有责令改正的主体和方式，拒不改正的认定，免责规则确立等问题有待解决。但是在刑事合规的视野下，该罪也可以从新角度进行重新解读和运用，从而使企业能够更好的规避刑事风险、合规长远经营。

本文系未央网专栏作者:肖飒 发表，内容属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

免责声明：信息网转载此文目的在于传递更多信息，不代表本站的观点和立场。文章内容仅供参考，不构成投资建议。如果您发现网站上有侵犯您的知识产权的作品，请与我们取得联系，我们会及时修改或删除。

Tags：[db:TAG标签](643390)冠军(12)球衣(2)詹姆斯力(1)伤病困扰(1)销量榜(1)

转载请标注：信息网——刑事合规对金融机构有多重要？从具体罪名说起