下载掌阅APP,畅读海量书库
立即打开
第5节
由于互联网金融是依托互联网而存在的新业态,因此,其首先涉及的重大法律风险便是网络及信息安全的法律风险。与之相关,国内出台了若干法律,对此问题作了详细规定。
在刑事法律风险方面,2015年8月,第十二届全国人大常委会十六次会议表决通过《刑法修正案(九)》,自2015年11月1日起开始施行。新增的犯罪行为规定涉及信息安全管理渎(失)职罪。《修正案》在《刑法》第二百八十六条后增加一条,作为第二百八十六条之一。该法规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
另外,《修正案》规定在《刑法》第二百八十七条后增加两条,作为第二百八十七条之一、第二百八十七条之二。其中,第二百八十七条之一规定,利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;(三)为实施诈骗等违法犯罪活动发布信息的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
《刑法》第二百八十七条之二规定,明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通信传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
上述新增罪名,主要涉及关于网络服务提供者的一些禁止性行为。网络服务提供者对网络安全具有排他的支配地位,其他人或机构很难进入该领域进行及时有效的安全管理。因此,法律和行政法规规定了网络服务提供者对网络安全具有监督型作为义务。如行为人能履行而拒不履行安全管理义务,应成立不作为犯罪。另一方面,在大数据背景下,如硬性要求行为人对网络信息安全进行实时全面的维护并不现实。《刑法》仅对网络服务提供者进行有限制的处罚,即需要网络服务提供者满足以下条件才成立犯罪:
(1)经监管部门通知采取改正措施而拒绝执行;
(2)情节严重,即致使违法信息大量传播、致使用户信息泄露造成严重后果、致使刑事犯罪证据灭失,严重妨害司法机关依法追究犯罪等。
上述关于刑事法律风险方面的规定,应与行政部门关于信息网络安全管理方面的法规相对接。这包括工信部制定的《通信网络安全防护管理办法》
,该法规明确要求通信网络运行单位(指电信业务经营者和互联网域名服务提供者)进行安全风险评估。另外,从业者亦可参考公安部2007年6月公安部等部门颁布的《信息安全等级保护管理办法》
以及《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》
等。工信部制定的《通信网络安全防护管理办法》和公安部发布的《信息安全等级保护管理办法》,这两个部门的规章中一些内容相互交叉,部分重复。不过,前者侧重于网络风险评估,后者侧重于信息等级保护,技术规范与标准适用的用户群体不太一样。
当然,大部分互联网金融机构皆涉及公众利益,按这两个部门规章要求,互联网金融机构应同时达到两个规章的要求,否则可能涉嫌违规。从互联网金融行业属性来说,工信部的风险评估对企业安全帮助比较大,尤其是在网络安全方面。公安部的等级保护测评偏重于信息系统安全,主要适用于大型央企、国企、政府。从2016年8月24号公布的《网络借贷信息中介机构业务活动管理暂行办法》(下文简称《办法》)看,上述两个部门规章都需要网贷平台遵守,且风险评估对申办ICP(或EDI)亦有直接作用。
具体而言,《办法》第十八条规定,网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。网络借贷信息中介机构应当记录并留存借贷双方上网日志信息、信息交互内容等数据,留存期限为自借贷合同到期起5年;每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。网络借贷信息中介机构成立两年以内,应当建立或使用与其业务规模相匹配的应用级灾备系统设施。
因此,根据《办法》的上述要求,网贷平台作为在线网络借贷服务的提供者,应尽到维护网络安全和信息安全的义务。如果经监管部门责令网贷平台采取改正措施,网贷平台拒不改正,如果致使违法信息大量传播,或者致使用户信息泄露,造成严重后果的,则可能由行政处罚的法律风险上升为面临刑事法律风险。网贷平台面临的这种法律风险,同时也完全可能适用于其他互联网金融机构。
另据《中华人民共和国电信条例》规定,任何组织或者个人不得有下列危害电信网络安全和信息安全的行为:
(1)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改;
(2)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动;
(3)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施;
(4)危害电信网络安全和信息安全的其他行为。
违反上述规定,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照有关法律、行政法规的规定予以处罚。这值得从业者一并参照。