在现代数字经济生态中,应用程序编程接口(API)已经跨越了单纯的技术边界,数据的流动与共享高度依赖于API技术的广泛应用,显然,API已成为连接不同业务场景、实现数据高频交换的核心枢纽。当平台方在追求生态扩张与流量变现时,忽视对API安全逻辑校验,可能导致越权访问、认证失效或流量异常控制不当等漏洞频发,严重的直接演变为第三方恶意爬取数据、侵犯公民个人信息。有鉴于刑法谦抑性与刑事不法判断相对独立性,对于平台提供API的行为,常被视为中立帮助行为,免予刑事制裁,即只要行为在业务外观上具有正当性,即便其客观上助长了下游犯罪,也不具备刑事违法性。然而,与传统的网络接入或服务器租赁服务不同,API漏洞往往直接且精准地指向特定核心数据的非法获取,其法益侵害的紧迫性与直接性远超一般网络帮助行为,传统技术中立的抗辩边界必须被重新解构。因此,若平台方明知自身API存在重大结构性漏洞,却基于商业成本考量而消极不作为,最终致使海量用户信息泄露或被用于实施违法犯罪,仍以“技术中立”被免予追究刑事责任难以全面涵盖平台作为“信息安全守门人”的过错本质。当平台API安全管理失职在满足特定条件时,应被纳入刑法第286条之一规定的拒不履行信息网络安全管理义务罪的规制范畴。
平台API安全管理义务的规范基础与责任边界
认定平台API安全管理失职构成拒不履行信息网络安全管理义务罪的首要前提,是明确API安全管理是否属于本罪中的“法律、行政法规规定的信息网络安全管理义务”。本罪的义务来源依附于前置行政法规,构成要件的表述并未明确规定网络安全管理的义务内容,而在数字技术革新的驱动下,信息网络安全管理义务处于动态变化之中,具有极强的开放性,因此,也无法进一步在刑法层面对构成要件行为予以具体化。
信息网络安全管理义务是保障信息共享的互惠性风险分配机制,其实质是国家基于自身技术能力与监管资源的限制,将部分具有高度技术依附性的监管任务,分配给对特定网络空间具有专业防控能力与实质控制权的经营者。平台方既然通过开放API获得了巨大的生态红利与商业数据流动收益,并在数据收集、处理、利用等环节均占据技术主导优势,则理应对该系统内衍生的风险负有管辖责任,必须承担起防止该风险通道被滥用或攻击的义务。因此,对API实施安全监测、漏洞修复与权限管控,是平台方作为网络服务提供者必须履行的法定管理义务。
然而,如果将网络服务提供者视为网络安全的绝对保证人,实际上是将网络的一般运行环境直接设定成一种危险源,这忽视了平台对危险情况的实际控制能力。因此,在API管控场景中,将平台的信息网络安全管理义务限定为基于其自身系统(如API)的组织管辖所产生的消极防范义务,这既能敦促平台建立常态化的数据调用监控机制,又能避免课以过重的积极审查义务,从而在压实平台主体责任与保护技术创新之间实现平衡。
API管控失职入罪的构成要件展开
对于拒不履行信息网络安全管理义务罪的行为形态,受限于法条中“不履行”的字面表述,通说认为本罪是“纯正不作为犯”,这在一定程度上限制了本罪的司法适用。在API安全管理失职的场景中,行为的定性应高度依赖于具体的技术情境。就网络实践而言,本罪兼具作为犯与不作为犯的特征。一方面,若平台应当采取有效的API身份鉴权与加密措施而未采取,任由外部通过“爬虫”或未授权接口非法获取数据,这属于违反命令性规范的不作为犯;另一方面,若平台明知API存在高危漏洞或已被用于违法信息传播,不仅拒绝关闭高危接口,甚至为了流量或利益继续放任非法调用,这在实质上已经转化为违反禁止性规范的作为犯。因此,无论是怠于修补API漏洞的不作为,还是拒不关闭违规API的作为,均能被本罪的实行行为所统摄。
实践中,行政执法机关在处理网络违规行为时,更倾向于采取行政约谈、限期整改或行政罚款等手段,而非直接移送司法机关,导致该罪名在司法实践中面临适用率低的问题,其中核心阻点在于对“经监管部门责令采取改正措施而拒不改正”这一前置条件的理解适用。“拒不改正”这一表述本身并不具备独立的实行行为内容,它仅是一种用于限制国家刑罚发动范围的客观处罚条件。针对API安全漏洞,要激活该罪的适用,监管部门下达的整改通知必须具备充分的技术明确性与指向性,实践中监管部门的类型可以是多元化的,比如通信管理局、公安机关等对信息安全负有监管义务的责任部门。如果在监管责令之后,平台仅停留在修改用户协议或进行表面权限调整等形式整改层面,而未能从算法逻辑与数据底层通道上实质性地封堵API漏洞,致使数据滥用现象依然大规模存续,则在法律评价上应当认定其构成拒不改正。
在结果要件的判定上,针对API安全失控导致的严重后果,可结合2017年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定进行解读。当API漏洞直接导致包含行踪轨迹、通信内容、征信信息等高度敏感的个人信息被“脱库”或非法倒卖,且达到法定数量标准时,即可认定为“致使用户信息泄露,造成严重后果”。
在主观认定层面,API安全管理失职往往并非出于平台主动泄露数据的直接故意。本罪的主观方面应确证为包含故意与过失的复合罪过形式。在API安全管理实践中,平台可能由于内部安全审核机制形同虚设,对潜藏的API数据越权访问漏洞存在严重过失,如应当预见而未预见,或轻信安全防护系统能够抵御攻击;或者在面临监管部门的警告后,出于商业成本考量,对数据泄露的风险持放任的间接故意态度。
API管控失职刑法规制中的罪名竞合与梯度归责
在平台API管控失职的刑法规制路径上,理论界与实务界常面临拒不履行信息网络安全管理义务罪与帮助信息网络犯罪活动罪(下称“帮信罪”)的竞合适用难题。两者的司法边界应从主观罪过、前置条件与归责逻辑三个核心维度进行界分。在主观方面,帮信罪要求行为人具备明知或应知他人可能利用信息网络实施犯罪的故意,侧重于对受助犯罪的积极辅助意图,如2019年“两高”《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第11条规定,为他人实施犯罪提供技术支持或者帮助,在特定情形下,可以认定行为人明知他人利用信息网络实施犯罪,即直接推定行为人的主观故意;而拒不履行信息网络安全管理义务罪的主观心态则侧重于行为人对法定网络安全管理义务的严重漠视与懈怠。在前置条件上,拒不履行信息网络安全管理义务罪必须具备行政机关责令改正且行为人拒不履行的程序性前置事实,而帮信罪的成立则完全无须此类行政前置程序。在归责逻辑上,拒不履行信息网络安全管理义务罪遵循的是违反行政义务而导致的独立正犯刑事责任模式,帮信罪则采纳了共犯刑事责任模式或是帮助行为正犯化的处罚逻辑。
据此,在处理API管控失职案件时应当根据平台在案件中的介入程度、作用实施梯度分流。当平台仅因技术能力不足,应当预见却未预见API漏洞风险时,应在数据安全法等行政法框架内予以相应行政处罚;若平台已收到监管部门的通知,则需要结合通知内容进行具体分析。若通知中明确责令平台整改API调用数据的相应算法、规则以免用户信息被过度抓取并泄露,却因商业利益驱动而拒不采取实质修复措施,则应依法认定为拒不履行信息网络安全管理义务罪;若平台经监管部门通知后明知他人正利用该API接口实施违法犯罪活动,甚至主动配合黑灰产人员频繁采用修改API参数、隐藏访问日志等隐蔽上网、销毁数据的措施逃避监管或规避调查,则其行为已彻底超越了消极不履行义务的范畴,应依法认定为帮信罪;若平台明知他人利用API实施电信网络诈骗犯罪,仍放任其通过API抓取大量公民个人信息的,应当综合主观明知程度、行为手段、获利情况等情节,妥当作出处理,确保罪责刑相适应。对于主观明知程度较高,非法获利数额巨大,提供的公民个人信息对下游电信网络诈骗发挥作用较大,适用帮信罪、侵犯公民个人信息罪不足以罚当其罪的,可以诈骗罪的共同犯罪论处。
(作者单位:上海政法学院、上海市青浦区人民检察院)