有幸受邀参加科技论坛，与诸位方家一起探讨“科技与信任”的话题。我们的基本结论是：科技塑造信任，鉴于信任的底层是科学技术，信任的边界与科技边界并无本质区别。但是，鉴于现在人的生活大量迁移至移动互联网，信任机制的法律边界应当愈发精细化、愈发周延。

一、信任的法律边界，最基础的是数据之法律边界

科技创造信任，利用“数据”的泥巴捏造出了信任的雏形。此前人们的信任体系可以说是基于人际关系的人际信任与基于法律制度的制度信任，新时代的信任就是科技信任、技术信任或者说数字信任，数字信任是基于人类对算法、系统、技术的信任而产生的一种普遍脱离身份束缚，不需要身份角色的信任。不可否认的是，无论是此前基于区块链技术而形成的机器信任，还是如今通过多种技术融合通过对数据全生命周期的可信管理形成的信任，信任的底层均为科学技术，所以我们需要首先审视基础材料---数据的法律边界。

（1）侵犯公民个人信息罪

我国《刑法》第二百八十五条之一规定了侵犯公民个人信息罪，包括有三种行为，分别是向他人出售或者提供公民个人信息、将在履行职责或者提供服务过程中获得的公民个人信息、出售或者提供给他人以及窃取或者以其他方法非法获取公民个人信息，虽构成本罪要求情节严重，但“一条破功”，根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释 》，“违法所得”5000元以上的，都属于“情节严重”。（当然，个人信息有些严格的界定和分级分类标准，并非所有由用户产生的数据都属于个人信息）

Web3.0长期以来的目标与愿望是使得用户可以成为互联网的主人，实现用户对数据的完全掌控，但不可否认目前并没有完全实现，用户数据仍留存于平台，不得不在对用户信息的收集和使用过程中，防范法律风险。向用户明示收集个人信息的目的并经过用户的自主选择同意是必不可少的前提，任何超出必要范围的行为都会构成对公民个人信息的侵害。

特别需要注意的是，单位也可以构成侵犯公民个人信息罪，按照单位犯罪的理论，单位成员犯罪，单位也需要承担责任，企业员工将履职或者提供服务过程中将所收集的公民个人信息违法提供给他人使用，也会导致企业因此承担侵犯公民个人信息罪等刑事责任。不得不提前考虑的是，公司、企业等单位如何通过事前刑事合规的方式来对侵犯公民信息的犯罪加以防范，防止员工个人牵连企业。如果项目方在事前已经通过严密的事前刑事合规以防范相应的犯罪，那么公司、企业等单位就有充分的理由在事后主张其欠缺主观故意或过失，进而阻却企业刑事责任。

（2）拒不履行网络安全义务罪

我国刑法第二百八十六条之一规定的拒不履行信息网络安全管理义务罪，是典型的不作为犯，就是“当为而不为”，根据《网络安全法》等前置法律法规的规定，网络服务提供者的信息网络安全管理义务大致包括以下几个方面：

防止违法信息大量传播义务。根据《网络安全法》第47条之规定，网络运营者应当加强对其用户发布信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当采取手段防止信息扩散并向有关主管部门报告。

防止用户信息泄露义务。根据《网络安全法》第42条第2款规定，网络运营者应当采取相应措确保收集的个人信息安全，防止信息泄露、损毁、丢失，并在发生上述情况时，及时向有关主管部门报告。

防止刑事案件证据灭失义务。根据《网络安全法》第28条规定，网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

网络服务提供者实施了违法行为之后不遵照监管部门的责令改正通知予以改正，是对行政命令不予服从，导致自上而下的行政管理失效，网络服务提供者由外向内的自我管理停滞，信息网络安全岌岌可危，信息网络安全秩序节节溃败，信息网络安全管理秩序受到损害。

就数据全方位管理而言，在利用网络提供服务时，必然会涉及到信息的收集、储存与使用，在此过程中会受到行政监管部门的约束与管理，在其实施相关违法行为时比如致使用户信息泄漏将收到责令改正的通知，此时可以认定该区块链应用方的行为已经对信息网络安全管理秩序造成破坏。而当行政规制无法发挥相应的作用，刑事手段便走上台前来保护已经被破坏的信息网络安全管理秩序。

在Web3.0时代到来以前，上述网络安全管理义务大多需要相应的直接责任人员去“人工履行”。然而随着Web3.0及智能合约的出现，网络安全主管部门可以预先设定好履行信息网络安全管理义务的一整套标准化智能合约，通过智能合约机制将网络服务提供者需要履行的信息网络安全管理义务写入标准化的智能合约中，网络服务提供者仅需要按照相关行业规定引入这类智能合约，计算机网络便会忠实执行智能合约中规定的信息网络安全管理义务，不仅大大提高了网络安全管理义务的履行程度，而且还会大大降低网络服务提供者构成拒不履行信息网络安全管理义务罪的可能性。

（3）帮信罪

帮助信息网络犯罪活动罪是《刑法修正案（九）》新增设的罪名，明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助将构成此罪。在实务中一些提供支付结算、广告推广的企业抱有侥幸心理，以为只是根据甲方的订单提供服务，自己知道的越少就越安全，甚至认为不知道对方的具体业务就不构成犯罪。单纯强调“不知者无罪”，很可能使自己陷入帮助信息网络犯罪活动罪的刑事法网之中。

传统共同犯罪往往以正犯为中心，而本罪则呈现出去中心化的特点。传统共同犯罪中正犯行为具有很强的支配性。这种中心性可看作是一个简单的太阳系结构，正犯乃是太阳，所有的帮助犯、教唆犯都围绕着正犯公转。而在帮助信息网络犯罪活动中，资金结算、广告推广、技术支持等活动则呈现出产业链和产业网这样的去中心化特点，一个资金结算平台不会仅针对一个客户，同样整个网络犯罪产业网中也不会有一个真正的中心。

针对帮助信息网络犯罪行为呈现出的去中心化特点，两高出台的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》规定，“确因客观条件限制无法查证被帮助对象是否达到犯罪程度，但相关数额总计达到前款第二项至第四项规定标准五倍以上，或造成特别严重后果的，应当以帮助信息网络犯罪活动罪追究行为人的刑事责任。”

针对本罪帮助行为呈现的意思联络消解的特点，上述司法解释专门规定了六种客观行为+兜底条款组合的方式用以认定“明知”，同时采取了“但有相反证据的除外”这一措辞，与2016年出台的电信网络诈骗相关的司法解释用“但有证据证明确实不知道的除外”迥然不同。

对此，为了防止刑事风险，飒姐团队建议可以建立下述合规机制：

设立企业监管联络部门。与网信、电信、公安等监管部门建立长期有效的对接机制。《解释》第十一条第（一）项规定，经监管部门告知后仍然实施有关行为的，可以认定“明知”，那么合规的重点就应当在于同监管部门建立长期、有效、及时的对接机制。最高人民检察院法律政策研究室编写的本罪重点难点问题解读中亦指出，考虑到我国实际监管执法情况，本《解释》第十一条第（一）项里的“告知”不以书面形式为限，因此更有必要设立专门部门、专人与监管部门对接，以规避自己的刑事风险。

设立刑事风险评估部门。包括在与甲方合作之前通过审核其业务模式、行政处罚记录、诉讼信息、营业资质等信息确定对方的刑事风险，了解对方是否涉及高风险业务，并留下书面审核记录以备监管部门审核。在合同签订过程中增设己方提供的支付结算、广告推广、技术支持等业务不得用于非法用途等条款。

如上法律边界看似清晰无比，实则随着科技发展和社会管理形式的变化也会发生