网络服务提供者侵犯公民个人信息犯罪的刑法分析

2016-02-13房慧颖胡荷佳华东政法大学刑事法学研究院上海200042

铁道警察学院学报 2016年2期

房慧颖，胡荷佳（华东政法大学刑事法学研究院，上海200042）

房慧颖，胡荷佳
（华东政法大学刑事法学研究院，上海200042）

摘要：《刑法修正案（九）》完善了有关公民个人信息犯罪的规定。网络服务提供者侵犯公民个人信息必须以“违反国家有关规定”为前提。非法的公民个人信息不属于刑法保护的对象。单位网络服务提供者实施窃取、收买、非法提供信用卡信息犯罪的，按照侵犯公民个人信息罪定罪处罚。网络服务提供者非法出售或提供公民个人信息的，根据是否利用工作便利进行分别处理。网络服务提供者泄露公民个人信息犯罪是一种纯正的不作为犯，必须在致使用户信息泄露，造成严重后果时才构成犯罪，而且主观罪过是故意。网络服务提供者侵犯公民个人信息犯罪与泄露公民个人信息犯罪之间是想象竞合而非法条竞合。

关键词：网络服务提供者；公民个人信息犯罪；刑法修正案（九）

网络公民个人信息犯罪一般是指网络领域中侵犯公民个人信息的犯罪。1997年《刑法》并没有专门设立侵犯公民个人信息的犯罪。2005年2月28日全国人大常委会通过的《刑法修正案（五）》设立了窃取、收买、非法提供信用卡信息罪，但信用卡信息只是公民个人信息中的极小部分内容。2009 年2月28日全国人大常委会通过的《刑法修正案（七）》专门设立了侵犯公民个人信息犯罪的两个罪名，即出售、非法提供公民个人信息罪和非法获取公民个人信息罪。2015年8月29日全国人大常委会通过的《刑法修正案（九）》进一步完善了关于公民个人信息犯罪的规定，尤其加大了对网络公民个人信息的保护力度。但是，对于新规定中对网络服务提供者侵犯公民个人信息犯罪的处罚，在理解和适用上存在着诸多可能产生的争议和需要探讨的问题。因此，本文结合《刑法修正案（九）》的有关规定，对网络服务提供者侵犯公民个人信息犯罪的司法认定及相关问题作一简要分析。

一、网络服务提供者非法获取和提供公民个人信息犯罪行为的认定

《刑法修正案（九）》第17条规定，将《刑法》第253条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”此规定设立了“侵犯公民个人信息罪”①原罪名“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪“已合并为一个罪名，统一改称为“侵犯公民个人信息罪”。。与原条文相比，该条文作出了四个方面的修改：一是取消了原《刑法》第253条之一第一款的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”的主体身份限制。二是将原有的“出售或者非法提供”行为的表述修改为“违反国家有关规定，向他人出售或者提供”。三是将履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的行为作为侵犯公民个人信息罪的从重处罚情节。四是修改了法定刑，原来只有一个量刑幅度，即“三年以下有期徒刑或者拘役，并处或者单处罚金”；现在增加一个量刑幅度，即“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。根据《刑法修正案（九）》的上述修改，网络服务提供者侵犯公民个人信息犯罪在司法认定和法律适用方面也产生了新的问题，具体分析如下。

（一）对“违反国家有关规定”中“规定”的界定

应当看到，无论是通常情况下的出售或者提供，还是履行职责或者提供服务过程中的出售或者提供公民个人信息的行为，要构成犯罪，都必须是“非法”出售或者提供。如果“合法”地提供，就不可能构成犯罪。对于何谓“非法”，《刑法修正案（九）》在两个条款中特别限定为“违反国家有关规定”。这两个条款中“违反国家有关规定”的表述，表明其犯罪类型为法定犯。法定犯与自然犯的区别在于，自然犯的违法性确认标准是，只要实施了刑法分则所预定的行为类型就可以推定行为人的行为具有违法性，而法定犯的构成需要以行为人实施了违反前置性法律、法规的行为为前提。法定犯的功能在于提示行为人必须尽到最大的注意义务以确认自己的行为是否违法，或者说给行为人提供了违法性认识的契机［1］。这两个条款中的“违反国家有关规定”也具有判定行为是否具有违法性的功能。根据《刑法》第96条之规定，违反国家规定是指“违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令”②据统计，我国目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。参见卢建平：《我国侵犯公民个人信息犯罪的治理》，载《法律适用》2013年第4期。。由此可以确定，侵犯公民个人信息的危害行为从产生之时起就具备行政违法的性质，其所成立的犯罪就符合法定犯的特征。然而，对侵犯公民个人信息的行为，我国尚未确立统一完备的行政法律制裁体系与刑事制裁相衔接，连治安管理处罚法都未将侵犯公民个人信息的行为作为行政违法行为。我国现有的关于公民个人信息保护的规定较为零散，表现为制定和发布主体不一，散见于不同的法律、法规或规章中，如《电信条例》、《邮政法》、《档案法》、《居民身份证法》、《道路交通安全法》、《反洗钱法》、《律师法》、《公证法》、《劳动争议调解仲裁法》、《银行业监督管理法》等。不过，笔者认为，虽然我国没有统一的《个人信息保护法》，但上述有关公民个人信息保护的分散规定，应当视为“违反国家规定”中“规定”的范畴。对于“违反国家规定”界限的确定，我们可以从以下两个方面把握：

一是必须严格按照《刑法》第96条之规定确定“国家规定”的界限。“国家规定”的制定主体仅限于全国人民代表大会及其常务委员会和国务院。2011年4月8日最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通知》也指出，根据《刑法》第96条规定，刑法中的“国家规定”是指，全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。其中，“国务院规定的行政措施”应当由国务院决定，通常以行政法规或者国务院制发文件的形式加以规定。以国务院办公厅名义制发的文件，符合以下条件的，亦应视为刑法中的“国家规定”：（1）有明确的法律依据或者同相关行政法规不相抵触；（2）经国务院常务会议讨论通过或者经国务院批准；（3）在国务院公报上公开发布。该《通知》第2条规定，对于违反地方性法规、部门规章的行为，不得认定为“违反国家规定”。

二是违反国家规定的内容必须以明确规定为前提。罪刑法定原则不禁止在一定条件下将部分构成要件的认定委诸行政法规等相关“国家规定”。关于国务院部门的规章对行政法规的具体化规定是否属于“国家规定”，在实践中存在争议。这涉及如何认定法律、行政法规“二次授权”的部门规章、地方性法规的效力。如《行政许可法》第14条规定，法律、行政法规以及国务院发布的决定可以设定行政许可；第16条第2款、第3款作出“二次授权”，其明确规定：“地方性法规可以在法律、行政法规设定的行政许可事项范围内，对实施该行政许可作出具体规定。规章可以在上位法设定的行政许可事项范围内，对实施该行政许可作出具体规定。”笔者认为，部门规章、地方性法规等虽然效力层级未达到主体资格要求，但其效力得到行政许可法的授权和认可，它是对行政许可法在某一具体领域的细化规定。此时，违反部门规章或地方性法规的行为，实质上就是违反行政许可法的行为。因此，当部门规章、地方性法规的规定是对行政法规的进一步细化时，可以将其作为认定是否“违反国家规定”的依据，因为其实质是上位法的具体展开。

（二）不存在非法的公民个人信息

虽然理论上对于公民个人信息的概念有识别说、隐私说和折中说的观点①识别说认为，公民个人信息是具有属性特征的个人数据和经过加工处理的个人数据的集合；隐私说是将个人信息与个人隐私的概念相等同，认为只要是公民不愿公开的、与个人相关且与公共利益无关的，都属于公民个人信息范畴；折中说是由上述两种观点结合而成，它对公民个人信息进行罗列，试图穷尽所有内容，包括自然人的姓名、性别、出生日期、家庭地址、身份证号码、联系方式、婚姻、职业、学理、指纹、医疗记录、资产状况等，单独或者与其他资料相结合能够将本人识别出来的，本人不愿为不特定人所获知的个人资料。参见郎庆斌等：《个人数据保护概论》，人民出版社2008年版，第12页；井慧宝、常秀娇：《个人信息概念的厘定》，《法律适用》2011年第3期。，但鲜有学者讨论公民个人信息中是否有非法信息的问题。笔者认为，实际上并不存在非法的公民个人信息。

我们界定一个法律概念的含义时，如已有相关法律规定，应当依据该规定。根据2013年9月1日中华人民共和国工业和信息化部实施的《电信和互联网用户个人信息保护规定》第4条的规定，用户个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。同时，根据2012年12月28日全国人大常委会通过的《关于加强网络信息保护的决定》第1条的规定，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。

国外相关规定也可作为参考。《日本个人信息保护法》第2条第1款规定：“本法所称的‘个人数据’系指与生存着的个人有关的信息中因包含有关姓名、出生年月及其他内容而可以识别出特定个人的部分（包含可以较容易地与其他信息相比照并可以借此识别出特定个人的信息）。”《韩国公共机关个人信息保护法》第2条第2款规定：“‘个人信息’系指与生存着的个人有关的信息中，可以利用该信息所包含的姓名、居民登记号码等事项识别该个人的信息（包含虽然仅仅利用该信息并不能够识别出特定个人，但可以较为容易地将其同其他信息结合并识别出特定个人的信息）。”

从上述有关规定中可以看出，公民个人信息都是受到法律保护的、合法的信息。公民个人信息与财产犯罪中的赃物不同，赃物是一种非法财产，而非法取得的公民个人信息不会因为手段的非法而成为非法信息。另外，公民个人曾经实施过的违法犯罪活动信息如行为人已受到过惩罚，可以成为公民个人的隐私，但是，未予处理过的违法犯罪事实不能被视为公民个人隐私而受到法律保护。

（三）关于网络服务提供者非法出售或提供公民个人信息的处理

《刑法修正案（九）》第17条第2款规定，违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照侵犯公民个人信息罪的规定从重处罚。立法者之所以在该条款中对服务提供者作出从重处罚的规定，是因为其利用了提供服务的工作便利。《刑法修正案（九）》第17条第2款的规定其实包括两种情形：一是利用职务便利，二是利用工作便利。刑法中“利用职务上的便利”往往是指利用主管、管理等权力范围内的便利，而并非指一般的工作或服务便利。利用职务上的便利是某些职务犯罪的特殊构成要件，它与利用工作上的便利完全不同，后者可以是与职务无关的经手、经管事项的工作之便利。而服务领域如网络服务难以归入“履行职责”的范畴中，因此，立法者在“履行职责”之外又规定了“提供服务”，其实就是为了扩大打击犯罪的范围。

从上述理解中，我们可以进一步认为，网络服务提供者出售或非法提供的公民个人信息是合法获取的公民个人信息。但如果网络服务提供者并不是在提供服务过程中获取公民个人信息，而是采用其他非法手段取得，然后加以出售或非法提供，此时应适用《刑法修正案（九）》第17条第1款的规定，即按照普通的侵犯公民个人信息罪处理。由此，我们能否认为，《刑法修正案（九）》第17条第1款与第2款的区别就在于取得信息的手段是否合法？毫无疑问，第2款中规定的行为人取得信息的手段是合法的，而第1款中规定的公民个人信息的来源应当理解为包括两种情形：一是非法取得的公民个人信息。此时，法条中“违反国家有关规定”的规定，只是“非法”一语的另一种表达方式而已，即行为人将非法取得的公民个人信息予以非法出售或提供。二是非履行职责或提供服务过程中合法取得的公民个人信息，如行为人并没有采用非法获取的手段，而是通过捡拾或偶然听到等方式获取公民个人信息。因此，我们不能一概认为第1款规定中获取的信息必然是非法的。

二、单位网络服务提供者实施窃取、收买、非法提供信用卡信息罪的处理

信用卡信息是公民个人信息中的一种特殊信息。行为人窃取、收买、非法提供信用卡信息与侵犯公民个人信息罪之间只是在犯罪对象上存在差别。前者为特殊对象，后者为一般对象，两者之间存在法条竞合关系。刑法理论上一般认为，法条竞合的处理原则是：特别法优于普通法，例外情形下，重法优于轻法。根据《刑法》第177条之一的规定，窃取、收买、非法提供他人信用卡信息资料的，法定最高刑是10年有期徒刑，法定最低刑是拘役。根据《刑法修正案（九）》第17条的规定，侵犯公民个人信息罪法定最高刑是7年有期徒刑，法定最低刑是拘役。按照法条竞合的处理原则（无论是按照特别法优于普通法，还是重法优于轻法），对于自然人窃取、收买、非法提供信用卡信息的，应该按照窃取、收买、非法提供信用卡信息罪定罪处罚。

我国刑法对于窃取、收买、非法提供信用卡信息罪只规定了自然人犯罪，而未规定单位犯罪。实践中如果单位实施了窃取、收买、非法提供信用卡信息的行为，是按自然人窃取、收买、非法提供信用卡信息罪处理，还是按照单位侵犯公民个人信息罪处理？根据2014年4月24日全国人大常委会通过的立法解释，公司、企事业单位、机关团体等单位实施刑法规定的危害社会的行为，刑法分则和其他法律未规定追究单位的刑事责任的，对组织、策划、实施该危害社会行为的人依法追究刑事责任。从该立法解释看，似乎我们对于单位实施窃取、收买、非法提供信用卡信息罪可按照自然人窃取、收买、非法提供信用卡信息罪处理。但信用卡信息又是公民个人信息中的一种特殊信息，我们也完全可以按照单位侵犯公民个人信息罪处理。笔者认为，既然按照《刑法修正案（九）》第17条的规定，单位可以构成侵犯公民个人信息罪，对于单位实施的窃取、收买、非法提供信用卡信息的行为，就可以按照单位侵犯公民个人信息罪定罪，而不必认定为自然人窃取、收买、非法提供信用卡信息罪。

在这里，需要讨论两个问题：一是个人犯罪条款与单位犯罪条款是否属于法条竞合；二是无单位犯罪的窃取、收买、非法提供信用卡信息罪与单位侵犯公民个人信息罪之间，是否属于法条竞合。就第一个问题而言，笔者认为，法条竞合解决的是两个罪名之间选择何种罪名更符合犯罪构成特征，更能体现刑法公正的问题。虽然同一条文内的自然人犯罪和单位犯罪行为方式相同，只是主体不同，但我们不能把单位看成是个人的特殊主体，因为这两种主体是完全独立的主体，不存在一种主体是一般、另一种主体是特殊的问题。因此，在同一条款内的自然人犯罪与单位犯罪之间不属于法条竞合。就第二个问题而言，笔者认为，法条竞合必须是两个法条确实在刑法上实际存在时才考虑选择的问题。如果行为人以单位的名义实施了所谓的单位窃取、收买、非法提供信用卡信息犯罪，其实仍属于自然人的窃取、收买、非法提供信用卡信息犯罪，此时，不存在所谓的法条竞合，按照自然人犯罪处理即可。但如果确实是单位实施了窃取、收买、非法提供信用卡信息犯罪（即行为完全是以单位名义实施、体现单位意志、违法所得亦归单位所有），此时，这种单位犯罪亦符合了单位侵犯公民个人信息罪的构成要件，理应按照单位侵犯公民个人信息罪定罪量刑。这里采用的原则并不是法条竞合的重法优于轻法原则，而是法律效力上的新法优于旧法原则。因为，全国人大常委会通过立法解释的时间是2014年4月24日，而《刑法修正案（九）》生效的时间是2015年11月1日。《刑法修正案（九）》是新法，全国人大常委会通过的立法解释是旧法。当然，一般情况下，法律的效力要高于法律解释，只是全国人大常委会通过的立法解释其效力等同于法律，所以，仍应按照新法优于旧法原则来处理。

三、网络服务提供者泄露公民个人信息犯罪行为的认定

《刑法修正案（九）》第28条规定，在《刑法》第286条后增加一条，作为第286条之一：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使案件证据灭失，情节严重的；（四）有其他严重情节的。”该条文罪名可以称为“拒不履行网络安全管理义务罪”，其中，第二种行为中“致使用户信息泄露，造成严重后果的”就涉及公民个人信息被泄露的情况。对于该犯罪的理解与适用，笔者认为应当注意以下三点。

（一）本罪的行为方式是纯正不作为

笔者认为，本罪是一种纯正不作为犯，是网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正的行为。在刑法理论上，纯正不作为犯的作为义务通常都有法律的明文规定，这是罪刑法定原则的基本要求。

网络服务提供者的不作为义务来源是有关的网络行政和民事法律、法规的规定。如2012年12 月28日全国人大常委会通过的《关于加强网络信息保护的决定》第3条规定，网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。第4条规定，网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。第5条规定，网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。就泄露公民个人信息来看，其结果是“致使用户信息泄露，造成严重后果”。如果未造成严重后果，不能作为犯罪处理，可按照该《决定》第11条之规定，对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚；侵害他人民事权益的，依法承担民事责任。

本罪中，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，造成一定后果的，即可构成犯罪。《刑法修正案（九）》并未规定网络服务提供者必须具有信息网络安全管理的能力。那么，如果网络服务提供者不具备信息网络安全管理的能力，是否还可能构成犯罪呢？理论上一般认为构成刑法上的不作为犯罪必须要求行为人有能够履行特定义务的能力［2］。刑法不强人所难，法律规范与法律秩序只是要求能够履行义务的人履行义务，而不会强求不能履行义务的人履行义务。至于行为人能否履行义务，应从行为人履行义务的主观能力与客观条件两方面进行判断。在拒不履行信息网络安全管理义务罪中，立法者在法条中并未规定“履行能力”是可以理解的，因为网络服务提供者既然经许可从事网络经营服务，有关监管部门就认为其是具备履行能力的，也即无履行能力和履行资格者就不能从事信息网络服务。因此，法条中虽并未规定“履行能力”，但其要求有“履行能力”是不言自明的。特别是法条中采用的是“经责令改正而拒不改正”的表述，更表明网络服务提供者是具备履行能力的。如果网络服务提供者缺乏相应的技术能力，有关监管部门也就不可能去责令其改正。当然，在网络服务领域，如果发生了公民个人信息泄露的行为，而对这种信息泄露行为的防治在网络技术上确实超出了网络服务提供者能够履行的能力范围，网络服务提供者没有采取相应改正措施的，就不应作为犯罪处理。

另外，“经监管部门责令采取改正措施而拒不改正”是构成拒不履行网络安全管理义务罪的前置程序。之所以作这样的规定，主要是因为拒不履行信息网络安全管理义务行为本来是由信息网络管理民事、行政、经济等非刑事法律规范所调整的。为了限定刑法处罚范围，给网络服务提供者一个出罪的机会，要求构成本罪须先由“监管部门责令采取改正措施”，只有在应改正而拒不改正的前提下才以犯罪论处，这也是刑法谦抑性的表现。

（二）行为的主观心态是故意

由于本罪是新设立的犯罪，对于其主观方面的心理态度理论上还无专门的讨论。笔者认为，本罪的主观方面应该是故意。当然，或许有人认为，行为人虽然对于不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正的行为是故意的，但对可能会造成的有关后果（如用户信息泄露）是持否定或排斥态度的。所以，本罪仍可能是一种过失犯罪，或者是一种包含故意或过失双重罪过的犯罪。类似的争论在其他犯罪中也曾出现过。如对于《刑法》第129条规定的丢失枪支不报罪的主观罪过，有人主张是故意［3］，有人主张是过失［4］，还有人认为既可能是过失，也可能是间接故意［5］。认为是故意的人主要考虑的是不及时报告的行为，认为是过失的人主要考虑的是造成严重后果的事实。其他条文也有存在类似问题的。这些条文所规定的犯罪的共同点是，行为人明显是出于故意实施犯罪行为的，但对于刑法明文要求发生的结果却可能不是出于故意，而是过失。拒不履行信息网络安全管理义务罪也属于相同情况，但笔者认为该罪的主观方面是故意，不是过失，也不属于包含故意和过失的双重罪过。理由是：

第一，双重罪过的说法是违背我国刑法基本原则的。我国刑法规定的罪刑法定原则和罪刑相适应原则要求，犯罪人所受的处罚应该与其所犯罪行的严重程度相适应，重罪重罚，轻罪轻罚。而罪行轻重程度不仅仅是客观行为及其造成的后果，也包括行为人的主观恶性大小。在其他条件相同的情况下，故意犯罪的处罚应该重于过失犯罪。而一个犯罪中有双重罪过的说法，则无法真正贯彻罪刑法定原则和罪刑相适应原则。

第二，认为本罪属于过失犯罪的说法也违背我国刑法的有关规定。因为我国《刑法》第15条第2款规定，过失犯罪，法律有规定的才负刑事责任。在我国的刑事立法中，立法者通常对于故意犯罪作出处罚规定，对于过失犯罪只是在有必要处罚时才进行例外规定。可以说，立法处罚故意是原则，处罚过失是例外。由此，我们也可以推导出，有故意犯罪，不一定有过失犯罪（过失行为是存在的，但刑事立法不规定）；但有过失犯罪，必然有相对应的故意犯罪。对拒不履行网络安全管理义务罪，如果我们把该罪的主观方面理解为是过失，那么刑法必然会规定相应的故意犯罪。从举轻以明重的角度我们也可以得出这种结论。而目前我们找不到《刑法修正案（九）》中有相应的故意犯罪规定。所以说，认为本罪属于过失犯罪的说法也是不成立的。

第三，用户信息泄露的后果应该属于客观的超过要素，不能作为评价罪过的对象。根据我国刑法有关规定，评价一个犯罪的罪过只能是以行为人对危害结果的认识为标准，而不能以对危害行为的认识为依据。如在交通肇事罪中，行为人对于违章行为是故意的，但对于发生死伤结果是过失的，所以，从危害结果的角度，我们认为交通肇事罪的主观罪过仍是过失。然而，在有些犯罪中，这种结果只是一种对客体侵犯的抽象结果，而具体结果却只是客观的超过要素。客观的超过要素不能作为我们评价一个犯罪的主观罪过的标准。如《刑法》第129条规定的丢失枪支不报罪中，“造成严重后果”虽然是构成要件，但不需要行为人对严重后果具有认识与希望或放任态度。造成严重后果便成为超出故意内容的客观要素，属于客观的超过要素［6］。超过的客观要素只应存在于有双重危害结果的犯罪中。具体有四种情况：第一，当犯罪行为既有物质性结果也有非物质性结果时，可能只要求行为人认识到其中的一种结果，而另一种结果是超过的客观要素。例如，《刑法》第186条规定的违法发放贷款罪，违法发放贷款行为本身，就是对金融秩序的破坏，属于非物质性结果，行为人对此至少具有放任态度。但刑法还规定有该行为造成重大损失的物质性结果。这种物质性结果便是客观的超过要素，不需要行为人对之持放任或者希望态度，但对这种物质性结果的预见可能性则是完全可以肯定的。第二，当犯罪行为造成了危险状态，但刑法还要求实害结果时，实害结果可能是客观的超过要素。第三，当犯罪行为既存在无具体对象的危害结果，又存在针对具体对象的危害结果时，后者可能是客观的超过要素。第四，当犯罪行为存在直接危害结果与间接危害结果时，间接危害结果可能是客观的超过要素。笔者认为，《刑法修正案（九）》规定的拒不履行网络安全管理义务罪就属于第一种情形的适例。因此，该罪的主观罪过应该是故意。

（三）网络服务提供者侵犯公民个人信息与泄露公民个人信息之间不是法条竞合关系

《刑法修正案（九）》第17条规定，行为人将在履行职责或者提供服务过程中获取的公民个人信息非法出售或提供的，必须依照侵犯公民个人信息罪从重处罚。因此，网络服务提供者将在提供网络服务过程中获取的公民个人信息非法出售或提供的，构成侵犯公民个人信息罪，应从重处罚。但非法出售或者提供本身也是一种泄露公民个人信息的行为，如果网络服务提供者非法提供公民个人信息，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的，是构成侵犯公民个人信息罪还是拒不履行网络安全管理义务罪，或者说这两罪是否可能存在法条竞合值得讨论。

笔者认为，这种情形属于想象竞合犯，而不是法条竞合。因为，法条竞合的两个法条之间本身就在立法时产生了竞合，而想象竞合犯的两个法条之间本身在立法上并没有任何关联，只是由于行为人实施了具体行为从而造成司法处理上的竞合。在侵犯公民个人信息罪的构成中行为人必须实施了“出售或提供”的积极行为，而拒不履行网络安全管理义务罪是一种纯正的不作为犯，作为犯与不作为犯之间是不可能存在法条竞合的。网络服务提供者非法提供公民个人信息，致使用户信息泄露的，是一行为触犯两个罪名的想象竞合犯，应择一重罪处罚。

四、结语

刑法的性质之一就是保障性①刑法的性质主要是指刑法相对于其他法律的属性和特征，具体有：公法性质、强行法性质、实体法性质、实证法性质、司法法性质、严厉性、保障性、谦抑性。参见张小虎：《刑法的基本观念》，北京大学出版社2004年版，第51-55页。。刑法的保障性，是指刑法是其他法律的后盾，保证其他法律得以贯彻实施。从社会规范性对社会生活调整的层面来看，首先是道德调整，道德的要求相对较高；其次是除刑法以外的法律的调整，法律是国家向公民所提出的最基本的行为准则要求；再次是刑法的调整，刑法是维护社会秩序的最后一道防线［7］。正是在这个意义上，法国著名启蒙思想家卢梭指出：刑法是其他一切法律的制裁力量［8］。虽然，我们对所有犯罪是否具有二次违法性特征在理论上尚有不同看法，但对法定犯具有二次违法性的特征已基本达成共识，侵犯网络公民个人信息犯罪是一种法定犯，因此，需要有民事、行政法律、法规作为前提性支撑。而现有的对公民个人信息规范的法律、法规、规章等都是较为分散、零乱的，缺乏系统性、全面性的个人信息保护的基础性法律。纵观世界上大部分国家和地区的立法经验，对违反个人信息保护法的行为追究刑事责任，都是建立在完善的个人信息保护法基础之上的。因此，笔者建议立法机关在《刑法修正案（九）》设立相关新的个人信息犯罪罪名后，可考虑制定出台一部个人信息保护法，使公民个人信息能得到全方位、多层次的保护，从而较好地解决刑法与民事、行政等其他法律的衔接和协调问题。

参考文献：

［1］蒋铃.刑法中“违反国家规定”的理解和适用［J］.中国刑事法杂志，2012（6）：30-37.

［2］刘宪权.刑法学名师讲演录［M］.上海：上海人民出版社，2014：148.

［3］张穹.刑法适用手册［M］.北京：中国人民公安大学出版社，1997：498.

［4］邓又天.中华人民共和国刑法释义与司法适用［M］.北京：中国人民公安大学出版社，1997：189 .

［5］叶峰.刑法新罪名通论［M］.北京：中国法制出版社，1997：34.

［6］张明楷.“客观的超过要素”概念之提倡［J］.法学研究，1999（3）：22-31.

［7］张小虎.刑法的基本观念［M］.北京：北京大学出版社，2004：54-55.

［8］卢梭.社会契约论［M］.何兆武，译.北京：商务印书馆，1982：73.

责任编辑：赵新彬

中图分类号：D924

文献标识码：A