江耀炜

(厦门大学 法学院，福建 厦门 361005)

一、引言：大数据时代的信息危机

近年来，随着互联网的进一步普及，“不论我们是否知道或者经过我们的同意，我们的许多信息正在被浏览、储存、出版、分析、出售、偷窃”[1]802，侵犯公民个人信息犯罪处于较为高发的态势，其社会危害性越来越凸显，在严重危害公民个人信息安全的同时，一方面侵犯公民个人信息的行为可能和电信网络诈骗等犯罪密切关联而危及公民财产安全；另一方面甚至还可能和绑架、故意杀人、敲诈勒索等犯罪密切关联而危及公民人身安全。可以说，在大数据时代，信息危机正在形成和加剧。

对于大数据的概念，学术界一般认为是一种由于较为复杂且规模大，难以用现有的数据处理或者数据库管理工具进行处理的数据集。常见特点包括大规模(volume)、高速性(velocity)和多样性(variety)[2]。在网络出现以前，就存在专业机构对个人信息和数据进行采集和记录，网络的诞生使得这些信息和数据的收集、存储、传输、处理和利用变得成本非常低廉且更加容易，个人信息和数据的收集与交换的趋势呈爆炸式的发展，并且“人、机、物”三元世界在网络空间中交互、融合本身就能够产生网络大数据。在互联网刺激下的大数据迅猛发展与个人信息保护的滞后形成鲜明对比，信息危机随之产生。“危机”实际上就是系统整合(System integration)的持续性失调，即危机产生的条件是社会系统的结构所能够容许的解决问题的可能性低于这个系统继续生存所必需的限度[3]。信息犯罪成为大数据时代一个新的类型，其原因包括信息种类的增加、犯罪主体的扩大再加上犯罪方式的多元化[4]。

在全球化和信息化高速发展的背景条件下，大数据可以说是一个国家基础性的、重要的战略资源，大数据是维护国家数据主权、信息网络安全的重要工具，是打造全新商业生态环境、拓展个人数据应用、推动科技发展，以及提高社会服务能力的重要武器。例如，央视曾经与百度合作利用百度LBS定位数据进行计算分析，通过百度地图卫星定位的可视化大数据，形象地呈现出中国春节前后人口迁徙特征和轨迹，由此可向政府部门提供春运期间人口流动的量化数据并及时调配资源提升公共服务能力[5]。信息时代所带来的变化，使我们无论在哪里都能通过指尖获得在数量上令人难以置信的我们所越来越依赖的商品和服务的信息[1]802。因此，在数据流动、交易过程中如何协调安全与发展的关系、协调国家大数据发展的客观需要与个人信息保护现实要求之间的冲突，如何更加有效地保护公民个人的信息安全，避免个人信息扩散失控，已成为个人信息刑法保护的边界确定需要解决的问题。以此为背景，《刑法修正案(九)》(2015年8月29日通过)再次修改和完善了侵犯公民个人信息犯罪的相关规定，将情节严重的违反国家有关规定向他人提供或者出售公民个人信息的行为作入罪处理，相应地，罪名也被修改为侵犯公民个人信息罪。在此，“违反国家有关规定”是成立犯罪的前置性条件，对其性质和地位的正确把握，是确定刑法保护公民个人信息的边界的重要依据。

二、“违反国家有关规定”：构成要件抑或提示违法性

(一)方法论的歧途：从“违反国家规定”到“违反国家有关规定”

《刑法修正案(九)》第17条对《刑法》第253条之一进行了修订，修订的内容一是在较大程度上扩大了犯罪主体范围；二是将原来罪状描述中的“违反国家规定”修改为“违反国家有关规定”；三是将原来的“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”两罪合一为侵犯公民个人信息罪。对此，全国人大常委会法工委指出，这样的修改扩大了构成犯罪的范围，有利于国家根据不同的领域和行业的不同特点，有针对性地对公民个人信息进行保护，“国家有关规定”与“国家规定”相比范围更宽，前者既包括法律、行政法规的规定，也包括国务院部门规章等国家层面的相关规定[6]124。这一修改的背景，一是中国《个人信息保护法》尚未出台；二是近年来侵犯公民个人信息犯罪的案件处于较为高发形势，已经严重危及公民人身和财产安全。严厉打击侵犯个人信息犯罪的呼声强烈。《刑法》第96条对“违反国家规定”的内涵和外延做了明确界定。《刑法修正案(九)》为了适应打击侵犯公民个人信息的需要，在扩大打击范围的同时又要遵循罪刑法定原则。不突破《刑法》第96条的相关规定，在技术上将“违反国家规定”修改为“违反国家有关规定”，便于后续参照适用法律规范时能够突破第96条设定的限制，对违反国务院部门规章的有关规定侵犯公民个人信息的行为也能够入罪处罚。

然而，如此修改似无必要。尽管中国《个人信息保护法》尚未出台，但是全国人大常委会《关于加强网络信息保护的决定》(2012年12月28日通过并实施，以下简称《决定》)第1条就明确规定了国家保护公民个人的电子信息[注]全国人大常委会《关于加强网络信息保护的决定》第1条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”。国务院部门规章只是在特定的领域对公民个人信息的收集范围、程序，以及使用进行了更为细致的规定，不论是违反国务院部门规章而非法向他人提供或者出售公民个人电子信息的行为，还是违反国务院部门规章非法获取公民个人电子信息的行为，都必然是违反前述《决定》的行为。有学者指出，在信息时代，典型的侵犯公民个人信息的犯罪都是通过电子通讯设备实现的，尤其是互联网通讯设备[7]。对于以非电子形式存在的公民个人信息而言，商业银行法、居民身份证法、护照法、反洗钱法、消费者权益保护法、旅游法、社会保险法、统计法、诉讼法、公证法、律师法、人民银行法等法律也都有关于公民个人信息保护的规定。例如，按照《反洗钱法》第5条的规定，依法履行反洗钱职责、义务、监督管理的机关、单位和个人对于履职过程中获得的相关公民个人数据和信息只能专用于相应的反洗钱目的，不得他用或者向任何单位和个人非法提供、出售[注]《反洗钱法》第5条规定：“对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息，应当予以保密；非依法律规定，不得向任何单位和个人提供。反洗钱行政主管部门和其他依法负有反洗钱监督管理职责的部门、机构履行反洗钱职责获得的客户身份资料和交易信息，只能用于反洗钱行政调查。司法机关依照刑法获得的客户身份资料和交易信息，只能用于反洗钱刑事诉讼。”。对于违反更为细致的部门规章规定的行为必然也是违反前述法律的行为。因而，仅仅根据当前犯罪态势，为了将违反规章的行为纳入刑法调整范围，突破《刑法》第96条的规定，将“违反国家规定”修改为“违反国家有关规定”，在这个意义上说是踏上了方法论的歧途。

(二)刑法教义学的回归：“违反国家有关规定”罪状性质的厘清

所谓的空白罪状是指在刑法分则条文规定的罪状中明确指明需要参照其他的法律法规的规定来确定某一犯罪的犯罪构成的情况，一般来说空白罪状会有一定的引导词，例如“违反……法规”“违反国家规定”等。陈兴良教授将空白罪状进一步区分为绝对的空白罪状和相对的空白罪状[8]。中国所有空白罪状都是相对空白罪状，即在指明需要参照的其他法律法规的同时，也规定了具体的行为构成要件要素。中国《刑法》分则中“违反国家规定”，有的只是作为罪状中其他相关表述的同位语而规定，或者只是为了指示行为的违法性而规定，并没有实体意义；而有的则是作为犯罪的构成要件要素而规定的[9]34。前者如《刑法》第339条非法处置进口的固体废物罪的规定，后者如《刑法》第133条交通肇事罪的规定。当“违反国家规定”属于犯罪的构成要件要素时，法院应查明被告人的行为具体违反了哪个法律法规的规定及其具体条文内容，同时在裁判文书中明确列明，并就该条文在裁判文书的“本院认为”部分予以阐释。当“违反国家规定”只是作为提示违法性而存在时，被告人的行为具体违反了哪个法律法规的规定及其具体条文内容则不需要法院在裁判文书中明确列明。

笔者以为，侵犯公民个人信息罪中的“违反国家有关规定”只是为了指示违法性而存在，并不构成要件要素。理由是：从本罪的罪状结构看，第1款和第2款在“违反国家有关规定”的后面明确指明了行为内容，即向他人出售或者提供公民个人信息情节严重的行为，并且如果所出售或者所提供的公民个人信息是在其履职或者提供服务过程中获得时还需要从重处罚，即便将“违反国家有关规定”删除，罪状结构也是完整的，依据该罪状结构能够独立作出行为性质的判断。而在交通肇事罪中，“违反交通运输管理法规”的后面没有明确的行为内容，删除“违反交通运输管理法规”后，罪状结构变为“因而发生重大交通事故的”，是不完整的，也就是说行为判断需要依赖于前置违反的交通运输法规的具体内容。

因此，对本罪中的“违反国家有关规定”进行解释时并不需要严格苛求所违反的规范是法律法规还是国务院部门规章，而应以罪状为核心，确定本条所保护的法益内容。毋宁说，本罪的“违反国家有关规定”向司法者提示了本罪的违法阻却事由。国家保护公民个人信息，因而不论公民个人信息是否在履行职责或者提供服务过程中获得，只要实施向他人提供或者出售公民个人信息的行为，都是符合本罪构成要件的行为，均能够推定为违法行为。但是法律法规、国务院的部门规章对收集、使用公民个人信息的范围、内容和程序有特别规定时应从其规定，符合这些规定的行为能够阻却违法，而超出前述规定的行为即为违法行为。事实上，笔者从无讼案例库中检索到案由为“侵犯公民个人信息”裁判时间为2016年和2017年的案例共计726件，其中在裁判理由中提到“违反国家规定”的案件94件，提到“违反国家有关规定”的案件198件，即便在裁判理由中提到“违反国家有关规定”的案件，绝大部分也只是笼统的描述而鲜有明确指明被告人所违反的“国家有关规定”的具体法规名称和条文内容。

三、“违反国家有关规定”解释的实质根据：个人生活安宁之侵害

(一)刑法保护个人信息的法理基础：信息自决权

在刑法领域，将某一行为是否犯罪化通常会考量刑法谦抑原则，即强调非犯罪化、强调凡是可以用民事方法处理的都不能用刑事方法处理。陈兴良教授指出，我们在考量某一行为是否应该规定为犯罪行为并对行为人予以刑罚处罚时，首先要考虑的是该危害行为是否具有应受刑罚惩罚的程度的社会危害性，其次还要进一步确定刑罚作为对该行为的法律反应是否具有无可避免性[10]。对于个人信息的法律保护，在民法领域，基于私法自治即“各个主体根据他的意志自主形成法律关系的原则”[11]，提出了信息自决权理论。按照台湾学者的研究，认为所谓的信息自决权是指每个人有权根据自己的意志自主决定是否将自己的个人信息和数据提供给别人使用的权利，换句话说，未经本人允许，个人信息和数据不得被任意收集、存储、传递和利用，即便是由于公共利益的需要有必要限制公民的个人信息自决权时，也需要遵循民主法治原则[12]。那么，信息自决权能否承担起刑法保护个人信息的法理基础？

从全国人大常委会法工委的解释看，刑法设置侵犯公民个人信息罪，“主要是为了惩治违背公民个人意愿，出售、非法提供其个人信息和倒卖公民个人信息行为”[6]122。然而，国家惩治非法收集、提供、倒卖公民个人信息的行为并不是刑法保护公民个人信息的目的，而仅仅是保护法益的手段。只有每个人都能够充分掌握和控制自己的个人信息和数据，从信息的收集、存储、传输、利用、修改、删除等各个环节都允许个人以信息自决权为由参与其中，方能保障生活的安宁和内心的宁静，当然涉及公共利益部分除外。可见，信息自决权并非刑法保护个人信息的法理基础。此外，至少从以下几个方面看，信息自决权尚不能担此重任。

首先，信息自决权能否成为民法上的保护个人信息的根据值得质疑。从来源上讲，信息自决权派生于人格权。人格利益是个人信息保护的核心价值取向和终极目标，而法律保护公民个人信息的理由在很大程度上就是因为在公民个人信息中蕴含着丰富的人格利益[13]。但是，单纯违反个人信息保护规则的行为并不必然是对人格权的侵害。个人信息自决权主张个人对所有具备识别性的个人信息的收集、利用和处理享有绝对的控制权和决定权，而个人信息本身在物理上或者说在技术上都是无法直接对其进行控制的对象，因此个人信息自决权实际上是在保护一种没有边际的个人意志，这样一种保护的权利主张在法律技术上没有清晰的能够为外界所识别的客体外观，并不能为他人的行为划定一个行为边界；在价值取向上这种保护无视个人活动乃至人类社会存在的前提即信息交流[14]33。信息自决权把个人信息的保护建立在捉摸不定的、无法为外界所识别的个人意志和自由之上，这必然会和他人的行为自由产生一定冲突，与私法领域“法无禁止即自由”的原则相悖。既然信息自决权不能成为民法保护个人信息的根据，那么，其更难作为最后保障法的刑法保护公民个人信息的根据。毕竟，“犯罪，就其本质而言，是一种特别危险的侵害法益的不法行为”[15]。

其次，信息自决权理论片面强调个人信息保护的一面，而忽视了信息交流的一面。人是社会的存在，需要与社会成员之间进行交流沟通以维持个体生存和社会的发展进步，在以保护个人信息自决权的法秩序中，人们甚至不能进行交谈，进而也无法进行思考 “在法律上制造个人信息的稀缺性，无异于禁锢思想，阻吓交流”[14]29。这种片面保障个人自由，不顾社会发展需要，忽视社会保护机能的做法亦为刑法所不取。

最后，信息自决权理论不能够解释为什么当向他人出售或者提供的公民个人信息是在履行职责或者提供服务过程中获得时，需要对该行为从重处罚，或者是违反国家有关规定向他人提供或者出售公民个人信息的行为，在个人信息获得途径是非法而提供或者出售时成立普通犯罪，在个人信息获得途径是合法而提供或者出售时需要从重处罚。有学者指出，“信息自由作为人类自由的一项重要内容，是人类的一项基本人权。一个人能否自由地获取、支配信息，直接关系到公民其他各项权利的实现”[16]。如果按照信息自决权理论，后者对于公民信息自由的侵害更小，但是反而立法规定对其从重处罚。这也是信息自决权理论的困惑之所在。

(二)侵犯公民个人信息罪保护之法益：个人生活安宁的证成

“刑法以保护相关法益为立法目的，犯罪的本质就是该犯罪行为侵害或者威胁到了相关法益，因而被刑法所惩罚”[17]。对侵犯公民个人信息罪之“违反国家有关规定”的实质解释需要以设立本罪所保护的法益为根本依据。对于设立本罪所保护的法益，学界认识并不统一，目前主要有人格权说、信息权说、隐私权说、公共信息安全说等[注]参见：翁孙哲《个人信息的刑法保护探析》(《犯罪研究》2012年第1期，第32-39页)；付强《非法获取公民个人信息罪的认定》(《国家检察官学院学报》2014年第2期，第114-121页)；蔡军《侵犯个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望》(《现代法学》2010年第4期，第105-112页)；刘艳红《刑法学(下)》(北京大学出版社，2016年版第254页)；王肃之《被害人教义学核心原则的发展——基于侵犯公民个人信息罪法益的反思》(《政治与法律》2017年第10期，第27-38页)。。从本罪的罪状描述看，所保护的直接对象是“公民个人信息”。显然，“公民个人信息”具有个人法益的属性，但是仅此理解尚无法实现刑法所保护的目的。“公民个人信息”只是刑法所保护的直接对象，是刑法保护的手段，而不是保护的目的。刑法设定该罪名的目的是通过保护公民个人信息来保护公民生活的安宁和作为战略资源意义上的信息安全。更进一步而言，本罪所保护的法益具有超个人法益的属性。

首先，从保护的直接对象看，本罪所保护的直接对象是公民个人信息，其中“公民”具有一定集合的属性。“公民”在宪法中的概念是指“具有一国国籍的人”，而在刑法中不同的场合则有不同的内涵。《刑法》中16次出现“公民”一词，有时使用“公民”一词用于指称任何人，如《刑法》第2条、第13条、第92条、第232条；有时则特指中国公民，如《刑法》第7条、第8条、第376条。《刑法》在分则第四章“侵犯公民人身权利、民主权利罪”的具体罪名中使用“公民”一词时，通常带有某种集合性的性质，如非法剥夺公民宗教信仰自由罪、侵犯通信自由罪。换言之，在侵犯公民人身权利、民主权利罪中，绝大多数情况下，只要侵犯一人的人身权利即可构成犯罪，而在个别情况下，需要达到一定的严重情节才构成犯罪，如被侵犯人身权利、民主权利的主体人数较多。而在本罪中，“公民”并不是特指中国公民，“公民个人信息”除了包括中国公民的个人信息外，还包括外国公民和其他无国籍人的个人信息，也具有一定集合的属性。最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(自2017年6月1日起施行，以下简称《“两高”个人信息犯罪解释》)第5条对本罪“情节严重”进行界定时，其中第(三)项至第(八)项均可能涉及被侵犯主体人数较多的要求。此外，曲新久教授还特别指出，公民个人信息在当代网络信息社会，一方面直接关系着个人信息的安全以及生活的安宁，另一方面还关系着整个社会的公共利益、国家的安全，甚至关系着国家的信息主权[18]。而王肃之亦认为公民个人信息具有群体性和间接性双重属性[19]。因此，对于“公民个人信息”的理解与把握需要从公民、社会、国家的角度进行解释，也就是说本罪所保护的法益虽然是个人法益即个人生活的安宁状态，但是也带有超个人法益的性质。

其次，本罪并非单纯保护信息主体的所谓信息自决权，而是通过保护个人信息的安全，防止个人信息被滥用来保障个人生活的安宁状态。尽管个人信息主体的同意能够阻却犯罪成立，按照《“两高”个人信息犯罪解释》第3条第2款前半段的规定，即便是合法收集的公民个人信息，在没有经过被收集者同意的情况下向他人提供时，也属于《刑法》第253条之一所规定的“提供公民个人信息”。问题在于，信息被收集者的同意仅仅是违法阻却事由，而不是将“未经被收集者同意”作为犯罪构成要件。在自由主义的法秩序范围内，对个人应允许按照自己的价值与自己选择的目的进行决断。刑法保护个人生活的安宁状态，但是允许个人作出放弃这一保护的决断。这与在故意伤害案件中，对于被害人承诺的轻伤害能够阻却违法是同一道理。与此相似，国际社会对个人信息的保护理念是，由于个人信息和数据的收集、处理和利用涉及公民个人的自由和尊严，因此为了防止对公民基本权利和自由的侵害，应当对个人信息和数据收集、处理的行为进行规范[20]。

最后，从立法背景与目的看，侵犯公民个人信息罪所保护的是公民个人的生活安宁状态。全国人大常委会法工委指出，公安部门从2012年以来，在全国范围内曾先后开展数次打击侵犯公民个人信息犯罪的专项行动，破获了一大批倒卖、非法提供公民个人信息和非法获取公民个人信息的案件，从中查获被窃取的涉及金融、电信、公安、保险、交通、工商、国土等部门，以及教育、医疗、房产、快递、物业等行业的各类公民个人信息数量达到数十亿条。这类违法犯罪行为使公民权利遭受侵害，同时容易引发其他严重的犯罪行为，使社会管理难度升级。加大对这些行为的惩处力度已经成为社会的共识与一致要求[6]122。在《刑法》中设置侵犯公民个人信息罪的目的，并不是纯粹地保护公民个人信息本身，而是通过保护公民个人信息来防止公民个人信息的滥用给公民个人生活安宁造成的破坏，以及公民个人信息的滥用引起其他犯罪对公民人身权利、财产权利造成的侵害。在这一意义上，毋宁说侵犯公民个人信息罪是一种抽象的危险犯，非法获取公民个人信息以及向他人出售或者提供公民个人信息的行为能够产生对公民个人生活安宁侵害的危险。实践中，在政府行政管理和社会公共服务领域收集和存储了数量巨大的公民个人信息，尤其是在电信、医疗、宾馆服务、物业管理、交通、金融等领域。与普通的向他人出售或者提供公民个人信息犯罪行为相比，出售或提供履职、提供服务过程中获得的公民个人信息的行为容易引发大范围的信息泄露，具有更大的社会危害性和侵害公民个人生活安宁的抽象危险，应当从重惩处。

四、“违反国家有关规定”的实质解释对违法性认识的影响

(一)违法性认识必要与否的纠葛

违法性认识是否必要？也就是说刑法中故意的成立是否以行为人在主观上存在违法性认识为前提？对于这个问题，中国刑法理论的讨论主要存在五种观点，其一，坚持主张不知法不免责，即便没有违法性认识也不影响故意的成立；其二，认为犯罪故意中的认识并不是社会危害性认识，而只能是违法性认识；其三，认为只要认识到行为的社会危害性或者认识到行为的违法性即可成立故意；其四，认为认识行为的违法性一般不是故意的内容；其五，认为有社会危害性认识，则不应不知法而免责，但是如果因为没有违法性认识从而也不认识行为的社会危害性，则排除犯罪的故意[21]320。例如，梅传强在分析罪过实质的基础上，指出罪过的实质是体现行为人对社会的敌视态度和蔑视态度，如果说犯罪故意中的认识因素即“明知”能够体现犯罪主体这种态度，那么违法性认识对于行为人而言显然就是必要的[22]。而张明楷认为，并不是只有当行为人认识到行为的违法性时才能反映出行为人积极侵犯法益的态度，而是只要行为人对其行为的内容、行为的危害结果，以及行为的社会意义有认识，并且希望或者放任这样一种结果的发生时，即能够反映行为人这种积极侵犯法益的态度，因此犯罪故意的成立不要求行为人现实地认识到形式违法性[21]321。周光权则明确指出，违法性认识不是故意的要素[23]。

第一种观点否定了违法性认识是故意的要件，即使是行为人存在违法性认识错误也不阻却故意，不影响犯罪的成立；第二种观点将违法性认识与社会危害性认识相区分，并进一步认为违法性认识是故意的要件，在存在违法性认识错误的情况下能够阻却故意，进而阻却责任；第三种观点同样是对社会危害性认识和违法性认识作了区分，同时认为社会危害性认识与违法性认识是择一关系，只有同时否定违法性认识和社会危害性认识时才能否定故意；第四种观点认为违法性认识错误或者没有违法性认识不一定能够阻止故意，只有在特殊情况下才能够阻却故意的成立；第五种观点实际上就是认为故意的成立只要社会危害性认识。绝对地“不知法不免责”不利于保障国民自由和实现刑法的保护法益的目的。“公民对法律的不知乃至于误解均是国家不教之过”[24]，正如古语所云，“不教而诛，则刑繁而邪不胜”。 而绝对地承认违法性认识是故意成立的要素，会赋予刑事司法过重的负担，尤其是在法定犯中，要证明行为人违法性认识比较困难，导致难以实现行政管理的目的。因此，笔者认为前述第四种观点是可取的，即认识行为的违法性一般不是故意的内容，但是不能过于绝对化。在特殊情况下，行为人确实因为没有违法性认识进而导致行为人对自己的行为的社会意义和危害结果没有认识时，应当排除犯罪故意的成立。但是，随着法定犯时代的到来，违法性认识错误问题越趋复杂。“有关法定犯违法性认识的争议是源于法律与道德关系的脱离。在此前提下，动用刑罚谴责被告人的理由必须变得必要且充分，行为的社会危害性因为缺少了道德评价的成分难以满足对主观方面的直接映射”[25]。

(二)“违反国家有关规定”实质解释的司法因应

无论是通常情况下向他人出售或者提供公民个人信息的行为，还是向他人提供或者出售提供服务或者履行职责过程中获得的公民个人信息的行为，要构成犯罪，都必须符合“违反国家有关规定”前置性条件。也就是说侵犯公民个人信息罪属于法定犯。自然犯和法定犯区分说认为，对于自然犯而言，只要行为人实施了刑法分则所明确规定的行为类型就能够直接推定行为人的行为具有违法性；而对于法定犯而言，要确定行为人的行为具有违法性的前提是确定行为人实施了违反前置性法律和法规的行为，法定犯的功能在于给行为人提供了一个违法性认识的契机，或者说行为人在确认自己的行为是否违法时需要尽到最大的注意义务[9]34。对于法定犯而言，行为人仅有犯罪事实的认识还不能够认定其反社会性格，认定行为人反社会性格需要确认行为人在明确知道其行为是违法的情况下还实施该行为。因此，认定侵犯公民个人信息罪，要求行为人对“国家有关规定”有所认识。

然而，在一个多元的社会中，我们不可能指望每个人都知道什么不是刑法，什么是刑法，因为在生活各个领域都规定着影响公民个人生活的刑事制裁[26]。据统计，目前中国有近40部法律、30余部法规和近200部规章涉及公民个人信息保护，其中包括《征信业管理条例》《规范互联网信息服务市场秩序若干规定》等。对于如此庞大的法律法规库，即便是法学专业学者也未必尽知涉及公民个人信息保护的“国家有关规定”，而要求社会普通成员必须认识到涉及公民个人信息保护的“国家有关规定”的内容才可能成立犯罪，显然并不现实。这里再一次涉及“不知法不免责”的问题。

应当指出的是，“不知法不免责”与责任主义之间存在一定的紧张关系，前者在相当程度上受到后者的制约。二者紧张关系的疏解首先需要在观念上摒弃“不知法者不为罪”与“不知法者不免责”之间二元对立的观念，“不知法”是否免责还需要进一步规范判断。在责任主义制约下，“不知法”是否免责需要考察行为人的可谴责性，即行为人是否已经尽了最大努力避免自己陷入“不知法”的境地？行为人产生违法性认识错误是否有合理的理由？亦即行为人的违法性认识错误从规范判断，是否可以避免？规范评价的结果如果是“不知法”不可避免，那么行为人不具有可谴责性，结论就是“不知法者不为罪”；规范评价的结果如果“不知法”可以避免，那么行为人则具有可谴责性，从责任主义出发结论就是“不知法者不免责”。具体到侵犯公民个人信息罪的司法实践中，在认定行为人的行为符合本罪的构成要件具有违法性的前提下，在对行为人是否有责的规范评价过程中，只要行为人认识到向他人出售或者提供公民个人信息的行为以及获取公民个人信息的行为是具有侵害公民个人生活安宁危险的行为，具有法益侵害性即为已足，就应当承认行为人已经认识到了其行为的违法性，并不要求行为人具体认识到其行为所违反的是哪部法律规范及其内容。如果经过规范判断，行为人在尽了知法的努力后仍不可避免地陷入了不知法的境地，则应例外地承认“不知法不为罪”，行为人的行为不可归责，亦即不成立侵犯公民个人信息罪。

综上，在本罪司法认定过程中，“违反国家有关规定”有两个层面的价值和意义：(1)在违法性层面，在认定行为人的行为符合构成要件之后，通过“违反国家有关规定”的提示违法性功能，审查行为人的行为是否具有违法阻却事由即法律上的根据。行为人在法律、法规、规章规定的范围和程序收集、利用公民个人信息时能够阻却违法；当行为超出前述范围收集和利用公民个人信息，而向他人出售或提供时具有违法性。(2)在行为人的责任评价阶段，通过本罪所保护的法益对“违反国家有关规定”的实质解释评价行为人违法性认识的有无、错误的可避免性，进而做出行为人的行为是否可归责的评价。只要行为人在行为时对公民个人生活的安宁的法益侵害或者侵害危险有认识即可归责，而不需要行为人具体认识到其行为所违反的法律规范名称和内容。