李采薇

(中国人民大学 法学院， 北京 100872)

2015年出台的《刑法修正案(九)》，把侵犯公民个人信息罪中的“违反国家规定”改为“违反国家有关规定”，紧接着两高又在《关于办理公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第2条明确了“国家有关规定”的范畴，将除法律、行政法规之外的行政规章也囊括其中，引起了广泛争议。目前学界主要存在两种立场：肯定说与否定说。其中前者支持这一调整，认为其具有正当性与必要性，但肯定说中也存在不同的解释路径。比如从单纯的形式解释上看，“有关”指的是与公民个人信息有关的“国家规定”，并没有实质内涵；再比如，有学者认为这一规定的功能是提示违法性，可以审查行为人是否具有违法阻却事由及是否具备违法性认识[1]。相反，否定说认为《解释》中“国家有关规定”的范畴与《中华人民共和国刑法》(以下简称“《刑法》”)第96条中的“国家规定”相冲突，违背了罪刑法定原则，有违法秩序的统一性，无存在的正当性及必要性。

笔者认为，“违反国家有关规定”的表述十分巧妙，它不仅避开了与“国家规定”的正面冲突，而且适应了我国个人信息保护立法集中于部门规章的现状，为侵犯公民个人信息罪提供了更加广泛的前置法依据。因此，肯定说更具合理性。

一、“违反国家有关规定”之正当性

(一)立法目的之正当性

2009年《刑法修正案(七)》增设了侵犯公民个人信息罪：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金……”2015年，《刑法修正案(九)》将本罪主体由特殊主体改为一般主体，在“违反国家规定”的前提条件中增加了“有关”二字，设置了特殊主体从重处罚的规定，并提高了法定最高刑。

1.降低入罪门槛。一方面，不可否认的是犯罪主体的变化扩大了本罪的处罚范围。2015年以前，本罪的犯罪主体被限制在“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”此类特殊主体之内，是由当时社会经济发展状况所决定的。直到2013年我国开始普及4G网络，逐渐迎来了大数据时代，使得信息收集、发布、获取的便捷度越来越高，才涌现出了许多侵犯个人信息的违法犯罪行为。如今，每一个个体都可以成为信息的收集者、发布者，不同于以往只有特殊职业或行业领域的主体才可以接触到个人信息，因此将本罪主体扩大为一般主体是适应社会发展需求的举措。另一方面，“国家有关规定”相对于“国家规定”而言，其范围是扩张还是限缩存在争议。《刑法修正案(九)(草案)》，延续了之前的“违反国家规定”，在《刑法修正案(九)(草案二、三次审议稿)》中修改为“违反规定”，但最终实施的《刑法修正案(九)》用了“违反国家有关规定”的表述[2]。对此，有学者认为：从“违反国家规定”到“违反规定”，其范围有所扩大，但是从“违反规定”到“违反国家有关规定”，其范围又有所缩小。从先前的“扩大”到之后的“缩小”，这一过程并不能从立法层面表明“违反国家有关规定”的范围要大于“违反国家规定”[3]。该学者采用了历史解释的方法来证成自己的观点，但这只能说明“规定”是“国家规定”和“国家有关规定”的上位概念，并不能直接推导出后两者之间的包含关系。相反，我们可以从《刑法修正案(九)》的修改过程中看出，立法者有意在降低入罪门槛，扩大本罪中“国家规定”的范围。一开始，立法机关选取了“规定”二字，但这一表述过于宽泛，很可能会被过度解释为包含非政府主体在内的所有主体发布的规定；于是，在正式实施的文本中替换为“国家有关规定”，既区别于《刑法》第96条的“国家规定”，又巧妙地用“有关”二字避免其范围无限扩张。

2.加大惩处力度。本罪在《刑法修正案(九)》中的另一重大改变，就是加大了量刑上的惩处力度，包括增设了“情节特别严重”的量刑标准，并对具有特殊身份的主体从重处罚。在此背景下，再看从“违反国家规定”到“违反国家有关规定”的变化，扩大违法圈的同时也契合了惩治犯罪的现实需求。譬如，某银行职员甲将经处理后无法识别特定个体的个人金融信息出售给乙的行为，不属于“违反国家规定”，但却属于“违反国家有关规定”。《网络安全法》中对个人信息所采取的定义模式是“识别型”，即能够单独或者与其他信息结合识别自然人个人身份的各种信息。按照上述规定，不具识别性的信息不属于个人信息的保护范畴，故甲未违反国家规定。然而，在中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》第4条第1款规定：“银行业金融机构不得篡改、违法使用个人金融信息。使用个人金融信息时，应当符合收集该信息的目的，并不得进行以下行为： (一)出售个人金融信息……”也就是说只要出售了个人金融信息，不论该信息是否能够识别特定个体，即属于违反了该部门规章，也即“违反国家有关规定”，应当纳入本罪所属的违法圈内。

(二) 体系地位之正当性

否定说的论据之一是“违反国家有关规定”包含部门规章的解释方法与《刑法》第96条的“违反国家规定”相冲突，有违法秩序的统一性。刑法总则规定的一般原则与原理，对分则的适用起着指导作用，故在解释“违反国家有关规定”时，必须以《刑法》第96条为底线[4]。但笔者认为，实际上这种冲突并不存在。

1.“违反国家规定”的体系地位。《刑法》第96条申明：“本法所称违反国家规定，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。”并且，在最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通知》中，第2条又再次申明：“对于违反地方性法规、部门规章的行为，不得认定为‘违反国家规定’。”简单来说，《刑法》中的“国家规定”仅指法律和行政法规。

“违反国家规定”在《刑法》中一共出现了17次，这些罪名的前置法大多为法律和行政法规，并且已规定得相当完善。比如第338条污染环境罪，《环境保护法》《水污染防治法》《大气污染防治法》《固体废物污染环境防治法》《环境噪声污染防治法》等法律，以及《建设项目环境保护条例(2017)》《城镇排水与污水处理条例》《畜禽规模养殖污染防治条例》《医疗废物管理条例》等行政法规已经全面、细致地作出了相关规定。故《刑法》第96条之“违反国家规定”的范畴已能够满足惩治犯罪的需求。但是，侵犯公民个人信息罪的前置法规定并不如此(下文会作详细阐述)。因此，笔者认为《刑罚》第96条仅用于指导和限制刑法典中出现的“违反国家规定”，并不影响重新界定“违反国家有关规定”的范畴。

2.“国家规定”与“国家有关规定”间的关系。2018年8月24日，最高人民检察院发布的《检察机关办理侵犯公民个人信息案件指引》承继了《解释》第2条的宗旨，再次申明：“违反国家有关规定”的范围明显广于“违反国家规定”。很显然，在司法解释的立场上，除法律和行政法规之外，“违反国家有关规定”还包括部门规章，故笔者认为这两者属于包含与被包含的关系。

不得不提到的是，在我国的刑法典中，仅有这一处“违反国家有关规定”的表述，故立法机关未在刑法总则中增设与第96条相似的条款，而是由司法机关通过司法解释来界定其具体内涵。并且，由于受社会经济发展及相关立法状况的制约，《解释》将部门规章归入侵犯公民个人信息罪的前置法规范当中，是一种特殊时期的特殊规定；而刑法典为了保证自身的稳定性与可预测性，并未作出过多的解释。

(三) 罪刑法定之正当性

否定说的另一重要论据是《解释》第2条背离了罪刑法定原则。罪刑法定原则要求定罪量刑必须由刑法明文规定，并从整体上去把握。然而，该条将部门规章纳入“国家有关规定”的做法不仅是对刑法总则与分则之间协调性的破坏，也无视了刑法总则对分则的指导与制约意义[5]。但笔者认为，这是由于没有厘清“违反国家有关规定”的定位，才作出的有误判断。

一般来说，要探讨一个规定是否符合罪刑法定原则，首先要明确该规定在刑法规范中的定位。不同于《刑法》第96条被规定在刑法总则所具有的指导地位，“违反国家有关规定”只是单独个罪的前提条件。两者的定位完全不同，不能因为相似指导性规定的存在，就否定设置其他特殊性规定的正当性。

其次，要明确该规定在定罪量刑中所起的作用。侵犯公民个人信息罪采用了空白罪状的表述，因而需要通过“违反国家有关规定”来筛选其前置法，并依此来控制违法圈大小。故“违反国家有关规定”作为刑法条文中的补充规范，只是起到行为定性的作用，即判断某个行为是否违法，并不参与定罪，具体构罪与否要看行为是否达到“情节严重”或“情节特别严重”的标准。倘若将侵犯公民个人信息罪比作一个“容器”，那么“违反国家有关规定”就是过滤与个人信息相关的合法行为与违法行为的第一个“漏斗”，“情节严重”与“情节特别严重”则是区分违法行为与犯罪行为的第二个“漏斗”，至少要经过这两层筛选才能最终漏入侵犯公民个人信息罪的规制“容器”中。故笔者认为，“违反国家有关规定”作为空白罪状中的补充规范，只是起到限制和划定刑法处罚范围的作用，不是犯罪的构成要件要素，更不参与定罪量刑，因而并不存在对罪刑法定原则的违背。

二、“违反国家有关规定”之必要性

(一) 契合我国个人信息保护的立法现状

1.法律。2017年6月1日正式实施的《网络安全法》被视为我国维护网络运行安全、保障网络信息安全的具有全局性的法律，但也仅在第4章中用11条的篇幅规定了网络运营者的法律责任，只涉及网络个人信息的保护，并未提及通过其他形式储存的个人信息。相比之下，2012年12月28日就开始实施的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中禁止性规定的主体，不仅包括网络运营者，还有其他企事业单位。此外，还有一些涉及到个人信息的法律如《公共图书馆法》第43条、第50条，《国家情报法》第19条、第31条，《统计法》第9条、第39条，《护照法》第12条、第20条，《居民身份证法》第13条、第19条，《消费者权益保护法》第29条，都采用了禁止性条款与法律责任相结合的规定模式。

可以看出，我国在法律层面对个人信息的立法保障还远远不够，都是散见于各个领域的部门法当中，并且只是作为特殊主体针对特殊个人信息收集、获取过程中的注意规定，缺乏集中性、统一性的操作标准。再加之《个人信息保护法》的立法工作一直没有提上日程，直到2018年9月7日，才首次出现在第十三届全国人大常委会的5年立法规划中。

2.行政法规。目前，我国现行涉及个人信息保护的行政法规包括《征信业管理条例》第13-44条，《快递暂行条例》第34条、第44条，《彩票管理条例》第27条，《缺陷汽车产品召回管理条例》第7条、第25条，《居住证暂行条例》第20条，《社会救助暂行办法》第66条，《人力资源市场暂行条例》第29条，《地图管理条例》第35条。大多都是没有配套法律责任的禁止性规范，没有强制力，难以作为定罪的前置法依据。

3.部门规章。与上述规定分散且强制力较弱的法律和行政法规不同，我国个人信息保护立法在部门规章方面尤为充分和全面，包括但不限于国务院授权国家互联网信息办公室制定的《互联网用户公众账号信息服务管理规定》《互联网群组信息服务管理规定》，国家卫生和计划生育委员会《人口健康信息管理办法(试行)》，工业和信息化部《电信和互联网用户个人信息保护规定》《规范互联网信息服务市场秩序若干规定》《工业和信息化部关于加强移动智能终端进网管理的通知》，国家标准化管理委员会、国家质量监督检验检疫总局《信息安全技术公共及商用服务信息系统个人信息保护指南》，中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》《征信机构信息安全规范》《金融信用信息基础数据库用户管理规范》《个人信用信息基础数据库管理暂行办法》，国家邮政局《寄递服务用户个人信息安全管理规定》《邮政行业安全信息报告和处理规定》等。部门规章的规制保护范畴不仅囊括了姓名、身份证号、联系方式、账号密码等个人基础信息，还有健康信息、金融信息、信用信息等特殊领域的个人信息，并且规制了行政机关、企事业单位及个体等各类信息收集者、管理者的行为。

综合个人信息保护的立法现状，不难看出，将部门规章纳入侵犯公民个人信息罪的前置法之中，是契合我国当前个人信息保护立法体系的恰当之举。

(二) 满足我国惩治犯罪的需求

大数据时代的到来，给个人信息保护带来了严峻的挑战。2018年11月8日，在第五届世界互联网大会“大数据时代的个人信息保护”分论坛上，最高人民检察院检察长张军说道：“大数据时代，个人信息已经成为重要的生产要素。”比如掌握他人的健康信息，就可以对症下药推销有关药品和医疗信息；掌握了他人的消费信息，就可以根据其消费需求和喜好，从而定向推送产品广告；掌握了他人的金融信息，就可以向其推销合适的理财产品……这种量身定制的推介信息，人们往往难以拒绝[6]。最高人民检察院官方网站消息显示：“2016年，中国检察机关起诉侵犯公民个人信息犯罪1 029人，2017年起诉4 407人，2018年起诉5 271人。”可见，侵犯公民个人信息犯罪会在短期内迅速增长并将长期持续存在，甚至围绕个人信息的买卖、窃取及其他非法利用，还形成了一条违法犯罪的“黑色产业链”。其中，侵犯公民个人信息罪作为上游犯罪，提供了犯罪条件与工具，在中下游滋生出电信诈骗、金融诈骗、敲诈勒索、绑架等犯罪。因此，在这个时代，掌握了信息，就如同抓住了权力与财富，要想避免不法分子利用个人信息实施更为严重的犯罪行为，首要任务就是从上游犯罪入手切断信息源，对个人信息严加管理和保护。

因此，“国家有关规定”将部门规章纳入到侵犯公民个人信息罪的前置法当中，不仅适应了大数据时代的新变化、新发展，有效保障了公民对个人信息的各项权利，也适应了当前我国严厉惩治与个人信息相关犯罪的需求。

不久的将来，随着《个人信息保护法》的出台和实施，个人信息保护的立法体系会更加集中和完备，部门规章在这一体系中的作用就会日趋减弱。因此，现阶段将部门规章纳入“违反国家有关规定”的范畴中，不是刑法扩张的产物，而是由我国的个人信息保护立法现状及犯罪惩治需求所决定的，是刑法典及其司法解释在特殊时期所作的特殊规定。