论《网络安全法》对个人信息刑法保护的新启示*
——以两高最新司法解释为视角

陈 璐

论《网络安全法》对个人信息刑法保护的新启示*
——以两高最新司法解释为视角

陈 璐**

《网络安全法》的出台对侵犯公民个人信息犯罪的实体规范产生了很大的冲击和影响，引发了个人信息刑法保护的新问题，如刑法能否为匿名个人信息提供保护；刑法应否将非法收集、使用个人信息行为入罪化；刑法应否为个人关键信息提供特殊保护等，2017年5月8日两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对这些问题作出了不同程度的回应。同时，《网络安全法》与该《解释》的出台也使刑法对个人信息刑法保护的传统问题变得更加突出，主要是罚金与罚款衔接不顺以及相似罪名的司法解释矛盾突出。《网络安全法》不是针对个人信息保护的专门立法，我国对个人信息保护的立法还是一项未竟的事业。刑法在应对网络信息数据犯罪的过程中，还要不断完善和解释刑法规范的自有规定。

网络安全法 刑法 司法解释 第253条之一

当前，互联网科技对人类生活的影响正在逐步升级，原先对互联网发展阶段所作的“2.0、3.0、4.0……”的划分被“互联网+”所替代，旨在用互联网信息技术为国家发展信息经济做好开局。“互联网+”意味着网络将作为未来社会基础设施而存在，在互联网信息经济的新业态下，拥有无所不在的信息、互联与计算的网络空间成为信息犯罪的最佳场所，同时也成为金融风险的最大聚集地。面对这种严峻形势，各国都正致力于构建网络个人信息安全的政策与法律框架，并运用刑法制裁严重的信息犯罪行为。2015年，我国《刑法修正案（九）》对侵犯公民个人信息罪（第253条之一）进行修改完善，2016年11月7日，第十二届全国人大常委会第二十四次会议又通过《中华人民共和国网络安全法》（以下简称《网络安全法》），采用专章对网络信息的保护和规制作出一般规定。在网络犯罪空间已然对刑法规制产生实质影响的情况下，《网络安全法》中关于网络信息保护的新理念、新概念、新规定必然会对信息犯罪的实体规范产生冲击和影响，这种冲击和影响在2017年5月8日两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称新《解释》）中得到了充分体现，在一定程度上实现了刑法与《网络安全法》对个人信息保护的衔接，但这种衔接还存在诸多问题，而且新《解释》的颁布又引起信息犯罪刑法规范内部的新矛盾，这些问题和矛盾是《网络安全法》和新《解释》颁布后刑法亟待应对的一项新课题。

一、刑法与行政法在个人信息保护中的“抑”与“扬”

保护个人信息不能仅仅通过刑法得到实现，而必须通过全部法律手段才能发挥最大的效能。侵犯公民个人信息罪（第253条之一）是刑法专门针对个人信息保护设置的罪名，①此外，刑法涉及个人信息保护的罪名还包括：窃取、收买、非法提供信用卡信息罪（第177条之一）；非法获取计算机信息系统数据罪（第285条第2款）；提供侵入、非法控制计算机信息系统程序、工具罪（第285条第3款）；破坏计算机信息系统罪（第286条）；拒不履行信息网络安全管理义务罪（第286条之一）；非法利用信息网络罪（第287条）；帮助信息网络犯罪活动罪（287条之二）以及各种下游犯罪，例如诈骗罪、金融诈骗类犯罪等。该罪属于行政犯，在刑法介入之前应由行政法这一前置法予以规制，刑法仅发挥二次规制作用。对于所有的行政犯而言，刑法的作用都是谦抑的，行政法应处于核心地位。然而，长期以来，我国关于个人信息保护的行政法律都呈现片面和分散状态，例如《身份证法》、《护照法》、《邮政法》、《消费者权益保护法》等法律都零星地涉及到个人信息的保护。而直接针对个人信息保护的立法结构则可以归纳为“总体规范性文件+分行业法规、规章”，总体规范性文件即全国人大常委会颁布的《关于加强网络信息保护的决定》，分行业法规、规章则更为分散，包括《电信和互联网用户个人信息保护规定》、《寄递服务用户个人信息安全管理规定》、《邮政行业安全信息报告和处理规定》、《征信业管理条例》、《银行卡业务管理办法》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《个人信用信息基础数据库管理暂行办法》等。此外，还有一些行业规范性文件和指导文件，例如《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《信息安全技术、公共及商用服务信息系统个人信息保护指南》等。但这些行政法规、部门规章位阶较低，又存在规范冲突和执法主体混乱等诸多问题，因此并未得到很好的执行。行政法律的缺位带来的直接后果是刑法与行政法界限模糊不清，刑法在立案与不立案之间不知所措，而社会民众又普遍具有“刑法依赖症”，这一方面造成刑法执行效果不理想而降低刑法威信；另一方面，由于“前置法”和刑法之间缺乏衔接，会产生对违法行为“要么不追究、要追究就上刑罚”的不合理结果，与刑法介入社会生活的“最后性”或者“迫不得已性”相违背。②参见蔡军：《侵犯个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望》，载《现代法学》2010年第4期。

此次《网络安全法》以国家基本法律的形式采用专章对网络信息安全作出一般规定，确立网络信息安全的总体目标和基本原则，明确网络运营者收集、使用个人信息的一般规范和罚则；建立网络信息保密制度，保护网络主体的隐私权；建立行政机关对网络信息安全的监管程序和制度，规定对网络信息安全犯罪的惩治和打击；以及规定具体的诉讼救济程序等。立法位阶的提高，显示了国家综合治理信息犯罪的方向和决心，在一定程度上实现了行政法律对个人信息保护的补位，无疑将成为公民个人信息保护的新起点。③参见高红静：《探讨〈网络安全法〉出台的重大意义》，载光明网http://theory.gmw.cn/2016-11/08/content_22887561.htm，2017年5月8日访问。此后，以《网络安全法》作为依据，行政法必将发挥越来越重要的作用，刑法渐渐回归辅助地位。但需要指出的是，由于发展中国家互联网技术、基础设施、执法经验的欠缺和匮乏，不但使发展中国家比发达国家更容易遭受互联网犯罪的侵袭，更使发展中国家在数据共享过程中面临更多的风险和不利。④Adam Salifu.The Impact of Internet Crime on Development.Journal of Financial Crime.Volume 15, Issue 4, 2008, pp.432.因此我国对信息保护的立场是国家信息安全优先于个人信息安全，《网络安全法》作为一部管辖网络空间安全的法律，其主旨是确立国家网络主权、维护国家网络安全，仍然不是针对个人信息保护的专门立法，因此从这个意义上说，我国对个人信息保护的立法还是一项未竟的事业。

二、《网络安全法》引发的个人信息刑法保护新问题及新《解释》的回应

（一）刑法能否为匿名个人信息提供保护

信息泄露的危害在于行为人能够通过信息识别、锁定个人，从而对具体个人的隐私权甚至其他权利造成侵害，因此，能够直接识别个人身份的信息是法律保护的当然对象。然而，随着信息科技的发展，个人匿名信息也变得不再安全。网络企业利用信息技术很容易就能将个人信息“去匿名化”，传统意义上PII（个人身份信息）与“非PII”的突出差别已经逐渐失去意义。麻省理工学院最近的一项研究显示，根据一张匿名信用卡的消费记录而锁定其持有人仅仅需要提供四条信息，这四条信息甚至可以是非金融性信息，Twitter、Instagram和Facebook上的信息就足够了。该项目负责人Yves Alexandre de Montjoye指出，“这个研究表明匿名已经变得越来越困难，我们需要重新考虑是否存在真正的匿名。”⑤Colin Mackay.EU's Planned Data Protection Legislation Raises Questions about the Nature of Privacy.https://www.theparliamentmagazine.eu/articles/opinion/eus-planned-data-protection-legislation-raises-questions-about-nature-privacy.他还通过对150万人的追踪研究揭示，人类的活动踪迹也是非常独特的，每个人的位置在每小时是特定的，4个时空点就足以识别95%的个人。⑥Yves Alexandre de Montjoye, César A.Hidalgo, Michel Verleysen,Vincent D.Blondel.Unique in the Crowd: The Privacy Bounds of Human Mobility.Scientific Reports 3, Article number: 1376,2013, pp.1.因此，手机、电脑等网络终端产生的匿名数据（例如地图路线、交通应用、消费记录、数字货币交易、浏览记录等）成为个人隐私问题的新焦点。在发达的信息经济中，跨界使用这些匿名信息具有极高的价值，Google和INRIX等公司已经能借助智能手机和车载设备完成地图绘制，最终实现缩短通勤时间、改善城市规划的商业目的。但另一方面，一些以侵害他人利益为目的的犯罪行为也搭上大数据可用性的便车，在利益的驱动下，违法企业和个人更青睐收集、获取匿名的个人金融信息，分析锁定个人身份后，实施进一步的财产犯罪。

在这样的背景下，《网络安全法》对个人信息进行了重新定义，成为该法的一大亮点。其第76条规定，“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”这个概念不仅将能够单独识别个人身份的信息定义为个人信息，还将能够与其他信息结合识别个人身份的匿名信息定义为个人信息。需要指出的是，2013年两高、公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》对个人信息也曾作过定义，即“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”与之相比，《网络安全法》明显扩大了个人信息的法律范围——前者并不包括匿名个人信息，而后者包括了匿名个人信息，这将直接影响到刑法对个人信息范围的认定。

为了实现刑法与行政法的合理衔接，新《解释》承继了《网络安全法》关于“个人信息”的定义，并将其外延范围进一步扩大，为实践中认定犯罪对象提供了新的依据。其第1条规定，“刑法第253条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”这个定义不仅将个人身份信息认定为个人信息，还将个人活动情况信息认定为个人信息；不仅将能够单独识别个人身份和活动情况的信息定义为个人信息，还将能够与其他信息结合识别个人身份和活动情况的匿名信息定义为个人信息。与《网络安全法》相比，新《解释》将个人信息外延范围进一步扩大，这无疑加大了对侵犯公民个人信息犯罪的打击力度，例如，如果多组匿名的行踪时空数据相结合能够识别出个人身份或其社会活动轨迹，那么这种匿名行踪时空数据就能成为第253条之一的犯罪对象。但随着信息技术的不断升级和大数据应用的普及化，匿名与非匿名、可识别与不可识别、隐私与公开的界限正变得模糊难辨，这是刑法在犯罪圈的边界问题上遭遇的又一大困扰。

（二）刑法对非法收集、使用个人信息行为如何规制

按照《网络安全法》第64条规定，网络运营者、网络产品或者服务的提供者非法收集、使用个人信息的，“由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。”同时还规定，“窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。”从法条规定来看，《网络安全法》处罚的行为包括两大类，第一类是非法收集、使用个人信息行为；第二类是窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息行为。然而，刑法第253条之一列举的犯罪行为类型仅仅包括第二类，不包括第一类，这在理论和实践上至少产生以下两个难题：第一是在刑法上如何区分非法收集和非法获取个人信息行为，以及如何规制非法收集行为；第二是如何规制非法使用个人信息行为。对于这两个问题，新《解释》的态度截然相反。

1.通过概念混同方式将非法收集行为入罪化

尽管刑法第253条之一并没有涉及“非法收集”这一行为，但从字面意义来看，收集也是一种获取行为，那么该两种行为如何区别呢？按照《网络安全法》立法原意，非法收集和非法获取是两个不同的概念，两者相互独立、不能混淆。尽管法条并没有界定何为非法收集，但界定了何为合法收集。其第41条规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”违反此规定收集个人信息的，即为非法收集。因此，在《网络安全法》中，非法收集应指具有收集信息权的主体违反国家规定的收集原则进行信息收集。而根据第44条之规定，非法获取应指不具有收集信息权的主体采取盗窃等非法方式取得个人信息。但新《解释》却对这两个概念进行了混同，其第4条规定，“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第253之一第3款规定的‘以其他方法非法获取公民个人信息’”。对于该条，2017年5月9日两高新闻发布会上相关人员介绍说，“根据《网络安全法》规定的收集、使用个人信息的规则，明确违反国家有关规定，在履行职责、提供服务过程中收集公民个人信息的，属于‘非法获取公民个人信息’”。⑦参见“两高发布办理侵犯公民个人信息刑事案件司法解释”，载最高人民法院网，http://www.court.gov.cn/zixunxiangqing-44022.html，2017年5月30日访问。由此可见，新《解释》将非法收集行为解释为非法获取，进而将非法收集信息行为进行了入罪化处理。

但笔者认为，这种入罪化处理在实践中并不能发挥其应有的作用。在信息时代，信息披露是互联网金融的基础和前提，所有电子支付系统的共同特征是支付方必须向被支付方披露自己的个人信息以建立商业诚信，同时满足银行或者信用机构对被支付方法律义务的要求。⑧M Chissick, J Radler.Legal and Regulatory Update: Data Protection with Particular Reference to the Internet.Interactive Marketing.Volume 1, Issue 3, 2000, pp.300.因此与消费者生活密切相关的商户便拥有了收集个人信息的“合法”身份。但是，由于我国信息经济起步较晚又发展迅速，行业主体对个人隐私保护的观念和规则并没有得到很好的培育，合法、正当、必要收集与非法收集的界限至今是困扰我们的难题，甚至西方发达国家也没有有效地解决。因此，在罪与非罪的认定上，很难掌握统一的标准。例如个人在接受社会教育机构培训时不可避免地要向其披露个人信息，按照《网络安全法》之规定，该教育机构必须遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，且不能收集与其提供的服务无关的个人信息，否则即为非法收集（获取）公民个人信息。但何为“必要”、何为“与其提供的服务无关的个人信息”等问题均是实务中难以把握和证明的构成要素。由于我国还未明确区分“个人信息权”和“个人隐私权”，当前和未来一段时间我国刑法对公民个人信息保护的边界仍在探索中，⑨参见王春晖：《〈网络安全法〉六大法律制度解析》，载《南京邮电大学学报（自然科学版）》2017年第1期。从这个意义上来说，新《解释》将非法收集个人信息行为进行入罪化处理的步伐大大超前了。

2.对非法使用行为依旧无所作为

当前，非法使用公民个人信息行为日益突出，最常见的是商户利用其掌握的消费者信息群发垃圾短信、群打骚扰电话等，严重的也有“西安电子科技大学卡门”事件，严重侵害了公民的信息权甚至财产权。学界对此种行为入罪的呼声一直不绝于耳。⑩参见赵秉志：《公民个人信息刑法保护问题研究》，载《法学论坛》2014年第1期。在《刑法修正案（九）》审议过程中，有关部门和专家学者也建议将非法使用公民个人信息行为入罪打击，但该建议最终并未被《刑法修正案（九）》采纳。⑪参见沈德咏主编：《〈刑法修正案（九）〉条文及配套司法解释理解与适用》，人民法院出版社2015年版，第194页。然而，按照《网络安全法》的规定，非法收集和非法使用个人信息行为在处罚设置上是一样的，即“由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款；……”。按照比例原则，我们可以得出这样的结论：即非法收集和非法使用个人信息行为在危害程度上是一样的，但新《解释》仅将非法收集个人信息行为规定为犯罪，只字未提非法使用个人信息行为，显然违背了罪刑均衡原则。从刑法理论角度分析，非法收集个人信息行为仅对他人权利造成一种抽象危险，而非法使用个人信息行为却对他人权利造成了实际侵害，因此，一般来讲，非法使用行为在危害程度上要重于非法收集行为，既然新《解释》已经将非法收集行为入罪，如果还对非法使用行为置之不理，显然有失均衡。

（三）刑法应否为个人关键信息提供特殊保护

对特殊信息类型给予特别保护是世界各国的通行做法，此次《网络安全法》也从信息安全的全局出发，确定了对关键信息基础设施重点保护的原则，第31条规定，“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”尽管该规定强调的是对特殊信息基础设施的重点保护，而不是对特殊信息本身的重点保护，跟西方国家立法有一定差距，⑫例如2016年欧盟通过的《通用数据保护规则》第9条规定了对特殊类型个人信息的保护：“禁止收集处理反映个人种族或民族起源、政治观点、宗教哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据，或涉及健康、性生活或性取向的数据。”参见Official Journal of the European Union.4.5.2016.http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf.但其体现的差别保护的理念是先进的。实际上，对特殊类型信息实施重点保护在刑法规范中早有体现，2011年最高人民法院、最高人民检察院联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对非法获取计算机信息系统数据罪的入罪情节标准进行了界定，“具有下列情形之一的，应当认定为刑法第285条第二款规定的‘情节严重’：（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；（二）获取第（一）项以外的身份认证信息五百组以上的；……。”显然，与非法获取金融数据相比，非法获取普通数据的入罪标准要低得多，这实际上确立了刑法对金融数据信息进行特殊保护的原则。为此，新《解释》也作出了积极回应，其第5条对刑法第253条之一的立案标准作出了不同规定，即根据不同的信息类型分别界定何为“情节严重”：“（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”、“（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”、“非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的”。由此可见，在对公民个人关键信息进行差别保护方面，刑法已然优于行政法。

三、《网络安全法》对个人信息刑法保护困境的再审视

刑法打击侵害个人信息犯罪的历程并不久远，立法和司法都在不断试错和探索过程中，其存在的突出问题是立法上的入罪标准问题。《网络安全法》的出台，强化了对侵犯个人信息行为的行政处罚力度，这无疑将倒逼刑法尽快厘清刑罚与行政处罚的边界。新《解释》界定了第253条之一的立案标准，平息了理论界和实务界关于“违法信息数量”和“违法所得金额”的争议，但问题并没有随之解决，主要体现在两个方面：

（一）罚金与罚款衔接不顺

《网络安全法》的一大亮点是提高了对侵犯个人信息违法行为的处罚力度，最高处罚金额为违法所得的十倍或者一百万元罚款，处罚力度的提高使原本就棘手的刑罚罚金与行政罚款之间的关系问题变得更加尖锐。按照刑法规定，第253条之一的法定最低刑是单处罚金，但法条并没有明确罚金的限额或者比例，根据2000年最高人民法院《关于适用财产刑若干问题的规定》，刑法没有明确规定罚金数额标准的，罚金的最低数额不能少于一千元，尽管法律对罚金刑的上限没有作限制性规定，但罚金最低数额与罚款最高数额的天壤之别，给司法适用制造了很大的矛盾。由于刑法规定罚金数额与犯罪情节严格挂钩，因此侵犯公民个人信息“情节严重”的入罪标准是决定罚金数额起点的重要标准。⑬参见李玉萍：《侵犯公民个人信息罪的实践与思考》，载《法律适用》2016年第9期。按照新《解释》，“情节严重”的主要标准是犯罪对象的数量标准和违法所得的数额标准，例如行为人非法出售公民个人信息获利五千元（没有其他严重情节），按照新《解释》的规定刚刚达到立案标准，可以对行为人单处罚金刑。但参照我国刑法关于倍比罚金的规定以及司法判例，违法所得数千元的罚金数额往往在其违法所得的二倍到五倍之间，大大低于《网络安全法》中规定的“违法所得十倍”的罚款数额，造成刑罚轻于行政处罚的不合理现象。应当指出，行政法罚款处罚与刑法罚金刑之间的矛盾是我国二元制立法体系的固有缺陷，两者存在着哪个优先适用、如何衔接等诸多问题。⑭参见徐科雷：《罚款与罚金在经济法责任体系中的辨析与整合》，载《政治与法律》2015年第3期。尽管我国通过《关于加强行政执法与刑事司法衔接工作的意见》这一部门规章确立了罚金优于罚款的适用原则，但是按照刑法谦抑精神和罪刑均衡原则的要求，只有当罚款不能实现制裁目的时，才能适用罚金，罚金最低数额是罚款与罚金的内在界限。但从目前的立法设置看，罚金与罚款的界限仍然无法厘清，在行政法日益发达以及执法日益实质化的当前，罚金和罚款的矛盾甚至较以前更加突出。

（二）相似罪名的司法解释矛盾突出

在刑法体系中，与侵犯公民个人信息罪最相似的罪名是非法获取计算机信息系统数据罪，在网络信息犯罪场合，这两个罪名极易产生竞合。相似罪名、相似情节应当获得相似裁判是罪责刑相适应原则的应有之意，但在新《解释》对侵犯公民个人信息罪的入罪标准进行界定之后，这两个罪名的入罪标准却相去甚远。根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定，非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上即达到非法获取计算机信息系统数据罪的入罪标准，而根据新《解释》的规定，非法获取交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上才达到侵犯公民个人信息罪的入罪标准，足足相差五十倍；对于普通信息数据，该两个罪名的入罪标准分别是“五百组以上”和“五千条以上”，相差十倍；然而对于违法所得的入罪标准，该两个罪名却都是“五千元以上”。由此可见，在犯罪对象的数量标准上，司法解释对非法获取计算机信息系统数据罪入罪标准的界定明显低于侵犯公民个人信息罪，而在违法所得的数额标准上，司法解释又将该两个罪名等同，这必将引起司法适用中的无所适从，造成罪刑不均衡的现象，极大地影响了定罪量刑的公平正义。

四、完善刑法应对网络信息犯罪的具体策略

《网络安全法》和新《解释》的出台使个人信息刑法保护的新旧问题都更加凸显，必将加快完善刑事立法、司法的步伐。与传统犯罪相比，刑法在规制以网络为空间的犯罪类型时面临着更加严格的规范挑战，应进一步完善和解释刑法规范的自有规定。

（一） 加快“国家有关规定”的专门立法

罪刑法定原则要求行为人构成某一罪名必须符合该罪的犯罪构成，按照刑法第253条之一的规定，行为“违反国家有关规定”⑮“违反国家有关规定”不同于“违反国家规定”。根据刑法第96条，“违反国家规定”是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。根据新《解释》第2条，违反法律、行政法规、部门规章有关公民个人信息保护规定的，应当认定为刑法第253条之一规定的“违反国家有关规定”。是侵犯公民个人信息罪客观方面的首要表现，那么查明行为人出售、非法提供、窃取或者以其他方法非法获取公民个人信息的行为违反了哪部法律的哪一条、哪一款理应是定罪的重要依据，只有查明了行为人违反的“国家有关规定”的渊源和出处，才能确定行为人的行为是否符合犯罪构成对该罪客观方面的要求，从而确定行为人是否构成该罪。然而，笔者在“中国裁判文书网”上随机检索了60份侵犯公民个人信息犯罪的刑事判决书（《刑法修正案（九）》之前为“出售、非法提供公民个人信息罪”与⑯同注⑩。“非法获取公民个人信息罪”），遗憾的是，这些判决书都没有明确宣布行为人违反了何种“国家规定”，其表述模式均为“本院认为，被告人×××违反国家规定，将本单位在提供服务过程中获得的公民个人信息出售、非法提供给他人，情节严重，其行为已构成出售、非法提供公民个人信息罪。公诉机关指控的犯罪事实清楚，证据充分，罪名成立。”如此的定罪过程思维实际上将“违反国家有关规定”这一犯罪构成客观方面的要素虚置化了，这也使得我国刑法典第253条之一所规定的犯罪成为非典型的行政犯，也使其成为一种法定犯时代之下颇为尴尬的立法。

此外，我国还没有针对个人信息保护的专门法律，在我国众多涉及个人信息保护的“国家有关规定”中，存在着诸多规范冲突。例如《网络安全法》对网络运营者、网络产品或者服务的提供者侵犯用户个人信息的处罚是没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。而《消费者权益保护法》则规定，经营者侵害消费者个人信息依法得到保护的权利，可以单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款。然而如果依照工信部《电信和互联网用户个人信息保护规定》，电信业务经营者、互联网信息服务提供者侵害用户个人信息的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以上三万元以下的罚款。在我国还没有制定统一的《个人信息保护法》的情况下，这些不同位阶的法律、法规和部门规章在适用过程存在着严重的高位法与低位法、一般法与特殊法的冲突和混乱。因此，刑法第253条之一空白罪状中“违反国家有关规定”所指的“规定”并不详实，这暴露了我国行政制裁对信息违法行为的无力，也使刑法在适用中遭遇构成要件要素内容含混不清的困境。如前所述，《网络安全法》并非一部专门针对公民个人信息保护的立法，因此，应加快制定《中华人民共和国个人信息保护法》，明确公私部门收集、使用个人信息的原则和规范，统一关于侵犯个人信息的法律制度和罚则，构建完备的个人信息保护的前置法体系。

（二）设置新的犯罪行为类型

通常认为，公私部门对个人信息的支配行为包括收集、使用和对外提供，⑰Francesca Bignami.Privacy and Law Enforcement in the European Union: The Data Retention Directive.Chicago Journal of International Law.Volume 8, 2007, pp.233.刑法第253条之一规定的犯罪行为类型包括四种：即出售、非法提供、窃取以及以其他方法非法获取（公民个人信息），这四种犯罪行为类型所对应的是对外提供和（不具有收集主体资格）非法获取，并未涉及公私部门非法使用个人信息的行为，这个立法疏忽造成了刑法对个人信息保护的极大漏洞。例如2008年，西安电子科技大学在学生不知情的情况下，利用其掌握的学生身份证号码、家庭详细住址等个人信息，为1万多名学生集体办理了信用卡。尽管这一事件最终以学校公开道歉并注销信用卡结束，但其行为的危害性却引起了社会的普遍关注，同时引起了对非法使用公民个人信息行为是否应当入罪的广泛讨论。⑱参见韩玉胜、赵桂民：《侵犯公民个人信息犯罪客观方面辨析》，载《人民检察》2013年第19期。应当指出，合法收集（占有）公民个人信息进而非法使用的行为是国际社会公认的犯罪行为，例如《德国刑法典》规定了使用他人秘密罪，最高可处2年自由刑。《葡萄牙刑法典》规定了不当利用秘密罪，最高可处1年监禁。相比之下，葡萄牙立法例较德国立法例在犯罪构成要件的要求上更为严格，规定了“在未获得同意的情况下”和“给他人或者国家造成损失”两个客观构成要件，缩小了可罚范围，更适合我国立法予以借鉴。同时考虑到特殊主体非法使用公民个人信息行为的特殊危害性，还应规定，“非法使用在履行职责或者提供服务过程中获得的公民个人信息的，从重处罚”。

（三）进一步协调相似罪名司法解释之间的关系

我国司法解释往往承担着确定入罪标准、划定犯罪圈的立法功能，消除相似罪名司法解释关于入罪标准的矛盾是实现罪责刑相适应原则的重要保障，因此《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》与新《解释》之间存在的矛盾是刑法亟待解决的问题。在《网络安全法》提高对网络信息违法行为行政处罚力度的前提下，新《解释》提高了侵犯公民个人信息罪的入罪标准，⑲从笔者随机检索的60份侵犯公民个人信息犯罪的刑事判决书来看，法院认定为“情节严重”的涉案信息数量最低是10余条，违法所得数额最低是1000多元。在一定程度上体现了行政法与刑法的衔接，在这种格局下，非法获取计算机信息系统数据罪的入罪标准就显得不合时宜了，这是相似罪名新、旧司法解释在时代发展中产生的矛盾。针对这种情况，有学者提出应积极发挥司法解释的纠偏机制，⑳参见黄星：《刑法抽象司法解释的时代定位与纠偏》，载《法学评论》2017年第1期。笔者深以为然。我国司法解释制度的发展过程，就是一个不断纠错、更新与清理的过程，当旧的司法解释脱离社会情势，与整体法律体系不相协调时，司法解释就应当及时更新，新司法解释颁布的同时，旧司法解释废止或者不再执行。因此笔者建议，应当修改《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，提高非法获取计算机信息系统数据罪的入罪标准，实现其与《网络安全法》的衔接、与新《解释》的协调。在不断变化的当今社会，要想保持刑法的稳定性相当困难，司法解释更不应当追求稳定性，在需

要时及时修订已有的司法解释。21参见张明楷：《简评近年来的刑事司法解释》，载《清华法学》2014年第1期。在修改司法解释之前，应充分发挥指导案例制度的互补功能，这种与司法解释同根同源的制度蕴含着司法解释所不能替代的法律适用智慧，以典型个案说理的方式为裁判公正提供了一条最直观、最可行的道路，比司法解释更贴近司法过程的本质。22参见黄明儒：《刑法规范的适用性解释论略》，载《法治研究》2015年第5期。特别是对于这类定罪与犯罪对象数量、犯罪所得数额密切相关的信息数据犯罪来讲，相同、相似的数量（数额）获得相似的判决是裁判公正的题中应有之意，也是完善刑法适用细部品质的最高追求。

*本文系河南省社科联、河南省经团联调研课题“传统犯罪网络异化行为的刑法规制研究”（项目编号：SKL-2015-223）的部分研究成果，并受河南财经政法大学2015年重点项目“网络金融犯罪的刑法规制研究”的资助。

**作者简介：陈璐，河南财经政法大学刑事司法学院讲师，法学博士、博士后。