万伟冬
摘要:罪刑法定原则既要求规定犯罪及其后果的法律必须是立法机关所制定的成文法律,也要求刑法的条文必须具备明确性。法律主义要求行政机关不能制定刑法,明确性原则要求刑法在立法进行制定时条文所表达的内容是明确的,不能是模糊不清,有歧义。刑法第253条之一侵犯公民个人信息罪中的“违反国家有关规定”的含义模糊不清,含义无法明确且有违反法律主义的嫌疑,值得商榷。
关键词:违反国家有关规定;法律主义;明确性
《刑法修正案(九)》(以下简称《刑九》)将刑法第253条之一修改后,条文中新增了“违反国家有关规定”这一表述,对于该表述如何理解学者们也有相应的研究,但很少从罪刑法定原则出发进行研究。“违反国家有关规定”的含义是什么?其内容是什么?“违反国家有关规定”是否与罪刑法定原则中的法律主义的要求相冲突?是否违背了罪刑法定原则的中的明确性要求?以及“违反国家有关规定”的性质到底是什么?“违反国家有关规定”这一词所带来的种种问题都应值得我们去思考。
一、“违反国家有关规定”的界定
(一)由来
面对频繁地利用公民个人信息所实施的各种非法犯罪行为,《刑法修正案(七)》(以下简称《刑七》)规定的侵犯公民个人信息相关犯罪被《刑九》进行了相应的调整和补充,将修改后的条文与《刑七》规定的条文进行对比,不难发现条文的表述由“違反国家规定”变成了“违反国家有关规定”
《刑法修正案九》(以下简称《刑九》)调整侵犯公民个人信息相关犯罪后,将修改后的条文与《刑七》规定的条文进行对比,不难发现条文的表述由“违反国家规定”变成了“违反国家有关规定”。在《刑九》出台之前,对于侵犯公民个人信息罪如何修改曾提出了两种修改方案。第一种修改方案是“违反国家规定”的表述,第二种修改方案也是“违反国家规定”的表述。在上面的两种修改方案中,均是“违反国家规定”。“违反国家规定”的表述在《刑法修正案(九)(草案)》中依然存在,并未发生变化,然而《刑法修正案(九)(草案二次审议稿)》中对于该条文的表述则成了“违反规定”;在《刑法修正案(九)(草案三次审议稿)》的审议过程中有意见认为应对“违反规定”的范围过宽作出相应的限制,“违反规定”在《刑九》中的表述被调整成“违反国家有关规定”。
(二)含义
侵犯公民个人信息罪的客观行为之一就是表现为向他人出售或者提供公民个人信息,但是这种行为是违反国家有关规定的,那么该如何理解“违反国家有关规定”呢?首先得明确《刑法修正案(九)(草案)》中的“违反国家规定”与前述的“违反国家有关规定”是不等同的,因为后者的范围广于前者的范围。在侵犯公民个人信息罪中,“违反国家有关规定”产生的原因主要是我国尚未制定专门的公民个人信息保护法,有的仅仅是分散在其他法律法规的相关规定。即意味着《刑法》第253条之一中的“违反国家有关规定”可以这样进行理解:违反其他法律、法规中对于保护公民个人信息的规定,如在专门的法律、法规中对于特定领域内公民个人信息保护的规定,甚至违反部门规章中关于公民个人信息保护的规定也构成违反国家有关规定。
(三)内容
侵犯公民个人信息罪中的“违反国家有关规定”在具体法律条文中的规定又是哪些呢?又该作何理解呢?由于我国迄今为止并没有制定一部单独而又全面系统规定保护公民个人信息的法律,保护公民个人信息的条文也只能在其他已经颁布施行的法律法规中找寻,故违反下列法律、法规、部门规章中关于公民个人信息保护的条文均是属于“违反国家有关规定”。
《民法总则》第111条规定、《消费者权益保护法》第50条规定、《未成年人保护法》第39条规定、《消费者权益保护法》第14条规定、第29条规定以及全国人大常委会发布的网络安全维护的《决定》第4条之规定、我国《电信条例》第58条之规定、第66条规定、《电话用户真实身份信息登记规定》第16条第3款规定、《传染病防治法》第68条规定、《旅行社条例实施细则》第44条规定、《护照法》第12条第3款规定、《身份证法》第6条规定、第19条规定、《统计法》第9条规定、《律师法》第48条规定以及《全国人民代表大会常务委员会关于加强网络信息保护的决定》。综上所述,凡是违反上述法律、法律法规中关于公民个人信息保护的条款,即构成侵犯公民个人信息罪中的“违反国家有关规定”。
二、“违反国家有关规定”与法律主义
认定罪名、确认刑罚所适用的法律必须是成文的,这就是罪刑法定原则中的法律主义要求,审判机关在定罪、量刑过程中所适用的必须是成文法。依据这样的要求只有立法机关才有权制定规定犯罪及其后果的法律。而且必须采用本国通用的文字进行表述。即意味着刑法制定的唯一合法主体是国家立法部门,认定罪名、确认刑罚的法律规定必须是由国家立法部门所制定的,依据《宪法》和相关法律的规定,行政部门没有制定刑罚规定的职能。依据我国宪法的规定,国家立法部门所保留的某些立法权对其他机关有绝对的排他权,行政机关必须在合法授权的情况下才能有权行使立法权,这体现了我国行政基本原则中的合法行政下的法律保留原则。依照法律的规定只能由立法机关行使立法权的事项,行政部分若要行使必须获得法律的授权,不经合法授权便不具有立法权限,而关于犯罪和刑法正是属于法律绝对保留的事项之一,这也从侧面印证了法律主义的要求。
在前述提到的“违反国家有关规定”的内容中,当其他法律、法规中对公民个人信息进行保护的规定被违反时属于“违反国家有关规定”的情形是可以理解的,但违反规章中对公民个人信息保护的内容也构成“违反国家有关规定”,这是存在疑问的。法律主义要求规定犯罪及其后果的必须是法律,而作为刑法典中侵犯公民个人信息罪亦应属于其调整范围。在《刑法》第253条之一的条文中明确规定:“违反国家有关规定,……并处罚金”,结合“违反国家有关规定”的含义来看,行政法规、规章所规定的保护公民个人信息的条文均可以被认作是“违反国家有关规定”。换言之,是否违背行政法规或者规章中公民个人信息保护的规定将成为入罪的前提要件之一会导致“违反国家有关规定”难免有违反法律主义之嫌疑,同时有违背罪刑法定原则的可能。
三、“违反国家有关规定”与刑法的明确性
罪刑法定原则在内容上有形式和实质的区分,形式的侧面包括该原则的法律主义以及类推解释、不定期刑、事后法的禁止性内容,而刑法内容的适正原则和刑罚内容的确认原则属于实质的侧面的范畴,该项原则的主要特点体现在罪刑法定的明确性上。将明确性界定为实质的侧面的主要内容最先来源于美国美国联邦法院在1914年认定法律“因不明确而无效”是一项宪法原则。到后来,该理论也得到了其他国家的承认,比如联邦德国巴伐利亚州法院在1952年明确宣布违反“公共秩序”的行为的法律是无效的,因为其不具有明确性,具有太大的模糊性,不利于对事实进行认定;日本的最高裁判所也于1975年9月10日在其判决中对明确性原则进行了肯定。不明确的刑法不具有法理学中所言的可预测性,即意味着不能刑法不具有可预测性的功能,那么国民在行为前就不会明白其行为的法律性质,就会限制国民的自由,造成其行动的相对不便。而且,随着千变万化的社会发展,不明确的刑罚规范对国民的侵害也会越来越严重,因此不明确的刑法比没有刑法更会造成侵犯国民自由的现象频繁发生。从刑法的目的来说,其主要目的是为了保护个人的生命、身体、自由、财产,至少其主要目的不在于保护国家自身或者维持伦理秩序,这也意味着刑法的目的是“市民的安全要求”。那么明确性原则便是约束刑法,实现刑法目的的必要手段之一。明确性是限制国家权力,保护人民自由的基本要求,也是法治国家建设的应有之义。
明确性原则不仅仅是针对与刑事立法而言,也针对刑事司法。在侵犯公民个人信息相关犯罪进行刑事立法和刑事司法时也应考虑明确性原则。在这里我们仅讨论侵犯公民个人信息犯罪中刑事立法的明确性贯彻问题。刑事立法明确性原则要求第一点规定禁止绝对不定期刑。在我国目前的刑事立法中,规定的是相对确定的法定刑,对部分犯罪和罚金的数额没有进行明确的规定,在这一点上并没有完全符合罪刑法定原则中的明确性要求,但也是符合法治要求的,采取相对确定的法定刑一方面有利于限制进行自由裁量的权力,另一方面也有利于实现罪责刑相适应。由于社会生活的纷繁复杂,采取绝对确定的法定刑是不可取的,而犯最罪行的轻重、不同的情节、不同的预防程度以及情节轻微等情况的存在也否定了不能采取绝对确定的法定刑。这一点与《刑法》第253条之一中规定的相对确定的法定刑是相适应的。刑事立法明确性原则要求的第二点便是犯罪构成的明确性。犯罪构成的明确性就要求规定犯罪的内容必须在条文中明确表示出来,能够让人理解哪些行为构成犯罪,哪些行为不构成犯罪,即罪与非罪在条文中的表述必须明确。反观《刑法》第253条之一中规定的“违反国家有关规定”,这一措辞难免会使人产生疑问?违反关于公民个人信息保护的规定具体指的是哪些规定?违反的是行政法规还是规章?违反的是公民个人信息保护的哪些条文?以上等等问题都没有明确的规定,即意味着“违法国家有关规定”不符合犯罪构成的明确性要求。换言之,“违反国家有关规定”的这一措辞就致使侵犯公民个人信息罪构成要件的明确性丧失了。由于侵犯公民个人信息罪的规定并未明确,就致使侵犯公民个人信息的行为哪些行为构成犯罪不具备可预测性,不能发挥刑法的预测性功能,致使国民在进行行为时倍感如履薄冰,因为国民不知道自己的哪些行为会被当做犯罪处理,从而致使国民的行动范围受到极大地限制,行动自由也受到了相应的束缚,违反了法治原则。
由于侵犯公民个人信息罪中“违反国家有关规定”并未明确,致使明确性原则在立法中并未达到相应的贯彻,也就致使“违反国家有关规定”这一条文表述有违反刑法的明确性嫌疑,也即违反了罪刑法定原则。罪刑法定原则属于刑法的基本原则,基本原则也是贯穿于刑法之中,具有全局性的准则,不论是刑法的制定、解释、适用都必须遵守。“违反国家有关规定”甚至在一定程度上可以说致使刑法的基本原则被刑事立法所搁浅在追求法治国建设的道路上。
四、“违反国家有关规定”的性质
关于“违法国家有关规定”的表述体现在我国刑法第二百五十三条第一、二款中,若在分则条款中所明确的罪名中存在“违反国家规定”和违反……之规定的说法,则可将该条款所明确的罪名称之为空白罪名,换句话说,认定罪名所适用的法律是其他法律规定。依据这样的规定,将犯罪构成要件的具体内容委任于其他法律、法规,需要对指明的其他法律、法规进行界定从而确定其内容。在侵犯公民个人信息罪中,判定“违反国家有关规定”时。司法机关需要查明并证明行为到底违反了哪部法律的哪条条文,如果不能查明并证明,则行为不符合犯罪的构成要件,不违反刑法。但空白罪状的适用同时也会对罪刑法定原则中明确性要求造成冲击,由于法律法规的变化频繁,其可预测性下降,因此需要对“违反国家有关规定”的性质进行界定。
有学者主张理解“违反国家有关规定”时需要从法秩序一致性,通過优先原则的判断达到保护利益的一致,即考察是否具有一般违法性来解释,在解释“违反国家有关规定”必须以《刑法》第96条为底线,并且涉及保护公民个人信息的法律、法规,明确规定或一般性规定均可以提供指示。也有学者主张以超个人法益属性角度理解“违反国家规定”,通常的,刑法分则中不存在违反……之规定的表述,即使存在也不能与强意义的构成要件相提并论,在刑法分则第4、5章之外的关于侵害国家法益罪和侵害社会法益罪的规定中,即非法向他人出售或提供公民个人信息的犯罪构成中,违反国家法律之规定中的规定往往是国家立法机关制定的专门性的、具体的、明确的法规,另外一般性的法规也纳入其中。还有学者在“违反国家有关规定”的认定上采用广范围的理解,包括相关法律、行政法规、部门规章以及其他规范性文件等,这些分散于各法律、法规中的关于公民个人信息保护的条文均是追究侵犯公民个人信息罪该罪刑事责任的前提。也有学者认为侵犯公民个人信息罪中的违反国家有关规定,向他人出售或者提供公民个人信息中的违反国家规定,将在职权行使或服务环节获取他人个人信息,出卖或交付给他人以违反国家规定为前提:而窃取或者其其他方法非法获取公民个人信息要求非法获取,这“违反国家有关规定”规定的实质是揭示违法阻却事由。
以上对于“违反国家有关规定”的理解各有千秋,但是仍存在着一些疑问。通过从法秩序一致性并以《刑法》第96条为底线解释“违反国家有规定”的观点未明确揭示“违反国家有关规定”的性质,只是基于一般违法性角度谈如何理解“违反国家有关规定”,并未对“违反国家有关规定”作出性质界定。理解“违反国家有关规定”从超个人法益属性角度出发,将其作为“弱意义”的构成要件,主张侵犯公民个人信息罪只需要一般性规定即可,而刑法分则第四章、第五章或者其他侵犯国家法益或者社会法益犯罪需要专门性规定,这种观点会让人产生同样是犯罪,为什么侵犯公民个人法益的侵犯公民个人信息罪没有专门性明确规定而有一般性规定即可,侵犯国家或社会法益的犯罪却需要专门性明确规定的疑惑?同时“违反国家有关规定”不等同于“违反国家规定”,前者的范围要明显窄于后者,该观点将二者混为一谈,仍值得思考。将“违反国家有关规定”采取广范围理解,认为包括相关法律、行政法规、部门规章以及其他规范性文件等,这样会使得侵犯公民个人信息罪认定的前提的范围扩大化,造成处罚的前提范围扩张,应从罪刑法定原则出发对“违反国家有关规定”进行反思。
五、结语
面对日益猖獗的侵犯公民个人信息违法犯罪行为,为了实现公民个人信息的保护和打击犯罪的目标,对侵犯公民个人信息罪的调整和修改来进一步完善对公民个人信息的刑事法保护本是无可厚非的。应先由全国人大常委制定单行的个人信息保护法来保护公民的个人信息安全,但在修改法律时,尤其是刑法,因其制裁手段的严厉性和处罚范围的不完整性,必须坚持刑法基本原则在整个条文中贯穿。而“违反国家有关规定”的这一表述就与罪刑法定原则中的法律主义和明确性要求相冲突,有违反罪刑法定之嫌疑,应在今后的立法、司法中明确坚持罪刑法定原则,修改与之相冲突的地方,从未更好的协调两者的紧张关系。不可否认的是,在侵犯公民个人信息罪中还存在着本文所未提到的相关问题,如单纯购买公民个人信息的行为是否构成侵犯公民个人信息罪,这些问题的解决都得需要参考和借鉴其他国家和地区的理论研究成果,来形成完备的公民个人信息保护体系。