侵犯公民个人信息罪的价值选择与认定

徐兴涛

[摘要]侵犯公民个人信息罪的设立，较为有效地保护了公民的个人信息。随后最高人民法院会同最高人民检察院出台的相关司法解释及指导性案例，也为司法实践中正确处理此类案件提供了较为可行的操作标准。但由于本罪具有预防刑法的特性，对其理解与适用应进行合理限缩。在理解这一罪名时，应当以兼顾公民个人信息的保护与数据产业发展的平衡为价值指引，注意两高的相关解释与《网络安全法》的衔接。在侵犯公民个人信息罪的构成要件的具体涵摄中，应将相关信息豁免制度作为辅助性参考，正确认定阻却构成要件的情形。公民个人信息的内涵具有“可识别性”，其范围包括身份识别信息和活动情况的信息，IP地址、Cookies等都可纳入，但在具体的认定上应当增加认定要素以限缩范围;作为构成要件要素的“国家有关规定”的范围应当限制为法律、行政法规，部门规章应当排除在外。

[关键词]价值衡量;信息豁免;个人信息范围;“国家有关规定”

[中图分类号]D914 [文献标识码]A [文章编号]1671-8372（2020）01-0054-08

随着信息社会的到来，信息资源在社会生活中发挥着越来越重要的作用，在某种意义上已成为重要的生产要素和社会财富的表征。个人信息的重要性也日渐凸显，成为当下信息经济中的重要元素。然而，现实中个人信息的泄露十分严重，通过刑法对公民的个人信息进行保护，成为社会公众的理性需求。

2009年2月28日通过的《刑法修正案（七）》增加了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名，作为刑法第二百五十三条之一，正式将侵犯公民个人信息的行为人刑。这使得司法机关在处理侵犯公民个人信息类案件时有了刑法上的依据，在_定程度上打击了此类犯罪活动。随着社会信息化程度的加深，侵犯公民个人信息的犯罪愈加频发，并呈现出与电信网络诈骗、绑架、敲诈勒索等犯罪活动联系在一起的新特征。为了应对这一犯罪状况，加大对公民个人信息的保护力度，2015年8月29日通过的《刑法修正案（九）》对刑法第二百五十三条之·进行了修改，将原来的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两罪合并为“侵犯公民个人信息罪”一个罪名。此次修改对原有条文进行了完善，将本罪的主体修改为一般主体，明确规定了从重处罚的情节，并以情节犯的模式加重了法定刑。

根据对相关案件的统计分析，侵犯公民个人信息罪的大多数案件通过互联网实施。此外，还与其他类型的犯罪交织在一起，这使得侵犯公民个人信息的情形比较复杂。实际案件办理过程中，在很多具体的适用问题上存在争议。为此，最高人民法院会同最高人民检察院（下文简称两高）于2017年明8日发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下文简称《解释》），为侵犯公民个人信息罪的定罪量刑提供了细化的操作指南。在此前后，两高还曾发布了数起侵犯公民个人信息犯罪的典型案例，最高人民检察院还在2018年11月9日印发了《检察机关办理侵犯公民个人信息案件指引》，这些都为实践中正确处理此类案件提供了依据。

侵犯公民个人信息罪的设立及两高《解释》的出台，有力地保护了公民的个人信息，其具体的定罪量刑标准也在司法实践中日臻完善。但是，由于侵犯公民个人信息罪具有预防刑法的特征，在具体的理解和适用中，需要关注该罪及《解释》背后所体现出的价值取向，遵循刑法的谦抑性原则，并以此为指导正确处理司法实践中所面临的具体问题。

一、侵犯公民个人信息罪的价值取向与利益衡量

（一）理解该罪的基本立场

在当今时代，公民个人信息是重要的生产要素和珍稀资源，因而收集和分析各类信息成为必要，这催生了大数据的运用，获取和分析数据信息成为社会运行的常态。商家为了进行精准营销，会在其经营过程中利用自己提供的商品或者服务有意识地收集个人信息，甚至还会同其他商家进行交换、分享等，以便于进行个性化定制活动。各地建立了很多数据交易公司，以实行数据信息的共享和利用。除作为经济实体的商家外，国家层面的社会治理和管控的科学化水平也有赖于大数据的应用，通过大数据分析，政府可以更理性科学地做出决策。因此，大数据的应用和发展，对于促进社会进步、经济发展以及提高政府综合治理水平，都具有重要的作用。从某种意义上说，大数据是国家重要的战略资源，也是科技创新的重要增长点。

个人信息也是信息经济健康发展的要素，而个人信息是否安全直接影响着信息经济能否向好发展。动用刑罚手段对个人信息进行保护，具有迫切的现实需求。公民个人信息的安全固然重要，但也不能因噎废食。尤其是在当前大数据相关行业的发展如火如荼的形势下，更应当处理好二者的关系。在大数据和云计算的时代背景下，包括公民个人信息在内的各种信息要想創造价值，必须能够自由地流动和交易，而在这一过程中不可避免地会涉及公民个人信息的保护边界问题。毋庸讳言，公民个人信息的保护与大数据产业发展之间存在一定的张力，解决二者矛盾的有效途径即是通过制定和适用相关法律，为两者的划分提供相对清晰的标准。我国信息产业的发展与公民个人信息的保护，必须通过良好法律框架的构建来加以协调。在对侵犯公民个人信息的犯罪行为进行有效打击的同时，应当考虑其对大数据相关行业的发展所可能产生的消极影响，为大数据应用创造较为宽松的法律环境。

两高的《解释》作为司法实践中认定该罪的重要参考，无疑具有最为显在的指引作用。《网络安全法》作为我国第一部涉及网络安全管理的基础性法律，对公民个人信息的保护做了较为系统的规定。《解释》的制定注意了与《网络安全法》的协调，对于不属于侵犯公民个人信息的行为进行了较为明确的说明。如《网络安全法》第四十四条对非法行为进行了限制和禁止，但对于合法出售或者提供公民个人信息的情形则予以认可。《网络安全法》第四十二条第一款还将征得被收集者同意、匿名化处理两种行为作为合法利用信息的行为，与之相对应，《解释》也将这两种行为排除在“提供公民个人信息”范围之外，这也体现了其平衡个人信息保护与促进大数据产业发展的立场。因此，对侵犯公民个人信息罪进行理解和适用时，既要惩罚侵犯个人信息的犯罪行为，发挥刑法的威慑和教育的作用，也应保持刑法的明确性和谦抑性，尽可能减少不利于信息产业良性发展的影响。

（二）施行中的建议

我国对公民个人信息的滥用情况十分严重，而与信息保护相关的立法则比较滞后，为了有效遏制这一具有严重法益侵害性的行为，国家动用刑法进行规制具有现实合理性。对《解释》的不正确理解和适用，会有损大数据产业的发展，甚至也会对一些广泛适用的商业规则产生影响。侵犯公民个人信息罪的认定范围对我国商业活动中的数据交换和数据交易有较大的示范性指引作用，如果在实践中处理不当，可能会带来相关行业和产业的萎缩。

首先，应在符合法律规定的前提下，注意对侵犯公民个人信息罪成立范围的限缩。《解释》的出台，填补了侵犯公民个人信息罪在司法适用中的模糊地带，但我们在适用中也不能被司法解释所奴役，简单机械地适用《解释》的规定。在该罪的具体理解和适用中，应当注意拿捏好保护个人信息与促进大数据产业发展的分寸。对于侵犯公民个人信息罪的具体范围，有学者提出了限缩的具体路径：将该罪的法益界定为公民的人格尊严与个人自由;对公民个人信息的范围以法益侵害性进行限制;增加行为目的作为该罪的构成要件要素。这些具体路径的探讨虽然存在争议之处，但在基本方向上无疑是正确的。

其次，具体适用中应有意识地引导数据行业的合规建设。在大数据时代，平衡公民个人信息的保护与发展信息产业，应注意发挥行业自律的功能，加大企业的责任。当前，公民的个人信息很容易泄露，传统的保护方式的效果已式微。在平衡个人信息保护与促进数据行业发展之间如能注重发挥行业的有效自律，制定相关行业的实施细则，不仅能够为认定侵犯公民个人信息罪提供依据，而且可以促进企业建立合规制度，提高数据利用的职业素养。所以，在制度设计的理念层面，“政府不应假定消费者在使用企业的通信工具等产品时主动透露了自己的隐私，那样就意味着他们授权企业使用这些隐私”。而应当增强数据相关企业、行业的责任感，提升其数据利用的道德意识和良好观念。因此，侵犯公民个人信息罪的具体认定，在实现良好的法律效果的同时，应注意对行业自律和企业合规建设的引导，进而实现良好的社会效果。

二、信息豁免制度与构成要件的涵摄

在刑法修正案和《解释》中几乎没有明确规定与获取、使用公民个人信息的豁免制度相关的内容，也没有指出法律适用中的“例外”情形。毋庸置疑，作为信息资源的一部分，公民个人信息具有极其特殊的地位，往往附带巨大的经济价值。基于在保障公民个人信息权利的同时，兼顾互联网大数据发展的现实需求，虽然相关法律没有对合理取得、使用公民个人信息的行为予以明确排除，但是在对侵犯公民个人信息罪的构成要件进行涵摄时，应当结合相关的信息豁免制度对非法获取、出售和提供公民个人信息的行为进行理性判断，对阻却构成要件的情形正确地进行识别和认定。

我国公民个人信息保护的法律框架并不完善，相关信息制度也并不成熟，尤其是在信息豁免制度方面。在经济学和社会学领域存在“后发优势理论”，该理论认为，“发展中国家收入水平、技术发展水平、产业结构水平与发达国家有差距，可以利用这些差距，通过引进技术的方式来加速技术变迁，从而使经济发展得更陕。”这也同样适用于个人信息保护制度的建构，在信息制度豁免方面，我们可以借鉴域外的先进经验。

（一）灵活运用目的限定原则

目的限定原则在《网络安全法》上有较为明确和集中的表述。《网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”这是对网络运营者在收集、使用目的上进行的限定，也即符合其目的的行为应当认为是合法使用。刑法第二百五十三条之一第三款规定了“以其他方法非法获取公民个人信息”的行为方式，《解释》对其内容进行了具体说明，以列举的方式将两种情形认定为“其他方法”。“其他方法”具有兜底条款的屙陛，在具体的认定中可以合理借鉴目的限定原则。当获取或者收集公民个人信息的行为符合使用目的时，不应当认定为“以其他方法非法获取公民个人信息”。在具体判断是否符合使用目的时，应当进行动态的把握。借鉴场景及风险的理念，合理地评估后续的数据收集及处理。具体来说，应从客观和主观两个方面进行考察：从客观看，后续行为是否增加了原有的风险;在主观上，考察后续的处理是否超出了用户的合理预期。如果这两方面都能得出否定的结论，则可以认为是“合理使用”，可以对此种行为进行豁免。

（二）本人同意的效果

《网络安全法》第四十一条还涉及本人同意的效果问题。德国的信息保护走在了欧盟的前列，其信息保护的法律和制度对欧盟产生了重大影响。德国刑法中有侵害私密罪，但与我国的侵犯公民個人信息罪存在较大差别，其信息保护的主要法律是《联邦信息保护法》。尽管整个欧盟境内适用《一般信息保护条例》，但是并没有到影响《联邦信息保护法》在德国的普遍适用。因为德国信息保护的立法水平非常高，《一般信息保护条例》借鉴了《联邦信息保护法》的许多法律制度。德国个^信皂、保护的主要原则是信息控制，由信息主体决定其信息被采集的时间、地点及方式。这种个人对其信息支配和控制的权利被称为信息自决权，是宪法上人陛尊严保障的体现。德国《联邦信息保护法》在理念上推崇意思自治原则，将信息主体的同意作为合法采集、使用的判断标准，并详细规定了信息主体所享有的具体权利。《解释》第三条明确了未经被收集者同意向他人提供信息的行为属于“提供公民个人信息”，其内容能否反向推定适用于构成要件的排除值得探讨。刑法上的被害人承诺的相关理论可以用于解决在信息主体同意时对行为人的归责问题。被害人承诺在犯罪论体系中的地位存在—定的争议，按照德国影响较大的观点，其属于客观归责的内容，在存在被害人承诺时原则上阻却构成要件。

原则上讲，本人同意可以作为合理使用的条件，一般情况下可以免责。但是也不能进行简单的处理，在出现社会的一般人难以预见风险、制造风险和风险升高的情形时，如果行为人利用其信息技术优势对此有认识，应当主动采取造成较小风险的措施和预案。若本人知晓其风险后，明确表示同意接受的，则仍可以视为合理使用，进而以被害人承诺理论排除归责。

（三）禁止收集原则及其例外制度

在对侵犯公民个人信息罪的行为方式进行认定时，可以结合和参考外国及国际组织关于个人信息保护的禁止收集信息原则及其例外制度，作为行为认定的辅助性参考资料。因为我国信息保护的法律体系并不健全，现有的法律制度及立法水平也有待完善和提高，当出现侵犯公民个人信息的相关行为时，在对行为进行类型化处理的同时，尤其应当适当参考域外的禁止原则与特定情形下的例外规定。《解释》第四条还将违反国家规定“在履行职责、提供服务过程中收集公民个人信息的”行为认定为非法获取公民个人信息，在理解和适用这一行为方式时，除了与我国的信息保护的相关法律和制度衔接外，应参考国际通行的信息禁止收集原则和例外收集制度。

经济合作與发展组织（OECD）、欧盟和德国的信息立法中都包括一些例外的规定。原则上，法律有授权时，才能在一定条件下收集公民个人信息，但收集的条件并不适用于一些特殊情形。如国家机关在履行公共职责，以及新闻媒体和公民个人在监督国家机关公职人员履职情况时，不需要经过信息主体的同意，但诸如种族、健康状况等敏感信息禁止收集。加拿大《隐私权法》在说明隐私权的范围时，对于公职人员的职务信息也做了除外规定。因此，为了公共利益的需要或者特殊职业的要求而采集公民个人信息的，不宜认定为非法获取公民信息的行为。《网络安全法》第二十八条中规定了网络运营者对公安机关、国家安全机关负有协助义务，可以视为信息收集和信息提供的例外制度。此外，美国在《消费者隐私权利法案（草案）》中建立了信息的“安全港机制”，德国对此也有相关讨论。据此，在立法和监管的过程中，应鼓励相关行业根据法律的原则自行制定实施细则，调动多方主体的参与，增强法律与制度的灵活性，并赋予这些细则的强制效力和免予直接执行立法条文的豁免权，以促进对法律的正确实施。从而，在认定信息行业的参与主体是否存在非法获取公民信息的行为时，应当充分考虑其在尊重法律原则前提下所制定的通行的行业细则，以弥合法律的高冷与行业规则的世俗。

三、公民个人信息的内涵和范围

关于公民个人信息的内涵和范围，一直存在争议。从构成要件要素的分类而言，公民个人信息属于规范的构成要件要素。张明楷教授曾对其在实践中的困境进行描述：“法官不仅需要判断案件事实是否符合构成要件，而且需要以特定的违法性为导向，以某种规范为前提理解构成要件要素和评价案件事实。”因此，公民个人信息的这一构成要件要素的属性自身造成了理解和认定上的困难。即便是《解释》第一条对公民个人信息的范围进行了较为明确的规定，在具体的适用中仍应当注意其规范性的一面。为平衡公民个人信息保护与数据产业的发展，在认定公民个人信息时，应注意与《网络安全法》等相关个人信息保护法律的衔接，把握其核心内涵，合理确定其范围。此外，还要结合相关的信息豁免制度，适当增加相关要素，对不宜纳入保护范围的信息予以排除和限缩。

（一）公民个人信息的界定

关于公民个人信息的内涵和范围，国外立法中的规定也存在较大的差异。如日本在《个人信息保护法》中采取了个人信息的概念，美国的《隐私法》将个人信息纳入隐私权的保护范围，欧洲国家则在立法中采用个人数据的说法。我国理论界则存在以下观点：广义说认为可以识别出特定个人并与其有关联的一切信息都是个人信息，包括公民个人身份、财产状况及个人隐私等方面;识别说则界定为可以用来识别公民个人身份的姓名、职业、年龄、婚姻状况、学历等信息;隐私说则将其限定在与个人隐私相关的范围。尽管上述观点在表述上有所不同，但其内涵和基础是相同的，即“识别性”是个人信息的核心特征。《解释》中对于个人信息的界定，大体上采用了“侵犯公民人格权犯罪问题”课题组的观点，将公民的个人信息的内涵确定为能直接指明或间接推断出公民个人身份的信息，不仅包括能识别公民个人身份的静态信息，还包括能够体现公民行踪的动态信息;在立法方式上，采取概括加列举的方式，以适应社会的发展需求等。这为解决司法实践中出现的疑难问题提供了标准。

就公民个人信息而言，以“可识别性”作为其本质屙陛，将单独或者与其他信息结合反映特定人身份或者活动的信息都包括在内，具有其合理性。从与其他相关信息保护法律的结合来看，《解释》对公民个人信息的界定考虑了与《网络安全法》的衔接，并吸收了司法实践中的做法。《网络安全法》第七十六条从内涵和外延两个方面对个人信息的内容进行了规定，个人信息的主要判断标准为是否具有“可识别性”，范围主要集中于‘身份识别信息”。《解释》采用了《网络安全法》“可识别性”的本质内涵，但内容上包括身份识别信息和活动情况信息，这考虑了司法实践中的状况，适应了公民个人信息保护的现实需求。

与《网络安全法》相同，《解释》对公民个人信息的范围也采用了列举的方式，但明确包括了“行踪轨迹”。此处“等”字的用法应为列举不尽，表示省略的情形与列举的事物具有性质上的相似性。因此，户籍信息、手机定位、住宿记录、通话清单、征信信息、网购订单信息等，都属于公民个人信息的范围，之前的司法案例也持相同的观点。但是，此处并非像有学者主张的那样，对公民个人信息进行了范围上的扩充，只是在符合信息本质属性的前提下所做的列举，这些信息必须符合“可识别性”，否则，应不属于公民个人信息的范围。这也是平衡公民个^信息保护与数据产业发展的应有之义。

（二）IP地址、cookies等属于公民个人信息的范畴

除了一些较为明确的信息种类外，还存在一些是否属于个人信息尚无定论的情形。对于以下信息，如IP地址、cookies等是否属于公民个人信息的范畴，存在争议。根据百度的解释，IP是英文InternetProtocol的缩写，是为计算机网络相互连接进行通信而设计的协议。任何一台计算机只要接入因特网中，遵守这套规则，就能与其他计算机实现通信。如果把计算机比作电话，IP地址就是电话号码。在现有的技术条件下，知道一个用户电脑的IP地址，通过这个地址来确定其实际的使用地址，是非常容易做到的事。网络管理人员常常是通过IP地址来确定网络故障的位置，广告商则利用这项技术将广告进行精准的投放，而这些只是IP地址定位的最基本的应用。当下，在计算机领域，IP地址的实体地理位置定位技术的研究，也在不断进步，很多人都提出了新的定位技术并开发出IP地址的定位产品。而且通过查询ID号，能够进人专用网络实施相关犯罪，司法实践中已有相关判例。因此，从公民个人信息“可识别性”实质内涵来看，IP地址完全可以纳入《解释》所规定的行踪轨迹中去。

Cookies是一种储存在用户本地终端上的加密的数据形式，通常是网站为了辨别用户身份、进行session产生的。它是由Web服务器保存在用户浏览器上的小文本文件，包含了有关用户的信息。其最基本的应用就是方便用户登录，当用户登录网站时同意“下次自动登录”，包含了相关信息的Cookies等就被保存到本地。Cookies常常会关联到用户隐私，实践中发生了大量的与之有关的案例。因此，通过Cookies或者与其他信息的结合，很容易知道特定人的身份信息和特定活动。此外，互联网的安全状况致使Cookies自身保存的信息泄露的情况时有发生，造成了比较严重的后果。因此，从某种意义上说，Cookies只是让公民个人信息的载体发生了变化，并没有改变其内容，将其认定为公民个人信息没有疑问。此外，欧盟将与数据主体相关的任何信息都视为个人数据（公民个人信息）;而数据主体是指控制者、自然人、法人通过有效运用数据而识别的自然人，这些数据包括了定位数据、网络标识符等。这也从另一个侧面说明了將IP地址、Cookies等网络空间的信息认定为公民个人信息的可行性。

（三）认定要素补充与范围限缩

从应然层面上看，《解释》应明确规定不属于“公民个人信息的情形”，从正反两个方面加以规定，以使个人信息的范围进一步明确。可以采用定性的描述和列举的示例，对豁免的情形进行具体的阐释。但是《解释》并没有明确规定除外情形，因此在对公民个人信息进行认定时应当把握住其核心特征，对不属于公民个人信息的范围进行排除。

实际适用过程中，应当对公民个人信息的范围做进一步的限缩，以刑法的谦抑性原则为指导，结合生活实际和立法宗旨进行综合判断，避免对公民个人信息认定的范围过宽。司法实务也关注到这一点，引发了从适用的技术层面以匿名化和情景判断为标准进行的探讨。在具体的判断标准上，有学者提出，“应同时考虑个人意愿与社会评价。”这对于我们认定公民个人信息有一定的借鉴意义。在具体认定时，首先应当考虑本人意愿，即本人是否同意其个人信息被公开，故意炒作的除外，如追求曝光率和粉丝数量的主播“网红”等;其次要考虑是否具有保护的必要或价值，如果该信息的泄露会给公民个人的生活造成重大影响，那么就应该纳入刑法的保护范围。

司法实践中，涉案信息的私密性也可以作为考量的要素。如对于行踪轨迹的认定上，需要考虑其是否具有私密性，进而确定所涉信息是否值得刑法保护。在进行甄别时应注意把握一定的原则，遵循可行的方法。具体的审查过程中，应当以一般人的观念为标准，确定信息中的内容是否具有私密性;根据社会发展的客观情况，来判断该信息是否应当保密;在判断的时点上，应当站在行为时的立场，以行为当时的主客观情状来加以判断。尽管公民个人信息的内涵和外延有了较为明确的规定，但在实际办案过程中仍然存在难点，如信息的数量和是否真实有效，目前尚未有可行的科学方法进行验证，这也加剧了此类案件认定上的困难。

四、关于“违反国家有关规定”的理解

在侵犯公民个人信息罪的认定上，涉及对“违反国家有关规定”的理解。有观点将“违反国家有关规定”的功能定位于提示违法性，并阐述了其在违法性评价和责任评价阶段所应具有的意义。笔者认为，违反国家有关规定为该罪的构成要件要素，形塑了该罪的不法类型。侵犯公民个人信息罪属于法定犯，对其认定首先需要借助前置的法律规定的内容。公民个人信息的保护与数据产业发展的边界集中体现在是否违反国家有关规定上，构成要件涵摄中对于相关豁免制度的参考，也离不开对这一构成要件要素的解读。需要注意的是，这一构成要件要素在两个修正案中的表述是不同的，《刑法修正案（七）》在条文中的表述为“违反国家规定”，而《刑法修正案（九）》将其修改为“违反国家有关规定”。二者仅仅是表述的不同还是存在内容上的差异？有学者将《刑法修正案（七）》中的“违反国家规定”限定为违反法律及行政法规，并将刑法第九十六条的规定作为参照，从该条来看，“国家规定”的位阶应为法律或者行政法规，因此，“违反部门规章、地方性法规、地方政府规章等规范性文件，不是构成本罪的前提。”而《解释》的第二条明确了“国家有关规定”应包括法律、行政法规和部门规章。

首先，从罪状类型上看，“违反国家有关规定”属于空白罪状，是认定本罪不法的前提。采用空白罪状的方式，要求其构成要件的认定必须与前置法的规定相联系。随着社会信息化进程的加快，信息的内容会不断扩充。采用空白罪状的立法方式可以适应社会形势的发展，对于保护公民个人的信息安全具有工具性价值，且能够保证刑法的稳定性。但是由于空白罪状所固有的特点，会与罪刑法定所要求的明确性产生一定的冲突，因此对于这一构成要件要素应适当进行限缩。

其次，侵犯公民个人信息罪的法益屙陛也会影响侵犯公民个人信息罪的范围。有学者以被害人教义学理论为分析框架，得出了侵犯公民个人信息罪的法益具有公共性的结论。还有人结合大数据环境将侵犯公民个人信息罪的法益界定为信息专有权，是一种集体法益。如果将其理解为超个人法益，就会使该罪的适用范围扩大。因此，有观点将个人信息权中的信息自决权作为本罪的法益，以发挥其甄别信息与保障自由的机能。尽管本罪的法益具有模糊性，但该罪条文处于侵犯公民人身权利、民主权利罪一章中，因此本罪的法益宜界定为个人法益，这也要求对“违反国家有关规定”的范围应当加以限定。

最后，从具体的技术操作层面上看，对“违反国家有关规定”的内容也不应做扩大理解。有学者对“违反国家有关规定”限缩的具体途径进行了讨论，认为“国家有关规定”的范围应当包括规章在内，只是对规章的内容进行了限制。笔者认为，公民个人信息的范围十分广泛，因此，需要有法律、行政法规的专门、明确而具体的规定。对“违反国家有关规定”不能做较为宽泛的一般意义来理解，应注意其与其他罪状中相同表述的区别。刑法第九十六条对“违反国家规定”的含义做了明确规定，因为刑法总则对于分则具有指导意义，分则具体犯罪的构成要件的成立，应以总则为指导。因此，在界定“违反国家有关规定”这一空白罪状所参照的规范依据时，不宜超越“国家规定”的范围。换言之，《刑法修正案（七）》与《刑法修正案（九）》在具体内容上是一致的，仅仅存在表述上的差异。就效力而言，部门规章的效力较低，而且其制定程序也较为粗疏，在内容上甚至存在抵牾之处。如果以部门规章等作为依据，可能会发生适用上的混乱，违反刑法的谦抑性。大多数规章对公民个人信息的保护是非常散乱的，实际上也难以起到强化公民个人信息保护的作用。如果将“国家有关规定”的范围扩大到规章，那么地方性法规等与其效力相当的规范怎样处理，也是比较难以判定。

此外，将“国家有关规定”采用宽泛的理解，无疑会给相关信息产业带来巨大的负担，使其在产业的创新方面趋于保守，丧失其作为新兴产业应有的活力。在具体构成要件的涵摄上，也应当将“违反国家有关规定”与相关的信息豁免制度结合，以限缩侵犯公民个人信息罪的成立范围。有学者以整体法秩序为视角，将缺乏前置法禁止依据的信息主体同意出售信息的行为予以出罪。所以，如果将部门规章也纳入“国家有关规定”，则在具体的构成要件涵摄中，会影响到相关信息豁免制度的参考，不利于对阻却构成要件的事由进行正确的认定，进而会不当扩大该罪的处罚范围。因此，《解释》将“国家有关规定”的范围扩展到部门规章，这一做法值得商榷。

五、结语

在当前侵犯公民个人信息的犯罪高发，并日趋严峻的情况下，加大对公民个人信息的保护力度是正确的选择。侵犯公民个人信息罪是预防刑法的体现，具有处罚的早期化和法益抽象化的特征。因此，在对犯罪进行打击的同时，也应当保持理性和克制，抑制刑罚边界扩张的冲动，遵循刑法的谦抑原则。在信息化时代，信息产业不仅具有显著的经济价值，也关系到国家数据战略的实施以及社会治理水平的提高。因此，在理解和认定侵犯公民个人信息罪时，应当以兼顾公民个人信息的保护与数据产业的发展为价值指引。要妥当地处理好二者间的冲突，消弭其间的张力，需要法律的相关规定为其划定边界。应当将两高的《解释》与《网络安全法》有机衔接，在符合法律规定前提下，对侵犯公民个人信息罪的成立范围进行限缩，同时引导和促进数据行业进行企业合规建设。在我国信息保护的法律框架并不健全的现实图景下，对于该罪构成要件的涵摄应注意参考相关的信息豁免制度，从而正确认定阻却构成要件的情形。如灵活运用符合目的限定原则、考量本人同意的效果、遵循禁止收集原则及例外制度等。坚守刑法的介入应当理性克制的立场，以兼顾数据产业的发展与公民个人信息保护的价值理念为指导，通过结合信息豁免的相关制度等进行构成要件的涵摄，从而实现对公民个人信息及“违反国家有关规定”的限缩解释。