侵犯公民个人信息罪中“违反国家有关规定”的意蕴阐释

黄陈辰

（中央民族大学法学院 北京 100081）

1 引言

根据刑法第253条之一的规定，侵犯公民个人信息罪的行为方式主要包括非法提供与非法获取两类，但并非所有前述行为均为刑法所不允许，只有“违反国家有关规定”的部分才有可能构成侵犯公民个人信息罪。信息活于流转，其依靠流动产生价值[1]。单纯静态的持有对信息主体、企业乃至社会而言意义有限，频繁的收集、交换、共享与利用才是发挥其内在价值的最主要手段，因此我们在强调保护公民个人信息的同时还应注重对其的合理利用。出售、提供是信息流通的最主要方式，刑法第253条之一对其设置“违反国家有关规定”的要求为个人信息的正常流转与合理利用预留了空间，并未将全部的出售、提供纳入刑法规制范围，这样的规定符合信息保护与利用并重的理念与相关产业发展的需求。正因如此，对于出售、提供行为而言，“违反国家有关规定”成为判断其构罪与否的前提性要素，并且这一要素是必须考量、不可忽视的。本文聚焦于对侵犯公民个人信息罪中“违反国家有关规定”的规范意蕴进行研究，以期有助于本罪的合理适用。

2 “违反国家有关规定”表述的演进

我国刑法对公民个人信息的保护及对相关罪名的设置经历了一个从无到有、从有到优的发展变化过程，而其罪状中与“违反国家有关规定”这一前提性要素相关的表述也随着刑法的修改完善而不断演进，主要可以分为以下3个阶段。

2.1 刑法修正案（七）以前完全无规定

1997年刑法制定时，由于科学技术水平与社会发展阶段的限制，个人信息并未成为立法者重点关注的对象，其内在价值亦尚未显现，因此刑法中没有设置直接针对个人信息的罪名。但这并不是说当时的刑法不保护个人信息，而是某些行为对象涉及个人信息的犯罪将个人信息作为依附于国家法益、社会法益的附属性利益进行“顺带”保护[2]。例如，非法提供国家秘密罪的行为对象为国家秘密，其中可能存在特殊人员名单、通信内容等涉及个人信息的部分，刑法通过该罪对此类个人信息提供保护，但该罪的法益为国家安全，个人信息保护只不过是在保护国家安全的过程中所产生的附属效果。在这一阶段，并不存在以个人信息为直接行为对象的罪名，更遑论在罪状中出现与“违反国家有关规定”相关的表述。2005年刑法修正案（五）增设“窃取、收买、非法提供信用卡信息罪”，其犯罪对象为他人信用卡信息。虽然该罪位于刑法第3章“破坏社会主义市场经济秩序罪”中，其法益为金融管理秩序，其仍然是对个人信息的附属保护，但这是个人信息首次作为直接犯罪对象进入刑法视野，标志着我国刑法中开始出现以个人信息作为犯罪对象的罪名。但单纯从条文表述来看，该罪并未将与“违反国家有关规定”相关的表述规定在其罪状当中，因此还不存在本文拟要研究的前提性要素。

2.2 刑法修正案（七）中的“违反国家规定”

随着信息时代的到来，个人信息遭受侵犯的风险大大增加，在这种情况之下，刑法修正案（七）出台并增设新的罪名。其中，在出售、非法提供公民个人信息罪中开始出现判断犯罪成立与否的前提性要素，即“违反国家规定”。

“违反国家规定”属于典型的空白罪状[3]。之所以如此规定，是因为有些犯罪违反其他法律法规，而相关构成要件的内容在该法律法规中又有详细阐述，因此为了保证刑法表述的简洁性并避免重复，才设置空白罪状。我国刑法分则中存在着为数不少的空白罪状，涉及数十个罪名，分布于大多数篇章，其中以第3章与第6章为最多。但1979年刑法并没有对“违反国家规定”“违反……法规”“违反……的规定”等的含义进行界定，也没有明确空白罪状所参照的其他法律、法规的效力层级与外延范围，因此导致在司法实践中认定不一。正是在这种背景之下，为了统一法律概念含义与司法适用标准，贯彻罪刑法定原则，立法机关在1997年刑法进行修订时，增加了关于“违反国家规定”含义的规定[4]，即刑法第96条。另外，2011年4月8日最高人民法院发布的《关于准确理解和适用刑法中“国家规定”的有关问题的通知》也再次对刑法第96条的内容进行了重申，并且还对以国务院为主体规定的行政措施与制发的文件进行了详细解读。因此，对于出售、非法提供公民个人信息罪而言，判断犯罪成立与否的前提性要素，即“违反国家规定”的含义相对明确，不存在较大的争议。

2.3 刑法修正案（九）中的“违反国家有关规定”

随着人工智能、云计算等科学技术的进步，个人信息在经济建设与社会发展中的价值进一步凸显，无论是政务管理、经济发展，还是科学研究、商业往来，抑或是医疗卫生、社交娱乐，社会生活的方方面面均在时刻产生、分享和利用着海量的信息。大数据时代，个人信息的价值往往体现在具有一定规模的流通与利用上，以打通“数据孤岛”，实现开放共享。但是除了合法的信息交互与利用行为外，不法分子也由于利益的吸引而将目光与触手伸向个人信息，严重威胁公民的信息权益及与之相关的人身、财产安全。为了进一步加强对公民个人信息的周全保护，刑法修正案（九）增设侵犯公民个人信息罪，同时对刑法第253条之一的具体内容进行了进一步的修改与完善，其中即包括将前提性要素“违反国家规定”改为“违反国家有关规定”。其实该处修改并不是自一开始就直接认定在“违反国家规定”的基础上增加“有关”二字，在最终确定为“违反国家有关规定”之前也经历了多次反复的过程。刑法修正案（九）（草案一次审议稿）将入罪的前提性要素设置为“未经公民本人同意”，采取了主观判断标准，而对特殊主体的行为则保留了“违反国家规定”的表述；从刑法修正案（九）（草案二次审议稿）开始，无论是针对普通的出售、提供行为，还是特殊主体的出售、提供行为，均将前提性要素设置为“违反规定”，相较于刑法修正案（七）而言，删除了“国家”二字；刑法修正案（九）最终版本延续了草案二次审议稿客观标准的立场，同时将具体内容调整为“违反国家有关规定”。

如上所述，由于刑法第96条明确界定了我国刑法中“违反国家规定”的含义，因此之前判断犯罪成立与否的前提性要素，即“违反国家规定”的含义相对明确，不存在较大的争议。但刑法修正案（九）出台后，我国刑法中并不存在对“违反国家有关规定”进行直接解释的条文，对其含义的理解缺乏明确的法律依据。另外，我国刑法分则中虽也有使用“有关规定”的表述，但其与“违反国家有关规定”仍有区别，因此可以说对于后者的理解，我国刑法中不存在其他条文的相同表述可资借鉴。虽然2021年3月1日生效实施的刑法修正案（十一）所增设的非法采集人类遗传资源、走私人类遗传资源材料罪也采取了“违反国家有关规定”的表述，但由于该罪刚刚设立，对其本身构成要件的理解与适用尚存在争议，因此亦无法提供参照。由此可见，并不存在直接的法律依据与其他罪名相同表述的经验借鉴，对于“违反国家有关规定”的规范意蕴，需要进行专门的研究与阐释。

3 “违反国家有关规定”性质的厘清

对于出售、提供行为而言，“违反国家有关规定”成为判断其构罪与否的前提性要素，并且这一要素是必须考量、不可忽视的。因此，本文的主要目的在于研究与界定“违反国家有关规定”的具体含义，以期有助于侵犯公民个人信息罪的合理适用。需要注意的是，“违反国家有关规定”与“违反国家规定”一样，作为构成犯罪的前提性要素，其性质或者说刑法地位一直以来存在争议，不同学者持有不同甚至完全相反的观点。而要厘清“违反国家有关规定”的具体内涵，必须首先对其性质予以确定。“违反国家有关规定”的性质与其功能密不可分，对其性质采取某一种观点，则该性质下“违反国家有关规定”具有特定的功能，而认为其具有何种作用与功能，亦对应于其相应性质的观点。因此，可以通过对“违反国家有关规定”功能的研究来具体确定其性质如何。

“违反国家有关规定”是新增表述，之前刑法分则条文中并没有与之完全一致的表述方式，故当前对其性质或功能的研究相对较少。我国刑法分则中与其最为相似的表述当属“违反国家规定”，因此后者的性质或功能可以为前者提供借鉴与参照。需要注意的是，我国刑法分则中除“违反国家规定”外，还存在诸如“违反……法规”“违反……规定”等的表述。本文认为，其只是写明所违反之规定的具体类别，因此在无特殊说明的情况下，本文所称的“违反国家规定”包括“违反……法规”“违反……规定”等。

对于“违反国家规定”的作用与功能，有学者认为其在不同分则条文中各不相同，因此无法一概而论，需要进行具体分析。该学者将我国刑法分则中所出现的“违反国家规定”分为五个类别，分别论述其作用与功能。其一，提示违法阻却事由。在某些分则罪名中，刑法条文已经明确、具体且全面地将客观构成要件描述出来，只要实施条文中所规定的行为，即符合客观构成要件，无需再根据行政管理法规进行确定，因为此时行政管理法规的具体内容已经具体化为刑法条文。“违反国家规定”的存在只是一种对违法阻却事由的提示，并没有太多实际意义，意即若存在违法阻却事由，则在违法性层面阻却犯罪成立；若不存在违法阻却事由，则行为符合构成要件且违法，无需单独确定并证明行为到底违反了哪一行政管理法规。例如，根据《麻醉药品和精神药品管理条例》第30、32条的规定，麻醉药品和第一类精神药品不得零售，且禁止无处方销售第二类精神药品。因此，刑法第355条中的行为本身即已违反《麻醉药品和精神药品管理条例》的规定，“违反国家规定”不具有实质意义，仅提示违法阻却事由，若行为没有违反国家规定，其也已经符合该罪构成要件，只是由于具有诸如《麻醉药品和精神药品管理条例》第45条等规定的违法阻却事由而不具有违法性，进而不构成犯罪。其二，要求违反行政管理法规。在某些分则罪名中，刑法条文并没有像前一种情形一样具体地描述客观构成要件，因此仅凭该条文无法确定某一行为是否具有构成要件符合性，需要结合行政管理法规进行综合判断，此时“违反国家规定”不再无任何意义，其对于犯罪成立具有实质性影响。在这种情形中，必须确定行为人违反了哪一具体条文，否则即无法证成行为人的行为符合构成要件，在构成要件层面就已经阻却犯罪成立。其三，表示未经行政许可。在某些分则罪名中，“违反国家规定”指的是该行为未取得相应的行政许可。该学者认为行政许可可以分为控制性许可与特别许可两类。在控制性许可中，之所以设置行政许可，并不是由于行为本身具有法益侵害性，而是因为行政机关希望对某些事项进行事前监督；在特别许可中，某行为侵犯法益，因此一般情况下应予以禁止，但在特殊情况下，为实现更优法益行政机关允许行为人实施该行为。对于控制性许可，必须确定行为人未经许可的行为具体违反哪部行政管理法规，才能证成其符合构成要件，例如刑法第174条第1款规定的“擅自设立金融机构罪”；对于特别许可，行为本身即具有法益侵害性，“违反国家规定”只是在违法性层面阻却犯罪，例如刑法第288条规定的“扰乱无线电通讯管理秩序罪”。其四，强调行为的非法性质。在某些分则罪名中，“违反国家规定”没有实质含义，其存在仅是为了强调或重申相关行为的非法性质，意即刑法条文已经明确地描述了构成要件，只要实施条文中所规定的行为，即符合构成要件，无需确定行为人具体违反哪一行政管理法规，“违反国家规定”的作用只是在于提示说明相关行为是非法的，例如刑法第222条规定的“虚假广告罪”、第339条规定的“非法处置进口的固体废物罪”等。这种情形与前述“提示违法阻却事由”的区别在于，在此种情形中，几乎不存在违法阻却事由。其五，相关表述的同位语。在某些分则罪名中，“违反国家规定”没有独立的实质含义，而只是对条文部分内容的同义反复，因而属于相关表述的同位语。

上述对“违反国家规定”作用与功能的总结是极其全面的，其涵盖了我国刑法分则中所出现的“违反国家规定”的全部种类，但本文认为将其分为五个类别略显繁杂，其中多个类型虽稍有差异但本质相同，例如上述第一、四、五种类型相似，第二、三种类型相似，因此可以将其分别合并成为一个类别。本文认为，我国刑法分则中“违反国家规定”的作用与功能主要可以分为两大类别：一是作为提示违法要素，仅指示与强调行为的违法性，没有实质意义，条文的其他部分已经全面地描述了构成要件，即使删除这一规定也不会影响罪与非罪的判断；二是作为犯罪的构成要件要素，具有实质意义，若缺乏这一规定则不符合构成要件，因而在构成要件阶层阻却犯罪。相应地，“违反国家规定”的性质也可以分为两类，即提示违法要素与构成要件要素，学界有其他学者采取这一更加简洁的分类方式[5]。作为提示违法要素的“违反国家规定”包括上述分类中的第一、四、五种情形，该学者在进行分类的最后也指出，可以说第四、五种情形没有区别，强调行为的非法本质实则就是对相关表述的同义反复[6]，而第一种情形“提示违法阻却事由”也是从另一个方面对违法性进行提示，只是在有些罪名中存在违法阻却事由，而在另外罪名中没有而已。可以看到，这三种情形均只是在法条其他内容已全面描述犯罪构成要件的基础上，重复提示与强调行为的违法性，并无实质意义，即使将其删除也不影响罪与非罪的判断，因此可以将其合并。作为构成要件要素的“违反国家规定”包括上述分类中的第二、三种情形，该学者在注释中也提到，“未经行政许可”从本质上而言仍然属于“违反行政管理法规”，只是前者仅是后者中的一个方面而已，相对而言，前者的含义更加简单，因此其二者本质相同，可以将其合并。

如上所述，“违反国家规定”的性质或刑法地位可以为“违反国家有关规定”提供借鉴与参照，因此侵犯公民个人信息罪之前提性要素也应属于提示违法要素与构成要件要素二者之一。对于这一问题，自刑法修正案（九）增设侵犯公民个人信息罪以来刑法理论界即存在争议，有学者认为该罪中的“违反国家有关规定”仅是为了提示违法而存在，另有学者主张其应属于构成要件要素，在罪与非罪的判断中具有实质意义。

提示违法要素说的理由如下。其一，从刑法第253条之一第1、2款的内容来看，刑法条文在“违反国家有关规定”之后已经明确、具体且全面地描述了客观构成要件，行为人只要实施条文中所规定的行为，即符合客观构成要件，无需再根据行政管理法规进行确定，“因此即使删除‘违反国家有关规定’的表述，第1、2款的罪状结构也是完整的，不会影响罪与非罪的判断，故‘违反国家有关规定’不具有实质意义，其存在只是为了提示行为的违法性。”[7]其二，若认为“违反国家有关规定”属于构成要件要素，那么不能证明行为人的行为违反某一具体规定则只能得出无罪的结论，这样的解释会导致侵犯公民个人信息罪的适用遭遇前置法上的困境，即由于该罪的成立完全依赖于前置法的有无及其具体规定，因此在前置立法欠缺或无法及时跟进与更新的情况下，这种“刑法先行、前置法滞后”的局面会造成侵犯公民个人信息罪难以有效适用。其三，根据侵犯公民个人信息罪所处的章节位置、所保护之法益等因素认为该罪在犯罪性质上属于自然犯而非法定犯，其无需以违反前置法为前提，即使设置了前置法的相关表述其也不具有实质意义，其只是起到提示法令行为、业务行为等违法阻却事由的作用[8]。其四，经过梳理可以发现，我国关于个人信息保护的规定散见于数十部不同的法律法规之中，这些规定分散且繁杂，若要求司法人员在每一案件中都必须寻找并判断行为人的行为是否违反某一具体规定，无疑会极大地增加其工作负担，在降低效率的同时耗费了巨大司法资源，且这种要求在实践中亦缺乏可操作性。因此，对于“违反国家有关规定”的性质，应采取提示违法要素的观点，其在罪与非罪判断中不具有实质意义，只是对违法阻却事由的反向重申，在个案中司法人员无需单独确定并证明行为人的行为到底违反了哪一具体规定。其五，部分学者通过检索并查阅案由为“侵犯公民个人信息罪”的判决发现，在其所检索的判决中，绝大多数判决并未在裁判理由中提到“违反国家有关规定”或“违反国家规定”，即使提到，其也只是笼统地描述而鲜有判决明确地指明行为人违反的是哪部法律法规，更遑论清晰地列明具体的法条内容了。故有学者认为，提示违法要素说的观点显然更符合司法实践中实务部门的做法，在判决中只需概括性的提到即可，无需查明其具体内容，刑法理论界对于“违反国家有关规定”性质的争议应借鉴与吸纳这一观点。另外，若认为“违反国家有关规定”属于构成要件要素，那么即意味着要确定行为人的行为构成侵犯公民个人信息罪，则必须查明其所违反的具体规定并在判决书中列明，否则只能得出无罪的结论。若如此，以往绝大多数判决书均是错误的，这样会引起社会极大的不稳定并严重减损司法公信力。

基于以上论述，提示违法要素说在一定程度上确实具有合理性，但其并不完全符合“违反国家有关规定”的性质要求。本文更加赞同构成要件要素说的观点，主要理由如下。

第一，上述支持提示违法要素观点的学者所列举的相当部分理由在个人信息保护法出台之前确实具有一定的合理性，例如前置法欠缺时导致侵犯公民个人信息罪适用困难、查明前置法需耗费极大的司法资源、绝大多数现有判决并未指明行为人具体违反的法规内容等。但随着个人信息保护法于2021年11月1日生效实施，这些理由不再成为支持构成要件要素观点的阻碍。个人信息保护法作为我国个人信息保护方面的专门立法，其全方位地规定了个人信息处理规则、个人在信息处理活动中的权利及个人信息处理者的义务与责任等内容，范围涵盖与个人信息保护相关的方方面面[9]，因此不会再出现前置法欠缺的情况，“刑法先行、前置法滞后”的局面也将得到本质上的改善。另外，查明行为人所违反的具体前置法律法规更加简便，不会耗费过多司法资源，并且司法机关在之后进行裁判时亦更加有法可循，不会再在判决中笼统地表述“违反国家有关规定”，而会具体列明行为人违反哪部法律法规的哪一条、哪一款。

第二，应分清实然与应然，不能以司法实践中出现的情况作为论证应如此理解的理由。目前，绝大多数判决均未指明行为人所违反的具体前置法内容，很明显其采取的是提示违法要素的观点，但不能以此即认为对于“违反国家有关规定”的性质应当如此理解，这二者之间并没有绝对的因果关系。另外，即使查明前置法具体内容是一项繁琐的任务，其会增加司法人员的工作负担，但这也是技术层面的问题，并不能以此为由认为不应当查找，并且到前置法中寻找部分犯罪成立条件是空白罪状的应有之义。既然我国刑法承认并在为数不少的条文中设置了空白罪状，那么即应当接受其所带来的相应的负担，因此上述学者所提出的部分理由并不能够成立。

第三，根据刑法第253条之一第1、2款的规定，虽其罪状进行了相对详尽的描述，但其并非全部客观构成要件要素，刑法也并不是要全面禁止一切出售、提供公民个人信息的行为，只有满足一定条件的出售、提供行为才属于刑法规制的范围。因此应当看到，要构成本罪必须要同时具备前提要素、行为要素、情节要素这三个条件，缺一不可，故“违反国家有关规定”属于构成要件要素，直接影响罪与非罪的判断[10]。

第四，有观点提到自然犯抑或是法定犯，在这里首先需要对“违反国家有关规定”性质与犯罪性质的关系进行澄清。条文表述与犯罪性质之间从来没有建立绝对的一一对应的关系，此类表述是法定犯的典型特征，因此可以说法定犯必然具备这一前提性要素，但并不是法条中规定此类要素的犯罪均为法定犯[11]。例如刑法第244条之一，虽规定有“违反劳动管理法规”，但却是典型的侵犯儿童身心健康的自然犯。因此，前述支持提示违法要素观点的学者以侵犯公民个人信息罪属于自然犯，进而认定该罪中“违反国家有关规定”不具有实质意义的论证是不具有合理性的。自然犯与法定犯的分类是意大利法学家加罗法洛在其《犯罪学》一书中提出的，“其中自然犯是指违反伦理道德，侵犯自然人核心法益，即使没有法律规定也属于犯罪的行为，而法定犯指的是没有违反伦理道德，亦未侵犯自然人核心法益，由于法律的规定才成为犯罪的行为。”[12]侵犯公民个人信息犯罪所侵害的法益为信息自决权，其显然与生命、身体、性自主权等自然人核心法益相区别，在法律对其进行规制之前该行为并不构成犯罪，因此从性质上看，侵犯公民个人信息应属于法定犯[13]。前已述及，某一犯罪之性质与其罪状中“违反国家规定”等表述的性质间不存在完全的对应关系，尤其是从某一犯罪属于自然犯无法推导出其无需“违反国家规定”等要素或该要素无实质意义，上文所提到的雇用童工从事危重劳动罪即为适例。但对于法定犯而言则稍有不同，由于“违反国家规定”等表述是其典型特征与必备要素，因此若确定某一犯罪为法定犯，则能够得出其罪状中不仅需要“违反国家规定”等表述，且该表述属于构成要件要素，具体而言为法定犯构成要件的规范要素，具有实质意义[14]。由于侵犯公民个人信息罪属于法定犯，因此该罪中的“违反国家有关规定”为构成要件要素[15]。

第五，随着人工智能、云计算、大数据收集与处理技术的进步，个人信息具有比金钱更高的内在价值。但信息活于流转，其依靠流动产生价值，因此单纯静态的持有对信息主体、企业乃至社会而言意义有限，频繁的收集、交换、共享与利用才是发挥其内在价值的最主要手段。正因如此，我们强调保护公民个人信息的同时还应注重对其的合理利用。出售、提供行为本身并不当然地具有违法性，只有违反国家有关规定的部分才应被纳入刑法规制范围。因此，“违反国家有关规定”在性质上应属于构成要件要素，其发挥着合理限制侵犯公民个人信息罪之适用范围的功效，意即符合前置法规定的出售、提供行为并不构成犯罪。这样的观点为公民个人信息的合理流转与利用预留了法律空间，更加符合信息保护与利用并重的理念与相关产业发展的需求。

第六，2017年5月8日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第2条专门对“违反国家有关规定”的含义进行界定，单单从这一点看即能得出结论，“违反国家有关规定”绝不是对罪与非罪之判断无足轻重的提示违法要素，其应当具有实质意义[16]。或许会有反对观点，即刑法第96条亦明文规定，但其仍有属于提示违法要素的情形，说明法律的规定与否与其性质为何并不具有必然联系，因此不能以司法解释对“违反国家有关规定”进行界定为由认定其属于构成要件要素。需要注意的是，刑法第96条是对全部刑法条文中所出现的“违反国家规定”的统一界定，由于所涉罪名众多且各罪罪状表述并不相同，因此“违反国家规定”的性质与含义也可能会存在差异，需要在不同罪名中进行具体判断，其既可能是构成要件要素，也可能是提示违法要素。但《解释》第2条是专门针对侵犯公民个人信息罪中“违反国家有关规定”的解读，因此表明其绝对不是可有可无的语气助词或相关表述的同义反复，其必然具有实质含义，若要论证行为人之行为构成侵犯公民个人信息罪，则必须指明其所违反的具体法律法规，否则只能得出无罪的结论。

综上所述，本文认为侵犯公民个人信息罪中“违反国家有关规定”的性质为构成要件要素，其具有实质含义，直接影响罪与非罪的判断。这一观点也是目前我国刑法学界的主流观点，受到大多数学者的支持[17][18][19]。对于个人信息而言，保护与利用是伴随其左右的两种最核心的价值形态与利益需求，且这两种价值的博弈始终存在，贯穿于涉及个人信息的全部领域。将“违反国家有关规定”作为构成要件要素规定在侵犯公民个人信息罪中，表明并非所有出售、提供公民个人信息的行为均可能被认定为犯罪，因此其能够适当限缩该罪的处罚边界，将具有合法性根据的信息出售与提供行为排除于刑法规制范围之外，进而实现对个人信息的合理利用，充分发挥其内在价值，推动信息科技的进步与相关产业的发展。另外，构成要件要素的性质要求司法机关在认定行为人触犯侵犯公民个人信息罪时，必须明确指出其究竟违反哪一具体规定，尤其是在个人信息保护法等前置法律体系逐步完善的当下。这样的部门法之间的互动能够促进刑法与前置法之间的有效衔接，并有利于法秩序的统一，同时亦体现了立法者从无到有、从简到繁地增补这一规定的根本目的与价值追求。

在新近论著中出现一种新的主张。部分学者提出，“违反国家有关规定”具有复合型机能，其既属于构成要件要素，同时又发挥着提示违法阻却事由的功能[20]。这种观点实质是对提示违法要素说与构成要件要素说的折中与综合，因此可以将其称为混合说。混合说看似实现了提示违法要素说与构成要件要素说的共生与互补，但其理论根基是存在疑问的。若认为“违反国家有关规定”属于构成要件要素，则在具体案件中，法官必须查明行为人究竟违反了哪一法律法规的哪一具体条文，并且其存在与否对于侵犯公民个人信息罪法条的含义至关重要、不可或缺，因此不能随意删除。但若认为“违反国家有关规定”属于提示违法要素，则在具体案件中并不需要法官查明行为人到底违反了哪一部法律法规的哪一具体条文，即使将其删除，也不会影响侵犯公民个人信息罪法条的含义。可以看到，根据提示违法要素说与构成要件要素说，对“违反国家有关规定”会产生两种不同甚至完全相反的理解，因此二者相互排斥、无法共存，混合说的观点不具有可行性。另外，相关学者之所以提出混合说，主要是为了能够同时弥补提示违法要素说无法填补构成要件在前提方面的缺失，以及构成要件要素说忽略了“违反国家有关规定”的出罪价值的弊端，但事与愿违的是，这样的折中与综合在吸收前述两种学说优点的同时亦完整接受了二者的不足，因此其不仅无法探寻出最合理的观点，而且还会导致二者弊端相叠加，呈现出聚合放大的负面效应。综合而言，这种以所谓复合机能作为创新点的混合说，并不足取。

4 “违反国家有关规定”外延的确定

“违反国家有关规定”的性质直接决定是否需要对其含义与具体范围进行研究。若认为“违反国家有关规定”属于提示违法要素，则其不具备实质意义，仅提示行为违法性，因此无所谓其范围如何；若认为“违反国家有关规定”属于构成要件要素，则由于其影响罪与非罪的判断，因此必须明确其含义与具体范围，以确保侵犯公民个人信息罪的合理适用。前已述及，本文采取构成要件要素说的观点，因此需要对其范围予以明确。

4.1 司法解释对“违反国家有关规定”的界定

《解释》第2条规定了“违反国家有关规定”的含义及范围，即“违反法律、行政法规、部门规章有关公民个人信息保护的规定”。刑法第96条对“违反国家规定”的含义进行了阐释，与之相比，《解释》第2条对“违反国家有关规定”的界定有所不同，主要体现在两个方面：其一，《解释》第2条仅包含全国人大及其常委会、国务院所制定的法律与行政法规。其二，《解释》第2条囊括了部门规章，无论是刑法第96条中的法律、决定、行政法规、行政措施、决定、命令，还是《解释》第2条中的法律、行政法规，其制定主体均为全国人大及其常委会、国务院，但部门规章的制定主体则位阶更低。《解释》第2条对“违反国家有关规定”的如此界定是否合适需要进一步的研究，其中争议的核心在于是否应当将“部门规章”纳入“国家有关规定”的范围。

4.2 司法解释增加“部门规章”的原因分析

第一，刑法修正案（九）在“违反国家规定”的基础上增加了“有关”二字。刑法涉及财产、自由甚至生命等重大权益，因此立法者在制定、修改、完善刑法时，应注意其用语相较于其他法律而言，更加需要避免粗糙、追求精致[21]。司法者在解释、适用刑法时，应重视其具体表述，即使一字、一词、一标点都需要严肃对待[22]。既然刑法修正案（九）在原先的基础上增加了“有关”二字，那么应当认为前后二者的含义与范围并不相同，法律用语只有在其含义不同且需要进行区分的情况下，才能使用相似或不同的表达[23]。正因“违反国家有关规定”与“违反国家规定”的含义与范围并不相同，因此无需以后者作为界定前者的标准与限制。另外，有学者认为，“加入‘有关’二字之后，所有和我国相关的法律均可以成为侵犯公民个人信息罪的前置性法规，”[24]而部门规章作为在全国范围内产生法律效果的规范性文件，将其认定为“国家有关规定”也算是名副其实。

第二，“个人信息的内在价值在大数据时代进一步显现，其已然成为现代社会发展的重要资源与核心动力。”[25]在个人信息在各行各业乃至生活的方方面面发挥着重要作用的同时，不法分子也将目光与触手伸向这一领域，因此侵犯公民个人信息的行为愈加严重。可以看出，信息安全问题严重威胁到公民个人的信息权益及与之相关的人身财产安全，正是在这样的时代背景下，最高人民法院、最高人民检察院发布了《解释》，延展了侵犯公民个人信息罪的规制半径，增强了刑法的打击力度，这样的解读符合严厉惩治侵犯公民个人信息类犯罪的现实需要，与社会公众的强烈呼声也是一致的。

第三，在之前相当长的一段时间内，我国仅在其他法律规范中附带有部分涉及个人信息保护的条文，因此可以说前置法极其薄弱，完全呈现出一种“刑法先行、前置法缺失”的局面，这种情况在刑法修正案（九）颁布之后仍然没有好转。由于缺乏能够查阅与参照的前置法律法规，进而导致该罪的适用难题。2016年11月我国出台了网络安全法，其专设一章对网络信息安全、网络用户的信息权益、网络运营者的义务与责任进行了详细规定，2017年3月出台实施的民法总则明文规定应保护个人信息。但即使如此，相关法律法规还不甚完善，毕竟网络安全法仅聚焦于网络信息安全，而民法总则只有一个条文涉及个人信息且是极其抽象的规定，因此若将“国家有关规定”仅仅限制在法律与行政法规，则还是会导致前置法极其欠缺，无法填补之前的处罚漏洞。正是在这种局面之下，《解释》将部门规章纳入“国家有关规定”，可以说这样的解读在当时我国有关个人信息保护的专门立法缺失、其他相关法律法规不足的情况下无疑是具有积极意义的[26]。

第四，随着大数据、云计算、人工智能、人脸识别等技术的发展，如今绝大多数个人信息均储存于“云端”，个人信息的保护通常与互联网相关。因此，与个人信息保护相关的内容，甚至个人信息概念本身会由于技术的介入而变得极其复杂，仅仅依靠较为宏观的法律、行政法规无法完全详尽地对其进行规范。考虑到这一方面的问题，《解释》第2条在“国家有关规定”中加入部门规章，以更为精细化的部门规章对受技术影响而变得专业化、复杂化的个人信息、侵犯行为等内容进行规制，不失为一种合理的选择[27]。对于这一观点，由立法机关主要工作人员主编的对刑法修正案（九）进行解读的论著也有提及，其中谈到，“这样的规定有利于根据不同行业、领域的特点有针对性地保护公民个人信息。”[28]其实，通过司法解释扩充前置法范围，以对构成要件中具有专业性、复杂性的犯罪对象、行为等进行解读的做法，并不是《解释》首创，也不是没有任何先例的具有实现性的措施，在我国司法实践中，还存在许多采取这一方法对法条进行解释的其他例证。

4.3 基于罪刑法定原则的理性选择

上述原因主要源于特殊时代背景下的现实需求，具有一定程度的政策性特征。但本文基于罪刑法定原则，认为“违反国家有关规定”的范围应与刑法第96条的范围保持一致。当然，此处所说的“一致”并不是要求二者的范围完全相同，而是指二者之间不存在矛盾与冲突。

第一，“违反国家有关规定”与“违反国家规定”在表述上极其相似，其最大的差异在于前者增加了“有关”二字，而这也正是相关学者认为二者含义与范围应相互区别的最主要依据。但需要注意的是，仅仅因为“有关”二字之差并不足以否认“违反国家有关规定”与“违反国家规定”的一致性。其一，“有关”一词通常有两种含义，作为动词其指的是“有关系”，作为介词其指的是“涉及”[29]，但无论哪种含义均不会扩大与其搭配之名词的范围，例如学校有关领导不会超出学校领导的范围，银行有关规定不会超出银行规定的范围，政府有关机构不会超出政府机构的范围。因此，“国家有关规定”虽与“国家规定”在表述上存在差异，但其具体含义不会超出后者的范围，也即相关学者所提出的大概念与小概念的关系[30]。其二，由于“违反国家有关规定”被规定于具体罪名，因此“有关”仅仅是对“国家规定”的限制，其指的是与特定事项，即个人信息保护相关，因此“国家有关规定”亦属于“国家规定”，其是后者中与个人信息保护相关的具体种类。其三，对于关涉公民财产、自由乃至生命的刑法，其用语应具有严谨性，其中一项重要的要求即是表达相同意思应使用同一术语，但由于在立法过程中过于依赖吸收相关法律的现有用语等原因，立法实践中并未完全遵循这一要求，我国刑法中存在不少采用不同术语表达相同意思的情形。例如同样是表达有偿转让，刑法第171条使用的是“出售”，而第329条第2款使用的是“出卖”，因此不能仅仅因为表述不同即否认“违反国家有关规定”与“违反国家规定”范围的一致性。

第二，刑法第96条对“违反国家规定”的界定属于总则部分的条文，且其明确表述“本法所称违反国家规定，是指……”因此其是刑法为了避免指向具体前置法律规范这种方式所存在的挂一漏万的弊端，而采取的针对法定犯前提要件的总体性、一般化规定[31]，故其应对分则罪名中有关“违反国家规定”的内容起到指导与制约作用。我国刑法分则中有为数不少的条文含有“违反国家规定”“违反……规定”“违反……法规”等表述，前者毫无疑问需要遵循刑法第96条的规定，而后者属于前者之变体，只是由于各罪名具体构成要件不同或某些罪名关涉具体方面的事项等原因，采取了稍有差异的表述形式，因此二者本质相同。“违反国家有关规定”采取的是“违反……规定”的表述，因此其亦属于总则第96条“违反国家规定”在分则罪名中的细化与具体体现。为遵循总则规定对分则内容的约束且保证刑法内部的协调统一，对“违反国家有关规定”含义的解释与范围的确定不应脱离第96条的内容，而这也正是罪刑法定原则的要求[32]。具体考察《解释》第2条的内容，如果说法律、行政法规尚且属于刑法第96条所规定的“国家规定”，那么部门规章无论如何已经超出其最大边界，因此《解释》第2条对“违反国家有关规定”的界定缺乏合理性。

第三，虽法秩序相统一原理无法推导出“刑法必须从属于前置法”这一简单结论，尤其在入罪上不存在这样的约束性，但“前置法上的合法行为不具有刑事违法性”应是其题中之义，从反向考量，则意味着刑法上的犯罪行为必然具备前置法上的违法性[33]。因此对于侵犯公民个人信息罪而言，构成本罪的行为首先必须是前置法上的违法行为，但从前置法的内容来看，其并不禁止违反部门规章的行为。例如个人信息保护法第14条后半段规定，“法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定，”因此行为人应遵循法律、行政法规对同意方式的特殊规定，但对于部门规章的规定则无此强制性要求，违反部门规章关于同意方式规定的行为并不必然违反个人信息保护法甚至构成犯罪。个人信息保护法、民法典、网络安全法等前置法中存在大量相似的规定，表明违反部门规章的个人信息处理行为不构成前置法上的违法行为，进而其更不应该成为刑法中的犯罪行为，因此侵犯公民个人信息罪中的“国家有关规定”不应包含部门规章，《解释》第2条的内容显然违背法秩序相统一原理的要求。

第四，出于立法技术上的考虑，无论是1979年刑法还是1997年刑法，其分则中均存在着为数不少的空白罪状，但1979年刑法并没有对“违反国家规定”“违反……法规”“违反……的规定”等的含义进行界定，也没有明确空白罪状所参照的其他法律、法规的效力层级与外延范围，因此导致在司法实践中认定不一。正是在这种背景之下，为了统一法律概念含义与司法适用标准，贯彻罪刑法定原则，立法机关在1997年刑法进行修订时，增加了关于“违反国家规定”含义的规定，对分则罪名中的相关内容起到指导与制约作用，分则相关内容的解释应以刑法第96条为底线，若将部门规章包含在内，则明显违背立法机关在进行刑法修改时所具有的统一法律概念与适用标准的初衷。

第五，空白罪状的优势之一在于其灵活性。由于其在刑法中不具体规定犯罪的成立条件，而是参照其他法律法规等规范性文件，因此可以在不频繁修改刑法条文的情况下，通过对前置法内容的调整使得刑法能够与不断发展变化的社会现实，尤其是信息时代下出现的新情况、新问题相适应[34]。但空白罪状这一优势同时也带来相应的弊端，由于其是以其他法律法规等规范性文件为参照，因此必然导致相关罪名的适用受制于这些文件，这样一来实则将刑法解释的权力分散赋予了多个主体，在一定程度上影响刑法的稳定性。同时，规范性文件的种类繁多，若对其不加以限制，只要有相关规定存在就认定其属于“国家有关规定”，进而在满足其他要件的情况下构成侵犯公民个人信息罪，那么会极大地扩张打击范围，导致犯罪圈过宽，不利于对公民自由的保护[35]。因此必须对“国家有关规定”的范围予以限制。部门规章的效力层级明显低于法律与行政法规，制定程序相较于后两者而言也不甚严格。另外，并不存在统一的专门规定个人信息保护的部门规章，有关内容散见于多个文件，具体适用时在寻找相关规章上需耗费大量司法成本，并且各规章的内容之间可能存在脱节、抵牾甚至矛盾的情形，以之作为侵犯公民个人信息罪之前置法的来源之一，不符合罪刑法定原则的要求，因此不应将部门规章认定为“国家有关规定”。正如有学者所提到的，“刑法第96条之所以严格限定‘违反国家规定’的具体含义，其目的即在于想要克服地方保护主义、部门保护主义的藩篱，实现维护国家法制统一的宪法原则，”[36]若将部门规章纳入“国家有关规定”的范围，则明显与此目的相背离。

另外，司法解释增加“部门规章”的原因本身也存在疑问。一方面，由于2021年11月1日个人信息保护法正式生效实施，加上之前颁布的民法典、网络安全法等，我国关于个人信息保护的法律规范已经相对完备，尤其是已经具有专门性立法，因此不需要再通过将部门规章纳入“国家有关规定”的方式来扩大打击范围，进而弥补规范层面的立法不足并实现惩治犯罪的现实需要。另一方面，无论是认为加入“有关”二字后，所有和我国相关的法律均可以成为侵犯公民个人信息罪前置性法规的观点，还是认为应以更为精细化的部门规章对受技术影响而变得专业化、复杂化的个人信息、侵犯行为等内容进行规制的观点，最终都由于没有限制，进而转变为支持无限延展前置法的范围，相关学者认为地方性法规、地方政府规章甚至国外特殊政策等统统都应当被认定为“国家有关规定”，这显然不当扩大了侵犯公民个人信息罪的处罚范围，不具有合理性。因此，应当对“违反国家有关规定”的含义与范围进行一定的限制，不应将部门规章纳入其中，《解释》第2条的界定不具有合理性。正如有学者所言，解释刑法应当自觉抵制无限扩张的冲动。

在新近对“违反国家有关规定”进行研究的论著中，相关学者基于其所提出的复合机能的观点，主张对于是否应当将部门规章纳入“国家有关规定”的范畴这一问题，应分情况予以讨论。具体而言，当其作为构成要件要素时，不应包含部门规章，但当其发挥提示违法阻却事由的功能时，应当包含部门规章。这一主张的理论前提在于相关学者所提出的复合机能的观点，但正如本文在前述对“违反国家有关规定”的性质进行研究的内容中所提到的，这一观点本身不具有合理性与可行性，因此建立在其基础之上的认为应分情况讨论“违反国家有关规定”是否包括部门规章的主张自然无法成立。

5 结论

“随着社会信息化进程的推进，信息以前所未有的速度和广度被开发利用，信息成为和物质、能量同样重要的资源，整个社会对于信息的依赖和利用需求增强；个人信息的利用在增进社会福祉的同时，也可能引起信息主体的权益受到威胁和侵害，由此催生了个人信息保护的需要。”[37]可见，对于个人信息而言，保护与利用是伴随其左右的两种最核心的价值形态与利益需求，且这两种价值的博弈始终存在，贯穿于涉及个人信息的全部领域。刑法第253条之一为侵犯公民个人信息罪设置“违反国家有关规定”的要求，将不具备此前提性要素的出售、提供行为排除于刑法规制范围之外，体现出了我国刑法对公民个人信息保护与利用并重的价值倾向，符合信息时代的发展趋势与核心特征。从性质上来看，“违反国家有关规定”属于构成要件要素，对于其具体外延，应依据刑法第96条的规定，参照“违反国家规定”的含义，结合罪刑法定原则，将部门规章排除于“国家有关规定”的范畴之外，否定其作为前置法违法性判断依据的要素地位。