侵犯公民个人信息罪中“违反国家有关规定”的限缩解释——兼对侵犯个人信息刑事案件法律适用司法解释第2条之质疑

(西南政法大学法学院，重庆 401120)

侵犯公民个人信息罪中“违反国家有关规定”的限缩解释——兼对侵犯个人信息刑事案件法律适用司法解释第2条之质疑

胡江

(西南政法大学法学院，重庆 401120)

根据我国刑法，“违反国家有关规定”是判断行为构成侵犯公民个人信息罪的前提。为了明确“违反国家有关规定”的含义，侵犯个人信息刑事案件法律适用司法解释第2条将部门规章与法律、行政法规一并纳入其中，该司法解释的这一扩张性规定虽然契合了惩治公民个人信息犯罪的现实需要，却背离了罪刑法定原则的要求。为此，应当对该司法解释第2条的内容作限缩解释，即“违反国家有关规定”仅限于违反法律、行政法规关于公民个人信息保护的规定，部门规章只有在对法律、行政法规中的规定予以明确、细化的情况下，才能与法律、行政法规一起作为判断行为是否“违反国家有关规定”的标准。

侵犯公民个人信息罪；违反国家有关规定；罪刑法定原则；空白罪状

为了加大对公民个人信息的刑法保护，2015年颁行的《刑法修正案(九)》对我国《刑法》第253条之一进行了修改，将原来的出售、非法提供公民个人信息罪和非法获取公民个人信息罪这两个罪名调整为一个罪名，即侵犯公民个人信息罪。与此同时，《刑法修正案(九)》将原条文中的“违反国家规定”修改为“违反国家有关规定”。如何理解和确定“违反国家有关规定”，是准确适用侵犯公民个人信息罪的前提。对此，2017年5月发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称：“两高”《个人信息刑事案件司法解释》)第2条对“违反国家有关规定”的内涵作了相应的解释。然而，从学理层面考量，该规定不当地扩大了刑法条文的含义。在适用侵犯公民个人信息罪的有关规定时，对“违反国家有关规定”作限缩解释，才是符合罪刑法定原则的合理选择。

一、从“违反国家规定”到“违反国家有关规定”：法律修正带来的适用难题

侵犯公民个人信息犯罪在我国刑法中经历了一个发展演变的过程，其条文内容也经过刑法修正发生了相应的变化，与立法上这种变化相伴随的就是犯罪认定和适用上的困难。

(一)《刑法修正案(七)》之前的规定

我国对公民个人信息进行刑法保护的立法起步时间较晚，1997年我国《刑法》并没有直接将侵犯公民个人信息的行为规定为犯罪，只有侮辱罪、诽谤罪、侵犯通信自由罪等罪名可以间接地体现对公民个人信息的刑法保护。此后，在2000年12月28日全国人大常委会通过的《关于维护互联网安全的决定》明确规定，对于侵犯他人电子邮件或其他数据资料的，可以依照刑法关于侵犯公民通信自由和通信秘密的犯罪处理。我国刑法首次直接对侵犯公民个人信息的行为作出规定是在2005年通过的《刑法修正案(五)》中，该修正案新增了我国《刑法》第177条之一，相应地增加了窃取、收买、非法提供信用卡信息罪这一针对公民个人信息的罪名，但未将“违反国家规定”或者“违反国家有关规定”作为构成该罪的前提，因而在理解和适用该罪时不会面临参照其他法律法规的困难，真正的适用上的困难，出现在《刑法修正案(七)》通过之后。

(二)《刑法修正案(七)》中的“违反国家规定”

2009年2月通过的《刑法修正案(七)》在我国《刑法》中新增了第253条之一，“两高”的司法解释将其概括为两个罪名，即出售、非法提供公民个人信息罪和非法获取公民个人信息罪。按照我国《刑法》，出售、非法提供公民个人信息罪，是指国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的行为。不难发现，要成立出售、非法提供公民个人信息罪，必须具备一个前提条件，即行为人的行为必须“违反国家规定”。这就给该罪的司法适用提出了一个新的任务，即在判定一个行为是否构成犯罪时，除了要考察刑法的规定之外，还应当考察其他法律法规的规定，对该行为作出是否“违反国家规定”的判断。然而，这一司法适用的任务却面临着两个方面的困难。

第一个方面的困难在于缺乏明确的判断依据。在当时有效的法律法规中，并无关于公民个人信息法律保护的明确规定，当然也就难以找到违反法律法规侵犯公民个人信息的直接判断标准。之所以出现这样的情况，主要原因在于我国法律对公民个人信息保护的理念较为落后，缺乏相关法律的规制。例如，早在2003年就有学者建议制定统一的《公民个人信息保护法》并提出了专家建议稿，但时至今日该法尚未出台。此外，在当时的我国民法、行政法中都没有明确的相关规定，以致于有学者直言，我国尚未确立统一、完备的行政法律制裁体系与刑事制裁相衔接，连我国《治安管理处罚法》都未将侵犯公民个人信息的行为作为行政违法行为规定处罚措施。这就使得我国《刑法修正案(七) 》关于侵犯公民个人信息犯罪的规定成为颇为尴尬的立法。其他法律法规关于公民信息保护规定的阙如，使得刑法关于侵犯公民个人信息犯罪中“违反国家规定”的判断缺乏法定依据，成为侵犯公民个人信息犯罪在适用上的一个现实困难。

第二个方面的困难在于如何理解“违反国家规定”的内涵。在我国《刑法》条文中，“违反国家规定”的内容多达30余处，有20多个罪名要求以“违反国家规定”作为成立犯罪的前提条件。因此，究竟应当如何理解“违反国家规定”的内涵就成为一个绕不开的问题。对此，我国《刑法》第96条明确规定：“本法所称违反国家规定，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。”应该说，我国《刑法》第96条的规定是非常明确的，“违反国家规定”中规定的制定主体仅限于全国人大及其常委会、国务院，规定的范围仅限于全国人大及其常委会制定的法律、决定和国务院制定的行政法规、规定的行政措施、发布的决定和命令。理论界的主流观点也认为，由地方国家权力机关制定的地方性法规、由国务院各部委和地方政府制定的行政规章，不能列入“国家规定”的范围内。*参见刘德法、尤国富：《论空白罪状中的“违反国家规定”》，《法学杂志》2011年第1期。不过，“违反国家规定”在实践运用中出现了偏离《刑法》第96条规定的情况，即要么对明显符合“违反国家规定”的情形视而不见，要么将不符合“违反国家规定”的情状也认为符合“违反国家规定”，这不仅可能导致我国《刑法》第96条被虚置，而且可能使得行政犯中的空白罪状本身的不明确性被无限放大，*蒋铃：《刑法中“违反国家规定”的理解和适用》，《中国刑事法杂志》2012年第7期。这在非法经营罪等罪名的适用中表现得尤为突出。其中的关键问题在于地方法规、部门规章、政府规章是否属于“违反国家规定”中的“规定”，违反地方法规、部门规章、政府规章能否认定为“违反国家规定”，这一点上的不明确，给侵犯公民个人信息犯罪的认定带来了较大的困难。

(三)《刑法修正案(九)》中的“违反国家有关规定”

在理解和适用“违反国家规定”中面临的困难尚未得到有效化解的情况下，2015年颁行的《刑法修正案(九)》对我国《刑法》第253条之一作出了修改。此次刑法修正不仅将原有的两个罪名调整为侵犯公民个人信息罪一个罪名，而且将原条文中的“违反国家规定”修改为“违反国家有关规定”。在之前的我国《刑法》条文中，虽然存在“有关规定”的内容，如我国《刑法》第330条中有“国务院有关规定”的内容，第331条有“违反国务院卫生行政部门的有关规定”的内容，但是在条文中明确使用“违反国家有关规定”的表述，《刑法修正案(九)》却是首次。如此一来，侵犯公民个人信息罪也就成了目前我国《刑法》中唯一一个规定了“违反国家有关规定”字样的罪名。

如果说在《刑法修正案(九)》之前，对出售、非法提供公民个人信息罪中“违反国家规定”的理解和适用尚且有我国《刑法》第96条这一明确的法定依据作为标准，那么在《刑法修正案(九)》将其修改为“违反国家有关规定”之后，在现有我国《刑法》条文中已经找不到明确的认定依据和标准，也没有其他条文的相同规定可资借鉴。由此带来的问题就是，“违反国家有关规定”和“违反国家规定”是什么关系，怎么判断和理解“违反国家有关规定”的内涵，这些问题比此前“违反国家规定”的判断更为困难。所以，在我国《刑法》已经作出修改的背景下，确定侵犯公民个人信息罪中“违反国家有关规定”的内涵，其难度与之前相比不是降低了，而是升高了，这使得侵犯公民个人信息罪在认定中面临着一个基础性的困难，显然难以适应加强公民个人信息保护的新要求。

二、“违反国家有关规定”的刑法地位：空白罪状中构成要件要素的确立

在我国刑法分则条文中，存在为数不少的“违反……规定”这样的表述，对于其含义和作用，有学者认为需要具体分析，其中有的是提示存在违法阻却事由，有的是要求行为违反行政管理法规，有的是表示未经许可，有的是强调行为的非法性质，还有的是相关表述的同位语。*参见张明楷：《刑法分则的解释原理(下)》，中国人民大学出版社2011年版，第542-560页。这就表明，“违反……规定”的表述在不同的条文中可能具有不同的意义，其地位和作用也会存在差异。侵犯公民个人信息罪的条文中所规定的“违反国家有关规定”，也属于“违反……规定”的具体表现，对于其刑法地位，应当以侵犯公民个人信息罪的犯罪构成特征为基础，结合我国《刑法》第253条之一以及其他相关法律的规定予以确定。

(一)作为犯罪认定前提的“违反国家有关规定”

从犯罪分类上看，侵犯公民个人信息罪属于法定犯。和自然犯不同，法定犯并没有明显违反社会伦理的特征，而是“以违反一定的经济行政法规为前提，认定这类犯罪，需要熟悉相关的法规”。*马克昌主编：《犯罪通论》，武汉大学出版社1999年版，第39页。对于侵犯公民个人信息罪而言，其行为方式包括两种，一是违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的行为；二是窃取或者以其他方法非法获取公民个人信息的行为。此外，我国《刑法》第253条之一第2款还作了特定主体从重处罚的规定，即违反国家有关规定，将在履行职责或者提供服务的过程中获得的公民个人信息，出售或者提供给他人的，应当以侵犯公民个人信息罪从重处罚。

从法律关于该罪行为方式的规定可以看出，对于第二种行为方式而言，立法并未作出“违反国家有关规定”的要求，其原因在于我国《网络安全法》第44条对此明确规定“任何人和任何组织不得窃取或者以其他非法方式获取个人信息”，可见，窃取或者以其他方法非法获取公民个人信息本身就是非法行为，是法律所禁止的，因而对于这类行为的判断不需要结合其他规定，直接考察行为人是否实施了窃取或者其他非法行为即可。

然而，对于第一种行为而言，法律则明确规定了“违反国家有关规定”的要求。这就意味着，出售或提供公民个人信息的行为，并不必然就是违法的，更不意味着就是犯罪。对此，从我国《网络安全法》的相关规定中也可以得到肯定的答案，该法第44条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”我国《网络安全法》的这一规定表明，出售、提供与窃取的性质并不相同，窃取等方式是直接为法律所禁止的非法行为，而对于出售、提供，法律所禁止的是“非法出售”或“非法提供”的行为。这就意味着，只要符合法律规定，对于公民个人信息也是可以依法出售或提供的，这为公民个人信息的交易和流动留出了法律空间，符合互联网信息技术发展的需要。特别是，按照法律规定，有关机关在查处犯罪等活动中可以依法查询公民个人信息，有关单位应当依法予以提供。可见，依法出售或者提供公民个人信息的行为，是不能构成侵犯公民个人信息罪的。因此，对于出售、提供公民个人信息的行为，其是否违法以致于是否构成犯罪，都必须要判断其是否属于“非法”，而标准或依据就是行为是否“违反国家有关规定”。在这个意义上，对于出售、提供公民个人信息的犯罪行为，判断其是否“违反国家有关规定”就成为犯罪认定的前提。

(二)作为犯罪构成要件要素的“违反国家有关规定”

虽然侵犯公民个人信息罪以“违反国家有关规定”为前提，但具体落实到刑法中的犯罪认定上，却应当结合犯罪构成的相关理论来考察其在犯罪构成中的地位。在刑法理论上，一般认为，犯罪构成包含了行为成立犯罪所必须具备的全部要求，为划分罪与非罪、此罪与彼罪的界限提供了标准，是追究犯罪人刑事责任的根据。*高铭暄、马克昌主编：《刑法学》(第7版)，北京大学出版社、高等教育出版社2016年版，第51页。虽然各国学界存在不同的犯罪构成理论体系，但其任务都在于解决犯罪是否成立的问题，因而不同体系均大体包含了一致的内容，只是因为民族文化和法律制度的不同而存在差异。*胡江：《文化视野下的犯罪论体系研究》，法律出版社2014年版，第296页。以我国通说的四要件犯罪构成理论为例，其作为一个有机整体包含了四个犯罪构成要件，而每个要件又包含了不同犯罪构成要件要素，这在每一个具体罪名中都有所体现。

在侵犯公民个人信息罪中，“违反国家有关规定”应当属于其犯罪客观方面的具体内容或具体要素。根据我国《刑法》第253条之一的规定，侵犯公民个人信息罪的客观方面表现为，行为人违反国家有关规定，向他人出售或者提供公民个人信息的行为，以及窃取或者以其他方法非法获取公民个人信息的行为。其实际上包含了两种行为方式，如前所述，只有第一种行为方式才存在“违反国家有关规定”的要求。具体而言，这种行为方式必须同时具备三个条件：(1)行为必须违反国家有关规定；(2)实施了向他人出售或者提供公民个人信息的行为；(3)行为必须情节严重。这三个条件缺一不可，任何一个条件的不成立都会影响到侵犯公民个人信息罪的成立。所以，“违反国家有关规定”理所当然地属于该罪的犯罪构成要件要素，直接影响到犯罪成立与否，是犯罪认定中必不可少的要素之一。

(三)作为空白罪状内容的“违反国家有关规定”

我国《刑法》第253条之一在对侵犯公民个人信息罪的罪状进行规定时，应该说已经尽可能做到了详细的描述，对行为方式、行为对象等内容都有明确规定，特别是在《刑法修正案(九)》之前，当时对出售、非法提供公民个人信息罪的主体还作了非常详细的限定。刑法条文虽然较为详细地规定了行为对象、行为方式等，但如前所述，“违反国家有关规定”系成立该罪必须具备的构成要件要素，当然地属于该罪罪状的内容，而究竟哪些情形属于“违反国家有关规定”，刑法条文没有也难以做出明确界定，只能结合刑法之外的其他规定才能确定其内涵。可见，这应当属于空白罪状而不是叙明罪状。因为空白罪状的本质特征在于刑法条文本身未对具体犯罪构成的行为要件作出具体、明确的表述, 而是由相关的规范或制度加以具体、明确的规定。*刘树德：《罪刑法定原则中空白罪状的追问》，《法学研究》2001年第2期。具体而言，我国《刑法》第253条之一只是规定了侵犯公民个人信息罪的构成要件中必须包含“违反国家有关规定”的要素，但并未明确规定其具体内涵，因而只能在刑法之外的其他规定中寻找相应的法定依据。这就使得评判侵犯公民个人信息罪的构成和罪状既需要考察刑法的规定，也需要考察刑法之外的其他规定，这是空白罪状典型的表现。空白罪状的规定反映了侵犯公民个人信息犯罪的复杂性，具有其合理性，但也给法律适用者增加了考察其他规定的任务。

三、司法解释的选择及其问题：惩治犯罪需要与坚守罪刑法定原则的冲突

在《刑法修正案(九)》施行一年多之后，“两高”《个人信息刑事案件司法解释》发布，该司法解释第2条明确规定：违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第253条之一规定的“违反国家有关规定”。对比我国《刑法》第96条的规定不难发现，司法解释在法律、行政法规之外，将部门规章也纳入“违反国家有关规定”的“规定”的范围。对于该司法解释的这一扩张性规定，一方面要承认其所具有的现实价值，另一方面也有必要对其存在的不合理之处提出质疑。

(一)“两高”《个人信息刑事案件司法解释》的现实价值

1.回应了司法认定的实践困难

如前所述，按照《刑法修正案(九)》的规定，对于出售、提供公民个人信息的行为，成立侵犯公民个人信息罪必须以“违反国家有关规定”为前提，但由于法律并未明确“违反国家有关规定”的内涵，司法机关在面对具体案件时难以判断其是否属于“违反国家有关规定”，从而导致实务认定上的困难。此次司法解释明确规定了“违反国家有关规定”的含义，直接回应了侵犯公民个人信息罪在实践认定中的困难。司法解释属于有权解释，对刑法适用和犯罪认定具有约束力，因此，该解释回应了司法实务工作的期待和要求，对实践中侵犯公民个人信息罪的认定必然产生广泛的影响。

2.契合了惩治犯罪的现实需要

此次司法解释出台的一个重要背景就是侵犯公民个人信息犯罪行为呈现出持续增长的严峻态势。数据显示，2016年，全国公安机关共侦破网络侵犯公民个人信息案件数量2100多起，查获公民个人信息500多亿条，抓获犯罪嫌疑人5000多人。2009年2月至2015年10月，全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起，生效判决人数1415人。*罗书臻：《两高发布办理侵犯公民个人信息刑事案件司法解释》，《人民法院报》2017年5月10日第1版。在这样的犯罪态势之下，发动刑法对此类犯罪进行严厉惩治就成了司法机关青睐的一项选择。如果将“违反国家有关规定”作限制性解释，就可能导致部分具有社会危害性的行为在刑法上无法被追究。正如有学者所说，如果不将一般性规定纳入“国家有关规定”的范畴，则会出现处罚漏洞，导致具备当罚性实质标准的出售或者提供行为免于法律之绳。*李谦：《侵犯公民个人信息罪的法解释学释义》，《北京邮电大学学报(社会科学版)》2017年第1期。因此，司法解释扩张“违反国家有关规定”含义的做法，与惩治犯罪的需求是一致的。

3.解决了规范层面的立法不足

毋庸置疑的是，我国关于公民个人信息保护的法律规范还不够完善，在《刑法修正案(七)》颁行时，几乎没有法律、法规对侵犯公民个人信息的行为作出明确规定，到《刑法修正案(九)》颁行时，相关法律规范对公民个人信息的保护也还比较薄弱，直到之后《网络安全法》《民法总则》等法律的出台，才在一定意义上解决了公民个人信息保护的立法问题。即便如此，我国公民个人信息保护的立法还不够完善，是一个客观事实，如果将“违反国家有关规定”限定于法律和行政法规，将会导致很多情况下找不到判断的法定依据。这个问题在《刑法修正案(九)》颁行之前就已显现出来，当时的出售、非法提供公民个人信息罪要求以“违反国家规定”为前提，但事实上并无这方面的明确的“国家规定”，对于部分出售或者提供公民个人信息的行为找不到相应的违法依据，导致了司法适用上出现于法无据的尴尬局面。*胡江：《互联网时代惩治侵犯公民个人信息犯罪的困境与出路》，《山东警察学院学报》2016年第5期。因此，该司法解释对“违反国家有关规定”作出扩张性解释，将部门规章也纳入其中，这在当前我国公民个人信息保护立法存在不足的情况下，不失为一种务实的选择。

(二)“两高”《个人信息刑事案件司法解释》对罪刑法定原则的背离

虽然“两高”《个人信息刑事案件司法解释》第2条具有一定的现实价值，但也应该看到，这样的价值主要是源于现实的需要，特别是从有效惩治犯罪和方便司法适用的角度所作的规定，然而，也正是在这种现实合理性之下，刑法的理性在不经意间被忽视了，这主要体现在对罪刑法定原则的背离。

罪刑法定原则的核心意义在于，定罪量刑必须以刑法的明文规定为依据。这里的“法”或“明文规定”，不限于刑法分则条文，也应当包括刑法总则条文，换言之，对罪刑法定原则中的“法”应当从全部刑法规定整体上去把握，而不能仅从部分条文的具体规定上去把握。这主要是源于刑法总则和分则二者的关系，刑法总则作为一般性规定，其对刑法分则具有指导和制约意义。因此，对我国《刑法》第253条之一以及其中“违反国家有关规定”的理解，都应受到刑法总则的指导和制约。

具体来看，我国《刑法》第96条明确规定了“违反国家规定”的内涵，从中可以看出，所谓的“国家规定”并不包括部门规章。“两高”《个人信息刑事案件司法解释》在规定“违反国家有关规定”时，不仅包含法律、行政法规，而且将部门规章纳入其中。法律、行政法规原本就属于“违反国家规定”的范围，因而这样的解释并无不妥。部门规章不属于我国《刑法》第96条中的“国家规定”，司法解释却直接将其与法律、行政法规等同视之。显然，司法解释的这一规定并没有很好地解决我国《刑法》第96条和刑法分则具体条文的关系，也忽视了刑法总则对刑法分则的指导和制约意义。

即便是承认司法解释这一规定的合理性，其同样存在难以自圆其说的问题。因为在我国的法律体系之中，除了法律、行政法规和部门规章之外，还有地方性法规、自治条例、单行条例、政府规章等，这些都可以依照法定权限和程序对有关问题进行规定。司法解释将部门规章纳入“违反国家有关规定”之中，却未将地方性法规、自治条例、单行条例、政府规章一并纳入，也存在不合理之处。当然，其中可能的原因在于，部门规章是适用于全国范围的，而地方性法规只适用于特定的区域。不过，对法律的比较不能仅看其适用的范围，更要看其效力层级。从我国《立法法》第89条、第91条、第95条的规定来看，地方性法规的效力高于本级政府规章，而部门规章和地方政府规章具有同等效力，当地方性法规与部门规章之间出现不一致不能确定如何适用时，由国务院提出意见，国务院认为应当适用地方性法规的，应当决定适用地方性法规定；认为应当适用部门规章的，应当提请全国人大常委会裁决。因此，地方性法规在我国的立法体系中具有重要的地位，其效力甚至可以说高于部门规章，即便是认为地方性法规和部门规章的效力难以比较，也不能否认地方性法规的重要地位。正如有学者所指出的，将地方性法规、规章乃至规范性文件解释为“国家有关规定”也具有一定的合理性。*高贺、刘科：《侵犯公民个人信息犯罪中的三个问题》，载赵秉志、莫洪宪、齐文远主编：《中国刑法改革与适用研究(上卷)》，中国人民公安大学出版社2016年版，第528页。司法解释已经将部门规章纳入其中了，却对地方性法规这一如此重要的立法规范视而不见，仅仅因为两者的适用范围不同就予以区别对待，这样的解释理由显得十分牵强，其合理性是值得怀疑的。

四、“违反国家有关规定”的限缩解释：罪刑法定原则要求下的理性选择

罪刑法定原则是现代刑事法治的基石。由“两高”对刑法适用中的具体问题进行解释，对于刑法适用和犯罪认定是非常必要的，但司法解释本身并不是法律，其规定也不得违背法律的规定。“两高”《个人信息刑事案件司法解释》第2条关于“违反国家有关规定”的解释，在理论上存在着不合理之处，但是，考虑到刑法适用中的现实难题，如果要废除这一条，将会使侵犯公民个人信息罪的实务认定重新回到无所适从的境地；如果要修改这一条，在短期之内可能又难以实现。因此，在该司法解释仍然具有法定效力的情况下，最理想的方式就是在实践中对“违反国家有关规定”进行限缩解释，从而使侵犯公民个人信息罪的认定符合罪刑法定原则的理性要求。

(一)厘清“违反国家规定”与“违反国家有关规定”的关系

我国《刑法》第96条系对“违反国家规定”含义的解释，由于其是刑法总则中的条文，对刑法分则条文具有指导和制约意义。因此，在理解我国《刑法》第253条之一关于“违反国家有关规定”的含义时，不能脱离我国《刑法》第96条的内容。考察我国刑法条文内容可以发现，刑法总则中存在关于“违反国家规定”含义的内容，刑法分则中则存在“违反国家规定”、“违反规定”、“违反……规定”、“违反……法规”、“违反法律规定”等不同的表述。对于分则中这些不同的条文内容，都应当将其置于我国《刑法》第96条规定的总体框架下予以理解。

具体到我国《刑法》第253条之一，其中的“违反国家有关规定”应当是“违反国家规定”的下位概念，是对“违反国家规定”的细化。“违反国家有关规定”实质上也应当是“违反国家规定”，只不过是属于侵犯公民个人信息罪这一具体犯罪中的规定，并非所有的国家规定都与该罪的认定有关，因而用“有关”这一语词对国家规定进行限制，即“违反国家有关规定”只限于与公民个人信息保护有关的国家规定。换言之，在理解“违反国家有关规定”时应当从两个方面予以把握。第一，行为人违反的是“国家规定”，其范围应当限于我国《刑法》第96条的范围，而不能将其理解为国家层面的规定，故不应包括部门规章等其他规定。第二，行为人违反的是与公民个人信息保护“有关”的“国家规定”，即“有关”是对“国家规定”的限定。这样的理解，一方面符合“违反国家规定”和“违反国家有关规定”的文义，另一方面也符合刑法总则与刑法分则的关系。

(二)“违反国家有关规定”与刑法分则其他相似规定的关系

事实上，在我国《刑法》分则条文中，不乏“违反……规定”的条文表述。例如，该法第126条、第128条中的“违反枪支管理规定”，第35条之一中的“违反安全管理规定”，第136条中的“违反爆炸性、易燃性、放射性、毒害性、腐蚀性物品的管理规定”，第159条中的“违反公司法的规定”，第230条中的“违反进出口商品检验法的规定”，第343条中的“违反矿产资源法的规定”，第345条、第407条中的“违反森林法的规定”等。

这些刑法分则条文的具体规定，不同于我国《刑法》第96条和其他部分分则条文所使用的“违反国家规定”，因而存在理解上的困难。对此，有关司法解释也曾作出明确解释，如“两高”《关于办理非法采矿、破坏性采矿刑事案件适用法律若干问题的解释》(法释〔2016〕25号)第1条就明确规定，“违反矿产资源法的规定”是指违反《中华人民共和国矿产资源法》《中华人民共和国水法》等法律、行政法规有关矿产资源开发、利用、保护和管理的规定，其范围仅限于法律和行政法规，不包括地方性法规、部门规章、政府规章等。我国《刑法》第253条之一中的“违反国家有关规定”，也应当和前述刑法分则条文的相关内容具有一致性，只是由于我国公民个人信息刑法保护的法律法规不健全，法律使用了“国家有关规定”的表述，但其实质仍然是关于公民个人信息保护的“国家规定”，并未超越和突破第96条中“国家规定”的范围，甚至完全可以像我国《刑法》第159条、第343条、第345条、第407条那样，直接将这里的“违反国家有关规定”替换为“违反公民个人信息保护法的规定”。

(三)“违反国家有关规定”与其他法律法规的关系

侵犯公民个人信息罪作为法定犯，立法上采用空白罪状的方式本身有其合理性，因为空白罪状并不违反罪刑法定原则，*陈兴良：《罪刑法定主义》，中国法制出版社2010年版，第163页。只不过在认定其行为是否属于“违反国家有关规定”时，必然要结合其他法律法规的规定予以考察确定，这就涉及刑法与其他法律法规的衔接问题。“解释一个刑法规范的含义，不仅应该以该规范本身的文字为基础，而且应该从该规范与全部刑法规范乃至整个法律制度的关系中来把握。”*陈忠林：《刑法的界限——刑法第1～12条的理解、适用与立法完善》，法律出版社2015年版，第121页。因此，最合理的解释方式是在我国《刑法》第96条的指导下，对“违反国家有关规定”的含义在全国人大及其常委会的法律、决定和国务院制定的行政法规、规定的行政措施、发布的决定、命令中予以确定。问题的关键是，在“两高”《个人信息刑事案件司法解释》第2条已经对“违反国家有关规定”的含义作出扩张性规定的情况下，该司法解释的规定对刑法适用具有法定效力，而司法解释的这一规定从学理上看又是不合理的，此时如何在坚持罪刑法定原则的同时确保该司法解释的合理适用？对此，笔者认为，应当对该司法解释第2条的内容作限缩解释，即“违反国家有关规定”仅限于违反法律、行政法规关于公民个人信息保护的规定，部门规章只有是在对法律、行政法规中的规定予以明确、细化的情况下，才能够与法律、行政法规一起作为判断行为是否“违反国家有关规定”的标准。

之所以对部门规章作出这样的限定，其理由在于，法律适用的关键不在于对文字的服从，而在于真正想达到和应该达到什么目的，对法律可能是错误或有漏洞的情形，法律适用者应当“通过解释来纠正这些缺陷”。*[德]魏德士：《法理学》，吴越、丁晓春译，法律出版社2005年版，第310页。根据笔者此前关于“违反国家有关规定”的阐述，部门规章本身不属于这里的有关规定，其本身不能作为判定行为是否“违反国家有关规定”的依据。然而，法律、行政法规关于公民个人信息保护的规定往往较为宏观，对法律、行政法规的相关内容在很多情况下还需要结合部门规章才能确定。因此，在这种情况下，部门规章实际上承担了确定法律、行政法规相关条文含义的功能。此时，作为判断依据的仍然是法律、行政法规，只是在确定法律、行政法规的条文具体含义时，要同时考察部门规章的规定。

对此，可以通过相关的法律规定予以具体说明。例如，我国《网络安全法》第42条规定，未经被收集者同意，网络运营者不得向他人提供个人信息，但经过处理无法识别特定个人且不能复原的除外。如何理解其中的“被收集者同意”和“经过处理无法识别特定个人且不能复原”等内容，直接关系到网络运营者提供个人信息行为的违法与否，进而影响到行为是否符合我国《刑法》关于“违反国家有关规定”的认定，但我国《网络安全法》本身对此并无进一步的详细规定。此时，如果有部门规章对其内涵作出细化，就可以结合部门规章的规定来确定我国《网络安全法》第42条的含义，进而判断网络运营者的行为是否违反了法律的规定。在这个过程中，判断行为违法与否的依据是我国《网络安全法》，部门规章本身并不是判断行为违法与否的依据，其只是起到了确定法律条文含义的辅助作用。

可见，通过对法律、行政法规和部门规章的关系作出这样的限缩解释，既反映了刑法与其他法律法规之间的衔接关系，也符合“违反国家有关规定”的应有之义，能够在坚守罪刑法定原则和照顾刑法适用实践这两个方面实现合理平衡，是一种既在理论上具有合理性又在实践上具有务实性的理性选择。

五、结 语

随着经济社会的发展，犯罪将会更加复杂，刑法中的法定犯将会越来越多，因而有学者提出了“要正视法定犯时代的到来”这一理论命题。*储槐植：《要正视法定犯时代的到来》，《检察日报》2007年6月1日第3版。法定犯的增加意味着空白罪状也会相应增加，对犯罪构成要件的确定往往离不开对其他法律、法规的考察，因而在适用刑法时将会越来越重视刑法之外其他法律、法规的作用。然而，作为刑法的基本原则之一，罪刑法定原则的地位不容置疑，对刑法条文的理解和具体犯罪的适用都应当严格遵循罪刑法定原则的要求，这并不会随着法定犯的增加而改变。我国《刑法》上的侵犯公民个人信息罪中“违反国家有关规定”的设立以及“两高”《个人信息刑事案件司法解释》第2条对其含义的解释，反映了惩治犯罪的现实需求，有其存在的现实价值，在一定意义上甚至可以说是不可避免的，但是这样的需求也应当接受罪刑法定原则的考验，不得因为强调惩治犯罪就忽视了刑法的理性要求。因此，既然这样的规定无可避免，那么最合理的方式就是对其作出符合罪刑法定原则的限缩解释。

DF626

A

1005-9512-(2017)11-0034-09

胡江,西南政法大学法学院副教授，法学博士。

(责任编辑：杜小丽)