侵犯公民个人信息罪中“违反国家有关规定”研究

许钟灵

(厦门大学 法学院,厦门 361005)

2017 年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10 号)(以下简称《解释》)对何为侵犯公民个人信息罪中的“违反国家有关规定”进行了解释,2018 年最高人民检察院发布的《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13 号)(以下简称《指引》)对此进行了更加具体、明确的阐述。 前述文件均将“违反部门规章”列入了“违反国家有关规定”的范畴。 从司法实践来看,绝大多数判决书没有具体列明行为人违反了哪部法律法规的哪一条或哪一款,极少部分判决书所引用的具体国家有关规定也不够统一,其中不乏引用比部门规章效力级别更低的规范性文件的情形。 例如,在“罗某侵犯公民个人信息案”①参见甘肃省兰州市城关区人民法院(2016)甘0102 刑初605 号刑事判决书。的判决书中,人民法院虽然指明了行为人具体违反的前置性规范,但所引用的国家有关规定是《四川省公安机关辅助人员借用公安信息系统数字身份证书管理办法》《四川省公安机关公安信息系统数字身份证书管理办法》等一系列规范性文件。 这引发了笔者对于《解释》和《指引》对“违反国家有关规定”的解释与罪刑法定原则如何保持协调的思考。 本文尝试从侵犯公民个人信息罪中的“违反国家有关规定”切入,分析《解释》和《指引》对“违反国家有关规定”的解释及其与罪刑法定原则保持协调的问题,并从法秩序统一性原理、目的性限缩解释、合宪性解释和实证分析的多维角度,进一步研究“违反国家有关规定”的范围。

一、侵犯公民个人信息罪中“违反国家有关规定”的立法由来

从立法演变的角度来看,侵犯公民个人信息罪中空白罪状的表述经历了多次调整,并最终形成了“违反国家有关规定”的表述。

(一)从“违反国家规定”到“违反规定”

《中华人民共和国刑法修正案(七)》(以下简称《刑法修正案(七)》)增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,标志着《中华人民共和国刑法》(以下简称《刑法》)开始对侵犯公民个人信息的行为进行规制。 从构成要件来看,“违反国家规定”是构成出售、非法提供公民个人信息罪的必备要素。 至于“国家规定”的制定主体和具体内容,《刑法》第96 条作了具体规定:一是将国家部委、地方人大及政府排除在“国家规定”的制定主体之外;二是认为违反部门规章、地方性法规等不在“违反国家规定”的范围之内。②《刑法》第96 条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”

与《刑法修正案(七)》相比,《中华人民共和国刑法修正案(九)》(以下简称《刑法修正案(九)》)草案的一审稿在出售、非法提供公民个人信息罪的前置性规定上保留了“违反国家规定”的表述,而后续的草案二审稿则对此作出了修改,删除了“国家”二字。 在《刑法修正案(九)》草案三审稿的审议过程中,有意见认为“违反规定”的范围过宽,应当添加“国家”二字以在立法效力层级上作出相应的限制。

(二)从“违反规定”到“违反国家有关规定”

《刑法修正案(九)》在侵犯公民个人信息罪中最终确定的表述为“违反国家有关规定”。 即使《刑法》第253 条之一第3 款中没有出现“违反……”的表述,但基于该种方式本身具有的法律禁止性,以及《解释》第4 条附加的限定条件①最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4 条规定:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于……‘以其他方法非法获取公民个人信息’。”,这种方式入罪时也必须符合违反国家有关规定的要求。综上所述,在认定侵犯公民个人信息罪时,刑法本身不具备单独调整的能力,而是需要借助前置法的规定。 由于《刑法》第253 条之一与《刑法》第96 条在表述上的差别一目了然,所以《解释》和《指引》对“违反国家有关规定”进行了细化解释。

立法机关对公民个人信息刑事法保护的日益重视,从侵犯公民个人信息罪的演进脉络和空白罪状表述的修改可见一斑。 对于“违反国家有关规定”和“违反国家规定”的关系,对于“部门规章”是否属于“国家有关规定”的问题,《解释》和《指引》对“违反国家有关规定”的解释似乎提供了观察窗口,但同时也反映出如何与罪刑法定原则保持协调的问题。

二、侵犯公民个人信息罪中“违反国家有关规定”的解释制约

罪刑法定原则是保障刑法成为“良法”的基础。 对侵犯公民个人信息罪中“违反国家有关规定”的解释,应当受罪刑法定原则的制约。

(一)罪刑法定原则的解构

1.成文化

成文的罪刑法定强调的是,定罪量刑应当有“书面的”法律依据,排斥习惯法和判例法;罪刑法定应当是“稳定的”罪刑法定,不会因为地域、时间、案件特殊情况等的不同而发生改变。 刑罚对个人权利的影响是强烈且不可逆转的,所以,成文的罪刑法定可以较好地约束刑罚权的不当扩张。 考虑到公民权利之优先性,只能由立法机关事先公布成文的刑法,通过刑法文本表述立法目的,而后司法机关以刑法文本为依据解释和适用刑法。 刑法立法的目标是惩罚犯罪和保护人民。 为了实现这一目标,立法者采取的基本方法,是通过文字表达的方式将什么是犯罪及如何处罚明确规定下来。 因此,为了最大程度地体现成文的罪刑法定,整个立法活动都应围绕着作为文本的刑法规范而展开,空白罪状的补充规范也必须是经过法定程序通过的规范性法律文件。

2.适正性

适正的罪刑法定意味着刑法规定的犯罪与刑罚在形式特征和实质内容上都必须具有正当性和合理性。 例如,立法机关在制定刑法条文、司法机关在解释刑法条文时,都应当在适正的罪刑法定要求下展开,进而保障解释结论的说服力。 在立法方面,刑法只能将具有处罚根据或者值得科处刑罚的行为规定为犯罪,禁止处罚不当罚的行为。②适正的罪刑法定包括禁止处罚不当罚的行为和禁止不均衡的、残酷的刑罚,后者与本文的主旨无关,在此不讨论。司法机关在解释刑法条文时不仅要注意“是否符合文义,而且要看是否符合正义”①张明楷:《刑法的基本立场》,商务印书馆2019 年版,第5 页。,保障解释活动在适正的罪刑法定要求下展开,进而保障解释结论的说服力。 为了避免处罚不当罚的行为,无论是完备刑法还是空白刑法,都应当具备妥当性。 立法机关制定的条文涉及前置法时,前置法应当与刑法条文相协调。 司法机关在根据前置法判断犯罪成立条件时,应当具体、实质地探求刑法条文妥当的限度②参见张明楷:《网络时代的刑法理念——以刑法的谦抑性为中心》,载《人民检察》2014 年第9 期,第12 页。,思考哪一种解释更适当、合理。

3.明确性

明确的罪刑法定为立法者、司法者及社会主体等各方所期望。 立法者期望立法目的在适用中能够实现,从而发挥法律的指引、评价、预测、强制、教育作用,而制定明确的刑法规范是立法者的期望得以实现的前提;司法者希冀在定罪量刑时有明确的刑法文本作为依据,这样得出的最终结论就有了规范保障;社会主体希望透过明确的刑法条文预测自己行为的性质和后果。③参见黄明儒、项婷婷等:《刑法解释的限度与修改关系论》,中国检察出版社2019 年版,第21 页。明确的刑法是控制刑罚权发动的有效手段,也是保障公民个人和法人合法权益的基本条件。 罪状的明确性应该达到能透过刑法条文的字义范围而知悉背后规范内容的程度。 虽然各个法律部门都需要确定和明确的法律条文,但相对于其他部门法而言,刑法对明确性的要求要高得多。 对完备刑法的明确性进行检验时,无需牵涉其他法律部门;对空白刑法的明确性进行理解时,不仅要考虑刑法条文自身的明确性,而且在很大程度上还要依赖于空白罪状中参照的法律规范的范围、效力等级、内容、适用条件等是否明确。

(二)罪刑法定原则约束下对“违反国家有关规定”解释的再审视

1.“违反国家有关规定”解释的不足

一方面,《解释》和《指引》对“违反国家有关规定”的解释只关注到部门规章,却忽略了地方性法规。 或许有反对者会辩驳,这种做法源于地方性法规仅适用于特定地方,而部门规章的适用范围覆盖全国。 依笔者之见,基于对实质正义的追求,对规范性法律文件的比较不应仅考虑适用范围,还要顾及效力层级。 《解释》和《指引》对“违反国家有关规定”的解释在给予部门规章地位的同时,忽视了地方性法规的效力级别不仅不低于部门规章,甚至还高于部门规章。④参见《中华人民共和国立法法》第100 条、第102 条、第105 条。由是观之,片面理解《解释》和《指引》对“违反国家有关规定”的解释实际上面临罪刑法定原则之实质侧面的诘难。

另一方面,以整体意义上的部门规章为指引来认定侵犯公民个人信息罪,容易导致合理性的不足。原因在于大部分部门规章对公民个人信息的保护比较零碎,在一些核心概念的表述上不够明确。 由于缺乏可操作性强的部门规章与《刑法》第253 条之一规定的侵犯公民个人信息罪进行有效对接,整体性地以部门规章为“国家有关规定”,会使对于侵害公民个人信息的犯罪行为的处罚出现失衡。

2.“违反国家有关规定”解释与成文法的冲突

一方面,在成文的罪刑法定的要求下,为了保持刑法条文之间的协调性,刑法分则的特殊性、个性规定应当服从于刑法总则的一般性、共性规定。 由此推之,在解释侵犯公民个人信息罪的空白罪状时,除了需要借助刑法分则具体条文的规定外,还需要参考刑法总则对于刑法基本原则、犯罪成立的一般法律条件等的规定。 但是,《解释》和《指引》对“违反国家有关规定”的解释将部门规章整体性地列入其中,在一定程度上突破了刑法总则关于“违反国家规定”范围的规定,难以有效协调刑法总则指导和制约刑法分则的关系。

另一方面,可以纳入司法解释视野的“文本”应限定为刑法文本。 刑法文本对于“违反国家规定”的规定不包含违反部门规章,可是《解释》和《指引》对“违反国家有关规定”的解释超越刑法文本的限制,这已经超出刑法条文的范围。 《刑法》第96 条是为了统一立法概念和司法标准,最终达到保障公民权利的立法目的。 然而,《解释》和《指引》对“违反国家有关规定”的解释与《刑法》第96条的立法目的不符。

3.“违反国家有关规定”解释与法律预期的冲突

一方面,侵犯公民个人信息罪条文内容本身的指向是明确的,即应当根据前置法判断是否符合成立犯罪的前提,但在后续进一步确定具体的“国家有关规定”的范围和内容时,参照性规范的指向就不够明确。 这就容易导致司法机关在认定犯罪时只能笼统地说行为人违反了“国家有关规定”,不能说明“国家有关规定”对应的规范内容。 显然,这在一定程度上有违背明确的罪刑法定的嫌疑。

另一方面,部门规章相较于法律、行政法规而言位阶较低,位阶较低的部门规章在制定和修改程序方面没有那么严格,因此可能导致立法语言和立法逻辑不够严谨,由此影响《刑法》第253 条之一规定的侵犯公民个人信息罪的认定。 为了适应行政管理的需要,国家的行政管理政策与制度必须进行一定的调整,部门规章也会发生变化。 部门规章变动性的特点,导致法律规范接收者难以及时关注部门规章的最新动态,这会降低对法律规范结果的可预测性。

三、侵犯公民个人信息罪中“违反国家有关规定”的多维解释

为了在侵犯公民个人信息罪的立法与解释之间建立起关联性,解释者肩负着维持实定法秩序统一性的任务,即刑法解释不得与有效的立法及从中推导出的适用规则发生冲突。 每一次立法修改都是立法者经过深思熟虑之后作出的价值判断,所以在解释个罪条文时应当符合立法目的。

(一)法秩序统一性下的“违反国家有关规定”

内在法秩序的统一性是法规范本身的要求,外在法秩序的统一则是法解释学本身的要求。①参见黄明儒、项婷婷等:《刑法解释的限度与修改关系论》,中国检察出版社2019 年版,第117 页。在法秩序统一性的要求下,既要关照侵犯公民个人信息罪中的空白罪状在刑法秩序内的统一性,也要考虑到在刑法秩序外的协调性。 本文所讨论的法秩序应当理解为部门法与宪法之间的外部秩序,以及各部门的内在秩序。

1.刑法秩序外的协调性

空白刑法规范模式不在刑法条文中直接规定罪刑,但人民法院在援引补充性规范时,仍然要根据刑法的解释规则进行分析,进而得出是否成立犯罪的判断结论。 虽然违反部门规章属于“违反国家有关规定”得到《解释》和《指引》的肯定,但为了保障司法的实践理性,在控制补充规范效力层级的同时,也需要接受刑法秩序外规范的理性塑造与指引。

(1)厘清“违反国家有关规定”与违反法律、行政法规的关系

一是我国目前在法律层级上对于公民个人信息的保护尚需进一步完善。 直接保护公民个人信息的法律是2018 年被提上立法议程的,两年之后才公布草案。 大部分法律并非专门调整公民个人信息的相关法益,而是通过间接方式对“商业秘密”“档案”“个人隐私”等加以保护。 而且,其中涉及具体义务、责任的条款有限,可操作性弱。 最后,这些法律仅适用于特定领域中,规制的是特殊领域中收集、获取个人信息的行为,难以形成一套能推而广之适用到所有领域的操作标准。①我国与公民个人信息保护有关的法律包括:《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国未成年人保护法》《中华人民共和国护照法》《中华人民共和国居民身份证法》《中华人民共和国统计法》《中华人民共和国邮政法》《中华人民共和国档案法》《中华人民共和国传染病防治法》《中华人民共和国反洗钱法》《中华人民共和国商业银行法》《中华人民共和国旅游法》《中华人民共和国社会保险法》《中华人民共和国出境入境管理法》等。

二是我国现存的行政法规对于公民个人信息保护起到的效果有待进一步增强。 在行政法规层面亟待破解的问题在于:虽然带有“依法给予处分或者行政处罚”“构成犯罪的,依法追究刑事责任”等兜底性规定,但与这些行政法规相配套的法律责任禁止性规范较少,难以在行政执法与刑事司法间建立有效联系。 行政法规与刑法沟通不畅使得“违反国家有关规定”的认定成为一道难题。 为了实现刑法外部秩序的贯通,应当对缺乏强制力的行政制裁手段进行完善,进而寻求一套有助于规制侵犯公民个人信息罪的有效方案。②我国与公民个人信息保护有关的行政法规包括:《全国人口普查条例》《地图管理条例》《人力资源市场暂行条例》《居住证暂行条例》《征信业管理条例》《中华人民共和国电信条例》《快递暂行条例》《中华人民共和国政府信息公开条例》《企业信息公示暂行条例》等。

(2)厘清“违反国家有关规定”与违反其他规范性法律文件的关系

对于公民个人信息给予保护的部门规章范围较广,不仅涉及对公民姓名、联系方式、家庭住址等传统静态信息的保护,还有对公民地理位置、出行线路、交易记录等动态信息的保护。③我国与公民个人信息保护有关的部门规章包括:《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《电话用户真实身份信息登记规定》《互联网域名管理办法》《互联网新闻信息服务管理规定》《通信短信息服务管理规定》《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》《个人信用信息基础数据库管理暂行办法》等。但是,能与《刑法》相配合的部门规章较少,这使得《解释》和《指引》对“违反国家有关规定”的解释对于“违反国家有关规定”的内容细化不够,也使得司法机关在办理案件时难以找到与之衔接的部门规章。虽然与公民个人信息保护有关的司法解释形态各异,但分析司法解释可以发现,某些司法解释可能忽视了刑法的理性价值。①我国与公民个人信息保护有关的司法解释包括:《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《关于确定民事侵权精神损害赔偿责任若干问题解释》《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》等。面对各行各业保护公民个人信息诉求的增加,个人信息在“收集、传输、存储、使用、删除、销毁”等环节的保护必要性在不同行业法规中均开始体现。②我国与个人信息保护有关的行业规定包括:《信息安全技术 公共及商用服务信息系统个人信息保护指南》《第3205 号内部审计实务指南——信息系统审计》《个人金融信息保护技术规范》等。但是,行业法规局限于自身特性,适用领域主体范围狭窄,无法涵盖各个领域可能出现的侵犯公民个人信息的行为。

综上所述,前置法对公民个人信息的保护,多表现为对公民个人信息相关方面的保护。 第一,保护范围窄,仅局限于公民个人信息权益、公民个人信息处理规则、公民个人信息安全等方面;第二,保护对象少,主要体现为对国家信息、军事信息及社会经济信息的保护;第三,多属间接保护,在保护管理秩序或者其他法益的同时附带保护。

2.刑法秩序内的统一性

(1)纵向维度:“违反国家有关规定”和“违反国家规定”的关系

甄别规范性文件的效力级别是《刑法》第253 条之一规定的侵犯公民个人信息罪立法合理性的重要保障。 因此,许多学者从不同角度对此展开了论证。③学者王文华指出,司法实践需要进行实质性分析、审慎把握,只能将效力及于全国范围的且是国家层面上的相关规定解释进来。参见王文华:《网络时代公民个人信息的刑法保护》,载《人民检察》2017 年第20 期,第55 页。 学者喻海松也持相同意见,将“国家有关规定”的层级限于国家层面的有关规定。 参见喻海松:《网络犯罪的立法扩张与司法适用》,载《法律适用》2016 年第9 期,第2-10 页。笔者虽对上述学者关于“国家有关规定”效力级别的观点表示赞同,但上述学者对“国家有关规定”内容的限定却过于宽泛。 基于维护刑法秩序内统一性的立场,刑法分则的内容只能在刑法总则的“外部框架”内“装修”,那么,“违反国家有关规定”就不能脱离刑法总则关于“违反国家规定”的规定而判断。 因此,受刑法总则约束的“国家有关规定”只包含法律和行政法规,不包含其他层级的规定。

虽然从文义的角度来看,侵犯公民个人信息罪中的“违反国家有关规定”与《刑法》第96 条规定的“违反国家规定”在表述上有差异,但这不影响前者与后者所表述的规范相一致。 因为《刑法》第96 条是对刑法分则条文中所出现的“违反国家规定”“违反国家有关规定”等国家层面的“规定”在范围上的总括性界定,具体到分则具体条文当中,应当再结合具体罪名所涉及的特定领域进一步限定“国家规定”的范围。 因此,立法机关加入的“有关”二字宜理解为涵括性用语,突出对国家规定内容的相关性要求,将空白罪状的内容限制在公民个人信息的特定领域、特定事项,为该罪的司法适用提供更为准确和可操作的标准,而不意味着“国家有关规定”会超出“国家规定”的范围。

(2)横向维度:“违反国家有关规定”和其他相似规定的关系

不能因为解释其中一个罪名而忽略了其与其他罪名的联系,解释刑法分则某一条文时应当注意刑法内在体系逻辑的统一。 如果仅限于对刑法条文字面表述的理解,《刑法》第253 条之一规定的侵犯公民个人信息罪条文确实是《刑法》中首次采用“违反国家有关规定”表述的条文,但为了维护法规范的妥当性,使之为司法实践提供尽可能精确的引导,应当用尽解释论上的途径。 笔者对比了该条文与刑法分则中的其他相似空白罪状①与“违反国家有关规定”相似的抽象的空白罪状主要有:违反规定、违反法律规定、违反法律行政法规的规定、违反国家规定,与“违反国家有关规定”相似的具体的空白罪状主要有:违反……规定、违反……法的规定、违反……管理规定、违反有关……规定、违反……有关规定。,它们分别在立法缘由②为了解决司法实践中处置逃避境内动植物防疫、检疫造成严重危害的行为缺乏法律依据的问题,《刑法修正案(七)》将妨害动植物防疫、检疫罪中的“违反进出境动植物检疫法的规定”的表述修改为“违反有关动植物防疫、检疫的国家规定”。 同时,最高人民法院、最高人民检察院并没有特意通过司法解释的方式将“违反有关动植物防疫检疫的国家规定”的前置法范围扩大到相应的部门规章。、刑法谦抑性特点③传染病菌种、毒种扩散罪中亦有“违反国务院卫生行政部门的有关规定”的内容。 该罪的犯罪对象较为特定,仅包括传染病菌种、毒种,且只有“实验、保藏、携带、运输”的人员,并不包含“采集”的人员。 这些规范内容的限缩凸显了当代刑法所提倡的谦抑性精神。、调整犯罪圈大小④重大责任事故罪包含了“违反有关安全管理的规定”的空白罪状。 “不服管理、违反规章制度”是1997 年《刑法》中重大责任事故罪的启用要素,而《中华人民共和国刑法修正案(六)》将“规章制度”扩大为“规定”,并在“规定”前面加了限定词“安全管理”,这就使得本罪的犯罪主体范围扩大至一般主体的同时缩小了本罪的调整范围,排除了有关质量管理、技术方面的规定,呈现出入罪范围总体扩大局部缩小的特点。方面具有相似性。 由此可见,这些条款虽然没有采用完全相同的表述,但侵犯公民个人信息罪中的空白罪状与上述相似空白罪状所处的刑法体系位置相同,都是刑法分则条文,在刑法内在体系一致性的思维下,都绕不开与之共同构成刑法规范体系的刑法总则的范围。

除了侵犯公民个人信息罪之外,2020 年《中华人民共和国刑法修正案(十一)》增设的非法采集人类遗传资源、走私人类遗传资源材料罪也采用了“违反国家有关规定”的表述。 目前,尚未出台进一步说明该罪名中的“违反国家有关规定”的司法解释,与人类遗传资源有关的前置法只有《中华人民共和国生物安全法》《中华人民共和国人类遗传资源管理条例》。 也许有学者会认为,本罪也应当将非法采集人类遗传资源、走私人类遗传资源材料罪中“国家有关规定”的范围扩展至部门规章,以便根据不同行业、领域的特点有针对性地保护人类遗传资源,这与《解释》和《指引》对“违反国家有关规定”的解释扩大侵犯公民个人信息罪中“国家有关规定”范围的理由相似。 但是,这样的观点值得商榷。 因为目前与人类遗传资源有关的前置法很少,与人类遗传资源有关的部门规章也不多,所以,“国家有关规定”范围的扩大并不能为我国人类遗传资源和生物资源采集、保存、利用等活动的刑法保护提供有效帮助。 同样地,我国公民个人信息保护体系未臻完善,尤其是部门规章等效力级别较低的前置规范也不尽完善。 在此情形之下,《解释》和《指引》对“违反国家有关规定”的解释所认为的违反部门规章也可以认为是违反国家规定的说法难以自圆其说,甚至可能进一步导致该罪司法适用的随意性。

(二)“违反国家有关规定”的目的性限缩解释

刑法目的体系的结构包含自上而下、层层嵌套的三个层次,上级目的统领下级目的,下级目的具体化上级目的。 如果站在法秩序统一性的角度观察,目的性限缩解释不仅需要考虑刑法具体条款自身的目的,还要考虑具体条款的目的是否服从其所在章节的目的,各章节的目的是否向刑法总则的目的看齐,刑法整体目的最终还要与宪法的目的保持一致。⑤参见张明楷:《刑法学》(第6 版),法律出版社2021 年版,第26-27 页;张红良:《刑法目的的解释研究》,西南政法大学2018 年博士学位论文,第125-126、136 页。就目的性限缩解释的界限而论,应当以不造成刑法与宪法的矛盾,不违背刑法总则的统领性规定,以及符合刑法分则个罪的目的意义为前提,彰显刑法解释应有的科学性。 但在实践中,总则和分则难免会出现认识上的分歧,此时就需要运用目的性限缩解释维护总则和分则统一的法秩序。

立法者之所以严格限定“违反国家有关规定”的范围,其目的是使得罪刑法定原则现实化。 进言之,立法活动应当尽量减少和消除部门保护。 基于此立法目的,筛选侵犯公民个人信息罪的前置法时宜将其限定为“国家有关规定”。 此外,欲实现在罪刑法定原则的指导下解释刑法条文的根本目标,必先准确把握总则和分则是抽象与具体的关系,而后才可进行有根据的推理:在解释刑法分则中的“国家有关规定”时,首先要与刑法总则的“违反国家规定”自洽,然后用“有关”一词再次限定,这是刑法分则具体罪名对于刑法总则的具体化。

(三)“违反国家有关规定”的合宪性解释

当存在多种解释选择的可能性时,应优先选择符合宪法规定的解释,尽量使得立法者制定的法律被认定为符合宪法的规定,从而确保法规范的存续和法秩序的统一稳定。 对刑法规范进行符合宪法规定的解释,体现为以宪法规范作为指引,通过文义、历史、体系、目的等传统的解释方法发挥作用,最终宪法解释标准和其他解释方法相互迁就后达成一致,确定一种符合宪法标准的解释。①参见时延安:《刑法规范的合宪性解释》,载《国家检察官学院学报》2015 年第1 期,第72 页。合宪性解释运用到刑法解释中,体现为当刑法解释存在歧义的时候,将宪法的规范内涵和价值注入到刑法之中,选择与宪法的价值和精神相一致的解释。②参见黄奇中:《刑法目的的合宪性解释》,载《海南大学学报(人文社会科学版)》2008 年第4 期,第392 页。

在法秩序统一性的视野下,应当秉持“刑法总则与刑法分则条文相协调”而展开刑法解释,避免刑法总则与刑法分则出现矛盾。 所以,对于刑法分则中空白罪状的解释要限制在刑法总则的范围内,包括要符合刑法总则规定的基本原则③参见周光权:《刑法各论》(第4 版),中国人民大学出版社2021 年版,第4 页。,此为符合宪法维护法秩序统一性价值的解释。 法律和行政法规更多的是宏观层面的规制,但对于具体领域难免会存在遗漏或模糊,不利于准确地定罪量刑,而部门规章对相关法律、行政法规进一步解释、说明的功能弥补了此缺陷。 因此,如果部门规章是以明确、细化上位法为目的,也可以作为判断“违反国家有关规定”的参照,此为符合宪法保障人权价值的刑法解释。

四、侵犯公民个人信息罪中“违反国家有关规定”的实践展开

在司法实践中,侵犯公民个人信息罪中的“违反国家有关规定”因各种原因难以被具体化,容易与罪刑法定原则发生冲突。 笔者首先简要描述司法判决对援引具体“国家有关规定”不够重视的现状,然后在罪刑法定原则的整体视角下,提出在判决书中具体引用“违反国家有关规定”的要求和方法。

(一)“违反国家有关规定”的引用现状

笔者在“Alpha 数据库”中以“侵犯公民个人信息罪”为裁判结果,以“2017 年6 月1 日-2022 年12 月31 日”为审结时间限定,以“判决书”为文书类型,一共检索到了6037 份判决书,只有9 份判决书真正引用了行为人违反的具体“国家有关规定”及其条、款、项,其余判决书对于“违反国家有关规定”的引用都不够规范。 例如,部分判决书只字未提“违反国家有关规定”,也没有“违反国家规定”“违反规定”等字眼,笔者将其概括为“抽象概括型”①例如,四川省西昌市人民法院(2020)川3401 刑初434 号刑事判决书、广西壮族自治区宾阳县人民法院(2020)桂0126 刑初534号刑事判决书、河南省济源市人民法院(2019)豫9001 刑初548 号刑事判决书等。;绝大多数判决书较为笼统,只是提及“违反国家有关规定”,但没有详细说明违反的“国家有关规定”的具体内容,笔者将其概括为“简单套用型”②例如,江苏省苏州市吴江区人民法院(2020)苏0509 刑初1089 号刑事判决书、陕西省西安市新城区人民法院(2020)陕0102 刑初324 号刑事判决书、广东省广州市越秀区人民法院(2019)粤0104 刑初1455 号刑事判决书等。;有一部分判决书交替使用“违反规定”“违反国家规定”“违反国家相关规定”等表述,笔者将其概括为“交替使用型”③例如,江西省庐山市人民法院(2020)赣0483 刑初8 号刑事判决书等。。

(二)引用“违反国家有关规定”的规范路径

1.具体引用的意义

具体引用“违反国家有关规定”,一是有利于当事人知晓裁判所蕴含的法理,确信裁判结果的正当性,进而从内心接受裁判;二是有利于人民法院通过判决书传递司法公正,提高社会公众对判决结果的可接受性,实现法律效果和社会效果的有机统一。 虽然刑事案件审理报告当中可能有指出具体引用的“国家有关规定”,甚至具体到条、款、项,以及适用该“国家有关规定”的具体理由,但刑事案件审理报告并不公开,无法起到与司法工作人员、律师、当事人,以及社会公众沟通的作用。 公开的判决书是司法工作人员与当事人及其他公众进行对话交流的媒介。 在《解释》和《指引》对“违反国家有关规定”的解释对该罪状进行细化的情况下,以笼统的概念表达“违反国家有关规定”的判决书缺乏必要的明确性与可预见性,一方面会降低当事人对判决的心理认同感,另一方面会影响社会公众对司法的信赖感。

2.具体引用的方法

根据张明楷教授提出的“适用法条明确性”的要求④参见张明楷:《明确性原则在刑事司法中的贯彻》,载《吉林大学社会科学学报》2015 年第4 期,第38-41 页。,笔者认为可以从引用范围明确和引用罪状具体两个方面入手。 前者是指判决书在考虑某一部门规章能否成为侵犯公民个人信息罪的援引依据时,应当明确并不是所有的部门规章都可以成为“国家有关规定”,只有对于《刑法》第96 条的“国家规定”进行明确、细化的部门规章才能与上位法一起作为援引依据。 后者是指判决书除了应当准确表述“违反国家有关规定”以外,还应当整条引用具体条款,完整地列明所依据的具体补充规范的名称、条款序号。 并列引用多个补充规范的,按照补充规范的效力级别排序。 事实查明和证据列举部分是对判决主文部分的铺垫,因此,也应当对行为人违反了什么具体的“国家有关规定”进行说明。

根据刑法内在、外在秩序统一性的要求,刑法总则中的“违反国家有关规定”与刑法分则中的“违反国家有关规定”是大概念与小概念的关系,前者对后者起到统一界定的作用,所以判决书中所选取的“国家有关规定”应与《刑法》第96 条的规定保持统一。 根据目的性限缩解释的要求,刑法解释应当实现刑法条文所设立的目的,所以,弄清楚立法者设立“违反国家有关规定”这一罪状的目的是解释的前提。 立法者设立这一空白罪状的目的之一,在于体现出国家当前严惩侵犯公民个人信息罪的立场和态度。 围绕该目的,判决书的说理部分在指出被告人违反的国家有关规定所指的具体条文时,应当将与公民个人信息保护目的无关的前置规范排除在外。 立法者设立该罪状的目的之二,是将“规定”严格限制在国家层面,效力及于全国范围。 根据合宪性解释的要求,对罪刑法定原则中的“法”应当从整体上把握,部分无论如何都不能与整体相抵触。 所以,判决书所引用的具体“国家有关规定”在立法层级上应当限定在刑法总则“国家规定”的框架内。 法律和行政法规主要适用于宏观的领域,而对于医学、网络信息、生物技术等发展较快的特定新兴领域则往往无法涵盖。因此,部门规章所起的作用是弥补法律和行政法规未能具体调整和评价的公民个人信息保护的部分地带,契合当前个人信息保护体系不够完善的情况下打击侵犯公民个人信息罪的需求,适应社会活动的新变化。 笔者认为,当“国家有关规定”是“国家规定”的某一部分规范的合集,且在一定程度上细化“国家规定”对公民个人信息保护的特定行为的评价标准时,部门规章才可以作为判断“违反国家有关规定”的参照。

以“韩某某、杨某某等侵犯公民个人信息案”①参见上海市宝山区人民法院(2019)沪0113 刑初2482 号刑事附带民事判决书。的判决书为例,判决主文部分虽然没有出现“违反国家有关规定”字眼,但判决书在释法说理部分详细地论证了被告人未经消费者同意,擅自将众多消费者个人信息储存在网站服务器,备份至电脑,并将获取的消费者个人信息上传至“某某网”欲贩卖牟利的行为侵害了众多消费者的个人信息权益,且引用了《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》)第12 条、第29 条第2 款等条款的规定。 如何理解《消费者权益保护法》第29 条中的“明示收集、使用信息的目的、方式和范围”和“经消费者同意”,直接关系到经营者收集、使用消费者个人信息的行为是否“违反国家有关规定”的判断,而《消费者权益保护法》并未就此作出详细的规定,其他与消费者权益保护有关的法律、行政法规也没有具体的规定,这就给该案的司法适用带来了巨大的挑战。 对于“韩某某、杨某某等侵犯公民个人信息案”的判决书该如何引用“违反国家有关规定”这一罪状,才既能符合罪刑法定原则,又能在司法适用上促成刑法与前置法的有效衔接,笔者的基本思路如下:首先,从形式上判断该部门规章的制定主体、制定过程等是否符合法定形式;其次,从内容和目的上审查部门规章是否与公民个人信息保护有关;最后,再判断该部门规章的功能是否是针对《消费者权益保护法》等上位法所出现的“真空”进行细化和明确。如果相关部门规章在形式上具有合法性,在内容和目的上与公民个人信息保护有关,且有利于明确《消费者权益保护法》第29 条中的“明示收集、使用信息的目的、方式和范围”和“经消费者同意”,则能够将相关部门规章与《消费者权益保护法》等上位法一起作为侵犯公民个人信息罪裁判依据的组成部分。

五、结语

因应人们对于公民个人信息保护的立法关切,《解释》和《指引》对“违反国家有关规定”的解释,在一定程度上就侵犯公民个人信息罪的前置法规定与《刑法》第96 条的关系问题进行了探索。探索的结论是否符合罪刑法定原则,还有待理论层面的论证。 本文在分析《解释》和《指引》对“违反国家有关规定”解释的基础上,从多个角度对其进行了解释。 侵犯公民个人信息罪中的“违反国家有关规定”在范围上与刑法总则中的“违反国家规定”相一致,判断行为人是否构成犯罪也只能依据“国家规定”,但部门规章在对此进行明确、细化的情况下,也可以作为判断是否构成犯罪的“参考资料”。 “有关”二字是对与公民个人信息保护相关的补充规范内容的限制,而不是对补充规范效力级别的扩张或者限缩,这是一种恰当的具体化表达方法,符合刑事立法的规律。