李采薇

(中國人民大學(xué) 法學(xué)院， 北京 100872)

2015年出臺的《刑法修正案(九)》，把侵犯公民個人信息罪中的“違反國家規(guī)定”改為“違反國家有關(guān)規(guī)定”，緊接著兩高又在《關(guān)于辦理公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)第2條明確了“國家有關(guān)規(guī)定”的范疇，將除法律、行政法規(guī)之外的行政規(guī)章也囊括其中，引起了廣泛爭議。目前學(xué)界主要存在兩種立場：肯定說與否定說。其中前者支持這一調(diào)整，認為其具有正當(dāng)性與必要性，但肯定說中也存在不同的解釋路徑。比如從單純的形式解釋上看，“有關(guān)”指的是與公民個人信息有關(guān)的“國家規(guī)定”，并沒有實質(zhì)內(nèi)涵；再比如，有學(xué)者認為這一規(guī)定的功能是提示違法性，可以審查行為人是否具有違法阻卻事由及是否具備違法性認識[1]。相反，否定說認為《解釋》中“國家有關(guān)規(guī)定”的范疇與《中華人民共和國刑法》(以下簡稱“《刑法》”)第96條中的“國家規(guī)定”相沖突，違背了罪刑法定原則，有違法秩序的統(tǒng)一性，無存在的正當(dāng)性及必要性。

筆者認為，“違反國家有關(guān)規(guī)定”的表述十分巧妙，它不僅避開了與“國家規(guī)定”的正面沖突，而且適應(yīng)了我國個人信息保護立法集中于部門規(guī)章的現(xiàn)狀，為侵犯公民個人信息罪提供了更加廣泛的前置法依據(jù)。因此，肯定說更具合理性。

一、“違反國家有關(guān)規(guī)定”之正當(dāng)性

(一)立法目的之正當(dāng)性

2009年《刑法修正案(七)》增設(shè)了侵犯公民個人信息罪：“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金……”2015年，《刑法修正案(九)》將本罪主體由特殊主體改為一般主體，在“違反國家規(guī)定”的前提條件中增加了“有關(guān)”二字，設(shè)置了特殊主體從重處罰的規(guī)定，并提高了法定最高刑。

1.降低入罪門檻。一方面，不可否認的是犯罪主體的變化擴大了本罪的處罰范圍。2015年以前，本罪的犯罪主體被限制在“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”此類特殊主體之內(nèi)，是由當(dāng)時社會經(jīng)濟發(fā)展?fàn)顩r所決定的。直到2013年我國開始普及4G網(wǎng)絡(luò)，逐漸迎來了大數(shù)據(jù)時代，使得信息收集、發(fā)布、獲取的便捷度越來越高，才涌現(xiàn)出了許多侵犯個人信息的違法犯罪行為。如今，每一個個體都可以成為信息的收集者、發(fā)布者，不同于以往只有特殊職業(yè)或行業(yè)領(lǐng)域的主體才可以接觸到個人信息，因此將本罪主體擴大為一般主體是適應(yīng)社會發(fā)展需求的舉措。另一方面，“國家有關(guān)規(guī)定”相對于“國家規(guī)定”而言，其范圍是擴張還是限縮存在爭議。《刑法修正案(九)(草案)》，延續(xù)了之前的“違反國家規(guī)定”，在《刑法修正案(九)(草案二、三次審議稿)》中修改為“違反規(guī)定”，但最終實施的《刑法修正案(九)》用了“違反國家有關(guān)規(guī)定”的表述[2]。對此，有學(xué)者認為：從“違反國家規(guī)定”到“違反規(guī)定”，其范圍有所擴大，但是從“違反規(guī)定”到“違反國家有關(guān)規(guī)定”，其范圍又有所縮小。從先前的“擴大”到之后的“縮小”，這一過程并不能從立法層面表明“違反國家有關(guān)規(guī)定”的范圍要大于“違反國家規(guī)定”[3]。該學(xué)者采用了歷史解釋的方法來證成自己的觀點，但這只能說明“規(guī)定”是“國家規(guī)定”和“國家有關(guān)規(guī)定”的上位概念，并不能直接推導(dǎo)出后兩者之間的包含關(guān)系。相反，我們可以從《刑法修正案(九)》的修改過程中看出，立法者有意在降低入罪門檻，擴大本罪中“國家規(guī)定”的范圍。一開始，立法機關(guān)選取了“規(guī)定”二字，但這一表述過于寬泛，很可能會被過度解釋為包含非政府主體在內(nèi)的所有主體發(fā)布的規(guī)定；于是，在正式實施的文本中替換為“國家有關(guān)規(guī)定”，既區(qū)別于《刑法》第96條的“國家規(guī)定”，又巧妙地用“有關(guān)”二字避免其范圍無限擴張。

2.加大懲處力度。本罪在《刑法修正案(九)》中的另一重大改變，就是加大了量刑上的懲處力度，包括增設(shè)了“情節(jié)特別嚴重”的量刑標準，并對具有特殊身份的主體從重處罰。在此背景下，再看從“違反國家規(guī)定”到“違反國家有關(guān)規(guī)定”的變化，擴大違法圈的同時也契合了懲治犯罪的現(xiàn)實需求。譬如，某銀行職員甲將經(jīng)處理后無法識別特定個體的個人金融信息出售給乙的行為，不屬于“違反國家規(guī)定”，但卻屬于“違反國家有關(guān)規(guī)定”?！毒W(wǎng)絡(luò)安全法》中對個人信息所采取的定義模式是“識別型”，即能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息。按照上述規(guī)定，不具識別性的信息不屬于個人信息的保護范疇，故甲未違反國家規(guī)定。然而，在中國人民銀行發(fā)布的《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》第4條第1款規(guī)定：“銀行業(yè)金融機構(gòu)不得篡改、違法使用個人金融信息。使用個人金融信息時，應(yīng)當(dāng)符合收集該信息的目的，并不得進行以下行為： (一)出售個人金融信息……”也就是說只要出售了個人金融信息，不論該信息是否能夠識別特定個體，即屬于違反了該部門規(guī)章，也即“違反國家有關(guān)規(guī)定”，應(yīng)當(dāng)納入本罪所屬的違法圈內(nèi)。

(二) 體系地位之正當(dāng)性

否定說的論據(jù)之一是“違反國家有關(guān)規(guī)定”包含部門規(guī)章的解釋方法與《刑法》第96條的“違反國家規(guī)定”相沖突，有違法秩序的統(tǒng)一性。刑法總則規(guī)定的一般原則與原理，對分則的適用起著指導(dǎo)作用，故在解釋“違反國家有關(guān)規(guī)定”時，必須以《刑法》第96條為底線[4]。但筆者認為，實際上這種沖突并不存在。

1.“違反國家規(guī)定”的體系地位?！缎谭ā返?6條申明：“本法所稱違反國家規(guī)定，是指違反全國人民代表大會及其常務(wù)委員會制定的法律和決定，國務(wù)院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令?！辈⑶遥谧罡呷嗣穹ㄔ骸蛾P(guān)于準確理解和適用刑法中“國家規(guī)定”的有關(guān)問題的通知》中，第2條又再次申明：“對于違反地方性法規(guī)、部門規(guī)章的行為，不得認定為‘違反國家規(guī)定’?！焙唵蝸碚f，《刑法》中的“國家規(guī)定”僅指法律和行政法規(guī)。

“違反國家規(guī)定”在《刑法》中一共出現(xiàn)了17次，這些罪名的前置法大多為法律和行政法規(guī)，并且已規(guī)定得相當(dāng)完善。比如第338條污染環(huán)境罪，《環(huán)境保護法》《水污染防治法》《大氣污染防治法》《固體廢物污染環(huán)境防治法》《環(huán)境噪聲污染防治法》等法律，以及《建設(shè)項目環(huán)境保護條例(2017)》《城鎮(zhèn)排水與污水處理條例》《畜禽規(guī)模養(yǎng)殖污染防治條例》《醫(yī)療廢物管理條例》等行政法規(guī)已經(jīng)全面、細致地作出了相關(guān)規(guī)定。故《刑法》第96條之“違反國家規(guī)定”的范疇已能夠滿足懲治犯罪的需求。但是，侵犯公民個人信息罪的前置法規(guī)定并不如此(下文會作詳細闡述)。因此，筆者認為《刑罰》第96條僅用于指導(dǎo)和限制刑法典中出現(xiàn)的“違反國家規(guī)定”，并不影響重新界定“違反國家有關(guān)規(guī)定”的范疇。

2.“國家規(guī)定”與“國家有關(guān)規(guī)定”間的關(guān)系。2018年8月24日，最高人民檢察院發(fā)布的《檢察機關(guān)辦理侵犯公民個人信息案件指引》承繼了《解釋》第2條的宗旨，再次申明：“違反國家有關(guān)規(guī)定”的范圍明顯廣于“違反國家規(guī)定”。很顯然，在司法解釋的立場上，除法律和行政法規(guī)之外，“違反國家有關(guān)規(guī)定”還包括部門規(guī)章，故筆者認為這兩者屬于包含與被包含的關(guān)系。

不得不提到的是，在我國的刑法典中，僅有這一處“違反國家有關(guān)規(guī)定”的表述，故立法機關(guān)未在刑法總則中增設(shè)與第96條相似的條款，而是由司法機關(guān)通過司法解釋來界定其具體內(nèi)涵。并且，由于受社會經(jīng)濟發(fā)展及相關(guān)立法狀況的制約，《解釋》將部門規(guī)章歸入侵犯公民個人信息罪的前置法規(guī)范當(dāng)中，是一種特殊時期的特殊規(guī)定；而刑法典為了保證自身的穩(wěn)定性與可預(yù)測性，并未作出過多的解釋。

(三) 罪刑法定之正當(dāng)性

否定說的另一重要論據(jù)是《解釋》第2條背離了罪刑法定原則。罪刑法定原則要求定罪量刑必須由刑法明文規(guī)定，并從整體上去把握。然而，該條將部門規(guī)章納入“國家有關(guān)規(guī)定”的做法不僅是對刑法總則與分則之間協(xié)調(diào)性的破壞，也無視了刑法總則對分則的指導(dǎo)與制約意義[5]。但筆者認為，這是由于沒有厘清“違反國家有關(guān)規(guī)定”的定位，才作出的有誤判斷。

一般來說，要探討一個規(guī)定是否符合罪刑法定原則，首先要明確該規(guī)定在刑法規(guī)范中的定位。不同于《刑法》第96條被規(guī)定在刑法總則所具有的指導(dǎo)地位，“違反國家有關(guān)規(guī)定”只是單獨個罪的前提條件。兩者的定位完全不同，不能因為相似指導(dǎo)性規(guī)定的存在，就否定設(shè)置其他特殊性規(guī)定的正當(dāng)性。

其次，要明確該規(guī)定在定罪量刑中所起的作用。侵犯公民個人信息罪采用了空白罪狀的表述，因而需要通過“違反國家有關(guān)規(guī)定”來篩選其前置法，并依此來控制違法圈大小。故“違反國家有關(guān)規(guī)定”作為刑法條文中的補充規(guī)范，只是起到行為定性的作用，即判斷某個行為是否違法，并不參與定罪，具體構(gòu)罪與否要看行為是否達到“情節(jié)嚴重”或“情節(jié)特別嚴重”的標準。倘若將侵犯公民個人信息罪比作一個“容器”，那么“違反國家有關(guān)規(guī)定”就是過濾與個人信息相關(guān)的合法行為與違法行為的第一個“漏斗”，“情節(jié)嚴重”與“情節(jié)特別嚴重”則是區(qū)分違法行為與犯罪行為的第二個“漏斗”，至少要經(jīng)過這兩層篩選才能最終漏入侵犯公民個人信息罪的規(guī)制“容器”中。故筆者認為，“違反國家有關(guān)規(guī)定”作為空白罪狀中的補充規(guī)范，只是起到限制和劃定刑法處罰范圍的作用，不是犯罪的構(gòu)成要件要素，更不參與定罪量刑，因而并不存在對罪刑法定原則的違背。

二、“違反國家有關(guān)規(guī)定”之必要性

(一) 契合我國個人信息保護的立法現(xiàn)狀

1.法律。2017年6月1日正式實施的《網(wǎng)絡(luò)安全法》被視為我國維護網(wǎng)絡(luò)運行安全、保障網(wǎng)絡(luò)信息安全的具有全局性的法律，但也僅在第4章中用11條的篇幅規(guī)定了網(wǎng)絡(luò)運營者的法律責(zé)任，只涉及網(wǎng)絡(luò)個人信息的保護，并未提及通過其他形式儲存的個人信息。相比之下，2012年12月28日就開始實施的《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》中禁止性規(guī)定的主體，不僅包括網(wǎng)絡(luò)運營者，還有其他企事業(yè)單位。此外，還有一些涉及到個人信息的法律如《公共圖書館法》第43條、第50條，《國家情報法》第19條、第31條，《統(tǒng)計法》第9條、第39條，《護照法》第12條、第20條，《居民身份證法》第13條、第19條，《消費者權(quán)益保護法》第29條，都采用了禁止性條款與法律責(zé)任相結(jié)合的規(guī)定模式。

可以看出，我國在法律層面對個人信息的立法保障還遠遠不夠，都是散見于各個領(lǐng)域的部門法當(dāng)中，并且只是作為特殊主體針對特殊個人信息收集、獲取過程中的注意規(guī)定，缺乏集中性、統(tǒng)一性的操作標準。再加之《個人信息保護法》的立法工作一直沒有提上日程，直到2018年9月7日，才首次出現(xiàn)在第十三屆全國人大常委會的5年立法規(guī)劃中。

2.行政法規(guī)。目前，我國現(xiàn)行涉及個人信息保護的行政法規(guī)包括《征信業(yè)管理條例》第13-44條，《快遞暫行條例》第34條、第44條，《彩票管理條例》第27條，《缺陷汽車產(chǎn)品召回管理條例》第7條、第25條，《居住證暫行條例》第20條，《社會救助暫行辦法》第66條，《人力資源市場暫行條例》第29條，《地圖管理條例》第35條。大多都是沒有配套法律責(zé)任的禁止性規(guī)范，沒有強制力，難以作為定罪的前置法依據(jù)。

3.部門規(guī)章。與上述規(guī)定分散且強制力較弱的法律和行政法規(guī)不同，我國個人信息保護立法在部門規(guī)章方面尤為充分和全面，包括但不限于國務(wù)院授權(quán)國家互聯(lián)網(wǎng)信息辦公室制定的《互聯(lián)網(wǎng)用戶公眾賬號信息服務(wù)管理規(guī)定》《互聯(lián)網(wǎng)群組信息服務(wù)管理規(guī)定》，國家衛(wèi)生和計劃生育委員會《人口健康信息管理辦法(試行)》，工業(yè)和信息化部《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》《工業(yè)和信息化部關(guān)于加強移動智能終端進網(wǎng)管理的通知》，國家標準化管理委員會、國家質(zhì)量監(jiān)督檢驗檢疫總局《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》，中國人民銀行《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》《征信機構(gòu)信息安全規(guī)范》《金融信用信息基礎(chǔ)數(shù)據(jù)庫用戶管理規(guī)范》《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》，國家郵政局《寄遞服務(wù)用戶個人信息安全管理規(guī)定》《郵政行業(yè)安全信息報告和處理規(guī)定》等。部門規(guī)章的規(guī)制保護范疇不僅囊括了姓名、身份證號、聯(lián)系方式、賬號密碼等個人基礎(chǔ)信息，還有健康信息、金融信息、信用信息等特殊領(lǐng)域的個人信息，并且規(guī)制了行政機關(guān)、企事業(yè)單位及個體等各類信息收集者、管理者的行為。

綜合個人信息保護的立法現(xiàn)狀，不難看出，將部門規(guī)章納入侵犯公民個人信息罪的前置法之中，是契合我國當(dāng)前個人信息保護立法體系的恰當(dāng)之舉。

(二) 滿足我國懲治犯罪的需求

大數(shù)據(jù)時代的到來，給個人信息保護帶來了嚴峻的挑戰(zhàn)。2018年11月8日，在第五屆世界互聯(lián)網(wǎng)大會“大數(shù)據(jù)時代的個人信息保護”分論壇上，最高人民檢察院檢察長張軍說道：“大數(shù)據(jù)時代，個人信息已經(jīng)成為重要的生產(chǎn)要素?！北热缯莆账说慕】敌畔?，就可以對癥下藥推銷有關(guān)藥品和醫(yī)療信息；掌握了他人的消費信息，就可以根據(jù)其消費需求和喜好，從而定向推送產(chǎn)品廣告；掌握了他人的金融信息，就可以向其推銷合適的理財產(chǎn)品……這種量身定制的推介信息，人們往往難以拒絕[6]。最高人民檢察院官方網(wǎng)站消息顯示：“2016年，中國檢察機關(guān)起訴侵犯公民個人信息犯罪1 029人，2017年起訴4 407人，2018年起訴5 271人?！笨梢姡址腹駛€人信息犯罪會在短期內(nèi)迅速增長并將長期持續(xù)存在，甚至圍繞個人信息的買賣、竊取及其他非法利用，還形成了一條違法犯罪的“黑色產(chǎn)業(yè)鏈”。其中，侵犯公民個人信息罪作為上游犯罪，提供了犯罪條件與工具，在中下游滋生出電信詐騙、金融詐騙、敲詐勒索、綁架等犯罪。因此，在這個時代，掌握了信息，就如同抓住了權(quán)力與財富，要想避免不法分子利用個人信息實施更為嚴重的犯罪行為，首要任務(wù)就是從上游犯罪入手切斷信息源，對個人信息嚴加管理和保護。

因此，“國家有關(guān)規(guī)定”將部門規(guī)章納入到侵犯公民個人信息罪的前置法當(dāng)中，不僅適應(yīng)了大數(shù)據(jù)時代的新變化、新發(fā)展，有效保障了公民對個人信息的各項權(quán)利，也適應(yīng)了當(dāng)前我國嚴厲懲治與個人信息相關(guān)犯罪的需求。

不久的將來，隨著《個人信息保護法》的出臺和實施，個人信息保護的立法體系會更加集中和完備，部門規(guī)章在這一體系中的作用就會日趨減弱。因此，現(xiàn)階段將部門規(guī)章納入“違反國家有關(guān)規(guī)定”的范疇中，不是刑法擴張的產(chǎn)物，而是由我國的個人信息保護立法現(xiàn)狀及犯罪懲治需求所決定的，是刑法典及其司法解釋在特殊時期所作的特殊規(guī)定。