侵犯公民個人信息罪的價值選擇與認定

徐興濤

[摘要]侵犯公民個人信息罪的設立，較為有效地保護了公民的個人信息。隨后最高人民法院會同最高人民檢察院出臺的相關司法解釋及指導性案例，也為司法實踐中正確處理此類案件提供了較為可行的操作標準。但由于本罪具有預防刑法的特性，對其理解與適用應進行合理限縮。在理解這一罪名時，應當以兼顧公民個人信息的保護與數據產業發展的平衡為價值指引，注意兩高的相關解釋與《網絡安全法》的銜接。在侵犯公民個人信息罪的構成要件的具體涵攝中，應將相關信息豁免制度作為輔助性參考，正確認定阻卻構成要件的情形。公民個人信息的內涵具有“可識別性”，其范圍包括身份識別信息和活動情況的信息，IP地址、Cookies等都可納入，但在具體的認定上應當增加認定要素以限縮范圍;作為構成要件要素的“國家有關規定”的范圍應當限制為法律、行政法規，部門規章應當排除在外。

[關鍵詞]價值衡量;信息豁免;個人信息范圍;“國家有關規定”

[中圖分類號]D914 [文獻標識碼]A [文章編號]1671-8372（2020）01-0054-08

隨著信息社會的到來，信息資源在社會生活中發揮著越來越重要的作用，在某種意義上已成為重要的生產要素和社會財富的表征。個人信息的重要性也日漸凸顯，成為當下信息經濟中的重要元素。然而，現實中個人信息的泄露十分嚴重，通過刑法對公民的個人信息進行保護，成為社會公眾的理性需求。

2009年2月28日通過的《刑法修正案（七）》增加了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩個罪名，作為刑法第二百五十三條之一，正式將侵犯公民個人信息的行為人刑。這使得司法機關在處理侵犯公民個人信息類案件時有了刑法上的依據，在_定程度上打擊了此類犯罪活動。隨著社會信息化程度的加深，侵犯公民個人信息的犯罪愈加頻發，并呈現出與電信網絡詐騙、綁架、敲詐勒索等犯罪活動聯系在一起的新特征。為了應對這一犯罪狀況，加大對公民個人信息的保護力度，2015年8月29日通過的《刑法修正案（九）》對刑法第二百五十三條之·進行了修改，將原來的“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”兩罪合并為“侵犯公民個人信息罪”一個罪名。此次修改對原有條文進行了完善，將本罪的主體修改為一般主體，明確規定了從重處罰的情節，并以情節犯的模式加重了法定刑。

根據對相關案件的統計分析，侵犯公民個人信息罪的大多數案件通過互聯網實施。此外，還與其他類型的犯罪交織在一起，這使得侵犯公民個人信息的情形比較復雜。實際案件辦理過程中，在很多具體的適用問題上存在爭議。為此，最高人民法院會同最高人民檢察院（下文簡稱兩高）于2017年明8日發布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下文簡稱《解釋》），為侵犯公民個人信息罪的定罪量刑提供了細化的操作指南。在此前后，兩高還曾發布了數起侵犯公民個人信息犯罪的典型案例，最高人民檢察院還在2018年11月9日印發了《檢察機關辦理侵犯公民個人信息案件指引》，這些都為實踐中正確處理此類案件提供了依據。

侵犯公民個人信息罪的設立及兩高《解釋》的出臺，有力地保護了公民的個人信息，其具體的定罪量刑標準也在司法實踐中日臻完善。但是，由于侵犯公民個人信息罪具有預防刑法的特征，在具體的理解和適用中，需要關注該罪及《解釋》背后所體現出的價值取向，遵循刑法的謙抑性原則，并以此為指導正確處理司法實踐中所面臨的具體問題。

一、侵犯公民個人信息罪的價值取向與利益衡量

（一）理解該罪的基本立場

在當今時代，公民個人信息是重要的生產要素和珍稀資源，因而收集和分析各類信息成為必要，這催生了大數據的運用，獲取和分析數據信息成為社會運行的常態。商家為了進行精準營銷，會在其經營過程中利用自己提供的商品或者服務有意識地收集個人信息，甚至還會同其他商家進行交換、分享等，以便于進行個性化定制活動。各地建立了很多數據交易公司，以實行數據信息的共享和利用。除作為經濟實體的商家外，國家層面的社會治理和管控的科學化水平也有賴于大數據的應用，通過大數據分析，政府可以更理性科學地做出決策。因此，大數據的應用和發展，對于促進社會進步、經濟發展以及提高政府綜合治理水平，都具有重要的作用。從某種意義上說，大數據是國家重要的戰略資源，也是科技創新的重要增長點。

個人信息也是信息經濟健康發展的要素，而個人信息是否安全直接影響著信息經濟能否向好發展。動用刑罰手段對個人信息進行保護，具有迫切的現實需求。公民個人信息的安全固然重要，但也不能因噎廢食。尤其是在當前大數據相關行業的發展如火如荼的形勢下，更應當處理好二者的關系。在大數據和云計算的時代背景下，包括公民個人信息在內的各種信息要想創造價值，必須能夠自由地流動和交易，而在這一過程中不可避免地會涉及公民個人信息的保護邊界問題。毋庸諱言，公民個人信息的保護與大數據產業發展之間存在一定的張力，解決二者矛盾的有效途徑即是通過制定和適用相關法律，為兩者的劃分提供相對清晰的標準。我國信息產業的發展與公民個人信息的保護，必須通過良好法律框架的構建來加以協調。在對侵犯公民個人信息的犯罪行為進行有效打擊的同時，應當考慮其對大數據相關行業的發展所可能產生的消極影響，為大數據應用創造較為寬松的法律環境。

兩高的《解釋》作為司法實踐中認定該罪的重要參考，無疑具有最為顯在的指引作用。《網絡安全法》作為我國第一部涉及網絡安全管理的基礎性法律，對公民個人信息的保護做了較為系統的規定。《解釋》的制定注意了與《網絡安全法》的協調，對于不屬于侵犯公民個人信息的行為進行了較為明確的說明。如《網絡安全法》第四十四條對非法行為進行了限制和禁止，但對于合法出售或者提供公民個人信息的情形則予以認可。《網絡安全法》第四十二條第一款還將征得被收集者同意、匿名化處理兩種行為作為合法利用信息的行為，與之相對應，《解釋》也將這兩種行為排除在“提供公民個人信息”范圍之外，這也體現了其平衡個人信息保護與促進大數據產業發展的立場。因此，對侵犯公民個人信息罪進行理解和適用時，既要懲罰侵犯個人信息的犯罪行為，發揮刑法的威懾和教育的作用，也應保持刑法的明確性和謙抑性，盡可能減少不利于信息產業良性發展的影響。

（二）施行中的建議

我國對公民個人信息的濫用情況十分嚴重，而與信息保護相關的立法則比較滯后，為了有效遏制這一具有嚴重法益侵害性的行為，國家動用刑法進行規制具有現實合理性。對《解釋》的不正確理解和適用，會有損大數據產業的發展，甚至也會對一些廣泛適用的商業規則產生影響。侵犯公民個人信息罪的認定范圍對我國商業活動中的數據交換和數據交易有較大的示范性指引作用，如果在實踐中處理不當，可能會帶來相關行業和產業的萎縮。

首先，應在符合法律規定的前提下，注意對侵犯公民個人信息罪成立范圍的限縮。《解釋》的出臺，填補了侵犯公民個人信息罪在司法適用中的模糊地帶，但我們在適用中也不能被司法解釋所奴役，簡單機械地適用《解釋》的規定。在該罪的具體理解和適用中，應當注意拿捏好保護個人信息與促進大數據產業發展的分寸。對于侵犯公民個人信息罪的具體范圍，有學者提出了限縮的具體路徑：將該罪的法益界定為公民的人格尊嚴與個人自由;對公民個人信息的范圍以法益侵害性進行限制;增加行為目的作為該罪的構成要件要素。這些具體路徑的探討雖然存在爭議之處，但在基本方向上無疑是正確的。

其次，具體適用中應有意識地引導數據行業的合規建設。在大數據時代，平衡公民個人信息的保護與發展信息產業，應注意發揮行業自律的功能，加大企業的責任。當前，公民的個人信息很容易泄露，傳統的保護方式的效果已式微。在平衡個人信息保護與促進數據行業發展之間如能注重發揮行業的有效自律，制定相關行業的實施細則，不僅能夠為認定侵犯公民個人信息罪提供依據，而且可以促進企業建立合規制度，提高數據利用的職業素養。所以，在制度設計的理念層面，“政府不應假定消費者在使用企業的通信工具等產品時主動透露了自己的隱私，那樣就意味著他們授權企業使用這些隱私”。而應當增強數據相關企業、行業的責任感，提升其數據利用的道德意識和良好觀念。因此，侵犯公民個人信息罪的具體認定，在實現良好的法律效果的同時，應注意對行業自律和企業合規建設的引導，進而實現良好的社會效果。

二、信息豁免制度與構成要件的涵攝

在刑法修正案和《解釋》中幾乎沒有明確規定與獲取、使用公民個人信息的豁免制度相關的內容，也沒有指出法律適用中的“例外”情形。毋庸置疑，作為信息資源的一部分，公民個人信息具有極其特殊的地位，往往附帶巨大的經濟價值。基于在保障公民個人信息權利的同時，兼顧互聯網大數據發展的現實需求，雖然相關法律沒有對合理取得、使用公民個人信息的行為予以明確排除，但是在對侵犯公民個人信息罪的構成要件進行涵攝時，應當結合相關的信息豁免制度對非法獲取、出售和提供公民個人信息的行為進行理性判斷，對阻卻構成要件的情形正確地進行識別和認定。

我國公民個人信息保護的法律框架并不完善，相關信息制度也并不成熟，尤其是在信息豁免制度方面。在經濟學和社會學領域存在“后發優勢理論”，該理論認為，“發展中國家收入水平、技術發展水平、產業結構水平與發達國家有差距，可以利用這些差距，通過引進技術的方式來加速技術變遷，從而使經濟發展得更陜。”這也同樣適用于個人信息保護制度的建構，在信息制度豁免方面，我們可以借鑒域外的先進經驗。

（一）靈活運用目的限定原則

目的限定原則在《網絡安全法》上有較為明確和集中的表述。《網絡安全法》第四十一條規定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。”這是對網絡運營者在收集、使用目的上進行的限定，也即符合其目的的行為應當認為是合法使用。刑法第二百五十三條之一第三款規定了“以其他方法非法獲取公民個人信息”的行為方式，《解釋》對其內容進行了具體說明，以列舉的方式將兩種情形認定為“其他方法”。“其他方法”具有兜底條款的屙陛，在具體的認定中可以合理借鑒目的限定原則。當獲取或者收集公民個人信息的行為符合使用目的時，不應當認定為“以其他方法非法獲取公民個人信息”。在具體判斷是否符合使用目的時，應當進行動態的把握。借鑒場景及風險的理念，合理地評估后續的數據收集及處理。具體來說，應從客觀和主觀兩個方面進行考察：從客觀看，后續行為是否增加了原有的風險;在主觀上，考察后續的處理是否超出了用戶的合理預期。如果這兩方面都能得出否定的結論，則可以認為是“合理使用”，可以對此種行為進行豁免。

（二）本人同意的效果

《網絡安全法》第四十一條還涉及本人同意的效果問題。德國的信息保護走在了歐盟的前列，其信息保護的法律和制度對歐盟產生了重大影響。德國刑法中有侵害私密罪，但與我國的侵犯公民個人信息罪存在較大差別，其信息保護的主要法律是《聯邦信息保護法》。盡管整個歐盟境內適用《一般信息保護條例》，但是并沒有到影響《聯邦信息保護法》在德國的普遍適用。因為德國信息保護的立法水平非常高，《一般信息保護條例》借鑒了《聯邦信息保護法》的許多法律制度。德國個^信皂、保護的主要原則是信息控制，由信息主體決定其信息被采集的時間、地點及方式。這種個人對其信息支配和控制的權利被稱為信息自決權，是憲法上人陛尊嚴保障的體現。德國《聯邦信息保護法》在理念上推崇意思自治原則，將信息主體的同意作為合法采集、使用的判斷標準，并詳細規定了信息主體所享有的具體權利。《解釋》第三條明確了未經被收集者同意向他人提供信息的行為屬于“提供公民個人信息”，其內容能否反向推定適用于構成要件的排除值得探討。刑法上的被害人承諾的相關理論可以用于解決在信息主體同意時對行為人的歸責問題。被害人承諾在犯罪論體系中的地位存在—定的爭議，按照德國影響較大的觀點，其屬于客觀歸責的內容，在存在被害人承諾時原則上阻卻構成要件。

原則上講，本人同意可以作為合理使用的條件，一般情況下可以免責。但是也不能進行簡單的處理，在出現社會的一般人難以預見風險、制造風險和風險升高的情形時，如果行為人利用其信息技術優勢對此有認識，應當主動采取造成較小風險的措施和預案。若本人知曉其風險后，明確表示同意接受的，則仍可以視為合理使用，進而以被害人承諾理論排除歸責。

（三）禁止收集原則及其例外制度

在對侵犯公民個人信息罪的行為方式進行認定時，可以結合和參考外國及國際組織關于個人信息保護的禁止收集信息原則及其例外制度，作為行為認定的輔助性參考資料。因為我國信息保護的法律體系并不健全，現有的法律制度及立法水平也有待完善和提高，當出現侵犯公民個人信息的相關行為時，在對行為進行類型化處理的同時，尤其應當適當參考域外的禁止原則與特定情形下的例外規定。《解釋》第四條還將違反國家規定“在履行職責、提供服務過程中收集公民個人信息的”行為認定為非法獲取公民個人信息，在理解和適用這一行為方式時，除了與我國的信息保護的相關法律和制度銜接外，應參考國際通行的信息禁止收集原則和例外收集制度。

經濟合作與發展組織（OECD）、歐盟和德國的信息立法中都包括一些例外的規定。原則上，法律有授權時，才能在一定條件下收集公民個人信息，但收集的條件并不適用于一些特殊情形。如國家機關在履行公共職責，以及新聞媒體和公民個人在監督國家機關公職人員履職情況時，不需要經過信息主體的同意，但諸如種族、健康狀況等敏感信息禁止收集。加拿大《隱私權法》在說明隱私權的范圍時，對于公職人員的職務信息也做了除外規定。因此，為了公共利益的需要或者特殊職業的要求而采集公民個人信息的，不宜認定為非法獲取公民信息的行為。《網絡安全法》第二十八條中規定了網絡運營者對公安機關、國家安全機關負有協助義務，可以視為信息收集和信息提供的例外制度。此外，美國在《消費者隱私權利法案（草案）》中建立了信息的“安全港機制”，德國對此也有相關討論。據此，在立法和監管的過程中，應鼓勵相關行業根據法律的原則自行制定實施細則，調動多方主體的參與，增強法律與制度的靈活性，并賦予這些細則的強制效力和免予直接執行立法條文的豁免權，以促進對法律的正確實施。從而，在認定信息行業的參與主體是否存在非法獲取公民信息的行為時，應當充分考慮其在尊重法律原則前提下所制定的通行的行業細則，以彌合法律的高冷與行業規則的世俗。

三、公民個人信息的內涵和范圍

關于公民個人信息的內涵和范圍，一直存在爭議。從構成要件要素的分類而言，公民個人信息屬于規范的構成要件要素。張明楷教授曾對其在實踐中的困境進行描述：“法官不僅需要判斷案件事實是否符合構成要件，而且需要以特定的違法性為導向，以某種規范為前提理解構成要件要素和評價案件事實。”因此，公民個人信息的這一構成要件要素的屬性自身造成了理解和認定上的困難。即便是《解釋》第一條對公民個人信息的范圍進行了較為明確的規定，在具體的適用中仍應當注意其規范性的一面。為平衡公民個人信息保護與數據產業的發展，在認定公民個人信息時，應注意與《網絡安全法》等相關個人信息保護法律的銜接，把握其核心內涵，合理確定其范圍。此外，還要結合相關的信息豁免制度，適當增加相關要素，對不宜納入保護范圍的信息予以排除和限縮。

（一）公民個人信息的界定

關于公民個人信息的內涵和范圍，國外立法中的規定也存在較大的差異。如日本在《個人信息保護法》中采取了個人信息的概念，美國的《隱私法》將個人信息納入隱私權的保護范圍，歐洲國家則在立法中采用個人數據的說法。我國理論界則存在以下觀點：廣義說認為可以識別出特定個人并與其有關聯的一切信息都是個人信息，包括公民個人身份、財產狀況及個人隱私等方面;識別說則界定為可以用來識別公民個人身份的姓名、職業、年齡、婚姻狀況、學歷等信息;隱私說則將其限定在與個人隱私相關的范圍。盡管上述觀點在表述上有所不同，但其內涵和基礎是相同的，即“識別性”是個人信息的核心特征。《解釋》中對于個人信息的界定，大體上采用了“侵犯公民人格權犯罪問題”課題組的觀點，將公民的個人信息的內涵確定為能直接指明或間接推斷出公民個人身份的信息，不僅包括能識別公民個人身份的靜態信息，還包括能夠體現公民行蹤的動態信息;在立法方式上，采取概括加列舉的方式，以適應社會的發展需求等。這為解決司法實踐中出現的疑難問題提供了標準。

就公民個人信息而言，以“可識別性”作為其本質屙陛，將單獨或者與其他信息結合反映特定人身份或者活動的信息都包括在內，具有其合理性。從與其他相關信息保護法律的結合來看，《解釋》對公民個人信息的界定考慮了與《網絡安全法》的銜接，并吸收了司法實踐中的做法。《網絡安全法》第七十六條從內涵和外延兩個方面對個人信息的內容進行了規定，個人信息的主要判斷標準為是否具有“可識別性”，范圍主要集中于‘身份識別信息”。《解釋》采用了《網絡安全法》“可識別性”的本質內涵，但內容上包括身份識別信息和活動情況信息，這考慮了司法實踐中的狀況，適應了公民個人信息保護的現實需求。

與《網絡安全法》相同，《解釋》對公民個人信息的范圍也采用了列舉的方式，但明確包括了“行蹤軌跡”。此處“等”字的用法應為列舉不盡，表示省略的情形與列舉的事物具有性質上的相似性。因此，戶籍信息、手機定位、住宿記錄、通話清單、征信信息、網購訂單信息等，都屬于公民個人信息的范圍，之前的司法案例也持相同的觀點。但是，此處并非像有學者主張的那樣，對公民個人信息進行了范圍上的擴充，只是在符合信息本質屬性的前提下所做的列舉，這些信息必須符合“可識別性”，否則，應不屬于公民個人信息的范圍。這也是平衡公民個^信息保護與數據產業發展的應有之義。

（二）IP地址、cookies等屬于公民個人信息的范疇

除了一些較為明確的信息種類外，還存在一些是否屬于個人信息尚無定論的情形。對于以下信息，如IP地址、cookies等是否屬于公民個人信息的范疇，存在爭議。根據百度的解釋，IP是英文InternetProtocol的縮寫，是為計算機網絡相互連接進行通信而設計的協議。任何一臺計算機只要接入因特網中，遵守這套規則，就能與其他計算機實現通信。如果把計算機比作電話，IP地址就是電話號碼。在現有的技術條件下，知道一個用戶電腦的IP地址，通過這個地址來確定其實際的使用地址，是非常容易做到的事。網絡管理人員常常是通過IP地址來確定網絡故障的位置，廣告商則利用這項技術將廣告進行精準的投放，而這些只是IP地址定位的最基本的應用。當下，在計算機領域，IP地址的實體地理位置定位技術的研究，也在不斷進步，很多人都提出了新的定位技術并開發出IP地址的定位產品。而且通過查詢ID號，能夠進人專用網絡實施相關犯罪，司法實踐中已有相關判例。因此，從公民個人信息“可識別性”實質內涵來看，IP地址完全可以納入《解釋》所規定的行蹤軌跡中去。

Cookies是一種儲存在用戶本地終端上的加密的數據形式，通常是網站為了辨別用戶身份、進行session產生的。它是由Web服務器保存在用戶瀏覽器上的小文本文件，包含了有關用戶的信息。其最基本的應用就是方便用戶登錄，當用戶登錄網站時同意“下次自動登錄”，包含了相關信息的Cookies等就被保存到本地。Cookies常常會關聯到用戶隱私，實踐中發生了大量的與之有關的案例。因此，通過Cookies或者與其他信息的結合，很容易知道特定人的身份信息和特定活動。此外，互聯網的安全狀況致使Cookies自身保存的信息泄露的情況時有發生，造成了比較嚴重的后果。因此，從某種意義上說，Cookies只是讓公民個人信息的載體發生了變化，并沒有改變其內容，將其認定為公民個人信息沒有疑問。此外，歐盟將與數據主體相關的任何信息都視為個人數據（公民個人信息）;而數據主體是指控制者、自然人、法人通過有效運用數據而識別的自然人，這些數據包括了定位數據、網絡標識符等。這也從另一個側面說明了將IP地址、Cookies等網絡空間的信息認定為公民個人信息的可行性。

（三）認定要素補充與范圍限縮

從應然層面上看，《解釋》應明確規定不屬于“公民個人信息的情形”，從正反兩個方面加以規定，以使個人信息的范圍進一步明確。可以采用定性的描述和列舉的示例，對豁免的情形進行具體的闡釋。但是《解釋》并沒有明確規定除外情形，因此在對公民個人信息進行認定時應當把握住其核心特征，對不屬于公民個人信息的范圍進行排除。

實際適用過程中，應當對公民個人信息的范圍做進一步的限縮，以刑法的謙抑性原則為指導，結合生活實際和立法宗旨進行綜合判斷，避免對公民個人信息認定的范圍過寬。司法實務也關注到這一點，引發了從適用的技術層面以匿名化和情景判斷為標準進行的探討。在具體的判斷標準上，有學者提出，“應同時考慮個人意愿與社會評價。”這對于我們認定公民個人信息有一定的借鑒意義。在具體認定時，首先應當考慮本人意愿，即本人是否同意其個人信息被公開，故意炒作的除外，如追求曝光率和粉絲數量的主播“網紅”等;其次要考慮是否具有保護的必要或價值，如果該信息的泄露會給公民個人的生活造成重大影響，那么就應該納入刑法的保護范圍。

司法實踐中，涉案信息的私密性也可以作為考量的要素。如對于行蹤軌跡的認定上，需要考慮其是否具有私密性，進而確定所涉信息是否值得刑法保護。在進行甄別時應注意把握一定的原則，遵循可行的方法。具體的審查過程中，應當以一般人的觀念為標準，確定信息中的內容是否具有私密性;根據社會發展的客觀情況，來判斷該信息是否應當保密;在判斷的時點上，應當站在行為時的立場，以行為當時的主客觀情狀來加以判斷。盡管公民個人信息的內涵和外延有了較為明確的規定，但在實際辦案過程中仍然存在難點，如信息的數量和是否真實有效，目前尚未有可行的科學方法進行驗證，這也加劇了此類案件認定上的困難。

四、關于“違反國家有關規定”的理解

在侵犯公民個人信息罪的認定上，涉及對“違反國家有關規定”的理解。有觀點將“違反國家有關規定”的功能定位于提示違法性，并闡述了其在違法性評價和責任評價階段所應具有的意義。筆者認為，違反國家有關規定為該罪的構成要件要素，形塑了該罪的不法類型。侵犯公民個人信息罪屬于法定犯，對其認定首先需要借助前置的法律規定的內容。公民個人信息的保護與數據產業發展的邊界集中體現在是否違反國家有關規定上，構成要件涵攝中對于相關豁免制度的參考，也離不開對這一構成要件要素的解讀。需要注意的是，這一構成要件要素在兩個修正案中的表述是不同的，《刑法修正案（七）》在條文中的表述為“違反國家規定”，而《刑法修正案（九）》將其修改為“違反國家有關規定”。二者僅僅是表述的不同還是存在內容上的差異？有學者將《刑法修正案（七）》中的“違反國家規定”限定為違反法律及行政法規，并將刑法第九十六條的規定作為參照，從該條來看，“國家規定”的位階應為法律或者行政法規，因此，“違反部門規章、地方性法規、地方政府規章等規范性文件，不是構成本罪的前提。”而《解釋》的第二條明確了“國家有關規定”應包括法律、行政法規和部門規章。

首先，從罪狀類型上看，“違反國家有關規定”屬于空白罪狀，是認定本罪不法的前提。采用空白罪狀的方式，要求其構成要件的認定必須與前置法的規定相聯系。隨著社會信息化進程的加快，信息的內容會不斷擴充。采用空白罪狀的立法方式可以適應社會形勢的發展，對于保護公民個人的信息安全具有工具性價值，且能夠保證刑法的穩定性。但是由于空白罪狀所固有的特點，會與罪刑法定所要求的明確性產生一定的沖突，因此對于這一構成要件要素應適當進行限縮。

其次，侵犯公民個人信息罪的法益屙陛也會影響侵犯公民個人信息罪的范圍。有學者以被害人教義學理論為分析框架，得出了侵犯公民個人信息罪的法益具有公共性的結論。還有人結合大數據環境將侵犯公民個人信息罪的法益界定為信息專有權，是一種集體法益。如果將其理解為超個人法益，就會使該罪的適用范圍擴大。因此，有觀點將個人信息權中的信息自決權作為本罪的法益，以發揮其甄別信息與保障自由的機能。盡管本罪的法益具有模糊性，但該罪條文處于侵犯公民人身權利、民主權利罪一章中，因此本罪的法益宜界定為個人法益，這也要求對“違反國家有關規定”的范圍應當加以限定。

最后，從具體的技術操作層面上看，對“違反國家有關規定”的內容也不應做擴大理解。有學者對“違反國家有關規定”限縮的具體途徑進行了討論，認為“國家有關規定”的范圍應當包括規章在內，只是對規章的內容進行了限制。筆者認為，公民個人信息的范圍十分廣泛，因此，需要有法律、行政法規的專門、明確而具體的規定。對“違反國家有關規定”不能做較為寬泛的一般意義來理解，應注意其與其他罪狀中相同表述的區別。刑法第九十六條對“違反國家規定”的含義做了明確規定，因為刑法總則對于分則具有指導意義，分則具體犯罪的構成要件的成立，應以總則為指導。因此，在界定“違反國家有關規定”這一空白罪狀所參照的規范依據時，不宜超越“國家規定”的范圍。換言之，《刑法修正案（七）》與《刑法修正案（九）》在具體內容上是一致的，僅僅存在表述上的差異。就效力而言，部門規章的效力較低，而且其制定程序也較為粗疏，在內容上甚至存在抵牾之處。如果以部門規章等作為依據，可能會發生適用上的混亂，違反刑法的謙抑性。大多數規章對公民個人信息的保護是非常散亂的，實際上也難以起到強化公民個人信息保護的作用。如果將“國家有關規定”的范圍擴大到規章，那么地方性法規等與其效力相當的規范怎樣處理，也是比較難以判定。

此外，將“國家有關規定”采用寬泛的理解，無疑會給相關信息產業帶來巨大的負擔，使其在產業的創新方面趨于保守，喪失其作為新興產業應有的活力。在具體構成要件的涵攝上，也應當將“違反國家有關規定”與相關的信息豁免制度結合，以限縮侵犯公民個人信息罪的成立范圍。有學者以整體法秩序為視角，將缺乏前置法禁止依據的信息主體同意出售信息的行為予以出罪。所以，如果將部門規章也納入“國家有關規定”，則在具體的構成要件涵攝中，會影響到相關信息豁免制度的參考，不利于對阻卻構成要件的事由進行正確的認定，進而會不當擴大該罪的處罰范圍。因此，《解釋》將“國家有關規定”的范圍擴展到部門規章，這一做法值得商榷。

五、結語

在當前侵犯公民個人信息的犯罪高發，并日趨嚴峻的情況下，加大對公民個人信息的保護力度是正確的選擇。侵犯公民個人信息罪是預防刑法的體現，具有處罰的早期化和法益抽象化的特征。因此，在對犯罪進行打擊的同時，也應當保持理性和克制，抑制刑罰邊界擴張的沖動，遵循刑法的謙抑原則。在信息化時代，信息產業不僅具有顯著的經濟價值，也關系到國家數據戰略的實施以及社會治理水平的提高。因此，在理解和認定侵犯公民個人信息罪時，應當以兼顧公民個人信息的保護與數據產業的發展為價值指引。要妥當地處理好二者間的沖突，消弭其間的張力，需要法律的相關規定為其劃定邊界。應當將兩高的《解釋》與《網絡安全法》有機銜接，在符合法律規定前提下，對侵犯公民個人信息罪的成立范圍進行限縮，同時引導和促進數據行業進行企業合規建設。在我國信息保護的法律框架并不健全的現實圖景下，對于該罪構成要件的涵攝應注意參考相關的信息豁免制度，從而正確認定阻卻構成要件的情形。如靈活運用符合目的限定原則、考量本人同意的效果、遵循禁止收集原則及例外制度等。堅守刑法的介入應當理性克制的立場，以兼顧數據產業的發展與公民個人信息保護的價值理念為指導，通過結合信息豁免的相關制度等進行構成要件的涵攝，從而實現對公民個人信息及“違反國家有關規定”的限縮解釋。