侵犯公民個人信息罪研究

洪乾賀

(中國社會科學院研究生院 法學系， 北京 102488)

為應對日益突出的個人信息泄露以及隨之衍生的犯罪問題，我國于2015年在《中華人民共和國刑法修正案(九)》(以下簡稱：“修九”)中規定了侵犯公民個人信息罪。2017年，最高人民法院、最高人民檢察院聯合出臺《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)，將與公民個人信息犯罪有關的司法實務經驗提升為法律規范，以期更好地指導相關案件的處理。在此背景下，諸多學者和實務人員對侵犯公民個人信息罪展開研究和探討，在侵犯公民個人信息罪的法益、侵犯公民個人信息罪的構成要件、相關罪名之間的區分等方面，都取得一定成果。同時，也有些地方需深度思考，如單方面將侵犯公民個人信息罪法益歸屬為個人法益或超個人法益是否合適，能否實現理論與實踐的融洽；“識別說”標準如何把握等。本文基于此內容展開相關論證。

一、侵犯公民個人信息罪的法益

法益即為刑法所保護而又被犯罪行為所侵犯的權利。法益并非僅是抽象的概念，它對于具體罪名的理解和適用具有指導意義。同時，法益也只有結合特定罪名時才有意義。在立法機關規定侵犯公民個人信息罪，借以專門保護公民個人信息以后，明確本罪所保護的法益就極為重要。關于侵犯公民個人信息罪的法益爭論頗多，概括起來可分為個人法益說與超個人法益說兩種，而且在各學說內部也有爭論，筆者將分而述之。

(一)個人法益說

1.隱私權說。在本學說的視野下，侵犯公民個人信息罪意圖保護的是隱私權，即公民個人信息彰顯的隱私權屬性，甚至期待本條能發揮侵犯個人隱私罪或泄露個人隱私罪的功能[1]。此說認為應通過隱私權的形式對公民個人信息加以保護。生理信息、學歷、家庭住址、社會關系等公民個人信息都屬于公民個人隱私，將公民個人信息作為一種隱私權加以保護能夠發揮隱私權排除他人非法干擾，進而實現維護公民生活安寧的機能[2]。此外，還有論者從侵犯公民個人信息罪在刑法中所處的位置展開論述，認為立法者將侵犯公民個人信息罪這個罪名放在刑法第253條之一進行規制，就體現著對個人隱私權保護的價值追求，因此，只有個人信息中體現著個人隱私權的那一部分信息才屬于刑法保障的范圍[3]。上述論證雖具有一定合理性，但是并不全面和準確。一方面，公民個人信息遠非“隱私”一詞所能完全涵蓋，公民個人信息應是公民隱私的上位概念。“隱私”一詞本身就具有明顯的范圍限制，所謂“隱私”，是指個人所不愿公開的信息，強調的是私密性，其范圍受約定俗成的社會觀念的限制[4]。而公民個人信息的涵蓋范圍遠大于隱私的范疇?，F實中有大量處于公開狀態的公民個人信息。如，一些服務性的商家、店鋪為招攬生意，方便顧客及時聯系，便將店鋪的老板姓名和手機號碼打印于廣告牌上，此時店鋪老板的姓名和手機號就完全處于公開狀態，但我們無法說店鋪老板個人信息不受保護?！半[私權說”不當限縮了公民個人信息的保護范圍，不符合市場經濟時代信息主體積極使用其個人信息的社會特征，不利于公民個人信息的保護。另一方面，侵犯公民個人信息罪在刑法分則所處的位置與其保護范圍沒有邏輯關系，以罪名所處的位置而主觀限縮侵犯公民個人信息罪的保護范圍是沒有正當性的。

2.財產權說。“財產權說”認為，個人信息是一種無形財產，已經成為社會中一種重要且稀缺的資源，具有重要的商業價值，因此公民允許他人使用自身信息實質上可以理解為財產性質的交易[5]，用戶以提供個人信息的方式獲得產品、享受服務，本質上是一種財產權的交易。該論者又通過個人信息的稀缺性和個人信息商業化使用的現實進行論證。不可否認，公民個人信息已成為公民個人獲取服務的前提，但將其簡單化為財產權性質的交易則不甚妥當。購買火車票、飛機票，郵寄物品，辦理護照等都需提供公民個人信息，但是提供公民個人信息不是獲取相應服務的對價，除提供公民個人信息外，我們仍需支付相應貨幣，此時仍是貨幣與服務之間的交易而非公民個人信息與服務之間的交易。而且，在此交易中，用戶所提供的個人信息僅限于本次服務使用，信息收集主體也僅有在此次服務中使用的權利以及永久妥善保存的義務。若超出此次服務目的將獲取的信息用作他圖則是侵犯公民個人信息的行為。由此，將涉及公民個人信息的交易理解為財產權的交易則不甚合適。另外，某些公民個人信息的人身依附性極強，是無法與公民個人相脫離的[6]，也是無法按照一般財產進行交易的。如公民的學歷、所獲榮譽、社會關系等，屬于公民個人信息，也應受到法律的保護，但無法借用對財產的保護方式來對其加以保護。因此，將公民個人信息視為一種財產，忽略了個人信息與信息主體之間的緊密依附性，人為地割裂它與信息主體之間的關系，而且對某些公民個人信息的保護也不具有解釋力。

3.人格權說?！叭烁駲嗾f”亦有支持者。如王利明教授認為公民個人信息可以理解為個人信息權，而個人信息權本質上是人格權，保護公民個人信息其實就是保護公民的人格尊嚴[7]；高富平教授認為，個人數據保護是在憲法層面對個人基本權利的保護，其保護人的尊嚴所派生出的個人自治(自由)、身份利益(正確識別)、不歧視(平等)利益[8]。現實中確有不少不法分子使用公民個人信息制作招嫖卡片侵犯信息主體的人格尊嚴，給信息主體造成嚴重精神傷害的案例。從此種意義上來說，將公民個人信息理解為一種人格權也基本符合情況。但是人格權說的顯著缺點是太過寬泛，而且一些純財產類信息如銀行交易流水并不能為人格權所包含。再者，法益具有區分此罪與彼罪的功能，人格權是一個屬概念，內部包含各種權利，若將人格權理解為本罪的法益，則有些泛化。例如，侮辱罪、誹謗罪與強奸罪均是侵犯公民人格權的行為，但在每種罪中具體的法益是不同的。侮辱罪、誹謗罪的法益是他人的名譽[9]916，強奸罪的法益是婦女(含幼女)的性的自主決定權[9]867。名譽和性自主權雖都屬于人格權，但其保護的人格權的方面是不同的，將公民個人信息認定為人格權并不合適，不能發揮法益應有的功能。

(二)超個人法益說

在個人法益說之外，有論者提出了超個人法益理論，認為侵犯公民個人信息罪所欲保護的并非個人法益，而是一種個人法益之上的超個人法益[10]。此論者從公民個人信息中“公民”一詞入手，認為“公民”一詞不僅包含中國公民，而且包括外國人、無國籍人，保護范圍廣闊。再者，分析侵犯公民個人信息罪所造成的現實侵害狀況，侵犯公民個人信息行為的危害后果不僅局限于公民個人信息本身，而且是一系列后續犯罪行為的前提條件，精準詐騙、敲詐勒索、綁架、故意傷害、殺人等犯罪借助侵犯公民個人信息行為更加猖獗。另有論者在此基礎之上進一步細化，認為侵犯公民個人信息罪的客體是公民個人信息的正常流轉狀態，并認為此種表述更符合犯罪客體具體化、明確性的要求[4]。此外，還有學者認為侵犯公民個人信息罪的法益是社會成員對個人信息安全的信賴[11]。對于侵犯公民個人信息罪的超個人法益屬性，筆者持支持態度，但對其部分論證不太認可，其論證在邏輯上并不能成立。首先，侵犯公民個人信息罪中“公民”一詞是作為個體概念使用的，與故意殺人罪中的“人”具有同樣含義，二者都不僅指向中國公民，也指向外國人、無國籍人。但從未因為“人”包括外國人、無國籍人而認為故意殺人罪所保護的是超個人法益。再者，侵犯公民個人信息行為雖然為后續犯罪如詐騙、綁架、敲詐勒索提供了幫助，但此只能論證侵犯公民個人信息行為的社會危害性嚴重，刑法介入的必要性強，對于確定侵犯公民個人信息罪的法益并無關系。而且后續詐騙侵犯的都是公民諸如財產權、生活安寧權等具體、切實的個人法益，并不是超個人法益，不能因為后續犯罪涉及被害人眾多而將眾多被害人的個人法益概括理解為超個人法益。最后，針對論者提出的公民個人信息正常的流轉狀態，筆者認為，在現在語境下，公民個人信息正常流轉的標準并不明確，何為正常流轉、何為非正常流轉并非不言自明，用此事實性語言作為罪名法益并不合適，而且此理論本身與人格權說一樣，太過寬泛，無法發揮法益應有的功能。

(三)復合法益說的提倡

無論是個人法益說，還是超個人法益說，二者的觀點都有道理，但并不全面。筆者認為將其理解為復合法益說更為合適。復合法益說并非筆者首創，學界一般認為復合法益說是上文所述個人法益說中人格權說與財產說的復合[12]35。本文所提倡的復合法益說是指個人法益與超個人法益之間的復合，當然也并非兩者的簡單累加，事實上二者也無法累加。筆者針對個人法益采用了新的論證方式。從事實層面上講，侵犯公民個人信息罪所發揮的更多是超個人法益保護的功能，絕大部分的信息主體并未因個人信息被侵犯而遭受切實的損害，自然也不需保護。之所以會發生個人法益與超個人法益之間的爭論，是因為事實與法律之間的沖突，侵犯公民個人信息罪被規定在個人法益保護一章，而現實卻發揮超個人法益保護的功能，而且，從侵犯公民個人信息罪自身規定來看，其所侵犯的也主要是不特定多數人的法益。這勢必會發生解釋論上的沖突。有論者精準地提出，把侵犯公民個人信息罪作為第253條之一放在第253條私自開拆、隱匿、毀棄郵件、電報罪之后，具有某種簡單比附式風格，而并不關心社會新問題的理論解讀或方法論立場[13]。這是把不屬于一個解釋體系中的問題，強行放進一個體系中去，解釋起來自然首尾兩端，難以兼顧[13]。因此，在傳統體系解釋方法無法對侵犯公民個人信息罪個人法益作出令人信服的解釋和論證時，就應結合罪狀本身的特點和罪名實際發揮的作用，采用新的方式展開論證，以實現法律自身的統一。

1.個人法益的體現。筆者認為，在上文所述個人法益說理論中，典型的缺陷是只注重公民個人信息中的部分而忽視了全體。隱私權說、財產權說以及人格尊嚴說均有一定的道理，但是在實際運用中只對部分公民個人信息的保護具有解釋力，對于其他類型的信息則無法提供有效的理論支持。出現如此情形與論者的論證路徑有關。一方面，持個人法益說的論者往往從公民個人信息自身出發，如概念、公民個人信息的種類等，但公民個人信息自身種類繁多勢必會造成以公民個人信息種類為基礎的理論的缺漏與不足，同時這樣拋開侵犯公民個人信息罪僅針對公民個人信息展開討論勢必會導致論證的泛化。另一方面則是上面所述的立法模式自身的不科學，因侵犯公民個人信息罪位于保護個人法益的章節之中，個人法益論者為尋求體系上的完整，就只能找尋各種個人法益將其解釋為侵犯公民個人信息的法益，但這種削足適履式的解釋自然不能自圓其說。

侵犯公民個人信息罪對公民個人法益具有保護作用自然毋庸置疑，關鍵在于如何進行合理論證。在否定從公民個人信息本身和體系解釋方法的論證路徑后，筆者試圖從侵犯公民個人信息罪對公民個人法益的保護模式展開論證。筆者認為侵犯公民個人信息罪對公民個人法益保護采取的是一種危險犯的保護模式即侵犯公民個人信息罪是一種危險犯，即實施本罪所規定的行為就能對個人法益造成危險。刑法通過規制侵犯公民個人信息的行為即獲取、出售及提供行為實現對公民個人法益的間接保護，亦如有些學者所說的“外圍式立法”[14]。如刑法第六章第六節破壞環境資源罪，其直接法益是生態法益，但通過打擊破壞環境的行為也間接地實現了對個人法益如生活安寧權的保護。侵犯公民個人信息的行為包括三種，即非法獲取、出售及提供行為。上述三種行為本身上只干涉了公民個人信息的物理流轉，并不能對公民個人信息所代表的具體個人法益產生直接侵害，如甲將其從快遞公司竊取的包含公民姓名、手機號碼、住址的公民個人信息出售給乙，甲、乙均構成侵犯公民個人信息罪，但事實上信息主體的具體法益并沒有因為甲、乙之間的買賣行為而受到侵犯，然而通過打擊非法獲取、出售、提供公民個人信息的行為，阻斷公民個人信息的不正常擴散與流轉能夠起到間接保護公民個人法益的效果。通過上述論證，侵犯公民個人信息罪個人法益的一面就能夠證成。

至于侵犯公民個人信息罪保護的個人法益到底為何，是否能找到一個具體的名詞將其具體描述，筆者認為是不可能的，也是沒有必要的。公民個人信息蘊含著復雜的法益屬性[15]，正如我們無法明確肯定破壞環境罪所保護的個人法益一樣，我們也無法確定侵犯公民個人信息罪所保護的個人法益。若非要明確的話，筆者認為侵犯公民個人信息罪所保護的個人法益是公民個人信息所能征表的所有個人法益，既包括個人隱私法益，也包括個人財產法益，其所保護的個人法益即是公民個人信息所能征表的法益，在具體案件中則會因個人信息種類、數量的多寡而不同，作此理解是符合其危險犯保護模式的。

2.超個人法益的體現。筆者認為侵犯公民個人信息罪的超個人法益是公民對于信息安全的信賴。新技術的發展導致公民個人信息的收集、海量存儲、極速傳輸成為易事，但也導致信息風險增加[16]。侵犯公民個人信息所涉及的信息數量動輒數十萬、上百萬乃至億計且來源多樣，對于數量如此之大、來源如此之廣的公民個人信息集聚體，自然不能將其簡單地理解為個人法益的表征。筆者認為，確定罪名所保護的法益時需以行為類型所能直接侵害到的且影響最為嚴重的法益即主要法益為標準。如阻礙軍人執行職務罪、阻礙軍事行動罪，其所直接危害的是國防利益，雖然也可能會發生軍人受到傷害的情況，但是此并非影響最為嚴重的利益。具體到侵犯公民個人信息罪，侵犯數量如此之多的公民個人信息，其所直接造成的危害是廣大公民的恐慌，也就是上文所述的公民對于個人信息安全的信賴。2018年8月份發生了華住酒店住宿信息泄露事件，涉及1.3億人的個人信息及住宿記錄，雖然性質惡劣，社會危害巨大，但是信息泄露所造成的只是一種宏觀的、無法具量的危害，即每個人都覺得有危害但每個人又沒有感覺到具體的危害(因泄露而引發的后續犯罪的危害并不能直接歸因于泄露行為)。而公民上述那種模糊的危害感和恐慌感則可理解為公民對信息安全信賴的喪失。

當今時代，個人信息是公民享受服務的前提，如郵寄物品需要身份信息、使用應用軟件也需要提供個人信息。在人類創造了一個以提供公民個人信息為前提的社會的同時，人類也要求所提供的公民個人信息應始終處于安全狀態。公民提供個人信息換取服務時是以信息安全為前提的，認為信息會始終處于安全狀態之中?；诖诵刨嚕癜凑兆约旱哪康暮鸵蟀残奶峁┬畔⒉氖孪鄳顒?，而且相信因自己所從事的活動而產生的信息也是安全的。正是因為公民對于信息安全的信賴，社會才能夠正常運轉。從現代社會的角度來說，以陌生人社會為特點的電商經濟才會如此發達。侵犯公民個人信息的行為正是打破了公民對信息安全的信賴，造成全社會的恐慌不安，對社會秩序產生負面影響。通過打擊侵犯公民個人信息的行為，將公民個人信息恢復至安全狀態中，以實現公民對信息安全的信賴。因此，在侵犯公民個人信息罪超個人法益方面，筆者認為其保護的直接法益是公民個人對信息安全的信賴。

二、公民個人信息的范圍

公民個人信息作為侵犯公民個人信息罪的犯罪對象，其內涵和范圍直接決定著本罪的適用范圍和邊界，刑事立法和理論上均以“識別說”作為公民個人信息的認定標準，但“識別說”本身部分內容并不能在實踐中完整落地，需進行一定的修改。此外，公民個人信息處于公開狀態與否并不影響其是否成為侵犯公民個人信息罪的保護對象，易言之，無論公民個人信息公開與否均應被刑法所保護。

(一)“識別說”的修正

公民個人信息并非“罪刑法定”和“不真正不作為犯”式嚴格的法學概念，它原存在于日常生活之中，因保護公民個人信息的社會需要而被刑法吸收進來。因此當談到“公民個人信息”時，法學領域內法律學者和法學領域外的普通人似乎都能有所感觸，卻難以用一句話將其精準表述出來。事實上，關于公民個人信息的內涵和外延一直都有爭論，各種稱謂和理論學說也是層出不窮，稱謂上有歐盟的“個人數據”和美國的“個人隱私”等。在理論上探討公民個人信息認定的學說則可概括為“隱私說”“關聯說”“識別說”三種。

隱私說。該說認為公民個人信息屬于隱私范疇，在認定公民個人信息時要加以限縮，只有“與個人隱私相關的個人信息才能成為侵犯公民個人信息罪的犯罪對象”[3]。此學說具有明顯的缺陷，在其視野下，公民個人信息的范圍和種類將被不合理地限縮，在公民個人信息的認定上并不可取。

關聯說。該學說主張所有與公民個人有關的信息都可劃歸為公民個人信息，強調從廣義角度來認定公民個人信息，即與個人相關的所有數據資料、個人隱私、電子信息等均屬于個人信息的范疇。從公民個人信息保護的角度來說，此學說無疑能夠最大程度地保護公民的個人信息，但是采用此學說會把諸多并沒有保護必要性的邊角料式信息納入進來，此種信息即便被公布也不會具有社會危害性，就如我們不能將“甲今天在課堂上睡覺”認定為公民個人信息。筆者認為關聯說需要進一步細化，如將關聯信息與公民權益之間的緊密程度作為該學說的標準。

識別說。該學說以單個信息或信息組合能否識別出特定主體作為公民個人信息的認定標準。從比較法的角度看，世界范圍內的公民個人信息保護法對與公民個人信息的定義基本上均遵循著“可識別性”的定義思路[17]。公民個人信息作為一種形式抑或載體只有具體到信息主體這一確定的實質時才能發揮其功能和作用，脫離特定主體的信息是沒有意義和價值的。相較于前兩種學說，識別說在公民和公民自身產生的各式信息找到了一個連接點，將雖由主體產生但不具有識別特定主體可能性的信息排除在公民個人信息保護范圍之外，具有一定進步。

筆者同樣贊同將識別說作為公民個人信息的認定依據，理由如下：第一，從公民個人信息的產生方式看，它來自于公民日常生產、生活、工作和學習，是對公民個人現實生活的映射和反映[18]。公民上班、就業會留下身份信息、社保信息及經濟信息，辦理金融、證券、郵寄等業務會留下銀行卡號、地址等信息，在私家車上安裝導航、行車記錄儀等則會產生自己的行蹤軌跡等信息。公民個人信息種類多樣，反映著公民生活的方方面面，采用識別說符合公民個人信息的產生來源。第二，從本罪的保護法益來看，侵犯公民個人信息罪保護法益是個人法益與超個人法益的復合，而這一切是以信息能夠定位到特定主體為前提的。現實中極為猖獗的電信詐騙正是利用了公民個人信息的可識別性特點。如果公民個人信息沒有可識別性，那么設置侵犯公民個人信息罪也就失去了價值。最后，從規范角度來看，我國法律關于公民個人信息的規定起始于網絡領域，最早可追溯至2012年全國人大常委會通過的《關于保護網絡信息的決定》，其于第一條即以能夠“識別”公民個人身份作為保護的標準。之后，工信部出臺2013年生效的《信息安全技術公共及商用服務信息系統個人信息保護指南》《電信和互聯網用戶個人信息保護規定》《網絡安全法》及針對侵犯公民個人信息罪適用而出臺的《侵息案件解釋》也以“可識別性”對公民個人信息進行規定，可識別性已經界定公民個人信息的核心標準[19]。

但是，筆者認為，對于識別說應做一些修正。識別說雖契合公民個人信息的本質，但在具體適用時有一定的局限性。具體而言，識別說以單個信息或信息組合能否識別出特定主體作為公民個人信息的認定標準。其中的特定主體是指通過涉案信息精準確定到具體的人而非宏觀意義上的社會中的某個對應主體，但是，筆者認為此種對于特定主體的理解過于狹窄，會導致侵犯公民個人信息案件的審理產生爭議。

在(2018)皖0827刑初52號案件中，被告人出售接近16萬條的公民個人信息，但其中的公民個人信息僅為手機號碼和地區，除此之外再無其他信息。本案辯護人提出，本案中的信息僅有手機號碼和地區，無法識別出特定主體，不應被認定為公民個人信息。按照“識別說”的觀點，辯護人的此種說法無疑是正確的，因為沒有人能夠僅憑手機號碼和地區就能識別出信息背后的特定主體。雖然手機號碼普遍實行實名登記，但登記所對應的特定主體只能為通信公司所知曉，通信公司之外的其他主體仍然無法確切得知。因此，此時的公民個人信息僅具有間接可識別性，亦如刑事訴訟法中的補強證據，如果沒有其他類型的公民個人信息進行補充，是無法實現精準定位的，而且本案中也確實無其他類型的公民個人信息。但是如此限制性理解勢必會造成公民個人信息保護力度的降低。侵犯公民個人信息罪的保護法益為超個人法益與個人法益的結合，從公民個人信息法益保護的角度來說，我們可以認為上述僅具有間接可識別性的公民個人信息是能夠對侵犯公民個人信息罪所欲保護的超個人法益即公民對信息安全的信賴造成損害的。在上述案例中，手機號碼雖然不能精準確定社會中的具體個人，但是如此大量的手機號碼泄露勢必會給公民帶來不安，手機號碼的所有人一直處于不安全的狀態，不定在某個時候就會遭受不法分子的侵擾。在公民個人法益方面，某些犯罪并不需要精確的個人信息，手機號碼就足以實現犯罪，如“猜猜我是誰”式電信詐騙僅憑手機號就可以對公民個人法益造成侵害。若將識別說中的“特定主體”狹義理解為具體的某個人，則會不當限縮公民個人信息的保護范圍，也不符合侵犯公民個人信息罪的保護法益。采用廣義的方式理解“特定主體”，一方面符合侵犯公民個人信息罪保護公民個人信息安全的立法目的，另一方面也與侵犯公民個人信息罪所保護的超個人法益屬性相協調。

(二)公開狀態下公民個人信息的保護性

實務對于公開狀態下的公民個人信息是否應該保護產生了爭議。否定論者認為企業公開信息中的自然人信息不受刑法保護，其主動公開就能夠表明信息權人的態度，其他主體對其相關信息合理合法的利用屬于公眾合理的期待范圍[20]，依法公開的信息本就意味著向社會所有人公開，他人作為有權獲取該信息的主體，即使行為人向他人出售或提供，這種出售或提供也不能認為違反了國家有關規定[21]，刑法無需介入此種行為。而肯定論者則認為公民個人信息是否應受保護與其所處的狀態無關，無論是處于公開、能為他人所得的狀態，還是處于封閉、不易或不能為他人所知的狀態均應受到保護。

筆者贊同肯定說，認為處于公開狀態的公民個人信息仍然具有刑法保護性，公民個人信息的狀態與其是否應納入侵犯公民個人信息罪保護范圍并無實際關聯。我們并不能從公民個人信息處于公開的狀態就認為其不受刑法保護，可由他人任意使用，正如我們不能因為一輛汽車長時間閑置、布滿灰塵就允許所有權人之外的其他人占有、使用或處分此汽車。一方面，從法條規定來看。侵犯公民個人信息罪僅規定“公民個人信息”一詞，并未對其范圍做出限制，《解釋》采識別說明確公民個人信息含義，亦并未對公民個人信息的范圍做出限制。易言之，侵犯公民個人信息罪對公民個人信息實行的是無差別、無限制的保護，只要符合識別說的標準，能被認定為公民個人信息，就是侵犯公民個人信息罪的保護對象。根據公民個人信息所處的狀態來決定是否應受刑法保護不當地限縮了侵犯公民個人信息罪的保護范圍，有違立法本意。再者，從侵犯公開狀態下的公民個人信息所具有的社會危害性看。公開狀態下的公民個人信息準確性強且容易獲得，侵犯此類信息的行為所具有的社會危害性更大。信息主體往往為了獲得更大的利益而主動將自身信息置于公開狀態，這些信息具有絕對的準確性和真實性，一旦被不法分子收集、整理及出售，將給信息主體帶來更為直接、明顯的損害。如個體戶將自身的信息(姓名、手機號)公布于廣告牌，目的是為了方便顧客聯系自己，進而帶來收益，但是被他人獲取及出售后所得到的往往不是顧客的咨詢而更多的是騷擾乃至詐騙電話，對信息主體造成危害。如果因信息處于公開狀態而不予保護，反而會縱容犯罪，導致公民個人信息類犯罪更加嚴重。

三、“違反國家有關規定的理解”

理論上看，犯罪有自然犯與法定犯之分，侵犯公民個人信息罪犯罪對象雖為人身依附性較強的公民個人信息，但整體來看，將其歸為法定犯較為合適。法定犯，又稱為行政犯，侵犯公民個人信息的行為是否合法需結合前置法對公民個人信息保護的規定。我國對公民個人信息進行保護的規范散見于其他法律、行政法規之中，所以刑法第253條對此前置法做了輪廓化的規定即“違反國家有關規定”。在現行法律體系龐雜的條件下有必要對其具體內涵加以剖析和理清，以實現刑法明確性的要求[22]。在侵犯公民個人信息罪之前，刑法中只有“違反國家規定”而未有“違反國家有關規定”，而且刑法于總則第96條對“違反國家規定”作出明確解釋，因此從體系解釋的角度出發，在理解分則“違反國家有關規定”的具體含義時則必須與“違反國家規定”的含義保持一致。

1．“違反國家規定”與“違反國家有關規定”的比較。經檢索，在我國刑法中，“違反國家規定”達30多處，將近20個罪名以“違反國家規定”作為成立犯罪的前提條件。因此，如何理解“違反國家規定”的內涵成為準確定罪的前提。我國刑法第96條對此作了明確規定：“本法所稱違反國家規定，是指違反全國人民代表大會及常務委員會制定的法律和決定，國務院制定的行政法規、規定的行政措施、發布的決定和命令?！毙谭ǖ?6條以立法主體為依據對“違反國家規定”進行劃分，將地方國家權力機關制定的地方性法規和國務院各部委和地方政府制定的行政規章排除在外。

與“違反國家規定”不同，侵犯公民個人信息罪把處罰出售或提供其在履行職責或提供服務過程中獲得的公民個人信息行為的前提條件規定為“違反國家有關規定”。這是刑法中的唯一一處，而且立法部門并未對其具體范圍進行解釋。2017年兩高出臺的《解釋》第二條對其具體含義進行了明確，將“違反國家有關規定”明確為“違反法律、行政法規、部門規章有關個人信息保護規定的”，相較于刑法第96條對“違反國家規定”的范圍，其將“部門規章”納入前置法的范圍之內。

通過上述比較可以看出，相較于“違反國家規定”的范圍，《解釋》擴大了“違反國家有關規定”的內容，將部門規章納入進來，而這樣的做法是有疑問的，它超出了《刑法》第96條的規定[23]?！斑`反國家有關規定”作為刑法中的新規定，應由立法機關即全國人大及其常委對其確切內容和含義進行解釋，其他機關無權對其含義加以闡釋?！督忉尅废祪筛邽槊鞔_侵犯公民個人信息罪在司法實務中的適用而作的司法解釋，雖然效力與法律等同，但其本身并不是法律，其只能在法律的現行規定下進行解釋和闡明，肆意擴大或縮小法律規定的含義都有以司法解釋行立法之嫌疑，有違罪刑法定原則[24]。但從現實角度考慮，兩高先于立法機關對其加以規定，亦有其合理性，而且在已成事實的前提下一味地否決也不利于侵犯公民個人信息罪打擊犯罪功能的實現，因此在法治的原則下對其進行解釋使其回歸法治的渠道則成為應然之舉。

2．對“部門規章”應采取限縮解釋。在選擇對部門規章的解釋方法時，首先要探討刑法第96條將部門規章排除在外的原因，只有這樣才能使得對部門規章的解釋與刑法第96條的規定保持實質上的一致。筆者認為刑法第96條明確將部門規章排除在外，是為了否定部門規章相對于法律、行政法規在適用上的獨立性，而不是完全排除其適用，若部門規章以附屬于法律或行政法規的形式進行適用則是可以的。由此而言，在解釋部門規章時應從附屬性角度進行解釋。當部門規章是在法律或行政法規適用的前提下，以法律、行政法規細化規定的形式而出現時，此時的部門規章是具有附屬性的，并不具有獨立意義。反面來說，在法律、行政法規對公民個人信息保護的某方面未作出規定而部門規章對此方面作出規定時，部門規章不具有附屬性，部門規章不能適用。因此，部門規章的范圍應僅限于本身是對法律、行政法規的細化規定，此種理解正是限縮解釋的方法[25]。在具體如何限縮時，有學者提出采用客觀目的解釋來限縮“國家有關規定”的范圍[12]，這種做法雖也符合法理但是太過瑣碎而不具有現實操作性，變相地增加了法律適用的負擔。因此筆者更贊同第一種做法，即部門規章本身是對法律、行政法規中個人信息保護規定的明確和細化時可直接適用。這一方面符合刑法第96條的實質含義，另一方面操作性更強，法官更易適用。如《消費者權益保護法》第29條，經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意。而事實上《消費者權益保護法》并未就明示收集、使用消費者信息的目的、方式和范圍作出具體規定，因此當出現需要認定經營者非法收集、使用消費者個人信息行為時，若相關部門規章對此作出如何明示收集、使用消費者個人信息的目的、方式和范圍作出細化規定時，則可以援引部門規章。

侵犯公民個人信息罪作為保護公民個人信息的專門罪名，對于遏制和打擊公民個人信息類犯罪具有重要作用。本文針對侵犯公民個人信息罪的保護法益、公民個人信息的范圍等展開討論，以期對本罪的理解提供些許幫助。當然，侵犯公民個人信息罪會隨著實踐而不斷出現新情形、新問題，出現的新問題則需繼續研究。