侵犯公民個人信息罪的空白規范功能定位及適用限度

2021-12-09 00:36:10楊楠

華東政法大學學報 2021年6期

關鍵詞：信息

楊楠

一、問題的提出

二、侵犯公民個人信息罪“違反國家有關規定”的外延之爭

三、侵犯公民個人信息罪“違反國家有關規定”的教義學本質

四、侵犯公民個人信息罪“違反國家有關規定”的適用規則

五、結論

一、問題的提出

為了加強個人信息保護，《刑法修正案（九）》對侵犯公民個人信息罪做了重大調整。其中，作為空白規范的“違反國家規定”被修改成“違反國家有關規定”。2017年6月1日最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱“‘兩高’《信息解釋》”）第2條指出，“違反國家有關規定”是違反法律、行政法規、部門規章有關公民個人信息保護的規定。然而，同屬空白罪狀的表現形式，〔1〕參見劉艷紅：《空白刑法規范的罪刑法定機能——以現代法治國家為背景的分析》，載《中國法學》2004年第4期，第130頁。“違反國家有關規定”與《刑法》第96條“違反國家規定”的外延并不一致，“兩高”《信息解釋》在“法律”和“行政法規”之外，又將“部門規章”納入其中。這看似可以滿足加強公民個人信息保護的現實需要，但卻引發了諸多疑問。“為什么部門規章不屬于‘國家規定’，卻屬于‘國家有關規定’？”〔2〕張明楷：《刑事立法模式的憲法考察》，載《法律科學（西北政法大學學報）》2020年第1期，第61頁。“違反國家有關規定”與“違反國家規定”在罪質認定中發揮的機能是否相同？上述區別是否合乎刑法的基礎教義？這些都一躍成為理論和實務界中亟待解決的命題。

二、侵犯公民個人信息罪“違反國家有關規定”的外延之爭

出于對侵犯公民個人信息行為的有效治理，有學者認為，與“國家規定”相比，“國家有關規定”的范圍更寬，應當包括法律、行政法規、規章等國家層面涉及公民個人信息保護的規定。這有利于根據不同行業、領域的特點，有針對性地保護公民個人信息。〔3〕參見郎勝主編：《中華人民共和國刑法釋義》，法律出版社2016年版，第123 頁。為了解決法律規范的供給不足，該觀點試圖通過充實禁止性規范的內容強化對公民個人信息的保護。在這一立場的導向下，部門規章就被理所當然地作為前置違法性的判斷依據。然而，對于其他犯罪，只有行為違反法律和行政法規且滿足其他條件才可能構成犯罪，部門規章并不能用來判斷前置違法性。有學者走得更遠，甚至認為“空白罪狀所指明的需要參考的法律的范圍和級別并不明確……立法者絕對沒有把罪刑法定之‘法’限制為狹義的法律，而是包括了行政法規、規章和命令以及地方性法規、規章、自治條例和單行條例在內的一切具有普遍效力的法律。”〔4〕李梁：《拒不支付勞動報酬罪的行政附屬性規定研究》，載《政法論壇》2017年第5期，第152頁。如此一來，空白規范可以參見的規范被大大擴張，刑法的處罰范圍也變得愈加寬泛。這雖然迎合“兩高”《信息解釋》所希冀的效果，但也面臨著諸多詰問。

有學者對上述觀點提出質疑，認為從刑法的基本教義考察，司法解釋的這種規定是違反罪刑法定主義的；部門規章的法律層級太低，不能作為刑法的補充性法源。〔5〕參見羅翔：《刑事不法中的行政不法——對刑法中“非法”一詞的追問》，載《行政法學研究》2019年第6期，第77頁。“如果侵犯公民個人信息罪所調整的法益，包含所有部門規章及規范性文件中涉及的公民個人信息的全部內容，其打擊范圍就會有過寬之嫌。”〔6〕張錚：《刑事推定在批量侵犯公民個人信息刑事案件中的司法運用》，載《法律適用·司法案例》2019年第10期，第78頁。隨意擴張犯罪的構成要件要素，既不符合刑法解釋的基本要求，也會導致刑法適用標準的不一致，還因行政部門業務的專業性而喪失中立立場，導致對人權的破壞。〔7〕參見詹紅星：《“違反國家規定”的憲法解釋與司法適用》，載《湘潭大學學報（哲學社會科學版）》2016年第5期，第38-40頁。所以，反對論主張，部門規章不能被納入空白規范的參照范圍中。司法解釋不能根據需要任意擴大犯罪圈，法定犯所違反的前置法的范圍不可擴大至《刑法》第 96條“國家規定”以外的規范。〔8〕參見冀洋：《法益自決權與侵犯公民個人信息罪的司法邊界》，載《中國法學》2019年第4期，第80頁；參見劉憲權：《刑法司法解釋與刑法的沖突適用》，載《法學論壇》2020年第6期，第76-77頁。針對全面擴張空白規范的論斷，更有學者指出：“對于‘國家規定’等法定犯法源，必須嚴格遵守相關規定，反對任意擴張‘國家規定’等形式性要素的范圍，主張具體引用，反對模糊指向，杜絕隨意出入人罪。”〔9〕劉艷紅：《“法益性的欠缺”與法定犯的出罪——以行政要素的雙重限縮解釋為路徑》，載《比較法研究》2019年第1期，第100頁。

相較于前兩種觀點，還有學者采取了折中的路徑，認為：“為了避免‘政出多門’而無所適從，也基于‘國家規定’的參照提示作用，理應將部門規章作限制解釋和狹義理解，排除同級地方性法規、廣義部門規章中的地方行政規章。”〔10〕鄭旭江：《侵犯公民個人信息罪的述與評——以〈關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉為視角》，載《法律適用》2018年第7期，第33頁。持有此觀點的還可參見喻海松：《網絡犯罪的立法擴張與司法適用》，載《法律適用》2016年第9期，第2頁；王文華：《網絡時代公民個人信息的刑法保護》，載《人民檢察》2017年第20期，第55頁。該觀點是在贊同部門規章可以作為法源的基礎上再對之進行限制，只反對將非國家層面的地方性法規、自治條例和單行條例等也解釋進來。可見，這種折中的路徑似乎與支持論更為親和。首先，反對論是針對將部門規章作為侵犯公民個人信息罪的空白罪狀所導致的弊害進行批判和證成，折中說限縮部門規章范圍的觀點無法消弭反對論所指出的理論缺陷。其次，根據制定主體不同，行政規章通常可分為部門規章和地方政府規章，部門規章是指國務院組成部門根據法律和國務院的行政法規、決定、命令，在本部門權限內制定的行政規章。所以，部門規章中自始不包含地方性法規、自治條例和單行條例等。折中說對其外延所作的限制并無實益，只不過是刻意擴張之后又試圖進行“限縮”，由此也導致“限縮”后的外延與概念本身的涵攝范圍并無差別。因此，折中論與支持論在本質上屬于同一理論陣營。

上述對部門規章作為“國家有關規定”的論爭雖不乏合理性，但邏輯上卻不盡周延。“違反國家規定”存在諸多功能，而只有其在作為構成要件要素時，才可能因外延的擴張而背離罪刑法定主義，呈現破壞法秩序統一性的征兆，并存在肆意擴張刑法處罰范圍、不當限制公民自由的嫌疑。反之，當“違反國家有關規定”僅作為提示違法阻卻事由時，引入部門規章不僅不會使實質違法性判斷的功能削弱，反而會通過填補更多的合法事由使出罪機能得以強化。因此，廓清“違反國家有關規定”在犯罪認定中的機能，是判斷部門規章能否成為前置違法性判斷依據的前提，而上述討論均忽略了對這一大前提的外部證成。對此，我們需要以空白規范的相關理論為基礎，結合本罪的構成要件，再進行分析。

三、侵犯公民個人信息罪“違反國家有關規定”的教義學本質

《刑法》中“違反”的意涵并不完全相同。有學者將其劃歸為“提示存在違法阻卻事由”“要求行為違反行政管理法規”“表示未經行政許可”“強調行為非法性質”以及“相關表述同位語”五種類型。〔11〕參見張明楷：《刑法分則的解釋原理》（下），中國人民大學出版社2011年版，第543-561頁。也有學者認為其無非具備兩種功能：一是作為犯罪的構成要件要素；二是發揮增強語感的強調作用。前者具有決定犯罪成立的實質意義，而對于后者，該要素的存在與否，并不影響犯罪成立。〔12〕參見葉良芳：《法秩序統一性視域下“違反國家有關規定”的應然解釋——〈關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉第2條評析》，載《浙江社會科學》2017年第10期，第21頁。既然對“部門規章”的詬病，僅在“違反國家有關規定”作為“要求行為違反行政管理法規”（即作為犯罪構成要件要素）這一功能時才有實益，那么辨別“違反國家有關規定”的規范本質就十分必要了。

（一）“違反國家有關規定”的機能之爭

對于這一問題，有觀點主張“違反國家有關規定”屬于提示違法阻卻事由。因為，《刑法》第253條之一中的違反國家有關規定“是對侵犯公民個人信息罪違法阻卻事由的反向重申，屬于表面的構成要件要素，其價值在于強調對于具有法令行為、業務行為等阻卻違法性事由的行為不成立犯罪”〔13〕于沖：《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，載《政治與法律》2018年第4期，第23頁。。也有學者指出，與交通肇事罪不同，侵犯公民個人信息罪中指明了行為內容，即便將“違反國家有關規定”刪除，其罪狀結構也完整，能夠獨立判斷行為性質。因此，只要實施向他人提供或者出售公民個人信息的行為，都是符合本罪構成要件的行為，就能夠推定為違法行為。〔14〕參見江耀煒：《大數據時代公民個人信息刑法保護的邊界——以“違反國家有關規定”的實質解釋為中心》，載《重慶大學學報》2019年第1期，第155頁。根據上述觀點，如果行為人一旦向他人出售、提供公民個人信息或者將在履行職責或提供服務時獲得的公民個人信息出售、提供給他人，就可推定違法。如果缺乏違法阻卻事由，且行為人可被刑法非難時，該行為就構成犯罪。此外，根據表面構成要件的基本原理，“違反國家有關規定”不僅實體上不屬于犯罪成立的必備要素，而且在程序上也無須被控方舉證證明。〔15〕參見張明楷：《論表面的構成要件要素》，載《中國法學》2009年第2期，第93頁。

有學者對上述觀點進行了批判，認為僅僅依靠“違反國家有關規定”之外的構成要件要素無法論證犯罪的成立，理論和實務中對“違反國家有關規定”說明義務的遺忘也使得該要素被虛置。因此，“違反國家有關規定”應是成立侵犯公民個人信息罪的必要條件，〔16〕參見冀洋：《法益自決權與侵犯公民個人信息罪的司法邊界》，載《中國法學》2019年第4期，第78-80頁。是進行犯罪認定的前提。〔17〕參見喻海松：《侵犯公民個人信息罪的司法適用態勢與爭議焦點探析》，載《法律適用》2018年第7期，第13頁。也有觀點以“法律允許合法的個人信息交易和流動，對于被收集者同意和經處理無法識別且不能復原”為依據，主張“違反國家有關規定”是侵犯公民個人信息罪的構成要件要素。〔18〕陳榮鵬：《三方面理解“違反規定”準確適用空白罪狀》，載《檢察日報》2017年12月24日，第3版。我國有關司法判決也采取此觀點。〔19〕參見浙江省寧波市鎮海區人民法院（2017）浙0211刑初482號刑事判決書。此外，德國刑法學界也有觀點認為，使用此類空白刑法的意圖必須是填補法律中闕如的構成要件要素，無涉其成立、效力、內容以及適用性等問題。〔20〕Vgl. Wessels/Beulke/Satzger, Strafrecht Allgemeiner Teil, 44. Aufl., 2014, S.105.空白規范恰似“找尋靈魂的迷途軀體”（irrenden K?rper, der seine Seele sucht）。〔21〕Vgl. Raoul Müller, Im Zweifel für den Fiskus, 2019, S. 71.因此，為了獲得（完整的）犯罪構成要件要素，必須用被違反了的空白規范對之進行補充。〔22〕Vgl. Jens Bülte, Blankette und normative Tatbestandsmerkmale: Zur Bedeutung von Verweisungen in Strafgesetzen, JuS 2015, S. 772.在司法實務中，2018年11月9日最高人民檢察院《檢察機關辦理侵犯公民個人信息案件指引》第2條指出，辦理侵犯公民個人信息案件時，應對犯罪嫌疑人“違反國家有關規定”進行舉證。〔23〕2018年11月9日最高人民檢察院《檢察機關辦理侵犯公民個人信息案件指引》第2條規定：有證據證明侵犯公民個人信息行為是犯罪嫌疑人實施的：（1）證明違反國家有關規定的證據：犯罪嫌疑人關于所從事的職業的供述、其所在公司的工商注冊資料、公司出具的犯罪嫌疑人職責范圍說明、勞動合同、保密協議及公司領導、同事關于犯罪嫌疑人職責范圍的證言等。這種舉證責任上的要求，也表明最高檢察機關將“違反國家有關規定”視為侵犯公民個人信息罪的構成要件要素，而非僅僅作為提示存在違法阻卻事由。

不難看出，上述兩種觀點在論證時均圍繞兩個核心命題展開：第一，刑法對侵犯公民信息罪的規定是否完整，若不參照其他部門法，是否可以對不法行為的性質做獨立判斷；第二，其他部門法關于個人信息合法獲取和使用的規定，在刑法中究竟應被視作構成要件要素還是違法阻卻事由。在回答這兩個問題之后，關于“違反國家有關規定”能否作為表面的構成要件、是否需要公訴機關舉證證明的疑問，也就迎刃而解。

（二）“違反國家有關規定”復合型機能之證立

關于“違反國家有關規定”是“構成要件要素”抑或“提示違法阻卻事由”的觀點均存在一定道理，但卻不乏紕繆。“提示違法阻卻事由論”矮化了空白罪狀的構成要件填補機能，而“構成要件要素論”卻忽略了正當行為的出罪價值，因此上述兩種觀點均應被修正。

首先，“違反國家有關規定”屬于構成要件要素。援引的規范雖然沒有明確載入刑法條文中，但卻可以參與規范評價，它通過空白的構成要件要素被實際地納入刑法規范中，被視為刑法的一部分。〔24〕Vgl. Jens Bülte, Blankette und normative Tatbestandsmerkmale: Zur Bedeutung von Verweisungen in Strafgesetzen, JuS 2015, S. 770.一般認為，我國《刑法》第133條交通肇事罪中的“違反國家規定”屬于典型的空白罪狀，因為刑法并未敘明“交通肇事”這一不法行為，而須參照《道路交通安全法》等規范。有觀點主張，對于刑法條文中的“違反國家規定”，當且僅當該罪的行為要件缺失而需要參照其他法律、法規的，才能被視為空白罪狀，其他的均不在此列。〔25〕參見劉樹德：《罪狀建構論》，中國方正出版社2002年版，第346-347頁。然而，構成要件要素不可能僅局限于不法行為，當然還包括犯罪對象以及犯罪主體，〔26〕參見張建軍：《論空白罪狀的明確性》，載《法學》2012年第5期，第141-142頁。甚至不法結果和行為人主觀方面等要素都有可能缺失，〔27〕參見譚濱等：《我國刑法分則中空白罪狀的解釋規則探討——兼以交通肇事罪中的責任認定為例分析》，載《政治與法律》2012年第1期，第157-158頁。因而成為被其他規范填補的對象。例如，《刑法》第338條的污染環境罪，對“有放射性的廢物、含傳染病病原體的廢物、有毒物質或者其他有害物質”的界定，也需參照《環境保護法》《大氣污染防治法》《水污染防治法》等規范；還如，《刑法》第225條非法經營罪中的“未經許可經營法律、行政法規規定的專營、專賣物品或者其他限制買賣的物品”，其并不屬于客觀行為，但也必須借助《行政許可法》《煙草專賣法》和《食鹽專營辦法》等判斷本罪構成要件的符合性。在“楊某某等非法經營案”中，被告人楊某某非法經營期貨業務，情節特別嚴重。檢察院指控被告人楊某某等構成非法經營罪。對此，辯護人指出，被告人所從事的并非非法期貨交易活動，定罪建議失當。法院最終援引《期貨交易管理條例》有關規定，對辯護意見不予采信。〔28〕參見上海市第二中級人民法院（2010）滬高刑終字第79號刑事判決書。因此，至少可以肯定的是，無論在理論上抑或司法實踐中，“違反國家規定”并不僅僅用以補充構成要件中的不法行為，也往往被用來填補其他構成要件要素，例如前述的犯罪對象。

反觀侵犯公民個人信息罪，雖然刑法對不法行為做了明確規定，但若以此為據主張本罪構成要件齊備、無須參見其他部門法就可進行獨立判斷，顯然是不可能的。比如，刑法未對“公民個人信息”進行明確，我們無法在不得知這一核心要素涵攝范圍的前提下，對行為的構成要件符合性做出判斷。在罪質認定時，還須借助《個人信息保護法》《民法典》《網絡安全法》中的有關規定，厘清“公民個人信息”的內涵和外延。在“陳某某等侵犯公民個人信息案”中，被告人陳某某利用工作便利，通過從公司后臺下載等方式獲取公民個人信息后出售。辯護人提出，有的信息只包含手機號碼、有的僅是電話號碼及時間，而這些均不具有可識別性，因而不屬于法定的“公民個人信息”。〔29〕參見江西省高安市人民法院（2019）贛0983刑初145號刑事判決書。對此，合議庭根據《網絡安全法》第67條并結合“兩高”《信息解釋》，認定上述信息具有間接可識別性，對辯護意見不予采信。還如，在“劉某等侵犯公民個人信息案”中，被告人將某鎮扶貧人員名單中的信息非法提供給他人。辯護人以被扶貧對象的姓名屬于政府應該公開的信息，公民有權知悉為由抗辯。對此，法官援引《居民身份證法》第13條，中共中央辦公廳、國務院辦公廳《關于深化政務公開加強政務服務的意見》第7條的規定，以及國務院扶貧辦《扶貧開發建檔立卡工作方案》的有關規定，認定上述信息屬于公民個人信息。〔30〕參見河南省太康縣人民法院（2018）豫1627刑初464號刑事判決書。此外，《個人信息保護法》第4條規定，個人信息不包括匿名化處理后的信息；《網絡安全法》第42條也規定，如果公民個人信息經過處理無法識別個人且不能復原的，在未經信息主體同意的情況下，可以向他人提供。其實，這一規定屬于一項阻卻構成要件符合性事由，并非阻卻違法事由。無論是《網絡安全法》，抑或刑法司法解釋，均確立了認定公民個人信息的“可識別性”原則，亦即只有具備單獨識別或者結合識別特定自然人身份可能性的信息才屬于個人信息，也只有對此類信息的非法收集和提供才可能侵害公民個人信息權。如果對信息做去識別化處理后，由于其不具有指向特定自然人的能力，就不能再作為公民個人信息。顯然，這直接指向對本罪構成要件符合性的判斷，與違法阻卻事由并無關系。既然“違反國家有關規定”在侵犯公民個人信息罪中不僅起犯罪分類的作用，還發揮了填補構成要件的機能，也為侵犯公民個人信息罪提供違法和責任的根據，其在實體上就屬于構成要件要素，而且在程序上應由控方舉證證明。

其次，“違反國家有關規定”也用以提示違法阻卻事由。如果說“違法阻卻事由論”低估了“違反國家有關規定”對構成要件的填補功能，那“構成要件要素論”也忽略了“違反國家有關規定”的實質出罪價值。從前述論證中可以看出，“構成要件要素論”也不無問題。一方面，理論與實務中不對“違反國家有關規定”盡說明義務并不能作為其屬于“構成要件要素”的依據，而是未將其作為“構成要件要素”而導致的消極結果。因此，這一理由顯然不能作為論據支撐上述觀點。另一方面，與“提示違法阻卻事由論”一樣，“構成要件要素論”也以個人信息的合法流動為據證立其觀點。但是，“該類允許，是以與不法構成要件相對的合法構成要件的允許規范形式出現的。當存在合法化事由時，不法構成要件中所包含的禁止規范作為法義務不適用于具體案件。”〔31〕［德］漢斯·海因里希·耶塞克、［德］托馬斯·魏根特：《德國刑法教科書》（上），徐久生譯，中國法制出版社2017年版，第434-435頁。也就是說，這種合法是一種例外，是在行為符合構成要件要素并被推定違法之后，根據有關違法阻卻事由進行的價值判斷。因此，這不但不能證明其屬于構成要件要素的范疇，反而在佐證“違反國家有關規定”屬于違法阻卻事由。例如，在“易某某侵犯公民個人信息案”中，被告人多次非法獲取公民房產信息、學生相關信息以及淘寶網購客戶信息等公民個人信息，并利用上述信息從事電信詐騙活動。法官認為：“公民個人信息常理不可能以合法手段獲取，其又無法證明獲取公民個人信息的正當理由，故應認定其為詐騙而取得的公民個人信息為非法獲取。”〔32〕福建省安溪縣人民法院（2016）閩0524刑初232號刑事判決書。可見，法官同樣是根據不法行為符合構成要件要素而推定其具有違法性，在此基礎上又進一步考察是否存在正當根據。同時，根據刑法教義學基本理論，該觀點中所論及的法令行為、業務行為屬于“基于法益衡量阻卻違法的事由”，〔33〕張明楷：《刑法分則的解釋原理》（下），中國人民大學出版社2011年版，第231-236頁。而被害人同意也屬于“因法益性的闕如而阻卻違法的事由”，〔34〕參見張明楷：《刑法分則的解釋原理》（下），中國人民大學出版社2011年版，第223-226頁。這種判斷并不是在構成要件符合性階段完成的，也就無涉構成要件要素這一問題。

“刑法通過定罪量刑剝奪他人自由，但是通過法治國的罪刑法定原則的實質側面又讓不具備實質可罰性的行為得以出罪，因此‘刑法不僅僅限制自由，它還創造自由’。”〔35〕劉艷紅：《民法編纂背景下侵犯公民個人信息罪的保護法益：信息自決權——以刑民一體化及〈民法總則〉第111 條為視角》，載《浙江工商大學學報》2019年第6期，第30頁。事實上，作為典型的法定犯，侵犯公民個人信息罪確實有許多實質出罪的空間需要用“違反國家有關規定”進行提示。首先，公權力機關以及公共服務機構依法對公民個人信息的收集、存儲、處理和共享，因其屬于“法令行為”或“行政許可行為”而阻卻違法性。例如，《個人信息保護法》第13條第1款規定的“為履行法定職責或者法定義務所必需”“為應對突發公共衛生事件或者緊急情況下為保護自然人的生命健康和財產安全所必需”“為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息”等情況下，個人信息處理者處理個人信息可以不取得個人的同意。其次，在市場經濟和其他社會交往活動中，信息主體往往需要向服務提供者提供相關個人信息，根據《網絡安全法》有關規定，只要是因業務需要而合法、正當、必要地收集和使用個人信息也因屬“業務行為”而阻卻違法性。在“周某某侵犯公民個人信息案”中，被告人周某某為擴大客戶量、提升業績加入多個以“交流信息資源”為目的的QQ群，從中交換包含公民個人信息的企業法人等資料。〔36〕參見重慶市第五中級人民法院（2017）渝05刑終1090號刑事判決書。在本案的審理中，法官以正當經營為由，將被告人非法獲取的一部分信息排除出侵犯公民個人信息的數量之外。可見，縱使這部分信息也是被告人通過非法手段獲取的，但由于其用于正當經營活動又并非司法解釋中規定的重要敏感信息，因此在法益衡量后排除其違法性。再次，個人信息權的核心是信息自我決定權。如果特定信息是經過同意被收集、處理和流動的，則不存在法益侵害的可能性。然而，司法實踐中對被害人同意收集個人信息而認定違法性闕如的案件甚少，甚至有案件認為同意與否不會影響案件性質。例如，在“馬某等侵犯公民個人信息案”中，被告人因代辦處理車輛違章需要查詢車輛違章信息，遂通過手機微信群發送有償查詢車輛違章信息的信息，一審被判處侵犯公民信息罪。〔37〕參見新疆維吾爾自治區巴音郭楞蒙古自治州中級人民法院（2018）新28刑終240號刑事裁定書。在本案二審中，辯護人主張，一審判決所認定的信息都是車主自愿的、同意的，也是在車主配合下才能完成的，這并未侵害公民個人信息權利。對此，二審法院認為：“上訴人以牟利為目的，利用工作職責的便利非法獲取公民個人信息，通過網絡形式隨意出售給未經核實真實身份的人，使得車輛所有權人的信息被泄露，其上述行為已直接侵害到公民個人的信息安全和自由，甚至給公民個人生活帶來隱患”，遂對該意見不予采信。在本案中，且不論裁定的結論是否合理，單就法官對被害人同意是否能阻卻違法的反駁就缺乏說服力。“權利人同意”是為保障行為自由的，這種自由的行使同時消除了法益侵害性以及構成要件符合性；〔38〕Vgl. Claus Roxin, Strafrecht AT: Band I, 4. Aufl., 2006, S. 546.這同時也是自我決定權的體現。〔39〕Vgl. Knut Amelung, Grunds?tzliches zur Freiwilligkeit der Einwilligung des Verletzten, NStZ 2006, S. 317f.辯方強調的是，上訴人所獲得的信息是經過信息權人同意的，也是在信息權人的配合下才收集和獲取的，而這意味著信息權人對特定信息控制權的放棄或移轉，故不存在法益侵害的可能性。而法官卻始終鋪陳不法行為、敘述構成要件符合性，未對辯護人提出的正當事由做回應。因此，這一論證邏輯不周延，其裁判結果也值得進一步推敲。面對司法實踐中忽略正當事由、將不具有法益侵害性的行為認定為犯罪的現實情況，強調“違反國家有關規定”提示存在違法阻卻事由的機能也就更為必要了。

最后，“違反國家有關規定”的復合型機能具有合理性。侵犯公民個人信息罪中的“違反國家有關規定”既用以補充構成要件，也發揮著提示違法阻卻事由的作用。在德國刑法中，也有觀點認為，對于刑法中的同一空白規范可能具備空白罪狀和整體評價（gesamttatbewertendes）雙重機能，例如德國《刑法》第356條“對當事人背任罪”中的“違反義務”，一方面指《聯邦律師法》第43a條第4款規定，即律師不得同時為利益沖突雙方代理；另一方面違反義務的要求被賦予了進一步的評價犯罪的功能，這也可能具有一定的限制作用。〔40〕Vgl. Kindh?user/Neumann/Paeffgen, Strafgesetzbuch, 5. Aufl., 2017, StGB § 16 Rn. 26.倘若不將其作為構成要件要素，則會對犯罪認定造成障礙；倘若不認為其具備提示正當性的功能，往往導致對實質違法性的判斷發生偏差。所以，任何單一的機能定位均失之妥當。或許有人質疑，構成要件具有違法推定機能，而且在二階層的犯罪論體系中，構成要件與違法阻卻事由均用以判斷不法，只是構成要件屬于積極判斷，而違法阻卻事由屬于消極判斷罷了。從這一層面來看，所有的構成要件要素均屬于不法要素，論者所主張的雙重機能似乎只是對犯罪論基本原理的重申，并無創見。然而，事實并非如此。首先，必須肯認，構成要件和正當化事由同屬不法判斷的一體兩面，無論是積極判斷抑或消極判斷，均屬于不法判斷。可是，對“違反國家有關規定”規范屬性的考察不應僅停留在將其界定為不法要素這一層面，否則對法定犯前置違法性范圍的檢視毫無實益。因此，必須廓清“違反國家有關規定”在罪質認定中究竟作為構成要件要素發揮入罪功能，還是作為正當性根據發揮出罪功能。特別是在司法機關所做的擴張性解釋與刑法規定發生沖突的情況下，這種考察就更為必要。其次，也無法根據犯罪論的基本原理推導出，某個不法要素既屬于構成要件要素又發揮提示正當化事由的機能、既用以入罪又可以出罪這一結論。不管是自然犯抑或法定犯，在構成要件要素被明確規定的情況下，主體、不法行為、對象、不法結果以及其他主客觀情狀等往往用來判斷構成要件的符合性，不存在阻卻違法性的空間。即使在以“違反……”“非法……”為空白規范的場合，也不見得這些空白規范必然兼具前述兩種功能。例如，《刑法》第297條“非法攜帶武器、管制刀具或者爆炸物參加集會、游行、示威罪”中的“違反法律規定”就僅僅表明，如果行為不具備正當事由就會構成犯罪。此外，《刑法》第350條的“非法生產、買賣、運輸、走私制毒物品罪”以及《刑法》第355條的“非法提供麻醉藥品、精神藥品罪”中的“違反國家規定”亦是如此。可見，某一不法要素既用于積極入罪又用于消極出罪的現象，只有在空白規范作為構成要件要素的前提下才有可能發生，具有一定的特殊性。而且，這種雙重機能無法根據犯罪論的基本原理推導出來，是對具體考察特定罪名所得出的結論。

此外，這種復合型的功能定位也不會沖擊對“非法”或“違反國家規定”既定的功能劃歸，不會因功能之間的界限不清而影響對刑法條文的解釋。“違反國家規定”不同功能之間難于區分并非依本文邏輯所衍生出的新問題，而屬于其固有的理論缺陷。首先，僅以刑法是否規定不法行為為依據而區分“提示違法阻卻事由”與“構成要件要素”不盡合理。一方面，對許多刑法業已規定不法行為犯罪，仍需要借助其他法律規范來判斷罪質。例如，支持上述觀點的學者所例舉的《刑法》第137條工程重大安全事故罪，其中“降低工程質量標準”即是不法行為；也如《刑法》第396條私分國有資產罪，“以單位名義將國有資產私分給個人”同屬不法行為；還如《刑法》第405條的徇私舞弊發售發票、抵扣稅款、出口退稅罪中的“在辦理發票、抵扣稅款、出口退稅工作中，徇私舞弊”，盡管具有較強的規范意涵，但也屬于構成要件行為。〔41〕參見張明楷：《刑法分則的解釋原理》（下），中國人民大學出版社2011年版，第545頁。然而對于上述幾種犯罪，僅憑借《刑法》無法做出準確認定，還必須根據相關行政法規予以確定。另一方面，不作為犯更能說明問題。《刑法》第139條的消防責任事故罪是真正的不作為犯，“經消防監督機構通知采取改正措施而拒絕執行”即是其不法行為，而這種消極不履行義務的行為更需要參照《消防法》等法律規范予以確定。因此，縱使諸多學者將構成要件不齊備或不具備構成要件行為作為判斷“違反國家規定”是否屬于“構成要件要素”的標準，但也確實存在例外。這恰恰說明，上述兩大功能之間的界限并不清晰。其次，“表示未經行政許可”與“提示違法阻卻事由”“構成要件要素”之間也容易混同。“表示行政許可”其實只是一種形式上的概括，而其最終還得回歸到特定的許可事項究竟在哪個層面討論、發揮何種作用的問題。由于學界對行政許可的性質存在爭議，有觀點認為其可能阻卻構成要件，也有觀點主張其阻卻違法。〔42〕參見張明楷：《行政違反加重犯初探》，載《中國法學》2007年第6期，第73頁。例如，《刑法》第288條規定的“擾亂無線電通訊管理秩序罪”中，如果未經行政許可而擅自設置、使用無線電臺是構成要件要素，那么獲得此許可則阻卻構成要件要素；反之，如果未經行政許可屬于違法性要素，則獲得設置或使用無線電的許可則是阻卻違法事由。因此，“表示行政許可”與“提示違法阻卻事由”“構成要件要素”自始難于區分。最后，“強調行為的非法性質”和“相關表述的同位語”間的關系也撲朔迷離。在形式上，相關罪名構成要件齊備；在實質上，上述兩種功能既不要求查明具體的行政法規，通常情況下也不需要判斷是否存在違法阻卻事由，很難做出區分。甚至可以認為，雖然具備形式上的標準，〔43〕Vgl. Tonio Walter, Ist Steuerstrafrecht Blankettstrafrecht?, FS Tiedemann, 2008, S. 974.但上述類型并不屬于“適格的空白罪狀”（Qualifizierte Blankettgesetz），因為其并不會引起法律適應性與合憲性、靈活性與穩定性之間發生沖突的理論問題。〔44〕Vgl. Uwe Volkmann, Qualifizierte Blankettnormen: Zur Problematik einer legislativen Verweisungstechnik, ZRP 1995, S. 221.總之，“違反國家規定”的各種功能之間并不存在非此即彼的關系，相互間的界限也并不絕對清晰，而是由于對其功能的過度劃分而致使各功能間存在一定的交叉或重疊。因此，在現實中，同一個刑法條文中的“違反國家規定”存在多種功能也就不足為奇了。

綜上，侵犯公民個人信息罪中的“違反國家有關規定”呈現出多重面相，它既能用以補充構成要件，也發揮著提示違法阻卻事由的功能。這種復合型的功能并未擾亂“違反國家規定”的既定功能分類，也沒有招致新的理論問題。

四、侵犯公民個人信息罪“違反國家有關規定”的適用規則

縱使空白刑法這一立法技術也能規避曠日持久的立法活動，并通過行政部門的靈活性應對新的社會問題，〔45〕Vgl. Sch?nke/Schr?der, Strafgesetzbuch, 30. Aufl., 2019, Vorbemerkungen vor § 1, Rn. 3.但法律也必須避免類似于家長制的規制效果。〔46〕Vgl. Reiners, Datenschutz in der Personal Data Economy - Eine Chance für Europa, ZD 2015, S. 55.通過對“違反國家有關規定”是否屬于構成要件要素這一前提的證成，我們需要再一次將問題回歸到部門規章能否作為“違反國家有關規定”這一問題上，對“違反國家有關規定”的解釋邏輯和信息時代刑法應堅守的基本立場進行回應。

（一）“國家有關規定”作為構成要件要素時不宜包含“部門規章”

違背其他規范中的禁止性規范是空白刑法的重要特征，僅當在犯罪認定中必須參照其他法律的禁止性規定時，才能稱為真正意義上的空白刑法。〔47〕Vgl. Puppe, Strafrechtsdogmatische Analysen, 2016, S. 289.在這種情況下，刑法對犯罪的基本規定是不完整的，只能根據所委任的法律規范對行為規范做出完整的說明。〔48〕Vgl. Schmitz/Wulf, in: Münchener Kommentar zum StGB, 6. Aufl., 2019, AO § 370 Rn. 396.同時，刑法分則規定的有關具體犯罪的構成要件是判斷犯罪成立與否的唯一標準，而這也應屬于法律保留的事項。既然“違反國家有關規定”是構成要件要素，那就不容司法解釋突破法律規定隨意擴張。必須嚴格遵照《刑法》第96條之規定，否則便背離了罪刑法定主義。

“刑法作為有形或無形的犯罪打擊工具，具備物性或工具主義的形而上學本質特征。”〔49〕劉艷紅：《人性民法與物性刑法的融合發展》，載《中國社會科學》2020年第4期，第114頁。正基于這種特性，部門規章在司法實踐中往往不當擴張侵犯公民個人信息罪的處罰范圍。在“陳某某侵犯公民個人信息案”中，控辯雙方對“網絡域名”是否屬于公民個人信息存在分歧。辯護人提出，網絡域名是一種虛擬信息，并非法律意義上的財產信息，故被告人不構成公民個人信息罪。對此，法官援引工信部《互聯網域名管理辦法》指出：“網絡域名是指互聯網上識別和定位計算機的層次結構式的字符標識，與該計算機的互聯網協議（IP）地址相對應。域名的注冊遵循先申請先注冊原則，其具有專屬性和唯一性。”〔50〕江蘇省豐縣人民法院（2018）蘇0321刑初33號刑事判決書。本案中，我們雖不否認網絡域名可以指向特定計算機，但它也僅僅指向的是某一個服務器，而非特定自然人。且不論同一IP地址在不同時間可能會分發給不同的網絡服務使用者，即使在特定時間內，想要查明域名對應的計算機IP，一般人通過正常途徑也無法實現。而且，對識別性的判斷也必須采用“一般人標準”，所以網絡域名不能被作為個人信息予以保護。再者，個人信息權是公民對自己所產生信息的自我決定權，如果將網絡域名作為個人信息，那該信息上所承載的權能也無法實現。本案法官沒有以“可識別性”標準進行具體判斷，僅僅援引《互聯網域名管理辦法》這一行政規章就認定網絡域名屬于個人信息，這不當擴張了個人信息的范圍。類似的還如，2005年8月18日中國人民銀行《個人信用信息基礎數據庫管理暫行辦法》第4條，在本規定中，作為個人信息組成部分的“個人信貸交易信息”和“反映個人信用狀況的其他信息”并未要求具備對特定自然人的可識別性，而只需要與特定自然人具有關聯性即可。也就是說，任何用戶所產生的信貸信息均可被認為是個人信息。不難發現，該規章對個人信息的界定遠大于《網絡安全法》第76條第5款之規定。但是，“法律優先原則”確立了法律相較于行政法規和規章的絕對優越地位。這是立法權高于行政權、行政從屬于法律的具體體現，也是法律至上原則的具體適用。〔51〕參見周佑勇：《行政法中的法律優先原則研究》，載《中國法學》2005年第3期，第50頁。將不具有識別性的信息納入公民個人信息之列，不僅導致侵犯公民個人信息罪處罰范圍的不當擴張，而且有違“法律優先原則”的基本要求。

更有甚者，一些與個人信息保護并不相關的法律規范也被用作證明信息獲取和流動違法性的規范依據。在“鄭某等侵犯公民個人信息案”中，被告人為了推銷某奶粉，授意公司員工通過拉關系、支付好處費等手段，多次從數個醫務人員手中獲取公民個人信息。檢察機關指控其構成侵犯公民個人信息罪。辯護人提出，涉案孕產婦信息不是醫生在履行工作職責中獲得的，不違反國家的禁止性規定。對此，法院根據《母乳代用品銷售管理辦法》《關于醫療機構不得展示、推銷和代售母乳代用產品的通知》和《中華人民共和國母嬰保健法》指出：“上述規定禁止生產者、銷售者向醫療衛生保健機構、孕婦、嬰兒家庭贈送產品、樣品；禁止醫務人員通過醫療服務為生產、經營企業推銷產品從中獲利；禁止醫務人員接受生產者、銷售者為推銷產品而給予的奶粉饋贈等。”〔52〕甘肅省蘭州市城關區人民法院（2016）甘0102刑初605號刑事判決書。空白刑法規范存在不完整性，其本身并不屬于有意義的行為規范。〔53〕Vgl. Kindh?user/Neumann/Paeffgen （Hrsg.）, Strafgesetzbuch, 5. Aufl., 2017, Vorbemerkungen zu §§ 13 Rn. 26.因此，空白刑法中的構成要件和對行為的處罰至少分屬于兩個不同的規范之中，因此需要采用法律技術將其結合起來。這便需要對規范的區別性、相似度以及條文間的關系進行判斷。〔54〕Vgl. Guido P. Ernst, Verfassungsrechtliche Anforderungen an Blankettstrafgesetze, 2018, S.63.顯然，除了《母嬰保健法》是全國人大常委會頒行的法律之外，作為部門規章的《母乳代用品銷售管理辦法》（已于2017年12月13日失效）和作為規范性文件的《關于醫療機構不得展示、推銷和代售母乳代用產品的通知》均沒有資格作為“國家有關規定”來填補本罪的構成要件。同時，侵犯公民個人信息罪的“違反國家有關規定”是規制公民個人信息獲取和使用、保護公民個人信息權的法律規范。但是，本案判決中所載明的規范旨在通過禁止醫療推廣，規范醫療活動、引導乳制品生產商依法營銷，此中無涉對個人信息保護的事項。亦即，上述規范禁止的是醫生通過醫療活動推銷乳制品的行為，而不是禁止醫生非法收集孕婦及新生兒的個人信息。因此，用《母乳代用品銷售管理辦法》等證明被告人的行為違反有關公民個人信息保護的禁止性規定，存在邏輯上的缺陷。通過上述案例中我們還發現，其他規范性文件也試圖被用來證明“違反國家有關規定”，這或許也是“部門規章”突破《刑法》第96條所引發的負面效應。又如，在“羅某侵犯公民個人信息案”中，法官以《四川省公安機關公安信息系統數字身份證書管理辦法》《四川省公安機關輔助人員借用公安信息系統數字身份證書管理辦法》等一系列規范性文件為據，證明被告人是在違反公安機關關于公安信息系統數字身份證書禁令的情況下獲取公民個人信息。〔55〕參見四川省南充市順慶區人民法院（2017）川1302刑初447號刑事判決書。對于認定犯罪這一法律保留事項，連“行政法規”能否參照尚存爭議，“部門規章”都應排除在外，更遑論位階更低的規范性法律文件了。

大數據時代個人信息的興盛增擴了信息體量，但這并不意味著法律應繼續甚至強化傳統的個人信息保護。〔56〕參見儲陳城：《大數據時代個人信息保護與利用的刑法立場轉換——基于比較法視野的考察》，載《中國刑事法雜志》2019年第5期，第54頁。試圖通過部門規章“有針對性地保護公民個人信息”〔57〕郎勝主編：《中華人民共和國刑法釋義》，法律出版社2016年版，第123頁。難以奏效。在判斷構成要件符合性時，將部門規章納入“國家有關規定”會擴大個人信息外延、增設不法行為類型，從而不當擴張侵犯公民個人信息罪的處罰范圍。此外，雖然法定犯的可罰性取決于行政法規范的規定或行政機關的行政決定，〔58〕參見劉艷紅、周佑勇：《行政刑法的一般理論》，北京大學出版社2008年版，第8頁。但在一些案件中，法官還通過與公民個人信息保護毫不相關的法律規范來證明行為的前置違法性，這不僅與《刑法》第96條的規定相沖突，還動搖法定犯的理論基礎。同時，將部門規章作為“國家有關規定”還起到消極的示范作用，在一些案件中，法官不惜用位階更低的規范性文件、甚至是企業內部規范，證明行為違反了“國家有關規定”。這不僅不具備形式合法性，也欠缺實質合理性。

（二）部門規章以及位階更低的規范可用以判斷實質違法性

刑法不能成為“安全法”，而應是善良人的大憲章和犯罪人的大憲章。〔59〕參見劉艷紅：《“風險刑法”理論不能動搖刑法謙抑主義》，載《法商研究》2011年第4期，第27頁。在我國不斷加強信息數據保護的現實背景下，司法機關對侵犯公民個人信息行為的打擊保持高壓態勢。一方面，相關司法解釋對構成要件中諸多行政要素進行了擴張性解釋，有的甚至存在類推的嫌疑。這雖然與現行刑事政策步趨一致，但其諸多規定卻與相關法律和行政法規相沖突。另一方面，司法實踐中，在“違反國家有關規定”用以判斷構成要件符合性時，控方的舉證也往往存在問題。在一部分案例中，法官用與公民個人信息規制毫無關聯的信息證明行為違反前置行政法規（如前述的“鄭某等侵犯公民個人信息案”）；在另一部分案例中，法官并未對行為人違反何種規定、如何違反該規定進行舉證，僅僅簡單援引了《刑法》和相關司法解釋的有關條文，而且這種情況在司法實踐中為數不少。〔60〕參見何群、曾錚瀅：《大數據時代我國侵犯公民個人信息罪：從特點分析到完善建議》，載《海峽法學》2021年第1期，第49頁。在“蘇某侵犯公民個人信息案”中，檢察機關與法院都只提及被告人“違反國家有關規定”，并未對規范的名稱以及行為對規范的違反情況進行說明，〔61〕參見南京市溧水區人民法院（2017）蘇0117刑初404號刑事判決書、山東省沂南縣人民法院（2018）魯1321刑初128號刑事判決書。這不僅有違最高人民檢察院《檢察機關辦理侵犯公民個人信息案件指引》第2條的規定，也不利于刑法矯正機能的實現。誠如學者所言，“無論對于絕對的空白規范抑或相對的空白規范，行為人不僅要知道空白的構成要件被填補了（這一事實），還必須知曉究竟填補了哪一個空白概念。因為，構成要件要素的缺失會使空白規范不具有（對犯罪行為的）描述性，而空白概念本身也不存在規范意義。”〔62〕Puppe, Strafrecht Allgemeiner Teil, 3. Aufl., 2016, S.108.上述案例中不對“違反國家有關規定”釋明的做法，無疑會導致入罪的隨意性增強。在入罪范圍被不斷擴大的現狀下，從實質上對不存在法益侵害性或法益侵害性甚微的行為予以出罪也就刻不容緩。

雖然我國《個人信息保護法》已經頒布，但許多有關信息收集、存儲和使用等具體內容還需要通過民事和行政法律規范進行貫徹。而部門規章中的規定，在與上位法不發生沖突前提下，就可以作為侵犯公民個人信息罪的出罪事由。例如，2016年7月27日交通運輸部、工信部、公安部、商務部、工商總局、質檢總局和國家網信辦《網絡預約出租汽車經營服務管理暫行辦法》第27條規定，網約車平臺公司應當遵守國家網絡和信息安全有關規定，所采集的個人信息和生成的業務數據，應當在中國內地存儲和使用，保存期限不少于2年，除法律法規另有規定外，上述信息和數據不得外流。據此規定，從事網約車服務的公司依法有權收集和存儲公民個人信息，而這種授權就是可用以阻卻違法性。類似的，2016年12月12日國家旅游局《旅行社條例實施細則》第49條第1款規定，旅行社及其委派的導游人員、領隊人員在經營、服務中有權要求旅游者如實提供旅游所必需的個人信息，按時提交相關證明文件。這一行政規章也授權旅行社工作人員根據工作需要收集旅行人員的個人信息，同樣可據此排除違法性。此外，2011年12月2日國家廣播電影電視總局《有線廣播電視運營服務管理暫行規定》第28條規定的“有線廣播電視運營服務提供者應當建立用戶信息安全監管體系，如實登記用戶個人信息，并依法負有保密義務”和1985年7月6日機械工業部《機械工業企業為用戶服務試行辦法》第22條規定的“做好用戶信息收集、反饋”，均屬于違法阻卻事由。

“出罪事由是一個開放體系，出罪無須法定。”〔63〕王華偉：《中國刑法第1條但書實證研究——基于120份判決書的理論反思》，載《法學家》2015年第6期，第95頁。正因為如此，“超法規的違法阻卻事由，即是沒有法律規定卻能出罪的范例。而作為罪刑法定的派生原則的禁止類推，也只是禁止不利于被告人的類推（即入罪類推），而允許有利于被告人的類推（即出罪類推）。”〔64〕陳興良：《罪刑法定的價值內容和司法適用》，載《人民檢察》2018年第21期，第29頁。所以，除部門規章之外，其他規范性文件中的授權性規定也可以阻卻實質違法性。例如，2019年12月4日國家衛生健康委員會《國家衛生健康委辦公廳關于印發地方病患者管理服務規范和治療管理辦法》第2條第1款規定，納入管理的地方病患者，需提供疾病診療相關信息，同時服務機構為患者進行評估，并按照要求填寫地方病患者個人信息表，為其建檔立卡，納入管理。根據該部門規范性文件，相關主體也可以收集、存儲以及使用特定患者的個人信息，由此可排除實質違法性。同時，2019年10月24日國家發改委、商務部《市場準入負面清單（2019年版）》附件第56條規定：“網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息。”根據這一規定，非正當收集和使用公民個人信息必須是違反法律、行政法規，或違背雙方約定的。因此，雙方當事人間的約定也就成為判定信息收集和使用是否正當的依據。特別是信息的收集和處理經由信息主體的授權或者同意時，必須排除其違法性。另外，被害人同意的出罪功能也往往被忽視。在“景某某侵犯公民個人信息案”中，檢察院指控被告人通過互聯網與他人交換公民個人信息4萬余條，構成侵犯公民個人信息罪。對此，辯護人提出，涉案信息中絕大多數屬于已公開的企業信息而非公民個人信息，而且辯護人還提供網站服務協議證明，企業在注冊時明知并且容忍自己的信息資料被公開和被第三方使用。法官認為，依法取得中的“依法”，主要是指取得法律依據或權利人的授權，而這種授權應當是明示的、充分的，被告人獲取上述信息未經信息主體同意，故不采納辯護意見。〔65〕參見上海市黃浦區人民法院（2017）滬0101刑初969號刑事判決書。本案中，如果辯護人所提供的網站服務協議查證屬實，則可以證明信息主體在注冊和使用網站時就知曉和默示同意網絡服務商對其信息的收集、存儲和利用。其次，在大數據應用中，對此類已經公開的個人信息應放寬其共享范圍，弱化信息主體同意的條件。應在網絡服務提供商盡到合理告知義務的前提下，以信息主體的默示同意為原則。〔66〕參見王利明：《數據共享與個人信息保護》，載《現代法學》2019年第1期，第55頁；參見冷傳莉、李怡：《司法保護視角下的隱私權類型化》，載《法律科學》2017年第5期，第87頁。因此，該案中的網站服務協議即使是信息主體默示同意的，也可以因法益性質闕如而阻卻違法性，故法官對該案的認定也值得推敲。

綜上，法定犯中“違反國家規定”是用來判斷行為是否符合犯罪的構成要件以及違法性程度的。〔67〕參見劉艷紅：《論法定犯的不成文構成要件要素》，載《中外法學》2019年第5期，第1155頁。因此，“國家有關規定”的范圍也就據其發揮機能的不同而存在差異，對“部門規章”能否納入“國家有關規定”外延這一問題也不能一概而論。當侵犯公民個人信息罪中的“違反國家有關規定”在作為構成要件要素發揮形式入罪機能時，只能包含法律和行政法規；部門規章及其位階更低的規范均不能用來填補構成要件，否則會不當擴張本罪的處罰，違背罪刑法定原則。而出罪是一個開放的體系，只有將具備實質合理性的根據均納入其中才符合法治的基本精神。因此，當“違反國家有關規定”發揮提示違法阻卻事由機能時，行政規章、部門規范性文件、行業規范甚至當事人之間的約定均可作為依據，從而在實質上排除違法性。

五、結論

信息數據已經成為最重要的資源，大數據背后伴隨著深刻的社會變革。為了保證在加強法律對信息數據保護的現實背景下最大限度地發揮大數據的潛在價值，法律特別是刑法，對侵犯公民個人信息行為的規制必須保持足夠的克制。〔68〕參見楊楠：《個人信息“可識別性”擴張之反思與限縮》，載《大連理工大學學報（社會科學版）》2021年第2期，第104-106頁。“信息保護的目的是保護自然人的權利和自由”，〔69〕Stefan Mierowski, Datenschutz nach DS-GVO und Informationssicherheit gew?hrleisten,2021, S. 50.因此，“以犧牲權利保障為代價以追求社會安全為價值，無異于緣木求魚或飲鴆止渴或則注定是無功而返。”〔70〕劉艷紅：《刑法理論因應時代發展需處理好五種關系》，載《東方法學》2020年第2期，第7頁。當“違反國家有關規定”用以補充構成要件時，應根據《刑法》第96條的規定，將“國家有關規定”與“國家規定”做相同解釋，謹防部門規章作為判斷前置違法性依據發揮形式入罪機能。而在判斷實質違法性時，應堅持出罪路徑的開放性和系統性，將部門規章、規范性法律文件、行業規范以及當事人約定中的正當事由作為出罪的依據，從而放寬違法阻卻事由的范圍，將法益闕如或法益侵害性甚微的行為排除在刑法的視野之外。