洪乾贺

(中国社会科学院研究生院 法学系， 北京 102488)

为应对日益突出的个人信息泄露以及随之衍生的犯罪问题，我国于2015年在《中华人民共和国刑法修正案(九)》(以下简称：“修九”)中规定了侵犯公民个人信息罪。2017年，最高人民法院、最高人民检察院联合出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)，将与公民个人信息犯罪有关的司法实务经验提升为法律规范，以期更好地指导相关案件的处理。在此背景下，诸多学者和实务人员对侵犯公民个人信息罪展开研究和探讨，在侵犯公民个人信息罪的法益、侵犯公民个人信息罪的构成要件、相关罪名之间的区分等方面，都取得一定成果。同时，也有些地方需深度思考，如单方面将侵犯公民个人信息罪法益归属为个人法益或超个人法益是否合适，能否实现理论与实践的融洽；“识别说”标准如何把握等。本文基于此内容展开相关论证。

一、侵犯公民个人信息罪的法益

法益即为刑法所保护而又被犯罪行为所侵犯的权利。法益并非仅是抽象的概念，它对于具体罪名的理解和适用具有指导意义。同时，法益也只有结合特定罪名时才有意义。在立法机关规定侵犯公民个人信息罪，借以专门保护公民个人信息以后，明确本罪所保护的法益就极为重要。关于侵犯公民个人信息罪的法益争论颇多，概括起来可分为个人法益说与超个人法益说两种，而且在各学说内部也有争论，笔者将分而述之。

(一)个人法益说

1.隐私权说。在本学说的视野下，侵犯公民个人信息罪意图保护的是隐私权，即公民个人信息彰显的隐私权属性，甚至期待本条能发挥侵犯个人隐私罪或泄露个人隐私罪的功能[1]。此说认为应通过隐私权的形式对公民个人信息加以保护。生理信息、学历、家庭住址、社会关系等公民个人信息都属于公民个人隐私，将公民个人信息作为一种隐私权加以保护能够发挥隐私权排除他人非法干扰，进而实现维护公民生活安宁的机能[2]。此外，还有论者从侵犯公民个人信息罪在刑法中所处的位置展开论述，认为立法者将侵犯公民个人信息罪这个罪名放在刑法第253条之一进行规制，就体现着对个人隐私权保护的价值追求，因此，只有个人信息中体现着个人隐私权的那一部分信息才属于刑法保障的范围[3]。上述论证虽具有一定合理性，但是并不全面和准确。一方面，公民个人信息远非“隐私”一词所能完全涵盖，公民个人信息应是公民隐私的上位概念。“隐私”一词本身就具有明显的范围限制，所谓“隐私”，是指个人所不愿公开的信息，强调的是私密性，其范围受约定俗成的社会观念的限制[4]。而公民个人信息的涵盖范围远大于隐私的范畴。现实中有大量处于公开状态的公民个人信息。如，一些服务性的商家、店铺为招揽生意，方便顾客及时联系，便将店铺的老板姓名和手机号码打印于广告牌上，此时店铺老板的姓名和手机号就完全处于公开状态，但我们无法说店铺老板个人信息不受保护。“隐私权说”不当限缩了公民个人信息的保护范围，不符合市场经济时代信息主体积极使用其个人信息的社会特征，不利于公民个人信息的保护。另一方面，侵犯公民个人信息罪在刑法分则所处的位置与其保护范围没有逻辑关系，以罪名所处的位置而主观限缩侵犯公民个人信息罪的保护范围是没有正当性的。

2.财产权说。“财产权说”认为，个人信息是一种无形财产，已经成为社会中一种重要且稀缺的资源，具有重要的商业价值，因此公民允许他人使用自身信息实质上可以理解为财产性质的交易[5]，用户以提供个人信息的方式获得产品、享受服务，本质上是一种财产权的交易。该论者又通过个人信息的稀缺性和个人信息商业化使用的现实进行论证。不可否认，公民个人信息已成为公民个人获取服务的前提，但将其简单化为财产权性质的交易则不甚妥当。购买火车票、飞机票，邮寄物品，办理护照等都需提供公民个人信息，但是提供公民个人信息不是获取相应服务的对价，除提供公民个人信息外，我们仍需支付相应货币，此时仍是货币与服务之间的交易而非公民个人信息与服务之间的交易。而且，在此交易中，用户所提供的个人信息仅限于本次服务使用，信息收集主体也仅有在此次服务中使用的权利以及永久妥善保存的义务。若超出此次服务目的将获取的信息用作他图则是侵犯公民个人信息的行为。由此，将涉及公民个人信息的交易理解为财产权的交易则不甚合适。另外，某些公民个人信息的人身依附性极强，是无法与公民个人相脱离的[6]，也是无法按照一般财产进行交易的。如公民的学历、所获荣誉、社会关系等，属于公民个人信息，也应受到法律的保护，但无法借用对财产的保护方式来对其加以保护。因此，将公民个人信息视为一种财产，忽略了个人信息与信息主体之间的紧密依附性，人为地割裂它与信息主体之间的关系，而且对某些公民个人信息的保护也不具有解释力。

3.人格权说。“人格权说”亦有支持者。如王利明教授认为公民个人信息可以理解为个人信息权，而个人信息权本质上是人格权，保护公民个人信息其实就是保护公民的人格尊严[7]；高富平教授认为，个人数据保护是在宪法层面对个人基本权利的保护，其保护人的尊严所派生出的个人自治(自由)、身份利益(正确识别)、不歧视(平等)利益[8]。现实中确有不少不法分子使用公民个人信息制作招嫖卡片侵犯信息主体的人格尊严，给信息主体造成严重精神伤害的案例。从此种意义上来说，将公民个人信息理解为一种人格权也基本符合情况。但是人格权说的显著缺点是太过宽泛，而且一些纯财产类信息如银行交易流水并不能为人格权所包含。再者，法益具有区分此罪与彼罪的功能，人格权是一个属概念，内部包含各种权利，若将人格权理解为本罪的法益，则有些泛化。例如，侮辱罪、诽谤罪与强奸罪均是侵犯公民人格权的行为，但在每种罪中具体的法益是不同的。侮辱罪、诽谤罪的法益是他人的名誉[9]916，强奸罪的法益是妇女(含幼女)的性的自主决定权[9]867。名誉和性自主权虽都属于人格权，但其保护的人格权的方面是不同的，将公民个人信息认定为人格权并不合适，不能发挥法益应有的功能。

(二)超个人法益说

在个人法益说之外，有论者提出了超个人法益理论，认为侵犯公民个人信息罪所欲保护的并非个人法益，而是一种个人法益之上的超个人法益[10]。此论者从公民个人信息中“公民”一词入手，认为“公民”一词不仅包含中国公民，而且包括外国人、无国籍人，保护范围广阔。再者，分析侵犯公民个人信息罪所造成的现实侵害状况，侵犯公民个人信息行为的危害后果不仅局限于公民个人信息本身，而且是一系列后续犯罪行为的前提条件，精准诈骗、敲诈勒索、绑架、故意伤害、杀人等犯罪借助侵犯公民个人信息行为更加猖獗。另有论者在此基础之上进一步细化，认为侵犯公民个人信息罪的客体是公民个人信息的正常流转状态，并认为此种表述更符合犯罪客体具体化、明确性的要求[4]。此外，还有学者认为侵犯公民个人信息罪的法益是社会成员对个人信息安全的信赖[11]。对于侵犯公民个人信息罪的超个人法益属性，笔者持支持态度，但对其部分论证不太认可，其论证在逻辑上并不能成立。首先，侵犯公民个人信息罪中“公民”一词是作为个体概念使用的，与故意杀人罪中的“人”具有同样含义，二者都不仅指向中国公民，也指向外国人、无国籍人。但从未因为“人”包括外国人、无国籍人而认为故意杀人罪所保护的是超个人法益。再者，侵犯公民个人信息行为虽然为后续犯罪如诈骗、绑架、敲诈勒索提供了帮助，但此只能论证侵犯公民个人信息行为的社会危害性严重，刑法介入的必要性强，对于确定侵犯公民个人信息罪的法益并无关系。而且后续诈骗侵犯的都是公民诸如财产权、生活安宁权等具体、切实的个人法益，并不是超个人法益，不能因为后续犯罪涉及被害人众多而将众多被害人的个人法益概括理解为超个人法益。最后，针对论者提出的公民个人信息正常的流转状态，笔者认为，在现在语境下，公民个人信息正常流转的标准并不明确，何为正常流转、何为非正常流转并非不言自明，用此事实性语言作为罪名法益并不合适，而且此理论本身与人格权说一样，太过宽泛，无法发挥法益应有的功能。

(三)复合法益说的提倡

无论是个人法益说，还是超个人法益说，二者的观点都有道理，但并不全面。笔者认为将其理解为复合法益说更为合适。复合法益说并非笔者首创，学界一般认为复合法益说是上文所述个人法益说中人格权说与财产说的复合[12]35。本文所提倡的复合法益说是指个人法益与超个人法益之间的复合，当然也并非两者的简单累加，事实上二者也无法累加。笔者针对个人法益采用了新的论证方式。从事实层面上讲，侵犯公民个人信息罪所发挥的更多是超个人法益保护的功能，绝大部分的信息主体并未因个人信息被侵犯而遭受切实的损害，自然也不需保护。之所以会发生个人法益与超个人法益之间的争论，是因为事实与法律之间的冲突，侵犯公民个人信息罪被规定在个人法益保护一章，而现实却发挥超个人法益保护的功能，而且，从侵犯公民个人信息罪自身规定来看，其所侵犯的也主要是不特定多数人的法益。这势必会发生解释论上的冲突。有论者精准地提出，把侵犯公民个人信息罪作为第253条之一放在第253条私自开拆、隐匿、毁弃邮件、电报罪之后，具有某种简单比附式风格，而并不关心社会新问题的理论解读或方法论立场[13]。这是把不属于一个解释体系中的问题，强行放进一个体系中去，解释起来自然首尾两端，难以兼顾[13]。因此，在传统体系解释方法无法对侵犯公民个人信息罪个人法益作出令人信服的解释和论证时，就应结合罪状本身的特点和罪名实际发挥的作用，采用新的方式展开论证，以实现法律自身的统一。

1.个人法益的体现。笔者认为，在上文所述个人法益说理论中，典型的缺陷是只注重公民个人信息中的部分而忽视了全体。隐私权说、财产权说以及人格尊严说均有一定的道理，但是在实际运用中只对部分公民个人信息的保护具有解释力，对于其他类型的信息则无法提供有效的理论支持。出现如此情形与论者的论证路径有关。一方面，持个人法益说的论者往往从公民个人信息自身出发，如概念、公民个人信息的种类等，但公民个人信息自身种类繁多势必会造成以公民个人信息种类为基础的理论的缺漏与不足，同时这样抛开侵犯公民个人信息罪仅针对公民个人信息展开讨论势必会导致论证的泛化。另一方面则是上面所述的立法模式自身的不科学，因侵犯公民个人信息罪位于保护个人法益的章节之中，个人法益论者为寻求体系上的完整，就只能找寻各种个人法益将其解释为侵犯公民个人信息的法益，但这种削足适履式的解释自然不能自圆其说。

侵犯公民个人信息罪对公民个人法益具有保护作用自然毋庸置疑，关键在于如何进行合理论证。在否定从公民个人信息本身和体系解释方法的论证路径后，笔者试图从侵犯公民个人信息罪对公民个人法益的保护模式展开论证。笔者认为侵犯公民个人信息罪对公民个人法益保护采取的是一种危险犯的保护模式即侵犯公民个人信息罪是一种危险犯，即实施本罪所规定的行为就能对个人法益造成危险。刑法通过规制侵犯公民个人信息的行为即获取、出售及提供行为实现对公民个人法益的间接保护，亦如有些学者所说的“外围式立法”[14]。如刑法第六章第六节破坏环境资源罪，其直接法益是生态法益，但通过打击破坏环境的行为也间接地实现了对个人法益如生活安宁权的保护。侵犯公民个人信息的行为包括三种，即非法获取、出售及提供行为。上述三种行为本身上只干涉了公民个人信息的物理流转，并不能对公民个人信息所代表的具体个人法益产生直接侵害，如甲将其从快递公司窃取的包含公民姓名、手机号码、住址的公民个人信息出售给乙，甲、乙均构成侵犯公民个人信息罪，但事实上信息主体的具体法益并没有因为甲、乙之间的买卖行为而受到侵犯，然而通过打击非法获取、出售、提供公民个人信息的行为，阻断公民个人信息的不正常扩散与流转能够起到间接保护公民个人法益的效果。通过上述论证，侵犯公民个人信息罪个人法益的一面就能够证成。

至于侵犯公民个人信息罪保护的个人法益到底为何，是否能找到一个具体的名词将其具体描述，笔者认为是不可能的，也是没有必要的。公民个人信息蕴含着复杂的法益属性[15]，正如我们无法明确肯定破坏环境罪所保护的个人法益一样，我们也无法确定侵犯公民个人信息罪所保护的个人法益。若非要明确的话，笔者认为侵犯公民个人信息罪所保护的个人法益是公民个人信息所能征表的所有个人法益，既包括个人隐私法益，也包括个人财产法益，其所保护的个人法益即是公民个人信息所能征表的法益，在具体案件中则会因个人信息种类、数量的多寡而不同，作此理解是符合其危险犯保护模式的。

2.超个人法益的体现。笔者认为侵犯公民个人信息罪的超个人法益是公民对于信息安全的信赖。新技术的发展导致公民个人信息的收集、海量存储、极速传输成为易事，但也导致信息风险增加[16]。侵犯公民个人信息所涉及的信息数量动辄数十万、上百万乃至亿计且来源多样，对于数量如此之大、来源如此之广的公民个人信息集聚体，自然不能将其简单地理解为个人法益的表征。笔者认为，确定罪名所保护的法益时需以行为类型所能直接侵害到的且影响最为严重的法益即主要法益为标准。如阻碍军人执行职务罪、阻碍军事行动罪，其所直接危害的是国防利益，虽然也可能会发生军人受到伤害的情况，但是此并非影响最为严重的利益。具体到侵犯公民个人信息罪，侵犯数量如此之多的公民个人信息，其所直接造成的危害是广大公民的恐慌，也就是上文所述的公民对于个人信息安全的信赖。2018年8月份发生了华住酒店住宿信息泄露事件，涉及1.3亿人的个人信息及住宿记录，虽然性质恶劣，社会危害巨大，但是信息泄露所造成的只是一种宏观的、无法具量的危害，即每个人都觉得有危害但每个人又没有感觉到具体的危害(因泄露而引发的后续犯罪的危害并不能直接归因于泄露行为)。而公民上述那种模糊的危害感和恐慌感则可理解为公民对信息安全信赖的丧失。

当今时代，个人信息是公民享受服务的前提，如邮寄物品需要身份信息、使用应用软件也需要提供个人信息。在人类创造了一个以提供公民个人信息为前提的社会的同时，人类也要求所提供的公民个人信息应始终处于安全状态。公民提供个人信息换取服务时是以信息安全为前提的，认为信息会始终处于安全状态之中。基于此信赖，公民按照自己的目的和要求安心提供信息并从事相应活动，而且相信因自己所从事的活动而产生的信息也是安全的。正是因为公民对于信息安全的信赖，社会才能够正常运转。从现代社会的角度来说，以陌生人社会为特点的电商经济才会如此发达。侵犯公民个人信息的行为正是打破了公民对信息安全的信赖，造成全社会的恐慌不安，对社会秩序产生负面影响。通过打击侵犯公民个人信息的行为，将公民个人信息恢复至安全状态中，以实现公民对信息安全的信赖。因此，在侵犯公民个人信息罪超个人法益方面，笔者认为其保护的直接法益是公民个人对信息安全的信赖。

二、公民个人信息的范围

公民个人信息作为侵犯公民个人信息罪的犯罪对象，其内涵和范围直接决定着本罪的适用范围和边界，刑事立法和理论上均以“识别说”作为公民个人信息的认定标准，但“识别说”本身部分内容并不能在实践中完整落地，需进行一定的修改。此外，公民个人信息处于公开状态与否并不影响其是否成为侵犯公民个人信息罪的保护对象，易言之，无论公民个人信息公开与否均应被刑法所保护。

(一)“识别说”的修正

公民个人信息并非“罪刑法定”和“不真正不作为犯”式严格的法学概念，它原存在于日常生活之中，因保护公民个人信息的社会需要而被刑法吸收进来。因此当谈到“公民个人信息”时，法学领域内法律学者和法学领域外的普通人似乎都能有所感触，却难以用一句话将其精准表述出来。事实上，关于公民个人信息的内涵和外延一直都有争论，各种称谓和理论学说也是层出不穷，称谓上有欧盟的“个人数据”和美国的“个人隐私”等。在理论上探讨公民个人信息认定的学说则可概括为“隐私说”“关联说”“识别说”三种。

隐私说。该说认为公民个人信息属于隐私范畴，在认定公民个人信息时要加以限缩，只有“与个人隐私相关的个人信息才能成为侵犯公民个人信息罪的犯罪对象”[3]。此学说具有明显的缺陷，在其视野下，公民个人信息的范围和种类将被不合理地限缩，在公民个人信息的认定上并不可取。

关联说。该学说主张所有与公民个人有关的信息都可划归为公民个人信息，强调从广义角度来认定公民个人信息，即与个人相关的所有数据资料、个人隐私、电子信息等均属于个人信息的范畴。从公民个人信息保护的角度来说，此学说无疑能够最大程度地保护公民的个人信息，但是采用此学说会把诸多并没有保护必要性的边角料式信息纳入进来，此种信息即便被公布也不会具有社会危害性，就如我们不能将“甲今天在课堂上睡觉”认定为公民个人信息。笔者认为关联说需要进一步细化，如将关联信息与公民权益之间的紧密程度作为该学说的标准。

识别说。该学说以单个信息或信息组合能否识别出特定主体作为公民个人信息的认定标准。从比较法的角度看，世界范围内的公民个人信息保护法对与公民个人信息的定义基本上均遵循着“可识别性”的定义思路[17]。公民个人信息作为一种形式抑或载体只有具体到信息主体这一确定的实质时才能发挥其功能和作用，脱离特定主体的信息是没有意义和价值的。相较于前两种学说，识别说在公民和公民自身产生的各式信息找到了一个连接点，将虽由主体产生但不具有识别特定主体可能性的信息排除在公民个人信息保护范围之外，具有一定进步。

笔者同样赞同将识别说作为公民个人信息的认定依据，理由如下：第一，从公民个人信息的产生方式看，它来自于公民日常生产、生活、工作和学习，是对公民个人现实生活的映射和反映[18]。公民上班、就业会留下身份信息、社保信息及经济信息，办理金融、证券、邮寄等业务会留下银行卡号、地址等信息，在私家车上安装导航、行车记录仪等则会产生自己的行踪轨迹等信息。公民个人信息种类多样，反映着公民生活的方方面面，采用识别说符合公民个人信息的产生来源。第二，从本罪的保护法益来看，侵犯公民个人信息罪保护法益是个人法益与超个人法益的复合，而这一切是以信息能够定位到特定主体为前提的。现实中极为猖獗的电信诈骗正是利用了公民个人信息的可识别性特点。如果公民个人信息没有可识别性，那么设置侵犯公民个人信息罪也就失去了价值。最后，从规范角度来看，我国法律关于公民个人信息的规定起始于网络领域，最早可追溯至2012年全国人大常委会通过的《关于保护网络信息的决定》，其于第一条即以能够“识别”公民个人身份作为保护的标准。之后，工信部出台2013年生效的《信息安全技术公共及商用服务信息系统个人信息保护指南》《电信和互联网用户个人信息保护规定》《网络安全法》及针对侵犯公民个人信息罪适用而出台的《侵息案件解释》也以“可识别性”对公民个人信息进行规定，可识别性已经界定公民个人信息的核心标准[19]。

但是，笔者认为，对于识别说应做一些修正。识别说虽契合公民个人信息的本质，但在具体适用时有一定的局限性。具体而言，识别说以单个信息或信息组合能否识别出特定主体作为公民个人信息的认定标准。其中的特定主体是指通过涉案信息精准确定到具体的人而非宏观意义上的社会中的某个对应主体，但是，笔者认为此种对于特定主体的理解过于狭窄，会导致侵犯公民个人信息案件的审理产生争议。

在(2018)皖0827刑初52号案件中，被告人出售接近16万条的公民个人信息，但其中的公民个人信息仅为手机号码和地区，除此之外再无其他信息。本案辩护人提出，本案中的信息仅有手机号码和地区，无法识别出特定主体，不应被认定为公民个人信息。按照“识别说”的观点，辩护人的此种说法无疑是正确的，因为没有人能够仅凭手机号码和地区就能识别出信息背后的特定主体。虽然手机号码普遍实行实名登记，但登记所对应的特定主体只能为通信公司所知晓，通信公司之外的其他主体仍然无法确切得知。因此，此时的公民个人信息仅具有间接可识别性，亦如刑事诉讼法中的补强证据，如果没有其他类型的公民个人信息进行补充，是无法实现精准定位的，而且本案中也确实无其他类型的公民个人信息。但是如此限制性理解势必会造成公民个人信息保护力度的降低。侵犯公民个人信息罪的保护法益为超个人法益与个人法益的结合，从公民个人信息法益保护的角度来说，我们可以认为上述仅具有间接可识别性的公民个人信息是能够对侵犯公民个人信息罪所欲保护的超个人法益即公民对信息安全的信赖造成损害的。在上述案例中，手机号码虽然不能精准确定社会中的具体个人，但是如此大量的手机号码泄露势必会给公民带来不安，手机号码的所有人一直处于不安全的状态，不定在某个时候就会遭受不法分子的侵扰。在公民个人法益方面，某些犯罪并不需要精确的个人信息，手机号码就足以实现犯罪，如“猜猜我是谁”式电信诈骗仅凭手机号就可以对公民个人法益造成侵害。若将识别说中的“特定主体”狭义理解为具体的某个人，则会不当限缩公民个人信息的保护范围，也不符合侵犯公民个人信息罪的保护法益。采用广义的方式理解“特定主体”，一方面符合侵犯公民个人信息罪保护公民个人信息安全的立法目的，另一方面也与侵犯公民个人信息罪所保护的超个人法益属性相协调。

(二)公开状态下公民个人信息的保护性

实务对于公开状态下的公民个人信息是否应该保护产生了争议。否定论者认为企业公开信息中的自然人信息不受刑法保护，其主动公开就能够表明信息权人的态度，其他主体对其相关信息合理合法的利用属于公众合理的期待范围[20]，依法公开的信息本就意味着向社会所有人公开，他人作为有权获取该信息的主体，即使行为人向他人出售或提供，这种出售或提供也不能认为违反了国家有关规定[21]，刑法无需介入此种行为。而肯定论者则认为公民个人信息是否应受保护与其所处的状态无关，无论是处于公开、能为他人所得的状态，还是处于封闭、不易或不能为他人所知的状态均应受到保护。

笔者赞同肯定说，认为处于公开状态的公民个人信息仍然具有刑法保护性，公民个人信息的状态与其是否应纳入侵犯公民个人信息罪保护范围并无实际关联。我们并不能从公民个人信息处于公开的状态就认为其不受刑法保护，可由他人任意使用，正如我们不能因为一辆汽车长时间闲置、布满灰尘就允许所有权人之外的其他人占有、使用或处分此汽车。一方面，从法条规定来看。侵犯公民个人信息罪仅规定“公民个人信息”一词，并未对其范围做出限制，《解释》采识别说明确公民个人信息含义，亦并未对公民个人信息的范围做出限制。易言之，侵犯公民个人信息罪对公民个人信息实行的是无差别、无限制的保护，只要符合识别说的标准，能被认定为公民个人信息，就是侵犯公民个人信息罪的保护对象。根据公民个人信息所处的状态来决定是否应受刑法保护不当地限缩了侵犯公民个人信息罪的保护范围，有违立法本意。再者，从侵犯公开状态下的公民个人信息所具有的社会危害性看。公开状态下的公民个人信息准确性强且容易获得，侵犯此类信息的行为所具有的社会危害性更大。信息主体往往为了获得更大的利益而主动将自身信息置于公开状态，这些信息具有绝对的准确性和真实性，一旦被不法分子收集、整理及出售，将给信息主体带来更为直接、明显的损害。如个体户将自身的信息(姓名、手机号)公布于广告牌，目的是为了方便顾客联系自己，进而带来收益，但是被他人获取及出售后所得到的往往不是顾客的咨询而更多的是骚扰乃至诈骗电话，对信息主体造成危害。如果因信息处于公开状态而不予保护，反而会纵容犯罪，导致公民个人信息类犯罪更加严重。

三、“违反国家有关规定的理解”

理论上看，犯罪有自然犯与法定犯之分，侵犯公民个人信息罪犯罪对象虽为人身依附性较强的公民个人信息，但整体来看，将其归为法定犯较为合适。法定犯，又称为行政犯，侵犯公民个人信息的行为是否合法需结合前置法对公民个人信息保护的规定。我国对公民个人信息进行保护的规范散见于其他法律、行政法规之中，所以刑法第253条对此前置法做了轮廓化的规定即“违反国家有关规定”。在现行法律体系庞杂的条件下有必要对其具体内涵加以剖析和理清，以实现刑法明确性的要求[22]。在侵犯公民个人信息罪之前，刑法中只有“违反国家规定”而未有“违反国家有关规定”，而且刑法于总则第96条对“违反国家规定”作出明确解释，因此从体系解释的角度出发，在理解分则“违反国家有关规定”的具体含义时则必须与“违反国家规定”的含义保持一致。

1．“违反国家规定”与“违反国家有关规定”的比较。经检索，在我国刑法中，“违反国家规定”达30多处，将近20个罪名以“违反国家规定”作为成立犯罪的前提条件。因此，如何理解“违反国家规定”的内涵成为准确定罪的前提。我国刑法第96条对此作了明确规定：“本法所称违反国家规定，是指违反全国人民代表大会及常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。”刑法第96条以立法主体为依据对“违反国家规定”进行划分，将地方国家权力机关制定的地方性法规和国务院各部委和地方政府制定的行政规章排除在外。

与“违反国家规定”不同，侵犯公民个人信息罪把处罚出售或提供其在履行职责或提供服务过程中获得的公民个人信息行为的前提条件规定为“违反国家有关规定”。这是刑法中的唯一一处，而且立法部门并未对其具体范围进行解释。2017年两高出台的《解释》第二条对其具体含义进行了明确，将“违反国家有关规定”明确为“违反法律、行政法规、部门规章有关个人信息保护规定的”，相较于刑法第96条对“违反国家规定”的范围，其将“部门规章”纳入前置法的范围之内。

通过上述比较可以看出，相较于“违反国家规定”的范围，《解释》扩大了“违反国家有关规定”的内容，将部门规章纳入进来，而这样的做法是有疑问的，它超出了《刑法》第96条的规定[23]。“违反国家有关规定”作为刑法中的新规定，应由立法机关即全国人大及其常委对其确切内容和含义进行解释，其他机关无权对其含义加以阐释。《解释》系两高为明确侵犯公民个人信息罪在司法实务中的适用而作的司法解释，虽然效力与法律等同，但其本身并不是法律，其只能在法律的现行规定下进行解释和阐明，肆意扩大或缩小法律规定的含义都有以司法解释行立法之嫌疑，有违罪刑法定原则[24]。但从现实角度考虑，两高先于立法机关对其加以规定，亦有其合理性，而且在已成事实的前提下一味地否决也不利于侵犯公民个人信息罪打击犯罪功能的实现，因此在法治的原则下对其进行解释使其回归法治的渠道则成为应然之举。

2．对“部门规章”应采取限缩解释。在选择对部门规章的解释方法时，首先要探讨刑法第96条将部门规章排除在外的原因，只有这样才能使得对部门规章的解释与刑法第96条的规定保持实质上的一致。笔者认为刑法第96条明确将部门规章排除在外，是为了否定部门规章相对于法律、行政法规在适用上的独立性，而不是完全排除其适用，若部门规章以附属于法律或行政法规的形式进行适用则是可以的。由此而言，在解释部门规章时应从附属性角度进行解释。当部门规章是在法律或行政法规适用的前提下，以法律、行政法规细化规定的形式而出现时，此时的部门规章是具有附属性的，并不具有独立意义。反面来说，在法律、行政法规对公民个人信息保护的某方面未作出规定而部门规章对此方面作出规定时，部门规章不具有附属性，部门规章不能适用。因此，部门规章的范围应仅限于本身是对法律、行政法规的细化规定，此种理解正是限缩解释的方法[25]。在具体如何限缩时，有学者提出采用客观目的解释来限缩“国家有关规定”的范围[12]，这种做法虽也符合法理但是太过琐碎而不具有现实操作性，变相地增加了法律适用的负担。因此笔者更赞同第一种做法，即部门规章本身是对法律、行政法规中个人信息保护规定的明确和细化时可直接适用。这一方面符合刑法第96条的实质含义，另一方面操作性更强，法官更易适用。如《消费者权益保护法》第29条，经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。而事实上《消费者权益保护法》并未就明示收集、使用消费者信息的目的、方式和范围作出具体规定，因此当出现需要认定经营者非法收集、使用消费者个人信息行为时，若相关部门规章对此作出如何明示收集、使用消费者个人信息的目的、方式和范围作出细化规定时，则可以援引部门规章。

侵犯公民个人信息罪作为保护公民个人信息的专门罪名，对于遏制和打击公民个人信息类犯罪具有重要作用。本文针对侵犯公民个人信息罪的保护法益、公民个人信息的范围等展开讨论，以期对本罪的理解提供些许帮助。当然，侵犯公民个人信息罪会随着实践而不断出现新情形、新问题，出现的新问题则需继续研究。