查看原文
其他

华政学报 | 杨楠 侵犯公民个人信息罪的空白规范功能定位及适用限度

杨楠 华东政法大学学报 2022-05-11

侵犯公民个人信息罪的

空白规范功能定位及适用限度


作者简介

杨楠  东南大学人民法院司法大数据基地特约研究员

本文系国家重点研发计划“面向诉讼全流程的一体化便民服务技术及装备研究”(项目号2018YFC0830200)的阶段性研究成果


目  次

一、问题的提出

二、侵犯公民个人信息罪“违反国家有关规定”的外延之争

三、侵犯公民个人信息罪“违反国家有关规定”的教义学本质

四、侵犯公民个人信息罪“违反国家有关规定”的适用规则

五、结论


摘  要

司法解释在阐明侵犯公民个人信息罪“违反国家有关规定”这一空白规范时,扩张性地将部门规章也纳入判断前置违法性的规范依据中,这与《刑法》第96条中“违反国家规定”的含义并不一致。厘清部门规章是否属于“国家有关规定”的前提是,辨明“违反国家有关规定”在认定侵犯公民个人信息罪中所发挥的功能。虽然刑法规定看似严整,但定案时仍需参照其他规范填补构成要件,故“违反国家有关规定”属于构成要件要素。同时,在获取和使用公民个人信息时,不仅存在法令行为、经行政许可的行为等法定正当化事由,还不乏正当业务行为等超法规正当化事由,因此“违反国家有关规定”也发挥着提示违法阻却事由的机能。当“违反国家有关规定”作为构成要件要素时,不应以部门规章为依据将行为入罪;而当其发挥提示违法阻却事由机能时,部门规章乃至规范性文件、行业规范、当事人约定等,均可作为出罪事由。


关键词

侵犯公民个人信息罪 违反国家有关规定 

构成要件要素 提示违法阻却事由


一、问题的提出

为了加强个人信息保护,《刑法修正案(九)》对侵犯公民个人信息罪做了重大调整。其中,作为空白规范的“违反国家规定”被修改成“违反国家有关规定”。2017年6月1日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“‘两高’《信息解释》”)第2条指出,“违反国家有关规定”是违反法律、行政法规、部门规章有关公民个人信息保护的规定。然而,同属空白罪状的表现形式,“违反国家有关规定”与《刑法》第96条“违反国家规定”的外延并不一致,“两高”《信息解释》在“法律”和“行政法规”之外,又将“部门规章”纳入其中。这看似可以满足加强公民个人信息保护的现实需要,但却引发了诸多疑问。“为什么部门规章不属于‘国家规定’,却属于‘国家有关规定’?”“违反国家有关规定”与“违反国家规定”在罪质认定中发挥的机能是否相同?上述区别是否合乎刑法的基础教义?这些都一跃成为理论和实务界中亟待解决的命题。


二、侵犯公民个人信息罪

“违反国家有关规定”的外延之争

出于对侵犯公民个人信息行为的有效治理,有学者认为,与“国家规定”相比,“国家有关规定”的范围更宽,应当包括法律、行政法规、规章等国家层面涉及公民个人信息保护的规定。这有利于根据不同行业、领域的特点,有针对性地保护公民个人信息。为了解决法律规范的供给不足,该观点试图通过充实禁止性规范的内容强化对公民个人信息的保护。在这一立场的导向下,部门规章就被理所当然地作为前置违法性的判断依据。然而,对于其他犯罪,只有行为违反法律和行政法规且满足其他条件才可能构成犯罪,部门规章并不能用来判断前置违法性。有学者走得更远,甚至认为“空白罪状所指明的需要参考的法律的范围和级别并不明确……立法者绝对没有把罪刑法定之‘法’限制为狭义的法律,而是包括了行政法规、规章和命令以及地方性法规、规章、自治条例和单行条例在内的一切具有普遍效力的法律。”如此一来空白规范可以参见的规范被大大扩张刑法的处罚范围也变得愈加宽泛这虽然迎合“两高”《信息解释》所希冀的效果但也面临着诸多诘问

有学者对上述观点提出质疑,认为从刑法的基本教义考察,司法解释的这种规定是违反罪刑法定主义的;部门规章的法律层级太低不能作为刑法的补充性法源。“如果侵犯公民个人信息罪所调整的法益,包含所有部门规章及规范性文件中涉及的公民个人信息的全部内容,其打击范围就会有过宽之嫌。”随意扩张犯罪的构成要件要素既不符合刑法解释的基本要求也会导致刑法适用标准的不一致还因行政部门业务的专业性而丧失中立立场导致对人权的破坏。所以,反对论主张,部门规章不能被纳入空白规范的参照范围中。司法解释不能根据需要任意扩大犯罪圈,法定犯所违反的前置法的范围不可扩大至《刑法》第96条“国家规定”以外的规范。针对全面扩张空白规范的论断,更有学者指出:“对于‘国家规定’等法定犯法源,必须严格遵守相关规定,反对任意扩张‘国家规定’等形式性要素的范围,主张具体引用,反对模糊指向,杜绝随意出入人罪。”

相较于前两种观点,还有学者采取了折中的路径,认为:“为了避免‘政出多门’而无所适从,也基于‘国家规定’的参照提示作用,理应将部门规章作限制解释和狭义理解,排除同级地方性法规、广义部门规章中的地方行政规章。”该观点是在赞同部门规章可以作为法源的基础上再对之进行限制只反对将非国家层面的地方性法规、自治条例和单行条例等也解释进来。可见,这种折中的路径似乎与支持论更为亲和。首先,反对论是针对将部门规章作为侵犯公民个人信息罪的空白罪状所导致的弊害进行批判和证成,折中说限缩部门规章范围的观点无法消弭反对论所指出的理论缺陷。其次,根据制定主体不同,行政规章通常可分为部门规章和地方政府规章,部门规章是指国务院组成部门根据法律和国务院的行政法规、决定、命令,在本部门权限内制定的行政规章。所以,部门规章中自始不包含地方性法规、自治条例和单行条例等。折中说对其外延所作的限制并无实益只不过是刻意扩张之后又试图进行“限缩”由此也导致“限缩”后的外延与概念本身的涵摄范围并无差别。因此,折中论与支持论在本质上属于同一理论阵营。

上述对部门规章作为“国家有关规定”的论争虽不乏合理性,但逻辑上却不尽周延。“违反国家规定”存在诸多功能,而只有其在作为构成要件要素时,才可能因外延的扩张而背离罪刑法定主义,呈现破坏法秩序统一性的征兆,并存在肆意扩张刑法处罚范围、不当限制公民自由的嫌疑。反之,当“违反国家有关规定”仅作为提示违法阻却事由时,引入部门规章不仅不会使实质违法性判断的功能削弱,反而会通过填补更多的合法事由使出罪机能得以强化。因此,廓清“违反国家有关规定”在犯罪认定中的机能是判断部门规章能否成为前置违法性判断依据的前提而上述讨论均忽略了对这一大前提的外部证成。对此,我们需要以空白规范的相关理论为基础,结合本罪的构成要件,再进行分析。


三、侵犯公民个人信息罪

“违反国家有关规定”的教义学本质

《刑法》中“违反”的意涵并不完全相同。有学者将其划归为“提示存在违法阻却事由”“要求行为违反行政管理法规”“表示未经行政许可”“强调行为非法性质”以及“相关表述同位语”五种类型。也有学者认为其无非具备两种功能:一是作为犯罪的构成要件要素;二是发挥增强语感的强调作用。前者具有决定犯罪成立的实质意义,而对于后者,该要素的存在与否,并不影响犯罪成立。既然对“部门规章”的诟病,仅在“违反国家有关规定”作为“要求行为违反行政管理法规”(即作为犯罪构成要件要素)这一功能时才有实益,那么辨别“违反国家有关规定”的规范本质就十分必要了。


(一)“违反国家有关规定”的机能之争


对于这一问题,有观点主张“违反国家有关规定”属于提示违法阻却事由。因为,《刑法》第253条之一中的违反国家有关规定“是对侵犯公民个人信息罪违法阻却事由的反向重申,属于表面的构成要件要素,其价值在于强调对于具有法令行为、业务行为等阻却违法性事由的行为不成立犯罪”。也有学者指出,与交通肇事罪不同,侵犯公民个人信息罪中指明了行为内容,即便将“违反国家有关规定”删除,其罪状结构也完整,能够独立判断行为性质。因此,只要实施向他人提供或者出售公民个人信息的行为,都是符合本罪构成要件的行为,就能够推定为违法行为。根据上述观点,如果行为人一旦向他人出售、提供公民个人信息或者将在履行职责或提供服务时获得的公民个人信息出售、提供给他人,就可推定违法。如果缺乏违法阻却事由,且行为人可被刑法非难时,该行为就构成犯罪。此外,根据表面构成要件的基本原理,“违反国家有关规定”不仅实体上不属于犯罪成立的必备要素,而且在程序上也无须被控方举证证明。

有学者对上述观点进行了批判,认为仅仅依靠“违反国家有关规定”之外的构成要件要素无法论证犯罪的成立,理论和实务中对“违反国家有关规定”说明义务的遗忘也使得该要素被虚置。因此,“违反国家有关规定”应是成立侵犯公民个人信息罪的必要条件是进行犯罪认定的前提。也有观点以“法律允许合法的个人信息交易和流动,对于被收集者同意和经处理无法识别且不能复原”为依据,主张“违反国家有关规定”是侵犯公民个人信息罪的构成要件要素。我国有关司法判决也采取此观点。此外,德国刑法学界也有观点认为,使用此类空白刑法的意图必须是填补法律中阙如的构成要件要素,无涉其成立、效力、内容以及适用性等问题。空白规范恰似“找寻灵魂的迷途躯体”(irrenden Körper, der seine Seele sucht)。因此,为了获得(完整的)犯罪构成要件要素,必须用被违反了的空白规范对之进行补充。在司法实务中,2018年11月9日最高人民检察院《检察机关办理侵犯公民个人信息案件指引》第2条指出,办理侵犯公民个人信息案件时,应对犯罪嫌疑人“违反国家有关规定”进行举证。这种举证责任上的要求,也表明最高检察机关将“违反国家有关规定”视为侵犯公民个人信息罪的构成要件要素,而非仅仅作为提示存在违法阻却事由。

不难看出,上述两种观点在论证时均围绕两个核心命题展开:第一,刑法对侵犯公民信息罪的规定是否完整,若不参照其他部门法,是否可以对不法行为的性质做独立判断;第二,其他部门法关于个人信息合法获取和使用的规定在刑法中究竟应被视作构成要件要素还是违法阻却事由。在回答这两个问题之后,关于“违反国家有关规定”能否作为表面的构成要件、是否需要公诉机关举证证明的疑问,也就迎刃而解。


(二)“违反国家有关规定”复合型机能之证立


关于“违反国家有关规定”是“构成要件要素”抑或“提示违法阻却事由”的观点均存在一定道理,但却不乏纰缪。“提示违法阻却事由论”矮化了空白罪状的构成要件填补机能,而“构成要件要素论”却忽略了正当行为的出罪价值,因此上述两种观点均应被修正。

首先,“违反国家有关规定”属于构成要件要素。援引的规范虽然没有明确载入刑法条文中,但却可以参与规范评价,它通过空白的构成要件要素被实际地纳入刑法规范中,被视为刑法的一部分。一般认为,我国《刑法》第133条交通肇事罪中的“违反国家规定”属于典型的空白罪状,因为刑法并未叙明“交通肇事”这一不法行为,而须参照《道路交通安全法》等规范。有观点主张,对于刑法条文中的“违反国家规定”,当且仅当该罪的行为要件缺失而需要参照其他法律、法规的,才能被视为空白罪状,其他的均不在此列。然而,构成要件要素不可能仅局限于不法行为,当然还包括犯罪对象以及犯罪主体,甚至不法结果和行为人主观方面等要素都有可能缺失,因而成为被其他规范填补的对象。例如,《刑法》第338条的污染环境罪,对“有放射性的废物、含传染病病原体的废物、有毒物质或者其他有害物质”的界定,也需参照《环境保护法》《大气污染防治法》《水污染防治法》等规范;还如,《刑法》第225条非法经营罪中的“未经许可经营法律、行政法规规定的专营、专卖物品或者其他限制买卖的物品”,其并不属于客观行为,但也必须借助《行政许可法》《烟草专卖法》和《食盐专营办法》等判断本罪构成要件的符合性。在“杨某某等非法经营案”中,被告人杨某某非法经营期货业务,情节特别严重。检察院指控被告人杨某某等构成非法经营罪。对此,辩护人指出,被告人所从事的并非非法期货交易活动,定罪建议失当。法院最终援引《期货交易管理条例》有关规定,对辩护意见不予采信。因此,至少可以肯定的是,无论在理论上抑或司法实践中,“违反国家规定”并不仅仅用以补充构成要件中的不法行为,也往往被用来填补其他构成要件要素,例如前述的犯罪对象。

反观侵犯公民个人信息罪虽然刑法对不法行为做了明确规定但若以此为据主张本罪构成要件齐备、无须参见其他部门法就可进行独立判断显然是不可能的。比如,刑法未对“公民个人信息”进行明确,我们无法在不得知这一核心要素涵摄范围的前提下,对行为的构成要件符合性做出判断。在罪质认定时还须借助《个人信息保护法》《民法典》《网络安全法》中的有关规定厘清“公民个人信息”的内涵和外延。在“陈某某等侵犯公民个人信息案”中,被告人陈某某利用工作便利,通过从公司后台下载等方式获取公民个人信息后出售。辩护人提出,有的信息只包含手机号码、有的仅是电话号码及时间,而这些均不具有可识别性,因而不属于法定的“公民个人信息”。对此,合议庭根据《网络安全法》第67条并结合“两高”《信息解释》,认定上述信息具有间接可识别性,对辩护意见不予采信。还如,在“刘某等侵犯公民个人信息案”中,被告人将某镇扶贫人员名单中的信息非法提供给他人。辩护人以被扶贫对象的姓名属于政府应该公开的信息,公民有权知悉为由抗辩。对此,法官援引《居民身份证法》第13条,中共中央办公厅、国务院办公厅《关于深化政务公开加强政务服务的意见》第7条的规定,以及国务院扶贫办《扶贫开发建档立卡工作方案》的有关规定,认定上述信息属于公民个人信息。此外,《个人信息保护法》第4条规定,个人信息不包括匿名化处理后的信息;《网络安全法》第42条也规定,如果公民个人信息经过处理无法识别个人且不能复原的,在未经信息主体同意的情况下,可以向他人提供。其实,这一规定属于一项阻却构成要件符合性事由,并非阻却违法事由。无论是《网络安全法》,抑或刑法司法解释,均确立了认定公民个人信息的“可识别性”原则,亦即只有具备单独识别或者结合识别特定自然人身份可能性的信息才属于个人信息,也只有对此类信息的非法收集和提供才可能侵害公民个人信息权。如果对信息做去识别化处理后,由于其不具有指向特定自然人的能力,就不能再作为公民个人信息。显然,这直接指向对本罪构成要件符合性的判断,与违法阻却事由并无关系。既然“违反国家有关规定”在侵犯公民个人信息罪中不仅起犯罪分类的作用还发挥了填补构成要件的机能也为侵犯公民个人信息罪提供违法和责任的根据其在实体上就属于构成要件要素而且在程序上应由控方举证证明

其次,“违反国家有关规定”也用以提示违法阻却事由。如果说“违法阻却事由论”低估了“违反国家有关规定”对构成要件的填补功能,那“构成要件要素论”也忽略了“违反国家有关规定”的实质出罪价值。从前述论证中可以看出,“构成要件要素论”也不无问题。一方面,理论与实务中不对“违反国家有关规定”尽说明义务并不能作为其属于“构成要件要素”的依据,而是未将其作为“构成要件要素”而导致的消极结果。因此,这一理由显然不能作为论据支撑上述观点。另一方面,与“提示违法阻却事由论”一样,“构成要件要素论”也以个人信息的合法流动为据证立其观点。但是,“该类允许,是以与不法构成要件相对的合法构成要件的允许规范形式出现的。当存在合法化事由时,不法构成要件中所包含的禁止规范作为法义务不适用于具体案件。” 也就是说这种合法是一种例外是在行为符合构成要件要素并被推定违法之后根据有关违法阻却事由进行的价值判断。因此,这不但不能证明其属于构成要件要素的范畴,反而在佐证“违反国家有关规定”属于违法阻却事由。例如,在“易某某侵犯公民个人信息案”中,被告人多次非法获取公民房产信息、学生相关信息以及淘宝网购客户信息等公民个人信息,并利用上述信息从事电信诈骗活动。法官认为:“公民个人信息常理不可能以合法手段获取,其又无法证明获取公民个人信息的正当理由,故应认定其为诈骗而取得的公民个人信息为非法获取。”可见,法官同样是根据不法行为符合构成要件要素而推定其具有违法性,在此基础上又进一步考察是否存在正当根据。同时,根据刑法教义学基本理论,该观点中所论及的法令行为、业务行为属于“基于法益衡量阻却违法的事由”,而被害人同意也属于“因法益性的阙如而阻却违法的事由”,这种判断并不是在构成要件符合性阶段完成的,也就无涉构成要件要素这一问题。

“刑法通过定罪量刑剥夺他人自由,但是通过法治国的罪刑法定原则的实质侧面又让不具备实质可罚性的行为得以出罪,因此‘刑法不仅仅限制自由,它还创造自由’。”事实上,作为典型的法定犯,侵犯公民个人信息罪确实有许多实质出罪的空间需要用“违反国家有关规定”进行提示。首先,公权力机关以及公共服务机构依法对公民个人信息的收集、存储、处理和共享因其属于“法令行为”或“行政许可行为”而阻却违法性。例如,《个人信息保护法》第13条第1款规定的“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所必需”“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”等情况下,个人信息处理者处理个人信息可以不取得个人的同意。其次,在市场经济和其他社会交往活动中,信息主体往往需要向服务提供者提供相关个人信息,根据《网络安全法》有关规定,只要是因业务需要而合法、正当、必要地收集和使用个人信息也因属“业务行为”而阻却违法性。在“周某某侵犯公民个人信息案”中,被告人周某某为扩大客户量、提升业绩加入多个以“交流信息资源”为目的的QQ群,从中交换包含公民个人信息的企业法人等资料。在本案的审理中,法官以正当经营为由,将被告人非法获取的一部分信息排除出侵犯公民个人信息的数量之外。可见,纵使这部分信息也是被告人通过非法手段获取的,但由于其用于正当经营活动又并非司法解释中规定的重要敏感信息,因此在法益衡量后排除其违法性。再次,个人信息权的核心是信息自我决定权。如果特定信息是经过同意被收集、处理和流动的则不存在法益侵害的可能性。然而,司法实践中对被害人同意收集个人信息而认定违法性阙如的案件甚少,甚至有案件认为同意与否不会影响案件性质。例如,在“马某等侵犯公民个人信息案”中,被告人因代办处理车辆违章需要查询车辆违章信息,遂通过手机微信群发送有偿查询车辆违章信息的信息,一审被判处侵犯公民信息罪。在本案二审中,辩护人主张,一审判决所认定的信息都是车主自愿的、同意的,也是在车主配合下才能完成的,这并未侵害公民个人信息权利。对此,二审法院认为:“上诉人以牟利为目的,利用工作职责的便利非法获取公民个人信息,通过网络形式随意出售给未经核实真实身份的人,使得车辆所有权人的信息被泄露,其上述行为已直接侵害到公民个人的信息安全和自由,甚至给公民个人生活带来隐患”,遂对该意见不予采信。在本案中,且不论裁定的结论是否合理,单就法官对被害人同意是否能阻却违法的反驳就缺乏说服力。“权利人同意”是为保障行为自由的,这种自由的行使同时消除了法益侵害性以及构成要件符合性;这同时也是自我决定权的体现。辩方强调的是,上诉人所获得的信息是经过信息权人同意的,也是在信息权人的配合下才收集和获取的,而这意味着信息权人对特定信息控制权的放弃或移转,故不存在法益侵害的可能性。而法官却始终铺陈不法行为、叙述构成要件符合性,未对辩护人提出的正当事由做回应。因此,这一论证逻辑不周延,其裁判结果也值得进一步推敲。面对司法实践中忽略正当事由、将不具有法益侵害性的行为认定为犯罪的现实情况强调“违反国家有关规定”提示存在违法阻却事由的机能也就更为必要了

最后,“违反国家有关规定”的复合型机能具有合理性侵犯公民个人信息罪中的“违反国家有关规定”既用以补充构成要件也发挥着提示违法阻却事由的作用。在德国刑法中,也有观点认为,对于刑法中的同一空白规范可能具备空白罪状和整体评价(gesamttatbewertendes)双重机能,例如德国《刑法》第356条“对当事人背任罪”中的“违反义务”,一方面指《联邦律师法》第43a条第4款规定,即律师不得同时为利益冲突双方代理;另一方面违反义务的要求被赋予了进一步的评价犯罪的功能,这也可能具有一定的限制作用。倘若不将其作为构成要件要素,则会对犯罪认定造成障碍;倘若不认为其具备提示正当性的功能,往往导致对实质违法性的判断发生偏差。所以,任何单一的机能定位均失之妥当。或许有人质疑,构成要件具有违法推定机能,而且在二阶层的犯罪论体系中,构成要件与违法阻却事由均用以判断不法,只是构成要件属于积极判断,而违法阻却事由属于消极判断罢了。从这一层面来看,所有的构成要件要素均属于不法要素,论者所主张的双重机能似乎只是对犯罪论基本原理的重申,并无创见。然而,事实并非如此。首先必须肯认构成要件和正当化事由同属不法判断的一体两面无论是积极判断抑或消极判断均属于不法判断。可是,对“违反国家有关规定”规范属性的考察不应仅停留在将其界定为不法要素这一层面否则对法定犯前置违法性范围的检视毫无实益。因此,必须廓清“违反国家有关规定”在罪质认定中究竟作为构成要件要素发挥入罪功能,还是作为正当性根据发挥出罪功能。特别是在司法机关所做的扩张性解释与刑法规定发生冲突的情况下这种考察就更为必要。其次,也无法根据犯罪论的基本原理推导出某个不法要素既属于构成要件要素又发挥提示正当化事由的机能、既用以入罪又可以出罪这一结论。不管是自然犯抑或法定犯,在构成要件要素被明确规定的情况下,主体、不法行为、对象、不法结果以及其他主客观情状等往往用来判断构成要件的符合性,不存在阻却违法性的空间。即使在以“违反……”“非法……”为空白规范的场合,也不见得这些空白规范必然兼具前述两种功能。例如,《刑法》第297条“非法携带武器、管制刀具或者爆炸物参加集会、游行、示威罪”中的“违反法律规定”就仅仅表明,如果行为不具备正当事由就会构成犯罪。此外,《刑法》第350条的“非法生产、买卖、运输、走私制毒物品罪”以及《刑法》第355条的“非法提供麻醉药品、精神药品罪”中的“违反国家规定”亦是如此。可见,某一不法要素既用于积极入罪又用于消极出罪的现象只有在空白规范作为构成要件要素的前提下才有可能发生具有一定的特殊性。而且,这种双重机能无法根据犯罪论的基本原理推导出来是对具体考察特定罪名所得出的结论

此外,这种复合型的功能定位也不会冲击对“非法”或“违反国家规定”既定的功能划归不会因功能之间的界限不清而影响对刑法条文的解释。“违反国家规定”不同功能之间难于区分并非依本文逻辑所衍生出的新问题属于其固有的理论缺陷。首先,仅以刑法是否规定不法行为为依据而区分“提示违法阻却事由”与“构成要件要素”不尽合理。一方面,对许多刑法业已规定不法行为犯罪仍需要借助其他法律规范来判断罪质。例如,支持上述观点的学者所例举的《刑法》第137条工程重大安全事故罪,其中“降低工程质量标准”即是不法行为;也如《刑法》第396条私分国有资产罪,“以单位名义将国有资产私分给个人”同属不法行为;还如《刑法》第405条的徇私舞弊发售发票、抵扣税款、出口退税罪中的“在办理发票、抵扣税款、出口退税工作中,徇私舞弊”,尽管具有较强的规范意涵,但也属于构成要件行为。然而对于上述几种犯罪,仅凭借《刑法》无法做出准确认定,还必须根据相关行政法规予以确定。另一方面,不作为犯更能说明问题。《刑法》第139条的消防责任事故罪是真正的不作为犯,“经消防监督机构通知采取改正措施而拒绝执行”即是其不法行为,而这种消极不履行义务的行为更需要参照《消防法》等法律规范予以确定。因此,纵使诸多学者将构成要件不齐备或不具备构成要件行为作为判断“违反国家规定”是否属于“构成要件要素”的标准,但也确实存在例外。这恰恰说明,上述两大功能之间的界限并不清晰。其次,“表示未经行政许可”与“提示违法阻却事由”“构成要件要素”之间也容易混同。“表示行政许可”其实只是一种形式上的概括,而其最终还得回归到特定的许可事项究竟在哪个层面讨论、发挥何种作用的问题。由于学界对行政许可的性质存在争议,有观点认为其可能阻却构成要件,也有观点主张其阻却违法。例如,《刑法》第288条规定的“扰乱无线电通讯管理秩序罪”中,如果未经行政许可而擅自设置、使用无线电台是构成要件要素,那么获得此许可则阻却构成要件要素;反之,如果未经行政许可属于违法性要素,则获得设置或使用无线电的许可则是阻却违法事由。因此,“表示行政许可”与“提示违法阻却事由”“构成要件要素”自始难于区分。最后,“强调行为的非法性质”和“相关表述的同位语”间的关系也扑朔迷离。在形式上,相关罪名构成要件齐备;在实质上,上述两种功能既不要求查明具体的行政法规,通常情况下也不需要判断是否存在违法阻却事由,很难做出区分。甚至可以认为,虽然具备形式上的标准,但上述类型并不属于“适格的空白罪状”(Qualifizierte Blankettgesetz),因为其并不会引起法律适应性与合宪性、灵活性与稳定性之间发生冲突的理论问题。总之,“违反国家规定”的各种功能之间并不存在非此即彼的关系,相互间的界限也并不绝对清晰,而是由于对其功能的过度划分而致使各功能间存在一定的交叉或重叠。因此,在现实中,同一个刑法条文中的“违反国家规定”存在多种功能也就不足为奇了。

综上,侵犯公民个人信息罪中的“违反国家有关规定”呈现出多重面相,它既能用以补充构成要件也发挥着提示违法阻却事由的功能。这种复合型的功能并未扰乱“违反国家规定”的既定功能分类,也没有招致新的理论问题


四、侵犯公民个人信息罪

“违反国家有关规定”的适用规则

纵使空白刑法这一立法技术也能规避旷日持久的立法活动,并通过行政部门的灵活性应对新的社会问题,但法律也必须避免类似于家长制的规制效果。通过对“违反国家有关规定”是否属于构成要件要素这一前提的证成,我们需要再一次将问题回归到部门规章能否作为“违反国家有关规定”这一问题上,对“违反国家有关规定”的解释逻辑和信息时代刑法应坚守的基本立场进行回应


(一)“国家有关规定”作为构成要件要素时不宜包含“部门规章”


违背其他规范中的禁止性规范是空白刑法的重要特征,仅当在犯罪认定中必须参照其他法律的禁止性规定时才能称为真正意义上的空白刑法。在这种情况下,刑法对犯罪的基本规定是不完整的,只能根据所委任的法律规范对行为规范做出完整的说明。同时,刑法分则规定的有关具体犯罪的构成要件是判断犯罪成立与否的唯一标准,而这也应属于法律保留的事项。既然“违反国家有关规定”是构成要件要素,那就不容司法解释突破法律规定随意扩张。必须严格遵照《刑法》第96条之规定,否则便背离了罪刑法定主义。

“刑法作为有形或无形的犯罪打击工具,具备物性或工具主义的形而上学本质特征。”正基于这种特性,部门规章在司法实践中往往不当扩张侵犯公民个人信息罪的处罚范围。在“陈某某侵犯公民个人信息案”中,控辩双方对“网络域名”是否属于公民个人信息存在分歧。辩护人提出,网络域名是一种虚拟信息,并非法律意义上的财产信息,故被告人不构成公民个人信息罪。对此,法官援引工信部《互联网域名管理办法》指出:“网络域名是指互联网上识别和定位计算机的层次结构式的字符标识,与该计算机的互联网协议(IP)地址相对应。域名的注册遵循先申请先注册原则,其具有专属性和唯一性。”本案中,我们虽不否认网络域名可以指向特定计算机,但它也仅仅指向的是某一个服务器,而非特定自然人。且不论同一IP地址在不同时间可能会分发给不同的网络服务使用者,即使在特定时间内,想要查明域名对应的计算机IP,一般人通过正常途径也无法实现。而且,对识别性的判断也必须采用“一般人标准”,所以网络域名不能被作为个人信息予以保护。再者,个人信息权是公民对自己所产生信息的自我决定权,如果将网络域名作为个人信息,那该信息上所承载的权能也无法实现。本案法官没有以“可识别性”标准进行具体判断仅仅援引《互联网域名管理办法》这一行政规章就认定网络域名属于个人信息这不当扩张了个人信息的范围。类似的还如,2005年8月18日中国人民银行《个人信用信息基础数据库管理暂行办法》第4条,在本规定中,作为个人信息组成部分的“个人信贷交易信息”和“反映个人信用状况的其他信息”并未要求具备对特定自然人的可识别性,而只需要与特定自然人具有关联性即可。也就是说,任何用户所产生的信贷信息均可被认为是个人信息。不难发现,该规章对个人信息的界定远大于《网络安全法》第76条第5款之规定。但是,“法律优先原则”确立了法律相较于行政法规和规章的绝对优越地位。这是立法权高于行政权、行政从属于法律的具体体现,也是法律至上原则的具体适用。将不具有识别性的信息纳入公民个人信息之列不仅导致侵犯公民个人信息罪处罚范围的不当扩张,而且有违“法律优先原则”的基本要求

更有甚者一些与个人信息保护并不相关的法律规范也被用作证明信息获取和流动违法性的规范依据。在“郑某等侵犯公民个人信息案”中,被告人为了推销某奶粉,授意公司员工通过拉关系、支付好处费等手段,多次从数个医务人员手中获取公民个人信息。检察机关指控其构成侵犯公民个人信息罪。辩护人提出,涉案孕产妇信息不是医生在履行工作职责中获得的,不违反国家的禁止性规定。对此,法院根据《母乳代用品销售管理办法》《关于医疗机构不得展示、推销和代售母乳代用产品的通知》和《中华人民共和国母婴保健法》指出:“上述规定禁止生产者、销售者向医疗卫生保健机构、孕妇、婴儿家庭赠送产品、样品;禁止医务人员通过医疗服务为生产、经营企业推销产品从中获利;禁止医务人员接受生产者、销售者为推销产品而给予的奶粉馈赠等。”空白刑法规范存在不完整性,其本身并不属于有意义的行为规范。因此,空白刑法中的构成要件和对行为的处罚至少分属于两个不同的规范之中,因此需要采用法律技术将其结合起来。这便需要对规范的区别性、相似度以及条文间的关系进行判断。显然,除了《母婴保健法》是全国人大常委会颁行的法律之外,作为部门规章的《母乳代用品销售管理办法》(已于2017年12月13日失效)和作为规范性文件的《关于医疗机构不得展示、推销和代售母乳代用产品的通知》均没有资格作为“国家有关规定”来填补本罪的构成要件。同时,侵犯公民个人信息罪的“违反国家有关规定”是规制公民个人信息获取和使用、保护公民个人信息权的法律规范。但是,本案判决中所载明的规范旨在通过禁止医疗推广,规范医疗活动、引导乳制品生产商依法营销,此中无涉对个人信息保护的事项。亦即,上述规范禁止的是医生通过医疗活动推销乳制品的行为,而不是禁止医生非法收集孕妇及新生儿的个人信息。因此,用《母乳代用品销售管理办法》等证明被告人的行为违反有关公民个人信息保护的禁止性规定,存在逻辑上的缺陷。通过上述案例中我们还发现,其他规范性文件也试图被用来证明“违反国家有关规定”,这或许也是“部门规章”突破《刑法》第96条所引发的负面效应。又如,在“罗某侵犯公民个人信息案”中,法官以《四川省公安机关公安信息系统数字身份证书管理办法》《四川省公安机关辅助人员借用公安信息系统数字身份证书管理办法》等一系列规范性文件为据,证明被告人是在违反公安机关关于公安信息系统数字身份证书禁令的情况下获取公民个人信息。对于认定犯罪这一法律保留事项连“行政法规”能否参照尚存争议“部门规章”都应排除在外更遑论位阶更低的规范性法律文件了

大数据时代个人信息的兴盛增扩了信息体量,但这并不意味着法律应继续甚至强化传统的个人信息保护。试图通过部门规章“有针对性地保护公民个人信息”难以奏效。在判断构成要件符合性时,将部门规章纳入“国家有关规定”会扩大个人信息外延、增设不法行为类型,从而不当扩张侵犯公民个人信息罪的处罚范围。此外,虽然法定犯的可罚性取决于行政法规范的规定或行政机关的行政决定, 但在一些案件中,法官还通过与公民个人信息保护毫不相关的法律规范来证明行为的前置违法性,这不仅与《刑法》第96条的规定相冲突还动摇法定犯的理论基础。同时,将部门规章作为“国家有关规定”还起到消极的示范作用,在一些案件中,法官不惜用位阶更低的规范性文件、甚至是企业内部规范,证明行为违反了“国家有关规定”。这不仅不具备形式合法性也欠缺实质合理性


(二)部门规章以及位阶更低的规范可用以判断实质违法性


刑法不能成为“安全法”,而应是善良人的大宪章和犯罪人的大宪章。在我国不断加强信息数据保护的现实背景下,司法机关对侵犯公民个人信息行为的打击保持高压态势。一方面,相关司法解释对构成要件中诸多行政要素进行了扩张性解释有的甚至存在类推的嫌疑。这虽然与现行刑事政策步趋一致,但其诸多规定却与相关法律和行政法规相冲突。另一方面,司法实践中在“违反国家有关规定”用以判断构成要件符合性时控方的举证也往往存在问题。在一部分案例中,法官用与公民个人信息规制毫无关联的信息证明行为违反前置行政法规(如前述的“郑某等侵犯公民个人信息案”);在另一部分案例中,法官并未对行为人违反何种规定、如何违反该规定进行举证,仅仅简单援引了《刑法》和相关司法解释的有关条文,而且这种情况在司法实践中为数不少。在“苏某侵犯公民个人信息案”中,检察机关与法院都只提及被告人“违反国家有关规定”,并未对规范的名称以及行为对规范的违反情况进行说明,这不仅有违最高人民检察院《检察机关办理侵犯公民个人信息案件指引》第2条的规定,也不利于刑法矫正机能的实现。诚如学者所言,“无论对于绝对的空白规范抑或相对的空白规范,行为人不仅要知道空白的构成要件被填补了(这一事实),还必须知晓究竟填补了哪一个空白概念。因为,构成要件要素的缺失会使空白规范不具有(对犯罪行为的)描述性,而空白概念本身也不存在规范意义。”上述案例中不对“违反国家有关规定”释明的做法,无疑会导致入罪的随意性增强。在入罪范围被不断扩大的现状下,从实质上对不存在法益侵害性或法益侵害性甚微的行为予以出罪也就刻不容缓。

虽然我国《个人信息保护法》已经颁布,但许多有关信息收集、存储和使用等具体内容还需要通过民事和行政法律规范进行贯彻。而部门规章中的规定在与上位法不发生冲突前提下就可以作为侵犯公民个人信息罪的出罪事由。例如,2016年7月27日交通运输部、工信部、公安部、商务部、工商总局、质检总局和国家网信办《网络预约出租汽车经营服务管理暂行办法》第27条规定,网约车平台公司应当遵守国家网络和信息安全有关规定,所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年,除法律法规另有规定外,上述信息和数据不得外流。据此规定,从事网约车服务的公司依法有权收集和存储公民个人信息,而这种授权就是可用以阻却违法性。类似的,2016年12月12日国家旅游局《旅行社条例实施细则》第49条第1款规定,旅行社及其委派的导游人员、领队人员在经营、服务中有权要求旅游者如实提供旅游所必需的个人信息,按时提交相关证明文件。这一行政规章也授权旅行社工作人员根据工作需要收集旅行人员的个人信息,同样可据此排除违法性。此外,2011年12月2日国家广播电影电视总局《有线广播电视运营服务管理暂行规定》第28条规定的“有线广播电视运营服务提供者应当建立用户信息安全监管体系,如实登记用户个人信息,并依法负有保密义务”和1985年7月6日机械工业部《机械工业企业为用户服务试行办法》第22条规定的“做好用户信息收集、反馈”,均属于违法阻却事由。

“出罪事由是一个开放体系,出罪无须法定。”正因为如此,“超法规的违法阻却事由,即是没有法律规定却能出罪的范例。而作为罪刑法定的派生原则的禁止类推,也只是禁止不利于被告人的类推(即入罪类推),而允许有利于被告人的类推(即出罪类推)。”所以,除部门规章之外其他规范性文件中的授权性规定也可以阻却实质违法性。例如,2019年12月4日国家卫生健康委员会《国家卫生健康委办公厅关于印发地方病患者管理服务规范和治疗管理办法》第2条第1款规定,纳入管理的地方病患者,需提供疾病诊疗相关信息,同时服务机构为患者进行评估,并按照要求填写地方病患者个人信息表,为其建档立卡,纳入管理。根据该部门规范性文件,相关主体也可以收集、存储以及使用特定患者的个人信息,由此可排除实质违法性。同时,2019年10月24日国家发改委、商务部《市场准入负面清单(2019年版)》附件第56条规定:“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。”根据这一规定,非正当收集和使用公民个人信息必须是违反法律、行政法规,或违背双方约定的。因此,双方当事人间的约定也就成为判定信息收集和使用是否正当的依据。特别是信息的收集和处理经由信息主体的授权或者同意时,必须排除其违法性。另外,被害人同意的出罪功能也往往被忽视。在“景某某侵犯公民个人信息案”中,检察院指控被告人通过互联网与他人交换公民个人信息4万余条,构成侵犯公民个人信息罪。对此,辩护人提出,涉案信息中绝大多数属于已公开的企业信息而非公民个人信息,而且辩护人还提供网站服务协议证明,企业在注册时明知并且容忍自己的信息资料被公开和被第三方使用。法官认为,依法取得中的“依法”,主要是指取得法律依据或权利人的授权,而这种授权应当是明示的、充分的,被告人获取上述信息未经信息主体同意,故不采纳辩护意见。本案中,如果辩护人所提供的网站服务协议查证属实,则可以证明信息主体在注册和使用网站时就知晓和默示同意网络服务商对其信息的收集、存储和利用。其次,在大数据应用中,对此类已经公开的个人信息应放宽其共享范围,弱化信息主体同意的条件。应在网络服务提供商尽到合理告知义务的前提下,以信息主体的默示同意为原则。因此,该案中的网站服务协议即使是信息主体默示同意的,也可以因法益性质阙如而阻却违法性,故法官对该案的认定也值得推敲。

综上,法定犯中“违反国家规定”是用来判断行为是否符合犯罪的构成要件以及违法性程度的。因此,“国家有关规定”的范围也就据其发挥机能的不同而存在差异,对“部门规章”能否纳入“国家有关规定”外延这一问题也不能一概而论。当侵犯公民个人信息罪中的“违反国家有关规定”在作为构成要件要素发挥形式入罪机能时只能包含法律和行政法规;部门规章及其位阶更低的规范均不能用来填补构成要件,否则会不当扩张本罪的处罚,违背罪刑法定原则。而出罪是一个开放的体系,只有将具备实质合理性的根据均纳入其中才符合法治的基本精神。因此,当“违反国家有关规定”发挥提示违法阻却事由机能时行政规章、部门规范性文件、行业规范甚至当事人之间的约定均可作为依据从而在实质上排除违法性


五、结  论

信息数据已经成为最重要的资源,大数据背后伴随着深刻的社会变革。为了保证在加强法律对信息数据保护的现实背景下最大限度地发挥大数据的潜在价值,法律特别是刑法,对侵犯公民个人信息行为的规制必须保持足够的克制。“信息保护的目的是保护自然人的权利和自由”,因此,“以牺牲权利保障为代价以追求社会安全为价值,无异于缘木求鱼或饮鸩止渴或则注定是无功而返。”当“违反国家有关规定”用以补充构成要件时应根据《刑法》第96条的规定将“国家有关规定”与“国家规定”做相同解释谨防部门规章作为判断前置违法性依据发挥形式入罪机能。而在判断实质违法性时,应坚持出罪路径的开放性和系统性将部门规章、规范性法律文件、行业规范以及当事人约定中的正当事由作为出罪的依据从而放宽违法阻却事由的范围,将法益阙如或法益侵害性甚微的行为排除在刑法的视野之外。

(责任编辑:宫 雪)

(推送编辑:钟瑾睿)


本文载于《华东政法大学学报》2021年第6期。阅读和下载全文pdf请点击下方“阅读原文”或登陆本刊官网xuebao.ecupl.edu.cn;编辑部在线投稿系统已更新,欢迎学界同仁登录journal.ecupl.edu.cn惠赐大作!


推荐阅读

《华东政法大学学报》2021年第6期要目

陈林林 严书元 | 论个人信息保护立法中的平等原则

周尚君 | 数字社会对权力机制的重新构造

张   欣 | 免受自动化决策约束权的制度逻辑与本土构建

王凌皞 | “被遗忘”的权利及其要旨

潘芳芳 | 算法歧视的民事责任形态

王   苑 | 个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系

金   耀 | 个人信息私法规制路径的反思与转进

郭春镇 | 数字化时代个人信息的分配正义

于柏华 | 处理个人信息行为的合法性判准——从《民法典》第111条的规范目的出发

周斯佳 | 个人数据权与个人信息权关系的厘清

胡敏洁 | 社会保障行政中的个人信息利用及其边界

吴   泓 | 信赖理念下的个人信息使用与保护



订阅方式

【向编辑部订阅】

1.银行汇款

户名:华东政法大学

账号:1001223609026407097

开户支行:中国工商银行愚园路支行

2.邮局汇款

地址:上海市长宁区万航渡路1575号《华东政法大学学报》编辑部

邮编:200042


订阅电话:021-62071670


【邮局订阅】

国内读者可到全国各地邮政公司办理

邮局发行代号:4-618


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存