自然犯的法定犯化：“违反国家有关规定”对侵犯公民个人信息罪的影响

《中华人民共和国刑法》（以下简称《刑法》）中的侵犯公民个人信息罪是保护个人信息的专项罪名，“违反国家有关规定”是该罪的前置性要件，此种罪状表述被学界概括为空白罪状，此类罪名一般被理解为法定犯。因此，侵犯公民个人信息罪呈现出法定犯的特性；但该罪所保护的法益是自然人的人格权，这又是自然犯的典型特征。“违反国家有关规定”对侵犯公民个人信息罪的认定到底发挥什么作用？“违反国家有关规定”的存在是否意味着侵犯公民个人信息罪就是法定犯？为了回答前述问题，需要先厘清侵犯公民个人信息罪中“违反国家有关规定”的范围，继而才能明确其对侵犯公民个人信息罪出入罪和属性界定的作用。

一、侵犯公民个人信息罪中“违反国家有关规定”的射程

在《中华人民共和国民法典》（以下简称《民法典》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《网络数据安全管理条例》（行政法规）和《个人信息保护合规审计管理办法》（部门规章）等规范颁行之后，我国保护个人信息的法律规范已经形成了相对完整的体系，其中的《个人信息保护法》是当前保护个人信息最系统的法律，它是包含公法和私法的领域法。但是，我国《个人信息保护法》不是一部完整的领域法，其中并无直接的定罪量刑规范，侵犯公民个人信息行为的定罪量刑最终仍需以《刑法》为依据，而“违反国家有关规定”是沟通《个人信息保护法》等前置法与《刑法》的桥梁，其范围的精准划定是准确适用侵犯公民个人信息罪的前提。

（一）“违反国家有关规定”范围的争议

首先，我国《刑法》中存在“国家规定”与“国家有关规定”的区分表述。《刑法》第96条强调，“国家规定”的范围应限于法律和行政法规级别的规范。就侵犯公民个人信息犯罪而言，《刑法修正案（七）》增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个独立罪名，两罪的罪状中使用“违反国家规定”的表述；《刑法修正案（九）》调整两罪的相关要件，并将二者合并为“侵犯公民个人信息罪”，且立法者以“违反国家有关规定”取代“违反国家规定”，立法新增“有关”两字，给司法解释留下发挥空间。于是最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号，以下简称《侵公罪司法解释》）第2条将“部门规章”也纳入“国家有关规定”。换言之，《侵公罪司法解释》使得“国家有关规定”的范围广于“国家规定”。

其次，关于“国家有关规定”的范围存在三种观点。（1）赞同说，对司法解释所界定的“国家有关规定”的范围予以认可，赞同说实际上是严格区分了“国家规定”与“国家有关规定”。（2）等同说，强调“国家规定”和“国家有关规定”应作相同理解，二者均是国家层面的规定，不应当包含部门规章及比其效力更低的规范，不应认可司法解释有扩张“国家规定”范围的权力。（3）扩张说，强调“国家有关规定”不仅包含法律、行政法规和部门规章，还应包含地方性法规、规章、自治条例和单行条例等规范。

最后，“国家有关规定”的范围会影响侵犯公民个人信息罪的适用范围。前述观点关于“国家有关规定”范围的划定由大到小依次是：扩张说、赞同说、等同说。扩张说会扩大侵犯公民个人信息罪的适用范围，导致行为人以仅违反地方性规定的方式获取个人信息，就有可能构成犯罪；而等同说将“国家规定”与“国家有关规定”作等同理解的做法，确实降低了司法操作的难度，但又可能会使司法裁判认定侵犯公民个人信息罪的说服力不强；作为入罪限制性条件的“违反国家有关规定”，若按照司法解释的规定来理解，则会使该罪的适用范围介于扩张说和等同说之间。

（二）“违反国家有关规定”范围的辩证：司法解释赞同说之提倡

一方面，我国立法者在《刑法》中故意区分“违反国家有关规定”与“违反国家规定”。区分二者不是司法者的强行解释，而是立法者的制度性安排。纵览《刑法》条文可以发现，以“违反国家规定”为前置要件的罪名如下：工程重大安全事故罪、非国家工作人员受贿罪、违法运用资金罪、违法发放贷款罪、逃汇罪、虚假广告罪、非法经营罪、“盗窃、侮辱、故意毁坏尸体、尸骨、骨灰罪”、非法侵入计算机信息系统罪、“非法获取计算机信息系统数据、非法控制计算机信息系统罪”、破坏计算机信息系统罪、扰乱无线电通讯管理秩序罪、污染环境罪、非法处置进口的固体废物罪、危害国家重点保护植物罪、“非法引进、释放、丢弃外来入侵物种罪”“非法生产、买卖、运输制毒物品、走私制毒物品罪”“非法提供麻醉药品、精神药品罪”、受贿罪、行贿罪、对单位行贿罪、单位行贿罪、私分国有资产罪、私分罚没财物罪、违法提供出口退税证罪。《刑法》第96条以文本解释的方式限定了“国家规定”的范围，此外，最高人民法院在2011年发布的《关于准确理解和适用刑法中“国家规定”的有关问题的通知》再次肯定《刑法》第96条之文义。以“违反国家有关规定”为前置要件的罪名包括：（1）侵犯公民个人信息罪；（2）非法采集人类遗传资源、走私人类遗传资源材料罪。从反向理解来看，如果二者表达相同的含义，那么刑事立法者也就不会在相关罪名罪状中作区分规定，毕竟立法资源的稀缺性要求刑法表达应当精炼。

另一方面，对“国家有关规定”作不同于“国家规定”的解释是司法解释的合法权限。本文认为，法律解释的效力位阶应当表现如下：文本解释＞立法解释＞司法解释。（1）最高效力的法律解释是文本解释，即特定法律规范本身就已经对法律概念作出解释，如《刑法》第96条对“国家规定”的解释。（2）立法解释，全国人大常委会专门制定的一项法律解释，虽然立法解释与被解释的法律具有同等效力，但与文本解释相比，立法解释具有补充性，在有文本解释的情况下也就不会有立法解释。（3）司法解释，是指在既没有文本解释也没有立法解释的情况下，各级司法机关在司法实践中必须回答特定问题，最高司法机关为了统一法律实践而专门颁布的解释文件。司法解释的效力要低于立法解释，有立法解释的情况下也就没必要制定司法解释。《刑法》条文已对“违反国家规定”作出文本解释，但并未对“违反国家有关规定”作出解释，且立法机关亦未对“违反国家有关规定”作出立法解释，基于此，司法实践中对侵犯公民个人信息罪空白罪状的理解确实存在争议，最高司法机关基于宪法赋予的权力，有资格基于立法原意、实践需要对“违反国家有关规定”作出合理解释。

（三）“违反国家有关规定”范围的纠偏：扩张说和等同说之批判

其一，扩张说会扩大侵犯公民个人信息罪的处罚范围。首先，地方性法规等地方规范只能适用于某一特定地区，具有明显的地域性，显然不能被解释为具有全国统一适用性的“国家有关规定”。其次，扩张说欠缺规范依据，至多可以作为学术讨论的话题，司法实践一旦运用扩张说将会违背罪刑法定原则。最后，扩张说会使行为人单纯违反地方性规则的行为也具有入罪的可能性。申言之，扩张说会使刑罚处罚权变相降落给地方立法机关，使地方立法权侵蚀国家司法权。

其二，等同说忽视了“国家规定”和“国家有关规定”的形式差异。一方面，刑事立法需要经过详细地论证和多次讨论，刑事立法者应非常吝啬立法资源的使用，非万不得已不会对相同概念作不同的立法表达。若“国家规定”和“国家有关规定”完全相同，立法者就没有必要作不同表达。另一方面，“国家规定”应是国家层面直接作出的规定，而国家层面应是指国家立法机关和国家行政机关，因此法律、行政法规是直接的国家规定。“国家有关规定”多了“有关”两字，意味着与“国家规定”直接相关的规范也应被纳入。除了法律、行政法规外，国务院各部委制定的部门规章往往是为了在具体领域贯彻国家法律和行政法规而颁布的细致规则，与“国家规定”直接相关，可以被理解为“国家有关规定”。

其三，扩张说和等同说容易使“违反国家有关规定”的适用走向形式主义。“违反国家有关规定”的存在要求司法者在适用侵犯公民个人信息罪时应兼顾前置法与刑法，司法者应找寻到行为人的不法行为到底违反前置法中的哪一条规定。一方面，扩张说会要求司法者在实践中遍览各个地方的具体且细微的规则，这不仅徒增司法者的工作负担，也是司法者很难完成的任务，最终会使“违反国家有关规定”在司法实践中被虚置。以郭某、尚某侵犯公民个人信息罪案为例，该案的判决书指出，被告人尚某、郭某违反国家有关规定，非法获取并向他人出售或提供公民个人信息，情节特别严重，其行为均已触犯刑律，构成侵犯公民个人信息罪。法官只是在裁判文书中以“违反国家有关规定”一笔带过，并没有具体指出被告人到底违反前置法中的哪一条规则。另一方面，等同说使“违反国家有关规定”完全按照“违反国家规定”处理，但法律和行政法规的规定相对抽象，往往只是作出一般违法性描述和普通违法性表达，至于违法性的具体原因和特殊领域的违法性，还需从部门规章中寻找更具体的依据。换言之，在确立行为人抽象地违反前置法律或行政法规的基础上，还应从部门规章中寻找行为人侵犯个人信息行为违法性的具体依据和具体原因，这会使人民法院的裁判说理更具有说服力。同时，等同说也不利于司法者查明部门规章中的正当化事由，进而产生相关行为被部门规章允许却被认定为犯罪的倒挂现象。

二、“违反国家有关规定”对侵犯公民个人信息罪出入罪的影响

“违反国家有关规定”在侵犯公民个人信息罪适用过程中到底发挥什么作用？目前主要包括以下两种观点：（1）入罪要素说，强调国家有关规定的内容是侵犯公民个人信息罪入罪的前置要件。（2）提示出罪说，强调“违反国家有关规定”对入罪并没有实质影响，只是提醒司法机关在定性时，应从前置法中寻找是否存在违法阻却事由、责任阻却事由等出罪事由。本文认为，前述两种观点均相对片面，“违反国家有关规定”应兼具入罪功能和出罪功能。

（一）“违反国家有关规定”对侵犯公民个人信息罪入罪的影响

首先，“违反国家有关规定”是空白罪状的体现。我国《刑法》中诸多罪名的罪状存在类似“违反国家规定”“违反规章制度”“违反……法”的表述，前述罪状表述是空白罪状，表明这些罪名的成立以违反前置法律规范为前提，需要严格参照前置法律规范。空白罪状的本质是沟通刑法与前置法的桥梁，它不仅使刑法典的规范表达更为精炼，也指引司法者必须从前置法中寻找填补构成要件的资源。因此，“违反国家有关规定”及其具体内容是侵犯公民个人信息罪的构成要件要素，充分体现其入罪功能。

其次，“违反国家有关规定”是立法者将入罪相关要件委任于前置法的表现。一方面，空白罪状可以保持刑法条文的简洁性。《刑法》中诸多罪名的罪状描述相对简单，并将部分构成要件要素委任于前置法。例如，关于个人信息的含义，《刑法》无须规定，可以直接适用《个人信息保护法》的规定。另一方面，空白罪状可以使《刑法》与时俱进。前置法的修正相对简单和方便，可以通过空白罪状的桥梁作用使《刑法》及时吸收前置法确立的新规则。就侵犯公民个人信息罪而言，《刑法》并未规定全部要件，需要司法者通过“违反国家有关规定”的指引作用，从《个人信息保护法》等前置法中寻找规范依据以充实构成要件。

最后，司法机关的相关办案规则也验证了“违反国家有关规定”的入罪功能。例如，最高人民检察院发布的《检察机关办理侵犯公民个人信息案件指引》第2条要求，办案机关提交犯罪嫌疑人供述、证人证言等可以证明犯罪嫌疑人违反国家有关规定的证据。换言之，办案机关需要查明行为人确实违反了国家有关规定，足以证明“违反国家有关规定”是入罪必备要件。本文认为，办案机关除了需要提交犯罪嫌疑人“违反国家有关规定”的事实性证据材料外，还要提交其“违反国家有关规定”的规范性材料，即指明行为人所违反国家有关规定的具体条款。同时，司法机关在起诉书和裁判书中不能单纯以“违反国家有关规定”一笔带过，需要写明行为人所违反国家有关规定的具体条款。

（二）“违反国家有关规定”对侵犯公民个人信息罪出罪的影响

我国《刑法》中的法定出罪事由相对较少，正当防卫、紧急避险、意外事件和不可抗力是具体的法定出罪事由，第13条“但书”则是抽象的法定出罪事由，后者是实践中我国司法者相对常用的出罪事由。若出罪时只能在刑法典中寻找正当化事由，不仅可能会使诸多轻微行为、正当行为被刑罚处罚，还会出现前置法上的合法行为在刑法上却被定罪的倒挂现象。为此，需要充分发挥“违反国家有关规定”的出罪作用。

其一，“违反国家有关规定”具有阻却行为入刑的可能性。对于具有法定犯属性的犯罪而言，应先考察特定行为在民事法和行政法上是否具备违法性的依据，如果得出否定结论，则司法判断程序结束，无须进入刑事程序；如果得出肯定结论，还需要进一步判断行为造成的损害结果是否严重。若只是轻微损害结果，则前置法完全可以调控，无须进入刑法领域。可见，“违反国家有关规定”可以阻却刑事程序的启动，凸显其出罪的功能。至于是否违反国家有关规定是界定某一行为及其风险是否被法律允许的标准，也是立法者在保护法益和约束行动自由之间的平衡策略。即使违反了国家有关规定也不意味着行为带来的风险就不能被刑法允许，某一行为违反了国家有关规定，只是直接表明其不被前置法允许，是否被刑法允许还需要进入刑事领域进一步考察。之前，我国个人信息的法律保护一直践行“刑法先行”的逻辑，导致诸多涉个人信息不法行为会跳过前置法评价而直接被刑法惩治，通过刑法提前防控个人信息风险只是无奈之举而非上策。直至《个人信息保护法》等前置法颁行后，前述局面才有所改变，应充分发挥前置性法律规范的作用，激活其作为第一道防线的规制功能，防止刑法适用的早期化。

其二，通过“违反国家有关规定”的指引作用能将前置法上的正当化事由升格为刑法上的出罪事由。如果特定行为符合前置法规定的正当化事由，但在《刑法》中可能无法纳入法定的正当化事由，按照违法相对论和机械主义司法则可能会被认定为犯罪，但这样的结论会颠覆法秩序统一性原理。按照法秩序统一性原理，特定行为如果在前置法上被正当化，则在刑法上也应被正当化，甚至不应启动刑事程序。这就要求司法者在进行刑事违法性判断时，目光不能局限于刑法视域内，还应关注前置法中的正当化事由。就个人信息保护而言，《刑法》并未为侵犯公民个人信息罪设置特定的正当化事由。与此相对，《民法典》第1036条规定了三项处理个人信息的免责事由，《个人信息保护法》第13条规定了七项合法处理个人信息的事由。该两条所表达内容可以作相同理解，只因《民法典》颁行较早和位阶较高，所以只列举了部分事由，而后颁行的《个人信息保护法》列举的事由则更具体。《民法典》第1036条指出符合三项事由而处理个人信息，行为人“不承担民事责任”。其中的“不承担民事责任”足以表明前述两法所列举的具体事由在法律上应被定性为正当化事由。因此，特定处理个人信息行为即使具有一定的法益侵害性（如未经信息主体同意），但若符合《民法典》第1036条第2至3项或《个人信息保护法》第13条第2至7项，则应阻却行为的违法性（即不需要承担民事责任和行政责任）。既然该行为在前置法上已阻却违法性，在刑法中尽管不符合法定出罪事由，但基于法秩序统一性原理也应阻却刑事违法性。申言之，若前述行为符合前置法上的正当化事由，则表明该行为并未违反国家有关规定，也就不可能构成侵犯公民个人信息罪。由此可知，“违反国家有关规定”应具有出罪功能（即可以提示司法者去其他法律规范中寻找出罪事由的功能）。

其三，“违反国家有关规定”的出罪功能在我国司法实践中已被逐步贯彻。例如，在《民法典》《个人信息保护法》《网络数据安全管理条例》等生效之前，我国法律体系中欠缺处理个人信息的正当化事由，实践中发生的“未经信息主体同意而获取、提供已公开个人信息的行为”，多被认定为侵犯公民个人信息罪。在《民法典》生效后，对于前述类似案件，实践中已经不再作为犯罪处理。因此，“违反国家有关规定”的出罪功能应被肯定，司法者应在入罪和出罪时都要兼顾刑法和前置法，积极主动地从前置法中寻找出罪的规范资源，通过前置法与刑法的双向衔接，可以践行“入罪与出罪并重”的逻辑。

（三）“违反国家有关规定”在出入罪过程中的规范甄选

在肯定“违反国家有关规定”的双重机能后，结合前文已厘清的“国家有关规定”的范围，在入罪和出罪时可对“国家有关规定”的范围进行区分适用。

在入罪层面，“违反国家有关规定”的范围限于法律和行政法规，部门规章只能作为强化违法性论证的说理依据。为了避免侵犯公民个人信息罪的扩张化，应明示“违反国家有关规定”的内容以发挥其入罪限制功能，且在入罪时应对其内容作限缩解释，即入罪时所违反的前置法应限于法律和行政法规，当然为了使人民法院的裁判说理更具有说服力，可以从更为特殊的部门规章中寻找行为违法性的具体依据。在入罪时对“违反国家有关规定”的范围作前述限缩解释具有合法性和合理性：（1）在入罪层面可以使“国家有关规定”和“国家规定”的范围保持一致，使二者在区分的基础上保持统一性，可以避免处罚扩张化；（2）可以理清法律适用逻辑，在确定行为违反法律、行政法规时，再去部门规章中探寻更为具体的违法性依据；若行为并未违反法律、行政法规，则不宜启动刑事程序，即使发现违反了部门规章，也不能直接视为“违反国家有关规定”，凸显部门规章是法律、行政法规的具体化和下位法。

在出罪层面，“违反国家有关规定”的范围可以包含法律、行政法规和部门规章。有学者认为，在出罪阶段，“违反国家有关规定”的范围可以更广，不仅可以包含部门规章，也可以包括效力更低的规范，例如行业规范。此种观点值得商榷：（1）违反文理解释的要求。“违反国家有关规定”与“违反国家规定”虽不相同，但均应是国家层面的官方法律规范。如果将更低级别规范也纳入“国家有关规定”，明显不符合文理解释，既然是国家层面的规定当然不应包含地方性规范和行业规范。（2）行业规范毕竟不是法律规范。若一律将行业规范中的正当化事由作为刑法中的出罪事由，会使行业规范取代法律，轻者可能会放纵犯罪，中者会使行业组织通过合谋集体规避刑事责任，重者容易催生行业垄断。关于“国家有关规定”争议最大的是能否包含部门规章，若持否定态度，则“国家有关规定”等同于“国家规定”；若持肯定态度，则入罪时处罚范围会更大。这就会产生规范解释上的疑问，当规范解释存在合理怀疑时，应作有利于被告人的解释。因此，在入罪时将“国家有关规定”与“国家规定”作相同解释，在出罪时将部门规章纳入“国家有关规定”，均是在法定限度内最有利于被告人的解释结论。

三、“违反国家有关规定”对侵犯公民个人信息罪性质的影响

法定犯一般是指行政犯，但也有观点认为行政犯与法定犯是交错关系，行政犯是纯粹保护秩序法益的犯罪。本文认为，法定犯应包含民事犯和行政犯，若违反的前置规范是民事规范则犯罪是民事犯，若违反的前置规范是行政规范则犯罪是行政犯。侵犯公民个人信息罪所违反的前置规范既包含民事规范也包含行政规范，所以本罪应是兼具民事犯和行政犯特征的法定犯。然而，纵览侵犯公民个人信息罪所在章节（侵犯公民人身权利、民主权利罪），除本罪外很少有罪名存在类似于“违反国家有关规定”的空白罪状，原因是该章中的犯罪几乎均是自然犯，自然犯是侵犯人类与生俱来的自然利益的犯罪，当然无需以“违反国家有关规定”等作为前置要件。例如，对故意杀人行为入罪不要求以违反前置法为前提，只要符合故意杀人罪的主客观要件即可构成犯罪。根据刑法章节分类的原则，相同类型的犯罪会被划分在同一章节，侵犯公民人身权利、民主权利罪所保护的法益是人身权利、民主权利等自然权利，按照这一标准，身在其中的侵犯公民个人信息罪应是自然犯，但侵犯公民个人信息罪的罪状中存在“违反国家有关规定”，这便让人产生侵犯公民个人信息罪到底是自然犯还是法定犯的疑惑。

（一）自然犯与法定犯划分标准的勘定：法益标准论之提倡

自然犯与法定犯的区分是自然法和实证法分立的表现，在成文法形成之前就存在的规律是自然法，它是客观存在且反映人类生命本质的规范。实证法学者认为，法律是一个由规则联系成的规则体系。实证法是立法者强行设置的成文规范，它是人类为了自身利益而制定的规范，它具有强劲的法律效力，但不一定反映人类生活现实，自然犯与法定犯的底层逻辑分别是自然法和实证法。回答侵犯公民个人信息罪到底是自然犯还是法定犯的问题之前，需要先明确自然犯和法定犯的界分标准。

现代法律上的自然犯与法定犯来源于古罗马法上的“自身恶”（mala in se）与“禁止恶”（mala prohibita），古罗马法以是否违反伦理道德为标准区分二者。换言之，自然犯是违反社会伦理道德且在法律规范形成之前就存在的犯罪；法定犯是被实证法律强行规定的犯罪，它不以违反社会伦理道德为前提，而是以维护国家管理秩序为目的。近现代刑法理论上关于自然犯与法定犯的区分存在不同观点，有学者进行了梳理，概括起来大致可以分为八种观点，本文通过下表进行概览（见表1）。下述标准虽分为八种，但不同标准之间的差距非常细微。自然犯强调的是在刑法规定为犯罪之前，基于自然法、伦理道德和“普世价值”观即已被认定为犯罪的行为；而法定犯是因法律规定而被设定为犯罪的行为。

本文认为，自然犯与法定犯划分的本质是二者保护法益类型的差异。自然犯保护的法益是自然人的自然权利（如生命权、健康权、自由权、人格权和财产权等）；法定犯本质上是形式犯，即原本与法益不发生关系，但因违反行政命令而成立的犯罪，它应与侵害犯、危险犯区分开来。刑法打击法定犯和形式犯是为了保护法律权威和维护秩序稳定，所以一般将其侵害的法益界定为法律规定的秩序法益、集体法益。本文提倡自然犯与法定犯区分的法益标准论，即侵害自然权利的犯罪是自然犯，侵害集体法益或秩序法益的犯罪是法定犯。按照这一标准，在确定侵犯公民个人信息罪是自然犯抑或法定犯之前，先要甄别该罪所要保护的法益内核，对此下文将深入论证。

（二）侵犯公民个人信息罪的属性甄别：“自然犯的法定犯化”之宣示

侵犯公民个人信息罪既不是自然犯亦不是法定犯，而是“自然犯的法定犯化”，“自然犯的法定犯化”是自然犯向法定犯转化，这种转化需要漫长的时间。侵犯公民个人信息罪的“自然犯的法定犯化”是指，该罪原本是保护人类自然权利（人格权）的自然犯，但该项权利在人类所有自然权利中相对次要，为了避免刑法处罚扩大化，立法者通过空白罪状的作用使该罪入罪受到前置法的限制，这也就使之具备了法定犯的特征。

1. 法益维度：侵犯公民个人信息罪的内在是自然犯

侵犯公民个人信息罪到底保护什么法益，理论上也存在诸多争议。当前主要形成以下几种观点：（1）个人信息权说（一般将之细化为个人信息自决权）；（2）个人人格权说；（3）网络隐私权说；（4）集体法益说；（5）公共信息安全说；（6）个人信息安全说。前述观点在特定场景下具有一定合理性，但均相对片面，在总体上侵犯公民个人信息罪保护的法益应是人格权。

其一，侵犯公民个人信息罪的体系定位决定了它保护的法益应是自然人的个人权利。侵犯公民个人信息罪身处《刑法》分则第四章“侵犯公民人身权利、民主权利罪”，而该章中的其他罪名均是保护自然人的个人权利。例如，故意杀人罪是保护自然人的生命权、故意伤害罪是保护自然人的身体健康权、强奸罪是保护女性的性自决权。基于体系解释可知，侵犯公民个人信息罪也应是保护自然人的个人权益，只是这种个人权益的内容可能存在争议。由此可知，集体法益说、公共信息安全说等非个人权益法益观与刑法规范体系之间存在龃龉。

其二，侵犯公民个人信息罪的保护法益不应限定为隐私权。我国《民法典》已区分了个人信息与隐私，虽然私密信息是个人信息与隐私的交叉重叠部分，但个人信息与隐私毕竟属于两个不同的范畴。例如，已合法公开的个人信息显然不是隐私，但仍需刑法对之适度保护。由此可知，隐私和个人信息属于两个不同的范畴，二者存在交叉重叠部分，法律对二者的保护方式和力度也迥异。因此，以保护个人信息为核心的侵犯公民个人信息罪所直接保护的法益也就不可能限于隐私权。

其三，个人信息自决权不足以成为侵犯公民个人信息罪保护法益的全部内容。理论上有观点认为侵犯公民个人信息罪保护的法益是法定主体的信息专有权，但在具体运用中又表现为信息自决权。个人信息知情同意确实是侵犯公民个人信息罪需要保护的内容，但《个人信息保护法》第13条第2至7项是同意之外的个人信息合法处理规则，意味着即使未经同意的个人信息处理行为也可能具有正当性，足以表明信息主体同意与否并非判定侵犯公民个人信息罪能否成立的唯一标准。法律并不绝对保护信息主体的个人信息自决权，在符合其他合理处理事由的情况下，个人信息自决权也不会被法律保护。个人信息自决权只是一般人格权的内容之一但不是全部，其虽需刑法保护，但在符合特定事由的情况下刑法也可以不保护。可见，个人信息自决权不足以概括侵犯公民个人信息罪保护法益的全部内容。

其四，侵犯公民个人信息罪保护的法益总体上是人格权。只有人格权的抽象性才能概括侵犯公民个人信息罪保护法益的全部内容，针对不同类型的个人信息，侵犯公民个人信息罪的保护法益可以进一步具体化。基于个人信息分类场景确定具体保护法益，符合数据分类分级保护原则，在我国法律体系中数据已被划分为核心数据、重要数据和一般数据。同理，不同数据所反映的信息也应被分类保护。个人信息可以分为私密信息、敏感个人信息和一般个人信息，三者关系表现为同心圆般箭靶结构，私密信息处于靶心，敏感个人信息处于中间层，一般个人信息处于最外层，三者彼此之间都存在界限，这种界限不是“边界线”而是“过渡带”。私密信息对应着隐私权（具体人格权）；敏感个人信息对应着人格尊严（一般人格权）；一般个人信息对应着人格自由（一般人格权）。无论是隐私权抑或人格尊严、人格自由，都属于自然人的人格权，只不过前者是具体人格权，而后两者是一般人格权。从法益论视角看，侵犯公民个人信息罪具有明显的自然犯属性。

2. 规范维度： 侵犯公民个人信息罪的外在是法定犯

其一，以违反前置法为前提是法定犯的基本特征。法定犯是法律认为是犯罪的犯罪，在法律层面表现为双重违法性。这就意味着司法者在判断侵犯个人信息行为能否构成犯罪时，不能单纯以行为对法益的侵害程度为标准。例如，不能单纯以行为获取的个人信息数量和对自然人名誉、荣誉、隐私、心理健康等的侵害程度作为入罪标准。只有在明确行为违反国家有关规定的前提下，即能够寻找到行为违反前置法律、行政法规中的哪一条、哪一款，才能再考虑行为对法益的侵害程度，继而判断能否入罪，这与传统的自然犯存在明显的差异。例如，对于故意杀人行为和强奸行为，司法者只需判断行为的罪恶性和法益侵害性，无须判断该行为是否违反前置法，这是自然犯的固有特性。

其二，侵犯公民个人信息罪保护法益的特色决定其并非纯粹的自然犯。侵害公民个人信息罪原本作为自然犯理应与故意杀人罪遵循相同的逻辑，但个人信息法益与生命健康法益相比而言明显轻微，如果也遵循只判断行为法益侵害性的逻辑，可能会使行为入罪较为容易，导致刑法会直接惩治较为轻微的行为，不利于坚守刑法的谦抑性。为此，刑事立法者在侵犯公民个人信息罪的入罪前提中增加了“违反国家有关规定”这一限定条件，使该罪具有明显的法定犯特质。“违反国家有关规定”为侵犯个人信息行为入罪增加了一道门槛，使司法者在适用该罪时多了一道“紧箍咒”，避免司法定罪权的滥用。

3. 全景维度：侵犯公民个人信息罪是“自然犯的法定犯化”

首先，农业社会的刑法以处罚自然犯为主。人类社会先后经历了原始社会、农业社会和工业社会，现在已经过渡到信息社会。在传统农业社会，由于生产力低下需要人们合作共同劳作，人与人之间联系较为紧密，人际关系和伦理道德往往比法律规范更为重要。因此，全社会对惩治侵害伦理道德的自然犯的需求较为强烈，所以那时的刑法典可以被称为自然犯法典。换言之，农业社会的社会关系相对简单，只需关注自然犯。

其次，进入工业社会后法定犯逐渐占据重要席位。在几次工业革命推动下，人类社会进入工业社会，以使用机器工具为核心，人际关系逐渐淡化、伦理道德逐渐弱化，功利主义成为工业社会的主流价值。为了推动工业社会高效运转和高质量发展，稳定有序的社会秩序便成为人们的共同需求，法律的功能逐渐走向维护社会稳定的方向。因此，立法者在刑法典中大量增加以维护社会秩序为目的的法定犯，于是自然犯与法定犯便成为刑法中两大对立类型。在工业社会，社会关系开始复杂化，需要刑法保护的法益不再限于传统的自然权利，诸多秩序法益等也被纳入刑法保护范畴，而刑法保护秩序法益的罪名主要是法定犯。概言之，进入工业社会，社会关系虽然开始复杂化，但社会分工相对明确，需要刑法重点关注法定犯。

最后，进入信息社会自然犯与法定犯分立的结构需要改变。信息社会的社会关系已经呈现高度复杂性，刑法为相对轻微的自然犯设置了入罪的法定前置要件，当前单纯关注自然犯或纯粹关注法定犯均已不合时宜。一方面，只关注纯粹自然犯容易走向法律虚无主义。纯粹的自然犯以维护社会伦理道德为核心，强调严惩“主观恶”而非“客观恶”，试图通过刑法维护传统伦理道德。另一方面，只关注纯粹法定犯容易走入“恶法亦法”的魔圈。刑罚处罚的实质依据在理论上存在法益侵害说和规范违反说，纯粹的法定犯可能会走向规范违反说，使刑法目的不是保护法益而是维护规范本身。当规范本身不具有合理性时，对规范的批判会被视为无端指责。信息社会使自然犯与法定犯从分立走向融合，刑法只应惩治纯粹自然犯和自然犯的法定犯化犯罪，纯粹的法定犯应交由前置法规制，可见“自然犯的法定犯化”概念值得提倡。

（三）“自然犯的法定犯化”对侵犯公民个人信息罪的作用

首先，自然犯的法定犯化可以揭示侵犯公民个人信息罪保护法益的层次结构。侵犯公民个人信息罪法定犯的外在使秩序法益成为阻挡层法益，自然犯的内在意味着人格权是背后层法益。立法者设置侵犯公民个人信息罪不是为了单纯保护个人信息的行政管理秩序，而是为了保护人格权，更深层的目的是希望通过保护个人信息来捍卫信息背后的人身、财产权利换言之，通过提前打击侵犯个人信息行为可以预防公民的人身安全和财产安全被侵犯。以钟某某侵犯公民个人信息罪案为例，被告人钟某某受其丈夫全某某的朋友王某某委托，在国内帮忙收购微信号提供给王某某在柬埔寨的公司使用。后钟某某与全某某为牟取非法利益，从张某某处收购微信账号后销售给王某某牟利。在本案中，钟某某的行为对个人信息的秩序法益和人格法益造成了实害，同时将个人信息出售给可能用于电信诈骗的王某某，这给被害人的财产安全带来抽象危险，可以构成侵犯公民个人信息罪。因此，侵犯公民个人信息罪的形式法益呈现为阻挡层（秩序法益）和背后层（人格权）的双层结构，最终隐含的实质法益是人身安全和财产安全。若行为人虽获取了大量的公民个人信息，但对信息主体的人身安全、财产安全没有任何抽象的危险，也不宜作为犯罪处理。

其次，适用侵犯公民个人信息罪的前提是能将集体法益还原为个人法益。关于阻挡层法益和背后层法益的关系，本文提倡还原论，只有作为阻挡层的秩序法益（或集体法益）能还原为个人法益（包括个人权利），则适用刑法处罚才具有正当性。以包某侵犯公民个人信息罪案为例，包某利用作为妇幼保健院外科护士的便利条件，从医院内部系统拍摄孕妇个人信息500条左右发给黄某，黄某利用包某所提供的信息来为妈咪宝贝儿童摄影店招揽生意，人民法院认为包某构成侵犯公民个人信息罪。包某的行为直接破坏个人信息管理秩序，此种秩序可以还原为被害人的人格权。纯粹的自然犯（如故意杀人罪）不存在保护秩序法益问题，也就无须以行政违法性作为前置要件；纯粹的法定犯是立法者强行将严重性纯粹行政秩序违法行为升格为犯罪，也就无须进行法益还原；自然犯的法定犯化是立法者为了避免刑法过度介入自然犯，通过为之设置前置违法性要件以限缩处罚范围。自然犯的法定犯化属性决定了侵犯公民个人信息罪的法益呈现层次结构，这就要求在该罪适用过程中应适度关注阻挡层的秩序法益。由于侵犯公民个人信息罪入罪的前置性依据只能限于法律和行政法规，所以该罪的阻挡层秩序法益只能由法律和行政法规规定，更低级别规范规定的秩序法益不能作为侵犯公民个人信息罪的阻挡层法益。

最后，侵犯公民个人信息罪“自然犯的法定犯化”属性凸显入罪的双重违法性。就侵犯公民个人信息罪的外在法定犯而言，成立本罪以违反法律、行政法规为前提，在此基础上又因行为达到入罪标准而触犯刑法，所以前置法与刑法是适用先后关系而非互斥关系。前置违法性与刑事违法性应互相沟通，在认定前置法违法性的同时，不应直接否认刑事违法性；在判断刑事违法性时也不应忽视对前置法违法性的判断。因此，对侵犯个人信息行为进行入罪判断，需先从法律、行政法规中寻找行为的前置违法性依据，继而再判断该行为是否具有刑事违法性。对于传统自然犯，若认定行为侵犯自然人的自然权益，往往只需在刑法内判断即可得出行为能否构成犯罪，但在法定犯时代，自然权利日益稀薄化，侵害相对次要的自然权利的违法性判断日益抽象化。为此，立法者会在前置法中将相关自然权利及其内容法定化和具体化，进而通过“违反国家有关规定”等空白罪状的桥梁作用使之进入刑法，最终可以提高司法判断的精确度，这也是“自然犯的法定犯化”的重要特征。例如，《个人信息保护法》第四章已将作为人格权内容的个人信息权益以权利束的形式表达出来，使个人信息自然权利具象化和法定化。一方面，因为侵犯公民个人信息罪不是纯粹自然犯，所以不能因为涉个人信息行为侵犯了人格权就直接推定构成犯罪；另一方面，基于该罪“自然犯的法定犯化”的特性，还需从法律、行政法规中考察行为是否“违反国家有关规定”，判断行为除了侵犯人格权外，是否侵犯更为具体的个人信息权利，进而再决定是否入罪。

四、结论

对法律进行法典编纂是人类的一种原始冲动，因此我国奉行统一刑法典模式，使侵犯公民个人信息罪只能保留在《刑法》中，而“违反国家有关规定”是沟通前置法与刑法典的桥梁。首先，“国家有关规定”的范围应包含法律、行政法规和部门规章。入罪时应从法律、行政法规中寻找行为违法性的前置法依据，部门规章只能作为补充说理依据；出罪时可从法律、行政法规和部门规章中寻找正当化依据。其次，“违反国家有关规定”折射侵犯公民个人信息罪的属性是“自然犯的法定犯化”。该罪以人格权为本体法益使之具有自然犯的内在属性，“违反国家有关规定”又使之平添了法定犯的外在特征。再次，“自然犯的法定犯化”属性决定了该罪的法益呈现层次结构。只有能将阻挡层的秩序法益还原为背后层的个人法益，该罪才具有适用的合理性。一方面，自然人的人格权被严重侵犯只能表明行为具有入罪的可能性；另一方面，还需进一步从前置法律、行政法规中确立行为到底侵犯哪种个人信息具体权益，进而才能决定能否入罪。最后，侵犯公民个人信息罪的直接形式法益是秩序法益和人格法益，在这一层面该罪应是实害犯；该罪的隐性实质法益是人身安全或财产安全，在这一层面该罪又表现出一定的抽象危险犯特征。构成侵犯公民个人信息罪要求给秩序法益和人格法益造成实质损害，同时又会给自然人的人身安全或财产安全带来抽象危险。