《解释》第2条对“违反国家有关规定”做出了明确解释，其中“违反国家有关规定”范围包括：①法律；②行政法规；③部门规章。相比刑法第96条，此处的“违反国家有关规定”增加了部门规章。《解释》第2条的这一规定引起了理论界和实务界新的质疑，这一规定的扩张解释是否具有合理性值得思考，下面笔者将对这一争议性问题进行探讨。

（一）“违反国家有关规定”的解释误区

1.“违反国家有关规定”的解释在实践中缺乏可操作性

有学者专门对我国关于个人信息保护的法律或规范性文件进行了梳理，整理发现我国目前涉及个人信息保护的法律法规、部门规章和司法解释共30余部。涉及的内容主要有个人健康信息、具体行业信息、未成年人信息等领域的信息。^[45]由于我国的个人信息保护法尚在制定中，笔者尝试着整理了有关个人信息保护的相关规定，整理如表1-2所示。

表1-2　有关公民个人信息保护的相关规定

(www.daowen.com)

除了上述列举的之外，还有邮政法、统计法及商业银行法等，在此不再一一阐述。通过笔者的梳理发现，我国对个人信息予以保护的部门规章仅有一部，即工信部2013年制定的《电信和互联网用户个人信息保护规定》，这一部门规章是专门针对电信和互联网行业中个人信息的保护。虽然《解释》对“违反国家有关规定”进行扩张解释，将“部门规章”囊括在其范围之中，但实践中几乎难以找到相应的部门规章加以配合，从这一方面来看《解释》能起到的效果是微乎其微的，准确而言，《解释》第2条的规定在实践中并不具有可操作性。

2.“违反国家有关规定”的解释违背罪刑法定原则

定罪量刑应以刑法的明文规定为基础，这是罪刑法定原则的要求。这里的“法”要求我们从整体上把握刑法规定，即罪刑法定中的“法”不仅包括刑法分则还应包括刑法总则，刑法总则作为原则性规定，对刑法分则起着指导和约束作用。“违反国家有关规定”属于空白罪状，根据空白刑法规范理论，这里可以委托的其他法律法规仅限于“法律、行政法规”，并不包括部门规章。^[46]由于1979年刑法未明确“违反国家规定”的内涵，司法实务中，法官对此条文的理解认识不一，自由裁量权较大。为了纠正司法实践中以地方性法规、部门规章等其他法律位阶较低的法律规范来认定构成要素，更好地落实罪刑法定原则，维护法律的权威性，立法机关特意严格限定了“违反国家规定”内涵。刑法第96条之所以对“国家规定”进行严格限制，目的就是为了避免部门保护主义和地方保护主义。而最新《解释》将“国家有关规定”扩张至部门规章，无疑违背了立法者的初衷。另外，根据我国立法法的规定，当部门规章和地方性法规之间不能达成一致时，要上报国务院裁决，国务院认定适用地方性法规的，应当适用地方性法规；国务院认定适用部门规章的，要上报全国人大常委会进行裁决。所以从效力上来说，地方性法规的效力不低于甚至超过部门规章，仅仅因为两者适用范围的不同，排斥地方性法规的适用，是有待商榷的。正如有学者认为：“将地方性法规、规章甚至规范性文件纳入‘国家有关规定’也具有其合理性”。^[47]伴随大数据的发展，与公民个人信息相关的犯罪日益猖獗，《解释》的这一规定是基于现实惩治犯罪和司法适用的需要，但最终还是违反了罪刑法定原则。

（二）限缩解释“违反国家有关规定”

根据前文的阐述，我国目前关于个人信息保护的部门规章仅有一部，《解释》这一扩张性解释从实质层面来说没有太大的意义，另一方面也违背了罪刑法定原则。侵犯公民个人信息罪是法定犯，用空白罪状的立法方式本身并不违反罪刑法定原则。但是就“违反国家有关规定”本身而言需要结合其他法律的规定加以考察，这就必然关乎刑法与其他法律关系的衔接。解释某个刑法规范的含义，不仅需要以该规范的本身条文为基础，更应该从该规范与全部规范乃至法律制度的关系中把握。根据上文的论述，《解释》将部门规章纳入了违反国家规定的范畴，那么如何在坚持罪刑法定的原则下确保司法解释的合理性？笔者认为，应对违反“国家有关规定”作限缩解释，由于法律、行政法规对个人信息保护的有关条款比较宏观，此时需要结合部门规章具体内容才能加以确定，只有在法律、行政法规已有规定的前提下将该规定予以具体细化的部门规章才能和法律、行政法规一起作为判定依据。在判断行为是否违反“国家有关规定”过程中，部门规章仅起到辅助作用，其本身并不是决定违法与否的根据。比如说，我国网络安全法第42条对“被收集者同意”和“经过处理无法识别特定个人且不能复原”的内容没有进行详细规定，这时如果有部门规章对该规定的内容加以细化，那么我们就可以结合部门规章来认定。在整个司法适用过程中，部门规章只是起到了细化的作用，其本身并不能作为判定罪与非罪的依据。所以对“违反国家有关规定”的限缩解释既没有违反刑法的罪刑法定原则，又能兼顾刑法的适用，无疑是一种理性选择。