劉憲權(quán) 宋子瑩

一、問題的提出

近年來，全球化背景下科技革命與產(chǎn)業(yè)變革的浪潮，帶來人類社會數(shù)字化轉(zhuǎn)型的契機，我國高度重視數(shù)字化發(fā)展，明確提出數(shù)字中國戰(zhàn)略。(1)《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》首次對數(shù)字化發(fā)展予以專篇論述，明確加快建設(shè)數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府、營造良好數(shù)字生態(tài)，以數(shù)字化轉(zhuǎn)型整體驅(qū)動生產(chǎn)方式、生活方式和治理方式變革，開啟了我國數(shù)字化轉(zhuǎn)型新篇章。隨著網(wǎng)絡(luò)逐漸成為經(jīng)濟發(fā)展的新動力，社會中個人信息的重要性也在不斷顯現(xiàn)。雖然我國對于個人信息的保護力度不斷加大，但現(xiàn)實生活中侵犯個人信息的事件依舊層出不窮。2021年8月，國家網(wǎng)信辦對手機應(yīng)用程序進行檢測，351款A(yù)PP因違法收集個人信息被通報，25款因嚴重違法違規(guī)收集使用個人信息被下架。部分公司、機構(gòu)甚至個人為謀取利益，隨意獲取并且超出授權(quán)范圍使用個人信息，導(dǎo)致危害人民群眾生命健康和財產(chǎn)安全的情況時有發(fā)生。例如，在“徐玉玉案”中，杜天禹通過植入木馬等方式，非法侵入官方招生考試信息平臺，竊取考生個人信息64萬余條，并出售上述信息中的10萬余條，獲利1萬余元。陳文輝等人使用所購買的10萬余條信息實施電信詐騙，騙取他人錢款20余萬元，并造成徐玉玉的死亡。(2)參見山東省高級人民法院(2017)魯刑終281號刑事判決書。由此可見，相較于非法獲取與非法提供個人信息行為，非法使用個人信息的行為不受信息數(shù)量的制約。作為涉?zhèn)€人信息犯罪鏈的末端行為，非法使用個人信息行為不僅是個人信息流轉(zhuǎn)的結(jié)束；同時也是對他人財產(chǎn)權(quán)益和人身健康直接侵害的開始。

近期出臺的《個人信息保護法》明文禁止非法收集、提供、使用個人信息等行為，但刑法卻僅對非法獲取與非法提供個人信息行為進行規(guī)制，而罔顧了社會危害性愈發(fā)凸顯的非法使用個人信息行為。與此同時，全世界信息化時代的到來，使得信息的深度化使用成為掌控市場的不二法門。在對信息更深層次的挖掘中，違法獲取、過度使用個人信息，利用個人信息侵擾生活安寧、危害公民生命健康和財產(chǎn)安全的事件就成為了不可避免的副作用。為防止個人信息徹底淪為經(jīng)濟市場中用于交換利益的廉價籌碼，為更全面地保障公民對其個人信息所享有的權(quán)利，非法使用個人信息的行為是否應(yīng)當(dāng)納入以及如何納入刑法規(guī)制，業(yè)已成為《個人信息保護法》出臺背景下亟須解決的重要問題。

二、非法使用個人信息行為刑法規(guī)制之闕如

為保障個人信息安全，依法懲治侵犯個人信息的行為，《刑法修正案(七)》首次針對侵害個人信息的問題，將非法獲取公民個人信息及出售或非法提供公民個人信息的行為規(guī)定為犯罪。但隨著大數(shù)據(jù)時代的到來，這些規(guī)定在司法實踐中依然顯得滯后與不足。《刑法修正案(九)》通過新增《刑法》第253條之一對上述規(guī)定作出修改，不僅取消了對于犯罪主體與個人信息范圍的限制，還明確將部門規(guī)章納入前置法范圍，同時新增一檔法定刑并刪除單處罰金的規(guī)定，加強了大數(shù)據(jù)時代對個人信息的保護。但隨著現(xiàn)代化進程的加快，侵害個人信息的方式層出不窮，愈加體現(xiàn)出我國刑法對于個人信息保護的缺失，在合法獲取個人信息后非法使用行為的方面體現(xiàn)得尤為明顯。

部分學(xué)者認為，非法使用個人信息的行為刑法沒有必要進行單獨規(guī)定，刑法中已有條文已經(jīng)可以滿足對該行為的規(guī)制。例如，合法獲取個人信息后使用該信息進行詐騙的行為，可以直接按照詐騙罪進行處罰，不必再行增加非法使用個人信息的罪名。(3)李玉萍：《侵犯公民個人信息罪的實踐與思考》，載《法律適用》2016年第9期。但筆者并不認同，非法使用公民個人信息行為的手段性質(zhì)根據(jù)危害結(jié)果的不同區(qū)分為兩類：其一是行為人為實施侵害行為而使用與侵害結(jié)果無關(guān)的第三人的個人信息，如利用他人身份信息注冊賬戶用于洗錢；其二是行為人為實施侵害行為而使用被害人的個人信息，例如使用獲取的銀行賬號與密碼竊取其存款。第一種行為對應(yīng)目的危害結(jié)果與間接性危害結(jié)果，即行為人原計劃實現(xiàn)的危害結(jié)果與行為人對于信息主體造成的危害結(jié)果。第二種行為對應(yīng)目的危害結(jié)果，非法使用行為屬于手段行為被主行為吸收，最終對主行為加以規(guī)制。(4)劉仁文：《論非法使用公民個人信息行為的入罪》，載《法學(xué)論壇》2019年第6期。造成目的危害結(jié)果，并且滿足刑法中已有條文規(guī)定的非法使用行為，屬于上述學(xué)者所描述的情形。但問題在于，現(xiàn)行刑法條文均集中于對非法使用行為造成的目的危害結(jié)果的規(guī)制，并未將間接性危害結(jié)果納入規(guī)制范圍，造成了法益保護的缺失。間接性危害結(jié)果侵害的是個人信息安全法益，除專門保護個人信息安全的侵犯公民個人信息罪外，其他罪名并不涉及?？梢钥闯觯谭ǚ謩t中已有的罪名并不能保護信息主體的權(quán)益，非法使用個人信息行為確實存在單獨規(guī)制的必要。

侵犯公民個人信息罪中規(guī)定了兩種行為方式，分別為“出售或者提供”與“竊取或者以其他方法非法獲取”。按照文義解釋規(guī)則，“出售或提供公民個人信息”是指不應(yīng)將自己掌握的公民個人信息提供給他人而予以提供的行為，強調(diào)了信息在不同主體之間的流動；“竊取與以其他方法非法獲取”是指個人信息的從無到有，不應(yīng)當(dāng)獲得而獲得的行為。而“非法使用個人信息”則是指個人信息被用于其原本的使用途徑和方法之外，重點在于行為人對信息的單方使用。可以看出，在語義解釋層面，非法使用個人信息行為并不能被侵犯公民個人信息罪所規(guī)定的行為方式所包容。

非法獲取個人信息后非法使用的行為，可以按照“非法獲取”行為以侵犯公民個人信息罪論處。有學(xué)者認為打擊非法獲取行為、非法提供行為的目的是為了實現(xiàn)法益保護的前置化(5)參見王肅之：《侵犯公民個人信息罪行為體系的完善》，載《河北法學(xué)》2017年第7期。；還有學(xué)者將目前侵犯公民個人信息罪的立法方式命名為“外圍規(guī)制”，意為作為核心的非法使用行為不受刑法規(guī)制，但與此有關(guān)的“外圍”行為被廣泛規(guī)定為犯罪，從而論證非法使用行為在涉?zhèn)€人信息犯罪鏈中居于首要地位(6)參見陳文昊：《侵犯公民個人信息罪中的“外圍”立法與解釋進路》，載《重慶郵電大學(xué)學(xué)報(社會科學(xué)版)》2018年第3期。。但筆者認為，非法獲取行為、非法提供行為與非法使用行為都屬于對個人信息的侵害方式，且根據(jù)行為性質(zhì)而言，將非法獲取個人信息后的非法使用行為認定為后續(xù)行為更為合適。一是司法實踐中對于非法獲取個人信息后非法使用的行為可按照“非法獲取”行為以侵犯公民個人信息罪論處。這是因為非法獲取個人信息的行為已經(jīng)對公民個人信息安全造成侵害，后續(xù)非法使用個人信息的行為同樣侵害了公民個人信息安全，因而后續(xù)行為無需在侵犯公民個人信息罪中重復(fù)評價，非法使用行為實質(zhì)上屬于非法獲取個人信息行為的事后不可罰行為。類比于盜竊他人財物后處理贓物的行為，盜竊行為已經(jīng)對公民財產(chǎn)權(quán)利造成侵害，所以只評價盜竊行為即可，不需要再單獨評價后續(xù)銷贓行為(7)參見劉憲權(quán)、何陽陽：《〈個人信息保護法〉視角下侵犯公民個人信息罪要件的調(diào)整》，載《華南師范大學(xué)學(xué)報(社會科學(xué)版)》2022年第1期。。二是結(jié)合兩高《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)中對于“情節(jié)嚴重”(8)“情節(jié)嚴重”是指公民個人信息被他人使用后，給公民造成了經(jīng)濟上的重大損失或者嚴重影響到公民個人的正常生活等情況。的規(guī)定也可以看出，立法者同樣認同將非法使用個人信息行為作為非法獲取行為與非法提供行為的后續(xù)行為加以規(guī)制的做法。

但合法獲取個人信息后非法使用的行為，侵犯公民個人信息罪卻未能規(guī)制。因合法獲取個人信息的行為并不包含在刑法侵犯公民個人信息罪的行為方式之中，也就意味著該行為已然繞過了侵犯公民個人信息罪所設(shè)置的“非法獲取”這唯一的門檻，即便非法使用行為造成嚴重的人身侵害與財產(chǎn)侵害，也不存在以侵犯公民個人信息罪規(guī)制的可能(9)參見勞東燕：《個人信息法律保護體系的基本目標(biāo)與歸責(zé)機制》，載《政法論壇》2021年第6期。。而合法獲取個人信息后非法使用行為規(guī)制的缺失，放縱了濫用行為的發(fā)生。例如某大學(xué)財務(wù)處在未經(jīng)學(xué)生同意的情況下，非法利用學(xué)校合法掌握的大量學(xué)生身份證號、學(xué)生家庭地址等個人信息，給上萬名學(xué)生集體辦理某銀行信用卡(10)參見《崇左幼專上千名學(xué)生莫名被開賬戶 農(nóng)行致歉承認操作不規(guī)范》，載百度網(wǎng)2021年12月11日，https://baijiahao.baidu.com/s?id=1718840493209713487&wfr=spider&for=pc。。這種形式上合法獲取個人信息后再行非法使用的行為，因為繞過了刑法設(shè)置的“唯一門檻”且未構(gòu)成其他犯罪，導(dǎo)致后續(xù)非法使用行為雖然造成嚴重后果，但卻無法被刑法規(guī)制。

更為嚴重的是，當(dāng)后續(xù)非法使用行為沒有合適罪名加以定罪時，法院傾向于選擇相似罪名進行判決。以2018年篡改高考志愿案為例，(11)參見賀健恒、鄧錫耀破壞計算機信息系統(tǒng)案，廣西壯族自治區(qū)南寧市青秀區(qū)人民法院(2019)桂0103刑初188號刑事判決書。被告人賀某、鄧某通過誘使考生填報“預(yù)報名系統(tǒng)”的方式非法獲取考生用于登陸志愿填報系統(tǒng)的信息，并違背考生意愿，擅自填報與其有利益往來的A學(xué)院為考生志愿，導(dǎo)致共11名學(xué)生錯誤的被A學(xué)院錄取。最終，法院以破壞計算機系統(tǒng)罪對賀某判處一年九個月有期徒刑、對鄧某判處一年二個月有期徒刑。雖然最后法院對賀某、鄧某以破壞計算機系統(tǒng)罪定罪處罰，但從案件具體事實來看，賀某、鄧某雖然非法使用了考生的登錄信息，但登陸方式從形式上來看符合網(wǎng)站登陸規(guī)則，其所實施的行為侵害對象并非是計算機系統(tǒng)本身，所造成的后果也未對計算機系統(tǒng)產(chǎn)生損害；且破壞計算機系統(tǒng)罪規(guī)定于第六章妨害社會管理秩序罪的第一節(jié)擾亂公共秩序罪下，其保護法益與本案中賀某、鄧某所為篡改考生信息導(dǎo)致錯誤錄取所侵害的個人法益并不相符。有學(xué)者在分析相似案件時同樣表示疑惑，如果此案發(fā)生在紙質(zhì)志愿填報的時代，該行為難道就不構(gòu)成犯罪了？(12)參見陳文昊：《侵犯公民個人信息罪中的“外圍”立法與解釋進路》，載《重慶郵電大學(xué)學(xué)報(社會科學(xué)版)》2018年第3期。使用信息技術(shù)的不同成為了影響行為入罪與否的決定性因素，但行為本身的危害性卻不予理會，這一點并不符合刑法評價的基本要求，將非法使用個人信息的行為不當(dāng)納入其他罪名，有突破罪刑法定原則的危險。對于上述案件，無論從損害后果還是從法益保護角度出發(fā)，都不應(yīng)當(dāng)以破壞計算機信息系統(tǒng)罪定罪處罰。那么，與其將非法使用行為不合理地認定為其他罪名，不如增加非法使用這一行為方式集中統(tǒng)一加以規(guī)制?？梢钥闯?，對于非法使用個人信息行為的規(guī)制我國刑法還存在缺失，并且已經(jīng)對刑法的規(guī)制效果造成一定程度的限制。

三、非法使用個人信息行為刑法規(guī)制之必要

(一)非法使用個人信息行為具有嚴重的社會危害性

社會危害性的概念由貝卡利亞在其《論犯罪與刑罰》一書中首次提出，他認為“犯罪使社會遭受到的危害是衡量犯罪的真正標(biāo)準”(13)[意]切薩雷·貝卡利亞：《論犯罪與刑罰》，黃風(fēng)譯，中國法制出版社2005年版，第21頁。我國《刑法》第13條但書同樣規(guī)定“情節(jié)顯著輕微危害不大的行為，不認為是犯罪。”可見社會危害性同樣也是我國刑法認定犯罪的特征之一。(14)參見李振林：《非法利用個人金融信息行為之刑法規(guī)制限度》，載《法學(xué)》2017年第2期。但由于社會危害性本身具有一定程度的模糊性，隨著時代的變化與技術(shù)的發(fā)展，社會危害性的認定標(biāo)準也會隨之發(fā)生改變，所以對某一行為社會危害性的認定，應(yīng)當(dāng)結(jié)合當(dāng)時的社會背景展開分析。

21世紀以來，由更為精深的網(wǎng)絡(luò)、數(shù)字與生物技術(shù)所引發(fā)的社會變革，一般被稱為第四次工業(yè)革命。大數(shù)據(jù)時代通過網(wǎng)絡(luò)依附實現(xiàn)了?？滤枋龅摹叭皺C器”現(xiàn)代權(quán)利控制，(15)參見[法]米歇爾·福柯：《規(guī)訓(xùn)與懲罰：監(jiān)獄的誕生》，劉北成、楊遠嬰譯，生活·讀書·新知三聯(lián)書店2007年版，第243頁。自由主義特色的權(quán)利根本無力對抗以規(guī)訓(xùn)為特征的現(xiàn)代權(quán)力。英國倫敦政治經(jīng)濟學(xué)院理查德·桑內(nèi)特教授認為，如今網(wǎng)絡(luò)平臺獲益的唯一方式就是挖掘個人信息，探索每一個用戶的喜好偏向。但如此就意味著，我們的信息完全暴露在大眾視野下，失去了匿名的自由。(16)參見《互聯(lián)網(wǎng)時代》，載央視網(wǎng)2022年5月9日，http://jingji.cntv.cn/special/internetage/interview/index.shtml。隨著現(xiàn)代化進程的不斷推進，生活中所產(chǎn)生的信息都不能再保證屬于自己，每一個行為都會被網(wǎng)絡(luò)所記住并且不會被時間所磨損。

伴隨著大數(shù)據(jù)技術(shù)的普遍應(yīng)用，越來越多的人傾向于選擇快速便捷的智能應(yīng)用，依賴于信息交換所獲得的便利，卻忽視了自身信息所擁有的價值。在傳統(tǒng)交易模式中，一方交付貨物，一方支付價款即可完成商品購買，賣方即使對買方一無所知也不影響交易的完成，賣方與買方的交集只存在于這一次的交易中；而在現(xiàn)代化的交易模式中，以成為主要購買方式的網(wǎng)絡(luò)零售為例，買方購買商品需要向平臺和賣方，提供姓名、電話號碼、家庭住址甚至于銀行卡賬號等較為重要的個人信息，而賣方與平臺獲取信息后并不會因交易的完成而刪除所獲取的信息，賣方通常選擇將該信息作為推銷渠道，發(fā)送產(chǎn)品推介短信；平臺則會將該信息作為分析對象，依照該名用戶的信息特點，推送“個性化”服務(wù)，互聯(lián)網(wǎng)中信息的不可遺忘性已經(jīng)無法避免的促成了個人信息的挖掘與利用。

社會發(fā)展與信息化持續(xù)深度融合的信息化社會的到來，昭示著信息已經(jīng)成為了社會變革與產(chǎn)業(yè)轉(zhuǎn)型升級最重要的資源，更深層次的信息挖掘意味著更深層次的數(shù)據(jù)掌握。這就意味著，不使用信息就放棄了對于數(shù)據(jù)的計算、失去了對市場的掌控。英國牛津大學(xué)互聯(lián)網(wǎng)研究所教授維克托·邁爾認為：“‘大數(shù)據(jù)’時代中數(shù)據(jù)的真正價值，體現(xiàn)在所謂的‘二次使用’中?！?17)《互聯(lián)網(wǎng)時代》，載央視網(wǎng)2022年5月9日，http://jingji.cntv.cn/special/internetage/interview/index.shtml。在全世界信息化浪潮的翻涌中，信息的深度使用成為了必然的結(jié)果，非法使用行為在侵犯個人信息犯罪的行為體系中占據(jù)重要地位，這些情況的出現(xiàn)迫使刑法不得不重新審視非法使用個人信息行為所具有的社會危害性。

一方面，相比于非法提供與非法獲取個人信息行為，非法使用個人信息行為的侵害具有直接性。非法提供與非法獲取行為的本質(zhì)為信息的流動，信息從一方物質(zhì)載體傳輸至另一方，信息掌握者數(shù)量的增加對數(shù)據(jù)管理系統(tǒng)產(chǎn)生侵害，但對特定信息主體本身并沒有造成實質(zhì)性侵害，例如個人姓名、電話號碼與行蹤信息的泄漏，如果只是不附加任何目的的出售或購買，其危險也只體現(xiàn)在信息管理安全方面。而電話推銷、跟蹤行程等非法使用行為的發(fā)生使得非法獲取個人信息行為的侵害現(xiàn)實化、具體化。以非法使用手機號碼進行電話推銷為例，電話推銷因為成本低廉，成為房產(chǎn)銷售、金融保險等領(lǐng)域常用的營銷方式，商家在獲取用戶手機號碼等信息后，長時間高頻的強行推送各類宣傳廣告，直接干擾了用戶的正常安寧的工作與生活環(huán)境；又如近年來頻發(fā)的電信詐騙案件，行為人章某某冒充教育系統(tǒng)工作人員，利用購買的新生信息，欺騙學(xué)生或?qū)W生家長轉(zhuǎn)賬獲取補助金，直接導(dǎo)致當(dāng)事人的財產(chǎn)損失，破壞了學(xué)校的正常教學(xué)秩序和教育系統(tǒng)聲譽。(18)參見《侵犯公民個人信息犯罪典型案例》，載《檢察日報》2017年5月17日，第2版。非法使用行為作為涉公民個人信息犯罪鏈的最后階段，將對信息的危險徹底轉(zhuǎn)變?yōu)閷π畔⒅黧w的危險。

另一方面，相較于非法提供與非法獲取個人信息行為，非法使用個人信息的侵害具有精確性。全國人民代表大會常務(wù)委員會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》(以下簡稱《決定》)第1條(19)《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第1條規(guī)定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。”與其后兩高與公安部《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》(以下簡稱《通知》)的規(guī)定，(20)《最高人民法院、最高人民檢察院、公安部〈關(guān)于依法懲處侵害公民個人信息犯罪活動的通知〉》規(guī)定：“公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學(xué)歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料。”所體現(xiàn)的基本精神一致，都將“可識別性”作為個人信息的基本特征；我國《網(wǎng)絡(luò)安全法》第76條第5項(21)《網(wǎng)絡(luò)安全法》第76條第5項規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！迸c《解釋》第1條(22)《解釋》第1條規(guī)定：“刑法第253條之一規(guī)定的‘公民個人信息’是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反應(yīng)特定自然人活動情況各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號秘密、財產(chǎn)狀況、行蹤軌跡等?！币?guī)定又將個人信息“可識別性”的認定范圍進一步擴大，包括“直接型可識別信息”及需結(jié)合識別的“間接型可識別信息”，但依舊保持了個人信息“可識別性”的基本認定要素；最新頒布的《個人信息保護法》是我國首部統(tǒng)一的針對個人信息的專門立法，其第4條第1款(23)《個人信息保護法》第4條第1款明確規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”著重強調(diào)了個人信息的指向性功能，確立了個人信息“可識別性”的顯著特性，每條個人信息皆可溯源。正因如此，非法使用個人信息的行為能夠與特定主體精準對接，從而導(dǎo)致非法使用行為造成的侵害也更具精確性。例如獲取他人身份證號碼與銀行卡號碼后，冒用他人名義辦理信用卡貸款，致使他人逾期未還款而產(chǎn)生不良征信記錄，給特定信息主體帶來財產(chǎn)損失與司法糾紛。(24)參見張勇：《個人信用信息法益及刑法保護:以互聯(lián)網(wǎng)征信為視角》，載《東方法學(xué)》2019年第1期。相較于非法提供或非法獲取行為的信息海量遷移，非法使用行為更在意信息背后的特定主體。一旦犯罪分子將目光鎖定于某一個體，更改其個人信息的原始用途及使用方法，信息背后的特定主體則必然遭受侵害。

根據(jù)上述特點，非法使用個人信息的行為對信息主體的侵害更為直接、精確，對信息主體的信譽、財產(chǎn)及正常生活各方面都可能造成嚴重的損害，其社會危害性并不低于非法提供與非法獲取個人信息的行為。(25)參見陳小彪、李瑞華：《行為人——被害人二元刑法體系之建構(gòu)及其展開——以個人信息刑法保護為例》，載《海峽法學(xué)》2019年第4期。隨著信息化技術(shù)的普及，非法使用個人信息行為的社會危害性已經(jīng)發(fā)生改變，應(yīng)當(dāng)以刑法對其進行規(guī)制。

(二)非法使用個人信息行為入罪有利于實現(xiàn)法秩序統(tǒng)一

1935年，德國法學(xué)家卡爾·恩吉施首先提出的“法秩序統(tǒng)一性”原理為理論界所廣泛接受，其主張法秩序統(tǒng)一性要求排除法規(guī)范之間的矛盾，并保持其背后的法律目的的協(xié)調(diào)一致。(26)參見[德]卡爾·恩吉施：《法律思維導(dǎo)論》，鄭永流譯，法律出版社2004年版，第5頁。目前，信息社會的多元化使得法律制度也不斷前進，在不同的法領(lǐng)域衍生出與之相適應(yīng)的維持秩序、解決糾紛之法。但就如法秩序統(tǒng)一性原理所強調(diào)的，法律條文的適用不單是在某一法域下的自我表現(xiàn)，更要滿足整體法秩序背后法律目的的協(xié)調(diào)統(tǒng)一。行為的判斷應(yīng)當(dāng)順應(yīng)全體法秩序而進行，法律體系之間應(yīng)當(dāng)相互協(xié)調(diào)、相互補充，如果內(nèi)部相悖，則不僅對外無法規(guī)范行為，對內(nèi)還會對法律結(jié)構(gòu)本身造成傷害。

2021年頒布的《個人信息保護法》第10條(27)《個人信息保護法》第10條規(guī)定：“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。”承接《民法典》第111條(28)《民法典》第111條規(guī)定：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！睂τ趥€人信息的保護。應(yīng)當(dāng)肯定的是，《民法典》和《個人信息保護法》作為侵犯公民個人信息罪的前置法，為刑法侵犯公民個人信息罪的完善提供路徑。對比上述前置法與刑法中的規(guī)定可以看出，非法使用他人個人信息的行為已經(jīng)明確被前置法規(guī)定為違法行為，但卻尚未被納入侵犯公民個人信息罪的行為方式之中。根據(jù)法秩序統(tǒng)一性原理，前置法不認為是違法的，刑法不認定為犯罪；前置法認定是違法的，刑法不一定認為是犯罪。誠然，前置法的規(guī)定不能必然推斷出刑法可以對非法使用個人信息行為進行規(guī)制，還需要在刑法內(nèi)部對于非法使用行為加以檢驗。

在現(xiàn)有的法律體系中，有關(guān)信息安全的前置性保護法律較為全面。在《個人信息保護法》出臺前，以《國家安全法》為指引，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》陸續(xù)出臺并實施。上述四部法律對國家秘密、網(wǎng)絡(luò)安全與網(wǎng)絡(luò)信息、數(shù)據(jù)安全、公民個人信息的保護構(gòu)成了一個有機整體。《個人信息保護法》針對個人信息進行專門統(tǒng)一保護，以專章規(guī)定了個人信息處理規(guī)則，(29)《個人信息保護法》第4條第2款規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等?！痹谖{了《電子商務(wù)法》第18條和《個人信息安全規(guī)范》第7.5條關(guān)于定向推送和個性化展示的規(guī)定的基礎(chǔ)上，新增了第24條對自動化決策的規(guī)定，一定程度上保障了個人信息主體的選擇權(quán)、知情權(quán)和決定權(quán)，并針對公眾熱議的“大數(shù)據(jù)殺熟”問題進行回應(yīng)。同時通過《個人信息保護法》第71條(30)《個人信息保護法》第71條規(guī)定：“違反本法規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任?！币?guī)定可以看出，《個人信息保護法》對于非法使用個人信息進行自動化決策，甚至造成大數(shù)據(jù)殺熟的情況，規(guī)定了情節(jié)嚴重構(gòu)成犯罪的，需要依法追究刑事責(zé)任，說明《個人信息保護法》已經(jīng)發(fā)現(xiàn)對于社會危害性顯著的非法使用個人信息行為進行刑法規(guī)制具有必要性。以具有代表性的《刑法》第219條侵犯商業(yè)秘密罪為例，從罪狀表述上看，侵犯商業(yè)秘密罪將“使用”商業(yè)秘密作為獨立的行為方式加以規(guī)制；從犯罪對象上看，商業(yè)秘密與公民個人信息同樣都作為信息集合，具有一定程度的相似性。二者保護目的也較為相似，商業(yè)秘密的機密性主要保護公司技術(shù)信息或經(jīng)營信息，保證公司的經(jīng)濟利益與競爭優(yōu)勢；個人信息的可識別性主要保護信息對應(yīng)個人的人身指向性，保證信息主體的人身安全與財產(chǎn)安全。(31)參見劉仁文：《論非法使用公民個人信息行為的入罪》，載《法學(xué)論壇》2019年第6期。綜上所述，“使用”商業(yè)秘密行為可以單獨作為一種行為方式被刑法所規(guī)定，且相比于商業(yè)秘密，公民個人信息除了具有商業(yè)秘密也同樣具有的經(jīng)濟性質(zhì)之外，還具有對于個人更重要的人身屬性。既然侵犯商業(yè)秘密罪中能夠?qū)⒎欠ㄊ褂蒙虡I(yè)秘密的行為加以規(guī)制，那么將非法使用個人信息的行為納入刑法規(guī)制范圍也就具有其內(nèi)在合理性。

《個人信息保護法》確實存在不需要動用刑法，僅行政處罰即可以滿足的情形，但同時也存在另一部分確實有必要入刑的情形，除了部分非法獲取與非法提供的行為可以認定為侵犯公民個人信息罪外，其他同樣具有嚴重社會危害性的非法處理行為在刑法中很難找到相應(yīng)的規(guī)制措施，特別是前文所述的對信息主體侵害更加直接精確的非法使用行為。(32)《個人信息保護法：為數(shù)字社會治理與數(shù)字經(jīng)濟發(fā)展構(gòu)建基本法》，載中華人民共和國國家互聯(lián)網(wǎng)信息辦公室網(wǎng)2021年8月25日，http://www.cac.gov.cn/2021-08/25/c_1631491548474109.htm。個人信息保護的行刑銜接脫節(jié)會導(dǎo)致無法充分保護公民個人信息情況的發(fā)生，并且非法使用行為嚴重危及個人信息安全，已經(jīng)成為刑法打擊侵犯公民個人信息行為時欠缺的重要內(nèi)容，若不及時修改會導(dǎo)致法律法規(guī)無法發(fā)揮其應(yīng)當(dāng)具有的實際效果。

跟隨著經(jīng)濟全球化的腳步，法律全球化也在逐漸形成，如今互聯(lián)網(wǎng)的產(chǎn)生搭建了足不出戶卻能遍及全球的信息高速。在數(shù)字化浪潮的推動下，國家之間的貿(mào)易合作更加需要以個人信息的有效保護作為前提，特別是在如今中國逐步加深國際競爭影響力的背景下，國家與個人的信息安全所遭受的危險程度也在不斷提升，亟須構(gòu)建一個適應(yīng)現(xiàn)代信息發(fā)展的個人信息保護國際化規(guī)則。法律規(guī)則作為一個國家國際話語權(quán)的重要載體，在法律全球化的時代，建立一個與國際接軌并能夠全面保護我國信息安全的規(guī)則至關(guān)重要。

雖然不同的國家和地區(qū)對于個人信息保護的立法可能因語言差異、規(guī)制方法等原因?qū)е略谖淖直硎?、使用范圍等方面存在不同，但對于將非法使用個人信息行為作為獨立行為入罪已經(jīng)達成共識。1973年美國率先確立了處理個人信息的五項原則(33)五項原則：(1)禁止所有秘密的個人信息檔案保存系統(tǒng)；(2)確保個人了解其被收集的檔案信息是什么，以及信息如何被使用；(3)確保個人能夠阻止未經(jīng)同意而將其信息用于個人授權(quán)使用之外的目的，或者將其信息提供給他人，用作個人授權(quán)之外的目的；(4)確保個人能夠改正或修改關(guān)于個人可識別信息的檔案；(5)確保任何組織在計劃使用信息檔案中的個人信息都必須是可靠的，并且必須采取預(yù)防措施防止濫用。參見《個人信息保護法的深遠意義：中國與世界》，載中華人民共和國國家互聯(lián)網(wǎng)信息辦公室網(wǎng)站2021年8月25日,http://www.cac.gov.cn/2021-08/25/c_1631491542896651.htm。，在個人信息保護制度建立之初，就已經(jīng)將授權(quán)使用個人信息作為處理個人信息的基本原則。于聯(lián)邦一級立法《身份盜取和冒用阻止法案》中規(guī)定，未經(jīng)授權(quán)非法使用他人身份信息構(gòu)成聯(lián)邦犯罪；于州一級立法中佛羅里達州規(guī)定“個人可識別信息的犯罪性使用”；(34)[美]亨利·龐特、彭新林、高晴：《身份盜竊:有限理性、研究與對策》，載《刑法論叢》2018年第4期。韓國《個人信息保護法案》第71條規(guī)定，非法使用或非法提供個人信息的處五年以下有期徒刑；(35)康貞花：《韓國〈個人信息保護法〉的主要特色及對中國的立法啟示》，載《延邊大學(xué)學(xué)報(社會科學(xué)版)》2012年第4期。日本《個人信息保護法案》第82條對個人信息保護委員會成員泄露或使用個人信息入刑；(36)劉穎：《日本個人信息保護法》，載《北外法學(xué)》2021年第2期。我國臺灣地區(qū)“個人資料保護法”第42條規(guī)定違法利用個人資料造成他人損害的構(gòu)成犯罪。

上述內(nèi)容對大部分國家和地區(qū)針對非法使用個人信息行為規(guī)制問題達成的共識進行介紹，但這并不意味著我國應(yīng)當(dāng)為了迎合法律全球化的現(xiàn)實，無條件適用其他國家所認同的個人信息法律規(guī)定方法。恰恰相反，將非法使用個人信息行為入罪并不是為了追隨世界潮流。事實上，這正是我國法律體系對自身考量后自我完善、自我發(fā)展的必然結(jié)果。國際上對于非法使用個人信息行為普遍入刑的規(guī)定，正是從側(cè)面反映出非法使用個人信息行為應(yīng)當(dāng)以刑法規(guī)制，我國對侵犯公民個人信息罪的反思，及時回應(yīng)了國家、社會、個人對個人信息保護的關(guān)切，關(guān)于非法使用個人信息行為入刑的思考正當(dāng)其時。

四、非法使用個人信息行為刑法規(guī)制之路徑

目前，對于非法使用個人信息行為的刑法規(guī)制路徑主要有兩種觀點:第一種觀點認為，應(yīng)當(dāng)在我國《刑法》第253條之一第3款中增設(shè)非法使用個人信息行為，將之與非法獲取個人信息行為并列(37)趙秉志：《公民個人信息刑法保護問題研究》，載《華東政法大學(xué)學(xué)報》2014年第1期。；第二種觀點認為，應(yīng)當(dāng)新增“非法使用個人信息罪”作為《刑法》第253條之二，表述為：“有義務(wù)為他人保密之人，未經(jīng)授權(quán)而利用在履行職責(zé)或提供服務(wù)過程中獲悉的他人個人信息的，處二年以下有期徒刑或者拘役，并處或者單處罰金?！?38)吳萇弘：《個人信息的刑法保護研究》，上海社會科學(xué)院出版社2014年版，第130-137頁。

在筆者看來，上述第一種規(guī)制路徑存在欠缺，非法獲取行為及非法使用行為在犯罪主體方面存在不一致的問題。非法獲取個人信息的行為人客觀上無權(quán)合法獲取該個人信息，如果本身擁有合法合規(guī)獲取個人信息的資格，也就不存在非法獲取個人信息的情況。(39)劉憲權(quán)、王哲：《侵犯公民個人信息罪刑法適用的調(diào)整和重構(gòu)》，載《安徽大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2022年第1期。但非法使用個人信息行為的犯罪主體不存在限制性要求，對于應(yīng)增設(shè)的非法使用行為，其行為主體為有權(quán)合法獲取個人信息的行為人。所以，應(yīng)排除第一種規(guī)制路徑的適用。第二種規(guī)制路徑同樣存在缺陷。一方面，從立法表達的合理性來看，刑法作為最嚴厲的懲罰手段，其立法語言也應(yīng)當(dāng)是語言文字中最為嚴謹?shù)?。非法使用、非法獲取與非法提供個人信息之間雖然相互獨立，但都屬于侵犯個人信息的行為方式。《個人信息保護法》第4條第2款中將個人信息的收集、使用、提供、公開等并列規(guī)定，更加說明非法獲取、提供、使用行為本身不存在位階關(guān)系。非法使用行為與非法提供、非法獲取行為分列另以條文規(guī)定會因立法語言的不規(guī)范，從而導(dǎo)致條文規(guī)定的失衡。另一方面，考慮立法經(jīng)濟因素，刑事立法不僅要實現(xiàn)立法目的，還要對立法成本有所考慮，新增非必要性的罪名不但會導(dǎo)致刑法的累贅與重復(fù)，還會不必要地增加立法成本，累及社會資源。所以，應(yīng)當(dāng)排除此種規(guī)制路徑的適用。筆者認為，最合適的規(guī)制路徑是通過類比非法提供個人信息行為，調(diào)整《刑法》第253條之一第1、2款的規(guī)定。

從行為性質(zhì)的角度來看，非法使用行為作為后續(xù)行為應(yīng)當(dāng)與非法提供行為并列規(guī)定。我國刑法中將“使用”作為行為方式的代表性罪名為《刑法》第219條侵犯商業(yè)秘密罪。從形式上看，侵犯公民個人信息罪與侵犯商業(yè)秘密罪都屬于“犯罪行為+犯罪對象”的同一語句構(gòu)成模式，這種罪名構(gòu)成意味著其罪名內(nèi)容及行為模式具有某種相似性。并且侵犯公民個人信息罪同侵犯商業(yè)秘密罪一樣均為敘明罪狀，詳細地羅列多種犯罪行為方式并對其加以描述。對于行為方式的位置排列，侵犯商業(yè)秘密罪的立法邏輯同樣具有借鑒價值。侵犯商業(yè)秘密罪分置兩款列舉了四種行為方式，第1款第1項和第2項根據(jù)侵犯商業(yè)秘密的行為性質(zhì)進行區(qū)分，可以劃分為不正當(dāng)獲取行為與同一主體的披露、使用或允許他人使用的行為；第3項以行為主體和獲取途徑的不同作為區(qū)分標(biāo)準，規(guī)制合法持有他人商業(yè)秘密者違反約定披露、使用或允許他人使用商業(yè)秘密的行為；第2款規(guī)定的是惡意第三人的獲取、披露、使用或允許他人使用商業(yè)秘密的行為。其中，第1款第1項與第2項行為方式的劃分，與本文所探討的非法使用個人信息行為的刑法規(guī)制路徑選擇密切相關(guān)。第1項不正當(dāng)獲取商業(yè)秘密的行為本身就可能會使商業(yè)秘密喪失競爭優(yōu)勢，故《刑法》第219條將不正當(dāng)獲取行為獨立規(guī)定；而第2項中披露行為、使用行為及允許他人使用行為合并規(guī)定并未分列，說明立法并不是單純按照行為性質(zhì)的不同加以規(guī)定。又因披露、使用及允許他人使用的行為皆基于非法獲取行為之上，屬于不正當(dāng)獲取行為的自然延伸，所以該項遵循著獲取行為與后續(xù)行為分列的規(guī)則，將后續(xù)行為于同一項中加以規(guī)定。且在第3項合法持有他人商業(yè)秘密的情況下同樣適用。而刑事立法的法言敘述必然遵循著一定的邏輯順序，相似罪名之間的行為方式排列由一定的邏輯順序所引導(dǎo)，所以對應(yīng)于侵犯公民個人信息罪，非法使用個人信息行為與非法提供行為性質(zhì)相同，同樣屬于非法獲取行為的后續(xù)延伸行為，應(yīng)當(dāng)將非法使用行為與非法提供行為并列規(guī)定，保證刑法內(nèi)在法秩序的統(tǒng)一。

從獲取途徑的角度考慮，非法使用行為與非法提供行為均針對合法獲取個人信息行為。侵犯公民個人信息罪第1、2款規(guī)制有權(quán)主體非法提供個人信息的行為及其從重情節(jié)，第3款則規(guī)制無權(quán)主體非法獲取個人信息的行為。鑒于侵犯公民個人信息罪對非法獲取行為單獨進行規(guī)制，所以第1款中規(guī)定的提供與出售應(yīng)理解為合法獲取后的非法提供行為，其非法主要體現(xiàn)為提供行為的非法。合法獲取是指行為人出售或者提供給他人的信息是有權(quán)主體通過合法渠道獲得的個人信息，合法渠道包括但并不限于履行職責(zé)或者提供服務(wù)時實施的獲取行為。本文所討論的應(yīng)當(dāng)增設(shè)的非法使用行為，針對的即為合法獲取個人信息的情形。作為非法提供行為與非法使用行為前提條件的前行為重合，皆為合法獲取個人信息行為，所以將合法獲取個人信息后非法使用的行為歸入第1款的規(guī)定并無不妥。還需注意的是，非法使用個人信息行為中“個人信息”的范圍廣于侵犯公民個人信息罪中的“個人信息”。個人信息包括非法獲取與合法獲取的個人信息，而合法獲取的個人信息又包含依法未公開的個人信息與依法公開的個人信息。依法公開的公民個人信息，意味著任何人都有可能或有權(quán)利獲取，此時的獲取或提供不會違反國家規(guī)定，相關(guān)行為也就不可能具有非法性，所以侵犯公民個人信息罪中的“個人信息”不包括依法公開的個人信息。(40)劉憲權(quán)、房慧穎：《侵犯公民個人信息罪定罪量刑標(biāo)準再析》，載《華東政法大學(xué)學(xué)報》2017年第6期。但非法使用行為卻無需將合法獲取依法公開的個人信息排除在外，非法使用行為的危害性不在于信息來源，其處罰理由在于信息使用方式的非法性，使用人超出授權(quán)范圍處理已公開的個人信息，依舊屬于非法使用的行為。所以適用時應(yīng)注意區(qū)分，非法出售或提供個人信息行為對應(yīng)的個人信息中不包括已公開信息。第2款中立法者對于在履行職責(zé)或者提供服務(wù)中獲得個人信息后實施非法提供個人信息行為持更為嚴厲的打擊態(tài)度，主要原因在于該款行為主體本就應(yīng)當(dāng)遵守職業(yè)道德，履行個人信息保密義務(wù)。所以對于利用職權(quán)便利侵犯個人信息的行為應(yīng)從重處罰以嚴厲職業(yè)規(guī)制。該理論同樣適用于非法使用個人信息的行為，所以在第2款中增加非法使用行為并不存在問題。這種調(diào)整方式順應(yīng)條文原有邏輯，能夠?qū)⑿谭l文的變動控制在較小范圍內(nèi)，在兼顧立法語言規(guī)范的同時兼顧立法成本，有利于刑法的穩(wěn)定性。

綜上所述，筆者認為，應(yīng)當(dāng)調(diào)整《刑法》第253條之一第1、2款之規(guī)定，將非法使用個人信息行為與“向他人出售或者提供公民個人信息”行為在條文中并列予以規(guī)定。同時，同樣適用第2款從重處罰的規(guī)定。(41)《刑法》第253條之一第1、2款的規(guī)定可調(diào)整為：“違反國家有關(guān)規(guī)定，非法使用、向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售、提供給他人或者非法使用的，依照前款的規(guī)定從重處罰?！?/p>