【思考】非法使用公民个人信息行为的刑法规制

点击蓝字 关注我们

摘要：在信息时代，个人信息的价值正在逐渐凸显，与信息的非法转移相比，信息的非法使用行为危害性更大，故对个人信息的保护不能忽视使用环节。然而我国刑法却并未将非法使用行为纳入到侵犯公民个人信息罪之中，存在规制上的漏洞。为实现对公民个人信息的完整保护，也为了实现法秩序的统一，有必要将该行为纳入到刑法的规制范围。鉴于非法使用行为自身的独立性以及刑法体系的协调性，应通过立法单独设立一款将其作为侵犯公民个人信息罪的行为类型，并明确出罪事由，实现信息保护与利用之间的平衡。

关键词：侵犯公民个人信息罪；个人信息；可识别性；法秩序统一性

问题的提出

近年来，科技革命与数字经济飞速发展，以互联网为代表的信息技术日新月异，数字化正以前所未有的迅猛态势席卷全球，我国高度重视数字化发展，明确提出了数字中国战略。数字技术的运用创新了社会交往和日常生活的方式，以信息交换与共享为主要特征的互联网思维已渗入社会生活的方方面面，为了享受互联网带来的便捷生活，人民不得不将自己的部分个人信息作为相关产品与服务的对价予以让渡，这使得个人信息面临被泄露与滥用的风险。在利益的驱使下，事实上已经形成了一条分工明确的数据交易黑色产业链，大量个人信息成为明码标价的商品，被用于违法犯罪活动的实施。例如使用个人信息恶意注册互联网账号刷单炒信、利用个人信息进行电话推销、根据个人信息定向推送诈骗广告等等情形，给公民个人及其家人的人身、财产以及其他合法权益带来了威胁，引发公民对个人信息安全的担忧。

为了回应社会公众对个人信息安全的担忧，也为了保障数字经济的发展，我国在多部部门法中对有关使用个人信息的行为作出了限制性或禁止性规定。自2009年《刑法修正案（七）》将侵犯个人信息行为纳入刑法的规制范围以来，侵犯公民个人信息罪的入罪标准、相关规定不断被细化与明确。但时至今日，非法使用公民个人信息的行为却一直被排除在该罪的构成要件行为之外，大量的非法使用公民个人信息行为难以受到刑法的规制，与其他部门法规范不协调。从数据信息的流动链条和生命周期来看，获取、出售、提供都属于个人信息的转移方式，处于中间环节，其最终目的在于通过使用个人信息来实施不法活动。意图使用个人信息来牟利才是导致当前大量个人信息被泄露的根源，可以说，相比获取、出售、提供个人信息行为，非法使用个人信息行为才是侵犯公民个人信息犯罪的核心所在，非法使用行为才是造成公民合法权益受损的直接原因，而刑法却并未对这一行为予以规制，导致对非法使用公民个人信息的行为缺乏有效制约。面对侵犯个人信息问题愈演愈烈的现实，如何有效规制非法使用个人信息行为俨然已经成为了当前亟待解决的问题。

非法使用个人信息行为界定

（一）个人信息的界定

我国法律关于个人信息的概念规定经历了一个由窄到宽的演变过程。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》指出，国家对于能够识别公民个人身份与涉及公民个人隐私的电子信息予以保护。2016年的《网络安全法》对个人信息的认定采取识别说，将“自然人个人身份”作为识别对象，根据该定义，自然人的活动轨迹、网络浏览记录等不能识别自然人身份的信息就不属于个人信息。但这个范围显然过于狭窄，因为该定义遗漏了自然人的活动信息。因此，2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对个人信息作了更为广义的理解，使得公民个人信息不仅包括能够识别特定自然人身份的信息，还包括能够体现特定自然人活动的信息。《中华人民共和国民法典》对个人信息的界定也采用识别说，但范围更广。《民法典》明确规定能够单独或者与其他信息结合识别特定自然人的均属个人信息，而不再局限于识别自然人个人身份或反映活动情况。2021年施行的《个人信息保护法》对个人信息作出了新的定义，将个人信息定义为与识别自然人有关的信息，且明确排除了匿名化处理后的信息。

由上可知，个人信息认定的核心要件是可识别性。个人信息是专属于自然人的具有“可识别性”的信息，但不包括经过匿名化处理的信息。

（二）非法使用个人信息行为

1.非法使用的概念

对非法使用行为的准确理解，是探讨对该行为进行刑法规制的依据。对于“非法”一词，有学者总结了其在我国刑法中的六种使用情形，即作为主观要素的“非法占有”、作为违法阻却事由的提示性规定、对“违反国家规定”的强调、扩张处罚条件、冗余规定、空白罪状。

对于侵犯公民个人信息罪中所使用的“非法”，笔者认为应当有两种含义。其一，是作为违法阻却事由的提示性规定，因为事实上存在着合法使用、合法获取公民个人信息的情形，因此，立法者使用“非法”一词是因存在“合法”处理个人信息的情形，提醒司法机关额外注意。其二则是体现空白罪状的规定。我国《个人信息保护法》规定了合法处理个人信息的情形，因此，“非法”也指违反前置法规定。《个人信息保护法》第十三条第一项明确规定了信息主体知情同意规则，第二项至第七项则是对处理个人信息的目的和方式所作的规定。而在该法第四条第二款中，对个人信息的处理列举了八种行为方式，使用行为与收集、存储、提供并列规定在其中，可见使用行为具有不同于获取、提供、出售行为的独立性，应当是对个人信息所承载的内容加以利用。综上，笔者认为“非法使用”个人信息，应当并不包括个人信息的流转，是指在不具有法律规定的情形下、未取得信息主体同意或者违背处理个人信息的目的、方式从而对个人信息加以利用的行为。

2.非法使用行为的行为类型

在实践中，非法使用个人信息的行为主要表现为三种形式。

其一，冒用类。冒用类非法使用是指行为人不经经信息主体同意而以信息主体的名义从事活动。例如冒用他人身份证件信息、冒用他人的生物识别信息实施诈骗或盗窃等行为，这类行为会给被害人的人身权和财产权带来被侵害的危险。如郭某被刘某冒用个人信息进行贷款。

其二，变造、伪造类。这类非法使用行为是指对个人信息进行修改，主要是指利用AI技术换脸行为。行为人利用深度合成技术，将人脸等生物识别信息进行替换，以用于违法犯罪行为。如将他人的脸替换到淫秽视频中借以牟利，如张某龙制作、贩卖、传播淫秽物品牟利案。

其三，侵扰生活安宁类。这类行为主要是指通过获取的公民个人信息与信息主体进行联系，从而达到商业宣传、推销或者进行非法活动等目的。最为常见的联系方式主要是电话、短信、邮件，行为人利用获取到的个人信息向信息主体频繁拨打电话、发送信息，从而对他人的正常生活产生影响。

刑法规制的必要性

（一）非法使用行为具有独立性

当前，我国刑法虽规定了侵犯公民个人信息罪来对公民个人信息加以保护，但该罪名仅仅规制出售、提供以及非法获取行为，并未将非法使用公民个人信息的行为纳入其中。在这种规制边缘行为而不打击关键行为的外围式立法模式中，立法者似乎将获取作为了使用的前提，认为二者之间存在必然的联系，忽略了实践中存在的非法使用合法获取的个人信息的情形。最常见的就是公民在接受某些便捷服务时（如网购、外卖等）会提供个人电话号码，网络平台服务商便通过合法方式获取了个人信息，从而有机会实施短信骚扰、电话骚扰等行为。这类行为由于获取信息的方式合法而不能通过侵犯公民个人信息罪处罚。伴随着数字技术的发展与个人信息价值的提升，获取到公民个人信息的方式与手段不断更新，对个人信息的侵害除了通过非法手段获取后加以利用的方式，还存在着合法获取后非法使用的方式。由此可见，非法使用行为逐渐脱离非法获取行为，成为一种独立的行为方式。尽管非法使用个人信息的行为常作为诈骗等犯罪的手段行为，但其侵害的法益却与之不同，在法益侵害方面也有其独立性。诈骗犯罪侵害财产权，而非法使用行为还侵犯公民的个人信息权，仅以目的行为侵害的法益来评价该犯罪行为并不全面，忽视了对个人信息的保护。

（二）非法使用行为具有社会危害性

当一个行为具备社会危害性时，就意味着该行为可能受到刑法的规制。随着数字经济的发展，个人信息的交流、共享更加便捷，为公民的社会生活提供了诸多便利，但对个人信息的不当使用却又给公民与社会带来了威胁。

非法使用行为的社会危害性主要表现为以下三个方面：其一，会对公民人格权产生影响。一方面，非法使用公民个人信息的行为侵犯了公民的个人信息权。公民有权决定是否使用、在何种范围内使用以及何人有权使用其个人信息，非法使用的行为，无论其目的与获取手段是否合法，都未经公民同意。而在信息网络社会，一旦信息被发布在网络上，即使及时对其予以删除，也会留下存在的痕迹。另一方面，非法使用行为会侵犯公民个人隐私与生活安宁。个人信息中包括隐私信息，对隐私信息的非法使用是对公民隐私权的侵犯；而通过电话号码和浏览记录对公民进行推销或广告推送的行为，则会干扰公民的正常生活。其二，存在危害公民人身权益、财产权益的可能。在实践中，存在着使用个人信息来实施针对特定主体的犯罪行为，如利用个人信息与生物识别信息实施诈骗、使用他人敏感信息进行敲诈勒索、冒用他人信息进行登记注册等一系列侵犯公民人身和财产权益的行为。由于个人信息的获取愈加方便，使得这些犯罪行为的发生更加频繁，侵害的方式也更加多样化。其三，破坏市场经济秩序。如使用大量个人信息注册账号进行刷单行为、使用他人的个人信息注册行用卡从而实施违法犯罪活动。

综上，非法使用个人信息的行为不仅侵害公民个人权益，还会对社会管理秩序与市场经济的正常运行带来破坏，有必要运用刑法对非法使用个人信息的行为进行规制。

（三）法秩序统一性的要求

德国法学家卡尔·恩吉施提出“法秩序统一性”原理，法秩序统一性要求排除法规范之间的矛盾，以使法规范背后的法律目的得以保持协调一致。众所周知，法律具有滞后性，立法疏漏会随着社会的发展而显现，法秩序的统一则是对法治体系协调性的要求。我国多部部门法对个人信息的保护作出了有关规定，尽管所侧重保护的法益不同，但均赋予了“使用行为”独立的地位，使其得以与获取、出售等其他个人信息处理行为相区分。对于危害程度较轻的非法使用行为，可运用前置法规定的民事、行政手段予以规制。而对于社会危害性较为严重的非法使用行为，前置法的威慑力可能难以发挥，作为最后保障的刑法则应设置相应的罪名对该行为予以规制，从而实现与前置法的协调一致，使公民个人信息得到全面的保护。除了要与其他部门法保持协调，刑法内部也不应存在矛盾。以《刑法》第二百一十九条为例，侵犯商业秘密罪将“使用”商业秘密单独作为一项行为类型加以规制，商业秘密与个人信息均属于信息的集合体，具有一定的相似性，且二者都具有经济价值，与之相比，个人信息不仅内含经济价值，同时还具有人身属性。这样看来，将非法使用行为纳入到侵犯公民个人信息罪的规制范围具有具有一定的合理性。

非法使用行为的刑法规制路径

（一）入罪路径与设置模式的选择

入罪路径存在立法论与解释论两种观点。解释论主张应在现有刑法规定中寻求支持，通过对现有规定的解释对非法使用行为予以规制。立法论则主张通过立法的路径将非法使用行为入罪。刑法解释是以刑法规定为前提的，无论采取何种解释方法都应遵循罪刑法定原则与行为性质的限制。即在通过刑法解释将某一行为入罪时必须符合罪刑法定原则的要求，且该行为必须与被解释的行为在行为特征、侵害法益方面具有同质性。而前文已经提及，使用行为是独立于获取、提供等行为的行为类型，其具有独立的价值，相比信息在空间上的流转，非法使用行为侵害的法益更广，危害更大，无论运用何种解释方法都不可能将“使用”解释为出售、提供、获取。故笔者认为通过立法论入罪是对该行为进行刑法规制的必然选择。

对于非法使用行为的入罪设置模式，存在着合设与分设两种观点。合设模式即将非法使用公民个人信息的行为纳入到现行刑法第二百五十三条之一侵犯公民个人信息罪中，不另行设置新的罪名。如有学者建议在《刑法》第二百五十三条之一中规定“非法使用”行为。分设模式则认为应在侵犯公民个人信息罪之外单独设立非法使用个人信息罪并设置独立的法定刑。如有学者主张设置非法利用个人信息罪，从而倒逼其他侵害个人信息犯罪行为的终止。笔者认为应采合设模式，即将非法使用行为作为侵犯公民个人信息罪的行为方式之一来予以规制，理由如下。

其一，基于罪名体系的协调性考虑。“侵犯公民个人信息罪”这一罪名具有高度的概括性，应当说能够囊括一切侵犯公民个人信息的行为。从前置法的规定来看，使用行为同收集、加工、提供等行为均属于对个人信息的处理，那么非法使用行为就应当同这些行为一样，都是侵犯公民个人信息行为的表现形式。既如此，就完全可以将其与出售、提供、获取行为共同规定在侵犯公民个人信息罪之下。反之，在存在侵犯公民个人信息罪的情形下，再单独设立非法使用公民个人信息罪，则会破坏法律规范的体系性与协调性。

其二，出于经济性的考量。刑事立法不仅要求公平正义，也要体现经济性。一种行为需要运用刑法规制，并不一定需要在刑法中设立新罪名，某一行为入刑与增设新罪名之间并不具有必然联系，正如有学者指出，打击犯罪的必要性、行为入罪的必要性与增设罪名的必要性三者之间不能混淆。上文指出，侵犯公民个人信息罪这一罪名具有概括性，足以囊括非法使用行为，采取合设模式能够减少不必要的文字表达，实现立法精简、经济的要求。

综上，基于刑法体系的协调性与刑事立法的经济性考虑，笔者认为对于非法使用公民个人信息行为入罪设置模式应采合设模式。

（二）合设模式下的具体设计

上文指出，应将非法使用行为增设为侵犯公民个人信息罪的行为类型之一，但对于如何增设，尚存在一些分歧。

有学者以非法提供与非法使用行为的侵害法益与行为主体相同为由，主张将非法使用行为增设到第一款中。该观点满足体系性要求，具有一定的合理性，但说理并不充分。首先，保护法益相同并不意味着要将不同行为规定在同一条款之中，如侵犯财产罪这一章下的行为大多侵犯财产权，但立法者却将这些行为分置于不同的罪名与条款中。可见，侵犯法益相同并不是将不同行为规定于同一条款下的理由。其次，非法提供与非法使用的行为主体并不相同。非法使用个人信息的行为主体不仅包括有权获取个人信息的人，也包括无权获取个人信息的人，而非法提供行为的主体仅限于有权获取个人信息的人。

有学者从维护刑法的稳定性出发，主张将非法使用行为增加到第二款中，同时删除“履行职责或提供服务”这一限制条件。理由在于行为人在履行职责或提供服务之外也有合法获取公民个人信息的可能。若采纳此观点，则会认为非法使用的信息仅包括“合法获取”的个人信息，而遗漏了“非法获取”的个人信息。主张此观点的学者认为非法获取后又非法使用的，类似于盗得他人财物后的销赃行为，属于不可罚的事后行为，故而不必对后续行为进行评价。但相较于非法获取行为，非法使用行为的法益侵害性更为严重、直接，若仅评价为非法获取则并不全面。

有学者主张将非法使用行为增设到第三款中。但该行为无视了非法获取与非法使用的区别。该款中的个人信息仅限于非法获取的，而非法使用个人信息既包括非法获取的信息也包括合法获取的信息。

在上述三种观点之外，还有学者主张将非法使用行为与其他行为分列，单独作为一款置于侵犯公民个人信息罪之下。笔者认为这一观点更为恰当。首先，正如上文所述，无论将非法使用行为置于第一款、第二款还是第三款，均存在不合理之处。非法使用个人信息的主体既可能合法获取该信息，也可能通过非法方式获取信息。随着信息价值的提升，获取信息后对信息加以利用的主体与目的更加多样，与处于流转环节的获取、提供行为相比，非法使用行为作为侵害公民个人信息行为的核心行为，其危害更直接，因此需要对该行为进行单独评价。其次，尽管使用行为与提供、获取行为均属处理个人信息的行为，但其具有独立性。获取、提供等行为属于个人信息的转移方式，处于中间环节，而使用行为处于信息流动链条的末端，分置于不同的环节。

综上，笔者认为可在侵犯公民个人信息罪第三款之后新增一款作为第四款：违反国家有关规定，非法使用公民个人信息的，依照第一款的规定处罚。

（三）非法使用行为的出罪事由

本文所讨论的非法使用行为，即包括对合法获取信息的使用也包括对非法获取信息的使用，但对于使用非法获取的信息的行为，无论其获取信息的手段或是目的，均属违法，故此处仅讨论非法使用通过合法方式获取个人信息行为的出罪事由。

1.知情同意原则

所谓知情同意原则，是指在收集、使用个人信息之前，信息处理者向信息主体告知说明信息收集、使用的范围与目的，在信息主体充分了解并作出授权许可之后，使用行为就不属于非法使用。知情同意原则是信息自决权的重要体现，我国《网络安全法》、《个人信息保护法》均对其有所体现。但问题在于应当如何判断使用行为是否超出信息主体的许可范围？对此，有观点主张引入“情境完整性”理论。即判断后续使用行为是否超出信息主体第一次授权时所设定的范围，若并未超出或者情境相同，该使用行为就不属于非法使用。结合该理论来对非法使用进行判定，即能确保信息的流通，发挥个人信息的数据价值，也能实现对个人信息的保护。

2.合理使用

当信息的使用并未获得信息主体授权许可时，只要其使用行为具备合理性，也不应当认定为侵犯公民个人信息罪。当个人信息的使用与保护之间发生冲突时，经过利益衡量，为保护更为重要的法益而不得不在未经许可时使用个人信息的，可视为合理使用。合理使用的判断关键在于目的正当，这并不局限于是为了公共利益，也包括信息处理者基于正当目的的使用。除此之外，还应当注意使用行为不会侵害信息主体的其他权利，否则仍然可能构成非法使用。

结语

当前，随着科学技术的持续发展，个人信息在便利公民社会生活与交往的同时逐渐凸显其商业价值。个人信息获取的便利性与信息本身蕴含的商业价值，使得个人信息被滥用的情形频频出现。对公民个人信息的不当使用会对信息主体的人身、财产权益、社会公共利益造成不利影响，完善对个人信息的保护是法治社会的必然要求，也是加快数字化发展、建设数字中国的必然要求。尽管近年来我国刑法逐步完善对个人信息的保护，设置了侵犯公民个人信息罪，并不断明确其适用标准，但仍然存在规制漏洞，即并未对非法使用这一独立行为予以规制，因而导致部分侵犯公民个人信息的行为难以得到妥善的处理。在前置法的规定日趋完善的背景下，刑法也应对非法使用个人信息行为作出回应，以实现对个人信息保护的完善，确保法秩序的协调统一。

参考文献

[1]张明楷：《刑法分则的解释原理》，高等教育出版社2024年版。

[2]刘双阳，李川：《大数据时代个人信息法益刑法保护的应然转向——以规制非法使用个人信息为重点》，载《重庆大学学报(社会科学版)》2020年第6期。

[3]罗翔：《刑事不法中的行政不法——对刑法中“非法”一词的追问》，载《行政法学研究》2019年第6期。

[4]陈文昊：《侵犯公民个人信息罪中的“外围”立法与解释进路》，载《重庆邮电大学学报（社会科学版）》2018年第5期。

[5]彭辅顺：《非法使用公民个人信息行为的刑法规制》，载《中国刑事法杂志》2023年第1期。

[6]刘仁文：《论非法使用公民个人信息行为的入罪》，载《法学论坛》2019年第6期。

[7]黄祖帅：《中国个人信息的刑法保护研究》，载《首都师范大学学报(社会科学版)》2015年第5期。

[8]黄陈辰:《非法利用公民个人信息行为的刑法应对》，载《政法学刊》2022年第1期。

[9]王肃之：《侵犯公民个人信息罪行为体系的完善》，载《河北法学》2017年第7期。

[10]周光权：《刑法谦抑性的实践展开》，载《东方法学》2024年第5期。

[11]程啸：《论公开的个人信息处理的法律规制》，载《中国法学》2022年第3期。

[12]卢勤忠,张宜培：《非法使用个人信息行为入刑的立法构思》，载《河北法学》2023年第1期。