童云峰丨侵犯个人信息行为的刑法全流程规制模式研究

童云峰（1992—），男，安徽无为人，华东政法大学中国法治战略研究院特聘副研究员，法学博士。

一、个人信息处理行为的法律衔接障碍及其危害

二、侵犯个人信息行为刑法全流程规制模式的提出

三、侵犯个人信息行为刑法全流程规制模式的证成

四、侵犯个人信息行为刑法全流程规制模式的确立

五、结语

数字技术的迭代更新使侵犯个人信息行为呈现出流程化特点。不同类型的侵犯个人信息行为可能会给个人权益带来直接或间接的损害。对此，《中华人民共和国民法典》（以下简称《民法典》）和《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）均规定了“处理”，立法者试图以“处理”来涵盖个人信息处理全流程中的所有行为。然而，《中华人民共和国刑法》（以下简称《刑法》）只规制部分处理个人信息的行为，对个人信息法益保护明显不够周延，无法与前置法形成有效衔接。需要思考的是，对于前置法已有规定但保护公民个人信息的相关罪名无法规制的非法处理行为，刑法是否有必要规制？若有必要，刑法应当如何精准规制此类行为？本文将研究解决前述问题，进而推动法律衔接和周延保护个人信息权益。

当前，虽然个人信息处理行为及其风险均呈现出流程化，但前置法与刑法关于个人信息处理流程的规定却存在时间差，这使前置法与刑法在行为规制方面不能有机衔接，容易形成刑法的处罚盲区。

（一）前置法层面：个人信息处理行为的全流程规制

“处理”是关涉个人信息行为的总称，已被各国立法和司法实践采纳。我国关涉个人信息的最新立法均使用“处理”这一术语。《民法典》总则编借鉴了欧盟的立法经验，通过举例的方式勾勒了“处理”的基本轮廓。《民法典》人格权编和《个人信息保护法》进一步明确了“处理”的内容，突显对个人信息全流程保护的理念。《个人信息保护法》中的基本规则均是以处理的全流程化为底层逻辑。然而，《个人信息保护法》中的“处理”比《民法典》中的“处理”多了一个“删除”的列举，进一步充实了处理的内容。《个人信息保护法》和《民法典》中的“处理”定义都以“等”字结尾，足以应对未来的发展变化。

将“处理”理解为关涉个人信息的所有活动是文义解释。法律对特定名词的定义往往是以抽象概念阐述的方式予以表达，如个人信息，法律不仅列举了其基本类型，也进行了抽象定义。然而，对于“处理”，《民法典》和《个人信息保护法》均只以具体列举方式予以阐述。究其原因，可能是因为理论上争议较大，故立法者先暂时搁置定义，只进行具体列举。具体列举虽能够使处理具象化，但也可能会使处理缺乏普遍适用性，容易引发适用上的分歧。作为规范研究者需要通过合理解释提炼“处理”的抽象含义。本文认为，“处理”是个人信息流通过程中所有行为的统称。《个人信息保护法》之所以在《民法典》的基础上增加“删除”，是为了回应理论和实务中保护个人信息被遗忘权的需求。为了实现《个人信息保护法》与《民法典》的衔接，应将前者中的“删除”融入《民法典》第1035条第2款的“等”中。通过立法明确规定“处理”的方式来涵盖个人信息全流程，已成为全球个人信息保护立法的趋势。

（二）刑事法层面：侵犯个人信息行为的不完全规制

与前置法的全流程规制不同的是，刑法中保护个人信息的罪名只能规制部分不法行为。这意味着对于某些较为严重的非法处理个人信息的行为，虽然能够被前置法规制，但受罪刑法定原则的约束，无法被刑法规制。

第一，侵犯公民个人信息罪只能规制两类不法行为。《刑法》中侵犯公民个人信息罪的客观行为包括窃取、非法获取、出售和提供，“窃取”“获取”可以解释为“收集”，而“出售”“提供”可以归纳为“提供”，出售也只不过是一种有偿提供的表现。换言之，侵犯公民个人信息罪的行为方式只有非法收集和非法提供。非法收集和非法提供在《个人信息保护法》上可以与“收集”“提供”“传输”对应，这意味着《个人信息保护法》所列举的其他诸多处理行为，侵犯公民个人信息罪无法规制。

第二，“窃取、收买、非法提供信用卡信息罪”也只可规制非法收集和非法提供两类行为。立法者设置该罪的目的是保护作为敏感个人信息的信用卡信息。因此，该罪的行为方式与侵犯公民个人信息罪基本相同。该罪由2005年的《中华人民共和国刑法修正案（五）》增设，当时数字技术尚未兴起，数据还未成为重要的资源和生产要素，信用卡信息也是以信用卡的形式呈现，立法者将信用卡信息与信用卡同等看待，在设置“窃取、收买、非法提供信用卡信息罪”的客观行为时直接参考了妨害信用卡管理罪的相关规定。《刑法》第177条之一第1款第4项规定：“出售、购买、为他人提供伪造的信用卡或者以虚假的身份证明骗领的信用卡的。”可见，窃取、收买、非法提供均是前述两罪的行为方式。

（三）前置法与刑法不完全衔接的危害

如前文所述，侵犯公民个人信息罪只能规制“窃取、非法获取、出售和提供”，《个人信息保护法》通过处理规则的设计已实现对个人信息的全流程规制。因此，在个人信息处理行为的规制方面，前置法与刑法之间无法全面衔接。这种衔接不畅的局面可能会产生一定的危害，不利于周延保护个人信息权益。

首先，前置法与刑法不完全衔接会影响个人信息保护与利用的平衡。我国立法者在设置侵犯公民个人信息罪的构成要件时，将保护隐私的思维套用到个人信息上。然而，隐私与个人信息存在显著差异，隐私涉及个人的私密领域，一旦被公开会使自然人陷入尴尬境地，原则上禁止使用隐私。但个人信息是自然人参与社会生活的重要要素，它可能会成为信息主体与他人联系的媒介。保护个人信息不能像保护隐私那般仅维持安宁，而是要在维护个人信息安全的同时挖掘其价值。立法者设置侵犯公民个人信息罪时，个人信息的社会利用价值还未被广泛关注，所以该罪对于个人信息的保护偏向于隐私化，即倾向于保护个人信息的保密性和安全性。因此，侵犯公民个人信息罪只惩治“转入”和“转出”等侵犯保密性的行为，这对于保护隐私信息确有价值。但是，个人信息不仅包括私密信息，还包括已公开的个人信息。进入数字社会，隐私与个人信息应当区分保护，不应再共用一套逻辑。

其次，前置法与刑法不完全衔接使严重的非法处理行为无法被刑法规制。以滥用行为为例，滥用在刑法上无法构成侵犯公民个人信息罪。非法获取对个人信息法益的侵害具有预备性，而滥用行为是直接侵害个人信息法益。如果行为人只是单纯非法获取个人信息，并不打算也未实际实施后续处理行为，则至多会对信息主体的人格权益带来威胁，但并不会实质侵害个人信息法益。刑法打击“获取”和“提供”行为，是为了规制转移行为，但这可能会偏离保护法益的重心。比较非法收集行为和滥用行为可知，在个人信息处理过程中，滥用行为对信息主体人格权益的侵犯最为直接和严重，且滥用行为在实践中日益突出，已经成为普遍的问题，个人信息的“使用自主”已成为亟需刑法保护的法益。相较于非法收集和非法提供行为而言，以滥用行为为代表的其他非法处理行为对个人信息权益造成的损害更为严重。

最后，前置法与刑法不完全衔接无法实现刑法的沟通性。通过刑法理论分析可以发现，之所以会存在法律衔接不畅的问题，可能是因为遵循了违法相对论，即践行前置法与刑法的违法性判断相互独立的逻辑。然而，这种逻辑会使侵犯公民个人信息罪在适用过程中的沟通性阙如。其一，侵犯公民个人信息罪与前置法难以沟通。如果将整体法秩序作为一个系统，那么，刑法与民法等其他部门法均是该系统中的要素，刑法要素不仅需要与整体法秩序系统沟通，也需要与其他部门法要素充分沟通。例如，民法领域对打击非法利用个人信息的诉求应当在刑法中有所体现。对此，刑法规范和刑法理论不应充耳不闻，不宜局限在刑法系统内运作。只有充分沟通刑法与前置法，才能合理适用刑法保护新兴的个人信息权益。其二，侵犯公民个人信息罪与其他刑法规范难以沟通。如果将刑法视为一个系统，那么，刑法中的具体罪名均为要素，侵犯公民个人信息罪作为要素需要与刑法系统、其他罪名进行有效沟通。应当明确，侵犯公民个人信息罪只是保护个人信息权益的方式之一，在刑法系统内对个人信息的保护不能局限于单个罪，也不能局限在定罪论，而是要革新认识论和方法论，最大限度实现个人信息的全流程保护。

为了使刑法与前置法在规制个人信息处理行为方面能够有效衔接，需要将前置法中处理行为全流程规制逻辑嵌入刑法系统，塑造侵犯个人信息行为刑法全流程规制模式。对此，本文提倡将个人信息处理的全过程划分为若干个阶段，继而采用多元方法规制不同阶段内的处理行为。

（一）个人信息处理全过程的阶段划分

本文将处理个人信息的全流程划分为前期阶段、中期阶段和后期阶段，如此划分不是意图使保护方式碎片化，而是在考虑具体场景要素的基础上，穿透所有阶段以构建全流程规制模式。据此，可以将关涉个人信息的不同行为及其风险依次归入相应的阶段。

1.处理的前期阶段

个人信息处理的前期阶段是个人信息自产生后流向首个信息处理者的流程，“收集”和“存储”是其中的主要环节。

（1）收集行为

个人信息收集行为可以分为直接收集和间接收集。前者是信息处理者直接从信息主体处收集到个人信息，而后者是信息处理者从其他信息处理者处收集到个人信息。在实践中，信息处理者既可从信息主体处直接收集个人信息，亦可从其他信息处理者处间接收集个人信息。在间接收集的情景中，信息处理者并不会直接接触信息主体，往往是通过信息提供者间接获得信息主体的同意。由此可知，间接收集并不是本文所讨论的前期阶段的收集，它实际上是信息处理者之间的数据流动。因此，本文将前期阶段的处理限定为直接收集。

（2）存储行为

个人信息存储是指信息处理者将所持有的个人信息予以保存的行为。例如，互联网数据企业将收集的个人信息存储在自建数据库中，为未来使用或加工该数据作准备。存储是个人信息收集后的必经阶段，也是后续处理的准备措施。在计算机初兴时代，个人数据主要存储在计算机信息系统中，刑法只要能够保护计算机信息系统安全即可保护个人数据安全。进入大数据时代，个人数据的存储不再局限于计算机信息系统中，而是主要存储在云盘等云端服务器和数据库中，这就意味着需要对存储进行客观解释。非法存储和无限期存储不仅违反数据存储的限制要求，而且会使信息主体权益遭受侵害。非法存储不仅会成为其他数据犯罪的帮助行为，还可能带来数据泄露的风险。

2.处理的中期阶段

个人信息处理的中期阶段是个人信息被信息处理者完全控制的阶段，在此阶段信息处理者会实施“加工”“使用”“传输”和“提供”等行为。

（1）加工行为

信息处理者在控制个人信息后，为了使个人数据增值会采取一些添附性措施。例如，加密、标注、去标识化、清洗等活动。应当明确，前述活动就是个人信息加工行为。合法加工是提升个人数据质量、推动数据多维兼容和实现人工智能可读的重要步骤。但是，非法加工会造成多层损害。在物理层，非法加工可能会破坏计算机信息系统；在逻辑层，非法加工会破坏数据的保密性、完整性和可用性等法益；在内容层，非法加工会侵犯信息主体的人格权益。例如，利用算法技术对不同类型的个人信息进行组合、碰撞以形成新的个人信息群，数据集合会形成自然人完整的个人画像，继而准确预测自然人的生活习惯和消费偏好，可能会直接侵犯用户的隐私。

（2）使用行为

在《民法典》《个人信息保护法》生效之前，我国规范层面多将使用和处理作相同理解。在两法生效后，使用成了处理的下位概念，即利用个人信息的行为。个人信息的核心价值在于使用，这也是信息处理者获取个人信息的目的。例如，信息处理者利用个人信息制作用户画像等。信息处理者在收集个人信息时会向信息主体表达收集的目的，信息处理者的后续处理行为不应超出当初收集时所承诺的目的。一旦超越原本目的就应重新获得许可或有其他正当化事由，否则将会逾越法律边界。因此，信息处理者在使用个人信息过程中，应当充分履行保障个人信息安全的义务，依法依规使用个人信息。不应超越向信息主体承诺的使用目的，不得擅自更改个人信息的用途。诸多非法获取个人信息的目的均是非法使用，这决定了刑法应当及时规制非法使用个人信息行为。

（3）传输行为

为了严格区分传输与提供，本文认为“传输”是在同一信息处理者控制下同一主体内部或不同主体之间的个人信息流动。实际上，作为用户的信息主体在使用网络平台服务时，往往为了迅速获得服务，不会仔细阅读网络平台上的“用户须知”或“隐私政策”。一般会直接勾选所有选项和同意所有要求，不会也没有耐心关注其中隐含的风险。因此，在信息收集之时信息主体可能会在并未实质知情的情况下，对信息处理者的所有操作表示同意，当然包括同意信息传输。信息主体非理性的同意可能会使其利益在传输阶段面临风险和遭受损害，这要求法律为信息处理者施加更为严格的义务。

（4）提供行为

提供是发生在不同信息处理者之间的个人信息传递行为，发生数据交付之后转出方虽可能并不丧失数据持有，但失去了对个人信息的独占控制。提供的对象可以是企业或自然人，但只能是信息主体和原信息处理者之外的其他信息处理者。当前各国关于个人信息的立法大多强调，信息处理者若无信息主体的授权或同意，则不得擅自将个人信息提供给他人，并且对不同信息处理者之间的数据流动行为设置了相对严格的条件。由此可见，前述规则是当前全球关涉个人信息立法中的基本共识。原信息处理者是否丧失对个人信息的独占控制是提供与传输的核心区别，主观目的的差异并非二者区分的核心要素。但是，以出售为目的的个人信息转移，只能发生在不同信息处理者之间，且原信息处理者即丧失独占控制。

3.处理的后期阶段

个人信息处理的后期阶段是个人信息处于失控状态，直至最终失效的过程。例如，通过号码生成器生成的手机号码，经过特定时间段后即失效，不再是个人信息。

（1）披露行为

披露包括两种类型：一是主动公开，即信息处理者主动改变个人信息的状态，使之面向社会公众公开。个人信息公开后，社会一般主体均可轻易获得特定个人信息，信息处理者即失去对个人信息的绝对控制。如果公开个人信息的主体是政府部门，则此种公开即为政府信息公开行为。信息处理者不应随意公开信息主体的个人信息，除合理处理外，一般需要征得信息主体的同意。私密信息由于涉及隐私权和公序良俗原则，所以即使获得信息主体的同意也不能轻易公开；敏感个人信息在获得信息主体明确同意的情况下可以公开；一般个人信息只要获得信息主体的概括授权均可公开。二是被动泄露，即因信息处理者意志以外的因素导致其所控制的个人信息被披露。例如，黑客抓住信息处理者数据库的漏洞，侵入数据库导致个人信息被盗窃和公开，信息处理者就会失去对个人信息的控制。

（2）删除行为

个人信息删除是消解个人信息价值的各种措施的总称。本文认为，对个人信息删除应当进行实质解释，凡是使个人信息走向不可用的措施都应该被理解为删除。换言之，对于已失去可识别性的数据的删除不应被解释为个人信息删除。例如，通过号码生成器生成的手机号码若已失效，则删除行为不会侵害个人信息权益，其也就不是个人信息删除。可以还原的删除对权利人法益并不会产生实质损害，完全可以通过技术手段进行法益恢复，法律无须过度介入，更不宜适用刑法规制。本文关注的是使个人信息无法恢复的彻底删除行为，该行为可能会对权利人的核心利益造成损害且无法还原。

（二）刑法规制个人信息处理全流程的方法

在个人信息处理的不同阶段，个人信息的价值及其面临的风险呈现多样性，需要刑法选择多元化的个人信息保护方法，精准保护法益和打击犯罪。

1.间接罪名适用法

间接罪名适用法是针对特定行为在刑法中没有直接罪名可以规制的情况，可将该行为或其组成部分分散到其他罪名的构成要件中进行规制的方法。间接罪名适用法是通过相关罪名间接规制特定犯罪行为，旨在不求助立法而充分发挥刑法解释的功效。以滥用个人信息行为为例，侵犯公民个人信息罪无法直接规制滥用行为。有学者据此认为，应适用关联犯罪和下游犯罪进行规制。应当明确，这种观点实际上是运用了间接罪名适用法。侵犯公民个人信息罪无法规制的其他非法处理行为，并不意味着就不应适用刑罚处罚，可能会通过间接罪名适用法适用《刑法》中的其他罪名。本文认为，行为是一种事实状态，而法律是一种规范或价值状态，行为与法律应当相互指涉，不能偏执于一端。间接罪名适用法要求在定罪阶段应厘清非法处理行为与相关犯罪构成要件的契合性，目光不宜再局限于某一罪名，而是要充分调动《刑法》中的所有相关罪名。

2.法益量刑评价法

在某一犯罪评价流程中，传统方法是只在定罪阶段评价法益。本文提倡在量刑阶段也可以评价法益，这就是法益量刑评价法。从人们对法律功能的期待来看，刑法在保护形式法益的同时，也要适度保护实质法益。例如，侵犯公民个人信息罪无法直接保护个人信息的使用法益，但可将非法使用作为一种量刑情节，在构成其他犯罪的基础上进行从重处罚。如此能够在一定程度上保护个人信息的使用法益。首先，对于行为人通过非法手段获取个人信息继而非法使用的情形，该非法使用行为是非法获取行为后的通常结果，可以在认定为侵犯公民个人信息罪的基础上，将非法使用行为视为事后不可罚行为。其次，当行为人合法获取个人信息后又非法使用的情形，合法获取个人信息无须刑法评价，此时需要刑法单独评价非法使用行为。如果非法使用行为本身就已经构成其他犯罪，如非法使用个人信息进行电信诈骗，那么，此时非法使用行为是诈骗罪的组成部分，可以在量刑阶段将非法使用个人信息对信息主体人格权益侵犯的情况，作为一种酌定从重处罚的量刑情节。如果非法使用行为只是侵犯了自然人的人格权益，并未构成其他犯罪，那么，此时就是客观存在的刑法处罚漏洞，需要未来通过《刑法》修正的方式予以补足。最后，若行为人非法使用行为相对轻微并未造成严重的法益侵害结果，则只应要求行为人承担侵权或违约等民事责任，或由行政机关对行为人予以行政处罚，无须作为犯罪处理。只有当前置法对严重侵害法益的行为规制失效时才应由刑法调适，如此才能处理好刑法与前置法之间的关系，厘清彼此的适用范围和适用位阶。

在《民法典》和《个人信息保护法》先后贯彻个人信息全流程保护理念的背景下，刑法也需要对侵犯个人信息行为进行全流程规制。

（一）侵犯个人信息行为刑法全流程规制模式的理论证成

第一，生命周期理论是刑法全面规制侵犯个人信息行为的基本逻辑。生命周期理论在数据与信息科学领域被广泛运用，强调信息是一种有生命周期的资源。该理论用隐喻的手法揭示了信息的生命过程，个人信息从产生直至最终价值失效，每个阶段的价值重心和保护诉求各不相同。按照信息生命周期理论，信息如同自然人的生命历程，包括诞生期、成长期和消亡期，这三大阶段与前文提倡的前期阶段、中期阶段和后期阶段的划分刚好可以对应。可见，信息生命周期理论为个人信息全流程规制模式奠定了理论基础。在个人信息全生命周期的不同阶段中，法律规制策略的侧重点应有所差异。信息生命周期理论要求，对于个人信息的法律保护不宜遵循“一刀切”的逻辑，需要立足信息全生命周期中的具体环节以确定相应的方案。欧盟立法者也贯彻了生命周期理论，在《一般数据保护条例》中为个人信息全生命周期中的具体环节设置了与之相适应的保护规则。我国学者也主张，应在个人信息领域贯彻全生命周期理念，在信息收集阶段、存储阶段、传输阶段和删除阶段，应当分别确定相应的保护原则和规则。毕竟在个人信息生命周期的不同阶段，信息主体所享有的个人信息权益存在差异。信息生命周期理论诠释了个人信息的发展全过程，个人信息在全过程中的不同环节呈现出不同的价值和面貌，法益的形态也各不相同，需要刑法为不同阶段设置与之相匹配的保护规则。

信息生命周期理论要求法律对个人信息实行全过程保护，这一要求不只是对前置法的要求，而是对整体法秩序的共同期许。我国前置法层面已经贯彻了该理念，需要刑事立法与司法予以跟进。需要说明的是，在刑法领域贯彻全生命周期理论和进行全过程规制，并不会违反刑法谦抑性原则。刑法谦抑性原则要求在前置法能够实现规制效果时，刑法不宜提前介入，但不等于前置法规制的行为类型刑法就不能规制。仍以滥用个人信息行为为例，按照生命周期理论的要求，滥用行为不仅需要前置法规制，还需要刑法规制，只是前置法与刑法存在适用先后顺位差异。当滥用行为对法益损害较为轻微时，只需民法或行政法调适即可；当滥用行为造成严重法益侵害结果，民法与行政法已无法实现罚当其恶时，就应当适用刑法的严厉惩戒措施。

第二，场景理论要求刑法对个人信息全流程的不同阶段应采取相应的规制措施。场景理论强调，信息披露要考虑特定的环境要求；在任何场景中都要实现数据分配正义；需要全面地考察不同场景中的所有情况，每一个场景都有其特殊的因素，需要因场景施策，综合考察多重因素和运用多种手段保持场景的完整性。场景理论要求全面规制信息的流通过程。场景理论将个人信息处理的不同阶段和不同环节均视为具体的场景，立足不同场景中个人信息的形态和法益，确定具体的刑法保护策略。以场景理论作为分析工具，把握个人信息的法益形态和侵犯个人信息行为的状况，可以准确预测不法行为的发展趋势。场景理论将具体的时间和行为视为场景中的要素，对塑造个人信息刑法全流程规制模式会有积极价值。概言之，场景理论为我国立法者和司法者构建个人信息全流程保护模式奠定了理论基础。

场景理论与本文提倡的个人信息刑法全流程规制模式高度吻合。在刑法领域，仅仅通过侵犯公民个人信息罪打击非法收集行为和非法提供行为，并不能有效惩治关涉个人信息的所有不法行为，会忽略对诸多场景中个人信息权益的保护。场景理论要求，对于不同的个人信息场景，不仅需要民法和行政法的保护，还需要刑法惩治其中较为严重的非法处理个人信息行为。仍以滥用行为为例，对于较为严重的滥用行为，单纯适用民事责任可能无法达到遏制效果，还需要发挥刑罚的威慑效应。此时，行为人不仅需要承担民事责任，还要承担刑事责任。

（二）侵犯个人信息行为刑法全流程规制模式的规范证成

立足整体法秩序视角，非法处理个人信息的全流程规制已被不同类型的法律、法规和标准所贯彻，这些规范的旨趣均要求作为保障法的刑法应予以跟进。

首先，我国立法统一设置“处理”遵循了国际社会的通行做法。欧盟1995年的《个人数据保护指令》以“处理”涵盖个人信息行为的全貌，《一般数据保护条例》接续了“处理”的规范表达。欧盟《一般数据保护条例》并非纯粹的民事法或行政法，而是系统保护个人数据的领域法，其中包括惩治非法处理行为的刑法规则。前述欧盟的立法经验对其他国家或地区的个人信息保护立法产生深远影响，我国《民法典》和《个人信息保护法》中所设置的“处理”规则也受到了欧盟立法的影响。然而，如果我国规制非法处理个人信息行为的规则只存在于前置法，则意味着我国对个人信息的保护不够彻底，也不符合国际立法趋势。

其次，我国全流程保护个人信息存在一个发展的过程。实际上，我国立法最早是运用“收集、使用”来描述关涉个人信息的行为。相关法律中也有类似的规范表达，我国《信息安全技术 个人信息安全规范》也未使用“处理”作为行为的概称。随后，我国立法者发现收集和使用均有一定的狭隘性，只能进行局部规制。尤其是在《民法典》的立法过程中，曾经对选择哪一个词语作为概称产生争论。最终，立法者在借鉴域外经验的基础上选择了“处理”，并且被之后的《个人信息保护法》延续。自此，“处理”便可以全面涵盖个人信息的全流程。需要强调的是，欧盟《一般数据保护条例》区分了“个人数据控制者”和“个人数据处理者”，但我国法律并未作如此区分，《民法典》《个人信息保护法》均使用了“信息处理者”。换言之，我国法律统一使用“信息处理者”作为承担个人信息保护义务的主体。我国立法者之所以选择“信息处理者”而非“信息控制者”作为直接义务主体的概称，是为了将“处理”这一修辞所反映的个人信息全流程保护逻辑贯彻至整体法秩序中。然而，《民法典》和《个人信息保护法》只能规制相对轻微的非法处理行为，至于造成严重法益侵害结果的非法收集、非法存储、非法加工、非法删除等全流程非法处理行为，仍需刑法介入规制。

最后，我国法律规范通过“处理”对个人信息进行全流程规制能够产生诸多积极价值。立法者设置“处理”能够为所有关涉个人信息的行为提炼一个共同的上位概念，不仅可以节约立法资源，还可以为信息处理者设置明确的义务规则，督促信息处理者积极建构企业内部关涉个人信息的全流程保护机制。通过“处理”包含个人信息全流程的逻辑需要在刑法中加以贯彻，如此不仅能够周延保护个人权益，而且能够推动刑法与前置法衔接。例如，非法收集个人信息行为在民法和行政法中可以被规制，在刑法中也可以适用侵犯公民个人信息罪，如此可以使情节轻微和情节严重的行为均可被法律规制。然而，对于滥用行为，虽然可以被前置法规制，但却不能适用侵犯公民个人信息罪，如此不仅形成处罚漏洞，也无法实现法律衔接。为此，需要将个人信息全流程规制逻辑嵌入刑法。

至于嵌入的方式主要包括两种：一是立法论，即为了在刑法领域彻底贯彻个人信息全流程保护模式，可以将“侵犯公民个人信息罪”修正为“非法处理公民个人信息罪”，将该罪由原来的局部打击拓展为全流程规制，如此可以充分实现法律衔接和贯彻法秩序统一性原理。二是解释论，即可以采用前文提倡的间接罪名适用法和法益量刑评价法，从解释学上推动法律衔接和司法优化。易言之，可以通过多元的刑法解释学方法，为侵犯个人信息行为全流程规制提供刑法依据。

在刑法领域确立侵犯个人信息行为全流程规制模式，可以通过立法论或司法论的方式实现。在立法修正之前，需要充分发挥刑法教义学的功效，运用现有刑法中的相关罪名，推动侵犯个人信息行为刑法全流程规制模式的落地。

（一）个人信息处理前期阶段的刑法规制

个人信息处理前期阶段是发生在信息主体和首个信息处理者之间的数据流动过程。其中，主要包括收集和存储两大行为环节。

1.非法收集行为的刑法规制

前期阶段的收集是信息处理者从信息主体处获取个人信息的行为。收集环节的权益变化是信息主体失去个人信息的完全控制权，信息处理者获得持有权。因此，信息处理者在收集个人信息时通常要获得信息主体的同意或授权，需要充分保护信息主体的信息自决权。

首先，非法收集行为可以被评价为侵犯公民个人信息罪中的非法获取行为。“窃取或以其他方式非法获取”是侵犯公民个人信息罪的典型行为方式，窃取也是一种非法获取，而非法获取可以包含非法收集。盗取、骗取、购买、交换个人信息均可能是非法收集行为，至于侵犯公民个人信息罪能否规制抢劫个人信息行为，在理论与实务中存在较大争议。抢劫罪是典型的财产犯罪，它既保护财产法益，也保护人身法益。但是，个人信息是人格要素而非财产，抢劫个人信息显然不能构成抢劫罪。有学者认为，抢劫个人信息行为比非法获取行为更为严重，具有侵犯人身安全法益的可能性，二者不具有等价性，不宜将抢劫个人信息行为评价为非法获取行为，不应将之认定为侵犯公民个人信息罪，否则难以实现罪刑均衡原则，应当增设抢劫公民个人信息罪。该观点坚持的是行为对立论。实际上，刑法上的行为并非完全对立，而是存在一定程度的竞合。相较于通常理解的非法获取个人信息行为，抢劫行为会产生更为严重的法益侵害性，它在非法获取的基础上还会给他人的人身安全法益带来风险和损害。基于行为竞合论的理解，抢劫行为只不过是一种特殊的非法获取行为，特殊行为可以评价为普通行为，所以侵犯公民个人信息罪可以规制抢劫个人信息行为。但是，在量刑阶段，对于抢劫个人信息行为的刑罚处罚应当重于普通的非法获取个人信息行为，如此才能实现罪刑均衡和对法益的充分保护。

其次，信息犯罪是一种更为特殊的数据犯罪。在工商业社会，信息是以纸张为载体呈现；进入数字社会，信息是以数据为载体呈现。这表明非法收集行为可能会同时构成信息犯罪和数据犯罪。我国遵循统一刑法典模式，所有犯罪只能由《刑法》规定，也就说明我国保护个人信息的罪名与保护数据的罪名均存在于刑法典中。本文认为，需要理顺我国《刑法》中信息犯罪与数据犯罪的关系，应将其界定为交叉型法条竞合关系。一方面，“交叉”是指当信息犯罪发生在线下场景，即侵犯的是以纸张为载体的信息，此时信息犯罪与数据犯罪没有任何关系。这说明，信息犯罪与数据犯罪的法条竞合只能交叉存在于数字化场景。另一方面，信息犯罪与数据犯罪的法条竞合表现为两点：一是对象竞合，数字社会中的信息是一种特殊的数据，侵犯个人信息也就会侵犯数据；二是行为竞合，《刑法》中保护数据的罪名与保护信息的罪名存在相同的行为方式，如侵犯公民个人信息罪和非法获取计算机信息系统数据罪均可规制非法获取行为。

2.非法存储行为的刑法规制

个人信息存储是保存个人信息的阶段，此时信息处理者基于对数据的持有（无论合法与非法），均需承担保护个人信息的义务。若信息处理者不当履行保护义务，可能会发生信息存储错误或数据泄露，法律应在充分保护信息主体查阅复制权的基础上，要求信息处理者承担法律责任；若信息处理者拒绝履行保护义务，则应承担民事责任或行政责任，情节严重者在构成不作为犯罪的基础上承担刑事责任。通过落实前述法律责任，倒逼信息处理者依法存储个人信息。

信息存储是信息处理者收集个人信息后的必经环节，也是信息处理者开展后续处理行为的准备环节。然而，我国立法、司法实践及理论研究均欠缺对信息存储风险的充分关注，并未将之视为独立的环节加以讨论。例如，法官在司法判决中不会将非法存储行为抽离出来单独评价，而是将之吸收进上游行为或下游行为。然而，并非所有的存储行为均能够被前后行为双向吸收。对此，需要分清具体场景加以讨论。

第一，信息处理者非法获取个人信息后的存储行为。此种情形属于刑法理论中的事后不可罚行为，在定罪阶段只需适用侵犯公民个人信息罪评价非法获取行为即可，无须单独评价非法存储行为。

第二，信息处理者帮助他人非法存储个人信息。当他人将非法获取的个人信息委托信息处理者进行存储时，存储是以数据为对象的窝藏行为。我国《刑法》中不存在数据窝藏罪，但这并不等于我国《刑法》无法规制数据窝藏行为。2011年9月1日最高人民法院、最高人民检察院发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号，以下简称《解释》）第7条已包含可以规制数据窝藏行为的内容。《解释》将有价值的数据纳入掩饰、隐瞒犯罪所得罪的保护范畴，使数据亦可成为该罪的行为对象，这使我国《刑法》可以规制数据窝藏行为。申言之，在信息处理者未与他人通谋的情况下，纯粹帮助他人掩饰、隐瞒（存储）涉违法犯罪所得的个人信息，应当构成掩饰、隐瞒犯罪所得罪。如果信息处理者事前或事中与他人通谋帮助他人存储涉违法犯罪所得的个人信息，则信息处理者与他人构成上游犯罪的共犯，无须单独评价存储行为。

第三，信息处理者非法存储无法查明来源的个人信息。此种情形在刑法理论上应当被理解为非法持有行为，只是所持有的对象是个人信息而非传统财物。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见（2022年12月2日）》规定了数据资源持有权，表明数据不仅可以被持有，且持有是一项数据权能。在刑法理论中，“持有”一直是一个存在争议的概念，能否将持有视为一种行为理论界并未达成共识。本文认为，持有不仅是一种状态，更是一种行为，且是具有状态持续性的行为。这决定了非法持有类犯罪是继续犯。同时，非法持有类犯罪均具有兜底性，在能构成其他犯罪的情况下，一般不会认定为持有类犯罪；相反，只有无法构成其他犯罪时，才会构成持有类犯罪。如此可以填补刑法规制漏洞。实际上，掩饰、隐瞒犯罪所得罪也具有兜底性，构成该罪以未与前罪行为人通谋为前提。若只能确定行为人掩饰、隐瞒不法财物，但无法查明行为人所掩饰、隐瞒的财物来源，此时掩饰、隐瞒犯罪所得罪也是一种非法持有类犯罪，具备持有类犯罪固有的兜底性。非法存储无法查明来源的个人信息，不仅是数据窝藏行为，也是非法持有行为，可以适用掩饰、隐瞒犯罪所得罪。

第四，信息处理者非法存储自己合法获取的个人信息（合法获取+非法存储）。这一行为类型又可以划分为两种场景：一是信息存储期限截止后，信息处理者拒不删除个人数据。此时，应当先由信息处理者向信息主体承担民事责任，只有当情节较为严重或造成比较严重的法益侵害结果时，才有必要适用刑法规制。例如，在“严某某、刘某某侵犯公民个人信息案”中，严某某原本是快递员，他将自己任职期间掌握的含有用户个人信息的快递单存根联私存，然后将之出售给朋友刘某某以进行非法活动。本案中严某某的行为表现为“合法获取+非法存储+出售”，人民法院将之认定为侵犯公民个人信息罪。本案中的非法行为是存储和出售，出售行为构成侵犯公民个人信息罪，但侵犯公民个人信息罪无法规制非法存储行为，非法存储是出售的预备行为，应当作为一种量刑情节在侵犯公民个人信息罪的量刑阶段予以考量。二是未履行或不尽职履行存储个人信息的安全保护义务致使个人信息泄露。此种情形属于典型的不作为，需要按照信息处理者行为的情节轻重，依次让其承担民事责任、行政责任和不作为犯罪的刑事责任。

（二）个人信息处理中期阶段的刑法规制

在中期阶段，“加工”“使用”“传输”无法被侵犯公民个人信息罪调适，可以通过前文提倡的教义学方法论进行合理规制。

1.非法加工行为的刑法规制

加工是对个人信息的功能与价值进行改变的活动，也是挖掘个人数据价值的一种添附性基础工程。对非法加工个人信息行为的刑法规制，需要分场景讨论。

第一，信息处理者合法获取个人信息后实施非法加工行为（合法获取+非法加工）。一方面，从被加工的信息内容视角寻找规制方案。信息处理者的加工行为若改变信息内容的真实性，则会严重侵犯信息主体的人格权益。对此，可以“AI换脸案”为例进行阐述，即行为人利用换脸技术在线将自己的面部换成公众人物的脸，继而吸引网友关注和“刷礼物”。在互联网上获取公众人物已公开的照片虽是合法行为，但在线“换脸”（加工）继而直播带货、赚“礼物”实乃牟利行为。在民事上，该行为已侵犯公众人物的肖像权，在刑事上，若行为人是故意冒充公众人物，则是一种虚构事实行为，可能构成诈骗罪；若行为人只为引起关注继而直播带货，网友也知道并非公众人物本人，此时网友也购买到了真实的对价物，则无法构成诈骗罪，仍应由行为人对公众人物承担侵权责任。若行为人利用AI换脸技术将淫秽视频中的人物换成熟人，继而大肆传播，则加工行为侵犯了被害人的人格权，可能会构成侮辱罪；加工后的传播行为构成传播淫秽物品罪（或传播淫秽物品牟利罪），应当数罪并罚。

另一方面，从被加工的数据载体视角寻找规制方案。不法加工实际上是对数据的破坏，进入数字社会，需要对传统保护计算机信息系统安全的数据犯罪进行重新解释，使其能够保护独立的数据安全法益。对于并非存储在计算机信息系统中的数据，如云存储中的数据，也应当得到我国《刑法》中数据犯罪相关罪名法律规定的保护。能够规制非法加工的罪名是破坏计算机信息系统罪，该罪的全称应当是破坏计算机信息系统（数据）罪。为了使该罪能够有效规制非法加工行为，可以对其中的“破坏”进行合目的的客观解释。刑法中的破坏与毁坏应当作相同的解释，即不限于物理性的毁损，而是功能上的减损，应当从有形侵害说走向效用侵害说。这种解释是从工商业社会走向数字社会，传统刑法适应现代社会的必然选择。我国人民法院的司法判决也接受了这种观点，如在“陈某某破坏计算机信息系统罪案”中，陈某某非法侵入4名被害人的高考志愿填报系统，对被害人所填报的志愿信息进行删除和篡改，使被害人未被相关高校录取，人民法院将陈某某的行为认定为破坏计算机信息系统罪。在该案中，陈某某的行为使数据原本的功能无法发挥，属于破坏数据行为，人民法院的判决值得肯定。

第二，信息处理者对非法获取的个人信息进行非法加工（非法获取+非法加工）。在此种场景中，行为人前后两个行为不具有高度的紧密联系，不宜认定为牵连犯，应当在分别构成侵犯公民个人信息罪和破坏计算机信息系统罪的基础上数罪并罚。以“杨某等破坏计算机信息系统罪案”为例，被告人杨某在网上购买他人个人信息，利用OPPO_IMEI软件等工具侵入他人支付宝等系统，修改他人信息，后将相关大量的支付宝账户提供或出售给孙某某等人。人民法院认为，被告人的行为构成破坏计算机信息系统罪。本文认为，人民法院对该案只以一罪定性的思路值得商榷，杨某实施了非法获取、非法提供和非法加工三个行为，非法获取和非法提供只构成侵犯公民个人信息罪一罪，非法加工构成破坏计算机信息系统罪，应当以这两个罪数罪并罚。

第三，信息处理者对他人非法获取的个人信息进行加工辅助。此时，信息处理者只实施了一个加工行为，单看加工行为可以构成破坏计算机信息系统罪。如果行为人与被帮助者存在通谋，则信息处理者的行为同时触犯侵犯公民个人信息罪（帮助犯）和破坏计算机信息系统罪（正犯），是想象竞合犯，应择一重罪论处。

2.非法使用行为的刑法规制

非法使用个人信息行为包括无权使用（本文称为擅用）和有权使用基础上的滥用，本文以擅用和滥用作为两大场景，阐述适用刑法规制非法使用个人信息行为的基本思路。

第一，以适用前端罪名并从重处罚的方式规制擅用行为。擅用行为是指非法获取行为和使用行为。非法获取行为可以构成侵犯公民个人信息罪，使用行为并无直接罪名可以适用。对此，需要充分利用法益量刑评价法，将使用行为侵害法益的情况，作为在构成侵犯公民个人信息罪后的从重量刑情节。相对于纯粹非法获取行为而言，刑法对“非法获取+使用”的处罚会更重，如此可以体现罪刑均衡原则。若行为人非法获取行为未达到侵犯公民个人信息罪的入罪门槛，且使用行为也无法构成犯罪，则只能由前置法规制，刑法不能提前介入。但是，若使用行为确实已触犯其他罪名，则只需规制使用行为即可。

第二，以适用后端罪名并从重处罚的方式规制滥用行为。虽然侵犯公民个人信息罪无法规制滥用行为，但刑法不能对具有严重法益侵害性的滥用行为置之不理，适用刑法规制滥用个人信息行为，符合数字正义和罪刑均衡原则的要求。因此，对行为人的滥用个人信息行为，如果行为人是将信息用于电信诈骗、敲诈勒索等犯罪，则滥用行为是这些后端犯罪的手段行为，滥用行为会被诈骗罪和敲诈勒索罪等吸收。按照法益量刑评价法，应当在量刑阶段将滥用行为侵犯自然人人格权益的事实，作为一种从重量刑情节。

3.非法流转行为的刑法规制

本文将提供与传输统称为个人信息“流转”，个人信息的流转是数据流动的重要表现形式。

第一，侵犯公民个人信息罪中的提供可以包含流转。个人信息流转是发生在信息处理者内部或不同信息处理者之间的数据流动，可能会表现为分享、赠送、出售和互换等形式，但都可以解释为《刑法》规范上的“提供”。在“刘某某侵犯公民个人信息罪案”中，被告人获取大量个人信息的方式是向他人购买、交换等，然后通过多种方式将前述个人信息转卖或赠送，数量达到7万余条，非法获利10万元。本案中的转卖是出售，赠送是无偿提供，均发生了个人信息的流转，在刑法规范上均属于提供，本案以侵犯公民个人信息罪处理并无异议。

第二，对个人信息的非法跨境流转应当从重处罚。个人信息跨境流转是我国《个人信息保护法》重点规制的一类行为，该法第三章即为“个人信息跨境提供的规则”，为个人信息跨境流转设置了相对严格的规则。2024年3月22日国家互联网信息办公室公布的《促进和规范数据跨境流动规定》，进一步细化了数据跨境流动的基本要件。立法者从保护信息主体的合法权益、国家数据主权的立场，进行了前述严格规则的设计。但是，过于严苛的数据跨境流转规则，不仅可能会阻碍数据要素市场化和国际化的发展，而且也会影响数据企业的数据交易和跨国发展。因此，如何设计适宜的数据跨境流转规则需要我国制度设计者仔细斟酌。但无论如何，法律对数据跨境流转的管控肯定要比数据境内流转更严格，如此可以避免国家安全法益被侵犯。然而，我国并无直接以保护国家安全法益为核心且能够规制数据跨境流转的罪名。对此，仍需要借助本文提倡的法益量刑评价法。在定罪阶段，可以将个人信息跨境流转解释为提供行为，继而构成侵犯公民个人信息罪；在量刑阶段，将非法数据跨境流转对国家安全法益的侵害事实作为量刑情节，继而对行为人从重处罚。

第三，以保护数据可携带权为方向寻找规制非法流转行为的方案。《个人信息保护法》第45条第3款赋予了信息主体的数据可携带权，信息主体向信息处理者主张数据可携带权的结果是个人信息流向信息主体或者流向其他信息处理者。首先，如果信息处理者拒绝履行转移数据的义务，会导致信息主体的数据可携带权无法实现，信息处理者应当承担民事责任或行政责任。其次，如果信息处理者未按信息主体的要求将数据转移给指定的个人信息处理者，而是转移给无关的他人，则是一种非法流转行为，情节严重时可能会构成侵犯公民个人信息罪。最后，信息处理者按照信息主体的意愿，将个人信息转移给指定的个人信息处理者，但在转移过程中被不法行为人非法截获，导致信息主体的数据可携带权未实现。虽然我国《刑法》并无前述截获数据的罪名，但完全可以将“截获”解释为侵犯公民个人信息罪中的“非法获取”。

（三）个人信息处理后期阶段的刑法规制

后期阶段是信息处理者失去对个人信息的控制且个人信息的价值逐渐丧失的过程，主要包括披露行为和删除行为。适用刑法规制披露行为和删除行为，是为了保障个人信息有序公开和有序失效。

1.非法披露行为的刑法规制

披露是信息主体之外的主体将个人信息公开的行为，应对个人信息非法披露行为进行区分，继而具体讨论刑法规制的方法。

场景一：对合法持有的他人个人信息予以非法披露（合法持有+非法披露）。第一种是泄露，即因信息处理者意志以外的因素导致其所控制的个人信息被披露。换言之，泄露是信息处理者的过失披露行为。过失泄露行为显然无法构成作为故意犯罪的侵犯公民个人信息罪，但不能认为过失泄露就一律不能适用《刑法》处罚。例如，如果所泄露的个人信息涉及国家秘密，则可能会构成过失泄露国家秘密罪。同时，《个人信息保护法》第57条第1款规定：“发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。”换言之，信息处理者在过失泄露个人信息后应当及时履行补救义务。如果信息处理者不履行相关义务，导致个人信息的泄露范围进一步扩大，给信息主体造成更为严重的损失，则可能会构成相关不作为犯罪。第二种是信息处理者主动披露、公开个人信息，此时信息处理者存在主观故意。信息处理者披露或公开的本质是向社会不特定对象提供个人信息，所以披露和公开都可以被侵犯公民个人信息罪规制。相较于向特定对象提供而言，向不特定对象的提供带来的安全隐患更大，应当在量刑上比前者的处罚更重。

场景二：对非法获取的个人信息进行非法披露（非法获取+非法披露）。行为人非法获取个人信息的目的有多种，再行非法披露不是非法获取的必然结果。如果行为人非法获取个人信息的目的就是非法披露，则获取和披露均是侵犯个人信息行为全流程中的两个不同阶段，只以侵犯公民个人信息罪一罪认定即可。但是，“非法获取+非法披露”相较于单一的非法获取或单一的非法披露，无论从行为人的主观恶性来看，还是从造成的客观法益侵害结果来看，前者更为恶劣，应当在量刑上对前者处以更重的刑罚，如此才符合罪刑均衡原则。

2.非法删除行为的刑法规制

个人信息领域的删除与《个人信息保护法》中的被遗忘权密切相关，删除是实现信息主体被遗忘权的具体措施。讨论个人信息删除行为的刑法规制，需要立足具体场景以确定规制方案。应当明确，非法删除分为“对不应删除的个人信息强制删除”（作为型）和“对需要删除的个人信息拒绝删除”（不作为型）。

第一，刑法打击作为型删除是保护信息主体的信息自主权及其衍生利益。对不应当删除的个人信息强行删除的行为，可以通过数据犯罪进行规制。例如，在“柴某某破坏计算机信息系统罪案”中，被告人在高考结束后与被害人填报了相同学校和相同专业，被告人担心被害人的成绩高于自己可能会影响自己的录取结果，在记下被害人相关信息及密码后登录被害人志愿填报系统的账号，擅自删除被害人已填报的志愿信息，导致被害人未被录取。最终，人民法院将被告人的行为认定为破坏计算机信息系统罪。在本案中，柴某某登录高考志愿填报系统删除相关信息行为，严重侵犯信息主体的信息自主权和升学权益，定性为破坏计算机信息系统罪值得肯定。

第二，刑法打击不作为型删除是为了保护信息主体的被遗忘权。进入数字社会，信息遗忘已成为一种奢望，被遗忘权已成为备受关注的新兴权利。需要思考的是，这一新兴权利是否需要刑法保护？可能会有人认为，适用刑法保护新兴权利可能会违反刑法谦抑性。被遗忘权等新兴权利并非理论上的学术权利，而是被《个人信息保护法》认可的法定权利，不能仅从前置法层面加以认识，还需要从整体法秩序视角检视其对刑法犯罪适用的影响。刑法谦抑性强调前置法能够调整的问题刑法不应提前介入，但并不是前置法上存在的问题刑法均不得介入。对于被遗忘权等新兴权利前置法若能够有效保护，则根据谦抑性原则刑法无须介入，但若前置法的保护作用有限或不足以遏制不法行为，则应允许刑法介入保护被遗忘权。换言之，对被遗忘权等新兴权利，刑法不是不保护而是不提前保护。为了充分保护被遗忘权，应当对删除作广义理解，只要是使特定个人信息价值走向失效或信息处理者和他人已不能再处理特定个人信息的措施均应纳入删除的范畴。我国《个人信息保护法》赋予了信息主体的被遗忘权并为其设置了行使权利的条件，若信息主体具备相关条件并向信息处理者请求行使被遗忘权，但信息处理者拒不履行删除义务，则是对被遗忘权的侵犯。在前置法上需要承担侵权责任或行政责任，情节较为恶劣并造成严重法益侵害结果时，需要承担刑事责任。在刑法中，这种不作为型删除可以构成不作为犯罪。例如，信息处理者的拒绝删除个人信息行为，在监管部门责令采取改正措施而拒不改正（仍不履行删除义务），可能会构成拒不履行信息网络安全管理义务罪。

在个人信息处理全过程中，不同阶段内的个人信息具有不同的价值重心，基于其法益的重要性，不仅需要前置法保护也需要刑法保护，前置法与刑法是适用先后的关系而非互斥关系。在前期阶段，侵犯公民个人信息罪足以规制所有类型的非法收集行为；对于非法存储行为，若已在侵犯公民个人信息罪下被其他行为吸收，则没有再单独处罚之必要，需要刑法重点打击作为单一非法存储行为的数据窝藏犯罪。在中期阶段，对“合法获取+非法加工”，应以信息与数据被加工的场景为规制方向；对“非法获取+非法加工”，因具体情况可能需要适用数罪并罚或因构成想象竞合而以重罪论处；对于非法使用行为，需要区分擅用和滥用，继而分别定罪量刑；非法流转行为均可被侵犯公民个人信息罪中的提供行为包含，需要刑法适度保护信息主体的数据可携带权。在后期阶段，应以数据来源、主观状态等因素为立足点确定刑法规制非法披露行为的方法；应在区分删除类型的基础上理顺刑法规制非法删除行为的思路。

 责任编辑：周玉芹   学术编辑：张永强

初审：陈青山   审核：黄忠

相关文章推荐：

劳东燕丨非法经营罪中的经营行为研究 （2024年5期）

敬力嘉丨侵犯公民个人信息罪保护法益的厘清 （2024年5期）

李昱丨容许风险与自动驾驶场景中的注意义务 （2024年4期）

陈兴良 | 从实质刑法典到形式刑法典：刑法的进阶之路 （2024年2期）

张明楷 | 具体犯罪保护法益的确定方法 （2024年1期）