论非法使用公民个人信息行为的入罪

刘仁文

(中国社会科学院 法学研究所，北京 100720)

公民个人信息频遭泄露，对公民个人及其家庭的人身、财产安全和其他各项合法权益造成严重威胁。(1)据中国互联网协会发布的报告，我国54%的网民认为个人信息泄露情况严重，84%的网民曾亲身感受到因个人信息泄露带来的不良影响。转引自喻海松：《网络犯罪二十讲》，法律出版社2018年版，第201页。为保护公民个人信息的安全，2009年2月全国人大常委会通过的《中华人民共和国刑法修正案(七)》(以下简称修(七))新增了出售或非法提供公民个人信息罪和非法获取公民个人信息罪。2015年8月全国人大常委会通过的《中华人民共和国刑法修正案(九)》(以下简称修(九))，又对此作了进一步的修改完善，包括扩大犯罪主体、提高法定刑等，并将前述修(七)所规定的出售或非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名整合为侵犯公民个人信息罪一个罪名。(2)将犯罪主体由“国家机关或金融、电信、交通、教育、医疗等单位的工作人员”扩大至一般主体；将法定刑由“三年以下有期徒刑或拘役并处或单处罚金”提升为两档，增加“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”尽管如此，我国刑法对侵犯公民个人信息犯罪的规定仍不周延，无论修(七)还是修(九)，侵犯公民个人信息的行为均只有三种类型，即非法获取、出售和提供。然而，此三种类型尚不足以涵盖现实中愈演愈烈的非法使用公民个人信息这样一种行为类型。本文意在证明，侵犯公民个人信息罪的上述缺陷会造成刑法保护公民个人信息的不力，有必要在侵犯公民个人信息罪中增加非法使用公民个人信息这一行为类型。

一、非法使用公民个人信息行为具有严重的法益侵害性

与非法获取、出售及提供公民个人信息行为相比，非法使用公民个人信息行为的法益侵害性(3)本文在相同意义上理解和使用“法益侵害性”和“社会危害性”。不但不比它们小，甚至还更为严重。一方面，非法使用公民个人信息行为的法益侵害具有直接性，无论是非法获取、出售还是提供公民个人信息的行为，其本质上只是公民个人信息自身的物理流转和空间变换，由一方主体转换至另一方主体，由一个空间转移至另一个空间，不管变换如何频繁，其始终只是对形式进行的侵害，对于形式所包裹的法益并未造成直接的侵害，如姓名、身份证号、手机号等，无论被转卖多少次、被多少个主体掌握，没有切实的使用行为，如注册银行卡、进行电话推销等，信息主体的权益并不会受到直接的侵害。正如有学者所指出，在非法获取、出售和提供公民个人信息案中，因行为所涉及的个人信息量巨大，其所造成的损害具有间接性和群体性的特点，且难以和具体的被害人建立起直接联系。(4)参见王肃之：《被害人教义学核心原则的发展——基于侵犯公民个人信息罪法益的反思》，载《政治与法律》2017年第10期。易言之，没有公民个人信息的使用行为，位于上游的非法获取、出售及提供公民个人信息的行为始终只是处在法益的边缘，并不会直接侵害法益。正因为此特点，有学者称此种规制边缘犯罪行为而对关键行为不予打击的立法方式称为“外围式立法”。(5)参见陈文昊：《侵犯公民个人信息罪中的“外围”立法与解释进路》，载《重庆邮电大学学报(社会科学版)》2018年第3期。这种外围式立法模式对于毒品类犯罪中不将吸毒这类被害人自损行为纳入犯罪具有解释力，且不会产生处罚漏洞，但对非法使用公民个人信息这类侵犯他人权益的行为则难以进行合理解释，而且还会产生处罚漏洞。(6)吸毒行为是自损行为，不会对他人及社会的法益产生侵害，不具有惩罚必要性，可以不进行惩罚，正如刑法规制传播淫秽物品的行为，但对于个人观看行为不予处理；而非法使用公民个人信息的行为是涉他行为，会对个人法益或社会法益产生危害，有相应的受害主体，若不规制非法使用公民个人信息的行为，则受害法益无法得到有效保护。因为非法使用公民个人信息的行为作为涉公民个人信息犯罪链的末端行为，是最终的目的行为，它使处于先前环节的获取、出售及提供公民个人信息行为的法益侵害具体化、可视化，使其法益侵害可能性转变为法益侵害必然性。

另一方面，非法使用公民个人信息行为的法益侵害具有精准性。公民个人信息的显著特点是其可识别性，或曰映射性。每条公民个人信息都有对应的信息主体，同时也对应着信息主体的各种权益。只要非法使用公民个人信息，与信息本身的使用途径、方法不一致，就必然会对信息所映射的主体造成侵害。公民个人信息可以分为自然形成的信息，如性别、血型、身高、出生地，以及为了维护社会秩序、方便社会管理而根据法律、行政法规由政府管理机构编制而成的公民个人信息，如身份证号、车牌号等。无论是自然形成的公民个人信息还是法律规定而产生的公民个人信息，均具有精准性或映射性的特点，均可由政府机构、公共服务机构通过一定的技术手段将其分类、编码，以便与现实中的信息主体一一对应。(7)参见郑旭江：《侵犯公民个人信息罪的述与评》，载《法律适用》2018年第7期。正是因为公民个人信息自身所具有的这种特点，使得非法使用公民个人信息的行为很容易对现实中的信息主体造成直接侵害，即便非法使用人具有其他目的、目标侵害人并非信息主体，这种侵害也显而易见。(8)典型的例子就是虚假注册公司，如果非法使用人的目的是为了诈骗，那么此时目标侵害人并非信息主体而是社会上不特定的其他人，非法使用人使用他人的信息注册公司从事诈骗行为，诈骗成功后跑路，受骗人便会找到公司注册信息上的信息主体，对于信息主体造成金钱或名誉损害，或者陷入诉讼中。

由于上述特点，非法使用公民个人信息的行为将直接对信息主体的财产、名誉、征信等方面造成严重损害或威胁。以使用公民个人信息办理信用卡及在网络平台进行借贷为例，同一信息甚至被用来办理多张异地信用卡及在多家网络借贷平台借款，且金额甚巨，它不仅可能给信息主体带来司法纠纷的隐患甚至财产上的损失，还会给信息主体带来个人征信方面的隐患。(9)在个人征信日益受到重视的今天，征信上的缺陷将导致信息主体正常的生活及金融活动等受到影响，如因征信问题而被限制乘坐飞机、高铁，因征信问题导致正常的银行借贷业务受阻。此外，非法使用公民个人信息从事违法犯罪行为的案件也屡见不鲜，这一方面给公安机关精准打击犯罪带来困难，影响正常的司法活动，另一方面也对信息主体产生多种负面影响，如在公安网上留下犯罪记录，影响信息主体正常的求职、就业。还有，非法使用公民个人信息行为导致电商领域虚假注册用户、店铺现象频发，这些账户甚至被用来从事违法犯罪行为，严重危害电子商务的健康发展。总之，这类行为的社会危害性(法益侵害性)和应受惩罚性足以与非法获取、出售和提供公民个人信息的行为相提并论。

二、现行刑法规定无法涵盖非法使用公民个人信息的行为

(一)无法将非法使用公民个人信息行为纳入侵犯公民个人信息罪

侵犯公民个人信息罪包含三种行为方式，即获取、出售和提供，无论作何种理解，使用公民个人信息的行为都无法被上述三种行为所涵盖。

首先，从行为自身含义上进行区分，获取是个人信息的从无到有，出售和提供是公民个人信息在合意双方乃至多方主体之间的流动，使用则是单方主体对公民个人信息的操控，是一种单向的流动。当然，获取是出售、提供及使用行为的前提，行为之间具有事实上的逻辑关系，没有获取行为就没有后续的出售、提供及使用行为，但是各种行为同样能够作出区分，行为之间具有本质上的区别。而且现实中还会出现非法获取公民个人信息的行为未达到入罪标准但非法使用公民个人信息行为所造成的法益侵害却极为严重的情况，此时则会出现犯罪圈的漏洞。

其次，从行为所具有的法益侵害性进行区分，如前所述，获取、出售及提供是处于法益边缘的行为，对于法益不具有直接侵害性，而使用行为则是法益侵害的核心行为，对于公民个人信息所对应的法益具有直接侵害性。获取、出售及提供行为仅是接触公民个人信息这一法益的“外层包装”，而使用行为则是剥开公民个人信息这层“外部包装”、直接接触法益“内核”的行为，如非法获取、出售及提供公民手机号的行为不会对手机号主体的法益造成侵害，而使用公民手机号的行为如常见的电话推销行为则会对公民的生活安宁权造成侵害。(10)当然，现实中也不排除这样的个案，即在非法使用公民个人信息的系列行为中，某一环节的某种行为对某个信息主体并没有造成侵害(甚至在特殊情况下还有利于信息主体，如非法使用信息主体的手机信息给其发短信，可能恰好某个短信的信息对信息主体还有用)，对此，一方面可以在入罪的条件设定时将此种情形排除在犯罪之外(现有侵犯公民个人信息罪对非法获取、出售和提供公民个人信息的行为入罪本来就有“情节严重”的限定)，另一方面要看到，前述非法使用公民个人信息的行为常常是海量行为，而且其中绝大多数都是有害的，即使某个信息对某个信息主体有用，也会对其他绝大多数人造成干扰，何况对公民个人信息的刑法保护不仅仅是基于个体视角下的人身权和财产权考虑，还有对国家和社会安全、公共利益、网络运行环境的整体保护之考虑。参见贾元、刘仁文：《内涵、外延与基准：公民个人信息的刑法保护》，载《山东警察学院学报》2019年第1期。使用行为与侵犯公民个人信息罪所列举的三种行为方式具有本质上的差异，注定无法通过解释的方法将其纳入本罪。

再次，由于非法使用公民个人信息行为无法被侵犯公民个人信息罪所包含，反映在实务领域，则是法官在处理此类行为时没有合适的罪名进行定罪，只得找寻其他相似的罪名进行判决，而这样做则会导致适用上的质疑。以2016年山东单县篡改高考志愿案为例：高考生陈某因嫉妒班级其他4位同学高考成绩好，便利用自己所知悉的4位同学的高考志愿填报系统密码私自篡改其高考志愿，导致4位同学未能被自己所报学校录取，最终法院以破坏计算机信息系统罪对陈某定罪，判处其有期徒刑7个月。(11)(2016)鲁1722刑初312号。但本罪规定于刑法分则第六章妨害社会管理秩序罪之第一节扰乱公共秩序罪之下，也就意味着此罪的规范目的是维护公共秩序，而本罪的损害结果即4名考生未能被理想学校录取并不能为公共秩序所涵摄。而且从案件事实的认定来看，本案核心事实并不能被破坏计算机信息系统罪所涵盖，如果此案发生在高招录取计算机化之前，志愿是纸质填报，其篡改行为是否就可以不构成犯罪了？(12)参见张亢：《篡改他人高考志愿的罪名适用》，载《人民司法(应用)》2017年第13期。另外从犯罪对象看，破坏计算机信息系统罪的犯罪对象为计算机系统本身，所造成的后果至少应有对计算机系统本身的损害，在本案中并未有此后果发生，将“妨碍或者使得他人丧失一种获得公正的教育的机会也作为后果严重来理解已经超出了法条本身具有的含义”。(13)参见齐鲁网：《专家解读单县高考志愿篡改案》，http://news.shm.com.cn/2016-10/26/content_4539789.htm，最后访问时间：2019年6月14日。因此，无论是从保护法益还是从造成的危害后果来看，笔者都同意篡改他人高考志愿的行为不应该适用破坏计算机信息系统罪的观点。(14)同③。

(二)无法将非法使用公民个人信息行为纳入其他罪名

刑法中涉及非法使用公民个人信息的罪名主要有四个，分别是第177条之一妨害信用卡管理罪(15)第三种情形：使用虚假的身份证明骗领信用卡的。、第196条信用卡诈骗罪(16)第一种情形：使用以虚假的身份证明骗领的信用卡来进行信用卡诈骗活动的。、第224条合同诈骗罪(17)第一种情形：以虚构的单位或冒用他人名义签订合同来进行合同诈骗的。及第280条之一使用虚假身份证件、盗用身份证件罪(18)在依照国家规定应当提供身份证明的活动中，……盗用他人居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件，情节严重的。。但是，这四个罪名均无法用来处理非法使用公民个人信息的行为。

非法使用公民个人信息行为的手段性质有两种：一是行为人为实施侵害行为而使用被害人的个人信息，此时非法使用公民个人信息的行为可以作为手段行为被主行为吸收，如利用所知晓的他人银行卡号、密码窃取他人存款，则使用财产信息的行为可以被盗窃罪吸收；二是行为人为了实施不法行为而使用与危害结果无关的第三人的个人信息，此种情形下使用公民个人信息的行为仍然是手段行为，但此手段行为造成两种危害结果，一种是目的结果，即行为人所欲实现的危害结果，另一种则是对信息主体所造成的危害结果，而对信息主体权利所造成的危害结果无法被最终的犯罪结果所吸收，如为逃避打击，行为人使用他人个人信息进行实名认证从事犯罪活动，在此种犯罪活动中，司法机关往往仅注重对最终犯罪结果的处理，而对个人信息被使用的信息主体的权利则在所不问，因为此类罪名所保护的对象并不涉及信息主体本身。

由是观之，现行刑法分则中涉及非法使用公民个人信息行为的罪名均属上述第二种情形，即行为人为了实施不法行为而使用与危害结果无关的第三人的个人信息。无论是这些罪名在刑法分则中所处的位置还是其欲保护的法益，都不能保护信息主体的权益，也无法为信息主体寻求刑法保护提供有效的路径。妨碍信用卡管理罪、信用卡诈骗罪及合同诈骗罪位于刑法分则第三章破坏社会主义市场经济秩序罪，使用虚假身份证件、盗用身份证件罪位于刑法分则第六章妨碍社会管理秩序罪，它们所欲保护的主要是一种超个人法益，其所要维护的主要是个人权益之外的宏观经济秩序和社会秩序，而非法使用公民个人信息的行为所要保护的是个人信息被盗用的信息主体的个人法益，二者的保护法益也是不同的。

(三)无法为个人信息被非法使用的公民维权提供有力支持

最高人民法院《关于适用中华人民共和国刑事诉讼法的解释》对自诉案件的范围规定了两大类八小项，其中在第二大类“人民检察院没有提起公诉，被害人有证据证明的轻微刑事案件”中规定了“刑法分则第四章、第五章规定的，对被告人可能判处三年有期徒刑以下刑罚的案件”。侵犯公民个人信息罪被规定在刑法分则第四章中，在刑罚上也符合上述标准：情节严重的，处三年以下有期徒刑或拘役，并处或单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。因此，侵犯公民个人信息罪属于前述条件下的自诉范围。当然，如该解释所言，“本项规定的案件，被害人直接向人民法院起诉的，人民法院应当依法受理。对其中证据不足、可以由公安机关受理的，或者认为对被告人可能判处三年有期徒刑以上刑罚的，应当告知被害人向公安机关报案，或者移送公安机关立案侦查。”

来自司法实务部门的信息表明，现在侵犯公民个人信息犯罪呈现出公安机关主动打击的特点，很少出现公民个人主动报案或向司法机关提起自诉以寻求个人信息的保护。(19)2018年8月22日，“网络安全峰会”在国家会议中心举行，在“联防联控生态共治网络黑灰产——天朗计划”分论坛中，最高人民检察院法律政策研究室吴峤滨处长如是说。这与笔者的另一项观察相符：笔者在无讼案例官网中以“侵犯公民个人信息罪”、“自诉”为关键词进行案例检索，只获得侵犯公民个人信息罪的自诉案例18件，除去同一案件的上诉、申诉情形，仅得有效案例6件，且其中无一例外均因证据不足而被驳回。为什么侵犯公民个人信息罪作为保护公民个人切身权益的罪名，现实中却很少出现公民以个人名义维权或即使有少量维权也鲜有成功的呢？笔者认为，原因至少有以下两点：

一是举证标准超出公民个人的能力范围。侵犯公民个人信息罪于立法时即预设了公权力机关(公安机关、检察机关)为打击侵犯公民个人信息罪的主体，并未充分考虑到公民个人维权的情形，因此侵犯公民个人信息罪的行为模式、入罪情形及证据标准均是按照公权力机关的侦查、取证能力来设定的。侵犯公民个人信息罪以情节严重作为入罪标准，最高人民法院、最高人民检察院2017年发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对情节严重进行了解释，列举了十种情形。然而这十种情形均是公民个人无法进行充分举证的，如第(二)项，知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；又如第(七)项，违法所得五千元以上的。在公民个人无法达到公安机关立案及法院受理自诉的证据标准的情况下，靠公民个人主动报案及通过自诉来寻求个人信息保护就几乎成为一句空话。

二是侵犯公民个人信息罪中没有与公民个人寻求保护相契合的行为类型即非法使用公民个人信息的行为，这也是最关键的一点。现实中，获取、出售及提供公民个人信息的行为具有高隐秘性，互联网的发展使得行为人可以通过一台网络终端如手机、电脑就可以完成公民个人信息的获取、出售及提供行为，公民很难发现自身的信息被他人获取、出售及提供。即使发现了，公民个人也很难找出行为人。公民个人容易发现的自身信息被侵害更多的是其信息被非法使用的行为(如前所列举)，然而与此相矛盾的是，由于目前的侵犯公民个人信息罪并未包含此种行为类型，致使公民在向公安机关报案或向人民法院提起自诉时，要么公安机关不予受理，要么人民法院驳回起诉。这就产生了一个恶性循环：公民遇到自身信息被非法使用时求助无门，陷入漫长的行政或民事维权程序中，独自承担着非法使用公民个人信息行为所带来的侵害结果；而公安司法机关则无法通过被侵害人的报案或自诉获得有效的线索和证据，从而大大影响对侵犯公民个人信息犯罪行为的打击力度和效率。

三、非法使用公民个人信息行为入罪有利于实现法秩序的统一

法学自身根据社会实践的需要被划分为各种学科，但是各学科总的价值取向、观念思想是一致的，如都是为了追求公平、正义等。而且，对于同一种行为的评价虽可能因学科之间的差异而有所不同，但总体上应当是一致的，如果各学科对于同一行为作出性质完全不同的评判，那这种情形就会带来法秩序的不统一。正如卡多佐所指出：我们不要支离破碎地去看待法律，而要将法律看作是一个连续的、一往无前的发展整体。(20)参见[美]卡多佐：《法律的成长——法律科学的悖论》，董炯、彭冰译，中国法制出版社2002年版，第12页。具体到本文，笔者主张将非法使用公民个人信息的行为入罪，这不仅有与其他部门法相关规定保持外在逻辑统一之考量，也有基于刑法自身内在逻辑自洽之考虑。

(一)前置法中“使用”行为的规定

刑法在法律体系中具有补充法和保障法的地位，这意味着，前置法中的相关规定对于刑法本身的规定具有相辅相成的意义，或者说刑法应对前置法中的规定做出回应。依此思路，笔者以“使用”为关键词对几部涉及公民个人信息保护的民法、行政法和部门规章进行了检索，得出以下检索结果。

如表1所示，无论是2017年全国人大通过的《民法总则》，2016年全国人大常委会通过的《网络安全法》，还是2013年全国人大常委会修正的《消费者权益保护法》，以及2013年工信部发布的《电信和互联网用户个人信息保护规定》，均将使用公民个人信息的行为作为一种独立的行为模式加以规定，将其与收集、获取、出售、提供等行为加以区分、并列。可见，在民法、行政法等法域的视野下，非法使用公民个人信息是一种具有独立性评价意义的行为。法律体系的一致不仅包括价值、目标等实质思想上的一致，同时也包括法律规范逻辑上的一致。不同部门法针对同种情形的具体细节性规定可以有所不同，但在具体规定的内在逻辑上应当具有一致性。(21)参见王昭武：《法秩序统一性视野下违法判断的相对性》，载《中外法学》2015年第1期。具言之，行为与行为之间的关系如相互独立、相互包含抑或具有交叉关系是固定的，不因法律的不同而不同。

回到本文主题，民法、行政法等法域下使用行为与获取、出售及提供行为之间的逻辑关系在刑法法域中也应该同样适用。也就是说，作为保障性法律而存在的刑法也应当对非法使用公民个人信息行为加以规定，将其与获取、出售及提供行为并列规定，以免出现当非法使用公民个人信息行为达到一定社会危害性只有施以刑罚才能与其行为性质相适应时，却在刑法中找不到相应的法律依据。当然，前置法规定非法使用公民个人信息行为并不能当然推出刑法中也应当将使用行为规定其中，毕竟刑法本身具有独立性，因此，接下来我们还有必要继续考察一下刑法内部关于“使用行为”的逻辑自洽问题。

表1 前置法中“使用”行为的规定

(二)刑法内部“使用”行为的规定

以“使用”为关键词，对刑法分则进行检索，共有37个罪名出现“使用”一词，因检索的初衷系考察“使用”作为一种行为模式是否具有独立于同一罪名中其他行为模式的价值，因此笔者将其中以名词形式出现及同一罪名中没有与使用行为并列从而具有比较意义的罪名剔除，最终得出结果即刑法第219条侵犯商业秘密罪。本罪中“使用”商业秘密的行为与“获取”商业秘密等行为相并列，“使用”行为被作为一种独立的行为模式加以规制。

从形式上看，二者均属于同一语句构成模式——“犯罪行为+犯罪对象”，即“侵犯某某罪”，这种罪名构成意味着其罪名内容及行为模式具有某种相似性，且二者均为叙明罪状，即在侵犯公民个人信息罪与侵犯商业秘密罪的罪名统摄下，分别列举多种犯罪行为方式并对其加以描述。从犯罪对象上看，作为两罪犯罪对象的公民个人信息与商业秘密也具有一定程度的类似性，公民个人信息系以自然人为核心而衍生出的信息的集合，商业秘密可以看做是以法人为核心而衍生出的信息集合中最为重要的“个人(法人)信息”。商业秘密主要具有财产性或价值性，即指技术信息或经营信息具有可确定的应用性，能够为权利人带来经济利益和竞争优势。(22)参见周光权：《侵犯商业秘密罪疑难问题研究》，载《清华大学学报(社会科学版)》2003年第5期。公民个人信息则具有多重属性，除去财产性特征外，人身性也是其重要属性特征，其保护重要性丝毫不亚于商业秘密。既然刑法明确将“使用”行为作为侵犯商业秘密罪的行为类型加以规定，按照举轻以明重的思路，在保护比商业秘密影响范围更广、内涵更丰富、重要性更大的公民个人信息时，将非法使用公民个人信息的行为纳入刑法规制范围也就有其内在合理性，否则，会引起刑法内在法秩序的不统一。

四、域外及我国港台地区的立法也支持非法使用公民个人信息行为入罪

尽管不同国家和地区针对非法使用公民个人信息行为的立法在文字表述、规制方法和适用范围等方面存在差异，刑罚严厉程度也不尽相同，但是这些立法在整体上均表现出两点共性：一是都将非法使用公民个人信息行为作为一种独立的行为类型加以规制，二是都将这种行为类型进行犯罪化处理。

以美国为例，其联邦和州一级的立法都将非法使用公民个人信息行为规定为犯罪，如美国1998年的《身份盗窃和冒用阻止法案》(Identity Theft and Assumption Deterrence Act)规定，在没有授权的情况下，非法使用他人可识别信息的行为，构成联邦犯罪，最高可处15年监禁刑和250,000美元罚金。(23)18 U.S.C § 1028 (a)7,(b)1.又如，佛罗里达州2018年的一项立法针对非法使用个人信息规定了专门的罪名“个人可识别信息的犯罪性使用(Criminal Use of Personal Identification Information)”，其具体内容为：“任何人在没有授权的情况下，未经他人同意而故意欺诈性地使用，或者基于欺诈性使用目的而持有他人的个人可识别信息，构成欺诈性使用个人可识别信息罪，该罪属于三级重罪，按照775.082、775.083、775.084条中的规定处罚”(775.082(3)(e)规定犯三级重罪处5年以下监禁刑，775.083(1)(c)规定犯三级重罪可以在自由刑的基础上并处5000美元以下罚金，775.084规定了累犯从重处罚的事项)。(24)参见FLA. STAT. § 817.568(2)(b)、(c)(2018).佛罗里达州上诉法院对“欺诈性使用个人可识别信息”进行了解释，认为该行为包含三个要素：(1)有意识地欺诈性使用；(2)他人的个人可识别信息；(3)未经他人的事前授权或同意。法院在此基础上认定在未经同意的情况下使用他人姓名和社保号码注册物业账号的行为构成“个人可识别信息的犯罪性使用罪”。(25)State v. Roberts, 143 So. 3d 936, 2014 Fla. App. LEXIS 4679, 39 Fla. L. Weekly D 668, 2014 WL 1258540.

韩国《个人信息保护法案》第71条规定，违反本法第18(1)、(2)，19条，26(5)的规定或27(3)的规定，非法使用或者向第三方提供个人信息的，处五年以下监禁刑。(26)其中第18(1)规定个人信息的控制人不得超过15(1)规定的范围使用个人信息(第15(1)“个人信息的收集和使用”规定个人信息控制者可以在以下情况中收集个人信息，并且在收集用途的范围之内使用个人信息：1.经数据对象同意的；2.法律中存在特殊规定或为履行法律义务所必需的；3.公共机构在法律规定的管辖内执行工作所必需的；4.为履行与数据对象的合同而必需的；5.基于明显的保护需要；6.当个人信息控制者需要获取正当利益且其利益明显优越于数据对象时)，第18(2)并不涉及非法使用个人信息问题，故此处不具体展开；第19条规定个人在通过信息控制人接收他人个人信息时，不得超过预定的范围使用信息；第26(5)规定委托人不得超过信息控制人委托的范围使用个人信息；第27(3)规定在由于商业转让、合并而获取个人信息的情况中，商业受让人使用或者向第三方提供个人信息仅限于商业转让前的初始用途。参见韩国《个人信息保护法》(Personal Information Protection Act), Personal Data Protection Laws in Korea, https://www.privacy.go.kr/eng/laws_view.do?nttId=8186&imgNo=1.与其类似，日本《个人信息保护法案》第82条规定，个人信息保护委员会中的主席(chairperson)、专员(commissioner)、专家专员(special commissioner)、秘书人员(secretarial staff)等暗中获取机密(secret)后泄漏或使用的，应处两年以下监禁刑并参与劳动，或处1，000，000以下日元罚款。在另一份关于日本的数据保护报告中，其“数据盗窃与刑事责任”部分明确指出：“为了牟利而不恰当地使用和揭露个人信息已经属于犯罪”。(27)参见Protecting Personal Information in the Age of Big Data——Japan’s New Regime, https://www.aplaw.jp/clientalert-en-dataprotection-december2017.pdf.

欧盟2016年通过的《通用数据保护条例》(General Data Protection Regulation)第6条规定了数据处理的合法性原则，此处的数据“处理(Processing)”是一个比较笼统的说法，其第4条对于“处理”的含义进行了细化并列举了若干种具体的“处理”行为，其中就包括“使用”行为。(28)参见《通用数据保护条例》第4条第(2)项：“处理是指对个人资料或者个人资料档案执行任何操作或者系列操作，不论是否通过自动化的方法，例如收集、记录、组织、结构化、储存、改编或者变更、检索、查阅、使用、传输揭露、传播或者以其他方式使之得以调整、限制、删除或者销毁”。该法还支持和鼓励成员国通过刑罚手段来规制非法的个人数据处理行为，以确保规范能得到执行。这一点在德国的立法中就得到了体现，德国于2017年通过对《联邦数据保护法》进行修订来实现《通用数据保护条例》的国内转化，《联邦数据保护法》第42条规定，以牟利或者损害他人为目的，未经授权处理不能公开访问的个人数据处两年以下监禁刑。由于《联邦数据保护法》与《通用数据保护法》对“处理”的定义完全一致，这表明非法使用个人数据的行为在德国是作为犯罪来处理的。此外，欧盟有的国家在《通用数据保护条例》出台之前就已经将非法使用个人数据的行为犯罪化，如2003年的意大利《个人数据保护法》(Personal Data Protection Code)，其刑事犯罪部分的第167条同样规定以牟利或者损害他人为目的的“非法数据处理”行为属于犯罪(此处的“处理”同样包含“使用”)，处6至18个月的监禁刑。

我国台湾地区2015年《个人资料保护法》第42条规定，意图为自己或第三人之不法利益或者损害他人之利益，违法利用个人资料而足生损害于他人者，处五年以下有期徒刑、拘役或科或并科新台币一百万以下罚金。具言之，其从三个方面规定了个人信息的非法使用：(1)不得非法利用有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料；(2)公务机关不得超过法定职务范围与对应目的利用个人资料；(3)非公务机关不得超过收集的目的利用个人资料。另外，我国香港特别行政区2012年《个人资料(隐私)条例》第35C条规定，资料使用者违反相关规定，在直接促销中使用资料当事人的个人资料，即属犯罪，一经定罪，可处罚款50万港币及3年监禁。此处的相关规定包括三个方面：(1)告知有关资料当事人拟使用相关个人资料并征得同意；(2)向当事人提供关于使用个人资料种类和促销标的类别的资讯；(3)向当事人提供传达同意使用个人资料的途径。

五、非法使用公民个人信息行为入罪的具体构想

就实现非法使用公民个人信息行为的入罪路径而言，有两种思路：一是通过司法解释，二是通过刑法修正案。笔者认为，由于涉及一种新的行为方式的增设，已经不能通过司法解释的方式来实现入罪，否则有违罪刑法定的原则，(29)此时已经不是扩大解释而是类推解释了。应采用立法方式，即下一次刑法修正案时，(30)今年的全国人大常委会工作报告已经明确指出要“制定刑法修正案(十一)”。将非法使用公民个人信息的行为与非法获取、出售和提供公民个人信息的行为相并列，使其共同成为侵犯公民个人信息罪的规制对象，从而将现行《刑法》第253条之一的侵犯公民个人信息罪的条文修改、整合为：(31)现行《刑法》第253条之一用三款来规定侵犯公民个人信息罪的行为类型，显得有些杂乱，笔者主张将第三款与第一款合并。在原条文中，因“获取”放在“窃取”之后，所以“获取”前加“非法”二字，而“出售”“提供”前则用“违反国家有关规定”。笔者整合后的条文统一在“违反国家有关规定”之后，用“非法获取、出售、提供及使用公民个人信息的行为”这样一种表达方式。有人可能会认为，在“违反国家有关规定”之后再增添“非法”一词，是否会造成重复，笔者认为，这种“重复”非但不会造成歧义，反而会使条文的意思更明确，更重要的是，这么一整合，整个条文起到了“消肿”的效果，更加清晰和简洁了。

“违反国家有关规定，窃取或者以其他方法非法获取公民个人信息，或者非法向他人出售、提供公民个人信息，或者非法使用公民个人信息，情节严重的，处三年以下有期徒刑或拘役，并处或单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”

“违反国家有关规定，将在履行职责或提供服务过程中获得的公民个人信息，非法出售、提供给他人或者非法使用的，依照前款规定从重处罚。”

“单位犯前两款罪的，对单位判处罚金，并对直接负责的主管人员和其他责任人员，依照各该款的规定处罚。”

在对侵犯公民个人信息罪的条文作如上完善后，还应对“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》作相应完善，如关于非法使用公民个人信息行为的入罪标准，前述解释以所侵犯的公民个人信息的类型及数量为标准对情节严重列举了十种情形(含兜底条款)，未将获取、出售及提供行为对信息主体所造成的危害考虑在内，原因在于非法获取、出售及提供个人信息的行为并不直接对信息主体产生危害。笔者认为在确定非法使用公民个人信息行为的入罪门槛时应采用两个标准，具备其中之一即可：一是采取个人信息类型+数量的标准对非法使用公民个人信息的行为列举具体情形，如“非法使用行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”，与非法获取、出售、提供公民个人信息的入罪标准保持一致。(32)现实中批量使用公民个人信息的行为时有发生，如银行职员为谋取不义之财利用所掌握的多个客户信息在网贷平台上贷款。二是列举非法使用公民个人信息行为对信息主体造成的直接危害，如使用他人信息办理多张信用卡，恶意透支严重影响信息主体个人征信并影响信息主体正常的金融交易；使用他人信息开办公司从事违法犯罪行为致使信息主体留下犯罪记录影响其正常就业，同时对信息主体名誉、财产等造成损害。

又如，关于非法使用公民个人信息行为的量刑。非法使用公民个人信息行为入罪后，在侵犯公民个人信息罪之外和之内都会引发一些量刑时值得研究的问题。就之外而言，如前所述，如果非法使用公民个人信息的行为是针对被害人本人，则使用行为被主行为吸收，如行为人利用所知晓的他人银行卡号和密码窃取他人存款，只定盗窃罪；但如果行为人为了实施某种犯罪行为而非法使用被害人之外的第三人信息，如行为人为逃避打击而使用他人个人信息进行实名认证从事犯罪活动，此时因对第三人信息主体权利所造成的危害结果无法被其所追求的犯罪结果所吸收，应以数罪并罚论处。就之内而言，非法使用公民个人信息行为入罪后，作为一个选择性罪名，侵犯公民个人信息罪有了四种行为类型。虽然选择性罪名只要具备其中之一即可以该罪定罪处刑，但按照笔者一贯的主张，在这类选择性罪名中，行为人是具备其中之一种还是同时具备几种，对量刑轻重应当有影响，也就是说，只有同时具备选择性罪名的所有行为类型时，才能顶格判处，相应地，只具备其中部分行为类型甚至只有其中一种行为类型时，则处刑幅度要相应降低。具体到本罪，对于行为人侵犯公民个人信息的行为是一种行为类型还是同时具备几种行为类型，也存在一个内部单处和并罚的问题，对此，如果司法解释能进一步加以明确，无疑会对促进科学量刑和规范量刑起到积极的作用。