大数据时代侵犯公民个人信息罪行为规制模式的应然转向
——以“AI换脸”类淫秽视频为切入

□黄陈辰

一、问题的提出

随着大数据、云计算、人工智能等技术的发展，我们逐渐步入一个大规模生产、挖掘、共享与应用数据的时代，在这个时代，个人数据抑或称为个人信息(1)基于“个人数据”与“个人信息”的同质性，本文在表述中对二者不做区分。的总量每18个月就会翻一番，且其中的90%均产生于最近几年。根据计算科学公司(computer science corporation, CSC)发表的最新一份研究报告，2020年全球数据产生量将达到2009年时的45倍[1]。除了数量上的爆炸式增长外，个人信息的内在价值与角色定位亦随着时代转型而发生改变，其在政府运作、社会服务、商业拓展等诸多领域发挥着不可替代的基础性作用，已然成为现代社会发展的重要资源与核心动力[2]。

大数据时代背景下，信息即意味着利益，因此受逐利心理的驱动，侵犯公民个人信息的行为大量出现，信息安全风险与日俱增[3]。同时，科学技术的迭代不仅具有促进经济发展、社会进步的正向效应，其还为侵权、犯罪手段的更新与异化提供了契机，而“AI换脸”类淫秽视频的出现即是这一负价值的典型适例。“AI换脸”类淫秽视频是一种建基于人工智能技术的新型淫秽物品，其通过利用深度图像生成模型，如Deepfake软件或ZAO软件等，对某人的照片进行分析与处理，从而把照片上的人脸“移花接木”到淫秽视频中，将其“替换”为淫秽视频的主角。根据目前的报道，多位知名女明星成为此类视频的受害者，并且只要具有足够数量的照片，卖家还可以提供私人定制服务[4]。人脸，由于其生理性、标识性等特点，毋庸置疑地属于个人信息，且其为一种不同于传统类别的新型信息，即生物识别信息[5]，因此利用他人照片中的人脸部分制作“AI换脸”类淫秽视频并出售的行为，不仅侵犯他人名誉权以及不愿接触淫秽物品的权利，进而可能构成侮辱罪与制作、传播淫秽物品牟利罪，而且还是对他人个人信息的侵犯。我国现行《刑法》中对个人信息进行保护的典型罪名为第253条之一“侵犯公民个人信息罪”，但该罪主要针对“出售或非法提供”以及“窃取或以其他方式非法获取”两类行为，因此按照当前该罪的行为规制模式，无法全面评价上述制作并出售“AI换脸”类淫秽视频的行为，亦难以实现对公民个人信息的周全保护，故是否进行模式调整以及如何调整的问题突显出来，这成为本文研究的重点。

二、侵犯公民个人信息犯罪行为的规制现状：基于源头治理逻辑的模式设计

信息时代来临之前，公民个人信息并未成为刑法以及其他法律规范关注的重点，因此我国刑法中并未设置保护公民个人信息的独立罪名，而是将其附属于国家秘密、商业秘密等其他法益，在对后者进行保护的同时，“顺带”实现保护公民个人信息的附随效果[6]。例如《刑法修正案(五)》增设的“窃取、收买、非法提供信用卡信息罪”，虽其犯罪对象为他人信用卡信息，但从该罪在刑法典中的体系定位可知，其所保护的主要法益为国家金融管理秩序，而并非个人信息。直到2009年《刑法修正案(七)》出台，增设了“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”，个人信息的独立刑法保护才得以实现。上述两罪明确了刑法所规制的侵犯公民个人信息犯罪行为的基本类型，即“窃取或者以其他方法非法获取”与“出售或者非法提供”，从而形成了该类犯罪初步的行为体系。2015年《刑法修正案(九)》将上述两罪整合为“侵犯公民个人信息罪”，该罪为弥补《刑法修正案(七)》的滞后与不足，在主体范围、客观要件、刑罚配置等方面进行了调整，但其规制的基本行为类型并未改变。2017年最高人民法院、最高人民检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)，明确了侵犯公民个人信息罪的具体适用细节，但亦未涉及行为类型的增删与体系调整。

从上述刑法条文与司法解释的规定可以看出，侵犯公民个人信息罪所规制的行为主要包括 “窃取或者以其他方法非法获取”以及“出售或者非法提供”，因“窃取”“出售”仅为典型行为之列举，故实质而言，可以简化为“非法获取”与“非法提供”两类(2)“窃取”是“非法获取”的一种，而“出售”亦属于“非法提供”，只是因为二者较为典型与常见，因此法条将其独立列出。。

当前，随着个人信息价值的不断增长，侵犯公民个人信息的犯罪行为持续涌现，并逐渐形成一条体系完整、分工明确的黑色产业链。在这条产业链中，主要存在三个关键环节：(1)信息的获取，行为人采用合法或非法手段获取他人信息，前者如保险公司工作人员由于职务原因而掌握客户资料，后者如黑客侵入网站数据库盗取用户信息。据统计，全球范围内每年约有10亿条个人信息被泄露，并导致将近60亿美元的经济损失[7]。(2)信息的提供，信息持有者将其所掌握的信息非法提供给他人，其中最常见的方式为出售。广东省“净网2019”专项行动的成果显示，仅2019年上半年，广东警方即侦破网络犯罪案件521起，缴获被买卖的公民个人信息15亿余条[8]。(3)信息的利用，行为人获取他人信息后加以非法利用，例如实施网络诈骗犯罪，或者发送垃圾短信、拨打骚扰电话等。如前所述，侵犯公民个人信息罪规制的行为类型为“非法获取”与“非法提供”他人信息，分别对应上述黑色产业链中的前两个环节，但并不涉及信息的利用，可见，该罪以打击公民个人信息的非法流转(获取、提供)为中心，期望从源头上防止个人信息泄露并阻断其非法流通的渠道，使得以他人信息为“原料”的利用行为，如电信诈骗、网络盗窃等丧失实行的根基，成为无源之水、无本之木。本文将这种在数个法益侵害行为共同构成的犯罪进程中，通过规制前端行为以截断犯罪链条，使末端行为不可能实施，进而实现遏制犯罪、保护法益目的的行为规制模式称为源头治理模式。

三、源头治理模式评析

(一)模式介绍

源头治理模式是我国刑法中一类特殊的行为规制模式，即在数个法益侵害行为共同构成的犯罪进程中，刑法仅规制处于前端位置的行为，从源头打击犯罪，而对于末端行为，虽然其对法益的危害更加直接，但却进行非犯罪化处理，使其不受刑法处罚。这种模式的设置逻辑在于源头治理，即通过规制前端行为来消解末端行为得以生存的土壤，从而减少末端行为的发生。源头治理模式散见于我国《刑法》分则的具体罪名中，除上文所述的侵犯公民个人信息罪以外，典型的还有《刑法》第280条第1款规定的“伪造、变造、买卖国家机关公文、证件、印章罪”“盗窃、抢夺、毁灭国家机关公文、证件、印章罪”，《刑法》第375条第1款规定的“伪造、变造、买卖武装部队公文、证件、印章罪”“盗窃、抢夺武装部队公文、证件、印章罪”等。例如，在涉及国家机关公文、证件、印章的犯罪中，伪造、变造、买卖、盗窃、抢夺、非法使用等行为共同组成一个完整且有序的犯罪生态，其中，非法使用行为直接损害国家机关公文、证件、印章的公共信用，但刑法却并未将其规定为犯罪，反而是为其提供“原料”的前端行为全部被纳入刑法处罚范围，这种行为类型的选择性规制深刻体现了源头治理的设置逻辑。

(二)源头治理的模式理性与固有局限

1.模式理性

源头治理作为我国刑法中一类特殊的行为规制模式，其之所以产生是基于一定的理性考量，具体如下所述。

第一，末端行为缺乏刑法规制的紧迫性与必要性。在大数据时代来临之前，公民个人信息总体数量较少，且其利用价值与可利用方式也极为有限，因此非法利用公民个人信息行为所产生的危害性较小，缺乏刑法规制的紧迫性与必要性。另外，在当时的环境下，由于电子化、数据化程度不高，个人信息仍具备专属性与私密性等特征，故其与个人隐私之间不存在明显界分，持有与流转的自主性是其主要权利内容，因而对公民个人信息的保护也集中于流转环节，重点打击非法获取与非法提供行为。

第二，在某些情况下，末端行为难以准确界定，将其纳入刑法规制范围有违背罪刑法定原则之嫌。以侵犯公民个人信息罪为例，非法利用他人信息的行为方式多样、庞杂，有的是行为人利用其所获取的他人信息，通过拨打电话的方式寻求合作伙伴与进行业务推广(3)参见(2017)粤0303刑初238号刑事判决书。，有的是行为人利用他人信息实施电信诈骗、敲诈勒索等犯罪(4)参见(2017)鲁13刑初26号刑事判决书。，有的是行为人在未经信息所有人同意的情况下，利用他人信息办理信用卡等须提供身份证明的业务，最典型的即为2008年的“西电卡门事件”(5)2008年，西安电子科技大学财务处在未征得学生同意的情况下，擅自使用掌握的学生身份信息，为一万多名学生办理了“中国工商银行牡丹运动圆梦学生卡”，曝光后，学校公开致歉并将上述信用卡注销。，并且随着人工智能等前沿科技的发展，“非法利用”的外延还在扩张，不断产生新的行为样态。例如前文所述通过分析、处理他人的照片来制作“AI换脸”类淫秽视频的行为，因此难以对“非法利用”一词进行准确界定，而罪刑法定原则的实质侧面要求刑法规范具有明确性，故不宜将非法利用他人信息的行为规定为犯罪。

第三，从司法成本与效率的角度考虑，规制末端行为不符合便宜性的要求。例如，在侵犯公民个人信息犯罪中，由于信息传播速度的迅即性、传播途径的便捷性、传播范围的无限性以及网络空间的流动性、匿名性等特征，非法利用公民个人信息的犯罪人可能隐匿于任何地方，而在大数据时代来临之前，侦察技术手段相对有限，因此对犯罪嫌疑人进行抓捕或取证的难度较大，并且会耗费大量司法资源；另外，根据最高人民法院、最高人民检察院颁布的司法解释，涉案信息的数量对行为人定罪量刑起着至关重要的作用，但对于非法利用行为而言，并非行为人获取或持有的所有信息均被利用，且某些行为人还交杂有合法利用的情形，因此要将非法利用的涉案信息从全部信息中区分出来并统计数量，亦会消耗大量的人力物力，而若从侵犯个人信息的源头出发，通过比对受损信息数量、查看信息流转记录、调取信息数据库等方式考察非法获取与非法提供行为，则在取证中能够最大限度地提高司法效率，节省司法资源，因此不宜将非法利用他人信息这一末端行为规定为犯罪。

第四，规制前端行为能够实现对末端行为的间接防控，减少后者的发生。虽然由于难以类型化或不符合便宜性原则等原因，不宜将具有法益侵害性的末端行为规定为犯罪，但前端行为与末端行为共同组成一个完整、有序的犯罪生态，且前者的实施为后者提供必要的“原料”，因此刑法将前端行为纳入规制范围即足以切断末端行为“原料”的供应，使其丧失实施的基础，进而减少末端行为的发生。例如，非法利用公民个人信息的行为必须以行为人掌握大量他人信息为前提，而在大数据时代来临之前，由于个人信息缺乏公开性与共享性等特征，非法利用的他人信息绝大多数来源于非法获取行为或者他人的非法提供行为，而侵犯公民个人信息罪严厉打击此两种行为，从源头上遏制了个人信息的泄露并截断其流转路径，保障公民个人信息不会被不法分子掌握，使其没有非法利用的“原料”，进而防止该类行为的发生。因此，总体来看，刑法虽未规制非法利用行为，但通过打击位于前端的非法获取与非法提供两种行为，亦能够对其起到间接防控的作用。

第五，末端行为与下游犯罪行为竞合，打击下游犯罪能够实现对末端行为人的处罚。以侵犯公民个人信息罪为例，行为人之所以千方百计地获取他人信息，最核心的目的在于通过对这些信息加以利用，以实现信息背后的价值并获得相关收益，而行为人的非法利用行为通常会触犯其他罪名，如诈骗罪、盗窃罪、制作淫秽物品牟利罪等，因此通过对下游犯罪的打击能够实现对非法利用他人信息行为人的处罚，不会使其逃脱法网[9]。

2.固有局限

虽然源头治理模式具有其存在的理性基础，但这种立法设计从其产生之初就内嵌着固有的局限，因此其在司法实践中并没有发挥出立法者原先所预想的规制效果。

首先，虽然前端行为位于犯罪进程的起点，对其进行源头打击有利于截断犯罪链条，消除末端行为赖以实施的“原料”，但从犯罪进程的流向来看，无论前端行为如何，犯罪生态中的所有行为最终均指向末端，亦即之所以会出现前端行为，均是由于末端行为的需要，故可以说，末端行为是前端行为产生的诱因与最终目的。没有需求就没有供给，因此对末端行为进行规制能够起到釜底抽薪的效果，而源头治理模式仅看到其处于犯罪进程的尾部，似乎对整个犯罪生态的形成与存在没有太大的作用，故而忽略了其真正本质与内核。例如，行为人希望通过非法利用他人信息以获得不当收益，但其并不一定拥有符合其要求且数量足够的信息，故此时“市场”上出现需求侧，进而催生了非法获取与非法提供他人信息的行为，后者通过满足前者对信息的需求，以换取经济利益，二者共同构成侵犯公民个人信息的犯罪进程，因此可以看出，非法利用行为是整个犯罪生态的基础动因，若对其进行打击，则能够直接消除非法获取与非法提供行为的原动力，进而减少此两种行为的发生。但侵犯公民个人信息罪仅关注犯罪进程的前端，忽略了作为诱因的非法利用行为，因此导致其规制效果受到局限。

其次，源头治理模式之所以能够发挥作用，完全依赖于前端行为与末端行为之间存在的绝对的供给关系，即末端行为要想实施，必须从前端行为处获取相应的“原料”，而没有其他途径，故只要出现末端行为，就一定存在前端行为，因此才能通过打击后者以实现对前者的规制。但这样的设计缺乏稳定性，一旦前端行为与末端行为之间的供给关系丧失绝对性，则会导致整个规制模式的失效。例如，随着大数据、人工智能等前沿科技的发展，对公民个人信息的非法利用也出现方式上的更新，如前文所述利用他人照片制作“AI换脸”类淫秽视频，这种利用方式的特点在于，其不仅借助了最新的技术，而且其所利用的他人信息，尤其是涉及明星、公众人物的信息，均来源于互联网，属于从公开途径合法获取的他人信息[10]，因此，非法利用行为的实施并未依赖于非法获取与非法提供行为的“原料”供给，通过侵犯公民个人信息罪对后者的规制无法实现对此类“合法获取、非法利用”行为的打击。

四、路径选择：从源头治理到全程打击的模式转换

如前所述，侵犯公民个人信息罪采取的是源头治理的行为规制模式，但这种模式无法与大数据时代背景下保护公民个人信息的需求相适配，因此需要进行转换。考虑源头治理模式的合理性与固有局限，结合非法利用行为在犯罪进程中的原动力地位，应将转换的核心定为，在保留非法获取、非法提供行为的基础上，将非法利用行为纳入刑法规制范围，进而形成对犯罪链条进行全程打击的新型模式，以实现对公民个人信息的全面保护。

(一)理由阐释

第一，大数据时代，非法利用公民个人信息行为的法益侵害性增加。虽然目前学界对于侵犯公民个人信息罪所保护的法益尚有分歧(6)关于侵犯公民个人信息罪所保护的法益，目前学界主要有人格尊严说、隐私权说、个人信息权说、公共安全说、公共秩序说、综合说等观点。，但考虑刑法的保障法地位，以及其客体应与前置法客体保持一致的要求，结合《民法总则》第111条的规定[11]，笔者更倾向于个人信息权的观点。个人信息权指的是本人依法对个人信息所享有的积极支配与消极防御他人侵害的权利[12]。非法利用公民个人信息的行为损害了本人自主决定个人信息是否被利用，以及基于何种目的、以何种方式、在多大范围内利用的权利，是典型侵犯个人信息权的行为，因此其具有法益侵害性。随着大数据时代的到来，个人信息总体规模呈指数级上涨，其在经济、社会等领域的潜在价值也进一步被发现，对个人信息进行利用的方式亦从单一的简单利用扩展到深度挖掘与立体分析，因此，非法利用公民个人信息的行为与前大数据时代相比将产生更大的危害，其法益侵害性急剧攀升。例如为制作前述“AI换脸”类淫秽视频，行为人非法利用的照片数量巨大，且通过分析处理直接对淫秽视频中的人脸进行替换，其对被害人个人信息以及名誉的侵害是传统手段无法比拟的，因此应将其纳入刑法规制范围。另外，非法获取与非法提供他人信息的行为仅对法益产生抽象危险，而非法利用行为作为侵犯公民个人信息犯罪流程的归宿，才最终将这种危险具体化，因此其对法益的侵害更加直接与严重，举轻以明重，应对其进行犯罪化处理。

第二，非法利用公民个人信息的行为具有独立性，非法获取、非法提供行为与下游犯罪均无法涵盖。非法获取指的是违反法律规定，通过购得、骗取、夺取等方式得到他人信息，而非法提供指的是使他人可以知悉公民个人信息[13]，二者均与非法利用他人信息的行为方式不同，因此无法涵盖后者。另外，虽然非法利用行为通常构成其他犯罪，能够对行为人进行定罪处罚，但由于侵害法益的不同，下游犯罪往往无法全面评价非法利用行为，因而造成法益保护的不周延[14]。例如，前述利用他人照片制作“AI换脸”类淫秽视频的行为，既损害了他人的名誉权与不愿接触淫秽物品的权利，同时还侵犯他人的个人信息权，但若仅对行为人按侮辱罪、制作淫秽物品牟利罪定罪处罚，则忽略了其对他人信息的侵害。因此应对非法利用他人信息的行为加以规制，认定行为人同时构成侵犯公民个人信息罪，进而实现对其行为的全面评价。

第三，非法利用公民个人信息的行为方式逐步类型化。虽目前仍无法对“非法利用”一词进行准确、周延的界定，但随着相关案例的大量涌现，其行为方式已开始逐步类型化甚至定型化。例如有学者将其总结为三种形态：(1)利用所获取的具有身份识别性的公民个人信息实施诈骗等犯罪行为；(2)将获取的具有身份识别性的公民个人信息用于未经接收方许可的商业推销、广告宣传；(3)利用获取的具有隐私性的公民个人信息实施敲诈勒索等犯罪活动[15]。前述利用他人照片制作“AI换脸”类淫秽视频的行为即可归于第一类。因此，通过类型化解释，“非法利用”的内涵与外延基本清晰，将其规定入刑法并不违背罪刑法定原则实质侧面的明确性要求。

第四，大数据时代，对非法利用公民个人信息行为进行取证的难度降低，将其纳入刑法规制范围符合便宜性的要求。随着科技的进步，侦查工具与手段不断更新，通过运用大数据、人工智能等前沿技术，公安机关能够快速查到犯罪分子的作案工具，如拨打骚扰电话，发送垃圾短信的手机号码、电脑IP地址等，并能够根据定位信息锁定犯罪嫌疑人[16]。例如上海、浙江等地警方通过“腾讯安全反诈骗实验室”开发的“麒麟伪基站定位系统”“神羊情报分析平台”等安全应用系统，破获了包括“9·27特大窃取贩卖公民个人信息专案”在内的大量网络黑产案件[17]。同时，对于行为人利用的公民个人信息数量，通过智能算法也能够轻松识别与统计，为定罪量刑提供依据，因此规制非法利用行为不会造成司法资源的浪费，符合便宜性的要求。

第五，外国立法实践的经验借鉴与我国法秩序统一的现实需求。从世界范围来看，其他国家已有将非法利用公民个人信息的行为规定为犯罪的立法尝试，值得我们借鉴。例如，《德国刑法典》第204条规定“使用他人秘密罪”，最高可处两年有期徒刑[18]；《葡萄牙刑法典》规定“不当利用秘密罪”，最高可处一年监禁[19]；美国《防止身份盗窃及假冒法》规定，“任何人在无合法授权的情况下……故意转让或者使用他人的个人信息，构成犯罪。”[20]同时，随着国际交流与合作的日益广泛，个人信息的跨境交互与全球化趋势也不断增强，跨国侵犯公民个人信息的犯罪亦愈演愈烈，因此我国规制非法利用行为有利于进行打击相关犯罪的国际司法合作。另外，从我国立法现状来看，《民法总则》第111条规定，任何组织和个人不得非法收集、使用、加工、传输、买卖、提供、公开他人个人信息；《网络安全法》第41条规定，网络运营者收集、使用个人信息，应当遵循合法的原则。虽然不能以前置法的内容限制刑法规范，但上述两部法律将非法利用他人信息的行为作为一种独立的行为类型，与非法获取、非法提供等行为同等对待，表明其均为法所不允许，且前者还有比后者更为严重的法益侵害性，因此，根据法秩序统一原则与罪刑均衡原则，应当将非法利用行为纳入刑法规制范围，以实现刑法与前置法的合理衔接。

(二)全程打击模式的具体建构

要实现侵犯公民个人信息罪行为规制模式从源头治理到全程打击的转换，其核心在于将非法利用他人信息的行为纳入刑法规制范围，但至于应如何规制，本文将从罪名、罪状、法定刑三个方面进行具体阐述。

1.罪名的选择

对于应以何罪名规制非法利用公民个人信息的行为，学界目前主要存有两种观点：(1)单独设立新的罪名，例如“非法利用公民个人信息罪”，将其作为《刑法》第253条之二，列于侵犯公民个人信息罪之后[21]；(2)在侵犯公民个人信息罪原有的基础上增加新的内容，以包容非法利用公民个人信息的行为[22]。笔者认为第一种观点不具有合理性。一方面，非法利用行为是与非法获取、非法提供相并列的行为类型，三者侵犯的法益相同，且从我国刑法对公民个人信息保护的立法进程来看，侵犯公民个人信息罪是对侵犯公民个人信息犯罪的总体性、一般化规定，因此没有理由将非法利用行为排除于该罪之外，增设新的罪名；另一方面，从司法成本的角度考虑，增设新的罪名必然耗费更多的司法资源，而这些额外的消耗显然是不必要的。因此，应采取第二种路径，将非法利用公民个人信息的行为纳入侵犯公民个人信息罪的规制范围。

2.罪状的确定

有观点主张，应从解释论的视角出发，对侵犯公民个人信息罪中“非法获取”的“非法”二字进行含义扩张，将其解释为“以非法利用为目的”，进而直接沿用侵犯公民个人信息罪的罪状，将非法利用公民个人信息的行为涵盖在原本的法条框架之下，无需进行修改[23]。这种解释思路虽然能够有效规制合法获取他人信息后再非法利用的行为，在一定程度上解决了规制不足的问题，但其同时又会导致犯罪圈的扩大化，将原本不应处罚的行为规定为犯罪。例如，行为人以非法利用为目的合法地获取了他人信息，但并未实际实施非法利用行为的情形，按照此种解释思路则应被认定为侵犯公民个人信息罪。因此无法通过扩张解释的路径将非法利用行为涵盖入侵犯公民个人信息罪的罪状表述，只能在原有基础之上增加新的内容。

非法获取行为的主体为无权合法取得公民个人信息的自然人或单位，而非法利用行为所涉及的信息则既可以非法获取，也可以合法获取，因此非法利用行为的主体与非法提供行为的主体一致，同时包含有权与无权合法取得公民个人信息的自然人或单位，且二者其他构成要件亦相同，故应将非法利用行为合并归入《刑法》第253条之一第1款。合并之后的条款具体包含三方面的要素：(1)违反国家有关规定，侵犯公民个人信息罪作为典型的法定犯，构罪前提之一即必须违反相关前置法，根据《解释》第2条，此处的“国家有关规定”指的是法律、行政法规、部门规章中有关公民个人信息保护的规定，例如《民法总则》《网络安全法》等；(2)非法利用公民个人信息的行为，如前所述，“非法利用”一词本身难以准确界定，但其行为方式已逐步类型化，故应对具体类型予以明确，以符合罪刑法定原则的明确性要求，并厘清该罪的入罪边界，尤其是在大数据时代背景下，个人信息的自由流动与合理利用成为实现其巨大经济价值与社会价值的主要形式，更应寻求信息保护与利用之间的双向平衡[24]，仅将具有严重法益侵害性的非法利用行为纳入刑法规制范围，对具体类型的阐释，可以参照非法获取与非法提供行为，在司法解释中进行列举；(3)情节严重，并非一切非法利用公民个人信息的行为均足以构成本罪，“情节严重”这一要素从程度上将法益侵害性轻微的情形予以排除，《解释》第5条、第6条阐明了非法获取、非法提供行为中“情节严重”的标准，包括行为方式、涉案信息数量、违法所得、曾受处罚等，这些标准可以为非法利用行为入罪提供参考，但在具体规定时应充分考虑非法利用行为的特殊性。例如在大数据时代背景下，利用公民个人信息主要表现为通过对海量数据的分析处理与深度挖掘以实现某种目的，如前述利用他人照片制作“AI换脸”类淫秽视频，因而单纯的涉案信息数量无法完全反映非法利用行为的法益侵害性，还应综合考察制作完成情况、换脸仿真程度、淫秽视频数量、被害人数量、造成的实际损害等。

3.法定刑的设置

基于非法利用行为与非法获取、非法提供行为侵犯法益的一致性以及对罪刑均衡原则的考量，笔者认为，将非法利用行为合并归入《刑法》第253条之一第1款后，亦应适用该款所规定的法定刑。虽然部分学者主张非法利用行为的法益侵害性相较非法获取、非法提供行为而言更加直接、严重，因此应对其施以更严厉的刑罚，以突出对非法利用行为的重点打击[25]，但笔者认为，原条文本身即设有“三年以下有期徒刑或者拘役，并处或者单处罚金”与“三年以上七年以下有期徒刑，并处罚金”两档刑罚，区间幅度较大，非法利用行为与非法获取、非法提供行为之间法益侵害性的不同可以通过在区间内具体选择轻重有别的刑罚加以区分，无需对前者设置新的、更重的法定刑。另外，我国其他类似罪名亦是采取统一规定的方式，如《刑法》第172条“持有、使用假币罪”、第375条第3款“伪造、盗窃、买卖、非法提供、非法使用武装部队专用标志罪”均是为使用以及其他行为设置了同样的法定刑。

图1 源头治理到全程打击的模式转换

综上所述，笔者认为应将非法利用公民个人信息的行为纳入侵犯公民个人信息罪的规制范围，并将其规定在《刑法》第253条之一第1款，具体表述为，“违反国家有关规定，利用、出售或者向他人提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”至此，侵犯公民个人信息罪的行为规制模式完成从源头治理到全程打击的转向(图1)。

(三)罪数问题

在侵犯公民个人信息的犯罪进程中，非法利用他人信息的行为人除非法利用行为外，往往还会实施其他犯罪行为，因此，当采取全程打击模式将非法利用行为纳入刑法规制范围后，便会对该行为人的罪数产生影响。本文根据非法利用行为人实施具体行为的不同，分三种情况进行讨论。

1.非法利用行为与前端行为

行为人除非法利用他人信息外，还可能通过非法途径获取信息，或将自己掌握的公民个人信息非法提供给他人，但因非法利用、非法获取、非法提供均属于侵犯公民个人信息罪的行为类型，故行为人在非法利用他人信息之外还同时或单独实施非法获取与非法提供行为的，仅认定为侵犯公民个人信息罪一罪。同时，由于上述行为所侵害的法益具有同一性，且参照《解释》第11条第1款的规定(7)《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第11条第1款规定：“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。”，即使行为人同时实施非法利用行为与前端行为，公民个人信息的条数也不重复计算，但应在同一法定刑幅度内从重处罚。

2.非法利用行为与下游犯罪

如上文所述，行为人非法利用他人信息的行为方式多样，其中最主要的一类为利用他人信息实施犯罪，如前述利用他人照片制作“AI换脸”类淫秽视频的行为，即构成侮辱罪与制作淫秽物品牟利罪。按照现行侵犯公民个人信息罪的行为规制模式，非法利用他人照片的行为不构成犯罪，故对行为人仅认定为下游犯罪即可；但若采取全程打击模式，则行为人非法利用他人照片的行为同时触犯侵犯公民个人信息罪与下游犯罪，属于二者的想象竞合，应按照从一重罪的处罚原则进行定罪量刑。

3.非法利用行为与前端行为、下游犯罪

行为人在非法利用行为外还可能同时实施前端行为与下游犯罪，例如行为人非法获取他人照片后，再利用该照片制作“AI换脸”类淫秽视频，此时，行为人既实施了非法获取行为，又实施了非法利用行为，且非法利用行为同时也是制作淫秽视频的行为。对于这种情形，在源头治理模式下，非法利用行为本身不构成犯罪，而非法获取行为是制作淫秽视频行为的手段，二者具有牵连关系，因此应按照侵犯公民个人信息罪与侮辱罪、制作淫秽物品牟利罪的牵连犯进行认定，遵循从一重罚的处罚原则。当模式转换为全程打击后，应当分两步确定罪数：(1)前一行为为非法获取行为，而后一行为具有非法利用与制作淫秽视频两种行为属性，属于一行为同时触犯多个罪名，故应先按照从一重罪的原则进行属性与罪名的选择；(2)根据后一行为选定的属性确定罪数，若其为非法利用行为，则和前一行为同属于侵犯公民个人信息罪，按该罪定罪并在法定刑幅度内从重处罚，若其为制作淫秽视频行为，则和前一行为构成牵连犯，按照从一重的原则定罪处罚。

五、结语

大数据时代的来临，标志着“信息社会”这一概念终于名副其实[26]。在这一全新的社会模式中，个人信息的作用越来越显著，且其还在政治、经济、文化等各领域内不断开启新的价值形式，逐渐成为各国发展的重要资源。需要注意的是，人工智能、大数据、云计算等信息技术的进步虽然为社会带来巨大的收益，但同时其也具有伴生风险[27]，即侵犯公民个人信息的犯罪愈发严重且迅速蔓延，如何对其进行有效防治已然成为信息社会的重大命题。因此，不能将个人信息的内在价值与法律保护决然分离开来，而应对二者进行交融性评价，寻求价值实现与权益保障之间的双向平衡。例如，应允许并鼓励对个人信息的合法利用，以发掘其在信息社会中的巨大潜在价值，但同时应对非法利用行为进行严厉打击，尤其是借助前沿科技手段而异化出来的新型犯罪模式，如前文所述利用他人照片制作“AI换脸”类淫秽视频，通过对侵犯公民个人信息罪行为规制模式的转换，将其纳入刑法处罚范围。但徒法不足以自行，要达到理想的保护效果，除刑法以外，还需要民法、行政法等其他前置法的共同配合，通过“刑民衔接”“刑行衔接”来实现对公民个人信息的周全保护。