非法使用个人信息行为刑法规制论

刘宪权 宋子莹

一、问题的提出

近年来，全球化背景下科技革命与产业变革的浪潮，带来人类社会数字化转型的契机，我国高度重视数字化发展，明确提出数字中国战略。(1)《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》首次对数字化发展予以专篇论述，明确加快建设数字经济、数字社会、数字政府、营造良好数字生态，以数字化转型整体驱动生产方式、生活方式和治理方式变革，开启了我国数字化转型新篇章。随着网络逐渐成为经济发展的新动力，社会中个人信息的重要性也在不断显现。虽然我国对于个人信息的保护力度不断加大，但现实生活中侵犯个人信息的事件依旧层出不穷。2021年8月，国家网信办对手机应用程序进行检测，351款APP因违法收集个人信息被通报，25款因严重违法违规收集使用个人信息被下架。部分公司、机构甚至个人为谋取利益，随意获取并且超出授权范围使用个人信息，导致危害人民群众生命健康和财产安全的情况时有发生。例如，在“徐玉玉案”中，杜天禹通过植入木马等方式，非法侵入官方招生考试信息平台，窃取考生个人信息64万余条，并出售上述信息中的10万余条，获利1万余元。陈文辉等人使用所购买的10万余条信息实施电信诈骗，骗取他人钱款20余万元，并造成徐玉玉的死亡。(2)参见山东省高级人民法院(2017)鲁刑终281号刑事判决书。由此可见，相较于非法获取与非法提供个人信息行为，非法使用个人信息的行为不受信息数量的制约。作为涉个人信息犯罪链的末端行为，非法使用个人信息行为不仅是个人信息流转的结束；同时也是对他人财产权益和人身健康直接侵害的开始。

近期出台的《个人信息保护法》明文禁止非法收集、提供、使用个人信息等行为，但刑法却仅对非法获取与非法提供个人信息行为进行规制，而罔顾了社会危害性愈发凸显的非法使用个人信息行为。与此同时，全世界信息化时代的到来，使得信息的深度化使用成为掌控市场的不二法门。在对信息更深层次的挖掘中，违法获取、过度使用个人信息，利用个人信息侵扰生活安宁、危害公民生命健康和财产安全的事件就成为了不可避免的副作用。为防止个人信息彻底沦为经济市场中用于交换利益的廉价筹码，为更全面地保障公民对其个人信息所享有的权利，非法使用个人信息的行为是否应当纳入以及如何纳入刑法规制，业已成为《个人信息保护法》出台背景下亟须解决的重要问题。

二、非法使用个人信息行为刑法规制之阙如

为保障个人信息安全，依法惩治侵犯个人信息的行为，《刑法修正案(七)》首次针对侵害个人信息的问题，将非法获取公民个人信息及出售或非法提供公民个人信息的行为规定为犯罪。但随着大数据时代的到来，这些规定在司法实践中依然显得滞后与不足。《刑法修正案(九)》通过新增《刑法》第253条之一对上述规定作出修改，不仅取消了对于犯罪主体与个人信息范围的限制，还明确将部门规章纳入前置法范围，同时新增一档法定刑并删除单处罚金的规定，加强了大数据时代对个人信息的保护。但随着现代化进程的加快，侵害个人信息的方式层出不穷，愈加体现出我国刑法对于个人信息保护的缺失，在合法获取个人信息后非法使用行为的方面体现得尤为明显。

部分学者认为，非法使用个人信息的行为刑法没有必要进行单独规定，刑法中已有条文已经可以满足对该行为的规制。例如，合法获取个人信息后使用该信息进行诈骗的行为，可以直接按照诈骗罪进行处罚，不必再行增加非法使用个人信息的罪名。(3)李玉萍：《侵犯公民个人信息罪的实践与思考》，载《法律适用》2016年第9期。但笔者并不认同，非法使用公民个人信息行为的手段性质根据危害结果的不同区分为两类：其一是行为人为实施侵害行为而使用与侵害结果无关的第三人的个人信息，如利用他人身份信息注册账户用于洗钱；其二是行为人为实施侵害行为而使用被害人的个人信息，例如使用获取的银行账号与密码窃取其存款。第一种行为对应目的危害结果与间接性危害结果，即行为人原计划实现的危害结果与行为人对于信息主体造成的危害结果。第二种行为对应目的危害结果，非法使用行为属于手段行为被主行为吸收，最终对主行为加以规制。(4)刘仁文：《论非法使用公民个人信息行为的入罪》，载《法学论坛》2019年第6期。造成目的危害结果，并且满足刑法中已有条文规定的非法使用行为，属于上述学者所描述的情形。但问题在于，现行刑法条文均集中于对非法使用行为造成的目的危害结果的规制，并未将间接性危害结果纳入规制范围，造成了法益保护的缺失。间接性危害结果侵害的是个人信息安全法益，除专门保护个人信息安全的侵犯公民个人信息罪外，其他罪名并不涉及。可以看出，刑法分则中已有的罪名并不能保护信息主体的权益，非法使用个人信息行为确实存在单独规制的必要。

侵犯公民个人信息罪中规定了两种行为方式，分别为“出售或者提供”与“窃取或者以其他方法非法获取”。按照文义解释规则，“出售或提供公民个人信息”是指不应将自己掌握的公民个人信息提供给他人而予以提供的行为，强调了信息在不同主体之间的流动；“窃取与以其他方法非法获取”是指个人信息的从无到有，不应当获得而获得的行为。而“非法使用个人信息”则是指个人信息被用于其原本的使用途径和方法之外，重点在于行为人对信息的单方使用。可以看出，在语义解释层面，非法使用个人信息行为并不能被侵犯公民个人信息罪所规定的行为方式所包容。

非法获取个人信息后非法使用的行为，可以按照“非法获取”行为以侵犯公民个人信息罪论处。有学者认为打击非法获取行为、非法提供行为的目的是为了实现法益保护的前置化(5)参见王肃之：《侵犯公民个人信息罪行为体系的完善》，载《河北法学》2017年第7期。；还有学者将目前侵犯公民个人信息罪的立法方式命名为“外围规制”，意为作为核心的非法使用行为不受刑法规制，但与此有关的“外围”行为被广泛规定为犯罪，从而论证非法使用行为在涉个人信息犯罪链中居于首要地位(6)参见陈文昊：《侵犯公民个人信息罪中的“外围”立法与解释进路》，载《重庆邮电大学学报(社会科学版)》2018年第3期。。但笔者认为，非法获取行为、非法提供行为与非法使用行为都属于对个人信息的侵害方式，且根据行为性质而言，将非法获取个人信息后的非法使用行为认定为后续行为更为合适。一是司法实践中对于非法获取个人信息后非法使用的行为可按照“非法获取”行为以侵犯公民个人信息罪论处。这是因为非法获取个人信息的行为已经对公民个人信息安全造成侵害，后续非法使用个人信息的行为同样侵害了公民个人信息安全，因而后续行为无需在侵犯公民个人信息罪中重复评价，非法使用行为实质上属于非法获取个人信息行为的事后不可罚行为。类比于盗窃他人财物后处理赃物的行为，盗窃行为已经对公民财产权利造成侵害，所以只评价盗窃行为即可，不需要再单独评价后续销赃行为(7)参见刘宪权、何阳阳：《〈个人信息保护法〉视角下侵犯公民个人信息罪要件的调整》，载《华南师范大学学报(社会科学版)》2022年第1期。。二是结合两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)中对于“情节严重”(8)“情节严重”是指公民个人信息被他人使用后，给公民造成了经济上的重大损失或者严重影响到公民个人的正常生活等情况。的规定也可以看出，立法者同样认同将非法使用个人信息行为作为非法获取行为与非法提供行为的后续行为加以规制的做法。

但合法获取个人信息后非法使用的行为，侵犯公民个人信息罪却未能规制。因合法获取个人信息的行为并不包含在刑法侵犯公民个人信息罪的行为方式之中，也就意味着该行为已然绕过了侵犯公民个人信息罪所设置的“非法获取”这唯一的门槛，即便非法使用行为造成严重的人身侵害与财产侵害，也不存在以侵犯公民个人信息罪规制的可能(9)参见劳东燕：《个人信息法律保护体系的基本目标与归责机制》，载《政法论坛》2021年第6期。。而合法获取个人信息后非法使用行为规制的缺失，放纵了滥用行为的发生。例如某大学财务处在未经学生同意的情况下，非法利用学校合法掌握的大量学生身份证号、学生家庭地址等个人信息，给上万名学生集体办理某银行信用卡(10)参见《崇左幼专上千名学生莫名被开账户 农行致歉承认操作不规范》，载百度网2021年12月11日，https://baijiahao.baidu.com/s?id=1718840493209713487&wfr=spider&for=pc。。这种形式上合法获取个人信息后再行非法使用的行为，因为绕过了刑法设置的“唯一门槛”且未构成其他犯罪，导致后续非法使用行为虽然造成严重后果，但却无法被刑法规制。

更为严重的是，当后续非法使用行为没有合适罪名加以定罪时，法院倾向于选择相似罪名进行判决。以2018年篡改高考志愿案为例，(11)参见贺健恒、邓锡耀破坏计算机信息系统案，广西壮族自治区南宁市青秀区人民法院(2019)桂0103刑初188号刑事判决书。被告人贺某、邓某通过诱使考生填报“预报名系统”的方式非法获取考生用于登陆志愿填报系统的信息，并违背考生意愿，擅自填报与其有利益往来的A学院为考生志愿，导致共11名学生错误的被A学院录取。最终，法院以破坏计算机系统罪对贺某判处一年九个月有期徒刑、对邓某判处一年二个月有期徒刑。虽然最后法院对贺某、邓某以破坏计算机系统罪定罪处罚，但从案件具体事实来看，贺某、邓某虽然非法使用了考生的登录信息，但登陆方式从形式上来看符合网站登陆规则，其所实施的行为侵害对象并非是计算机系统本身，所造成的后果也未对计算机系统产生损害；且破坏计算机系统罪规定于第六章妨害社会管理秩序罪的第一节扰乱公共秩序罪下，其保护法益与本案中贺某、邓某所为篡改考生信息导致错误录取所侵害的个人法益并不相符。有学者在分析相似案件时同样表示疑惑，如果此案发生在纸质志愿填报的时代，该行为难道就不构成犯罪了？(12)参见陈文昊：《侵犯公民个人信息罪中的“外围”立法与解释进路》，载《重庆邮电大学学报(社会科学版)》2018年第3期。使用信息技术的不同成为了影响行为入罪与否的决定性因素，但行为本身的危害性却不予理会，这一点并不符合刑法评价的基本要求，将非法使用个人信息的行为不当纳入其他罪名，有突破罪刑法定原则的危险。对于上述案件，无论从损害后果还是从法益保护角度出发，都不应当以破坏计算机信息系统罪定罪处罚。那么，与其将非法使用行为不合理地认定为其他罪名，不如增加非法使用这一行为方式集中统一加以规制。可以看出，对于非法使用个人信息行为的规制我国刑法还存在缺失，并且已经对刑法的规制效果造成一定程度的限制。

三、非法使用个人信息行为刑法规制之必要

(一)非法使用个人信息行为具有严重的社会危害性

社会危害性的概念由贝卡利亚在其《论犯罪与刑罚》一书中首次提出，他认为“犯罪使社会遭受到的危害是衡量犯罪的真正标准”(13)[意]切萨雷·贝卡利亚：《论犯罪与刑罚》，黄风译，中国法制出版社2005年版，第21页。我国《刑法》第13条但书同样规定“情节显著轻微危害不大的行为，不认为是犯罪。”可见社会危害性同样也是我国刑法认定犯罪的特征之一。(14)参见李振林：《非法利用个人金融信息行为之刑法规制限度》，载《法学》2017年第2期。但由于社会危害性本身具有一定程度的模糊性，随着时代的变化与技术的发展，社会危害性的认定标准也会随之发生改变，所以对某一行为社会危害性的认定，应当结合当时的社会背景展开分析。

21世纪以来，由更为精深的网络、数字与生物技术所引发的社会变革，一般被称为第四次工业革命。大数据时代通过网络依附实现了福柯所描述的“全景机器”现代权利控制，(15)参见[法]米歇尔·福柯：《规训与惩罚：监狱的诞生》，刘北成、杨远婴译，生活·读书·新知三联书店2007年版，第243页。自由主义特色的权利根本无力对抗以规训为特征的现代权力。英国伦敦政治经济学院理查德·桑内特教授认为，如今网络平台获益的唯一方式就是挖掘个人信息，探索每一个用户的喜好偏向。但如此就意味着，我们的信息完全暴露在大众视野下，失去了匿名的自由。(16)参见《互联网时代》，载央视网2022年5月9日，http://jingji.cntv.cn/special/internetage/interview/index.shtml。随着现代化进程的不断推进，生活中所产生的信息都不能再保证属于自己，每一个行为都会被网络所记住并且不会被时间所磨损。

伴随着大数据技术的普遍应用，越来越多的人倾向于选择快速便捷的智能应用，依赖于信息交换所获得的便利，却忽视了自身信息所拥有的价值。在传统交易模式中，一方交付货物，一方支付价款即可完成商品购买，卖方即使对买方一无所知也不影响交易的完成，卖方与买方的交集只存在于这一次的交易中；而在现代化的交易模式中，以成为主要购买方式的网络零售为例，买方购买商品需要向平台和卖方，提供姓名、电话号码、家庭住址甚至于银行卡账号等较为重要的个人信息，而卖方与平台获取信息后并不会因交易的完成而删除所获取的信息，卖方通常选择将该信息作为推销渠道，发送产品推介短信；平台则会将该信息作为分析对象，依照该名用户的信息特点，推送“个性化”服务，互联网中信息的不可遗忘性已经无法避免的促成了个人信息的挖掘与利用。

社会发展与信息化持续深度融合的信息化社会的到来，昭示着信息已经成为了社会变革与产业转型升级最重要的资源，更深层次的信息挖掘意味着更深层次的数据掌握。这就意味着，不使用信息就放弃了对于数据的计算、失去了对市场的掌控。英国牛津大学互联网研究所教授维克托·迈尔认为：“‘大数据’时代中数据的真正价值，体现在所谓的‘二次使用’中。”(17)《互联网时代》，载央视网2022年5月9日，http://jingji.cntv.cn/special/internetage/interview/index.shtml。在全世界信息化浪潮的翻涌中，信息的深度使用成为了必然的结果，非法使用行为在侵犯个人信息犯罪的行为体系中占据重要地位，这些情况的出现迫使刑法不得不重新审视非法使用个人信息行为所具有的社会危害性。

一方面，相比于非法提供与非法获取个人信息行为，非法使用个人信息行为的侵害具有直接性。非法提供与非法获取行为的本质为信息的流动，信息从一方物质载体传输至另一方，信息掌握者数量的增加对数据管理系统产生侵害，但对特定信息主体本身并没有造成实质性侵害，例如个人姓名、电话号码与行踪信息的泄漏，如果只是不附加任何目的的出售或购买，其危险也只体现在信息管理安全方面。而电话推销、跟踪行程等非法使用行为的发生使得非法获取个人信息行为的侵害现实化、具体化。以非法使用手机号码进行电话推销为例，电话推销因为成本低廉，成为房产销售、金融保险等领域常用的营销方式，商家在获取用户手机号码等信息后，长时间高频的强行推送各类宣传广告，直接干扰了用户的正常安宁的工作与生活环境；又如近年来频发的电信诈骗案件，行为人章某某冒充教育系统工作人员，利用购买的新生信息，欺骗学生或学生家长转账获取补助金，直接导致当事人的财产损失，破坏了学校的正常教学秩序和教育系统声誉。(18)参见《侵犯公民个人信息犯罪典型案例》，载《检察日报》2017年5月17日，第2版。非法使用行为作为涉公民个人信息犯罪链的最后阶段，将对信息的危险彻底转变为对信息主体的危险。

另一方面，相较于非法提供与非法获取个人信息行为，非法使用个人信息的侵害具有精确性。全国人民代表大会常务委员会《关于加强网络信息保护的决定》(以下简称《决定》)第1条(19)《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”与其后两高与公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》)的规定，(20)《最高人民法院、最高人民检察院、公安部〈关于依法惩处侵害公民个人信息犯罪活动的通知〉》规定：“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”所体现的基本精神一致，都将“可识别性”作为个人信息的基本特征；我国《网络安全法》第76条第5项(21)《网络安全法》第76条第5项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”与《解释》第1条(22)《解释》第1条规定：“刑法第253条之一规定的‘公民个人信息’是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反应特定自然人活动情况各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号秘密、财产状况、行踪轨迹等。”规定又将个人信息“可识别性”的认定范围进一步扩大，包括“直接型可识别信息”及需结合识别的“间接型可识别信息”，但依旧保持了个人信息“可识别性”的基本认定要素；最新颁布的《个人信息保护法》是我国首部统一的针对个人信息的专门立法，其第4条第1款(23)《个人信息保护法》第4条第1款明确规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”着重强调了个人信息的指向性功能，确立了个人信息“可识别性”的显著特性，每条个人信息皆可溯源。正因如此，非法使用个人信息的行为能够与特定主体精准对接，从而导致非法使用行为造成的侵害也更具精确性。例如获取他人身份证号码与银行卡号码后，冒用他人名义办理信用卡贷款，致使他人逾期未还款而产生不良征信记录，给特定信息主体带来财产损失与司法纠纷。(24)参见张勇：《个人信用信息法益及刑法保护:以互联网征信为视角》，载《东方法学》2019年第1期。相较于非法提供或非法获取行为的信息海量迁移，非法使用行为更在意信息背后的特定主体。一旦犯罪分子将目光锁定于某一个体，更改其个人信息的原始用途及使用方法，信息背后的特定主体则必然遭受侵害。

根据上述特点，非法使用个人信息的行为对信息主体的侵害更为直接、精确，对信息主体的信誉、财产及正常生活各方面都可能造成严重的损害，其社会危害性并不低于非法提供与非法获取个人信息的行为。(25)参见陈小彪、李瑞华：《行为人——被害人二元刑法体系之建构及其展开——以个人信息刑法保护为例》，载《海峡法学》2019年第4期。随着信息化技术的普及，非法使用个人信息行为的社会危害性已经发生改变，应当以刑法对其进行规制。

(二)非法使用个人信息行为入罪有利于实现法秩序统一

1935年，德国法学家卡尔·恩吉施首先提出的“法秩序统一性”原理为理论界所广泛接受，其主张法秩序统一性要求排除法规范之间的矛盾，并保持其背后的法律目的的协调一致。(26)参见[德]卡尔·恩吉施：《法律思维导论》，郑永流译，法律出版社2004年版，第5页。目前，信息社会的多元化使得法律制度也不断前进，在不同的法领域衍生出与之相适应的维持秩序、解决纠纷之法。但就如法秩序统一性原理所强调的，法律条文的适用不单是在某一法域下的自我表现，更要满足整体法秩序背后法律目的的协调统一。行为的判断应当顺应全体法秩序而进行，法律体系之间应当相互协调、相互补充，如果内部相悖，则不仅对外无法规范行为，对内还会对法律结构本身造成伤害。

2021年颁布的《个人信息保护法》第10条(27)《个人信息保护法》第10条规定：“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。”承接《民法典》第111条(28)《民法典》第111条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”对于个人信息的保护。应当肯定的是，《民法典》和《个人信息保护法》作为侵犯公民个人信息罪的前置法，为刑法侵犯公民个人信息罪的完善提供路径。对比上述前置法与刑法中的规定可以看出，非法使用他人个人信息的行为已经明确被前置法规定为违法行为，但却尚未被纳入侵犯公民个人信息罪的行为方式之中。根据法秩序统一性原理，前置法不认为是违法的，刑法不认定为犯罪；前置法认定是违法的，刑法不一定认为是犯罪。诚然，前置法的规定不能必然推断出刑法可以对非法使用个人信息行为进行规制，还需要在刑法内部对于非法使用行为加以检验。

在现有的法律体系中，有关信息安全的前置性保护法律较为全面。在《个人信息保护法》出台前，以《国家安全法》为指引，《网络安全法》《数据安全法》陆续出台并实施。上述四部法律对国家秘密、网络安全与网络信息、数据安全、公民个人信息的保护构成了一个有机整体。《个人信息保护法》针对个人信息进行专门统一保护，以专章规定了个人信息处理规则，(29)《个人信息保护法》第4条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”在吸纳了《电子商务法》第18条和《个人信息安全规范》第7.5条关于定向推送和个性化展示的规定的基础上，新增了第24条对自动化决策的规定，一定程度上保障了个人信息主体的选择权、知情权和决定权，并针对公众热议的“大数据杀熟”问题进行回应。同时通过《个人信息保护法》第71条(30)《个人信息保护法》第71条规定：“违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。”规定可以看出，《个人信息保护法》对于非法使用个人信息进行自动化决策，甚至造成大数据杀熟的情况，规定了情节严重构成犯罪的，需要依法追究刑事责任，说明《个人信息保护法》已经发现对于社会危害性显著的非法使用个人信息行为进行刑法规制具有必要性。以具有代表性的《刑法》第219条侵犯商业秘密罪为例，从罪状表述上看，侵犯商业秘密罪将“使用”商业秘密作为独立的行为方式加以规制；从犯罪对象上看，商业秘密与公民个人信息同样都作为信息集合，具有一定程度的相似性。二者保护目的也较为相似，商业秘密的机密性主要保护公司技术信息或经营信息，保证公司的经济利益与竞争优势；个人信息的可识别性主要保护信息对应个人的人身指向性，保证信息主体的人身安全与财产安全。(31)参见刘仁文：《论非法使用公民个人信息行为的入罪》，载《法学论坛》2019年第6期。综上所述，“使用”商业秘密行为可以单独作为一种行为方式被刑法所规定，且相比于商业秘密，公民个人信息除了具有商业秘密也同样具有的经济性质之外，还具有对于个人更重要的人身属性。既然侵犯商业秘密罪中能够将非法使用商业秘密的行为加以规制，那么将非法使用个人信息的行为纳入刑法规制范围也就具有其内在合理性。

《个人信息保护法》确实存在不需要动用刑法，仅行政处罚即可以满足的情形，但同时也存在另一部分确实有必要入刑的情形，除了部分非法获取与非法提供的行为可以认定为侵犯公民个人信息罪外，其他同样具有严重社会危害性的非法处理行为在刑法中很难找到相应的规制措施，特别是前文所述的对信息主体侵害更加直接精确的非法使用行为。(32)《个人信息保护法：为数字社会治理与数字经济发展构建基本法》，载中华人民共和国国家互联网信息办公室网2021年8月25日，http://www.cac.gov.cn/2021-08/25/c_1631491548474109.htm。个人信息保护的行刑衔接脱节会导致无法充分保护公民个人信息情况的发生，并且非法使用行为严重危及个人信息安全，已经成为刑法打击侵犯公民个人信息行为时欠缺的重要内容，若不及时修改会导致法律法规无法发挥其应当具有的实际效果。

跟随着经济全球化的脚步，法律全球化也在逐渐形成，如今互联网的产生搭建了足不出户却能遍及全球的信息高速。在数字化浪潮的推动下，国家之间的贸易合作更加需要以个人信息的有效保护作为前提，特别是在如今中国逐步加深国际竞争影响力的背景下，国家与个人的信息安全所遭受的危险程度也在不断提升，亟须构建一个适应现代信息发展的个人信息保护国际化规则。法律规则作为一个国家国际话语权的重要载体，在法律全球化的时代，建立一个与国际接轨并能够全面保护我国信息安全的规则至关重要。

虽然不同的国家和地区对于个人信息保护的立法可能因语言差异、规制方法等原因导致在文字表述、使用范围等方面存在不同，但对于将非法使用个人信息行为作为独立行为入罪已经达成共识。1973年美国率先确立了处理个人信息的五项原则(33)五项原则：(1)禁止所有秘密的个人信息档案保存系统；(2)确保个人了解其被收集的档案信息是什么，以及信息如何被使用；(3)确保个人能够阻止未经同意而将其信息用于个人授权使用之外的目的，或者将其信息提供给他人，用作个人授权之外的目的；(4)确保个人能够改正或修改关于个人可识别信息的档案；(5)确保任何组织在计划使用信息档案中的个人信息都必须是可靠的，并且必须采取预防措施防止滥用。参见《个人信息保护法的深远意义：中国与世界》，载中华人民共和国国家互联网信息办公室网站2021年8月25日,http://www.cac.gov.cn/2021-08/25/c_1631491542896651.htm。，在个人信息保护制度建立之初，就已经将授权使用个人信息作为处理个人信息的基本原则。于联邦一级立法《身份盗取和冒用阻止法案》中规定，未经授权非法使用他人身份信息构成联邦犯罪；于州一级立法中佛罗里达州规定“个人可识别信息的犯罪性使用”；(34)[美]亨利·庞特、彭新林、高晴：《身份盗窃:有限理性、研究与对策》，载《刑法论丛》2018年第4期。韩国《个人信息保护法案》第71条规定，非法使用或非法提供个人信息的处五年以下有期徒刑；(35)康贞花：《韩国〈个人信息保护法〉的主要特色及对中国的立法启示》，载《延边大学学报(社会科学版)》2012年第4期。日本《个人信息保护法案》第82条对个人信息保护委员会成员泄露或使用个人信息入刑；(36)刘颖：《日本个人信息保护法》，载《北外法学》2021年第2期。我国台湾地区“个人资料保护法”第42条规定违法利用个人资料造成他人损害的构成犯罪。

上述内容对大部分国家和地区针对非法使用个人信息行为规制问题达成的共识进行介绍，但这并不意味着我国应当为了迎合法律全球化的现实，无条件适用其他国家所认同的个人信息法律规定方法。恰恰相反，将非法使用个人信息行为入罪并不是为了追随世界潮流。事实上，这正是我国法律体系对自身考量后自我完善、自我发展的必然结果。国际上对于非法使用个人信息行为普遍入刑的规定，正是从侧面反映出非法使用个人信息行为应当以刑法规制，我国对侵犯公民个人信息罪的反思，及时回应了国家、社会、个人对个人信息保护的关切，关于非法使用个人信息行为入刑的思考正当其时。

四、非法使用个人信息行为刑法规制之路径

目前，对于非法使用个人信息行为的刑法规制路径主要有两种观点:第一种观点认为，应当在我国《刑法》第253条之一第3款中增设非法使用个人信息行为，将之与非法获取个人信息行为并列(37)赵秉志：《公民个人信息刑法保护问题研究》，载《华东政法大学学报》2014年第1期。；第二种观点认为，应当新增“非法使用个人信息罪”作为《刑法》第253条之二，表述为：“有义务为他人保密之人，未经授权而利用在履行职责或提供服务过程中获悉的他人个人信息的，处二年以下有期徒刑或者拘役，并处或者单处罚金。”(38)吴苌弘：《个人信息的刑法保护研究》，上海社会科学院出版社2014年版，第130-137页。

在笔者看来，上述第一种规制路径存在欠缺，非法获取行为及非法使用行为在犯罪主体方面存在不一致的问题。非法获取个人信息的行为人客观上无权合法获取该个人信息，如果本身拥有合法合规获取个人信息的资格，也就不存在非法获取个人信息的情况。(39)刘宪权、王哲：《侵犯公民个人信息罪刑法适用的调整和重构》，载《安徽大学学报(哲学社会科学版)》2022年第1期。但非法使用个人信息行为的犯罪主体不存在限制性要求，对于应增设的非法使用行为，其行为主体为有权合法获取个人信息的行为人。所以，应排除第一种规制路径的适用。第二种规制路径同样存在缺陷。一方面，从立法表达的合理性来看，刑法作为最严厉的惩罚手段，其立法语言也应当是语言文字中最为严谨的。非法使用、非法获取与非法提供个人信息之间虽然相互独立，但都属于侵犯个人信息的行为方式。《个人信息保护法》第4条第2款中将个人信息的收集、使用、提供、公开等并列规定，更加说明非法获取、提供、使用行为本身不存在位阶关系。非法使用行为与非法提供、非法获取行为分列另以条文规定会因立法语言的不规范，从而导致条文规定的失衡。另一方面，考虑立法经济因素，刑事立法不仅要实现立法目的，还要对立法成本有所考虑，新增非必要性的罪名不但会导致刑法的累赘与重复，还会不必要地增加立法成本，累及社会资源。所以，应当排除此种规制路径的适用。笔者认为，最合适的规制路径是通过类比非法提供个人信息行为，调整《刑法》第253条之一第1、2款的规定。

从行为性质的角度来看，非法使用行为作为后续行为应当与非法提供行为并列规定。我国刑法中将“使用”作为行为方式的代表性罪名为《刑法》第219条侵犯商业秘密罪。从形式上看，侵犯公民个人信息罪与侵犯商业秘密罪都属于“犯罪行为+犯罪对象”的同一语句构成模式，这种罪名构成意味着其罪名内容及行为模式具有某种相似性。并且侵犯公民个人信息罪同侵犯商业秘密罪一样均为叙明罪状，详细地罗列多种犯罪行为方式并对其加以描述。对于行为方式的位置排列，侵犯商业秘密罪的立法逻辑同样具有借鉴价值。侵犯商业秘密罪分置两款列举了四种行为方式，第1款第1项和第2项根据侵犯商业秘密的行为性质进行区分，可以划分为不正当获取行为与同一主体的披露、使用或允许他人使用的行为；第3项以行为主体和获取途径的不同作为区分标准，规制合法持有他人商业秘密者违反约定披露、使用或允许他人使用商业秘密的行为；第2款规定的是恶意第三人的获取、披露、使用或允许他人使用商业秘密的行为。其中，第1款第1项与第2项行为方式的划分，与本文所探讨的非法使用个人信息行为的刑法规制路径选择密切相关。第1项不正当获取商业秘密的行为本身就可能会使商业秘密丧失竞争优势，故《刑法》第219条将不正当获取行为独立规定；而第2项中披露行为、使用行为及允许他人使用行为合并规定并未分列，说明立法并不是单纯按照行为性质的不同加以规定。又因披露、使用及允许他人使用的行为皆基于非法获取行为之上，属于不正当获取行为的自然延伸，所以该项遵循着获取行为与后续行为分列的规则，将后续行为于同一项中加以规定。且在第3项合法持有他人商业秘密的情况下同样适用。而刑事立法的法言叙述必然遵循着一定的逻辑顺序，相似罪名之间的行为方式排列由一定的逻辑顺序所引导，所以对应于侵犯公民个人信息罪，非法使用个人信息行为与非法提供行为性质相同，同样属于非法获取行为的后续延伸行为，应当将非法使用行为与非法提供行为并列规定，保证刑法内在法秩序的统一。

从获取途径的角度考虑，非法使用行为与非法提供行为均针对合法获取个人信息行为。侵犯公民个人信息罪第1、2款规制有权主体非法提供个人信息的行为及其从重情节，第3款则规制无权主体非法获取个人信息的行为。鉴于侵犯公民个人信息罪对非法获取行为单独进行规制，所以第1款中规定的提供与出售应理解为合法获取后的非法提供行为，其非法主要体现为提供行为的非法。合法获取是指行为人出售或者提供给他人的信息是有权主体通过合法渠道获得的个人信息，合法渠道包括但并不限于履行职责或者提供服务时实施的获取行为。本文所讨论的应当增设的非法使用行为，针对的即为合法获取个人信息的情形。作为非法提供行为与非法使用行为前提条件的前行为重合，皆为合法获取个人信息行为，所以将合法获取个人信息后非法使用的行为归入第1款的规定并无不妥。还需注意的是，非法使用个人信息行为中“个人信息”的范围广于侵犯公民个人信息罪中的“个人信息”。个人信息包括非法获取与合法获取的个人信息，而合法获取的个人信息又包含依法未公开的个人信息与依法公开的个人信息。依法公开的公民个人信息，意味着任何人都有可能或有权利获取，此时的获取或提供不会违反国家规定，相关行为也就不可能具有非法性，所以侵犯公民个人信息罪中的“个人信息”不包括依法公开的个人信息。(40)刘宪权、房慧颖：《侵犯公民个人信息罪定罪量刑标准再析》，载《华东政法大学学报》2017年第6期。但非法使用行为却无需将合法获取依法公开的个人信息排除在外，非法使用行为的危害性不在于信息来源，其处罚理由在于信息使用方式的非法性，使用人超出授权范围处理已公开的个人信息，依旧属于非法使用的行为。所以适用时应注意区分，非法出售或提供个人信息行为对应的个人信息中不包括已公开信息。第2款中立法者对于在履行职责或者提供服务中获得个人信息后实施非法提供个人信息行为持更为严厉的打击态度，主要原因在于该款行为主体本就应当遵守职业道德，履行个人信息保密义务。所以对于利用职权便利侵犯个人信息的行为应从重处罚以严厉职业规制。该理论同样适用于非法使用个人信息的行为，所以在第2款中增加非法使用行为并不存在问题。这种调整方式顺应条文原有逻辑，能够将刑法条文的变动控制在较小范围内，在兼顾立法语言规范的同时兼顾立法成本，有利于刑法的稳定性。

综上所述，笔者认为，应当调整《刑法》第253条之一第1、2款之规定，将非法使用个人信息行为与“向他人出售或者提供公民个人信息”行为在条文中并列予以规定。同时，同样适用第2款从重处罚的规定。(41)《刑法》第253条之一第1、2款的规定可调整为：“违反国家有关规定，非法使用、向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售、提供给他人或者非法使用的，依照前款的规定从重处罚。”