黄陈辰
(中国政法大学 刑事司法学院,北京 100088)
随着人工智能、云计算等技术的进步,个人信息逐渐成为经济建设与社会发展中不可或缺的重要资源。大数据时代,信息的价值往往体现在具有一定规模的流通与利用上,以打通“数据孤岛”,实现开放共享。[1]196但并非一切主体均有权合法掌握大量个人信息,因此某些不具备相关资格的行为人即采取非法利用等手段,未经权利人许可,擅自使用他人信息从事金融、科研等工作,甚至实施违法犯罪行为。例如,2020年4月,西北工业大学明德学院多名尚未就业的学生在使用“个人所得税”app时发现,自己莫名成为某些公司的员工甚至有从该公司获得工资收入的记录,但其本人对此毫不知情。经查,该校大一到大四年级共有614名学生纳税记录异常,涉及83家企业,这些企业盗用学生信息,通过伪造员工身份、虚发工资等手段进行虚假纳税申报,以达到减少纳税数额的目的。[2]
虽然我国有关个人信息保护的法律规范不断完善,尤其是在2021年8月20日第十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)之后,公民个人信息的法律保护进入一个全新的阶段。但当前民事、行政规范的保护措施具有相当的原则性且缺乏具体适用性,无法有效遏制非法利用公民个人信息的行为,因此需在刑事领域寻求更高强度的解决方案。然而我国刑法中并未设置“非法利用公民个人信息罪”,第二百五十三条之一“侵犯公民个人信息罪”也仅处罚非法获取、非法提供他人信息的行为,2020年12月26日出台的《刑法修正案(十一)》第三十二条虽将冒名顶替行为纳入刑法规制范围,但其适用仅限于“盗用、冒用他人身份,顶替他人取得的高等学历教育入学资格、公务员录用资格、就业安置待遇”的情形。因此已有法律对非法利用公民个人信息行为的打击较为薄弱,刑法规制仍然缺位,无法适应非法利用行为愈演愈烈的社会现实。本文试图在分析我国非法利用公民个人信息行为刑法应对现状的基础上,结合其所存在的弊端与困境,提出未来可能的规制进路,以实现对该类行为的周全评价,同时在个人信息流通、利用与刑法保护之间寻求双向平衡。
我国立法确认与强化了“知情同意规则”在个人信息保护中的核心地位。例如《个人信息保护法》《民法典》《网络安全法》《信息安全技术个人信息安全规范》等法律法规明确规定收集、使用个人信息原则上必须征得信息权利人的同意。虽由于实际操作流于形式、过分阻碍数据信息自由流通等原因,近年来“知情同意规则”受到部分学者的质疑与批判,但其目前仍然是信息收集和处理的合法性基础以及判断行为是否侵犯信息主体权利的主要标准,在理论与实践中被广泛适用。[3]非法利用中的“非法”指的是违反国家有关规定,即上述关于个人信息保护的法律规范,其中最主要的内容即“知情同意规则”。因此本文所称非法利用行为是指违反“知情同意规则”的信息使用行为,意即未经信息权利人许可,擅自使用他人信息从事金融、科研甚至违法犯罪等活动的行为,前述盗用学生信息、虚构员工身份,通过增加工资支出以减少应纳税款数额的案例即为典型适例。
需要注意的是,非法利用行为不同于冒用行为。冒用最主要的特征在于冒名顶替,即行为人以信息权利人的身份从事活动,在需要提供身份证明的场合以信息权利人自居。冒用包括与权利人协商一致、未经权利人许可两种,前者属于共谋的身份冒用,后者又称身份盗窃,指的是某人获得属于他人的数据或信息,然后冒充受害人的行为。[4]非法利用与冒用的不同之处在于前者必然未获得权利人同意,而后者则存在共谋的情形,二者属于交叉关系,在身份盗窃范围内重合。本文探讨的行为类型仅限于非法利用公民个人信息的行为,不包括共谋的冒用行为。从《刑法修正案(十一)》第三十二条的表述来看,其重点在于顶替他人取得相关资格或待遇,属于冒用行为,因此其规定仅适用于利用他人身份信息进行冒名顶替的情形,无法完全解决非法利用行为刑法规制缺位的问题。
情形1:2008年,西安电子科技大学财务处在未征得学生同意的情况下,擅自使用其所掌握的该校学生身份信息,为一万多名学生办理了“中国工商银行牡丹运动圆梦学生卡”。该事件曝光后,学校公开致歉并将上述信用卡注销。[5]
情形2:上文所述某公司盗用西北工业大学明德学院600余名在校学生的信息用于伪造员工身份并进行虚假纳税申报。此类行为并非个案,2020年由于使用“个人所得税”app而曝光的盗用学生信息充当员工进而抵扣应纳税额的案例就有数起,涉及多个学校的数千名学生,除西北工业大学外还包括成都医学院、河南财经政法大学、西南民族大学等。[6]
情形3:2018年8月,美国色情网站Naughty America利用深度伪造技术,推出一项色情视频换脸服务,只要用户提供足够数量的他人或自己的视频、照片,即可以通过技术处理,将其替换成原色情视频中的主角。[7]2019年9月,在我国风靡一时的人工智能换脸app“ZAO”也因存在此类风险而被工业与信息化部约谈,最终被下架。[8]
情形4:2020年2月,“电话邦”公司联合中国可信号码数据中心发布了《2019年度骚扰电话形势分析报告》。《报告》显示,2019年用户标记“推销”、“骚扰电话”、“诈骗电话”7.8亿余次,约占总标记数的65%。[9]
情形5:2020年6月曝光的“山东苟晶高考被顶替案”显示,1997年苟晶高考后放弃填报志愿,其班主任邱印林在苟晶不知情的情况下,帮助其女儿邱小慧冒用苟晶个人信息与高考成绩填报志愿,最终邱小慧以苟晶之名被北京煤炭工业学校录取。[10]
如上文所述,非法利用公民个人信息行为指的是违反知情同意规则,未经信息权利人许可,擅自使用他人信息从事金融、科研甚至违法犯罪等活动的行为。当前我国刑法中并未设置专门针对非法利用公民个人信息行为的罪名,且其他与个人信息相关的犯罪亦因行为方式、犯罪对象等要素不匹配而无法适用。例如《刑法》第二百五十三条之一“侵犯公民个人信息罪”仅规制非法获取、非法提供他人信息的行为,非法利用不属于该罪的行为方式,因此出现防范漏洞;[11]又如《刑法》第二百八十条之一“盗用身份证件罪”的犯罪对象为居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明公民身份的证件,其内容虽为身份信息,但本质上仅属于物质载体而非信息本身,且盗用该证件的行为所侵犯的法益是国家对身份证件的管理秩序;[12]1042再如《刑法修正案(十一)》第三十二条仅适用于“盗用、冒用他人身份,顶替他人取得的高等学历教育入学资格、公务员录用资格、就业安置待遇”的特殊情形。因此,对于实践中普遍存在且占绝大多数的一般非法利用行为而言,仍无适当罪名适用,刑法直接规制依然缺位。
但需要注意的是,规制缺失并不意味着对非法利用公民个人信息行为的放任。由于其往往伴随着其他犯罪,我国刑法通常以打击相关犯罪的方式遏制该行为的实施并实现对行为人的处罚。[13](1)处罚上游犯罪,某些行为人无权合法掌握公民个人信息,因此其只能通过非法手段获取他人信息,有的甚至伪造、变造身份证件,其行为构成侵犯公民个人信息罪或伪造、变造身份证件罪;(2)处罚中游犯罪,在需要提供身份证明的场合,行为人往往通过使用伪造、变造的身份证件或盗用身份证件的方式非法利用他人信息,其行为构成使用虚假身份证件罪、盗用身份证件罪;(3)处罚下游犯罪,某些行为人非法利用他人信息是为了实施逃税、诈骗等其他犯罪,例如情形2中的涉事企业通过非法利用学生信息、虚构员工身份的方式减少应缴纳税款,其行为构成逃税罪。由此可以发现,我国刑法并未直接、主动地规制非法利用公民个人信息行为,而是在处罚其他关联犯罪的同时,“顺带”实现遏制该类行为的附属效果,形成一种被动性附随打击的刑法应对进路。
“被动性附随打击”是指,针对某一尚未被纳入刑法规制范围但具有严重法益侵害性的行为,刑法通过处罚其他关联犯罪,实现对该行为的附随打击与遏制。这种打击模式作为刑法应对社会生活的特殊进路,在我国刑法典中始终存在。例如随着校园贷、套路贷、裸贷等非法网络借贷方式的出现,许多年轻学生误入网贷陷阱,而这些放贷公司为确保贷款能够收回,通常会雇佣一批专职人员采用侵入住宅等方式进行催债。如果情节较轻,催债行为不构成《刑法》第二百四十五条规定的非法侵入住宅罪等现有犯罪,因此无法将其纳入刑法处罚范围。[14]但这些放贷公司及专职催债人员的所谓“非暴力”催债方式往往关联其他犯罪,如组织、领导、参加黑社会性质组织罪、高利转贷罪、诈骗罪等,因此刑法通过对这些罪名的惩处实现打击“非暴力”催债行为的目的。①《刑法修正案(十一)》第三十四条已将其规定为犯罪,实现了“被动性附随打击”向刑法独立规制的转化,而这也正是非法利用公民个人信息行为刑法应对的完善方向。
“被动性附随打击”进路在未进行刑法修改时具有积极意义,其能够及时填补法律空白,有效衔接刑法规范与不断发展变化的社会现实,在维护罪刑法定原则的同时实现对具有法益侵害性行为的打击。但此种进路亦存在其固有缺陷:
1.在刑法上未独立评价非法利用公民个人信息行为
“被动性附随打击”进路虽在一定程度上对非法利用行为进行打击与遏制,但其本质上并未评价该行为,《刑法》中亦没有与之对应的条文与罪名。此种进路仅处罚该行为外围的伴随犯罪,其所追求与实现的也只是规制伴随犯罪而“顺带”产生的附属效果,对非法利用信息行为本身并未进行刑法意义上的负面评价。从规范层面而言,该行为仍然不构成犯罪,只是在打击其他犯罪的同时将负面效果波及到该行为之上。例如情形4中,部分拨打骚扰电话的行为人是通过窃取、收购等非法手段获取的他人信息,其窃取、收购等行为符合《刑法》第二百五十三条之一“侵犯公民个人信息罪”中非法获取这一要件,因此在满足其他条件的情况下,行为人构成侵犯公民个人信息罪。但需要注意的是,在这一事例中行为人共实施了两种行为,即非法获取他人信息与利用该信息拨打骚扰电话,但侵犯公民个人信息罪仅对应了前者,而后者却无法被涵盖于该罪的规制范围,由此造成了刑法评价上的“真空地带”。[15]另外,在我国与个人信息保护相关的民事、行政法律规范中,非法利用他人信息的行为均被作为侵犯公民个人信息权的行为之一种,与非法获取、非法提供等行为并列。例如《民法典》第一千〇三十五条与《个人信息保护法》第四条规定,“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等;”《网络安全法》第四十一条规定,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。由此可见,“被动性附随打击”进路不仅造成刑事规制上的真空,同时也导致刑法规范与民事、行政法律在个人信息保护方面的不协调,使得三者无法有效且合理的相互衔接,更无法为公民个人信息提供周全保护。[16]
2.不存在伴随犯罪时,无法实现遏制非法利用行为及惩处行为人的目的
“被动性附随打击”进路要想发挥功效,很大程度上取决于是否存在伴随犯罪,只有出现伴随犯罪并对其进行规制,才能取得附随打击的效果。但非法利用公民个人信息行为并不必然伴随着其他犯罪,且其与位于侵犯公民个人信息犯罪链条前端的非法获取、非法提供行为间不存在绝对的条件关系,因此实践中亦存在非法利用合法获取的公民个人信息实施合法行为或一般违法行为的情形。此时“被动性附随打击”进路丧失发挥效用的根基,这是其自身所内嵌的固有缺陷。例如情形1中,西安电子科技大学财务处虽未经学生同意擅自利用其个人信息为其办理信用卡,但由于该信息本身即由学校合法掌握,且在办卡过程中不存在伪造或盗用身份证件的行为,办理信用卡亦属于正常的金融活动,因此没有相关联的伴随犯罪,无法通过规制其他犯罪来遏制非法利用行为或惩处行为人。另外,单纯从侵犯公民个人信息犯罪链条来看,“被动性附随打击”进路体现为现行刑法中的“源头治理”模式,其强调通过打击位于前端的非法获取、非法提供行为以消除非法利用行为赖以实施的原料,从而在源头处截断犯罪进程。但其忽略了后者在整个犯罪生态中的原动力地位,非法获取、非法提供他人信息行为的最终目的为对该信息的非法利用,需求侧的打击才具有釜底抽薪的最佳效果。因此即使存在位于犯罪链条前端的伴随犯罪,“被动性附随打击”进路的成效亦会因为忽略了作为犯罪基础动因的非法利用行为而大打折扣。[17]
3.部分情况下导致罪刑失衡
由于非法利用公民个人信息行为是非法获取、非法提供行为的基础动因,是使用伪造、变造的身份证件或盗用身份证件行为的最终目的,同时亦是诈骗、逃税等犯罪的实施手段,因此其发挥着串联上、中、下游犯罪的作用,在整个侵犯公民个人信息犯罪生态中处于核心位置。但“被动性附随打击”进路未对其进行直接规制,仅处罚伴随犯罪,因此在某些情况下会导致罪刑失衡。例如甲将其合法掌握的五千条个人信息非法出售给乙,乙未使用该信息进行其他活动,丙非法利用自身合法掌握的十万条个人信息拨打骚扰电话进行广告推销,此时甲、乙的行为分别属于非法提供与非法获取,因此均构成侵犯公民个人信息罪,最高可判处七年有期徒刑,而丙则无罪。在上例中,甲、乙的非法获取与非法提供行为仅导致他人信息在不同主体之间非法流转,并未造成实体损害,因此其仅对法益产生抽象危险。而丙的非法利用行为未获得信息主体许可,其拨打骚扰电话严重损害了权利人的生活安宁,将前述危险具体化、实害化,因此其对法益的侵害更加直接与严重。但从结果来看,甲、乙均构成侵犯公民个人信息罪,丙却反而无罪,造成严重的罪刑失衡。
由于现行“被动性附随打击”进路存有上述内在缺陷,无法对非法利用公民个人信息行为作出合理的刑法回应,因此需进行必要的路线纠偏与模式调整。将“非法利用”作为独立的侵犯公民个人信息犯罪的行为类型,与非法获取、非法提供行为并列,直接规定于刑法典当中,使得刑法在应对非法利用公民个人信息行为时能够主动加以规则,而无需依赖于对其他关联犯罪的处罚,意即本文所谓“主动性独立规制”进路。
除弥补“被动性附随打击”进路存有的内在缺陷外,对非法利用公民个人信息行为进行主动性独立规制还基于以下理由。
1.为法官提供明确的裁判依据
由于刑法中没有与非法利用公民个人信息行为相对应的法条与罪名,因此在实务中,若不存在其他关联犯罪而该案又具有较大的社会影响,法官们往往会转而在刑法中寻求相似罪名进行判决,导致法律适用上的不当。例如在魏某甲破坏计算机信息系统案中,魏某甲为泄私愤,利用其所掌握的魏某乙的考号及密码,登陆山西省招生考试网,擅自将魏某乙填报的大学志愿信息中“专业是否服从调剂”选项由“是”更改为“否”,致使魏某乙未被山西某大学护理学专业录取,而被该校其他专业录取,最终法院认定魏某甲的行为构成破坏计算机信息系统罪。①参见(2016)晋0581刑初字290号刑事判决书。但需要注意的是,破坏计算机信息系统罪位于《刑法》第六章“妨害社会管理秩序罪”中,其所侵害的法益为社会管理秩序,即由社会生活所必须遵守的行为准则与国家管理活动所调整的社会模式、结构体系和社会关系的有序性、稳定性和连续性。[12]1030而本案中魏某甲仅获知魏某乙一人的考号及密码,事实上也仅修改了后者的高考志愿,这种针对特定主体的志愿修改行为并未对作为公共法益的社会管理秩序产生威胁,因此无法被涵盖入破坏计算机信息系统罪的规制范围。另外,将导致他人没有被理想专业录取认定为《刑法》第二百八十六条第二款中的“严重后果”,也与最高人民法院、最高人民检察院针对该罪所做的司法解释相悖,因此不应以破坏计算机信息系统罪对魏某甲进行定罪处罚。魏某甲擅自利用他人考号、密码修改他人志愿的行为属于典型的非法利用公民个人信息行为,若刑法将“非法利用”直接规制为一种独立的行为类型,则再出现类似案件时,法官即有了明确的裁判依据,直接按照相关条文进行判决,而无需违反罪刑法定原则去适用相似罪名。
2.有利于法秩序的统一
“所谓法秩序的统一性,是指由宪法、刑法、民法等多个法领域构成的法秩序之间互不矛盾,更为准确地说,在这些个别的法领域之间不应作出相互矛盾、冲突的解释。”[18]如前所述,在有关公民个人信息保护的民事、行政法律规范,如《民法典》《网络安全法》《个人信息保护法》中,非法利用行为均被作为一种独立的行为类型加以规定,与未经信息权利人许可的获取、提供等行为并列。由此可知,在民事、行政法律领域内,非法利用行为具有独立违法性。虽作为主流学说的缓和的违法一元论主张“可罚的违法性”概念,认为刑法中的违法具有独特性,需要具备特定“量”的要素,而并不完全依附于民法或行政法上的判断。[19]但作为侵犯公民个人信息犯罪链条的基础动因与最终目的,非法利用行为具有极其严重甚至比非法获取、非法提供行为更加直接与具体的法益侵害性,[20]举轻以明重,其应被纳入刑法规制范围,作为一种独立的犯罪行为类型。这样不仅体现了刑法对非法利用行为的负面评价,而且保证了刑法与民法、行政法的合理衔接,当非法利用行为达到一定的严重程度时,即跨越前置法的范畴,而能够在刑法中找到相对应适用的条文与罪名,有利于法秩序的统一。
3.域外立法的经验借鉴
从世界范围来看,其他国家或地区已有将非法利用公民个人信息行为规定为一类独立犯罪行为类型的立法尝试,为我国采取“主动性独立规制”进路提供参考与经验借鉴。例如,《德国刑法典》第 204条规定使用他人秘密罪,“无故使用他人秘密,特别系经营或业务秘密······处两年以下有期徒刑或罚金”;[21]353《葡萄牙刑法典》规定“不当利用秘密罪”,最高可处一年监禁;[22]92美国《防止身份盗窃及假冒法》(Identity Theft and Assumption Deterrence Act)规定,任何人在无合法授权的情况下故意转让或者使用他人的个人信息,构成犯罪,最高可处15年监禁刑和25万美元罚金;[23]177欧盟《一般数据保护条例》(General Data Protection Regulation)第6条规定了信息处理的合法性原则,而第4条又对“处理”的概念进行明确,其包含检索、咨询、使用或以其他方式利用。[24]55-59同时,随着各国在政治、经济、文化等领域的合作日益增多,公民个人信息的跨境交互与全球化趋势亦不断增强,随之而来的即是侵犯公民个人信息跨国犯罪的愈演愈烈。在其他国家或地区将非法利用公民个人信息行为纳入刑法规制范围并规定为一类独立犯罪行为类型的背景下,我国只有采取“主动性独立规制”进路才有利于各国间打击相关犯罪的国际司法合作。[25]
1.将非法利用行为纳入侵犯公民个人信息罪
针对刑法直接规制非法利用公民个人信息行为的问题,众多学者给出了不同的方案:(1)有学者认为可以对侵犯公民个人信息罪中“非法获取”的“非法”二字进行含义扩张,将其解释为“以非法利用为目的”,以此通过刑法解释在不进行修法的情况下将非法利用公民个人信息行为纳入刑法规制范畴;[26](2)另有学者主张,非法利用他人信息擅自办理信用卡等行为,形式上看似属于对他人信息的使用,实则是未经权利人许可的非法提供,即将他人信息提供给银行等金融机构以办理相关业务,因此可以直接适用侵犯公民个人信息罪加以规制;(3)亦有学者认为,考虑到非法利用公民个人信息行为类型的多样性与复杂性,可以直接将具有严重社会危害性的非法利用行为规定为新的犯罪[27],例如“盗用身份信息罪”、“非法利用公民个人信息罪”等。
笔者认为,观点(1)与观点(2)均能在一定程度上填补非法利用行为的刑法规制漏洞,但前者会将以非法利用为目的,合法获取他人信息后未实施后续行为的情形认定为侵犯公民个人信息罪,导致犯罪圈的不当扩大,后者无法适用于无需将他人信息提供给第三方的非法利用行为,且二者均没有进行单独规制,仍存有“被动性附随打击”进路的部分弊端,因此均不可取。观点(3)从立法论的角度提出增设新的罪名,但由于非法获取、非法提供、非法利用三者侵害的法益相同,且侵犯公民个人信息罪一直是对侵犯公民个人信息类犯罪的总体性、一般化规定,因此考虑到法律的体系性以及立法的成本,应当直接将非法利用行为纳入侵犯公民个人信息罪的规制范畴。具体而言,由于非法获取行为的主体为无权合法获取他人信息的自然人或单位,非法提供行为的主体同时包括有权、无权获取他人信息的自然人或单位,而非法利用行为的主体与后者相同,因此在罪状选择上适合将其合并归入《刑法》第二百五十三条之一第一款。另外,虽非法利用行为具有比非法获取、非法提供更直接、具体的法益侵害性,但由于该款本身设有“三年以下有期徒刑或者拘役,并处或者单处罚金”与“三年以上七年以下有期徒刑,并处罚金”两档刑罚,区间幅度较大,非法利用行为与非法获取、非法提供间法益侵害性的差异可以通过在区间内具体选择轻重有别的刑罚加以区分,因此亦可以直接适用该款法定刑。最终,增加了非法利用行为的条文具体表述为,“违反国家有关规定,利用、出售或者向他人提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。
2.三个具体问题
(1)“情境脉络”模式的引入与“知情同意”规则的弱化。如前文所述,“知情同意”规则是判断非法利用行为是否成立的最主要标准。但随着大数据时代的来临以及个人信息在社会发展中所具有的价值不断增强,过分强调权利人的同意严重阻碍了信息的正常流转与充分利用,尤其是在涉及已公开信息的场合,这种阻碍显得格外明显。因此判断是否存在非法利用的标准亦需要随着时代的发展而更新完善,引入“情境脉络”模式并弱化“知情同意规则”即为一种合理的选择。
“情境脉络”模式是纽约大学的尼森鲍姆(Helen Nissenbaum)教授所提出的“情境脉络完整性”理论在个人信息保护领域的具体运用。该模式强调应尊重个人信息被原始收集时的具体情境,后续对该个人信息的流转与利用均不得超出最初的情境脉络,这种判断是动态的、具体的。[28]根据“情境脉络”模式,若对信息的利用行为尚未超出权利人原先的合理预期,未产生不可接受的风险,则属于合理利用,无论权利人是否同意,均不构成非法利用。例如,学校在招录时会合法收集各个学生的相关信息,包括姓名、性别、出生日期、籍贯、报考专业、考试成绩等。学校掌握这些信息是用于对学生进行教学、就业、生活等各方面的日常管理,因此若学校在此范围内利用学生信息,如进行教学评估、定向发布就业信息等,则仍属于学生在报考该校并提供个人信息时的具体情境,不会超出其原有的合理预期。故即使未征得全体学生同意,学校的利用行为也不构成非法利用。“情境脉络”模式不要求对个人信息的利用必须以权利人同意为前提,最大限度地保证了信息的自由流转与运用,充分发挥个人信息在大数据时代的价值。引入“情境脉络”模式并不意味着完全抛弃“知情同意规则”,而是对其进行弱化,即基于信息自决权的个人法益属性,赋予其犯罪阻却事由的体系性地位,若权利人知情并同意行为人对其个人信息加以利用,则在构成要件或违法性层面否定犯罪的成立。
(2)“情节严重”判断标准的更新。《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第五条、第六条规定了侵犯公民个人信息罪中非法获取、非法提供行为“情节严重”与“情节特别严重”的判断标准,包括行为方式、涉案信息数量、违法所得、曾受处罚等。这些标准能够为非法利用行为的入罪提供参考,但在具体规定时应充分考虑非法利用行为的特殊性。例如前述情形2与情形1的区别在于行为人非法利用他人信息实施的并非正常金融活动,而是逃税这一违法犯罪行为。因此情形2相较于情形1而言具有更严重的法益侵害性,故应降低其入罪门槛,即将“非法利用他人信息实施违法犯罪行为”规定入“情节严重”,而无需受信息数量的限制。再如情形3中的深度伪造行为,由于行为人非法利用他人信息制作淫秽视频,因而可能存在重复利用一定数量的个人信息,通过与不同的视频进行合成,制作大量淫秽视频的情形。此时单纯的涉案信息数量无法完全反映该行为的法益侵害性,因此应综合考察视频制作完成情况、换脸仿真程度、淫秽视频数量、被害人数量等要素。
(3)与《刑法修正案(十一)》的衔接。《刑法修正案(十一)》第三十二条在刑法第二百八十条之一后增加一条,作为第二百八十条之二,该条规制了“盗用、冒用他人身份,顶替他人取得的高等学历教育入学资格、公务员录用资格、就业安置待遇”的行为。从第三十二条的表述可知,该条关注的重点在于冒名顶替,因此属于对公民个人信息的冒用。如前所述,非法利用与冒用属于交叉关系,在身份盗窃的范围内重合,故第三十二条规制的内容涵盖了部分非法利用公民个人信息的行为,即未经信息权利人许可,擅自使用他人身份信息以顶替他人取得相关资格与待遇的情形。而“主动性独立规制”进路将非法利用行为纳入侵犯公民个人信息罪,将其合并归入《刑法》第二百五十三条之一第一款并适用该款法定刑,因此对于与冒用行为交叉的部分,必须厘清侵犯公民个人信息罪与《刑法修正案(十一)》第三十二条之间的衔接问题。根据目前主流观点,侵犯公民个人信息罪的法益为个人信息权,其属于一种新型的具体人格权;[29]而《刑法修正案(十一)》第三十二条所增设的罪名位于《刑法》第二百八十条之一后,作为第二百八十条之二,其被置于《刑法》第六章第一节“扰乱公共秩序罪”中,所保护的法益为社会公共秩序与教育、就业公平。另外,无论是侵犯公民个人信息罪还是《刑法修正案(十一)》第三十二条所增设的罪名,其均无法充分、全面地评价非法使用他人身份信息以顶替他人取得相关资格与待遇的行为的所有不法内容。例如,若仅适用前者,则没有评价冒名顶替;若仅适用后者,则没有评价违背“知情同意规则”。因此,根据法益同一性与不法包容性的实质标准,侵犯公民个人信息罪与《刑法修正案(十一)》第三十二条增设的罪名属于想象竞合的关系。[30]当行为人非法使用他人身份信息以顶替他人取得相关资格与待遇时,应按照从一重罪的原则进行处理。《刑法修正案(十一)》第三十二条条新增罪名的法定刑为“三年以下有期徒刑、拘役或者管制,并处罚金”,而侵犯公民个人信息罪的基本刑为“三年以下有期徒刑或者拘役,并处或者单处罚金”,二者最高刑相同,但由于后者存在单处罚金的情形,因此其最低刑更轻,故综合而言前者的法定刑更重,当行为人的行为仅符合侵犯公民个人信息罪“情节严重”的情形时,应认定其构成《刑法修正案(十一)》第三十二条新增的犯罪。但侵犯公民个人信息罪的加重刑为“三年以上七年以下有期徒刑,并处罚金”,因此当行为人的行为符合侵犯公民个人信息罪“情节特别严重”的情形时,应认定其构成侵犯公民个人信息罪。
“大数据、云计算、物联网是这个时代最醒目的标识,也是信息时代的未来图景,在这个时代,每个人都会不自觉的融入网络空间,几乎每个个体都成了大数据的来源者、使用者和得利者”[31]2,而个人信息本身也成为现代社会发展的重要资源与核心动力。随着个人信息潜在价值的不断发掘,伴随产生的风险也逐渐增多,而非法利用公民个人信息行为即是其中最为重要的一类。当前刑法并未直接规制非法利用行为,而是通过惩处关联犯罪以期取得对其进行打击的附随效果。这种进路虽能够在维护罪刑法定原则的基础上对愈演愈烈的社会现实给予一定的回应,以彰显刑法对这类行为的否定性态度,但其过于被动与间接,存在本质上的固有缺陷,因此需进行路径转换。从立法论的视角出发,采取“主动性独立规制”进路,将此类行为直接纳入侵犯公民个人信息罪的规制范围是最为合理的选择。在具体判断时,可以引入“情境脉络”模式并对“知情同意规则”予以一定程度的弱化,赋予其犯罪阻却事由的体系性地位;根据非法利用行为的特殊性,对“情节严重”的判断标准进行更新与完善;同时依据想象竞合的处理规则实现侵犯公民个人信息罪与《刑法修正案(十一)》第三十二条新增罪名的合理衔接。