劉雙陽，李 川

(1.中國政法大學(xué) 刑事司法學(xué)院，北京 100088；2.東南大學(xué) 法學(xué)院，江蘇 南京 211189)

隨著奠定數(shù)字社會基石的5G移動通信、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算、人工智能等新興網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，數(shù)字化生存已然成為當(dāng)下最活躍的社會生活方式，像空氣和水一樣自然，由此開啟一個全新的“賦權(quán)”時代[1]。從原子到比特的數(shù)字化過程意味著利用數(shù)據(jù)量化一切，記錄、分析和重組對客觀事物的描述[2]，其中能夠識別或關(guān)聯(lián)到特定自然人身份或活動情況的數(shù)據(jù)被稱為個人信息，即個人生活在數(shù)據(jù)空間的鏡像。大數(shù)據(jù)環(huán)境下，通過收集處理、深度挖掘記錄自然人一言一行的個人信息，可以準(zhǔn)確分析并勾勒出其在社會交往過程中形成的以數(shù)據(jù)為基礎(chǔ)的公共形象如生物特征、健康狀況、教育背景、經(jīng)濟(jì)能力、興趣喜好等，即創(chuàng)建“數(shù)字化人格”[3]，并以此作為高效分析社會需求、輔助業(yè)務(wù)決策的工具。個人信息的應(yīng)用價值和商業(yè)價值使得其在社會治理乃至經(jīng)濟(jì)發(fā)展中的作用日益凸顯，成為一座儲藏于網(wǎng)絡(luò)空間、被競相開采的“富礦”。然而，法諺有云：“有利益的地方就有犯罪人。”個人信息不可避免地成為網(wǎng)絡(luò)犯罪覬覦的目標(biāo)，遭受不法侵害的風(fēng)險陡然劇增。是故，“我們要堅持以人民安全為宗旨”，“完善國家安全法治體系”[4]。

一、問題的提出：個人信息使用自主刑法保護(hù)闕如

數(shù)字經(jīng)濟(jì)時代，作為個人信息載體的數(shù)據(jù)與土地、勞動力、資本、技術(shù)等一道被納入生產(chǎn)要素的范疇，通過深化要素市場化配置，促進(jìn)數(shù)據(jù)自主有序流動，提升數(shù)據(jù)資源的價值(1)2020年4月9日，中共中央、國務(wù)院印發(fā)的《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》明確提出“加快培育數(shù)據(jù)要素市場”。。在此背景下，越來越多的市場主體參與大數(shù)據(jù)產(chǎn)業(yè)，投入巨額人力、物力、財力加工處理和分析應(yīng)用個人信息，“它們的終點線是讓所有收集到的數(shù)據(jù)產(chǎn)生業(yè)務(wù)價值，或者說商業(yè)利潤”[5]，個人信息主體成為被觀察、分析和監(jiān)測的對象。此外，網(wǎng)絡(luò)空間信息流轉(zhuǎn)的迅捷性和不可控性放大了個人信息遭受不法侵害的可能性，使得個人信息面臨前所未有的泄漏與濫用風(fēng)險。例如，為疫情防控、疾病防治而收集使用的密切接觸者的姓名、電話、身份證號碼、個人詳細(xì)居住地址等信息在微信群組被不當(dāng)傳播擴(kuò)散，產(chǎn)生超越時空的不良社會影響。在暴利驅(qū)動下，現(xiàn)實中已經(jīng)形成一條分工明確、精細(xì)完整的數(shù)據(jù)交易黑色產(chǎn)業(yè)鏈[6]，個人信息被明碼標(biāo)價，上游“中間商”負(fù)責(zé)非法獲取、出售、提供個人信息，下游需求群體則購買并利用個人信息實施各種違法犯罪活動，諸如使用他人個人信息惡意注冊互聯(lián)網(wǎng)賬號“刷單炒信”、冒用個人信息申請信用貸款或逃稅、盜用個人信息破解生物識別身份認(rèn)證系統(tǒng)、濫用個人信息撥打虛假營銷類騷擾電話或定向推送有毒有害信息等現(xiàn)象愈演愈烈。以“侵犯公民個人信息罪”“刑事案件”“一審程序”三個關(guān)鍵詞在中國裁判文書網(wǎng)上進(jìn)行檢索發(fā)現(xiàn)，2016—2020年侵犯公民個人信息的刑事案件分別為387件、1 323件、2 229件、2 159件、1 910件。當(dāng)前侵害個人信息犯罪呈高發(fā)態(tài)勢，其中不少案件涉及的個人信息數(shù)量驚人、影響范圍甚廣，引發(fā)的盜竊、詐騙等次生犯罪危害也日益嚴(yán)重。

從數(shù)據(jù)信息的流動鏈條和生命周期來看，獲取、出售、提供都屬于個人信息的轉(zhuǎn)移方式，而轉(zhuǎn)移個人信息的最終目的在于利用，如此才能創(chuàng)造價值或收益。非法使用個人信息牟利無疑是誘發(fā)當(dāng)前個人信息泛在泄露以及違法交易激增的根源，已成為整個侵害個人信息犯罪產(chǎn)業(yè)鏈的核心環(huán)節(jié)。對個人信息深度挖掘應(yīng)用所帶來的侵害風(fēng)險要求大數(shù)據(jù)時代個人信息保護(hù)的重點應(yīng)從轉(zhuǎn)移環(huán)節(jié)轉(zhuǎn)向使用環(huán)節(jié)[7]。如何從需求端確保信息處理者遵循合法、正當(dāng)、必要的原則，合規(guī)使用個人信息就顯得尤為重要。我國涉及個人信息保護(hù)的民法和行政法規(guī)范中均有“不得非法收集、使用、出售、提供公民個人信息”的相關(guān)規(guī)定(2)我國《民法典》第111條規(guī)定：“不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！薄毒W(wǎng)絡(luò)安全法》第41條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息。”第42條規(guī)定：“未經(jīng)被收集者同意，不得向他人提供個人信息。”《消費(fèi)者權(quán)益保護(hù)法》第29條規(guī)定：“經(jīng)營者不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。經(jīng)營者及其工作人員對收集的消費(fèi)者個人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供?！薄秱€人信息保護(hù)法》第10條規(guī)定：“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！保瑢€人信息的使用行為作為一種獨(dú)立的行為類型與獲取、出售、提供行為并列規(guī)定。然而，刑法分則中的侵犯公民個人信息罪卻并未將非法使用個人信息行為納入本罪的構(gòu)成要件類型，僅僅是按照犯罪行為的自然延伸來解釋，使得刑法保護(hù)個人信息法益不周延，并與其他部門法規(guī)范不協(xié)調(diào)。出現(xiàn)這一“真空地帶”的主要原因在于立法者對侵犯公民個人信息犯罪所保護(hù)的法益——個人信息自主的理解不夠全面，將保護(hù)個人信息自主簡單地等同于保護(hù)個人信息轉(zhuǎn)移自主，以防范非法轉(zhuǎn)移個人信息為入罪邏輯，一定程度上忽視了對個人信息使用自主的保護(hù)。

以信息交換與共享為主要特征的互聯(lián)網(wǎng)思維已深深嵌入當(dāng)下社會生活的方方面面，人們在享受網(wǎng)絡(luò)帶來的便捷生活的同時，不得不讓渡部分個人信息權(quán)益作為獲得相關(guān)產(chǎn)品和服務(wù)的“對價”，“當(dāng)網(wǎng)絡(luò)化和數(shù)據(jù)交換不斷擴(kuò)大時，相應(yīng)地，信息網(wǎng)絡(luò)犯罪也侵入到更多區(qū)域”[8]。近年來，非法使用個人信息事件頻頻見諸報端，尤其是個體指向性較強(qiáng)的敏感信息的靶向使用[9]，如利用個人身份信息實施精準(zhǔn)電信網(wǎng)絡(luò)詐騙，給公民的人身和財產(chǎn)安全造成嚴(yán)重威脅或損害，引起社會的普遍關(guān)注。中國通信研究院發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用個人信息安全報告(2019年)》顯示，有關(guān)個人信息使用問題的投訴已占網(wǎng)絡(luò)不良與垃圾信息舉報受理中心收到的用戶App投訴數(shù)量的21%。隨著公眾個人信息保護(hù)意識的覺醒與增強(qiáng)，對不法分子違規(guī)使用個人信息侵害用戶權(quán)益的感受日益強(qiáng)烈，因此，個人信息使用自主作為信息社會產(chǎn)生的新價值形式亟需刑法的保護(hù)[10]。但需要格外注意的是，基于刑法保障公民權(quán)利自由的最后手段性定位，在通過入罪方式規(guī)范互聯(lián)網(wǎng)經(jīng)營者的個人信息使用行為時，須秉持刑法謙抑性原則，合理確定非法使用個人信息行為刑事規(guī)制的邊界，審慎發(fā)動刑罰權(quán)，使信息主體與信息處理者的利益平衡映射在大數(shù)據(jù)時代的法律規(guī)則之中[11]。

二、復(fù)合法益語境下個人信息使用利益的界分

網(wǎng)絡(luò)智能時代個人信息呈現(xiàn)泛在泄露的趨勢，由非法使用個人信息所引發(fā)的社會問題層出不窮，法益保護(hù)鏈條不斷拉長，從刑法層面規(guī)范個人信息使用行為、加強(qiáng)對個人信息使用自主的保護(hù)逐漸取得社會共識。刑法的謙抑性要求刑法只在必要性意義上制裁最危險、對法益容易造成最嚴(yán)重侵害的行為，因此在區(qū)分罪與非罪的界限的關(guān)鍵領(lǐng)域厘清個人信息的法益屬性與權(quán)利邊界是刑法審慎介入保護(hù)個人信息使用利益的先決條件，有助于恰當(dāng)處理個人信息保護(hù)與利用的沖突及協(xié)調(diào)問題。

(一)個人信息的復(fù)合法益屬性

關(guān)于個人信息的法益屬性，因?qū)€人信息的內(nèi)容范圍和應(yīng)用價值理解不同，學(xué)者們的觀點存在諸多差異。當(dāng)前學(xué)界主要有以人格權(quán)說[12](人格尊嚴(yán)與個人自由)、財產(chǎn)權(quán)說[13](經(jīng)濟(jì)價值與商業(yè)利益)為代表的個人法益論，以及以公共產(chǎn)品說[14](公共利益與社會秩序)為代表的超個人法益論，但都有失偏頗，未能全面闡釋個人信息的法益屬性。

當(dāng)下，網(wǎng)絡(luò)信息技術(shù)影響和改變著社會生活，個人信息逐步成為一種重要權(quán)利，所蘊(yùn)含的權(quán)益內(nèi)容也日益豐富，形成了包含決定權(quán)、保密權(quán)、訪問權(quán)、更正權(quán)、可攜權(quán)、封鎖權(quán)、刪除權(quán)和被遺忘權(quán)等一系列子權(quán)利的權(quán)利系統(tǒng)。同時，在個人信息的流動和使用過程中，初始權(quán)利主體逐漸不再擁有對個人信息的完全控制，信息權(quán)利主體也呈現(xiàn)多元化，從信息主體擴(kuò)展至收集者、使用者及處理者。因此，個人信息權(quán)益內(nèi)容呈現(xiàn)復(fù)合化特征[15]，既包含個體的人格權(quán)及其衍生的財產(chǎn)權(quán)，又涉及公共利益、社會秩序和國家安全。人身屬性、財產(chǎn)屬性和公共屬性共同構(gòu)成個人信息的法律內(nèi)核，這是由個人信息的不同內(nèi)容及其作為特殊資源的使用價值所決定的。相應(yīng)地，個人信息權(quán)利法律保護(hù)具有信息自由與信息安全的多元價值。例如，為了運(yùn)用大數(shù)據(jù)聯(lián)防聯(lián)控新冠肺炎疫情，需要收集和使用有關(guān)確診或疑似病患者及其他相關(guān)自然人的個人信息，這一過程是對公共安全與個人自由的利益衡量，公民的個人信息權(quán)利受到一定程度的限制，不可避免地要讓渡部分個人信息使用利益，承擔(dān)公共衛(wèi)生安全保障義務(wù)和法律責(zé)任。數(shù)字化疫情防控背景下，被授權(quán)收集和利用個人信息的部門和機(jī)構(gòu)擁有信息使用權(quán)，社會公眾有獲悉和分享個人信息的知情權(quán)，政府機(jī)關(guān)則行使披露和發(fā)布疫情公共數(shù)據(jù)的權(quán)力。

概言之，個人信息的法益屬性具有復(fù)合性特征，不僅包括初始信息主體的權(quán)利自由，而且包括其他依法收集和使用個人信息的主體享有的信息權(quán)利；同時，個人信息安全也是個人信息權(quán)的重要內(nèi)容，個人信息法益不僅包括公民個人信息安全，更涉及公共衛(wèi)生健康安全乃至國家安全。個人信息刑法保護(hù)所追求的價值目標(biāo)也有信息自由和信息安全兩個方面：一是傳統(tǒng)法益或個人法益，即公民個體的人格權(quán)和財產(chǎn)權(quán)，這是由個人信息來源于特定自然人所決定的；二是新型法益或超個人法益，即信息領(lǐng)域的國家和社會公共利益、安全或秩序，這來自個人信息廣泛應(yīng)用于商業(yè)經(jīng)濟(jì)、行政管理、教育科研等領(lǐng)域，為經(jīng)濟(jì)發(fā)展、社會治理、風(fēng)險防控提供決策參考。

(二)個人信息承載的使用利益識別

個人信息法益識別包括兩層含義：一是個人信息所承載的利益是否上升為法益；二是個人信息利益體現(xiàn)的是何種法益。個人信息承載的使用利益根植于個人信息法益所具備的人格利益屬性、財產(chǎn)利益屬性與公共利益屬性并存的復(fù)合特征，保護(hù)個人信息法益首先須明晰各方主體的權(quán)利邊界。具體而言，在信息流動不斷加速的時代背景下，信息主體并不一定直接占有和控制其個人信息，信息主體和信息處理者相分離已然成為常態(tài)。因此，個人信息往往承載著兩方面的使用利益：一是信息主體的使用自主利益，源于其與個人信息的人格關(guān)聯(lián)，由個人信息的可識別性所決定；二是信息處理者的正當(dāng)使用利益，其一定程度上代表的是社會利益，因為身處信息社會的任何組織或個人都有使用個人信息實現(xiàn)特定目的的需求，都可能成為掌握他人個人信息的信息處理者。平衡信息主體與信息處理者的使用利益是保護(hù)個人信息法益的應(yīng)有之義。

1.信息主體的使用自主利益

個人信息是指任何能夠直接或者間接識別特定自然人身份特征或個人屬性的信息。識別通常所依賴的是個人特有的或者能夠標(biāo)識個人特征的信息，如姓名、身份證號碼、通信地址、聯(lián)系方式、位置數(shù)據(jù)等，由信息本身的特殊性識別出特定自然人，而識別的目的是為了將特定主體與社會中的其他人區(qū)別開來?？梢哉f，個人信息是個人社會性的延伸，既是個人標(biāo)識自己的工具，也是他人辨識特定自然人的手段[16]。由于個人信息與人格尊嚴(yán)、自由發(fā)展關(guān)系密切，傳統(tǒng)個人控制論強(qiáng)調(diào)個人信息的私人屬性，通過將基本權(quán)利上的個人自治拓展至個人信息領(lǐng)域，從而推導(dǎo)出獨(dú)立的個人信息自決權(quán)，即賦予信息主體獨(dú)立自主決定如何處理其個人信息的權(quán)利。人作為獨(dú)立的個體，只能是目的而不是達(dá)到任何目的的工具[17]，凡是與個人人格形成、發(fā)展有關(guān)的事項都應(yīng)當(dāng)由本人自主決定。個人信息是人格的征表，只能自主決定而不能被他人決定，否則將損害自然人獨(dú)享的人格尊嚴(yán)。隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的普及，個體在社會交往中提供的個人信息被自動記錄、留存和分析應(yīng)用，如果這些行為信息主體并不知情甚至違背其意愿，那么人就被當(dāng)作客體對待，是對人格尊嚴(yán)和自由發(fā)展的侵犯?！皞€人有權(quán)拒絕僅基于數(shù)據(jù)自動化處理而不考慮信息主體本人意愿作出的結(jié)果的約束”是各國個人信息立法普遍遵行的基本原則，保護(hù)信息主體的個人信息自主即是為了防止將人格尊嚴(yán)當(dāng)作客體“被處理”[18]，以實現(xiàn)對個人自治等基本權(quán)利的保護(hù)。

由基本權(quán)利演化而來的個人信息自決權(quán)將個人信息處理納入純粹個人事務(wù)的范疇，認(rèn)為自然人對其個人信息享有自主控制和自主決定的權(quán)利，包括對個人信息的轉(zhuǎn)移自主和使用自主，超越了單純防范非法轉(zhuǎn)移個人信息的隱私權(quán)保護(hù)邏輯。個人信息相對于隱私的獨(dú)立特性使得個人信息自決權(quán)的內(nèi)涵也與隱私權(quán)產(chǎn)生明顯差異。隱私權(quán)強(qiáng)調(diào)個人信息的私密性，是一種保護(hù)個人私密事項的防御性權(quán)利，主要是防范個人私密信息未經(jīng)許可被權(quán)限外的主體知悉，造成隱私泄露。所以隱私權(quán)是一種防范個人信息被不當(dāng)轉(zhuǎn)移的消極權(quán)能。然而，網(wǎng)絡(luò)時代個人信息由于公開分享和交換使用的特性，具有自主共享使用的積極權(quán)能，與隱私權(quán)形成鮮明對比。個人信息自主既包含對個人信息分享或傳播等轉(zhuǎn)移范圍的自主限定，還包括對個人信息運(yùn)用方式、程度的自主權(quán)利，強(qiáng)調(diào)信息主體按照自己的意志對個人信息的用途進(jìn)行自主控制。因此，個人信息自決權(quán)以全面自主權(quán)能為核心，自然就超越了隱私權(quán)單純的轉(zhuǎn)移自主權(quán)能。隨著個人信息使用價值的日益凸顯，對個人信息使用自主的控制越來越成為個人信息權(quán)能的核心。歐盟個人數(shù)據(jù)立法措辭的變化明顯地體現(xiàn)了這一點(3)歐盟1995年制定的《個人數(shù)據(jù)保護(hù)指令》第1條第1款規(guī)定：“成員國應(yīng)當(dāng)依據(jù)本指令保護(hù)自然人的基本權(quán)利和自由，特別是有關(guān)個人數(shù)據(jù)處理中的隱私權(quán)?！?018年實施的《一般數(shù)據(jù)保護(hù)條例》第1條第2款規(guī)定：“本條例旨在保護(hù)自然人的基本權(quán)利和自由，尤其是個人數(shù)據(jù)保護(hù)的權(quán)利?！憋@然，最新立法以“個人數(shù)據(jù)保護(hù)的權(quán)利”替代了“個人數(shù)據(jù)處理中的隱私權(quán)”。。

2.信息處理者的正當(dāng)使用利益

傳統(tǒng)個人控制論建立在20世紀(jì)七八十年代計算機(jī)和信息網(wǎng)絡(luò)發(fā)展的初期階段即Web1.0時代，計算機(jī)和互聯(lián)網(wǎng)尚未普及，網(wǎng)民以及網(wǎng)絡(luò)平臺數(shù)量較少，個人向特定主體提供少量單一的個人信息即可獲得相應(yīng)的產(chǎn)品和服務(wù)，個人信息尚未被大規(guī)模收集和使用，信息主體對個人信息的披露和用途具有一定的控制力。進(jìn)入依托網(wǎng)絡(luò)平臺實現(xiàn)人與人雙向交換分享信息的Web2.0時代，互聯(lián)網(wǎng)社交活動日益頻繁，網(wǎng)絡(luò)空間留存了大量可識別個人特征的數(shù)據(jù)信息，這些個人信息大部分并非由個人主動提供或公開，而是由無處不在的網(wǎng)絡(luò)系統(tǒng)、智能設(shè)備或傳感器實時記錄、自動處理后關(guān)聯(lián)到特定自然人，同時能夠識別個人特征的信息類型也日趨多樣化，個人信息的收集和使用環(huán)境已發(fā)生根本性變化。再到萬物互聯(lián)、智能匹配、個性化定制的Web3.0時代，信息的實時交互性和快速流動性使得信息主體與信息處理者日漸分離，對于海量多樣的個人信息，信息收集者往往無法事先作出準(zhǔn)確判斷并告知被收集者特定的使用目的及方式。大數(shù)據(jù)、云計算、人工智能等算法技術(shù)的運(yùn)用顯著增強(qiáng)了信息處理者對個人信息的采集加工與分析應(yīng)用能力，個人在網(wǎng)絡(luò)空間的任何“蛛絲馬跡”都無所遁形，信息主體對個人信息陷入失控的境地，個人控制論賴以存在的社會基礎(chǔ)被摧毀。由此，個人信息保護(hù)理論開始從個人本位向社會本位轉(zhuǎn)變，社會控制論應(yīng)運(yùn)而生，強(qiáng)調(diào)個人信息所蘊(yùn)含的利益應(yīng)由全社會共享。

網(wǎng)絡(luò)時代數(shù)字化生存越來越依賴信息的全面交換和分享，基于個人控制論的個人信息私權(quán)化與信息社會個人信息社會化利用之間的沖突加劇。深度挖掘與自動處理技術(shù)提升了信息處理者對個人信息的分析應(yīng)用能力，個人信息被廣泛用于創(chuàng)新市場營銷、改進(jìn)產(chǎn)品和服務(wù)、防范安全風(fēng)險、完善公共治理、深化學(xué)術(shù)研究等用途，創(chuàng)造出更大的經(jīng)濟(jì)價值與社會效用[19]，保護(hù)個人信息自主權(quán)利的同時促進(jìn)個人信息在更大范圍內(nèi)流動利用的觀點得到廣泛認(rèn)同。個人信息本身只是可以識別某個人的事實或記錄，本質(zhì)上不具有排他性或者排除他人使用的成本很高，并不當(dāng)然由個人擁有或控制，其不僅直接關(guān)涉信息主體的人身和財產(chǎn)權(quán)益，而且也關(guān)系他人利益以及社會利益[20]。社會控制論認(rèn)為，個人信息與個人的人格關(guān)聯(lián)性不足以使其成為私人控制的客體，就個人信息的超個人法益屬性而言，個人信息被視為一種處于公共領(lǐng)域的社會資源，應(yīng)由社會共同決定如何使用。雖然個人信息自決權(quán)賦予信息主體自主決定如何使用個人信息的權(quán)利，但個人信息兼具的社會公共性要求個人信息自主不能等同于物權(quán)、人格權(quán)等支配權(quán)，有必要防止個人信息自主寬泛化、絕對化。比如，歐盟《一般數(shù)據(jù)保護(hù)條例》承認(rèn)數(shù)據(jù)主體對個人數(shù)據(jù)收集、處理、流動、使用的控制權(quán)，并不認(rèn)可個人享有絕對的排他性支配權(quán)，必須遵循比例原則，考慮個人數(shù)據(jù)在社會中的作用，并與其他權(quán)利協(xié)調(diào)平衡。概言之，個人信息不僅涉及信息主體的自主使用利益，同時也承載著商業(yè)經(jīng)營者、公共機(jī)構(gòu)等信息處理者的正當(dāng)使用利益，應(yīng)當(dāng)在此基礎(chǔ)上進(jìn)行利益衡量，制定包括刑法規(guī)范在內(nèi)的、符合各方利益的個人信息使用規(guī)則。

三、非法使用個人信息行為刑事規(guī)制的邊界

深度挖掘信息效用、重構(gòu)信息應(yīng)用價值是大數(shù)據(jù)產(chǎn)業(yè)最新的發(fā)展方向。大數(shù)據(jù)時代以實現(xiàn)信息資源的經(jīng)濟(jì)效益與社會效益為邏輯起點，個人信息同時承載著信息主體和信息處理者的使用利益，保護(hù)個人信息使用自主法益并不等于禁止個人信息的流動利用。域外個人數(shù)據(jù)保護(hù)規(guī)范普遍將保護(hù)信息主體的基本權(quán)利與促進(jìn)個人信息合規(guī)使用助力社會經(jīng)濟(jì)發(fā)展作為立法的雙重目的。例如，印度《個人數(shù)據(jù)保護(hù)法》指出：“數(shù)字經(jīng)濟(jì)的發(fā)展進(jìn)一步拓展了數(shù)據(jù)作為人與人之間的重要溝通手段的運(yùn)用，有必要通過數(shù)字治理和數(shù)字融合，營造一種尊重個人信息隱私，確保賦權(quán)、進(jìn)步和創(chuàng)新的整體文化，以促進(jìn)自由和公平的數(shù)字經(jīng)濟(jì)?！边@對于我國個人信息保護(hù)立法具有很強(qiáng)的借鑒意義，應(yīng)從源頭規(guī)制個人可識別信息的潛在非法使用行為并給予救濟(jì)，而不是限制創(chuàng)造效益的轉(zhuǎn)移行為或正當(dāng)使用行為。

(一)非法使用個人信息行為具有嚴(yán)重的法益侵害性

在強(qiáng)調(diào)個人信息安全流動與有效利用的背景下，個人信息的使用價值凸顯使得個人信息使用自主逐漸成為個人信息權(quán)能的核心。法益侵害是建構(gòu)刑事不法的根基，非法使用個人信息行為的法益侵害性較之非法轉(zhuǎn)移個人信息行為更為嚴(yán)重。首先，非法使用個人信息行為的法益侵害具有根源性。個人信息使用自主是個人信息轉(zhuǎn)移自主的目標(biāo)和落腳點，經(jīng)營者對個人信息使用價值的追逐成為當(dāng)前非法轉(zhuǎn)移個人信息行為高發(fā)的深層次誘因。例如，在個人信息黑色產(chǎn)業(yè)鏈中，下游利用個人信息惡意注冊網(wǎng)絡(luò)賬號、實施網(wǎng)絡(luò)詐騙等違法犯罪活動并從中獲利的非法需求，加劇了上游非法獲取、出售或提供等個人信息轉(zhuǎn)移行為的滋長。其次，非法使用個人信息行為的法益侵害具有直接性。轉(zhuǎn)移個人信息行為本質(zhì)上只是個人信息自身的物理流轉(zhuǎn)和空間變換，從信息主體轉(zhuǎn)換至信息處理者，由一個空間轉(zhuǎn)移至另一個空間，不管變換如何頻繁，非法轉(zhuǎn)移行為始終只是形式上的侵害，并未直接侵害實質(zhì)的法益[21]。易言之，非法轉(zhuǎn)移個人信息行為僅具有間接的法益威脅或者法益侵害的抽象危險。而個人信息的非法使用將這種法益侵害可能性變成具體化、可視化的現(xiàn)實損害，如身份證件等個人信息被他人冒用在網(wǎng)絡(luò)平臺辦理借貸逾期不還，會給信息主體的征信記錄帶來負(fù)面影響，甚至造成重大財產(chǎn)損失。再者，非法使用個人信息行為的法益侵害具有精準(zhǔn)性。個人信息能關(guān)聯(lián)到特定自然人的可識別性特征使其與信息主體呈現(xiàn)一一對應(yīng)的涵攝關(guān)系，不法分子利用個人信息實施違法犯罪往往令人防不勝防，受害人一步步落入事先設(shè)計好的陷阱，信以為真，造成嚴(yán)重?fù)p失，如損害后果嚴(yán)重的電信網(wǎng)絡(luò)詐騙犯罪大部分都是“精準(zhǔn)詐騙”，詐騙分子在摸清目標(biāo)受害人基本情況后進(jìn)行針對性的“私人訂制”。

基于以上特點，非法使用個人信息行為無疑會對信息主體的隱私、財產(chǎn)、名譽(yù)等方面以及社會管理秩序造成嚴(yán)重?fù)p害或威脅。刑法通過入罪施加刑事責(zé)任的方式規(guī)制最為嚴(yán)重的法益侵害行為，因此有必要在刑法上對非法使用個人信息行為予以單獨(dú)評價，實現(xiàn)對個人信息法益的周延保護(hù)。而且，非法使用個人信息行為的法益侵害性與非法轉(zhuǎn)移個人信息行為相比有過之而無不及，舉輕以明重，如果不以需求端為導(dǎo)向從源頭規(guī)范個人信息的使用行為，單純打擊制裁非法轉(zhuǎn)移個人信息行為只能是治標(biāo)之策，無法有效應(yīng)對個人信息遭受侵害愈演愈烈的嚴(yán)峻形勢。

(二)非法使用個人信息行為的入罪要件與出罪事由

在個人信息使用價值凸顯的背景下，對個人信息權(quán)益關(guān)注的重點必然從轉(zhuǎn)移環(huán)節(jié)轉(zhuǎn)向使用環(huán)節(jié)，規(guī)范個人信息使用行為，管控個人信息規(guī)?；脦淼姆ㄒ媲趾︼L(fēng)險成為網(wǎng)絡(luò)刑法的重要任務(wù)。但是，“刑罰之界限應(yīng)該是內(nèi)縮的，而不是外張的，刑罰是國家為達(dá)其保護(hù)法益和維持法秩序的任務(wù)時的最后手段”[22]，作為刑事規(guī)制的關(guān)鍵步驟，將個人信息使用自主納入刑法的保護(hù)范圍并對相應(yīng)的非法使用個人信息行為進(jìn)行入罪規(guī)制，必須遵循刑法謙抑性原則，明確非法使用個人信息行為的入罪要件與出罪事由，防止過度犯罪化損害刑法作為保障公民權(quán)利自由的最后手段的職能定位。

1.危害行為：未征得信息主體許可使用且情節(jié)嚴(yán)重

從周延個人信息法益刑法保護(hù)出發(fā)，應(yīng)將個人信息使用自主作為個人信息法益的核心內(nèi)容，相應(yīng)地，應(yīng)以非法使用個人信息行為作為侵犯公民個人信息罪的關(guān)鍵構(gòu)成要件類型，完善該罪的危害行為體系。在確定非法使用個人信息行為入罪門檻時，基本原則是與侵犯公民個人信息罪已規(guī)定的非法轉(zhuǎn)移行為的入罪標(biāo)準(zhǔn)保持相對一致，并根據(jù)非法使用行為的特殊性質(zhì)進(jìn)行適度調(diào)整。侵犯公民個人信息罪具備典型的法定犯屬性[23]，法定犯的刑事可罰性最終取決于行政法規(guī)范的規(guī)定?，F(xiàn)行侵犯公民個人信息罪以“違反國家有關(guān)規(guī)定”(4)“兩高”發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第2條規(guī)定：“違反法律、行政法規(guī)、部門規(guī)章有關(guān)公民個人信息保護(hù)的規(guī)定的，應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的‘違反國家有關(guān)規(guī)定’。”作為客觀構(gòu)成要件要素之一，換言之，違反國家法律、行政法規(guī)和部門規(guī)章是非法轉(zhuǎn)移個人信息行為入罪的必要前置條件，因而非法使用個人信息行為在入罪時也應(yīng)當(dāng)遵循這一標(biāo)準(zhǔn)，與轉(zhuǎn)移型侵害個人信息行為保持相同的違法性前提。具體而言，我國《網(wǎng)絡(luò)安全法》第41條、《個人信息保護(hù)法》第13條、《消費(fèi)者權(quán)益保護(hù)法》第29條、《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條，以及《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》第9條等強(qiáng)制性法律法規(guī)均明確要求信息處理者使用個人信息前應(yīng)征得信息主體的同意。因此，以實現(xiàn)自己的特定目的[24]，未征得信息主體許可而使用他人個人信息的行為違反國家有關(guān)規(guī)定，構(gòu)成非法使用個人信息。知情同意原則作為個人信息使用的正當(dāng)性基礎(chǔ)建立在個人信息自決權(quán)之上，而非隱私權(quán)，個人信息不要求具有隱私的秘密性特征[25]，那么即使是已經(jīng)公開的個人信息也應(yīng)當(dāng)征得信息主體的許可后才能商業(yè)化使用，未經(jīng)授權(quán)同意擅自對從網(wǎng)絡(luò)上搜集、整理的他人個人信息加以利用的行為同樣屬于非法使用。在徐某訴芝麻信用管理有限公司個人信息糾紛案中，杭州互聯(lián)網(wǎng)法院認(rèn)為，被告采集并利用其他渠道已合法公開的原告系被執(zhí)行人的信息是基于雙方簽訂的“芝麻信用”服務(wù)協(xié)議，表明原告已授權(quán)同意被告可以對其個人征信數(shù)據(jù)進(jìn)行合理化的商業(yè)使用。刑法理論上，個人的知情同意通?？梢员豢醋魇且环N被害人同意或承諾，具有一定的出罪功能，信息主體知情同意可能成為排除或降低刑事違法性的事由，以此作為阻卻或減輕非法使用個人信息行為刑事責(zé)任的根據(jù)。

某一行為成立法定犯要求其既違反行政法規(guī)范，同時又違反行政刑法規(guī)范中的特別要件，即“情節(jié)嚴(yán)重”，這一構(gòu)成要件具有界分違法行為與犯罪行為的重要功能?！肚址腹駛€人信息罪司法解釋》第5條對非法獲取、出售或者提供個人信息構(gòu)成“情節(jié)嚴(yán)重”的具體情形作了相對明確的列舉式規(guī)定，意在根據(jù)個人信息與信息主體的關(guān)聯(lián)程度將其區(qū)分為敏感信息、重要信息和普通信息，進(jìn)而實行分類、分級保護(hù)[26]。對不同類型和等級的個人信息設(shè)定差異化的入罪門檻，除了對象數(shù)量標(biāo)準(zhǔn)之外，還設(shè)置了其他類型化的定量標(biāo)準(zhǔn)如信息用途、違法所得數(shù)額、主體身份、再犯記錄等，這些標(biāo)準(zhǔn)也可以為判斷非法使用個人信息行為是否構(gòu)成“情節(jié)嚴(yán)重”提供參考。但非法使用行為與非法轉(zhuǎn)移行為相比，在行為屬性上還有一些獨(dú)特之處，非法使用行為主要以行為惡劣程度來區(qū)分與一般不當(dāng)使用行為的界限，在解釋“情節(jié)嚴(yán)重”時應(yīng)加入行為性質(zhì)標(biāo)準(zhǔn)，選擇特定的類型化行為如惡意濫用、欺詐冒用、擅自允許第三方參與使用、改變目的或方式使用等，基本涵蓋影響侵犯個人信息權(quán)益嚴(yán)重程度的情節(jié)因素，明晰個人信息合規(guī)使用的界限。此外，非法使用個人信息相較于非法轉(zhuǎn)移個人信息，對法益的實質(zhì)損害更為嚴(yán)重，在情節(jié)嚴(yán)重程度相近時，刑事處罰的量刑也應(yīng)更重一些，才能體現(xiàn)以規(guī)制非法使用個人信息為重點的侵害個人信息犯罪治理思路。

2.行為對象：非經(jīng)匿名化處理的個人信息

與自然人人格不可分離的可識別性是個人信息區(qū)別于其他信息的本質(zhì)特征。各國個人信息保護(hù)規(guī)范在定義“個人信息”時，均明確以可識別性作為個人信息的核心特征。個人信息應(yīng)用實踐中，越來越多的經(jīng)營者在使用個人信息時開始重視對其進(jìn)行“脫敏”，即去標(biāo)識化或匿名化處理。數(shù)據(jù)脫敏技術(shù)運(yùn)用加密算法、替換算法或生成算法將個人信息中標(biāo)識個體特征的識別符(identifier)隱藏、替換或刪除，即去除個人信息的可識別性且不能恢復(fù)，將個人信息轉(zhuǎn)化為匿名信息，一定程度上切斷了個人信息與特定自然人的關(guān)聯(lián)可能性。匿名化處理在保留個人信息特定經(jīng)濟(jì)、社會用途價值內(nèi)容的同時，也降低了該信息一旦泄露或濫用可能對信息主體的合法權(quán)益造成威脅或損害的風(fēng)險。經(jīng)匿名化處理去除可識別性的信息因無法指向特定自然人身份且不能恢復(fù)，就不再納入個人信息的范疇，亦不適用個人信息保護(hù)規(guī)則。印度《個人數(shù)據(jù)保護(hù)法》界定“匿名化”系指將個人數(shù)據(jù)轉(zhuǎn)換或者轉(zhuǎn)化為數(shù)據(jù)主體無法被識別的形式的不可逆過程且符合保護(hù)局規(guī)定的不可逆標(biāo)準(zhǔn)。我國《網(wǎng)絡(luò)安全法》也明確將個人信息匿名化處理載入立法，在第42條確立了使用個人信息征得信息主體同意的例外情形“經(jīng)過處理無法識別特定個人且不能復(fù)原”，即不可逆的匿名使用規(guī)則。遵循前置法規(guī)定，匿名信息不屬于侵犯公民個人信息罪的行為對象，無須經(jīng)信息主體同意即可合規(guī)使用。

當(dāng)然，匿名信息是相對的概念，不存在絕對匿名的信息。在數(shù)據(jù)樣本總量足夠巨大的情況下，借助越來越強(qiáng)大的智能算法技術(shù)，任何信息片段都可能通過與外部信息關(guān)聯(lián)比對后重新識別(Re-identification)出特定個人，經(jīng)匿名化處理的個人信息同樣存在重新識別出自然人特征的可能性。因此基于平衡個人信息安全保護(hù)與信息資源應(yīng)用價值獲取的考量，應(yīng)當(dāng)在法律層面確定合理的匿名信息判斷標(biāo)準(zhǔn)。對此，歐盟采取“所有合理可能性標(biāo)準(zhǔn)”(5)歐盟《一般數(shù)據(jù)保護(hù)條例》“鑒于條款”第(26)項指出：“為判斷自然人身份是否可識別，需要考慮所有可能使用的手段，比如控制者或其他人來直接或間接地確認(rèn)自然人身份。為判斷所使用的手段是否可能用于識別自然人，需要考慮所有客觀因素，包括確認(rèn)身份需要花費(fèi)的金錢和時間，同時考慮現(xiàn)有處理技術(shù)以及科技的發(fā)展?！?，要求對信息處理者和任何其他人而言均不具有識別的合理可能性的信息方為匿名信息。也就是說，存在兩種類型的匿名信息，一種為完全不能揭示原始識別信息的匿名信息，另一種為需要不合理的努力方能實現(xiàn)識別的匿名信息[27]。美國則針對個人健康信息匿名化創(chuàng)設(shè)了“專家標(biāo)準(zhǔn)”和“安全港標(biāo)準(zhǔn)”(6)美國《健康保險流通與責(zé)任法案》第164.514條第b款第1項規(guī)定：“經(jīng)專家判斷認(rèn)為信息不能具識別性則不屬于法案規(guī)制的可識別健康信息?！痹摽畹?項規(guī)定：“刪除18種識別符的健康信息不是可識別健康信息?！?。我國應(yīng)當(dāng)在《個人信息保護(hù)法》或侵犯公民個人信息罪相關(guān)司法解釋的修訂中對匿名信息作出明確界定，歐美國家關(guān)于匿名信息的判斷標(biāo)準(zhǔn)可資我國借鑒。

3.違法阻卻事由：符合個人信息合理使用的情形

違法阻卻事由是對違法性的否定，但以符合構(gòu)成要件該當(dāng)性為邏輯前提，從而在客觀上限定了成立犯罪的范圍[28]。違法阻卻事由之確立作為一種出罪機(jī)制，“有如在不法階層里創(chuàng)設(shè)另一個消極之不法要件，倘若此消極要件存在，行為人行為即被法律所容許”[29]。在認(rèn)為刑法的機(jī)能之一在于法益保護(hù)的結(jié)果無價值論看來，不違反法益保護(hù)目的是違法阻卻的一般原理，而優(yōu)越利益保護(hù)原則是其第一下位原理。具體而言，當(dāng)某一行為該當(dāng)于構(gòu)成要件時，便發(fā)生了法益遭受侵害這一有害于社會的結(jié)果；但在某些情況下，同一行為同時也具有保全其他法益這一社會有用性，在保全法益優(yōu)于侵害法益之時，從社會功利主義的觀點看，可以將該行為整體上正當(dāng)化[30]。就個人信息保護(hù)與利用而言，經(jīng)利益衡量后，為保全更重要的法益，特定情形下允許信息處理者無須征得信息主體同意即可在適當(dāng)限度內(nèi)使用個人信息的方式被稱為“合理使用”。當(dāng)滿足個人信息保護(hù)規(guī)范預(yù)設(shè)的合理使用條件時，未經(jīng)信息主體授權(quán)許可的個人信息使用行為不構(gòu)成侵權(quán)。信息處理者未征得信息主體許可使用非經(jīng)匿名化處理的個人信息且情節(jié)嚴(yán)重的行為，因符合構(gòu)成要件該當(dāng)性而推定具有形式違法性，但如果該使用行為構(gòu)成合理使用就可以阻卻實質(zhì)違法性。這與著作權(quán)法上通常將合理使用歸入侵權(quán)抗辯事由在思路上一脈相承。概言之，個人信息的合理使用制度處于保護(hù)與限制個人信息權(quán)利的平衡點，通過適度限制信息主體的權(quán)利促進(jìn)信息資源的流動利用，調(diào)節(jié)信息主體與信息處理者之間的利益均衡，實現(xiàn)保護(hù)個人信息權(quán)益與增進(jìn)社會公共福祉的雙重目的。

合法利益豁免為個人信息合理使用提供了正當(dāng)性基礎(chǔ)。歐盟最早在1995年的《數(shù)據(jù)保護(hù)指令》中引入個人數(shù)據(jù)處理無須征得數(shù)據(jù)主體同意的合法利益豁免機(jī)制，隨后在《一般數(shù)據(jù)保護(hù)條例》中繼承并完善了這一制度(7)歐盟《一般數(shù)據(jù)保護(hù)條例》第6條規(guī)定：“有下列情況之一，數(shù)據(jù)處理視為合法：……(e)處理是為了執(zhí)行公共利益領(lǐng)域的任務(wù)或行使控制者既定的公務(wù)職權(quán)之必要；(f)處理是控制者或第三方為了追求合法利益之必要，但此利益與數(shù)據(jù)主體的利益或基本權(quán)利自由相沖突的除外，尤其是數(shù)據(jù)主體為兒童的情形?！?。合法利益判斷并不限于公共利益，也包括信息處理者的正當(dāng)使用利益。對于何為合法利益？美國隱私保護(hù)法采取“合理預(yù)期標(biāo)準(zhǔn)”(8)美國《消費(fèi)者隱私權(quán)利法案》第103條(b)款規(guī)定：“當(dāng)機(jī)構(gòu)處理行為在相應(yīng)場景中合理時，無需經(jīng)過用戶同意或滿足其他要件而自動獲得合法性授權(quán)?！保陨鐣话愎妼τ谏姘感畔⑹欠癯钟泻侠淼碾[私期待來界定隱私的保護(hù)范圍。即使沒有信息主體的明確許可，只要信息處理者的相關(guān)使用行為符合信息主體在此情形下的主觀心理預(yù)期，且這種期待客觀上被社會一般公眾認(rèn)為是合理的，那么就可以認(rèn)定信息處理者的使用利益是正當(dāng)?shù)?。但合法利益豁免并非不受任何限制，某一個人信息使用行為即使通過“合理預(yù)期”規(guī)則被認(rèn)定為屬于正當(dāng)利益，還必須進(jìn)行一個符合權(quán)利限制比例原則的“平衡測試”[31]，證明信息處理者的正當(dāng)使用利益高于信息主體的使用自主利益，即只有優(yōu)越利益才能夠適用合法利益豁免機(jī)制。

個人信息合理使用強(qiáng)調(diào)使用行為的合理性，包含三個要素：一是屬于法律規(guī)定的特殊情形；二是不影響個人信息安全；三是不損害信息主體的合法權(quán)益。個人信息合理使用制度從信息處理者享有的正當(dāng)使用利益出發(fā)，強(qiáng)調(diào)特定情形下信息處理者可以不經(jīng)信息主體許可而使用個人信息，但不得損害信息主體享有的其他權(quán)利。目前，我國在《民法典》第1036條將“合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息”和“為維護(hù)公共利益或者該自然人合法權(quán)益，合理實施的其他行為”納入侵犯個人信息權(quán)益的免責(zé)事由。同時，分別在最新修訂的《個人信息安全規(guī)范》(GB/T 35273—2020)第5.6條和《個人信息告知同意指南(征求意見稿)》6.1條詳細(xì)列舉了信息處理者使用個人信息時免于告知同意(征得授權(quán)同意的例外)的十余種情形，涵蓋履行強(qiáng)制性法律義務(wù)、保障國家安全與公共安全、保護(hù)公共利益、維護(hù)個人生命財產(chǎn)重大權(quán)益，以及開展公益性學(xué)術(shù)研究等方面。由此可見，我國現(xiàn)有的合理使用制度在設(shè)計上側(cè)重于以社會公共利益來限制個人信息使用自主、阻卻行為違法性，未來應(yīng)更進(jìn)一步將信息處理者利用個人信息追求正當(dāng)且必要的經(jīng)濟(jì)利益納入合理使用的范疇，但生物特征、行蹤軌跡、通信內(nèi)容、財產(chǎn)狀況、14歲以下兒童信息等個人敏感信息除外。

四、結(jié)語

尋找社會利益與個人自由之間的平衡點是刑法學(xué)永恒的追求[32]，個人信息刑法保護(hù)規(guī)范承載著保護(hù)個人信息法益與促進(jìn)信息資源有效利用的雙重使命。網(wǎng)絡(luò)時代發(fā)展到大數(shù)據(jù)深度挖掘應(yīng)用階段，個人信息自主的內(nèi)涵更加豐富，不僅包括以獲取、出售、提供為代表的轉(zhuǎn)移自主，還包括使用自主。個人信息使用價值的日益凸顯使得使用自主相較轉(zhuǎn)移自主具有更核心的法益地位，個人信息法益刑法保護(hù)的重點從轉(zhuǎn)移自主轉(zhuǎn)向使用自主是大數(shù)據(jù)時代的必然要求。然而，當(dāng)下侵犯公民個人信息罪只保護(hù)個人信息轉(zhuǎn)移自主，沒有涉及個人信息使用自主，由此產(chǎn)生刑法規(guī)制漏洞，無力應(yīng)對非法使用個人信息行為愈演愈烈、法益侵害嚴(yán)重這一現(xiàn)實而緊迫的問題。因此有必要在遵循刑法謙抑性原則的前提下合理確定非法使用個人信息行為的入罪要件與出罪事由，厘清個人信息使用自主刑法保護(hù)邊界，平衡信息主體的使用自主利益與信息處理者的正當(dāng)使用利益，在保障個人信息安全的同時推動大數(shù)據(jù)產(chǎn)業(yè)健康可持續(xù)發(fā)展。