黃陳辰

（中國政法大學 刑事司法學院，北京 100088）

一、問題的提出

隨著人工智能、云計算等技術(shù)的進步，個人信息逐漸成為經(jīng)濟建設(shè)與社會發(fā)展中不可或缺的重要資源。大數(shù)據(jù)時代，信息的價值往往體現(xiàn)在具有一定規(guī)模的流通與利用上，以打通“數(shù)據(jù)孤島”，實現(xiàn)開放共享。[1]196但并非一切主體均有權(quán)合法掌握大量個人信息，因此某些不具備相關(guān)資格的行為人即采取非法利用等手段，未經(jīng)權(quán)利人許可，擅自使用他人信息從事金融、科研等工作，甚至實施違法犯罪行為。例如，2020年4月，西北工業(yè)大學明德學院多名尚未就業(yè)的學生在使用“個人所得稅”app時發(fā)現(xiàn)，自己莫名成為某些公司的員工甚至有從該公司獲得工資收入的記錄，但其本人對此毫不知情。經(jīng)查，該校大一到大四年級共有614名學生納稅記錄異常，涉及83家企業(yè)，這些企業(yè)盜用學生信息，通過偽造員工身份、虛發(fā)工資等手段進行虛假納稅申報，以達到減少納稅數(shù)額的目的。[2]

雖然我國有關(guān)個人信息保護的法律規(guī)范不斷完善，尤其是在2021年8月20日第十三屆全國人大常委會第三十次會議審議通過了《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）之后，公民個人信息的法律保護進入一個全新的階段。但當前民事、行政規(guī)范的保護措施具有相當?shù)脑瓌t性且缺乏具體適用性，無法有效遏制非法利用公民個人信息的行為，因此需在刑事領(lǐng)域?qū)で蟾邚姸鹊慕鉀Q方案。然而我國刑法中并未設(shè)置“非法利用公民個人信息罪”，第二百五十三條之一“侵犯公民個人信息罪”也僅處罰非法獲取、非法提供他人信息的行為，2020年12月26日出臺的《刑法修正案（十一）》第三十二條雖將冒名頂替行為納入刑法規(guī)制范圍，但其適用僅限于“盜用、冒用他人身份，頂替他人取得的高等學歷教育入學資格、公務(wù)員錄用資格、就業(yè)安置待遇”的情形。因此已有法律對非法利用公民個人信息行為的打擊較為薄弱，刑法規(guī)制仍然缺位，無法適應(yīng)非法利用行為愈演愈烈的社會現(xiàn)實。本文試圖在分析我國非法利用公民個人信息行為刑法應(yīng)對現(xiàn)狀的基礎(chǔ)上，結(jié)合其所存在的弊端與困境，提出未來可能的規(guī)制進路，以實現(xiàn)對該類行為的周全評價，同時在個人信息流通、利用與刑法保護之間尋求雙向平衡。

二、非法利用公民個人信息行為的含義解讀及典型情形

（一）非法利用行為的意蘊闡釋

我國立法確認與強化了“知情同意規(guī)則”在個人信息保護中的核心地位。例如《個人信息保護法》《民法典》《網(wǎng)絡(luò)安全法》《信息安全技術(shù)個人信息安全規(guī)范》等法律法規(guī)明確規(guī)定收集、使用個人信息原則上必須征得信息權(quán)利人的同意。雖由于實際操作流于形式、過分阻礙數(shù)據(jù)信息自由流通等原因，近年來“知情同意規(guī)則”受到部分學者的質(zhì)疑與批判，但其目前仍然是信息收集和處理的合法性基礎(chǔ)以及判斷行為是否侵犯信息主體權(quán)利的主要標準，在理論與實踐中被廣泛適用。[3]非法利用中的“非法”指的是違反國家有關(guān)規(guī)定，即上述關(guān)于個人信息保護的法律規(guī)范，其中最主要的內(nèi)容即“知情同意規(guī)則”。因此本文所稱非法利用行為是指違反“知情同意規(guī)則”的信息使用行為，意即未經(jīng)信息權(quán)利人許可，擅自使用他人信息從事金融、科研甚至違法犯罪等活動的行為，前述盜用學生信息、虛構(gòu)員工身份，通過增加工資支出以減少應(yīng)納稅款數(shù)額的案例即為典型適例。

需要注意的是，非法利用行為不同于冒用行為。冒用最主要的特征在于冒名頂替，即行為人以信息權(quán)利人的身份從事活動，在需要提供身份證明的場合以信息權(quán)利人自居。冒用包括與權(quán)利人協(xié)商一致、未經(jīng)權(quán)利人許可兩種，前者屬于共謀的身份冒用，后者又稱身份盜竊，指的是某人獲得屬于他人的數(shù)據(jù)或信息，然后冒充受害人的行為。[4]非法利用與冒用的不同之處在于前者必然未獲得權(quán)利人同意，而后者則存在共謀的情形，二者屬于交叉關(guān)系，在身份盜竊范圍內(nèi)重合。本文探討的行為類型僅限于非法利用公民個人信息的行為，不包括共謀的冒用行為。從《刑法修正案（十一）》第三十二條的表述來看，其重點在于頂替他人取得相關(guān)資格或待遇，屬于冒用行為，因此其規(guī)定僅適用于利用他人身份信息進行冒名頂替的情形，無法完全解決非法利用行為刑法規(guī)制缺位的問題。

（二）非法利用公民個人信息的典型情形

情形1：2008年，西安電子科技大學財務(wù)處在未征得學生同意的情況下，擅自使用其所掌握的該校學生身份信息，為一萬多名學生辦理了“中國工商銀行牡丹運動圓夢學生卡”。該事件曝光后，學校公開致歉并將上述信用卡注銷。[5]

情形2：上文所述某公司盜用西北工業(yè)大學明德學院600余名在校學生的信息用于偽造員工身份并進行虛假納稅申報。此類行為并非個案，2020年由于使用“個人所得稅”app而曝光的盜用學生信息充當員工進而抵扣應(yīng)納稅額的案例就有數(shù)起，涉及多個學校的數(shù)千名學生，除西北工業(yè)大學外還包括成都醫(yī)學院、河南財經(jīng)政法大學、西南民族大學等。[6]

情形3：2018年8月，美國色情網(wǎng)站Naughty America利用深度偽造技術(shù)，推出一項色情視頻換臉服務(wù)，只要用戶提供足夠數(shù)量的他人或自己的視頻、照片，即可以通過技術(shù)處理，將其替換成原色情視頻中的主角。[7]2019年9月，在我國風靡一時的人工智能換臉app“ZAO”也因存在此類風險而被工業(yè)與信息化部約談，最終被下架。[8]

情形4：2020年2月，“電話邦”公司聯(lián)合中國可信號碼數(shù)據(jù)中心發(fā)布了《2019年度騷擾電話形勢分析報告》?！秷蟾妗凤@示，2019年用戶標記“推銷”、“騷擾電話”、“詐騙電話”7.8億余次，約占總標記數(shù)的65%。[9]

情形5：2020年6月曝光的“山東茍晶高考被頂替案”顯示，1997年茍晶高考后放棄填報志愿，其班主任邱印林在茍晶不知情的情況下，幫助其女兒邱小慧冒用茍晶個人信息與高考成績填報志愿，最終邱小慧以茍晶之名被北京煤炭工業(yè)學校錄取。[10]

三、刑法應(yīng)對的當前路徑：被動性附隨打擊

（一）刑法應(yīng)對現(xiàn)狀

如上文所述，非法利用公民個人信息行為指的是違反知情同意規(guī)則，未經(jīng)信息權(quán)利人許可，擅自使用他人信息從事金融、科研甚至違法犯罪等活動的行為。當前我國刑法中并未設(shè)置專門針對非法利用公民個人信息行為的罪名，且其他與個人信息相關(guān)的犯罪亦因行為方式、犯罪對象等要素不匹配而無法適用。例如《刑法》第二百五十三條之一“侵犯公民個人信息罪”僅規(guī)制非法獲取、非法提供他人信息的行為，非法利用不屬于該罪的行為方式，因此出現(xiàn)防范漏洞；[11]又如《刑法》第二百八十條之一“盜用身份證件罪”的犯罪對象為居民身份證、護照、社會保障卡、駕駛證等依法可以用于證明公民身份的證件，其內(nèi)容雖為身份信息，但本質(zhì)上僅屬于物質(zhì)載體而非信息本身，且盜用該證件的行為所侵犯的法益是國家對身份證件的管理秩序；[12]1042再如《刑法修正案（十一）》第三十二條僅適用于“盜用、冒用他人身份，頂替他人取得的高等學歷教育入學資格、公務(wù)員錄用資格、就業(yè)安置待遇”的特殊情形。因此，對于實踐中普遍存在且占絕大多數(shù)的一般非法利用行為而言，仍無適當罪名適用，刑法直接規(guī)制依然缺位。

但需要注意的是，規(guī)制缺失并不意味著對非法利用公民個人信息行為的放任。由于其往往伴隨著其他犯罪，我國刑法通常以打擊相關(guān)犯罪的方式遏制該行為的實施并實現(xiàn)對行為人的處罰。[13]（1）處罰上游犯罪，某些行為人無權(quán)合法掌握公民個人信息，因此其只能通過非法手段獲取他人信息，有的甚至偽造、變造身份證件，其行為構(gòu)成侵犯公民個人信息罪或偽造、變造身份證件罪；（2）處罰中游犯罪，在需要提供身份證明的場合，行為人往往通過使用偽造、變造的身份證件或盜用身份證件的方式非法利用他人信息，其行為構(gòu)成使用虛假身份證件罪、盜用身份證件罪；（3）處罰下游犯罪，某些行為人非法利用他人信息是為了實施逃稅、詐騙等其他犯罪，例如情形2中的涉事企業(yè)通過非法利用學生信息、虛構(gòu)員工身份的方式減少應(yīng)繳納稅款，其行為構(gòu)成逃稅罪。由此可以發(fā)現(xiàn)，我國刑法并未直接、主動地規(guī)制非法利用公民個人信息行為，而是在處罰其他關(guān)聯(lián)犯罪的同時，“順帶”實現(xiàn)遏制該類行為的附屬效果，形成一種被動性附隨打擊的刑法應(yīng)對進路。

“被動性附隨打擊”是指，針對某一尚未被納入刑法規(guī)制范圍但具有嚴重法益侵害性的行為，刑法通過處罰其他關(guān)聯(lián)犯罪，實現(xiàn)對該行為的附隨打擊與遏制。這種打擊模式作為刑法應(yīng)對社會生活的特殊進路，在我國刑法典中始終存在。例如隨著校園貸、套路貸、裸貸等非法網(wǎng)絡(luò)借貸方式的出現(xiàn)，許多年輕學生誤入網(wǎng)貸陷阱，而這些放貸公司為確保貸款能夠收回，通常會雇傭一批專職人員采用侵入住宅等方式進行催債。如果情節(jié)較輕，催債行為不構(gòu)成《刑法》第二百四十五條規(guī)定的非法侵入住宅罪等現(xiàn)有犯罪，因此無法將其納入刑法處罰范圍。[14]但這些放貸公司及專職催債人員的所謂“非暴力”催債方式往往關(guān)聯(lián)其他犯罪，如組織、領(lǐng)導、參加黑社會性質(zhì)組織罪、高利轉(zhuǎn)貸罪、詐騙罪等，因此刑法通過對這些罪名的懲處實現(xiàn)打擊“非暴力”催債行為的目的。①《刑法修正案（十一）》第三十四條已將其規(guī)定為犯罪，實現(xiàn)了“被動性附隨打擊”向刑法獨立規(guī)制的轉(zhuǎn)化，而這也正是非法利用公民個人信息行為刑法應(yīng)對的完善方向。

（二）“被動性附隨打擊”進路的反思

“被動性附隨打擊”進路在未進行刑法修改時具有積極意義，其能夠及時填補法律空白，有效銜接刑法規(guī)范與不斷發(fā)展變化的社會現(xiàn)實，在維護罪刑法定原則的同時實現(xiàn)對具有法益侵害性行為的打擊。但此種進路亦存在其固有缺陷：

1.在刑法上未獨立評價非法利用公民個人信息行為

“被動性附隨打擊”進路雖在一定程度上對非法利用行為進行打擊與遏制，但其本質(zhì)上并未評價該行為，《刑法》中亦沒有與之對應(yīng)的條文與罪名。此種進路僅處罰該行為外圍的伴隨犯罪，其所追求與實現(xiàn)的也只是規(guī)制伴隨犯罪而“順帶”產(chǎn)生的附屬效果，對非法利用信息行為本身并未進行刑法意義上的負面評價。從規(guī)范層面而言，該行為仍然不構(gòu)成犯罪，只是在打擊其他犯罪的同時將負面效果波及到該行為之上。例如情形4中，部分撥打騷擾電話的行為人是通過竊取、收購等非法手段獲取的他人信息，其竊取、收購等行為符合《刑法》第二百五十三條之一“侵犯公民個人信息罪”中非法獲取這一要件，因此在滿足其他條件的情況下，行為人構(gòu)成侵犯公民個人信息罪。但需要注意的是，在這一事例中行為人共實施了兩種行為，即非法獲取他人信息與利用該信息撥打騷擾電話，但侵犯公民個人信息罪僅對應(yīng)了前者，而后者卻無法被涵蓋于該罪的規(guī)制范圍，由此造成了刑法評價上的“真空地帶”。[15]另外，在我國與個人信息保護相關(guān)的民事、行政法律規(guī)范中，非法利用他人信息的行為均被作為侵犯公民個人信息權(quán)的行為之一種，與非法獲取、非法提供等行為并列。例如《民法典》第一千〇三十五條與《個人信息保護法》第四條規(guī)定，“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等；”《網(wǎng)絡(luò)安全法》第四十一條規(guī)定，網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息。由此可見，“被動性附隨打擊”進路不僅造成刑事規(guī)制上的真空，同時也導致刑法規(guī)范與民事、行政法律在個人信息保護方面的不協(xié)調(diào)，使得三者無法有效且合理的相互銜接，更無法為公民個人信息提供周全保護。[16]

2.不存在伴隨犯罪時，無法實現(xiàn)遏制非法利用行為及懲處行為人的目的

“被動性附隨打擊”進路要想發(fā)揮功效，很大程度上取決于是否存在伴隨犯罪，只有出現(xiàn)伴隨犯罪并對其進行規(guī)制，才能取得附隨打擊的效果。但非法利用公民個人信息行為并不必然伴隨著其他犯罪，且其與位于侵犯公民個人信息犯罪鏈條前端的非法獲取、非法提供行為間不存在絕對的條件關(guān)系，因此實踐中亦存在非法利用合法獲取的公民個人信息實施合法行為或一般違法行為的情形。此時“被動性附隨打擊”進路喪失發(fā)揮效用的根基，這是其自身所內(nèi)嵌的固有缺陷。例如情形1中，西安電子科技大學財務(wù)處雖未經(jīng)學生同意擅自利用其個人信息為其辦理信用卡，但由于該信息本身即由學校合法掌握，且在辦卡過程中不存在偽造或盜用身份證件的行為，辦理信用卡亦屬于正常的金融活動，因此沒有相關(guān)聯(lián)的伴隨犯罪，無法通過規(guī)制其他犯罪來遏制非法利用行為或懲處行為人。另外，單純從侵犯公民個人信息犯罪鏈條來看，“被動性附隨打擊”進路體現(xiàn)為現(xiàn)行刑法中的“源頭治理”模式，其強調(diào)通過打擊位于前端的非法獲取、非法提供行為以消除非法利用行為賴以實施的原料，從而在源頭處截斷犯罪進程。但其忽略了后者在整個犯罪生態(tài)中的原動力地位，非法獲取、非法提供他人信息行為的最終目的為對該信息的非法利用，需求側(cè)的打擊才具有釜底抽薪的最佳效果。因此即使存在位于犯罪鏈條前端的伴隨犯罪，“被動性附隨打擊”進路的成效亦會因為忽略了作為犯罪基礎(chǔ)動因的非法利用行為而大打折扣。[17]

3.部分情況下導致罪刑失衡

由于非法利用公民個人信息行為是非法獲取、非法提供行為的基礎(chǔ)動因，是使用偽造、變造的身份證件或盜用身份證件行為的最終目的，同時亦是詐騙、逃稅等犯罪的實施手段，因此其發(fā)揮著串聯(lián)上、中、下游犯罪的作用，在整個侵犯公民個人信息犯罪生態(tài)中處于核心位置。但“被動性附隨打擊”進路未對其進行直接規(guī)制，僅處罰伴隨犯罪，因此在某些情況下會導致罪刑失衡。例如甲將其合法掌握的五千條個人信息非法出售給乙，乙未使用該信息進行其他活動，丙非法利用自身合法掌握的十萬條個人信息撥打騷擾電話進行廣告推銷，此時甲、乙的行為分別屬于非法提供與非法獲取，因此均構(gòu)成侵犯公民個人信息罪，最高可判處七年有期徒刑，而丙則無罪。在上例中，甲、乙的非法獲取與非法提供行為僅導致他人信息在不同主體之間非法流轉(zhuǎn)，并未造成實體損害，因此其僅對法益產(chǎn)生抽象危險。而丙的非法利用行為未獲得信息主體許可，其撥打騷擾電話嚴重損害了權(quán)利人的生活安寧，將前述危險具體化、實害化，因此其對法益的侵害更加直接與嚴重。但從結(jié)果來看，甲、乙均構(gòu)成侵犯公民個人信息罪，丙卻反而無罪，造成嚴重的罪刑失衡。

四、“主動性獨立規(guī)制”進路的提出與建構(gòu)

由于現(xiàn)行“被動性附隨打擊”進路存有上述內(nèi)在缺陷，無法對非法利用公民個人信息行為作出合理的刑法回應(yīng)，因此需進行必要的路線糾偏與模式調(diào)整。將“非法利用”作為獨立的侵犯公民個人信息犯罪的行為類型，與非法獲取、非法提供行為并列，直接規(guī)定于刑法典當中，使得刑法在應(yīng)對非法利用公民個人信息行為時能夠主動加以規(guī)則，而無需依賴于對其他關(guān)聯(lián)犯罪的處罰，意即本文所謂“主動性獨立規(guī)制”進路。

（一）非法利用公民個人信息行為獨立規(guī)制的必要性

除彌補“被動性附隨打擊”進路存有的內(nèi)在缺陷外，對非法利用公民個人信息行為進行主動性獨立規(guī)制還基于以下理由。

1.為法官提供明確的裁判依據(jù)

由于刑法中沒有與非法利用公民個人信息行為相對應(yīng)的法條與罪名，因此在實務(wù)中，若不存在其他關(guān)聯(lián)犯罪而該案又具有較大的社會影響，法官們往往會轉(zhuǎn)而在刑法中尋求相似罪名進行判決，導致法律適用上的不當。例如在魏某甲破壞計算機信息系統(tǒng)案中，魏某甲為泄私憤，利用其所掌握的魏某乙的考號及密碼，登陸山西省招生考試網(wǎng)，擅自將魏某乙填報的大學志愿信息中“專業(yè)是否服從調(diào)劑”選項由“是”更改為“否”，致使魏某乙未被山西某大學護理學專業(yè)錄取，而被該校其他專業(yè)錄取，最終法院認定魏某甲的行為構(gòu)成破壞計算機信息系統(tǒng)罪。①參見（2016）晉0581刑初字290號刑事判決書。但需要注意的是，破壞計算機信息系統(tǒng)罪位于《刑法》第六章“妨害社會管理秩序罪”中，其所侵害的法益為社會管理秩序，即由社會生活所必須遵守的行為準則與國家管理活動所調(diào)整的社會模式、結(jié)構(gòu)體系和社會關(guān)系的有序性、穩(wěn)定性和連續(xù)性。[12]1030而本案中魏某甲僅獲知魏某乙一人的考號及密碼，事實上也僅修改了后者的高考志愿，這種針對特定主體的志愿修改行為并未對作為公共法益的社會管理秩序產(chǎn)生威脅，因此無法被涵蓋入破壞計算機信息系統(tǒng)罪的規(guī)制范圍。另外，將導致他人沒有被理想專業(yè)錄取認定為《刑法》第二百八十六條第二款中的“嚴重后果”，也與最高人民法院、最高人民檢察院針對該罪所做的司法解釋相悖，因此不應(yīng)以破壞計算機信息系統(tǒng)罪對魏某甲進行定罪處罰。魏某甲擅自利用他人考號、密碼修改他人志愿的行為屬于典型的非法利用公民個人信息行為，若刑法將“非法利用”直接規(guī)制為一種獨立的行為類型，則再出現(xiàn)類似案件時，法官即有了明確的裁判依據(jù)，直接按照相關(guān)條文進行判決，而無需違反罪刑法定原則去適用相似罪名。

2.有利于法秩序的統(tǒng)一

“所謂法秩序的統(tǒng)一性，是指由憲法、刑法、民法等多個法領(lǐng)域構(gòu)成的法秩序之間互不矛盾，更為準確地說，在這些個別的法領(lǐng)域之間不應(yīng)作出相互矛盾、沖突的解釋?！盵18]如前所述，在有關(guān)公民個人信息保護的民事、行政法律規(guī)范，如《民法典》《網(wǎng)絡(luò)安全法》《個人信息保護法》中，非法利用行為均被作為一種獨立的行為類型加以規(guī)定，與未經(jīng)信息權(quán)利人許可的獲取、提供等行為并列。由此可知，在民事、行政法律領(lǐng)域內(nèi)，非法利用行為具有獨立違法性。雖作為主流學說的緩和的違法一元論主張“可罰的違法性”概念，認為刑法中的違法具有獨特性，需要具備特定“量”的要素，而并不完全依附于民法或行政法上的判斷。[19]但作為侵犯公民個人信息犯罪鏈條的基礎(chǔ)動因與最終目的，非法利用行為具有極其嚴重甚至比非法獲取、非法提供行為更加直接與具體的法益侵害性，[20]舉輕以明重，其應(yīng)被納入刑法規(guī)制范圍，作為一種獨立的犯罪行為類型。這樣不僅體現(xiàn)了刑法對非法利用行為的負面評價，而且保證了刑法與民法、行政法的合理銜接，當非法利用行為達到一定的嚴重程度時，即跨越前置法的范疇，而能夠在刑法中找到相對應(yīng)適用的條文與罪名，有利于法秩序的統(tǒng)一。

3.域外立法的經(jīng)驗借鑒

從世界范圍來看，其他國家或地區(qū)已有將非法利用公民個人信息行為規(guī)定為一類獨立犯罪行為類型的立法嘗試，為我國采取“主動性獨立規(guī)制”進路提供參考與經(jīng)驗借鑒。例如，《德國刑法典》第 204條規(guī)定使用他人秘密罪，“無故使用他人秘密，特別系經(jīng)營或業(yè)務(wù)秘密······處兩年以下有期徒刑或罰金”；[21]353《葡萄牙刑法典》規(guī)定“不當利用秘密罪”，最高可處一年監(jiān)禁；[22]92美國《防止身份盜竊及假冒法》（Identity Theft and Assumption Deterrence Act）規(guī)定，任何人在無合法授權(quán)的情況下故意轉(zhuǎn)讓或者使用他人的個人信息，構(gòu)成犯罪，最高可處15年監(jiān)禁刑和25萬美元罰金；[23]177歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation）第6條規(guī)定了信息處理的合法性原則，而第4條又對“處理”的概念進行明確，其包含檢索、咨詢、使用或以其他方式利用。[24]55-59同時，隨著各國在政治、經(jīng)濟、文化等領(lǐng)域的合作日益增多，公民個人信息的跨境交互與全球化趨勢亦不斷增強，隨之而來的即是侵犯公民個人信息跨國犯罪的愈演愈烈。在其他國家或地區(qū)將非法利用公民個人信息行為納入刑法規(guī)制范圍并規(guī)定為一類獨立犯罪行為類型的背景下，我國只有采取“主動性獨立規(guī)制”進路才有利于各國間打擊相關(guān)犯罪的國際司法合作。[25]

（二）“主動性獨立規(guī)制”進路的具體建構(gòu)

1.將非法利用行為納入侵犯公民個人信息罪

針對刑法直接規(guī)制非法利用公民個人信息行為的問題，眾多學者給出了不同的方案：（1）有學者認為可以對侵犯公民個人信息罪中“非法獲取”的“非法”二字進行含義擴張，將其解釋為“以非法利用為目的”，以此通過刑法解釋在不進行修法的情況下將非法利用公民個人信息行為納入刑法規(guī)制范疇；[26]（2）另有學者主張，非法利用他人信息擅自辦理信用卡等行為，形式上看似屬于對他人信息的使用，實則是未經(jīng)權(quán)利人許可的非法提供，即將他人信息提供給銀行等金融機構(gòu)以辦理相關(guān)業(yè)務(wù)，因此可以直接適用侵犯公民個人信息罪加以規(guī)制；（3）亦有學者認為，考慮到非法利用公民個人信息行為類型的多樣性與復雜性，可以直接將具有嚴重社會危害性的非法利用行為規(guī)定為新的犯罪[27]，例如“盜用身份信息罪”、“非法利用公民個人信息罪”等。

筆者認為，觀點（1）與觀點（2）均能在一定程度上填補非法利用行為的刑法規(guī)制漏洞，但前者會將以非法利用為目的，合法獲取他人信息后未實施后續(xù)行為的情形認定為侵犯公民個人信息罪，導致犯罪圈的不當擴大，后者無法適用于無需將他人信息提供給第三方的非法利用行為，且二者均沒有進行單獨規(guī)制，仍存有“被動性附隨打擊”進路的部分弊端，因此均不可取。觀點（3）從立法論的角度提出增設(shè)新的罪名，但由于非法獲取、非法提供、非法利用三者侵害的法益相同，且侵犯公民個人信息罪一直是對侵犯公民個人信息類犯罪的總體性、一般化規(guī)定，因此考慮到法律的體系性以及立法的成本，應(yīng)當直接將非法利用行為納入侵犯公民個人信息罪的規(guī)制范疇。具體而言，由于非法獲取行為的主體為無權(quán)合法獲取他人信息的自然人或單位，非法提供行為的主體同時包括有權(quán)、無權(quán)獲取他人信息的自然人或單位，而非法利用行為的主體與后者相同，因此在罪狀選擇上適合將其合并歸入《刑法》第二百五十三條之一第一款。另外，雖非法利用行為具有比非法獲取、非法提供更直接、具體的法益侵害性，但由于該款本身設(shè)有“三年以下有期徒刑或者拘役，并處或者單處罰金”與“三年以上七年以下有期徒刑，并處罰金”兩檔刑罰，區(qū)間幅度較大，非法利用行為與非法獲取、非法提供間法益侵害性的差異可以通過在區(qū)間內(nèi)具體選擇輕重有別的刑罰加以區(qū)分，因此亦可以直接適用該款法定刑。最終，增加了非法利用行為的條文具體表述為，“違反國家有關(guān)規(guī)定，利用、出售或者向他人提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金”。

2.三個具體問題

（1）“情境脈絡(luò)”模式的引入與“知情同意”規(guī)則的弱化。如前文所述，“知情同意”規(guī)則是判斷非法利用行為是否成立的最主要標準。但隨著大數(shù)據(jù)時代的來臨以及個人信息在社會發(fā)展中所具有的價值不斷增強，過分強調(diào)權(quán)利人的同意嚴重阻礙了信息的正常流轉(zhuǎn)與充分利用，尤其是在涉及已公開信息的場合，這種阻礙顯得格外明顯。因此判斷是否存在非法利用的標準亦需要隨著時代的發(fā)展而更新完善，引入“情境脈絡(luò)”模式并弱化“知情同意規(guī)則”即為一種合理的選擇。

“情境脈絡(luò)”模式是紐約大學的尼森鮑姆（Helen Nissenbaum）教授所提出的“情境脈絡(luò)完整性”理論在個人信息保護領(lǐng)域的具體運用。該模式強調(diào)應(yīng)尊重個人信息被原始收集時的具體情境，后續(xù)對該個人信息的流轉(zhuǎn)與利用均不得超出最初的情境脈絡(luò)，這種判斷是動態(tài)的、具體的。[28]根據(jù)“情境脈絡(luò)”模式，若對信息的利用行為尚未超出權(quán)利人原先的合理預期，未產(chǎn)生不可接受的風險，則屬于合理利用，無論權(quán)利人是否同意，均不構(gòu)成非法利用。例如，學校在招錄時會合法收集各個學生的相關(guān)信息，包括姓名、性別、出生日期、籍貫、報考專業(yè)、考試成績等。學校掌握這些信息是用于對學生進行教學、就業(yè)、生活等各方面的日常管理，因此若學校在此范圍內(nèi)利用學生信息，如進行教學評估、定向發(fā)布就業(yè)信息等，則仍屬于學生在報考該校并提供個人信息時的具體情境，不會超出其原有的合理預期。故即使未征得全體學生同意，學校的利用行為也不構(gòu)成非法利用。“情境脈絡(luò)”模式不要求對個人信息的利用必須以權(quán)利人同意為前提，最大限度地保證了信息的自由流轉(zhuǎn)與運用，充分發(fā)揮個人信息在大數(shù)據(jù)時代的價值。引入“情境脈絡(luò)”模式并不意味著完全拋棄“知情同意規(guī)則”，而是對其進行弱化，即基于信息自決權(quán)的個人法益屬性，賦予其犯罪阻卻事由的體系性地位，若權(quán)利人知情并同意行為人對其個人信息加以利用，則在構(gòu)成要件或違法性層面否定犯罪的成立。

（2）“情節(jié)嚴重”判斷標準的更新?！蹲罡呷嗣穹ㄔ鹤罡呷嗣駲z察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第五條、第六條規(guī)定了侵犯公民個人信息罪中非法獲取、非法提供行為“情節(jié)嚴重”與“情節(jié)特別嚴重”的判斷標準，包括行為方式、涉案信息數(shù)量、違法所得、曾受處罰等。這些標準能夠為非法利用行為的入罪提供參考，但在具體規(guī)定時應(yīng)充分考慮非法利用行為的特殊性。例如前述情形2與情形1的區(qū)別在于行為人非法利用他人信息實施的并非正常金融活動，而是逃稅這一違法犯罪行為。因此情形2相較于情形1而言具有更嚴重的法益侵害性，故應(yīng)降低其入罪門檻，即將“非法利用他人信息實施違法犯罪行為”規(guī)定入“情節(jié)嚴重”，而無需受信息數(shù)量的限制。再如情形3中的深度偽造行為，由于行為人非法利用他人信息制作淫穢視頻，因而可能存在重復利用一定數(shù)量的個人信息，通過與不同的視頻進行合成，制作大量淫穢視頻的情形。此時單純的涉案信息數(shù)量無法完全反映該行為的法益侵害性，因此應(yīng)綜合考察視頻制作完成情況、換臉仿真程度、淫穢視頻數(shù)量、被害人數(shù)量等要素。

（3）與《刑法修正案（十一）》的銜接?！缎谭ㄐ拚福ㄊ唬返谌l在刑法第二百八十條之一后增加一條，作為第二百八十條之二，該條規(guī)制了“盜用、冒用他人身份，頂替他人取得的高等學歷教育入學資格、公務(wù)員錄用資格、就業(yè)安置待遇”的行為。從第三十二條的表述可知，該條關(guān)注的重點在于冒名頂替，因此屬于對公民個人信息的冒用。如前所述，非法利用與冒用屬于交叉關(guān)系，在身份盜竊的范圍內(nèi)重合，故第三十二條規(guī)制的內(nèi)容涵蓋了部分非法利用公民個人信息的行為，即未經(jīng)信息權(quán)利人許可，擅自使用他人身份信息以頂替他人取得相關(guān)資格與待遇的情形。而“主動性獨立規(guī)制”進路將非法利用行為納入侵犯公民個人信息罪，將其合并歸入《刑法》第二百五十三條之一第一款并適用該款法定刑，因此對于與冒用行為交叉的部分，必須厘清侵犯公民個人信息罪與《刑法修正案（十一）》第三十二條之間的銜接問題。根據(jù)目前主流觀點，侵犯公民個人信息罪的法益為個人信息權(quán)，其屬于一種新型的具體人格權(quán)；[29]而《刑法修正案（十一）》第三十二條所增設(shè)的罪名位于《刑法》第二百八十條之一后，作為第二百八十條之二，其被置于《刑法》第六章第一節(jié)“擾亂公共秩序罪”中，所保護的法益為社會公共秩序與教育、就業(yè)公平。另外，無論是侵犯公民個人信息罪還是《刑法修正案（十一）》第三十二條所增設(shè)的罪名，其均無法充分、全面地評價非法使用他人身份信息以頂替他人取得相關(guān)資格與待遇的行為的所有不法內(nèi)容。例如，若僅適用前者，則沒有評價冒名頂替；若僅適用后者，則沒有評價違背“知情同意規(guī)則”。因此，根據(jù)法益同一性與不法包容性的實質(zhì)標準，侵犯公民個人信息罪與《刑法修正案（十一）》第三十二條增設(shè)的罪名屬于想象競合的關(guān)系。[30]當行為人非法使用他人身份信息以頂替他人取得相關(guān)資格與待遇時，應(yīng)按照從一重罪的原則進行處理。《刑法修正案（十一）》第三十二條條新增罪名的法定刑為“三年以下有期徒刑、拘役或者管制，并處罰金”，而侵犯公民個人信息罪的基本刑為“三年以下有期徒刑或者拘役，并處或者單處罰金”，二者最高刑相同，但由于后者存在單處罰金的情形，因此其最低刑更輕，故綜合而言前者的法定刑更重，當行為人的行為僅符合侵犯公民個人信息罪“情節(jié)嚴重”的情形時，應(yīng)認定其構(gòu)成《刑法修正案（十一）》第三十二條新增的犯罪。但侵犯公民個人信息罪的加重刑為“三年以上七年以下有期徒刑，并處罰金”，因此當行為人的行為符合侵犯公民個人信息罪“情節(jié)特別嚴重”的情形時，應(yīng)認定其構(gòu)成侵犯公民個人信息罪。

結(jié) 語

“大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)是這個時代最醒目的標識，也是信息時代的未來圖景，在這個時代，每個人都會不自覺的融入網(wǎng)絡(luò)空間，幾乎每個個體都成了大數(shù)據(jù)的來源者、使用者和得利者”[31]2，而個人信息本身也成為現(xiàn)代社會發(fā)展的重要資源與核心動力。隨著個人信息潛在價值的不斷發(fā)掘，伴隨產(chǎn)生的風險也逐漸增多，而非法利用公民個人信息行為即是其中最為重要的一類。當前刑法并未直接規(guī)制非法利用行為，而是通過懲處關(guān)聯(lián)犯罪以期取得對其進行打擊的附隨效果。這種進路雖能夠在維護罪刑法定原則的基礎(chǔ)上對愈演愈烈的社會現(xiàn)實給予一定的回應(yīng)，以彰顯刑法對這類行為的否定性態(tài)度，但其過于被動與間接，存在本質(zhì)上的固有缺陷，因此需進行路徑轉(zhuǎn)換。從立法論的視角出發(fā)，采取“主動性獨立規(guī)制”進路，將此類行為直接納入侵犯公民個人信息罪的規(guī)制范圍是最為合理的選擇。在具體判斷時，可以引入“情境脈絡(luò)”模式并對“知情同意規(guī)則”予以一定程度的弱化，賦予其犯罪阻卻事由的體系性地位；根據(jù)非法利用行為的特殊性，對“情節(jié)嚴重”的判斷標準進行更新與完善；同時依據(jù)想象競合的處理規(guī)則實現(xiàn)侵犯公民個人信息罪與《刑法修正案（十一）》第三十二條新增罪名的合理銜接。