論非法利用個人信息行為入罪

壽寧靜

(華東政法大學，上海 200042)

一、問題的提出

隨著經(jīng)濟社會的高速發(fā)展和信息化時代的不斷進步，對于個人信息的保護在立法方面愈來愈受到重視。刑事層面與公民個人信息相關的正式立法最早開始于以刑法修正案（七）在刑法第253條之一增設“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”兩項罪名，其中前罪以國家機關、涉及公共服務或利益的單位的工作人員作為主體。隨著個人信息應用領域的逐漸活躍，2015年11月起施行的刑法修正案（九）將罪名整合為侵犯公民個人信息罪以促進立法的精簡，刪去了對“出售、非法提供公民個人信息罪”所設置的特殊主體要求，并將其調整為從重處罰的量刑情節(jié)。此外，還將法定刑作了提升，設置“情節(jié)特別嚴重”的情形。而面對侵犯個人信息犯罪方法和模式的千變萬化，該罪在司法實踐具體定罪量刑的過程中，亟需統(tǒng)一法律適用標準，因此，由兩高頒布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）以解決這一混亂狀態(tài)?；仡櫯c個人信息有關的刑事立法進程，不難發(fā)現(xiàn)，我國在個人信息的刑法保護方面已經(jīng)取得了一定的進展，但是由于個人信息作為“數(shù)據(jù)黃金”，在大數(shù)據(jù)時代的背景下對于各行業(yè)，特別是互聯(lián)網(wǎng)行業(yè)有著高度的應用價值和商業(yè)價值。在巨大的利益誘惑面前，一條關于個人信息的分工明確、精細完整的黑色產(chǎn)業(yè)鏈逐漸形成，包括對個人信息的非法獲取、利用、出售或提供等環(huán)節(jié)，除對個人信息非法利用之外，另外兩個環(huán)節(jié)已納入刑法規(guī)制范疇。然而，近年來，對于個人信息的侵犯甚至愈演愈烈，案件數(shù)量呈井噴式急劇增長，并且隨著信息技術的深度發(fā)展以及施害者規(guī)避法律的經(jīng)驗積累而逐漸呈現(xiàn)出“合法獲取、不當利用”的新典型特征，比如個人信息拼圖式獲用、強制打包授權、有針對性地強制推送等新花樣層出不窮[1]，這一嚴峻現(xiàn)實對于個人信息的刑事立法提出了新的要求。

二、非法利用個人信息行為入罪的必要性

（一）非法利用個人信息行為具有嚴重法益侵害性

侵犯公民個人信息罪的法益屬性在刑法學界尚有分歧，大致分為“個人法益論”、“超個人法益論”和“復合法益折中論”三種觀點，這也導致了在司法實踐中罪名適用的混亂，筆者以“個人信息”一詞作為檢索內容，在中國裁判文書網(wǎng)中進行全文檢索，得到共計30564份相關刑事判決書，而其中以“侵犯個人信息罪”作為案由的僅5816份，而余下六分之五的文書多適用侵犯財產(chǎn)罪、破壞社會主義市場經(jīng)濟秩序罪、妨害社會秩序管理罪等章節(jié)下的具體罪名。①而筆者更贊同以“個人法益論”進行分析，支持這一觀點的理由主要有兩點：其一，從罪名的章節(jié)安排來看，侵犯公民個人信息作為刑法第253條之一被安排在刑法分則第四章，關注公民人身權利與民主權利，并且第253條為侵犯公民通信自由和隱私權益的私自開拆、隱匿、毀棄郵件、電報罪，出于邏輯的統(tǒng)一性和相契性，其法益屬性應當只涉及個人相關權益而不應是社會利益或公共秩序；其二，基于刑法保障法的地位和謙抑性的原則，其不應創(chuàng)設新型法益，而應當堅持法秩序的統(tǒng)一性，與前置法所保障的客體保持一致，結合《中華人民共和國民法典》將個人信息保護的相關規(guī)定編入人格編中的做法，侵犯公民個人信息罪所保護的法益也應為公民的個人權益。這一個人法益應當是以信息自決權為核心的個人信息權，信息自決權是指信息主體能夠在自主意志之下，積極控制并支配其個人信息的決定權。非法利用個人信息行為則阻礙了公民決定其個人信息是否被其他個體或單位利用以及如何利用的自由，因其對信息自決權的侵犯而具備法益侵害性。

非法利用個人信息行為的法益侵害性與目前刑法已有規(guī)定的兩種非法流轉類的外圍行為的法益侵害性相比，可以說是有過之而無不及，應當作犯罪化處理。第一，非法利用個人信息行為對法益的侵害更為實質且直接。個人信息最重要的特征在于可識別性，公民個人信息與其信息主體存在一一對應關系，因此對于個人信息的非法收集、利用和處理都將對信息主體的權益產(chǎn)生侵害。需要注意的是，雖然兩類外圍行為也會損害公民所享有的信息自決權，但是無論是獲取還是出售或提供都屬于對個人信息的物理或空間上的轉移，即使經(jīng)手的主體再多，通常也只會對法益產(chǎn)生形式上的抽象危險。與之相較，非法利用個人信息行為則將切實地對個人信息背后指向的個體的名譽、財產(chǎn)或征信等方面產(chǎn)生直接損害或威脅。第二，非法利用個人信息行為對法益的侵害更為本源。個人信息的利用價值應當是個人信息的核心價值所在，非法利用個人信息是侵犯個人信息犯罪的最終歸宿與落腳點，在整個黑色產(chǎn)業(yè)鏈當中出于原動力的地位。以大數(shù)據(jù)時代為背景，個人信息的價值與其背后的利益不言而喻，施害者對于個人信息利用價值的追求將作用于其對個人信息的瘋狂獲取和流轉，導致惡性循環(huán)，使侵犯個人信息犯罪的治理和規(guī)制難上加難。

（二）非法利用個人信息行為具有獨立性

我國刑法所規(guī)定的侵犯公民個人信息罪目前只規(guī)制非法獲取和出售或非法提供行為，而未直接將非法利用行為納入刑法規(guī)制范疇，有學者將其稱為“外圍式立法模式”，[2]立法者主要是基于已規(guī)定的兩類外圍行為與非法利用個人信息行為之間存在必然聯(lián)系，但是這一觀點是應當受到質疑的，非法利用信息行為與兩類外圍行為之間并不存在必然關系，無法被二者所涵蓋。

第一，就其對法益的侵害而言，如前文所述，非法利用個人信息行為具有更為嚴重的法益侵害性。

第二，就其行為自身內涵而言，非法獲取是指通過脅迫、買賣、騙取、奪取等方式從無到有得到他人的個人信息，非法出售或提供則是使他人能夠得以知悉個人信息的行為，二者都是在行為雙方之間的流轉。而非法利用個人信息則是違反國家有關規(guī)定對個人信息的單向利用和操控，與前二者的含義存在明顯的區(qū)別。

前置法中對個人信息行為模式的規(guī)定

第三，無論是從前置法的規(guī)定還是與其他罪名的比較來看，非法利用個人信息行為在處理個人信息的整個過程當中都具有相當?shù)莫毩⑿?。首先擁有類似罪名構成的侵犯商業(yè)秘密罪被規(guī)定在刑法第219條，而其將非法利用、非法獲取和非法披露三類行為相當而并列規(guī)制，體現(xiàn)出非法利用行為在涉及侵犯信息類犯罪中的獨立地位。而出于法秩序的統(tǒng)一性與刑法的謙抑性，關于個人信息的立法規(guī)定應當與前置法規(guī)定相輔相成，筆者將近年來涉及個人信息的部分前置法規(guī)定作了一定的總結（如下表所示），都將利用與獲取、提供行為進行了區(qū)分而單獨描述。

第四，就目前社會現(xiàn)狀來看，“合法獲取，不當利用”的現(xiàn)象頻發(fā)，尤其是在互聯(lián)網(wǎng)應用領域更是普遍。各類App往往采用設置強制條款或隱蔽性條款的寬口徑授權模式或者以優(yōu)惠券、兌換現(xiàn)金紅包等作為交換條件的擦邊球授權模式以獲取公民在注冊登記時所填寫的相關個人信息，通過在公民同意與授權下的合法獲取方式以防止其滿足侵犯公民個人信息犯罪的構成要件和《解釋》中所規(guī)定的拒不履行信息網(wǎng)絡安全管理義務罪的情形，這為其對個人信息的非法利用提供了便利條件，設下了隱患。

而非法利用個人信息行為也無法被其他罪名所完全涵蓋。有學者提出非法利用個人信息的行為對于施害者來說通常只是詐騙罪、合同詐騙罪等罪名的手段，以下游犯罪對其進行定罪處罰即可，雖然確實存在競合的情況，但是這一觀點存在偏頗之處。首先，以所保護的法益來看，詐騙罪等罪名以公民財產(chǎn)作為法益，而侵犯個人信息犯罪從前文的論述中已知，應當是以個人信息權這一人格利益作為法益，僅以詐騙罪等下游犯罪對其進行評價，往往不夠全面，特別是施害者以第三人的個人信息對被害人進行其他犯罪時，會導致法益保護的不周全。其次，當非法利用個人信息行為涉及譬如轟炸式推送等非犯罪活動時，對個人信息權已造成嚴重損害或威脅，但適用其他犯罪明顯存在困難。

（三）民事和行政層面難以抑制

我國對于個人信息立法的關注是持續(xù)且多面的，如前文所整理，我國在民事和行政層面都已有關于個人信息的相關立法，而即將于2021年1月1日正式施行的《中華人民共和國民法典》對于個人信息保護的規(guī)定更為嚴格，非法利用行為都被規(guī)定為基本行為模式之一，這對抑制非法利用個人信息行為的高發(fā)形勢具有一定的積極作用，這是不可否認的。但是民事和行政層面的規(guī)制存在以下問題：第一，民事和行政層面關于個人信息保護的相關規(guī)定比較籠統(tǒng)，適用標準上比較模糊，且以私人力量在舉證和找到侵權方上存在困難，導致信息主體往往陷入難以維權的泥淖之中，耗費大量的時間成本卻可能控訴無門。第二，民事和行政層面法律法規(guī)的救濟手段相對單一，且缺少威懾力。比較典型的有，根據(jù)《網(wǎng)絡安全法》第43條和《民法典》第1037條的規(guī)定，自然人在發(fā)現(xiàn)個人信息被非法或違約處理時，可以請求及時刪除相關信息，如果有誤可以請求更正。但是對于個人信息被非法或違約處理后所造成的損害和影響應當如何救濟等都缺乏相應規(guī)定，且難以起到長期遏制非法利用個人信息行為的效果。因此，面對民事和行政法律法規(guī)難以有效且長期抑制個人信息被非法利用的嚴峻形勢，應當將其納入刑法視野，多管齊下，刑法將以其威懾力，發(fā)揮一般預防和特殊預防的等多重功能，緩解非法利用個人信息持續(xù)高發(fā)的突出問題。

三、非法使用個人信息行為入罪的具體路徑

（一）入罪設計

前文已論證了非法利用個人信息行為應當被刑法規(guī)制的必要性，但基于大數(shù)據(jù)被普遍應用的時代背景，在對其入罪作具體設計時應當注重把握個人信息利用價值與個人信息保護價值之間的平衡，時刻提防過度犯罪化。在罪名的選擇上，由于非法利用與非法獲取、出售或非法提供是相并列的行為，不用再單獨入罪，在原有的侵犯個人信息犯罪的基礎上以刑法修正案的方式增設新的行為內容即可，也可在一定程度上提高司法成本的利用效率。在罪狀的描述上，主要需要解決的問題有：第一是關于非法利用的理解，筆者認為分為未經(jīng)授權而利用與超過授權范圍、目的、方式而利用兩類，而對其中比較特別的寬口徑授權與擦邊球授權，應當以理性人的標準進行個案判斷是否符合信息主體的合理預期。第二是應當將“情節(jié)嚴重”作為入罪的基本要求，《解釋》中第5條第1款舉例了10種“情節(jié)嚴重”的情形（包含兜底條款），考慮的要素主要包括侵犯信息的用途和流向、侵犯信息類型、侵犯信息數(shù)量、違反犯罪數(shù)額以及犯罪主體特征。在對非法利用個人信息行為進行例舉時也應當采用綜合認定的模式，另外還可根據(jù)非法利用個人信息法益侵害的直接性，增設危害結果作為綜合認定的要素之一對“情節(jié)嚴重”的情形進行例舉，比如非法利用公民個人信息從事違法犯罪活動而導致其征信、名譽和財產(chǎn)受到嚴重損害或威脅的。最后在法定刑的設置上，有觀點認為非法利用個人信息行為與另兩類外圍行為相比對法益會造成更加嚴重的侵害，應當提高針對該行為的法定刑。[3]與之相對，有觀點認為侵犯公民個人信息罪原條文規(guī)定的兩檔法定刑，區(qū)間幅度較大，無需對于非法利用行為設置新的更重的法定刑，只需根據(jù)在現(xiàn)有的法定刑內根據(jù)對法益侵害的嚴重程度進行選擇即可。[4]而筆者更贊同后者的觀點，這一做法能夠一定程度上維護刑法的穩(wěn)定性并更好地包容非法利用個人信息行為。

（二）出罪事由

綜合目前的立法和司法解釋可得侵犯公民個人信息罪的違法阻卻事由主要有三種：知情原則、匿名化處理和優(yōu)越利益。在非法利用個人信息行為入罪之后，三項出罪事由仍可適用。但值得注意的是，筆者認為面對大數(shù)據(jù)井噴的現(xiàn)狀，對于出罪事由的理解不應當僵化固定，而應當根據(jù)個案進行動態(tài)的判斷，特別是知情原則應當注意與“情境脈絡完整性”理論的結合。在個人信息保護領域引入“情境脈絡完整性”理論可以理解為個人信息在最初被授權和收集時的具體情境應當被貫徹，其后續(xù)的利用或提供都不應超出信息主體在最初的情境脈絡下的合理期待。這一做法主要是為了適應數(shù)據(jù)快速流轉和處理海量數(shù)據(jù)的需要，更好地平衡個人信息的利用價值和保護價值，促進數(shù)據(jù)流通效率，更好地發(fā)揮“數(shù)據(jù)黃金”的真正價值。

（三）罪數(shù)問題

由于個人信息流通的快速性和其犯罪過程的復雜性，將非法利用個人信息入罪之后往往會遇到如何解決其罪數(shù)的問題，筆者認為可以分為以下三類情形對此進行討論：其一，非法利用行為與兩類外圍行為之間，出于侵害法益的同一性考慮，應當僅以侵犯公民個人信息罪對其定罪量刑并因其涉及多類行為而從重處罰，但是其所侵犯的信息數(shù)量不再重復計算。其二，非法利用行為與下游其他犯罪之間，分辨究竟應當以數(shù)罪還是一罪進行定罪量刑的關鍵之處在于犯罪行為的數(shù)量，在此類情形下，通常施害者只實施了非法利用個人信息行為，同時符合侵犯公民個人信息罪與下游其他犯罪的構成要件，應當以想象競合，從一重罪處罰的原則處理。值得一提的是，若施害者是以第三人的個人信息針對被害人實施其他犯罪，雖然犯罪行為仍然只有一個，但出于法益保護的周延性，可作為從重處罰的情節(jié)進行評價。其三，非法利用行為、兩類外圍行為與下游其他犯罪之間比較復雜，應當“兩步走”。首先，以想象競合，從一重罪的原則判斷非法利用個人信息這一行為應當選擇哪一罪名。在這一判斷的基礎之上再分情況討論，若是應當選擇侵犯公民個人信息罪，則按照第一種情形處理；若是應當以下游其他犯罪定罪量刑，則根據(jù)兩類外圍行為的順序不同作相區(qū)別的罪數(shù)處理，非法獲取個人信息行為通常因與其存在牽連關系而從一重罪處理，出售或非法提供個人信息行為應當與其數(shù)罪并罰。

四、結語

大數(shù)據(jù)時代的來臨和高速發(fā)展，對于我國的價值無疑是兩面性的，這既是一次能夠促進我國經(jīng)濟與技術迅速發(fā)展的機遇，也是對個人信息和權益保護的一次嚴峻挑戰(zhàn)，這就要求我國在立法時應當注重平衡信息利用價值和信息保護價值，以此促進信息社會的良性循環(huán)。潛藏著巨大價值的個人信息成為了各行各業(yè)的“珍饈”，特別是在互聯(lián)網(wǎng)行業(yè)往往以各種方式尋求用戶對個人信息利用的授權，但這一過程也因為企業(yè)的逐利性不可避免地滋生了犯罪，而能夠通過識別而拼湊出完整個體的個人信息被侵犯其危害性不言而喻，在刑事立法上應當受到充分的正視。雖然我國目前刑法對于個人信息的規(guī)制已經(jīng)取得了不小的進步，但是隨著信息社會日新月異的變化，侵犯個人信息犯罪新的形式如雨后春筍般不斷冒頭，“外圍式立法”的方式逐漸失靈。而2020年的新冠疫情防控也對個人信息的保護提出了更高的要求，為了更好地合法有效利用個人信息以維護社會運轉，更應當對于非法利用個人信息行為進行明確。因此，出于非法利用個人信息行為的法益侵害性、其行為模式在侵犯個人信息過程中的獨立性以及目前民事、行政層面立法的力有不逮，應當將非法利用個人信息行為增設到侵犯公民個人信息犯罪中對其進行全程打擊。當然，為了使得大數(shù)據(jù)產(chǎn)業(yè)能夠健康持續(xù)地發(fā)展，除了完善刑法之外，還應當繼續(xù)健全民法、行政法等前置法規(guī)定，各部門法之間相互銜接、配合，各司其職，以此實現(xiàn)對公民個人信息的周全保護。

注釋：

①中國裁判文書網(wǎng)檢索頁：http://wenshu.court.gov.cn/website/wenshu/181217BMTKHNT2W0/index.html?pageId=6b5f5310e90f442664c98a9217134f49&s21=%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF&s8=02&s6=01 最后訪問時間：2020年7月18日20時38分。