侵犯個人信息行為的刑法全流程規(guī)制模式研究

摘要：在個人信息行為規(guī)制方面，我國前置法與刑法之間存在明顯差異，前置法通過處理規(guī)則的設(shè)計實現(xiàn)了全流程規(guī)制，而刑法只能對部分不法處理行為進行懲治。此種規(guī)范格局導(dǎo)致法律難以銜接并形成刑法保護的盲區(qū)，不利于全面保護個人信息權(quán)益。對此，應(yīng)提倡個人信息的刑法全流程規(guī)制模式，通過間接罪名適用法和法益量刑評價法對不同類型處理行為進行合理規(guī)制。通過理論維度和規(guī)范維度的證成，可以驗證全流程規(guī)制模式具有可操作性。應(yīng)當(dāng)適用刑法合理規(guī)制非法收集行為和非法存儲行為，保障前期階段信息處理安全；適用刑法精準(zhǔn)規(guī)制非法加工行為、非法使用行為和非法流轉(zhuǎn)行為，保障中期階段信息處理安全；運用刑法適度規(guī)制非法披露行為和非法刪除行為，保障后期階段信息處理安全。

關(guān)鍵詞：侵犯公民個人信息罪；全流程規(guī)制；處理；數(shù)據(jù)犯罪；被遺忘權(quán)

中圖分類號：DF626文獻標(biāo)志碼：A

DOI：10.3969/j.issn.1001-2397.2024.05.06開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

數(shù)字技術(shù)的迭代更新使侵犯個人信息行為呈現(xiàn)出流程化特點。不同類型的侵犯個人信息行為可能會給個人權(quán)益帶來直接或間接的損害。對此，《中華人民共和國民法典》（以下簡稱《民法典》）和《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）均規(guī)定了“處理”，立法者試圖以“處理”來涵蓋個人信息處理全流程中的所有行為。①然而，《中華人民共和國刑法》（以下簡稱《刑法》）只規(guī)制部分處理個人信息的行為，對個人信息法益保護明顯不夠周延，無法與前置法形成有效銜接。需要思考的是，對于前置法已有規(guī)定但保護公民個人信息的相關(guān)罪名無法規(guī)制的非法處理行為，刑法是否有必要規(guī)制？若有必要，刑法應(yīng)當(dāng)如何精準(zhǔn)規(guī)制此類行為？本文將研究解決前述問題，進而推動法律銜接和周延保護個人信息權(quán)益。

一、個人信息處理行為的法律銜接障礙及其危害

當(dāng)前，雖然個人信息處理行為及其風(fēng)險均呈現(xiàn)出流程化，但前置法與刑法關(guān)于個人信息處理流程的規(guī)定卻存在時間差，這使前置法與刑法在行為規(guī)制方面不能有機銜接，容易形成刑法的處罰盲區(qū)。

（一）前置法層面：個人信息處理行為的全流程規(guī)制

“處理”是關(guān)涉?zhèn)€人信息行為的總稱，已被各國立法和司法實踐采納。我國關(guān)涉?zhèn)€人信息的最新立法均使用“處理”這一術(shù)語。《民法典》總則編借鑒了歐盟的立法經(jīng)驗，通過舉例的方式勾勒了“處理”的基本輪廓。（《民法典》第111條規(guī)定：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！保睹穹ǖ洹啡烁駲?quán)編和《個人信息保護法》進一步明確了“處理”的內(nèi)容，突顯對個人信息全流程保護的理念?！秱€人信息保護法》中的基本規(guī)則均是以處理的全流程化為底層邏輯。（參見許可：《個人信息治理的科技之維》，載《東方法學(xué)》2021年第5期，第63頁。）然而，《個人信息保護法》中的“處理”比《民法典》中的“處理”多了一個“刪除”的列舉，進一步充實了處理的內(nèi)容?！秱€人信息保護法》和《民法典》中的“處理”定義都以“等”字結(jié)尾，足以應(yīng)對未來的發(fā)展變化。

將“處理”理解為關(guān)涉?zhèn)€人信息的所有活動是文義解釋。法律對特定名詞的定義往往是以抽象概念闡述的方式予以表達，如個人信息，法律不僅列舉了其基本類型，也進行了抽象定義。然而，對于“處理”，《民法典》和《個人信息保護法》均只以具體列舉方式予以闡述。究其原因，可能是因為理論上爭議較大，故立法者先暫時擱置定義，只進行具體列舉。具體列舉雖能夠使處理具象化，但也可能會使處理缺乏普遍適用性，容易引發(fā)適用上的分歧。作為規(guī)范研究者需要通過合理解釋提煉“處理”的抽象含義。本文認為，“處理”是個人信息流通過程中所有行為的統(tǒng)稱?！秱€人信息保護法》之所以在《民法典》的基礎(chǔ)上增加“刪除”，是為了回應(yīng)理論和實務(wù)中保護個人信息被遺忘權(quán)的需求。為了實現(xiàn)《個人信息保護法》與《民法典》的銜接，應(yīng)將前者中的“刪除”融入《民法典》第1035條第2款的“等”中。通過立法明確規(guī)定“處理”的方式來涵蓋個人信息全流程，已成為全球個人信息保護立法的趨勢。

（二）刑事法層面：侵犯個人信息行為的不完全規(guī)制

與前置法的全流程規(guī)制不同的是，刑法中保護個人信息的罪名只能規(guī)制部分不法行為。這意味著對于某些較為嚴重的非法處理個人信息的行為，雖然能夠被前置法規(guī)制，但受罪刑法定原則的約束，無法被刑法規(guī)制。

第一，侵犯公民個人信息罪只能規(guī)制兩類不法行為?！缎谭ā分星址腹駛€人信息罪的客觀行為包括竊取、非法獲取、出售和提供，“竊取”“獲取”可以解釋為“收集”，而“出售”“提供”可以歸納為“提供”，出售也只不過是一種有償提供的表現(xiàn)。換言之，侵犯公民個人信息罪的行為方式只有非法收集和非法提供。非法收集和非法提供在《個人信息保護法》上可以與“收集”“提供”“傳輸”對應(yīng)，這意味著《個人信息保護法》所列舉的其他諸多處理行為，侵犯公民個人信息罪無法規(guī)制。

第二，“竊取、收買、非法提供信用卡信息罪”也只可規(guī)制非法收集和非法提供兩類行為。立法者設(shè)置該罪的目的是保護作為敏感個人信息的信用卡信息。因此，該罪的行為方式與侵犯公民個人信息罪基本相同。該罪由2005年的《中華人民共和國刑法修正案（五）》增設(shè)，當(dāng)時數(shù)字技術(shù)尚未興起，數(shù)據(jù)還未成為重要的資源和生產(chǎn)要素，信用卡信息也是以信用卡的形式呈現(xiàn)，立法者將信用卡信息與信用卡同等看待，在設(shè)置“竊取、收買、非法提供信用卡信息罪”的客觀行為時直接參考了妨害信用卡管理罪的相關(guān)規(guī)定?！缎谭ā返?77條之一第1款第4項規(guī)定：“出售、購買、為他人提供偽造的信用卡或者以虛假的身份證明騙領(lǐng)的信用卡的?！笨梢?，竊取、收買、非法提供均是前述兩罪的行為方式。

（三）前置法與刑法不完全銜接的危害

如前文所述，侵犯公民個人信息罪只能規(guī)制“竊取、非法獲取、出售和提供”，《個人信息保護法》通過處理規(guī)則的設(shè)計已實現(xiàn)對個人信息的全流程規(guī)制。因此，在個人信息處理行為的規(guī)制方面，前置法與刑法之間無法全面銜接。這種銜接不暢的局面可能會產(chǎn)生一定的危害，不利于周延保護個人信息權(quán)益。

首先，前置法與刑法不完全銜接會影響個人信息保護與利用的平衡。我國立法者在設(shè)置侵犯公民個人信息罪的構(gòu)成要件時，將保護隱私的思維套用到個人信息上。然而，隱私與個人信息存在顯著差異，隱私涉及個人的私密領(lǐng)域，一旦被公開會使自然人陷入尷尬境地，原則上禁止使用隱私。但個人信息是自然人參與社會生活的重要要素，它可能會成為信息主體與他人聯(lián)系的媒介。保護個人信息不能像保護隱私那般僅維持安寧，而是要在維護個人信息安全的同時挖掘其價值。立法者設(shè)置侵犯公民個人信息罪時，個人信息的社會利用價值還未被廣泛關(guān)注，所以該罪對于個人信息的保護偏向于隱私化，即傾向于保護個人信息的保密性和安全性。因此，侵犯公民個人信息罪只懲治“轉(zhuǎn)入”和“轉(zhuǎn)出”等侵犯保密性的行為，這對于保護隱私信息確有價值。但是，個人信息不僅包括私密信息，還包括已公開的個人信息。進入數(shù)字社會，隱私與個人信息應(yīng)當(dāng)區(qū)分保護，不應(yīng)再共用一套邏輯。

其次，前置法與刑法不完全銜接使嚴重的非法處理行為無法被刑法規(guī)制。以濫用行為為例，濫用在刑法上無法構(gòu)成侵犯公民個人信息罪。非法獲取對個人信息法益的侵害具有預(yù)備性，而濫用行為是直接侵害個人信息法益。如果行為人只是單純非法獲取個人信息，并不打算也未實際實施后續(xù)處理行為，則至多會對信息主體的人格權(quán)益帶來威脅，但并不會實質(zhì)侵害個人信息法益。刑法打擊“獲取”和“提供”行為，是為了規(guī)制轉(zhuǎn)移行為，但這可能會偏離保護法益的重心。比較非法收集行為和濫用行為可知，在個人信息處理過程中，濫用行為對信息主體人格權(quán)益的侵犯最為直接和嚴重，且濫用行為在實踐中日益突出，已經(jīng)成為普遍的問題，個人信息的“使用自主”已成為亟需刑法保護的法益。（參見李川：《個人信息犯罪的規(guī)制困境與對策完善——從大數(shù)據(jù)環(huán)境下濫用信息問題切入》，載《中國刑事法雜志》2019年第5期，第40頁。）

相較于非法收集和非法提供行為而言，以濫用行為為代表的其他非法處理行為對個人信息權(quán)益造成的損害更為嚴重。

最后，前置法與刑法不完全銜接無法實現(xiàn)刑法的溝通性。通過刑法理論分析可以發(fā)現(xiàn)，之所以會存在法律銜接不暢的問題，可能是因為遵循了違法相對論，即踐行前置法與刑法的違法性判斷相互獨立的邏輯。然而，這種邏輯會使侵犯公民個人信息罪在適用過程中的溝通性闕如。其一，侵犯公民個人信息罪與前置法難以溝通。如果將整體法秩序作為一個系統(tǒng)，那么，刑法與民法等其他部門法均是該系統(tǒng)中的要素，刑法要素不僅需要與整體法秩序系統(tǒng)溝通，也需要與其他部門法要素充分溝通。例如，民法領(lǐng)域?qū)Υ驌舴欠ɡ脗€人信息的訴求應(yīng)當(dāng)在刑法中有所體現(xiàn)。（參見王利明：《和而不同：隱私權(quán)與個人信息的規(guī)則界分和適用》，載《法學(xué)評論》2021年第2期，第22頁。）對此，刑法規(guī)范和刑法理論不應(yīng)充耳不聞，不宜局限在刑法系統(tǒng)內(nèi)運作。只有充分溝通刑法與前置法，才能合理適用刑法保護新興的個人信息權(quán)益。其二，侵犯公民個人信息罪與其他刑法規(guī)范難以溝通。如果將刑法視為一個系統(tǒng)，那么，刑法中的具體罪名均為要素，侵犯公民個人信息罪作為要素需要與刑法系統(tǒng)、其他罪名進行有效溝通。應(yīng)當(dāng)明確，侵犯公民個人信息罪只是保護個人信息權(quán)益的方式之一，在刑法系統(tǒng)內(nèi)對個人信息的保護不能局限于單個罪，也不能局限在定罪論，而是要革新認識論和方法論，最大限度實現(xiàn)個人信息的全流程保護。

二、侵犯個人信息行為刑法全流程規(guī)制模式的提出

為了使刑法與前置法在規(guī)制個人信息處理行為方面能夠有效銜接，需要將前置法中處理行為全流程規(guī)制邏輯嵌入刑法系統(tǒng)，塑造侵犯個人信息行為刑法全流程規(guī)制模式。對此，本文提倡將個人信息處理的全過程劃分為若干個階段，繼而采用多元方法規(guī)制不同階段內(nèi)的處理行為。

（一）個人信息處理全過程的階段劃分

本文將處理個人信息的全流程劃分為前期階段、中期階段和后期階段，如此劃分不是意圖使保護方式碎片化，而是在考慮具體場景要素的基礎(chǔ)上，穿透所有階段以構(gòu)建全流程規(guī)制模式。據(jù)此，可以將關(guān)涉?zhèn)€人信息的不同行為及其風(fēng)險依次歸入相應(yīng)的階段。

1.處理的前期階段

個人信息處理的前期階段是個人信息自產(chǎn)生后流向首個信息處理者的流程，“收集”和“存儲”是其中的主要環(huán)節(jié)。

（1）收集行為

個人信息收集行為可以分為直接收集和間接收集。前者是信息處理者直接從信息主體處收集到個人信息，而后者是信息處理者從其他信息處理者處收集到個人信息。在實踐中，信息處理者既可從信息主體處直接收集個人信息，亦可從其他信息處理者處間接收集個人信息。在間接收集的情景中，信息處理者并不會直接接觸信息主體，往往是通過信息提供者間接獲得信息主體的同意。由此可知，間接收集并不是本文所討論的前期階段的收集，它實際上是信息處理者之間的數(shù)據(jù)流動。因此，本文將前期階段的處理限定為直接收集。

（2）存儲行為

個人信息存儲是指信息處理者將所持有的個人信息予以保存的行為。例如，互聯(lián)網(wǎng)數(shù)據(jù)企業(yè)將收集的個人信息存儲在自建數(shù)據(jù)庫中，為未來使用或加工該數(shù)據(jù)作準(zhǔn)備。存儲是個人信息收集后的必經(jīng)階段，也是后續(xù)處理的準(zhǔn)備措施。在計算機初興時代，個人數(shù)據(jù)主要存儲在計算機信息系統(tǒng)中，刑法只要能夠保護計算機信息系統(tǒng)安全即可保護個人數(shù)據(jù)安全。進入大數(shù)據(jù)時代，個人數(shù)據(jù)的存儲不再局限于計算機信息系統(tǒng)中，而是主要存儲在云盤等云端服務(wù)器和數(shù)據(jù)庫中，這就意味著需要對存儲進行客觀解釋。非法存儲和無限期存儲不僅違反數(shù)據(jù)存儲的限制要求，而且會使信息主體權(quán)益遭受侵害。非法存儲不僅會成為其他數(shù)據(jù)犯罪的幫助行為，還可能帶來數(shù)據(jù)泄露的風(fēng)險。（參見張濤：《政府?dāng)?shù)據(jù)開放中個人信息保護的范式轉(zhuǎn)變》，載《現(xiàn)代法學(xué)》2022年第1期，第130-131頁。）

2.處理的中期階段

個人信息處理的中期階段是個人信息被信息處理者完全控制的階段，在此階段信息處理者會實施“加工”“使用”“傳輸”和“提供”等行為。

（1）加工行為

信息處理者在控制個人信息后，為了使個人數(shù)據(jù)增值會采取一些添附性措施。例如，加密、標(biāo)注、去標(biāo)識化、清洗等活動。應(yīng)當(dāng)明確，前述活動就是個人信息加工行為。合法加工是提升個人數(shù)據(jù)質(zhì)量、推動數(shù)據(jù)多維兼容和實現(xiàn)人工智能可讀的重要步驟。但是，非法加工會造成多層損害。在物理層，非法加工可能會破壞計算機信息系統(tǒng)；在邏輯層，非法加工會破壞數(shù)據(jù)的保密性、完整性和可用性等法益；在內(nèi)容層，非法加工會侵犯信息主體的人格權(quán)益。例如，利用算法技術(shù)對不同類型的個人信息進行組合、碰撞以形成新的個人信息群，數(shù)據(jù)集合會形成自然人完整的個人畫像，繼而準(zhǔn)確預(yù)測自然人的生活習(xí)慣和消費偏好，可能會直接侵犯用戶的隱私。

（2）使用行為

在《民法典》《個人信息保護法》生效之前，我國規(guī)范層面多將使用和處理作相同理解。在兩法生效后，使用成了處理的下位概念，即利用個人信息的行為。個人信息的核心價值在于使用，這也是信息處理者獲取個人信息的目的。例如，信息處理者利用個人信息制作用戶畫像等。信息處理者在收集個人信息時會向信息主體表達收集的目的，信息處理者的后續(xù)處理行為不應(yīng)超出當(dāng)初收集時所承諾的目的。一旦超越原本目的就應(yīng)重新獲得許可或有其他正當(dāng)化事由，否則將會逾越法律邊界。因此，信息處理者在使用個人信息過程中，應(yīng)當(dāng)充分履行保障個人信息安全的義務(wù)，依法依規(guī)使用個人信息。不應(yīng)超越向信息主體承諾的使用目的，不得擅自更改個人信息的用途。諸多非法獲取個人信息的目的均是非法使用，這決定了刑法應(yīng)當(dāng)及時規(guī)制非法使用個人信息行為。（參見王華偉：《數(shù)據(jù)刑法保護的比較考察與體系建構(gòu)》，載《比較法研究》2021年第5期，第144頁。）

（3）傳輸行為

為了嚴格區(qū)分傳輸與提供，本文認為“傳輸”是在同一信息處理者控制下同一主體內(nèi)部或不同主體之間的個人信息流動。實際上，作為用戶的信息主體在使用網(wǎng)絡(luò)平臺服務(wù)時，往往為了迅速獲得服務(wù)，不會仔細閱讀網(wǎng)絡(luò)平臺上的“用戶須知”或“隱私政策”。一般會直接勾選所有選項和同意所有要求，不會也沒有耐心關(guān)注其中隱含的風(fēng)險。因此，在信息收集之時信息主體可能會在并未實質(zhì)知情的情況下，對信息處理者的所有操作表示同意，當(dāng)然包括同意信息傳輸。信息主體非理性的同意可能會使其利益在傳輸階段面臨風(fēng)險和遭受損害，這要求法律為信息處理者施加更為嚴格的義務(wù)。

（4）提供行為

提供是發(fā)生在不同信息處理者之間的個人信息傳遞行為，發(fā)生數(shù)據(jù)交付之后轉(zhuǎn)出方雖可能并不喪失數(shù)據(jù)持有，但失去了對個人信息的獨占控制。提供的對象可以8685f85da907b9ab475ff9eabf0593fa503d45dad3595c4818c3b9854eeacb1d是企業(yè)或自然人，但只能是信息主體和原信息處理者之外的其他信息處理者。當(dāng)前各國關(guān)于個人信息的立法大多強調(diào)，信息處理者若無信息主體的授權(quán)或同意，則不得擅自將個人信息提供給他人，并且對不同信息處理者之間的數(shù)據(jù)流動行為設(shè)置了相對嚴格的條件。由此可見，前述規(guī)則是當(dāng)前全球關(guān)涉?zhèn)€人信息立法中的基本共識。原信息處理者是否喪失對個人信息的獨占控制是提供與傳輸?shù)暮诵膮^(qū)別，主觀目的的差異并非二者區(qū)分的核心要素。但是，以出售為目的的個人信息轉(zhuǎn)移，只能發(fā)生在不同信息處理者之間，且原信息處理者即喪失獨占控制。

3.處理的后期階段

個人信息處理的后期階段是個人信息處于失控狀態(tài)，直至最終失效的過程。例如，通過號碼生成器生成的手機號碼，經(jīng)過特定時間段后即失效，不再是個人信息。

（1）披露行為

披露包括兩種類型：一是主動公開，即信息處理者主動改變個人信息的狀態(tài)，使之面向社會公眾公開。個人信息公開后，社會一般主體均可輕易獲得特定個人信息，信息處理者即失去對個人信息的絕對控制。如果公開個人信息的主體是政府部門，則此種公開即為政府信息公開行為。信息處理者不應(yīng)隨意公開信息主體的個人信息，除合理處理外，一般需要征得信息主體的同意。私密信息由于涉及隱私權(quán)和公序良俗原則，所以即使獲得信息主體的同意也不能輕易公開；敏感個人信息在獲得信息主體明確同意的情況下可以公開；一般個人信息只要獲得信息主體的概括授權(quán)均可公開。二是被動泄露，即因信息處理者意志以外的因素導(dǎo)致其所控制的個人信息被披露。例如，黑客抓住信息處理者數(shù)據(jù)庫的漏洞，侵入數(shù)據(jù)庫導(dǎo)致個人信息被盜竊和公開，信息處理者就會失去對個人信息的控制。

（2）刪除行為

個人信息刪除是消解個人信息價值的各種措施的總稱。本文認為，對個人信息刪除應(yīng)當(dāng)進行實質(zhì)解釋，凡是使個人信息走向不可用的措施都應(yīng)該被理解為刪除。換言之，對于已失去可識別性的數(shù)據(jù)的刪除不應(yīng)被解釋為個人信息刪除。例如，通過號碼生成器生成的手機號碼若已失效，則刪除行為不會侵害個人信息權(quán)益，其也就不是個人信息刪除?？梢赃€原的刪除對權(quán)利人法益并不會產(chǎn)生實質(zhì)損害，完全可以通過技術(shù)手段進行法益恢復(fù)，法律無須過度介入，更不宜適用刑法規(guī)制。本文關(guān)注的是使個人信息無法恢復(fù)的徹底刪除行為，該行為可能會對權(quán)利人的核心利益造成損害且無法還原。

（二）刑法規(guī)制個人信息處理全流程的方法

在個人信息處理的不同階段，個人信息的價值及其面臨的風(fēng)險呈現(xiàn)多樣性，需要刑法選擇多元化的個人信息保護方法，精準(zhǔn)保護法益和打擊犯罪。

1.間接罪名適用法

間接罪名適用法是針對特定行為在刑法中沒有直接罪名可以規(guī)制的情況，可將該行為或其組成部分分散到其他罪名的構(gòu)成要件中進行規(guī)制的方法。間接罪名適用法是通過相關(guān)罪名間接規(guī)制特定犯罪行為，旨在不求助立法而充分發(fā)揮刑法解釋的功效。以濫用個人信息行為為例，侵犯公民個人信息罪無法直接規(guī)制濫用行為。有學(xué)者據(jù)此認為，應(yīng)適用關(guān)聯(lián)犯罪和下游犯罪進行規(guī)制。（參見王肅之：《論法人信息的刑法保護》，載《中國刑事法雜志》2020年第3期，第139頁。）應(yīng)當(dāng)明確，這種觀點實際上是運用了間接罪名適用法。侵犯公民個人信息罪無法規(guī)制的其他非法處理行為，并不意味著就不應(yīng)適用刑罰處罰，可能會通過間接罪名適用法適用《刑法》中的其他罪名。本文認為，行為是一種事實狀態(tài)，而法律是一種規(guī)范或價值狀態(tài)，行為與法律應(yīng)當(dāng)相互指涉，不能偏執(zhí)于一端。間接罪名適用法要求在定罪階段應(yīng)厘清非法處理行為與相關(guān)犯罪構(gòu)成要件的契合性，目光不宜再局限于某一罪名，而是要充分調(diào)動《刑法》中的所有相關(guān)罪名。

2.法益量刑評價法

在某一犯罪評價流程中，傳統(tǒng)方法是只在定罪階段評價法益。本文提倡在量刑階段也可以評價法益，這就是法益量刑評價法。從人們對法律功能的期待來看，刑法在保護形式法益的同時，也要適度保護實質(zhì)法益。例如，侵犯公民個人信息罪無法直接保護個人信息的使用法益，但可將非法使用作為一種量刑情節(jié)，在構(gòu)成其他犯罪的基礎(chǔ)上進行從重處罰。如此能夠在一定程度上保護個人信息的使用法益。首先，對于行為人通過非法手段獲取個人信息繼而非法使用的情形，該非法使用行為是非法獲取行為后的通常結(jié)果，可以在認定為侵犯公民個人信息罪的基礎(chǔ)上，將非法使用行為視為事后不可罰行為。其次，當(dāng)行為人合法獲取個人信息后又非法使用的情形，合法獲取個人信息無須刑法評價，此時需要刑法單獨評價非法使用行為。如果非法使用行為本身就已經(jīng)構(gòu)成其他犯罪，如非法使用個人信息進行電信詐騙，那么，此時非法使用行為是詐騙罪的組成部分，可以在量刑階段將非法使用個人信息對信息主體人格權(quán)益侵犯的情況，作為一種酌定從重處罰的量刑情節(jié)。如果非法使用行為只是侵犯了自然人的人格權(quán)益，并未構(gòu)成其他犯罪，那么，此時就是客觀存在的刑法處罰漏洞，需要未來通過《刑法》修正的方式予以補足。最后，若行為人非法使用行為相對輕微并未造成嚴重的法益侵害結(jié)果，則只應(yīng)要求行為人承擔(dān)侵權(quán)或違約等民事責(zé)任，或由行政機關(guān)對行為人予以行政處罰，無須作為犯罪處理。只有當(dāng)前置法對嚴重侵害法益的行為規(guī)制失效時才應(yīng)由刑法調(diào)適，如此才能處理好刑法與前置法之間的關(guān)系，厘清彼此的適用范圍和適用位階。

三、侵犯個人信息行為刑法全流程規(guī)制模式的證成

在《民法典》和《個人信息保護法》先后貫徹個人信息全流程保護理念的背景下，刑法也需要對侵犯個人信息行為進行全流程規(guī)制。

（一）侵犯個人信息行為刑法全流程規(guī)制模式的理論證成

第一，生命周期理論是刑法全面規(guī)制侵犯個人信息行為的基本邏輯。生命周期理論在數(shù)據(jù)與信息科學(xué)領(lǐng)域被廣泛運用，強調(diào)信息是一種有生命周期的資源。（參見吳高臣：《中國信用法學(xué)自主知識體系的構(gòu)建》，載《政治與法律》2024年第4期，第112頁。）該理論用隱喻的手法揭示了信息的生命過程，個人信息從產(chǎn)生直至最終價值失效，每個階段的價值重心和保護訴求各不相同。按照信息生命周期理論，信息如同自然人的生命歷程，包括誕生期、成長期和消亡期，這三大階段與前文提倡的前期階段、中期階段和后期階段的劃分剛好可以對應(yīng)?？梢姡畔⑸芷诶碚摓閭€人信息全流程規(guī)制模式奠定了理論基礎(chǔ)。在個人信息全生命周期的不同階段中，法律規(guī)制策略的側(cè)重點應(yīng)有所差異。信息生命周期理論要求，對于個人信息的法律保護不宜遵循“一刀切”的邏輯，需要立足信息全生命周期中的具體環(huán)節(jié)以確定相應(yīng)的方案。歐盟立法者也貫徹了生命周期理論，在《一般數(shù)據(jù)保護條例》中為個人信息全生命周期中的具體環(huán)節(jié)設(shè)置了與之相適應(yīng)的保護規(guī)則。我國學(xué)者也主張，應(yīng)在個人信息領(lǐng)域貫徹全生命周期理念，在信息收集階段、存儲階段、傳輸階段和刪除階段，應(yīng)當(dāng)分別確定相應(yīng)的保護原則和規(guī)則。（參見許可：《個人信息治理的科技之維》，載《東方法學(xué)》2021年第5期，第63頁。）畢竟在個人信息生命周期的不同階段，信息主體所享有的個人信息權(quán)益存在差異。（參見王錫鋅：《國家保護視野中的個人信息權(quán)利束》，載《中國社會科學(xué)》2021年第11期，第115頁。）信息生命周期理論詮釋了個人信息的發(fā)展全過程，個人信息在全過程中的不同環(huán)節(jié)呈現(xiàn)出不同的價值和面貌，法益的形態(tài)也各不相同，需要刑法為不同階段設(shè)置與之相匹配的保護規(guī)則。

信息生命周期理論要求法律對個人信息實行全過程保護，這一要求不只是對前置法的要求，而是對整體法秩序的共同期許。我國前置法層面已經(jīng)貫徹了該理念，需要刑事立法與司法予以跟進。需要說明的是，在刑法領(lǐng)域貫徹全生命周期理論和進行全過程規(guī)制，并不會違反刑法謙抑性原則。刑法謙抑性原則要求在前置法能夠?qū)崿F(xiàn)規(guī)制效果時，刑法不宜提前介入，但不等于前置法規(guī)制的行為類型刑法就不能規(guī)制。仍以濫用個人信息行為為例，按照生命周期理論的要求，濫用行為不僅需要前置法規(guī)制，還需要刑法規(guī)制，只是前置法與刑法存在適用先后順位差異。當(dāng)濫用行為對法益損害較為輕微時，只需民法或行政法調(diào)適即可；當(dāng)濫用行為造成嚴重法益侵害結(jié)果，民法與行政法已無法實現(xiàn)罰當(dāng)其惡時，就應(yīng)當(dāng)適用刑法的嚴厲懲戒措施。

第二，場景理論要求刑法對個人信息全流程的不同階段應(yīng)采取相應(yīng)的規(guī)制措施。場景理論強調(diào)，信息披露要考慮特定的環(huán)境要求；在任何場景中都要實現(xiàn)數(shù)據(jù)分配正義；需要全面地考察不同場景中的所有情況，每一個場景都有其特殊的因素，需要因場景施策，綜合考察多重因素和運用多種手段保持場景的完整性。（美國紐約大學(xué)的尼森鮑姆（Helen Nissenbaum）教授最早提出場景理論。See Helen Nissenbaum， Privacy as Contextual Integrity，79 Washington Law Review 119，119-158（2004）.）場景理論要求全面規(guī)制信息的流通過程。場景理論將個人信息處理的不同階段和不同環(huán)節(jié)均視為具體的場景，立足不同場景中個人信息的形態(tài)和法益，確定具體的刑法保護策略。以場景理論作為分析工具，把握個人信息的法益形態(tài)和侵犯個人信息行為的狀況，可以準(zhǔn)確預(yù)測不法行為的發(fā)展趨勢。（參見＼[美＼]海倫·尼森鮑姆：《何為場景？——隱私場景理論中場景概念之解析》，王苑譯，載《網(wǎng)絡(luò)信息法學(xué)研究》2021年第1期，第8頁。）場景理論將具體的時間和行為視為場景中的要素，對塑造個人信息刑法全流程規(guī)制模式會有積極價值。概言之，場景理論為我國立法者和司法者構(gòu)建個人信息全流程保護模式奠定了理論基礎(chǔ)。

場景理論與本文提倡的個人信息刑法全流程規(guī)制模式高度吻合。在刑法領(lǐng)域，僅僅通過侵犯公民個人信息罪打擊非法收集行為和非法提供行為，并不能有效懲治關(guān)涉?zhèn)€人信息的所有不法行為，會忽略對諸多場景中個人信息權(quán)益的保護。場景理論要求，對于不同的個人信息場景，不僅需要民法和行政法的保護，還需要刑法懲治其中較為嚴重的非法處理個人信息行為。仍以濫用行為為例，對于較為嚴重的濫用行為，單純適用民事責(zé)任可能無法達到遏制效果，還需要發(fā)揮刑罰的威懾效應(yīng)。此時，行為人不僅需要承擔(dān)民事責(zé)任，還要承擔(dān)刑事責(zé)任。

（二）侵犯個人信息行為刑法全流程規(guī)制模式的規(guī)范證成

立足整體法秩序視角，非法處理個人信息的全流程規(guī)制已被不同類型的法律、法規(guī)和標(biāo)準(zhǔn)所貫徹，這些規(guī)范的旨趣均要求作為保障法的刑法應(yīng)予以跟進。

首先，我國立法統(tǒng)一設(shè)置“處理”遵循了國際社會的通行做法。歐盟1995年的《個人數(shù)據(jù)保護指令》以“處理”涵蓋個人信息行為的全貌，《一般數(shù)據(jù)保護條例》接續(xù)了“處理”的規(guī)范表達。歐盟《一般數(shù)據(jù)保護條例》并非純粹的民事法或行政法，而是系統(tǒng)保護個人數(shù)據(jù)的領(lǐng)域法，其中包括懲治非法處理行為的刑法規(guī)則。前述歐盟的立法經(jīng)驗對其他國家或地區(qū)的個人信息保護立法產(chǎn)生深遠影響，我國《民法典》和《個人信息保護法》中所設(shè)置的“處理”規(guī)則也受到了歐盟立法的影響。然而，如果我國規(guī)制非法處理個人信息行為的規(guī)則只存在于前置法，則意味著我國對個人信息的保護不夠徹底，也不符合國際立法趨勢。

其次，我國全流程保護個人信息存在一個發(fā)展的過程。實際上，我國立法最早是運用“收集、使用”來描述關(guān)涉?zhèn)€人信息的行為。（《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定（2012年12月28日第十一屆全國人民代表大會常務(wù)委員會第三十次會議通過）》第2條規(guī)定：“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息，應(yīng)當(dāng)公開其收集、使用規(guī)則?！保┫嚓P(guān)法律中也有類似的規(guī)范表達，我國《信息安全技術(shù) 個人信息安全規(guī)范》也未使用“處理”作為行為的概稱。隨后，我國立法者發(fā)現(xiàn)收集和使用均有一定的狹隘性，只能進行局部規(guī)制。尤其是在《民法典》的立法過程中，曾經(jīng)對選擇哪一個詞語作為概稱產(chǎn)生爭論。最終，立法者在借鑒域外經(jīng)驗的基礎(chǔ)上選擇了“處理”，并且被之后的《個人信息保護法》延續(xù)。自此，“處理”便可以全面涵蓋個人信息的全流程。需要強調(diào)的是，歐盟《一般數(shù)據(jù)保護條例》區(qū)分了“個人數(shù)據(jù)控制者”和“個人數(shù)據(jù)處理者”，但我國法律并未作如此區(qū)分，《民法典》《個人信息保護法》均使用了“信息處理者”。換言之，我國法律統(tǒng)一使6+cadhdtumIvgFkpxfLN7g==用“信息處理者”作為承擔(dān)個人信息保護義務(wù)的主體。我國立法者之所以選擇“信息處理者”而非“信息控制者”作為直接義務(wù)主體的概稱，是為了將“處理”這一修辭所反映的個人信息全流程保護邏輯貫徹至整體法秩序中。然而，《民法典》和《個人信息保護法》只能規(guī)制相對輕微的非法處理行為，至于造成嚴重法益侵害結(jié)果的非法收集、非法存儲、非法加工、非法刪除等全流程非法處理行為，仍需刑法介入規(guī)制。

最后，我國法律規(guī)范通過“處理”對個人信息進行全流程規(guī)制能夠產(chǎn)生諸多積極價值。立法者設(shè)置“處理”能夠為所有關(guān)涉?zhèn)€人信息的行為提煉一個共同的上位概念，不僅可以節(jié)約立法資源，還可以為信息處理者設(shè)置明確的義務(wù)規(guī)則，督促信息處理者積極建構(gòu)企業(yè)內(nèi)部關(guān)涉?zhèn)€人信息的全流程保護機制。通過“處理”包含個人信息全流程的邏輯需要在刑法中加以貫徹，如此不僅能夠周延保護個人權(quán)益，而且能夠推動刑法與前置法銜接。例如，非法收集個人信息行為在民法和行政法中可以被規(guī)制，在刑法中也可以適用侵犯公民個人信息罪，如此可以使情節(jié)輕微和情節(jié)嚴重的行為均可被法律規(guī)制。然而，對于濫用行為，雖然可以被前置法規(guī)制，但卻不能適用侵犯公民個人信息罪，如此不僅形成處罰漏洞，也無法實現(xiàn)法律銜接。為此，需要將個人信息全流程規(guī)制邏輯嵌入刑法。

至于嵌入的方式主要包括兩種：一是立法論，即為了在刑法領(lǐng)域徹底貫徹個人信息全流程保護模式，可以將“侵犯公民個人信息罪”修正為“非法處理公民個人信息罪”，將該罪由原來的局部打擊拓展為全流程規(guī)制，如此可以充分實現(xiàn)法律銜接和貫徹法秩序統(tǒng)一性原理。（參見童云峰：《個人信息保護法與侵犯公民個人信息罪的銜接機制》，載《中外法學(xué)》2024年第2期，第376-377頁。）二是解釋論，即可以采用前文提倡的間接罪名適用法和法益量刑評價法，從解釋學(xué)上推動法律銜接和司法優(yōu)化。易言之，可以通過多元的刑法解釋學(xué)方法，為侵犯個人信息行為全流程規(guī)制提供刑法依據(jù)。

四、侵犯個人信息行為刑法全流程規(guī)制模式的確立

在刑法領(lǐng)域確立侵犯個人信息行為全流程規(guī)制模式，可以通過立法論或司法論的方式實現(xiàn)。在立法修正之前，需要充分發(fā)揮刑法教義學(xué)的功效，運用現(xiàn)有刑法中的相關(guān)罪名，推動侵犯個人信息行為刑法全流程規(guī)制模式的落地。

（一）個人信息處理前期階段的刑法規(guī)制

個人信息處理前期階段是發(fā)生在信息主體和首個信息處理者之間的數(shù)據(jù)流動過程。其中，主要包括收集和存儲兩大行為環(huán)節(jié)。

1.非法收集行為的刑法規(guī)制

前期階段的收集是信息處理者從信息主體處獲取個人信息的行為。收集環(huán)節(jié)的權(quán)益變化是信息主體失去個人信息的完全控制權(quán)，信息處理者獲得持有權(quán)。因此，信息處理者在收集個人信息時通常要獲得信息主體的同意或授權(quán)，需要充分保護信息主體的信息自決權(quán)。

首先，非法收集行為可以被評價為侵犯公民個人信息罪中的非法獲取行為。“竊取或以其他方式非法獲取”是侵犯公民個人信息罪的典型行為方式，竊取也是一種非法獲取，而非法獲取可以包含非法收集。盜取、騙取、購買、交換個人信息均可能是非法收集行為，至于侵犯公民個人信息罪能否規(guī)制搶劫個人信息行為，在理論與實務(wù)中存在較大爭議。搶劫罪是典型的財產(chǎn)犯罪，它既保護財產(chǎn)法益，也保護人身法益。但是，個人信息是人格要素而非財產(chǎn)，搶劫個人信息顯然不能構(gòu)成搶劫罪。有學(xué)者認為，搶劫個人信息行為比非法獲取行為更為嚴重，具有侵犯人身安全法益的可能性，二者不具有等價性，不宜將搶劫個人信息行為評價為非法獲取行為，不應(yīng)將之認定為侵犯公民個人信息罪，否則難以實現(xiàn)罪刑均衡原則，應(yīng)當(dāng)增設(shè)搶劫公民個人信息罪。（參見黃陳辰：《搶劫公民個人信息行為刑法規(guī)制的困境與疏解——以樊某等搶劫微信賬號密碼案為切入》，載《海南大學(xué)學(xué)報（人文社會科學(xué)版）》2023年第2期，第154頁。）該觀點堅持的是行為對立論。實際上，刑法上的行為并非完全對立，而是存在一定程度的競合。相較于通常理解的非法獲取個人信息行為，搶劫行為會產(chǎn)生更為嚴重的法益侵害性，它在非法獲取的基礎(chǔ)上還會給他人的人身安全法益帶來風(fēng)險和損害?；谛袨楦偤险摰睦斫?，搶劫行為只不過是一種特殊的非法獲取行為，特殊行為可以評價為普通行為，所以侵犯公民個人信息罪可以規(guī)制搶劫個人信息行為。但是，在量刑階段，對于搶劫個人信息行為的刑罰處罰應(yīng)當(dāng)重于普通的非法獲取個人信息行為，如此才能實現(xiàn)罪刑均衡和對法益的充分保護。

其次，信息犯罪是一種更為特殊的數(shù)據(jù)犯罪。在工商業(yè)社會，信息是以紙張為載體呈現(xiàn)；進入數(shù)字社會，信息是以數(shù)據(jù)為載體呈現(xiàn)。這表明非法收集行為可能會同時構(gòu)成信息犯罪和數(shù)據(jù)犯罪。我國遵循統(tǒng)一刑法典模式，所有犯罪只能由《刑法》規(guī)定，也就說明我國保護個人信息的罪名與保護數(shù)據(jù)的罪名均存在于刑法典中。本文認為，需要理順我國《刑法》中信息犯罪與數(shù)據(jù)犯罪的關(guān)系，應(yīng)將其界定為交叉型法條競合關(guān)系。一方面，“交叉”是指當(dāng)信息犯罪發(fā)生在線下場景，即侵犯的是以紙張為載體的信息，此時信息犯罪與數(shù)據(jù)犯罪沒有任何關(guān)系。這說明，信息犯罪與數(shù)據(jù)犯罪的法條競合只能交叉存在于數(shù)字化場景。另一方面，信息犯罪與數(shù)據(jù)犯罪的法條競合表現(xiàn)為兩點：一是對象競合，數(shù)字社會中的信息是一種特殊的數(shù)據(jù)，侵犯個人信息也就會侵犯數(shù)據(jù)；二是行為競合，《刑法》中保護數(shù)據(jù)的罪名與保護信息的罪名存在相同的行為方式，如侵犯公民個人信息罪和非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪均可規(guī)制非法獲取行為。

2.非法存儲行為的刑法規(guī)制

個人信息存儲是保存?zhèn)€人信息的階段，此時信息處理者基于對數(shù)據(jù)的持有（無論合法與非法），均需承擔(dān)保護個人信息的義務(wù)。若信息處理者不當(dāng)履行保護義務(wù)，可能會發(fā)生信息存儲錯誤或數(shù)據(jù)泄露，法律應(yīng)在充分保護信息主體查閱復(fù)制權(quán)的基礎(chǔ)上，要求信息處理者承擔(dān)法律責(zé)任；若信息處理者拒絕履行保護義務(wù)，則應(yīng)承擔(dān)民事責(zé)任或行政責(zé)任，情節(jié)嚴重者在構(gòu)成不作為犯罪的基礎(chǔ)上承擔(dān)刑事責(zé)任。通過落實前述法律責(zé)任，倒逼信息處理者依法存儲個人信息。

信息存儲是信息處理者收集個人信息后的必經(jīng)環(huán)節(jié)，也是信息處理者開展后續(xù)處理行為的準(zhǔn)備環(huán)節(jié)。然而，我國立法、司法實踐及理論研究均欠缺對信息存儲風(fēng)險的充分關(guān)注，并未將之視為獨立的環(huán)節(jié)加以討論。例如，法官在司法判決中不會將非法存儲行為抽離出來單獨評價，而是將之吸收進上游行為或下游行為。然而，并非所有的存儲行為均能夠被前后行為雙向吸收。對此，需要分清具體場景加以討論。

第一，信息處理者非法獲取個人信息后的存儲行為。此種情形屬于刑法理論中的事后不可罰行為，在定罪階段只需適用侵犯公民個人信息罪評價非法獲取行為即可，無須單獨評價非法存儲行為。

第二，信息處理者幫助他人非法存儲個人信息。當(dāng)他人將非法獲取的個人信息委托信息處理者進行存儲時，存儲是以數(shù)據(jù)為對象的窩藏行為。我國《刑法》中不存在數(shù)據(jù)窩藏罪，但這并不等于我國《刑法》無法規(guī)制數(shù)據(jù)窩藏行為。2011年9月1日最高人民法院、最高人民檢察院發(fā)布的《關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》（法釋〔2011〕19號，以下簡稱《解釋》）第7條已包含可以規(guī)制數(shù)據(jù)窩藏行為的內(nèi)容。（2011年9月1日最高人民法院、最高人民檢察院《關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》（法釋〔2011〕19號）《解釋》第7條第1款規(guī)定：“明知是非法獲取計算機信息系統(tǒng)數(shù)據(jù)犯罪所獲取的數(shù)據(jù)、非法控制計算機信息系統(tǒng)犯罪所獲取的計算機信息系統(tǒng)控制權(quán)，而予以轉(zhuǎn)移、收購、代為銷售或者以其他方法掩飾、隱瞞，違法所得五千元以上的，應(yīng)當(dāng)依照刑法K4RCIKjdp5nICBx0XoUi2dXdqwQc7rQXKlpGzbc4wo4=第三百一十二條第一款的規(guī)定，以掩飾、隱瞞犯罪所得罪定罪處罰。”）《解釋》將有價值的數(shù)據(jù)納入掩飾、隱瞞犯罪所得罪的保護范疇，使數(shù)據(jù)亦可成為該罪的行為對象，這使我國《刑法》可以規(guī)制數(shù)據(jù)窩藏行為。（參見王華偉：《數(shù)據(jù)刑法保護的比較考察與體系建構(gòu)》，載《比較法研究》2021年第5期，第150頁。）申言之，在信息處理者未與他人通謀的情況下，純粹幫助他人掩飾、隱瞞（存儲）涉違法犯罪所得的個人信息，應(yīng)當(dāng)構(gòu)成掩飾、隱瞞犯罪所得罪。如果信息處理者事前或事中與他人通謀幫助他人存儲涉違法犯罪所得的個人信息，則信息處理者與他人構(gòu)成上游犯罪的共犯，無須單獨評價存儲行為。

第三，信息處理者非法存儲無法查明來源的個人信息。此種情形在刑法理論上應(yīng)當(dāng)被理解為非法持有行為，只是所持有的對象是個人信息而非傳統(tǒng)財物?！吨泄仓醒?國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見（2022年12月2日）》規(guī)定了數(shù)據(jù)資源持有權(quán)，表明數(shù)據(jù)不僅可以被持有，且持有是一項數(shù)據(jù)權(quán)能。在刑法理論中，“持有”一直是一個存在爭議的概念，能否將持有視為一種行為理論界并未達成共識。

本文認為，持有不僅是一種狀態(tài)，更是一種行為，且是具有狀態(tài)持續(xù)性的行為。這決定了非法持有類犯罪是繼續(xù)犯。同時，非法持有類犯罪均具有兜底性，在能構(gòu)成其他犯罪的情況下，一般不會認定為持有類犯罪；相反，只有無法構(gòu)成其他犯罪時，才會構(gòu)成持有類犯罪。如此可以填補刑法規(guī)制漏洞。實際上，掩飾、隱瞞犯罪所得罪也具有兜底性，構(gòu)成該罪以未與前罪行為人通謀為前提。若只能確定行為人掩飾、隱瞞不法財物，但無法查明行為人所掩飾、隱瞞的財物來源，此時掩飾、隱瞞犯罪所得罪也是一種非法持有類犯罪，具備持有類犯罪固有的兜底性。非法存儲無法查明來源的個人信息，不僅是數(shù)據(jù)窩藏行為，也是非法持有行為，可以適用掩飾、隱瞞犯罪所得罪。

第四，信息處理者非法存儲自己合法獲取的個人信息（合法獲取+非法存儲）。這一行為類型又可以劃分為兩種場景：一是信息存儲期限截止后，信息處理者拒不刪除個人數(shù)據(jù)。此時，應(yīng)當(dāng)先由信息處理者向信息主體承擔(dān)民事責(zé)任，只有當(dāng)情節(jié)較為嚴重或造成比較嚴重的法益侵害結(jié)果時，才有必要適用刑法規(guī)制。例如，在“嚴某某、劉某某侵犯公民個人信息案”中，嚴某某原本是快遞員，他將自己任職期間掌握的含有用戶個人信息的快遞單存根聯(lián)私存，然后將之出售給朋友劉某某以進行非法活動。（參見廣東省東莞市第二人民法院（2017）粵1972刑初246號刑事判決書。）本案中嚴某某的行為表現(xiàn)為“合法獲取+非法存儲+出售”，人民法院將之認定為侵犯公民個人信息罪。本案中的非法行為是存儲和出售，出售行為構(gòu)成侵犯公民個人信息罪，但侵犯公民個人信息罪無法規(guī)制非法存儲行為，非法存儲是出售的預(yù)備行為，應(yīng)當(dāng)作為一種量刑情節(jié)在侵犯公民個人信息罪的量刑階段予以考量。二是未履行或不盡職履行存儲個人信息的安全保護義務(wù)致使個人信息泄露。此種情形屬于典型的不作為，需要按照信息處理者行為的情節(jié)輕重，依次讓其承擔(dān)民事責(zé)任、行政責(zé)任和不作為犯罪的刑事責(zé)任。

（二）個人信息處理中期階段的刑法規(guī)制

在中期階段，“加工”“使用”“傳輸”無法被侵犯公民個人信息罪調(diào)適，可以通過前文提倡的教義學(xué)方法論進行合理規(guī)制。

1.非法加工行為的刑法規(guī)制

加工是對個人信息的功能與價值進行改變的活動，也是挖掘個人數(shù)據(jù)價值的一種添附性基礎(chǔ)工程。（參見武長海主編：《數(shù)據(jù)法學(xué)》，法律出版社2022年版，第417頁。）對非法加工個人信息行為的刑法規(guī)制，需要分場景討論。

第一，信息處理者合法獲取個人信息后實施非法加工行為（合法獲取+非法加工）。一方面，從被加工的信息內(nèi)容視角尋找規(guī)制方案。信息處理者的加工行為若改變信息內(nèi)容的真實性，則會嚴重侵犯信息主體的人格權(quán)益。對此，可以“AI換臉案”為例進行闡述，即行為人利用換臉技術(shù)在線將自己的面部換成公眾人物的臉，繼而吸引網(wǎng)友關(guān)注和“刷禮物”。在互聯(lián)網(wǎng)上獲取公眾人物已公開的照片雖是合法行為，但在線“換臉”（加工）繼而直播帶貨、賺“禮物”實乃牟利行為。在民事上，該行為已侵犯公眾人物的肖像權(quán)，在刑事上，若行為人是故意冒充公眾人物，則是一種虛構(gòu)事實行為，可能構(gòu)成詐騙罪；若行為人只為引起關(guān)注繼而直播帶貨，網(wǎng)友也知道并非公眾人物本人，此時網(wǎng)友也購買到了真實的對價物，則無法構(gòu)成詐騙罪，仍應(yīng)由行為人對公眾人物承擔(dān)侵權(quán)責(zé)任。若行為人利用AI換臉技術(shù)將淫穢視頻中的人物換成熟人，繼而大肆傳播，則加工行為侵犯了被害人的人格權(quán)，可能會構(gòu)成侮辱罪；加工后的傳播行為構(gòu)成傳播淫穢物品罪（或傳播淫穢物品牟利罪），應(yīng)當(dāng)數(shù)罪并罰。

另一方面，從被加工的數(shù)據(jù)載體視角尋找規(guī)制方案。不法加工實際上是對數(shù)據(jù)的破壞，進入數(shù)字社會，需要對傳統(tǒng)保護計算機信息系統(tǒng)安全的數(shù)據(jù)犯罪進行重新解釋，使其能夠保護獨立的數(shù)據(jù)安全法益。對于并非存儲在計算機信息系統(tǒng)中的數(shù)據(jù)，如云存儲中的數(shù)據(jù)，也應(yīng)當(dāng)?shù)玫轿覈缎谭ā分袛?shù)據(jù)犯罪相關(guān)罪名法律規(guī)定的保護。能夠規(guī)制非法加工的罪名是破壞計算機信息系統(tǒng)罪，該罪的全稱應(yīng)當(dāng)是破壞計算機信息系統(tǒng)（數(shù)據(jù)）罪。為了使該罪能夠有效規(guī)制非法加工行為，可以對其中的“破壞”進行合目的的客觀解釋。刑法中的破壞與毀壞應(yīng)當(dāng)作相同的解釋，即不限于物理性的毀損，而是功能上的減損，應(yīng)當(dāng)從有形侵害說走向效用侵害說。（例如，擅自進入他人股票交易賬戶私自高進低出，屬于毀壞行為。參見張明楷：《罪刑法定與刑法解釋》，北京大學(xué)出版社2009年版，第207-211頁。）這種解釋是從工商業(yè)社會走向數(shù)字社會，傳統(tǒng)刑法適應(yīng)現(xiàn)代社會的必然選擇。我國人民法院的司法判決也接受了這種觀點，如在“陳某某破壞計算機信息系統(tǒng)罪案”中，陳某某非法侵入4名被害人的高考志愿填報系統(tǒng)，對被害人所填報的志愿信息進行刪除和篡改，使被害人未被相關(guān)高校錄取，人民法院將陳某某的行為認定為破壞計算機信息系統(tǒng)罪。（參見山東省單縣人民法院（2016）魯1722刑初312號刑事判決書。）在該案中，陳某某的行為使數(shù)據(jù)原本的功能無法發(fā)揮，屬于破壞數(shù)據(jù)行為，人民法院的判決值得肯定。

第二，信息處理者對非法獲取的個人信息進行非法加工（非法獲取+非法加工）。在此種場景中，行為人前后兩個行為不具有高度的緊密聯(lián)系，不宜認定為牽連犯，應(yīng)當(dāng)在分別構(gòu)成侵犯公民個人信息罪和破壞計算機信息系統(tǒng)罪的基礎(chǔ)上數(shù)罪并罰。以“楊某等破壞計算機信息系統(tǒng)罪案”為例，被告人楊某在網(wǎng)上購買他人個人信息，利用OPPO_IMEI軟件等工具侵入他人支付寶等系統(tǒng)，修改他人信息，后將相關(guān)大量的支付寶賬戶提供或出售給孫某某等人。人民法院認為，被告人的行為構(gòu)成破壞計算機信息系統(tǒng)罪。（?;參見浙江省溫嶺市人民法院（2020）浙1081刑初1116號刑事判決書。）本文認為，人民法院對該案只以一罪定性的思路值得商榷，楊某實施了非法獲取、非法提供和非法加工三個行為，非法獲取和非法提供只構(gòu)成侵犯公民個人信息罪一罪，非法加工構(gòu)成破壞計算機信息系統(tǒng)罪，應(yīng)當(dāng)以這兩個罪數(shù)罪并罰。

第三，信息處理者對他人非法獲取的個人信息進行加工輔助。此時，信息處理者只實施了一個加工行為，單看加工行為可以構(gòu)成破壞計算機信息系統(tǒng)罪。如果行為人與被幫助者存在通謀，則信息處理者的行為同時觸犯侵犯公民個人信息罪（幫助犯）和破壞計算機信息系統(tǒng)罪（正犯），是想象競合犯，應(yīng)擇一重罪論處。

2.非法使用行為的刑法規(guī)制

非法使用個人信息行為包括無權(quán)使用（本文稱為擅用）和有權(quán)使用基礎(chǔ)上的濫用，本文以擅用和濫用作為兩大場景，闡述適用刑法規(guī)制非法使用個人信息行為的基本思路。

第一，以適用前端罪名并從重處罰的方式規(guī)制擅用行為。擅用行為是指非法獲取行為和使用行為。非法獲取行為可以構(gòu)成侵犯公民個人信息罪，使用行為并無直接罪名可以適用。對此，需要充分利用法益量刑評價法，將使用行為侵害法益的情況，作為在構(gòu)成侵犯公民個人信息罪后的從重量刑情節(jié)。相對于純粹非法獲取行為而言，刑法對“非法獲取+使用”的處罰會更重，如此可以體現(xiàn)罪刑均衡原則。若行為人非法獲取行為未達到侵犯公民個人信息罪的入罪門檻，且使用行為也無法構(gòu)成犯罪，則只能由前置法規(guī)制，刑法不能提前介入。但是，若使用行為確實已觸犯其他罪名，則只需規(guī)制使用行為即可。

第二，以適用后端罪名并從重處罰的方式規(guī)制濫用行為。雖然侵犯公民個人信息罪無法規(guī)制濫用行為，但刑法不能對具有嚴重法益侵害性的濫用行為置之不理，適用刑法規(guī)制濫用個人信息行為，符合數(shù)字正義和罪刑均衡原則的要求。因此，對行為人的濫用個人信息行為，如果行為人是將信息用于電信詐騙、敲詐勒索等犯罪，則濫用行為是這些后端犯罪的手段行為，濫用行為會被詐騙罪和敲詐勒索罪等吸收。按照法益量刑評價法，應(yīng)當(dāng)在量刑階段將濫用行為侵犯自然人人格權(quán)益的事實，作為一種從重量刑情節(jié)。

3.非法流轉(zhuǎn)行為的刑法規(guī)制

本文將提供與傳輸統(tǒng)稱為個人信息“流轉(zhuǎn)”，個人信息的流轉(zhuǎn)是數(shù)據(jù)流動的重要表現(xiàn)形式。

第一，侵犯公民個人信息罪中的提供可以包含流轉(zhuǎn)。個人信息流轉(zhuǎn)是發(fā)生在信息處理者內(nèi)部或不同信息處理者之間的數(shù)據(jù)流動，可能會表現(xiàn)為分享、贈送、出售和互換等形式，但都可以解釋為《刑法》規(guī)范上的“提供”。在“劉某某侵犯公民個人信息罪案”中，被告人獲取大量個人信息的方式是向他人購買、交換等，然后通過多種方式將前述個人信息轉(zhuǎn)賣或贈送，數(shù)量達到7萬余條，非法獲利10萬元。（參見安徽省廬江縣人民法院（2019）皖0124刑初72號刑事判決書。）本案中的轉(zhuǎn)賣是出售，贈送是無償提供，均發(fā)生了個人信息的流轉(zhuǎn)，在刑法規(guī)范上均屬于提供，本案以侵犯公民個人信息罪處理并無異議。

第二，對個人信息的非法跨境流轉(zhuǎn)應(yīng)當(dāng)從重處罰。個人信息跨境流轉(zhuǎn)是我國《個人信息保護法》重點規(guī)制的一類行為，該法第三章即為“個人信息跨境提供的規(guī)則”，為個人信息跨境流轉(zhuǎn)設(shè)置了相對嚴格的規(guī)則。（例如，《個人信息保護法》第39條規(guī)定：“個人信息處理者向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意?！保?024年3月22日國家互聯(lián)網(wǎng)信息辦公室公布的《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》，進一步細化了數(shù)據(jù)跨境流動的基本要件。立法者從保護信息主體的合法權(quán)益、國家數(shù)據(jù)主權(quán)的立場，進行了前述嚴格規(guī)則的設(shè)計。但是，過于嚴苛的數(shù)據(jù)跨境流轉(zhuǎn)規(guī)則，不僅可能會阻礙數(shù)據(jù)要素市場化和國際化的發(fā)展，而且也會影響數(shù)據(jù)企業(yè)的數(shù)據(jù)交易和跨國發(fā)展。因此，如何設(shè)計適宜的數(shù)據(jù)跨境流轉(zhuǎn)規(guī)則需要我國制度設(shè)計者仔細斟酌。但無論如何，法律對數(shù)據(jù)跨境流轉(zhuǎn)的管控肯定要比數(shù)據(jù)境內(nèi)流轉(zhuǎn)更嚴格，如此可以避免國家安全法益被侵犯。然而，我國并無直接以保護國家安全法益為核心且能夠規(guī)制數(shù)據(jù)跨境流轉(zhuǎn)的罪名。對此，仍需要借助本文提倡的法益量刑評價法。在定罪階段，可以將個人信息跨境流轉(zhuǎn)解釋為提供行為，繼而構(gòu)成侵犯公民個人信息罪；在量刑階段，將非法數(shù)據(jù)跨境流轉(zhuǎn)對國家安全法益的侵害事實作為量刑情節(jié)，繼而對行為人從重處罰。

第三，以保護數(shù)據(jù)可攜帶權(quán)為方向?qū)ふ乙?guī)制非法流轉(zhuǎn)行為的方案。《個人信息保護法》第45條第3款賦予了信息主體的數(shù)據(jù)可攜帶權(quán)，信息主體向信息處理者主張數(shù)據(jù)可攜帶權(quán)的結(jié)果是個人信息流向信息主體或者流向其他信息處理者。首先，如果信息處理者拒絕履行轉(zhuǎn)移數(shù)據(jù)的義務(wù)，會導(dǎo)致信息主體的數(shù)據(jù)可攜帶權(quán)無法實現(xiàn)，信息處理者應(yīng)當(dāng)承擔(dān)民事責(zé)任或行政責(zé)任。其次，如果信息處理者未按信息主體的要求將數(shù)據(jù)轉(zhuǎn)移給指定的個人信息處理者，而是轉(zhuǎn)移給無關(guān)的他人，則是一種非法流轉(zhuǎn)行為，情節(jié)嚴重時可能會構(gòu)成侵犯公民個人信息罪。最后，信息處理者按照信息主體的意愿，將個人信息轉(zhuǎn)移給指定的個人信息處理者，但在轉(zhuǎn)移過程中被不法行為人非法截獲，導(dǎo)致信息主體的數(shù)據(jù)可攜帶權(quán)未實現(xiàn)。雖然我國《刑法》并無前述截獲數(shù)據(jù)的罪名，但完全可以將“截獲”解釋為侵犯公民個人信息罪中的“非法獲取”。

（三）個人信息處理后期階段的刑法規(guī)制

后期階段是信息處理者失去對個人信息的控制且個人信息的價值逐漸喪失的過程，主要包括披露行為和刪除行為。適用刑法規(guī)制披露行為和刪除行為，是為了保障個人信息有序公開和有序失效。

1.非法披露行為的刑法規(guī)制

披露是信息主體之外的主體將個人信息公開的行為，應(yīng)對個人信息非法披露行為進行區(qū)分，繼而具體討論刑法規(guī)制的方法。

場景一：對合法持有的他人個人信息予以非法披露（合法持有+非法披露）。第一種是泄露，即因信息處理者意志以外的因素導(dǎo)致其所控制的個人信息被披露。換言之，泄露是信息處理者的過失披露行為。過失泄露行為顯然無法構(gòu)成作為故意犯罪的侵犯公民個人信息罪，但不能認為過失泄露就一律不能適用《刑法》處罰。例如，如果所泄露的個人信息涉及國家秘密，則可能會構(gòu)成過失泄露國家秘密罪。同時，《個人信息保護法》第57條第1款規(guī)定：“發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，個人信息處理者應(yīng)當(dāng)立即采取補救措施，并通知履行個人信息保護職責(zé)的部門和個人?！睋Q言之，信息處理者在過失泄露個人信息后應(yīng)當(dāng)及時履行補救義務(wù)。如果信息處理者不履行相關(guān)義務(wù)，導(dǎo)致個人信息的泄露范圍進一步擴大，給信息主體造成更為嚴重的損失，則可能會構(gòu)成相關(guān)不作為犯罪。第二種是信息處理者主動披露、公開個人信息，此時信息處理者存在主觀故意。信息處理者披露或公開的本質(zhì)是向社會不特定對象提供個人信息，所以披露和公開都可以被侵犯公民個人信息罪規(guī)制。相較于向特定對象提供而言，向不特定對象的提供帶來的安全隱患更大，應(yīng)當(dāng)在量刑上比前者的處罰更重。

場景二：對非法獲取的個人信息進行非法披露（非法獲取+非法披露）。行為人非法獲取個人信息的目的有多種，再行非法披露不是非法獲取的必然結(jié)果。如果行為人非法獲取個人信息的目的就是非法披露，則獲取和披露均是侵犯個人信息行為全流程中的兩個不同階段，只以侵犯公民個人信息罪一罪認定即可。但是，“非法獲取+非法披露”相較于單一的非法獲取或單一的非法披露，無論從行為人的主觀惡性來看，還是從造成的客觀法益侵害結(jié)果來看，前者更為惡劣，應(yīng)當(dāng)在量刑上對前者處以更重的刑罰，如此才符合罪刑均衡原則。

2.非法刪除行為的刑法規(guī)制個人信息領(lǐng)域的刪除與《個人信息保護法》中的被遺忘權(quán)密切相關(guān)，刪除是實現(xiàn)信息主體被遺忘權(quán)的具體措施。討論個人信息刪除行為的刑法規(guī)制，需要立足具體場景以確定規(guī)制方案。應(yīng)當(dāng)明確，非法刪除分為“對不應(yīng)刪除的個人信息強制刪除”（作為型）和“對需要刪除的個人信息拒絕刪除”（不作為型）。

第一，刑法打擊作為型刪除是保護信息主體的信息自主權(quán)及其衍生利益。對不應(yīng)當(dāng)刪除的個人信息強行刪除的行為，可以通過數(shù)據(jù)犯罪進行規(guī)制。例如，在“柴某某破壞計算機信息系統(tǒng)罪案”中，被告人在高考結(jié)束后與被害人填報了相同學(xué)校和相同專業(yè)，被告人擔(dān)心被害人的成績高于自己可能會影響自己的錄取結(jié)果，在記下被害人相關(guān)信息及密碼后登錄被害人志愿填報系統(tǒng)的賬號，擅自刪除被害人已填報的志愿信息，導(dǎo)致被害人未被錄取。最終，人民法院將被告人的行為認定為破壞計算機信息系統(tǒng)罪。（參見河北省大名縣人民法院（2020）冀0425刑初231號刑事判決書。）在本案中，柴某某登錄高考志愿填報系統(tǒng)刪除相關(guān)信息行為，嚴重侵犯信息主體的信息自主權(quán)和升學(xué)權(quán)益，定性為破壞計算機信息系統(tǒng)罪值得肯定。

第二，刑法打擊不作為型刪除是為了保護信息主體的被遺忘權(quán)。進入數(shù)字社會，信息遺忘已成為一種奢望，被遺忘權(quán)已成為備受關(guān)注的新興權(quán)利。需要思考的是，這一新興權(quán)利是否需要刑法保護？可能會有人認為，適用刑法保護新興權(quán)利可能會違反刑法謙抑性。被遺忘權(quán)等新興權(quán)利并非理論上的學(xué)術(shù)權(quán)利，而是被《個人信息保護法》認可的法定權(quán)利，不能僅從前置法層面加以認識，還需要從整體法秩序視角檢視其對刑法犯罪適用的影響。（參見夏偉：《新型權(quán)利入民法典對刑法犯罪評價的影響》，載《法學(xué)評論》2021年第3期，第151頁。）刑法謙抑性強調(diào)前置法能夠調(diào)整的問題刑法不應(yīng)提前介入，但并不是前置法上存在的問題刑法均不得介入。對于被遺忘權(quán)等新興權(quán)利前置法若能夠有效保護，則根據(jù)謙抑性原則刑法無須介入，但若前置法的保護作用有限或不足以遏制不法行為，則應(yīng)允許刑法介入保護被遺忘權(quán)。換言之，對被遺忘權(quán)等新興權(quán)利，刑法不是不保護而是不提前保護。為了充分保護被遺忘權(quán)，應(yīng)當(dāng)對刪除作廣義理解，只要是使特定個人信息價值走向失效或信息處理者和他人已不能再處理特定個人信息的措施均應(yīng)納入刪除的范疇。我國《個人信息保護法》賦予了信息主體的被遺忘權(quán)并為其設(shè)置了行使權(quán)利的條件，若信息主體具備相關(guān)條件并向信息處理者請求行使被遺忘權(quán)，但信息處理者拒不履行刪除義務(wù)，則是對被遺忘權(quán)的侵犯。在前置法上需要承擔(dān)侵權(quán)責(zé)任或行政責(zé)任，情節(jié)較為惡劣并造成嚴重法益侵害結(jié)果時，需要承擔(dān)刑事責(zé)任。在刑法中，這種不作為型刪除可以構(gòu)成不作為犯罪。例如，信息處理者的拒絕刪除個人信息行為，在監(jiān)管部門責(zé)令采取改正措施而拒不改正（仍不履行刪除義務(wù)），可能會構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

五、結(jié)語

在個人信息處理全過程中，不同階段內(nèi)的個人信息具有不同的價值重心，基于其法益的重要性，不僅需要前置法保護也需要刑法保護，前置法與刑法是適用先后的關(guān)系而非互斥關(guān)系。在前期階段，侵犯公民個人信息罪足以規(guī)制所有類型的非法收集行為；對于非法存儲行為，若已在侵犯公民個人信息罪下被其他行為吸收，則沒有再單獨處罰之必要，需要刑法重點打擊作為單一非法存儲行為的數(shù)據(jù)窩藏犯罪。在中期階段，對“合法獲取+非法加工”，應(yīng)以信息與數(shù)據(jù)被加工的場景為規(guī)制方向；對“非法獲取+非法加工”，因具體情況可能需要適用數(shù)罪并罰或因構(gòu)成想象競合而以重罪論處；對于非法使用行為，需要區(qū)分擅用和濫用，繼而分別定罪量刑；非法流轉(zhuǎn)行為均可被侵犯公民個人信息罪中的提供行為包含，需要刑法適度保護信息主體的數(shù)據(jù)可攜k9M+zZfyG0ZeNZH1lJTcgxrZIr+l2S+nPCRtXjGcn78=帶權(quán)。在后期階段，應(yīng)以數(shù)據(jù)來源、主觀狀態(tài)等因素為立足點確定刑法規(guī)制非法披露行為的方法；應(yīng)在區(qū)分刪除類型的基礎(chǔ)上理順刑法規(guī)制非法刪除行為的思路。

Research on the Model of FullProcess Regulation of Criminal

Law on Infringement of Personal Information Behaviour

TONG Yunfeng

（ECUPL Academy for China’s Ruleoflaw， Shanghai 201620， China）

Abstract：

In terms of regulating personal information behavior， there are obvious differences between China’s prelaw and criminal law. The prelaw achieves fullprocess regulation by designing the rules of processing， whereas the criminal law can only punish some illegal processing of personal information. This normative pattern makes it difficult to connect the laws and creates a forgotten area of criminal law protection， which is not conducive to the comprehensive protection of personal information rights and interests. In this regard， the model of fullprocess criminal law regulation of personal information should be advocated， and different kinds of personal information processing behavior should be reasonably regulated through the method of applying related crimes and the method of sentencing evaluation of legal interests. Through the demonstration of theoretical dimension and normative dimension， it can verify the operability of the fullprocess regulation mode. The criminal law should be applied to reasonably regulate illegal collection and illegal storage to ensure the security of information processing in the early stage; apply the criminal law to accurately regulate illegal processing， illegal use and illegal circulation to ensure the security of information processing in the middle stage; and apply the criminal law to appropriately regulate illegal disclosure and illegal deletion to ensure the security of information processing in the later stage.

Key words： crime of infringing on the personal information of citizens; fullprocess regulation; processing; data crime; right to be forgotten

本文責(zé)任編輯：周玉芹

青年學(xué)術(shù)編輯：張永強

收稿日期：2024-03-22

基金項目：上海市哲學(xué)社會科學(xué)規(guī)劃課題青年項目“數(shù)字時代個人信息權(quán)益的全生命周期刑法保護研究”（2023EFX010）

作者簡介：

童云峰（1992—），男，安徽無為人，華東政法大學(xué)中國法治戰(zhàn)略研究院特聘副研究員，法學(xué)博士。

①《民法典》第1035條第2款規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！薄秱€人信息保護法》第4條第2款規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等?！?/p>