摘  要：为保护我国公民个人信息的安全，我国的刑事立法和司法解释作出了一系列回应，但是主要集中在打击非法转移行为方面，而忽略了对非法使用个人信息的刑法规制。本文从侵犯个人信息行为的现状出发，阐述了对非法使用个人信息行为进行刑法规制的必要性，并浅析非法使用个人信息的刑法规制，以实现对使用个人信息的行为进行合法化规制的同时，促进信息资源的价值的充分利用，达到保护个人信息与促进社会发展的双重目的。

关键词：个人信息;刑法规制

1我国关于非法使用个人信息的刑法规制阙如

随着互联网和大数据深度挖掘与应用的发展，云计算、人工智能、物联网、人脸识别等新兴技术出现便利了我們的生活，但与此同时，其技术发展所依托的个人信息的安全也受到威胁。为保护我国公民个人信息的安全，我国刑事立法和司法解释作出了一系列回应，但侵犯个人信息的违法犯罪并没有收敛。在中国裁判文书网中以“侵犯公民个人信息罪”“刑事一审”两个关键词作为搜索条件进行高级检索发现2016—2019 年侵犯公民个人信息的刑事一审案件数量分别为391 件、1339 件、2270件、2553件，呈现递增趋势。这是因为在大数据深挖掘与应用时代，个人信息的使用价值或者说商业价值才是诱发个人信息犯罪的深层次原因。而我国关于个人信息刑事规制主要针对非法转移行为，如非法提供、出售、获取、泄露个人信息的行为，忽略了对非法使用个人信息行为的规制，这是将个人信息保护片面地理解为转移自主、忽视使用自主的法益保护的认识缺陷。因此，我国应当重视完善非法使用个人信息的刑法规制，全面保护个人信息安全。

2非法使用个人信息刑法规制的必要性

2.1个人信息使用自主的法益保护

当前个人信息法益保护以转移型侵害为核心的刑法规制范围是受针对隐私权规制所形成的传统模式的影响。个人信息与隐私权在客体上具有交叉性、侵害后果上具有竞合性，两者有一定的相似性，所以在信息时代产生的个人信息不免会受到隐私权保护模式的影响。但是在大数据深度挖掘应用时代，个人信息远远超出了隐私权的范畴，成为具有特定公开性、多方共享性、交换使用性的可识别信息。滞后的隐私权保护模式已经难以规制大数据背景下侵害个人信息安全的行为。

在大数据时代，个人信息背后蕴藏的巨大商业价值驱使信息控制者对个人信息进行深度挖掘和利用，个人信息的使用价值逐渐成为个人信息的关键价值，个人信息使用自主也成为个人信息的核心权能。当前侵犯个人信息犯罪已经形成黑色产业链，上游非法转移个人信息犯罪为下游非法使用个人信息犯罪提供条件，侵犯个人信息犯罪已经从以获取转移行为为中心转向以深挖利用行为为中心。个人信息非法使用成为个人信息非法转移的最终目的，成为侵犯个人信息犯罪的诱因。因此不仅要打击制裁个人信息非法转移行为，也应当重视对个人信息非法使用的规制，在根源上对侵犯个人信息行为进行打击。

2.2非法使用个人信息行为具有严重的法益侵害性

首先，非法使用个人信息行为对法益侵害更具直接性。非法获取、出售、提供公民个人信息的行为只是对个人信息的流转和转移，未对法益造成直接的侵害。没有实施切实的使用行为，个人信息不会受到直接的侵害，只有当与使用行为结合时，其侵害性才显露。非法转移个人信息行为仅仅具有抽象的法益侵害危险或者间接的法益侵害威胁，而个人信息的非法使用将这种抽象法益侵害危险变成具体的现实损害。其次，非法使用个人信息行为对法益侵害更具根源性。在侵犯个人信息犯罪形成黑色产业链的背景下，属于犯罪产业链上游的非法获取、出售和提供个人信息的行为，需要终端个人信息的使用行为将上游行为获得的个人信息“变现”。最后，非法使用个人信息行为对法益侵害更具精准性。可识别性是个人信息的显著特点，通过个人信息能够涵摄定位到具体的信息主体。不法分子正好利用个人信息的这一特点，针对特定信息主体实施针对性犯罪行为，因为掌握了信息主体的真实信息而容易取得受害者的信任，导致犯罪成功率很高。

2.3以刑法规制非法使用个人信息行为的必要性

刑法作为可以限制、剥夺人身和财产权利的制裁方式，是社会规制手段中最严厉的一种，这也就决定了其必须遵守谦抑性原则，只有在其他规制手段失灵时才能调用刑法规制。首先在行政法层面，《网络安全法》第41、42条规定了收集、使用个人信息公开规则和个人信息保护义务等。其次在民事领域，《民法典》规定了个人信息受法律保护，其中也特别规定了对个人信息非法使用的禁止和责任。当前民法、行政法对个人信息使用有一定规制作用，但是由于其规定过于原则化，导致实务中具体操作实施比较困难，难以起规范使用个人信息行为的理想效果。同时行政和民事规范专门针对非法使用个人信息行为的责任规定阙如，对猖獗的非法使用个人信息行为达不到有效规制作用。

3非法使用个人信息的刑法规制

因为非法使用行为与非法转移行为是侵害个人信息安全的常见形式，所以在讨论非法使用个人信息行为的刑法规制时，可以参考侵犯公民个人信息罪中针对非法转移行为已规定的入罪标准，并根据非法使用行为的特点进行合理调整。

3.1未征得信息主体许可

《网络安全法》、《消费者权益保护法》、《全国人大常委会关于加强网络信息保护的决定》和《电信和互联网用户个人信息保护规定》等都规定信息控制者使用个人信息前应征得信息主体的同意。因此，未征得信息主体许可而使用他人个人信息的行为违反国家有关规定，构成非法使用个人信息。知情同意原则作为个人信息使用正当性的基础建立是在个人信息自决权之上，而非建立在隐私权之上，因此不要求被保护的个人信息具有隐私的秘密性特点，未经信息主体授权同意擅自对从网络上搜集、整理的他人已经公开的个人信息加以商业化利用的行为同样应当认定为非法使用行为。

3.2非经匿名化处理

个人信息具有可识别性，通过个人信息能够涵摄定位到具体的信息主体，与现实中的信息主体一一对应，这也是对个人信息进行保护的重要原因。为了充分合法化的开发个人信息背后蕴藏的商业价值，个人信息控制者对个人信息进行不可逆的去标识化或匿名化处理，这一定程度上减弱了个人信息与特定人对应的可能性。经匿名化处理去除可识别性的信息因无法指向特定自然人身份且不能恢复，就不再纳入个人信息的范畴，亦不适用个人信息保护规则。此时，无须经信息主体同意即可合法使用。但是，非经不可逆的匿名化处理过的个人信息仍属于侵犯公民个人信息的行为对象。

3.3法定犯属性

法定犯并没有明显违反社会伦理的特征，而是以违反一定的行政法规为前提。刑法中侵犯公民个人信息罪将违反国家有关规定作为前置性条件，个人信息的非法使用行为与非法转移行为具有相当性，因此个人信息的非法使用行为在入罪时也应将违反国家有关规定作为入罪的基本条件。

3.4主观方面

参照侵犯公民个人信息罪的主观构成要素来界定非法使用个人信息行为的主观方面。现有刑法关于侵犯公民个人信息罪的转移型行为体现出了其相对积极的主观心理因素，一般以直接故意作为其主观构成要件。而非法使用个人信息行为通常也是和非法转移信息行为一样的主观态度，即明知是对他人信息未经许可的非法使用而希望追求其危害结果的发生，因此也应该以直接故意作为非法使用个人信息行为入罪的主观构成要件。

3.5行为具体化明确

为了增强司法可操作性，应当明确非法使用个人信息中具有刑法可罚性的具体罪状形态。“非法使用”的描述是非常为抽象的，其含义及范围容易被任意扩张解释，因此需要对其本身的内涵进行具体化的限定以符合法律明确性的要求。将非法使用个人信息行为为区分界定为未经信息主体同意而使用和经同意但超越同意范围、方式、和目的的使用。这两种行为都是未经许可非法使用个人信息的行为，侵害了信息主体的个人信息使用自主，可以按照这种分类对非法使用个人行为进行具体区分，针对不同的非法使用行为的特征进行规制。

3.6情节严重

非法使用个人信息行为应当与侵犯公民个人信息罪目前已有的客观要件标准大致一致，同时区分非法使用个人信息行为的违法行为和犯罪行为。“情节严重”是划分一行为究竟属于违法还是犯罪的重要标准。通过在确定非法使用个人信息的行为的前提下，按照“情节严重”标准，进一步区分非法使用个人信息的犯罪行为与违法行为。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对现有的侵犯公民个人信息罪中的“情节严重”的具体确定做出了相对可操作的标准，如行为对象数量标准、后果标准、行为性质标准等，这可以为非法使用个人信息入罪标准提供参考。

4结语

随着个人信息使用频率和规模的不断提升和扩大，加之相关规范的阙如或失灵，事实上非法使用行为已经重新构建了侵犯个人信息行为体系，成为侵犯个人信息行为体系的核心行为，因此对非法使用个人信息行为进行刑法规制是必然的。但是保护个人信息并不意味着要限制正当的转移行为或合法的使用行为，刑罚作为最严厉的制裁手段，将个人信息使用自主纳入刑法的保护范围并对相应的非法使用个人信息行为进行刑法规制，必须遵循刑法谦抑性原则，明确非法使用个人信息行为的入罪标准，防止因过度犯罪化而阻碍个人信息的正当使用行为，阻碍社会发展。

参考文献

[1]李川.个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入[J].中国刑事法杂志，2019（05）：34-47.

[2]刘双阳，李川.大数据时代个人信息法益刑法保护的应然转向——以规制非法使用个人信息为重点[J/OL].重庆大学学报（社会科学版）：1-12[2020-07-30]. http：// kns.cnki.net/ kcms/detail/ 50.1023.C. 20200511.1130.004.html.

[3]劉仁文.论非法使用公民个人信息行为的入罪[J].法学论坛，2019，34（06）：118-126.

[4]皮勇，王肃之.大数据环境下侵犯个人信息犯罪的法益和危害行为问题[J].海南大学学报（人文社会科学版），2017，35（05）：114-124.

[5]于冲.侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界[J].政治与法律，2018（04）：15-25.

[6]赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报，2014（01）：117-127.

作者简介

徐康会（1996.09—），女，四川省眉山人，四川省成都市双流区四川大学法律（非法学）专业，硕士研究生。

四川大学  四川  成都  610200