庞云霞，张有林，崔静茜

（山西大同大学法学院，山西 大同 037009）

网络3.0时代，物联网和大数据的运用促成了线上线下社会的共生，颠覆性地改变了信息处理和社会运行方式。网络个人信息所汇总形成的大数据蕴含着巨大的价值。建立在大数据技术基础上的人工智能发展必将带来新的法律命题和挑战。“人工智能领域发挥个人信息最大价值的方式就是‘处理’个人信息，通过一系列的挖掘、分析、应用，获取隐藏在个人信息下具有更大内涵和价值的信息资源”。[1](P3)当下，具有初级智能水平的网络APP广泛运用在医学、法律、无人驾驶等领域，部分APP信息收集与决策已经超越其初始设定而具有了偏好性，如网络消费行为模式、语言习惯等。大部分APP存在个人信息过度收集的现象。[2](P112)大数据背景下的网络环境，个人空间与公共空间的场域界限模糊，网络用户变成透明人。网络信息的安全也不再局限于个人隐私而成为具有社会秩序价值、公共安全价值的核心要件。时下泛滥的网络APP滥用信息的活动也蕴含着前所未有的风险。

一、大数据时代网络个人信息的范畴界定与价值意蕴

网络中个人信息范畴需要结合网络场域特征进行划定。理论上对个人信息的界定有隐私性、关联性及识别性等观点，隐私理论强调个人信息的隐私性。关联理论以信息与主体的关联性作为个人信息界定标准，含个人隐私和公共生活的信息。可识别性观点认为“个人信息”的本质特征在于具有个人身份或个体特征的可识别性，即信息与特定主体具有关联性与专属性，能直接或与其他信息结合间接识别出主体的身份和特征。[3](P86)《中华人民共和国网络安全法》及《关于办理侵害公民个人信息刑事案件适用法律若干问题的解释》将直接识别和间接识别的信息规定为公民个人信息。基于此，网络中直接个人信息指以电子信息方式存在的具有直接识别公民身份功能的实体个人信息和虚拟个人信息。实体信息包括：姓名、身份证号、通信方式、地址、生物识别信息等；虚拟信息指实名注册但以网络虚拟方式显示的网络账号密码、网络地址及特定的网络身份、昵称、形象等。网络间接信息是指在网络中具有特定主体身份认定导向功能、需与其他信息相结合认定识别主体信息的网络活动轨迹等信息。

网络3.0时代的信息价值空前凸显，网络个人信息范畴有必要进行拓展。网络个人信息不仅包含具有敏感隐私性质的个人身份信息、生物识别信息、网络社交信息等，还应包括一般个人信息所形成的具有秩序价值、安全价值的网络数据信息。从刑法的规范设定的角度来看，大数据背景下公民个人信息的隐私与否并非侵犯公民个人信息罪“信息自决权”的核心，关键是侵犯行为是否违背行为人再利用的意志。[4](P62)一般的网络个人信息在大数据语境下也具有重要的秩序价值和安全价值。侵犯公民个人信息犯罪的法益并非传统的公民个人的人身权利，而是公共信息安全。在大数据环境下，个人信息关联的法益也呈现出公共化、多样化的态势，关联个人法益、公共安全和国家安全。[5](P114)对此学者认为：依靠网络信息搜索技术获得的定位、浏览、互动信息等加以分析形成的特定个体特质调查报告的收集行为，应认定为侵犯行为。[6](P65)对于其中危害性较重的行为有实施刑事制裁的必要。于志刚先生认为大数据时代的数据犯罪行为，除技术破坏、非法获取的行为外，还表现为大规模数据监听、监控、窃取、过度挖掘、恶意滥用等行为；犯罪危害后果表现为破坏计算机信息系统功能，还危害个人的财产、隐私、人身、人格安全，严重的危害经济秩序、国防利益与国家安全。[7](P110)

二、网络APP滥用信息行为及其刑事风险

（一）网络APP滥用信息行为的定性考量

1.必要性原则下的网络APP信息行为分析。“合法、正当、必要”为网络运营者收集、使用个人信息遵循的基本原则。网络APP的信息活动建立在合法、必要、授权的基础上，即法律允许的信息范畴内、经用户授权、以网络APP服务功能的必要性为框架进行网络信息活动。必要性语境下分析网络APP的信息收集功能呈现对向性特征，一方面用户需在软件安装时进行必要的功能授权，方能正常使用软件功能，如交易软件需用户进行实名身份认证，并授权同意关联资金账户。同时，网络APP根据自身的功能设计必须收集必要的个人信息，才可提供服务功能。例如，对于社交软件通讯信息的收集就是必要的。超过这一对向性所必须的信息行为即为违反必要性原则的信息行为，可能产生滥用的风险。

网络中常见的超出APP使用功能必要性而进行的网络信息收集、利用方式有：（1）功能捆绑、过度授权、关联认证等合法方式。较普遍的方式是通过超过功能必要性的授权和功能绑定的方式取得授权。基本上所有APP不论具体为何种功能用途，均设有授权访问移动设备识别码、通讯录、图库、位置信息、开启录音摄像设备等功能。部分网络APP软件设置有账号关联登录，这种方式很便捷，但客观上也为个人信息安全带来隐患。（2）诱惑方式。APP通过诱惑用户同意参与网络活动、下载使用APP,从而有目的地信息收集。如通过推广小程序，记录网络行踪、获取访问图片、通讯录等权限，形成数据资源。如某换脸小游戏APP，涉嫌获取收集用户的生物识别信息，因存在重大的安全隐患而为相关部门取缔。（3）隐蔽的不正当方式。其一通过模糊隐私政策扩大信息的权限。其二通过自启动程序或隐蔽授权功能对用户信息进行收集。如滥用关联启动程序、后台运行程序，甚至伪装的启动功能键，欺骗用户获得授权。（4）网络大数据中的“灰色方式”：网络爬虫与网络侧写。网络大数据建立在海量信息收集和云计算的基础上，无法规避其与生俱来的天然风险：算法黑箱、算法歧视影响下的运算结果客观性偏差。网络APP服务提供者运用大数据对用户的网络活动轨迹进行信息挖掘和分析侧写，有针对性地向目标用户推送信息形成“网络信息茧房”，似乎已经超越个人网络隐私的保护界限而具有了普遍性与正当性。基于国家和公共安全的风险防控而进行的大数据信息挖掘与分析很有必要性。但是滥用这种技术进行过度个人信息挖掘和侧写，严重损害网络用户的知情权、安宁权、自主权，对于网络秩序和网络公共安全的风险不言而喻。

2.网络APP信息滥用行为的定性分析。以网络APP为代表的网络大数据技术，可绕开“合法、必要、授权”的信息保护规定进行深度挖掘、运算分析乃至信息滥用。大数据中信息挖掘与分析技术能轻松破解网络的“虚拟性”，自主收集网络行踪、个人隐私等信息，使授权规则失效，并使大数据环境中个人信息保护制度虚置。[8](P80)网络APP软件不但可以通过注册认证“合法”收集个人的直接信息，而且也可以通过爬虫等技术挖掘网络浏览记录、输入信息等“无须授权”的信息，并进行“合理”的数据运用，还可通过网络侧写分析+云计算回溯到特定目标主体，进行“定向”“定制”的精准信息投放和智能服务。

值得注意的是，现实社会与网络世界对同种性质行为的违法性评价不完全一致，在网络APP滥用信息活动中体现的尤为明显。如：网络客户在使用APP搜索功能后，在全网持续接受到同类型的信息推送“骚扰”。这种基于网络行为分析侧写后的精准推送，意味着输入搜索信息的同时即被大数据分析并追踪回溯，实际上个人网络活动信息在未经“授权”的情形下被多次分析使用。部分APP在信息挖掘的基础上，对客户予以差别待遇，不同的客户推送的价格信息完全不同。在现实生活中，此类获取个人活动信息的举动已经有侵犯隐私的嫌疑，此种经营行为也应判定为不正当经营。部分智能APP有静默状态下的激活设置，则语音识别和录音功能处于运行状态才能保证智能软件被唤醒激活。因此，网络中不乏被“大数据”窃听并收到信息推送的“云监听”事件。实际生活中，未经授权、大规模的获取个人信息后加以分析或不当利用，如对多人拨打推销或诈骗电话、达到情节严重程度的，可评价为具有刑事违法性的行为。但是在网络APP中，这一行为似乎披上了合法授权的外衣而无法进行法律非难。

学者认为在大数据等信息应用技术背景下，对个人信息侵害不仅仅以非法获取和利用为表现形态，更呈现为“合法获取、不当滥用”的新典型特征，即通过利益诱惑收集、打包授权、第三方接转等合法且隐蔽手段大规模取得个人信息，采取诸如个人信息拼图抓取、强制打包授权、针对性强制推送信息等各种信息滥用的形态，导致刑事规制的严重失灵。[9](P34)

（二）网络APP滥用信息的刑事风险 网络时代的到来促进了风险刑法理论的扩张，对网络技术风险的预防是网络刑法的必要命题。以网络APP为代表的滥用信息行为可能产生来自技术的风险、数据库安全风险、信息不当利用的风险。作为实现软件功能的必要技术手段，网络APP普遍嵌有信息推送类、数据分析类的代码、插件，这些软件的收集、分析信息功能强大，也必然包含一定的安全隐患。对于网络APP因自身技术带来安全风险属于技术开发者对技术产品质量监督责任的范围。利用技术漏洞进行违法信息活动的行为，可根据危害程度评价适用现有罪名进行评价。

网络信息的滥用造成了个人网络信息安全风险。其一对于网络信息权利的核心要素的侵害：网络个人信息自决权、知情权、安宁权。APP过度收集信息经大数据不当运用，其过程本质上是对信息自决权、知情权的侵犯，破坏了信息主体对信息的支配权、控制权。未经允许对公民进行网络侧写记录、进行定向信息输出，实际上侵犯了公民的网络安宁权。其二网络APP滥用信息会带来网络个人信息被泄露的风险和被不当利用的风险。大数据时代信息数据的财产价值意义非凡。不仅涌现利用交易、黑客等方式盗取、侵占信息资源的“泄露”型犯罪类型,还出现新型的个人信息大数据滥用行为，前文提到的不当网络侧写和网络信息茧房即为范例。

网络个人信息聚合形成了网络安全与网络秩序的风险。“个人信息”不仅限于自然人的个人权利，涉及社会公共利益甚至国家安全，其所蕴含的法益是个人信息权利的集合，是一种综合性权利或利益。个人信息不仅具备人身、财产属性，同时具备公共物品属性。公民个人信息形成规模化分析数据，具有社会公共利益的法益属性。[3](P86)侵犯个人信息罪虽规定在侵犯公民民主权利一节中，但对主体泄露工作中获取的数据信息的行为予以重点规制，此即为基于公共秩序视角的考量。因此，网络信息滥用关乎网络信息管理秩序安全，即维护网络运行安全和信息安全达成网络空间安全、稳定、有序所形成的新型法益。[11](P47)大数据背景下，刑法保护的法益中网络安全法益的重要性并未体现，应将网络管理秩序、网络公共安全等作为必要的内容予以保护。“网络公共安全的内涵应包括网络空间的数据和以信息为内容的网络秩序的安宁性，以系统安全、数据与信息安全为对象的网络技术行为是重点规制的内容”。[12]

以大数据为技术支撑的信息挖掘使得个人的网络活动轨迹失去传统信息保护制度的盔甲，变身为可任意挖掘的信息宝库。基于信息滥用的规制角度分析并对个人信息保护制度进行必要的延伸，能在一定程度上维护个人在网络空间的安宁与隐私空间。否则，在大数据与云计算的智能技术下个人将毫无隐私空间。一般网络信息经收集整理形成具有情报意义的信息库，同样可能升级成为关乎网络秩序和安全的信息资源。斯诺登事件中透漏的危机表明，某种程度讲这种滥用信息技术的行为已经达到危害国家安全乃至破坏国际秩序的程度。

三、网络滥用信息行为的刑法规制路径

对于违反必要性原则过度收集个人信息中滥用信息的行为，在现有的法律框架内可通过行政法律予以规制，但与信息滥用犯罪严重的危害性明显不符。虽然从传统犯罪的角度，对其中的滥用信息且危害严重的部分行为，可适用现有刑法规定进行界定。在网络安全法益的前提下讨论，现行规定尚且存在滞后性，对以网络APP为代表的滥用信息危害网络安全的行为未进行有效的规制。

（一）规制不力——相关罪名适用的解析 我国刑法现有罪名体系，对于网络APP涉及个人信息犯罪可进行有限的适用。其一以计算机系统为对象的犯罪，认定为非法侵入计算机信息系统罪、破坏计算机信息系统罪，适用于侵犯计算机系统安全的行为。其二是以网络为工具的犯罪，认定为非法获取计算机信息系统数据罪等罪名，适用于以网络技术为工具，采用侵入、破坏、获取、控制等方式危害计算机系统和数据安全的行为。[13](P43)其三对于网络APP以特定犯罪活动为目的、以收集信息数据为手段、符合传统犯罪形式的滥用行为，依犯罪行为触犯的具体罪名来确定。其四对于大数据时代出现的以网络信息管理秩序、网络数据安全为内容的新型侵犯信息安全的行为，适用拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪等，规制不履行网络安全义务、非法利用信息网络、实施犯罪帮助行为的网络APP运营商、开发商、操纵者等。[12]

学者指出，在个人信息保护的视角下分析，我国现行的个人信息犯罪适用罪名侧重点是非法转移型侵犯个人信息行为，通过聚焦制裁对个人信息的非法转移来实现对个人信息的保护。[9]这一制度对网络3.0时代到来之前的个人信息侵害犯罪起到有效的规制作用，但对于线上线下生活互融、信息成为核心资源的大数据时代的信息滥用行为，就明显存在规制不足问题。现行规定仅对非法提供、出售、获取、泄露个人信息的转移信息型行为处以刑事责任；对滥用信息行为中符合其他传统罪构成要件的可以适用；对大数据时代个人信息侵害领域高发的“合法获取、不当滥用”型行为，即不以犯罪为目的，形式合法但具有严重危害的滥用信息数据现象，刑法尚缺乏有效回应。[9]网络APP信息滥用为代表的行为中危害网络安全、网络秩序的行为尚处于法律真空地带，侵犯个人信息罪作为规制信息犯罪的特殊罪名亦力有不逮。尤其网络APP滥用个人信息的目的是用于非犯罪活动且情节严重的情形，无法进行刑事制裁。“在民事、行政法规范缺乏相应制裁性规制的情形下，诸如网商利用掌握的用户信息轰炸式推送定制广告等滥用行为的大量发生就难以避免。”[9]对于利用大数据对个人信息进行“爬虫”数据挖掘和网络侧写的技术滥用行为，目前尚未有明确的罪名予以界定，对于网络APP信息数据滥用引发的刑事风险，现有罪名体系无法进行有效保障。刑法应当为数据滥用划定必要的范畴和行为界限，对介乎于灰色地带的具有刑事危害性的数据挖掘和运算行为进行有效的治理。

（二）规制路径——侵犯个人信息罪的客观重构

1.网络个人信息法益内涵的必要拓展。大数据环境中应将个人信息使用自主权作为网络刑法保护个人信息的内涵。违反“合法、必要、正当”原则的网络个人信息，除法律明确规定的信息类型外，还包括被滥用的形式合法、但实际“同意无效”信息，诱导性收集的信息。此外，合法信息经大数据云计算变身为关乎国家、公共安全和社会管理秩序的“信息情报、信息数据资源”，也应分级列入刑法保护的范畴。回避必要性原则形成的具有回溯功能的个人信息数据，侵犯多数个体的网络安宁权乃至破坏网络秩序的，也应列入禁止滥用的信息范畴。

现有的罪名体系是以侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪为主的规制机制，侧重对个人信息转移自主权的保护，故对非法出售、提供、获取、泄露个人信息等涉及对个人信息转移自主权的侵害行为进行规制，将个人信息自主缩限为个人信息的转移自决权。忽略了个人信息自主权不仅包括转移自主，还包括转移之后的使用自主。[9]“在大数据时代强调信息数据运用为王，个人信息的使用价值日益突出显著甚至成为个人信息的核心属性，个人信息使用自主更是成为个人信息权的核心权能；个人信息使用自主也是个人信息转移自主的目标和落脚点，对个人信息使用价值的追逐成为当前个人信息非法转移行为高发的深层诱因。”[9]

从刑事立法的角度讲，对于网络APP自身技术安全和数据库安全的风险，可考虑适用严格责任原则，来提升网络服务运营方的责任风险意识。网络大数据活动的灵魂是信息，信息安全则网络安全。因此，在网络信息保障方面有必要引入网络秩序的法益，将信息安全作为网络秩序的必要内容。必要的情况下，将网络管理秩序、网络公共安全作为社会管理秩序、公共安全的组成内容，亦是可行的立法路径之一。

2.侵犯个人信息罪行为类型的重构。学者认为刑法中侵犯个人信息罪中的禁止行为类型在大数据语境下应当予以重构。出售、提供、窃取及其他方法获取的侵犯行为类型在大数据语境下可划分为：以出售和交换方式表现的“交易型”，以窃取、暴力、以和平方式为诱饵的“刺探型”和特定目的收集、漏洞告知为表现方式的“泄露型”。其中出于商业目的而进行的“人肉搜索”、“兴趣定位”等行为，可根据危害性采取行政规制与刑事惩戒方式。[4]非法的获取、出售、提供都属于个人信息的转移方式，而非法转移个人信息的最终目的在于滥用。“对个人信息深度挖掘应用所带来的侵害风险要求大数据时代个人信息保护的重点应从转移环节转向使用环节”。[13]在刑法保护的法益扩充的基础上，将个人信息滥用且情节严重的，列入侵犯个人信息罪是必要之举。因此，应当对滥用信息行为进行必要的分类界定，将网络APP无权或越权收集信息、危害网络秩序和公共安全的行为进行刑法规制；对大数据基础上，个人信息的不当挖掘、网络侧写、信息投放等滥用行为作为个人信息滥用的具体类型予以规制。因此可将滥用个人信息行为界定为：违反“合法、必要、正当”原则，利用大数据技术实施的不当获取网络个人信息，情节严重的行为；对网络个人信息滥用大数据技术，侵害网络安宁权、危害网络秩序、网络安全，情节严重的行为。对网络APP而言，滥用信息行为表现为APP软件运营者、开发者、操纵者违反必要性原则，利用大数据进行不当的个人信息挖掘、信息分析及信息回溯，情节严重；或侵害网络安宁权、危害网络秩序、网络安全，情节严重的行为。“被滥用的信息”特指形式合法，收集、利用信息的范围超过了功能运行所必需的信息要求，且信息资源形成具有公共秩序与公共安全价值的资源。为保持法律的统一性，对于滥用信息行为在主观方面、情节严重等要素方面的理解，应与其他侵犯个人信息行为类型一致。