論非法使用公民個人信息行為的入罪

劉仁文

(中國社會科學院 法學研究所，北京 100720)

公民個人信息頻遭泄露，對公民個人及其家庭的人身、財產安全和其他各項合法權益造成嚴重威脅。(1)據中國互聯網協會發布的報告，我國54%的網民認為個人信息泄露情況嚴重，84%的網民曾親身感受到因個人信息泄露帶來的不良影響。轉引自喻海松：《網絡犯罪二十講》，法律出版社2018年版，第201頁。為保護公民個人信息的安全，2009年2月全國人大常委會通過的《中華人民共和國刑法修正案(七)》(以下簡稱修(七))新增了出售或非法提供公民個人信息罪和非法獲取公民個人信息罪。2015年8月全國人大常委會通過的《中華人民共和國刑法修正案(九)》(以下簡稱修(九))，又對此作了進一步的修改完善，包括擴大犯罪主體、提高法定刑等，并將前述修(七)所規定的出售或非法提供公民個人信息罪和非法獲取公民個人信息罪兩個罪名整合為侵犯公民個人信息罪一個罪名。(2)將犯罪主體由“國家機關或金融、電信、交通、教育、醫療等單位的工作人員”擴大至一般主體；將法定刑由“三年以下有期徒刑或拘役并處或單處罰金”提升為兩檔，增加“情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”盡管如此，我國刑法對侵犯公民個人信息犯罪的規定仍不周延，無論修(七)還是修(九)，侵犯公民個人信息的行為均只有三種類型，即非法獲取、出售和提供。然而，此三種類型尚不足以涵蓋現實中愈演愈烈的非法使用公民個人信息這樣一種行為類型。本文意在證明，侵犯公民個人信息罪的上述缺陷會造成刑法保護公民個人信息的不力，有必要在侵犯公民個人信息罪中增加非法使用公民個人信息這一行為類型。

一、非法使用公民個人信息行為具有嚴重的法益侵害性

與非法獲取、出售及提供公民個人信息行為相比，非法使用公民個人信息行為的法益侵害性(3)本文在相同意義上理解和使用“法益侵害性”和“社會危害性”。不但不比它們小，甚至還更為嚴重。一方面，非法使用公民個人信息行為的法益侵害具有直接性，無論是非法獲取、出售還是提供公民個人信息的行為，其本質上只是公民個人信息自身的物理流轉和空間變換，由一方主體轉換至另一方主體，由一個空間轉移至另一個空間，不管變換如何頻繁，其始終只是對形式進行的侵害，對于形式所包裹的法益并未造成直接的侵害，如姓名、身份證號、手機號等，無論被轉賣多少次、被多少個主體掌握，沒有切實的使用行為，如注冊銀行卡、進行電話推銷等，信息主體的權益并不會受到直接的侵害。正如有學者所指出，在非法獲取、出售和提供公民個人信息案中，因行為所涉及的個人信息量巨大，其所造成的損害具有間接性和群體性的特點，且難以和具體的被害人建立起直接聯系。(4)參見王肅之：《被害人教義學核心原則的發展——基于侵犯公民個人信息罪法益的反思》，載《政治與法律》2017年第10期。易言之，沒有公民個人信息的使用行為，位于上游的非法獲取、出售及提供公民個人信息的行為始終只是處在法益的邊緣，并不會直接侵害法益。正因為此特點，有學者稱此種規制邊緣犯罪行為而對關鍵行為不予打擊的立法方式稱為“外圍式立法”。(5)參見陳文昊：《侵犯公民個人信息罪中的“外圍”立法與解釋進路》，載《重慶郵電大學學報(社會科學版)》2018年第3期。這種外圍式立法模式對于毒品類犯罪中不將吸毒這類被害人自損行為納入犯罪具有解釋力，且不會產生處罰漏洞，但對非法使用公民個人信息這類侵犯他人權益的行為則難以進行合理解釋，而且還會產生處罰漏洞。(6)吸毒行為是自損行為，不會對他人及社會的法益產生侵害，不具有懲罰必要性，可以不進行懲罰，正如刑法規制傳播淫穢物品的行為，但對于個人觀看行為不予處理；而非法使用公民個人信息的行為是涉他行為，會對個人法益或社會法益產生危害，有相應的受害主體，若不規制非法使用公民個人信息的行為，則受害法益無法得到有效保護。因為非法使用公民個人信息的行為作為涉公民個人信息犯罪鏈的末端行為，是最終的目的行為，它使處于先前環節的獲取、出售及提供公民個人信息行為的法益侵害具體化、可視化，使其法益侵害可能性轉變為法益侵害必然性。

另一方面，非法使用公民個人信息行為的法益侵害具有精準性。公民個人信息的顯著特點是其可識別性，或曰映射性。每條公民個人信息都有對應的信息主體，同時也對應著信息主體的各種權益。只要非法使用公民個人信息，與信息本身的使用途徑、方法不一致，就必然會對信息所映射的主體造成侵害。公民個人信息可以分為自然形成的信息，如性別、血型、身高、出生地，以及為了維護社會秩序、方便社會管理而根據法律、行政法規由政府管理機構編制而成的公民個人信息，如身份證號、車牌號等。無論是自然形成的公民個人信息還是法律規定而產生的公民個人信息，均具有精準性或映射性的特點，均可由政府機構、公共服務機構通過一定的技術手段將其分類、編碼，以便與現實中的信息主體一一對應。(7)參見鄭旭江：《侵犯公民個人信息罪的述與評》，載《法律適用》2018年第7期。正是因為公民個人信息自身所具有的這種特點，使得非法使用公民個人信息的行為很容易對現實中的信息主體造成直接侵害，即便非法使用人具有其他目的、目標侵害人并非信息主體，這種侵害也顯而易見。(8)典型的例子就是虛假注冊公司，如果非法使用人的目的是為了詐騙，那么此時目標侵害人并非信息主體而是社會上不特定的其他人，非法使用人使用他人的信息注冊公司從事詐騙行為，詐騙成功后跑路，受騙人便會找到公司注冊信息上的信息主體，對于信息主體造成金錢或名譽損害，或者陷入訴訟中。

由于上述特點，非法使用公民個人信息的行為將直接對信息主體的財產、名譽、征信等方面造成嚴重損害或威脅。以使用公民個人信息辦理信用卡及在網絡平臺進行借貸為例，同一信息甚至被用來辦理多張異地信用卡及在多家網絡借貸平臺借款，且金額甚巨，它不僅可能給信息主體帶來司法糾紛的隱患甚至財產上的損失，還會給信息主體帶來個人征信方面的隱患。(9)在個人征信日益受到重視的今天，征信上的缺陷將導致信息主體正常的生活及金融活動等受到影響，如因征信問題而被限制乘坐飛機、高鐵，因征信問題導致正常的銀行借貸業務受阻。此外，非法使用公民個人信息從事違法犯罪行為的案件也屢見不鮮，這一方面給公安機關精準打擊犯罪帶來困難，影響正常的司法活動，另一方面也對信息主體產生多種負面影響，如在公安網上留下犯罪記錄，影響信息主體正常的求職、就業。還有，非法使用公民個人信息行為導致電商領域虛假注冊用戶、店鋪現象頻發，這些賬戶甚至被用來從事違法犯罪行為，嚴重危害電子商務的健康發展。總之，這類行為的社會危害性(法益侵害性)和應受懲罰性足以與非法獲取、出售和提供公民個人信息的行為相提并論。

二、現行刑法規定無法涵蓋非法使用公民個人信息的行為

(一)無法將非法使用公民個人信息行為納入侵犯公民個人信息罪

侵犯公民個人信息罪包含三種行為方式，即獲取、出售和提供，無論作何種理解，使用公民個人信息的行為都無法被上述三種行為所涵蓋。

首先，從行為自身含義上進行區分，獲取是個人信息的從無到有，出售和提供是公民個人信息在合意雙方乃至多方主體之間的流動，使用則是單方主體對公民個人信息的操控，是一種單向的流動。當然，獲取是出售、提供及使用行為的前提，行為之間具有事實上的邏輯關系，沒有獲取行為就沒有后續的出售、提供及使用行為，但是各種行為同樣能夠作出區分，行為之間具有本質上的區別。而且現實中還會出現非法獲取公民個人信息的行為未達到入罪標準但非法使用公民個人信息行為所造成的法益侵害卻極為嚴重的情況，此時則會出現犯罪圈的漏洞。

其次，從行為所具有的法益侵害性進行區分，如前所述，獲取、出售及提供是處于法益邊緣的行為，對于法益不具有直接侵害性，而使用行為則是法益侵害的核心行為，對于公民個人信息所對應的法益具有直接侵害性。獲取、出售及提供行為僅是接觸公民個人信息這一法益的“外層包裝”，而使用行為則是剝開公民個人信息這層“外部包裝”、直接接觸法益“內核”的行為，如非法獲取、出售及提供公民手機號的行為不會對手機號主體的法益造成侵害，而使用公民手機號的行為如常見的電話推銷行為則會對公民的生活安寧權造成侵害。(10)當然，現實中也不排除這樣的個案，即在非法使用公民個人信息的系列行為中，某一環節的某種行為對某個信息主體并沒有造成侵害(甚至在特殊情況下還有利于信息主體，如非法使用信息主體的手機信息給其發短信，可能恰好某個短信的信息對信息主體還有用)，對此，一方面可以在入罪的條件設定時將此種情形排除在犯罪之外(現有侵犯公民個人信息罪對非法獲取、出售和提供公民個人信息的行為入罪本來就有“情節嚴重”的限定)，另一方面要看到，前述非法使用公民個人信息的行為常常是海量行為，而且其中絕大多數都是有害的，即使某個信息對某個信息主體有用，也會對其他絕大多數人造成干擾，何況對公民個人信息的刑法保護不僅僅是基于個體視角下的人身權和財產權考慮，還有對國家和社會安全、公共利益、網絡運行環境的整體保護之考慮。參見賈元、劉仁文：《內涵、外延與基準：公民個人信息的刑法保護》，載《山東警察學院學報》2019年第1期。使用行為與侵犯公民個人信息罪所列舉的三種行為方式具有本質上的差異，注定無法通過解釋的方法將其納入本罪。

再次，由于非法使用公民個人信息行為無法被侵犯公民個人信息罪所包含，反映在實務領域，則是法官在處理此類行為時沒有合適的罪名進行定罪，只得找尋其他相似的罪名進行判決，而這樣做則會導致適用上的質疑。以2016年山東單縣篡改高考志愿案為例：高考生陳某因嫉妒班級其他4位同學高考成績好，便利用自己所知悉的4位同學的高考志愿填報系統密碼私自篡改其高考志愿，導致4位同學未能被自己所報學校錄取，最終法院以破壞計算機信息系統罪對陳某定罪，判處其有期徒刑7個月。(11)(2016)魯1722刑初312號。但本罪規定于刑法分則第六章妨害社會管理秩序罪之第一節擾亂公共秩序罪之下，也就意味著此罪的規范目的是維護公共秩序，而本罪的損害結果即4名考生未能被理想學校錄取并不能為公共秩序所涵攝。而且從案件事實的認定來看，本案核心事實并不能被破壞計算機信息系統罪所涵蓋，如果此案發生在高招錄取計算機化之前，志愿是紙質填報，其篡改行為是否就可以不構成犯罪了？(12)參見張亢：《篡改他人高考志愿的罪名適用》，載《人民司法(應用)》2017年第13期。另外從犯罪對象看，破壞計算機信息系統罪的犯罪對象為計算機系統本身，所造成的后果至少應有對計算機系統本身的損害，在本案中并未有此后果發生，將“妨礙或者使得他人喪失一種獲得公正的教育的機會也作為后果嚴重來理解已經超出了法條本身具有的含義”。(13)參見齊魯網：《專家解讀單縣高考志愿篡改案》，http://news.shm.com.cn/2016-10/26/content_4539789.htm，最后訪問時間：2019年6月14日。因此，無論是從保護法益還是從造成的危害后果來看，筆者都同意篡改他人高考志愿的行為不應該適用破壞計算機信息系統罪的觀點。(14)同③。

(二)無法將非法使用公民個人信息行為納入其他罪名

刑法中涉及非法使用公民個人信息的罪名主要有四個，分別是第177條之一妨害信用卡管理罪(15)第三種情形：使用虛假的身份證明騙領信用卡的。、第196條信用卡詐騙罪(16)第一種情形：使用以虛假的身份證明騙領的信用卡來進行信用卡詐騙活動的。、第224條合同詐騙罪(17)第一種情形：以虛構的單位或冒用他人名義簽訂合同來進行合同詐騙的。及第280條之一使用虛假身份證件、盜用身份證件罪(18)在依照國家規定應當提供身份證明的活動中，……盜用他人居民身份證、護照、社會保障卡、駕駛證等依法可以用于證明身份的證件，情節嚴重的。。但是，這四個罪名均無法用來處理非法使用公民個人信息的行為。

非法使用公民個人信息行為的手段性質有兩種：一是行為人為實施侵害行為而使用被害人的個人信息，此時非法使用公民個人信息的行為可以作為手段行為被主行為吸收，如利用所知曉的他人銀行卡號、密碼竊取他人存款，則使用財產信息的行為可以被盜竊罪吸收；二是行為人為了實施不法行為而使用與危害結果無關的第三人的個人信息，此種情形下使用公民個人信息的行為仍然是手段行為，但此手段行為造成兩種危害結果，一種是目的結果，即行為人所欲實現的危害結果，另一種則是對信息主體所造成的危害結果，而對信息主體權利所造成的危害結果無法被最終的犯罪結果所吸收，如為逃避打擊，行為人使用他人個人信息進行實名認證從事犯罪活動，在此種犯罪活動中，司法機關往往僅注重對最終犯罪結果的處理，而對個人信息被使用的信息主體的權利則在所不問，因為此類罪名所保護的對象并不涉及信息主體本身。

由是觀之，現行刑法分則中涉及非法使用公民個人信息行為的罪名均屬上述第二種情形，即行為人為了實施不法行為而使用與危害結果無關的第三人的個人信息。無論是這些罪名在刑法分則中所處的位置還是其欲保護的法益，都不能保護信息主體的權益，也無法為信息主體尋求刑法保護提供有效的路徑。妨礙信用卡管理罪、信用卡詐騙罪及合同詐騙罪位于刑法分則第三章破壞社會主義市場經濟秩序罪，使用虛假身份證件、盜用身份證件罪位于刑法分則第六章妨礙社會管理秩序罪，它們所欲保護的主要是一種超個人法益，其所要維護的主要是個人權益之外的宏觀經濟秩序和社會秩序，而非法使用公民個人信息的行為所要保護的是個人信息被盜用的信息主體的個人法益，二者的保護法益也是不同的。

(三)無法為個人信息被非法使用的公民維權提供有力支持

最高人民法院《關于適用中華人民共和國刑事訴訟法的解釋》對自訴案件的范圍規定了兩大類八小項，其中在第二大類“人民檢察院沒有提起公訴，被害人有證據證明的輕微刑事案件”中規定了“刑法分則第四章、第五章規定的，對被告人可能判處三年有期徒刑以下刑罰的案件”。侵犯公民個人信息罪被規定在刑法分則第四章中，在刑罰上也符合上述標準：情節嚴重的，處三年以下有期徒刑或拘役，并處或單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。因此，侵犯公民個人信息罪屬于前述條件下的自訴范圍。當然，如該解釋所言，“本項規定的案件，被害人直接向人民法院起訴的，人民法院應當依法受理。對其中證據不足、可以由公安機關受理的，或者認為對被告人可能判處三年有期徒刑以上刑罰的，應當告知被害人向公安機關報案，或者移送公安機關立案偵查。”

來自司法實務部門的信息表明，現在侵犯公民個人信息犯罪呈現出公安機關主動打擊的特點，很少出現公民個人主動報案或向司法機關提起自訴以尋求個人信息的保護。(19)2018年8月22日，“網絡安全峰會”在國家會議中心舉行，在“聯防聯控生態共治網絡黑灰產——天朗計劃”分論壇中，最高人民檢察院法律政策研究室吳嶠濱處長如是說。這與筆者的另一項觀察相符：筆者在無訟案例官網中以“侵犯公民個人信息罪”、“自訴”為關鍵詞進行案例檢索，只獲得侵犯公民個人信息罪的自訴案例18件，除去同一案件的上訴、申訴情形，僅得有效案例6件，且其中無一例外均因證據不足而被駁回。為什么侵犯公民個人信息罪作為保護公民個人切身權益的罪名，現實中卻很少出現公民以個人名義維權或即使有少量維權也鮮有成功的呢？筆者認為，原因至少有以下兩點：

一是舉證標準超出公民個人的能力范圍。侵犯公民個人信息罪于立法時即預設了公權力機關(公安機關、檢察機關)為打擊侵犯公民個人信息罪的主體，并未充分考慮到公民個人維權的情形，因此侵犯公民個人信息罪的行為模式、入罪情形及證據標準均是按照公權力機關的偵查、取證能力來設定的。侵犯公民個人信息罪以情節嚴重作為入罪標準，最高人民法院、最高人民檢察院2017年發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對情節嚴重進行了解釋，列舉了十種情形。然而這十種情形均是公民個人無法進行充分舉證的，如第(二)項，知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的；又如第(七)項，違法所得五千元以上的。在公民個人無法達到公安機關立案及法院受理自訴的證據標準的情況下，靠公民個人主動報案及通過自訴來尋求個人信息保護就幾乎成為一句空話。

二是侵犯公民個人信息罪中沒有與公民個人尋求保護相契合的行為類型即非法使用公民個人信息的行為，這也是最關鍵的一點。現實中，獲取、出售及提供公民個人信息的行為具有高隱秘性，互聯網的發展使得行為人可以通過一臺網絡終端如手機、電腦就可以完成公民個人信息的獲取、出售及提供行為，公民很難發現自身的信息被他人獲取、出售及提供。即使發現了，公民個人也很難找出行為人。公民個人容易發現的自身信息被侵害更多的是其信息被非法使用的行為(如前所列舉)，然而與此相矛盾的是，由于目前的侵犯公民個人信息罪并未包含此種行為類型，致使公民在向公安機關報案或向人民法院提起自訴時，要么公安機關不予受理，要么人民法院駁回起訴。這就產生了一個惡性循環：公民遇到自身信息被非法使用時求助無門，陷入漫長的行政或民事維權程序中，獨自承擔著非法使用公民個人信息行為所帶來的侵害結果；而公安司法機關則無法通過被侵害人的報案或自訴獲得有效的線索和證據，從而大大影響對侵犯公民個人信息犯罪行為的打擊力度和效率。

三、非法使用公民個人信息行為入罪有利于實現法秩序的統一

法學自身根據社會實踐的需要被劃分為各種學科，但是各學科總的價值取向、觀念思想是一致的，如都是為了追求公平、正義等。而且，對于同一種行為的評價雖可能因學科之間的差異而有所不同，但總體上應當是一致的，如果各學科對于同一行為作出性質完全不同的評判，那這種情形就會帶來法秩序的不統一。正如卡多佐所指出：我們不要支離破碎地去看待法律，而要將法律看作是一個連續的、一往無前的發展整體。(20)參見[美]卡多佐：《法律的成長——法律科學的悖論》，董炯、彭冰譯，中國法制出版社2002年版，第12頁。具體到本文，筆者主張將非法使用公民個人信息的行為入罪，這不僅有與其他部門法相關規定保持外在邏輯統一之考量，也有基于刑法自身內在邏輯自洽之考慮。

(一)前置法中“使用”行為的規定

刑法在法律體系中具有補充法和保障法的地位，這意味著，前置法中的相關規定對于刑法本身的規定具有相輔相成的意義，或者說刑法應對前置法中的規定做出回應。依此思路，筆者以“使用”為關鍵詞對幾部涉及公民個人信息保護的民法、行政法和部門規章進行了檢索，得出以下檢索結果。

如表1所示，無論是2017年全國人大通過的《民法總則》，2016年全國人大常委會通過的《網絡安全法》，還是2013年全國人大常委會修正的《消費者權益保護法》，以及2013年工信部發布的《電信和互聯網用戶個人信息保護規定》，均將使用公民個人信息的行為作為一種獨立的行為模式加以規定，將其與收集、獲取、出售、提供等行為加以區分、并列。可見，在民法、行政法等法域的視野下，非法使用公民個人信息是一種具有獨立性評價意義的行為。法律體系的一致不僅包括價值、目標等實質思想上的一致，同時也包括法律規范邏輯上的一致。不同部門法針對同種情形的具體細節性規定可以有所不同，但在具體規定的內在邏輯上應當具有一致性。(21)參見王昭武：《法秩序統一性視野下違法判斷的相對性》，載《中外法學》2015年第1期。具言之，行為與行為之間的關系如相互獨立、相互包含抑或具有交叉關系是固定的，不因法律的不同而不同。

回到本文主題，民法、行政法等法域下使用行為與獲取、出售及提供行為之間的邏輯關系在刑法法域中也應該同樣適用。也就是說，作為保障性法律而存在的刑法也應當對非法使用公民個人信息行為加以規定，將其與獲取、出售及提供行為并列規定，以免出現當非法使用公民個人信息行為達到一定社會危害性只有施以刑罰才能與其行為性質相適應時，卻在刑法中找不到相應的法律依據。當然，前置法規定非法使用公民個人信息行為并不能當然推出刑法中也應當將使用行為規定其中，畢竟刑法本身具有獨立性，因此，接下來我們還有必要繼續考察一下刑法內部關于“使用行為”的邏輯自洽問題。

表1 前置法中“使用”行為的規定

(二)刑法內部“使用”行為的規定

以“使用”為關鍵詞，對刑法分則進行檢索，共有37個罪名出現“使用”一詞，因檢索的初衷系考察“使用”作為一種行為模式是否具有獨立于同一罪名中其他行為模式的價值，因此筆者將其中以名詞形式出現及同一罪名中沒有與使用行為并列從而具有比較意義的罪名剔除，最終得出結果即刑法第219條侵犯商業秘密罪。本罪中“使用”商業秘密的行為與“獲取”商業秘密等行為相并列，“使用”行為被作為一種獨立的行為模式加以規制。

從形式上看，二者均屬于同一語句構成模式——“犯罪行為+犯罪對象”，即“侵犯某某罪”，這種罪名構成意味著其罪名內容及行為模式具有某種相似性，且二者均為敘明罪狀，即在侵犯公民個人信息罪與侵犯商業秘密罪的罪名統攝下，分別列舉多種犯罪行為方式并對其加以描述。從犯罪對象上看，作為兩罪犯罪對象的公民個人信息與商業秘密也具有一定程度的類似性，公民個人信息系以自然人為核心而衍生出的信息的集合，商業秘密可以看做是以法人為核心而衍生出的信息集合中最為重要的“個人(法人)信息”。商業秘密主要具有財產性或價值性，即指技術信息或經營信息具有可確定的應用性，能夠為權利人帶來經濟利益和競爭優勢。(22)參見周光權：《侵犯商業秘密罪疑難問題研究》，載《清華大學學報(社會科學版)》2003年第5期。公民個人信息則具有多重屬性，除去財產性特征外，人身性也是其重要屬性特征，其保護重要性絲毫不亞于商業秘密。既然刑法明確將“使用”行為作為侵犯商業秘密罪的行為類型加以規定，按照舉輕以明重的思路，在保護比商業秘密影響范圍更廣、內涵更豐富、重要性更大的公民個人信息時，將非法使用公民個人信息的行為納入刑法規制范圍也就有其內在合理性，否則，會引起刑法內在法秩序的不統一。

四、域外及我國港臺地區的立法也支持非法使用公民個人信息行為入罪

盡管不同國家和地區針對非法使用公民個人信息行為的立法在文字表述、規制方法和適用范圍等方面存在差異，刑罰嚴厲程度也不盡相同，但是這些立法在整體上均表現出兩點共性：一是都將非法使用公民個人信息行為作為一種獨立的行為類型加以規制，二是都將這種行為類型進行犯罪化處理。

以美國為例，其聯邦和州一級的立法都將非法使用公民個人信息行為規定為犯罪，如美國1998年的《身份盜竊和冒用阻止法案》(Identity Theft and Assumption Deterrence Act)規定，在沒有授權的情況下，非法使用他人可識別信息的行為，構成聯邦犯罪，最高可處15年監禁刑和250,000美元罰金。(23)18 U.S.C § 1028 (a)7,(b)1.又如，佛羅里達州2018年的一項立法針對非法使用個人信息規定了專門的罪名“個人可識別信息的犯罪性使用(Criminal Use of Personal Identification Information)”，其具體內容為：“任何人在沒有授權的情況下，未經他人同意而故意欺詐性地使用，或者基于欺詐性使用目的而持有他人的個人可識別信息，構成欺詐性使用個人可識別信息罪，該罪屬于三級重罪，按照775.082、775.083、775.084條中的規定處罰”(775.082(3)(e)規定犯三級重罪處5年以下監禁刑，775.083(1)(c)規定犯三級重罪可以在自由刑的基礎上并處5000美元以下罰金，775.084規定了累犯從重處罰的事項)。(24)參見FLA. STAT. § 817.568(2)(b)、(c)(2018).佛羅里達州上訴法院對“欺詐性使用個人可識別信息”進行了解釋，認為該行為包含三個要素：(1)有意識地欺詐性使用；(2)他人的個人可識別信息；(3)未經他人的事前授權或同意。法院在此基礎上認定在未經同意的情況下使用他人姓名和社保號碼注冊物業賬號的行為構成“個人可識別信息的犯罪性使用罪”。(25)State v. Roberts, 143 So. 3d 936, 2014 Fla. App. LEXIS 4679, 39 Fla. L. Weekly D 668, 2014 WL 1258540.

韓國《個人信息保護法案》第71條規定，違反本法第18(1)、(2)，19條，26(5)的規定或27(3)的規定，非法使用或者向第三方提供個人信息的，處五年以下監禁刑。(26)其中第18(1)規定個人信息的控制人不得超過15(1)規定的范圍使用個人信息(第15(1)“個人信息的收集和使用”規定個人信息控制者可以在以下情況中收集個人信息，并且在收集用途的范圍之內使用個人信息：1.經數據對象同意的；2.法律中存在特殊規定或為履行法律義務所必需的；3.公共機構在法律規定的管轄內執行工作所必需的；4.為履行與數據對象的合同而必需的；5.基于明顯的保護需要；6.當個人信息控制者需要獲取正當利益且其利益明顯優越于數據對象時)，第18(2)并不涉及非法使用個人信息問題，故此處不具體展開；第19條規定個人在通過信息控制人接收他人個人信息時，不得超過預定的范圍使用信息；第26(5)規定委托人不得超過信息控制人委托的范圍使用個人信息；第27(3)規定在由于商業轉讓、合并而獲取個人信息的情況中，商業受讓人使用或者向第三方提供個人信息僅限于商業轉讓前的初始用途。參見韓國《個人信息保護法》(Personal Information Protection Act), Personal Data Protection Laws in Korea, https://www.privacy.go.kr/eng/laws_view.do?nttId=8186&imgNo=1.與其類似，日本《個人信息保護法案》第82條規定，個人信息保護委員會中的主席(chairperson)、專員(commissioner)、專家專員(special commissioner)、秘書人員(secretarial staff)等暗中獲取機密(secret)后泄漏或使用的，應處兩年以下監禁刑并參與勞動，或處1，000，000以下日元罰款。在另一份關于日本的數據保護報告中，其“數據盜竊與刑事責任”部分明確指出：“為了牟利而不恰當地使用和揭露個人信息已經屬于犯罪”。(27)參見Protecting Personal Information in the Age of Big Data——Japan’s New Regime, https://www.aplaw.jp/clientalert-en-dataprotection-december2017.pdf.

歐盟2016年通過的《通用數據保護條例》(General Data Protection Regulation)第6條規定了數據處理的合法性原則，此處的數據“處理(Processing)”是一個比較籠統的說法，其第4條對于“處理”的含義進行了細化并列舉了若干種具體的“處理”行為，其中就包括“使用”行為。(28)參見《通用數據保護條例》第4條第(2)項：“處理是指對個人資料或者個人資料檔案執行任何操作或者系列操作，不論是否通過自動化的方法，例如收集、記錄、組織、結構化、儲存、改編或者變更、檢索、查閱、使用、傳輸揭露、傳播或者以其他方式使之得以調整、限制、刪除或者銷毀”。該法還支持和鼓勵成員國通過刑罰手段來規制非法的個人數據處理行為，以確保規范能得到執行。這一點在德國的立法中就得到了體現，德國于2017年通過對《聯邦數據保護法》進行修訂來實現《通用數據保護條例》的國內轉化，《聯邦數據保護法》第42條規定，以牟利或者損害他人為目的，未經授權處理不能公開訪問的個人數據處兩年以下監禁刑。由于《聯邦數據保護法》與《通用數據保護法》對“處理”的定義完全一致，這表明非法使用個人數據的行為在德國是作為犯罪來處理的。此外，歐盟有的國家在《通用數據保護條例》出臺之前就已經將非法使用個人數據的行為犯罪化，如2003年的意大利《個人數據保護法》(Personal Data Protection Code)，其刑事犯罪部分的第167條同樣規定以牟利或者損害他人為目的的“非法數據處理”行為屬于犯罪(此處的“處理”同樣包含“使用”)，處6至18個月的監禁刑。

我國臺灣地區2015年《個人資料保護法》第42條規定，意圖為自己或第三人之不法利益或者損害他人之利益，違法利用個人資料而足生損害于他人者，處五年以下有期徒刑、拘役或科或并科新臺幣一百萬以下罰金。具言之，其從三個方面規定了個人信息的非法使用：(1)不得非法利用有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料；(2)公務機關不得超過法定職務范圍與對應目的利用個人資料；(3)非公務機關不得超過收集的目的利用個人資料。另外，我國香港特別行政區2012年《個人資料(隱私)條例》第35C條規定，資料使用者違反相關規定，在直接促銷中使用資料當事人的個人資料，即屬犯罪，一經定罪，可處罰款50萬港幣及3年監禁。此處的相關規定包括三個方面：(1)告知有關資料當事人擬使用相關個人資料并征得同意；(2)向當事人提供關于使用個人資料種類和促銷標的類別的資訊；(3)向當事人提供傳達同意使用個人資料的途徑。

五、非法使用公民個人信息行為入罪的具體構想

就實現非法使用公民個人信息行為的入罪路徑而言，有兩種思路：一是通過司法解釋，二是通過刑法修正案。筆者認為，由于涉及一種新的行為方式的增設，已經不能通過司法解釋的方式來實現入罪，否則有違罪刑法定的原則，(29)此時已經不是擴大解釋而是類推解釋了。應采用立法方式，即下一次刑法修正案時，(30)今年的全國人大常委會工作報告已經明確指出要“制定刑法修正案(十一)”。將非法使用公民個人信息的行為與非法獲取、出售和提供公民個人信息的行為相并列，使其共同成為侵犯公民個人信息罪的規制對象，從而將現行《刑法》第253條之一的侵犯公民個人信息罪的條文修改、整合為：(31)現行《刑法》第253條之一用三款來規定侵犯公民個人信息罪的行為類型，顯得有些雜亂，筆者主張將第三款與第一款合并。在原條文中，因“獲取”放在“竊取”之后，所以“獲取”前加“非法”二字，而“出售”“提供”前則用“違反國家有關規定”。筆者整合后的條文統一在“違反國家有關規定”之后，用“非法獲取、出售、提供及使用公民個人信息的行為”這樣一種表達方式。有人可能會認為，在“違反國家有關規定”之后再增添“非法”一詞，是否會造成重復，筆者認為，這種“重復”非但不會造成歧義，反而會使條文的意思更明確，更重要的是，這么一整合，整個條文起到了“消腫”的效果，更加清晰和簡潔了。

“違反國家有關規定，竊取或者以其他方法非法獲取公民個人信息，或者非法向他人出售、提供公民個人信息，或者非法使用公民個人信息，情節嚴重的，處三年以下有期徒刑或拘役，并處或單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”

“違反國家有關規定，將在履行職責或提供服務過程中獲得的公民個人信息，非法出售、提供給他人或者非法使用的，依照前款規定從重處罰。”

“單位犯前兩款罪的，對單位判處罰金，并對直接負責的主管人員和其他責任人員，依照各該款的規定處罰。”

在對侵犯公民個人信息罪的條文作如上完善后，還應對“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》作相應完善，如關于非法使用公民個人信息行為的入罪標準，前述解釋以所侵犯的公民個人信息的類型及數量為標準對情節嚴重列舉了十種情形(含兜底條款)，未將獲取、出售及提供行為對信息主體所造成的危害考慮在內，原因在于非法獲取、出售及提供個人信息的行為并不直接對信息主體產生危害。筆者認為在確定非法使用公民個人信息行為的入罪門檻時應采用兩個標準，具備其中之一即可：一是采取個人信息類型+數量的標準對非法使用公民個人信息的行為列舉具體情形，如“非法使用行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的”，與非法獲取、出售、提供公民個人信息的入罪標準保持一致。(32)現實中批量使用公民個人信息的行為時有發生，如銀行職員為謀取不義之財利用所掌握的多個客戶信息在網貸平臺上貸款。二是列舉非法使用公民個人信息行為對信息主體造成的直接危害，如使用他人信息辦理多張信用卡，惡意透支嚴重影響信息主體個人征信并影響信息主體正常的金融交易；使用他人信息開辦公司從事違法犯罪行為致使信息主體留下犯罪記錄影響其正常就業，同時對信息主體名譽、財產等造成損害。

又如，關于非法使用公民個人信息行為的量刑。非法使用公民個人信息行為入罪后，在侵犯公民個人信息罪之外和之內都會引發一些量刑時值得研究的問題。就之外而言，如前所述，如果非法使用公民個人信息的行為是針對被害人本人，則使用行為被主行為吸收，如行為人利用所知曉的他人銀行卡號和密碼竊取他人存款，只定盜竊罪；但如果行為人為了實施某種犯罪行為而非法使用被害人之外的第三人信息，如行為人為逃避打擊而使用他人個人信息進行實名認證從事犯罪活動，此時因對第三人信息主體權利所造成的危害結果無法被其所追求的犯罪結果所吸收，應以數罪并罰論處。就之內而言，非法使用公民個人信息行為入罪后，作為一個選擇性罪名，侵犯公民個人信息罪有了四種行為類型。雖然選擇性罪名只要具備其中之一即可以該罪定罪處刑，但按照筆者一貫的主張，在這類選擇性罪名中，行為人是具備其中之一種還是同時具備幾種，對量刑輕重應當有影響，也就是說，只有同時具備選擇性罪名的所有行為類型時，才能頂格判處，相應地，只具備其中部分行為類型甚至只有其中一種行為類型時，則處刑幅度要相應降低。具體到本罪，對于行為人侵犯公民個人信息的行為是一種行為類型還是同時具備幾種行為類型，也存在一個內部單處和并罰的問題，對此，如果司法解釋能進一步加以明確，無疑會對促進科學量刑和規范量刑起到積極的作用。