听新闻
放大镜
非法使用公民个人信息行为的刑法规制
2023-03-08 10:44:00  来源:中国刑法杂志微信公众号

  一、问题的提出

  中国互联网络信息中心于2022年初发布的第49次《中国互联网络发展状况统计报告》显示,截至2021年12月,我国网民规模为10.32亿,互联网普及率达到73%,网民使用手机上网的比例达到99.7%,形成了全球最为庞大、生机勃勃的数字社会。随着网络传播技术、数据挖掘技术、信息处理技术的飞速发展,利用信息网络处理个人信息的能力不断增强,未经信息主体同意而使用个人信息的问题越来越突出,信息主体的人身财产安全随时可能受到威胁或侵害。中国信通院发布的《移动应用(App)数据安全与个人信息保护白皮书(2019年)》显示,“App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的关注度始终居高不下”。有鉴于此,我国于2020年通过的《中华人民共和国民法典》、2021年通过的《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》都作出了有关使用个人信息的限制性或禁止性规定,对于违法使用者,依法追究民事责任和行政责任。《中华人民共和国数据安全法》第52条第2款和《中华人民共和国个人信息保护法》第71条还作出了“违反本法规定……构成犯罪的,依法追究刑事责任”的提示性规定。然而,目前我国刑法并没有对非法使用个人信息行为予以明文的罪刑规制,这与刑法是民法、行政法的保障法地位不相符合,有必要加强刑法与民法、行政法在个人信息使用规制上的衔接与配合。

  自我国刑法将以“出售”为典型方式的非法提供和以“窃取”为典型方式的非法获取公民个人信息行为规定为犯罪以来,我国学界对于非法使用个人信息行为入罪的问题已有不少研讨,且已基本达成“非法使用个人信息行为应当纳入刑法规制”的共识。但是,已有研究大多局限于侵犯公民个人信息罪中,特别是在非法使用个人信息行为的入罪问题上存在各种不同的观点,归结起来有如下三个层面。

  第一,在入罪基本路径上,存在解释论和立法论两种不同观点。解释论者主张通过对刑法现有规定的解释将非法使用个人信息行为入罪,但是,如何通过刑法解释将其入罪,又存在各种不同观点。有的论者主张以法益保护为指导将非法使用个人信息行为扩张解释到侵犯公民个人信息罪中;有的论者主张将非法使用个人信息行为解释到非法获取个人信息中,进而以侵犯公民个人信息罪定罪;有的论者主张将侵犯公民个人信息罪中的“非法”解释为“以非法利用为目的”,从而将非法使用个人信息行为纳入侵犯公民个人信息罪中。这些观点都主张通过刑法解释的路径将非法使用个人信息行为纳入侵犯公民个人信息罪中,但其是否合法、合理,解释论者并未展开充分的论证。与解释论者的观点不同,立法论者主张通过刑法立法的路径将非法使用个人信息行为入罪。其理由是现有的涉个人信息的罪名如侵犯公民个人信息罪,妨害信用卡管理罪,使用虚假身份证件、盗用身份证件罪等都不能涵盖非法使用个人信息行为。而且,在非法使用个人信息行为没有明确纳入刑法规制的情况下,无法为个人信息被非法使用的信息主体维权提供有力支持。立法论者对非法使用个人信息行为入罪的观点虽有论证,但还须拓宽思路。

  第二,在入罪设置模式上,立法论中存在着合设和分设两种不同观点。多数学者主张采取合设模式,即认为应将非法使用个人信息行为纳入现有的侵犯公民个人信息罪中予以规定,不单独设置罪名。例如,有论者认为应采用立法方式将非法使用个人信息行为与非法获取、出售、非法提供个人信息行为并列规定到侵犯公民个人信息罪中;有论者建议在《中华人民共和国刑法》第253条之一中规定“非法利用”行为;有论者认为非法使用个人信息不必然以非法获取他人信息为前提,应将合法获取个人信息后非法使用该信息的行为纳入侵犯公民个人信息罪的行为方式中。不过,也有少数学者主张采取分设模式,认为应在侵犯公民个人信息罪之外单设非法使用个人信息罪并配置独立法定刑。例如,有论者认为应在刑法中增设非法利用个人信息罪,倒逼其他侵犯个人信息犯罪行为的终止;有论者认为对于非法利用个人金融信息、人脸识别信息的行为应单设非法利用个人重要信息罪。上述两种模式虽然对于非法使用个人信息行为的入罪设置模式各有己见,但均未深入阐释其理由。

  第三,在入罪配刑模式上,立法论者一般主张重罪模式,将非法使用个人信息行为置于侵犯公民个人信息罪中,配置与侵犯公民个人信息罪相同甚至更重的刑罚。例如,有的论者认为,非法使用个人信息行为的社会危害性和应受惩罚性足以与非法获取、出售及非法提供个人信息行为相提并论,应将其纳入侵犯公民个人信息罪中规定;有的论者认为,对于非法使用个人重要信息行为的入罪配刑宜与侵犯公民个人信息罪相当;有的论者认为,非法使用个人信息行为在侵犯公民个人信息犯罪产业链中居于核心地位,其社会危害性比非法获取、提供个人信息严重,应将其单列一款,作为侵犯公民个人信息罪的第一款予以规定,并配置更重的法定刑。然而,非法使用个人信息的社会危害性是否与侵犯公民个人信息罪相当甚至更重?采重罪模式是否符合刑法针对特定对象的非法使用行为的立法逻辑?这是值得探讨的。

  综上所述,关于非法使用个人信息行为的入罪路径和模式,刑法学界尚未取得一致的认识,存在如下三个层面的问题需要进一步厘清:一是入罪路径上究竟应采解释论还是立法论,二是入罪设置上究竟应采合设模式还是分设模式,三是入罪配刑上究竟应采重罪模式还是轻罪模式。本文拟对这三个层面的问题加以探讨,以期对非法使用个人信息行为的刑法规制作出合法、合理的选择。

  二、入罪路径应采解释论还是立法论

  (一)逻辑起点:“非法使用”的界定

  概念确定是研讨问题的逻辑起点。在讨论非法使用个人信息行为的入罪路径之前,有必要确定其中的“非法使用”的含义。

  要界定“非法使用”,首先应当界定“使用”。根据《中华人民共和国民法典》和《中华人民共和国个人信息保护法》的规定,“使用”属于个人信息处理的一种行为类型,是指“个人信息处理者对个人信息进行的分析和利用”。在《中华人民共和国刑法》中,“使用”是出场频率很高的用语,存在大量的以“使用”为行为要件的犯罪和以“使用”为行为要件的必要要素或选择要素的犯罪。尽管“使用”在不同的个罪语境中因其对象不同、规范目的不同而具有的含义可能有所不同,但从《中华人民共和国刑法》对这些犯罪中“使用”行为的规定上可以归纳其共同特征,得出“使用”的一般含义,即“使用”是指基于一定的目的将特定对象作为工具运用的行为。它有如下两个基本特征。一是目的性。“使用”是行为人借助一定的对象或动作实现某种目的的活动,具有明确指向性。例如,使用假币罪中的“使用”是行为人借助假币获取物质或精神利益的行为;暴力危及飞行安全罪中的“使用”是行为人借助暴力实现侵害他人健康或者生命的行为。二是特定对象的工具性。使用的特定对象或动作是行为人实现某种目的的工具。例如,在使用虚假身份证件罪中,使用的对象是虚假身份证件,虚假身份证件是实现行为人假冒他人、冒名顶替等目的的工具。在妨害安全驾驶罪中,暴力是行为人实现侵犯驾驶人员人身的工具。依此而论,使用他人的个人信息是指行为人基于一定的目的将他人的个人信息作为实现特定目的的工具的行为。从个人信息处理流程来看,使用个人信息一般以收集或者获取个人信息为前端行为;从使用个人信息的目的来看,使用个人信息存在后续的目的行为,既可能是合法行为如推销合法商品或服务等,也可能是违法犯罪行为如实施侵扰、诈骗、盗窃等。

  要界定“非法使用”个人信息,还应当界定“非法”。此处的“非法”,形式意义上是指不符合《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规的规定使用个人信息,实质意义上是指不具有公共利益、突发公共卫生事件、紧急情况等法律法规规定的特定情形,行为人违背个人信息保护法律法规所规定的信息主体知情同意规则或者个人信息处理的目的、方式而使用个人信息。知情同意规则是个人信息处理具备合法性的核心规则,是个人信息保护中意思自治的充分体现。该规则在《中华人民共和国民法典》《中华人民共和国个人信息保护法》上的确立是法律对个人信息自决权的认可。是否具备知情同意规则等合法性基础是合法使用与非法使用个人信息的界限。换言之,使用个人信息如果不违背知情同意规则或者虽然违背知情同意规则但具备为了公共利益、紧急情况等其他合法性基础,就是合法使用个人信息。

  总之,通过对“非法使用”的界定可知,非法使用个人信息是指不存在公共利益、突发公共卫生事件、紧急情况等法律法规规定的特定情形,行为人违反法律法规规定的知情同意规则或者个人信息处理的目的、方式,使用已经掌握的他人个人信息实现其特定目的的行为。其前端的收集或者获取个人信息行为可能是合法的,也可能是非法的。同样地,其后续的目的行为可能是合法的,也可能是非法的。因此,以非法使用个人信息为中心的行为链条存在四种类型:一是合法收集→非法使用→合法目的行为;二是非法获取→非法使用→合法目的行为;三是合法收集→非法使用→非法目的行为;四是非法获取→非法使用→非法目的行为。前已述及,我国刑法学界关于非法使用个人信息行为入罪的路径,存在解释论和立法论两种不同观点。司法实务上,由于刑法没有明确、单独规定非法使用个人信息行为构成犯罪,司法机关对于非法使用个人信息行为的查处,实际上采取的是解释论路径。例如,《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号)要求,“对使用非法获取的个人信息,实施其他犯罪行为,构成数罪的,应当依法予以处罚”。这里所体现的“非法获取个人信息→非法使用个人信息→非法目的行为”的行为链条,意味着此种情况下应将非法使用个人信息行为纳入现有罪名追究刑事责任。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第6条第1款第1项规定,“利用非法购买、收受的公民个人信息获利五万元以上的”,应当认定为《中华人民共和国刑法》第253条之一规定的“情节严重”。“情节严重”是侵犯公民个人信息罪的入罪门槛,该司法解释无疑是将非法使用个人信息作为“情节严重”的一种情形纳入本罪惩处。笔者认为,非法使用个人信息行为入罪路径的解释论不可取,应采立法论。

  (二)解释论不可取的理由

  通过刑法解释将行为入罪具有自身局限性。刑法解释是以现行刑法规定为基础,对刑法规定含义的说明。笔者认为,无论采取什么解释理由和方法,通过刑法解释的路径将行为入罪,都应当受到如下两个方面的限制。一是罪刑法定原则的限制。罪刑法定原则是以民主主义和尊重人权主义为思想基础,以保障国民预测可能性、实现国民自由保障为主旨的基本人权原则。《中华人民共和国刑法》第3条对罪刑法定原则作出了明文规定,无论是对刑法立法还是对刑法解释和刑法适用都具有指导和制约功能。因此,不管采用什么解释理由和方法,只要是通过刑法解释将行为入罪,就必须受到罪刑法定原则的制约,而不能违背该原则。既然如此,无论是在解释理由还是在解释方法上,通过扩张现有刑法规定的含义将社会生活中的危害行为入罪,实现保护法益、维护社会秩序的目的,必须能够保障国民的预测可能性,而通过类推解释将行为入罪是不能保障国民的预测可能性的,应该被禁止。二是行为性质的限制。犯罪是威胁或侵害法益的行为。行为是犯罪概念的基底,具有作为界限要素的机能。通过刑法解释入罪的行为必须与被解释的刑法规定的行为具有同质性。所谓同质性,是指待解释行为与被解释的刑法规定的行为在基本特征及法益威胁或侵害上的性质及其程度相同。这就是说,如果被解释的行为与刑法规定的行为缺乏同质性,就可能因超出刑法用语可能具有的含义而不能通过刑法解释的路径将其入罪。

  非法使用个人信息行为不能通过刑法解释纳入涉个人信息犯罪。从我国刑法规定来看,现行刑法明显以个人信息为行为对象的涉个人信息犯罪有三个罪名,即侵犯公民个人信息罪,窃取、收买、非法提供信用卡信息罪和拒不履行信息网络安全管理义务罪。其中,侵犯公民个人信息罪是专门为保护公民个人信息设立的罪名;窃取、收买、非法提供信用卡信息罪设立的目的在于保护信用卡用户的信用卡信息资料的安全;拒不履行信息网络安全管理义务罪设立的目的之一在于保护信息网络用户的个人信息不被网络服务提供者所泄露,防止用户个人信息被不法分子用于实施诈骗等违法犯罪活动而危害信息网络用户的人身财产安全。但是,非法使用个人信息行为与上述犯罪没有同质性,不能纳入其中进行规制。

  首先,非法使用个人信息行为与侵犯公民个人信息罪的构成要件行为没有同质性。侵犯公民个人信息罪的行为类型包括以出售为典型方式的非法提供类和以窃取为典型方式的非法获取类。非法提供,是指违反国家有关规定,将他人的个人信息提供给其他主体的行为,包括有偿提供和无偿提供,是个人信息在不同主体之间的流转行为。非法获取,是指通过窃取、收买等非法方法取得他人个人信息的行为,也是使个人信息在不同主体之间的流转。相比之下,使用个人信息不是个人信息的流转行为,而是使个人信息产生直接价值、实现使用主体目的的行为。因此,非法使用个人信息行为与侵犯公民个人信息罪的构成要件行为属于不同质行为,不能通过扩张解释的路径将其纳入侵犯公民个人信息罪的行为类型中,否则是对侵犯公民个人信息罪的行为类型的类推解释,违背罪刑法定原则,不能保障国民的预测可能性。

  其次,非法使用个人信息行为与窃取、收买、非法提供信用卡信息罪的构成要件行为没有同质性。窃取、收买、非法提供信用卡信息罪的构成要件行为包括“窃取”“收买”和“非法提供”这三种行为。在本罪中,窃取,一般是指违背他人的意志,采取自认为不为他人所知的方式取得他人的信用卡信息资料的行为;收买,是指以金钱等物质利益为交换媒介,取得他人信用卡信息资料的行为;非法提供,是指违反国家规定,将他人的信用卡信息资料提供给其他主体的行为。这三种行为都是信用卡用户的信息资料在不同主体之间的流转行为,与非法使用个人信息行为没有同质性。因此,非法使用个人信息不能通过扩张解释的路径纳入窃取、收买、非法提供信用卡信息罪的行为类型中,否则就是超出刑法用语可能具有的含义、不能保障国民预测可能性的类推解释,违背罪刑法定原则。

  再次,非法使用个人信息行为与拒不履行信息网络安全管理义务罪的构成要件行为没有同质性。涉及侵犯个人信息的拒不履行信息网络安全管理义务罪的构成要件行为,是网络服务提供者不履行信息网络安全管理义务,致使用户信息泄露。其中泄露用户信息是该行为的核心要素。泄露信息是指负有保密义务的信息处理者将信息主体不愿为他人知晓的信息透露给他人的行为,本质上也是个人信息在不同主体之间的流转,与非法使用个人信息行为没有同质性。因此,不能通过扩张解释将非法使用个人信息行为纳入泄露个人信息行为中,否则是超出了“泄露”用语可能具有的含义、不能保障国民预测可能性的类推解释,违背罪刑法定原则。

  最后,刑法将针对特定对象的非法使用与非法销售、获取、买卖等流转行为并立或分条规定也表明,非法使用与非法提供、非法获取等流转行为属于不同质的行为。例如,在侵犯商业秘密罪中,违反保密义务或者违反权利人有关保守商业秘密的要求,“使用”商业秘密与“获取”商业秘密是并列规定的(《中华人民共和国刑法》第219条第2款);在伪造、盗窃、买卖、非法提供、非法使用武装部队专用标志罪中,“非法使用”与“买卖”“非法提供”是并列规定于本罪的罪状中的(《中华人民共和国刑法》第375条第3款);在针对身份证件的犯罪中,“买卖”身份证件与“使用”虚假身份证件是分条规定的(《中华人民共和国刑法》第280条第3款、第280条之一第1款);在针对窃听、窃照专用器材的犯罪中,“非法销售”窃听、窃照专用器材与“非法使用”窃听、窃照专用器材是分条规定的(《中华人民共和国刑法》第283、284条)。这些立法例表明,非法使用与非法提供、获取等流转行为是具有不同含义的不同质行为,前者不能被后者所包含,不能通过扩张解释将非法使用纳入非法流转类行为予以入罪。

  总之,由于非法使用个人信息行为与侵犯公民个人信息罪,窃取、收买、非法提供信用卡信息罪,拒不履行信息网络安全管理义务罪的构成要件行为(流转行为)缺乏同质性,在罪刑法定原则的要求下,不能通过刑法解释的路径将其纳入这三种涉个人信息的犯罪中予以规制。主张通过刑法解释路径将非法使用个人信息行为纳入侵犯公民个人信息罪的解释论,应被否定。此外,通过刑法解释路径也难以将所有情形的非法使用个人信息行为入罪。如上所述,非法使用个人信息可以区分为非法获取后非法使用个人信息和合法获取后非法使用个人信息两种情形。非法获取他人的个人信息后非法使用该信息的,尽管非法获取与非法使用是两种不同质的行为,但由于非法使用的是非法获取的个人信息,因此可以根据处罚的必要性原理,按照事后不可罚行为评价非法使用该信息的行为,仅以侵犯公民个人信息罪处理;如果非法使用个人信息侵犯他人人身财产权构成下游犯罪的,还可以按照侵犯人身财产类犯罪处理。然而,对于合法获取个人信息后非法使用该信息的情形,因合法获取个人信息行为不构成侵犯公民个人信息罪,如果非法使用该信息的行为也不构成下游的侵犯人身财产类犯罪,那么,这种情形下的非法使用个人信息行为就很难入罪。而且,非法使用个人信息还可以区分为正当目的类和违法犯罪类两种情形。前者是指基于正当目的将他人个人信息作为工具使用,如使用他人个人信息推销合法商品或者服务,实现其商品销售或服务购买;后者是指基于违法犯罪目的将他人个人信息作为工具使用,如使用他人个人信息侵扰他人的私人生活安宁,或者实施诈骗、冒名顶替等违法犯罪,侵害信息主体的人格尊严或人身财产权。在基于正当目的非法使用个人信息的情形中,由于使用个人信息的目的具有正当性,通过使用个人信息实施的后续行为,如推销合法商品、服务等,不可能构成犯罪,因此,非法使用个人信息行为无法通过刑法解释入罪,除非非法使用的个人信息是行为人之前非法获取的,该行为构成侵犯公民个人信息罪。这就是说,上述情形下,非法使用个人信息行为是难以通过刑法解释的路径入罪的。

  (三)立法论路径之论证

  立法论路径,是指通过立法途径将非法使用个人信息行为作为涉个人信息犯罪的一种独立的行为类型在刑法中予以明确规定。在肯定使用个人信息行为应当入罪且不能通过刑法解释将其入罪的情况下,立法是必然选择。在此还须进一步论证的是,刑法为何要将其作为一种独立的行为规定为犯罪。

  第一,非法使用个人信息行为侵犯的法益具有独立性。刑法设置禁止规范的目的是为了保护法益,因此,行为是否侵犯法益以及侵犯法益的状况如何,是考量其是否有必要规定为犯罪的首要因素。刑法是否有必要将非法使用个人信息行为入罪,毫无例外地需要作出这种考量。从非法使用个人信息行为侵犯的法益来看,它既不依赖于前端行为是否侵犯法益以及侵犯何种法益而存在,也不依赖于后续行为是否侵犯法益以及侵犯何种法益而存在。一方面,非法使用个人信息的前端行为若是非法获取,尽管非法获取和非法使用个人信息都侵犯个人信息自决权,但是,非法获取个人信息侵犯的是个人信息自决权中的流转决定权,而非法使用个人信息侵犯的则是个人信息自决权中的使用决定权,同时可能侵犯信息主体的人格尊严或人身财产权。如果非法使用个人信息的前端行为是合法取得个人信息,则该行为不存在侵犯信息主体的法益,而非法使用该信息仍然侵犯个人信息自决权中的使用决定权,同时可能侵犯信息主体的人格尊严或人身财产权。另一方面,非法使用个人信息的后续行为如果构成其他人身财产类犯罪,则侵犯的只是人身财产法益,不存在侵犯个人信息自决权问题。若后续行为尚未侵犯法益,则不构成犯罪,非法使用个人信息行为仍然侵犯个人信息自决权中的使用决定权。由此可见,非法使用个人信息行为侵犯的法益不受其前后行为是否侵犯法益以及侵犯何种法益的影响而存在,具有独立性。

  第二,刑法将非法使用个人信息行为规定为犯罪,可以防止涉个人信息犯罪的处罚漏洞。刑法要对个人信息进行全链条式保护,就要防止处罚漏洞。在非法使用个人信息行为尚未入刑的情况下,涉个人信息犯罪存在如下处罚漏洞。如上所述,从非法使用的个人信息的来源来看,非法使用个人信息行为可以区分为合法收集后非法使用个人信息和非法获取后非法使用个人信息两种情形。一方面,在非法获取个人信息后非法使用该信息的情形中,如果非法获取个人信息行为未达侵犯公民个人信息罪的入罪标准而不构成侵犯公民个人信息罪,而非法使用个人信息行为的后续行为是一般违法行为,或者只是某种下游犯罪不予处罚的预备行为甚至是合法行为,那么,非法使用个人信息行为就不能得到刑法评价,从而形成了处罚漏洞。例如,甲窃取通信记录、交易信息等个人信息400条,然后利用这些信息开展商品房推销业务,尚未成功,没有违法所得。该案中,非法使用个人信息的前端行为即窃取个人信息因未达到侵犯公民个人信息罪的入罪标准而不构成侵犯公民个人信息罪,后续行为即推销商品房是正当业务行为,不可能构成犯罪,这样非法使用个人信息行为就无法得到刑法评价。另一方面,在合法获取个人信息后非法使用该信息的情形中,由于合法获取个人信息行为不可能构成犯罪,非法使用个人信息行为也就不可能在前端行为中得到刑法评价。如果非法使用个人信息的后续行为合法或者不构成下游犯罪,或者只是构成某种下游犯罪的预备行为而不处罚,那么,非法使用个人信息行为同样不可能在后续行为中得到刑法评价。例如,乙收集大量的已合法公开的个人信息,然后非法使用这些信息实施诈骗,如果诈骗行为还未构成犯罪,则非法使用个人信息行为在其前后行为中都无法得到刑法评价。由此可见,只有刑法将非法使用个人信息行为规定为犯罪,以非法使用个人信息行为构成的犯罪追究刑事责任,才能避免上述处罚漏洞。

  第三,刑法没有将非法使用个人信息行为规定为犯罪,导致司法实践对非法使用个人信息行为不进行刑法评价。例如,在张某侵犯公民个人信息案中,审判法院认定被告人张某非法获取公民个人信息并以打电话推销的方式销售保健品的事实,但只对张某就非法获取公民个人信息行为追究其侵犯公民个人信息罪的刑事责任,而对非法使用个人信息进行推销的行为不进行刑法评价。在非法使用个人信息进行诈骗的案件中,由于刑法没有将非法使用个人信息行为规定到涉个人信息犯罪中,因此在没有证据证明行为人实施了非法获取个人信息行为,或者非法获取个人信息行为虽有证据证明但其数量未达司法解释的定罪标准时,司法机关就不能认定行为构成侵犯公民个人信息罪。例如,在杨某一、杨某二诈骗案中,审判法院认定被告人杨某一、杨某二非法获取公民个人信息3000余条并利用该信息拨打诈骗电话500余人次的犯罪事实,但因二被告人非法获取公民个人信息没有达到司法解释规定的定罪标准(5000条以上),最终只能对其定诈骗罪(未遂)。在电信诈骗案中,如果行为人先有非法获取个人信息行为,后利用该个人信息进行电信诈骗,司法机关就对非法获取个人信息行为认定为侵犯公民个人信息罪,对诈骗行为认定为诈骗罪,更不会对非法使用个人信息行为进行刑法评价。例如,在郭某一、郭某二诈骗案中,被告人郭某一购买个人信息后,与郭某二一起利用非法获取的个人信息,以冒充税务机关工作人员通知企业参加税务培训的方式骗取他人财物67320元。一审法院就郭某一的行为认定为诈骗罪和侵犯公民个人信息罪,就郭某二的行为只认定诈骗罪。显然,审判法院没有对二被告人非法使用个人信息的行为进行刑法评价。总之,若刑法不将非法使用个人信息行为规定为犯罪,就可能导致司法实践对非法使用个人信息行为不进行刑法评价。

  第四,从我国现有刑法分则规定来看,在针对特定对象的不法行为链条上,并非刑法只将前端、中端行为规定为犯罪,对处于末端的非法使用行为就不规定为犯罪,而是在前端、中端行为被规定为犯罪的情况下,非法使用行为也被规定为犯罪。例如,在针对货币的不法行为链条上,存在伪造货币、出售假币、运输假币、使用假币等多种行为。刑法不但规定了伪造货币罪和出售、购买、运输假币罪,还规定了使用假币罪。针对身份证件的不法行为,刑法在将伪造、变造、买卖身份证件的行为规定为犯罪之后,还将使用虚假身份证件、盗用身份证件的行为规定为犯罪。针对窃听、窃照专用器材的不法行为,刑法不但规定了非法生产、销售窃听、窃照专用器材罪,而且规定了非法使用窃听、窃照专用器材罪。针对武装部队专用标志的不法行为,刑法不但将处于行为链条前端的伪造、盗窃、非法提供武装部队专用标志的行为规定为犯罪,而且将处于行为链条末端的非法使用武装部队专用标志的行为规定为犯罪。刑法作出上述规定,严密了针对特定对象实施不法行为的刑事法网,避免了刑法处罚漏洞,有利于预防和惩处针对特定对象的犯罪。这些立法例说明,为避免处罚漏洞,在侵犯个人信息的行为链条上,不能只是将处于前端的非法提供、获取个人信息的行为规定为犯罪,在非法使用个人信息具有严重的法益侵害性,且已不能被社会大众容忍的情况下,刑法有必要将非法使用个人信息行为规定为犯罪。

  第五,从比较法来看,国外有不少将非法使用个人信息行为规定为犯罪的立法例。法国、西班牙、奥地利、哥伦比亚、智利等国刑法均将“使用”作为一种行为类型规定在涉个人信息犯罪中。例如,2015年修订的《法国刑法典》将“使用”未经本人同意取得的录音或资料、信息数据的行为明文规定为犯罪(第226-2条、第226-4-1条)。现行《西班牙刑法典》将“使用”作为一种独立的实行行为与“占有”“窃取”规定在一个法条(第197条)中。2002年修订的《奥地利联邦共和国刑法典》将“使用”作为滥用性地截获数据罪(第119条a)、滥用录音机或窃听器罪(第120条)、侵害职业秘密罪(第121条)的实行行为予以规定。2014年修订的《哥伦比亚刑法典》将“使用”与“获取”“窃取”“提供”“购买”等行为并列,规定在侵犯个人数据罪(第269F条)中。2015年修订的《智利刑法典》将“公务员使用因为其职务而知悉之保密的具体秘密或者信息,为自己或者第三人获取经济利益”的行为规定为犯罪(第247A条)。上述国家将非法使用个人信息行为规定为犯罪的立法例表明,通过立法将非法使用个人信息入罪是一条普遍化的路径。

  三、入罪设置应采合设模式还是分设模式

  (一)国内外相关立法例

  国外刑法对于非法使用个人信息行为的入罪设置有两种立法模式。一是合设模式,即将非法使用行为与其前端的流转行为并列规定在一个罪中,适用相同的法定刑。例如,2015年修订的《法国刑法典》第226-4-1条,将“使用”个人信息与“窃取”个人信息规定到一个条文中,适用相同的法定刑。2014年修订的《哥伦比亚刑法典》第269F条采用列举方式将“使用”个人数据与“获取”“窃取”“出售”“提供”个人数据等行为规定到一个罪刑条文中。现行《西班牙刑法典》第197条将“使用”个人信息与“占有”“变更”“窃取”个人信息的行为规定到一个条文中,适用相同的法定刑。二是分设模式,即将非法使用个人信息行为单独规定为一种犯罪,配置法定刑。例如,2002年修订的《德国刑法典》第204条规定:“依第203条的规定有义务为他人保密之人,未经授权而利用他人秘密,尤其是利用企业或商业秘密的,处二年以下自由刑或罚金刑。”2015年修订的《智利刑法典》第247A条规定:“公务员使用因为其职务而知悉之保密的具体秘密或者信息,为自己或者第三人获取经济利益的,处前条所规定之剥夺自由刑和所获利益三倍之罚金。”

  国外刑法有关非法使用个人信息的这两种不同的入罪设置模式,表明立法者对非法使用个人信息行为的法益侵害性的不同认知。合设模式将“非法使用”与“窃取”“非法提供”“非法获取”个人信息置于同等的位置,表明在立法者看来非法使用个人信息的法益侵害程度与窃取、非法提供、非法获取个人信息相当,没有必要专门针对非法使用个人信息行为单设罪刑规范。分设模式将非法使用个人信息独立于其他侵犯个人信息的行为,表明在立法者看来非法使用个人信息的法益侵害程度不同于其他侵犯个人信息的行为,有必要单独规定罪与刑。

  我国刑法虽然现在还没有将非法使用个人信息行为规定为犯罪,但对于针对特定对象的非法使用行为入罪已有一些规定,同样出现了两种立法模式。一是合设模式,即将非法使用行为与其前端行为并列规定在一种犯罪中。例如,针对侵犯商业秘密行为,刑法将行为人违反保密义务或者有关保守商业秘密的要求“使用”其所掌握的商业秘密的行为与以盗窃、贿赂、欺诈、胁迫等手段“获取”权利人的商业秘密的行为一起规定在侵犯商业秘密罪中,配置同一法定刑。又如,针对武装部队专用标志的不法行为,刑法将非法使用武装部队专用标志行为与伪造、盗窃、买卖、非法提供武装部队专用标志行为列举规定在一个罪中,配置相同的法定刑。二是分设模式,即将非法使用行为在其前端行为之外单独设置一个罪名,配置与前端行为构成的犯罪不同的法定刑。例如,针对身份证件的不法行为,刑法在伪造、变造、买卖身份证件罪之外,单独设置了使用虚假身份证件、盗用身份证件罪,将使用伪造、变造身份证件行为单独设罪配刑。又如,针对窃听、窃照专用器材的不法行为,刑法在非法生产、销售专用间谍器材、窃听、窃照专用器材罪之外,专门设置了非法使用窃听、窃照专用器材罪,对于非法使用窃听、窃照专用器材造成严重后果的行为,单独设罪配刑。同样是针对特定对象的非法使用行为,立法上采取两种不同的入罪设置模式,是值得深究的。

  (二)行为入罪设置是选择合设模式还是分设模式的必要考量

  关于一种不法行为通过立法途径入罪,是选择与其他不法行为合并规定为一种犯罪,还是选择将其单独设置为一种犯罪,表面上看,是个立法技术问题,实质上关涉我国《刑法》所规定的罪责刑相适应原则的贯彻和实质正义的实现,因此必须从贯彻罪责刑相适应原则的角度加以考量。就立法文字表达技术而言,虽然合设模式能够节省刑法条文的文字表达,实现立法精简的要求,分设模式会增加刑法条文的文字表达,由此看来合设模式优于分设模式,但是,如果合设模式不能贯彻罪责刑相适应原则,即便其具有立法技术上的优势,也应该让位于分设模式,通过分设模式实现该原则。

  罪责刑相适应原则是指刑罚的轻重应当与行为人的罪行和刑事责任相适应,归根到底来说是个刑罚适用原则,即立法上如何配刑,司法上如何量刑,执法上如何行刑,都要以罪责为根据。因立法上配刑在先,司法上量刑在后,执法上行刑是最后环节,故配刑是实现罪责刑相适应原则的首要环节和实现刑罚正义的基础。配刑的首要根据是罪,包括犯罪性质(罪质)及其社会危害程度(罪量),即法定刑的轻重搭配应当首先考量犯罪的性质及其社会危害程度。而犯罪的性质取决于法益侵害的性质,犯罪的社会危害程度是客观危害和主观恶性的统一,因此,行为入罪配刑首先应考虑的是法益侵害的性质以及行为的社会危害程度。这样一来,为实现刑与罪的相适应,行为入罪设置是选择合设模式还是分设模式,不得不考虑待入罪行为侵害法益的性质与其拟纳入已有犯罪的侵害法益性质是否相同,以及待入罪行为社会危害程度与其拟纳入已有犯罪的社会危害程度是否相当。若待入罪行为侵害法益的性质与其将要归入之罪相同,且待入罪行为的社会危害程度与其将要归入之罪相当,就可采取合设模式,将其纳入已有罪名中入罪,以节省刑法条文,实现刑法条文的精简化。但是,如果待入罪行为侵害法益的性质与其将要归入之罪不同,或者是与其将要归入之罪法益侵害性质相同但社会危害程度存在较大差别,就应采取分设模式,将待入罪行为单独设置罪名,配置法定刑,以实现配刑上的罪与刑的相适应,实现配刑正义。

  总之,在行为入罪设置是选择合设模式还是分设模式的考量中,罪责刑相适应原则是根本遵循,待入罪行为法益侵害的性质及社会危害程度是实质根据,立法技术只是补充。具体来说,为实现刑法的正义性,立法技术应让位于配刑上的罪刑相适应,只有在合设模式能够实现罪刑相适应的前提下,才能从立法技术方面考虑选择合设模式,否则只能为实现配刑上的罪刑相适应选择分设模式。而选择合设模式是否符合配刑上的罪刑相适应,就必须考虑待入罪行为与其将要归入之罪的法益侵害的性质是否相同以及社会危害程度是否相当。如果法益侵害性质不同或者社会危害程度明显不同,就应弃合设模式而采分设模式。

  (三)非法使用个人信息行为入罪宜采分设模式

  如上所述,在《中华人民共和国刑法》规定的罪责刑相适应原则的要求下,非法使用个人信息行为能否纳入侵犯公民个人信息罪、作为该罪的行为类型之一予以规定,与该罪配置同样的法定刑,关键在于其侵犯法益的性质与侵犯公民个人信息罪是否相同。如果侵犯法益的性质相同,就要比较二者的社会危害程度是否相当。如果侵犯法益的性质相同且社会危害程度相当,基于立法技术的考虑,就应采取合设模式。但若侵犯的法益性质不同或者侵犯法益的性质相同但社会危害程度明显不同,就应采取分设模式,根据非法使用个人信息行为侵犯法益的性质及其社会危害程度配置相应的法定刑,以实现刑与罪的相适应。

  其一,非法使用个人信息行为的法益侵害性质与侵犯公民个人信息罪比较。关于侵犯公民个人信息罪侵害的法益,学界存在“个人法益说”和“超个人法益说”的争论;在个人法益的内容上,存在“公民人格尊严和个人自由说”“个人信息权说”“个人信息自决权说”等多种不同观点。限于文章篇幅,本文在此不作评析。笔者认为,根据李斯特的法益概念和张明楷教授的法益论,确定法益应当考虑以下四个方面:其一,法益必须与实定法相关,不能离开实定法的规定;其二,法益必须与利益相关,是法律保护的生活利益;其三,法益必须与人相关,只有人的利益才能成为法益;其四,法益必须具有宪法根据。由此可见,确定侵犯公民个人信息罪侵害的法益,应以个人信息保护的相关法律规定为实定法根据。首先,从《中华人民共和国民法典》的规定来看,个人信息保护规定置于“人格权”编下的“隐私权和个人信息保护”一章中,可见侵犯个人信息行为所侵害的法益是人格权下的个人信息权益。个人信息权益包括个人信息处理的知情权、自我决定权、限制处理权、查阅复制权、异议更正权、要求解释说明权、删除权等权益。其次,从《中华人民共和国个人信息保护法》的规定来看,个人信息保护法的立法目的是保护个人信息权益和促进个人信息合理利用,因此侵犯个人信息行为侵害的法益是个人信息权益。最后,从《中华人民共和国刑法》对侵犯公民个人信息罪的规定来看,该罪置于“侵犯公民人身权利、民主权利罪”一章中,显然侵害的是人身权,而人身权的范围很广,还需要根据该罪的行为及其对象来确定其侵害的具体法益。由于该罪的实行行为包括出售、提供、窃取等行为,其对象是公民个人信息,因此基于法秩序统一性原理,结合《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律规定,侵犯公民个人信息罪侵害的法益应当是人身权下的个人信息权益,其中主要是个人信息自决权中的流转决定权。未经信息主体同意,擅自出售、提供和窃取公民个人信息的行为即是对个人信息流转决定权的侵害。

  非法使用个人信息行为虽然有待于刑法作出规定,但是,《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律中都已有相关规定,其侵害的法益可以从《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律规定中加以确定。从这些法律的规定来看,非法使用个人信息行为因违反的是信息处理的知情同意规则,故其侵害的法益是个人信息自决权中的使用决定权,同时可能侵犯信息主体的人格尊严或人身财产权。由此可见,非法使用个人信息行为与侵犯公民个人信息罪侵害的法益并不相同。

  其二,非法使用个人信息行为的社会危害程度与侵犯公民个人信息罪比较。有的论者认为,与侵犯公民个人信息罪的出售、非法提供、非法获取个人信息行为相比,非法使用个人信息行为的社会危害性更为严重;有的论者认为,合法获取个人信息后非法使用个人信息行为的社会危害性与单纯的非法使用个人信息行为的社会危害性至少是相当的,甚至认为其社会危害性更大;还有论者认为,出售、非法提供与获取公民个人信息等行为已入刑的情况下,应当将更具社会危害性的非法使用个人信息行为入刑。言外之意,非法使用个人信息行为比非法提供、非法获取个人信息行为的社会危害性更大。笔者不认同这些看法。

  从现有刑法规定来看,侵犯公民个人信息罪的行为包括以出售为典型方式的非法提供个人信息行为和以窃取为典型方式的非法获取个人信息行为两类。就非法提供类行为而言,除非是非法获取个人信息后非法提供给他人,否则,非法提供个人信息行为使个人信息从合法状态转变为被侵害状态,使个人信息自决权遭到首次侵害,使信息主体对个人信息失去控制,存在被不断转手或倒卖、个人信息自决权被无限次侵害的风险,社会危害性相当大。如果是非法获取个人信息后又非法提供给他人,则个人信息自决权至少遭受了二次侵害,其社会危害性比前一种情形更大。就非法获取类行为而言,如果是从信息主体那里非法获取个人信息,同样是使个人信息从合法状态转变为被侵害状态,与非法提供个人信息行为具有同样的社会危害性;如果是从非法提供者那里非法获取个人信息,个人信息自决权至少遭受了二次侵害,其社会危害性比前一种情形更大。无论是非法提供还是非法获取个人信息,都是非法使用个人信息的前端行为,是侵犯个人信息行为具有社会危害性的源头,除非是合法获取后非法使用。前已述及,非法使用个人信息存在非法获取后非法使用和合法获取后非法使用两种情形。就前一情形而言,个人信息自决权至少遭受了两次侵害;就后一情形而言,个人信息自决权可能只遭受一次侵害。一般来说,在法益侵害性质相同的情况下,法益侵害的次数是评价行为社会危害性程度的重要指标。因此,就个人信息自决权被侵害的实际次数和可能被侵害的次数而言,非法提供和非法获取个人信息行为的社会危害性程度显然要大于非法使用个人信息行为。也就是说,侵犯公民个人信息罪与非法使用个人信息行为相比,具有更大的社会危害性。

  其三,针对特定对象的非法使用与非法流转或转移行为的社会危害性,究竟哪个更大,我们也可以通过刑法的已有规定来看。前已述及,我国刑法已有较多的非法使用行为的罪刑规定,同时也有一些针对同样对象的流转或转移行为的罪刑规定。例如,对于货币犯罪,我国刑法规定了出售、购买、运输假币罪与使用假币罪。出售、购买、运输假币的行为是对假币的流转和转移行为。刑法对假币的流转、转移行为与使用行为不但分别设罪配刑,而且从两个罪主刑的最高法定刑和罚金刑来看,对使用假币比对流转、转移假币的配刑轻。这表明,在立法者看来,使用假币的社会危害性小于流转、转移假币。又如,对于涉身份证件犯罪,刑法规定了买卖身份证件罪与使用虚假身份证件罪,对这两个罪配置了不同的法定刑。其中,买卖身份证件罪的法定刑有两档,即“三年以下有期徒刑、拘役、管制或者剥夺政治权利,并处罚金”和“三年以上七年以下有期徒刑,并处罚金”;使用虚假身份证件罪的法定刑仅为“拘役或者管制,并处或者单处罚金”。显然,在立法者看来,对虚假身份证件的使用行为比对买卖身份证件行为的社会危害性小得多。再如,对于涉窃听、窃照专用器材犯罪,刑法规定了非法销售窃听、窃照专用器材罪与非法使用窃听、窃照专用器材罪,对这两个罪也配置了轻重不同的法定刑。前者的法定刑有两个幅度,即“三年以下有期徒刑、拘役或者管制,并处或者单处罚金”和“三年以上七年以下有期徒刑,并处罚金”;后者的法定刑仅为“二年以下有期徒刑、拘役或者管制”一个幅度。很明显,在立法者看来,非法使用窃听、窃照专用器材行为比销售窃听、窃照专用器材行为的社会危害性小得多。从上述刑法规定来看,以立法者的角度审视,非法使用行为与非法流转行为的社会危害性不是大小相当,而是前者小于后者。

  综上所述,既然非法使用个人信息行为侵害法益的具体内容不同于侵犯公民个人信息罪,其社会危害性程度也与侵犯公民个人信息罪有大小之别,那么非法使用个人信息行为的入罪设置就应采取分设模式。

  四、刑罚配置应采重罪模式还是轻罪模式

  根据我国学界通说,三年有期徒刑是重罪与轻罪的分界线。被适用三年以下有期徒刑、拘役或者管制的犯罪是轻罪,其他的则为重罪。就立法配刑而言,个罪的最高法定刑为三年有期徒刑的,是轻罪;若配刑超过三年有期徒刑的,则总体上看是重罪。相应地,轻罪模式是指个罪的最高法定刑配置三年有期徒刑的立法模式,其他的配刑模式则是重罪模式。在非法使用个人信息行为入罪设置采取分设模式的情况下,需要进一步讨论的问题是非法使用个人信息行为入罪配刑应采重罪模式还是轻罪模式。

  (一)涉非法使用行为入罪配刑的相关立法例

  国外涉非法使用个人信息行为的入罪配刑有两种立法模式。一是重罪模式,将入罪的非法使用个人信息行为与非法获取、非法提供个人信息行为相提并论,配置最高法定刑超过三年有期徒刑(监禁)的刑罚。例如,《西班牙刑法典》第197条第12项将未经授权而非法使用他人信息与窃取他人信息规定到一起,配置“一年以上四年以下徒刑,并处十二个月至二十四个月罚金”的刑罚。《哥伦比亚刑法典》第269F条采用列举方式将“使用”个人数据与“获取”“窃取”“出售”“提供”个人数据等行为规定到一个条文中,配置“四十八个月至九十六个月监禁和一百倍至一千倍现行法定月最低工资罚金”的刑罚。二是轻罪模式,对入罪的非法使用个人信息行为配置不超过三年自由刑(监禁、惩役)的刑罚。例如,《法国刑法典》第226-4-1条对“使用”个人信息构成的侵犯私生活罪,配置“一年监禁并科处一万五千欧元罚金”的刑罚。《德国刑法典》第204条对未经授权而利用他人秘密的犯罪,配置“二年以下自由刑或罚金刑”。《日本个人信息保护法》第73条对于泄露秘密或者盗用的违法行为配置“二年以下惩役或者一百万日元以下罚金”的刑罚。

  我国刑法针对特定对象的非法使用行为的入罪配刑同样存在重罪模式和轻罪模式两种。采取重罪模式的,刑法将针对特定对象的非法使用行为与其前端行为或关联行为合并规定,配置法定刑。例如,非法使用武装部队专用标志的行为与伪造、盗窃、非法提供武装部队专用标志的行为并列规定在伪造、盗窃、非法提供、非法使用武装部队专用标志罪中,分设两个法定刑幅度,最高配置七年有期徒刑。采取轻罪模式的,刑法将非法使用行为与其前端行为或关联行为分条规定,单独配置三年以下有期徒刑、拘役或者管制的轻刑。例如,刑法在非法生产、销售专用间谍器材、窃听、窃照专用器材罪之外,专设非法使用窃听、窃照专用器材罪,配置“二年以下有期徒刑、拘役或者管制”的刑罚。又如,刑法在伪造、变造、买卖身份证件罪之外,专设使用虚假身份证件、盗用身份证件罪,配置“拘役或者管制,并处或者单处罚金”的刑罚。

  (二)非法使用个人信息行为的入罪配刑宜采轻罪模式

  笔者认为,一种不法行为在入罪的情况下应如何对其配刑,是采取重罪模式,还是轻罪模式,应考量不法行为本身的法益侵害性及其社会危害程度、刑法分则罪刑体系已有的逻辑构造、行为入罪的价值定位等多种因素。具体来说,主要应从三个方面考量。一是看能否实现刑与罪的相称性。刑罪相称是配刑的基本原则。如果重罪模式能够实现刑罪相称,当然应选重罪模式,否则应选轻罪模式。这就需要考量入罪行为的法益侵害性及其社会危害性程度。二是从立法的协调性考虑,看哪种模式符合刑法分则罪名体系现有的立法逻辑。如果重罪模式符合立法逻辑,当然应选重罪模式;如果轻罪模式符合立法逻辑,就应选轻罪模式。三是行为入罪在保护法益中具有何种价值定位,是保护法益的主力还是助力,是否契合犯罪治理策略。如果某个行为入罪只是保护法益的助力,且契合犯罪治理策略,就应采轻罪模式。从上述三个方面来看,非法使用个人信息行为入罪宜采轻罪模式。

  第一,轻罪模式能够实现刑罪相称,而重罪模式不能。贝卡里亚指出:“犯罪对公共利益的危害越大,促使人们犯罪的力量越强,制止人们犯罪的手段就应该越强有力。这就需要刑罚与犯罪相对称。”刑罪相称,一方面要求根据犯罪的性质来决定适用的刑罚,犯罪的性质不同,适用的刑罚应有不同;另一方面要求根据犯罪的社会危害程度来决定刑罚的轻重。由于刑罪相称要求个罪法定刑的刑种及其幅度与该罪的性质及其社会危害性的严重程度相适应,因此个罪法定刑的确定“是以一定时期内通常情况下该罪行可能达到的最高程度和最低程度为依据的”。其中,法定最高刑的确定应以个罪的社会危害性可能达到的最高程度为依据;法定最低刑的确定应以个罪的社会危害性可能具有的最低程度为依据。前已述及,无论是从现实危害,还是从立法经验来看,非法使用个人信息行为的社会危害性是小于侵犯公民个人信息罪的,其社会危害性的最高程度没有达到配置三年以上有期徒刑的程度。因此,只有采取轻罪模式,才能实现刑罪相称。如果采取重罪模式,则是突破非法使用个人信息行为社会危害性的最高程度配刑,不符合我国刑法规定的罪责刑相适应原则的要求。

  第二,轻罪模式符合针对特定对象的非法使用行为入罪配刑的立法逻辑。从我国1979年《中华人民共和国刑法》诞生以来的刑法立法和刑法对犯罪的规定来看,我国刑法一贯重视对犯罪行为的源头治理和流转规制,形成了以规制源头或者前端、中端流转行为为重点,以规制末端行为为补充的内在逻辑体系。从针对特定对象的行为链条来看,刑法通过单独设罪、配置较重法定刑的方式对前端、中端行为予以重点规制,而对末端使用行为作较轻的规制,甚至不规制。例如,在涉窃听、窃照专用器材的行为链条上,刑法重点规制的是非法生产、销售窃听、窃照专用器材的行为,而不是非法使用窃听、窃照专用器材的行为;在涉身份证件的行为链条上,刑法重点规制的是伪造、变造、买卖身份证件的行为,而不是使用虚假身份证件的行为;在涉枪支的行为链条上,刑法通过配置重刑的方式对非法制造、买卖、运输、邮寄、储存枪支的行为予以重点规制,而对非法使用枪支的行为没有单独设罪配刑;在涉毒品的行为链条上,刑法对走私、贩卖、运输、制造毒品的行为予以重点规制,而对非法使用毒品的行为没有单独设罪配刑。既然如此,刑法对侵犯个人信息的行为链条上的各种行为的入罪配刑,应该遵循这一立法逻辑。反之,如果单将非法使用个人信息行为作为重罪予以规制,就不符合针对特定对象实施多种呈链条式不法行为的已有刑法规制体系的立法逻辑,会破坏刑法分则体系的内在协调性。其实,《中华人民共和国刑法修正案(七)》只将出售、非法提供、非法获取个人信息行为入罪,《中华人民共和国刑法修正案(九)》也只是扩张这些侵犯个人信息的前端行为的主体和对象范围,没有增加非法使用个人信息行为入罪的规定,说明立法者仍然重视的是涉侵犯个人信息行为链条的前端规制和源头打击,与之前的立法思路一脉相承。因此,在《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》对使用个人信息行为作出限制或禁止规定而需要刑法与之衔接、提供规范保障的新形势下,刑法也只能将非法使用个人信息行为作为保护个人信息的补充予以入罪配刑,而轻罪模式则是这种补充的实现和充分体现。

  第三,轻罪模式符合非法使用个人信息行为入罪配刑的目的与意义。前已述及,对于非法获取个人信息后非法使用该信息的行为,其前端的非法获取行为有侵犯公民个人信息罪规制;如果非法使用个人信息的后续行为侵犯信息主体的人身财产权,构成下游犯罪,则有人身财产类犯罪予以规制。非法使用个人信息的前后行为构成的犯罪都是超过三年有期徒刑的重罪,在前后行为都构成犯罪的情况下,非法使用个人信息行为可以被前后行为构成的犯罪所吸收,无须以非法使用个人信息行为构成的犯罪单独定罪处罚;只有在前后行为都不构成犯罪的情况下,才有必要对非法使用个人信息行为单独定罪处罚。因此,非法使用个人信息行为入罪配刑的主要目的,在于严密个人信息保护的刑事法网,弥补刑事处罚漏洞,实现个人信息全链条式的刑法保护。既然如此,采取轻罪模式即可实现非法使用个人信息行为入罪配刑的目的。此外,轻罪模式有利于平衡个人信息保护与个人信息利用之间的关系,既能使非法使用个人信息的严重不法行为得到应有的刑法评价,又能使其不受刑法的过度评价,从而使非法使用个人信息行为入罪配刑具有实现个人信息保护与利用之间平衡的现实意义。

  第四,对非法使用个人信息行为入罪配刑采取轻罪模式,符合轻罪时代的犯罪治理策略。我国犯罪治理已经进入轻罪时代,笔者对此判断基本予以认同。但是,从近十年的刑法修正和法院审判刑案数量来看,在轻罪时代,随着刑法修正对犯罪圈的扩张,重罪的绝对数并没有减少,轻罪的绝对数在不断增加;司法上犯罪案件总量和被判刑犯罪人不但没有减少,而且还在增加。在这种犯罪形势下,需要国家投放更多的犯罪治理资源。然而,犯罪治理资源配置在经济减速放缓的大背景下增长有限,难以随着犯罪总量的增加而不断增加配置量。因此,立足轻罪与重罪分类分层设计,科学治理轻罪,预防重罪,对于轻罪时代的犯罪治理非常重要。犯罪轻重不同,治理策略应有不同,治理资源的配置也应该不同,应做到因罪施策,因罪配置治理资源,使有限的治理资源产生更大的法治效益。就轻罪治理而言,离不开立法上以严密法网为取向的设罪和以轻刑化为主基调的配刑。这既是轻罪立法治理的题中之义,也是轻罪司法治理的基础。在非法使用个人信息行为的前端和下游已有重罪规制的情况下,对非法使用个人信息行为入罪配刑采取轻罪模式,使侵犯个人信息行为链条上的配罪既有全链条式覆盖,又有轻有重,轻重衔接,使个人信息犯罪治理不至于占用过多的犯罪治理资源,这有利于有限的犯罪治理资源在轻罪治理与重罪治理之间的合理分配和利用,发挥更大的犯罪治理价值,这正好符合轻罪时代的犯罪治理的基本策略。

  五、结 语

  在数字社会与信息网络时代,个人信息收集与使用已是不可避免且也有必要,但过度收集与不当使用个人信息难以为信息主体所接受,已经受到民法、行政法规制。鉴于非法使用个人信息的社会危害性,也为实现《中华人民共和国刑法》与《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》的衔接与配合,“非法使用个人信息行为应当纳入刑法规制”已成学界共识。但是,在非法使用个人信息行为如何入罪问题上,存在着解释论与立法论、合设模式与分设模式、重罪模式与轻罪模式的选择。本文的基本观点是通过立法新增罪刑规范的方式将非法使用个人信息行为作为独立于侵犯公民个人信息罪的一个轻罪,既是对罪刑法定原则和罪责刑相适应原则的贯彻,也是非法使用个人信息行为性质的独特性、法益侵害的独立性及其社会危害性程度轻于侵犯公民个人信息罪决定的,还符合非法使用个人信息行为入罪目的的补漏性和轻罪时代的犯罪治理策略。主张通过刑法解释的途径将非法使用个人信息行为纳入侵犯公民个人信息罪的解释论,没有注意到个人信息的非法使用与非法流转的异质性及其法益侵害的差异性。将非法使用个人信息行为纳入侵犯公民个人信息罪的合设模式和重罪模式,既难以贯彻罪责刑相适应原则,也不符合我国刑法针对特定对象的非法使用行为入罪配刑的立法逻辑,故不应当将其作为非法使用个人信息行为的入罪模式。

  (作者:彭辅顺,湖南大学法学院教授)

  编辑:张莉莉