□黃陳辰

一、問題的提出

隨著大數(shù)據(jù)、云計(jì)算、人工智能等技術(shù)的發(fā)展，我們逐漸步入一個大規(guī)模生產(chǎn)、挖掘、共享與應(yīng)用數(shù)據(jù)的時代，在這個時代，個人數(shù)據(jù)抑或稱為個人信息(1)基于“個人數(shù)據(jù)”與“個人信息”的同質(zhì)性，本文在表述中對二者不做區(qū)分。的總量每18個月就會翻一番，且其中的90%均產(chǎn)生于最近幾年。根據(jù)計(jì)算科學(xué)公司(computer science corporation, CSC)發(fā)表的最新一份研究報(bào)告，2020年全球數(shù)據(jù)產(chǎn)生量將達(dá)到2009年時的45倍[1]。除了數(shù)量上的爆炸式增長外，個人信息的內(nèi)在價值與角色定位亦隨著時代轉(zhuǎn)型而發(fā)生改變，其在政府運(yùn)作、社會服務(wù)、商業(yè)拓展等諸多領(lǐng)域發(fā)揮著不可替代的基礎(chǔ)性作用，已然成為現(xiàn)代社會發(fā)展的重要資源與核心動力[2]。

大數(shù)據(jù)時代背景下，信息即意味著利益，因此受逐利心理的驅(qū)動，侵犯公民個人信息的行為大量出現(xiàn)，信息安全風(fēng)險(xiǎn)與日俱增[3]。同時，科學(xué)技術(shù)的迭代不僅具有促進(jìn)經(jīng)濟(jì)發(fā)展、社會進(jìn)步的正向效應(yīng)，其還為侵權(quán)、犯罪手段的更新與異化提供了契機(jī)，而“AI換臉”類淫穢視頻的出現(xiàn)即是這一負(fù)價值的典型適例?！癆I換臉”類淫穢視頻是一種建基于人工智能技術(shù)的新型淫穢物品，其通過利用深度圖像生成模型，如Deepfake軟件或ZAO軟件等，對某人的照片進(jìn)行分析與處理，從而把照片上的人臉“移花接木”到淫穢視頻中，將其“替換”為淫穢視頻的主角。根據(jù)目前的報(bào)道，多位知名女明星成為此類視頻的受害者，并且只要具有足夠數(shù)量的照片，賣家還可以提供私人定制服務(wù)[4]。人臉，由于其生理性、標(biāo)識性等特點(diǎn)，毋庸置疑地屬于個人信息，且其為一種不同于傳統(tǒng)類別的新型信息，即生物識別信息[5]，因此利用他人照片中的人臉部分制作“AI換臉”類淫穢視頻并出售的行為，不僅侵犯他人名譽(yù)權(quán)以及不愿接觸淫穢物品的權(quán)利，進(jìn)而可能構(gòu)成侮辱罪與制作、傳播淫穢物品牟利罪，而且還是對他人個人信息的侵犯。我國現(xiàn)行《刑法》中對個人信息進(jìn)行保護(hù)的典型罪名為第253條之一“侵犯公民個人信息罪”，但該罪主要針對“出售或非法提供”以及“竊取或以其他方式非法獲取”兩類行為，因此按照當(dāng)前該罪的行為規(guī)制模式，無法全面評價上述制作并出售“AI換臉”類淫穢視頻的行為，亦難以實(shí)現(xiàn)對公民個人信息的周全保護(hù)，故是否進(jìn)行模式調(diào)整以及如何調(diào)整的問題突顯出來，這成為本文研究的重點(diǎn)。

二、侵犯公民個人信息犯罪行為的規(guī)制現(xiàn)狀：基于源頭治理邏輯的模式設(shè)計(jì)

信息時代來臨之前，公民個人信息并未成為刑法以及其他法律規(guī)范關(guān)注的重點(diǎn)，因此我國刑法中并未設(shè)置保護(hù)公民個人信息的獨(dú)立罪名，而是將其附屬于國家秘密、商業(yè)秘密等其他法益，在對后者進(jìn)行保護(hù)的同時，“順帶”實(shí)現(xiàn)保護(hù)公民個人信息的附隨效果[6]。例如《刑法修正案(五)》增設(shè)的“竊取、收買、非法提供信用卡信息罪”，雖其犯罪對象為他人信用卡信息，但從該罪在刑法典中的體系定位可知，其所保護(hù)的主要法益為國家金融管理秩序，而并非個人信息。直到2009年《刑法修正案(七)》出臺，增設(shè)了“出售、非法提供公民個人信息罪”與“非法獲取公民個人信息罪”，個人信息的獨(dú)立刑法保護(hù)才得以實(shí)現(xiàn)。上述兩罪明確了刑法所規(guī)制的侵犯公民個人信息犯罪行為的基本類型，即“竊取或者以其他方法非法獲取”與“出售或者非法提供”，從而形成了該類犯罪初步的行為體系。2015年《刑法修正案(九)》將上述兩罪整合為“侵犯公民個人信息罪”，該罪為彌補(bǔ)《刑法修正案(七)》的滯后與不足，在主體范圍、客觀要件、刑罰配置等方面進(jìn)行了調(diào)整，但其規(guī)制的基本行為類型并未改變。2017年最高人民法院、最高人民檢察院聯(lián)合發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)，明確了侵犯公民個人信息罪的具體適用細(xì)節(jié)，但亦未涉及行為類型的增刪與體系調(diào)整。

從上述刑法條文與司法解釋的規(guī)定可以看出，侵犯公民個人信息罪所規(guī)制的行為主要包括 “竊取或者以其他方法非法獲取”以及“出售或者非法提供”，因“竊取”“出售”僅為典型行為之列舉，故實(shí)質(zhì)而言，可以簡化為“非法獲取”與“非法提供”兩類(2)“竊取”是“非法獲取”的一種，而“出售”亦屬于“非法提供”，只是因?yàn)槎咻^為典型與常見，因此法條將其獨(dú)立列出。。

當(dāng)前，隨著個人信息價值的不斷增長，侵犯公民個人信息的犯罪行為持續(xù)涌現(xiàn)，并逐漸形成一條體系完整、分工明確的黑色產(chǎn)業(yè)鏈。在這條產(chǎn)業(yè)鏈中，主要存在三個關(guān)鍵環(huán)節(jié)：(1)信息的獲取，行為人采用合法或非法手段獲取他人信息，前者如保險(xiǎn)公司工作人員由于職務(wù)原因而掌握客戶資料，后者如黑客侵入網(wǎng)站數(shù)據(jù)庫盜取用戶信息。據(jù)統(tǒng)計(jì)，全球范圍內(nèi)每年約有10億條個人信息被泄露，并導(dǎo)致將近60億美元的經(jīng)濟(jì)損失[7]。(2)信息的提供，信息持有者將其所掌握的信息非法提供給他人，其中最常見的方式為出售。廣東省“凈網(wǎng)2019”專項(xiàng)行動的成果顯示，僅2019年上半年，廣東警方即偵破網(wǎng)絡(luò)犯罪案件521起，繳獲被買賣的公民個人信息15億余條[8]。(3)信息的利用，行為人獲取他人信息后加以非法利用，例如實(shí)施網(wǎng)絡(luò)詐騙犯罪，或者發(fā)送垃圾短信、撥打騷擾電話等。如前所述，侵犯公民個人信息罪規(guī)制的行為類型為“非法獲取”與“非法提供”他人信息，分別對應(yīng)上述黑色產(chǎn)業(yè)鏈中的前兩個環(huán)節(jié)，但并不涉及信息的利用，可見，該罪以打擊公民個人信息的非法流轉(zhuǎn)(獲取、提供)為中心，期望從源頭上防止個人信息泄露并阻斷其非法流通的渠道，使得以他人信息為“原料”的利用行為，如電信詐騙、網(wǎng)絡(luò)盜竊等喪失實(shí)行的根基，成為無源之水、無本之木。本文將這種在數(shù)個法益侵害行為共同構(gòu)成的犯罪進(jìn)程中，通過規(guī)制前端行為以截?cái)喾缸镦湕l，使末端行為不可能實(shí)施，進(jìn)而實(shí)現(xiàn)遏制犯罪、保護(hù)法益目的的行為規(guī)制模式稱為源頭治理模式。

三、源頭治理模式評析

(一)模式介紹

源頭治理模式是我國刑法中一類特殊的行為規(guī)制模式，即在數(shù)個法益侵害行為共同構(gòu)成的犯罪進(jìn)程中，刑法僅規(guī)制處于前端位置的行為，從源頭打擊犯罪，而對于末端行為，雖然其對法益的危害更加直接，但卻進(jìn)行非犯罪化處理，使其不受刑法處罰。這種模式的設(shè)置邏輯在于源頭治理，即通過規(guī)制前端行為來消解末端行為得以生存的土壤，從而減少末端行為的發(fā)生。源頭治理模式散見于我國《刑法》分則的具體罪名中，除上文所述的侵犯公民個人信息罪以外，典型的還有《刑法》第280條第1款規(guī)定的“偽造、變造、買賣國家機(jī)關(guān)公文、證件、印章罪”“盜竊、搶奪、毀滅國家機(jī)關(guān)公文、證件、印章罪”，《刑法》第375條第1款規(guī)定的“偽造、變造、買賣武裝部隊(duì)公文、證件、印章罪”“盜竊、搶奪武裝部隊(duì)公文、證件、印章罪”等。例如，在涉及國家機(jī)關(guān)公文、證件、印章的犯罪中，偽造、變造、買賣、盜竊、搶奪、非法使用等行為共同組成一個完整且有序的犯罪生態(tài)，其中，非法使用行為直接損害國家機(jī)關(guān)公文、證件、印章的公共信用，但刑法卻并未將其規(guī)定為犯罪，反而是為其提供“原料”的前端行為全部被納入刑法處罰范圍，這種行為類型的選擇性規(guī)制深刻體現(xiàn)了源頭治理的設(shè)置邏輯。

(二)源頭治理的模式理性與固有局限

1.模式理性

源頭治理作為我國刑法中一類特殊的行為規(guī)制模式，其之所以產(chǎn)生是基于一定的理性考量，具體如下所述。

第一，末端行為缺乏刑法規(guī)制的緊迫性與必要性。在大數(shù)據(jù)時代來臨之前，公民個人信息總體數(shù)量較少，且其利用價值與可利用方式也極為有限，因此非法利用公民個人信息行為所產(chǎn)生的危害性較小，缺乏刑法規(guī)制的緊迫性與必要性。另外，在當(dāng)時的環(huán)境下，由于電子化、數(shù)據(jù)化程度不高，個人信息仍具備專屬性與私密性等特征，故其與個人隱私之間不存在明顯界分，持有與流轉(zhuǎn)的自主性是其主要權(quán)利內(nèi)容，因而對公民個人信息的保護(hù)也集中于流轉(zhuǎn)環(huán)節(jié)，重點(diǎn)打擊非法獲取與非法提供行為。

第二，在某些情況下，末端行為難以準(zhǔn)確界定，將其納入刑法規(guī)制范圍有違背罪刑法定原則之嫌。以侵犯公民個人信息罪為例，非法利用他人信息的行為方式多樣、龐雜，有的是行為人利用其所獲取的他人信息，通過撥打電話的方式尋求合作伙伴與進(jìn)行業(yè)務(wù)推廣(3)參見(2017)粵0303刑初238號刑事判決書。，有的是行為人利用他人信息實(shí)施電信詐騙、敲詐勒索等犯罪(4)參見(2017)魯13刑初26號刑事判決書。，有的是行為人在未經(jīng)信息所有人同意的情況下，利用他人信息辦理信用卡等須提供身份證明的業(yè)務(wù)，最典型的即為2008年的“西電卡門事件”(5)2008年，西安電子科技大學(xué)財(cái)務(wù)處在未征得學(xué)生同意的情況下，擅自使用掌握的學(xué)生身份信息，為一萬多名學(xué)生辦理了“中國工商銀行牡丹運(yùn)動圓夢學(xué)生卡”，曝光后，學(xué)校公開致歉并將上述信用卡注銷。，并且隨著人工智能等前沿科技的發(fā)展，“非法利用”的外延還在擴(kuò)張，不斷產(chǎn)生新的行為樣態(tài)。例如前文所述通過分析、處理他人的照片來制作“AI換臉”類淫穢視頻的行為，因此難以對“非法利用”一詞進(jìn)行準(zhǔn)確界定，而罪刑法定原則的實(shí)質(zhì)側(cè)面要求刑法規(guī)范具有明確性，故不宜將非法利用他人信息的行為規(guī)定為犯罪。

第三，從司法成本與效率的角度考慮，規(guī)制末端行為不符合便宜性的要求。例如，在侵犯公民個人信息犯罪中，由于信息傳播速度的迅即性、傳播途徑的便捷性、傳播范圍的無限性以及網(wǎng)絡(luò)空間的流動性、匿名性等特征，非法利用公民個人信息的犯罪人可能隱匿于任何地方，而在大數(shù)據(jù)時代來臨之前，偵察技術(shù)手段相對有限，因此對犯罪嫌疑人進(jìn)行抓捕或取證的難度較大，并且會耗費(fèi)大量司法資源；另外，根據(jù)最高人民法院、最高人民檢察院頒布的司法解釋，涉案信息的數(shù)量對行為人定罪量刑起著至關(guān)重要的作用，但對于非法利用行為而言，并非行為人獲取或持有的所有信息均被利用，且某些行為人還交雜有合法利用的情形，因此要將非法利用的涉案信息從全部信息中區(qū)分出來并統(tǒng)計(jì)數(shù)量，亦會消耗大量的人力物力，而若從侵犯個人信息的源頭出發(fā)，通過比對受損信息數(shù)量、查看信息流轉(zhuǎn)記錄、調(diào)取信息數(shù)據(jù)庫等方式考察非法獲取與非法提供行為，則在取證中能夠最大限度地提高司法效率，節(jié)省司法資源，因此不宜將非法利用他人信息這一末端行為規(guī)定為犯罪。

第四，規(guī)制前端行為能夠?qū)崿F(xiàn)對末端行為的間接防控，減少后者的發(fā)生。雖然由于難以類型化或不符合便宜性原則等原因，不宜將具有法益侵害性的末端行為規(guī)定為犯罪，但前端行為與末端行為共同組成一個完整、有序的犯罪生態(tài)，且前者的實(shí)施為后者提供必要的“原料”，因此刑法將前端行為納入規(guī)制范圍即足以切斷末端行為“原料”的供應(yīng)，使其喪失實(shí)施的基礎(chǔ)，進(jìn)而減少末端行為的發(fā)生。例如，非法利用公民個人信息的行為必須以行為人掌握大量他人信息為前提，而在大數(shù)據(jù)時代來臨之前，由于個人信息缺乏公開性與共享性等特征，非法利用的他人信息絕大多數(shù)來源于非法獲取行為或者他人的非法提供行為，而侵犯公民個人信息罪嚴(yán)厲打擊此兩種行為，從源頭上遏制了個人信息的泄露并截?cái)嗥淞鬓D(zhuǎn)路徑，保障公民個人信息不會被不法分子掌握，使其沒有非法利用的“原料”，進(jìn)而防止該類行為的發(fā)生。因此，總體來看，刑法雖未規(guī)制非法利用行為，但通過打擊位于前端的非法獲取與非法提供兩種行為，亦能夠?qū)ζ淦鸬介g接防控的作用。

第五，末端行為與下游犯罪行為競合，打擊下游犯罪能夠?qū)崿F(xiàn)對末端行為人的處罰。以侵犯公民個人信息罪為例，行為人之所以千方百計(jì)地獲取他人信息，最核心的目的在于通過對這些信息加以利用，以實(shí)現(xiàn)信息背后的價值并獲得相關(guān)收益，而行為人的非法利用行為通常會觸犯其他罪名，如詐騙罪、盜竊罪、制作淫穢物品牟利罪等，因此通過對下游犯罪的打擊能夠?qū)崿F(xiàn)對非法利用他人信息行為人的處罰，不會使其逃脫法網(wǎng)[9]。

2.固有局限

雖然源頭治理模式具有其存在的理性基礎(chǔ)，但這種立法設(shè)計(jì)從其產(chǎn)生之初就內(nèi)嵌著固有的局限，因此其在司法實(shí)踐中并沒有發(fā)揮出立法者原先所預(yù)想的規(guī)制效果。

首先，雖然前端行為位于犯罪進(jìn)程的起點(diǎn)，對其進(jìn)行源頭打擊有利于截?cái)喾缸镦湕l，消除末端行為賴以實(shí)施的“原料”，但從犯罪進(jìn)程的流向來看，無論前端行為如何，犯罪生態(tài)中的所有行為最終均指向末端，亦即之所以會出現(xiàn)前端行為，均是由于末端行為的需要，故可以說，末端行為是前端行為產(chǎn)生的誘因與最終目的。沒有需求就沒有供給，因此對末端行為進(jìn)行規(guī)制能夠起到釜底抽薪的效果，而源頭治理模式僅看到其處于犯罪進(jìn)程的尾部，似乎對整個犯罪生態(tài)的形成與存在沒有太大的作用，故而忽略了其真正本質(zhì)與內(nèi)核。例如，行為人希望通過非法利用他人信息以獲得不當(dāng)收益，但其并不一定擁有符合其要求且數(shù)量足夠的信息，故此時“市場”上出現(xiàn)需求側(cè)，進(jìn)而催生了非法獲取與非法提供他人信息的行為，后者通過滿足前者對信息的需求，以換取經(jīng)濟(jì)利益，二者共同構(gòu)成侵犯公民個人信息的犯罪進(jìn)程，因此可以看出，非法利用行為是整個犯罪生態(tài)的基礎(chǔ)動因，若對其進(jìn)行打擊，則能夠直接消除非法獲取與非法提供行為的原動力，進(jìn)而減少此兩種行為的發(fā)生。但侵犯公民個人信息罪僅關(guān)注犯罪進(jìn)程的前端，忽略了作為誘因的非法利用行為，因此導(dǎo)致其規(guī)制效果受到局限。

其次，源頭治理模式之所以能夠發(fā)揮作用，完全依賴于前端行為與末端行為之間存在的絕對的供給關(guān)系，即末端行為要想實(shí)施，必須從前端行為處獲取相應(yīng)的“原料”，而沒有其他途徑，故只要出現(xiàn)末端行為，就一定存在前端行為，因此才能通過打擊后者以實(shí)現(xiàn)對前者的規(guī)制。但這樣的設(shè)計(jì)缺乏穩(wěn)定性，一旦前端行為與末端行為之間的供給關(guān)系喪失絕對性，則會導(dǎo)致整個規(guī)制模式的失效。例如，隨著大數(shù)據(jù)、人工智能等前沿科技的發(fā)展，對公民個人信息的非法利用也出現(xiàn)方式上的更新，如前文所述利用他人照片制作“AI換臉”類淫穢視頻，這種利用方式的特點(diǎn)在于，其不僅借助了最新的技術(shù)，而且其所利用的他人信息，尤其是涉及明星、公眾人物的信息，均來源于互聯(lián)網(wǎng)，屬于從公開途徑合法獲取的他人信息[10]，因此，非法利用行為的實(shí)施并未依賴于非法獲取與非法提供行為的“原料”供給，通過侵犯公民個人信息罪對后者的規(guī)制無法實(shí)現(xiàn)對此類“合法獲取、非法利用”行為的打擊。

四、路徑選擇：從源頭治理到全程打擊的模式轉(zhuǎn)換

如前所述，侵犯公民個人信息罪采取的是源頭治理的行為規(guī)制模式，但這種模式無法與大數(shù)據(jù)時代背景下保護(hù)公民個人信息的需求相適配，因此需要進(jìn)行轉(zhuǎn)換。考慮源頭治理模式的合理性與固有局限，結(jié)合非法利用行為在犯罪進(jìn)程中的原動力地位，應(yīng)將轉(zhuǎn)換的核心定為，在保留非法獲取、非法提供行為的基礎(chǔ)上，將非法利用行為納入刑法規(guī)制范圍，進(jìn)而形成對犯罪鏈條進(jìn)行全程打擊的新型模式，以實(shí)現(xiàn)對公民個人信息的全面保護(hù)。

(一)理由闡釋

第一，大數(shù)據(jù)時代，非法利用公民個人信息行為的法益侵害性增加。雖然目前學(xué)界對于侵犯公民個人信息罪所保護(hù)的法益尚有分歧(6)關(guān)于侵犯公民個人信息罪所保護(hù)的法益，目前學(xué)界主要有人格尊嚴(yán)說、隱私權(quán)說、個人信息權(quán)說、公共安全說、公共秩序說、綜合說等觀點(diǎn)。，但考慮刑法的保障法地位，以及其客體應(yīng)與前置法客體保持一致的要求，結(jié)合《民法總則》第111條的規(guī)定[11]，筆者更傾向于個人信息權(quán)的觀點(diǎn)。個人信息權(quán)指的是本人依法對個人信息所享有的積極支配與消極防御他人侵害的權(quán)利[12]。非法利用公民個人信息的行為損害了本人自主決定個人信息是否被利用，以及基于何種目的、以何種方式、在多大范圍內(nèi)利用的權(quán)利，是典型侵犯個人信息權(quán)的行為，因此其具有法益侵害性。隨著大數(shù)據(jù)時代的到來，個人信息總體規(guī)模呈指數(shù)級上漲，其在經(jīng)濟(jì)、社會等領(lǐng)域的潛在價值也進(jìn)一步被發(fā)現(xiàn)，對個人信息進(jìn)行利用的方式亦從單一的簡單利用擴(kuò)展到深度挖掘與立體分析，因此，非法利用公民個人信息的行為與前大數(shù)據(jù)時代相比將產(chǎn)生更大的危害，其法益侵害性急劇攀升。例如為制作前述“AI換臉”類淫穢視頻，行為人非法利用的照片數(shù)量巨大，且通過分析處理直接對淫穢視頻中的人臉進(jìn)行替換，其對被害人個人信息以及名譽(yù)的侵害是傳統(tǒng)手段無法比擬的，因此應(yīng)將其納入刑法規(guī)制范圍。另外，非法獲取與非法提供他人信息的行為僅對法益產(chǎn)生抽象危險(xiǎn)，而非法利用行為作為侵犯公民個人信息犯罪流程的歸宿，才最終將這種危險(xiǎn)具體化，因此其對法益的侵害更加直接與嚴(yán)重，舉輕以明重，應(yīng)對其進(jìn)行犯罪化處理。

第二，非法利用公民個人信息的行為具有獨(dú)立性，非法獲取、非法提供行為與下游犯罪均無法涵蓋。非法獲取指的是違反法律規(guī)定，通過購得、騙取、奪取等方式得到他人信息，而非法提供指的是使他人可以知悉公民個人信息[13]，二者均與非法利用他人信息的行為方式不同，因此無法涵蓋后者。另外，雖然非法利用行為通常構(gòu)成其他犯罪，能夠?qū)π袨槿诉M(jìn)行定罪處罰，但由于侵害法益的不同，下游犯罪往往無法全面評價非法利用行為，因而造成法益保護(hù)的不周延[14]。例如，前述利用他人照片制作“AI換臉”類淫穢視頻的行為，既損害了他人的名譽(yù)權(quán)與不愿接觸淫穢物品的權(quán)利，同時還侵犯他人的個人信息權(quán)，但若僅對行為人按侮辱罪、制作淫穢物品牟利罪定罪處罰，則忽略了其對他人信息的侵害。因此應(yīng)對非法利用他人信息的行為加以規(guī)制，認(rèn)定行為人同時構(gòu)成侵犯公民個人信息罪，進(jìn)而實(shí)現(xiàn)對其行為的全面評價。

第三，非法利用公民個人信息的行為方式逐步類型化。雖目前仍無法對“非法利用”一詞進(jìn)行準(zhǔn)確、周延的界定，但隨著相關(guān)案例的大量涌現(xiàn)，其行為方式已開始逐步類型化甚至定型化。例如有學(xué)者將其總結(jié)為三種形態(tài)：(1)利用所獲取的具有身份識別性的公民個人信息實(shí)施詐騙等犯罪行為；(2)將獲取的具有身份識別性的公民個人信息用于未經(jīng)接收方許可的商業(yè)推銷、廣告宣傳；(3)利用獲取的具有隱私性的公民個人信息實(shí)施敲詐勒索等犯罪活動[15]。前述利用他人照片制作“AI換臉”類淫穢視頻的行為即可歸于第一類。因此，通過類型化解釋，“非法利用”的內(nèi)涵與外延基本清晰，將其規(guī)定入刑法并不違背罪刑法定原則實(shí)質(zhì)側(cè)面的明確性要求。

第四，大數(shù)據(jù)時代，對非法利用公民個人信息行為進(jìn)行取證的難度降低，將其納入刑法規(guī)制范圍符合便宜性的要求。隨著科技的進(jìn)步，偵查工具與手段不斷更新，通過運(yùn)用大數(shù)據(jù)、人工智能等前沿技術(shù)，公安機(jī)關(guān)能夠快速查到犯罪分子的作案工具，如撥打騷擾電話，發(fā)送垃圾短信的手機(jī)號碼、電腦IP地址等，并能夠根據(jù)定位信息鎖定犯罪嫌疑人[16]。例如上海、浙江等地警方通過“騰訊安全反詐騙實(shí)驗(yàn)室”開發(fā)的“麒麟偽基站定位系統(tǒng)”“神羊情報(bào)分析平臺”等安全應(yīng)用系統(tǒng)，破獲了包括“9·27特大竊取販賣公民個人信息專案”在內(nèi)的大量網(wǎng)絡(luò)黑產(chǎn)案件[17]。同時，對于行為人利用的公民個人信息數(shù)量，通過智能算法也能夠輕松識別與統(tǒng)計(jì)，為定罪量刑提供依據(jù)，因此規(guī)制非法利用行為不會造成司法資源的浪費(fèi)，符合便宜性的要求。

第五，外國立法實(shí)踐的經(jīng)驗(yàn)借鑒與我國法秩序統(tǒng)一的現(xiàn)實(shí)需求。從世界范圍來看，其他國家已有將非法利用公民個人信息的行為規(guī)定為犯罪的立法嘗試，值得我們借鑒。例如，《德國刑法典》第204條規(guī)定“使用他人秘密罪”，最高可處兩年有期徒刑[18]；《葡萄牙刑法典》規(guī)定“不當(dāng)利用秘密罪”，最高可處一年監(jiān)禁[19]；美國《防止身份盜竊及假冒法》規(guī)定，“任何人在無合法授權(quán)的情況下……故意轉(zhuǎn)讓或者使用他人的個人信息，構(gòu)成犯罪?！盵20]同時，隨著國際交流與合作的日益廣泛，個人信息的跨境交互與全球化趨勢也不斷增強(qiáng)，跨國侵犯公民個人信息的犯罪亦愈演愈烈，因此我國規(guī)制非法利用行為有利于進(jìn)行打擊相關(guān)犯罪的國際司法合作。另外，從我國立法現(xiàn)狀來看，《民法總則》第111條規(guī)定，任何組織和個人不得非法收集、使用、加工、傳輸、買賣、提供、公開他人個人信息；《網(wǎng)絡(luò)安全法》第41條規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法的原則。雖然不能以前置法的內(nèi)容限制刑法規(guī)范，但上述兩部法律將非法利用他人信息的行為作為一種獨(dú)立的行為類型，與非法獲取、非法提供等行為同等對待，表明其均為法所不允許，且前者還有比后者更為嚴(yán)重的法益侵害性，因此，根據(jù)法秩序統(tǒng)一原則與罪刑均衡原則，應(yīng)當(dāng)將非法利用行為納入刑法規(guī)制范圍，以實(shí)現(xiàn)刑法與前置法的合理銜接。

(二)全程打擊模式的具體建構(gòu)

要實(shí)現(xiàn)侵犯公民個人信息罪行為規(guī)制模式從源頭治理到全程打擊的轉(zhuǎn)換，其核心在于將非法利用他人信息的行為納入刑法規(guī)制范圍，但至于應(yīng)如何規(guī)制，本文將從罪名、罪狀、法定刑三個方面進(jìn)行具體闡述。

1.罪名的選擇

對于應(yīng)以何罪名規(guī)制非法利用公民個人信息的行為，學(xué)界目前主要存有兩種觀點(diǎn)：(1)單獨(dú)設(shè)立新的罪名，例如“非法利用公民個人信息罪”，將其作為《刑法》第253條之二，列于侵犯公民個人信息罪之后[21]；(2)在侵犯公民個人信息罪原有的基礎(chǔ)上增加新的內(nèi)容，以包容非法利用公民個人信息的行為[22]。筆者認(rèn)為第一種觀點(diǎn)不具有合理性。一方面，非法利用行為是與非法獲取、非法提供相并列的行為類型，三者侵犯的法益相同，且從我國刑法對公民個人信息保護(hù)的立法進(jìn)程來看，侵犯公民個人信息罪是對侵犯公民個人信息犯罪的總體性、一般化規(guī)定，因此沒有理由將非法利用行為排除于該罪之外，增設(shè)新的罪名；另一方面，從司法成本的角度考慮，增設(shè)新的罪名必然耗費(fèi)更多的司法資源，而這些額外的消耗顯然是不必要的。因此，應(yīng)采取第二種路徑，將非法利用公民個人信息的行為納入侵犯公民個人信息罪的規(guī)制范圍。

2.罪狀的確定

有觀點(diǎn)主張，應(yīng)從解釋論的視角出發(fā)，對侵犯公民個人信息罪中“非法獲取”的“非法”二字進(jìn)行含義擴(kuò)張，將其解釋為“以非法利用為目的”，進(jìn)而直接沿用侵犯公民個人信息罪的罪狀，將非法利用公民個人信息的行為涵蓋在原本的法條框架之下，無需進(jìn)行修改[23]。這種解釋思路雖然能夠有效規(guī)制合法獲取他人信息后再非法利用的行為，在一定程度上解決了規(guī)制不足的問題，但其同時又會導(dǎo)致犯罪圈的擴(kuò)大化，將原本不應(yīng)處罰的行為規(guī)定為犯罪。例如，行為人以非法利用為目的合法地獲取了他人信息，但并未實(shí)際實(shí)施非法利用行為的情形，按照此種解釋思路則應(yīng)被認(rèn)定為侵犯公民個人信息罪。因此無法通過擴(kuò)張解釋的路徑將非法利用行為涵蓋入侵犯公民個人信息罪的罪狀表述，只能在原有基礎(chǔ)之上增加新的內(nèi)容。

非法獲取行為的主體為無權(quán)合法取得公民個人信息的自然人或單位，而非法利用行為所涉及的信息則既可以非法獲取，也可以合法獲取，因此非法利用行為的主體與非法提供行為的主體一致，同時包含有權(quán)與無權(quán)合法取得公民個人信息的自然人或單位，且二者其他構(gòu)成要件亦相同，故應(yīng)將非法利用行為合并歸入《刑法》第253條之一第1款。合并之后的條款具體包含三方面的要素：(1)違反國家有關(guān)規(guī)定，侵犯公民個人信息罪作為典型的法定犯，構(gòu)罪前提之一即必須違反相關(guān)前置法，根據(jù)《解釋》第2條，此處的“國家有關(guān)規(guī)定”指的是法律、行政法規(guī)、部門規(guī)章中有關(guān)公民個人信息保護(hù)的規(guī)定，例如《民法總則》《網(wǎng)絡(luò)安全法》等；(2)非法利用公民個人信息的行為，如前所述，“非法利用”一詞本身難以準(zhǔn)確界定，但其行為方式已逐步類型化，故應(yīng)對具體類型予以明確，以符合罪刑法定原則的明確性要求，并厘清該罪的入罪邊界，尤其是在大數(shù)據(jù)時代背景下，個人信息的自由流動與合理利用成為實(shí)現(xiàn)其巨大經(jīng)濟(jì)價值與社會價值的主要形式，更應(yīng)尋求信息保護(hù)與利用之間的雙向平衡[24]，僅將具有嚴(yán)重法益侵害性的非法利用行為納入刑法規(guī)制范圍，對具體類型的闡釋，可以參照非法獲取與非法提供行為，在司法解釋中進(jìn)行列舉；(3)情節(jié)嚴(yán)重，并非一切非法利用公民個人信息的行為均足以構(gòu)成本罪，“情節(jié)嚴(yán)重”這一要素從程度上將法益侵害性輕微的情形予以排除，《解釋》第5條、第6條闡明了非法獲取、非法提供行為中“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)，包括行為方式、涉案信息數(shù)量、違法所得、曾受處罰等，這些標(biāo)準(zhǔn)可以為非法利用行為入罪提供參考，但在具體規(guī)定時應(yīng)充分考慮非法利用行為的特殊性。例如在大數(shù)據(jù)時代背景下，利用公民個人信息主要表現(xiàn)為通過對海量數(shù)據(jù)的分析處理與深度挖掘以實(shí)現(xiàn)某種目的，如前述利用他人照片制作“AI換臉”類淫穢視頻，因而單純的涉案信息數(shù)量無法完全反映非法利用行為的法益侵害性，還應(yīng)綜合考察制作完成情況、換臉仿真程度、淫穢視頻數(shù)量、被害人數(shù)量、造成的實(shí)際損害等。

3.法定刑的設(shè)置

基于非法利用行為與非法獲取、非法提供行為侵犯法益的一致性以及對罪刑均衡原則的考量，筆者認(rèn)為，將非法利用行為合并歸入《刑法》第253條之一第1款后，亦應(yīng)適用該款所規(guī)定的法定刑。雖然部分學(xué)者主張非法利用行為的法益侵害性相較非法獲取、非法提供行為而言更加直接、嚴(yán)重，因此應(yīng)對其施以更嚴(yán)厲的刑罰，以突出對非法利用行為的重點(diǎn)打擊[25]，但筆者認(rèn)為，原條文本身即設(shè)有“三年以下有期徒刑或者拘役，并處或者單處罰金”與“三年以上七年以下有期徒刑，并處罰金”兩檔刑罰，區(qū)間幅度較大，非法利用行為與非法獲取、非法提供行為之間法益侵害性的不同可以通過在區(qū)間內(nèi)具體選擇輕重有別的刑罰加以區(qū)分，無需對前者設(shè)置新的、更重的法定刑。另外，我國其他類似罪名亦是采取統(tǒng)一規(guī)定的方式，如《刑法》第172條“持有、使用假幣罪”、第375條第3款“偽造、盜竊、買賣、非法提供、非法使用武裝部隊(duì)專用標(biāo)志罪”均是為使用以及其他行為設(shè)置了同樣的法定刑。

圖1 源頭治理到全程打擊的模式轉(zhuǎn)換

綜上所述，筆者認(rèn)為應(yīng)將非法利用公民個人信息的行為納入侵犯公民個人信息罪的規(guī)制范圍，并將其規(guī)定在《刑法》第253條之一第1款，具體表述為，“違反國家有關(guān)規(guī)定，利用、出售或者向他人提供公民個人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。”至此，侵犯公民個人信息罪的行為規(guī)制模式完成從源頭治理到全程打擊的轉(zhuǎn)向(圖1)。

(三)罪數(shù)問題

在侵犯公民個人信息的犯罪進(jìn)程中，非法利用他人信息的行為人除非法利用行為外，往往還會實(shí)施其他犯罪行為，因此，當(dāng)采取全程打擊模式將非法利用行為納入刑法規(guī)制范圍后，便會對該行為人的罪數(shù)產(chǎn)生影響。本文根據(jù)非法利用行為人實(shí)施具體行為的不同，分三種情況進(jìn)行討論。

1.非法利用行為與前端行為

行為人除非法利用他人信息外，還可能通過非法途徑獲取信息，或?qū)⒆约赫莆盏墓駛€人信息非法提供給他人，但因非法利用、非法獲取、非法提供均屬于侵犯公民個人信息罪的行為類型，故行為人在非法利用他人信息之外還同時或單獨(dú)實(shí)施非法獲取與非法提供行為的，僅認(rèn)定為侵犯公民個人信息罪一罪。同時，由于上述行為所侵害的法益具有同一性，且參照《解釋》第11條第1款的規(guī)定(7)《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第11條第1款規(guī)定：“非法獲取公民個人信息后又出售或者提供的，公民個人信息的條數(shù)不重復(fù)計(jì)算?！?，即使行為人同時實(shí)施非法利用行為與前端行為，公民個人信息的條數(shù)也不重復(fù)計(jì)算，但應(yīng)在同一法定刑幅度內(nèi)從重處罰。

2.非法利用行為與下游犯罪

如上文所述，行為人非法利用他人信息的行為方式多樣，其中最主要的一類為利用他人信息實(shí)施犯罪，如前述利用他人照片制作“AI換臉”類淫穢視頻的行為，即構(gòu)成侮辱罪與制作淫穢物品牟利罪。按照現(xiàn)行侵犯公民個人信息罪的行為規(guī)制模式，非法利用他人照片的行為不構(gòu)成犯罪，故對行為人僅認(rèn)定為下游犯罪即可；但若采取全程打擊模式，則行為人非法利用他人照片的行為同時觸犯侵犯公民個人信息罪與下游犯罪，屬于二者的想象競合，應(yīng)按照從一重罪的處罰原則進(jìn)行定罪量刑。

3.非法利用行為與前端行為、下游犯罪

行為人在非法利用行為外還可能同時實(shí)施前端行為與下游犯罪，例如行為人非法獲取他人照片后，再利用該照片制作“AI換臉”類淫穢視頻，此時，行為人既實(shí)施了非法獲取行為，又實(shí)施了非法利用行為，且非法利用行為同時也是制作淫穢視頻的行為。對于這種情形，在源頭治理模式下，非法利用行為本身不構(gòu)成犯罪，而非法獲取行為是制作淫穢視頻行為的手段，二者具有牽連關(guān)系，因此應(yīng)按照侵犯公民個人信息罪與侮辱罪、制作淫穢物品牟利罪的牽連犯進(jìn)行認(rèn)定，遵循從一重罰的處罰原則。當(dāng)模式轉(zhuǎn)換為全程打擊后，應(yīng)當(dāng)分兩步確定罪數(shù)：(1)前一行為為非法獲取行為，而后一行為具有非法利用與制作淫穢視頻兩種行為屬性，屬于一行為同時觸犯多個罪名，故應(yīng)先按照從一重罪的原則進(jìn)行屬性與罪名的選擇；(2)根據(jù)后一行為選定的屬性確定罪數(shù)，若其為非法利用行為，則和前一行為同屬于侵犯公民個人信息罪，按該罪定罪并在法定刑幅度內(nèi)從重處罰，若其為制作淫穢視頻行為，則和前一行為構(gòu)成牽連犯，按照從一重的原則定罪處罰。

五、結(jié)語

大數(shù)據(jù)時代的來臨，標(biāo)志著“信息社會”這一概念終于名副其實(shí)[26]。在這一全新的社會模式中，個人信息的作用越來越顯著，且其還在政治、經(jīng)濟(jì)、文化等各領(lǐng)域內(nèi)不斷開啟新的價值形式，逐漸成為各國發(fā)展的重要資源。需要注意的是，人工智能、大數(shù)據(jù)、云計(jì)算等信息技術(shù)的進(jìn)步雖然為社會帶來巨大的收益，但同時其也具有伴生風(fēng)險(xiǎn)[27]，即侵犯公民個人信息的犯罪愈發(fā)嚴(yán)重且迅速蔓延，如何對其進(jìn)行有效防治已然成為信息社會的重大命題。因此，不能將個人信息的內(nèi)在價值與法律保護(hù)決然分離開來，而應(yīng)對二者進(jìn)行交融性評價，尋求價值實(shí)現(xiàn)與權(quán)益保障之間的雙向平衡。例如，應(yīng)允許并鼓勵對個人信息的合法利用，以發(fā)掘其在信息社會中的巨大潛在價值，但同時應(yīng)對非法利用行為進(jìn)行嚴(yán)厲打擊，尤其是借助前沿科技手段而異化出來的新型犯罪模式，如前文所述利用他人照片制作“AI換臉”類淫穢視頻，通過對侵犯公民個人信息罪行為規(guī)制模式的轉(zhuǎn)換，將其納入刑法處罰范圍。但徒法不足以自行，要達(dá)到理想的保護(hù)效果，除刑法以外，還需要民法、行政法等其他前置法的共同配合，通過“刑民銜接”“刑行銜接”來實(shí)現(xiàn)對公民個人信息的周全保護(hù)。