大數(shù)據(jù)時代侵犯公民個人信息罪行為規(guī)制模式的應然轉向
——以“AI換臉”類淫穢視頻為切入

□黃陳辰

一、問題的提出

隨著大數(shù)據(jù)、云計算、人工智能等技術的發(fā)展，我們逐漸步入一個大規(guī)模生產、挖掘、共享與應用數(shù)據(jù)的時代，在這個時代，個人數(shù)據(jù)抑或稱為個人信息(1)基于“個人數(shù)據(jù)”與“個人信息”的同質性，本文在表述中對二者不做區(qū)分。的總量每18個月就會翻一番，且其中的90%均產生于最近幾年。根據(jù)計算科學公司(computer science corporation, CSC)發(fā)表的最新一份研究報告，2020年全球數(shù)據(jù)產生量將達到2009年時的45倍[1]。除了數(shù)量上的爆炸式增長外，個人信息的內在價值與角色定位亦隨著時代轉型而發(fā)生改變，其在政府運作、社會服務、商業(yè)拓展等諸多領域發(fā)揮著不可替代的基礎性作用，已然成為現(xiàn)代社會發(fā)展的重要資源與核心動力[2]。

大數(shù)據(jù)時代背景下，信息即意味著利益，因此受逐利心理的驅動，侵犯公民個人信息的行為大量出現(xiàn)，信息安全風險與日俱增[3]。同時，科學技術的迭代不僅具有促進經濟發(fā)展、社會進步的正向效應，其還為侵權、犯罪手段的更新與異化提供了契機，而“AI換臉”類淫穢視頻的出現(xiàn)即是這一負價值的典型適例?！癆I換臉”類淫穢視頻是一種建基于人工智能技術的新型淫穢物品，其通過利用深度圖像生成模型，如Deepfake軟件或ZAO軟件等，對某人的照片進行分析與處理，從而把照片上的人臉“移花接木”到淫穢視頻中，將其“替換”為淫穢視頻的主角。根據(jù)目前的報道，多位知名女明星成為此類視頻的受害者，并且只要具有足夠數(shù)量的照片，賣家還可以提供私人定制服務[4]。人臉，由于其生理性、標識性等特點，毋庸置疑地屬于個人信息，且其為一種不同于傳統(tǒng)類別的新型信息，即生物識別信息[5]，因此利用他人照片中的人臉部分制作“AI換臉”類淫穢視頻并出售的行為，不僅侵犯他人名譽權以及不愿接觸淫穢物品的權利，進而可能構成侮辱罪與制作、傳播淫穢物品牟利罪，而且還是對他人個人信息的侵犯。我國現(xiàn)行《刑法》中對個人信息進行保護的典型罪名為第253條之一“侵犯公民個人信息罪”，但該罪主要針對“出售或非法提供”以及“竊取或以其他方式非法獲取”兩類行為，因此按照當前該罪的行為規(guī)制模式，無法全面評價上述制作并出售“AI換臉”類淫穢視頻的行為，亦難以實現(xiàn)對公民個人信息的周全保護，故是否進行模式調整以及如何調整的問題突顯出來，這成為本文研究的重點。

二、侵犯公民個人信息犯罪行為的規(guī)制現(xiàn)狀：基于源頭治理邏輯的模式設計

信息時代來臨之前，公民個人信息并未成為刑法以及其他法律規(guī)范關注的重點，因此我國刑法中并未設置保護公民個人信息的獨立罪名，而是將其附屬于國家秘密、商業(yè)秘密等其他法益，在對后者進行保護的同時，“順帶”實現(xiàn)保護公民個人信息的附隨效果[6]。例如《刑法修正案(五)》增設的“竊取、收買、非法提供信用卡信息罪”，雖其犯罪對象為他人信用卡信息，但從該罪在刑法典中的體系定位可知，其所保護的主要法益為國家金融管理秩序，而并非個人信息。直到2009年《刑法修正案(七)》出臺，增設了“出售、非法提供公民個人信息罪”與“非法獲取公民個人信息罪”，個人信息的獨立刑法保護才得以實現(xiàn)。上述兩罪明確了刑法所規(guī)制的侵犯公民個人信息犯罪行為的基本類型，即“竊取或者以其他方法非法獲取”與“出售或者非法提供”，從而形成了該類犯罪初步的行為體系。2015年《刑法修正案(九)》將上述兩罪整合為“侵犯公民個人信息罪”，該罪為彌補《刑法修正案(七)》的滯后與不足，在主體范圍、客觀要件、刑罰配置等方面進行了調整，但其規(guī)制的基本行為類型并未改變。2017年最高人民法院、最高人民檢察院聯(lián)合發(fā)布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)，明確了侵犯公民個人信息罪的具體適用細節(jié)，但亦未涉及行為類型的增刪與體系調整。

從上述刑法條文與司法解釋的規(guī)定可以看出，侵犯公民個人信息罪所規(guī)制的行為主要包括 “竊取或者以其他方法非法獲取”以及“出售或者非法提供”，因“竊取”“出售”僅為典型行為之列舉，故實質而言，可以簡化為“非法獲取”與“非法提供”兩類(2)“竊取”是“非法獲取”的一種，而“出售”亦屬于“非法提供”，只是因為二者較為典型與常見，因此法條將其獨立列出。。

當前，隨著個人信息價值的不斷增長，侵犯公民個人信息的犯罪行為持續(xù)涌現(xiàn)，并逐漸形成一條體系完整、分工明確的黑色產業(yè)鏈。在這條產業(yè)鏈中，主要存在三個關鍵環(huán)節(jié)：(1)信息的獲取，行為人采用合法或非法手段獲取他人信息，前者如保險公司工作人員由于職務原因而掌握客戶資料，后者如黑客侵入網站數(shù)據(jù)庫盜取用戶信息。據(jù)統(tǒng)計，全球范圍內每年約有10億條個人信息被泄露，并導致將近60億美元的經濟損失[7]。(2)信息的提供，信息持有者將其所掌握的信息非法提供給他人，其中最常見的方式為出售。廣東省“凈網2019”專項行動的成果顯示，僅2019年上半年，廣東警方即偵破網絡犯罪案件521起，繳獲被買賣的公民個人信息15億余條[8]。(3)信息的利用，行為人獲取他人信息后加以非法利用，例如實施網絡詐騙犯罪，或者發(fā)送垃圾短信、撥打騷擾電話等。如前所述，侵犯公民個人信息罪規(guī)制的行為類型為“非法獲取”與“非法提供”他人信息，分別對應上述黑色產業(yè)鏈中的前兩個環(huán)節(jié)，但并不涉及信息的利用，可見，該罪以打擊公民個人信息的非法流轉(獲取、提供)為中心，期望從源頭上防止個人信息泄露并阻斷其非法流通的渠道，使得以他人信息為“原料”的利用行為，如電信詐騙、網絡盜竊等喪失實行的根基，成為無源之水、無本之木。本文將這種在數(shù)個法益侵害行為共同構成的犯罪進程中，通過規(guī)制前端行為以截斷犯罪鏈條，使末端行為不可能實施，進而實現(xiàn)遏制犯罪、保護法益目的的行為規(guī)制模式稱為源頭治理模式。

三、源頭治理模式評析

(一)模式介紹

源頭治理模式是我國刑法中一類特殊的行為規(guī)制模式，即在數(shù)個法益侵害行為共同構成的犯罪進程中，刑法僅規(guī)制處于前端位置的行為，從源頭打擊犯罪，而對于末端行為，雖然其對法益的危害更加直接，但卻進行非犯罪化處理，使其不受刑法處罰。這種模式的設置邏輯在于源頭治理，即通過規(guī)制前端行為來消解末端行為得以生存的土壤，從而減少末端行為的發(fā)生。源頭治理模式散見于我國《刑法》分則的具體罪名中，除上文所述的侵犯公民個人信息罪以外，典型的還有《刑法》第280條第1款規(guī)定的“偽造、變造、買賣國家機關公文、證件、印章罪”“盜竊、搶奪、毀滅國家機關公文、證件、印章罪”，《刑法》第375條第1款規(guī)定的“偽造、變造、買賣武裝部隊公文、證件、印章罪”“盜竊、搶奪武裝部隊公文、證件、印章罪”等。例如，在涉及國家機關公文、證件、印章的犯罪中，偽造、變造、買賣、盜竊、搶奪、非法使用等行為共同組成一個完整且有序的犯罪生態(tài)，其中，非法使用行為直接損害國家機關公文、證件、印章的公共信用，但刑法卻并未將其規(guī)定為犯罪，反而是為其提供“原料”的前端行為全部被納入刑法處罰范圍，這種行為類型的選擇性規(guī)制深刻體現(xiàn)了源頭治理的設置邏輯。

(二)源頭治理的模式理性與固有局限

1.模式理性

源頭治理作為我國刑法中一類特殊的行為規(guī)制模式，其之所以產生是基于一定的理性考量，具體如下所述。

第一，末端行為缺乏刑法規(guī)制的緊迫性與必要性。在大數(shù)據(jù)時代來臨之前，公民個人信息總體數(shù)量較少，且其利用價值與可利用方式也極為有限，因此非法利用公民個人信息行為所產生的危害性較小，缺乏刑法規(guī)制的緊迫性與必要性。另外，在當時的環(huán)境下，由于電子化、數(shù)據(jù)化程度不高，個人信息仍具備專屬性與私密性等特征，故其與個人隱私之間不存在明顯界分，持有與流轉的自主性是其主要權利內容，因而對公民個人信息的保護也集中于流轉環(huán)節(jié)，重點打擊非法獲取與非法提供行為。

第二，在某些情況下，末端行為難以準確界定，將其納入刑法規(guī)制范圍有違背罪刑法定原則之嫌。以侵犯公民個人信息罪為例，非法利用他人信息的行為方式多樣、龐雜，有的是行為人利用其所獲取的他人信息，通過撥打電話的方式尋求合作伙伴與進行業(yè)務推廣(3)參見(2017)粵0303刑初238號刑事判決書。，有的是行為人利用他人信息實施電信詐騙、敲詐勒索等犯罪(4)參見(2017)魯13刑初26號刑事判決書。，有的是行為人在未經信息所有人同意的情況下，利用他人信息辦理信用卡等須提供身份證明的業(yè)務，最典型的即為2008年的“西電卡門事件”(5)2008年，西安電子科技大學財務處在未征得學生同意的情況下，擅自使用掌握的學生身份信息，為一萬多名學生辦理了“中國工商銀行牡丹運動圓夢學生卡”，曝光后，學校公開致歉并將上述信用卡注銷。，并且隨著人工智能等前沿科技的發(fā)展，“非法利用”的外延還在擴張，不斷產生新的行為樣態(tài)。例如前文所述通過分析、處理他人的照片來制作“AI換臉”類淫穢視頻的行為，因此難以對“非法利用”一詞進行準確界定，而罪刑法定原則的實質側面要求刑法規(guī)范具有明確性，故不宜將非法利用他人信息的行為規(guī)定為犯罪。

第三，從司法成本與效率的角度考慮，規(guī)制末端行為不符合便宜性的要求。例如，在侵犯公民個人信息犯罪中，由于信息傳播速度的迅即性、傳播途徑的便捷性、傳播范圍的無限性以及網絡空間的流動性、匿名性等特征，非法利用公民個人信息的犯罪人可能隱匿于任何地方，而在大數(shù)據(jù)時代來臨之前，偵察技術手段相對有限，因此對犯罪嫌疑人進行抓捕或取證的難度較大，并且會耗費大量司法資源；另外，根據(jù)最高人民法院、最高人民檢察院頒布的司法解釋，涉案信息的數(shù)量對行為人定罪量刑起著至關重要的作用，但對于非法利用行為而言，并非行為人獲取或持有的所有信息均被利用，且某些行為人還交雜有合法利用的情形，因此要將非法利用的涉案信息從全部信息中區(qū)分出來并統(tǒng)計數(shù)量，亦會消耗大量的人力物力，而若從侵犯個人信息的源頭出發(fā)，通過比對受損信息數(shù)量、查看信息流轉記錄、調取信息數(shù)據(jù)庫等方式考察非法獲取與非法提供行為，則在取證中能夠最大限度地提高司法效率，節(jié)省司法資源，因此不宜將非法利用他人信息這一末端行為規(guī)定為犯罪。

第四，規(guī)制前端行為能夠實現(xiàn)對末端行為的間接防控，減少后者的發(fā)生。雖然由于難以類型化或不符合便宜性原則等原因，不宜將具有法益侵害性的末端行為規(guī)定為犯罪，但前端行為與末端行為共同組成一個完整、有序的犯罪生態(tài)，且前者的實施為后者提供必要的“原料”，因此刑法將前端行為納入規(guī)制范圍即足以切斷末端行為“原料”的供應，使其喪失實施的基礎，進而減少末端行為的發(fā)生。例如，非法利用公民個人信息的行為必須以行為人掌握大量他人信息為前提，而在大數(shù)據(jù)時代來臨之前，由于個人信息缺乏公開性與共享性等特征，非法利用的他人信息絕大多數(shù)來源于非法獲取行為或者他人的非法提供行為，而侵犯公民個人信息罪嚴厲打擊此兩種行為，從源頭上遏制了個人信息的泄露并截斷其流轉路徑，保障公民個人信息不會被不法分子掌握，使其沒有非法利用的“原料”，進而防止該類行為的發(fā)生。因此，總體來看，刑法雖未規(guī)制非法利用行為，但通過打擊位于前端的非法獲取與非法提供兩種行為，亦能夠對其起到間接防控的作用。

第五，末端行為與下游犯罪行為競合，打擊下游犯罪能夠實現(xiàn)對末端行為人的處罰。以侵犯公民個人信息罪為例，行為人之所以千方百計地獲取他人信息，最核心的目的在于通過對這些信息加以利用，以實現(xiàn)信息背后的價值并獲得相關收益，而行為人的非法利用行為通常會觸犯其他罪名，如詐騙罪、盜竊罪、制作淫穢物品牟利罪等，因此通過對下游犯罪的打擊能夠實現(xiàn)對非法利用他人信息行為人的處罰，不會使其逃脫法網[9]。

2.固有局限

雖然源頭治理模式具有其存在的理性基礎，但這種立法設計從其產生之初就內嵌著固有的局限，因此其在司法實踐中并沒有發(fā)揮出立法者原先所預想的規(guī)制效果。

首先，雖然前端行為位于犯罪進程的起點，對其進行源頭打擊有利于截斷犯罪鏈條，消除末端行為賴以實施的“原料”，但從犯罪進程的流向來看，無論前端行為如何，犯罪生態(tài)中的所有行為最終均指向末端，亦即之所以會出現(xiàn)前端行為，均是由于末端行為的需要，故可以說，末端行為是前端行為產生的誘因與最終目的。沒有需求就沒有供給，因此對末端行為進行規(guī)制能夠起到釜底抽薪的效果，而源頭治理模式僅看到其處于犯罪進程的尾部，似乎對整個犯罪生態(tài)的形成與存在沒有太大的作用，故而忽略了其真正本質與內核。例如，行為人希望通過非法利用他人信息以獲得不當收益，但其并不一定擁有符合其要求且數(shù)量足夠的信息，故此時“市場”上出現(xiàn)需求側，進而催生了非法獲取與非法提供他人信息的行為，后者通過滿足前者對信息的需求，以換取經濟利益，二者共同構成侵犯公民個人信息的犯罪進程，因此可以看出，非法利用行為是整個犯罪生態(tài)的基礎動因，若對其進行打擊，則能夠直接消除非法獲取與非法提供行為的原動力，進而減少此兩種行為的發(fā)生。但侵犯公民個人信息罪僅關注犯罪進程的前端，忽略了作為誘因的非法利用行為，因此導致其規(guī)制效果受到局限。

其次，源頭治理模式之所以能夠發(fā)揮作用，完全依賴于前端行為與末端行為之間存在的絕對的供給關系，即末端行為要想實施，必須從前端行為處獲取相應的“原料”，而沒有其他途徑，故只要出現(xiàn)末端行為，就一定存在前端行為，因此才能通過打擊后者以實現(xiàn)對前者的規(guī)制。但這樣的設計缺乏穩(wěn)定性，一旦前端行為與末端行為之間的供給關系喪失絕對性，則會導致整個規(guī)制模式的失效。例如，隨著大數(shù)據(jù)、人工智能等前沿科技的發(fā)展，對公民個人信息的非法利用也出現(xiàn)方式上的更新，如前文所述利用他人照片制作“AI換臉”類淫穢視頻，這種利用方式的特點在于，其不僅借助了最新的技術，而且其所利用的他人信息，尤其是涉及明星、公眾人物的信息，均來源于互聯(lián)網，屬于從公開途徑合法獲取的他人信息[10]，因此，非法利用行為的實施并未依賴于非法獲取與非法提供行為的“原料”供給，通過侵犯公民個人信息罪對后者的規(guī)制無法實現(xiàn)對此類“合法獲取、非法利用”行為的打擊。

四、路徑選擇：從源頭治理到全程打擊的模式轉換

如前所述，侵犯公民個人信息罪采取的是源頭治理的行為規(guī)制模式，但這種模式無法與大數(shù)據(jù)時代背景下保護公民個人信息的需求相適配，因此需要進行轉換?？紤]源頭治理模式的合理性與固有局限，結合非法利用行為在犯罪進程中的原動力地位，應將轉換的核心定為，在保留非法獲取、非法提供行為的基礎上，將非法利用行為納入刑法規(guī)制范圍，進而形成對犯罪鏈條進行全程打擊的新型模式，以實現(xiàn)對公民個人信息的全面保護。

(一)理由闡釋

第一，大數(shù)據(jù)時代，非法利用公民個人信息行為的法益侵害性增加。雖然目前學界對于侵犯公民個人信息罪所保護的法益尚有分歧(6)關于侵犯公民個人信息罪所保護的法益，目前學界主要有人格尊嚴說、隱私權說、個人信息權說、公共安全說、公共秩序說、綜合說等觀點。，但考慮刑法的保障法地位，以及其客體應與前置法客體保持一致的要求，結合《民法總則》第111條的規(guī)定[11]，筆者更傾向于個人信息權的觀點。個人信息權指的是本人依法對個人信息所享有的積極支配與消極防御他人侵害的權利[12]。非法利用公民個人信息的行為損害了本人自主決定個人信息是否被利用，以及基于何種目的、以何種方式、在多大范圍內利用的權利，是典型侵犯個人信息權的行為，因此其具有法益侵害性。隨著大數(shù)據(jù)時代的到來，個人信息總體規(guī)模呈指數(shù)級上漲，其在經濟、社會等領域的潛在價值也進一步被發(fā)現(xiàn)，對個人信息進行利用的方式亦從單一的簡單利用擴展到深度挖掘與立體分析，因此，非法利用公民個人信息的行為與前大數(shù)據(jù)時代相比將產生更大的危害，其法益侵害性急劇攀升。例如為制作前述“AI換臉”類淫穢視頻，行為人非法利用的照片數(shù)量巨大，且通過分析處理直接對淫穢視頻中的人臉進行替換，其對被害人個人信息以及名譽的侵害是傳統(tǒng)手段無法比擬的，因此應將其納入刑法規(guī)制范圍。另外，非法獲取與非法提供他人信息的行為僅對法益產生抽象危險，而非法利用行為作為侵犯公民個人信息犯罪流程的歸宿，才最終將這種危險具體化，因此其對法益的侵害更加直接與嚴重，舉輕以明重，應對其進行犯罪化處理。

第二，非法利用公民個人信息的行為具有獨立性，非法獲取、非法提供行為與下游犯罪均無法涵蓋。非法獲取指的是違反法律規(guī)定，通過購得、騙取、奪取等方式得到他人信息，而非法提供指的是使他人可以知悉公民個人信息[13]，二者均與非法利用他人信息的行為方式不同，因此無法涵蓋后者。另外，雖然非法利用行為通常構成其他犯罪，能夠對行為人進行定罪處罰，但由于侵害法益的不同，下游犯罪往往無法全面評價非法利用行為，因而造成法益保護的不周延[14]。例如，前述利用他人照片制作“AI換臉”類淫穢視頻的行為，既損害了他人的名譽權與不愿接觸淫穢物品的權利，同時還侵犯他人的個人信息權，但若僅對行為人按侮辱罪、制作淫穢物品牟利罪定罪處罰，則忽略了其對他人信息的侵害。因此應對非法利用他人信息的行為加以規(guī)制，認定行為人同時構成侵犯公民個人信息罪，進而實現(xiàn)對其行為的全面評價。

第三，非法利用公民個人信息的行為方式逐步類型化。雖目前仍無法對“非法利用”一詞進行準確、周延的界定，但隨著相關案例的大量涌現(xiàn)，其行為方式已開始逐步類型化甚至定型化。例如有學者將其總結為三種形態(tài)：(1)利用所獲取的具有身份識別性的公民個人信息實施詐騙等犯罪行為；(2)將獲取的具有身份識別性的公民個人信息用于未經接收方許可的商業(yè)推銷、廣告宣傳；(3)利用獲取的具有隱私性的公民個人信息實施敲詐勒索等犯罪活動[15]。前述利用他人照片制作“AI換臉”類淫穢視頻的行為即可歸于第一類。因此，通過類型化解釋，“非法利用”的內涵與外延基本清晰，將其規(guī)定入刑法并不違背罪刑法定原則實質側面的明確性要求。

第四，大數(shù)據(jù)時代，對非法利用公民個人信息行為進行取證的難度降低，將其納入刑法規(guī)制范圍符合便宜性的要求。隨著科技的進步，偵查工具與手段不斷更新，通過運用大數(shù)據(jù)、人工智能等前沿技術，公安機關能夠快速查到犯罪分子的作案工具，如撥打騷擾電話，發(fā)送垃圾短信的手機號碼、電腦IP地址等，并能夠根據(jù)定位信息鎖定犯罪嫌疑人[16]。例如上海、浙江等地警方通過“騰訊安全反詐騙實驗室”開發(fā)的“麒麟偽基站定位系統(tǒng)”“神羊情報分析平臺”等安全應用系統(tǒng)，破獲了包括“9·27特大竊取販賣公民個人信息專案”在內的大量網絡黑產案件[17]。同時，對于行為人利用的公民個人信息數(shù)量，通過智能算法也能夠輕松識別與統(tǒng)計，為定罪量刑提供依據(jù)，因此規(guī)制非法利用行為不會造成司法資源的浪費，符合便宜性的要求。

第五，外國立法實踐的經驗借鑒與我國法秩序統(tǒng)一的現(xiàn)實需求。從世界范圍來看，其他國家已有將非法利用公民個人信息的行為規(guī)定為犯罪的立法嘗試，值得我們借鑒。例如，《德國刑法典》第204條規(guī)定“使用他人秘密罪”，最高可處兩年有期徒刑[18]；《葡萄牙刑法典》規(guī)定“不當利用秘密罪”，最高可處一年監(jiān)禁[19]；美國《防止身份盜竊及假冒法》規(guī)定，“任何人在無合法授權的情況下……故意轉讓或者使用他人的個人信息，構成犯罪?！盵20]同時，隨著國際交流與合作的日益廣泛，個人信息的跨境交互與全球化趨勢也不斷增強，跨國侵犯公民個人信息的犯罪亦愈演愈烈，因此我國規(guī)制非法利用行為有利于進行打擊相關犯罪的國際司法合作。另外，從我國立法現(xiàn)狀來看，《民法總則》第111條規(guī)定，任何組織和個人不得非法收集、使用、加工、傳輸、買賣、提供、公開他人個人信息；《網絡安全法》第41條規(guī)定，網絡運營者收集、使用個人信息，應當遵循合法的原則。雖然不能以前置法的內容限制刑法規(guī)范，但上述兩部法律將非法利用他人信息的行為作為一種獨立的行為類型，與非法獲取、非法提供等行為同等對待，表明其均為法所不允許，且前者還有比后者更為嚴重的法益侵害性，因此，根據(jù)法秩序統(tǒng)一原則與罪刑均衡原則，應當將非法利用行為納入刑法規(guī)制范圍，以實現(xiàn)刑法與前置法的合理銜接。

(二)全程打擊模式的具體建構

要實現(xiàn)侵犯公民個人信息罪行為規(guī)制模式從源頭治理到全程打擊的轉換，其核心在于將非法利用他人信息的行為納入刑法規(guī)制范圍，但至于應如何規(guī)制，本文將從罪名、罪狀、法定刑三個方面進行具體闡述。

1.罪名的選擇

對于應以何罪名規(guī)制非法利用公民個人信息的行為，學界目前主要存有兩種觀點：(1)單獨設立新的罪名，例如“非法利用公民個人信息罪”，將其作為《刑法》第253條之二，列于侵犯公民個人信息罪之后[21]；(2)在侵犯公民個人信息罪原有的基礎上增加新的內容，以包容非法利用公民個人信息的行為[22]。筆者認為第一種觀點不具有合理性。一方面，非法利用行為是與非法獲取、非法提供相并列的行為類型，三者侵犯的法益相同，且從我國刑法對公民個人信息保護的立法進程來看，侵犯公民個人信息罪是對侵犯公民個人信息犯罪的總體性、一般化規(guī)定，因此沒有理由將非法利用行為排除于該罪之外，增設新的罪名；另一方面，從司法成本的角度考慮，增設新的罪名必然耗費更多的司法資源，而這些額外的消耗顯然是不必要的。因此，應采取第二種路徑，將非法利用公民個人信息的行為納入侵犯公民個人信息罪的規(guī)制范圍。

2.罪狀的確定

有觀點主張，應從解釋論的視角出發(fā)，對侵犯公民個人信息罪中“非法獲取”的“非法”二字進行含義擴張，將其解釋為“以非法利用為目的”，進而直接沿用侵犯公民個人信息罪的罪狀，將非法利用公民個人信息的行為涵蓋在原本的法條框架之下，無需進行修改[23]。這種解釋思路雖然能夠有效規(guī)制合法獲取他人信息后再非法利用的行為，在一定程度上解決了規(guī)制不足的問題，但其同時又會導致犯罪圈的擴大化，將原本不應處罰的行為規(guī)定為犯罪。例如，行為人以非法利用為目的合法地獲取了他人信息，但并未實際實施非法利用行為的情形，按照此種解釋思路則應被認定為侵犯公民個人信息罪。因此無法通過擴張解釋的路徑將非法利用行為涵蓋入侵犯公民個人信息罪的罪狀表述，只能在原有基礎之上增加新的內容。

非法獲取行為的主體為無權合法取得公民個人信息的自然人或單位，而非法利用行為所涉及的信息則既可以非法獲取，也可以合法獲取，因此非法利用行為的主體與非法提供行為的主體一致，同時包含有權與無權合法取得公民個人信息的自然人或單位，且二者其他構成要件亦相同，故應將非法利用行為合并歸入《刑法》第253條之一第1款。合并之后的條款具體包含三方面的要素：(1)違反國家有關規(guī)定，侵犯公民個人信息罪作為典型的法定犯，構罪前提之一即必須違反相關前置法，根據(jù)《解釋》第2條，此處的“國家有關規(guī)定”指的是法律、行政法規(guī)、部門規(guī)章中有關公民個人信息保護的規(guī)定，例如《民法總則》《網絡安全法》等；(2)非法利用公民個人信息的行為，如前所述，“非法利用”一詞本身難以準確界定，但其行為方式已逐步類型化，故應對具體類型予以明確，以符合罪刑法定原則的明確性要求，并厘清該罪的入罪邊界，尤其是在大數(shù)據(jù)時代背景下，個人信息的自由流動與合理利用成為實現(xiàn)其巨大經濟價值與社會價值的主要形式，更應尋求信息保護與利用之間的雙向平衡[24]，僅將具有嚴重法益侵害性的非法利用行為納入刑法規(guī)制范圍，對具體類型的闡釋，可以參照非法獲取與非法提供行為，在司法解釋中進行列舉；(3)情節(jié)嚴重，并非一切非法利用公民個人信息的行為均足以構成本罪，“情節(jié)嚴重”這一要素從程度上將法益侵害性輕微的情形予以排除，《解釋》第5條、第6條闡明了非法獲取、非法提供行為中“情節(jié)嚴重”的標準，包括行為方式、涉案信息數(shù)量、違法所得、曾受處罰等，這些標準可以為非法利用行為入罪提供參考，但在具體規(guī)定時應充分考慮非法利用行為的特殊性。例如在大數(shù)據(jù)時代背景下，利用公民個人信息主要表現(xiàn)為通過對海量數(shù)據(jù)的分析處理與深度挖掘以實現(xiàn)某種目的，如前述利用他人照片制作“AI換臉”類淫穢視頻，因而單純的涉案信息數(shù)量無法完全反映非法利用行為的法益侵害性，還應綜合考察制作完成情況、換臉仿真程度、淫穢視頻數(shù)量、被害人數(shù)量、造成的實際損害等。

3.法定刑的設置

基于非法利用行為與非法獲取、非法提供行為侵犯法益的一致性以及對罪刑均衡原則的考量，筆者認為，將非法利用行為合并歸入《刑法》第253條之一第1款后，亦應適用該款所規(guī)定的法定刑。雖然部分學者主張非法利用行為的法益侵害性相較非法獲取、非法提供行為而言更加直接、嚴重，因此應對其施以更嚴厲的刑罰，以突出對非法利用行為的重點打擊[25]，但筆者認為，原條文本身即設有“三年以下有期徒刑或者拘役，并處或者單處罰金”與“三年以上七年以下有期徒刑，并處罰金”兩檔刑罰，區(qū)間幅度較大，非法利用行為與非法獲取、非法提供行為之間法益侵害性的不同可以通過在區(qū)間內具體選擇輕重有別的刑罰加以區(qū)分，無需對前者設置新的、更重的法定刑。另外，我國其他類似罪名亦是采取統(tǒng)一規(guī)定的方式，如《刑法》第172條“持有、使用假幣罪”、第375條第3款“偽造、盜竊、買賣、非法提供、非法使用武裝部隊專用標志罪”均是為使用以及其他行為設置了同樣的法定刑。

圖1 源頭治理到全程打擊的模式轉換

綜上所述，筆者認為應將非法利用公民個人信息的行為納入侵犯公民個人信息罪的規(guī)制范圍，并將其規(guī)定在《刑法》第253條之一第1款，具體表述為，“違反國家有關規(guī)定，利用、出售或者向他人提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金?！敝链?，侵犯公民個人信息罪的行為規(guī)制模式完成從源頭治理到全程打擊的轉向(圖1)。

(三)罪數(shù)問題

在侵犯公民個人信息的犯罪進程中，非法利用他人信息的行為人除非法利用行為外，往往還會實施其他犯罪行為，因此，當采取全程打擊模式將非法利用行為納入刑法規(guī)制范圍后，便會對該行為人的罪數(shù)產生影響。本文根據(jù)非法利用行為人實施具體行為的不同，分三種情況進行討論。

1.非法利用行為與前端行為

行為人除非法利用他人信息外，還可能通過非法途徑獲取信息，或將自己掌握的公民個人信息非法提供給他人，但因非法利用、非法獲取、非法提供均屬于侵犯公民個人信息罪的行為類型，故行為人在非法利用他人信息之外還同時或單獨實施非法獲取與非法提供行為的，僅認定為侵犯公民個人信息罪一罪。同時，由于上述行為所侵害的法益具有同一性，且參照《解釋》第11條第1款的規(guī)定(7)《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第11條第1款規(guī)定：“非法獲取公民個人信息后又出售或者提供的，公民個人信息的條數(shù)不重復計算?！保词剐袨槿送瑫r實施非法利用行為與前端行為，公民個人信息的條數(shù)也不重復計算，但應在同一法定刑幅度內從重處罰。

2.非法利用行為與下游犯罪

如上文所述，行為人非法利用他人信息的行為方式多樣，其中最主要的一類為利用他人信息實施犯罪，如前述利用他人照片制作“AI換臉”類淫穢視頻的行為，即構成侮辱罪與制作淫穢物品牟利罪。按照現(xiàn)行侵犯公民個人信息罪的行為規(guī)制模式，非法利用他人照片的行為不構成犯罪，故對行為人僅認定為下游犯罪即可；但若采取全程打擊模式，則行為人非法利用他人照片的行為同時觸犯侵犯公民個人信息罪與下游犯罪，屬于二者的想象競合，應按照從一重罪的處罰原則進行定罪量刑。

3.非法利用行為與前端行為、下游犯罪

行為人在非法利用行為外還可能同時實施前端行為與下游犯罪，例如行為人非法獲取他人照片后，再利用該照片制作“AI換臉”類淫穢視頻，此時，行為人既實施了非法獲取行為，又實施了非法利用行為，且非法利用行為同時也是制作淫穢視頻的行為。對于這種情形，在源頭治理模式下，非法利用行為本身不構成犯罪，而非法獲取行為是制作淫穢視頻行為的手段，二者具有牽連關系，因此應按照侵犯公民個人信息罪與侮辱罪、制作淫穢物品牟利罪的牽連犯進行認定，遵循從一重罰的處罰原則。當模式轉換為全程打擊后，應當分兩步確定罪數(shù)：(1)前一行為為非法獲取行為，而后一行為具有非法利用與制作淫穢視頻兩種行為屬性，屬于一行為同時觸犯多個罪名，故應先按照從一重罪的原則進行屬性與罪名的選擇；(2)根據(jù)后一行為選定的屬性確定罪數(shù)，若其為非法利用行為，則和前一行為同屬于侵犯公民個人信息罪，按該罪定罪并在法定刑幅度內從重處罰，若其為制作淫穢視頻行為，則和前一行為構成牽連犯，按照從一重的原則定罪處罰。

五、結語

大數(shù)據(jù)時代的來臨，標志著“信息社會”這一概念終于名副其實[26]。在這一全新的社會模式中，個人信息的作用越來越顯著，且其還在政治、經濟、文化等各領域內不斷開啟新的價值形式，逐漸成為各國發(fā)展的重要資源。需要注意的是，人工智能、大數(shù)據(jù)、云計算等信息技術的進步雖然為社會帶來巨大的收益，但同時其也具有伴生風險[27]，即侵犯公民個人信息的犯罪愈發(fā)嚴重且迅速蔓延，如何對其進行有效防治已然成為信息社會的重大命題。因此，不能將個人信息的內在價值與法律保護決然分離開來，而應對二者進行交融性評價，尋求價值實現(xiàn)與權益保障之間的雙向平衡。例如，應允許并鼓勵對個人信息的合法利用，以發(fā)掘其在信息社會中的巨大潛在價值，但同時應對非法利用行為進行嚴厲打擊，尤其是借助前沿科技手段而異化出來的新型犯罪模式，如前文所述利用他人照片制作“AI換臉”類淫穢視頻，通過對侵犯公民個人信息罪行為規(guī)制模式的轉換，將其納入刑法處罰范圍。但徒法不足以自行，要達到理想的保護效果，除刑法以外，還需要民法、行政法等其他前置法的共同配合，通過“刑民銜接”“刑行銜接”來實現(xiàn)對公民個人信息的周全保護。