一、问题的提出

随着互联网的普及和技术的发展，个人信息保护已经成为全社会关注的热点问题。在现行法律体系下，如何有效保障个人信息权益、规范个人信息的处理行为，已经成为我们当前所面临的一项紧迫任务。2021年正式施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），全面规定了个人信息保护的规范和标准，清晰界定了个人信息保护的法律规定以及涉及各方的权利与义务[1]。数字化时代的到来为相关主体获取个人信息提供了便利。各类平台和机构通过合法途径获取个人信息，可以更好地提供个性化服务。相应地，相关主体合法获取个人信息后非法使用的现象也日益严重，这种非法处理合法获取的个人信息的行为，对公民的隐私权和社会公共利益造成了严重损害。本文将从合法获取但非法使用个人信息行为为研究起点，剖析其对个人权益与社会秩序的危害，并在此基础上提出切实可行的对策和建议。

二、非法使用个人信息的形式

（一）伪造、变造行为

该行为主要是借助当下发达的深度伪造技术来篡改人脸等生物识别信息，将受害人的人脸信息拼接、转移到其他场景[2]。深度伪造技术的核心能力在于运用AI算法实时生成或操纵人的面部表情及声音，并将这些元素无缝整合，创造出全新的视频内容[3]。如2019年8月，一款名为“ZAO”的人工智能换脸软件产生，只要上传一张正面照片，就能将影视作品中的人脸换成自己的脸[4]。互联网上有大量公开可得的生物识别信息，包括人们的语音和面部特征，以及社交媒体上分享的内容。一旦个体通过合法途径取得了这些声音或面部数据，随后使用深度伪造技术进行未被授权的应用，不仅严重侵犯了用户的个人信息安全，还可能严重损害用户的肖像权和名誉权，甚至可能导致侮辱、诽谤等侵犯个人权利的犯罪行为。

（二）未经授权或超出授权范围使用的行为

该行为主要是指不法侵害人未经信息主体授权或超出授权范围，私自利用其个人信息从事活动。如2022年6月，一款名为“学习通”的大学生学习平台发生了数据库信息泄露事件。被非法出售的数据中包含了学校名称、用户姓名、电话号码、电子邮箱等个人信息，受影响的记录总数高达1.7亿条。通过合法的方式获得的信息主体相关授权的信息，往往无法得到妥善地保存与处理，甚至还会被使用主体非法出售。由于使用主体的行为无法得到有效的监督与控制，因此这些个人信息往往会被用于其他未被授权的方面。

三、产生非法使用个人信息行为的成因分析

（一）个人信息被过度收集

由于缺乏针对大数据技术应用的明确规定和行业标准，互联网行业随意收集用户信息的做法变得司空见惯[5]。在日常生活中，信息主体在使用应用软件时，往往被要求绑定手机号码，并填写姓名、年龄、性别、社交账号、地理位置等个人信息。在某些情况下，这些信息的范围超出了软件提供服务的实际需要，但用户可能并未意识到。这种缺乏规范的情况导致用户数据的保护不足，增加了个人信息泄露和滥用的风险。

（二）个人信息保护意识薄弱

在使用社交媒体时，部分信息主体可能未充分意识到隐私设置的重要性。他们可能不了解如何调整隐私设置，或者认为默认的公开状态并无大碍，从而使自己的敏感信息对所有人可见。这种公开状态的信息极易被不法分子利用。此外，一些用户可能出于方便或对权限请求的理解不足，往往不会仔细审查在软件安装和使用过程中的授权权限请求，而是直接点击同意。这种做法可能导致个人信息被应用软件过度收集，甚至在用户不知情的情况下被用于广告推送、用户画像构建或其他商业用途，

（三）行业缺乏自律性

互联网公司通过提供各种服务积累了海量的用户个人信息，然而，随着用户数据量的增加，数据安全问题也日益凸显。如前述“学习通”平台事件所揭示的，部分公司可能因成本、技术能力不足等，未能采取数据保护的基本安全措施，导致用户信息面临被黑客攻击、恶意软件感染的风险。同时，一些公司没有充分认识到提升信息管理人员职业道德水平的重要性，导致内部人员隐私意识淡薄，擅自使用或泄露用户信息。这种行为不仅违反了职业道德和法律规定，降低了用户的信任度，而且损害了公司的声誉。

（四）法律法规不完善

《中华人民共和国刑法》（以下简称《刑法》）对个人信息保护主要体现在第二百五十三条的相关规定中。其中，侵犯公民个人信息罪主要包括非法获取、出售、提供公民个人信息的行为，但对非法使用公民个人信息的行为并未明确规定。这导致在实务操作中，法官在处理非法使用个人信息的案件时，面临无法直接适用该罪名的困境[6]在司法实践中，法官可能需要寻找其他类似的罪名来定罪。但这种做法可能会引发法律适用上的质疑，因为它可能导致对同一类行为的法律评价不一致，影响法律的确定性和权威性。

四、合法获取但非法使用个人信息行为规制方式

（一）现存法律相关规定

我国刑法对侵犯公民个人信息的犯罪行为的打击，主要集中在未经授权的个人信息转移上。立法根本目的在于通过规制这些非法转移个人信息的行为，加强对公民个人信息的法律保护[7]目前，人们对网络服务的需求更加多元化，生活的各领域与互联网深度结合，不可避免地会留下大量的个人信息。应对互联网时代个人信息侵权行为的多样性和复杂性需要与时俱进，尤其要全面保护公民的个人信息安全[8]。因此，法律保护的重点应从单纯的信息转移权扩展到更广泛的信息使用权。这体现了法律体系的不断完善，以适应数字时代个人信息保护的新需求。

《个人信息保护法》第十四条规定，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。合法获取但非法使用个人信息的行为，便是在信息处理者不再拥有合法保留用户信息的依据时，没有按照要求删除这些信息，而是继续非法使用。这种行为违反了个人信息的处理原则，损害了信息主体的权益[9]。同样地，《中华人民共和国民法典》（以下简称《民法典》）也对个人信息的使用进行了规定：“任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

（二）将合法获取但非法使用个人信息行为纳入《刑法》规制范围的原因

与直接非法获取个人信息的行为相比，先合法获取再非法使用的行为造成的社会影响更为严重，因为这种行为能够通过技术手段不断扩大其伤害范围。如果一个人合法地获取了个人信息，但之后进行非法使用，由于获取行为本身是合法的，因此不能将最初的获取行为视为侵犯公民个人信息罪。这就需要法律对其后续的非法使用行为进行独立评估。在这种情况下，尽管信息是合法获取的，但随后的非法使用可能造成更大的伤害，因此，法律应当提供相应的惩罚措施[1]

《民法典》《个人信息保护法》等相关法律对非法使用个人信息的规范，为刑法领域将合法获取后非法使用个人信息的行为纳入侵犯公民个人信息罪的范畴提供了基础。在我国法律框架内，民法和行政法均将公民个人信息的使用视为一个独立的法律行为，并且将其与个人信息的收集、获取、出售、提供等行为进行了明确的区分。相应地，《刑法》也应当规定，使用个人信息是一个独立的法律行为，并与获取、出售、提供个人信息的行为一样，受到同等的法律审视和规制。简而言之，《刑法》作为保护公民权利的最后一道防线，需要对非法使用个人信息的行为设定明确的法律界限，确保其与非法获取、出售、提供个人信息的行为受到一致的法律评价[6]

此外，域外关于合法获取但非法使用个人信息的相关法律规制也为我国将该行为纳入《刑法》保护提供了国际经验。欧盟《通用数据保护条例》（GDPR）对信息处理行为进行了限制和监管。该条例规定，个人数据的处理必须有法律依据，对个人数据的处理，包括收集、使用、存储、转移和删除等，都需要向数据主体提供清晰的信息，确保他们能够行使自己的权利。美国加州《消费者隐私法案》（CCPA）赋予消费者对个人信息的控制权，企业必须在收集个人信息时向消费者提供透明的信息，必须采取合理措施来保护个人信息安全。新加坡《个人数据保护法》（PDPA）明确了个人数据的收集、使用、处理和披露的规则，并对违反规定的行为不同程度地实行民事、行政罚款和刑事处罚。上述域外法律不仅规定了个人信息的收集和使用必须有明确的法律依据，还要求对数据处理的全过程进行严格监管，并确保数据主体能够充分行使其权利，对于违反个人信息保护规定的行为，设定了严格的民事、行政甚至刑事责任。这些域外经验表明，通过《刑法》对个人信息的非法使用行为进行规制是国际社会的普遍趋势，对我国相关立法工作具有重要的借鉴意义。

（三）对合法获取但非法使用个人信息行为的《刑法》规制方式

有学者认为，在将非法使用个人信息纳人《刑法》的监管范围时，应该区分仅仅是“非法使用”个人信息与“虽然合法获取但后来非法使用”个人信息的行为。非法获取他人信息后接着非法使用，本质上是非法获取行为的延续。因此，对于这种连续的非法使用个人信息行为，无需在侵犯公民个人信息罪的范围内再次单独考量，可以直接按照侵犯公民个人信息罪中关于非法获取的现行规定来处理[1]。换言之，不必将非法获取后的个人信息使用行为视作一个全新的独立行为，并在法律中对其进行重复的评估。因此，在将非法使用个人信息与非法获取、出售或提供等行为一同考虑时，需要明确非法使用个人信息的前提是该信息的获取是合法的。这样的处理方式有助于确保法律的一致性和简洁性，同时避免对同一行为的多次处罚。

在探讨将非法使用个人信息纳入《刑法》的监管范畴时，如果过分关注信息获取的合法性，可能会陷人与现行法律实施相悖的困境。在司法操作中，对于某些在非法获取个人信息后进行的非法使用行为，可能难以实现有效的法律规制。并不是所有非法使用个人信息的行为都能简单看作是非法获取行为的自然延伸。因此，如果依据上述学者提出的观点，可能会使一部分非法使用个人信息的行为规避了刑法的惩罚。基于此，笔者认为，不论非法使用个人信息是基于合法获取还是非法获取，只要其造成了一定程度的社会危害，都应当直接受到《刑法》的制约。

同时，我国在考虑对非法使用个人信息行为的刑事规制时，可以借鉴国际上的法律实践，以确保个人信息的合规使用，并给予信息所有者全面的法律保护。这不仅有助于提高个人信息保护的法律效力，还能有效打击和预防侵害个人信息的犯罪行为，保护公民的合法权益。

五、结语

合法获取个人信息后却非法使用的情况日趋严峻，这一行为不仅侵犯了个人的隐私权利，也对社会的公共利益构成了重大威胁。本文深入探讨了这一问题的成因与影响，并评估了现有法律体系中的相关规定，希望通过加强《刑法》对此类行为的制约、提高公众对个人信息保护的警觉性等手段，促进刑法、民法和行政法等多个法律领域的协同合作，共同构筑起保护个人信息安全的坚固防线。这不仅是对公民基本权利的尊重，也是对社会法治原则的遵守。在个人信息保护方面，法律的完善和执行是营造安全数字环境的关键。法律的引导和规制，不仅可以促进社会对个人信息的合理利用，而且可以有效维护社会的和谐稳定。

[参考文献]

[1]刘宪权，何阳阳.《个人信息保护法》视角下侵犯公民个人信息罪要件的调整[J].华南师范大学学报，2022（1） ：141 -154.

[2]卢勤忠，张宜培.非法使用个人信息行为入刑的立法构思[J].河北法学，2023（1）：73-96.

[3]李怀胜.滥用个人生物识别信息的刑事制裁思路：以人工智能“深度伪造”为例[J].政法论坛，2020（4）：144-154.

[4]陈静.“掘金”个人数据不能为所欲为[N].经济日报，2019-09-09（13）.

[5]徐梦瑶.大数据中的隐私流动与个人信息保护研究[J].东南大学学报，2022（24）：46-49.

[6]刘仁文.论非法使用公民个人信息行为的入罪［J].法学论坛，2019（6）：118－126.

[7]李川.个人信息犯罪的规制困境与对策完善：从大数据环境下滥用信息问题切入[J].中国刑事法杂志，2019（5）：34-37.

[8]朱珊珊.以刑制罪：“宽口径授权"侵犯个人信息行为的刑事规制[J].江西社会科学，2021（3）：181－190.

[9]刘宪权，王哲.侵犯公民个人信息罪刑法适用的调整和重构[J].安徽大学学报（哲学社会科学版），2022（1） ：87 -95.