電信網絡詐騙犯罪的防控
——以個人信息保護為切入點

童譯瑤

（中國社會科學院大學 法學院，北京 100102）

引 言

個人信息的泄露為犯罪分子實施精準詐騙犯罪提供了完美的腳本。掌握詳細的個人信息和獲得信息網絡技術支持是實施電信網絡詐騙犯罪必不可少的兩大手段，對公民個人信息的掌握極大程度地提高了詐騙行為的成功率，信息網絡技術的支持則使得電信網絡詐騙犯罪變得可能。然而從另一方面講，即便犯罪分子擁有了足以實施犯罪的成熟技術支持，卻沒有掌握目標人群詳細的個人信息，其犯罪成功率也可能會有所下降。因而若不能從源頭切斷電信網絡詐騙的“犯罪黑鏈”，那對于電信網絡詐騙犯罪的治理而言就好比是隔靴搔癢，難免要面臨“剪不斷，理還亂”的尷尬局面。是故，本文以個人信息保護為切入點著手討論電信網絡詐騙犯罪的治理措施。

目前關于電信網絡詐騙犯罪的相關討論大致可以分為兩類，一類是從電信詐騙犯罪防治的參與主體、發生背景、研究方法等其他相關因素的角度著手討論其中的作為空間[1]，但其關注重點往往在詐騙罪名之外的影響因素，往往會忽略了電信網絡詐騙犯罪內在特點與所涉及的犯罪行為體系及其認定之間所存在的間隙。

與此同時，另一類討論則就電信網絡詐騙犯罪本身的某一共性問題進行深入討論。但這些討論要么過度局限于詐騙犯罪的罪名本身而未能注意到導致電信網絡詐騙犯罪猖獗的其他因素[2]，要么是聚焦于是否應將電信網絡詐騙犯罪獨立成罪的爭論。[3]即便是如本文一般，從個人信息這一上游行為著手進行的討論也僅就廣義上的個人信息，而非電信網絡詐騙犯罪中的個人信息談個人信息保護對其防治的作用[4]，在某種程度上割裂了個人信息保護與電信網絡詐騙的關系。單純討論個人信息保護的改進，而未能將個人信息放到電信詐騙犯罪的背景下并結合個人信息在其中的特點談防治，也就未能充分理解個人信息保護在電信網絡詐騙犯罪防控中所起的作用。

雖然有學者對電信網絡詐騙犯罪治理存在“多某一方面的針對性討論，而少防控治理的綜合性討論”的情形進行批判[5]，但正如上文所強調的，關于電信網絡詐騙犯罪治理建議的討論還是應該回歸到該犯罪本身，結合個人信息在其中的發展談防治。只有在充分考慮電信網絡詐騙犯罪自身特點以及個人信息在犯罪中所起的作用之基礎上，從刑法的角度進行思考才能滿足罪刑法定、罪刑相適應的要求，實現犯罪預防的目的。是故，本文將在討論個人信息在電信網絡詐騙犯罪中所扮演的角色的基礎之上（見下文二），探討目前在電信網絡詐騙犯罪防治中個人信息保護所存在的不足之處和改善建議（見下文三、四），希望能以個人信息保護為切入點對電信網絡詐騙犯罪防治路徑的探索提供思路。

一、個人信息泄露對電信網絡詐騙犯罪的影響

據統計，有超過七成的電信網絡詐騙都與個人信息泄露有關[6]，個人信息已經成為了電信網絡詐騙犯罪的“基本物料”，其主要從以下三個方面影響著電信網絡詐騙犯罪：

（一）成為犯罪的作案工具

在這里，公民的個人信息對電信網絡詐騙犯罪起到了工具性的支撐作用，使得一個具體的人被物化。羅卡交換定律在網絡空間中似乎因為水土不服而失靈，犯罪分子所追求的犯罪不留痕成為可能。犯罪分子暴露在受害人面前的最多只有其本人的聲音，沒有人臉、沒有身體特征，受害人難以辨別出到底是誰騙了自己的錢。此外，受害人往往除了通話/聊天記錄和轉賬記錄外就不能提供更多的犯罪人信息，此處涉及的電話號碼和收款賬戶往往又可能是犯罪分子通過侵犯公民個人信息進行注冊的，所以還會出現“被犯罪”、“被法人”的現象。這也是公民個人信息泄露而導致的惡果之一，個人信息的泄露不僅會使被害人成為行為人的犯罪目標，還會莫名成為行為人的替罪羔羊，在根本不知情的情況下“幫助”了電信網絡詐騙犯罪。個人信息的泄露不僅僅有助于犯罪分子對目標人群實現精準打擊，提升犯罪成功率，還能夠幫助行為人隱匿身份，加大了案件偵破的難度。而且，在電信網絡詐騙當中受害人只是一串數據，行為人并不需要與受害人進行直接接觸，不會感受到被害人的痛苦，也不會產生“作為犯罪的成本之一”[7]202-204的愧疚感和負罪感，這也是電信網絡詐騙犯罪屢禁不止的原因之一。

（二）升高犯罪既遂可能性

侵犯個人信息行為作為上游行為將促使下游犯罪的既遂可能性增加。與傳統的詐騙犯罪中需要行為人與被害人進行面對面的接觸不同，科技的發展使得電信網絡詐騙犯罪得以擺脫地域的限制，完全可以在虛擬網絡空間當中隔空完成。目前，電信網絡詐騙犯罪已經形成了一條清晰卻又令人難以捉摸的“犯罪黑鏈”，其犯罪環節大致可以被歸結為：（個人信息收集）--詐騙策略制定--電信網絡通訊--財產支付轉移四個階段。盡管不是所有的電信網絡詐騙犯罪都涉及到對個人信息的利用，但一旦涉及，該類詐騙的成功率將大幅提升。個人信息泄露問題是電信網絡詐騙犯罪最突出的特征之一，個人信息的泄露改變了以往該類詐騙犯罪只能通過游擊戰、廣撒網來尋找被害人的犯罪方式，行為人通過利用個人信息對詐騙對象進行“畫像”，使傳統的詐騙犯罪走向精準式詐騙犯罪，實現了點對面的精準詐騙，極大地提升了犯罪的成功率。而這種高成功率往往又會刺激、促使行為人繼續投入到該犯罪之中。此外，個人信息泄露增加了下游犯罪既遂可能性的同時，也可能也帶動了更多下游犯罪的發展。畢竟單純的個人信息泄露似乎除了給被泄露者帶來些許困擾之外，并不會給行為人帶來任何收益。因此，個人信息泄露稱得上是電信網絡詐騙犯罪的“罪惡之源”，也正是基于這個原因，本文中所談的治理措施并不因電信詐騙和網絡詐騙犯罪的不同而有所區分。

（三）加深被害人的受害程度

相較于傳統詐騙犯罪，在通過電信網絡實施的詐騙犯罪中，一來是被害人難以確定行為人的身份，二來是在行為人可以通過其掌握的個人信息獲取被害人的信任，導致被害人往往更傾向于配合行為人，拒絕他人的勸阻。詐騙行為的完成離不開被害人的同意[8]283，只有當被害人接受行為人的話術說辭，并與其就此而展開互動時才有可能發生。而落入了行為人陷阱的被害人會“積極”地參與到詐騙過程當中，促使詐騙犯罪的完成。詐騙其實是一種“愿者上鉤”的犯罪，而個人信息就仿佛給這個“鉤”鉤上了讓人不得不咬的魚餌。譬如，在清華大學教授被騙案[9]當中行為人就能精確的告知受害人其網簽合同的編號和各種交易細節，令被害人很難不去相信自己的交易真的出了問題。在被害人詳細個人信息再加上詐騙話術的加持之下，被害人不知不覺地就在受騙的漩渦中越陷越深，而且受害人往往還會自我催眠，通過對自身進行反復的心理暗示來為自己的主動上鉤找理由。嗣后，又會因為自己的“愚蠢”而害怕丟人，本著多一事不如少一事的消極心理選擇不去報案，這在很大程度上不當的助長了電信網絡詐騙犯罪的囂張氣焰。更有甚者，不僅在警察找上門之后仍然不愿意承認自己的上當受騙，甚至還會“幫助”行為人隱瞞相關信息，拒絕配合警方調查。

基于上文的討論，我們可以發現當行為人將個人信息用于電信網絡詐騙犯罪活動時其針對某一個體的犯罪成功率有所提高的同時，其針對被害人整體的犯罪成功機會也會有所增加，其實施騙術和逃避偵查的難度則會有所下降。在此，個人信息為行為人所用，成為其實施犯罪的工具，“支持”了犯行的實施，“提高”了被害人對犯罪實施的配合程度。由此可見，對個人信息的利用在一定程度上改變了詐騙犯罪的實施方式，幫助這一歷來便是刑事犯罪中的高發犯罪“煥發新機”，發案勢頭更加“高歌猛進”。因而有必要從侵犯個人信息的角度著手討論對電信網絡詐騙犯罪的治理問題。

二、侵犯公民個人信息罪的客觀要件分析

個人信息與電信網絡詐騙活動的相互交織，不僅使電信網絡詐騙犯罪呈現出與傳統詐騙犯罪相差甚遠的變化，也使得個人信息泄露的問題愈演愈烈，越來越多的人踏上了通過個人信息實施詐騙犯罪的道路，“斷卡”行動的開展就是最好的例證。而隨著電信網絡詐騙犯罪的發展，行為人侵犯個人信息的目的、手段以及由此帶來的危害自然也發生了變化，侵犯公民個人信息犯罪逐漸成為了電信網絡詐騙犯罪中的突出特征。有數據顯示，2021年檢察機關起訴侵犯公民個人信息犯罪9800余人，同比上升64%[10]，檢察機關將把懲治侵犯公民個人信息作為打擊治理電信網絡詐騙犯罪的重點工作。[11]有感于此，本文認為現有的法律規定已不足以對侵犯個人信息的行為進行充分、全面的評價，亟需在充分考慮該犯罪自身特點以及其在電信網絡詐騙犯罪中的發展態勢的基礎之上，及時地調整侵犯公民個人信息罪的客觀要件，否則就可能形成“人在天上飛，我在地下追”的尷尬局面。[12]4-6因此，接下來就將對電信網絡詐騙犯罪中侵犯個人信息行為的變化發展進行討論，并以此為依據提出改進刑法與司法解釋對侵犯公民個人信息罪客觀要件的描述的建議，強化個人信息的刑法保護，從而達到遏制侵犯個人信息犯罪、防治電信網絡詐騙犯罪的目的。

（一）侵犯公民個人信息罪的法益及其認定

關于“公民個人信息”的法益屬性學界進行了非常多的深入探討，目前存在著如隱私權說、個人生活安寧說、公共信息安全說和財產權說等等各種不同的學說。每一種學說都有其利與弊，而必須承認的一點是，在電信網絡詐騙犯罪當中“公民個人信息”的財產屬性占據了上風。電信網絡犯罪行為人之所以會通過各種手段攫取被害人的個人信息，更多的是因為被害人個人信息背后所連接著的財產利益。電信網絡詐騙犯罪行為人實施的侵犯個人信息行為透露出來的是行為人對被害人財產所具有的非法占有目的?！霸谛淌骂I域，隨著大數據分析技術的不斷發展，個人數據的財產價值已經成為刑事犯罪的主要動因?！盵13]個人信息所包涵的利益是一種工具性利益，其保護的是個人信息背后的人身、財產利益。所以，對侵犯公民個人信息行為的處罰也間接地在保護著公民的財產法益，我們應當看到在電信網絡詐騙犯罪中，公民個人信息所具有的雙重法益。因此，侵犯公民個人信息犯罪也可以被視為是針對電信網絡詐騙犯罪的預防性罪名。

基于這一點，本文認為在電信網絡詐騙犯罪之中，判斷一項信息是否屬于個人信息，應該從該信息所具有的“財產屬性”著手，建立以“財產屬性”為重點的個人信息判定規則。

理由在于，雖然我國已經制定了《個人信息保護法》（以下簡稱《個保法》），但是關于個人信息保護的規定仍然可散見于各部法律文件當中。目前，無論是從《個保法》《網絡安全法》（以下簡稱《網安法》）還是從《民法典》當中對個人信息的定義來看，對個人信息的判斷重點均在于對“個人身份的識別”。由此可見，“可識別性”已經成為了公認的保護標準。但這不應該是唯一標準，不能因此而忽視了個人信息所具有的其他人身和財產屬性，盡管該屬性往往依賴或附屬于“可識別性”。比如《最高人民法院、最高人民檢察院、公安部關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見（二）》（以下簡稱《意見》）進一步對“個人信息”作出解釋，將“具有信息發布、即時通訊、支付結算等功能的互聯網賬號密碼”也納入到保護范圍當中。正如上文所述，行為人之所以要千方百計地獲取被害人個人信息，就是為了通過被害人的個人信息實現對被害人財產的非法占有目的?！罢鎸嵉姆缸锶双@取前述信息也并非為了去識別個人身份，而是針對其背后的財產利益或者人身權益?！盵14]在電信網絡詐騙犯罪當中，應當對個人信息作更廣義的理解，即足以使被害人相信（行為人所虛構的）事實與自己相關的，與被害人（主要是）財產權利和人身權利息息相關的各種信息，不應局限在“個人身份的識別”這一標準之下。比如在黃永聰、魏云飛侵犯公民個人信息一案中，法院就將AppleID及系統解鎖信息認定為“可能影響公民財產安全的信息”①參見廣州市越秀區人民法院（2017）粵0104刑初312號刑事判決書。，而在清華大學教授被騙案中，行為人所利用的是被害人新鮮出爐的網簽合同編號，該信息與“識別”被害人身份毫無關系，但是卻涉及到被害人的財產權利。綜上所述，對于電信網絡詐騙犯罪當中所涉及的個人信息還應該根據所侵犯的財產權益的領域不同進行靈活認定。

《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）無法完全覆蓋司法實踐中紛繁復雜的情況。因此，與其強調對個人信息的概念和范圍進行正確的界定，我們應該透過個人信息看到其背后所連接著的東西，將更多的功夫花到如何準確、合理地界定個人信息的判定規則上。而且，人們對何為其個人信息，該信息是否與其自身息息相關，應該是具有一個較為確切的了解的，個人信息這一概念就好比刑法中的“行為”，尋找個人信息這一概念就是在“找一雙符合腳型的鞋子”。[8]116立法或者司法更需要做的應該是準確認定電信詐騙犯罪當中所指的個人信息為何，要如何保護，與“大數據殺熟”當中所使用的用戶個人信息有何不同？具體到如《勞動法》等部門法當中所指的個人信息又是什么，又要如何保護？[15]為此，應該確立形式判斷加實質判斷的方法。在形式判斷方面，以“財產屬性”+“可識別性”為標準，判斷案涉的個人信息是否屬于對被害人的財產、人身安全有影響的類型；在實質判斷上，重點審查該信息對被害人財產、人身安全的影響程度，從而準確區分和識別不同種類的個人信息，而不是從定義概念出發，將涉案的個人信息往上套，定義概念只是判斷的結果，判定規則才是判斷的核心。

（二）侵犯公民個人信息罪的行為方式

一般認為侵犯個人信息罪的行為方式有三種：（1）違反國家有關規定，向他人出售或提供公民個人信息；（2）違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的；（3）竊取或者以其它方式非法獲取?！督忉尅返牡诙?、三、四條又分別就這三種情形進行了更具體的說明。但無論如何，在電信網絡詐騙犯罪中出現的其他方法行為似乎還不能通過刑法進行規制。但在將以“財產屬性”為重點的個人信息判定規則運用到電信網絡詐騙犯罪當中之后，侵犯個人信息的行為方式就不能再局限于以上三種具體方式，因為行為人是為了個人信息背后所透露的財產利益而實施獲取行為，而個人信息是否具有財產性并不是能夠通過對行為人獲取手段的無價值判斷就能夠推斷出來的，行為人通過合法手段所獲取的信息也可以具有財產屬性。

非法使用行為，是指行為人對通過合法手段獲取的信息，包括但不限于直接從信息主體（即被害人）處獲得的，或是從公開渠道（如信息公開）中所獲得的信息進行不當利用的行為。比如在海淀法院發布婚戀交友詐騙六大典型案例之“王某某等詐騙案——主播在線交友騙取‘打賞金’獲刑”案中[16]，行為人主要“通過婚戀網站、婚戀APP、貼吧、車友會等方式獵取個人信息”并從中獲取并篩選出合適的“客戶”?；蛘呤窃趶埬车惹址腹駛€人信息罪一案①參見廣西壯族自治區賓陽縣人民法院（2018）桂0126刑初486號刑事判決書。當中，行為人主要通過網絡搜索獲取企業信息，包含公司名稱、法定代表人名字、注冊資本、手機號碼等內容并且將其用于實施電信網絡詐騙。又如“假靳東詐騙案”中行為人利用換臉PS技術假冒明星靳東進行詐騙。這類完全由行為人“自己獲取個人信息，自己實施犯罪”的行為，尤其是通過合法途徑獲取個人信息后再將這些個人信息用于犯罪的行為，既不屬于以上所述三種行為方式，似乎也不屬于《解釋》中對“以其他方法非法獲取公民個人信息”的情形。因為《解釋》對行為的描述更多地是站在行為人通過非法手段侵害了個人信息行為的角度來考慮的，沒有考慮到合法獲取，非法使用這一行為的可能性。

此外，在刑法里諸如妨害信用卡管理罪情形之一的“使用虛假身份證明騙領信用卡”，偽造、變造、買賣身份證件罪，使用虛假身份證件、盜用身份證件罪等犯罪行為中，若個人信息為真證件為假的時候，同樣存在著行為人非法使用個人信息的行為，非法使用個人信息更是以上犯罪行為的基礎行為。這也說明了，刑法本身就存在著對非法使用個人信息的行為進行處罰的傳統?！兑庖姟返诹鶙l認為以“使用他人真實的姓名、身份證號碼等身份證件信息，同時替換他人身份證件相片”的形式通過網上實名驗證的行為符合人偽造身份證件罪的構成要件也肯定了這一點。由此可見，將非法使用個人信息的行為增設為侵犯公民個人信息罪的行為方式之一并不存在障礙。因此，目前還不能對該行為追究刑事責任并不合理。即便在張某等侵犯公民個人信息罪一案中，雖然法院判決認為被告人構成侵犯公民個人信息罪，但是并未說明該行為人獲取信息的行為屬于構成要件行為的三種行為當中的哪一種行為，而是避重就輕地以被告人所獲取的信息“足以威脅他人人身、財產安全，具有社會危害性”為由將該行為認定為侵犯個人信息的行為。

綜上所述，應當將“非法使用”個人信息的行為規定為侵犯公民個人信息罪的行為方式之一。

（三）侵犯公民個人信息罪中的“情節嚴重”

無獨有偶，將“非法使用”行為規定為侵犯個人信息的行為方式也內在地包涵了對“情節嚴重”情形進行增補的要求。本文所涉及的，就是“情節嚴重”中關于“非法使用”個人信息所要求的數量以及對未達到“情節嚴重”的要求但是又具有可罰性和應罰性的行為的處理。

根據《解釋》，“情節嚴重”的情形加上最后兜底條款，一共十種。那么對于未達到“情節嚴重”的行為是否可以按照未遂處理，還是說該行為根本就不構成本罪？通說一般認為未達到“情節嚴重”的行為并不構成犯罪，“情節嚴重”屬于犯罪構成要件。[17]267-278因此，在司法實踐當中，往往僅將行為人未達到“情節嚴重”的非法獲取公民個人信息的行為認定為行為人實施電信網絡詐騙的手段行為，不進行并罰。②參見浙江省溫州市中級人民法院（2017）浙03刑終487號刑事判決書。法院就認為“非法獲取公民個人信息的行為是被告人等實施電信網絡詐騙的手段行為，尚未達到“情節嚴重”的構罪標準，不應單獨定罪?！币蚨⑽催M行并罰。也有學者從個人信息的屬性（公共信息安全說）出發認為“侵犯某個公民而非不特定的、多數人的個人信息的行為，即便是將該公民個人信息用于犯罪，也可作為該罪情節之一進行考量，不必單獨定罪處罰?！盵18]

但是如此處理，一來未免有架空關于侵犯公民個人信息罪與詐騙罪的并罰規定的嫌疑，二來也不能體現個人信息在電信網絡詐騙犯罪中以財產屬性為主的一面。如上文所論述，電信網絡詐騙犯罪是侵犯公民個人信息罪的下游犯罪，侵犯公民個人信息犯罪是電信網絡詐騙犯罪的預防性罪名。行為人對個人信息的非法使用作為電信網絡詐騙犯罪成功的關鍵因素，在個人信息隨著犯罪鏈發展進入到下游犯罪之時，不僅使下游犯罪的既遂可能性大大增加，而且因為是在實現一種“點對面”的犯罪，“其所面向的是未來不可控的實行行為，這種行為的海量性基本確保了犯罪至少能夠既遂一次?！盵19]再加上在大數據的時代，不僅個人信息的價值在不斷增加，其與個人人身、財產安全的關聯程度也更加緊密，“個人信息不安全就意味著人身、財產不安全”[14]。此外，該觀點實際上也未能正確認識侵犯個人信息并將所獲取的個人信息用于電信網絡詐騙犯罪的行為所具有的雙重社會危害性，即該行為既違背了公民對其個人信息的使用意愿，又侵犯了公民的財產權，因而不能充分評價電信詐騙犯罪行為所造成的法益侵害?！叭绻麑煞N不同程度地侵犯社會的犯罪處以同等的刑罰，那么人們就找不到更有力的手段去制止實施能帶來較大好處的較大犯罪了”。[20]19在此處，就是簡單地將本行為與僅實施了詐騙行為的犯罪等同處理了。

此處仍以吳國慶案為例，行為人非法獲取他人個人信息共26組并用于犯罪，共成功獲得被害人3人，其詐騙行為也已經既遂了3次，違法所得共14979元也已經達到了詐騙罪中“數額巨大”這一標準。雖然行為人非法獲取個人信息的數量未達到“情節嚴重”之標準，未達到應進行刑罰處罰的程度，但是行為人又將所獲得的個人信息用于后一詐騙犯罪的行為則補足了其在前一侵犯個人信息行為中法益侵害的不足，提升了行為的法益侵害程度。若仍然僅將行為人侵犯公民個人信息的行為認定為犯罪的手段行為不能再對其進行重復評價，不能進行并罰，那么就不能實現“阻止罪犯再重新侵犯公民，并規誡其他人不要重蹈覆轍”[20]29這一刑罰的目的。最高人民法院、最高人民檢察院、公安部《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》(以下簡稱 “兩高一部”《意見》) 中關于并罰的規定“實際上也是在提示司法機關應通過適用侵犯公民個人信息罪，來有效遏制網絡詐騙犯罪?！盵21]

同時，《解釋》第五條第一、二款之所以將“出售或者提供行蹤軌跡信息，被他人用于犯罪的”、“知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的”規定為情節嚴重且不對其作數量要求，也是因為在這種存在“第三方介入”的“情節嚴重”情形中，第三方的介入補足了本罪行為侵害法益的不足，使犯罪達到了應罰性的門檻。[22]那么根據當然解釋，以實施犯罪行為為目的，行為人將其所獲得的個人信息用于實施犯罪的情形也應當屬于侵犯公民個人信息犯罪的“情節嚴重”的情形之一。侵犯公民個人信息罪的不法評價重心在于信息的獲取、轉移以及使用是否違背個人真實意愿[23]，《解釋》第三條規定“未經被收集者同意，將合法收集的公民個人信息向他人提供的”也體現了這一點。行為人利用所獲得的個人信息進入下一步犯罪的行為已經遠遠超過了侵犯公民個人信息罪的評價范圍。同時基于該理由，上文所討論的侵犯公民個人信息罪的行為方式也不應該局限于現有的三種方式，行為人非法使用個人信息的行為也應當被該罪所評價。

表1 詐騙罪評價體系

綜上所述，侵犯公民個人信息罪的“情節”中僅第（一）、（二）項考慮到了個人信息因“第三方介入”而被用于犯罪的因素，剩下的情形均以行為人所侵犯的個人信息的數量或違法所得作為侵犯個人信息行為的嚴重性的評價標準。并未考慮到個人信息數量雖少但卻被用于成功實施詐騙或其他犯罪的情形。同時，在“情節嚴重”的情形中，所謂的數量僅指行為人非法獲取、提供或出售的個人信息的數量，是一個靜態的概念，并不包括行為人非法使用的數量。在以實施其他犯罪的目的而使用個人信息的情況下，一旦該個人信息被投入下一步犯罪當中，該行為的危害性要遠遠大于單獨的、靜態的非法獲取、提供、出售行為，為了打擊這些行為應該刪去對這一行為所侵犯的信息數量的限制。也就是說，在行為人既是侵犯公民個人信息行為實施者，又是詐騙或其他犯罪行為實施者，且該行為具有應罰性的情況下，簡單地以侵犯公民個人信息行為不構成“情節嚴重”而否定該罪的成立，單獨肯定詐騙罪行為既遂的思路并不足以評價該行為，此時就會出現處罰漏洞，就需要立法者對“情節嚴重”的情況進行增補。而為了避免刑罰范圍的過度擴張，又需要將該情節的處罰范圍限制在后罪既遂的情況下。據此，應當將“行為人將所獲?。o論手段是否合法）的個人信息（無論信息是否公開）用于實施其他犯罪并既遂的”增補為“情節嚴重”的情形之一。在此需要注意的是，為了達到填補處罰漏洞的目的，此處對個人信息的數量并無限制。至于后一犯罪未遂的情況則需要根據具體實施的犯罪結果而定，此時一般將侵犯個人信息的行為作為犯罪手段僅對后行為進行處罰即可。

三、通過刑行銜接強化對個人信息的有效保護

對于刑法而言，司法末端治理具有其固有的弊端，即司法手段往往只能在事發之后對被害人所受到的損失進行補償。但電信網絡詐騙犯罪的偵破難度之大使得案件偵破率較低，涉案財產難以追回，破案成本之大往往與被害人受到的損失不成比例，實效甚微。而對于現在的個人信息保護而言，最嚴峻的問題在于個人信息泄露的情況是無休止的，個人在使用每一個不同的應用程序或生活服務時都需要提供一定的個人信息，而每一個應用程序和生活服務都由不同的服務提供者所控制，這就使得個人信息泄露的源頭極其廣泛，很難說清個人的信息到底是從哪一個地方泄露的。2021年檢察機關起訴泄露公民個人信息的“內鬼”就多達500余人，涉及通信、銀行、保險、房產、酒店、物業、物流等多個行業。[10]因此，在電信網絡詐騙犯罪當中的涉事個人信息處理者往往可以以自己并非被害人相關信息的唯一知情人作為抗辯理由，即被害人個人信息在傳輸的過程中也可能因被他人攔截而發生信息泄露，被害人使用的其他相關app也可能是個人信息泄露的源頭。①參見北京互聯網法院（2018）京0491民初1905號民事判決書。同時，“個人信息刑法保護問題本身跨越了憲法、行政法與刑法等法律部門的界限，如果僅僅從某個部門法的角度觀察它難免會顧此失彼?！盵24]所以，在對電信網絡詐騙犯罪中個人信息的刑法保護進行討論，確保刑法作為最后的手段性能夠發揮其功能之后，我們還需要把目光投向行政手段，從源頭對侵犯個人信息的行為進行規制，在個人信息流向下游造成更大的損失之前，將侵犯公民個人信息的行為扼殺在搖籃里，切斷犯罪鏈條。具體對于個人信息而言，“違反國家有關規定”這一前提條件將其行政犯屬性表露無遺，因為侵犯個人信息的行為本身就以“違反國家有關規定”為前提，于是又應該從前置法的角度著手將個人信息嚴管起來。這一方面表現為對前置法的進一步完善和落實，一方面則表現為刑法與前置法規定的銜接，如何改善這一銜接是解決本問題的關鍵。

（一）完善前置法的相關規定

根據《解釋》第二條：“違反國家有關規定”是指違反法律、行政法規、部門規章有關公民個人信息保護的規定的。而據筆者的不完全統計，在我國，關于個人信息保護的規定僅法律就有近30部，主要包括個人信息保護的一般立法如《個保法》《網安法》，以及涉及個人信息保護的具體行業如《醫師法》《審計法》《未成年人保護法》《旅游法》《公共圖書館法》等各種領域的規定，涉及的相關主體極其廣泛，個人信息的類型也五花八門。這些法律都可以被認為是侵犯公民個人信息犯罪的前置法規定，違反了這些法律中的個人信息保護義務的都有可能構成侵犯公民個人信息罪。然而，這些法律有的年月久遠已經很久沒有進行修訂了，更不用說一些“年久失修”的行政法規和部門規章了，其對個人信息定義概念、責任主體、必要保護措施的規定均較為模糊，只是粗略的提及。因此，有必要在《民法典》和《個人信息保護法》相繼出臺的東風之下對相關內容進行完善和整合，明確涉及具體個人信息類型、相關責任主體是誰、有效保護方式為何等問題。

更有甚者，應直接地對“違反國家有關規定”作限縮解釋，既然《個保法》是我國目前保護個人信息的法規之集大成者，何不將其他涉及個人信息保護的具體領域法規剔除出“違反國家有關規定”的范圍，然后直接將關于個人信息保護的一般立法規定為刑法的前置法，其他行政法規、部門規章則作為對立法的細化成為實踐中的參考文獻。這樣一來，前置法規定的數量就會大幅減少，避免了相互之間可能存在的沖突、矛盾，也減少了立法機關、司法機關修訂法律，適用法律的麻煩，還能凸顯出個人信息保護規范。

（二）加強刑法與前置法的銜接

首先，《解釋》中個人信息的范圍并非一定要與《個保法》保持一致。有觀點認為刑法所指的個人信息的范圍，不能大于、至多只能等于《個保法》所界定的個人信息的范圍，《解釋》中“反映自然人活動情況的各種信息”應予剔除，因為該規定旨在強調個人信息的關聯性而非識別性。[25]但是正如本文在個人信息識別規則中所指出的，鑒于目前電網絡犯罪的猖獗情形，若將個人信息嚴格限定于“可識別性”這一條規則之上，諸如清華教授被騙案中的“合同編號”等信息可能就會被排除在犯罪構成要件之外。

其次，個人信息的范圍應該包括已公開的個人信息。由于刑法將侵犯個人信息的行為規定為“非法獲取、出售或提供”，受到這些行為的屬性約束，已公開的個人信息自然就會被排除在《解釋》所指之個人信息的范圍之外。但既然《個保法》已經明確了對已公開信息的不當處理可能構成侵犯個人信息的行政違法行為①參見《個保法》第二十七條：“個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意?！?，因此刑法具備了對該違法行為進行規制的前置法條件?！耙驗橐婪ü_的個人信息任何人都可能或有權利獲取，此時的獲取或提供個人信息并不違反國家有關規定，相關行為也就不可能具有非法性?！盵26]但是非法使用行為并非一定要以個人信息的非法獲取等行為為前提。具體對于電信網絡詐騙行為而言，上文關于增設“非法使用行為”的討論已經說明了行為人對已公開信息的利用行為所具有的可罰性和應罰性，而且“非法使用”這一用語的使用使得《解釋》所指的個人信息內在地包含了對已公開的個人信息，只有已經公開了的個人信息才能夠直接地被使用或非法使用，否則的話就可以按照之前的步驟直接對非法獲取行為進行規制即可。再者說，對已公開信息的利用不僅節約了行為人搜集個人信息的精力，還大大地降低了行為人的犯罪成本，可能會刺激電信網絡詐騙犯罪的發生更為頻繁?！按偈谷藗兎缸锏牧α吭綇?，制止人們犯罪的手段就應該越有力”。[20]17所以單純地依靠民法中關于侵權的規定或行政法中的行政處罰手段并不足以對其加以規制，在此更需要刑法的積極介入。

再次，從“違反國家有關規定”的角度來看，非法使用行為也應該被納入侵犯公民個人信息罪的行為方式之一。曾幾何時，“關于公民個人信息保護刑法先行甚至刑法擴張的模式一度受到民法、行政法學界的批評和質疑?！盵19]在以往，我國對個人信息的保護處于一個“刑法先行”的尷尬局面，但在《民法典》《個保法》相繼頒布之后，成文于2017年的《解釋》反而跟不上時代的進步了。根據《民法典》第一千零三十五條和《個保法》第四條的規定，個人信息的處理“包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”行為。因而《民法典》第一百一十一條和《個保法》第十條進一步將“非法收集、使用、加工、傳輸，買賣、提供或者公開”的行為規定為侵犯他人個人信息的行為。但《解釋》中僅包括了“非法獲取、出售或提供”三種行為，并不包括“存儲、使用、加工、傳輸、公開、刪除”等行為，尤其是上文所稱的“非法使用”他人信息的行為已經被前置法所規定為違法行為，但卻還未被囊括僅刑法的處罰范圍之中?！胺欠ㄊ褂谩边@一行為既然為前置法所譴責，并具有嚴重的社會危害性，自然也應該被增設為侵犯公民個人信息罪的行為方式之一。

最后，本文認為或可借助附屬刑法來解決刑行銜接問題。雖然目前立法者更傾向于與通過刑法修正案對刑法典進行修訂，附屬刑法只是依附于行政法規范而存在的“稻草人”條款。但是在面對侵犯個人信息犯罪和電信網絡詐騙犯罪的治理問題時，有必要重拾附屬刑法，賦予“構成犯罪的，依法追究刑事責任”這一條款實質性意義。上文中關于增設行為方式，《解釋》所指個人信息應包括已公開個人信息等建議已經表明，無論是在過去“先刑后行”還是目前“刑落后于行”的規范體系下，對侵犯個人信息行為的規制始終不能避免刑行銜接這一問題。法律，尤其是刑法追求的是穩定如一，不斷地通過相關解釋和意見對犯罪構成要件進行釋明和描述，雖然具有一定的靈活性和適應性，但是難免會造成前置法與刑法規定不一致、不同步的混亂與矛盾，“司法解釋立法化”也一直飽受學界的批評。正如于志剛教授所指出的：《解釋》一方面需要費盡心思的向上求助于上位法中的概念來為其制定提供權威依據，一方面又需要向下通過削足適履的方式將具有刑法意義的概念囊括進來。[27]若通過對附屬刑法的使用則能很好的避免這一問題，因為這類新時代犯罪本身的多變性、不確定性和不可預測性也內在地包含了對立法保留相對的靈活性和開放性的要求。而且，通過附屬刑法來規定這些概念不僅能夠避免一個多次、反復修改法律的麻煩，保證刑法與前置法之間構成要件的統一性，還能夠減少刑法適用中檢索、識別、解釋前置法的麻煩。

《中華人民共和國反電信網絡詐騙法(草案)》（以下簡稱《草案》）的制定表明了我國治理電信網絡詐騙的決心，與其將之作為刑法的前置法，不如將其變為前提刑法，作為刑罰處罰的前提，而非構成犯罪的前提，將刑法構成要件對部門法規定的從屬轉化為部門法對刑法發動的期待和請求。如張紅教授所正確指出“只有從源頭上厘清行政處罰與刑罰處罰二者之間的關系，立法上盡量科學地配置行政處罰與刑罰處罰，方能減少二者之間銜接不暢的情況?！盵28]

結 語

基于上文的分析，筆者認為電信網絡詐騙犯罪的治理的首要任務是要對電信網絡詐騙和侵犯公民個人信息這類犯罪行為本身進行反思，將侵犯個人信息的行為放到電信網絡詐騙犯罪的視野之下進行討論。根據個人信息在電信網絡詐騙犯罪中所起的作用，檢討目前侵犯個人信息犯罪的刑法保護的不足。在刑法擴張型發展的今天，尤其是針對電信網絡詐騙、侵犯個人信息犯罪這一類變化萬千、發展迅速的犯罪而言，對相關罪名本身進行完善不僅可以確保刑法能夠充分發揮其保護和保障機能，又能促進刑法的發展使其跟上時代的變遷。同時基于侵犯個人信息犯罪的行政犯屬性，又要從刑行銜接的角度著手，進一步完善與個人信息保護相關的法律法規，促進刑法與前置法之間的協調，如此才能形成周延的個人信息法律保護體系，從源頭消滅電信網絡詐騙犯罪的養料。