我国《刑法》第253条之一侵犯公民个人信息罪规定的行为类型仅限于非法获取、出售或提供个人信息代表的转移行为,没有将非法使用个人信息行为纳入规制范围,造成刑事规制出现漏洞,体现了将个人信息自主片面地理解为转移自主、忽视使用自主的法益认识缺陷,进而仅以防范非法转移个人信息为入罪逻辑,使得个人信息法益刑法保护不周延.当前个人信息已然成为网络犯罪中的关键要素,非法使用个人信息现象愈演愈烈,侵犯公民个人信息犯罪已经逐渐形成"提供者—中间商—非法使用"的完整黑色产业链,各环节分工明确、组织严密,通过非法使用个人信息实施违法犯罪活动,进而变现牟利是诱发个人信息泛在泄露以及违法交易激增的根源,刑法单纯打击制裁非法转移个人信息行为只能是治标之策,导致侵犯个人信息犯罪刑事治理效果欠佳.随着进入大数据深度挖掘应用阶段,数字经济蓬勃发展背景下根植于个人信息的人身性、财产性、公共性等复合法益属性的使用价值日益凸显,使得个人信息使用自主相较于个人信息转移自主更具核心法益地位,个人信息刑法保护的重点理应从转移环节转向使用环节.非法使用个人信息属于下游行为,对公民的人身财产安全以及社会管理秩序造成极大损害或威胁,与处于上游的非法转移个人信息行为相比,非法使用个人信息行为具有更为严重的法益侵害性,表现为法益侵害的根源性、直接性和精准性.因此,刑事立法应以需求端为导向,有必要在遵循刑法谦抑性原则的前提下合理确定非法使用个人信息行为的入罪要件与出罪事由,即以未征得信息主体同意且情节严重为危害行为,以非经匿名化处理的个人信息为行为对象,以符合个人信息合理使用的情形为违法阻却事由,既从源头上规范个人信息使用行为,又限定非法使用个人信息行为刑事入罪的边界,在保护个人信息安全的同时促进个人信息有序自由流动、合理有效利用,平衡信息主体的使用自主利益与信息处理者的正当使用利益,为数字经济高质量发展提供强有力的刑事法治保障.