公民個人信息刑法保護若干問題研究

江沁選，陳 崢

(1.西南政法大學 經濟法學院，重慶 401120；2.閩清縣司法局，福建 福州 350800)

當今是一個信息化社會，互聯網的迅猛發展給人類帶來了極大的便利，信息傳遞也越來越高效化。但不可否認，網絡是一把雙刃劍，在促進社會發展和進步的同時，也顯露出一些社會弊端，尤其是公民個人信息的泄露和侵害問題日益明顯，受到國際社會的高度重視。在這樣的大數據時代背景下，人與人之間通過信息交流、共享，構建出一個難以想象的大數據庫。在大數據環境下的信息泄露不僅僅會損害公民個人的人身及財產安全，嚴重的還會危及到公共信息安全甚至是國家安全。因此，許多國家和地區針對公民信息安全問題也推出了相應的法律法規，既包括刑法規范，也包括非刑法規范。我國公民個人信息保護在刑法上的規定并不完善。想要從根本上解決這個問題，當務之急是通過完善刑事法律法規來有效保護公民個人信息安全。

一、公民個人信息概述

(一)“個人信息”的基本概念

從概念上看，“個人信息”是屬于特定個體的信息，屬人格權之一，其重要性是毋庸置疑的。個人信息為個人所獨有，一般可以直接或間接的識別特定的某個人。世界上有許多國家和地區都出臺了相應的法律法規來有針對性地保護個人信息安全。然而，不同國家和地區對于“個人信息”的界定都有所不同。從世界各國、各地區以及歷史演變來看，個人信息的概念以及名稱并不統一。在英語、德語、法語和西班牙語中，信息均是“information”，日語中稱“情報”，我國臺灣地區稱其為“資訊”，而我國古代指的是“消息”。[1]在不同的研究領域中，信息的概念也是不同的。電子計算機領域認為信息是“電子線路中傳輸的信號”；而在經濟管理領域中，則認為信息是“提供決策的有效數據”。[2]

法學領域中對個人信息的定義向來存在著很大爭議，主要有以下幾種代表性意見：有部分學者認為“個人信息應當囊括所有與個人有關的信息”；也有研究者指出，其應當是指“屬于公民個人的，與他人無關也不妨礙社會公共利益的各種信息資料”；我國臺灣地區有學者認為其應包括“人的內心、身體、身份、地位及其他與個人相關的事實、判斷、評價等所有信息”；還有美國學者認為其指的是“個人在生活中不愿意向外透露或是被他人所知曉的敏感信息”。[3]筆者認為，以上幾種定義有的過于寬泛(如將所有與個人有關的信息包括在內)，有的則過于狹隘，甚至混淆了個人信息與個人隱私的概念。

2017年3月，全國人大代表向兩會提交的《中華人民共和國個人信息保護法(草案)》中詳細界定了個人信息的概念及科學內涵，即可以借助特定形式如電子來記錄，并可結合其它信息或單獨反映特定自然人身份的各種信息，包括但不限于自然人的姓名、生日、性別、身份證件號碼、電話號碼、住址、血型、個人生物識別信息、愛好等。從這個定義中，我們可以看出，個人信息是指可以直接或間接的識別出特定個體的信息。

(二)“個人信息”的基本特征

即使不同國家和地區對于“個人信息”的表述不盡相同，但縱觀這些定義和規定，還是能找到許多共通之處。由此，可以歸納出個人信息具有以下三點特征：

1. 個人信息的主體性

個人信息的眾多特征中，最主要的是它的主體性，即自然人是其主體，個人信息的所有權、控制權、和支配權只能為個人信息的主體所享有，個人信息的主體性是個人信息保護的重要前提。[4]需要明確的一點是，自然人才能產生個人信息，而法人和其他組織不能產生個人信息，所以只有自然人能成為個人信息的主體，法人和其他組織則不行。個人信息只能為自然人所擁有，法人和其他組織沒有對個人信息的控制權和支配權。個人信息的主體和個人信息的管理者這兩個不同的概念也應當明確區分。個人信息產生和存在的前提是自然人這一主體，而個人信息的管理者則指的是經過個人信息主體同意后，在合法、合理的范圍內負責個人信息的收集、使用和處理的特定者。

2. 個人信息的可識別性

這是個人信息的核心特征。個人信息的可識別性是指個人信息的內容經過具體分析和判斷后，能夠直接或間接的識別出特定個人。個人信息的可識別性是明確個人信息內容和范疇的客觀標準。[5]能夠直接把人識別出來的個人信息稱為直接識別信息，如肖像、姓名、身份證號等；而可以間接把人識別出來的信息是相較于前者而言的，間接識別信息只有結合其它信息才能實現對特定個體的識別，如只有將性別、年齡、膚色、家庭情況、興趣愛好等這些信息結合起來才可以識別出特定的個人。[6]在上文中所提到的各個國家、地區對于個人信息的定義中，無一不強調個人信息的可識別性，可識別性對于個人信息的重要性由此可見一斑。

3. 個人信息的時效性

個人信息最基本的特征是時效性。自產生之日起，個人信息便隨著主體的變化而變化，比如年齡、學歷、家庭住址、興趣愛好、財產狀況等，這些都屬于極易改變的信息。[7]明確認識到個人信息的時效性對于個人信息保護是非常必要且重要的，已經過時的個人信息不僅對識別特定個人沒有幫助，反而會產生誤導作用。如警察在調查特定對象時，由于特定對象的某些個人信息未及時更新，導致調查過程產生重重困難。因此，只有在時效內的個人信息才能準確識別出特定個人。

(三)“個人信息”與“個人隱私”

個人信息與個人隱私是兩個不同的概念，二者之間存在交叉。從概念上來看，個人信息覆蓋范圍較個人隱私更為廣泛。個人隱私完全屬私領域，個人信息屬公領域加私領域，這也是兩者最為本質的區別之一。[8]個人信息并不都是非公開的，可公開的個人信息就不屬于個人隱私。我國在《憲法》《民法總則》中對于隱私權都有明確的規定，相較之下，對于個人信息的保護力度顯得弱了許多。

二、其他國家和地區個人信息保護立法考察

目前，世界上大部分國家或地區主要采取以下兩種方式來保護公民個人信息：一是通過立法對個人信息給予保護，二是靠信息行業的自律性對侵害個人信息的行為予以規范。通過立法來保護個人信息安全產生于20個世紀70年代，始于歐洲各國。1970年，德國黑森州制定了《個人數據保護法》，這也是世界上第一部個人信息保護法。此后，其它國家如美國、英國、瑞典等也基于本國實際出臺了相應的個人信息保護法。而早在1950年《歐洲保障人權和基本自由公約》(《歐洲人權公約》)第8條中就有關于個人信息保護的規定，其指出:所有人的通信、住宅、家庭及個人生活信息都有權要求獲得他人尊重。這也為歐盟各國從法律層面保護個人信息安全奠定了基礎。[9]在這之后，聯合國、經濟合作與發展組織理事會、歐盟等國際組織也陸續制定了關于個人信息保護的公約和指南。截至目前，世界上大部分國家都已經或是正在建立屬于本國的個人信息保護制度。

(一)美英德日個人信息立法保護

美國是最早關注公民個人信息保護問題并實施立法保護的國家之一。美國是英美法系的代表性國家，它的個人信息保護立法采取的是分散立法兼行業自律模式，其關于個人信息保護的規定分散在判例法和單行成文法中。[10]美國國會于1974年通過了《聯邦隱私權法》，這部法律奠定了美國個人信息保護制度的基礎。之后隨著經濟的不斷發展和社會生活的不斷變化，法律需要完善，美國國會又針對不同的社會問題和行業領域頒布了相應的法律法規。如針對社會上出現公民身份被盜用的問題，出臺了《防止身份盜用法》；針對公民個人信息在網絡上被侵害的問題，出臺了《網上隱私保護法》；針對金融領域、消費者保護領域、未成年人保護領域，出臺了《金融隱私權利法》《電話用戶保護法》《有線電視消費者保護和競爭法》《家庭教育權和隱私法》等諸多法律來加以規范。美國通過適宜的分散立法和行業自律機制互相配合，有效地實現公民個人信息保護。

英國和美國雖然同為英美法系國家，但對于公民個人信息的法律保護卻是大相徑庭。不同于美國的分散立法，英國對于個人信息保護采取的是單獨立法模式。[11]英國在1984年頒布了獨立的《個人數據保護法》，該法于1998年重新修訂。相比于美國的《隱私權法》，二者并不相同。該法的基本原則是全面保護個人信息，該法所保護的對象是與個人有關的或者是可以被識別的信息，適用范圍既包括個人信息，也包括單位信息，既適用于私權利領域，也適用于公權力領域。這部法律設置了信息專員且規定了信息專員的職權范圍，可以確保個人信息保護法律的有效實施。[12]2017年8月7日，英國數字、文化媒體和體育部宣布為了加強數字經濟時代對個人數據信息的全面保護，將通過一部新的個人數據保護法案。與1998年修訂的《個人數據保護法》相比，新法案會保留原有框架，在此基礎上加大對個人數據保護的力度，主要在保護個人、保護組織機構、加強監管者權力、建立司法數據處理機制等四個方面有所變化。該法案將更多的個人信息控制權給予公民，嚴格控制數據的獲取權、遷移權和刪除權，進一步加強執法力度，更加有效的保護個人數據安全。

作為大陸法系代表性國家之一的德國，其在保護個人信息安全方面成效顯著，領先于其它大部分國家，為指導和幫助大陸法系其他國家建立個人信息保護法律體系起到了關鍵作用。嚴謹性和周密性是其立法的特點，是包括我國在內的成文法國家的立法范本、學習和借鑒的榜樣。隨著信息化時代的到來，從20世紀60年代起，德國政府為了奠定國家權力基礎，提高經濟效益，越來越認識到個人信息的重要性，歷經多年發展逐步建立了完善的個人信息保護法律制度，使得公民個人信息得到全面的、有效的保護。1970年，德國黑森州頒布了世界上第一部個人信息保護法，但是只局限于州立法。在這之后，德國聯邦議會于1976年通過了全國性的《聯邦個人資料保護法草案》。德國的個人信息保護立法采取的是統一立法模式，以公民個人信息自決權為憲法基礎，人格權為民法基礎來保護公民個人信息。以憲法為基礎的前提下，再運用民事、行政和刑事法律法規，對個人信息安全給予統一規范、統一保護。[13]在個人信息刑法保護方面，德國采取了兩種方式：一是在《刑法典》中設立了單獨的章節，詳細闡述了侵害公民個人信息的行為認定標準及其刑罰；二是在獨立的個人信息保護法中加入刑事條款。德國在個人信息刑法保護方面，具有法律條款集中、處罰方式多樣、覆蓋面廣泛的特點。

日本的信息化技術發展處于世界前列，但同時伴隨的是難以忽略的個人信息保護問題，所以日本政府在推進個人信息保護立法的進程上一直持積極態度。在亞洲國家中，日本是較早制定個人信息保護法律規范的國家。在個人信息保護立法模式上，日本采取的是獨具本國特色的政府立法兼行業自律保護模式。1963年，根據日本憲法第13條，最高法院首次確認日本公民享有隱私權，這是日本個人信息保護在法律上首次得到確認。日本政府制定關于個人信息保護的法律，一開始是為了推進電子政府的進程。1988年，日本政府出臺了一部《關于對行政機關所持有之由計算機處理的個人信息加以保護的法律》。[14]在此之后，日本政府對公民個人信息的保護范圍不斷擴大，不局限于規范政府處理公民個人信息的行為，也規范其他行業領域中收集、處理個人信息的行為。日本在2003年正式通過了《個人信息保護法》，這意味著日本形成了一套完整的公民個人信息保護法律體系。2015年10月，日本頒布了最新的《個人信息保護法》修正案，該修正案相比之前法案最大的變化就是新增了一個專門機構——個人信息保護委員會，這意味著個人信息保護權限將交由明確的政府部門來管理，可以更有效的將個人信息保護落到實處。[15]

(二)域外個人信息保護立法小結

綜觀各個國家和地區的個人信息保護立法，可以發現刑事立法模式主要包括以下三種：

1. 在現行《刑法典》中規定有關個人信息保護的條款；

2. 制定專門的《個人信息保護法》，其中加入了刑事條款；

3. 制定各種單行刑法以應對不同情況下的個人信息安全問題。

個人信息保護的刑事立法模式在不同國家和地區間的差異相對較大，產生這種差異的主要原因是各國和地區對個人信息的重視程度和將刑法介入個人信息保護的程度不同。在英美法系國家中，以美國為例，出臺了多部單行刑法來保護個人信息，其他英美法系國家也大多如此；而大陸法系國家中，如德國和日本在刑法典和個人信息保護法中對個人信息進行了全方位的保護，其他大陸法系國家也均沒有制定相應的單行刑法來保護個人信息安全。然而，在個人信息的刑事立法上，所有國家都體現出多樣化的立法模式，即不僅僅局限于在刑法中對個人信息保護作出規定，而是采取其他如制定單行刑法或獨立的個人信息保護法等方式來更加全面的保護公民個人信息。[16]這種多樣化的立法模式克服了刑法這一立法模式的單一性，可以更加全面、多方位的保護公民個人信息。

三、我國個人信息保護立法現狀

權威數據表明，截至2017年11月，在我國現行法律法規中，與個人信息保護相關的憲法法律有110部，行政法規有177部，地方性法規有7191部，部門規章及文件有940部，司法解釋及文件有112部。[17]其中有刑法、民法、網絡安全法、消費者權益保護法、郵政法、統計法等多方面法律涉及到公民個人信息安全保護問題。

(一)個人信息保護立法的起步

我國在2000年通過的《全國人大常委會關于維護互聯網安全的決定》中第一次就公民個人信息安全保護作了陳述，但該決定主要是規定了針對侵犯公民通信自由和通信秘密的情形，而缺少就全方位保護公民個人信息的規定。直到2003年，我國才全面開展個人信息保護立法工作。2005年《中華人民共和國個人信息保護法(專家建議稿)》公布，2008年呈交國務院。雖然由于多方面的原因導致其至今還未進入正式的立法程序，但從中可以發現我國主要選擇綜合立法模式來保護個人信息安全，也就是針對特殊行業補充立法以彌補單一的《個人信息保護法》的不足，同時設立專門的監督機構來保障該法的有效實施，行業自律及技術保護手段也十分重要。[18]我國香港地區、歐盟成員國等采取的也正是這種立法模式。專家建議稿十分重視“預防”的作用，強調事前干預與事后干預相結合；規定不當泄露個人信息是違法行為，要承擔相應的行政責任、民事責任和刑事責任。

(二)《刑法修正案(七)》首次增設侵犯個人信息相關罪名

中國在法律上對公民個人信息的保護是從刑法領域開始的。在2009年的《刑法修正案(七)》出現以前，我國的刑法并沒有關于侵犯公民個人信息犯罪的相關規定，僅僅是在部分法律法規當中對特定群體或特定領域的個人信息侵害行為進行規定。《刑法修正案(七)》突破了保護對象只限于特定主體和特定領域個人信息的約束，強調我國刑法對全體公民的個人信息進行同等保護，這是我國刑法對公民個人信息保護最早之規定。[19]刑七第253條對個人信息犯罪的罪名進行增加，增設了非法獲取公民個人信息罪和出售、非法提供公民個人信息罪。在這里，犯罪主體有其特殊性，主要為：國家機關或交通、金融、信息、醫療等社會公共服務單位的相關工作人員，犯罪對象則都是“公民個人信息”，但可惜的是并未對“個人信息”的認定標準進行詳細闡述，導致理論界的爭議不休及司法實踐的混亂。《刑法修正案(七)》中關于公民個人信息犯罪的規定是個人信息法律保護一次全新的嘗試，但是關于這兩個新增設的罪名一直爭議不斷，爭議焦點主要圍繞在犯罪主體、犯罪對象的認定及法定刑等問題上。

(三)《刑法修正案(九)》對不足之處加以修正

由于《刑法修正案(七)》關于個人信息的罪名產生了較大爭議，在2013年，兩高聯合公安部共同發布了《關于依法懲處侵害公民個人信息犯罪活動的通知》。2015年出臺的《刑法修正案(九)》在《刑法修正案(七)》的基礎上又進行了進一步修改，對刑七的不足之處加以改正，主要修改之處有以下三點：

1. 擴大了犯罪主體的范圍

在之前的《刑法修正案(七)》中提到，侵犯公民個人信息的主體是一類特殊主體，主要包含：國家機關或交通、金融、信息、醫療等社會公共服務單位的工作人員。然而，從司法實踐角度來看，各地對公民個人信息犯罪的主體范圍很難把握一致，有些地方會擴大主體范圍，有些地方又會將主體范圍局限在條文中的列項，這樣的規定顯然不利于公民個人信息的保護。[20]因此，《刑法修正案(九)》取消了明確的列舉，將侵犯公民個人信息的犯罪主體范圍放寬至所有主體。

2. 擴大了犯罪對象的范圍

刑七第253條對犯罪對象進行了定義，即：特殊主體在履行職責或是提供服務過程中所掌握的公民個人信息，但沒有規定通過除此以外的其他方式合法地獲得公民個人信息后，又將該信息出售、非法提供給他人的情形。刑九出臺后，將兩個罪名合并為一個罪名——“侵犯公民個人信息罪”，在對犯罪對象的表述上統一使用“公民個人信息”的稱謂，這實際上是對侵犯公民個人信息犯罪對象范圍的擴充，彌補了追責空白。

3. 提高法定刑，加大處罰力度

刑七第253條將兩種侵犯公民個人信息罪名的法定刑規定為：“三年以下有期徒刑或者拘役，并處或者單處罰金”，從實際實施效果來看，此項規定并沒有結合犯罪性質和危害程度的不同作出區分處理。[21]但是由于公民個人信息侵害的問題越來越嚴重，《刑法修正案(九)》為了加大處罰力度，在刑七的前提下，增加了如下法定刑：“三年以上七年以下有期徒刑，并處罰金”，這檔法定刑主要針對的是犯罪情節特別嚴重的情形。此外，刑九還規定了特殊主體犯罪從重處罰的量刑原則，這是立法機關加強對侵犯公民個人信息犯罪的打擊力度的體現。

(四)兩高發布《侵犯公民個人信息刑事案件司法解釋》

2017年5月8日，兩高發布了《侵犯公民個人信息刑事案件司法解釋》，該解釋明確了公民個人信息的范圍。此前，我國對于“個人信息”的定義主要來自于《網絡安全法》第七十六條。基于此定義，《解釋》采用識別說和不完全列舉的方法，將公民個人信息的含義表述為：通過電子記錄等方式，能夠直接或間接地將特定自然人的身份信息或活動情況展現出來的信息。可以看出此定義將個人信息的“可識別性”作為認定我國刑法所保護的個人信息的主要標準。此外，《解釋》還規定了侵犯公民個人信息犯罪的具體行為內容，確定了犯罪情節“嚴重”和“特別嚴重”的認定標準以及量刑細則等，較刑九有明顯的進步。該解釋意味著我國個人信息保護刑事立法進程又向前邁進了一大步。

(五)《中華人民共和國個人信息保護法(草案)》

2017年3月，全國人大代表在兩會上提出制定《中華人民共和國個人信息保護法》的提案，并附帶提交了《中華人民共和國個人信息保護法(草案)》。該草案共有六個章節，四十四個條款，提出了七個個人信息保護的基本原則，規定個人信息主體享有九項基本權利。草案還將個人信息處理主體劃分為國家機關信息處理主體和非國家機關信息處理主體，并分別提出了具體的個人信息保護措施。在這一法案當中，引用了近年來我國與個人信息保護相關的現行法律和標準等，也考慮了信息化時代對網絡安全的實際需求，總體來看具有一定的前瞻性。但它也存在許多問題，如缺乏個人信息的分類、處罰力度不足等，還有較大的進步空間，希望有關部門在立法修訂時能予以完善。[22]

四、我國公民個人信息保護刑事立法的不足

在對我國個人信息保護刑事立法的現狀進行分析以后，可以看出我國已經認識到刑法對于建立個人信息保護法律制度的重要性，在逐步加大對個人信息保護的刑事監管力度，以期切實發揮出刑法保護公民個人信息的作用。[23]事實上，我國相關部門為了加強刑法對個人信息安全的保護力度做了不少努力，出臺了許多措施，但在司法實踐中的應用和實施仍比較混亂，刑法的保護作用難以真正發揮，無法全面、有效的保護公民個人信息。我國個人信息保護刑事立法的不足主要有以下三點：

(一)公民個人信息定義不完備

從我國現行的法律制度來看，《刑法修正案(七)》和《刑法修正案(九)》當中都已經將侵犯公民個人信息犯罪的保護對象定為“個人信息”，但是在刑法上對“個人信息”卻沒有一個具體的認定標準，直到2017年兩高發布了《侵犯公民個人信息刑事案件司法解釋》。在這個司法解釋當中，“公民個人信息”的定義實際上增加了“財產狀況”“行蹤軌跡”等新概念，較之前對公民個人信息的定義已經完善許多。但在2016年全國人大常委會發布的《網絡安全法》和2017年頒布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》當中，都將“個人生物識別信息”這一新型個人信息加入到“公民個人信息”的范圍中。此外，還有2016年發布的《中華人民共和國電子商務法(草案)》中將“快遞物流信息”納入個人信息的范圍，這是立法工作順應網絡時代飛速發展的體現。筆者認為這些新增的個人信息也應納入刑法對公民個人信息的定義范圍中，但是兩高最新發布的《解釋》卻沒有與其他法律法規中對公民個人信息的定義相銜接，未將新型個人信息包含在內，導致公民個人信息的刑法定義不完備。

(二)相關立法對個人信息犯罪行為方式的規定具有局限性

我國現行刑法第253條規定了侵犯公民個人信息罪的入罪行為方式是“出售”“提供”“竊取”或“非法獲取”公民個人信息。2017年兩高發布的《侵犯公民個人信息刑事案件司法解釋》中將侵犯公民個人信息的犯罪行為方式規定為“出售”“提供”“非法獲取”“通過信息網絡或者其他途徑發布”“購買、收受、交換等方式”，比現行刑法條文的規定詳細許多。但是現實生活中不法分子侵犯公民個人信息的犯罪手段遠遠不止于此，還有大量非法破壞、非法利用、非法盜用公民個人信息等行為存在。目前我國刑事法律中所規定的個人信息犯罪行為并不適用于所有的侵犯公民個人信息的情形，具有明顯的局限性。

(三)立法模式單一，缺少前置性法律

我國尚未建立起完善的個人信息法律保護制度。從各個國家和地區個人信息保護的立法主要模式來看，主要有三種，第一種是制定單獨的《個人信息保護法》；第二種是在本國刑法中規定有關個人信息保護的條款，將個人信息犯罪入刑；第三種是在其他法律中進行規定來保護公民個人信息。[24]大部分國家和地區采取的方法都是制定專門的《個人信息保護法》并在其中規定如何與相應的行政和民事法律規定相銜接，而刑法典中關于個人信息犯罪的內容主要體現在個人信息隱私權的規定中。但是我國的立法向來采取的是單軌制立法模式，即用統一的法典形式來制定各部門的成文法，刑法也是如此。但實際上刑法的穩定性和嚴肅性注定它不能經常被修改，刑法的滯后性意味著它無法完全規制日益增多的犯罪方式，那么將個人信息保護的刑事規定完全限制在刑法典中，非常不利于全面保護公民個人信息安全。[25]同時我國對于個人信息的保護缺少前置性法律即專門的《個人信息保護法》，而現有的保護公民個人信息的規定分散在不同的法律法規中，缺乏體系，無法與刑法配套銜接。我國立法模式的單一和前置性法律的缺位導致刑法很難真正發揮出保護個人信息安全的作用。

五、我國個人信息保護立法的完善建議

從2005年的《個人信息保護法(專家建議稿)》到2017年的《侵犯公民個人信息刑事案件司法解釋》，可以看出我國一直在為建立完備的個人信息法律保護制度而努力。這些規定，有進步也有不足，唯一能夠確定的是，我國在個人信息保護法律制度的建設方面還有很長的路要走。現階段，我國并未制定出較為完善的個人信息保護法律制度，導致對個人信息的保護力度不夠，保護范圍較窄，我們需要借鑒其他國家和地區的立法經驗，制定出一套符合我國國情的個人信息保護制度。因此，對我國個人信息保護立法工作提出以下幾點建議：

(一)將新型個人信息納入公民個人信息的范圍

在2017年兩高發布《侵犯公民個人信息刑事案件司法解釋》之前，我國刑法對于“公民個人信息”并沒有明確的定義。雖然《解釋》對于“公民個人信息”的定義相比之前詳細了許多，但是關于此定義是否全面仍有許多爭論。之前提到，網絡信息技術的飛速發展衍生出許多新型公民個人信息，如2016年的《網絡安全法》和2017年的《個人信息和重要數據出境安全評估辦法(征求意見稿)》中關于“公民個人信息”的范圍都有包括“個人生物識別信息”這一新型個人信息。“個人生物識別信息”是可以通過高科技手段將如指紋、虹膜、聲音等人體所特有的生物特征識別出來的信息，比一般的公民個人信息具有更高的“可識別性”，筆者認為此類新型個人信息應納入刑法所定義的公民個人信息的范圍，與其他法律法規中對公民個人信息的定義相銜接，才能更加全面的保護公民個人信息。

(二)增設其他入罪行為方式，設置兜底條款

無論是我國現行刑法條文，還是配套的司法解釋，規定的侵犯公民個人信息的犯罪行為方式都具有明顯的局限性。《刑法修正案(九)》將侵犯公民個人信息的入罪行為方式規定為“出售”“提供”“竊取”或“非法獲取”公民個人信息。本罪名是典型的概括型罪名，既不能朝令夕改，也沒有設置兜底條款隨時通過司法解釋增設新的入罪行為方式。因此《解釋》只能對現行刑法條文中規定的入罪行為方式進行細化，但是無法增設新的行為方式。但實踐中還存在其他大量非法侵犯公民個人信息的行為，如非法破壞、非法利用、非法盜用公民個人信息等。為了彌補我國對侵犯公民個人信息犯罪的追責空白，建議增設新的入罪行為方式，并設置兜底條款，以全面預防已經出現或將來可能出現的侵犯公民個人信息的犯罪行為方式。

(三)盡快出臺《個人信息保護法》

對于個人信息的保護切實關系到公民利益乃至國家安全。從世界范圍來看，制定了獨立的個人信息保護法的國家或地區已經超過百余個，其中也包括中國臺灣和中國澳門等地區。從中國大陸的情況來看，將個人信息保護的規定分散在行政、民事和刑事法律法規中的做法雖然有一定程度的保護作用，但是要建立健全的公民個人信息保護制度，一部完善的《個人信息保護法》是必不可少的。[26]從2005年的《個人信息保護法(專家建議稿)》到2017年的《個人信息保護法(草案)》，表明我國立法機關已經充分認識到個人信息保護的重要性，并致力于構建相應的法律保護制度。在具體做法方面，我國應當主動學習和借鑒這些國家和地區先進的立法經驗和立法技術，結合本國國情，盡快制定出具有本國特色的《個人信息保護法》。在此基礎上，做好《個人信息保護法》與刑法、行政法等法律的銜接工作，可以有效克服我國立法模式的單一性，使得對公民個人信息的法律保護形成體系性規范。