侵害公民個人數據犯罪研究

陳柄臣

（華東政法大學 刑事法學院，上海 201620）

自20世紀末我國鋪設互聯網以來，短短二十年，就已建立起數字社會雛形。隨著5G網絡全面性鋪設，以及IPv6技術的廣泛部署，我們的生活可以更加便捷。但是，在我們享受互聯網帶來的便利生活的同時，個人信息數據泄露問題擺在全社會面前。特別是伴隨國家網絡實名制制度的推行，相關的配套制度尚未跟上，使得個人會遭受個人信息數據泄露的風險。如何治理侵害公民個人數據犯罪則成為本文要研究的內容。

一、公民個人數據概述

（一）公民個人信息與數據辨析

一直以來，公民個人信息數據一詞用來統稱公民的個人電子信息。但實際上，公民個人信息數據與公民個人信息和公民個人數據的內涵是不同的。梅夏英認為數據與信息本質不同，從表面上看，數據與信息概念屬于混用狀態。[1]梅夏英還在2020年中國人民公安大學數據安全法治研究會上闡釋了自己最新的觀點，他認為：信息以內容為定義，為本體；數據是信息的表現形式，目前信息主要以數字的形式呈現，保護信息等同于保護數據。①摘自微信公眾號：雅理讀書，“數據安全法治研究會”在中國人民公安大學順利舉行，訪問時間：2020年10月1日。程建華等人也對民法中的數據進行有關研究，認為數據獨立于其載體，具有財產特性，應適用于相應的財產保護范式。[2]李海敏也有著類似的看法，他認為數據的價值性、可控性與獨立性使其成為一項新財產類型。[3]以上的研究結論，我們可以得出，數據的價值屬性得到了多位研究人員的一致認可。

那么什么是數據呢？有關于計算機名詞，大多屬于舶來品，數據對應英文單詞為Data。Data在維基百科上，指未經過處理的原始記錄。①維基百科：數據，https：//zh.wikipedia.org/wiki/數據，訪問時間：2020年10月1日.百度百科給予數據的定義是，數據（data）是事實或觀察的結果，是對客觀事物的邏輯歸納，是用于表示客觀事物的未經加工的原始素材。②百度百科：數據，https：//baike.baidu.com/item/數據，訪問時間：2020年10月1日.一般而言，數據缺乏組織及分類，無法明確地表達事物代表的意義，它可能是一堆雜志、一疊報紙、數種開會記錄或是整本病人的病歷紀錄。數據描述事物的符號記錄，是可定義為意義的實體，涉及事物的存在形式。是關于事件之一組離散且客觀的事實描述，是構成消息和知識的原始材料。因此，從數據的定義來看，信息是數據的表現形式，而非數據是信息的表現形式。數據具有本質性，因此，如果泄露數據，比泄露信息危害性更大。

（二）公民個人數據的內涵

1.歐盟 GDPR

GDPR是General Data Protection Regulation（通用數據保護條例）的簡稱，目前該條例在28個歐盟成員國統一實施生效。歐盟GPDR的效力雖然基本上只限在歐盟范圍內，但依然不影響它成為一部震撼全球的法律。GPDR頒布后，由于其較高的合規要求，谷歌、Facebook第一時間成為被投訴的主要對象。

GPDR第4條第一項為個人數據進行了定義。“個人數據”是指與已識別或可識別的自然人（“數據主體”）相關的任何信息；可識別的自然人是指可以直接或間接識別的人，尤其是通過參考諸如姓名，識別號，位置數據，在線標識符之類的標識符，或針對特定于身體，生理，該自然人的遺傳，心理，經濟，文化或社會身份。[4]

GDPR以個人可識別信息為核心概念，凡是可以用作識別個人身份的相關信息，均落入GDPR保護范圍，這些信息不再只是單純的姓名、電話或是地址，同時也包括瀏覽器的Cookie、IP位置，或是足以識別個人身份的生物特征以及醫療資料。具體分類包括如下：

（1）基本身份信息。基本身份信息是每個人在社會中最常用到的信息，例如真實姓名、戶籍地址或居住地址、身份證卡號等。基本身份信息可以快速判斷一個人是否為本人，因此面臨泄露的風險也是最大的。

（2）個人網絡數據。常見的有地理位置、IP地址、Cookies數據和RFID標簽等。由于移動設備普遍帶有Wi－Fi、藍牙等功能，因此即使不需要GPS傳感器，通過你的網絡環境也可以判斷出你本人在哪里，缺點是精度不夠；關于IP地址，不同于中國，海外由于IPv4技術率先應用，地址池數量充足，無論是企業還是個人均能實現固定IP接入（中國內地由于互聯網起步晚，全球IPv4地址所剩數量不多，大多使用共享IP上網）；Cookies數據，指存儲在用戶本地終端上的數據，該技術的發明主要是為了網站辨別用戶身份。例如，當你徹底關掉瀏覽器后，再打開你剛才登錄過的網站會自動登錄而無須重新輸入賬戶密碼；RFID標簽，即電子標簽系統。日常生活中應用最多的就是刷飯卡。但是，隨著物聯網的建立，智能家居走向千家萬戶。智能家居通常使用該技術用以識別用戶的無線操作。

（3）醫療保健和遺傳數據。醫療保健數據，是指與自然人身體或精神健康有關的個人數據，包括能揭示關于他或她的健康狀況的健康保健服務所提供的數據。遺傳數據，是指反映個人遺傳規律的數據。

（4）生物識別數據。是指通過識別生物數據而確定身份的數據，例如指紋、人臉數據。

2.中國《信息安全技術個人信息安全規范》

2018年5月1日，《信息安全技術個人信息安全規范》正式實施。該規范被業內稱為“中國版GPDR”。的確，該規范在制定時參考了個人信息保護方面最先進的國外立法，例如GDPR（通用數據保護條例）、EU－US Privacy Shield（歐美隱私盾協議）、Consumer Privacy Bill of Rights（美國“消費隱私權法案”）。需要說明的是，該規范并非強制性規范，而是作為國家推薦標準實施，但是這將是我國今后開展與個人信息保護相關的各類活動的參考標準，也將成為今后制定和實施個人信息保護相關法律法規的基礎。

該規范不僅對個人信息進行了定義，還給予了是否為個人信息的判斷邏輯。該規范定義個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。③信息安全技術－個人信息安全規范[S].GB/T35273－2017.判定某項信息是否屬于個人信息，應考慮以下兩條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應有助于識別出特定個人。二是關聯，即從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。符合上述兩種情形之一的信息，均應判定為個人信息。

該規范附錄A表A.1對個人信息進行了舉例，相較于GDPR，雖然有重合的分類，但明顯分類更加豐富。具體包含個人基本資料、個人身份信息、個人生物識別信息、網絡身份標識信息、個人健康生理信息、個人教育工作信息、個人財產信息、個人通信信息、聯系人信息、個人上網記錄、個人常用設備信息、個人位置信息以及其他信息。相較于GDPR，該規范有特色的信息分類為個人基本資料、個人財產信息、個人通信信息、個人常用設備信息。

個人基本資料，是指記錄個人背景特征的數據。個人姓名、生日、性別、民族、國籍、家庭關系、住址、個人電話號碼、電子郵箱等。

個人財產信息，指能夠反映個人財產的數據。例如銀行賬號、鑒別信息（口令）、存款信息（包括資金數量、支付收款記錄等）、房產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產信息。

個人通信信息，指能夠記錄個人通過媒介進行交流的數據。例如通信記錄和內容、短信、彩信、電子郵件，以及描述個人通信的數據（通常稱為元數據）等。

個人常用設備信息，是指自己使用的具備聯網功能的硬件數據。指包括硬件序列號、設備MAC地址、軟件列表、唯一設備識別碼（如 IMEI/android ID/IDFA/OPENUDID/GUID、SIM 卡 IMSI信息等）等在內的描述個人常用設備基本情況的信息。

3.公民個人數據分類

無論是歐盟GDPR，還是我國的《個人信息安全規范》都對個人信息數據做了較為完整的定義和類型列舉，兩者都強調了數據信息的個人可識別性。不同的是，歐盟強調的是“數字主體”身份，而我國強調的是“自然人”身份。歐盟并未對數據存在的形式進行定義上的限制，我國明確提出“以電子或者其他方式記錄的”。但是，最根本的不同是，歐盟采取的術語是“數據”，我國該規范采用的術語是“信息”。同時，對數據劃分得過于寬泛，會對企業合規造成較大的壓力，不利于創新；如果劃分范圍過窄，則不能起到保護個人數據的作用。因此，根據以上關于數據和信息辨析的結果，歸納個人數據為以下幾類：

個人基礎數據。個人基礎數據，是指能夠快速識別定位本人的數據，在識別個體時具有基礎性作用。具體內涵為姓名和身份證ID數據。

個人起居數據。指能夠完成描述個人生活軌跡的數據。具體內涵應包括居住地地址、工作地址、活動地點、購物地點、上學地點、智能家居數據。獲得個人起居數據，進行編碼重排后，能夠充分了解該個體的日常作息習慣、各種喜好。雖然目前多被用來進行廣告投放，但是一旦被犯罪分子獲取，個體將進入被“不怕賊偷就怕賊惦記”的狀態。

個人社交數據。社交是人類必不可少的行為，也是人之所為社會中的人所必須具備的技能。因此社交數據，是指能記錄并反映人的社交情況的數據。具體包括：電話號碼和通話記錄、社交賬戶、電子郵件、即時消息和BBS等數據。

個人財產性數據。指能夠反映個人財產的數據。具體應該包括銀行賬號、鑒別信息（口令）、存款信息（包括資金數量、支付收款記錄等）、房產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等。筆者對《個人信息安全規范》規范中的虛擬財產信息劃入個人財產性數據持保留態度，因為虛擬財產信息是個人財產在消費后產生的，應該屬于商品，只能反映出一個人花了多少錢，無法去判斷他有多少錢。比如，孩子給自己的游戲賬戶充了幾萬元，并不能反映出這個孩子本身的狀況。因此，虛擬性財產信息不符合數據原生性的準則。

個人設備數據。個人設備數據應當是能夠聯網的設備數據，正如《個人信息安全規范》中所列舉的設備數據種類，硬件序列號、設備MAC地址①MAC位址，或稱以太網地址（Ethernet Address）或物理地址（Physical Address），它是一個用來確認網絡設備的位置。、唯一設備識別碼，通過這些數據能夠識別確定單獨的設備。如果這些設備不聯網的話，實際上設備數據泄露對個人沒有任何傷害。比如，一臺傳統洗衣機，放在家里面，只有主人才可以操縱。但是，如果這臺洗衣機聯網，并能夠在網絡上被單獨識別確定，那么可操縱該洗衣機的就不止主人了。因此，個人設備數據應指的是那些個人聯網設備的數據。比如，目前手機設備均帶有GPS芯片，獲取到手機設備信息后，可以讀取個人的行蹤軌跡。

二、侵害公民個人數據犯罪的危害性

對于侵害公民個人數據犯罪，大家最為熟知的是“山東徐玉玉”[5]一案，該案件入選“2017年推動法治進程十大案件”。2016年高考，山東臨沂女孩徐玉玉被南京郵電大學錄取。同年8月19日，徐玉玉接到一個陌生電話，稱有筆助學金要發放給她。徐玉玉由于家庭困難，之前確實向教育部門申請了一筆助學金。加上對方還能在電話里報上她的其他個人信息，徐玉玉深信不疑，按指示將9900元學費轉入對方賬號。得知被騙，徐玉玉傷心欲絕，心臟驟停，離開了人世。

隨著后續案件的調查和結果公開，徐玉玉的受騙并非偶然粗心大意，實屬精準詐騙。犯罪嫌疑人陳文輝從犯罪嫌疑人杜天禹手中購買了五萬余條山東省2016年高考考生信息。高考考生信息表記載的個人信息數據非常詳細，包括個人姓名、身份證號、戶籍所在地、主要社會關系、報名號、所在學校以及錄取信息。在一個人向你報出這么多信息之后，并找到一個合適的理由進行行騙，很難不相信。

侵害公民個人數據犯罪的危害性在于使每個“數字化”的個人“裸體”暴露在社會面前，從而使得犯罪嫌疑人可以對個人實現“甕中捉鱉”式犯罪。

（一）個人基礎數據泄露的危害性

身份證號目前可以說是在內地生活的通行證，應用場景最為豐富廣泛，與大家的生活息息相關。如今，鐵路已經實現無紙化車票，憑身份證刷卡進出車站。旅館業、金融業、物流以及交通運輸業這幾大大家日常接觸頻繁的領域均已接入身份證鑒權系統。身份證號碼是最常用的個人數據，同時也是最容易被各種主體濫用的數據，最終導致的結果就是身份證號碼成為個人數據泄露中的首當其沖。

更重要的是，身份證號碼，在日常使用中，如果應用場景一般的話，是不會做仔細鑒權的。特別是在一些App中，獲得相匹配的姓名和身份證號碼可以初步完成實名認證，而無須本人親自確認。例如，未成年人通過購買身份證數據逃避防沉迷系統；機場取票時，自動值機系統可以憑身份證取票。

2020年9月6日，據南方都市報報道，吳磊（電視劇《瑯琊榜》飛流扮演者）的某位站姐從2017年到2020年連續三年盜用吳磊國航及南航名下的里程積分，為自己和朋友兌換免費機票，前后多達12次。根據曝光者稱，該女士擅自將吳磊的身份證號綁定在她用自己手機號注冊的航空賬號上。通過該操作，該女士不僅能隨意查看吳磊的行程，還可以添加受讓人，擅自處分積分權益。因此，個人基礎數據泄露可以給予別人頂替當事人“身份”的機會。

此外，身份證號碼解析規則對社會是透明的，前六位為行政區劃代碼，中間八位為出生年月，末4位為校驗碼。通過對身份證號碼進行解析，便可以獲得你的出生地、出生時間以及性別等有效信息。

（二）個人起居數據泄露的危害性

在過去，個人的起居行為是私密性的，去過哪里、買過什么東西以及路線圖是不可能被其他人完全知曉的，即使動用公權力，想要描繪一個人的行為軌跡圖，也是需要耗費大量人力物力的。如今，由于智能手機普及化以及人人隨時攜帶智能手機進行起居生活，個人起居數據的收集變得更加容易。但同時，由于手機操作系統對App的權限管理較為寬松，使得用戶在自己手機上安裝的App均有機會去收集用戶的起居數據，并在用戶未曾授權或未曾明確知情授權的情況下交換使用。

2018年4月13日，網友@Eric Tsui在網絡上曬出一組圖，表示兩個人使用滴滴打車軟件，從同樣的地點出發、同樣的目的地，但價格卻不同。《北京日報》表示，無論是工業經濟時代還是互聯網信息時代，細分市場都是企業營銷的重點。而這一切背后都是企業為了追求更高的邊際效益。邊際效益是指目標行為預期帶來的額外收益。[6]通常操作是，對需求高的人定價高，對價高就不會購買的人定低價。在工業經濟時代，企業需要投入大量人力物力進行市場調研才可以細分市場，而在互聯網信息時代，企業只需要利用App或者從數據公司購買相關數據，便可以達到目標。

如果你的個人起居數據遭到泄露，被有關主體利用后，就可以對你的生活習慣方式進行畫像。對于企業來說，可以精準定時定點以你預期的價格向你推薦商品，促使你進行消費，也可以進行大數據殺熟行為。而犯罪分子，則可以根據你的起居時間，在你的休息時間進行犯罪活動，例如夜晚進行偽基站短信攔截、盜刷銀行卡等行為。

（三）個人社交數據泄露的危害性。

個人社交數據泄漏的危害性主要在于使自己的社會關系被公開。對個人社交數據進行再編碼進行分析，可以有效獲得個人關系網。最常見的行為就是智能手機中App讀取通訊錄。當你在使用抖音時，會推給你“可能認識的人”。抖音App讀取手機通訊錄后，不僅推薦通訊錄中的人，還推薦通訊錄中的人的第二層關系，一般顯示為“共同聯系人”。抖音該推薦機制體現了抖音算法的強大性，雖然為用戶社交帶來了極大的便攜性，但是也同時侵犯了用戶的隱私。有網友表示，我只想我的抖音成為我的“后花園”而已，不想與人共享。[7]

微信如今已經成為國民社交App，各大應用商店市場下載量均排名第一。但是，陌生人請求加微信好友深藏套路[8]，你可知道？由于微信的社交軟件屬性，會推薦用戶開通“發現通訊錄中的好友”功能進而獲取讀取手機“通訊錄”權限。當你在自己的手機通訊錄中添加新的號碼時，微信會自動向你推薦該號碼的微信。犯罪分子利用這一功能，進行反向操作，購買具有活躍度的手機號碼，導入自己的手機通訊錄，然后通過微信的“發現通訊錄好友”的功能，進行添加好友操作。新聞報道中，陌生人加好友成功后，一般不是推薦理財就是賣茶葉，但不管打的什么幌子，最終都是為了詐騙受害人的錢財。因此，個人社交數據泄露后，可以給犯罪分子提供接觸受害人的機會。

還有一種常見的犯罪行為是，利用社交關系時間信息不對稱的條件，對親朋好友進行詐騙。例如，最常見的是“留學生虛擬綁架案”，此外還有利用社交賬戶對好友進行詐騙的案例。[9]

（四）個人財產性數據泄露的危害性。

由于金融行業近幾年的安全策略的不斷進化，目前付款均采取多重驗證安全策略，常見的比如手機驗證碼二重驗證，因此單獨泄露銀行賬號密碼，一般無法對個人財產造成威脅的。如果在上述背景下，依然發生盜刷，多數是犯罪分子利用泄露的個人其他數據，采取社工策略，誘導受害者提供了所有的信息，從而實現犯罪目的。但是，例如存款信息、房產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，這些大家最不關心的數據如果泄露反而對自身有著比較大的威脅性。例如，在信貸業務中，為了防控放貸風險，監管部門和銀行都對放貸業務的流程和審核作出了嚴格規定。在這些要求中，擺在首要位置的就是查驗申請人身份，申請人要提供包括身份證、收入證明、貸款用途等在內的一系列資料，經銀行審核符合要求。[10]根據有關媒體報道，犯罪分子通過對身份證上原主人的照片進行替換，憑借原主人的財產流水記錄，成功拿到貸款。

（五）個人聯網設備數據泄露的危害性。

目前每個人擁有的聯網設備越來越多，隱私泄露問題也伴隨而來。

個人聯網設備數據泄露，主要是指Mac地址、綁定的IP地址以及端口、設備鑒權口令數據的泄露。通過以上數據，借助互聯網，懷有不軌動機的人可以任意對個人聯網設備進行后臺控制，從而實現不法目的。

2017年末，360水滴直播事件爆出。[11]360水滴攝像頭宣稱的最大賣點就是，通過與互聯網相連，用戶可以隨時隨地地通過智能攝像頭查看家庭或所監控場景內的實時畫面。但隨后爆出，360在未經用戶允許的情況下，私自將用戶監控畫面向社會公眾直播。同時，網上還出現眾多帶有360水印的私密生活視頻。360公司是一家做網絡安全的公司，為什么還會出現這樣的事情呢？據《中國經營報》報道，市場上存在出售相關破解軟件、監控視頻和攝像頭ID及密碼的交易，一個監控攝像頭的ID和密碼單價最低僅需4元就可獲取，一條隱私視頻的單價則僅需一元。獵豹移動安全專家李鐵軍向媒體透露：“實際上，監控設備的漏洞早已公開，由于傳統廠商的疏忽，硬件商在其中應承擔起主要責任。”

三、侵害公民個人數據犯罪治理研究

如上所述，公民個人數據被侵害后所造成的眾多的和嚴重的危害，治理侵害公民個人數據犯罪已經刻不容緩。根據公安部“凈網”2020專項行動，截至2020年5月7日15時，各地共搗毀為貸款類電信網絡詐騙犯罪團伙提供服務的違法1069短信平臺57個，抓獲犯罪嫌疑人798名。同時，在新冠肺炎疫情期間，全國公安網安部門打擊網上侵害公民個人信息犯罪活動，已治安處罰1522人，通報其他部門給予黨紀政紀處分433人。[12]但是，僅靠公安部專項行動是遠遠不夠的。預防侵害公民個人數據需要個體、企業、政府多方面的配合努力及預防、監控、防范等多個環節的治理。具體而言：

（一）公民個體需要主動保護所屬個人數據

公民個體對所屬個人數據的保護意識不強是普遍存在的。大多數人為了方便，將身份證等證件照片存儲在手機之中，且并未進行加密保護。一旦手機丟失，不法分子借助手機里的數據，可以迅速進行人工申訴，獲取相關賬戶所有權，進行不法操作。學習工作中，經常需要上報身份證等數據，申報完后不在本地終端進行刪除數據操作，導致有可能被他人有機會得知自己的個人信息。而最為危險的操作是，絕大多數人將身份證隨意存放，使得身份證可以被更多的人接觸到。此外，還有大家所熟知的快遞面單，大多數都是明面顯示收件人的地址、號碼和姓名，很多人收到快遞后并不對快遞面單做信息抹除操作，因此衍生出一個專門收集被拋棄快遞盒子面單數據的行業。公民個體應保護好自己的賬戶密碼。應當自己的賬戶自己管理，非必要不對他人授權或者共享賬戶密碼。近幾年高考篡改志愿案件，均是因為個體沒能保護好自己的賬戶密碼，或者對他人透露自己的賬戶密碼導致的。

公民個體應嚴格管理自己智能設備上的App權限。目前全球兩大移動設備操作系統分別為美國谷歌公司的Android系統和美國蘋果公司的iOS系統，且均可以實現強大的App權限管理功能。不同于iOS系統的閉源性特征，Android系統由于其開源，可以在各種不同的硬件平臺上運行，目前在全球份額占七成以上[20]。由于Android平臺的開放性特征，其平臺運行的App索要過度權限問題一直很嚴重。公民個體在授予App權限時，應堅持最少權限授予原則，從而避免自己個人數據被侵害的風險。

（二）企業應積極履行保護消費者數據的義務

公民個人無論怎么樣保護自己的數據不被泄露，但是為了自身在網絡生活中的便利性，依然會為了接受企業提供的服務而將自己的個人數據提供給企業保存。企業作為市場經濟活動中的主要個體，應該積極依照法律保護有關數據。同時作為交易中的被信任方，更應該積極履行自己的義務。

企業負有嚴格防范用戶賬戶數據泄露的義務。2020年3月19日，有用戶發現5.38億條微博用戶信息在暗網出售，其中，1.72億條有賬戶基本信息，涉及用戶ID、性別、地理位置等。隨后微博方面很快承認了微博數據泄露一事屬實。此外，快遞業對于客戶信息保護也十分不力。目前，快遞業主要精力放在遞件速度上，并不重視客戶數據安全問題。[14]

企業負有禁止買賣交換用戶數據的義務。2020年9月12日，全球創業者峰會，李開復在分享自己投資“曠視”經驗時，說：“我們早期幫助它們（曠視科技）尋找了合作伙伴，包括美圖、螞蟻金服，讓它們拿到了大量的人臉數據”。用戶對企業進行授權默認一次性或僅僅授予該企業，將用戶數據與其他公司進行買賣，一方面違背合同法精神，另一方面可能使用戶面臨更大的隱私泄露風險，因為“雪崩時，沒有一片雪花是無辜的”。

（三）政府應積極履行監管市場的義務

社會主義核心價值觀中倡導“自由、平等、公正、法治”，這是對美好社會的生動描述。《論語·季氏》中也曾講“不患寡而患不均”。在數字社會中，相關市場主體為了追求最大的利益，違背社會主義核心價值觀，進行科技歧視。因此，需要發揮政府的宏觀調控作用。

政府部門應積極利用行政規章來調控市場行為。2020年，文化和旅游部發布了《在線旅游經營服務管理暫行規定》，已于10月1日起正式發行，規定明確指出禁止“大數據殺熟行為”。全國信息安全標準化技術委員會制定的《信息安全技術個人信息安全規范》，要求不得強迫收集個人信息，用戶應有權拒絕個性化推送。這些行政規章均為用戶維護自己合法權益提供了法律依據，并積極調控了市場交易行為中的灰色地帶。但是，用戶數據內涵豐富，日后需要更多的行政規章來保護用戶個人數據。

政府部門應監控市場數據的存放位置問題。目前在我國開展數字服務的并非只有中資企業，還包含了一大批外資企業。如果這些外資企業掌握的國內公民個人數據轉移到國外去，那么將可能進一步造成公民個人數據的境外泄露。目前，美國Apple公司已經將中國內地iCloud云服務的服務存儲在貴州，稱為“云上貴州”。此外，美國Microsoft以及美國Amazon公司也在中國建立了存儲中國區用戶的數據基地。隨著改革開放進入深水區，開放的大門越來越大，未來可以預期更多的外資企業進入中國運行業務。因此，做好數據存儲位置的監控工作十分重要。

四、結語

本文通過國內外比較研究，對個人數據依據一定規則進行了再劃分，認為個人數據內涵應包括個人基礎數據、個人起居數據、個人社交數據、個人財產性數據以及個人聯網設備數據。個人數據泄露的危害性是巨大的、多樣的，必須要治理侵害公民個人數據犯罪。

治理侵害公民個人數據犯罪，本文是從公民個人、企業和政府三個主體展開的，提出了各種有益的對策和見解。但是，本文并未從立法層面給予建議。主要原因是立法是一項浩大的工作，數字社會信息變化萬千，如果立法朝立夕變，將會嚴重破壞法的穩定性，而行政規章則不存在這個問題，較為靈活，同時具有強制力。此外，學界對于數據的定義的討論尚未有定論，相關研究尚未完善。期待未來能夠看見在立法層面創新規制侵害公民個人數據犯罪的對策。