大數據時代我國侵犯公民個人信息罪：從特點分析到完善建議

何 群 ， 曾錚瀅

隨著網絡、大數據、AI等高科技在現代社會的廣泛運用和快速發展，網絡空間是否已成為與現實空間并行且獨立的社會空間，已然成為近年來學界熱議的話題。當然，不管持何種觀點，一個不可否定的事實是：網絡犯罪已經成為現代社會發展的新型犯罪。“網絡犯罪可以分為以網絡作為犯罪對象的網絡犯罪（即計算機犯罪）、以網絡作為犯罪工具的網絡犯罪（即傳統犯罪的網絡異化）和以網絡作為犯罪空間的網絡犯罪三種形態。”①于志剛、郭旨龍著：《網絡刑法的邏輯與經驗》，中國法制出版社2015年版，第1～12頁。在眾多的網絡犯罪中，有學者指出，侵犯公民個人信息罪屬于我國刑法規定的狹義的信息網絡犯罪的4個罪名之一。②關于狹義的信息網絡犯罪，包括我國《刑法》規定的，253條之一侵犯公民個人信息罪，286條之一拒不履行信息網絡安全管理義務罪，287條之一非法利用信息網絡罪，287條之二幫助信息網絡犯罪活動罪。參見敬力嘉著：《信息網絡犯罪規制的預防轉向與限度》，社會科學文獻出版社2019年版，第51、第32頁。狹義的信息網絡犯罪，也被稱為“純正”網絡犯罪，其所侵害的對象是互聯網、信息系統及其所存儲數據。③同上，第32頁。近年來，為應對愈發猖獗的網絡犯罪，立法與司法依靠實踐的歸納與經驗的積累不斷擴張“公民個人信息”的法律概念，但對“公民個人信息”的構成認定仍只是停留在事實層面。④于志剛：《“公民個人信息”的權利屬性與刑法保護思路》，載《浙江社會科學》2017年第10期，第7頁。本文以侵犯公民個人信息罪為研究對象，結合該罪的特點，針對實踐中存在的問題及其原因進行剖析，并提出了相關的完善建議，以期對網絡時代的相關立法完善，有所裨益。

一、大數據時代侵犯公民個人信息罪之特點分析

當大數據集的二次使用可以逆轉過去、現在甚至未來，以至于對隱私、機密性和身份造成侵犯時，現有的隱私保護集中于管理個人識別信息是不夠的。①Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma, Harvard Law Review. Vol.126，2013，pp1880-1881.數據主體與海量數據的匹配識別定位使得公民個人信息被裹挾在巨大經濟利益與安全風險中。隨著經濟社會的不斷發展，侵犯公民個人信息罪在實務中呈現出諸多新的特點，如犯罪總數激增；該類犯罪出現集團化、有組織化、產業化；基于數據的重要性和基礎性，該罪成為其他犯罪的基礎性犯罪。

（一）“公民個人信息”的內涵擴張，侵犯公民個人信息犯罪率激增

隨著數字技術的快速發展和大數據的應用，信息共享與個人信息安全的沖突日益加劇，基于客觀實踐的需要，使得個人信息保護的概念、內容及其所涉及的相關制度都在潛移默化地改變。這種變化雖并非立法者刻意為之，但為夯實清晰有效的立法基礎，立法應當及時對“公民個人信息”的概念進行澄清、更新。②周漢華：《個人信息保護觀念演變的四個階段》，https : //www.sohu.com/a/281451267_455313，下載日期：2020年5月29日。根據美國、英國、德國、歐盟和加拿大的現行立法，個人信息被稱為直接或間接認可的顯性的個人身份識別信息。③Chassang Gauthier . The impact of the EU general data protection regulation on scientific research. Ecancermedicalscience 11.(2017).https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5243137/pdf/can-11-709.pdf，下載日期：2020年9月25日。低成本的信息收集與匹配分析技術使得原本單一、微小的個人信息點能被輕易地收集網羅成整體信息，并精準匹配到個人。通過云計算，只要數據被采集到足夠的量，數據計算就能反饋出我們的個人生活軌跡、健康狀況、思想印跡、消費習慣。可識別性的不斷提高，使得立法上對“公民個人信息”的概念內涵呈現出從狹義、隱私性質到廣義的可識別、可還原性質的延伸。我國立法上也不斷在更新“公民個人信息”的概念內涵，自《刑法修正案（七）》增設侵犯公民個人信息罪，到2012年《關于加強網絡信息保護的決定》與2013年《關于依法懲處侵害公民個人信息犯罪活動的通知》，再到2017年《網絡安全法》與兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱為《解釋》），“公民個人信息”的認定范圍由個人直接可識別的隱私信息擴張到與其他信息結合后可識別到特定主體的間接識別信息。④《解釋》第1條通過“特征+列舉”的方式，將“公民個人信息”的界定為“指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”，具體包括“包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”隨著“公民個人信息”內涵的不斷擴張，越來越多侵犯公民個人信息的行為被納入刑事處罰的范圍內。

（二）“公民個人信息”的屬性多元化，促使犯罪有組織化、產業化

在大數據經濟時代，數據實則成為一種資源。個人信息的使用，是信息披露與流通的結合，更是數據社會化利用不可剝離的重要組成部分。思科（CISCO）網絡報告稱，全球互聯網協議“IP”流量在過去5年增長了4倍，到2017年，連接到IP網絡的設備數量將是全球人口的近3倍。⑤Cisco Visual Networking Index: Forecast and Methodology, 2012-2017, Cisco 1 (May 29, 2013)，http:// www.cisco.com/en/ US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_ paper_c11-481360.pdf，下載日期：2020年9月20日。我國正迎來數據交易的重要戰略機遇期，研究表明，我國2018年產生的數據量約7.6ZB，至2025年可高達48.6ZB⑥張漢青：《全球首家大數據交易所“涅槃重生”》，https://baijiahao.baidu.com/s?id=1630468288263179736，下載日期：2020年9月26日。，信息的利用成為了企業競爭和發展的關鍵基礎⑦Manyika J，Chui M，Brown B，et al. Big data: The next Frontier for Innovation，Competition，and Productivity.2011, http: // www.mckinsey.com/insights/business_technology/big_data_the_next_frontier_for_innovation，下載日期：2020年6月28日。，國家發布《國務院關于印發促進大數據發展行動綱要的通知》，積極引導個人數據分析技術與數據資源在社會活動中的利用，通過個人信息數據的分享、互換、許可使用，構建數字化經濟發展模式。

個人信息的排他性效力在大數據時代逐漸被減弱，個人數據信息的主動或被動收集、分析并應用于各行業成為社會經濟活動與政府社會治理的常態化操作。公民個人信息不僅具有人身屬性和財產屬性⑧葉良芳、應家赟：《非法獲取公民個人信息罪之“公民個人信息”的教義學闡釋——以<刑事審判參考>第1009號案例為樣本》，載《浙江社會科學》2016第4期，第71～78頁。，且隨著公民個人信息的資源化發展，其已成為公共領域不可或缺的一部分，無論是實踐層面抑或法律目的上，個人信息的社會屬性都在不斷增強。①項定宜：《個人信息的類型化分析及區分保護》，載《重慶郵電大學學報（社會科學版）》2017年第1期，第31～38頁。高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018年第3期，第95頁。個人信息的“價值化”使得以網絡為空間、以網絡為工具的涉眾型網絡犯罪的數量急劇上升，司法實踐中的侵犯公民個人信息犯罪呈現出集團化、有組織化和產業化的特征，嚴重危及社會穩定與公民個人安全。

（三）“數據”與“公民個人信息”之間的密切關聯，導致侵犯公民個人信息犯罪成為其它類罪的基礎性行為

客觀而言，單一、碎片化的少量個人信息的價值幾乎可以忽略不計，但隨著科學的第四范式②科學的第四范式（fourth paradigm of science）：微軟公司宣布了數據密集型科學的出現，并將數據作為經驗主義、理論和計算范式之后的第四個繼承者。描述了一門依靠新工具來存儲、管理和分析大量數據的新科學的愿景，對海量數據的爆炸性增長，計算機將不僅僅能做模擬仿真，還能進行分析總結，得出理論。時代的到來，大數據挖掘模型對海量數據的需求激增。有別于以往信息收集的絕對目的性，當前采用的數據密集范式是海量數據的全本收集而非樣本，并通過海量數據間的關聯性進行分析、創新以打造產業鏈新的發展空間。孤立、碎片化的個人信息被成批量成種類的為特定行業、特定人群提供宏大的精準行為對象。③[英]維克托·邁爾·舍恩伯格著：《大數據時代》，周濤譯，浙江人民出版社2012年版，第25～55頁。數字產業化、產業數字化，“個人信息”成為一種流動的資產。相應地，網絡犯罪率伴隨著個人信息的“價值化”也逐年上漲。④根據最高人民法院發布的《司法大數據專題報告之網絡犯罪特點和趨勢》，2016年至2018年，人民法院審結網絡犯罪案件4.8萬余件，案件量及在全部刑事案件總量中的占比均呈逐年上升趨勢。其中，2018年網絡犯罪案件量顯著增加，同比升幅為50.91%。筆者以“侵犯公民個人信息罪”為全文關鍵詞和判決結果關鍵詞在中國裁判文書網上進行案例檢索篩選，自2015年9月至2020年5月，共搜集到判決書7276份，2015年22份，2016年394份，2017年1374份，2018年2338份，2019年2690份，2020年458份。其中，刑事一審7046件，二審223件，刑事再審6件。⑤中國裁判文書網，https://wenshu.court.gov.cn/，下載日期：2020年10月3日。通過數據顯示可知：侵犯公民個人信息犯罪案件的數量不斷增加，2017年《解釋》出臺后對更多的侵犯個人信息的行為類型做了入罪化處理。

我們的個人信息正越來越多地受到大數據推論和控制這些推論的公司的影響。隨著企業操作大數據分析的手段和技能不斷更新，相當大一部分使用大數據計算的機構正在以個人信息安全為代價不斷增強和擴大影響，而這種變化是以我們尚未完全理解的方式進行的，網絡為違法犯罪行為帶來了新空間和新工具。與此同時，企業在大數據基礎上利用復雜的算法榨取“消費者剩余”的經濟利益，侵犯公民個人信息犯罪的主體中，單位犯罪、集團犯罪明顯增加。在犯罪主體集團化和犯罪單位化的同時，侵犯公民個人信息犯罪也正成為其它類罪的基礎性行為，進一步催生了網絡空間中依托于侵犯公民個人信息罪的下游網絡犯罪，如詐騙犯罪、敲詐勒索犯罪、暴力催收犯罪等，甚至發展成產業鏈，危害甚大。

二、侵犯公民個人信息罪懲處之司法困境分析

為了應對不斷增加的侵犯公民個人信息犯罪，我國在《刑法修正案（九）》以及《解釋》中不斷完善規制內容。但數字技術與犯罪方法的不斷更新使得司法實踐中仍面臨著諸多亟待解決的難題。在個人信息“竊取”和“非法使用”互聯網黑色經濟產業鏈運轉下，多樣化且隱蔽的侵犯公民個人信息的手段，使得刑罰對犯罪的阻遏作用一再被削弱。“刑先民后”的保護模式雖然讓最為嚴重的侵犯公民個人信息的行為可以被納入刑法的打擊半徑，但是，司法解釋上“退十步進半步”的解釋思路，導致刑法嚴重地自我剪切制裁半徑，制裁極少數和放縱大多數，是一種客觀現狀。⑥于志剛：《“公民個人信息”的權利屬性與刑法保護思路》，載《浙江社會科學》2017年第10期，第4頁。目前關于侵犯公民個人信息犯罪的刑法條款數量較為有限、適用范圍相對狹窄，且缺乏相應的前置性行政法律制裁規范以及個人信息管理機制，這直接導致司法實踐中法律適用的模糊性與抽象性，加劇了侵犯公民個人信息犯罪治理的難度。

（一）行為方式認定標準不統一，造成司法評價差異化

通過中國裁判文書網、無訟案例網和北大法寶等案例平臺，筆者對2016-2019年間侵犯公民個人信息罪的裁判文書進行梳理，其中“以其他方法非法獲取”認定的比例極高，共搜集到2706個案件，其中2016年241件，2017年652件，2018年897件，2019年916件。通過對判決書內容的整理歸類，發現當法院以“以其他方式非法獲取”作為認定侵犯公民個人信息行為時，大多并未具體闡明如何界定“以非法方法獲取”。絕大多數判決文書并未詳細引述具體“國家有關規定”條文，而是簡單概述而過，這導致被告方往往以其行為不屬于“非法獲取”為由進行抗辯。當前司法實務中，“以其他非法方法獲取”的認定標準存在較大的爭議。《解釋》第4條雖然對“以其他方法非法獲取”進行詳細的規定，明確規定成立“以其他方法非法獲取公民個人信息”，應以“違反國家有關規定”為前提，并列舉了購買、收受、交換或在履職過程中收集的“其他方法”，“國家有關規定”具體指向涉及個人信息保護的法律、行政法規、部門規章。但目前司法實踐中仍缺乏對“非法性”及“其他方法”的具體類型化認定標準。

侵犯公民個人信息行為的行政違法性是刑事違法性的前提，由于我國目前有關公民個人信息保護的法律、法規散見于涉及眾多行業的法律法規中，尤其是個人信息法律保護缺乏對企業數據利用安全邊界的明晰界定，對企業的數據利用行為進行監督和定責成為難點。且隨著互聯網技術的不斷進步，侵犯公民個人信息罪更多地發生在網絡空間中，傳統的司法偵查手段根本無法準確認定信息來源；采用購買、收受、交換、在履職過程中收集等以外如網絡爬蟲、隱私政策授權方式等獲取公民個人信息的，能否認定為“非法獲取”的“其他方法”，司法實踐尚無統一明確的標準。當前司法實踐中對于侵犯公民個人信息罪的懲處以自然人犯罪為主，單位犯罪“紙面化”情形嚴重，尤其是當前網絡服務提供者基于“一攬子授權”隱私條款下對于公民個人信息的收集行為與使用行為的“非法性”認定規則模糊，定性艱難，各地司法實踐中的做法各不相同，這加大了各地司法部門可能做出差異化法律評價的可能性，使得人們對于公民個人信息利用活動的可預測性和確定性程度大幅降低，從而導致相關當事人的權利義務處于不確定的狀態，有違司法正義的內在價值。

（二）“去標識化”標準不明，導致犯罪對象認定存疑

大數據時代透明度變得更加重要，大數據的力量很大程度上來自對數據集的二次使用，從而產生新的預測和推論。①Audrey Watters, What Does Privacy Mean in an Age of Big Data?, O"Reilly (Nov. 2, 2011) (documenting an interview with author Terence Craig on the importance of transparency in theage of big data)，http://strata.oreilly.com/2011/11/privacy-big-data-transparency.html，下載日期：2020年9月 26日。意即，大數據時代很難實現絕對的數據匿名化，大數據運用的顯著特征和方式就是對海量的數據進行深度挖掘。目前立法尚未對企業數據權的歸屬作出明確規定，數據匿名化處理②匿名化：“匿名化是指將個人數據移除可識別個人信息的部分，并且通過這一方法，數據主體不會再被識別。匿名化數據不屬于個人數據，因此無須適用條例的相關要求，機構可以自由的處理匿名化數據.”匿名化處理技術通過泛化、分解、置換、干擾等數據計算方法消除用戶的敏感身份信息，達到保護數據主體個人隱私權的目的。成為企業數據權歸屬確定的主要標準，歐盟一般數據保護條例（GDPR）認為匿名化數據權屬分配核心在于“去識別化”的勞動，這才是數據交易合法性的邏輯基礎。③石丹：《大數據時代數據權屬及其保護路徑研究》，載《西安交通大學學報（社會科學版）》2018年第3期，第80頁。我國司法實踐中，數據匿名化作為判斷企業數據合法使用與占有的標準，《解釋》中明確“經過處理無法識別特定個人且不能復原的信息”不作為《刑法》第253條的保護對象，市場監管總局實施的國家標準《信息安全技術：個人信息安全規范》（GB/T35273-2017）將對個人信息的處理利用進一步明確為去標識化技術。

由于統一的“去標識化”個人信息認定標準尚未出臺，造成各地實踐在個案中對于去識別化信息的認定存在較大差異。有學者提出，當前《刑法》不僅應當保護公民個人信息，更應當保護企業經相關信息主體授權并經去標識化處理后的信息數據權。①敬力嘉：《論企業信息權的刑法保護》，載《北方法學》2019年第5期，第74頁。強調企業信息權的保護，進一步導致司法實踐中對涉案個人信息數量的認定出現障礙。對于《解釋》第5條中規定的50條、500條及5000條數量要求是“情節嚴重”的重要認定標準，在“去標識化”司法認定尚未統一標準時，各地司法實踐對于涉案個人信息的清點以及認定不可避免會存在較大的差異，甚至會造成罪與非罪的認定偏差。如何認定去識別化技術，如何區分公民個人信息與企業信息專有權，對于絕大多數不具有此方面專業知識的法官而言，無疑在客觀上加大案件辦理的難度。即使是表面上已經排除了可識別性和關聯性的數據，在與其他大量數據結合比對分析的基礎上，往往也總能識別出特定的個人，即再識別化。再識別技術已可以實現對去標識化信息進行重新識別，是否應當將其納入刑事規制的范圍也是亟待解決的問題。

（三）企業信息“黑色產業鏈”行為入罪率不高

2019年《網絡犯罪治理防范白皮書》指出：侵犯公民個人信息已經逐漸形成了“源頭——中間商——非法使用”的龐大地下黑色產業鏈。相較于傳統個人身份識別類靜態個人信息，個人活動類動態個人信息的比重開始增加；獲取手段也從誘騙、脫庫向非法爬取數據等方式轉變。如下圖所示，企業內鬼、數據中間商也在這條黑色產業鏈中扮演著重要角色。數據服務商從企業內鬼和數據中間商處獲取數據，用于商業行為；而數據中間商則負責對數據進行清洗、驗證，然后出售給下游的非法數據利用者，由他們實施敲詐勒索、暴力催收等犯罪。

存證取證難、犯罪跨平臺且資金流向分散、內外勾結等特點帶來了網絡黑產的治理困境，司法實務中認定自然人犯罪比例較高，對于企業侵犯公民個人信息犯罪的制裁為極少數。筆者以“侵犯公民個人信息罪”和“單位犯罪”為全文關鍵詞進行檢索，2015年9月至2020年5月期間的刑事判決書，共141份。其中2016年4份，2017年21份，2018年61份，2019年48份，2020年7份。通過對141份裁判文書的再梳理，通過中國裁判文書網的高級檢索功能，以“單位犯罪”為判決理由關鍵詞、“公司”為當事人段關鍵詞，以“侵犯公民個人信息罪”為全文和判決結果關鍵詞進行二次篩選檢索，搜集到單位侵犯公民個人信息罪的刑事判決書共40份，其中刑事一審判決書37份，刑事二審判決書3份。②中國裁判文書網，https://wenshu.court.gov.cn/，下載日期：2020年10月3日。侵犯公民個人信息罪中單位犯罪案件僅占上文統計的侵犯公民個人信息罪案件總數的0.55%。盡管近年來，諸多學者批評《刑法修正案（九）》所增設的拒不履行信息網絡安全管理義務罪、幫助信息網絡犯罪活動罪是對刑事處罰范圍的過度擴張。①參見周光權：《網絡服務商的刑事責任范圍》，載《中國法律評論》2015年第2期，第 175～178頁；車浩：《刑事立法的法教義學反思——基于<刑法修正案（九）的分析>》，載《法學》2015年第10期，第 3～16頁；劉憲權：《刑事立法應力戒情緒——以<刑法修正案（九）為視角>》，載《法學評論》2016年第1期，第 86～97頁；劉艷紅：《網絡中立幫助行為可罰性的流變及批判——以德日的理論和實務為比較基準》，載《法學評論》2016年第5期，第40～49頁；何榮功：《預防刑法的擴張及其限度》，載《法學研究》2017年第4期，第138～154頁。但是，相對于無比強大且人類尚缺乏足夠認知的網絡世界，基于對風險的防范和控制，加大懲罰力度是必要的。特別是作為基礎性犯罪的侵犯公民個人信息罪應當嚴密刑事法網，加大懲罰力度。尤其對于專門對公民個人信息進行海量挖掘，搭建“榨干式”非法利用產業鏈利益關系，以進行違法犯罪活動的相關組織，應當從嚴懲處。

三、侵犯公民個人信息犯罪治理效果不佳之原因剖析

根據中消協《App個人信息泄露情況調查報告》顯示，有高達85.2%的公民存在個人信息泄露的情況，互聯網企業對個人信息非法利用行為、企業經營者未經授權收集個人信息和合法收集數據后非法故意泄露信息是個人信息泄露的主要途徑。②數據源于2018年8月29日中國消費者協會發布《APP個人信息泄露情況調查報告》，http://www.cca.org.cn/jmxf/detail/28180.html，下載日期：2020年10月3日。但是司法實踐中，由于傳統刑事規制不夠周延、被侵害個體舉證困難及司法認定標準模糊等因素，相較于被侵犯濫用的公民個人信息數量，只有極少數的侵犯公民個人信息犯罪得到懲治。

（一）公民個人信息侵權救濟渠道不暢通

在傳統的集中化框架下，個體用戶往往面臨較為尷尬的處境。與擁有各種現代數據挖掘和分析技術的公司和組織相比，其個人信息似乎是“透明的”，技術的不對稱使得個體用戶處于被動地位，無法實現自主的數據隱私保護。③Hina Vaghashia and Amit Ganatra “A survey: privacy preservation techniques in data mining.”International Journal of Computer Applica tions ,vol.119，2015，pp.20-26.侵犯公民個人信息犯罪由于其隱蔽性、技術性等特征導致公權力機關的追訴打擊具有一定的滯后且容易被忽略，造成實踐中大量的侵犯公民個人信息犯罪無法得到懲治。侵犯公民個人信息罪屬于刑法分則第四章規定的罪名，對被告人可能判處3年以下有期徒刑刑罰，符合《刑事訴訟法》中提起刑事自訴的相關規定。然而，從現有的救濟途徑來看，絕大多數的侵犯公民個人信息犯罪呈現以公權力機關主動打擊為主的特點。實際上公民個人往往是最早意識到其“個人信息”被非法侵犯，但司法實踐中個人向公安機關主動報案或向法院提起自訴的情況為極少數。

筆者設置“侵犯公民個人信息罪”“自訴”等關鍵詞于中國裁判文書網上檢索，只獲得侵犯公民個人信息罪的自訴案例24件，除去同一案件的二審、申訴文書，僅得到有效案例8件，且有效案例的判決結果均為因證據不足而被駁回。由此可以看出，盡管公民飽受個人信息被泄露和被非法提供的困擾，但報案動機不強，究其根本原因在于，實踐中個人信息被非法使用的公民，維權實則缺乏有力的制度支撐。立法中侵犯公民個人信息罪的具體規則是以公權力機關為主體進行設置的，公民對于侵犯其個人信息行為的自我維權實則缺乏相應的配套機制。這就導致實踐中公民對于侵犯其個人信息的犯罪行為往往因其自身舉證能力不夠、證據不足而被公安部門不予受理或被法院駁回起訴。

（二）現有類型化行為方式難以滿足實踐的需求

在大數據時代，有限的國家司法資源與激增的侵犯公民個人信息犯罪之間存在著難以短期逾越的現實障礙，數據識別算法可以進行完整的自我學習。原始數據挖掘新的信息，既增加了個人隱私暴露的危險，又使市場競爭乃至社會安全、國家安全暴露在危險之中。④國瀚文：《互聯網企業數據識別反壟斷法律監管規制》，載《重慶郵電大學學報（社會科學版）》2019年第2期，第40頁。我國《刑法》目前規定的侵犯公民個人信息罪，采單一罪名模式，統一規制買賣、提供與非法獲取個人信息的行為。①根據我國《刑法》253條之一的規定，違反國家有關規定，出售或者提供公民個人信息，竊取或者以其它方法非法獲取公民個人信息的，達到“情節嚴重”的程度，即可以入罪。違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，構成犯罪；第3 款規定，非法獲取公民個人信息，情節嚴重的，構成犯罪。該條文一共規定了3種行為方式，即非法獲取、提供以及出售個人信息。提供，可以是對特定人提供，也可以是通過信息網絡或者其他途徑發布個人信息，與非法披露意思相近。作為一個典型的法定犯，需要以違反國家有關規定為前提。同時，根據《刑法》謙抑性原則，在入罪方面，設置了“情節嚴重”“情節特別嚴重”的入罪門檻。在法定刑設置方面，該罪盡量做到考慮周全，既考慮避免刑罰的濫用，又盡量做到對侵犯公民個人信息行為的有效打擊。

但是，具體而言，我國立法只規定了非法獲取、非法出售或者非法提供公民個人信息行為的違法性。在行為的類型化方面，立法盡管極力窮盡實踐中可能的侵犯公民個人信息的行為方式，但是，行為的類型化明顯不足，難以適應實踐的具體需求。有學者指出，“當前我國《刑法》對侵犯公民個人信息只規定了非法獲取、出售和提供三種行為類型，刑事手段無法實現對個人信息的周延保護，無法有效規制實踐中最為嚴重的非法使用公民個人信息這一行為類型。”②劉仁文：《論非法使用公民個人信息行為的入罪》，載《法學論壇》2019年第6期，第118頁。當前，侵犯公民個人信息犯罪往往成為其他犯罪的基礎性、服務性犯罪，很多情況下造成公民合法權益受到侵犯的并不是出售、提供、非法獲取行為本身，而是通過對于信息的非法使用、非法處理乃至非法公開而導致公民信息流轉過程中滋生大量其他犯罪。個人信息的非法使用已經成為侵犯公民個人信息犯罪體系中的核心行為，其日漸獨立于獲取、出售、提供等犯罪行為方式，已不再局限于“下游犯罪”。

（三）前置性規定標準不明

近年來，個人信息被非法傳播和使用的案件層出不窮，為遏制泛濫的侵犯公民個人信息犯罪，《刑法修正案（七）》《刑法修正案（九）》不斷擴張侵犯公民個人信息犯罪的刑事制裁范圍，并出臺《解釋》及時回應實務中存在的諸多問題。然而，侵犯公民個人信息罪是法定犯、行政犯，其與相關個人信息保護的行政法律法規的聯系十分緊密。前置性規定標準不明，使得治理侵犯公民個人信息犯罪的實踐效果不佳。從“違反國家規定”到“違反國家有關規定”，使得更多的法律主體擁有對于該罪的解釋權，實際上擴大了刑事處罰的邊界。“違反國家有關規定”作為該罪的法定空白罪狀，賦予其他行政法律法規部分違法性的判斷職能。對侵犯公民個人信息行為的入罪刑罰邊界確定也有著重要的意義。侵犯公民個人信息的行為是否具有刑事違法性，必然以行政違法性的判斷為前提。當前“公民個人信息”主要是由《刑法》第253條的侵犯公民個人信息罪，配合著民法上的隱私權制度和分散于各行政法規與規范性文件中保護個人信息條款進行保護，更多的是依靠經驗歸納，這使得司法實踐中，在對于侵犯公民個人信息行為進行入罪化認定時，容易出現畸重畸輕的差異化評價，不利于實現刑法的穩定性。且對于該罪犯罪行為方式的認定，也建立在前置性行政規范的判斷基礎之上。實務部門在工作中發現涉嫌侵犯公民個人信息的行為，往往因無法準確定性而按照行政違法案件處理，客觀導致了放縱犯罪的結果。前置性行政法律法規的模糊在一定程度上影響《刑法》第253條刑罰權的發動，使得司法實踐中無法明確同一的、適當的侵犯公民個人信息的行為的入罪可罰性的邊界。

四、規制侵犯公民個人信息犯罪的域外經驗及啟示

個人信息保護已成為大數據時代世界各國共同面臨的一項全新挑戰，世界上主要的國家與地區都形成了較為完善的個人信息保護法律體系，確立了侵犯公民個人信息犯罪的刑事制裁規則。大數據時代，個人信息內涵的不斷擴張、信息關聯性對比普遍性發展以及信息匿名再識別的新風險使得我國現有法律適用面臨著極大的不確定性，域外主要國家與地區對于個人信息保護立法大致可分為三種類型：全方位個人信息保護模式、僅適用于特定產業的個人信息保護以及欠缺個人信息保護特定法制。①翁清坤：《大數據對于個人資料保護之挑戰與因應之道》，載《東吳法律學報》2019年第3期，第107頁。域外個人信息保護的立法模式為我國進一步周延個人信息刑法保護提供新的思路。

（一）立法呈現風險防控導向

不少國家和地區對于個人信息犯罪的規定體現了嚴密法網、風險控制、提前預防的思路，提前了法益保護的時間。如德國，刑事立法中規定的數據犯罪包羅了數據流通的各個環節，《刑法典》還通過預備行為實行化，對個別嚴重罪行的未遂犯，如303a條的變更數據罪和303b條的破壞計算機罪亦進行刑事懲罰，擴大對個人信息犯罪的打擊范圍，以實現對個人信息犯罪風險的更好控制。我國臺灣地區的個人信息保護刑事條款也強調對個人信息犯罪的風險控制，新“個人資料保護法”中“罰則”第41-46條相較于舊法提高了法定刑，加大了處罰力度，并擴展了管轄適用的范圍。“刑法典”中幫助行為正犯化、預備行為實行化，設置抽象危險犯等相關措施更是體現積極預防的刑罰理念②汪東升著：《個人信息的刑法保護》，法律出版社2019年版，第80頁。，如“刑法典”第315條妨害秘密罪將意圖營利供給場所、工具或設備的幫助行為獨立入罪，第358條入侵計算機或相關設備罪將非法入侵計算機或其他設備這種典型的預備行為正犯化處理，都體現了風險控制與阻卻實質危險的立法本意。澳門特別行政區在刑事立法中有多個罪名是以行為犯的方式規定的，并不要求發生損害后果，如“違反保密義務罪”“不當查閱個人資料罪”等，若造成損害結果則進一步加重處罰，此外還規定了多種附加刑以實現對個人信息的積極保護。

（二）對個人信息的保護建構了嚴密的法律體系

通過對主要國家與地區相關立法例的梳理，無論是采用分散立法保護模式抑或統一立法模式，各國均實現了對個人信息的統一周延保護。如德國1990年《聯邦數據保護法》采用人格權制度，在一部法律中規定了統一個人信息保護規則，在刑事層面，德國采用刑法典與單行法相結合的個人信息犯罪打擊體系，《德國刑法典》第202a、202b、202c、202d、303a等條款集中設置關于個人信息保護的相關罪名，與《聯邦數據保護法》第44條相互銜接，較為系統和全面構建德國個人信息法律保護體系。③《德國刑法典》，徐久生、莊敬華譯，中國方正出版社2004年版，第22～23、第104～107頁。美國采用分散立法保護模式，適用隱私權制度對個人信息進行保護，如《隱私權法》《消費者保護法》《電子通訊隱私法》《信息安全保護法》《網絡隱私保護法》等聯邦、州兩級立法體系以及判例法、行政法的補充，使得隱私權制度實現對個人信息的周延保護，在刑法保護方面，美國制定了如《禁止身份盜竊及假冒法》《身份盜竊刑法加重法》等專門的法規，針對打擊利用個人信息進行相關的上下游犯罪，共同保護消費者信息免于被濫用，同時強調合理個人信息利用下的更大價值實現。④周漢華主編：《個人信息保護前沿問題研究》，法律出版社2006年版，第11～12頁。我國臺灣地區一直致力于完善個人信息法律保護體系，“個人資料保護法”通過增加保護客體，擴大保護義務適用主體，明確告知義務以及當事人拒絕權等具體條款設置，不斷加大對公民個人信息的保護力度，并通過減免訴訟費、鼓勵團體訴訟、在侵犯個人信息的糾紛中，由收集信息的一方承擔舉證責任等具體措施保障個人權益。在刑事“立法”上，主要體現為“刑法典”與“附屬刑法”相結合的模式，“電腦處理個人資料保護法”“通訊保障及監察法”“個人資料保護法”等法律法規中都分布了一些作為附屬刑法而存在的隱私權刑法保護規范，與“刑法典”共同構成了完備的個人信息法律保護體系。澳門地區同臺灣地區相似，也采用刑法典與附屬刑法相結合的模式，散見于《澳門個人資料保護法》《打擊電腦犯罪法》《通訊保密及隱私保護法》等單行法中的刑事條款與《澳門刑法典》形成統一的個人信息保護法律體系。

（三）立法精細、可操作性強

1. 清晰界定犯罪主體與保護對象

為實現對侵犯公民個人信息犯罪的精準打擊，域外諸多國家地區的立法均對犯罪主體與保護對象進行明確的分類。如美國有直接針對身份盜竊的刑事立法，《防止身份盜竊及假冒法》和《身份盜竊刑罰加重法》以及各州立法準確打擊。并在《隱私權法》《公平信用報告法》《電子通訊隱私法》等法律中明確其他侵犯公民個人信息犯罪的主體及保護對象。①周漢華主編：《域外個人數據保護法匯編》，法律出版社2006年版，第316頁。《德國刑法典》在第15章侵害私人生活和秘密第201-206條清晰界分了信息傳輸、信息接入、信息提供過程中的犯罪主體與保護客體，設置了侵害言論秘密罪、侵害通信秘密罪、探知數據罪、侵害他人隱私罪、利用他人秘密罪、侵害郵政或電訊秘密罪等詳細罪名，主體明確，保護范圍廣。日本《個人信息保護法》第6章“罰則”在第56條至第59條中，明確規制對象主要是個人信息處理業者，并有清晰的主體界定標準。《日本刑法典》以及其他相關的刑事法規對犯罪主體和保護客體都作出了明確的規定，如對律師、醫生、公證員等特殊職業身份的犯罪主體犯泄露秘密罪苛以較高的有期徒刑或罰金刑②張凌、于秀峰編譯：《日本刑法及特別刑法總覽》，人民法院出版社2017年版，第30、第52頁。。在《國家公務員法》中規定了對因職務獲取的個人信息行為的處罰。③[日]西田典之著：《日本刑法格倫》，劉明祥、王昭武譯，法律出版社2013年版，第107頁。《法國刑法典》在罪名設置中明確犯罪主體，有一般自然人主體，同時也有法人主體，并規定部分犯罪的特殊主體范圍，并詳細列舉了犯罪對象，包括機密性情報資料、郵件、通信信件、記名信息資料、記名數據資料等。我國臺灣地區也對犯罪主體與保護客體做了明確細分，追求周延的保護對象設置。新“個人資料保護法”通過“概括＋列舉”方式劃定個人資料范圍，并列出了對敏感個人信息的特別保護。④臺灣地區“個人資料保護法”第6條規定“醫療、基因、性生活、健康檢查及犯罪前科”五類個人資料為特種資料，對于特種資料之收集、處理或利用應較一般資料更為嚴格。第41條至第46條規定了不同主體違反該法相關規定犯罪、意圖營利違反相關規定犯罪、意圖為不法利益犯罪以及公職人員利用職權犯罪等應當承擔的相應刑事法律責任。此外“刑法典”第28章“妨害秘密罪”與第36章“妨害計算機使用罪”都直接或間接體現對不同客體隱私權的保護。大部分國家和地區都在刑法或相關性法律中對于侵犯公民個人信息的犯罪主體與保護客體作出具體性規定，便于司法適用，使個人信息在日常生活中得到盡可能廣泛保護。

2. 對入罪的行為方式進行詳細類型化歸納

域外國家與地區的立法通過不斷完善對犯罪行為方式的類型化認定，實現對侵犯公民個人信息犯罪的全面制裁。德國《聯邦數據保護法》第44條規定涉及的行為方式有7種，包含非法利用行為。《德國刑法典》更是細致規定了非法私拆他人信件、履職中非法利用或侵犯他人秘密、未經授權非法泄密等具體的個人信息犯罪的行為類型方式。美國對于隱私權保護理論完備，立法細致，刑事責任規定在各單行法中，如《公平信用報告法》規定了惡意欺詐手段獲取或披露信息的犯罪方式；《模范刑法典》嚴厲打擊如非法竊聽、非法監視以及侵害他人通信秘密等侵犯個人隱私犯罪。英國在《數據保護法案》中，根據不同的犯罪行為方式大致劃分為：非法獲取、出售或披露個人數據類犯罪、侵犯或利用數據主體訪問權類犯罪、重新識別去標識化信息類犯罪等幾類侵犯個人信息罪群。⑤陳夢尋：《中英個人信息犯罪比較研究》，載《重慶郵電大學學報》2019年第6期，第43頁。我國臺灣地區刑法也是通過加強罪狀實現對侵犯公民個人信息犯罪的規制，“刑法典”第28章中專門規定了妨害秘密罪，包括7種⑥臺灣地區“刑法典”第28章妨礙秘密罪具體包括：妨害書信秘密罪、窺視竊聽竊錄罪、便利窺視竊聽竊錄罪、泄漏業務上知悉的他人秘密罪、泄漏業務上知悉的工商秘密罪、泄漏公務上知悉的工商秘密罪、泄漏因利用計算機或其它相關設備知悉或持有他人秘密罪等7種犯罪。實踐中高發的犯罪行為；第36章專門將計算機領域的相關犯罪行為方式加以類型化確認，如358條入侵電腦或相關設備罪、359條無故取得、刪除或變更電磁記錄罪等，對犯罪行為方式的準確歸納，便于司法適用。我國澳門地區采用行為犯模式，以犯罪行為方式設置相關的罪名，《澳門個人資料保護法》第37-41條中具體規定了5種犯罪行為方式，《澳門刑法典》中對于侵犯私人生活的犯罪、侵犯通信工具的犯罪以及違反保密及棄職方面的犯罪罪狀與行為方式也均作出了詳細的闡明。①王立志：《澳門地區隱私權刑法保護及其評析》，載《學術交流》2014年第7期，第83～87頁；劉榮等：《我國港澳臺地區個人資料保護立法體系比較研究》，載《征信》2012年第4期，第72～75頁。

五、我國侵犯公民個人信息罪之完善建議

2019《中國互聯網絡發展狀況統計報告》顯示， 至2018年12月，我國互聯網普及率高達59.6%，手機移動終端上網占比98.6%，網民規模達到8.29億，手機網民規模達8.17億。②中國互聯網絡信息中心（CNNIC）：第43次《中國互聯網絡發展狀況統計報告》，http://www.cac.gov.cn/2019-02/28/c_1124175677.htm，下載日期：2020年9月25日。不管網絡空間是否構成獨立的社會生活空間，但從目前的狀況看，網絡空間已經成為民眾日常生活中不可或缺的一部分，正與傳統的社會生活領域發生線上與線下的混同。相應地，網絡犯罪由最傳統的以網絡為對象，發展到以網絡為工具，再演變為以網絡為空間。近年來，關于刑罰權的發動，以及刑罰的合適配置等問題，不斷有學者主張引入行政法中的比例原則，以追尋更為理性的罪刑模式，彌補現行刑法基本原則的不足。③陳曉明：《刑法上比例原則應用之探討》，載《法治研究》2012年第9期，第91～100頁；姜濤：《追尋理性的罪刑模式：把比例原則植入刑法理論》，載《法律科學》2013年第1期，第100～109頁。然而侵犯公民個人信息罪，是目前所處的以網絡為空間的犯罪中的純正的網絡犯罪。對于該罪的懲處，本文認為，應當加大懲處力度，繼續嚴密刑事法網。

（一）嚴密法網，完善相關法律法規

隨著社會數字化的生存需求越發依賴信息全面分享，數據不再簡單存儲于計算機信息系統中，而是處在活躍的交換傳輸狀態。傳統構筑在隱私權基礎之上的公民個人信息保護已經不能適應當前異常復雜的網絡世界，更無法回應新型網絡犯罪下個人保護的現實需求，甚至導致司法實踐中出現一些爭議和分歧。如前文所述，我國關于公民個人信息保護的統一立法尚未出臺，前置性行政規范的缺位導致以“違反國家有關規定”為前提的犯罪認定存在爭議；“以其他方法非法獲取”的立法列舉不完善、認定標準的粗泛化，導致司法實踐中證明犯罪嫌疑人信息來源的非法性存在困難。

我國應當進一步嚴密法網，完善法律解釋以及構建合理的刑事追訴制度來解決司法認定中存在的問題，以《解釋》第2條規定為基礎，將現有的法律法規，國務院的決定措施以及行業標準進行統一整合，為司法實務提供明確的公民個人信息認定標準以及獲取公民個人信息的具體法律依據、授權和資格指引。主要包括以下幾個方面的完善：第一，進一步明確企業信息安全義務。《網絡安全法》與《信息安全技術個人信息安全規范》（以下簡稱為《規范》）中，雖系統的設置了網絡平臺對個人信息的保護責任，要求企業對信息安全事件采取記錄、評估、上報、告知等四類風險防控措施，并設置個人信息安全影響評估機制，指引企業處置報告信息安全事件。但由于《規范》并非國家強制性標準，而是國家推薦性標準，其對于相關平臺的約束力很難得到保證，這將導致《規范》無法起到預想的規制效果。④戴正：《數據企業的個人信息保護責任：從GDPR到中國》，載《經濟研究導刊》2018年第36期，第19頁。因此有必要引入企業信息安全義務的更嚴格標準，便于司法界定企業自身實施的犯罪、企業客觀幫助實施的犯罪和不履行信息網絡安全管理義務的犯罪。第二，明確“去標識化”的認定標準。基于“公民個人信息”的多元屬性以及信息“匿名化”處理標準不一與“再識別化”的風險，立法對于企業信息專有權的態度較為模糊。兩高《解釋》中規定“經過處理無法識別特定個人且不能復原的信息”不屬于侵犯公民個人信息罪的保護對象，但實踐中去識別化技術水平的差異化以及認定標準不一使得在司法實踐中對于侵犯公民個人信息犯罪的對象與數量認定上存在困難。應當進一步修訂完善相關認定標準，對于擁有公民個人信息的互聯網企業、網絡平臺以及其他組織專有信息的認定標準加以明確，以利于司法實踐中侵犯公民個人信息犯罪對象與數量的準確查證。第三，明確個人信息利用行政違法行為類型。《刑法》第253條規定的“違反國家有關規定”是該罪的法定構成要件，實踐中空白罪狀無法得到具體的明確，使得對于侵犯公民個人信息犯罪的入罪化處理存在很大障礙。因此，在行政法律法規上明確個人信息利用行為的違法類型，能有效為刑事司法工作提供確切依據，更有助于合理地確立侵犯公民個人信息行為的入罪刑罰邊界。

（二）進一步類型化侵害行為

我國《刑法》“對個人信息的規制經歷了附屬他權保護、數據安全保護、專門規制保護三個階段，但在規制邏輯上卻延續了基于隱私保護模式的僅制裁轉移型侵害的狹窄思路，僅入罪規制非法提供、獲取或泄露個人信息的轉移型行為，無法將濫用信息行為納入規制范圍，導致對大數據環境下 ‘合法獲取、不當濫用’的典型問題束手無策。”①李川：《個人信息犯罪的規制困境與對策完善——從大數據環境下濫用信息問題切入》，載《中國刑事法雜志》2019年第5期，第40頁。當前，尤其是互聯網企業非法利用個人信息的行為已成為監管的核心難題，由于立法上的關于個人信息非法使用的規定存在缺位，導致諸如非法廣告聯盟、第三方信息買賣等違法行為在司法適用過程如何定罪存在爭議。與其繼續參照實務中以“非法經營罪”等口袋罪牽強適用的傳統做法，不如從立法上回應這一現實問題，將非法使用個人信息的行為類型化入罪，將實踐中形式多樣的個人信息非法使用行為統一納入個人信息非法使用的行為框架下。

如前文所述，公民個人信息已經成為其他犯罪的常見工具與犯罪基礎，非法使用、非法散布公民個人信息的行為是當前最直接的、個體法益侵害最精準的行為類型，尤其是企業在數據海量共享與多元化傳播環境下濫用個人信息的行為已成為一種社會常態。為實現對個人信息的更周延保護，筆者認為應當對《刑法》第253條的侵害方式進一步類型化擴充，依據實踐情況不斷加強對新興犯罪行為方式的規制。行為方式的類型化擴充，既能與相關的前置法協調銜接適用，且使得刑法規范的內在邏輯形成閉環，非法使用個人信息行為的入罪化處理能更好地實現社會、企業和個人對個人信息安全的合理保護，同時也為個人信息被非法使用的公民維權提供有力的法律支持。

（三）構筑公民個人信息侵權的有效維權路徑

隨著大數據時代下網絡技術迭代更新，借助互聯網實現的侵犯公民個人信息的犯罪將愈發呈現出隱蔽性、靈活性、復雜性的特點，偵查機關發現犯罪、調查取證、證明定罪都具有一定難度，且極易遺漏。公民是最可能及時發現個人信息被侵犯的，因此構筑公民個人信息維權的有效路徑是實現周延保護公民個人信息所必不可少的。“公訴＋自訴”的混合救濟模式是當前應對復雜的個人信息犯罪的最佳方案。筆者通過對僅有的8個自訴案例進行分析，發現自訴案件中對侵犯公民個人信息罪的相關證明責任標準仍是參照公權力機關為主體進行設置的。這就導致，公民自訴有可能因舉證能力不夠、證據不足而被公安部門不予受理或被法院駁回起訴。因此，應當制定一個相對低的自訴證明標準，如設置一定限制條件下舉證責任倒置規則，構建公民個人信息侵權的報案、記錄以及后續處理的一體化維權機制，使得受到侵害的權利主體能夠在發現違法犯罪行為時，及時依據自身掌握的證據，在維權機制的有效運轉下，向人民法院提起刑事自訴，及時高效地實現自身權利救濟，彌補公安機關在主動發現打擊犯罪時的忽略與滯后，又能避免過長的追訴時間與復雜程序導致的公民維權效率低下，打擊公民維權的積極性。

（四）創設企業刑事合規制度，有效預防單位犯罪

大數據時代，有限的國家司法資源與日益紛繁復雜的企業信息犯罪控制之間存在著難以短期逾越的現實障礙。在擴大網絡信息安全犯罪圈的同時，有效地引導行業自律是新網絡空間下要探討的另一個問題。實踐中，單位犯罪的發生往往并不僅是由單位內部自然人的某個決定引起，更多的是由于單位管理體制和監督機制有缺陷導致的。①黎宏：《單位犯罪中單位意思的界定》，載《法學》2013年第12期，第153～160頁。在有效規制侵犯公民個人信息罪之單位犯罪方面，可以考慮創設刑事合規制度，具體包括建立和完善企業使用客戶信息合規準則，以及搭建企業個人信息保護的合規體系兩個方面。

1. 建立和完善企業使用客戶信息合規準則

企業信息數據合規的內容應全方位、多維度考慮維護各方利益。從維護國家安全與公共利益的層面上，企業要建立數據留存、數據境內外傳輸、數據執法協助等多方面的合規機制，依照法律法規，配合網信部門和其他政府部門的有關業務需求對企業數據進行安全管理；立足公民權利本位，企業應制定用戶隱私服務政策、數據使用協議和合規數據技術處理流程，維護公民的合法權益；市場競爭關系下應及時關注、規避企業間不正當商業競爭、數據壟斷行為，在保護自身商業秘密的同時抵御外來商業風險。企業刑事合規要進行頂層制度和體系設計，完成事前防范、事中控制和事后應對的三大模塊行動指南設計。

首先要做好事前的防范，依照憲法、法律法規和其他規范性文件制定的企業用戶信息使用準則，結合企業經營特點建立個人信息使用的合規評估體系，將經營活動中必然或可能會面臨的一般刑事風險和特殊刑事風險進行準確“定位”，明確信息收集活動中每一步行為的邊界并進行員工信息合規培訓。其次，嚴格監控企業的信息收集活動，做到全流程把關，建立大數據保護合規審計、合規報告、24小時舉報等多種信息活動的內部監管機制，并在技術層面不斷實現對用戶信息分級管理與匿名化操作的優化升級。最后，要完善企業的事后應對機制。應以具體章程明確當個人信息數據侵犯用戶信息權時，企業如何進行內部調查、漏洞整改、違規人員處理、如何保障個人信息安全的損害最小化等一系列具體的應對措施。

2. 搭建企業個人信息保護的合規體系

企業數據安全管理中，人是最大的風險，也是最好的尺度，但目前合規文化的重要性仍處于被忽視的狀態。要實現企業對個人信息的真正保護，緩解技術對法律的沖擊，不僅要提升企業的風險責任意識，更要重視對企業員工合規意識的培養。因此要構筑企業個人信息保護的合規組織體系，建立企業內部的信息合規專門部門或相關的管理委員會，任命首席合規官并以其為牽頭，實現企業管理層自上而下、以身作則、率先垂范，嚴格遵循企業個人信息數據處理活動的指南，并定期進行全體員工的合規培訓，加強法律知識的普及，以提高職員的數據合規、隱私保護意識。

六、結語

正如科德·戴維斯在他的《大數據倫理學》一書中所言，“意外后果所帶來的潛在危害，可能很快就會超過大數據創新的價值。”②Kord Davis & Doug Patterson, Ethics of Big Data，2012，p.5.數字化時代，人們既依賴數據收集使用下的巨大價值創造，也恐慌著高度數據化帶來的巨大風險。個人信息犯罪日益猖獗，對個人信息的非法收集、非法使用觸發了一系列以網絡為空間、網絡為工具的違法犯罪。因此，妥善的解釋和適用相關侵犯公民個人信息罪行規范是當前迫切需要的。當然解釋應當在文義的可能含義范圍內和目的解釋的訴求下進行。③林貴文：《輪奸成立學說的法教義學批判與證成》，載《法律科學（西北政法大學學報）》2019年第6期，第56頁。通過對實踐中侵犯公民個人信息罪適用分析，并借鑒域外立法例的相關有益思路，盡快實現我國個人信息保護的法律規范體系構建，完善相關行政法律法規，與《刑法》相協調，為個人信息保護提供有力的依據。在秉持刑法謙抑性原則的基礎上，嚴密法網，進一步類型化侵犯公民個人信息犯罪行為方式，并適當開放自訴渠道。在刑罰積極預防思路下，建議引入刑事合規計劃，進一步阻斷企業侵犯公民個人信息的途徑，使個人信息權利和企業數據利益得到有效保障。