何 群 ， 曾錚瀅

隨著網(wǎng)絡(luò)、大數(shù)據(jù)、AI等高科技在現(xiàn)代社會的廣泛運(yùn)用和快速發(fā)展，網(wǎng)絡(luò)空間是否已成為與現(xiàn)實(shí)空間并行且獨(dú)立的社會空間，已然成為近年來學(xué)界熱議的話題。當(dāng)然，不管持何種觀點(diǎn)，一個不可否定的事實(shí)是：網(wǎng)絡(luò)犯罪已經(jīng)成為現(xiàn)代社會發(fā)展的新型犯罪。“網(wǎng)絡(luò)犯罪可以分為以網(wǎng)絡(luò)作為犯罪對象的網(wǎng)絡(luò)犯罪（即計算機(jī)犯罪）、以網(wǎng)絡(luò)作為犯罪工具的網(wǎng)絡(luò)犯罪（即傳統(tǒng)犯罪的網(wǎng)絡(luò)異化）和以網(wǎng)絡(luò)作為犯罪空間的網(wǎng)絡(luò)犯罪三種形態(tài)?！雹儆谥緞?、郭旨龍著：《網(wǎng)絡(luò)刑法的邏輯與經(jīng)驗》，中國法制出版社2015年版，第1～12頁。在眾多的網(wǎng)絡(luò)犯罪中，有學(xué)者指出，侵犯公民個人信息罪屬于我國刑法規(guī)定的狹義的信息網(wǎng)絡(luò)犯罪的4個罪名之一。②關(guān)于狹義的信息網(wǎng)絡(luò)犯罪，包括我國《刑法》規(guī)定的，253條之一侵犯公民個人信息罪，286條之一拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，287條之一非法利用信息網(wǎng)絡(luò)罪，287條之二幫助信息網(wǎng)絡(luò)犯罪活動罪。參見敬力嘉著：《信息網(wǎng)絡(luò)犯罪規(guī)制的預(yù)防轉(zhuǎn)向與限度》，社會科學(xué)文獻(xiàn)出版社2019年版，第51、第32頁。狹義的信息網(wǎng)絡(luò)犯罪，也被稱為“純正”網(wǎng)絡(luò)犯罪，其所侵害的對象是互聯(lián)網(wǎng)、信息系統(tǒng)及其所存儲數(shù)據(jù)。③同上，第32頁。近年來，為應(yīng)對愈發(fā)猖獗的網(wǎng)絡(luò)犯罪，立法與司法依靠實(shí)踐的歸納與經(jīng)驗的積累不斷擴(kuò)張“公民個人信息”的法律概念，但對“公民個人信息”的構(gòu)成認(rèn)定仍只是停留在事實(shí)層面。④于志剛：《“公民個人信息”的權(quán)利屬性與刑法保護(hù)思路》，載《浙江社會科學(xué)》2017年第10期，第7頁。本文以侵犯公民個人信息罪為研究對象，結(jié)合該罪的特點(diǎn)，針對實(shí)踐中存在的問題及其原因進(jìn)行剖析，并提出了相關(guān)的完善建議，以期對網(wǎng)絡(luò)時代的相關(guān)立法完善，有所裨益。

一、大數(shù)據(jù)時代侵犯公民個人信息罪之特點(diǎn)分析

當(dāng)大數(shù)據(jù)集的二次使用可以逆轉(zhuǎn)過去、現(xiàn)在甚至未來，以至于對隱私、機(jī)密性和身份造成侵犯時，現(xiàn)有的隱私保護(hù)集中于管理個人識別信息是不夠的。①Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma, Harvard Law Review. Vol.126，2013，pp1880-1881.數(shù)據(jù)主體與海量數(shù)據(jù)的匹配識別定位使得公民個人信息被裹挾在巨大經(jīng)濟(jì)利益與安全風(fēng)險中。隨著經(jīng)濟(jì)社會的不斷發(fā)展，侵犯公民個人信息罪在實(shí)務(wù)中呈現(xiàn)出諸多新的特點(diǎn)，如犯罪總數(shù)激增；該類犯罪出現(xiàn)集團(tuán)化、有組織化、產(chǎn)業(yè)化；基于數(shù)據(jù)的重要性和基礎(chǔ)性，該罪成為其他犯罪的基礎(chǔ)性犯罪。

（一）“公民個人信息”的內(nèi)涵擴(kuò)張，侵犯公民個人信息犯罪率激增

隨著數(shù)字技術(shù)的快速發(fā)展和大數(shù)據(jù)的應(yīng)用，信息共享與個人信息安全的沖突日益加劇，基于客觀實(shí)踐的需要，使得個人信息保護(hù)的概念、內(nèi)容及其所涉及的相關(guān)制度都在潛移默化地改變。這種變化雖并非立法者刻意為之，但為夯實(shí)清晰有效的立法基礎(chǔ)，立法應(yīng)當(dāng)及時對“公民個人信息”的概念進(jìn)行澄清、更新。②周漢華：《個人信息保護(hù)觀念演變的四個階段》，https : //www.sohu.com/a/281451267_455313，下載日期：2020年5月29日。根據(jù)美國、英國、德國、歐盟和加拿大的現(xiàn)行立法，個人信息被稱為直接或間接認(rèn)可的顯性的個人身份識別信息。③Chassang Gauthier . The impact of the EU general data protection regulation on scientific research. Ecancermedicalscience 11.(2017).https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5243137/pdf/can-11-709.pdf，下載日期：2020年9月25日。低成本的信息收集與匹配分析技術(shù)使得原本單一、微小的個人信息點(diǎn)能被輕易地收集網(wǎng)羅成整體信息，并精準(zhǔn)匹配到個人。通過云計算，只要數(shù)據(jù)被采集到足夠的量，數(shù)據(jù)計算就能反饋出我們的個人生活軌跡、健康狀況、思想印跡、消費(fèi)習(xí)慣?？勺R別性的不斷提高，使得立法上對“公民個人信息”的概念內(nèi)涵呈現(xiàn)出從狹義、隱私性質(zhì)到廣義的可識別、可還原性質(zhì)的延伸。我國立法上也不斷在更新“公民個人信息”的概念內(nèi)涵，自《刑法修正案（七）》增設(shè)侵犯公民個人信息罪，到2012年《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》與2013年《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》，再到2017年《網(wǎng)絡(luò)安全法》與兩高《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱為《解釋》），“公民個人信息”的認(rèn)定范圍由個人直接可識別的隱私信息擴(kuò)張到與其他信息結(jié)合后可識別到特定主體的間接識別信息。④《解釋》第1條通過“特征+列舉”的方式，將“公民個人信息”的界定為“指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息”，具體包括“包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。”隨著“公民個人信息”內(nèi)涵的不斷擴(kuò)張，越來越多侵犯公民個人信息的行為被納入刑事處罰的范圍內(nèi)。

（二）“公民個人信息”的屬性多元化，促使犯罪有組織化、產(chǎn)業(yè)化

在大數(shù)據(jù)經(jīng)濟(jì)時代，數(shù)據(jù)實(shí)則成為一種資源。個人信息的使用，是信息披露與流通的結(jié)合，更是數(shù)據(jù)社會化利用不可剝離的重要組成部分。思科（CISCO）網(wǎng)絡(luò)報告稱，全球互聯(lián)網(wǎng)協(xié)議“IP”流量在過去5年增長了4倍，到2017年，連接到IP網(wǎng)絡(luò)的設(shè)備數(shù)量將是全球人口的近3倍。⑤Cisco Visual Networking Index: Forecast and Methodology, 2012-2017, Cisco 1 (May 29, 2013)，http:// www.cisco.com/en/ US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_ paper_c11-481360.pdf，下載日期：2020年9月20日。我國正迎來數(shù)據(jù)交易的重要戰(zhàn)略機(jī)遇期，研究表明，我國2018年產(chǎn)生的數(shù)據(jù)量約7.6ZB，至2025年可高達(dá)48.6ZB⑥張漢青：《全球首家大數(shù)據(jù)交易所“涅槃重生”》，https://baijiahao.baidu.com/s?id=1630468288263179736，下載日期：2020年9月26日。，信息的利用成為了企業(yè)競爭和發(fā)展的關(guān)鍵基礎(chǔ)⑦M(jìn)anyika J，Chui M，Brown B，et al. Big data: The next Frontier for Innovation，Competition，and Productivity.2011, http: // www.mckinsey.com/insights/business_technology/big_data_the_next_frontier_for_innovation，下載日期：2020年6月28日。，國家發(fā)布《國務(wù)院關(guān)于印發(fā)促進(jìn)大數(shù)據(jù)發(fā)展行動綱要的通知》，積極引導(dǎo)個人數(shù)據(jù)分析技術(shù)與數(shù)據(jù)資源在社會活動中的利用，通過個人信息數(shù)據(jù)的分享、互換、許可使用，構(gòu)建數(shù)字化經(jīng)濟(jì)發(fā)展模式。

個人信息的排他性效力在大數(shù)據(jù)時代逐漸被減弱，個人數(shù)據(jù)信息的主動或被動收集、分析并應(yīng)用于各行業(yè)成為社會經(jīng)濟(jì)活動與政府社會治理的常態(tài)化操作。公民個人信息不僅具有人身屬性和財產(chǎn)屬性⑧葉良芳、應(yīng)家赟：《非法獲取公民個人信息罪之“公民個人信息”的教義學(xué)闡釋——以<刑事審判參考>第1009號案例為樣本》，載《浙江社會科學(xué)》2016第4期，第71～78頁。，且隨著公民個人信息的資源化發(fā)展，其已成為公共領(lǐng)域不可或缺的一部分，無論是實(shí)踐層面抑或法律目的上，個人信息的社會屬性都在不斷增強(qiáng)。①項定宜：《個人信息的類型化分析及區(qū)分保護(hù)》，載《重慶郵電大學(xué)學(xué)報（社會科學(xué)版）》2017年第1期，第31～38頁。高富平：《個人信息保護(hù)：從個人控制到社會控制》，載《法學(xué)研究》2018年第3期，第95頁。個人信息的“價值化”使得以網(wǎng)絡(luò)為空間、以網(wǎng)絡(luò)為工具的涉眾型網(wǎng)絡(luò)犯罪的數(shù)量急劇上升，司法實(shí)踐中的侵犯公民個人信息犯罪呈現(xiàn)出集團(tuán)化、有組織化和產(chǎn)業(yè)化的特征，嚴(yán)重危及社會穩(wěn)定與公民個人安全。

（三）“數(shù)據(jù)”與“公民個人信息”之間的密切關(guān)聯(lián)，導(dǎo)致侵犯公民個人信息犯罪成為其它類罪的基礎(chǔ)性行為

客觀而言，單一、碎片化的少量個人信息的價值幾乎可以忽略不計，但隨著科學(xué)的第四范式②科學(xué)的第四范式（fourth paradigm of science）：微軟公司宣布了數(shù)據(jù)密集型科學(xué)的出現(xiàn)，并將數(shù)據(jù)作為經(jīng)驗主義、理論和計算范式之后的第四個繼承者。描述了一門依靠新工具來存儲、管理和分析大量數(shù)據(jù)的新科學(xué)的愿景，對海量數(shù)據(jù)的爆炸性增長，計算機(jī)將不僅僅能做模擬仿真，還能進(jìn)行分析總結(jié)，得出理論。時代的到來，大數(shù)據(jù)挖掘模型對海量數(shù)據(jù)的需求激增。有別于以往信息收集的絕對目的性，當(dāng)前采用的數(shù)據(jù)密集范式是海量數(shù)據(jù)的全本收集而非樣本，并通過海量數(shù)據(jù)間的關(guān)聯(lián)性進(jìn)行分析、創(chuàng)新以打造產(chǎn)業(yè)鏈新的發(fā)展空間。孤立、碎片化的個人信息被成批量成種類的為特定行業(yè)、特定人群提供宏大的精準(zhǔn)行為對象。③[英]維克托·邁爾·舍恩伯格著：《大數(shù)據(jù)時代》，周濤譯，浙江人民出版社2012年版，第25～55頁。數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化，“個人信息”成為一種流動的資產(chǎn)。相應(yīng)地，網(wǎng)絡(luò)犯罪率伴隨著個人信息的“價值化”也逐年上漲。④根據(jù)最高人民法院發(fā)布的《司法大數(shù)據(jù)專題報告之網(wǎng)絡(luò)犯罪特點(diǎn)和趨勢》，2016年至2018年，人民法院審結(jié)網(wǎng)絡(luò)犯罪案件4.8萬余件，案件量及在全部刑事案件總量中的占比均呈逐年上升趨勢。其中，2018年網(wǎng)絡(luò)犯罪案件量顯著增加，同比升幅為50.91%。筆者以“侵犯公民個人信息罪”為全文關(guān)鍵詞和判決結(jié)果關(guān)鍵詞在中國裁判文書網(wǎng)上進(jìn)行案例檢索篩選，自2015年9月至2020年5月，共搜集到判決書7276份，2015年22份，2016年394份，2017年1374份，2018年2338份，2019年2690份，2020年458份。其中，刑事一審7046件，二審223件，刑事再審6件。⑤中國裁判文書網(wǎng)，https://wenshu.court.gov.cn/，下載日期：2020年10月3日。通過數(shù)據(jù)顯示可知：侵犯公民個人信息犯罪案件的數(shù)量不斷增加，2017年《解釋》出臺后對更多的侵犯個人信息的行為類型做了入罪化處理。

我們的個人信息正越來越多地受到大數(shù)據(jù)推論和控制這些推論的公司的影響。隨著企業(yè)操作大數(shù)據(jù)分析的手段和技能不斷更新，相當(dāng)大一部分使用大數(shù)據(jù)計算的機(jī)構(gòu)正在以個人信息安全為代價不斷增強(qiáng)和擴(kuò)大影響，而這種變化是以我們尚未完全理解的方式進(jìn)行的，網(wǎng)絡(luò)為違法犯罪行為帶來了新空間和新工具。與此同時，企業(yè)在大數(shù)據(jù)基礎(chǔ)上利用復(fù)雜的算法榨取“消費(fèi)者剩余”的經(jīng)濟(jì)利益，侵犯公民個人信息犯罪的主體中，單位犯罪、集團(tuán)犯罪明顯增加。在犯罪主體集團(tuán)化和犯罪單位化的同時，侵犯公民個人信息犯罪也正成為其它類罪的基礎(chǔ)性行為，進(jìn)一步催生了網(wǎng)絡(luò)空間中依托于侵犯公民個人信息罪的下游網(wǎng)絡(luò)犯罪，如詐騙犯罪、敲詐勒索犯罪、暴力催收犯罪等，甚至發(fā)展成產(chǎn)業(yè)鏈，危害甚大。

二、侵犯公民個人信息罪懲處之司法困境分析

為了應(yīng)對不斷增加的侵犯公民個人信息犯罪，我國在《刑法修正案（九）》以及《解釋》中不斷完善規(guī)制內(nèi)容。但數(shù)字技術(shù)與犯罪方法的不斷更新使得司法實(shí)踐中仍面臨著諸多亟待解決的難題。在個人信息“竊取”和“非法使用”互聯(lián)網(wǎng)黑色經(jīng)濟(jì)產(chǎn)業(yè)鏈運(yùn)轉(zhuǎn)下，多樣化且隱蔽的侵犯公民個人信息的手段，使得刑罰對犯罪的阻遏作用一再被削弱?！靶滔让窈蟆钡谋Ｗo(hù)模式雖然讓最為嚴(yán)重的侵犯公民個人信息的行為可以被納入刑法的打擊半徑，但是，司法解釋上“退十步進(jìn)半步”的解釋思路，導(dǎo)致刑法嚴(yán)重地自我剪切制裁半徑，制裁極少數(shù)和放縱大多數(shù)，是一種客觀現(xiàn)狀。⑥于志剛：《“公民個人信息”的權(quán)利屬性與刑法保護(hù)思路》，載《浙江社會科學(xué)》2017年第10期，第4頁。目前關(guān)于侵犯公民個人信息犯罪的刑法條款數(shù)量較為有限、適用范圍相對狹窄，且缺乏相應(yīng)的前置性行政法律制裁規(guī)范以及個人信息管理機(jī)制，這直接導(dǎo)致司法實(shí)踐中法律適用的模糊性與抽象性，加劇了侵犯公民個人信息犯罪治理的難度。

（一）行為方式認(rèn)定標(biāo)準(zhǔn)不統(tǒng)一，造成司法評價差異化

通過中國裁判文書網(wǎng)、無訟案例網(wǎng)和北大法寶等案例平臺，筆者對2016-2019年間侵犯公民個人信息罪的裁判文書進(jìn)行梳理，其中“以其他方法非法獲取”認(rèn)定的比例極高，共搜集到2706個案件，其中2016年241件，2017年652件，2018年897件，2019年916件。通過對判決書內(nèi)容的整理歸類，發(fā)現(xiàn)當(dāng)法院以“以其他方式非法獲取”作為認(rèn)定侵犯公民個人信息行為時，大多并未具體闡明如何界定“以非法方法獲取”。絕大多數(shù)判決文書并未詳細(xì)引述具體“國家有關(guān)規(guī)定”條文，而是簡單概述而過，這導(dǎo)致被告方往往以其行為不屬于“非法獲取”為由進(jìn)行抗辯。當(dāng)前司法實(shí)務(wù)中，“以其他非法方法獲取”的認(rèn)定標(biāo)準(zhǔn)存在較大的爭議。《解釋》第4條雖然對“以其他方法非法獲取”進(jìn)行詳細(xì)的規(guī)定，明確規(guī)定成立“以其他方法非法獲取公民個人信息”，應(yīng)以“違反國家有關(guān)規(guī)定”為前提，并列舉了購買、收受、交換或在履職過程中收集的“其他方法”，“國家有關(guān)規(guī)定”具體指向涉及個人信息保護(hù)的法律、行政法規(guī)、部門規(guī)章。但目前司法實(shí)踐中仍缺乏對“非法性”及“其他方法”的具體類型化認(rèn)定標(biāo)準(zhǔn)。

侵犯公民個人信息行為的行政違法性是刑事違法性的前提，由于我國目前有關(guān)公民個人信息保護(hù)的法律、法規(guī)散見于涉及眾多行業(yè)的法律法規(guī)中，尤其是個人信息法律保護(hù)缺乏對企業(yè)數(shù)據(jù)利用安全邊界的明晰界定，對企業(yè)的數(shù)據(jù)利用行為進(jìn)行監(jiān)督和定責(zé)成為難點(diǎn)。且隨著互聯(lián)網(wǎng)技術(shù)的不斷進(jìn)步，侵犯公民個人信息罪更多地發(fā)生在網(wǎng)絡(luò)空間中，傳統(tǒng)的司法偵查手段根本無法準(zhǔn)確認(rèn)定信息來源；采用購買、收受、交換、在履職過程中收集等以外如網(wǎng)絡(luò)爬蟲、隱私政策授權(quán)方式等獲取公民個人信息的，能否認(rèn)定為“非法獲取”的“其他方法”，司法實(shí)踐尚無統(tǒng)一明確的標(biāo)準(zhǔn)。當(dāng)前司法實(shí)踐中對于侵犯公民個人信息罪的懲處以自然人犯罪為主，單位犯罪“紙面化”情形嚴(yán)重，尤其是當(dāng)前網(wǎng)絡(luò)服務(wù)提供者基于“一攬子授權(quán)”隱私條款下對于公民個人信息的收集行為與使用行為的“非法性”認(rèn)定規(guī)則模糊，定性艱難，各地司法實(shí)踐中的做法各不相同，這加大了各地司法部門可能做出差異化法律評價的可能性，使得人們對于公民個人信息利用活動的可預(yù)測性和確定性程度大幅降低，從而導(dǎo)致相關(guān)當(dāng)事人的權(quán)利義務(wù)處于不確定的狀態(tài)，有違司法正義的內(nèi)在價值。

（二）“去標(biāo)識化”標(biāo)準(zhǔn)不明，導(dǎo)致犯罪對象認(rèn)定存疑

大數(shù)據(jù)時代透明度變得更加重要，大數(shù)據(jù)的力量很大程度上來自對數(shù)據(jù)集的二次使用，從而產(chǎn)生新的預(yù)測和推論。①Audrey Watters, What Does Privacy Mean in an Age of Big Data?, O"Reilly (Nov. 2, 2011) (documenting an interview with author Terence Craig on the importance of transparency in theage of big data)，http://strata.oreilly.com/2011/11/privacy-big-data-transparency.html，下載日期：2020年9月 26日。意即，大數(shù)據(jù)時代很難實(shí)現(xiàn)絕對的數(shù)據(jù)匿名化，大數(shù)據(jù)運(yùn)用的顯著特征和方式就是對海量的數(shù)據(jù)進(jìn)行深度挖掘。目前立法尚未對企業(yè)數(shù)據(jù)權(quán)的歸屬作出明確規(guī)定，數(shù)據(jù)匿名化處理②匿名化：“匿名化是指將個人數(shù)據(jù)移除可識別個人信息的部分，并且通過這一方法，數(shù)據(jù)主體不會再被識別。匿名化數(shù)據(jù)不屬于個人數(shù)據(jù)，因此無須適用條例的相關(guān)要求，機(jī)構(gòu)可以自由的處理匿名化數(shù)據(jù).”匿名化處理技術(shù)通過泛化、分解、置換、干擾等數(shù)據(jù)計算方法消除用戶的敏感身份信息，達(dá)到保護(hù)數(shù)據(jù)主體個人隱私權(quán)的目的。成為企業(yè)數(shù)據(jù)權(quán)歸屬確定的主要標(biāo)準(zhǔn)，歐盟一般數(shù)據(jù)保護(hù)條例（GDPR）認(rèn)為匿名化數(shù)據(jù)權(quán)屬分配核心在于“去識別化”的勞動，這才是數(shù)據(jù)交易合法性的邏輯基礎(chǔ)。③石丹：《大數(shù)據(jù)時代數(shù)據(jù)權(quán)屬及其保護(hù)路徑研究》，載《西安交通大學(xué)學(xué)報（社會科學(xué)版）》2018年第3期，第80頁。我國司法實(shí)踐中，數(shù)據(jù)匿名化作為判斷企業(yè)數(shù)據(jù)合法使用與占有的標(biāo)準(zhǔn)，《解釋》中明確“經(jīng)過處理無法識別特定個人且不能復(fù)原的信息”不作為《刑法》第253條的保護(hù)對象，市場監(jiān)管總局實(shí)施的國家標(biāo)準(zhǔn)《信息安全技術(shù)：個人信息安全規(guī)范》（GB/T35273-2017）將對個人信息的處理利用進(jìn)一步明確為去標(biāo)識化技術(shù)。

由于統(tǒng)一的“去標(biāo)識化”個人信息認(rèn)定標(biāo)準(zhǔn)尚未出臺，造成各地實(shí)踐在個案中對于去識別化信息的認(rèn)定存在較大差異。有學(xué)者提出，當(dāng)前《刑法》不僅應(yīng)當(dāng)保護(hù)公民個人信息，更應(yīng)當(dāng)保護(hù)企業(yè)經(jīng)相關(guān)信息主體授權(quán)并經(jīng)去標(biāo)識化處理后的信息數(shù)據(jù)權(quán)。①敬力嘉：《論企業(yè)信息權(quán)的刑法保護(hù)》，載《北方法學(xué)》2019年第5期，第74頁。強(qiáng)調(diào)企業(yè)信息權(quán)的保護(hù)，進(jìn)一步導(dǎo)致司法實(shí)踐中對涉案個人信息數(shù)量的認(rèn)定出現(xiàn)障礙。對于《解釋》第5條中規(guī)定的50條、500條及5000條數(shù)量要求是“情節(jié)嚴(yán)重”的重要認(rèn)定標(biāo)準(zhǔn)，在“去標(biāo)識化”司法認(rèn)定尚未統(tǒng)一標(biāo)準(zhǔn)時，各地司法實(shí)踐對于涉案個人信息的清點(diǎn)以及認(rèn)定不可避免會存在較大的差異，甚至?xí)斐勺锱c非罪的認(rèn)定偏差。如何認(rèn)定去識別化技術(shù)，如何區(qū)分公民個人信息與企業(yè)信息專有權(quán)，對于絕大多數(shù)不具有此方面專業(yè)知識的法官而言，無疑在客觀上加大案件辦理的難度。即使是表面上已經(jīng)排除了可識別性和關(guān)聯(lián)性的數(shù)據(jù)，在與其他大量數(shù)據(jù)結(jié)合比對分析的基礎(chǔ)上，往往也總能識別出特定的個人，即再識別化。再識別技術(shù)已可以實(shí)現(xiàn)對去標(biāo)識化信息進(jìn)行重新識別，是否應(yīng)當(dāng)將其納入刑事規(guī)制的范圍也是亟待解決的問題。

（三）企業(yè)信息“黑色產(chǎn)業(yè)鏈”行為入罪率不高

2019年《網(wǎng)絡(luò)犯罪治理防范白皮書》指出：侵犯公民個人信息已經(jīng)逐漸形成了“源頭——中間商——非法使用”的龐大地下黑色產(chǎn)業(yè)鏈。相較于傳統(tǒng)個人身份識別類靜態(tài)個人信息，個人活動類動態(tài)個人信息的比重開始增加；獲取手段也從誘騙、脫庫向非法爬取數(shù)據(jù)等方式轉(zhuǎn)變。如下圖所示，企業(yè)內(nèi)鬼、數(shù)據(jù)中間商也在這條黑色產(chǎn)業(yè)鏈中扮演著重要角色。數(shù)據(jù)服務(wù)商從企業(yè)內(nèi)鬼和數(shù)據(jù)中間商處獲取數(shù)據(jù)，用于商業(yè)行為；而數(shù)據(jù)中間商則負(fù)責(zé)對數(shù)據(jù)進(jìn)行清洗、驗證，然后出售給下游的非法數(shù)據(jù)利用者，由他們實(shí)施敲詐勒索、暴力催收等犯罪。

存證取證難、犯罪跨平臺且資金流向分散、內(nèi)外勾結(jié)等特點(diǎn)帶來了網(wǎng)絡(luò)黑產(chǎn)的治理困境，司法實(shí)務(wù)中認(rèn)定自然人犯罪比例較高，對于企業(yè)侵犯公民個人信息犯罪的制裁為極少數(shù)。筆者以“侵犯公民個人信息罪”和“單位犯罪”為全文關(guān)鍵詞進(jìn)行檢索，2015年9月至2020年5月期間的刑事判決書，共141份。其中2016年4份，2017年21份，2018年61份，2019年48份，2020年7份。通過對141份裁判文書的再梳理，通過中國裁判文書網(wǎng)的高級檢索功能，以“單位犯罪”為判決理由關(guān)鍵詞、“公司”為當(dāng)事人段關(guān)鍵詞，以“侵犯公民個人信息罪”為全文和判決結(jié)果關(guān)鍵詞進(jìn)行二次篩選檢索，搜集到單位侵犯公民個人信息罪的刑事判決書共40份，其中刑事一審判決書37份，刑事二審判決書3份。②中國裁判文書網(wǎng)，https://wenshu.court.gov.cn/，下載日期：2020年10月3日。侵犯公民個人信息罪中單位犯罪案件僅占上文統(tǒng)計的侵犯公民個人信息罪案件總數(shù)的0.55%。盡管近年來，諸多學(xué)者批評《刑法修正案（九）》所增設(shè)的拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、幫助信息網(wǎng)絡(luò)犯罪活動罪是對刑事處罰范圍的過度擴(kuò)張。①參見周光權(quán)：《網(wǎng)絡(luò)服務(wù)商的刑事責(zé)任范圍》，載《中國法律評論》2015年第2期，第 175～178頁；車浩：《刑事立法的法教義學(xué)反思——基于<刑法修正案（九）的分析>》，載《法學(xué)》2015年第10期，第 3～16頁；劉憲權(quán)：《刑事立法應(yīng)力戒情緒——以<刑法修正案（九）為視角>》，載《法學(xué)評論》2016年第1期，第 86～97頁；劉艷紅：《網(wǎng)絡(luò)中立幫助行為可罰性的流變及批判——以德日的理論和實(shí)務(wù)為比較基準(zhǔn)》，載《法學(xué)評論》2016年第5期，第40～49頁；何榮功：《預(yù)防刑法的擴(kuò)張及其限度》，載《法學(xué)研究》2017年第4期，第138～154頁。但是，相對于無比強(qiáng)大且人類尚缺乏足夠認(rèn)知的網(wǎng)絡(luò)世界，基于對風(fēng)險的防范和控制，加大懲罰力度是必要的。特別是作為基礎(chǔ)性犯罪的侵犯公民個人信息罪應(yīng)當(dāng)嚴(yán)密刑事法網(wǎng)，加大懲罰力度。尤其對于專門對公民個人信息進(jìn)行海量挖掘，搭建“榨干式”非法利用產(chǎn)業(yè)鏈利益關(guān)系，以進(jìn)行違法犯罪活動的相關(guān)組織，應(yīng)當(dāng)從嚴(yán)懲處。

三、侵犯公民個人信息犯罪治理效果不佳之原因剖析

根據(jù)中消協(xié)《App個人信息泄露情況調(diào)查報告》顯示，有高達(dá)85.2%的公民存在個人信息泄露的情況，互聯(lián)網(wǎng)企業(yè)對個人信息非法利用行為、企業(yè)經(jīng)營者未經(jīng)授權(quán)收集個人信息和合法收集數(shù)據(jù)后非法故意泄露信息是個人信息泄露的主要途徑。②數(shù)據(jù)源于2018年8月29日中國消費(fèi)者協(xié)會發(fā)布《APP個人信息泄露情況調(diào)查報告》，http://www.cca.org.cn/jmxf/detail/28180.html，下載日期：2020年10月3日。但是司法實(shí)踐中，由于傳統(tǒng)刑事規(guī)制不夠周延、被侵害個體舉證困難及司法認(rèn)定標(biāo)準(zhǔn)模糊等因素，相較于被侵犯濫用的公民個人信息數(shù)量，只有極少數(shù)的侵犯公民個人信息犯罪得到懲治。

（一）公民個人信息侵權(quán)救濟(jì)渠道不暢通

在傳統(tǒng)的集中化框架下，個體用戶往往面臨較為尷尬的處境。與擁有各種現(xiàn)代數(shù)據(jù)挖掘和分析技術(shù)的公司和組織相比，其個人信息似乎是“透明的”，技術(shù)的不對稱使得個體用戶處于被動地位，無法實(shí)現(xiàn)自主的數(shù)據(jù)隱私保護(hù)。③Hina Vaghashia and Amit Ganatra “A survey: privacy preservation techniques in data mining.”International Journal of Computer Applica tions ,vol.119，2015，pp.20-26.侵犯公民個人信息犯罪由于其隱蔽性、技術(shù)性等特征導(dǎo)致公權(quán)力機(jī)關(guān)的追訴打擊具有一定的滯后且容易被忽略，造成實(shí)踐中大量的侵犯公民個人信息犯罪無法得到懲治。侵犯公民個人信息罪屬于刑法分則第四章規(guī)定的罪名，對被告人可能判處3年以下有期徒刑刑罰，符合《刑事訴訟法》中提起刑事自訴的相關(guān)規(guī)定。然而，從現(xiàn)有的救濟(jì)途徑來看，絕大多數(shù)的侵犯公民個人信息犯罪呈現(xiàn)以公權(quán)力機(jī)關(guān)主動打擊為主的特點(diǎn)。實(shí)際上公民個人往往是最早意識到其“個人信息”被非法侵犯，但司法實(shí)踐中個人向公安機(jī)關(guān)主動報案或向法院提起自訴的情況為極少數(shù)。

筆者設(shè)置“侵犯公民個人信息罪”“自訴”等關(guān)鍵詞于中國裁判文書網(wǎng)上檢索，只獲得侵犯公民個人信息罪的自訴案例24件，除去同一案件的二審、申訴文書，僅得到有效案例8件，且有效案例的判決結(jié)果均為因證據(jù)不足而被駁回。由此可以看出，盡管公民飽受個人信息被泄露和被非法提供的困擾，但報案動機(jī)不強(qiáng)，究其根本原因在于，實(shí)踐中個人信息被非法使用的公民，維權(quán)實(shí)則缺乏有力的制度支撐。立法中侵犯公民個人信息罪的具體規(guī)則是以公權(quán)力機(jī)關(guān)為主體進(jìn)行設(shè)置的，公民對于侵犯其個人信息行為的自我維權(quán)實(shí)則缺乏相應(yīng)的配套機(jī)制。這就導(dǎo)致實(shí)踐中公民對于侵犯其個人信息的犯罪行為往往因其自身舉證能力不夠、證據(jù)不足而被公安部門不予受理或被法院駁回起訴。

（二）現(xiàn)有類型化行為方式難以滿足實(shí)踐的需求

在大數(shù)據(jù)時代，有限的國家司法資源與激增的侵犯公民個人信息犯罪之間存在著難以短期逾越的現(xiàn)實(shí)障礙，數(shù)據(jù)識別算法可以進(jìn)行完整的自我學(xué)習(xí)。原始數(shù)據(jù)挖掘新的信息，既增加了個人隱私暴露的危險，又使市場競爭乃至社會安全、國家安全暴露在危險之中。④國瀚文：《互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)識別反壟斷法律監(jiān)管規(guī)制》，載《重慶郵電大學(xué)學(xué)報（社會科學(xué)版）》2019年第2期，第40頁。我國《刑法》目前規(guī)定的侵犯公民個人信息罪，采單一罪名模式，統(tǒng)一規(guī)制買賣、提供與非法獲取個人信息的行為。①根據(jù)我國《刑法》253條之一的規(guī)定，違反國家有關(guān)規(guī)定，出售或者提供公民個人信息，竊取或者以其它方法非法獲取公民個人信息的，達(dá)到“情節(jié)嚴(yán)重”的程度，即可以入罪。違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，構(gòu)成犯罪；第3 款規(guī)定，非法獲取公民個人信息，情節(jié)嚴(yán)重的，構(gòu)成犯罪。該條文一共規(guī)定了3種行為方式，即非法獲取、提供以及出售個人信息。提供，可以是對特定人提供，也可以是通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布個人信息，與非法披露意思相近。作為一個典型的法定犯，需要以違反國家有關(guān)規(guī)定為前提。同時，根據(jù)《刑法》謙抑性原則，在入罪方面，設(shè)置了“情節(jié)嚴(yán)重”“情節(jié)特別嚴(yán)重”的入罪門檻。在法定刑設(shè)置方面，該罪盡量做到考慮周全，既考慮避免刑罰的濫用，又盡量做到對侵犯公民個人信息行為的有效打擊。

但是，具體而言，我國立法只規(guī)定了非法獲取、非法出售或者非法提供公民個人信息行為的違法性。在行為的類型化方面，立法盡管極力窮盡實(shí)踐中可能的侵犯公民個人信息的行為方式，但是，行為的類型化明顯不足，難以適應(yīng)實(shí)踐的具體需求。有學(xué)者指出，“當(dāng)前我國《刑法》對侵犯公民個人信息只規(guī)定了非法獲取、出售和提供三種行為類型，刑事手段無法實(shí)現(xiàn)對個人信息的周延保護(hù)，無法有效規(guī)制實(shí)踐中最為嚴(yán)重的非法使用公民個人信息這一行為類型?！雹趧⑷饰模骸墩摲欠ㄊ褂霉駛€人信息行為的入罪》，載《法學(xué)論壇》2019年第6期，第118頁。當(dāng)前，侵犯公民個人信息犯罪往往成為其他犯罪的基礎(chǔ)性、服務(wù)性犯罪，很多情況下造成公民合法權(quán)益受到侵犯的并不是出售、提供、非法獲取行為本身，而是通過對于信息的非法使用、非法處理乃至非法公開而導(dǎo)致公民信息流轉(zhuǎn)過程中滋生大量其他犯罪。個人信息的非法使用已經(jīng)成為侵犯公民個人信息犯罪體系中的核心行為，其日漸獨(dú)立于獲取、出售、提供等犯罪行為方式，已不再局限于“下游犯罪”。

（三）前置性規(guī)定標(biāo)準(zhǔn)不明

近年來，個人信息被非法傳播和使用的案件層出不窮，為遏制泛濫的侵犯公民個人信息犯罪，《刑法修正案（七）》《刑法修正案（九）》不斷擴(kuò)張侵犯公民個人信息犯罪的刑事制裁范圍，并出臺《解釋》及時回應(yīng)實(shí)務(wù)中存在的諸多問題。然而，侵犯公民個人信息罪是法定犯、行政犯，其與相關(guān)個人信息保護(hù)的行政法律法規(guī)的聯(lián)系十分緊密。前置性規(guī)定標(biāo)準(zhǔn)不明，使得治理侵犯公民個人信息犯罪的實(shí)踐效果不佳。從“違反國家規(guī)定”到“違反國家有關(guān)規(guī)定”，使得更多的法律主體擁有對于該罪的解釋權(quán)，實(shí)際上擴(kuò)大了刑事處罰的邊界?！斑`反國家有關(guān)規(guī)定”作為該罪的法定空白罪狀，賦予其他行政法律法規(guī)部分違法性的判斷職能。對侵犯公民個人信息行為的入罪刑罰邊界確定也有著重要的意義。侵犯公民個人信息的行為是否具有刑事違法性，必然以行政違法性的判斷為前提。當(dāng)前“公民個人信息”主要是由《刑法》第253條的侵犯公民個人信息罪，配合著民法上的隱私權(quán)制度和分散于各行政法規(guī)與規(guī)范性文件中保護(hù)個人信息條款進(jìn)行保護(hù)，更多的是依靠經(jīng)驗歸納，這使得司法實(shí)踐中，在對于侵犯公民個人信息行為進(jìn)行入罪化認(rèn)定時，容易出現(xiàn)畸重畸輕的差異化評價，不利于實(shí)現(xiàn)刑法的穩(wěn)定性。且對于該罪犯罪行為方式的認(rèn)定，也建立在前置性行政規(guī)范的判斷基礎(chǔ)之上。實(shí)務(wù)部門在工作中發(fā)現(xiàn)涉嫌侵犯公民個人信息的行為，往往因無法準(zhǔn)確定性而按照行政違法案件處理，客觀導(dǎo)致了放縱犯罪的結(jié)果。前置性行政法律法規(guī)的模糊在一定程度上影響《刑法》第253條刑罰權(quán)的發(fā)動，使得司法實(shí)踐中無法明確同一的、適當(dāng)?shù)那址腹駛€人信息的行為的入罪可罰性的邊界。

四、規(guī)制侵犯公民個人信息犯罪的域外經(jīng)驗及啟示

個人信息保護(hù)已成為大數(shù)據(jù)時代世界各國共同面臨的一項全新挑戰(zhàn)，世界上主要的國家與地區(qū)都形成了較為完善的個人信息保護(hù)法律體系，確立了侵犯公民個人信息犯罪的刑事制裁規(guī)則。大數(shù)據(jù)時代，個人信息內(nèi)涵的不斷擴(kuò)張、信息關(guān)聯(lián)性對比普遍性發(fā)展以及信息匿名再識別的新風(fēng)險使得我國現(xiàn)有法律適用面臨著極大的不確定性，域外主要國家與地區(qū)對于個人信息保護(hù)立法大致可分為三種類型：全方位個人信息保護(hù)模式、僅適用于特定產(chǎn)業(yè)的個人信息保護(hù)以及欠缺個人信息保護(hù)特定法制。①翁清坤：《大數(shù)據(jù)對于個人資料保護(hù)之挑戰(zhàn)與因應(yīng)之道》，載《東吳法律學(xué)報》2019年第3期，第107頁。域外個人信息保護(hù)的立法模式為我國進(jìn)一步周延個人信息刑法保護(hù)提供新的思路。

（一）立法呈現(xiàn)風(fēng)險防控導(dǎo)向

不少國家和地區(qū)對于個人信息犯罪的規(guī)定體現(xiàn)了嚴(yán)密法網(wǎng)、風(fēng)險控制、提前預(yù)防的思路，提前了法益保護(hù)的時間。如德國，刑事立法中規(guī)定的數(shù)據(jù)犯罪包羅了數(shù)據(jù)流通的各個環(huán)節(jié)，《刑法典》還通過預(yù)備行為實(shí)行化，對個別嚴(yán)重罪行的未遂犯，如303a條的變更數(shù)據(jù)罪和303b條的破壞計算機(jī)罪亦進(jìn)行刑事懲罰，擴(kuò)大對個人信息犯罪的打擊范圍，以實(shí)現(xiàn)對個人信息犯罪風(fēng)險的更好控制。我國臺灣地區(qū)的個人信息保護(hù)刑事條款也強(qiáng)調(diào)對個人信息犯罪的風(fēng)險控制，新“個人資料保護(hù)法”中“罰則”第41-46條相較于舊法提高了法定刑，加大了處罰力度，并擴(kuò)展了管轄適用的范圍?！靶谭ǖ洹敝袔椭袨檎富㈩A(yù)備行為實(shí)行化，設(shè)置抽象危險犯等相關(guān)措施更是體現(xiàn)積極預(yù)防的刑罰理念②汪東升著：《個人信息的刑法保護(hù)》，法律出版社2019年版，第80頁。，如“刑法典”第315條妨害秘密罪將意圖營利供給場所、工具或設(shè)備的幫助行為獨(dú)立入罪，第358條入侵計算機(jī)或相關(guān)設(shè)備罪將非法入侵計算機(jī)或其他設(shè)備這種典型的預(yù)備行為正犯化處理，都體現(xiàn)了風(fēng)險控制與阻卻實(shí)質(zhì)危險的立法本意。澳門特別行政區(qū)在刑事立法中有多個罪名是以行為犯的方式規(guī)定的，并不要求發(fā)生損害后果，如“違反保密義務(wù)罪”“不當(dāng)查閱個人資料罪”等，若造成損害結(jié)果則進(jìn)一步加重處罰，此外還規(guī)定了多種附加刑以實(shí)現(xiàn)對個人信息的積極保護(hù)。

（二）對個人信息的保護(hù)建構(gòu)了嚴(yán)密的法律體系

通過對主要國家與地區(qū)相關(guān)立法例的梳理，無論是采用分散立法保護(hù)模式抑或統(tǒng)一立法模式，各國均實(shí)現(xiàn)了對個人信息的統(tǒng)一周延保護(hù)。如德國1990年《聯(lián)邦數(shù)據(jù)保護(hù)法》采用人格權(quán)制度，在一部法律中規(guī)定了統(tǒng)一個人信息保護(hù)規(guī)則，在刑事層面，德國采用刑法典與單行法相結(jié)合的個人信息犯罪打擊體系，《德國刑法典》第202a、202b、202c、202d、303a等條款集中設(shè)置關(guān)于個人信息保護(hù)的相關(guān)罪名，與《聯(lián)邦數(shù)據(jù)保護(hù)法》第44條相互銜接，較為系統(tǒng)和全面構(gòu)建德國個人信息法律保護(hù)體系。③《德國刑法典》，徐久生、莊敬華譯，中國方正出版社2004年版，第22～23、第104～107頁。美國采用分散立法保護(hù)模式，適用隱私權(quán)制度對個人信息進(jìn)行保護(hù)，如《隱私權(quán)法》《消費(fèi)者保護(hù)法》《電子通訊隱私法》《信息安全保護(hù)法》《網(wǎng)絡(luò)隱私保護(hù)法》等聯(lián)邦、州兩級立法體系以及判例法、行政法的補(bǔ)充，使得隱私權(quán)制度實(shí)現(xiàn)對個人信息的周延保護(hù)，在刑法保護(hù)方面，美國制定了如《禁止身份盜竊及假冒法》《身份盜竊刑法加重法》等專門的法規(guī)，針對打擊利用個人信息進(jìn)行相關(guān)的上下游犯罪，共同保護(hù)消費(fèi)者信息免于被濫用，同時強(qiáng)調(diào)合理個人信息利用下的更大價值實(shí)現(xiàn)。④周漢華主編：《個人信息保護(hù)前沿問題研究》，法律出版社2006年版，第11～12頁。我國臺灣地區(qū)一直致力于完善個人信息法律保護(hù)體系，“個人資料保護(hù)法”通過增加保護(hù)客體，擴(kuò)大保護(hù)義務(wù)適用主體，明確告知義務(wù)以及當(dāng)事人拒絕權(quán)等具體條款設(shè)置，不斷加大對公民個人信息的保護(hù)力度，并通過減免訴訟費(fèi)、鼓勵團(tuán)體訴訟、在侵犯個人信息的糾紛中，由收集信息的一方承擔(dān)舉證責(zé)任等具體措施保障個人權(quán)益。在刑事“立法”上，主要體現(xiàn)為“刑法典”與“附屬刑法”相結(jié)合的模式，“電腦處理個人資料保護(hù)法”“通訊保障及監(jiān)察法”“個人資料保護(hù)法”等法律法規(guī)中都分布了一些作為附屬刑法而存在的隱私權(quán)刑法保護(hù)規(guī)范，與“刑法典”共同構(gòu)成了完備的個人信息法律保護(hù)體系。澳門地區(qū)同臺灣地區(qū)相似，也采用刑法典與附屬刑法相結(jié)合的模式，散見于《澳門個人資料保護(hù)法》《打擊電腦犯罪法》《通訊保密及隱私保護(hù)法》等單行法中的刑事條款與《澳門刑法典》形成統(tǒng)一的個人信息保護(hù)法律體系。

（三）立法精細(xì)、可操作性強(qiáng)

1. 清晰界定犯罪主體與保護(hù)對象

為實(shí)現(xiàn)對侵犯公民個人信息犯罪的精準(zhǔn)打擊，域外諸多國家地區(qū)的立法均對犯罪主體與保護(hù)對象進(jìn)行明確的分類。如美國有直接針對身份盜竊的刑事立法，《防止身份盜竊及假冒法》和《身份盜竊刑罰加重法》以及各州立法準(zhǔn)確打擊。并在《隱私權(quán)法》《公平信用報告法》《電子通訊隱私法》等法律中明確其他侵犯公民個人信息犯罪的主體及保護(hù)對象。①周漢華主編：《域外個人數(shù)據(jù)保護(hù)法匯編》，法律出版社2006年版，第316頁?！兜聡谭ǖ洹吩诘?5章侵害私人生活和秘密第201-206條清晰界分了信息傳輸、信息接入、信息提供過程中的犯罪主體與保護(hù)客體，設(shè)置了侵害言論秘密罪、侵害通信秘密罪、探知數(shù)據(jù)罪、侵害他人隱私罪、利用他人秘密罪、侵害郵政或電訊秘密罪等詳細(xì)罪名，主體明確，保護(hù)范圍廣。日本《個人信息保護(hù)法》第6章“罰則”在第56條至第59條中，明確規(guī)制對象主要是個人信息處理業(yè)者，并有清晰的主體界定標(biāo)準(zhǔn)?！度毡拘谭ǖ洹芬约捌渌嚓P(guān)的刑事法規(guī)對犯罪主體和保護(hù)客體都作出了明確的規(guī)定，如對律師、醫(yī)生、公證員等特殊職業(yè)身份的犯罪主體犯泄露秘密罪苛以較高的有期徒刑或罰金刑②張凌、于秀峰編譯：《日本刑法及特別刑法總覽》，人民法院出版社2017年版，第30、第52頁。。在《國家公務(wù)員法》中規(guī)定了對因職務(wù)獲取的個人信息行為的處罰。③[日]西田典之著：《日本刑法格倫》，劉明祥、王昭武譯，法律出版社2013年版，第107頁?！斗▏谭ǖ洹吩谧锩O(shè)置中明確犯罪主體，有一般自然人主體，同時也有法人主體，并規(guī)定部分犯罪的特殊主體范圍，并詳細(xì)列舉了犯罪對象，包括機(jī)密性情報資料、郵件、通信信件、記名信息資料、記名數(shù)據(jù)資料等。我國臺灣地區(qū)也對犯罪主體與保護(hù)客體做了明確細(xì)分，追求周延的保護(hù)對象設(shè)置。新“個人資料保護(hù)法”通過“概括＋列舉”方式劃定個人資料范圍，并列出了對敏感個人信息的特別保護(hù)。④臺灣地區(qū)“個人資料保護(hù)法”第6條規(guī)定“醫(yī)療、基因、性生活、健康檢查及犯罪前科”五類個人資料為特種資料，對于特種資料之收集、處理或利用應(yīng)較一般資料更為嚴(yán)格。第41條至第46條規(guī)定了不同主體違反該法相關(guān)規(guī)定犯罪、意圖營利違反相關(guān)規(guī)定犯罪、意圖為不法利益犯罪以及公職人員利用職權(quán)犯罪等應(yīng)當(dāng)承擔(dān)的相應(yīng)刑事法律責(zé)任。此外“刑法典”第28章“妨害秘密罪”與第36章“妨害計算機(jī)使用罪”都直接或間接體現(xiàn)對不同客體隱私權(quán)的保護(hù)。大部分國家和地區(qū)都在刑法或相關(guān)性法律中對于侵犯公民個人信息的犯罪主體與保護(hù)客體作出具體性規(guī)定，便于司法適用，使個人信息在日常生活中得到盡可能廣泛保護(hù)。

2. 對入罪的行為方式進(jìn)行詳細(xì)類型化歸納

域外國家與地區(qū)的立法通過不斷完善對犯罪行為方式的類型化認(rèn)定，實(shí)現(xiàn)對侵犯公民個人信息犯罪的全面制裁。德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第44條規(guī)定涉及的行為方式有7種，包含非法利用行為?！兜聡谭ǖ洹犯羌?xì)致規(guī)定了非法私拆他人信件、履職中非法利用或侵犯他人秘密、未經(jīng)授權(quán)非法泄密等具體的個人信息犯罪的行為類型方式。美國對于隱私權(quán)保護(hù)理論完備，立法細(xì)致，刑事責(zé)任規(guī)定在各單行法中，如《公平信用報告法》規(guī)定了惡意欺詐手段獲取或披露信息的犯罪方式；《模范刑法典》嚴(yán)厲打擊如非法竊聽、非法監(jiān)視以及侵害他人通信秘密等侵犯個人隱私犯罪。英國在《數(shù)據(jù)保護(hù)法案》中，根據(jù)不同的犯罪行為方式大致劃分為：非法獲取、出售或披露個人數(shù)據(jù)類犯罪、侵犯或利用數(shù)據(jù)主體訪問權(quán)類犯罪、重新識別去標(biāo)識化信息類犯罪等幾類侵犯個人信息罪群。⑤陳夢尋：《中英個人信息犯罪比較研究》，載《重慶郵電大學(xué)學(xué)報》2019年第6期，第43頁。我國臺灣地區(qū)刑法也是通過加強(qiáng)罪狀實(shí)現(xiàn)對侵犯公民個人信息犯罪的規(guī)制，“刑法典”第28章中專門規(guī)定了妨害秘密罪，包括7種⑥臺灣地區(qū)“刑法典”第28章妨礙秘密罪具體包括：妨害書信秘密罪、窺視竊聽竊錄罪、便利窺視竊聽竊錄罪、泄漏業(yè)務(wù)上知悉的他人秘密罪、泄漏業(yè)務(wù)上知悉的工商秘密罪、泄漏公務(wù)上知悉的工商秘密罪、泄漏因利用計算機(jī)或其它相關(guān)設(shè)備知悉或持有他人秘密罪等7種犯罪。實(shí)踐中高發(fā)的犯罪行為；第36章專門將計算機(jī)領(lǐng)域的相關(guān)犯罪行為方式加以類型化確認(rèn)，如358條入侵電腦或相關(guān)設(shè)備罪、359條無故取得、刪除或變更電磁記錄罪等，對犯罪行為方式的準(zhǔn)確歸納，便于司法適用。我國澳門地區(qū)采用行為犯模式，以犯罪行為方式設(shè)置相關(guān)的罪名，《澳門個人資料保護(hù)法》第37-41條中具體規(guī)定了5種犯罪行為方式，《澳門刑法典》中對于侵犯私人生活的犯罪、侵犯通信工具的犯罪以及違反保密及棄職方面的犯罪罪狀與行為方式也均作出了詳細(xì)的闡明。①王立志：《澳門地區(qū)隱私權(quán)刑法保護(hù)及其評析》，載《學(xué)術(shù)交流》2014年第7期，第83～87頁；劉榮等：《我國港澳臺地區(qū)個人資料保護(hù)立法體系比較研究》，載《征信》2012年第4期，第72～75頁。

五、我國侵犯公民個人信息罪之完善建議

2019《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示， 至2018年12月，我國互聯(lián)網(wǎng)普及率高達(dá)59.6%，手機(jī)移動終端上網(wǎng)占比98.6%，網(wǎng)民規(guī)模達(dá)到8.29億，手機(jī)網(wǎng)民規(guī)模達(dá)8.17億。②中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）：第43次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》，http://www.cac.gov.cn/2019-02/28/c_1124175677.htm，下載日期：2020年9月25日。不管網(wǎng)絡(luò)空間是否構(gòu)成獨(dú)立的社會生活空間，但從目前的狀況看，網(wǎng)絡(luò)空間已經(jīng)成為民眾日常生活中不可或缺的一部分，正與傳統(tǒng)的社會生活領(lǐng)域發(fā)生線上與線下的混同。相應(yīng)地，網(wǎng)絡(luò)犯罪由最傳統(tǒng)的以網(wǎng)絡(luò)為對象，發(fā)展到以網(wǎng)絡(luò)為工具，再演變?yōu)橐跃W(wǎng)絡(luò)為空間。近年來，關(guān)于刑罰權(quán)的發(fā)動，以及刑罰的合適配置等問題，不斷有學(xué)者主張引入行政法中的比例原則，以追尋更為理性的罪刑模式，彌補(bǔ)現(xiàn)行刑法基本原則的不足。③陳曉明：《刑法上比例原則應(yīng)用之探討》，載《法治研究》2012年第9期，第91～100頁；姜濤：《追尋理性的罪刑模式：把比例原則植入刑法理論》，載《法律科學(xué)》2013年第1期，第100～109頁。然而侵犯公民個人信息罪，是目前所處的以網(wǎng)絡(luò)為空間的犯罪中的純正的網(wǎng)絡(luò)犯罪。對于該罪的懲處，本文認(rèn)為，應(yīng)當(dāng)加大懲處力度，繼續(xù)嚴(yán)密刑事法網(wǎng)。

（一）嚴(yán)密法網(wǎng)，完善相關(guān)法律法規(guī)

隨著社會數(shù)字化的生存需求越發(fā)依賴信息全面分享，數(shù)據(jù)不再簡單存儲于計算機(jī)信息系統(tǒng)中，而是處在活躍的交換傳輸狀態(tài)。傳統(tǒng)構(gòu)筑在隱私權(quán)基礎(chǔ)之上的公民個人信息保護(hù)已經(jīng)不能適應(yīng)當(dāng)前異常復(fù)雜的網(wǎng)絡(luò)世界，更無法回應(yīng)新型網(wǎng)絡(luò)犯罪下個人保護(hù)的現(xiàn)實(shí)需求，甚至導(dǎo)致司法實(shí)踐中出現(xiàn)一些爭議和分歧。如前文所述，我國關(guān)于公民個人信息保護(hù)的統(tǒng)一立法尚未出臺，前置性行政規(guī)范的缺位導(dǎo)致以“違反國家有關(guān)規(guī)定”為前提的犯罪認(rèn)定存在爭議；“以其他方法非法獲取”的立法列舉不完善、認(rèn)定標(biāo)準(zhǔn)的粗泛化，導(dǎo)致司法實(shí)踐中證明犯罪嫌疑人信息來源的非法性存在困難。

我國應(yīng)當(dāng)進(jìn)一步嚴(yán)密法網(wǎng)，完善法律解釋以及構(gòu)建合理的刑事追訴制度來解決司法認(rèn)定中存在的問題，以《解釋》第2條規(guī)定為基礎(chǔ)，將現(xiàn)有的法律法規(guī)，國務(wù)院的決定措施以及行業(yè)標(biāo)準(zhǔn)進(jìn)行統(tǒng)一整合，為司法實(shí)務(wù)提供明確的公民個人信息認(rèn)定標(biāo)準(zhǔn)以及獲取公民個人信息的具體法律依據(jù)、授權(quán)和資格指引。主要包括以下幾個方面的完善：第一，進(jìn)一步明確企業(yè)信息安全義務(wù)?！毒W(wǎng)絡(luò)安全法》與《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱為《規(guī)范》）中，雖系統(tǒng)的設(shè)置了網(wǎng)絡(luò)平臺對個人信息的保護(hù)責(zé)任，要求企業(yè)對信息安全事件采取記錄、評估、上報、告知等四類風(fēng)險防控措施，并設(shè)置個人信息安全影響評估機(jī)制，指引企業(yè)處置報告信息安全事件。但由于《規(guī)范》并非國家強(qiáng)制性標(biāo)準(zhǔn)，而是國家推薦性標(biāo)準(zhǔn)，其對于相關(guān)平臺的約束力很難得到保證，這將導(dǎo)致《規(guī)范》無法起到預(yù)想的規(guī)制效果。④戴正：《數(shù)據(jù)企業(yè)的個人信息保護(hù)責(zé)任：從GDPR到中國》，載《經(jīng)濟(jì)研究導(dǎo)刊》2018年第36期，第19頁。因此有必要引入企業(yè)信息安全義務(wù)的更嚴(yán)格標(biāo)準(zhǔn)，便于司法界定企業(yè)自身實(shí)施的犯罪、企業(yè)客觀幫助實(shí)施的犯罪和不履行信息網(wǎng)絡(luò)安全管理義務(wù)的犯罪。第二，明確“去標(biāo)識化”的認(rèn)定標(biāo)準(zhǔn)?；凇肮駛€人信息”的多元屬性以及信息“匿名化”處理標(biāo)準(zhǔn)不一與“再識別化”的風(fēng)險，立法對于企業(yè)信息專有權(quán)的態(tài)度較為模糊。兩高《解釋》中規(guī)定“經(jīng)過處理無法識別特定個人且不能復(fù)原的信息”不屬于侵犯公民個人信息罪的保護(hù)對象，但實(shí)踐中去識別化技術(shù)水平的差異化以及認(rèn)定標(biāo)準(zhǔn)不一使得在司法實(shí)踐中對于侵犯公民個人信息犯罪的對象與數(shù)量認(rèn)定上存在困難。應(yīng)當(dāng)進(jìn)一步修訂完善相關(guān)認(rèn)定標(biāo)準(zhǔn)，對于擁有公民個人信息的互聯(lián)網(wǎng)企業(yè)、網(wǎng)絡(luò)平臺以及其他組織專有信息的認(rèn)定標(biāo)準(zhǔn)加以明確，以利于司法實(shí)踐中侵犯公民個人信息犯罪對象與數(shù)量的準(zhǔn)確查證。第三，明確個人信息利用行政違法行為類型。《刑法》第253條規(guī)定的“違反國家有關(guān)規(guī)定”是該罪的法定構(gòu)成要件，實(shí)踐中空白罪狀無法得到具體的明確，使得對于侵犯公民個人信息犯罪的入罪化處理存在很大障礙。因此，在行政法律法規(guī)上明確個人信息利用行為的違法類型，能有效為刑事司法工作提供確切依據(jù)，更有助于合理地確立侵犯公民個人信息行為的入罪刑罰邊界。

（二）進(jìn)一步類型化侵害行為

我國《刑法》“對個人信息的規(guī)制經(jīng)歷了附屬他權(quán)保護(hù)、數(shù)據(jù)安全保護(hù)、專門規(guī)制保護(hù)三個階段，但在規(guī)制邏輯上卻延續(xù)了基于隱私保護(hù)模式的僅制裁轉(zhuǎn)移型侵害的狹窄思路，僅入罪規(guī)制非法提供、獲取或泄露個人信息的轉(zhuǎn)移型行為，無法將濫用信息行為納入規(guī)制范圍，導(dǎo)致對大數(shù)據(jù)環(huán)境下 ‘合法獲取、不當(dāng)濫用’的典型問題束手無策?！雹倮畲ǎ骸秱€人信息犯罪的規(guī)制困境與對策完善——從大數(shù)據(jù)環(huán)境下濫用信息問題切入》，載《中國刑事法雜志》2019年第5期，第40頁。當(dāng)前，尤其是互聯(lián)網(wǎng)企業(yè)非法利用個人信息的行為已成為監(jiān)管的核心難題，由于立法上的關(guān)于個人信息非法使用的規(guī)定存在缺位，導(dǎo)致諸如非法廣告聯(lián)盟、第三方信息買賣等違法行為在司法適用過程如何定罪存在爭議。與其繼續(xù)參照實(shí)務(wù)中以“非法經(jīng)營罪”等口袋罪牽強(qiáng)適用的傳統(tǒng)做法，不如從立法上回應(yīng)這一現(xiàn)實(shí)問題，將非法使用個人信息的行為類型化入罪，將實(shí)踐中形式多樣的個人信息非法使用行為統(tǒng)一納入個人信息非法使用的行為框架下。

如前文所述，公民個人信息已經(jīng)成為其他犯罪的常見工具與犯罪基礎(chǔ)，非法使用、非法散布公民個人信息的行為是當(dāng)前最直接的、個體法益侵害最精準(zhǔn)的行為類型，尤其是企業(yè)在數(shù)據(jù)海量共享與多元化傳播環(huán)境下濫用個人信息的行為已成為一種社會常態(tài)。為實(shí)現(xiàn)對個人信息的更周延保護(hù)，筆者認(rèn)為應(yīng)當(dāng)對《刑法》第253條的侵害方式進(jìn)一步類型化擴(kuò)充，依據(jù)實(shí)踐情況不斷加強(qiáng)對新興犯罪行為方式的規(guī)制。行為方式的類型化擴(kuò)充，既能與相關(guān)的前置法協(xié)調(diào)銜接適用，且使得刑法規(guī)范的內(nèi)在邏輯形成閉環(huán)，非法使用個人信息行為的入罪化處理能更好地實(shí)現(xiàn)社會、企業(yè)和個人對個人信息安全的合理保護(hù)，同時也為個人信息被非法使用的公民維權(quán)提供有力的法律支持。

（三）構(gòu)筑公民個人信息侵權(quán)的有效維權(quán)路徑

隨著大數(shù)據(jù)時代下網(wǎng)絡(luò)技術(shù)迭代更新，借助互聯(lián)網(wǎng)實(shí)現(xiàn)的侵犯公民個人信息的犯罪將愈發(fā)呈現(xiàn)出隱蔽性、靈活性、復(fù)雜性的特點(diǎn)，偵查機(jī)關(guān)發(fā)現(xiàn)犯罪、調(diào)查取證、證明定罪都具有一定難度，且極易遺漏。公民是最可能及時發(fā)現(xiàn)個人信息被侵犯的，因此構(gòu)筑公民個人信息維權(quán)的有效路徑是實(shí)現(xiàn)周延保護(hù)公民個人信息所必不可少的。“公訴＋自訴”的混合救濟(jì)模式是當(dāng)前應(yīng)對復(fù)雜的個人信息犯罪的最佳方案。筆者通過對僅有的8個自訴案例進(jìn)行分析，發(fā)現(xiàn)自訴案件中對侵犯公民個人信息罪的相關(guān)證明責(zé)任標(biāo)準(zhǔn)仍是參照公權(quán)力機(jī)關(guān)為主體進(jìn)行設(shè)置的。這就導(dǎo)致，公民自訴有可能因舉證能力不夠、證據(jù)不足而被公安部門不予受理或被法院駁回起訴。因此，應(yīng)當(dāng)制定一個相對低的自訴證明標(biāo)準(zhǔn)，如設(shè)置一定限制條件下舉證責(zé)任倒置規(guī)則，構(gòu)建公民個人信息侵權(quán)的報案、記錄以及后續(xù)處理的一體化維權(quán)機(jī)制，使得受到侵害的權(quán)利主體能夠在發(fā)現(xiàn)違法犯罪行為時，及時依據(jù)自身掌握的證據(jù)，在維權(quán)機(jī)制的有效運(yùn)轉(zhuǎn)下，向人民法院提起刑事自訴，及時高效地實(shí)現(xiàn)自身權(quán)利救濟(jì)，彌補(bǔ)公安機(jī)關(guān)在主動發(fā)現(xiàn)打擊犯罪時的忽略與滯后，又能避免過長的追訴時間與復(fù)雜程序?qū)е碌墓窬S權(quán)效率低下，打擊公民維權(quán)的積極性。

（四）創(chuàng)設(shè)企業(yè)刑事合規(guī)制度，有效預(yù)防單位犯罪

大數(shù)據(jù)時代，有限的國家司法資源與日益紛繁復(fù)雜的企業(yè)信息犯罪控制之間存在著難以短期逾越的現(xiàn)實(shí)障礙。在擴(kuò)大網(wǎng)絡(luò)信息安全犯罪圈的同時，有效地引導(dǎo)行業(yè)自律是新網(wǎng)絡(luò)空間下要探討的另一個問題。實(shí)踐中，單位犯罪的發(fā)生往往并不僅是由單位內(nèi)部自然人的某個決定引起，更多的是由于單位管理體制和監(jiān)督機(jī)制有缺陷導(dǎo)致的。①黎宏：《單位犯罪中單位意思的界定》，載《法學(xué)》2013年第12期，第153～160頁。在有效規(guī)制侵犯公民個人信息罪之單位犯罪方面，可以考慮創(chuàng)設(shè)刑事合規(guī)制度，具體包括建立和完善企業(yè)使用客戶信息合規(guī)準(zhǔn)則，以及搭建企業(yè)個人信息保護(hù)的合規(guī)體系兩個方面。

1. 建立和完善企業(yè)使用客戶信息合規(guī)準(zhǔn)則

企業(yè)信息數(shù)據(jù)合規(guī)的內(nèi)容應(yīng)全方位、多維度考慮維護(hù)各方利益。從維護(hù)國家安全與公共利益的層面上，企業(yè)要建立數(shù)據(jù)留存、數(shù)據(jù)境內(nèi)外傳輸、數(shù)據(jù)執(zhí)法協(xié)助等多方面的合規(guī)機(jī)制，依照法律法規(guī)，配合網(wǎng)信部門和其他政府部門的有關(guān)業(yè)務(wù)需求對企業(yè)數(shù)據(jù)進(jìn)行安全管理；立足公民權(quán)利本位，企業(yè)應(yīng)制定用戶隱私服務(wù)政策、數(shù)據(jù)使用協(xié)議和合規(guī)數(shù)據(jù)技術(shù)處理流程，維護(hù)公民的合法權(quán)益；市場競爭關(guān)系下應(yīng)及時關(guān)注、規(guī)避企業(yè)間不正當(dāng)商業(yè)競爭、數(shù)據(jù)壟斷行為，在保護(hù)自身商業(yè)秘密的同時抵御外來商業(yè)風(fēng)險。企業(yè)刑事合規(guī)要進(jìn)行頂層制度和體系設(shè)計，完成事前防范、事中控制和事后應(yīng)對的三大模塊行動指南設(shè)計。

首先要做好事前的防范，依照憲法、法律法規(guī)和其他規(guī)范性文件制定的企業(yè)用戶信息使用準(zhǔn)則，結(jié)合企業(yè)經(jīng)營特點(diǎn)建立個人信息使用的合規(guī)評估體系，將經(jīng)營活動中必然或可能會面臨的一般刑事風(fēng)險和特殊刑事風(fēng)險進(jìn)行準(zhǔn)確“定位”，明確信息收集活動中每一步行為的邊界并進(jìn)行員工信息合規(guī)培訓(xùn)。其次，嚴(yán)格監(jiān)控企業(yè)的信息收集活動，做到全流程把關(guān)，建立大數(shù)據(jù)保護(hù)合規(guī)審計、合規(guī)報告、24小時舉報等多種信息活動的內(nèi)部監(jiān)管機(jī)制，并在技術(shù)層面不斷實(shí)現(xiàn)對用戶信息分級管理與匿名化操作的優(yōu)化升級。最后，要完善企業(yè)的事后應(yīng)對機(jī)制。應(yīng)以具體章程明確當(dāng)個人信息數(shù)據(jù)侵犯用戶信息權(quán)時，企業(yè)如何進(jìn)行內(nèi)部調(diào)查、漏洞整改、違規(guī)人員處理、如何保障個人信息安全的損害最小化等一系列具體的應(yīng)對措施。

2. 搭建企業(yè)個人信息保護(hù)的合規(guī)體系

企業(yè)數(shù)據(jù)安全管理中，人是最大的風(fēng)險，也是最好的尺度，但目前合規(guī)文化的重要性仍處于被忽視的狀態(tài)。要實(shí)現(xiàn)企業(yè)對個人信息的真正保護(hù)，緩解技術(shù)對法律的沖擊，不僅要提升企業(yè)的風(fēng)險責(zé)任意識，更要重視對企業(yè)員工合規(guī)意識的培養(yǎng)。因此要構(gòu)筑企業(yè)個人信息保護(hù)的合規(guī)組織體系，建立企業(yè)內(nèi)部的信息合規(guī)專門部門或相關(guān)的管理委員會，任命首席合規(guī)官并以其為牽頭，實(shí)現(xiàn)企業(yè)管理層自上而下、以身作則、率先垂范，嚴(yán)格遵循企業(yè)個人信息數(shù)據(jù)處理活動的指南，并定期進(jìn)行全體員工的合規(guī)培訓(xùn)，加強(qiáng)法律知識的普及，以提高職員的數(shù)據(jù)合規(guī)、隱私保護(hù)意識。

六、結(jié)語

正如科德·戴維斯在他的《大數(shù)據(jù)倫理學(xué)》一書中所言，“意外后果所帶來的潛在危害，可能很快就會超過大數(shù)據(jù)創(chuàng)新的價值。”②Kord Davis & Doug Patterson, Ethics of Big Data，2012，p.5.數(shù)字化時代，人們既依賴數(shù)據(jù)收集使用下的巨大價值創(chuàng)造，也恐慌著高度數(shù)據(jù)化帶來的巨大風(fēng)險。個人信息犯罪日益猖獗，對個人信息的非法收集、非法使用觸發(fā)了一系列以網(wǎng)絡(luò)為空間、網(wǎng)絡(luò)為工具的違法犯罪。因此，妥善的解釋和適用相關(guān)侵犯公民個人信息罪行規(guī)范是當(dāng)前迫切需要的。當(dāng)然解釋應(yīng)當(dāng)在文義的可能含義范圍內(nèi)和目的解釋的訴求下進(jìn)行。③林貴文：《輪奸成立學(xué)說的法教義學(xué)批判與證成》，載《法律科學(xué)（西北政法大學(xué)學(xué)報）》2019年第6期，第56頁。通過對實(shí)踐中侵犯公民個人信息罪適用分析，并借鑒域外立法例的相關(guān)有益思路，盡快實(shí)現(xiàn)我國個人信息保護(hù)的法律規(guī)范體系構(gòu)建，完善相關(guān)行政法律法規(guī)，與《刑法》相協(xié)調(diào)，為個人信息保護(hù)提供有力的依據(jù)。在秉持刑法謙抑性原則的基礎(chǔ)上，嚴(yán)密法網(wǎng)，進(jìn)一步類型化侵犯公民個人信息犯罪行為方式，并適當(dāng)開放自訴渠道。在刑罰積極預(yù)防思路下，建議引入刑事合規(guī)計劃，進(jìn)一步阻斷企業(yè)侵犯公民個人信息的途徑，使個人信息權(quán)利和企業(yè)數(shù)據(jù)利益得到有效保障。