【论文提要】随着网络技术的不断发展，微时代悄然而至。伴随微时代信息传播速度快、传播内容更具冲击力和震撼力的步伐，公民个人信息的泄露问题也日益凸显。为此《刑法修正案七》第七条将泄露个人信息的行为规定为犯罪，具有进步意义。但该条对侵犯公民个人信息罪规定得较为笼统，存在不少问题。笔者在对这些问题进行分析的基础之上，对公民个人信息的保护的刑法制度的修改及体系建设的完善提出了自己的看法，以求达到抛砖引玉之作用，全文分为四部分。

　　　　第一部分，通过当前个人信息泄露的社会形势引出公民个人信息保护的迫切性以及侵犯公民个人信息罪的规定在司法实务中所面临的亟待解决的问题。

　　　　第二部分，通过对我国现行公民个人信息保护立法层面的分析，指出我国立法对这一犯罪规定严重不足，缺乏相应的法律保护基础，现行刑法的规定单一而且缺乏相应功能，起不到保护公民个人信息应有的效果。

　　　　第三部分，论述了刑法第二百五十三条之一规定的不足，指出其较为笼统规定不利于司法实践，利用其解决司法实务中的案例存在诸多困惑，必须完善现行立法，明确犯罪主体、犯罪客观方面和具体情节等内容。

　　　　第四部分，探索了个人信息保护制度的完善的途径。笔者从立法保护、确定明确的刑罚制度以及体制构建等方面对公民个人信息的保护体系建设提出了建议，并就刑法第二百五十三条之一提出了修改意见。全文共8339字。

　　　　引　言

　　　　随着微时代的到来，信息传播速度不断加快，当前，个人信息面临着被严重非法泄露的问题，其导致的危害也无处不在。每天醒来，通过电话、短信、电子邮件、QQ信息、普通信件及铺天盖地而来的推销广告让人不甚其烦。这就意味着我们的个人信息资料包括姓名、职业、电话、家庭住址等在内被公然暴露在世人面前。而网络上的信息泄露现象就更为严重，不只是上网的账号和密码，几乎所有的信息都有被“偷看”的价值和可能，比如你的性别、年龄、收入、婚姻状况、网购习惯和花销、上网浏览习惯、地理位置等等。公民个人信息保护面临着更为较为严峻的形势。由于我国现行立法对个人信息保护规定较为笼统，导致实务中存在较多问题，许多侵犯公民个人信息的不法行为得不到应有的打击与制裁。因此，针对侵犯公民个人信息罪进行研究与分析，在司法实践中具有十分重大的现实意义。

　　　　一、现实之需：个人信息泄露引起侵犯公民个人信息犯罪的增设

　　　　（一）个人信息泄露现状凸显严峻化

　　　　随着生产力的发展，计算机、网络在全球的应用和普及，使现代社会迅速发展成为一个信息化社会。信息化催生微时代，使信息渗透到了生活领域的方方面面，如买车、买房需要信息，办银行卡、手机卡、上网注册账号、甚至连浏览部分网页等也需要提供个人信息。个人信息成为信息社会的一项重要资源，也面临着前所未有的威胁。基于信息的战略性地位，商家对信息的争夺从来没有停止过，在这场战争中，受害的只有公民本人。在现实生活中，公民在公共服务领域提供个人信息一般是基于格式化的合同，因而没有选择性，这就导致了掌握公民个人信息的单位或个人将公民信息非法提供给他人甚至转卖牟利的情况时有发生。获得公民信息的商业公司或个人利用公民信息推销商品、服务，干扰了公民正常生活，给公民带来诸多不便，有的甚至用掌握的信息诈骗或者从事其他的非法活动，给公民的财产和人身安全造成了隐患乃至损害。

　　　　随着个人信息被泄露的现象变得越来越严重，公众要求有关部门采取措施保护公民个人信息的呼声渐高，这引起了社会各界的重视。以法律的形式明确保护公民个人信息已是刻不容缓，在此背景下，中华人民共和国第十一届全国人民代表大会常务委员会于2009年2月28高票通过了《中华人民共和国刑法修正案(七)》，其中的一个亮点就是增设了侵犯公民个人信息犯罪，这标志着公民个人信息的的保护上升至刑法层面。

　　　　（二）个人信息保护的刑法层面规定

　　　　《刑法修正案（七）》第七条规定：在刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融，电信，交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人。情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”根据两高的司法解释，此条规定增加了两个罪名，即出售、非法提供公民个人信息罪与非法获取公民个人信息罪。

　　　　规定是摆上台面了，但现实情况是，我们的个人信息仍在被非法泄露、传播、侵害。今年央视3.15晚会，让一家公司进入大众的视线——罗维邓白氏。这家中外合资公司以买卖租赁用户个人信息为主业，涉嫌非法获取、买卖公民个人信息。目前，上海罗维邓白氏营销服务有限公司已被上海警方查封，业务暂停。围绕如何保护个人信息，舆论几乎一边倒，罗维邓白氏成为众矢之的。另外，中国青年报社会调查中心最近对1958人进行的在线调查显示，86.5%的受访者表示自己的个人信息曾遭到泄露。在受访者认为最有可能泄露个人信息的机构中，“需要注册个人信息的网站”和“房屋中介”名列前茅，楼盘的短信广告铺天盖地，同时具备这两种性质的房地产中介网站则是泄露个人信息的重灾区。信息泄露现象如此严重，究其原因，一是我国个人信息保护基本法律的不健全，二是刑法第二百五十三条之一本身规范的概括性，这就造成了该条在司法适用层面的困难。下面我们从下面一则案例来分析本条在审判实践中存在的问题。

　　　　案例：2009年3月至7月间，叶某在温州市瓯海区其暂住处通过互联网与上家取得联系，并在支付费用后，通过登录“黄金眼浙江服务系统”，进行手机定位，同时又通过互联网向6家“调查事务所”兜售手机定位信息。叶某将手机相关定位信息以每人次100元或100元以下的价格出售给下家即调查事务所，从中赚取差价。2009年3月至7月间，叶某共出售手机定位信息400多次，收取费用共计近4万元。最终叶某被浙江省温州市瓯海区人民法院以非法获取公民个人信息罪判处被告人有期徒刑一年，并处罚金3万元。

　　　　那么，叶某是否符合侵犯公民个人信息罪的主体构成要件？法院是否应追究“上家”的责任？法院以非法获取公民个人信息罪判处叶某有期徒刑一年，并处罚金3万元是否有法律依据？带着这些问题，下面有必要从立法、司法制度等方面对侵犯公民个人信息犯罪的规定作进一步的探讨，以加强其适用性与可操作性。

　　　　二、立法困境：现行法律对侵犯公民个人信息保护规定的不足

　　　　（一）个人信息保护缺乏其他必要的法律作为基础

　　　　刑法第二百五十三条之一规定：“违反国家规定，将本单位在履行职责……”需要符合违反国家规定才使用本条。何为“国家规定”，即有其他法律条文的明确规定。然而我国目前还没有针对个人信息保护的法律规定，只在我国《宪法》和《民法通则》等法律中有关于隐私和公民权利保护的条款，刑事诉讼法规定涉及个人隐私的案件一律不公开审理等，有的法律甚至没有相关内容的规定，就使得本罪缺乏有力的其他法律作为必要的基础，因而该条在适用上缺乏法律基础。

　　　　（二）个人信息保护的刑法保护过于单薄

　　　　刑法作为补充法、保障法，并非确权法，只有在其他法律不足以保护的情况下，才会动用刑法。刑法作为最严厉、最后的制裁手段，需要其他法律先为某种利益确权，以此为基础。（1）在没有其他法律对公民个人信息明确作出规定的情况下，刑法就将泄露公民个人信息犯罪化，是缺乏基础的。这也违背刑法补充性和第二性的性质，体现不出刑法最后保障的功能价值。因此，在没有其他法律作为依托的情况下，靠刑法单枪匹马，显然不足以有效地保护公民的个人信息。

　　　　（三）缺乏一整完整的个人信息保护法法律体系

　　　　要有效的保障公民的个人信息，需要加强这方面的立法。到目前为止，已有50 多个国家设立了《个人信息保护法》，而我国尚未设立这方面的专门法，且我国也没有建立一整套有关个人信息保护的法律体系，明确将个人信息作为直接保护对象的法律法规少之又少。目前我国的个人信息保护散见于各法中，规定得又不明确、全面。对所有的法律法规进行修改，显得不现实。（2）在信息行业力量不强，行业自律难以实现的前提下，笔者认为应借鉴西方经验，如德国的做法就值得效仿，即通过制定一部《个人信息保护法》，统一规定个人信息的收集、处理、利用及消除，从而切实有效地保护公民的个人信息，以弥补单独立法上的空白。

　　　　三、制度缺陷：侵犯公民个人信息罪规定欠缺操作性

　　　　（一）犯罪主体规定太限定

　　　　《刑法修正案(七)》第七条共有三款，第一款规定的是特殊主体，为国家机关或者金融、电信、交通、教育、医疗等单位的工作人员；第二款则是普通主体；第三款是单位。由此可见，第二款与第三款的主体范围已近最大化。但是第一款对犯罪主体的规定却显得范围过窄，这不利于有效制裁泄露信息的主体，达不到切实有效保护公民个人信息的目的。下面我们说明为什么规定过窄，要扩大到哪个范围。

　　　　首先我们要明确第一款规定中的“等”的含义。根据罪刑法定原则,在没有明确的司法解释出台之前，我们只能把本罪的犯罪主体限定在上述修正案列明的单位之中。也就是说，第一款的犯罪主体只能是在特殊单位工作的人员。然而，这样的做法恰好让现实生活中的一些犯罪分子钻了法律的空子，实施了侵权行为却得不到应有的法律制裁。

　　　　笔者认为，从目前我国公民个人信息受到侵害的客观情况及立法本意来看，本款中的“等”应理解为“等外”，这就是说应当将可以合法收集到公民个人信息的单位及其工作人员均纳入本罪的主体范围。其理由是：一是国家机关其本身就负有公共管理职能，金融、电信、交通、教育、医疗等单位肩负着为社会和公众提供公共服务的职责，现实生活中，他们确已成为侵害公民个人信息最直接最突出的主体，所以刑法对他们予以明确入罪。但是，随着网络技术的发展，社会交往、商品贸易和公共服务功能的扩大，能够掌握公民个人信息的单位或个人已经远远超出上述限定的范围。诸如房地产开发公司、汽车销售服务公司、人力资源市场和各类招聘公司、注册网站等，均通过各种渠道收集储存掌握了大量的公民个人信息。据调查显示，电信机构、招聘网站和猎头公司、各类中介机构已被公众列为泄露个人信息的“罪魁祸首”。对于这些单位及其工作人员将其在提供服务过程中获取的公民个人信息出售或者非法提供给其他单位和个人使用，情节严重的行为应当予以惩处。二是就犯罪主体的性质来看，金融、教育、医疗等单位已脱下国有的外衣，逐渐融入了市场，私营或者外资已经涉足这些行业，所以从主体的性质将其理解为特定主体有失偏颇。三是如果把该款规定的犯罪主体特定化，则可能造成“中间服务商”的定罪难题。即可能出现这样一种情况，特定主体将个人信息转让给他人后，如果信息接受者（即中间服务商）并非是特定主体，而其获取信息的行为又不被该条第二款限制时，其以再出售等方式非法提供给第三人的，依据第一款就不能入罪，这不仅会造成刑罚适用的不公平，还无法达到有效保护个人信息的目的。四是从世界各国的立法现状来看，对侵犯公民个人信息的犯罪主体一般不界定为特定主体，通常强调的是从行为人实施行为的目的和动机以及对信息的来源来界定。

　　　　（二）犯罪客观方面表述不明确

　　　　该条款的客观方面表述为：将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，情节严重的行为；窃取或者以其他方法非法获取上述信息，情节严重的行为。本条款的规定不具有操作性，存在着明显的弊端，既没有规定哪些信息受刑法保护，又没有具体作出情节认定标准，不利于司法层面的运作。那么，如何认定公民个人信息和情节严重，就成为准确适用这一条款的关键所在。

　　　　1、犯罪对象“公民个人信息”的范围需明了

　　　　关于个人信息的概念，目前并无通说， 学界主要存在“隐私说”和“识别说”这两种主要观点。“隐私说”认为个人信息是个人不愿公开的或是极为敏感的不愿为他人所熟知的个人信息。“识别说”认为，个人信息是指足以构成对个人进行识别的信息。(3)从外延上来看，个人信息的范围十分广泛，几乎囊括有关个人的一切信息、数据或者其它情况，所有的这些几乎都可以认定为个人信息。从通常意义来说，个人信息的外延要比隐私更为宽泛。

　　　　笔者认为，个人信息指通过一定的媒介或传递形式使外界能够感知到的表征该个人特征的内容，而应当采用“识别说”，因为可“识别”的内容远大于“隐私”的内容。对个人信息的保护应具有针对性，刑法作为“不得已的恶”所保护的应该是那些能为他人谋取正当或不正当的利益提供便利且泄露后将给被泄露者带来困扰甚至侵害其合法利益。

　　　　2、犯罪程度“情节严重”需明确

　　　　根据刑法修正案（七）第七条的规定，情节严重是构成该罪的必要条件。即本罪犯罪行为只有达到了“情节严重”的程度才能构成犯罪，即本罪是“情节犯”。但是到目前为止，尚无相关司法解释出台来具体规定 “情节严重”的认定标准。由于没有相应的司法解释，审判工作人员就无法参照解释内容作出判断，在没有相关司法解释的出台的背景下，这就使得该条款的适用存在一定程度的困难，造成了司法标准不统一，认定不准确的困境。

　　　　在司法实践中，实际上也很难判断行为人的行为是否达到犯罪情节严重的程度。以侮辱罪为例，刑法第二百四十六条第一款规定：以暴力或者其他方法公然侮辱他人或者捏造事实诽谤他人，情节严重的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利。这里的“情节严重”主要是指以下几种情况：一是手段恶劣的，如当众将他人衣服扒光等；二是侮辱行为造成严重后果的，如被害人不堪侮辱自杀的，因受侮辱导致精神失常的；三是多次实施侮辱行为的，等等。

　　　　参照以上规定，笔者认为为了确保本条的准确适用，应当在概括性规定的基础上，进一步明确列举出部分侵犯个人信息情节严重的情形，即应从非法出售个人信息行为的动机、次数、手段，信息的数量，违法所得的数额，对公民造成的损害程度以及对社会负面影响的范围等方面予以细化。

　　　　（三）过失犯此罪是否纳入刑法调整未说明

　　　　刑法第二百五十三条之一并没有明确过失犯是否构成侵犯个人信息罪，我国有学者提出应该明确过失犯罪可以构成本罪。结合本条在司法实践中的适用情况，笔者认为，过失犯此罪的不能一概认定为构成此罪。具体来说，首先，修正案七已经罗列出来的单位工作人员和单位犯罪的应该可以由过失构成。其次，修正案未列出不以单位为依托进行犯罪行为的主体只能由故意犯罪构成。根据刑法第十五条第一款的规定，过失是指应当预见自己的行为可能发生危害社会的结果，因为疏忽大意而没有预见，或者已经预见却轻信能够避免，以致发生这种结果的，是过失犯罪。正如学者指出的，前一部分的主体与公民的日常生活联系十分密切，公民向这些机构提供个人信息往往是没有选择性的，而同时这些单位也汇聚了最大范围的公民个人信息，它们担负着政府和社会管理职能有关，因而他们理应承担更多的保密义务，体现了权利和义务的对等一致性，因此对这些单位工作人员的特殊要求有其合理的一面。另外，这些工作人员也有能力预见所谓的危害社会的结果。（4）第二部分的主体是一般的普通民众，因缺乏相应的知识所以并不都有预见所谓的危害社会的结果发生的能力，因此对这部分的主体往往是只能因故意犯罪受到刑法的惩处。这样也符合刑法的谦抑性特点，同时也有利于将我国有限的司资源集中到当前重点领域更易发生的犯罪的治理上来，以体现刑事立法的适时性与针对性。

　　　　四、路径探索：公民个人信息保护司法制度之完善

　　　　（一）立法保护待加强

　　　　我国对公民个人信息虽然从立法上进行了保护，但从公民个人信息保护对立法的要求来说，还是缺乏一部系统的、专门的规范公民个人信息保护的法律制度，现行规定处于“一盘散沙”的状态。（5）对于公民个人信息的保护仅凭刑法的“单兵突进”是远远不够的，单一的刑事制裁也容易陷入“孤立无援”的境地。要切实做好对公民个人信息的保护工作，关键还在于强化人们对公民个人信息的重视意识以及建立一套完善的有关公民个人信息保护的体制。就目前来看，我国尚未规定对侵犯公民个人信息的补偿机制，刑法只规定了对违法行为人的处罚而没有对受侵害的权利人如何寻求救济作出具体规定，并且其他法律中也找不到类似的规定。笔者认为，公民因本罪行为遭受人身或其他严重精神损害的，可以就损害事实提起刑事附带民事诉讼或单独提起民事诉讼，以维护其合法权益。相应地刑诉法可规定因本罪犯罪行为而遭受人身或严重精神损害的，在刑事诉讼过程中，有权提起附带民事诉讼或就精神损害单独提起民事诉讼。正因为如此，一部统领意义上的个人信息保护法期待大家期待。

　　　　（二）犯罪构成要件应明确

　　　　如前所述，个人信息保护的刑法制度规定过于笼统，缺乏现实操作性。在此应明确本罪的主体构成只能是一般主体，客体为个人信息，具体指那些能给他人谋取正当或不正当的利益提供便利且泄露后将给公民合法利益带来严重侵害的信息。而构成本罪需要达到情节严重，虽然立法本身对什么是“情节严重”的情形未作具体规定，这有待于司法解释尽快作出进一步的规定和细化，但是笔者认为这里的“情节严重”，可指以下几种情况:1、将公民个人信息向境外泄露的； 2、多次实施侵犯本罪行为的； 3、侵害对象涉及多人或牵涉较广的；4、造成严重后果或者造成严重恶劣影响的； 5、获利较多的。

　　　　（三）本罪罚金刑的规定需细化

　　　　从法定刑设置上看，《刑法修正案(七) 》第七条规定的是“并处罚金或者单处罚金”。立法之所以如此规定，可能是考虑行为人一般采取“出售”等有偿转让的方式来实施本罪行为。那么,如果行为人采取的不是“出售”，而是“非法提供”等无偿转让的方式来侵犯公民个人信息,那么对行为人实行“并科的罚金刑”就显失公正，在此情况下,如果对行为人“单处罚金”,就不合理了。（6）因此,笔者建议,应当将本罪的罚金刑由“必并科的罚金刑”修改为“得并科的罚金刑”,立法用语上将“并处罚金”改为“可以并处罚金”,以适应行为人侵犯公民个人信息是否具有获利等不同情况。即如果行为人采取“出售”等有偿转让的方式来侵犯公民个人信息,在司法适用上应当并处罚金;如果行为人仅采取“非法提供”等无偿转让的方式来侵犯公民个人信息,则不应当适用罚金刑。同样,本罪规定的“或者单处罚金”亦需要完善,即将“单处罚金”改为“可以单处罚金”。因此,笔者建议将《刑法修正案(七) 》第七条规定的“并处罚金或者单处罚金”改为“可以并处罚金或单处罚金”。

　　　　（四）社会体制规定上待完善

　　　　个人信息保护作为一项社会工程，应由全社会共同参与进来加入保护信息行列。公民要有个人信息的保密意识，并尽到一定的注意义务，在向陌生人、私人机构提供家庭住址、身份证号码、手机号码等私人信息时要提高警惕性；作为消费者有权向公共服务提供者表明需要保密的态度,要求相关部门加强监管；在提供的有关证件复印件上明确标示出限定的用途等。公民个人信息的持有方，例如金融、电信、交通、教育、医疗等特殊单位，需要完善保密制度，即在采集公民个人信息时要强调个人信息的保密意识。另外，政府要加强监管和执法的时效性，及时建立独立、权威、统一专门的个人信息的执法机构。

　　　　综上，笔者建议讲刑法第二百五十三条之一修改为：“国家机关或者金融，电信，交通、教育、医疗等可以合法收集到公民个人信息的单位及其工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，不当使用、出售或者非法提供给他人。情节严重的，处三年以下有期徒刑或者拘役，可以并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位可以判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

　　　　结　语

　　　　刑法第二百五十三条之一的规定具有极大的进步意义，它为公民个人信息的保护提供了一种途径，提供了最后也是最强有力的保障。其中存在的不足之处，还有待于在司法实践中进一步检验及司法解释的进一步明确。一部法律的出台或是修改，并不是一件简单的事情，其中涉及到许多利益的权衡，各种意见的博弈，甚至是妥协。要考虑现实，考虑国家、社会的公共利益，也许并不如我们所期待的尽善尽美。然而，放到现实中，这些问题仍然值得大家商榷与探究。现行法律对公民个人信息的保护的方方面面未予以充分考虑。在微时代信息化飞速发展的今天，个人信息因其独特性而具有特殊价值，理应得到尽善的保护。鉴于此，笔者对公民个人信息的保护提了一些尚不够成熟的看法，以期对完善个人信息保护刑法救济制度乃至法律体系的构建有所裨益。随着立法技术的提高，笔者深信，未来有关公民个人信息保护的立法体系将会更加完善，保护措施将更加全面，个人信息将得到切实有效的保护。