论我国法律对公民个人信息的保护制度

【摘要】：

在网络渗透率和普及率日益提高的当下，网络技术也在不断进步，在网络活动的公民，其活动轨迹与操作行为都能够被转化为具有价值的数据。网络运用固然为人们带来诸多便利，但也造成了一些新问题新现象，如公民个人信息保护方面，正出现越来越多样和多元的侵害行为，但法律由于存在滞后性，对此还没有针对性保护措施，使得目前出现了较多的公民个人信息被侵害事件或现象，甚至部分心怀恶意或犯罪分子抓住这一破绽实施了一些侵害行为，对公民个人信息与财权等权益造成了事实上且客观存在的侵害并导致严重后果。正是基于这一情况，本文先以网络环境作为前提，对当前公民个人信息的定义与内容进行了讨论，并就国内外信息保护相关情况进行了分析，以对国内立法提供若干可用参考。最后，对国内现有个人信息相关的法律法规展开研究，揭示其中问题并提出部分改善意见。

【关键词】：网络环境；公民个人信息；信息安全

　　一、个人信息网络侵权的特征与危害

从社会生活实际情况来看，个人信息侵害行为并非现在出现而是长期存在，只不过以前都是小范围且通常没有产生非常恶劣且普遍后果，因此在XX与民众中间并没有引发较高关注。但是网络时代提供了条件，让这种侵害行为影响范围急剧扩张，且行为方式也越来越多样，且还在持续进化中，这种越来越常见的侵害行为日益引起人们强烈反感并对民众切身利益带来较大威胁，引起社会各界对个人信息保护的强烈立法期待，本文正式对该方面的法律保护机制或规制问题进行探讨。

　（一）特征

首先需要明确的是，对公民个人信息侵害确凿无疑的能够被纳入且已经被定性为一种违法行为，虽然以前经常能够在日常生活中看到或听到，但是由于其范围小影响面不大，因此在XX与民众中间并没有引发较高关注。但网络时代提供了条件，让这种侵害行为出现的日益频繁且产生的影响日益扩大化且影响性质也非常恶劣，引发社会各界重视，并对公民个人信息保护展开讨论并有着越来越强烈的针对该类现象加强立法的呼声[1]。目前国内社会与经济都呈现一派繁荣与多元发展景象，如数据化和信息化正在迅速普及，使得个人信息侵害行为出现了下述特征或要素：

高发易发。数字化时代，经济原动力来源相当程度依赖于数据，此时公民个人信息不再是无用的，却是包含极高经济价值，在利益驱使下，不法分子看到这一点开始采取各种模式以盗取或其他侵害方式利用公民个人信息，将之进行出售或以其他方式进行非法利用，从中满足自己恶意或套取高额利益，现在这种侵害案件或行为频频出现于大众视野。在网络技术加持下，这种侵害行为不再仅是后果并不十分严重或扩大化的个例或个案，而是渗透到人们生活各个方面，如购房者在记录自己信息，随后就能接到一些不明来源贷款电话，或其他推销电话；又如新生儿父母，往往孩子未出生或刚出生就已经能受到微商信息。见微知著，现阶段公民个人信息侵害行为或案件已经面临着高发易发的发展态势。实施成本较低。由于网络渗透率和普及率提升，人们日常生活已经无法离开网络，而想要依靠网络获取公民信息也非常便捷，不但技术手段要求并不高且成本也非常低。且实名制推广也让人们衣食住行等各个方面网络服务都必须通过实名注册，但是商家拥有这些数据与信息后却出现了严重泄漏或自身进行非法处置等各种侵害情况。如外卖服务不仅要求用户注册还需要提供详细的个人住址等隐私信息等，类似事情不胜枚举，不法分子通过特殊手段能够入侵私人网络或平台，获得超大规模公民信息数据。且这种情况并非仅限于网络中，由于数据具有经济价值也已经扩散到线下，如购房者通常会要求留下个人详细隐私信息，这些数据会上传到房企台账并进入其自有的企业系统后台，这时就容易出现泄漏情况，或自身内部泄漏或外部不法分子窃取，然后通过售卖等手段获利，而其中所要付出的成本微乎其微。隐蔽性较高。由于个人信息侵害行为具有虚拟特性，并不具有实体，通过网络就可突破时间和空间两方面限制，不法分子可以远在千里或不同国家即可进行不法行为，完成个人信息窃取或其他不法活动。此外部分不法分子还能够利用一些网络技术手段控制目标系统，如植入一些木马文件等，从而盗取其电脑中的个人数据或信息，如果不进行针对性倒查，则甚至不会被受害者发现。此外，由于同区域该类型侵害活动或行为太多频发，侵犯行为主体涉及面较广，即使受害者发现电脑被入侵或自己个人信息被盗取并散播，也难以找准目标主体。如张三为了贷款，分别在线上金融平台及线下三个金融机构进行了贷款申请，此后不久手机就持续收到贷款推销信息，张三知道自己信息被泄露但也难以准确定位到底是前述哪个机构或平台所为。

（二）危害

由于侵犯行为主体范围较广且难以精确定位，行为隐蔽性强，同时伴随着扩大化和成本低等特点，使得当前出现了越来越频繁的公民个人信息侵害案件或事件，整体呈现易发高发趋势，并带来显著社会负面性影响[2-3]。信息化时代，存在着各种社会生活受侵害的现象，这主要是因为时代背景下让信息具有了经济或其他可以带来利益的价值，如大数据分析可以为企业或XX所利用，进行战略或决策制定中提供参考或依据。大数据经济已然成为一种具有巨大市场潜能的经济形态，但是伴随而来的就是大数据阴影，换言之就是个人信息受侵害普遍化泛滥化等负面现象，使得大数据安全日渐受到各界关注。如何妥善周全保护个人信息，不仅关乎所有公民切身利益，也是企业和XX摆在前列的待解决事项。由于大数据技术同样也能够被各类不法分子利用，在无法有效确保数据安全前提下，XX或企业对于大数据技术有效应用及相应的应用范围都保持了更大的谨慎，使得数据经济发展受阻。同时信息泄露也日益成为严重社会问题，不法分子借此联系普通大众，进行不明推销或财务诈骗等，破坏民众有序而平静的生活，甚至酿成严重后果。

目前正在进行严厉打击的电信诈骗等诸多类型和形态的新型犯罪，其起点都是盗取公民信息，因此信息外泄或侵害事实上正在不断催化和加剧这类型犯罪的出现[4]。其中也不乏惨烈的案件。如2016年徐玉玉案，如果追溯案件根源就是在于考生信息泄露，该案件中2016年山东省共计有5万名考生信息被打包交易，由杜某某将之出售给了陈某某，陈某某通过这些信息获知了徐玉玉联系方式，假冒身份，对徐玉玉实施了诈骗行为，最终导致其走向死亡。因此，如果最初杜某某信息泄露或出售这个环节就被堵住或制止，那么后续事件就被切断了传导链条，不会发生。因此，徐玉玉案件本质上就是由于信息泄露导致的一个悲剧，虽然仅是个案，但管窥蠡测，依然可以看出侵犯个人信息所造成的严重社会后果。

　　二、国外法律对公民个人信息保护的相关规定

　　（一）X

对X社会当前在公民个人信息保护立法方面进行观察可以发现，其利用的是混合立法机制，换言之就是将这些信息全都纳入隐私范畴提供权益保护并专门为此出台《隐私权法》，其中对于机关工作人员利用职务之便进行信息泄露的行为，可以判处轻罪，且罚款最高能到5千美元。目前，没有也没有专门的《公民个人信息保护法》，所有与个人信息相关的法律条例都散落在各种领域的制裁法规中，包括但不限于行、刑、民等。从全球来看，公民个人信息保护法律条例规模与数量，X居于首位，因此保护效果也较好，但也并非毫无缺点，其体系性较差，各法案或条例间缺乏有效衔接，甚至还有冲突情况，使得法律适用与平衡常常出现一些两难局面。

（二）英国

对英国社会当前阶段公民个人信息保护立法进行观察可知，个人隐私与信息并不具有事实上的法律独立性，在对该方面的保护是以个人数据作为衡量起点[5]。目前英国在该方面利用的是间接立法机制，也即是针对个人信息保护并没有专门性条例，只能通过个人数据保护来实现对该方面的保护效果。目前该国个人数据保护相关的法律法案较为集中，主要有两个，《计算机滥用法》和《数据保护法》，因此总体来看对个人信息保护力度和效果在发达国家中并不算好。此外，对行业或XX泄露行为，暂时也没有提供相应规制机制，但是实际情况中，该领域侵权案件却多数都是出自这两种行为，但是却并没有配套相应的法律打击依据。

（三）德国

与英国相同，对于个人信息保护，德国也选择了从个人数据入手，并制定了很多相关性法规，同时由于德国法律体系一贯较为严谨，因此在法律整体性方面，涉及个人信息保护的法律法规相关性较强，以不同领域或层次作为切入点，有效保障个人信息安全[6]。同时，德国在该方面立法形态是统一交叉，主要立法原则是公正、安全保护等，其底层权益结构是民法中的人格权，其在该领域的主干法案是《联邦个人资料保护法草案》，同时其他法律作为补充，构建了一个相关性非常强的法律统一体，形成了具有国别特色的个人信息保护制度。在立法方面，德国也充分考虑了规定特殊情况，从网络犯罪特征出发，根据有无过错责任原则进行个人信息侵犯行为立法规制。

　三、我国法律对公民个人信息的保护的相关规定及存在的主要问题

　　（一）相关法律规定

现阶段，国内对个人信息立法情况可从两个层面进行探讨，其一，对个人信息进行直接保护，这主要是从相关法律及行政法规角度进行的观察[7]。其二，对个人信息进行间接保护，主要通过对个人隐私权、人格权等方面的保护来间接达到个人信息保护的效果。其中《宪法》已经明确规定了公民具有人格尊严权、通信秘密权等一系列相关权限。同时国内对于行政机关在个人信息保护方面的一些行政行为能够给予明确行政规制，这一点为个人信息保护提供了强大法规和实践支持。对网络运营商中出现的个人信息侵权现象或侵害行为，一般适用《网络安全法》进行处理，当确定其侵害行为属实后，一般会先责令其改正，同时从侵害情节详细及严重程度出发，处以警告、罚没所得、一定额度罚款甚至关闭平台等诸多或单处或并处的处罚方式。但是从实际情况来看，目前依然存在着实名制落实不力等情况。2020年，推出《网络信息内容生态治理规定》，该规定中的立法精神延续自《国家安全法》、《网络安全法》，且主要强调的是网信部门行政监管权，并期待能够以更好的机制或路径实现对网络生态调节。其中对于现在较多发生的“人肉搜索”、“网络暴力”等行为进行了严格的民、行、刑三个层次的责任划分与确定[8]。

（二）存在的主要问题

（1）对信息侵权的犯罪行为类型设置存在瑕疵

前文已经提到，国内在个人信息保护立法方面，由于缺乏前置性规范，导致无法从框架上对部门法规进行协调与统一，但是衔接性方面有一定欠缺，且存在立法层次不明的情况，很多惩处行为尚未从民法层面进行定性和判处，就已经被纳入刑法层面进行判处。基于此，对公民个人虚拟侵犯行为的定性和具体指向及范围的明确界定就具有重要意义[9-10]。从刑法第253条来看，只有在达到“情节严重”这一程度情节时才可适用该条例。

第一，从刑法理论视角来看，危险预防性要素中明确覆盖了再犯的情形，一般会对量刑幅度产生一定影响，但是当前行为并不必然会被认为是犯罪，这也是《解释》中入罪标准没有涵盖这一情形的原因，也就是以往因个人信息侵害而曾经受过相应的处罚并不影响当前实际定罪过程。

第二，确立的侵犯类型相对较少，目前仅涉及两个行为，一个是个人信息非法传播，一个人是对非人信息非法篡改。

第三，现在对情节严重与否的判断标准主要是从违法所得角度进行，还需纳入受害者被侵害程度，这将能够带来更为合理的衡量局面。

总体来看，目前个人信息保护立法中，行为人不法成本与所得之间不成比例，部分行为人虽然无法从其中获利，但其行为却事实上造成了严重侵害后果，部分情况下虽然未造成严重侵害后果，但行为人却借此牟取了大量利益。

（2）侵犯公民个人信息罪在刑法中的章节归置不当

从前文对法律具体条文讨论可知，关于“侵犯公民个人信息罪”已经在新形势新情况推动下出现了一定适用范围转变，进行了扩大，并在新刑法修订案中进行了固定。但是如果以体系解释对此变化进行观察，其中又提出，该罪名中被侵犯的客体所指向的对象有两类，一类是公民民主权利，一类是人身安全。因此与其犯罪行为进行对照，会发现客体情况显然更为模糊和复杂。其保护对象涵盖非常宽泛，既有公民人身权利，又有财产权利，当然在本罪中这一条主要指的是与公民信息隐私与信息所有权等资源相关的；同时也涉及民主权益，还囊括了社会一般性秩序，而这一部分内容显然是专门针对网络环境特殊性所规定[11]。因此，从法益层面进行宏观比对，本罪名罪责界定具有较大特殊性，其超越了民主和个人权益范畴，还将另外两类具体价值纳入其中，这就是社会公共价值和财产权价值。这产生了一种法益不适配问题，将这项罪名直接归入第四章，存在着较为明显的不协调不合理，很久就出现法律不适应问题，这种背离现象最终将导致部分法益反而出现了保护漏洞，无法进行有效保护，且需要注意的是其与“公民个人信息”这一概念涵盖范围、形态等也存在事实上的不一致不匹配情况。因此，笔者以为，有必要进行罪责章节调整，将其纳入第六章，也就是认为其与“妨碍社会管理秩序罪”存在更高相符性和适配性，将具有三方面积极性，一是计算机犯罪中的部分具体罪责行为能够完美融入其中，如拒不履行管理义务等，二是保护范围的拓宽有着积极影响，三是符合社会实际发展现状与未来可预见的趋向。

（3）保护路径落后

从前面相关讨论可知，在保护公民个人隐私方面的法律摸索与建构，国内主要从隐私权层面展开，这一情况到目前为止依然没有改变，仍保留该种基础模式，但是在实际应用中，其对高速流动的网络时代公民个人信息保护并没有发挥预期中应有效果，甚至还造成了一些困境。从词性上对“隐私”进行讨论，其中最明显的指向就是隐蔽，因此对于隐私的保护也必然不可避免的走向消极防御的方向[12]。但是这与网络时代特征显然存在一定冲突，现在公民个人信息不但可以被动或主动对外公开，且可以从这种活动中获得变现收入，获得巨大社会与经济效益，因此如果对此还继续采取消极防御，其保护的最终效果也显然意见并不会达到预期要求。且民众对于个人信息确实拥有自由处置权，进行部分权力让渡也是被社会生活与相应利益所承认也是被认可的。因此不管是从社会整体利益层面，还是仅站在公民个人利益角度，对于个人信息的保护需要拥有更为丰富的意涵，不仅是被动性保护，还要能够在法律中找到保护依据，更不能忽视的是对信息合理利用或相关个人或组织对这种信息的适度且合理发掘也能够进行一定界定或保护。如在何种条件下或情况下，可将他人隐私进行出售或提供给第三方，这就涉及到网络信息盗取与侵犯的问题，且从现在网络发展实际情况来看，这种情况是较为常见且普遍的，因此为了给公民个人信息提供更好更完善的保护机制，规则框架设计的进一步发展已经刻不容缓。从相关研究成果可知，很多都已经对公民个人信息与隐私信息间存在的异同性进行了全面论述，且基于多视角给出了保护隐私的实现方式与实现路径，这从侧面也表明了当前隐私保护措施与模式并不适配当前实际情况，存在片面性和滞后性。

从实际情况来看，对个人信息保护领域的这种普遍落后性，不仅存在于保护隐私权模式中，同时也非常明显的反映在了立法滞后性方面，也就是说与当前网络发展情况存在较大偏差。从前文分析可知，关于保护个人信息的相关立法进展问题，最早是在刑法中给出了若干针对性的条例，但是却没有在其他法律中有所涉及，这就形成了前置性法律在该方面没有打下良好基础和框架，因为刑法存在谦抑性，其作为一种严厉的社会治理手段，具有非常明显的兜底性，却需要事实上完全承担公民个人信息保护的责任，其较为严厉且严格的条款内容，显然无法完全回应社会生活中实际发生的一些比较轻微的侵犯个人信息其概况，导致其在司法实践中没有发挥期待中的影响。网络时代，对于个人信息侵犯已经呈现多样化和多元化发展势头，对于信息主体合法权益甚至到了司空见惯的程度，但是国内法律的滞后性导致相关立法不健全，没有制定对这些现象与行为对应的法律惩处条款，或者虽然有一些沾边的条款但是惩罚力度却明显过轻，使得现实中个人信息侵害问题迟迟无法得到有效解决或者解决无法令社会大众满意，在这个过程中，刑法中相关条款主要起到震慑或兜底管控作用，无法适用于所有个人信息被侵害行为，这种落后保护路径显然已经跟不上网络发展速度。

（4）民事补偿不受重视

现在较为普遍的现象是，公民在遭受个人信息侵害后，往往会因为维权困难而选择直接放弃或半路放弃。目前对于维权途径的类型，当侵害行为与XX行为相关时，可进行行政诉讼或行政复议[13]。对于这一点，周汉华曾经多有提及，尤其是在个人信息保护法中更是认为这可以成为一种公众个人信息维权的重要方式，且认为在具体条件的地区，当地信息资源主管部门可以专门设立对应的部门或机构，如信息委员会等，专门承担一应的关于个人信息行政复议相关的处理事宜，让行政管理权力在该方面得到更有效应用。同时该委员会的性质将会是一种非常设单位，其日常工作范围包括与信息资源主管单位进行一些协调事宜，如选择进行第二款行政复议模式，那么就需要满足相应的专家委员标准。从司法实践来，目前仅在北京地区的案例显示，由于存在个人信息倒卖行为而受到相应处罚的人数已经达到了23人，从实际案情进行分析可知，其中部分受害者并没有了解或者意识到自己所作所为侵害个人信息，因此对赔偿不积极不主动。2010年，侵权责任法对民事责任进行了相关规定，但是多限于制裁方面的规范与规定，缺乏对受害人补偿方面的规范与规定，显然，当前法律倾向就是更关注行政与刑事处罚层面的事项，对民事规则有所忽视，即时个人信息被侵害这种案件，赔偿机制也非常落后甚至没有，但是其他国家却对此类案件制定了高额经济罚款，这对信息泄露者来说是一个极大威慑，即便出于个人利益考虑，当进行此类侵害行为时，也会抑制动机。

四、进一步完善我国法律对公民个人信息保护措施的思考

　　（一）补充侵犯公民个人信息罪的行为方式

前文已经提到，新刑法修订案中已经对许多方面的侵害行为等内容进行了调整与改进，尤其是公民个人信息侵权行为类型等方面，在此不再赘述。网络渗透率与普及率日益提高情况下，侵犯个人隐私权的情况其形态或方式也越来越多样和多元，原来定义的非法获取、非法提供等少数几类侵权行为类型显然已经无法完全覆盖这些情况，如现在出现了故意在公共网络空间中对他人隐私信息进行篡改式或直接进行散播，或对机关系统中进行公民信息篡改，如每年都会出现的高考报考信息被篡改的案件等，这些都事实上侵害了个人信息权。这些不法侵害行为事实上已经严重损害了信息主体人格权，也对社会公序良俗和信息管理秩序等层面造成一定冲击；同时，由于网络高互动高流通等特性，借助网络非法传播的目标群体往往已经突破了以往认知中的少数特定人，而是面向的大量非特定人，因此如果从现有法律框架下下对这些行为进行定性，则难以纳入法律规定限制范围或类型中，但是从行为后果或本质而言，却客观上和事实上已经对公民信息权益造成侵害且已经出现了非常显著且严重的后果，但是刑法对该方面现象与行为的对应规定并不完善，有待发展。

同时，还存在着入罪行为方式标准化和规范化不足的问题。对大众来说，目前已经比较认可大数据采集作为一种常规信息使用手段，也导致公民信息以规模化数据形态出现时，一般识别性方面存在较大不足，且还难以从现有法律条文中找到该类信息形态受法律保护的出处或来源，部分研究者认为，现在对大数据利用方式主要有两种，其一是模糊化方式，也就是对可识别数据信息进行基于特征或特定要素的提炼，使得个体信息无法并锚定或明确，也就是以群体性信息形态出现，且还是经过加工使其模糊程度更深；其二是精确化方式，通过数据整合有效提高数据中部分要素或信息特征的辨识性，并由此将特定主体锚定或明确。从当前实际情况来看，后一种利用方式目前还没有对信息秩序带来破坏或干扰，但是其后续结果却可能存在着直接或间接的高危害性，同时由于前面特征又呈现出低敏感性，因此也需纳入刑法评价范畴。前一种利用方式，在进行评估时，需要利用效益成本法进行比照，从而为此类存在显著社会效益的行为提供一定社会空间。因此，综合俩看，前一种利用方式为入罪，后一张入罪方式为出罪，但实际上却刚好与直觉相反，前者反而被纳入出罪范畴，而后者则被列入入罪范畴，因此对于侵犯个人信息行为的刑法规制还需要继续探讨和完善。

网络时代，新的个人信息侵犯问题层出不穷，对此，需要对原有规定进行调整和改善，目前主要能够从两点着手，一，根据实际情况添加新型侵权行为，这主要是在刑法修订期间进行，如非法传播、对他人信息进行恶意篡改；二，可进行例外设置，这是在不改变刑法情况下的一种弥补手段，将注入模糊化处理等常见且不具有社会或个人威胁性的信息利用方式去掉，在该方面可部分参考欧盟在该方面的做法，添加适当且合理的豁免条款，如可采取直接利益测试方法来检验事件中涉及的数据控制者是否获得了不当或至少是不合理的个人利益，如果通过数据获益具有合理性且没有超过个人利益，则可以提供一定使用容忍空间。如面临的问题与前者类似，则对刑法内容及时进行修订，如扩充侵权行为范围等，或提炼出共同特征将之纳入刑法针对范围，本文认为需要结合我国实际情况，并参考国内外已有经验对个人信息相关的法律法规进行适当的调整与修订，如强调部分信息例外情形，如数据原提供者的知情权等，及相应的惩罚机制，而不是简单的把入罪行为方式列出即可。这种立法模式优点在于公民信息权利能够受到明确且有效的法律保护，同时通过具体案例判断入罪与否也与当前多变化和多样化网络环境能够具有一致步调。

（二）明确相关行为罪名与罪数问题

从司法实践来看，处理个人信息权被侵害的案件，通常案情会较为复杂，出现罪行牵连的情况，或者过程中面临罪名竞合的问题，且都需要纳入最终量刑处罚考虑范畴。从客观情况来看，帮助信息网络犯罪活动罪等罪名都和侵犯公民个人信息罪有着性质等方面的不同程度相似性，因此在进行犯罪类型判断时，就会出现都可都不可的现象，导致一定混乱。同时，这些罪行如果从具体细节着手会发现其中有较多交叉重合的地方，争议性就较为突出。针对这一问题，本文认为解决路径在于确定一般法条，且考虑到侵犯公民个人信息罪由于其实际犯罪场域和犯罪行为其涵盖或波及范围都较广，因此实际上是可以被列入一般法条范畴的，并且如果能够同时将上述犯罪行为都视作特殊法条，而在具体案件处理中，以一般法条为主，如果符合特殊法条规定，那就按照其处理。

同时还需要从论罪数这一角度进行考虑，对信息侵权行为进行判定，如果将其纳入到上游环节链条，那么相应的需要将非法获取信息这一行为中的侵权人列入到一重侵权范畴，之后再在这一不法行为基础上开展其他犯罪，那么此种情况下就构成了二重侵权，对此一般适用的是从重处罚，同时将其与牵连犯相比，在其中行为条件能够符合例外的前提下，将能够适用数罪并罚，但是在研究界对于这一处理方式并没有达成一致意见。从文献来看，研究者对后者认同度跟高一些。《通知》中体现出来的倾向更与后者更为一致。从前文分析来看，非法获取公民信息实质上构成了一个线索完整的勒索、诈骗行为，但是将其放在“手段-目的”这一框架下进行思考，又处于后续或预备犯罪的关系。因此如果单纯的从吸收犯罪理论对这一行为进行处理，也就是将信息侵权直接放在反面的犯罪情境下考虑，纳入后续犯罪范畴，则信息侵犯中的法益显然就没有得到应有保护，分析原因显然是由于后罪行为分析中，前罪并非固定的或必要的部分，同时对其中的非法获取信息行为本身就已经能够适用其他法律条文进行独立成罪，这就导致其在罪责刑中并非具有完全的适用性。行为人通过非法手段或途径获取他人信息，并通过这些信息按图索骥找到被害人实施敲诈勒索，如果仅对后面这一不法行为进行处罚，那显然就导致公民信息权处在无保护状态，从而出现不法分子利用这一漏洞控制信息权的情况，造成信息秩序被破坏或打乱造成严重后果。因此，对上述情形最合适的处理方式还是数罪并罚，这不仅不违背刑法原则，还能够在实际生活中发挥预防犯罪的作用。也就是说，如果行为人实施了前面所论及的后续犯罪，就已经达到了数罪并罚的条件，若尚未进行后续犯罪且还没有对相关法益造成严重侵害，则将纳入侵犯公民个人信息罪范畴。

（三）完善公民个人信息保护的整体法律体系

一般来说，保护法益过程存在着一个优先排序，首先是适用行政规制和民事责任，如果超出这个范围则适用刑事处罚，由于后者通常非常严厉，具有明显的谦抑性，因此在实际立法活动中一般将其视作后位兜底，这也是现代法治的一个立法逻辑。但是也需要看到国内目前的实际立法情况，还没有就个人信息保护问题设置专门的条例，即便是当前行政法和民法中对此问题略有涉及，但大多都是一些框架性或原则性条款，缺乏细化和具体规制内容，同时还存在着逻辑矛盾，在体系化建设方面还任重道远，也导致了在该领域反而是主要由刑法发挥保护作用。基于这一客观情况，面对网络时代复杂化的信息保护环境与要求，可以利用刑法保护外部机制的渠道或路径来对相关法律条例进行改善，其一是通过行政法和民事法能够有效强化或增加对信息法益保护范围与力度，并基于此构成更为完善与系统的保护框架，其二有效处理各部门法间的矛盾性并消除其中适应性，使得保护模式能够更为有效的发挥信息保护效用。

如果侵权行为较强，但是其情节严重程度又在那时还没有达到相关罪名入罪要求，一般情况才会适用行政规制或民事救济措施。实际上与民众日常生活关联更为密切的是民法，因此一旦出现信息侵害情形，首先能够寻找的就是民法解决路径，一方面进行信息保护，另一方面是挽回损失，并且有效遏制可能的后续信息暴露不良后果。如果是行政单位相关人员在履职活动中进信息侵害，一般情况下更为适用行政规制处理方式。总的来说，公民信息权益提出之时，就已经在行政法和民法等层面提供了一道较为有效的保护防线，因此刑法适用在该方面就需要保持适度和审慎。且刑、行、民三个层次之间能够形成一套具有系统性的规制体系，在对侵害信息行为进行处理时能够节约大量司法成本且保障处置效果。

在进行前面所论及的部分法规衔接工作时，还需要继续同时开展个人信息保护法立法工作，能够明确对分类犯罪行为进行清晰的界定或划分，对损害后果严重程度进行明确区分等，并给出相应惩治举措。同时，统一的法律文本，也能极大改善现在个人信息保护相关的法律条例过于分散且缺乏逻辑体系的现状，能够扩大保护范围和保护力度。

　（四）民事责任的完善

需要对以组织或机构形式对公民个人信息侵害的情形或行为进行明确界定和规范。个人信息处理或收集过程，组织或机构需要在法律法规框架下进行，对于暴露出来的侵犯个人信息权的行为，如果需要追溯行为方和责任方，就可以通过对收集信息者责任进行辨明和研判进行，一旦明确责任则需要给予信息主体合理补偿。对于网络中的个人信息保护，本文认为可从两个方向着手，一方面对网络服务商或平台等组织或个人来说，对其所进行个人信息收集或处理等相关活动，需要建立明确的规范和标准，另一方面对公民自身来说，需要加大信息保护宣传从而提高其防范意识与能力。此外，在个人信息报关体系中，还可以构建行业自律机制形成自律氛围，从源头树立起个人信息保护“长城”，避免不合规不合法信息收集行为，在明确组织或机构义务的基础上，对个人信息保护措施继续改善还可从下述两点入手。

一方面，在个人信息受害者具体赔偿机制设置方面，需要将受害者范围、情节与后果严重程度与侵害次数等方面情况都纳入衡量范畴，综合各方要素与条件确定赔偿额度，从而为受害者赔偿申请提供扎实的法律出处。在赔偿额度方面，国内现在偏低，因此可适当参考部分国家在这一方面的法律条例。如英国法律体系中，商业公司如果出现了对个人信息不合规的利用方式，则罚款数额最低是5000英镑；在法国法律体系中，非法利用他人信息，则可能面临一年监禁，同时还需要赔偿罚款，数额为1500欧；在X法律体系中，则分别针对公司和电信商进行了不同处罚规定，前者泄露用户信息，将面临高达1500万元罚款，后者则需要为此付出1.33亿美元罚款；此外欧盟委员会也特别提出，如果是公司等机构出现侵害个人信息情形，罚款非常严厉，能够达到其年营业收入的2%。而国内同类型案件中，赔偿额度平均仅为700多元，与国外相比差距太过悬殊，这种赔偿机制事实上降低了违法成本，很多行为人明知犯法但是在看到违法成本与收益对比后还是选择铤而走险，因此有必要参考国际通常做法，将赔偿额度提高到平均水平。

另一方面，民事诉讼可以添加集团诉讼模式。对于普通民众来说，当其个人信息权被侵害需要进行维权时，通常涉及事务非常繁琐且需要耗费大量精力与资源，因此要付出大量维权成本，但是如果提供完善的集团所能够路径，则可有效避免前述问题，且同样能够在集团诉讼程序完成后，获得基于个体情况而额度不同的补偿。同时，集团诉讼也能够极大节省司法资源，并有效提高案件处理效率，该模式也具有较大震慑作用，能够充分体现XX对个人信息保护的强大意志，并形成良好维权氛围，有利于推动整个社会个人信息保护的进步。

【引文注释】

注[1]涂子沛.数据之巅:[M].北京:中信出版社, 2014:276.

注[2]孔令杰.个人资料隐私的法律保护[M].武汉：武汉大学出版社, 2019:15.

注[3]齐爱民.个人资料保护法原理[M].武汉：武汉大学出版社,2018：109-110..

注[4]齐爱民.个人信息保护法总论[M].北京：北京大学出版社， 2019.

注[5]刘德良.论个人信息的财产权保护[M].北京:人民法院出版社，2018.

【参考文献】

[1]涂子沛.数据之巅:大数据革命,历史、现实与未来[M].北京:中信出版社, 2014:276.

[2]孔令杰.个人资料隐私的法律保护[M].武汉：武汉大学出版社, 2019:15.

[3]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉：武汉大学出版社,2018：109-110.

[4]齐爱民.拯救信息社会中的人格–个人信息保护法总论[M].北京：北京大学出版社， 2019.

[5]刘德良.论个人信息的财产权保护[M].北京:人民法院出版社，2018.

[6]刘一帆,刘双阳,李川.复合法益视野下网络数据的刑法保护问题研究[J]. 法律适用,2019(21)113.

[7]赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报,2014,17(1):121.

[8]叶名怡.个人信息的侵权法保护[J].法学研究,2018,40(04):83-84.

[9]张勇.公民个人信息刑法保护的碎片化与体系解释[J].社会科学辑刊,2018(2):92.

[10]卢建平,常秀娇.我国侵犯公民个人信息犯罪的治理[J].法律适用,2013(4):25-27.

[11]最高人民检察院检察理论研究所课题组.互联网领域侵犯公民个人信息犯罪问题研究[J]. 人民检察,2017(002):9-13.

[12]石聚航. 侵犯公民个人信息罪“ 情节严重” 的法理重述[J]. 法学研究,2018（2）.65-67.

[13]曲新久. 论侵犯公民个人信息犯罪的超个人法益属性[J]. 人民检察, 2015, 000(011):5-9