我国公民个人信息跨境流动的刑法保护*

陈 宁

(中国社会科学院 研究生院，北京 102488)

数据天然具有全球化属性，数据跨境流动将是未来国际贸易的必然趋势，其中，公民个人信息跨境流动安全的保护更具重要性，除了制定和完善专门的公民个人信息保护法之外，更离不开刑法的保障。笔者根据现有刑法在保护公民个人信息跨境流动中存在的问题，借鉴国外经验，提出进一步完善的办法，以增强公民信息跨境流动的刑法保护和交流合作，努力构建适合中国发展阶段的国际规则[1]。

一、公民个人信息跨境流动刑法保护的必要性

(一)刑法保护的必要性

在互联网全球化发展的背景下，几乎每个人都成了互联网的数据符号。随着国际交流合作变得更为广泛和频繁，数据流动(包括公民的个人信息跨境流动)频率也不断攀升。如2015年“双十一”购物，阿里巴巴跨境出口订单共计2 124万笔，覆盖了200多个国家和地区。公民的个人信息跨境流动是指公民个人的相关数据和信息由国内的服务器传输到国外的服务器。个人信息跨境流动主要有五种情形：(1)公民个人出境旅游、购物，在境外产生的个人消费信息记录；(2)C2B/C2C电子商务交易模式，公民个人在网购交易平台购物消费产生信息的出境、入境的双向流动;(3)B2B电子商务模式，主要涉及外国公司内部的个人信息跨境流动；(4)各种应用软件、游戏网站、比特币交易以及数据交易、数据分析活动等涉及的个人信息流动；(5)专门有个人或者企业进行非法数据窃取，把国内的个人信息数据传到国外的服务器上。

随着公民信息跨境流动的增多，刑法保护力度也要同步加强。公民个人信息本身包含着丰富的个人财产、隐私信息等内容，对犯罪分子诱惑巨大。敏感核心的关键信息一旦泄露，会导致公民财产损失或者个人名誉受损；非敏感信息的泄露，如姓名、住址、购物习惯等，也容易被不法分子掌握利用，成为非法诈骗等犯罪活动的上游信息来源。如2015年，上海经侦总队数据表明，涉沪的电信诈骗15.1亿中的9亿被卷入台湾地区，而电信诈骗的手段之一就是非法侵犯公民个人信息[2]27。可以说，侵犯公民信息已经成为各种下游犯罪的源头，是刑法严厉打击的对象，依靠刑法规范震慑公民信息犯罪必不可少。

此外，公民信息的跨境流动也增加了国家经济安全、金融安全、贸易保护等方面的风险。大数据背景下的各种信息算法和处理技术可以把看似与公民无关的信息，如公民网络购物等信息进行深度加工和处理，再结合其他数据，就可能分析得出对公民个人，甚至国家安全、经济安全等产生重要影响的结果。

(二)跨境刑法协作的必要性

个人信息跨境流动会给不同国家的法秩序提出严峻挑战，尤其是刑法，因为它扎根于自身文化的程度比任何法律领域都高[3]392。治理网络犯罪，国内刑法从一开始就显得力不从心，因此，公民个人信息跨境流动需要世界不同国家和地区间的沟通与司法协作，我国要主动与国际接轨，参与并制定对我国更加有利的保护制度和规则。

目前，超国家的刑法主要是国际刑法，公民个人信息跨境流动频繁带来的数据网络犯罪这一全球性问题的解决面临的困难是：全球性的诉讼程序完全不可控制，国家必须将自己限制在保证经济的框架性条件以及对个案不合理情形的纠正上[3]393。这一看法体现了经济优先权的主张，被大家视为政治和法律的终结[4]。这完全是一种悲观主义的看法。事实上，在民主宪政国家，用来解决社会秩序的不是市场而是政治，刑法是保护手段之一，不能因为经济利益的市场化，影响到公民个人信息权等重大法益的保护。在全球化大背景下，信息本身的无国界性和流动性更加需要超国家法的协调。

二、公民个人信息跨境流动刑法保护的正当性

(一)公民个人信息跨境流动相关法律保护不足

一是还未建立专门的机构及制定专门的法律。首先，我国还没有创立专门的保护公民个人信息的法律，更妄谈跨境流动信息的保护。公民信息跨境流动需要详细、系统的规范，比如公民个人信息数据从境内转移到境外需要满足什么样的条件等，要有明确的标准和程序进行信息分类和过滤。国家也要建立健全相应的信息分类制度、安全审查制度、评估制度等，对特定商品如何审查、对信息在国外的存储安全如何评估等，都需要制定专门的法律。我国专门的个人信息保护法一直没有正式出台，原因虽然是多方面的，但是个人信息保护的复杂性应是重要因素。2017年4月，国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法》，对有关数据出境安全评估做了进一步细化，也为我国公民个人信息立法提供了参考。其次，我国也没有明确专门负责公民个人信息跨境流动的主管部门。一旦公民个人信息跨境泄露，发生财产损失或刑事诈骗等民事、刑事案件，司法程序处理较复杂。因为数据一般存储在国外公司或企业的服务器上，国内没有实体，取证、维权程序繁杂。对服务器在境外的公司是否尽了安全保障义务、是否遵守了中国法律，没有专门的维权机构很难开展取证等工作。在法治非常健全的国家，都会设立专门机构负责公民信息跨境流动的维权和保护，按照专业程序对个人信息权益进行救济和保护，这既是网络信息流动性、保密性、开放性的要求，又能降低一般行政监管成本，提高专业监管技术水平。

二是跨境合作推进缓慢。对于公民个人信息数据的跨境流动，国际上通行的做法是遵循数据流入地与流出地同等的保护水平，即相互采取同等原则或对等原则。每个国家都会考虑到自己的国家安全或者数据安全，因此也存在着贸易保护等现象。但由于互联网的全球性和数据的流动交错性，即使各国根据自己本国国情制定了该领域的规范，也无法逃避受到他国规则反向制约的影响，即数据的“规范溢出”现象[注]如2015年10月6日，欧盟最高法院欧洲法院裁决，宣布美国-欧盟安全港协议丧失合法性基础，标志着美国的数据自由流动政策面临更大的阻力，从而证明了各国规则的互相制约性。(参见王融、陈志玲：《从美欧安全港框架失效看数据跨境流动政策走向》，《中国信息安全》2016年第3期)。所以及时了解最新国际数据规则，统筹数据主权和跨境规则的逻辑，积极参与国际博弈十分必要[5]。现有的国际法保护路径有很多，具体如下：

国际软法路径：“软法”是指不具有法律约束力的国际文件等，包括建议、宣言、行动纲领等[6]。1948年，联合国《世界人权宣言》提出保护个人信息和隐私的国际性条款。1980年，OECD发布《隐私保护和个人数据跨境流动指南》，确定了国际上基本认可的十项 “OECD基本原则”。在此基础上，2004年的《APEC隐私保护框架》提供了一套在亚太地区国家共同的隐私保护规则[7]，旨在保障信息自由流动以促进电子商务的增长。另一个较有影响力的是联合国1990年通过的《关于计算机处理的个人数据文件指南》(以下简称UN《指南》)，它鼓励联合国成员国都制定个人信息保护法，而不仅限于发达国家。

国际多边条约及立法的路径：国际多边条约具有一定的约束力。国际上专门的个人信息保护立法主要有：1981年欧洲议会制定的《与个人数据自动化处理有关的个人保护公约》，要求具有约束公约签字国的国内法制定必须与之相一致；1995 年欧盟制定的《关于个人数据处理及自由流通个人保护指令》十原则[8]，致力于欧洲范围内的信息畅通。此外，欧盟还有《电信行业个人数据处理和隐私保护的指令》(以下简称《指令》)，后来美国因与欧盟《指令》“充分水平保护”标准不一致，才达成2000年欧美双方的《安全港协议》，该协议2015年宣布无效后，美国又于2016年与欧盟重新达成《隐私盾协议》，加大了对入盾企业的监管，为个人信息保护提供救济路径。

不管是多边协议还是双边协定，都是为了整平个人信息保护场地，促进信息跨境流动的自由畅通。各国对数据跨境流动都有自己的规则限制，目前世界上主要有三种：(1)强烈要求数据必须存储在境内服务器上;(2)“数据本地化”原则，主要适用地是欧盟；(3)限制传输递减模式，主要适用地是美国。中国的数据跨境传输原则不明显，主要侧重于限制传输递减原则[9]。国际规则和国内规则互相协同，才能平衡跨境数据超主权的诉求以及贸易壁垒与贸易自由化间的关系。为此，我国要积极与他国协商签订双边协议，尽快解决个人信息跨境流动问题，明确司法救济机制等。

2007年9月，APEC为了推动隐私框架的实施推出了CBPR(cross-border privacy rules)体系，主要用于解决APEC范围内的公司企业之间的公民个人信息转移的问题，目前加入该体系的有日本、美国和墨西哥等国家。另外还有BCR(binding corporate rules)体系，它与CBPR不同，主要用于解决大型跨国公司内部公民个人信息跨境转移的问题。随着公民个人信息跨境转移需求的增多，2013年欧盟和APEC共同组成委员会对BCR体系和CBPR体系的申请要求进行比较，为同时申请这两项的公司进行指引。虽然我国也加入了《APEC隐私保护框架》，但是还未积极参与亚太隐私保护机构的国际、地区间的合作，所以要制定专门信息法，设立专门管理机构，尽早加入BCR体系和CBPR体系，保护公民个人信息跨境流动。

(二)公民个人信息跨境流动刑法保护的正当性

一方面，我国保护个人信息的专门法尚未出台，这致使个人信息的跨境流动缺乏规范指导，有必要及时完善刑法相关规定；另一方面，刑法是社会变革的感应器，在特定历史条件下，其威慑功能是解决社会问题的应急手段。

出于对重大法益的保护，刑法也是塑造公民个人信息保护权利意识的重要手段。信息法是以交叉学科为前提的[3]379，需要民法、刑法、公法等方面的综合知识。也就是说，刑法等部门法的完善也是推进信息法建设的路径之一。数据存留和跨境传输虽然需要行政法、信息法和国际法的规制，但是监管不力同样会带来刑事犯罪和国家安全的重大损害。美国“棱镜门”事件、Facebook事件表明了掌握大量公民个人信息的公司等，如果没有法律的明确规定，也很容易造成侵犯公民个人隐私甚至危及国家安全的严重后果。因此，在目前我国公民个人信息法缺位、国家对公民个人信息跨境转移规定极其有限的情况下，跨国公司在我国境内可以随意收集公民个人信息并转移到境外，这将会严重危及我国公民个人隐私和国家安全。所以，刑法对于公民个人信息权的保护必不可少，与世界其他国家严格保护的标准一致，我国应积极增设“非法使用公民个人信息罪”。如欧盟就因为美国保护公民个人信息的力度不够而宣布《安全港协议》无效，国际间既合作又博弈，这中间，刑法的保护和推进不能缺位。

2017年6月1日，《中华人民共和国网络安全法》和《最高院、最高检关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》同时施行，体现了我国刑法保护公民个人信息安全的努力。刑法解释中要求供应商或者网络服务平台承担审查监管的义务和责任，如果明知内容违法又不删除就要承担刑事责任[3]388。我国刑法对于供应商和网络服务平台监管责任的规定相比其他国家较超前，这也是我国刑法对公民个人信息保护做出的贡献。

三、公民个人信息跨境流动刑法保护的问题

(一)跨境刑法保护法律制度的差异

在目前个人信息保护相关行政法律法规还不健全的情况下，我国应通过刑法修正案、刑法司法解释等方式不断完善刑法规定，消除公民个人信息犯罪乱象，发挥刑法的行为规范引领作用。从公民个人信息的刑法保护来看，2009年出台的《中华人民共和国刑法修正案(七)》规定了“出售或者非法提供”“非法获取”公民个人信息罪，2015年《中华人民共和国刑法修正案(九)》进一步把上述两种罪名统合为侵犯公民信息犯罪，区分不同犯罪主体、不同犯罪情节等，2017年两高联合出台司法解释对“情节严重”等进一步列举了不同情形，解决了司法实务中常见的难题。但是，该司法解释还是存在与其他国家不一致的地方，如入罪门槛较高、未考虑造成的个人名誉损害、完全以数量情节为标准判断比较机械等，如果不做适当调整，易遗漏相应的犯罪情况，不利于我国公民信息跨境流动的平等保护。

1.“个人信息”的范畴不同

公民个人信息的内涵很广，在大数据的背景下，经过分析处理后极易得出更为详细、具体的结果。国际上公民个人信息的概念主要分为两大类：身份识别性和个人隐私性。身份识别性是指“通过这些识别性的信息可以直接或者间接地辨认出来，无论是单个或者集合的，也无论是主体自己显示的，还是他人通过一定方式显示出来的”[10]。隐私性的概念主要涉及种族、民族起源、性生活数据等。个人识别性的概念主要源于欧盟，美国主要从隐私性的概念出发建构个人信息的内涵，不过目前也逐步融合了个人识别性的特征。我国港澳地区与台湾地区采用的个人信息的概念也不同，分别是个人隐私性概念和人格识别性概念。2017年，我国大陆对于公民个人信息进行的司法解释主要采用人格识别性内涵，所以大陆和台湾地区对公民个人信息的保护范围比港澳地区更宽泛，香港地区对侵犯公民个人信息的刑事规定主要集中在个人信息使用者对专员和当事人的义务如何履行方面[2]28。

2.我国非法侵犯公民个人信息罪“情节严重”内涵与他国不同

(1)“情节严重”没有参考公民名誉受损的情况

国外刑法把公民名誉损害列为量刑的重要参考标准。如法国刑法规定，“利用业务之便收集他人信息，未经他人授权而泄露的，可判处一年监禁和15 000欧元罚款”，“因泄露信息给他人声誉或者其他方面造成严重损害的，可最高判5年监禁和30万欧元的罚款”[11]。我国刑法司法解释对“情节严重”的情形分别规定，如：侵犯公民个人信息罪是否“情节严重”主要看“出售、非法提供公民个人信息的条数、是否有此类犯罪的前科或多次行政处罚以及违法所得的数额”等，没有明确规定参考公民个人名誉损害等情形，尽管此条也有兜底条款，但司法实践往往忽略或不重视公民个人名誉受损害等情形。

不管采用哪种公民信息权定义，公民个人信息与公民个人的人格权和隐私权都紧密相连，侵犯公民个人信息的犯罪必然会引起公民人格和名誉等受损，所以名誉权理当是参考的重要标准。比如因为公布某公民信息导致该公民精神严重受伤害以致于自杀，或者如“艳照门”事件由于公布受害人的照片给当事人名誉造成恶劣影响的，都属于侵犯公民个人信息造成名誉权严重受损的情形。

(2)“情节严重”没能考虑单条信息的严重后果

我国学者对“情节严重”要求核心敏感信息至少要50条以上也有不同看法。大部分学者认为50条的标准太低，绝大多数非法交易公民个人信息的行为都远远高于这个数字，而司法实践中几百条的非法信息交易可能也没有被司法机关定罪处罚，因为其可罚性太低，造成50条的标准基本很少适用。还有学者认为，对于某类特殊金融信息，1条就可能导致严重的危害后果，但根据司法解释50条的标准却不能定罪处理，这也让司法实践陷入困境。总之，单纯从公民个人信息非法交易的数量来判断是不够的，而应该从实际可罚性、是否侵犯实质法益的角度去衡量。50条的标准既不能证明国家严厉打击公民个人信息犯罪的立法目的，也难以准确估算危害结果。所以，为了涵盖所有可能导致个人信息被侵害的严重情形，建议司法解释不管侵犯信息的数量是单条还是多条，都应该把数量信息与涉及的隐私程度一起综合判断行为的实质法益侵犯性[12]。交易的公民个人信息条数较少但不一定危害性就小，只要存在非法的公民个人信息交易就一定会带来公民个人信息被侵害的风险，原则上都应当杜绝。只要有非法交易公民个人信息的行为就有可能构成犯罪，而不是一定限制在50条以上。

对比国外,很多国家并没有信息条数的限定，入罪门槛低，主要考察是否侵犯实质法益。如日本《刑法典》第一百三十四条规定，侵犯公民个人信息的犯罪表现为无正当理由泄露因处理业务而知悉的他人秘密的行为。“秘密”的判断既要从对本人的特殊性出发，又要结合客观价值，从主客观角度综合分析实质法益侵犯性。德国刑法把言论、通信、数据、隐私等都划归秘密范畴，其中企业和商业秘密属于私人秘密范畴，国家秘密单独规定。侵犯国家秘密的行为的规定更为全面，包括窃听、录音等非法获取的方式，还有非法开拆、非法打听、非法泄露、非法利用等，同时规定有违法阻却事由，如德国《刑法》第二百零一条规定：只有当公开通知使得他人的合法权益受到侵害时，第2项的行为才受处罚。而我国《刑法》规定虽然简练，但是要求“情节严重”，就会排除情节不严重的行为，不利于对公民信息的全面保护。只要有非法侵犯公民个人信息的行为原则上都可以构成犯罪，然后再根据可罚的违法性原理，判断有无侵犯所要保护的法益。当然，我们也可以具体列明情节严重或者情节特别严重的情形，方便明确司法裁量的标准。

(3)“情节严重”未能充分考虑行为人的犯罪目的

单纯购买、非法提供公民个人信息的现象在日常生活中也会经常出现，犯罪目的不同，社会危害性也不同。如企业信息共享过程中，不同企业主体间购买或者提供公民个人信息时，如果保护不当也会侵害或者威胁个人信息权益，这种非犯罪目的类型，需要平衡好个人信息权与个人信息自由流动的关系，以适当减少行为人责任；相反，如果行为人购买或者非法提供个人信息是为了实施犯罪行为，则严重侵犯了公民的人身、财产等权利，行为人责任也相应会更重。

(4)未规定“非法利用、处理”公民个人信息行为入罪

从打击犯罪的角度看，有效控制侵犯公民个人信息罪也需要重点打击“非法使用”的环节。非法使用公民个人信息潜藏着巨大的利益诱惑，进一步带动了各种非法提供、出售公民个人信息等中间交易的行为。严厉打击各种中间交易也是为了切断“非法利用、处理”的目的行为。如果只打击外围犯罪行为而不取缔目的行为，就无法从根本上防范个人信息犯罪的发生。现实中也存在合法收集大量信息而趁机牟利的情况，如果不规定“非法利用、处理”行为，就会出现公民个人信息保护的漏洞，不利于公民个人信息的全面保护。

从公民个人信息权的本质来看，它属于人身权，从其诞生以来就与隐私权紧密相关。国际上，隐私权已由“不透明权”发展到“个人决断权”再到“保护所有个人数据”[13]。公民个人信息隐私或作为隐私权的一部分，或与隐私权并列，常采用相同的保护原则和标准。因此，公民个人信息保护俨然已成为公民人权保障的重要内容[14]，“人格利益”就是公民个人信息权的核心内容[15]。保护公民个人信息就是保护公民个人信息自由权、支配权、收益权不受侵犯，而非法利用的行为也同样侵犯了公民个人的信息支配权、收益权，所以完全符合刑法所要保护的客体，不应当被忽略。

从国外立法实践来看，也有非法利用公民个人信息罪的立法案例。如德国刑法不仅将秘密划分得更为细致(如言论、通信、数据、隐私等都属于秘密，企业秘密、商业秘密等也属于私人秘密，还另外单独规定了国家秘密范围)，而且方式也更为全面，如非法利用、非法获取(包括窃听、录音、录像等)、非法探知、非法开拆、非法泄露等。为了避免我国公民个人信息跨境流动在转移过程中被泄露、损毁、篡改、滥用等，有必要对这些风险行为予以防控。

(二)国际刑法司法合作机制不通畅

公民信息跨境案件常出现犯罪行为地和结果地分属于两个国家、二者都有刑事管辖权，导致两国或者多国刑事管辖权相冲突的情形。犯罪地究竟是以罪犯行为所在地，还是存储数据的服务器所在地为标准，就数据“被镜像”存储在一系列的服务器上的情况来看，犯罪行为地会无限扩张，以犯罪结果地为标准也容易出现多个国家刑罚权并存的情况。在大数据、国际化背景下，信息跨境流动带来的刑事管辖权问题只能通过国际协定来解决。以港澳台为例，虽然大陆与台湾地区签署有共同打击犯罪的《海峡两岸共同打击犯罪及司法互助协议》(又称《南京协议》)，与港澳地区签有的《中华人民共和国香港特别行政区基本法》为基础，港澳之间也有协议，但是这种司法合作主要还是重大案件的联络，成熟的合作机制尚未成型[2]30。

四、我国公民个人信息跨境流动刑法保护的完善

(一)国内刑法的完善

1.修改非法侵犯公民个人信息罪“情节严重”的解释

首先，降低我国非法侵犯公民个人信息罪的入罪门槛，不再拘泥于50条的数量起点，凡是非法侵犯公民个人信息的行为，都应当综合考量其是否造成了“情节严重”的后果，以涵盖各种非法侵犯公民个人信息的情况。原则上凡是有非法侵犯公民个人信息行为的，不管侵犯个人信息数量多少，都有可能构成犯罪，然后再根据整体情节是否严重，具体考量侵犯公民信息行为的法益侵犯性、实质社会危害性大小等来决定是否定罪以及如何量刑。不管贩卖多少条信息都应当入罪，因为行为人侵犯的是公民个人信息的管理秩序，这种行为犯的立法方式也与世界上很多国家如日本、德国等相一致。

其次，在量刑环节，判断“情节严重”与否的标准除了贩卖个人信息的数量之外，还要考虑非法行为是否给被害人造成了名誉损害等。目前我国刑法司法解释没有把“名誉损失”“精神损害”等考虑在内，建议司法实务量刑予以充分重视。在量刑轻重的问题上重视行为造成的“名誉损害”“精神创伤”等，这也是世界其他国家的普遍做法。

2.增设非法利用、处理公民个人信息罪

从打击犯罪的角度看，打击非法利用、处理公民个人信息行为也是有效控制信息犯罪的重要环节。把握住了犯罪的源头，更利于管控个人信息的流出与中间各环节的传输和交易。在利益的驱动下，上家会不断涌现，即使一部分人被打击，被利益冲昏头的罪犯还会前赴后继。不把非法使用行为入罪，各种提供非法搜集、买卖信息等辅助行为就会在非法使用的需求下不断产生。所以增加非法利用、处理公民个人信息罪，利于堵严所有非法行为的漏洞，全面打击非法侵犯公民个人信息的犯罪行为，切实实现对公民个人信息安全的保护和国家安全的保障。

从公民个人信息权的本质来看，规定“非法利用、处理公民个人信息行为”入罪，利于公民信息权自治意识的培养。将未经公民本人授权非法使用信息的行为入刑，树立合法存储、使用公民个人信息的权利意识，促进合法使用个人信息行为习惯的养成。对“未经公民个人授权”的证明可以采用举证责任倒置，由滥用公民个人信息的人来证明这些信息来源是合法的、渠道是正规的。因为滥用行为一般都是为了牟取非法利益，所以可以并处严厉的罚金刑，用以震慑犯罪分子，让其不要铤而走险。

从司法实践来看，设立非法利用、处理公民信息罪可以更加有效、更加经济地打击信息犯罪。“以最少的刑法资源投入，获取最大的刑法效益。”[16]非法利用公民个人信息罪相对非法出售、购买行为而言，实务操作更容易、取证更简单易得。侦查人员可以较为容易地查到打电话、发短信的对象，以及电脑的IP地址等，通过定位较快抓捕犯罪嫌疑人，比追踪上家的侦查行为容易直接。非法使用行为一般是下游犯罪如诈骗罪、敲诈勒索罪的手段；另外，非法使用行为本身如各种电话骚扰、推销等也会对公民个人生活或者精神造成烦扰。直接危害公民人身健康和财产安全等情节严重的会构成刑事犯罪，非法使用公民个人信息的行为理当杜绝。

从公民信息跨境流动的角度来看，非法使用行为入刑可以更好地实现与国际接轨。世界很多国家打击公民个人信息相关犯罪的方式都包括“非法使用”行为，国际上一般用“processing”来概括非法搜集、非法泄露、不当保存、非法使用、销毁等一系列行为,这些都属于不经公民个人授权或允许的非法滥用、保存和处理行为，全面体现了公民个人信息权“人身专属权”的本质特征。增设非法利用公民个人信息罪有利于与世界其他国家“非法利用公民个人信息罪”相对接，为我国公民信息跨境流动做好更为严格的防控体系，使国家安全、经济安全和贸易安全等不受侵犯。

从预防论来看，增设非法利用公民个人信息罪更方便打击外围帮助犯罪行为[17]。我国刑法已经把非法搜集、提供、买卖、窃取等行为规定为犯罪，唯独缺少处理和利用的行为，而这才是非法侵犯公民信息的目的行为。处理和利用包括“存储、销毁、使用”等一系列侵犯公民专属信息支配权的行为，打击非法使用的目的行为，更利于预防外围帮助犯罪行为的发生。

3.建立统一的信息刑法

有国外专家也曾呼吁制定一部专门的信息刑法作为信息法的一部分内容，这主要是因为数据和信息的问题涉及专业领域，跟传统刑法有关人身对象的规定不同。而且，随着物联网、云计算等的迅速发展，数据的自主交换将进入人们的日常生活，信息刑法的专业性和覆盖面会得到拓展，这也是未来社会的发展趋势。

(二)跨境刑法司法合作的完善

1.完善跨境刑事司法合作路径

一是设立专门的警务协作办公室，统一处理公民个人信息跨境流动的刑事犯罪案件，并结合内地不同省份地区进行分流监管合作，提高跨境刑事司法合作能力，统筹协调国际区际跨境刑事案件的办理，严厉打击侵犯公民信息犯罪案件以及跨境电信诈骗案件等。积极推动我国刑事司法合作能力建设，召开司法合作互助推进会，对司法合作中出现的难以取证、证据转化等疑难问题进行协商，积极签署相关合作协议，明确办案流程及办案时限等。

二是建立侵犯个人信息犯罪案件的情报共享平台。(1)建立信息跨境类案件及犯罪团伙信息档案和资料库；(2)针对个人信息犯罪案件一旦发生就会造成个人信息快速大面积传播的情况，个人信息类犯罪案件需要更加专业和快速反应的专业队伍，建立快速应急机制，采用专业技术手段紧急处理。

2.完善信息跨境流动的法律基础建设

一是建立专门的个人信息保护法和负责个人信息跨境流动保护的专门机构。其一，既可以统一监管各种个人信息保护类案件，又能加强监督机制。其二，可以更好地协调不同地区不同部门的信息监督情况，有效沟通不同地区和部门中出现的难题。其三，可以为跨境信息类案件提供法律救济和维权，为信息的跨境流动和合作提供帮助。目前世界上已有89%的国家和地区拥有数据保护监管机构，拥有对未能履行数据存留条例的个人或组织进行制裁的权力。

二是建立完善的权益救济机制，开展国际司法合作。加强与他国的协商、沟通，签订双边协议或者加入多边协议，构建国际贸易沟通、信息自由流动的平台，同时加强个人信息数据评估、监管以及司法救济的机制和配套制度的建设。