公民个人信息刑法保护若干问题研究

江沁选，陈 峥

(1.西南政法大学 经济法学院，重庆 401120；2.闽清县司法局，福建 福州 350800)

当今是一个信息化社会，互联网的迅猛发展给人类带来了极大的便利，信息传递也越来越高效化。但不可否认，网络是一把双刃剑，在促进社会发展和进步的同时，也显露出一些社会弊端，尤其是公民个人信息的泄露和侵害问题日益明显，受到国际社会的高度重视。在这样的大数据时代背景下，人与人之间通过信息交流、共享，构建出一个难以想象的大数据库。在大数据环境下的信息泄露不仅仅会损害公民个人的人身及财产安全，严重的还会危及到公共信息安全甚至是国家安全。因此，许多国家和地区针对公民信息安全问题也推出了相应的法律法规，既包括刑法规范，也包括非刑法规范。我国公民个人信息保护在刑法上的规定并不完善。想要从根本上解决这个问题，当务之急是通过完善刑事法律法规来有效保护公民个人信息安全。

一、公民个人信息概述

(一)“个人信息”的基本概念

从概念上看，“个人信息”是属于特定个体的信息，属人格权之一，其重要性是毋庸置疑的。个人信息为个人所独有，一般可以直接或间接的识别特定的某个人。世界上有许多国家和地区都出台了相应的法律法规来有针对性地保护个人信息安全。然而，不同国家和地区对于“个人信息”的界定都有所不同。从世界各国、各地区以及历史演变来看，个人信息的概念以及名称并不统一。在英语、德语、法语和西班牙语中，信息均是“information”，日语中称“情报”，我国台湾地区称其为“资讯”，而我国古代指的是“消息”。[1]在不同的研究领域中，信息的概念也是不同的。电子计算机领域认为信息是“电子线路中传输的信号”；而在经济管理领域中，则认为信息是“提供决策的有效数据”。[2]

法学领域中对个人信息的定义向来存在着很大争议，主要有以下几种代表性意见：有部分学者认为“个人信息应当囊括所有与个人有关的信息”；也有研究者指出，其应当是指“属于公民个人的，与他人无关也不妨碍社会公共利益的各种信息资料”；我国台湾地区有学者认为其应包括“人的内心、身体、身份、地位及其他与个人相关的事实、判断、评价等所有信息”；还有美国学者认为其指的是“个人在生活中不愿意向外透露或是被他人所知晓的敏感信息”。[3]笔者认为，以上几种定义有的过于宽泛(如将所有与个人有关的信息包括在内)，有的则过于狭隘，甚至混淆了个人信息与个人隐私的概念。

2017年3月，全国人大代表向两会提交的《中华人民共和国个人信息保护法(草案)》中详细界定了个人信息的概念及科学内涵，即可以借助特定形式如电子来记录，并可结合其它信息或单独反映特定自然人身份的各种信息，包括但不限于自然人的姓名、生日、性别、身份证件号码、电话号码、住址、血型、个人生物识别信息、爱好等。从这个定义中，我们可以看出，个人信息是指可以直接或间接的识别出特定个体的信息。

(二)“个人信息”的基本特征

即使不同国家和地区对于“个人信息”的表述不尽相同，但纵观这些定义和规定，还是能找到许多共通之处。由此，可以归纳出个人信息具有以下三点特征：

1. 个人信息的主体性

个人信息的众多特征中，最主要的是它的主体性，即自然人是其主体，个人信息的所有权、控制权、和支配权只能为个人信息的主体所享有，个人信息的主体性是个人信息保护的重要前提。[4]需要明确的一点是，自然人才能产生个人信息，而法人和其他组织不能产生个人信息，所以只有自然人能成为个人信息的主体，法人和其他组织则不行。个人信息只能为自然人所拥有，法人和其他组织没有对个人信息的控制权和支配权。个人信息的主体和个人信息的管理者这两个不同的概念也应当明确区分。个人信息产生和存在的前提是自然人这一主体，而个人信息的管理者则指的是经过个人信息主体同意后，在合法、合理的范围内负责个人信息的收集、使用和处理的特定者。

2. 个人信息的可识别性

这是个人信息的核心特征。个人信息的可识别性是指个人信息的内容经过具体分析和判断后，能够直接或间接的识别出特定个人。个人信息的可识别性是明确个人信息内容和范畴的客观标准。[5]能够直接把人识别出来的个人信息称为直接识别信息，如肖像、姓名、身份证号等；而可以间接把人识别出来的信息是相较于前者而言的，间接识别信息只有结合其它信息才能实现对特定个体的识别，如只有将性别、年龄、肤色、家庭情况、兴趣爱好等这些信息结合起来才可以识别出特定的个人。[6]在上文中所提到的各个国家、地区对于个人信息的定义中，无一不强调个人信息的可识别性，可识别性对于个人信息的重要性由此可见一斑。

3. 个人信息的时效性

个人信息最基本的特征是时效性。自产生之日起，个人信息便随着主体的变化而变化，比如年龄、学历、家庭住址、兴趣爱好、财产状况等，这些都属于极易改变的信息。[7]明确认识到个人信息的时效性对于个人信息保护是非常必要且重要的，已经过时的个人信息不仅对识别特定个人没有帮助，反而会产生误导作用。如警察在调查特定对象时，由于特定对象的某些个人信息未及时更新，导致调查过程产生重重困难。因此，只有在时效内的个人信息才能准确识别出特定个人。

(三)“个人信息”与“个人隐私”

个人信息与个人隐私是两个不同的概念，二者之间存在交叉。从概念上来看，个人信息覆盖范围较个人隐私更为广泛。个人隐私完全属私领域，个人信息属公领域加私领域，这也是两者最为本质的区别之一。[8]个人信息并不都是非公开的，可公开的个人信息就不属于个人隐私。我国在《宪法》《民法总则》中对于隐私权都有明确的规定，相较之下，对于个人信息的保护力度显得弱了许多。

二、其他国家和地区个人信息保护立法考察

目前，世界上大部分国家或地区主要采取以下两种方式来保护公民个人信息：一是通过立法对个人信息给予保护，二是靠信息行业的自律性对侵害个人信息的行为予以规范。通过立法来保护个人信息安全产生于20个世纪70年代，始于欧洲各国。1970年，德国黑森州制定了《个人数据保护法》，这也是世界上第一部个人信息保护法。此后，其它国家如美国、英国、瑞典等也基于本国实际出台了相应的个人信息保护法。而早在1950年《欧洲保障人权和基本自由公约》(《欧洲人权公约》)第8条中就有关于个人信息保护的规定，其指出:所有人的通信、住宅、家庭及个人生活信息都有权要求获得他人尊重。这也为欧盟各国从法律层面保护个人信息安全奠定了基础。[9]在这之后，联合国、经济合作与发展组织理事会、欧盟等国际组织也陆续制定了关于个人信息保护的公约和指南。截至目前，世界上大部分国家都已经或是正在建立属于本国的个人信息保护制度。

(一)美英德日个人信息立法保护

美国是最早关注公民个人信息保护问题并实施立法保护的国家之一。美国是英美法系的代表性国家，它的个人信息保护立法采取的是分散立法兼行业自律模式，其关于个人信息保护的规定分散在判例法和单行成文法中。[10]美国国会于1974年通过了《联邦隐私权法》，这部法律奠定了美国个人信息保护制度的基础。之后随着经济的不断发展和社会生活的不断变化，法律需要完善，美国国会又针对不同的社会问题和行业领域颁布了相应的法律法规。如针对社会上出现公民身份被盗用的问题，出台了《防止身份盗用法》；针对公民个人信息在网络上被侵害的问题，出台了《网上隐私保护法》；针对金融领域、消费者保护领域、未成年人保护领域，出台了《金融隐私权利法》《电话用户保护法》《有线电视消费者保护和竞争法》《家庭教育权和隐私法》等诸多法律来加以规范。美国通过适宜的分散立法和行业自律机制互相配合，有效地实现公民个人信息保护。

英国和美国虽然同为英美法系国家，但对于公民个人信息的法律保护却是大相径庭。不同于美国的分散立法，英国对于个人信息保护采取的是单独立法模式。[11]英国在1984年颁布了独立的《个人数据保护法》，该法于1998年重新修订。相比于美国的《隐私权法》，二者并不相同。该法的基本原则是全面保护个人信息，该法所保护的对象是与个人有关的或者是可以被识别的信息，适用范围既包括个人信息，也包括单位信息，既适用于私权利领域，也适用于公权力领域。这部法律设置了信息专员且规定了信息专员的职权范围，可以确保个人信息保护法律的有效实施。[12]2017年8月7日，英国数字、文化媒体和体育部宣布为了加强数字经济时代对个人数据信息的全面保护，将通过一部新的个人数据保护法案。与1998年修订的《个人数据保护法》相比，新法案会保留原有框架，在此基础上加大对个人数据保护的力度，主要在保护个人、保护组织机构、加强监管者权力、建立司法数据处理机制等四个方面有所变化。该法案将更多的个人信息控制权给予公民，严格控制数据的获取权、迁移权和删除权，进一步加强执法力度，更加有效的保护个人数据安全。

作为大陆法系代表性国家之一的德国，其在保护个人信息安全方面成效显著，领先于其它大部分国家，为指导和帮助大陆法系其他国家建立个人信息保护法律体系起到了关键作用。严谨性和周密性是其立法的特点，是包括我国在内的成文法国家的立法范本、学习和借鉴的榜样。随着信息化时代的到来，从20世纪60年代起，德国政府为了奠定国家权力基础，提高经济效益，越来越认识到个人信息的重要性，历经多年发展逐步建立了完善的个人信息保护法律制度，使得公民个人信息得到全面的、有效的保护。1970年，德国黑森州颁布了世界上第一部个人信息保护法，但是只局限于州立法。在这之后，德国联邦议会于1976年通过了全国性的《联邦个人资料保护法草案》。德国的个人信息保护立法采取的是统一立法模式，以公民个人信息自决权为宪法基础，人格权为民法基础来保护公民个人信息。以宪法为基础的前提下，再运用民事、行政和刑事法律法规，对个人信息安全给予统一规范、统一保护。[13]在个人信息刑法保护方面，德国采取了两种方式：一是在《刑法典》中设立了单独的章节，详细阐述了侵害公民个人信息的行为认定标准及其刑罚；二是在独立的个人信息保护法中加入刑事条款。德国在个人信息刑法保护方面，具有法律条款集中、处罚方式多样、覆盖面广泛的特点。

日本的信息化技术发展处于世界前列，但同时伴随的是难以忽略的个人信息保护问题，所以日本政府在推进个人信息保护立法的进程上一直持积极态度。在亚洲国家中，日本是较早制定个人信息保护法律规范的国家。在个人信息保护立法模式上，日本采取的是独具本国特色的政府立法兼行业自律保护模式。1963年，根据日本宪法第13条，最高法院首次确认日本公民享有隐私权，这是日本个人信息保护在法律上首次得到确认。日本政府制定关于个人信息保护的法律，一开始是为了推进电子政府的进程。1988年，日本政府出台了一部《关于对行政机关所持有之由计算机处理的个人信息加以保护的法律》。[14]在此之后，日本政府对公民个人信息的保护范围不断扩大，不局限于规范政府处理公民个人信息的行为，也规范其他行业领域中收集、处理个人信息的行为。日本在2003年正式通过了《个人信息保护法》，这意味着日本形成了一套完整的公民个人信息保护法律体系。2015年10月，日本颁布了最新的《个人信息保护法》修正案，该修正案相比之前法案最大的变化就是新增了一个专门机构——个人信息保护委员会，这意味着个人信息保护权限将交由明确的政府部门来管理，可以更有效的将个人信息保护落到实处。[15]

(二)域外个人信息保护立法小结

综观各个国家和地区的个人信息保护立法，可以发现刑事立法模式主要包括以下三种：

1. 在现行《刑法典》中规定有关个人信息保护的条款；

2. 制定专门的《个人信息保护法》，其中加入了刑事条款；

3. 制定各种单行刑法以应对不同情况下的个人信息安全问题。

个人信息保护的刑事立法模式在不同国家和地区间的差异相对较大，产生这种差异的主要原因是各国和地区对个人信息的重视程度和将刑法介入个人信息保护的程度不同。在英美法系国家中，以美国为例，出台了多部单行刑法来保护个人信息，其他英美法系国家也大多如此；而大陆法系国家中，如德国和日本在刑法典和个人信息保护法中对个人信息进行了全方位的保护，其他大陆法系国家也均没有制定相应的单行刑法来保护个人信息安全。然而，在个人信息的刑事立法上，所有国家都体现出多样化的立法模式，即不仅仅局限于在刑法中对个人信息保护作出规定，而是采取其他如制定单行刑法或独立的个人信息保护法等方式来更加全面的保护公民个人信息。[16]这种多样化的立法模式克服了刑法这一立法模式的单一性，可以更加全面、多方位的保护公民个人信息。

三、我国个人信息保护立法现状

权威数据表明，截至2017年11月，在我国现行法律法规中，与个人信息保护相关的宪法法律有110部，行政法规有177部，地方性法规有7191部，部门规章及文件有940部，司法解释及文件有112部。[17]其中有刑法、民法、网络安全法、消费者权益保护法、邮政法、统计法等多方面法律涉及到公民个人信息安全保护问题。

(一)个人信息保护立法的起步

我国在2000年通过的《全国人大常委会关于维护互联网安全的决定》中第一次就公民个人信息安全保护作了陈述，但该决定主要是规定了针对侵犯公民通信自由和通信秘密的情形，而缺少就全方位保护公民个人信息的规定。直到2003年，我国才全面开展个人信息保护立法工作。2005年《中华人民共和国个人信息保护法(专家建议稿)》公布，2008年呈交国务院。虽然由于多方面的原因导致其至今还未进入正式的立法程序，但从中可以发现我国主要选择综合立法模式来保护个人信息安全，也就是针对特殊行业补充立法以弥补单一的《个人信息保护法》的不足，同时设立专门的监督机构来保障该法的有效实施，行业自律及技术保护手段也十分重要。[18]我国香港地区、欧盟成员国等采取的也正是这种立法模式。专家建议稿十分重视“预防”的作用，强调事前干预与事后干预相结合；规定不当泄露个人信息是违法行为，要承担相应的行政责任、民事责任和刑事责任。

(二)《刑法修正案(七)》首次增设侵犯个人信息相关罪名

中国在法律上对公民个人信息的保护是从刑法领域开始的。在2009年的《刑法修正案(七)》出现以前，我国的刑法并没有关于侵犯公民个人信息犯罪的相关规定，仅仅是在部分法律法规当中对特定群体或特定领域的个人信息侵害行为进行规定。《刑法修正案(七)》突破了保护对象只限于特定主体和特定领域个人信息的约束，强调我国刑法对全体公民的个人信息进行同等保护，这是我国刑法对公民个人信息保护最早之规定。[19]刑七第253条对个人信息犯罪的罪名进行增加，增设了非法获取公民个人信息罪和出售、非法提供公民个人信息罪。在这里，犯罪主体有其特殊性，主要为：国家机关或交通、金融、信息、医疗等社会公共服务单位的相关工作人员，犯罪对象则都是“公民个人信息”，但可惜的是并未对“个人信息”的认定标准进行详细阐述，导致理论界的争议不休及司法实践的混乱。《刑法修正案(七)》中关于公民个人信息犯罪的规定是个人信息法律保护一次全新的尝试，但是关于这两个新增设的罪名一直争议不断，争议焦点主要围绕在犯罪主体、犯罪对象的认定及法定刑等问题上。

(三)《刑法修正案(九)》对不足之处加以修正

由于《刑法修正案(七)》关于个人信息的罪名产生了较大争议，在2013年，两高联合公安部共同发布了《关于依法惩处侵害公民个人信息犯罪活动的通知》。2015年出台的《刑法修正案(九)》在《刑法修正案(七)》的基础上又进行了进一步修改，对刑七的不足之处加以改正，主要修改之处有以下三点：

1. 扩大了犯罪主体的范围

在之前的《刑法修正案(七)》中提到，侵犯公民个人信息的主体是一类特殊主体，主要包含：国家机关或交通、金融、信息、医疗等社会公共服务单位的工作人员。然而，从司法实践角度来看，各地对公民个人信息犯罪的主体范围很难把握一致，有些地方会扩大主体范围，有些地方又会将主体范围局限在条文中的列项，这样的规定显然不利于公民个人信息的保护。[20]因此，《刑法修正案(九)》取消了明确的列举，将侵犯公民个人信息的犯罪主体范围放宽至所有主体。

2. 扩大了犯罪对象的范围

刑七第253条对犯罪对象进行了定义，即：特殊主体在履行职责或是提供服务过程中所掌握的公民个人信息，但没有规定通过除此以外的其他方式合法地获得公民个人信息后，又将该信息出售、非法提供给他人的情形。刑九出台后，将两个罪名合并为一个罪名——“侵犯公民个人信息罪”，在对犯罪对象的表述上统一使用“公民个人信息”的称谓，这实际上是对侵犯公民个人信息犯罪对象范围的扩充，弥补了追责空白。

3. 提高法定刑，加大处罚力度

刑七第253条将两种侵犯公民个人信息罪名的法定刑规定为：“三年以下有期徒刑或者拘役，并处或者单处罚金”，从实际实施效果来看，此项规定并没有结合犯罪性质和危害程度的不同作出区分处理。[21]但是由于公民个人信息侵害的问题越来越严重，《刑法修正案(九)》为了加大处罚力度，在刑七的前提下，增加了如下法定刑：“三年以上七年以下有期徒刑，并处罚金”，这档法定刑主要针对的是犯罪情节特别严重的情形。此外，刑九还规定了特殊主体犯罪从重处罚的量刑原则，这是立法机关加强对侵犯公民个人信息犯罪的打击力度的体现。

(四)两高发布《侵犯公民个人信息刑事案件司法解释》

2017年5月8日，两高发布了《侵犯公民个人信息刑事案件司法解释》，该解释明确了公民个人信息的范围。此前，我国对于“个人信息”的定义主要来自于《网络安全法》第七十六条。基于此定义，《解释》采用识别说和不完全列举的方法，将公民个人信息的含义表述为：通过电子记录等方式，能够直接或间接地将特定自然人的身份信息或活动情况展现出来的信息。可以看出此定义将个人信息的“可识别性”作为认定我国刑法所保护的个人信息的主要标准。此外，《解释》还规定了侵犯公民个人信息犯罪的具体行为内容，确定了犯罪情节“严重”和“特别严重”的认定标准以及量刑细则等，较刑九有明显的进步。该解释意味着我国个人信息保护刑事立法进程又向前迈进了一大步。

(五)《中华人民共和国个人信息保护法(草案)》

2017年3月，全国人大代表在两会上提出制定《中华人民共和国个人信息保护法》的提案，并附带提交了《中华人民共和国个人信息保护法(草案)》。该草案共有六个章节，四十四个条款，提出了七个个人信息保护的基本原则，规定个人信息主体享有九项基本权利。草案还将个人信息处理主体划分为国家机关信息处理主体和非国家机关信息处理主体，并分别提出了具体的个人信息保护措施。在这一法案当中，引用了近年来我国与个人信息保护相关的现行法律和标准等，也考虑了信息化时代对网络安全的实际需求，总体来看具有一定的前瞻性。但它也存在许多问题，如缺乏个人信息的分类、处罚力度不足等，还有较大的进步空间，希望有关部门在立法修订时能予以完善。[22]

四、我国公民个人信息保护刑事立法的不足

在对我国个人信息保护刑事立法的现状进行分析以后，可以看出我国已经认识到刑法对于建立个人信息保护法律制度的重要性，在逐步加大对个人信息保护的刑事监管力度，以期切实发挥出刑法保护公民个人信息的作用。[23]事实上，我国相关部门为了加强刑法对个人信息安全的保护力度做了不少努力，出台了许多措施，但在司法实践中的应用和实施仍比较混乱，刑法的保护作用难以真正发挥，无法全面、有效的保护公民个人信息。我国个人信息保护刑事立法的不足主要有以下三点：

(一)公民个人信息定义不完备

从我国现行的法律制度来看，《刑法修正案(七)》和《刑法修正案(九)》当中都已经将侵犯公民个人信息犯罪的保护对象定为“个人信息”，但是在刑法上对“个人信息”却没有一个具体的认定标准，直到2017年两高发布了《侵犯公民个人信息刑事案件司法解释》。在这个司法解释当中，“公民个人信息”的定义实际上增加了“财产状况”“行踪轨迹”等新概念，较之前对公民个人信息的定义已经完善许多。但在2016年全国人大常委会发布的《网络安全法》和2017年颁布的《个人信息和重要数据出境安全评估办法(征求意见稿)》当中，都将“个人生物识别信息”这一新型个人信息加入到“公民个人信息”的范围中。此外，还有2016年发布的《中华人民共和国电子商务法(草案)》中将“快递物流信息”纳入个人信息的范围，这是立法工作顺应网络时代飞速发展的体现。笔者认为这些新增的个人信息也应纳入刑法对公民个人信息的定义范围中，但是两高最新发布的《解释》却没有与其他法律法规中对公民个人信息的定义相衔接，未将新型个人信息包含在内，导致公民个人信息的刑法定义不完备。

(二)相关立法对个人信息犯罪行为方式的规定具有局限性

我国现行刑法第253条规定了侵犯公民个人信息罪的入罪行为方式是“出售”“提供”“窃取”或“非法获取”公民个人信息。2017年两高发布的《侵犯公民个人信息刑事案件司法解释》中将侵犯公民个人信息的犯罪行为方式规定为“出售”“提供”“非法获取”“通过信息网络或者其他途径发布”“购买、收受、交换等方式”，比现行刑法条文的规定详细许多。但是现实生活中不法分子侵犯公民个人信息的犯罪手段远远不止于此，还有大量非法破坏、非法利用、非法盗用公民个人信息等行为存在。目前我国刑事法律中所规定的个人信息犯罪行为并不适用于所有的侵犯公民个人信息的情形，具有明显的局限性。

(三)立法模式单一，缺少前置性法律

我国尚未建立起完善的个人信息法律保护制度。从各个国家和地区个人信息保护的立法主要模式来看，主要有三种，第一种是制定单独的《个人信息保护法》；第二种是在本国刑法中规定有关个人信息保护的条款，将个人信息犯罪入刑；第三种是在其他法律中进行规定来保护公民个人信息。[24]大部分国家和地区采取的方法都是制定专门的《个人信息保护法》并在其中规定如何与相应的行政和民事法律规定相衔接，而刑法典中关于个人信息犯罪的内容主要体现在个人信息隐私权的规定中。但是我国的立法向来采取的是单轨制立法模式，即用统一的法典形式来制定各部门的成文法，刑法也是如此。但实际上刑法的稳定性和严肃性注定它不能经常被修改，刑法的滞后性意味着它无法完全规制日益增多的犯罪方式，那么将个人信息保护的刑事规定完全限制在刑法典中，非常不利于全面保护公民个人信息安全。[25]同时我国对于个人信息的保护缺少前置性法律即专门的《个人信息保护法》，而现有的保护公民个人信息的规定分散在不同的法律法规中，缺乏体系，无法与刑法配套衔接。我国立法模式的单一和前置性法律的缺位导致刑法很难真正发挥出保护个人信息安全的作用。

五、我国个人信息保护立法的完善建议

从2005年的《个人信息保护法(专家建议稿)》到2017年的《侵犯公民个人信息刑事案件司法解释》，可以看出我国一直在为建立完备的个人信息法律保护制度而努力。这些规定，有进步也有不足，唯一能够确定的是，我国在个人信息保护法律制度的建设方面还有很长的路要走。现阶段，我国并未制定出较为完善的个人信息保护法律制度，导致对个人信息的保护力度不够，保护范围较窄，我们需要借鉴其他国家和地区的立法经验，制定出一套符合我国国情的个人信息保护制度。因此，对我国个人信息保护立法工作提出以下几点建议：

(一)将新型个人信息纳入公民个人信息的范围

在2017年两高发布《侵犯公民个人信息刑事案件司法解释》之前，我国刑法对于“公民个人信息”并没有明确的定义。虽然《解释》对于“公民个人信息”的定义相比之前详细了许多，但是关于此定义是否全面仍有许多争论。之前提到，网络信息技术的飞速发展衍生出许多新型公民个人信息，如2016年的《网络安全法》和2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》中关于“公民个人信息”的范围都有包括“个人生物识别信息”这一新型个人信息。“个人生物识别信息”是可以通过高科技手段将如指纹、虹膜、声音等人体所特有的生物特征识别出来的信息，比一般的公民个人信息具有更高的“可识别性”，笔者认为此类新型个人信息应纳入刑法所定义的公民个人信息的范围，与其他法律法规中对公民个人信息的定义相衔接，才能更加全面的保护公民个人信息。

(二)增设其他入罪行为方式，设置兜底条款

无论是我国现行刑法条文，还是配套的司法解释，规定的侵犯公民个人信息的犯罪行为方式都具有明显的局限性。《刑法修正案(九)》将侵犯公民个人信息的入罪行为方式规定为“出售”“提供”“窃取”或“非法获取”公民个人信息。本罪名是典型的概括型罪名，既不能朝令夕改，也没有设置兜底条款随时通过司法解释增设新的入罪行为方式。因此《解释》只能对现行刑法条文中规定的入罪行为方式进行细化，但是无法增设新的行为方式。但实践中还存在其他大量非法侵犯公民个人信息的行为，如非法破坏、非法利用、非法盗用公民个人信息等。为了弥补我国对侵犯公民个人信息犯罪的追责空白，建议增设新的入罪行为方式，并设置兜底条款，以全面预防已经出现或将来可能出现的侵犯公民个人信息的犯罪行为方式。

(三)尽快出台《个人信息保护法》

对于个人信息的保护切实关系到公民利益乃至国家安全。从世界范围来看，制定了独立的个人信息保护法的国家或地区已经超过百余个，其中也包括中国台湾和中国澳门等地区。从中国大陆的情况来看，将个人信息保护的规定分散在行政、民事和刑事法律法规中的做法虽然有一定程度的保护作用，但是要建立健全的公民个人信息保护制度，一部完善的《个人信息保护法》是必不可少的。[26]从2005年的《个人信息保护法(专家建议稿)》到2017年的《个人信息保护法(草案)》，表明我国立法机关已经充分认识到个人信息保护的重要性，并致力于构建相应的法律保护制度。在具体做法方面，我国应当主动学习和借鉴这些国家和地区先进的立法经验和立法技术，结合本国国情，尽快制定出具有本国特色的《个人信息保护法》。在此基础上，做好《个人信息保护法》与刑法、行政法等法律的衔接工作，可以有效克服我国立法模式的单一性，使得对公民个人信息的法律保护形成体系性规范。