《個人信息保護法》視角下侵犯公民個人信息罪要件的調整

劉憲權， 何陽陽

(華東政法大學 刑事法學院，上海 201620)

近年來，隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術的不斷發(fā)展，人們在分享海量信息所帶來的紅利的同時，也飽受個人信息泄露帶來的困擾。盡管我們已經(jīng)在相關刑法修正案中專門設立了侵犯公民個人信息罪，并且在相關刑法司法解釋中進一步明確與細化了侵犯公民個人信息罪的適用，但現(xiàn)實生活中大數(shù)據(jù)殺熟、應用程序(APP)過度收集個人信息等現(xiàn)象仍大量存在且屢禁不絕。特別是隨著近期AI換臉視頻、深度偽造技術的興起，輿論又將敏感個人信息的規(guī)范處理等問題推向了風口浪尖。如何在法律框架內保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用，已經(jīng)成為當下我們面臨且亟待解決的問題。2021年8月20日，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》，自2021年11月1日施行)。該法明確了個人信息保護的相關規(guī)則和各有關主體的權利義務，標志著我國在全面、綜合治理個人信息的法治軌道上邁出了重要的一步。本文以新出臺的《個人信息保護法》為視角，對個人信息的內涵、個人信息的分類、侵犯公民個人信息罪的行為方式、該罪“情節(jié)嚴重”的認定標準等方面重新審視，探尋大數(shù)據(jù)時代侵犯公民個人信息罪相關要件的調整路徑，以期對司法實踐有所裨益。

一、侵犯公民個人信息罪中個人信息內涵的調整

根據(jù)《刑法》第253條之一的規(guī)定，侵犯公民個人信息罪是指，違反國家有關規(guī)定，向他人出售或者提供公民個人信息，以及竊取或以其他方法非法獲取公民個人信息的行為。雖然《刑法》第253條之一侵犯公民個人信息罪的條文中沒有關于公民個人信息的明確定義，但是2017年5月8日最高人民法院、最高人民檢察院聯(lián)合頒行的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)第1條明確對公民個人信息下了定義?！督忉尅氛J為，侵犯公民個人信息罪中的“公民個人信息”是指，以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。而2021年頒布的《個人信息保護法》第4條第1款規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。分析上述兩條規(guī)定不難發(fā)現(xiàn)，《個人信息保護法》對個人信息的定義作出了與刑法司法解釋不完全相同的規(guī)定。(1)《解釋》采用的是“公民個人信息”，《個人信息保護法》采用的是“個人信息”。筆者的理解是，“公民個人信息”與“個人信息”雖然提法不同，但實質內容相同。為了討論方便，本文統(tǒng)一使用“個人信息”這一提法。筆者認為，盡管《解釋》與《個人信息保護法》對個人信息的定義在內容和方式上確實存在一定差異，但它們在本質上仍具有同一性，主要有兩個理由。

第一，不同部門法從不同規(guī)制的側重點出發(fā)，在個人信息的定義上存在差異實屬正?，F(xiàn)象?！督忉尅芬?guī)制的側重點在于強調懲治侵犯公民個人信息的犯罪行為，以達到保護公民人身安全和財產(chǎn)安全的目的；《個人信息保護法》規(guī)制的側重點則在于保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息的合理利用。前者是從打擊犯罪的角度出發(fā)，作為對刑法條文的補充與說明，力求詳細、精確，以更好地指引司法活動的開展；后者關注的重點并非與個人信息有關的犯罪行為，而是如何構建個人信息保護的整體框架、如何明確個人信息的處理規(guī)則以及相關主體的權利義務?？梢姡煌块T法規(guī)制的側重點不同，所以在對個人信息的定義上存在差異不足為怪。

第二，盡管《解釋》與《個人信息保護法》對個人信息的定義有差異，但本質上不存在沖突。根據(jù)《解釋》所作的定義，個人信息必須具備能夠與特定自然人相關聯(lián)的根本屬性。換言之，只要能借助該信息識別特定自然人，那就可以認定該信息為刑法上的個人信息?！秱€人信息保護法》所作的定義同樣指向已識別或可識別的自然人，同樣要求自然人與信息之間具有關聯(lián)性。同時，該定義后半句“不包括匿名化處理后的信息”的表述與《解釋》第3條第2款“經(jīng)過處理無法識別特定個人且不能復原的信息除外”的表述都進一步明確了不能與特定自然人相關聯(lián)的信息(即缺乏可識別性的信息)應當排除在個人信息的范圍之外。可見，《解釋》與《個人信息保護法》所定義的個人信息的根本屬性都具有“可識別性”這一特征。雖然在定義的表述上存在差別，但只要定義落腳的根本屬性沒有實質性區(qū)別，那就應該認為《解釋》中的“個人信息”與《個人信息保護法》中的“個人信息”在本質上并無二致。

需要指出的是，《個人信息保護法》對死者個人信息的保護作了專門規(guī)定。該法第49條指出，自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規(guī)定的查閱、復制、更正、刪除等權利；死者生前另有安排的除外。在前置法對死者個人信息的處理作出規(guī)定的前提之下，死者個人信息是否可以成為刑法侵犯公民個人信息罪的對象？對此，理論上存在一定的爭議。

筆者認為，侵犯公民個人信息罪的對象只能是具有生命的特定自然人的個人信息，死者個人信息不能成為侵犯公民個人信息罪的對象，主要有兩個理由。其一，從文義角度分析，侵犯公民個人信息罪中“個人信息”的范圍限定在“公民”，而公民的定義為，具有某一國國籍，并根據(jù)該國法律規(guī)定享有權利和承擔義務的人。顯然死者不屬于公民的范圍，死者個人信息也就不能成為侵犯公民個人信息罪的對象。其二，從法益角度分析，侵犯公民個人信息罪被規(guī)定在刑法分則第四章侵犯公民人身權利、民主權利罪中。眾所周知，自然人的人身權利、民主權利都以生命的存在為前提，因此該章中的所有犯罪指向的對象都應該是具有生命的自然人。例如，侮辱罪的對象必須是具有生命的活人，如果行為人對死者進行侮辱，可能構成《刑法》第302條的侮辱尸體罪；如果行為人對英雄烈士的名譽、榮譽進行侮辱，則可能構成《刑法修正案(十一)》新增設的侵害英雄烈士名譽、榮譽罪。由于死者已經(jīng)失去了生命，其人身權利也隨之消失，而其人身權利之下的個人信息自由、安全權和隱私權當然就不可能存在。由此可見，侵犯公民個人信息罪的犯罪對象不能也不應包含死者個人信息。刑法分則設置與死者有關的罪名是出于維護社會管理秩序的需要，只有當死者的相關利益與社會管理秩序發(fā)生重合時，才會從維護社會管理秩序的角度出發(fā)，對這部分重合的利益予以刑法上的保護。侮辱尸體罪和侵害英雄烈士名譽、榮譽罪都被設置在刑法分則第六章妨害社會管理秩序罪之中，這足以證明刑法層面對死者相關利益的保護完全是基于社會管理秩序，而不是死者相關利益，也進一步證實了死者個人信息不能成為侵犯公民個人信息罪的犯罪對象。

事實上，《個人信息保護法》第2條規(guī)定，自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。也即只有自然人的個人信息受法律保護，已經(jīng)失去了生命的死者不能稱之為自然人，死者個人信息當然不屬于《個人信息保護法》中“個人信息”的保護范圍?！秱€人信息保護法》第49條之所以會對死者個人信息的處理作出規(guī)定，實際上是為了保護死者近親屬合法、正當?shù)臋嘁?。死者雖然已經(jīng)去世，但死者的許多近親屬依然在世。死者的近親屬作為有生命的自然人，基于合法、正當?shù)哪康模袡嘣谟邢薜姆秶鷥忍幚硭勒叩南嚓P個人信息。應該看到，《個人信息保護法》第49條的規(guī)定，很大程度上是受到了《民法典》相關規(guī)定的影響。《民法典》第994條規(guī)定，死者的姓名、肖像、名譽、榮譽、隱私、遺體等受到侵害的，其配偶、子女、父母有權依法請求行為人承擔民事責任；死者沒有配偶、子女且父母已經(jīng)死亡的，其他近親屬有權依法請求行為人承擔民事責任。依筆者之見，《個人信息保護法》關于死者個人信息處理的規(guī)定是對《民法典》第994條規(guī)定的具體細化?！睹穹ǖ洹肥菑谋Ｗo人格權益的角度出發(fā)，概括性地表明死者人格權益需要被保護，但對于其中的死者個人信息如何保護并沒有詳細規(guī)定。《個人信息保護法》則是在《民法典》的基礎上，從保護個人信息安全的角度出發(fā)，進一步細化了對死者個人信息的保護方式。但是，由于個人信息的定義排斥死者個人信息，導致《個人信息保護法》只能從保護死者近親屬合法、正當權益的角度出發(fā)，制定與死者個人信息處理有關的法條，就此才有了第49條的規(guī)定。不同于《民法典》和《個人信息保護法》，《刑法》是規(guī)定犯罪、刑事責任和刑罰的法律規(guī)范，我們不能因為前置法對死者個人信息的處理作出了規(guī)定，就想當然地認為《刑法》侵犯公民個人信息罪的對象也應該包含死者個人信息。綜上所述，死者個人信息不能被解釋為侵犯公民個人信息罪中的“個人信息”。

二、侵犯公民個人信息罪中個人信息分類的調整

應該看到，《解釋》和《個人信息保護法》對于個人信息分別作了不同的分類。《解釋》第5條第1款第3、4、5項明確規(guī)定，侵犯公民個人信息罪中的個人信息有三類，分別是行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息(第一類信息)；住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的個人信息(第二類信息)；以及上述兩類信息之外的個人信息(第三類信息)。《個人信息保護法》中的個人信息則被分為兩類，分別是敏感個人信息和一般個人信息。比較《解釋》與《個人信息保護法》對個人信息所作的不同分類，筆者認為，《解釋》的規(guī)定似乎存在一定的不合理性。

其一，《解釋》很難將融合度較高的信息精準歸入某一類別的信息之中。眾所周知，在大數(shù)據(jù)時代，個人信息的融合度越來越高，一條信息中包含的內容可能是多條信息內容的整合，如防控新冠肺炎疫情期間人們使用的“健康碼”。“健康碼”是反映個人身體健康狀況的電子憑證，依據(jù)《解釋》對個人信息的分類，可被歸入第二類信息中的“健康生理信息”。但隨著“互聯(lián)網(wǎng)+醫(yī)療健康”服務的不斷推進，各地正在積極推動通過技術手段將核酸檢測、疫苗接種和是否去過中高風險地區(qū)等信息在本人無需填報的情況下自動整合到“健康碼”里。(2)參見《健康碼將整合疫苗接種和行程信息》，《瀟湘晨報》2021年3月24日，A05版。一旦將是否去過中高風險地區(qū)等信息整合進“健康碼”中，“健康碼”又可被歸入第一類信息中的“行蹤軌跡信息”。此時就會產(chǎn)生《解釋》中的第一類信息與第二類信息之間交叉、重合的問題。對于融合度較高的信息，《解釋》很難精準歸類，且容易在司法認定中出現(xiàn)分歧。

其二，《解釋》對生物識別信息沒有明確規(guī)定和歸類，無法體現(xiàn)應有的刑法保護。近年來，公眾對人臉信息、指紋信息等生物識別信息的關注度越來越高，杭州某動物園“人臉識別第一案”等事件引發(fā)的社會熱議，將生物識別信息的法律保護問題推向了輿論焦點?？梢姡镒R別信息的重要性在大數(shù)據(jù)時代愈發(fā)凸顯，且越來越引起人們的重視。事實上，《解釋》在個人信息的分類中沒有直接提及生物識別信息，這在很大程度上容易引起理論上對生物識別信息歸屬問題的爭議。有觀點認為，生物識別信息應被歸入第二類信息中的“健康生理信息”；也有觀點認為，生物識別信息應被歸入第二類信息中的“……等其他可能影響人身、財產(chǎn)安全的個人信息”這一兜底規(guī)定；另有觀點認為，生物識別信息應被歸入第三類“一般個人信息”。(3)參見歐陽本祺、王兆利：《人臉識別的合法性邊界與刑法適用限度》，《人民檢察》2021年第13期；李懷盛：《濫用個人生物識別信息的刑事制裁思路——以人工智能“深度偽造”為例》，《政法論壇》2020年第4期。

筆者對上述三種觀點均不贊同。筆者認為，應將生物識別信息歸入第一類信息。

首先，生物識別信息不同于健康生理信息。健康生理信息是指，反映自然人身體機能以及器官功能的信息，如自然人因生病醫(yī)治等產(chǎn)生的相關記錄以及與自然人身體健康狀況相關的信息。生物識別信息是指，自然人所固有的生理特征和行為特征信息,如指紋、人臉、虹膜、筆跡、聲音、步態(tài)等。根據(jù)全國信息安全標準化技術委員會發(fā)布的《信息安全技術個人信息安全規(guī)范》，生物識別信息和健康生理信息分別屬于個人信息下的兩種不同信息。既然生物識別信息和健康生理信息是并列的，說明這兩種信息的概念在外延上是相互排斥的，那么，就不能將這兩種信息視為同一信息。因此，刑法上不能將生物識別信息與健康生理信息混同。

其次，將生物識別信息歸入第二類信息中的“……等其他可能影響人身、財產(chǎn)安全的個人信息”或者第三類“一般個人信息”，都不妥當。原因在于，生物識別信息具有獨一無二性、較難更改性和可作密碼性等特性。其中，獨一無二性是指，相對于其他自然人而言，某一自然人的人臉、虹膜、聲音等生物識別信息具有排他性。較難更改性是指，自然人的虹膜、靜脈、視網(wǎng)膜等信息完全無法更改；人臉、聲音、筆跡等信息盡管可以通過整容手術、后期訓練等方式進行有限度的更改，但需要付出較高的代價，通常情況下較難被輕易更改?？勺髅艽a性是指，自然人的指紋、人臉等信息可以被當作密碼在移動支付領域廣泛使用。不難看出，生物識別信息與公民人身安全、財產(chǎn)安全有著密切的聯(lián)系。正是由于同時具有上述特征，因而生物識別信息非常特殊，在刑法層面應該對其予以重點保護。

但按照《解釋》的規(guī)定，對于行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息(即第一類信息)，認定“情節(jié)嚴重”的標準是“50條以上”;對于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的個人信息(即第二類信息)，認定“情節(jié)嚴重”的標準是“500條以上”；對于一般個人信息(即第三類信息)，認定“情節(jié)嚴重”的標準是“5 000條以上”。不難看出，《解釋》對第一類信息設置的入罪門檻最低，對第二類信息設置的入罪門檻相較第一類信息稍高，對第三類信息設置的入罪門檻相較第一類信息更高。這也就意味著《解釋》對于第一類信息的保護力度最強，對第二類信息的保護力度相較第一類信息稍弱，對第三類信息的保護力度相較第一類信息更弱。如果將生物識別信息歸入第二類信息中的“……等其他可能影響人身、財產(chǎn)安全的個人信息”，侵犯公民生物識別信息的入罪門檻就是500條；如果將生物識別信息歸入第三類“一般個人信息”，侵犯公民生物識別信息的入罪門檻就是5 000條。顯然，500條或5 000條的入罪門檻對于侵犯公民生物識別信息而言過高，無法凸顯刑法層面對于生物識別信息的重點保護。

最后，在筆者看來，應將生物識別信息歸入第一類信息。即侵犯公民生物識別信息與侵犯公民行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息一樣，認定“情節(jié)嚴重”的標準是“50條以上”。雖然《解釋》中的第一類信息在列舉相關示例之后并沒有加上“等”字，導致司法實踐中無法將第一類信息的內容擴大到其他類型的個人信息，但是生物識別信息與第一類信息中所列舉的行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息的重要性基本相同，即符合刑法中的同質性要求，因此刑法層面應當對與第一類信息重要性基本相同的生物識別信息給予基本相同的保護力度。依據(jù)《解釋》的規(guī)定，第一類信息中所列舉的內容不包含生物識別信息，這恰恰暴露了《解釋》存在的問題。為了實現(xiàn)對生物識別信息的重點保護，我們應該著眼于“實質”，而不是囿于“形式”。(4)“實質”是指具有同質性的個人信息，“形式”是指《解釋》的文字性規(guī)定。可見，將生物識別信息歸入《解釋》中的第一類信息無疑是較為合理的做法。

綜上，《解釋》對融合度較高的信息無法準確分類以及對生物識別信息缺乏明確規(guī)定和歸類等問題，在很大程度上反映了其相關規(guī)定確實具有較大的缺陷或弊端，從而進一步證明了其采用的“三分法”存在漏洞。

相比之下，《個人信息保護法》對個人信息的分類則較為科學、明確、合理，主要有兩個理由。

第一，《個人信息保護法》在個人信息的分類上歸納性較強?！秱€人信息保護法》采用“二分法”，將個人信息分為敏感個人信息和一般個人信息。《個人信息保護法》第28條第1款規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。敏感個人信息之外的其他個人信息就屬于一般個人信息。筆者認為，《個人信息保護法》以“信息一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害”作為劃分敏感個人信息和一般個人信息的標準，無疑歸納性較強，且具備一定的科學性，并能夠對大數(shù)據(jù)時代融合度較高的個人信息進行精準歸類。以前述“健康碼”為例，按照《個人信息保護法》對個人信息的分類，無論是將“健康碼”認定為醫(yī)療健康信息還是行蹤軌跡信息，都不會發(fā)生類似于《解釋》中的不同類別信息之間交叉、重合的問題，因為《個人信息保護法》將醫(yī)療健康信息和行蹤軌跡信息都歸入了敏感個人信息的范疇。大數(shù)據(jù)時代個人信息的融合度越來越高，在確定某一信息的性質時容易產(chǎn)生性質判斷上的困惑。但是，只要該信息一旦被泄露或者被非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害，該信息就屬于敏感個人信息。正是由于《個人信息保護法》在個人信息的分類上歸納性較強，因而該法可以對融合度較高的個人信息精準“定類”，這無疑更有利于具體的司法適用。

第二，《個人信息保護法》突出了對生物識別信息的保護力度?！秱€人信息保護法》第28條對敏感個人信息的定義采取的是“概括+列舉”的方式，在該條羅列的具體對象中，生物識別信息被放在首位?！秱€人信息保護法》將生物識別信息納入敏感個人信息這一范疇，予以該信息與行蹤軌跡信息、金融賬戶信息等其他敏感個人信息同等的保護力度，進一步突出強調了生物識別信息的重要性。這也在一定程度上證實了筆者的前述觀點(即在《解釋》尚未對生物識別信息予以明確規(guī)定和歸類的情形下，司法實踐中應當將生物識別信息歸入《解釋》中的第一類信息)是正確的。

綜上，《個人信息保護法》對個人信息分類采用的“二分法”更加科學、明確、合理。在《個人信息保護法》對個人信息的分類有了明確規(guī)定的前提下，兩高應及時對相關司法解釋進行修訂或重新頒發(fā)，按照《個人信息保護法》對個人信息分類的“二分法”，將侵犯公民個人信息罪中的個人信息分為敏感個人信息和一般個人信息。這樣既能體現(xiàn)刑法層面對《個人信息保護法》較為科學的信息分類標準的肯定，又能使保障法與前置法之間的銜接更加順暢，無疑是明智之舉。

三、侵犯公民個人信息罪中行為方式的調整

《刑法》第253條之一第1款和第3款規(guī)定，侵犯公民個人信息罪的行為方式是“向他人非法出售或者提供公民個人信息”以及“竊取或者以其他方法非法獲取公民個人信息”。依筆者之見，現(xiàn)行刑法有關侵犯公民個人信息罪行為方式的規(guī)定并不能夠完全涵攝現(xiàn)實生活中紛繁復雜且嚴重侵犯公民個人信息的行為表現(xiàn)，尤其是大數(shù)據(jù)時代侵犯公民個人信息行為的表現(xiàn)形式遠不止非法出售、非法提供、非法獲取這三種行為方式。侵犯公民個人信息罪將“侵犯”一詞限縮為“非法出售、非法提供、非法獲取”這三種行為方式，似乎存在罪名設定太大、行為方式范圍規(guī)制太小的問題。就此而言，在《個人信息保護法》已經(jīng)出臺的時下，應適時調整現(xiàn)行刑法對侵犯公民個人信息罪行為方式的規(guī)定，特別是應將合法獲取個人信息后非法使用個人信息的行為納入侵犯公民個人信息罪的行為方式范疇中。

首先，從必要性角度分析，合法獲取個人信息后非法使用個人信息的行為相比非法獲取個人信息的行為，社會危害性更大?；ヂ?lián)網(wǎng)的飛速發(fā)展使我們身邊的信息呈“指數(shù)級”爆炸式的增長，個人信息暴露于公眾視野之下的概率越來越高，由此引發(fā)的對個人信息進行非法使用的行為，在當下有愈演愈烈之勢。近年來，AI換臉軟件所依托的深度偽造技術(deepfake)在網(wǎng)絡上走紅。深度偽造技術是指，借助于人工智能的深度學習功能，對音、視頻進行分析和映射，使用名為遞歸神經(jīng)網(wǎng)絡的深度學習算法，將音、視頻中的聲音或畫面元素更換，用他人的聲音或人臉取代原有音、視頻中的聲音或人臉，拼接合成虛假內容的人工智能技術。(5)參見《世界周刊：深度偽造》，http://tv.cctv.com/2019/04/28/VIDE0aLKiWV83f2PrbZDF4G0190428.shtml，訪問日期：2021年8月19日。2018年4月，一段主角為美國第44任總統(tǒng)奧巴馬的視頻在推特上獲得200多萬次的播放和5萬多個點贊。奧巴馬在視頻中說“特朗普是個徹頭徹尾的笨蛋”，但實際上這段話并非出自奧巴馬，而是美國一位導演公開發(fā)表的言論。(6)參見《眼見為實？“深度偽造”了解一下》，http://www.banyuetan.org/kj/detail/20190925/1000200033136211-569379673975945653_1.html，訪問日期：2021年8月19日。深度偽造技術的出現(xiàn)，導致傳統(tǒng)的“眼見為實”“耳聽為虛”“百聞不如一見”等觀念面臨著前所未有的挑戰(zhàn)。應該看到，借助深度偽造技術對個人信息進行非法使用的行為大部分是合法獲取行為與非法使用行為的結合。當下，互聯(lián)網(wǎng)上存在著大量可隨時獲取的公開信息，其中就包含了政治領導人或者公眾人物的聲音以及人臉等敏感個人信息。獲取上述個人信息并不需要借助非法手段，行為人可直接利用互聯(lián)網(wǎng)資源，合法取得所需要的信息，這就導致了侵害個人信息的主體呈現(xiàn)多元化，侵害手段日益專業(yè)化和復雜化。(7)黃麗勤、宋駿男：《未成年人數(shù)據(jù)權的二元保護研究》，《青少年犯罪問題》2020年第4期。如果行為人合法獲取了公眾人物的聲音或人臉信息后，利用深度偽造技術對這些個人信息實施非法使用行為，不僅對個人信息的安全造成了嚴重危害，而且嚴重侵犯了個人的肖像權、名譽權等基本權利，更可能衍生出侮辱、誹謗等侵犯公民人身權利的犯罪行為，甚者可能危及社會經(jīng)濟秩序以及國家安全。

除此之外，多次沖上熱搜的大數(shù)據(jù)殺熟事件，同樣引發(fā)了公眾對個人信息保護的熱議。大數(shù)據(jù)殺熟是指，經(jīng)營者借助大數(shù)據(jù)分析手段，在同一平臺、同一時段，針對同一商品或服務，在價格設置上對新老客戶進行區(qū)別對待。對老客戶設置明顯高于新客戶的價格，即所謂的“殺熟”。北京市消協(xié)的一項調查顯示，88.32%的被調查者認為“大數(shù)據(jù)殺熟”現(xiàn)象普遍或很普遍；56.92%的被調查者表示有過被殺熟的經(jīng)歷。(8)參見《北京市消協(xié)發(fā)布“大數(shù)據(jù)殺熟”問題調查結果》，https://baijiahao.baidu.com/s?id=1629203913661292412&wfr=spider&for=pc，訪問日期：2021年8月19日。大數(shù)據(jù)殺熟實質上可歸結為借助自動化決策技術非法使用個人信息。開發(fā)自動化決策技術的本意是提高處理個人信息的效率，但借助該項技術對合法獲取的個人信息進行非法使用，反倒使其成為助推大數(shù)據(jù)殺熟的工具。借助自動化決策技術對個人信息進行非法使用的行為，不僅侵害了個人信息的安全，而且可能導致公民遭受不必要的財產(chǎn)損失。對此，《個人信息保護法》第24條第1款規(guī)定，個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

利用深度偽造技術與自動化決策技術對個人信息進行非法使用的行為之所以被人們詬病，是因為這些違法行為都已經(jīng)嚴重威脅到了個人信息的安全。如果行為人是合法獲取的個人信息，之后又實施了非法利用個人信息的行為，由于其獲取個人信息的行為是合法的，因而其前行為無法被認定為侵犯公民個人信息罪的行為，這就需要對其后續(xù)非法使用個人信息的行為進行評價。如前所述，我國現(xiàn)行刑法有關侵犯公民個人信息罪的規(guī)定實際上并未將非法使用個人信息的行為納入該罪的規(guī)制范圍，導致無法對合法獲取個人信息后實施非法使用個人信息行為的行為人追究刑事責任。這顯然是不妥當?shù)?，因為與非法獲取個人信息行為相比，非法使用個人信息行為的社會危害性更大。非法使用個人信息行為能夠借助技術手段，持續(xù)擴大侵害范圍。例如，AI換臉技術對公民人身安全造成的侵害不言而喻，當行為人利用AI換臉技術欺騙應用程序，實施盜刷資金等侵財行為，又會對公民財產(chǎn)安全造成嚴重損害。如果在疫情特殊時期，AI換臉技術被非法用于偽造、散播不實言論，還可能對社會秩序造成極大破壞。若放任合法獲取個人信息后非法使用個人信息的行為方式游離在刑法侵犯公民個人信息罪規(guī)制的射程之外，極易衍生出個人信息處理過程中的黑灰產(chǎn)業(yè)鏈。(9)張旭、朱笑延：《“全民觸網(wǎng)”時代兒童個人信息安全的保護路徑》，《青少年犯罪問題》2020年第1期。從刑法原理分析，社會危害性相對較輕的非法獲取個人信息的行為已經(jīng)被歸入侵犯公民個人信息罪的行為方式中，而社會危害性相對較大的非法使用個人信息的行為卻未被歸入，確實存在諸多不合理性。

其次，從可行性角度分析，《民法典》《個人信息保護法》等相關法律的出臺，為刑法將合法獲取個人信息后非法使用個人信息的行為納入侵犯公民個人信息罪的規(guī)制范圍提供了有力的依據(jù)。我國《個人信息保護法》的專家建議稿從2003年開始起草，2005年初已經(jīng)完成。2005年國務院有關部門啟動了《個人信息保護法》的立法程序，并交由國務院信息管理辦公室正式起草，但時至2021年《個人信息保護法》才正式通過。(10)劉憲權、方晉曄：《個人信息權刑法保護的立法及完善》，《華東政法大學學報》2009年第3期。期間，2009年頒布的《刑法修正案(七)》增設了非法出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。然而，《刑法修正案(七)》對個人信息刑法保護的首次“試水”卻引發(fā)了新的問題。那就是在民法、行政法作出相關規(guī)定之前，先行通過刑法對個人信息進行保護，導致我國對個人信息的保護陷入了“先刑后民”的尷尬局面。這多少說明我國對個人信息的民法保護已嚴重滯后于信息時代的實際需求，刑法只能在“配合”民法關于個人信息權利屬性定位的情況下審慎入刑。正因如此，大量具有嚴重社會危害性的侵害個人信息的行為無法得到有效制裁。(11)于沖：《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，《政治與法律》2018年第4期。

2015年頒布的《刑法修正案(九)》將《刑法修正案(七)》增設的非法出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩個罪名整合為侵犯公民個人信息罪一個罪名，但對于合并之后的該罪行為方式?jīng)]有作出實質性調整。一方面是因為侵犯公民個人信息罪的前置法(即《個人信息保護法》)尚未出臺，立法者在修訂該罪時仍舊持較為謹慎、保守的態(tài)度。另一方面是因為2015年自動化決策、深度偽造等技術尚未興起，立法者無法預料未來可能出現(xiàn)的侵犯公民個人信息的新型行為方式。隨著技術的不斷創(chuàng)新，各類新科技、新事物紛紛涌現(xiàn)，現(xiàn)實生活中利用科技手段侵犯公民個人信息的行為方式越變越復雜，且已經(jīng)超出了非法出售、提供、獲取的范圍。這些借助科技手段侵犯公民個人信息的行為方式所帶來的風險，立法者不能視而不見，而應該積極回應。

2020年頒布的《民法典》從民事層面構建了個人信息民法保護的基本框架?！睹穹ǖ洹返?11條規(guī)定：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！?021年頒布的《個人信息保護法》在《民法典》的基礎上進一步深化了個人信息法律保護的細則?！秱€人信息保護法》第10條規(guī)定：“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動?！痹诖髷?shù)據(jù)時代，對個人信息的保護應該是多角度、全方位、綜合性的。應該承認，《民法典》和《個人信息保護法》奠定了個人信息保護的基本原則和規(guī)則(12)孫益武：《兒童個人信息保護是偽命題還是真難題——兼評〈兒童個人信息網(wǎng)絡保護規(guī)定〉》，《青少年犯罪問題》2020年第2期。，是刑法侵犯公民個人信息罪的前置法，前置法中的相關規(guī)定可為刑法侵犯公民個人信息罪規(guī)定的完善提供路徑。對比上述前置法與刑法中有關個人信息的規(guī)定不難發(fā)現(xiàn)，現(xiàn)行刑法侵犯公民個人信息罪規(guī)定的非法出售、提供、獲取的行為都已經(jīng)明確被前置法規(guī)定為違法行為，而前置法規(guī)定的違法行為，如非法使用、加工他人個人信息的行為，則尚未被納入刑法侵犯公民個人信息罪的行為方式之中。這里就出現(xiàn)了一個問題，刑法是否要將這些行為納入侵犯公民個人信息罪的行為方式呢？在筆者看來，前置法不認為是違法的行為，刑法當然也不可能認定為犯罪；前置法認為是違法的行為，刑法并不一定都要認定為犯罪。但是，對于非法使用個人信息的行為，由于該行為具備嚴重的社會危害性，嚴重危及個人信息安全，且該行為正是現(xiàn)行刑法在打擊侵犯公民個人信息行為時所欠缺的重要內容，前置法也已經(jīng)將該行為明確規(guī)定為違法，因此刑法沒有“原地待命”“保持不動”的理由。刑法有關侵犯公民個人信息罪的相關規(guī)定若繼續(xù)囿于《刑法修正案(七)》和《刑法修正案(九)》制定的非法出售、提供、獲取行為方式的框架，完全可能陷入刑法規(guī)制不充分的窘境。

值得一提的是，刑法中已有類似罪名將非法使用個人信息的行為規(guī)定為犯罪，如使用虛假身份證件、盜用身份證件罪。該罪是指，在依照國家規(guī)定應當提供身份證明的活動中，使用偽造、變造的或者盜用他人的居民身份證、護照、社會保障卡、駕駛證等依法可以用于證明身份的證件的行為。使用虛假身份證件、盜用身份證件的行為屬于非法使用身份信息的行為，而非法使用身份信息又是非法使用個人信息的表現(xiàn)形式之一。依筆者之見，合法獲取個人信息后非法使用個人信息行為的社會危害性與單純的非法使用身份信息行為的社會危害性至少是相當?shù)?。既然刑法上將非法使用身份信息的行為?guī)定為使用虛假身份證件罪的行為方式，那么，將合法獲取個人信息后非法使用個人信息的行為增設為侵犯公民個人信息罪的行為方式，也就不存在障礙。

此處需要指出的是，非法使用個人信息行為的前提必須是合法獲取個人信息。換言之，如果行為人非法獲取個人信息后又非法使用個人信息，便不能將該行為歸入“非法使用個人信息”這一新增的行為方式加以評判。這是因為，非法獲取個人信息后又非法使用個人信息的行為其實是非法獲取個人信息的后續(xù)衍生行為。非法獲取個人信息的行為已經(jīng)對公民個人信息的安全造成了侵害，后續(xù)的非法使用個人信息的行為同樣是對公民個人信息安全的侵害，因而后續(xù)非法使用個人信息的行為不需要在侵犯公民個人信息罪中再被評價一次。對于非法獲取個人信息后非法利用個人信息的行為，完全可以直接按照侵犯公民個人信息罪現(xiàn)有行為方式之一的“非法獲取”行為加以認定。就好比盜竊他人財物后進行銷贓，銷贓行為是盜竊行為的后續(xù)衍生行為，由于盜竊行為已經(jīng)對公民的財產(chǎn)權利造成了侵害，因此只需要評價盜竊行為即可，而不需要單獨評價后續(xù)的銷贓行為。但對于合法獲取個人信息后非法使用個人信息的行為，因為合法獲取個人信息的行為并不包含在刑法侵犯公民個人信息罪行為方式的范圍中，所以需要著眼于合法獲取個人信息之后所實施的非法利用個人信息的行為，對其進行刑法層面的評判。在《個人信息保護法》已經(jīng)出臺的時下，我們有理由借此東風適時對侵犯公民個人信息罪的行為方式作出修正，將合法獲取個人信息后又非法使用的行為納入刑法侵犯公民個人信息罪的行為方式之中，以最大程度規(guī)范使用公民個人信息的行為。

另外，需要強調的是，現(xiàn)行刑法有關侵犯公民個人信息罪中的個人信息不包括依法公開的個人信息。因為依法公開的個人信息任何人都可能或有權利獲取，此時的獲取或提供個人信息并不違反國家有關規(guī)定，相關行為也就不可能具有非法性。(13)劉憲權、房慧穎：《侵犯公民個人信息罪定罪量刑標準再析》，《華東政法大學學報》2017年第6期。但是，如果將合法獲取個人信息后非法使用的行為歸入侵犯公民個人信息罪的行為方式中，侵犯公民個人信息罪中的“個人信息”就可能包含已公開的個人信息。這是因為，合法獲取的個人信息可能是未公開的個人信息(如經(jīng)信息主體授權的未公開個人信息)，也可能是已公開的個人信息(如在互聯(lián)網(wǎng)等平臺可以隨時查詢到的已公開個人信息)，使用人超出授權范圍處理未公開個人信息或者非法處理已公開個人信息，均屬于合法獲取個人信息后非法使用的行為。由此可知，合法獲取后非法使用個人信息中的“個人信息”與非法出售、提供、獲取個人信息中的“個人信息”不完全相同。就此而言，不能將合法獲取后非法使用個人信息的行為直接加入《刑法》第253條之一第1款或第3款的規(guī)定之中。

在筆者看來，最為妥當?shù)姆绞绞钦{整《刑法》第253條之一第2款的規(guī)定。該款規(guī)定，違反國家有關規(guī)定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。該款規(guī)定的在履行職責或者提供服務過程中獲得公民個人信息的行為即屬于一種合法獲取個人信息的行為，這一行為與筆者建議新增的“合法獲取后非法使用”的行為在“合法獲取”這一行為方式上存在重合之處。而且，該款規(guī)定對于合法獲取的個人信息非法出售或者提供的行為需要從重處罰，將這一規(guī)定與第1款僅有非法出售或者提供個人信息的行為不需要從重處罰的規(guī)定對比可以看到，立法者對于行為人合法獲取個人信息后實施侵犯公民個人信息的行為持更為嚴厲的打擊態(tài)度。非法使用個人信息的行為確實會對個人信息的安全造成更大的侵害，因而將“合法獲取后非法使用”的行為歸入第2款的規(guī)定，對非法使用個人信息的行為從重處罰，并無不妥。另外，這種歸入方式能夠將刑法條文的變動控制在較小范圍內，有利于刑法的穩(wěn)定性。需要注意的是，該款將“合法獲取”的行為限定在“履行職責或者提供服務”的條件之下，但筆者認為這一限定條件在當下沒有繼續(xù)保留的必要，因為合法獲取的場合在現(xiàn)實生活中并不局限于履行職責或者提供服務，在其他場合也存在合法獲取個人信息的可能性，所以建議刪除這一限定條件。據(jù)此，刑法侵犯公民個人信息罪的第2款規(guī)定可調整為，“將合法獲取的公民個人信息，出售或者提供給他人的，或者非法使用的，依照前款的規(guī)定從重處罰”。

還需要指出的是，現(xiàn)階段對合法獲取個人信息后非法使用個人信息的行為可能在取證上存在困難，實踐中也確實存在公民在個人信息被侵害后，因為維權成本較高、回報率較低而放棄借助司法程序維護個人信息安全的情況。(14)參見《75號咖啡-數(shù)據(jù)霸權：“大數(shù)據(jù)殺熟”等濫用用戶數(shù)據(jù)行為的檢察之治》，https://mp.weixin.qq.com/s/gb_sgbebv1ogeObQuX5_sQ，訪問日期：2021年8月31日。但是，隨著《個人信息保護法》的頒行，社會公眾對個人信息的保護意識逐漸加強，有關部門對侵犯公民個人信息行為的打擊強度逐步加大，上述“取證難”“維權難”的情況將會越來越少?！秱€人信息保護法》第70條規(guī)定，個人信息處理者違反本法規(guī)定處理個人信息,侵害眾多個人的權益的，人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。2021年8月21日，最高人民檢察院下發(fā)的《關于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》中也明確要求，要延伸拓展公益訴訟檢察職能，推動形成個人信息保護多元共治新格局。(15)參見《個人信息保護納入檢察公益訴訟法定領域》，https://mp.weixin.qq.com/s/TL3YURsuAnP6_pL8JFlKHw，訪問日期：2021年8月27日。檢察機關可以與有關部門形成協(xié)作，在數(shù)據(jù)的固定、證據(jù)的獲取等方面提供充分支持，推進構建完整的個人信息安全保護預防機制、發(fā)現(xiàn)機制和應急處理機制，進一步加強與政府各職能部門的信息協(xié)同，整合信息資源力量，及時發(fā)現(xiàn)、及時轉送侵犯公民個人信息案件的線索。(16)蔡一博、吳濤：《利益衡量與場景實踐下的未成年人信息保護研究》，《青少年犯罪問題》2021年第4期。相關技術部門也應加強對個人信息使用過程的監(jiān)管力度，對于在使用個人信息過程中可能涉及的處理技術先行進行風險評估，定期進行檢測與核查。通過前期評估、中期檢測與后期防范相結合的手段，確保自動化決策技術等個人信息處理技術的向善發(fā)展，將利用技術手段處理個人信息的潛在風險降低到可控范圍內，進而杜絕對個人信息非法使用現(xiàn)象的發(fā)生，全方位地保障個人信息安全。

四、侵犯公民個人信息罪中“情節(jié)嚴重”標準的調整

根據(jù)《刑法》第253條之一的規(guī)定，侵犯公民個人信息的行為必須達到情節(jié)嚴重的程度才構成犯罪。為此，《解釋》第5條第1款設置了“情節(jié)嚴重”的起刑點和量刑標準。如果刑法有關侵犯公民個人信息罪的規(guī)定重新調整個人信息的分類，那么，有必要對《解釋》第5條第1款規(guī)定的起刑點和量刑標準作出一定的調整。

《解釋》第5條第1款中與個人信息分類直接相關的條文是第3、4、5項規(guī)定。其中，第3項對于行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息，認定“情節(jié)嚴重”的標準是“50條以上”；第4項對于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的個人信息，認定“情節(jié)嚴重”的標準是“500條以上”；第5項對于上述兩種情形之外的個人信息，認定“情節(jié)嚴重”的標準是“5 000條以上”。如果按照《個人信息保護法》對個人信息分類的“二分法”，將侵犯公民個人信息罪中的個人信息分為敏感個人信息和一般個人信息，那么，第3、4、5項的規(guī)定就需要進行調整。

筆者建議，用“敏感個人信息”代替第3項規(guī)定的“行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息”，用“一般個人信息”代替第5項規(guī)定的“第3、第4項規(guī)定之外的個人信息”，并取消第4項的規(guī)定。這是因為，行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息具有一旦被泄露或者被非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的特性，而這一特性與敏感個人信息的特性重合。換言之，第3項規(guī)定的這些信息都屬于《個人信息保護法》中的敏感個人信息。所以，可以直接用“敏感個人信息”代替第3項規(guī)定的“行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息”。同理，第5項規(guī)定的“第3、第4項規(guī)定之外的個人信息”都屬于《個人信息保護法》中的一般個人信息，用“一般個人信息”代替第5項規(guī)定的“第3、第4項規(guī)定之外的個人信息”并無不合理之處。

同時，將侵犯公民敏感個人信息行為的起刑點設定在50條，將侵犯公民一般個人信息行為的起刑點設置在5 000條，拉開了刑法對兩類不同信息保護力度上的差距，且將差距擴大到100倍能夠突出刑法對公民敏感個人信息的重點保護?！督忉尅返?條第1款第3、4、5項中第3項規(guī)定的起刑點最低，說明《解釋》對第3項規(guī)定的信息保護力度最大?！督忉尅返?條第1款第3項規(guī)定的信息都屬于敏感個人信息，盡管敏感個人信息所包含的信息類型并不限定于第3項規(guī)定的行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息，但不可否認，這四種信息之外的其他敏感個人信息也都與公民的人身安全或財產(chǎn)安全緊密相關，應該對所有的敏感個人信息予以刑法上一視同仁的強保護。所以，在將第3項規(guī)定的“行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息”擴大到“敏感個人信息”的同時，可以繼續(xù)保留原有設定的50條的起刑點，從而對所有敏感個人信息予以最強的刑法保護，以避免發(fā)生對敏感個人信息類別下某一種信息保護不平衡的情況。

另外，筆者建議取消《解釋》第5條第1款第4項的規(guī)定，原因在于該項規(guī)定的住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息能夠被《個人信息保護法》中的敏感個人信息所涵蓋，且第4項規(guī)定的起刑點明顯高于第3項規(guī)定。既然第4項所列舉的信息能夠被修訂后的《解釋》第5條第1款第3項所包含，那么再對這些具有同質性的個人信息予以力度不同的刑法保護顯然是不合適的。就此而言，完全可以將第4項規(guī)定的信息并入修訂后的《解釋》第5條第1款第3項規(guī)定的敏感個人信息中。也即由修訂后的《解釋》第5條第1款第3項的規(guī)定統(tǒng)一對所有敏感個人信息予以刑法上最強的保護力度，不失為一個比較妥當?shù)淖龇ā?/p>

需要注意的是，刑法對于敏感個人信息中的生物識別信息該如何進行特殊保護，理論上尚未形成統(tǒng)一共識。筆者在前文已經(jīng)指出，生物識別信息屬于敏感個人信息，且侵犯公民敏感個人信息行為的起刑點應為50條，那么，侵犯公民生物識別信息的起刑點也應該為50條。但有學者認為，應該對侵犯公民生物識別信息設置不同于其他敏感個人信息的起刑點，并提出了將侵犯公民生物識別信息的起刑點設置在“5條以上”的觀點。原因在于，將起刑點設定為5條能夠與《解釋》規(guī)定的50條、500條、5 000條的信息數(shù)量形成與重要性成比例的梯次。(17)王德政：《針對生物識別信息的刑法保護:現(xiàn)實境遇與完善路徑——以四川人臉識別案為切入點》，《重慶大學學報(社會科學版)》2021年第2期。對此，筆者認為，在《個人信息保護法》已經(jīng)將生物識別信息歸入敏感個人信息的前提下，這種將生物識別信息的起刑點設定為5條的提議并不可取。如果在刑法上把生物識別信息從敏感個人信息中分離出來，對侵犯公民生物識別信息設置不同于其他敏感個人信息的起刑點，就相當于跨越前置法的規(guī)定將個人信息劃分為生物識別信息、敏感個人信息和一般個人信息三類。如此雖然能夠凸顯生物識別信息的特殊性，但實際上相當于否定了前置法的分類標準。另外，如果將侵犯公民生物識別信息的起刑點設置為5條，可能會給司法適用帶來新的難題。例如，《解釋》第5條第1款第8項規(guī)定，將在履行職責或者提供服務過程中獲得的個人信息出售或者提供給他人，數(shù)量或者數(shù)額達到第3項至第7項規(guī)定標準一半以上的，應認定為“情節(jié)嚴重”。如果將侵犯公民生物識別信息的起刑點設定為5條，對于特殊主體在履行職責或者提供服務過程中獲得生物識別信息，并將這些信息出售或者提供給他人的起刑點就是2.5條。那么，如何認定0.5條生物識別信息又會成為司法實踐中的難點。與此同時，在數(shù)量上以5條作為標準，起刑點設置得太低，會極大壓縮相關前置法的適用空間。侵犯公民生物識別信息的行為動輒入罪，極有可能導致侵犯公民個人信息罪淪為一個新的“口袋罪”。

綜上所述，大數(shù)據(jù)時代法律對個人信息的保護應該是多角度、全方位、綜合性的。對于侵犯公民個人信息行為的規(guī)制體系，是民事責任、行政責任、刑事責任三個層面有機結合的體系。在《民法典》《個人信息保護法》出臺的背景下，《刑法》中侵犯公民個人信息罪的完善路徑需要以前置法為依據(jù)，改變與前置法相沖突的內容。在信息分類標準上應做到與前置法的統(tǒng)一；在行為方式的規(guī)定方面應參照前置法的內容進行總結、提煉與完善，增加合法獲取后非法使用個人信息的行為方式；在設置起刑點與量刑標準時，應對不同類別的信息予以不同強度的刑法保護力度。只有進一步優(yōu)化侵犯公民個人信息罪的內部體系，做好《刑法》與《個人信息保護法》的銜接，才能構筑牢固的個人信息刑法保護“防火墻”。