摘要：随着时代的发展，互联网成了时代的主流，个人信息被运用的越来越频繁，在互联网上的传播范围也日益宽广，随之而来的便是个人信息受到侵害的风险也大大增加，造成的后果也是愈加严重。在这种情况下，采取法律手段去保护公民的权益就显得至关重要。本文通过论述侵犯个人信息罪的概念、特点及构成要件，分析我国目前对个人信息保护的不足及侵犯个人信息罪的适用困境，在保护公民个人信息的立法方面、罪数适用方面、举证责任方面、企业监管与法律执行等方面提出了些许建议，以期更好地保护公民个人信息。

关键词：个人信息 犯罪 刑法 侵犯公民个人信息罪

【Abstract】As time goes on, the Internet becomes more and more important, and the spread of personal information on the Internet is increasing day by day. As a result, the risk of information infringement is also increasing, resulting in increasingly serious consequences. Citizens are also increasingly eager to take up legal weapons to protect their personal information. Paper by infringement of personal information of SINS theory and constitutive requirements, analysis of personal information protection in our country at present and the application of the infringement of personal information crime situation,formulate unified personal information protection law, crime number clearly applicable standards, strengthen the regulation of the infringement of citizens' personal information laws and enforcement, put the burden of proof upside down and other recommendations,  in order to better protect citizens'  personal information.

【Keywords】personal information  criminal law  crime  the crime of violating citizens' personal information

引言

大数据时代的到来将人们对个人信息的关注推到了一个新的高度，社会的各个领域都需要利用公民个人信息，社会信息链条的构建使很多繁杂的程序变得简便，为人们节约了金钱和时间。但与此同时，个人信息被人利用、侵害的风险也大大增加。公众的个人信息往往与自己的切身利益紧密关联，如果个人信息受到非法侵犯，那么生命财产利益将被置于危险之中，因此，保护公民的个人信息就显得愈加重要。

在现实生活中，国家机关、企业单位、教育机构等在日常工作中都可以获得大量的公民个人信息，如果将这些信息合理利用，不仅可以提升其工作效率，也会给公民的生活带来极大的便利。但是时代的进步也带来了新型的犯罪形式，有些人利用职务上的便利，肆意侵害公民的个人信息。近年来，我国侵害公民信息犯罪的案件频发，不仅对公民的人身、财产权益造成了隐患，也影响了社会的和谐与稳定发展。

从1997年开始，刑法中就出现了关于保护公民个人信息的理念，但一直没有规定有关保护公民个人信息的罪名。随着科技的发展，个人信息被广泛应用，为了更好地保护公民个人信息、惩罚犯罪行为，2009年开始了关于保护公民个人信息的立法工作。2009年通过的《刑法修正案（七）》中首次出现了有关保护公民个人信息的罪名。2015年通过的《刑法修正案（九）》设立了侵犯公民个人信息罪，将以往的零散的法条进行了整合，加大了对侵犯个人信息犯罪的打击力度。2017年两高又联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），弥补了《刑法修正案（九）》中的些许不足。但在司法实践中仍存现有法律保护不到位、罪数适用不明确、法律执行与信息监管存在障碍、举证责任分配不合理等问题，如何让解决这些问题直接关系到法律的实施效果，影响公民个人信息权益的实现。

一、侵犯公民个人信息罪的概述

（一）侵犯公民个人信息罪的概念

根据《刑法修正案（九）》的规定，侵犯公民信息罪有两种表现形式，第一种是提供公民个人信息的行为，第二是非法获取公民个人信息的行为。由此可以看出，明确公民个人信息的定义是了解侵犯公民个人信息罪的关键。但实践中对什么是公民个人信息一直存在着争议，一部分学者认为个人信息就是隐私，是公民不愿意为外人所知晓的，与自己的生活息息相关的信息。另一部分学者认为个人信息是公民主观上想保护同时具有保护价值的信息。在本文中公民个人信息是指通过这个信息可以识别某个人的身份或反映某个人的生活的信息，例如证件号码，地址，电话号码等。

（二）侵犯公民个人信息犯罪的特点

截至2018年12月，我国网民的数量达8.29亿，互联网普及率达59.6%。互联网的广泛应用不仅为公众的生活提供了便利，也为犯罪行为人侵犯公民的个人信息提供了便利。根据互联网协会的调查，遭受网络诈骗而造成财产损失的网民高达百分之四十，曾被垃圾短信骚扰的网民更是数不胜数。该调查结果可以体现出我国目前公民个人信息被侵犯的情况是普遍的，这也从侧面展现了侵犯个人信息罪的三个特点：

1.犯罪行为的隐蔽性

大部分侵犯个人信息的犯罪是在网络上进行的，网络是虚假的，姓名身份地址甚至是性别都可以作假，犯罪行为人的身份难以确定。而且若行为人侵犯了公民的个人信息后没有实施下游犯罪（如利用公民的手机号码和家庭信息进行诈骗）给被害人造成实际损害，单纯侵犯公民信息的行为几乎不会被发现。

2.犯罪数量的高发性

由于低廉的犯罪成本和高额的犯罪收益对比明显，在金钱的驱使下，公民个人信息被侵害的现象越来越多。随着侵犯公民个人信息犯罪的高发，大量的公民信息被侵害，所涉及的信息范围也越来越广，不仅涉及个人的姓名、住址，甚至还涉及到了通话记录、身份证号等信息。

3.危害结果具有多样性

犯罪行为人非法获取了公民的个人信息之后，无论是将信息出售还是利用这些信息亲自实施其他犯罪，都会对公民的人身财产权益造成损害。行为人手中掌握着公民的精准信息，会使得其下游犯罪更容易得逞，危害后果也更加多样。如会造成财产损失的短信诈骗；对公民的人身安全造成威胁的潜入独居女性家中实施抢劫、强奸等。

（三）侵犯个人信息罪的构成要件

1.犯罪主体

侵犯公民个人信息罪的犯罪主体有两类：自然人和单位。其中自然人主体是指已经达到刑事责任年龄，能够对自己的行为负责，具有刑事责任能力的人。而单位能否构成侵犯公民个人信息罪的主体长期以来都没有确切定论，此罪的打击对象也主要是自然人。但是在实践中有关单位未妥善保管其掌握的大量个人信息，导致大量公民个人信息被泄露的案件时有发生，公民提交给有关单位的信息得不到有效的保护，不仅会导致公民的个人信息被侵害，还会使公民对有关单位失去信任，不利于社会的发展。所以单位也应为此罪的犯罪主体。若犯罪主体为履行职责或者提供服务的自然人或单位，这类自然人主体利用自己职务的便利，合法获取其他公民的信息，然后再进行违法活动。无论自然人进行犯罪时是否在职，都不影响对其特殊犯罪主体的认定。

2.主观方面

犯罪的主观方面有两种：故意和过失，刑法对故意犯罪的惩治力度更大。持直接故意态度的行为人是积极追求损害后果的发生，持间接故意态度的行为人则对危害后果持放任态度。当前我国刑法只规定了本罪犯罪主体的主观方面为故意，犯罪行为人侵犯个人信息时，当行为人对自己的行为以及对被害人可能造成的危害或积极追求，或听之任之时才构成犯罪。但在现实生活中，若对公民个人信息负有管理义务的主体不认真履行职责，导致公民个人信息泄露或者被犯罪行为人非法获取，所造成的危害结果也是不容小觑的。但是我国目前对于自然人或者单位过失泄露公民个人信息的行为并不会定罪处罚，这种情况对公民个人信息的保护是非常不利的。我国应借鉴国外的经验，对公民个人信息负有管理义务的主体设立“过失泄露公民个人信息罪”。

3.犯罪客体

犯罪客体并不等同于犯罪对象，犯罪客体是抽象的，需要通过一定的载体表现出来，这一载体便是犯罪对象。通常情况下犯罪客体都是单一的，但是侵犯公民个人信息罪具有双重的错杂交互的客体。一方面，侵犯公民个人信息的行为方式多为非法提供、非法获取等行为，这些行为显然是违背了公民的意志的，侵犯了公民对自己信息的处分权。另一方面，公民个人信息的管制是国家信息管理秩序的体现，对公民个人信息的侵犯同时也是对该秩序的侵犯。所以侵犯公民个人信息罪是双重客体，从个体层面侵犯了公民对个人信息的处分权；从国家层面，它侵犯的是国家管理个人信息的秩序。简而言之此罪的客体就是国家管理个人信息的秩序和公民对自我信息处分权的交叉。

4.客观方面

现今法律只规定了非法提供行为和非法获取行为这两种行为属于侵犯公民个人信息罪的客观行为。其中非法提供在法条中的表述为“出售或者非法提供”，虽然出售也是提供行为之一，但是出售行为是被使用次数最频繁的、最常见的提供行为，所以被单独列出。窃取行为是最常见的非法获取的手段，所以也被单独列出了，窃取即通过技术手段入侵他人信息系统秘密窃取他人数据信息。其他非法获取方式包括购买、骗取等，只要是违背了权利人的意志而获取公民个人信息的行为都可认定非法获取行为。但法律没有对利用个人信息进行诈骗、群发骚扰短信等下游利用行为进行规制。当今社会对信息的应用十分广泛，获取公民的个人信息非常容易，导致利用公民个人信息进行其他犯罪的案件越来越多。据调查，我国有将近百分之九十以上的网络诈骗都是犯罪行为人事先获取了公民的个人信息而后进行的精准诈骗。在这个时代，犯罪行为人想要获得公民的个人信息是非常简单的，因为很多网民会因为网络平台的要求而主动上传自己的各种信息，网民虽是主动公开了自己的个人信息，但这并不意味着公民允许自己的信息可以被随意使用。单个平台中涉及到的公民个人信息或许不会有什么利用价值，但若犯罪行为人将不同平台的公民个人信息进行整合将得到一份比较完整的信息，利用这份完整的信息进行违法活动可能就会对信息主体造成严重的侵害。对公民个人信息的利用行为在现实生活中普遍存在，危险系数极高。目前法律却没有将其认定为犯罪的客观行为，这显然不利于公民权益的保护，所以刑法应当将非法利用行为也规定为侵犯公民个人信息罪的客观行为。

二、侵犯公民个人信息罪之适用困境

（一）现有法律保护不足

我国目前主要依靠刑法来保护公民的个人信息，但是刑法作为最严厉的法律，本应在最后使用刑法保护公民权益，但在保护公民个人信息问题上却出现了“刑法先行”的现象，专门性的《个人信息保护法》的缺失导致对侵犯公民个人信息罪在适用中存在很多问题。首先，《侵犯公民个人信息罪》中未规定“公民”包含外国人。若犯罪行为人实施了侵犯外国人的个人信息的行为，由于侵犯公民个人信息罪中“公民”不包括外国人，无法对行为人进行定罪处罚，定会使行为人更加猖狂的实施不法行为。而且在一个案件中，如果行为人除了对本国公民的个人信息实施了侵害行为，也危害了外国公民的个人信息，若只对涉及我国公民部分的犯罪进行处罚，对外国公民是不公平的而且还变相鼓励了行为人去侵犯外国友人的个人信息，显然是不合理的。其次，《侵犯公民个人信息罪》中未规定“信息”包含公开的信息。在实际生活中，公民被公开的信息可能不是自愿公开的，如寻人启事中涉及的信息、他人未经公民本人同意上传至网络的信息等。其他人单纯的浏览，获取这些公开的信息可以认定为合法的，但是后续的出售、利用等行为明显是没有经过权利人授权的。若行为人出售、利用这些信息对权利人的人身、财产权益造成了损害，却因为《侵犯公民个人信息罪》中未规定“信息”包含公开的信息，而使行为人得不到应有的惩罚，显然是不合理的，不利于保护公民的权益。

（二）罪数适用不明确

现实中，当事人在侵犯公民个人信息后，经常会利用这些信息再去侵犯他人的财产以及人身权益，单纯侵犯其他公民的个人信息的情况并不多见。许多犯罪都是以侵犯公民个人信息的行为为基础，由此也可将侵犯公民个人信息罪与以侵犯公民个人信息行为为基础的他罪称之为上下游犯罪，例如侵犯公民个人信息罪与（入室）盗窃罪、侵犯公民个人信息罪与（入户）抢劫罪等。法律没有明确的规定出若进行了侵犯公民个人信息行为后又进行其他犯罪行为，到底是触犯几罪就按几罪数罪并罚还是从数罪中择一重罪处罚，实践中目前也没有确切的定论，有的学者认为侵犯公民个人信息的行为只是为进行其他犯罪而进行的准备工作，两个犯罪形成手段和目的的牵连关系，构成牵连犯，应当择一重罪处罚，只定一罪；有的学者则认为行为人实施的侵犯公民个人信息的行为与以此为基础的其他犯罪虽然存在着目的与手段的关系，但是单独的侵犯公民个人信息行为已足够对公民的生活带来困扰，给公民的安危造成隐患，被犯罪行为人掌握的个人信息就如同一颗定时炸弹，不知何时会产生更大的危害，为了更好的震慑犯罪分子、预防犯罪、惩罚犯罪，理应将两种行为定两罪。由于理念不同所以在司法实践中会产生不同的处理结果，这样不仅会阻碍惩处侵犯公民个人信息犯罪的进行，同时会导致实践与理论脱节。

（三）法律执行与信息监管存在障碍

所有的关于保护公民个人信息的立法，必须确切的落到实处才能真正的保护公民的人身和财产权益。各种机构和单位也应该做好自己的本职工作，妥善保管公民的个人信息，让公民放心。但是在现实生活中，法律的执行和信息的监管都存在困难。一方面侵犯公民个人信息的犯罪行为隐蔽性太强，在追查与控制方面存在巨大困难。如果个人信息是通过网络被侵害，当事人自己可能都意识不到自己的个人信息受到了侵害，更不用说请求司法机关进行救济了，无论法律制定的多么完备，若得不到有效的执行也无法切实的保护公民的权益。另一方面，在管理公民个人信息的组织或者平台中常常存在着监守自盗的情形。在面对巨额利益之时，管理者很难将眼前的利益推开而选择自己的职业操守。管理者在工作的同时往往也充当着“信息搬运工”，将其接触到的公民信息与犯罪分子进行交易，更有甚者利用自己所能接触到的信息直接实施犯罪，这无疑又增加了公民个人信息被侵犯的风险。本应该对公民的个人信息负监管义务的人却成了侵害公民个人信息的人，让信息监管成为了空话。

（四）举证责任分配不合理

首先，在大数据时代，公民信息被广泛应用，几乎所有的手机软件都需要用户实名注册并完善身份信息，国家机构也通过构建公民信息网络为人们提供便利，在这种情况下，即使公民的个人信息遭受了侵害，也很难知晓是哪个机构在哪一环节泄露了自己的个人信息，公诉机关搜集证据极其困难。就算公诉机关搜集到了证据，在实际的司法案件中，信息数量庞杂混乱、真假难辨，真中有假、假中有真，这无疑对公诉机关提供举证责任带来了巨大挑战。其次，侵犯公民个人信息罪的入罪前提是被侵犯的公民个人信息为真，但以往的案例显示，但司法机关只是核实部分信息，从中推断整体信息的真实性，这无疑增加了信息真假的不确定性，不利于保障人权也不利于惩罚犯罪。最后，举证责任的规定是为了减轻被告人的举证责任，让被告不必艰难的证明自己无罪或者罪轻，但某些证据被被告掌握在手的时候，一味的要求公诉机关去提供证据显然也是不合理的。要求公诉机关在庞大的信息量中挑选与该罪有关的信息数据并核实真假，不仅会消耗大量的财力物力人力，而且会对惩罚犯罪的积极性起到反作用，不利于保护人权与惩罚犯罪。

三、侵犯公民个人信息罪之完善

目前我国对个人信息的保护尚有不足之处，侵犯个人信息罪的适用存在诸多困境。例如现有法律保护不足、罪数适用标准不明确、法律执行与信息监管存在障碍、举证责任分配不合理等，解决上述问题可以从以下几个方面入手：

（一）制定统一的个人信息保护法

目前全球已经有近百个国家和地区对公民的个人信息进行了专门的立法保护，但我国现在主要依靠刑法来保护公民的个人信息，刑法侧重于打击犯罪，不能很好的预防犯罪的发生。现如今我国若要建立科学严谨的公民个人信息保护制度，形成科学完备的信息保护体系，必须从源头进行治理。随着时代的发展，公民个人信息的重要性逐渐凸显，制定统一的《个人信息保护法》已成为了社会发展的必然要求。制定一部完备的《个人信息保护法》，“公民”与“信息”定义不清等问题就可以迎刃而解，《个人信息保护法》的制定不仅可以体现出国家对公民个人信息保护的一种态度，明确公民对其个人信息享有的基本权利，还可以对企事业单位以及其他组织收集使用公众的个人信息行为进行规范，对信息跨界流动行为进行监控。与此同时，更能为我国互联网提供绿色的发展空间。这样一来，既能为公民个人信息的保护提供法律保障，也能提高我国互联网企业在他国民众中的口碑声誉，开拓更多的海外市场。

（二）明确罪数适用标准

犯罪行为人非法获取了公民的个人信息后，又利用这些信息实施了其他犯罪的，对上下游的多个犯罪是择一重罪处罚还是数罪并罚，在实践中存在争议。有的学者认为实施不法行为获取公民的个人信息是为实施其他犯罪所做的准备工作，出于后罪的目的才实施的前行为，属于牵连犯，应从两罪中择一重罪处罚。但也有学者认为，目前刑法已将非法获取行为认定为侵犯公民个人信息罪的客观行为，在行为人成功获取到公民信息时（且符合其它构成要件），侵犯公民个人信息罪就已经既遂，利用其所获信息再进行其他犯罪当然应该数罪并罚。虽说我国实践中大部分牵连犯都是择一重罪处罚，但也存在牵连犯数罪并罚的情况，如刑法中走私罪和妨害公务罪构成牵连犯时就实行数罪并罚。我国目前公民个人信息被侵害的情况十分严重，若不能很好地解决这一问题，整个社会将陷入人人自危的状态，不利于社会的稳定。考虑到实施数罪并罚可以对侵犯公民个人信息的行为人实施更严厉的惩罚，可以更好的保护公民的个人信息。有必要在刑法中明确规定“实施侵犯公民个人信息罪，又触犯其他犯罪的，依照数罪并罚的规定处罚”。

（三）加强对侵犯公民个人信息行为的法律监管与执行

由于法律的执行力与监管力薄弱，使得犯罪成本低违法收益高，从而导致侵犯公民个人信息的犯罪案件越来越多。在司法实践中，个人信息被泄露、侵害的现象非常普遍，但是大多数的犯罪行为人并未因此受到法律的惩罚和制裁。这无疑增加了犯罪行为人的侥幸心理，促使更多的犯罪发生。如要解决此类问题，则必须从根本上加强法律执行与信息监管，让侵犯公民个人信息的行为受到惩戒。即使该犯罪行为隐蔽性再强，也不能让其任性妄为，我们要增加监督举报机制，抓典型、重打击，有关部门接到公民举报之后要有所作为，实际去考察该行为，帮助被害人搜集证据。在信息监管方面，政府部门要做好带头作用，对负有公民个人信息保护义务的机构进行实时监控，实时管理。企事业单位以及有关组织对员工做好监督工作，加强职业道德教育，避免“内鬼”的出现。另外加强群众举报奖励机制，开通群众投诉通道，以实现对侵犯公民个人信息的高效保护。

（四）实行举证责任倒置

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定，行为人所侵犯的个人信息数量达到五千条才构成侵犯公民个人信息罪，前提是侵犯的必须是真实有效的信息。在实践中，大部分犯罪行为人犯罪手段隐秘，取证极其不易，并且涉案信息的数量通常极其之多，而且真假混杂难以辨别，搜集证据并逐条鉴定信息的真伪不仅会浪费公诉机关的时间还会花费大量的金钱，由此，公诉机关往往会对涉案信息不予核实或者核实一部分信息从而推定所有的信息为真或为假，这显然不利于打击犯罪和保障人权。而被告作为真假信息的制作者和传播者，提供证据和分辨信息的真假轻而易举，让被告负举证责任不仅节约了司法成本还提高了办案效率，对虚假信息进行排除也会减少冤假错案的发生，使罪刑相适应，所以此罪适宜适用举证责任倒置的规则，让被告负举证责任，但这并不意味着所有的证据都由被告提供，公民仍需向检察机关证明自己的个人信息受到侵害和被告的行为之间存在联系。

四、结语

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》虽然填补了前几部法律中的一些漏洞，但仍有不足。现如今我国侵犯公民个人信息的情形十分严峻，仅依靠刑法进行的信息保护已不能满足现实的需要。我国应借鉴他国经验，再结合我国实际情况，创设一部属于中国的《个人信息保护法》。还应遵循社会发展的客观规律，与时俱进，采用多元化的保护模式，进行专项法规建设，将刑法与民法、行政法等法律相衔接，多维度地完善我国法律体系的构置。

徒法不足以自行，公民的个人信息需要国家的保护，需要法律的保障，还需要社会的支持，更需要公民自己树立保护意识。这不仅仅关乎个人的利益也影响着社会的秩序，公民都是国家的主人。还要加强普法，增强社会整体的法律教育，有助于提升各行各业以及公众的法律思想，形成自我保护意识，当自己的信息和其他权益受到侵胁时，及时取证，及时报案，及时维护自己的权利。让公众运用法律，享受法律，当违法事件发生时可以减少损害，保障权益。营造出国家、社会及个人和谐共融的社会氛围。

【参考文献】

1.李玉萍.侵犯公民个人信息罪的实践与思考［J］．法律适用，2016（3）：102-108。

2.胡江．互联网时代惩治侵犯公民个人信息犯罪的困境与出路［J］．中国法学，2015(3)：60-79。

3.刘梦觉.大数据时代如何规避侵害个人信息罪［J］.中州学刊，2015（7）：53-58。

4.郑旭江.侵犯公民个人信息罪的述与评［J］．金卡工程，2010，14（4）：60-67。

5.王秀哲.“侵犯公民个人信息罪”司法解释之局限性及其破解［J］．法学杂志，2010（3）：66-69。

6.刘宪权．侵犯公民个人信息罪定罪量刑标准再析［J］．河南省政法干部管理学院学报，2009（3）：70-74。

7.王肃之.侵犯公民个人信息罪行为体系的完善［J］．法制与经济，2009（11）：42-43。

8.喻海松.侵犯公民个人信息罪的司法适用态势与争议焦点探析［J］.学术交流，2009（6）：77-79。

9.马杰.侵犯公民个人信息罪与完善建议［D］.济南：山东大学硕士学位论文，2009。

10.郭家豪.论侵犯公民个人信息罪的构成要件［D］.烟台：烟台大学硕士学位论文，2011。

11.于静.论我国个人信息刑法保护之不足与完善［D］.济南：山东大学硕士学位论文，2011。

12.赵梓睛.侵犯公民个人信息罪若干问题研究［D］.吉林：吉林大学硕士学位论文，2013。

13.吴苌弘.个人信息的刑法保护研究［D］.上海：华东政法大学博士论文，2013。

14.张巍.侵犯公民个人信息罪的法律适用研究［D］.上海：华东政法大学博士论文，2017。

15.华东旭.侵犯公民个人信息罪认定中的若干问题研究［D］.北京：中国社会科学院硕士学位论文，2013。