1.犯罪行为方式设定单一

没有行为就没有犯罪，侵犯公民信息罪的手段不断改变，形式多种多样。但《刑（九）》中只将出售、提供、窃取和以其他非法获取的行为方式规定为犯罪，存在过于简单的弊端。概括式的规定方式必然导致实践中对侵犯公民个人信息的行为是否构成犯罪存在诸多争议，引起司法实践中定罪的困惑，不能准确打击犯罪。大量的刑事案例表明不法分子只是将侵犯个人信息作为犯罪手段，而目的是侵犯个人信息背后的公民人身、财产安全，形成了从不法获取到出售再转手最后到滥用的一系列犯罪行为，如绑架罪的犯罪分子通过购买个人信息获取被绑架人的户籍信息、行踪信息；诈骗犯通过购买获悉犯罪对象的财产信息、身份信息等。若简单地以牵连犯规制这些犯罪行为，显然不能有效打击个人信息犯罪。同时，司法实践中也出现了一些新的侵犯公民个人信息的行为。首先是身份盗窃，具有代表性的是罗彩霞案。因为王佳俊冒名顶替，罗彩霞从榜上有名的大学生沦落为打工妹，本该精彩的人生就此改写。而法律只是惩治了王佳俊的父亲，并未对王佳俊定罪。此案就是通过非法冒用他人信息，对个人信息主体进行侵犯的情形，真正的冒用者却没有构成犯罪。在现有刑法中，侵犯公民个人信息罪只针对故意行为，而对于过失泄露公民个人信息的行为，如果所泄露的信息不是国家秘密，将难以定罪处罚，这不利于保护公民个人信息，因此，有必要设立这样一个独立的罪名来追究侵犯公民个人信息的过失行为。司法实践中有数起这样的案例：对公民个人信息负有保管、维护职责的人员，他们在履行职责或者提供服务的过程中获取了公民个人信息之后，未能认真履行这项职责，为了获取非法利益，不法持有大量个人信息，目的是为了向不法购买个人信息相对人提供个人信息。对于持有公民个人信息的行为，法律一概否认了其非法性，持有行为尤其是非法持有具有一定的危险性，一旦持有者主观为恶性，持有行为无疑为其他犯罪行为开启了大门。

2.刑罚设置存在缺陷

罚金刑作为刑法中的一种刑罚种类，对于打击犯罪尤其是经济类型的犯罪具有强大的作用。在侵犯公民个人信息罪的司法实践中，因为绝对不确定的罚金刑，有的法官凭借经验甚至是直觉对犯罪分子判处罚金数额，并没有相对统一的标准，对犯罪分子的罚金低至几千元。在相当多的案件中，往往对犯罪分子的获利是不明的，若罚金低于获益，这无疑降低犯罪成本，甚至起到促进犯罪的反作用。因为没有相应的标准，避免不了特殊情况下犯罪分子对法官的贿赂，给权力滥用留下空间，违反罪责刑相适应的原则，有损法律的权威。另一方面，市场经济条件下，个人信息具有巨大的经济价值，许多公司法人为了逐利将黑手伸向个人信息。有的是“挂羊头，卖狗肉”：虽然获得了合法资质，却从事贩卖个人信息的非法产业；还有的通过自己行业的便利，掌握大量个人信息，利用这些信息来牟利，比如中介机构。单位作为侵犯公民个人信息的主体，刑法规定对其可以适用罚金刑。我们不否认罚金刑对于单位犯罪的打击性，但是对于那些经济实力强大的单位，若不规定对其从重处罚，罚金刑的作用会大打折扣。针对侵犯公民个人信息达到刑法的规定而成立犯罪的自然人来说，通常经济实力弱，按地方经济水平处以罚金可以起到打击犯罪的目的，但对于单位来说，若刑法不提高对其罚金刑的处罚幅度，就不足以剥夺他们再次犯罪的能力。因此，应明确规定单位犯罪罚金刑应从重处罚，一方面，提高处罚幅度，另一方面适当降低入罪的标准。在司法实践中对于那些犯罪情节恶劣的单位，更是不可纵容，通过高额的罚金刑起到惩罚犯罪和预防作用。本罪应规定从业禁止的资格刑。主要考虑以下两个方面：首先考虑到从事特定行业的人如医疗、金融等获取公民个人信息更便利，侵犯公民个人信息的危害性更大；其次，一定程度的从业禁止对于犯罪人的功能而言，具有否定评价和改造的功能，防止其利用职业的便利危害公民的个人信息安全。资格刑在国外已经有了很好的实践。

最后，本罪存在整体刑罚过轻问题。从《刑（七）》到《刑（九）》，本罪的刑罚设置处于不断修改和完善之中：总体呈现由轻到重的趋势，体现了刑法对公民个人信息保护力度的加大。《刑（九）》修改了该罪的刑罚设置，将自由刑的上限提高到七年，自由刑上限的提升并不必然导致司法实践中对犯罪加大处罚，另一方面法律保留了拘役刑；司法实践中，法官因为对“情节严重”的标准不明，又碍于对上诉率的控制，因此往往选择适用拘役刑。轻刑的理论对于应对日益猖獗且后果严重的侵犯公民个人信息罪是不适用的。较重的刑罚体现了个人信息的重要价值，进一步提升法定刑对打击信息犯罪具有重大意义。因此，建议刑法去掉关于本罪的拘役刑，将最低刑提升至一年有期徒刑。(www.daowen.com)

3.欠缺对过失泄露个人信息行为的规制

从实然的角度，过失不构成本罪。过失构成犯罪的，需要法律明确规定。至于对法律明确规定如何理解，张明楷教授认为，存在“明文说”“实质说”和“文理说”，且他赞同“文理说”，在“法律明文规定”的形式理解和罪刑法定主义的要求中寻求平衡。第一种学说从形式上狭义理解“法律有规定”，将会不恰当缩小过失犯罪的成立范围，而第二种学说结合法益保护目的，或者是实质的处罚根据，也将导致对过失犯有意处罚的流弊。而从现行刑法对公民个人信息罪的规定，条文中既没有使用“过失”“疏忽”等成立过失犯罪的明示标志词语，也没能在文理上解释为过失犯的“严重不负责任”等表述。但从应然的角度，这是大数据时代我国侵犯公民个人信息罪对公民个人信息保护的不足。过失行为，例如过失泄露公民个人信息的行为，同样会侵犯公民个人信息权，应当被犯罪化。

从理论层面来看，尽管历史上对过失犯坚持以处罚为例外原则，然而随着日益增多的技术化和由此产生的危险（尤其是在道路交通中以及在生产管理中），呈现跳跃式增长的态势；在所有的犯罪行为中，已经有大约一半是过失犯罪了。在传统数据环境下，个人信息法益的重要性或许不如生命及健康权重大，但是随着数据时代的发展，个人信息的重要性逐渐提升，个人信息权成为新的重大法益。因此，既要处罚故意行为，过失对个人信息法益造成侵害的，也有处罚的必要。现实生活中，由于过失泄露公民个人信息的行为导致严重危害后果的情况不断发生。例如中国某家企业在招聘会上将一位女性求职者的登记表遗失，使拾得该登记表格的犯罪分子得以冒充招聘单位欺骗并杀害了该求职者；可见，由过失导致的个人信息泄露带来的后果不能忽视，危害后果补救成本高，甚至不可逆、无法补救。他人通过合法途径收集到个人信息后，自然就负有对个人信息的保密义务。信息收集者无论是提供服务，还是履行职责，凭着其职业规范甚至是个人生活经验，清楚信息泄露将会给信息主体的权益带来侵害，即能够预见法益侵害的可能性。因此，当其能够避免法益侵害却未避免时，在刑法上就有处罚过失犯的理由。不得不说将过失行为排除在本罪之外，是刑法对个人信息保护的疏漏。