我国刑法对公民个人信息的保护经历了一个发展变化的过程，其法律条文也通过刑法修正案发生了一些变化，立法上的变化伴随而来的就是法律适用上的困难。

（一）侵犯公民个人信息罪的立法现状

1.刑法修正案（七）的规定

我国刑法对公民个人信息的规制正式确立于刑法修正案（七）的颁布，2009年刑法修正案（七）第7条新增设了两个罪名，分别为“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。该条一共分为三款：第一款规定了出售和提供行为的主体只能是特殊主体；第二款是对非法获取公民个人信息罪一般主体的规定；第三款规定的是单位犯罪的情形。在刑法修正案（七）出台之前，我国对个人信息的保护尚无可以具体适用的法律条款，公民想要通过法律来保护自己的信息几乎可以说是“告诉无门”。在侵犯公民个人信息行为日益猖獗的背景下，国家率先动用刑法手段介入对公民个人信息的保护，符合民众的立法期待。但是从该条文的具体设置来看，第一款对犯罪主体有严格的限制，所保护的范围较窄，并且没有就公民个人信息给予明确定义，在修正案颁布之后最高司法机关也未能及时出台配套的司法解释予以补充，为司法适用留下了隐患。

2.刑法修正案（九）的规定

身处大数据时代，新技术、新产业的发展使得个人信息的搜集变得越发容易，一旦刑事责任没有跟进，则很难遏制侵犯公民个人信息行为的滋生和蔓延，与个人信息的相关犯罪就会被迅速催生。自刑法修正案（七）实施以来，这样的迹象已经明显，原法律条文将一般主体排除在外，导致大部分侵犯公民个人信息行为出现定罪难的情况，对本罪犯罪主体的严格限制使得无法追究一般主体的刑事责任，根本无法达到惩治相关犯罪的目的。另外，现实生活中滥用甚至盗用公民个人信息的事件时常出现在各大媒体的报道中，很多行为给信息主体造成了非常严重的危害后果，法律条文中将本罪的最高刑设置为三年，背离了罪刑法定原则。刑罚的设置应和其社会危害性相对称，为了纠正刑法修正案（七）中有关本罪的规定，加大对该类犯罪惩罚力度，2015年11月1日颁布了刑法修正案（九），该修正案将原来的两罪合并为侵犯公民个人信息罪一罪，并对原条文的罪状结构进行了四个部分的修改：①将“违反国家规定”修改为“违反国家有关规定”；②将犯罪主体从特殊主体扩大到一般主体；③针对特殊主体设定从重处罚情节；④增加“情节特别严重”法定刑，将本罪法定刑提升至七年。刑法修正案（九）对本罪条款的完善，做到了罚当其罪，契合惩治侵犯公民个人信息犯罪的需要。但是，该修正案仍存在一些规定不明的问题，如“公民个人信息”的定义不明、“违反国家有关规定”概念模糊、“情节严重”和“情节特别严重”的标准不明，导致本罪在司法适用中争议较大。

3.《解释》的规定

刑法修正案（九）修改后，本罪在法律适用中暴露的问题也亟待解决，为了保障法律条文的准确适用，“两高”联合发布了《解释》，并于2017年6月1日起开始实施。《解释》以司法实践中出现的问题为导向，在原法律条文的基础上，明确了本罪的具体适用标准，针对司法实务中争议较多的问题给出了回应。《解释》的具体内容分为以下几个方面：①明确了“公民个人信息”的范围。在《解释》出台之前，我国对个人信息最具权威的规定当属网络安全法。网络安全法第76条规定的“个人信息”仅包括身份识别信息，《解释》在网络安全法的基础上增加了“反映特定自然人特定活动情况”的信息，如行踪轨迹。②对“违反国家有关规定”进行了解释。③对“提供”和“以其他非法方法”进行了认定。④对“情节严重”和“情节特别严重”予以认定，《解释》中规定了“情节严重”的五个判断标准：a.信息类型和数量标准；b.违反所得数额标准；c.信息用途标准；d.主体身份标准；e.主观恶性标准。对“情节特别严重”规定了两个判断标准：a.数量数额标准；b.严重后果标准。《解释》坚持以问题为导向，兼顾个人信息保护和大数据发展的需要，为侵犯公民个人信息罪的司法适用提供了明确具体的参考标准。

（二）侵犯公民个人信息罪的司法现状

随着信息技术的发展，人类已经迈向了大数据时代，在不断发展进步的科技时代，信息和隐私面临的威胁也在持续蔓延。^[16]在全球范围内每年大约有10亿的信息数据泄露造成将近60亿美元的经济损失。^[17]伴随互联网、大数据等新兴技术的发展，不仅物被信息化，人也处于被信息化的过程中，个人信息除了具有记录功能，更关乎公民的人身和财产利益。近些年来，公民个人信息被侵犯事件频繁发生，个人信息泄露引发的一系列诈骗、敲诈勒索等犯罪层出不穷，已经严重威胁到了公民的人身安全和财产安全。下面，笔者结合北大法宝网的案例数据库对公民个人信息受侵犯的具体情况进行分析。

1.公民个人信息受侵犯的刑事案件数呈上升趋势

为了了解刑法修正案（七）实施以来公民个人信息受侵犯的具体情况，笔者以“北大法宝”为检索源，以“公民个人信息”为关键词，以“刑事”为案由，检索了与本罪相关的司法案例。笔者以2018年12月31日的数据为结点，在北大法宝网司法案例库中检索了2010年1月1日至2018年12月31日时间段的公民个人信息受侵犯的案件数量，共计4120条。具体情况见图1-1。(www.daowen.com)

图1-1　历年案件数量变化图

（数据来源：北大法宝网）

通过观察图1-1可知，2010年至2018年侵犯公民个人信息刑事案件数量呈明显上升趋势，2010年公民个信息受侵犯的刑事案件数量仅为7件，2017年案件数量上升至最高已达1439件。其中2015年至2016年案件数量由356件增至441件，共增加了85件，2016年至2017年案件数量从441件激增至1439件，共增加了998件，一年时间增长了3倍。公民个人信息受侵犯的刑事案件数量增长的背后，反映了两个方面的问题。第一，刑法修正案（九）和《解释》的实施是案件数量增长的关键时间点。刑法修正案（九）对罪状的修改，特别是对犯罪主体范围的扩大，是导致案件数量增加的重要原因之一。《解释》在刑法修正案（九）的基础上，对本罪的法律适用和量刑标准做出了更加全面具体的规定，对案件数量的增长发挥了重要作用。为了了解《解释》实施后本罪在司法实践中的具体案件数量，笔者将裁判时间设定为2017年6月1日至2017年12月31日，共检索到1050个案件，可见《解释》颁布后打击侵犯公民个人信息罪案件数量之多。第二，我国个人信息受侵犯的形势严峻，从图1-1可以看出，自刑法修正案（七）实施以来，案件数量年年攀升，说明实施侵犯公民个人信息的行为十分猖獗，当前，公民个人信息受侵犯的态势不容乐观。

2.侵犯公民个人信息刑事案件数量具有显著的地域性

在北大法宝网中通过对“审理法院”进行检索，发现公民个人信息受侵犯的数量呈现出明显的地域性特征。从2010年至2018年公民个人信息受侵犯的案件发生数来看，位于前五名的省份分别是：江苏省589件、上海市490件、浙江省477件、福建省377件、广东省356件；案件发生数最少的五个省份分别是：广西壮族自治区30件、黑龙江省31件、云南省17件、山西省16件、内蒙古14件；案件发生数比较居中的省份分别是：安徽省202件、湖北省171件、河南省158件、山东省155件。从上述案件数量的地域分布来看，东部沿海地区公民个人信息受侵犯的数量较多，内陆地区相对较少，并且有从沿海地区向中部地区扩散的趋势。具体情况见图1-2。

图1-2　案件省份分布图

（数据来源：北大法宝网）

究其原因，沿海地区经济发展水平较高，其数据产业的发展具有良好的外部环境和内部环境，新产业、新技术如雨后春笋般不断涌现。经济的发展也滋生了个人信息黑色产业链的形成，公民个人信息被侵犯的频率也相应提高。而内陆地区受其经济水平、数据产业的限制，个人信息侵犯的风险相对较低。概言之，公民个人信息遭受侵害的程度与地区经济发展水平总体上呈正相关，由于经济发达地区，个人信息被商业利用的程度越高，其经济价值也更加凸显，所以遭受泄露的渠道也更多。

通过对司法判例的整理和分析，总结发现两点：第一，公民个人信息受侵犯的案件数量总体呈上升趋势；第二，公民个人信息侵犯的数量呈现明显的地域性。由图1-1可知，从刑法修正案（七）最初增设侵犯公民个人信息罪时，案件数量较少，但从2016年开始，案件数量就有明显的增加。随着国民经济的增长，新产业和新技术的不断发展，未来几年与个人信息相关的案件数量还会增加。大数据时代不同于以往任何时代，其通过信息的获取、共享，建立了一个看不见但却真实存在的社会，从而也带来了一系列风险，这些新的机会和挑战对司法认定的明确化提出了更高的要求。