在信息化时代，公民个人信息犯罪已成为危害公民个体权益、社会秩序乃至国家安全的重要犯罪类型。个人信息犯罪及其引发的后续犯罪的危害性不容小觑，尤其是随着大数据时代的到来，信息的搜集和处理相对便捷，信息犯罪的门槛也逐步降低，这反过来促进了公民个人信息犯罪危害性的激增，因而迫切需要提出系统性的应对思路。可以说，公民个人信息泄露或者信息盗窃及其衍生的二次犯罪现象成为一个亟待解决的社会问题。笔者认为，“公民个人信息”的保护范畴、信息持有者的不作为责任、信息交易者的主体责任是目前应当予以充分重视的问题。

关注“公民个人信息”的核心范畴：正视“公民个人信息”的扩张态势

    自1997年刑法颁布以来，我国刑法关于公民个人信息的保护一直处于扩张的态势。1997年刑法没有对公民个人信息直接保护的罪名，立法上主要是通过保护社会信息间接保护公民个人信息，如泄露内幕信息罪、侵犯商业秘密罪等。2005年《刑法修正案（五）》增设了窃取、收买、非法提供信用卡信息罪，将他人的“信用卡信息资料”这一特定的公民个人信息予以刑法保护。《刑法修正案（七）》增设了出售、非法提供公民个人信息罪，《刑法修正案（九）》对本罪进行了修改，相应的，罪名调整为侵犯公民个人信息罪。“公民个人信息”从此成为刑法的规范概念。

依照2013年两高和公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》，公民个人信息包括“公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”，也就是说，公民个人信息包括两类，分别是公民个人身份信息和公民个人隐私信息。

除此之外，2011年两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条引入了“身份认证信息”的概念，即“身份认证信息”是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。根据该解释，对支付结算、证券交易、期货交易等网络金融服务的身份认证信息的侵害，依照非法获取计算机信息系统数据、非法控制计算机信息系统罪以及提供侵入、非法控制计算机信息系统的程序、工具罪处罚。身份认证信息是可以达到个人信息的“身份可识别性”标准的。

除此以外，司法实践对“公民个人信息”的外延也进行了积极探索。在最高人民法院的机关刊物《刑事审判参考》刊载的第1009号案例“胡某等非法获取公民个人信息案”中， 被告人通过非法跟踪他人行踪所获取了公民的日常活动信息，法院认定被告人犯非法获取公民个人信息罪。本案中的“公民的日常活动信息”实际就是位置信息，位置信息与公民的其他信息相结合，也可以达到识别自然人个人身份的程度，它可以被纳入到公民个人信息的范畴中，它是一种“推定身份信息”。这样看来，从1997年刑法至今，刑法中先后出现了“信用卡信息”-“个人信息”-“身份信息” -“身份认证信息”-“推定身份信息”等概念，刑法上关于公民个人信息的保护链条一直在拉长，它何时会是尽头呢？

对这个问题的回答需要明确两点：第一，在大数据时代，随着移动互联网的普及、智能穿戴设备的广泛适用，特别是全网用户实名制的推行，个人信息的搜集更加频繁和密集；第二，借助大数据分析和挖掘技术，多重来源的、碎片化的个人信息也可以拼出完整的个体形象，实现身份的精准定位和识别。软件算法和分析学的发展使得大量数据更易被关联和聚合，大大增强了人们将非个人信息转化为个人信息的能力。因此，技术的进步会使“公民个人信息”的概念不断模糊化，探索个人信息的精准定义既无必要，也不合时宜。期待通过对“公民个人信息”这一构成要素做出明确界定，来限制侵犯公民个人信息罪处罚范围的做法已不适应保护公民个人信息的现实需求。因此司法上应将侵犯公民个人信息罪规制的重点，从公民个人信息的范围转移到个人信息滥用的后果上来，注重对信息滥用风险的控制和评价。此外，着眼于公民个人信息保护的世界性发展趋势，应当将一切与公民隐私有关的信息都纳入到公民个人信息的保护框架中来。

关注网络平台的不作为责任：正视信息持有者“权责”的失衡态势

毋庸讳言，公民个人信息被如此频繁地侵犯，源于我们有太多的信息被他人所掌握。国家基于行政管理和维护公共安全的需要，在许多领域都开展了强制的实名制，例如银行储蓄、就医、网吧服务、出行和住宿、手机通信等。实名制在遏制网络犯罪、维护网络清朗空间方面具有其积极的方面和显著功能。不过实名制导致的一个副作用就是：许多国家机关、商业机构和网络平台都掌握着海量的公民个人信息，而这些机构一旦发生信息泄露事件，其造成的社会影响和危害后果都是非常巨大的。2016年12月，拥有9000万用户的国家电网传出了掌上电力APP、电e宝APP用户信息被泄露的消息，不过国家电网随后对该信息予以了否认。即使是普通的商业性购物性网站，网站为了减低受欺诈的可能，维护交易双方的信誉，通常也会要求交易对手对网站提供真实的注册信息，因而在互联网时代，公民个人信息的释放渠道是非常多的。这些机构既然拥有这么多的公民个人信息，并且可以利用公民个人信息创造附加价值，那么在享受利益的同时也应当敬畏自己的责任。

无论是《刑法修正案（七）》增设的出售、非法提供公民个人信息罪，还是《刑法修正案（九）》修改后的侵犯公民个人信息罪，刑法主要强调的是对以积极方式向他人出售或者提供公民个人信息行为予以打击，也就是信息持有者的作为责任。但是对于信息持有者的不作为责任，也应当予以充分重视。《刑法修正案（九）》为了强化平台责任，增设了拒不履行信息网络安全管理义务罪，即刑法第286条之一：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。”按照本罪的规定，对于网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，致使用户信息泄露，造成严重后果的，构成本罪，但是本罪还附设了另一个条件，即必须“经监管部门责令采取改正措施而拒不改正”的，才能构成此罪。关于网络服务提供者的信息网络安全管理义务，2012年全国人大常委会《关于加强网络信息保护的决定》第4条指出：“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。”本决定第5条指出：“网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。”既然我国法律已经明确设定了网络服务提供者的管理业务，掌握了大量公民个人信息的网络服务提供者，难道不该积极主动地去履行网络安全管理义务，并直接地承担相应的法律责任吗？在当前的互联网产业中，大型互联网公司对自己的数据安全以及网络安全运行现状是高度重视的，因而这与企业的社会声誉和商业信誉直接相关。但是对于中小互联网企业，特别是处于创业期的互联网企业而言，较高的网络安全管理义务意味着较高的技术、人员和成本投入，基于商业成本的考量，小型互联网企业并没有足够动力提升网络安全防护标准，而更乐意构建处于行业中流水平的，说得过去的安全标准，这对其存储的公民个人信息就构成潜在威胁。即使对于大型互联网企业而言，有些企业对于自己网站技术架构中存在的某些漏洞也没有引起充分的重视，往往是不良后果发生了才想办法弥补。因此，是否真的有必要设定“经监管部门责令采取改正措施而拒不改正”这一构成要素？如果按照该逻辑进一步推论的话，监管部门没有积极履行自己的监管义务，是否应当承担渎职责任？笔者认为，如果立法者真的想限制本罪的处罚范围，只需要将网络安全管理义务设定为注意义务而不是结果避免义务就可以了。目前的规定模式，极易造成这个罪名“备而不用”甚至“备而无用”。公民个人信息犯罪的体系中，信息保管者权利格局的失衡是客观存在而且必须要进行调整的。

关注大数据交易的主体责任：正视大数据交易对公民个人信息的冲击

大数据时代，数据就是财富，这已成为共识，因此很多地方尝试建立大数据交易中心，试图抢占这一先机。当前大数据交易过程中对个人信息的保护主要来源于交易主体的自我约束和克制，以及交易平台的第三方监管。2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》第42条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”本条确立了数据持有者进行数据交易的基本规则，即或者经过被收集者同意，或者剔除了个人关联，数据搜集者就可以向他人提供数据。大数据经过一定算法提取了个人关联。对于有些用户数据，商业公司只能通过采集公民个人信息的方式来搜集到，例如病人的健康数据。为了保障公民个人信息的安全，大数据应当滤掉个人关联，经过一定算法提取集体性特征。但是问题在于，剔除了个人关联的大数据，往往是价值贬损的大数据，需求方看重的就是大数据背后的精准营销。在司法实践中，许多侵犯公民个人信息的案例中，犯罪人都是借助大数据的名义进行，而他们的具体做法则完全是一种小数据模式，即针对特定群体或者个人进行小数据分析，再对个人展开具体的服务模式，这种商业模式背后都存在着对公民个人信息滥用的可能。如何保证交易各方切实履行网络安全法的义务，防止大数据交易蜕变为对公民个人信息的系统性侵害，应是监管者格外注意的问题。