我国《刑法修正案（九）》第二百五十三条是迄今为止针对侵犯个人信息行为规定最全面的一款法条，定名为“侵犯公民个人信息罪”。依照2017年6月1日起适用的“两高”司法解释，侵犯公民个人信息罪并非孤立的罪名，在司法实践中，可以关联其他相关罪名，如非法利用信息网络罪（第287条）、拒不履行信息网络安全管理义务罪（第286条），对侵犯个人信息行为形成威慑。

尽管如此，现阶段我国个人信息的刑事保护，依然处于初期建设阶段，离法典化、系统化保护还很远。他山之石，可以攻玉，有必要认真借鉴海外经验以及相关立法。

刑事保护逻辑起点

个人信息权兼具人格权和财产权双重属性，但并非是简单并列的，人格权肯定处于第一性，财产权是第二性。

我国《刑法》第二百五十三条“侵犯公民个人信息罪”保护的是公民人格权还是公民财产权？“两高”司法解释对入罪量刑制定了标准，个人信息均以条计量，如敏感信息五十条、活动信息五百条、其他个人信息五千条成为入罪门槛。这意味着个人信息与所属个人无关，只与条数有关，每条被赋予相同的财产等价换算功能。所以可以看出来，我国的“侵犯公民个人信息罪”的逻辑起点偏向于财产权。

把财产权作为罪名逻辑起点，与我国并没有侵犯隐私权罪的现实相符，能与我国有系统的财产罪的上位罪名相衔接，形成一个逻辑连贯。

从欧美对个人信息刑事保护来看，欧美工业化文明进程早于中国，在个人主义为核心的基督教伦理的推动下，很早就有了相对完善的隐私权保护制度。美国把个人信息保护放在隐私权保护的框架里，其逻辑起点始于隐私权，并与各类制定法对接。对于个人信息非法交易等行为，则通过盗窃罪、不正当竞争罪等罪名另行处理。德国把个人信息从隐私权里剥离，并从更基本的私权起步，强调私权的自我处置权，非经本人同意，任何人都无权处置、采集其个人信息。德国比美国立法起点更前置，并自成一体，堪称大陆法系中的立法典范。

可见，个人信息刑事保护的逻辑起点是什么，决定着个人信息保护制度的设计方向。相对而言，始于私权的逻辑起点的保护体系，显得更有力度和法理统一性，而始于隐私权的保护体系，则需要随着新领域问题的出现而进行立法更新，但体系与脉络依然清晰。始于财产权的逻辑起点的保护体系，在打击犯罪之时虽有执法和司法效率之优势，但往往忽略了关键的一些因素，使侵犯个人信息者往往躲过了更令其生畏的巨额罚款和精神赔偿。

保护模式对比

于1978年生效的德国《联邦个人信息（资料）保护法》历经几次修改，现已成为欧盟区域内的范本。这部法律的特点就是采用“公私二元制”的立法模式，特别防范政府滥权，设立了政府层面的信息委员会，执行有效的信息保护和监督。诚如前文所述，德国立法的逻辑起点前置到私权的自我控制权，使得从法律逻辑体系上更显无懈可击。在刑事责任方面，《联邦个人信息（资料）保护法》既保留了有期徒刑，也保留了财产刑。

美国的分散立法模式适应了其海洋法系的特色，以隐私权法作为基石，通过判例推进法律，在具体的问题上总会找到相应的制定法。在刑事法律规定上，《隐私权法》规定侵犯个人信息为“轻罪”，只有财产刑。但美国刑事诉讼与司法审判中，往往会在侵犯个人信息行为中牵涉出很多其他严重罪名，数罪并罚，往往最后就能形成令人恐惧的刑期和罚金刑。如在《身份盗窃与身份诈骗法》中，侵犯个人信息行为上升为“重罪”，不是单处财产刑就能了事。

加拿大的立法思路中兼采了欧美两大特色，同时出台以隐私权为逻辑起点的《隐私法》和以私权含财产权为起点的《个人信息保护和电子文书法》，立法模式则是通过推出示范文本，供加拿大各省参照立法。阿尔伯塔省的立法中，在“刑罚”一章中，列出各类相关的侵犯、非法持有或售卖个人信息的罪名，规定了相应的罚金刑。最有特色的规定是，凡是在刑事法庭定罪量刑的，受害人可以凭此在民事法庭上发出凌厉民事索赔诉讼。基于个人信息犯罪大多起因于谋不义之财，最后以支付罚金和巨额赔偿金收场，这样的制度设计，比单纯关押一两年又放出来故伎重演，社会效果要好得多了。

加拿大立法模式也给了人们进一步的思考，在强化对个人信息的保护之时，是一味以拉长刑期即重刑化为导向，还是以加重犯罪财产成本为导向，的确需要立法者认真思量。

现在我们来看一看亚洲模式。一个是刑法与法典化相结合的澳门模式，澳门刑法中有若干与个人信息犯罪相关的罪名规定，在《个人信息保护法》法典化的立法中也有若干侵犯个人信息的罪名，两者并不重复或交叉。这使得澳门对个人信息的刑事保护可以面面俱到，不留死角。

韩国立法稍微滞后，2011年才通过了《个人信息保护法》。这一保护法是基本法，而非法典化的立法，还配套了大量的单行法，如金融、电信等领域的单行法。日本的《个人信息保护法》则是个综合性法律。

可见，海外立法模式并非是整齐划一的，而是各有特色。这意味着我们在推进个人信息保护法的立法工作时，可以大胆保留自己的特色与特征。然而，不论采取什么样的模式，有一点要引起重视，就是必须在立法思路上做到清晰，法律逻辑上做到连贯，涉及领域上要尽量做到包罗万象。

公权与私权的平衡

狭义的刑事保护，仅针对个人或单位作为刑事责任主体。广义的刑事保护，就是公法保护，则涉及政府作为加害人时如何纠正。这里就存在公权与私权的博弈与平衡问题。

譬如说，非法持有数万条个人信息，或出售个人信息等，依从刑事诉讼程序会对持有人和出售人追索刑事责任，其中会有证明环节，是罪非罪的申辩和裁决环节，但追根溯源，这些巨量个人信息的源头在何处，往往可以追踪到政府部门或具有公权性质的金融、电信征信部门囤积的大量个人信息，其中包含敏感信息。只有政府或具有公权行使授权的部门才有机会监控和收集到自然人的个人健康信息、活动信息、身份与血缘信息、财产信息，甚至是私生活信息。在大数据时代，个人信息在政府面前几乎处于“裸奔”状态。

《中国青年报》曾报道过一则中国女青年入境美国受阻的新闻。情况大致是这样：2016年2月中旬，一名中国留美学生向学校请了半个月假回国过年，当她重返美国时，在洛杉矶机场被美国海关盘问。该留学生被要求上交手机供美国海关检查，官员在她和朋友的微信聊天中发现，她曾表示：“我不喜欢这个学校，不是真的想上学，只是临时挂一下身份。”美国海关因此认定她隐瞒了来美国的真实目的，拒绝她入境。

美国甚至有个提案，要求今后所有入境美国的外国人，必须向官方如实告知Facebook等社交网站个人账号及密码，要如实向官方披露其推特账号及微博、微信朋友圈等。

澳大利亚政府通过《强制保留通讯数据法案》，强制澳大利亚的通信运营商Telstra和Optus保存用户的通信数据，例如电话记录、IP地址、短信的详细信息、数据的地址等，保存期限是2年。可以想象，一旦法案启动，巨量的个人通信信息就会被囤积起来，只要管理不慎，或被黑客入侵，这些敏感信息就有可能流入社会，从对公权对个人隐私的踏入，变成了公众对个人隐私的围观。

政府往往借助一些堂而皇之的理由，轻易就踏入到个人隐私与个人信息领域，这些行为若不加以监管和监督，后果将不可想象。所以，通过对各国（地区）立法逻辑起点的分析与对比，及各国（地区）相关刑事司法实践的比较解读，我们可以看出，切实保护好个人信息，还是需要依托于一个基本人格权利，这一权利具有人格排他性，与个人尊严有关。若只是作为物化的财产权，侵犯者会以化整为零等方式规避法律，也不会意识到其行为的可恶性，更不会把他人的尊严当回事。以财产权为逻辑起点的刑事责任体系，法定的刑期再长，就是一个“厉而不严”的体系。文明社会发展的方向是尊严的升极而不是相反。