三、侵犯公民个人信息违法犯罪行为泛滥的主要成因

（一）犯罪嫌疑人法律意识淡薄

多数违法犯罪嫌疑人缺乏法律常识，没有公民个人信息权利属性的认识，对侵害公民个人信息的违法犯罪行为不以为然。同时，受利益驱动，认为利用高科技手段作案安全隐蔽、一本万利，因而抱有侥幸心理，铤而走险、以身试法。实际案例中，某犯罪嫌疑人曾某用500元在网上通过购得某省2011年9月的移动机主资料库，转手即以1000多元的价格在网上卖给了另外一个犯罪嫌疑人。足不出户，即可坐收渔利，这对于犯罪分子有极大的诱惑力。

（二）刑罚较轻

依据刑法第二百五十三条之规定：侵犯公民个人信息，“情节严重的，处三年以下有期徒刑或者拘役，并处或单处罚金；情节特别严重的，处三年以上，七年以下有期徒刑，并处罚金”。这为侵犯公民个人信息定罪量刑提供了实证法的依据。但是，在司法实践中，司法机关对犯罪人所处刑罚普遍较轻，以管制、拘役为主，有期徒刑较少，或者在处以有期徒刑时会适用缓刑。司法实践中对犯罪人所处刑罚较轻的现象在一定程度上促成了侵犯公民个人信息违法犯罪行为的泛滥。

侵犯公民个人信息罪是一种新型犯罪，一直以来，对侵犯公民个人信息犯罪行为，在法律适用上概念较为模糊，尤其是对用非法手机定位、非法跟踪等违法手段侵犯公民个人信息的行为性质没有明确规定。所以，公安机关在查办涉嫌侵犯公民个人信息犯罪的案件时，检察机关往往以“犯罪情节轻微、有悔罪表现、不需要判处刑罚”做出不起诉决定。随着今年6月1日两高司法解释的实施，这一现状可能会在将来大大改善。

（三）个人信息管理主体的失职

公民个人信息被侵犯往往与个人信息运营主体和管理主体的失职有关。公民个人信息管理主体可能是运营的企业，也可能是有收集和管理职能国家机关。相关信息源头管理部门把关不严，对涉及公民个人信息的管理机制不健全，应用操作不规范，权限设置不准确，导致运营和管理单位能接触到海量涉密信息的人员过多过杂。同时，部分运营和管理部门对工作人员缺乏监管和约束，导致公民个人信息被有意识贩卖或无意识泄露。

所以，个人信息管理主体一旦失职，公民个人信息极易遭受到不法侵犯。同时，我们发现，在所统计的案件判决书中极少提到公民个人信息管理主体的失职在犯罪过程中起到怎样的作用，这也反映了法官群体对个人信息管理主体的失职缺乏足够的认知。

（四）没有明确的受害人

在所统计的案件的600份判决书中，对受害人记载了的判决书只有40份，占比6.7%。同时，这40份判决书中有一部分载明的受害人是不明确的。由于没有明确的受害人或者办案单位事实上忽略了受害人，犯罪人实施犯罪行为针对不特定的多数人，这给司法机关追诉犯罪增加了一定的难度，同时也刺激了侵犯公民个人信息犯罪的发生。

（五）对公民个人信息的保护重视不够

公民个人信息作为公民身份识别的重要要素，大多关系到公民个人的精神生活层面，与物质生活联系不多。无论是公民个人还是有关运营和管理主体都对公民个人信息的重要性和价值重视不够，在这样的社会环境下，侵犯公民个人信息犯罪更容易发生与泛滥。

（六）损害赔偿额难以计算

针对侵犯公民个人信息犯罪对公民个人造成的财产损失，我国未明确损害赔偿的性质及赔偿数额，德国司法实践采用损害赔偿的方式”，但计算实际损害的难度非常大。这也对打击这类犯罪行为造成了实践中的困难。

（七）举证责任制度不利于受害人维权

目前在公民个人信息民事侵权领域，民法上的举证责任原则和制度不利于受害人维权，受害人难以确定信息泄露源和恰当的诉讼对象，法院不予受理或败诉的机率很大。集体诉讼机制的缺乏，也使个人不愿投入精力和时间来保护其信息权。所以，除非侵犯公民个人信息的行为构成犯罪，由公安机关立案、检察机关提起公诉，否则，违法行为人的违法行为几乎是零成本。

四、预防和打击侵犯公民个人信息犯罪的建议

（一）厘清理论认识

个人信息权的法律属性是关于公民个人信息保护理论研究和立法实践中需要解决的首要问题。以周汉华教授和齐爱明教授为代表的学者从我国现行的宪法文本出发，通过解释宪法条文，从学理层面得出个人信息保护权的内容，提出个人信息权是一项基本权利的结论。另一些学者则从对个人信息本身出发，通过分析认为个人信息具备人格权客体的种种特征，因此应该将其作为一项人格权进行保护。持有此类观点的学者包括陈树艳和严鸿雁等。随着个人信息商品化的趋势越来越明显，也有部分学者认为应该将其作为一项财产权进行保护。各方观点的提出都有着自己的理由，但视角单一，不能全面的把握个人信息权的属性。

首先，我们们赞同个人信息权利为私权的说法，那么，作为私法权利的公民个人信息权是人格权还是财产权呢？个人信息权是典型的兼具人身性与财产性的一种民事权利。但民法对人身权的保护方式跟对财产权的保护方式又有所不同，故而分清个人信息权中的人身性与财产性的主次关系，对于将其纳入民法的规范体系来说是一件十分必要的工作。

我们必须承认，公民个人信息具有财产属性。随着社会的不断发展与科技的不断进步，人能够控制的东西越来越多。在信息社会中，信息本身已经成为一种重要的潜力巨大的基础资源。收集并利用信息最为活跃的领域首当其冲的就是商业领域。作为世界第一大的经济体的美国，其社会对于个人信息的商业利用十分繁荣。商家们通过收集和分析个人信息来获知消费者近期的可能的消费需求，并以此来安排有关的生产或者服务活动，获取跟预期基本相符的利益，保障预期效率。有些公司在迫不得已的情况下甚至会通过销售自身掌握的个人信息来直接牟利。总之，个人信息中蕴含着经济利益的事实已经是不容否认的了。

但是我们也必须承认，公民个人信息的人身（主要是人格）属性。纵观各国法律对于个人信息所做的定义，无一例外的强调了“可识别”这一特性，这一点也足见个人信息所带有的强烈的人身属性，即所谓的“数字化人格”。它是个人在网络空间的个人信息汇总而成的人格形象。所以，人格利益不再仅仅依附于人的肉身，更多了一种数字化的载体，那就是个人信息。当然这种体现于个人信息之上的人格利益，又会由于个人信息与其信息主体之间的千丝万缕的联系而最终回归于信息主体本身。

本文主张，从契合我国儒家的伦理观念，贴近老百姓的切身体会，以及让人们更容易接受的角度来讲，最好的选择是把公民个人信息纳入人格权的体系之中来达到维护信息主体权益的目的。这对于我国的人文环境而言是立法上的适应之举。从尊重人性的法治需要出发，人格利益的重要性远远大于个人信息中所包含的财产利益，将其作为人格权进行保护是与其内在需要相吻合的。司法实践中的判例也反映出这样的理论认识。浦民一民初字第9737号案件中，被告某通信公司在未经客户方孙某某同意的情况下，将其手中掌握的孙某某的个人信息泄露给第三方，在庭审中辩称其行为并未使原告受有财产损失，反而使原告因此获利，但法官依然认定被告方侵犯原告方的隐私权（目前在我国隐私权和公民个人信息权并没有严格区别）。而2010年7月1日施行的《中华人民共和国侵权责任法》第二条明确将隐私权列为一项受保护的具体人格权。由此可见，司法实务界也是认同将个人信息权作为一项人格权来保护的观点的。从人格权与财产权对于个人信息权保护的周延性上来说，人格权依旧要略胜于财产权一筹。人格权救济手段中的赔礼道歉、消除影响等方式可以保护个人信息权中的人格利益，精神损害赔偿可以保护个人信息权中的财产利益。如果将个人信息权列为一项财产权，一则个人信息权中的人格利益不能得到有效保护，二则由于个人信息的非物质性，导致侵权损失难以计算，对于个人信息权中的财产利益也无法进行有效保护。

（二）明确保护原则

我国的公民个人信息保护实践应该坚持以下原则：（1）同意原则：即在收集或者处理个人信息的时候，应该征得当事人的同意。将同意作为信息使用的正当化来源，但考虑到积极同意的成本非常高，极大地浪费社会资源，“消极同意”比较合理，即在信息流通的过程中，除非当事人明确表示反对，否则视为同意使用其个人信息。这样可以降低信息流通中的成本，增加经济活力。当然，消极同意的原则要想发挥作用，也要建立在公民对个人信息权利意识发达的前提之上。但在特殊领域如涉及个人的敏感信息，必须征得个人的明示同意。（2）限制原则：即在收集或处理个人信息中，以必要的信息为限，并且要明确告诉收集或处理该项信息的原因。如果不是为了实现目的而必须收集的，当事人有权拒绝。并且信息处理者在处理信息上要有时间限制，不能无限期地保存个人信息，除非重新征得当事人同意。（3）安全原则：机构单位在收集或者处理个人信息中，应当对其中的个人信息安全负责。除此之外，还应负有对信息保密的义务。（4）个人参与原则：即在信息收集或者处理的过程中，信息处理机构有义务通知到个人其信息的动态，保证信息主体能够随时查询自己的信息状态，并且为了保持信息的真实有效，允许信息主体对信息进行修改或删除。在明确保护原则的前提下，要对重点群体重点行业的个人信息数据加重点保护，同时开展广泛宣传，不断提升全民的网络素养和安全防范意识。