【文/ 观察者网专栏作者 静海节度】

十三届全国人大二次会议3月4日（星期一）上午11时15分在人民大会堂新闻发布厅举行新闻发布会，大会发言人张业遂提到：全国人大常委会已将制定个人信息保护法列入本届立法规划，相关部门正在抓紧研究和起草，争取早日出台。而在之前的多次人大会以及今年两会期间，同样已有多位人大代表就制定个人信息保护法提出了建议。

随着信息化社会的不断发展，个人的信息包括姓名、身份证、手机号、住址、交易信息等等都被大规模的收集。储存在网络之中。随之而来的是公众对这些个人信息数据安全性的担忧。这种担忧显然不会是杞人忧天。

近年来，个人信息遭到大规模泄露的情况时有发生。2017年11月网络出租车服务公司优步（Uber）称：该公司2016年曾遭黑客攻击，全球约5700万优步账户数据被窃取，除乘客的姓名、邮箱和电话号码之外，约60万名美国优步司机的驾照号码也被盗。该公司向黑客支付了10万美元（约合人民币66万元）封口费以隐瞒此次事件；2018年8月，华住酒店集团也被曝出大量开房数据外泄；同样在该年，facebook也曾陷入多达5000万用户信息泄露的舆论焦点之中。

另据中国消费者协会2018年11月发布的《100款App个人信息收集与隐私政策测评报告》显示，100款App中，多达91款App列出的权限存在涉嫌“越界”，其中59款App涉嫌过度收集“位置信息”，28款App涉嫌过度收集“通讯录信息”，23款App涉嫌过度收集“身份信息”，22款App涉嫌过度收集“手机号码”等。在某种程度上可以说，这种过度搜集个人信息的行为增加了信息泄露带来的潜在风险性和危害性。甚至可以说，一旦数据泄露，大多数用户在互联网上可以说直接就是“赤裸”的。

更为重要的是信息泄露带来的后果绝非仅仅是短时可以消除或是可控的。某种意义上来说，数据泄露带来的危害有持续性和不可控性，基于个人信息数据的“精准诈骗”或者其它类型的“精准犯罪”造成的危害会远远大于数据泄露本身。

贩卖私人信息的有心人

笔者就曾经接到到过能精准说出笔者姓名、工作岗位的所谓“领导找你”的诈骗电话。在如今许多低端骗术依旧能够大行其道的现在，能够准确获取对方信息的诈骗无疑危险性更大，对于特定的人群更难防范。在诸如买房、买车、保险、理财贷款、教育培训等行为中的个人信息泄露同样并不少见，这样的信息被“有心人”收集并出卖，无疑会为“精准犯罪”提供一条便捷的途径。今年年初，就有多家媒体报道，在个税APP上线后，有不少居民就发现自己的身份信息被冒用注册公司，更为甚者还因被冒名注册的公司欠款莫名成为了“老赖”。而且因为这样的冒名注册很多都是异地注册，相应维权成本非常之高。

这样能给犯罪带来便捷的渠道自然不会缺少“有心人”的参与，于是一条条完整的信息数据盗卖交易的产业链就这样建立起来。仅仅2017年，公安部门就累计侦破侵犯公民个人信息案件4911起，抓获犯罪嫌疑人15463名，打掉涉案公司164个。

北京国双科技公司2017年统计的司法数据中，针对中国裁判文书网中2013-2016年间涉及侵犯公民个人信息类刑事案件总结了许多特点，如：非法获取公民个人信息类犯罪与诈骗类犯罪交织，将近四分之一的案件都涉及数罪；信息获取途径多通过购买方式；信息用途多用于出售牟利、业务推广以及违法犯罪，涉及非法处置的个人信息数量惊人；实际获利情况普遍较高.犯罪人刑罚普遍较轻，尤其是非法获取公民信息类犯罪缓刑比例高、量刑轻，犯罪成本低等情况。

目前我国法律中，其实也早就对侵害公民个人信息的违法犯罪做出了明确的规定。早在2009年实施的《中华人民共和国刑法修正案(七)》第七条就对非法提供、窃取或者以其他方法非法获取公民信息的行为做出了相应的规定。2015年实施的《中华人民共和国刑法修正案(九)》第十七条中，做出了进一步的修改：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

同时，还有《民法总则》、《消费者权益保护法》、《网络安全法》等多部法律法规对此做出了相应的规定。针对目前侵害公民信息案件频发的现状，目前法律法规还存在分散立法的情况，且在实际执法过程中，往往会遇到处罚标准难以界定，处罚手段较为轻微，与巨大的牟利空间相比，难以震慑犯罪分子的情况。，就公民个人信息权益保护做出进一步的整合，形成一个完整的公民个人信息保护法是势在必行的。

2018年5月25日，欧盟里程碑式的个人隐私保护法案《通用数据保护条例》（GDPR）正式生效，作为号称“最严个人隐私保护法”的GDPR，强调了数据获取的授权需要具体、清晰，对数据使用的范围进行了严格的限制，并赋予了数据主体随时撤掉授权和删除自身数据的权利，同时也对侵害数据的行为做出了严厉的处罚规定。

欧盟的该法案对我国将来个人信息保护法的制定有着重要的参考意义，针对目前我国司法实践中对侵害个人信息行为的处罚，在未来的制定更为适用我国实际国情的个人信息保护法中，笔者认为有部分方面是需要法律制定者们予以重视的。

首先是明确个人信息保护的范围，形成一个较为方便裁定的准则；其次，要重点规定信息获取单位应承担的责任和义务，从源头把关是重中之重；最后应当进一步明确侵害个人信息的定罪标准。

目前我国的法律中，因为多部法律各有规定，且《刑法》中对情节严重的尺度把握在法律实践中还存在较大的分歧，导致出现了“同案不同判”、“类案差距大”的情形。而且处罚力度也较轻，缓刑和一年以下有期徒刑的占了大部分，根据上文提到的2013-2016年司法数据显示，非法获取公民个人信息类犯罪平均刑期最低，只有9.3个月，侵犯公民个人信息罪的平均刑期也只有10个月，出售、非法提供公民个人信息罪的平均刑期11.5个月。此外，处以罚金的力度也较小，多数集中在一万元以下，不能够与此类行为获得的经济利益及造成的后果相匹配。因此在新的个人信息保护法中，还需要法律的制定者们对定罪标准和处罚力度进行一个全新的考量。

本文系观察者网独家稿件，未经授权，不得转载。