电子商务领域个人信息犯罪行为的刑法规制——以侵犯公民个人信息罪为视角
◎王肃之
摘要:在电子商务领域,公民个人信息的刑法保护存在现实的困境,侵犯公民个人信息罪在行为方式规制上存在一定问题。对于侵犯公民个人信息犯罪行为类型,学界虽然进行了一定的研究,但是目前没有形成统一和有效的解决思路。需要以非法利用行为为中心构建完整的行为方式体系,以有效打击该类犯罪行为。
关键词:电子商务领域 公民个人信息 非法利用行为 非法购买行为
随着信息技术的发展,从原子社会迈入信息社会是我们必须面对的社会现实。在信息社会中,由于信息的普遍性和传播性,公民个人信息不再仅关乎公民个人的重大人身、财产权益。在信息社会中,电子商务迅速发展,为经济交往与公众生活提供了极大的便利,但也伴生着大量侵犯公民个人信息的行为,除了侵害公民个人权益,还可能严重侵害社会公共安全甚至国家安全。为回应侵犯公民个人信息犯罪的一再蔓延,《刑法修正案(七)》增设、《刑法修正案(九)》修改了侵犯公民个人信息犯罪,这虽然有利于打击侵犯公民个人信息犯罪,但是仍存在一定不足,有必要深入研究。
一、电子商务发展与公民个人信息犯罪演变
在经历了农业社会、工业社会之后,人类社会不可避免地进入信息社会。在不断演变、发展的科技时代,关于信息和隐私的威胁持续蔓延。特别是在电子商务领域,侵犯公民个人信息犯罪正在挑战基于传统社会构建起来的刑法体系。
(一)信息社会与电子商务的发展
信息社会与传统社会不同,其通过信息的流动、共享,建立起来一个看不见但是却真实存在的映射社会。在信息社会中,传统的中央控制模式被弱化,以用户需求为中心汇聚成的巨大信息流成为信息社会最重要的社会内容。正在兴起的信息社会正在创造新的经济、文化和政治形态,但它同时也引发了新的风险。这些新的机会和风险正对我们的法律制度构成新挑战。在信息化的浪潮中,不仅物被信息化,人也处在被信息化的过程中,个人信息除了一直以来的记录功能,更成为人身、财产的内容甚至尺度,与公民重大人身、财产法益相关联。每年在全球范围内有大约10亿的信息数据泄露记录并且导致近60亿美元的经济损失。
一般认为,电子商务是指在信息社会中,通过掌握信息技术所进行的商业事务活动,不仅包括通过买卖直接带来利润的事务,而且包括产生对产品和服务的需求,提供销售支持和客户服务,促进业务伙伴之间通信支持,处理利润产生的事务(如售后服务)等。事实上,电子商务随着互联网的进步正飞速发展。其目前已经包括企业与消费者之间的电子商务(Business to Consumer, B2C)、企业与企业之间的电子商务(Business to Business, B2B)、消费者与消费者之间的电子商务(Consumer to Consumer, C2C)。C2C商务平台就是通过为买卖双方提供一个在线交易平台,使卖方可以主动提供商品上网拍卖,而买方可以自行选择商品进行竞价、线下商务与互联网之间的电子商务(Online to Offline, O2 O)等多种模式。据产业信息网发布的《2015—2022年中国电子商务市场全景调研及投资战略咨询报告》显示,2014年中国电子商务市场交易规模12.3万亿元,增长21.3%。随着电子商务的普及,参与电子商务活动的公民个人不可避免地提供各种信息,诸如登记信息、送货地址、联系方式甚至身份证明等,这些信息被电子商务企业获取之后不乏被其非法利用或者提供。
(二)电子商务领域的个人信息犯罪
如今,电子商务领域侵犯公民个人信息犯罪呈现出产业链化的趋势。之前就有学者指出,虚拟犯罪可以被看作是一个整体的产业链。就侵犯公民个人信息犯罪而言,其产业链化的趋势更加明显,如出卖或泄露公民个人信息,已经形成“源头、信息贩子、购买者”“一条龙”黑色产业链。在黑色产业链中,非法利用行为是核心,犯罪行为被细化分解为若干碎片,不同团伙承担不同分工,上下游之间只是一种陌生的服务提供关系,甚至根本不用见面。这样一种产业链化的趋势导致电子商务领域侵犯公民个人信息犯罪出现了重大发展变化。
第一,行为多样化。在电子商务领域,个人信息的挖掘利用已经成为包括搜集、保存、流转、利用在内的体系,为公民个人信息的被害发生提供了巨大的空间。其一,非法获取公民个人信息。在电子商务活动中,公民个人信息的产生不可避免,保存期限也十分之久,这为通过购买、窃取等各种方式非法获取公民个人信息提供了土壤。其二,非法公开公民个人信息。电子商务领域公民个人信息的价值愈发彰显,无论是经济价值还是非经济价值,都成为非法流转、非法公开公民个人信息的重要动因。其三,非法利用公民个人信息。数据挖掘的信息增值过程不仅推动了信息产业的发展,也使非法利用公民个人信息行为一再发生,如利用短信群发器和基站向用户发送短信来牟利。这些行为活动不是出售、非法提供而是非法使用公民个人信息。
第二,对象多样化。在这样的完整的犯罪产业链下,电子商务领域中任何公民的任何个人信息都时刻处于被侵犯的危险之中。其一,与人身有关的个人信息,包括地址、私人电话号码等。在有的案件中,个人信息倒卖十分猖獗,一个电话号码可能被卖5次。有的在网上销售的含有收货地址等个人信息的快递单只卖5角一条。其二,与财产有关的个人信息,包括网络银行账号、第三方支付账号等。2014年央视就曾曝光,可有效使用的支付宝账号一个只卖2元钱。而网络银行用户资料被倒卖、个人网银被随意登录的事件也时有发生。其三,与行为有关的个人信息,包括Cookies信息、定位信息等。早在2013年,央视“3.15”晚会就曝光,众多不法互联网广告商、网络搜索企业,均通过Cookies暗中跟踪用户的上网行为和用户隐私信息。在北京最大倒卖公民个人信息案中,被倒卖的公民个人信息就包括手机定位信息。此外,其他类型公民个人信息被侵犯的程度与风险也在不断提升。
第三,侵害群体化。在电子商务领域侵犯公民个人信息犯罪所侵犯的信息范畴早已突破“个人”的范畴。在几乎所有的非法获取公民个人信息案件中,涉案的信息数量往往十分巨大,少则几万条,多则数百万条,有的甚至达3亿多条。例如,2009年,某案犯罪嫌疑人获取的股民资料,长沙车主、北京车主等公民个人信息高达3000余万条。2013年8月,河北省张家口市公安局侦破一起特大公民个人信息泄露案件,从犯罪嫌疑人手中查获1000余万条公民个人信息,缴获500余张银行卡,近百台电脑。2014年12月,上海浦东法院判决了一起银行前员工林荣(化名)利用任职期间工作便利,获取95万余条客户信息,并部分出售牟利的刑事案件。在以上案件中,被害人数量均十分巨大,其危害十分严重。
(三)公民个人信息刑法保护的反思
随着电子商务的发展,立法者也在努力通过修正《刑法》,增设相关罪名来保护个人信息。《刑法》第253条之一规定了侵犯公民个人信息罪。该罪最早由《刑法修正案(七)》规定于《刑法》第四章“侵犯公民人身权利、民主权利罪”增设,原来是规制“国家机关或者金融、电信、交通、教育、医疗”等单位及其工作人员出售和非法提供公民个人信息的行为。《刑法修正案(九)》对该条做出修改,将犯罪主体扩展为一般主体,并且规定“将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的”从重处罚。但是,这一罪名无法对公民个人信息提供完整的保护,特别是在行为范围方面存在问题。
事实上,上述电子商务领域的该类犯罪已经深刻影响着其行为类型,非法利用公民个人信息的行为已经深刻地影响了该类犯罪的行为体系。在信息时代到来以前,公民个人信息的存储和利用都十分不易,更多的是以档案的形式存在,难以对其进行利用,更无法造成损害。随着电子商务的发展,在信息化网络化环境下,个人信息往往与重大生命、财产安全相关联。在世界范围内,通过获取个人身份信息假冒他人已经促使诈骗者成为职业盗贼。随着大数据技术的发展,特别是数据挖掘利用技术的提升,个人信息利用的利益也越来越大,非法利用行为已经在事实上重构了侵犯公民个人信息行为的体系,其不但成为体系中的重要行为之一,而且成为体系的核心行为,成为非法获取、非法提供行为的目的和前提。随着基于共同意思之下以实行行为为核心的传统共同犯罪模式向基于各自利益之下以分工负责为形式的产业链共同犯罪模式转变,即便是非法公开、非法获取的公民个人信息,其后续的利用行为往往是不同主体基于不同目的而实施,仅通过评价非法公开、非法获取行为已经不能全面、有效地规制侵犯公民信息的犯罪,且由于非法利用信息数量的巨大和利用行为与下游犯罪的分离,通过盗窃罪、诈骗罪等下游犯罪的罪刑规则也无法对于非法利用行为进行全面评价,因而需要重新考虑侵犯公民个人信息犯罪行为的体系。
二、侵犯公民个人信息犯罪的行为方式分析
如前所述,在电子商务领域中的犯罪产业链化的影响下,侵犯公民个人信息犯罪已经从以获取行为为中心转向以利用行为为中心。有关部门需要根据这一现实变化,立足现有规定,厘清有关的理论争议,设定全面、科学的行为方式体系。关于侵犯公民个人信息罪的行为方式,争议问题是:非法利用公民个人信息的行为是否应该在刑法中予以规定,购买公民个人信息的行为是否有必要做出独立的规定。
(一)非法利用公民个人信息行为
目前非法利用公民个人信息的行为没有被规定为犯罪,对其如何做出规定,主要有两种观点。一种观点认为,非法利用个人信息的人只能是通过正当手段获取个人信息的人,否则获取个人信息的行为也可以以非法获取公民个人信息罪而定罪量刑。另一种观点认为,根据我国《刑法》第253条之一的规定,对于合法或者非法获取公民个人信息的单位和个人非法利用个人信息的行为,目前还不能追究刑事责任。但是,这种情况在现实生活中却变得愈来愈严重,建议将非法利用个人信息的行为入罪。
我们认为,这两种观点均存在不足。前一种观点存在较大的缺陷,根据这种观点,非法利用公民个人信息的行为主体应该限定为合法获取公民个人信息的主体,其之所以需要被处以刑罚是因为利用行为的非法,而不是因为获取公民个人信息手段的非法。作为侵犯公民个人信息犯罪的核心行为,非法利用行为的主体既可能无权合法获取公民个人信息,也可能有权合法获取公民个人信息。虽然以往非法利用行为的实施主体以合法获取公民个人信息的主体为典型,但是随着该罪的产业链化,非法获取行为的后续利用行为也应当被独立评价,因为非法获取行为的后续利用行为往往由不同主体基于不同目的实施,其与非法获取行为的分离愈发明显,社会危害性也有区别,需要在规定非法利用行为时对此予以考虑。也就是说,非法利用行为的实施主体已经从合法获取公民个人信息的主体扩展到非法获取公民个人信息的主体,然而前一种观点对于上述变化没有做出充分考虑。后一种观点认识到“对于合法或者非法获取公民个人信息的单位和个人非法利用个人信息的行为”均应追究刑事责任,无疑更为全面。不过该观点认为非法利用行为的主体就是非法获取行为的主体则未必妥当。如前所述,在该罪产业链化的背景下,非法获取主体与非法利用主体的分离愈发普遍,该非法获取行为的后续利用行为往往是另外的主体基于另外的目的实施,应注意对非法利用行为做出独立评价。
《刑法修正案(九)》在该罪行为方式的规定上总体沿用了原有的表述,就出售、提供公民个人信息行为而言,只是将原来“非法提供”中的“非法”删除,包括“出售”和“提供”两种行为,却没有对非法利用行为做出规定,修正案依然存在立法疏漏。
(二)购买公民个人信息的行为
对于购买公民个人信息的行为应如何规制,主要有两种观点。一种观点认为,通过对“其他方法”的解释就可以包括购买公民个人信息的行为。所谓“其他方法”,是指除窃取之外,包括采取欺骗、威胁等不正当手段获取公民的信息,或擅自录入禁止录入的信息,违反规定采集禁止采集的信息等。立法者也采用了这样的解释,认为“以其他方法非法获取”包括购买、欺骗等方式非法获取公民个人信息的行为。另一种观点则认为,司法实践中对于购买公民个人信息的行为是否构成犯罪存在分歧,有必要从立法上对于购买公民个人信息的行为加以规定。如果不将与出售对应的购买行为规定为犯罪,则无法建立两罪之间的链接,起不到相应的遏制作用。
我们认为第二种观点更为可取。购买公民个人信息的行为在非法获取公民个人信息的行为中最为典型,而且最为恶劣,应当在《刑法》中明确予以规定,只有这样才能有效地打击日益泛滥的该种行为。而且在以利益纽带的侵犯公民个人信息犯罪产业链中,购买行为是最具有根本意义的行为,正所谓“没有买卖就没有伤害”,没有理由对其不做出明确规定。而且从刑法理论上讲,出售公民个人信息的行为和购买公民个人信息的行为可以被理解为对向犯。对向犯是指以存在二人以上的对向性参与行为为要件的必要共犯形态。既然已经对出售行为做出规定,则也应该对比其更严重的购买这一对向行为做出规定。遗憾的是,《刑法修正案(九)》对于非法获取公民个人信息的行为沿用了原有表述,依旧规定“窃取或者以其他方法非法获取”,没有对购买行为做出明确规定。此外,虽然这两种观点形式上差异较大,但是经过深入分析可以发现两者并非不可统一,即在《刑法》对购买行为做出单独规定之前将其解释为“其他方法”并无不妥。
三、电子商务领域个人信息犯罪的行为体系完善
全面规制电子商务领域侵犯公民个人信息的犯罪行为,需要在侵犯公民个人信息罪的基础上构建合理的行为方式体系,而这一体系不可凭空构建,必须基于其实行行为转向以非法利用为核心的现实状况。我们认为,应该以非法利用行为为核心构建侵犯公民个人信息犯罪的行为体系,并以侵犯公民个人信息罪为例说明在具体规范设计上如何处理好以下问题。
(一)科学设置侵犯公民个人信息犯罪的罪状结构
在考虑非法利用行为的前提下,对于侵犯公民个人信息犯罪的罪状如何规定,目前主要有两种观点。
一种观点认为,对于不是出售、非法提供而是非法使用公民个人信息的行为,可在我国《刑法》第253条之一第2款,规定“非法利用”的行为,即该款可表述为“非法获取、利用他人个人信息,情节严重的,依照前款的规定处罚”。这种观点看似合理,但是却忽略了一个关键问题,就是侵犯公民个人信息行为的犯罪主体在立法中的意义。犯罪主体是犯罪构成必备的要件之一,不符合特殊主体条件的人,不能构成特殊主体的犯罪。对于侵犯公民个人信息犯罪而言,不同侵犯行为的犯罪主体存在差别,非法获取行为的主体无权合法获取公民个人信息,否则何必再非法获取?如前所述,非法利用行为的主体可能有权或无权合法获取公民个人信息,其与非法获取行为的主体范围并不一致。《刑法》第253条之一第1款规制的是有权主体侵犯公民个人信息的行为,第2款规制的是该类主体的加重情节,第3款规制的是无权主体非法获取公民个人信息的行为。如果认可这种观点,就只能认为非法利用公民个人信息的行为与非法获取公民个人信息的行为是并列关系,而这显然与该罪的实际情况不符,会导致立法和司法的混乱。所以,从犯罪主体角度考虑,在《刑法》第253条之一第3款对非法利用行为做出规定不妥。
另一种观点认为,应在刑法中增设非法利用个人信息罪,作为第253条之二:“有义务为他人保密之人,未经授权而利用在履行职责或提供服务过程中获悉的他人个人信息的,处二年以下有期徒刑或者拘役,并处或者单处罚金。”根据这种观点,非法利用公民个人信息的行为应与第253条之一并列,作为独立条文规定。这种观点也存在较大问题。一方面,这种观点会导致立法规定的失衡。立法语言文字应该是所有语言文字中最为严谨、规范的一种,规定剥夺公民的自由、财产甚至生命的刑事立法语言更应如此。从侵犯公民个人信息的行为方式上来说,非法搜集、非法利用和非法提供是三种并列的侵犯方式,如果将非法利用行为与其他两种行为分别规定,就会由于立法表达的不合理导致条文规定的失衡。另一方面,这种观点会导致立法成本的增加。根据经济学理论,刑事法立法者是具有理性的。刑事立法及此后的刑事司法、守法必然耗费社会资源,带来一定的收益(或无收益)。刑事立法除了要实现立法目的,也要兼顾立法成本,对于上述非法利用行为在原条文中做出并列规定就可以解决问题,再新设条文无疑会不必要地增加立法成本。
此外,这两种观点在理解非法利用公民个人信息行为时,都没有对非法获取公民个人信息行为的后续利用行为的主体独立性做出必要考虑。在侵犯公民个人信息犯罪产业链化的背景下,侵犯公民个人信息的犯罪行为分工日益细密,非法获取行为与非法利用行为的社会危害性、实施主体均不相同。特别是随着电子商务的发展,非法利用行为越来越成为侵犯公民个人信息犯罪的核心行为,因为归根到底如果不能对非法获取的公民个人信息加以利用,非法获取行为就毫无意义可言。所以,侵犯公民个人信息犯罪的立法重心应当从规范非法公开、非法获取行为转向规范非法利用行为。在这一关键问题上,前面两种观点都无法提供合理的解释。我们认为,应在对于非法公开、非法获取和非法利用这三种行为科学分析的基础上,构建合理的罪状结构:非法公开公民个人信息的主体是有权获取该信息的主体,其非法在于公开行为的非法;非法获取公民个人信息的主体是无权获取该信息的主体,其获取行为本身非法;非法利用公民个人信息的主体既包括有权获取该信息的主体,也包括无权获取该信息的主体。所以,这三种行为的主体存在区别,在罪状表述上不宜合并,应该予以分列,并且规定配套的法定刑。而且,非法利用公民个人信息的行为在该罪产业链中居于核心地位,在罪状表述时应优先予以列举。
(二)合理设计非法利用公民个人信息行为的条款
正因为非法利用公民个人信息的行为对于整个犯罪产业链具有至关重要的作用,我们认为应将非法利用公民个人信息的行为单列一款,而且作为该条第1款。在具体条款设计上,还有以下两个问题需要探讨。
第一个问题是,在入罪的前提条件上,是采用“违反国家有关规定”“非法”的表述,还是不设置条件?我们倾向于采用第一种表述,即将罪状表述为“违反国家有关规定利用公民个人信息”。在信息社会,信息数据必须被挖掘甚至被深度挖掘才能产生社会效益,合法利用信息数据的行为不但不应当被处罚,反而为社会发展所必须,刑法必须处理好对公民个人信息的必要保护与为促进社会发展对公民个人信息的必要让渡之间的平衡,不能将所有利用公民个人信息的行为规定为犯罪,以“违反国家有关规定”作为门槛是较为恰当的。“非法”的表述则过于模糊,不利于司法实践掌握,如果对于其中的“法”做出不同的解释,很可能导致司法的混乱。而且如果将“非法”中的“法”理解为法律的话,无疑会放任相当一部分非法利用公民个人信息的行为。不设置条件显然更不可取,其易于导致司法的恣意和擅断。从立法实际来看,目前《刑法》第253条之一第1款、第2款在前提条件设置上都采用了“违反国家有关规定”的表述。我们认可这样一种前提条件设置思路,认为应采取“违反国家有关规定”的表述。
第二个问题是,法定刑应该如何规定?目前对于非法获取公民个人信息的行为“依照第1款的规定处罚”,即依照非法公开公民个人信息的规定处罚,那么对于非法利用公民个人信息的行为是否也可以做这样的规定?我们认为,对公民个人信息的非法利用行为与非法获取行为不可同日而语。如前所述,在侵犯公民个人信息犯罪产业链化的背景下,非法利用行为是各种侵犯公民个人信息行为的核心行为,如果没有非法利用的行为,非法获取、非法公开的行为就无法存在。而且从现实来看,非法利用公民个人信息行为的社会危害性显然也最为严重,对其不能简单地参照非法获取公民个人信息行为的规定,需要基于对侵犯公民个人信息犯罪行为方式与法定刑关系的系统考虑做出恰当规定:一方面,要充分体现非法利用行为在侵犯公民个人信息犯罪产业链中的核心地位,并予以重点打击,因此在法定刑设置上,非法利用行为的刑罚应该重于非法提供行为、非法获取行为。而对于非法提供行为、非法获取行为目前有“处三年以下有期徒刑或者拘役,并处或者单处罚金”和“处三年以上七年以下有期徒刑,并处罚金”两个量刑区间,非法利用行为的刑罚规定应该比其更重。另一方面,要充分考虑罪刑的适应以及刑罚的均衡。我们认为对其应设置“处五年以下有期徒刑或者拘役,并处或者单处罚金”和“处五年以上十年以下有期徒刑,并处罚金”两个量刑区间。此外,有关履行职责、提供服务的主体侵犯公民个人信息的从重处罚条款也应加入有关非法利用行为的规定。
(三)有效规制非法购买公民个人信息的行为
前面已经说明了购买行为从解释为“其他方法”上升到立法单独规定的必要性,这里还需要讨论两个问题。
第一个问题是购买行为是否应当与窃取行为并列?我们认为,购买行为与窃取行为并列,再辅之以“其他方法”的兜底表述是比较恰当的。在现有刑法体系内,“窃取”多与“收买”相提并论,如《刑法》第110条规定“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家机密或者情报的”, 《刑法》第177条第2款规定“窃取、收买或者非法提供他人信用卡信息资料的”等。而且,《刑法修正案(九)》将“非法提供”改为“出售”和“提供”,对出售公民个人信息的行为做出明确规定,显示了立法者对打击买卖公民个人信息行为的严厉态度。从现有立法来看,对于对向行为均做出处罚的规定在《刑法》第二章、第三章、第四章、第六章、第八章中均大量存在,将购买公民个人信息的行为在《刑法》中与对向的出售行为同时规定不违背刑事立法的一贯态度。
第二个问题是在立法时采取“非法购买”的表述还是“购买”的表述?我们认为,采取“购买”的表述较为恰当。公民个人信息与公民的重大人身、财产法益具有紧密的关联。像个人健康信息、个人身份信息、商业秘密、知识产权以及个人财务数据,都是敏感的、受保护的、私密的个人信息。公民个人信息并非商品,不能任意买卖,何况是买卖大量的他人信息。也就是说,买卖行为本身即非法。从语义上讲,“非法”本身就是不必要的重复,所以在该条中对于“窃取”就没有做“非法”的限定。明确性要求制定刑法的语言必须是肯定的而不是游移不定的、清楚的而不是模糊不清的、简单的而不是复杂烦冗的,准确性要求制定刑法的语言必须符合实际地描摹事物,毫无歧义地传递价值,逻辑严密地设定规范。或许立法者对于类似问题已有关注,所以才在《刑法修正案(九)》中将侵犯公民个人信息犯罪中的“非法提供”修改为“提供”。此外,如果采用了“非法购买”的表述也可能导致不必要的误解和给犯罪提供逃避处罚的空间——《刑法》只处罚“非法”购买公民个人信息的行为,不处罚“合法”购买公民个人信息的行为。而事实上,凡是购买公民个人信息的行为均为非法。
综上所述,我们认为在《刑法》中应当对侵犯公民信息罪的规定做如下调整,即将原第253条之一修改为:
违反国家有关规定,利用公民个人信息,情节严重的,处五年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处五年以上十年以下有期徒刑,并处罚金。
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,利用或者向他人出售、提供的,分别依照第1款、第2款的规定从重处罚。
窃取、购买或者以其他方法非法获取公民个人信息的,依照第2款的规定处罚。
单位犯前四款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
此外,通过刑法手段有效地规制电子商务领域的侵犯公民个人信息犯罪势在必行,所以现行《刑法》在修正时不断加大对其惩治的力度,在这一过程中,需要细致分析该罪的行为,并且做出科学、合理的规定。但是刑法手段并不是保护公民个人信息的唯一手段,也不是首选手段,刑法需要与相关法律共同配合、相互补充,才能有效地保护公民个人信息,进而保护公共信息安全。打击个人信息犯罪行为不应止于刑罚手段,还应将行政责任、刑事责任、民事责任三者对接,全面杜绝个人信息的泄露。需要立足《刑法》《关于维护互联网安全的决定》《关于加强网络信息保护的决定》《侵权责任法》等现有立法并对其进行完善,同时及时制定《网络安全法》《个人信息保护法》等相关法律,使民事责任、刑事责任、行政责任相互衔接,共同构成完善的保护公民个人信息的法律体系。