自2015年《刑法修正案九》頒布后，侵犯公民個人信息已經(jīng)入罪，其規(guī)定了新的侵犯公民個人信息罪罪名，并加重處罰，最高可判7年。

“但目前有罪行為類型仍相對偏窄，對于非法‘處理’個人信息等具有同等法益侵害性的行為涵蓋范圍有限。”北京師范大學(xué)刑事法律科學(xué)研究院副教授吳沈括說。此外，對侵害個人信息的民事維權(quán)、行政訴訟都存在現(xiàn)實障礙。

“如果不及時制定個人信息保護法，尤其會對互聯(lián)網(wǎng)產(chǎn)業(yè)、電商平臺以及大數(shù)據(jù)產(chǎn)業(yè)造成危害。同時，對侵害個人信息權(quán)的行為聽之任之，又會造成網(wǎng)民生活的不安寧。”重慶大學(xué)法學(xué)院教授齊愛民說。

企業(yè)泄露個人信息舉證難

2009年，《刑法修正案（七）》增加了出售、非法提供公民個人信息罪，以及非法獲取公民個人信息罪兩個罪名。2015年的《刑法修正案（九）》將兩項罪名歸并為一項，合稱侵犯公民個人信息罪。

此外，侵犯公民個人信息犯罪多了“情節(jié)特別嚴(yán)重”的情形。過去，情節(jié)嚴(yán)重的，最高判處三年以下有期徒刑；現(xiàn)在，情節(jié)特別嚴(yán)重的，最高可以判到七年。

“應(yīng)該說該條文經(jīng)過刑法修正案（七）和刑法修正案（九）的改革，已經(jīng)有了相當(dāng)?shù)母倪M。”吳沈括說。

但值得注意的是，盡管規(guī)定了7年的最高刑罰，但司法實踐中的量刑普遍偏低。21世紀(jì)經(jīng)濟報道記者在中國裁判文書網(wǎng)查詢2015年底以來判決的多個侵犯公民個人信息罪案例，量刑普遍在2年以下，還有的被判決免予刑事處罰。

“現(xiàn)在電信詐騙已經(jīng)是專業(yè)化的精細分工，實施詐騙的人，基本不是泄露和收集信息的人。一個快遞小哥，銷售了5000個快遞信息，這能判他多大的罪？”電信專家項立剛告訴記者。

相比于買賣個人信息的不法分子，社會對泄露個人信息的企業(yè)和部門更為不滿。“對于泄露個人信息且造成嚴(yán)重影響的行為，在符合犯罪構(gòu)成的情形下可能予以刑事處罰。此外，泄露信息的事實本身還可能構(gòu)成其他嚴(yán)重犯罪的幫助行為。”吳沈括說。

但在中國裁判文書網(wǎng)上，還檢索不到單位被判侵犯個人信息罪的案例，只有一起自訴案件最終被判不予受理。

個人信息遭泄露后的民事維權(quán)同樣艱難。開房信息泄露、機票退訂詐騙等事件發(fā)生后，有受害人起訴酒店或航空公司，但均遭敗訴。

舉證難是信息泄露維權(quán)者的普遍難題，“侵權(quán)訴訟需要原告證明因果關(guān)系，這個比較有難度。”中國政法大學(xué)傳播法研究中心研究員朱巍說。

“法院往往以被泄露信息的消費者不能證明酒店或網(wǎng)站是唯一泄露其信息的途徑為由，不支持原告的請求。”一名曾代理類似案件的律師告訴記者。

由于電信網(wǎng)絡(luò)詐騙案的頻發(fā)多發(fā)，公安機關(guān)往往無力應(yīng)對，一些小額受害人在報案時會遭遇不立案或無回復(fù)。“當(dāng)有類似遭遇時，我認(rèn)為報案人可以向人民法院起訴公安機關(guān)，要求其履行法定職責(zé)，因為公安機關(guān)屬于政府部門，其接受人民群眾報案也應(yīng)是行政行為。”全國律協(xié)行政法專業(yè)委員會執(zhí)行委員王才亮說。

“但現(xiàn)實中，有的公安機關(guān)往往聲稱自己的行為屬于刑事偵查行為，造成法院無法受理報案人的行政訴訟，導(dǎo)致報案人在無法立案或長期沒有回復(fù)后得不到救濟。”王才亮告訴記者。

個人信息保護立法進程多艱

“我國目前關(guān)于個人信息保護的法律規(guī)范十分零散，而且規(guī)范所處的效力位階普遍較低。譬如《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》屬于部門規(guī)章，又如廣東與上海等沿海省市對個人信息保護的規(guī)范屬于地方性法規(guī)。”齊愛民說。

“當(dāng)然也有位階較高的規(guī)范，譬如刑法第九修正案以及消費者權(quán)益保護法。然而這些規(guī)范或者調(diào)整對象有限，或者主要被用于制裁犯罪，因此很難被用來維護信息主體的權(quán)益以及信息社會的安全。”齊愛民說。

正在審議之中的《網(wǎng)絡(luò)安全法（草案）》包含了大量個人信息保護的條款。“網(wǎng)絡(luò)安全法和個人信息保護是有區(qū)別的，如果存在交集，可能體現(xiàn)在如何規(guī)范個人信息的跨境流動。”亞太網(wǎng)絡(luò)法律研究中心主任劉德良說。

“從嚴(yán)格意義上講，個人信息保護非《網(wǎng)絡(luò)安全法》的立法任務(wù)，把個人信息保護加進去，是對嚴(yán)峻的個人信息泄露形勢疲于應(yīng)付的結(jié)果。”齊愛民說。

齊愛民認(rèn)為有必要制定一部《個人信息保護法》，賦予主體自由支配并排除他人侵害的權(quán)利，同時通過系統(tǒng)的制度設(shè)計來防止他人侵權(quán)。

2003年，中國社科院法學(xué)所研究員周漢華等人受原國務(wù)院信息化工作辦公室委托，開始起草專家建議稿。齊愛民也在2005年向政府和社會提出了學(xué)者建議稿。但此后立法再無實質(zhì)進展。

“立法進程緩慢最主要的原因還是該法牽涉的面太廣，涉及到太多利益的博弈。譬如，嚴(yán)格制定與執(zhí)行個人信息保護規(guī)則，可能破壞云服務(wù)商的利益鏈條，甚至對政府行為給予一定的限制，對新聞媒體也有限制。”齊愛民說。

他認(rèn)為，個人信息保護法是信息社會的人權(quán)宣言書，它應(yīng)當(dāng)回答個人信息保護的本旨和根本手段是什么，以及不同社會領(lǐng)域下如何應(yīng)對新的風(fēng)險。