侵犯公民个人信息犯罪是犯罪学中的概念,以刑法规范为核心,拓展到所有危害程度达到行政法评价程度的针对公民个人信息的违法行为,具体可表现为擅自披露、擅自提供、非法买卖、超目的使用和冒用公民个人信息等行为方式。2007年11月,人民日报与人民网联合对3500余人进行了“谁来保护我的个人信息”的调查。其中,90%的受访者表示曾亲身遭遇个人信息被泄露,94%的受访者认为当前公民个人信息泄露的问题非常严重。79.8%的受访者表示对自己信息的泄露感到非常无奈和愤怒。[1]可见,侵犯公民个人信息行为与公民的切身权益休戚相关,行为人处理的信息量大,波及面广泛,且我国公民被侵犯的现象呈现高发并日趋蔓延的态势,治理形势十分严峻。2009年2月28日,我国刑法先于行政法、民事法亮剑,在《刑法修正案(七)》中增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名,旨在通过刑罚威慑以遏制相关行为。然而入罪两年来,侵犯公民个人信息犯罪的高发态势并未发生根本转变。刑罚虽然是犯罪治理的重要手段,但绝非唯一手段,因此,剖析犯罪原因,对症下药综合治理侵犯公民个人信息犯罪,已是刻不容缓。
一、基于犯罪“收益”的原因分析与对策
个人信息被誉为21世纪最有价值的资源,它不但可以为政府决策提供依据,产生公共管理上的效率与效益,还可以产生商业利润。[2]
(一)侵犯公民个人信息犯罪的高“收益”
行为人侵犯公民个人信息多以出售牟利为目的,在此情况下会产生“收益”.单一的个人信息也许价值有限,但如果将若干具有共同特征的主体个人信息按一定的方式组成数据库,并通过该数据库所反映的某种群体的共性来满足自身或其他数据库使用者的需要,其价值就是不可估量的。同时,个人信息的价值还在于可以无止境地被重复使用、重复获取经济利益。[3]如美国的Boo.com网站2000年5月倒闭时就出卖了其保存的35万份用户资料,获利25万英镑。[4]
可见,侵犯公民个人信息是“收益”期望值颇高的犯罪。
(二)降低犯罪“收益”的对策——侧重民事救济机制
公民个人信息的上位概念是个人隐私,属于我国民法上人身权利的范畴。任何侵犯公民个人信息的犯罪行为都符合民事上的侵权之诉,即使侵害人承担了行政或刑事责任,被侵权人仍有权向法院主张自己获得民事赔偿的权利。民事救济权利的实现,既是对被侵权人利益的平复,也是对侵害人非法利益的一种剥夺,客观上起到冲抵犯罪“收益”的作用。
为了保证向侵害人主张民事权利,笔者认为应根据行为人身份的不同而确定不同的归责原则。其一,对于公权力身份/如国家机关工作人员),适用无过错原则,又称严格责任原则。国家机关代表公权力履行社会管理服务职能,其背后依赖的是强大的国家机器,为了追求法治和公平,应该对国家机关实施的侵犯公民个人信息安全行为适用严格责任;其二,对于垄断性公共服务机构(如国有银行、证券公司的工作人员),适用举证责任倒置的过错原则。因为,这类公共服务主体具有国家垄断特性,是“准公权力”,与公民关系不对等,为了平衡双方的诉讼力量,应将举证责任推给强势一方;其三,对于非垄断性公共服务机构和一般主体,适用“谁主张,谁举证”的过错原则,这是实现民事责任的一般原则,适用于平等主体之间。
二、基于犯罪“成本”的原因分析与对策
侵犯公民个人信息犯罪可谓典型的低投入犯罪。[5]无论在行为成本、法律制裁成本和道德谴责成本上,均呈现低投入特征。
(一)侵犯公民个人信息犯罪的“行为成本”
1.“行为成本”较低的表现
(1)信息获取的成本。计算机和网络技术的飞速发展,使得原本看来非常困难的信息获取变得轻而易举。在合法获取中,国家政府机关和向公众提供公共服务的公司、企事业单位和团体都采用现代化的办公手段,提高服务效率,信息的采集可以直接通过互联网用专门的信息采集软件完成,即使是现实生活中通过调查访问采集到的信息,也会转化为电子资料的形式,形成数据库,方便管理与分析。在非法获取中,没有人会将窃取理解为破门而人盗窃纸质的档案信息材料,而是通过智能或交易手段轻松完成。例如1994年2月,一个名不见经传的普通网民在美国互联网的许多主机和骨干网络设备上安装了网络监听软件,利用它对美国骨干互联网和军方网络进行监听,并窃取了超过10万个有效的用户名和密码。[6]如今,界面友好、操作简易的网络监听软件在互联网上信手拈来。此外,通过非法交易也能够轻易而廉价地获取大量公民个人信息。例如在某资料网站上赫然写着出售“1万多个沈阳股民的详细资料”,并声称这些都是高度保密文件,一般人不可能拿到,信息内容包括股民姓名、性别、地址、邮编、电话和手机等,只需要汇款200元钱,24小时之内就能拿到光盘。[7]
(2)信息处理的成本。计算机软硬件的发展和在个人信息处理方面的应用,使个人信息的数据分析进入半自动甚至全自动化阶段。[8]当行为人采取出售牟利的信息处理方式时,行为人的一切销售行为都可以通过互联网完成,成本至多是一张光盘(市值2.5元人民币)。当行为人采取非法披露、提供等手段时,行为人只需将公民个人信息放在一个公共网站的布告栏上,便能够向全世界披露相关信息,并且这些信息会迅速传播蔓延。如美国在线公司的一名员工将公司掌握的65.8万美国用户从2006年3月1日到31日之间的“私人搜索信息”发表在一个学术网站上,当美国在线意识到问题的严重性,并试图将上述信息撤下来的时候,却惊讶地发现这些信息已经迅速在网络世界中“生根发芽”,无法消除了。[9]而所有这些信息处理行为,可能只需要侵犯公民个人信息的行为人坐在电脑前,轻击鼠标,就能瞬间完成了。
2.提高“行为成本”的对策——侧重技术防控手段
计算机技术的发展是一把双刃剑,从一定意义上讲,其使公民个人信息安全处于最危险的边缘,但同时技术手段上的防控是保护公民个人信息最直接的屏障。在国家政策和市场需求的引导下,技术部门应加大力度进行与公民个人信息保护有关的技术研发,如加密技术、网络安全过滤技术、反监控技术和网络追踪技术等。加密技术和反监控技术的演进,将会使电子化的公民个人信息处境更为安全,不易被侵害人恶意获取,降低保管不善的风险;网络安全过滤屏蔽技术的发展,能够切断非法出售、超目的使用和披露的渠道,降低可能带来的不法侵害。总之,技术防控手段能够提高行为人获取信息和处理信息的成本,是防控侵犯公民个人信息犯罪的重要举措之一,不容忽视。
(二)侵犯公民个人信息犯罪的“法律制裁成本”
1.“法律制裁成本”较低的表现
第一,现有规范散见在不同法律文件中,缺乏统一立法。德国在1977年通过了《联邦个人资料保护法》,美国在1986年通过了《联邦电子通讯隐私法案》,日本在2005年通过了《个人信息保护法》。与之相比,我国的《个人信息保护法》虽已纳入立法计划数载,却一直没有正式出台。在尚无统一立法的情况下,为了应对个人信息保护的需要,相关立法中纷纷出现个人信息安全条款,笔者搜索到此类相关法律文件24部,其中有20部是2005年以来颁布的。我国关于公民个人信息保护的条文散落在不同的法律文件中,没有个人信息概念的完整定义,侵害行为界定不清,除刑法规定外,主体的限定性很强,局限在人民政府统计机构、人民警察、社会保险机构和银行等少数国家机关或垄断性公共服务机构,远没有达到个人信息保护所要求的水平。
第二,现有规范的效力等级较低,保护力度不够。笔者搜索到的24个法律文件中,属于国家法律的仅有3部,属于行政法规的仅有1部,属于司法解释的2部,其余的18部均为行政规章。在规范侵犯公民个人信息犯罪的法律和行政法规等效力较高的法律文件先天不足的情况下,部门规章的作用受限于上位法律,也很难有用武之地。
第三,现有规范仅是一种宣告式立法,救济渠道受阻。《刑法修正案(七)》明确规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的法定刑,而24部行政法中,只有半数对侵犯公民个人信息行为规定了行政处罚,其余都是作为一种宣告式的保护,没有明确规定违反后的法律后果,这种法律条文的规范效果和社会效果都有待进一步验证。在现有情况下,法律规范数目有限,仅有的条文表述又具有模糊性,直接造成了法律执行力弱化,救济渠道不畅的局面。根据中国社会科学院法学研究所课题组的调查,个人信息曾遭受滥用的被调查者中,仅有4%左右的人进行过投诉或者提起过诉讼。无法确定哪些机构应承担责任、无法确定向什么机构投诉或者以谁为对象提起诉讼、无法获得有力的证据、投诉或者诉讼成本过高等是导致公众不愿意投诉、提起诉讼的重要因素。[10]
第四,现有规范没有涵盖所有侵犯公民个人信息犯罪行为。现有法律文件中的规定往往是零星的、不全面的,如擅自披露、超目的使用和冒用等侵害行为并不在评价范围之内。
综上,我国法律对侵犯公民个人信息行为的评价存在明显疏漏,同时对部分行为进行评价时,又是不全面的,法规规范的效力等级偏低,评价后的救济机制是不畅通的。因此,在现有法律体系下,我国侵犯公民个人信息犯罪的法律制裁成本较低。
2.提高“法律制裁成本”的对策——侧重行政处罚措施
法国是保护公民个人信息颇有成效的国家之一,其早在计算机和网络刚刚出现、尚未普及的1978年1月6日,就通过了《信息与自由法》。同时,法国还创建了一个专门保证个人自由不受网络侵害的机构——法国国家信息自由委员会(简称CNIL)。CNIL为独立行政当局,[11]其使命是保障信息与自由法的实施,保护公民的个人隐私、个人或公共自由,防止其遭受现代信息技术的侵害。具体任务包括教育、咨询、监管文档和保证法律实施等等。更为重要的是,CNIL有权直接做出多种档次的制裁,如警告、催告、上限为30万欧元的经济制裁、勒令停止处理等。CNIL主席可以紧急向有关司法机关提出救济,以便采取一切必要的安全措施。他也有权以CNIL的名义向共和国检察官检举违法情形。
综合我国法律传统与他国经验,行政处罚应是惩治侵犯公民个人信息行为的最主要法律制裁手段。他山之石可以攻玉,我国应积极借鉴法国先进经验,完善我国对个人信息的行政法保护。行政处罚措施原本是防治侵犯公民个人信息犯罪的“重镇”,可上文提到我国现行行政法的种种不足,明显不能满足保护个人信息的要求。面对现实的拷问,我国应加大改革的步子,加速《个人信息保护法》的出台,将公民个人信息安全保护提升到基本人权保障的高度,仿照法国成立专门的管理委员会,结合中国自身特色,全面推进相关工作。
(三)侵犯公民个人信息犯罪的“道德谴责成本”
1.“道德谴责成本”较低的表现
第一,浓重的官本位思想与权力界限的模糊性。在当前的社会中,“官本位”只是一种潜文化,并不为主流意识形态所承认和提倡,但其作为一种文化思想深深地影响着中国人的思维和行动方式。官本位思想造就一种对权力和官员的崇拜与敬畏,进而导致了长官意志与依附意识。此外,公权力主体具有国家监管和社会管理的职权,要求掌握一定程度的公民个人信息,如我国《居民身份证法》明确规定国家有权力对居民姓名、性别、民族等诸多项目进行登记。甚至,当国家监管的权力与公民个人信息安全权利冲突时,后者要做出让位。[12]这种公权力与私权利之间的界限本来就不是绝对的、泾渭分明的,在实践中不可能一刀切。
公权力机关及其工作人员和垄断性公共服务机构及其工作人员是侵犯公民个人信息犯罪的主体,垄断性公共服务机构又被称为“准公权力”,因此这些犯罪人都是“官”。在官本位思想的支配下,我国公民的权利圈不断在缩小,权力圈扩大,社会舆论甚至认为公权力的侵入是理所当然的。如《个人信息保护现状调研报告》中提到,有一部分接受调查的公众就认为自己无权拒绝提供自己的个人信息,这样就助长了“官”主体侵犯公民个人信息的可能。
第二,正在形成的人权理念。西方的人权理论将人权视为国家权力的最终来源和根本目的,在道德上,人权绝对具有超越国家权力的优越性。而在我国古代思想中,个人私利不仅有损于“公”,而且有碍于一个人立德成圣。随着人权全球化的浪潮,开放的中国正以博大的胸怀汲取人权理念的养料,但就现阶段而言,民众的人权理念还是比较淡薄的。反映在侵犯公民个人信息犯罪上,大部分公民没有认识到个人信息保护是基本人权的一部分,个人信息资料是神圣不可侵犯的。如果侵犯个人信息行为没有严重干扰民众的生活,被害人没有感受到行为的存在,那么被害人对过度采集信息、出售信息和非法披露信息的行为,往往会选择听之任之,更不会拿起法律武器。
2.提高“道德谴责成本”的对策——侧重树立道德意识与职业道德自律
(1)使公民形成对个人信息权利的尊重。具体到如何逐渐树立公民对个人信息安全的权利意识问题,笔者认为,公众整体意识的养成不是一朝一夕的事,相关规范的确立、责任追究机制的健全、惩处的透明及时等都有助于权利意识的养成。就当前而论,应大力加强公民个人信息安全意识的教育宣传工作。鉴于我国个人信息保护处于起步阶段,应尽快完善制度建设,考虑在我国成立独立的行政机构,全面统筹公民个人信息安全保护工作,其中加大对市民和相关主体的宣传教育是核心工作之一。而在制度缺失阶段,应该发挥现有资源,开展宣传教育工作。笔者认为,实施侵犯公民个人信息犯罪的前提是信息的占有,而大部分信息占有发生在主体向公民提供服务的过程中,可以强化相关主体在服务过程中的合规意识和法制观念,工作人员有义务向公民说明信息安全的权利,在工作场所应悬挂提醒公民注意“个人信息安全”的警示语等。对于公权力身份主体和垄断性公共服务主体均有对应的监管部门、机构,对于非垄断性公共服务主体,工商管理部门可以发挥监管职能,监督服务机构工作过程与质量,并同时自主开展相关宣传推广活动。
(2)明确职业道德要求,落实行业处罚。就目前阶段而言,我国行业自律已具备一定组织基础,虽有的团体具有较强的行政性,但不影响自律机能的发挥。对垄断性公共服务部门,政府的不同分管部门设有专门的管理组织,如中国银行业监管委员会、中国证券业监管委员会、中国保险业监管委员会、中华全国律师协会等;对非垄断性公共服务部门,在中华全国工商业联合会统管下也成立了相关民间自律组织。在完善组织的机构建设的同时,要加强民间监管职能的发挥落实,自觉地将公民个人信息安全的行业监管作为核心工作之一。要明确各企事业单位依法采集、妥善保管、合理使用公民个人信息的义务;提供国家保护公民个人信息的政策咨询,根据本行业特点和适用情况及时调整、完善关于个人信息保护的行业准则,完善相关机制以保证准则的遵守和执行;对于侵犯公民个人信息安全权的相关单位,适用具有本行业特色的、合理合法的处罚手段。
三、基于犯罪“风险”的原因分析与对策
美国心理学家卡尼曼对人类在风险条件下如何做出选择的问题,给出了经济学解释,即预期理论,他也因此得到了2002年的诺贝尔经济学奖。他指出,人们面临条件相当的盈利时,更倾向于接受确定的盈利(风险规避)。[13]可见,在风险不得规避,行为注定失败被迫责的情况下,犯罪人很有可能选择放弃。
(一)侵犯公民个人信息犯罪的低“风险”
侵犯公民个人信息犯罪,由于其自身的隐蔽性和特殊性,责任追究难度大,行为人往往能够规避风险。
1.行为隐蔽,被害人不易察觉,侦查难度大
侵犯公民个人信息罪的客观方面表现为将合法持有或窃取的公民个人信息出售或者非牟利致害使用。在行为人合法持有公民个人信息并非法处理的情况下,信息权利人基于一定的法定事由或约定事由将信息交给犯罪人,其有理由相信犯罪人会合法使用相关信息,权利人对信息处理的过程很难监督,因而也难以发现其出售、披露、超目的使用和保管不善丢失等不法行为。当行为人窃取公民个人信息时,窃取行为本身是秘密的,不动声色的,网络上的破译密钥和编程技术等手法具有典型的隐秘特征,而且信息具有可复制性,丢失后不会造成被害人物件的毁损缺漏,被害人往往对窃取行为不得而知。此外,犯罪人的出售和致害使用行为往往通过互联网完成,互联网犯罪具有无现场性:[14]互联网上的犯罪实施于虚拟空间,没有目击者、扭送者、追捕者目睹、擒拿人犯视力所及的“现场”可言。这种“无现场”或“虚拟现场”很有可能根本不在受害人所在的刑事司法管辖领域内。行为隐蔽性、被害人无意识、无现场性和技术型智能犯罪,都对公安机关的侦查工作提出了较大挑战。很多犯罪发生后,无人报案,或者根本无法破获,使得侵犯公民个人信息犯罪存在大量的犯罪黑数。
2.大部分主体身份特定,责任落实难度大
国家机关及其工作人员以及“准公权力”机构及其工作人员是犯罪主体的重要组成部分。国家机关应否承担刑事责任和如何承担刑事责任历来存有疑问,“准公权力”机构是垄断性的经济实体,能在多大程度上担负刑事、行政责任呢?有人提出了刑法中侵犯公民个人信息犯罪的条款可能被既得利益集团在实践中架空的担忧。例如2009年中央电视台3·15晚会上曝光了中国移动山东省公司出售用户个人信息,当时《刑法修正案(七)》已经生效,但司法机关从未追究这一“罪行”。[15]
(二)提高犯罪“风险”的对策——侧重刑事制裁措施
刑事制裁是防治犯罪必不可少的最后保障,刑罚的确定性和及时性能够最大程度使犯罪人认识到风险不可回避,但这须以刑法规范明确、完备为前提。以法国刑法为参照,我国《刑法修正案(七)》中的相关规定仍有立法完善的空间。
第一,法国刑法与《信息与自由法》高度衔接,特别关注敏感个人信息。我国《刑法修正案(七)》在条文中有“违反国家规定”的表述,这是与行政法的对接,但目前《个人信息保护法》尚未出台,这样的规定很容易将刑法关于入罪的规定架空。对此在司法实践中应灵活把握,切实发挥刑法打击严重侵犯公民个人信息犯罪的作用。我国现行刑法没有就信息的内容和重要性进行划分,侵犯公民个人信息的重要性和敏感程度不同,其所体现的社会危害性也不同,立法上应有区别对待,司法实践中在把握“情节严重”时也可区别考虑。
第二,法国刑法犯罪主体包括自然人和法人;主观方面包括故意和过失;刑法保护的范围很广,全面覆盖个人信息的采集、处理、保管、使用、期限等问题,客观方面既有本人的实行行为,也有指使他人进行信息处理的行为;既有作为,也有不作为。相比之下,我国刑法在立法上贯彻“宜粗不宜细”原则,刑法修正案中区区188个字的法条规定,确实过于粗糙,保护的范围过窄,没有涵盖所有信息处理方式,亟待相关立法解释和司法解释的跟进。
第三,2004年法国刑法修订明显体现了从严惩处侵犯公民个人信息犯罪的精神。我国《刑法修正案(七)》规定的法定刑为“3年以下有期徒刑或者拘役,并处或者单处罚金”,基本符合我国当前打击侵犯公民个人信息犯罪的需求。然而随着我国人权观念的传播、个人信息安全意识的养成,民事行政等防治手段的健全,在侵犯公民个人信息犯罪形势恶化的情况下,不排除刑法上提高法定刑的可能。
四、结论
犯罪收益高、成本低和风险小,加上技术因素、文化因素和法律因素的共同作用,形成多元的犯罪原因体系,如同“聚能环”一样不断催生侵犯公民个人信息犯罪的发生。因此,欲有效治理侵犯公民个人信息犯罪,要在降低犯罪收益、提高犯罪成本和加大犯罪风险上着力,具体体现为树立道德意识、行业规范自律、技术防控、民事救济、行政处罚和刑事制裁等手段的综合运用。固然各种手段在应对侵犯个人信息犯罪时有其针对性和局限性,但一旦对诸手段加以综合运用,其功效就能放大,呈现“1+1>2”的特点。如技术防控手段,其一方面能够提高犯罪的“行为成本”,另一方面,也能够通过网络追踪技术的进步等,降低互联网上的侦查难度,协助捕获犯罪人,加大犯罪的“风险”。无论采取哪种举措,功能上或者是为了提高犯罪成本、或者为了降低犯罪收益高、或者为了加大犯罪风险,最终目的均是弱化“聚能环”的作用,防控侵犯公民个人信息犯罪的发生,修复犯罪对社会关系带来的损害。
刑法打击犯罪的方法注重事后的惩罚和打击,刑事政策治理犯罪的方法更侧重于从道德、伦理、宗教、经济、政治等各方面考察犯罪,系统地、理性地看待、解决犯罪问题,注重的是对公众的教育和对犯罪的预防和综合治理。刑事政策力求在刑法启动之前穷尽各种治理手段,把犯罪发生的几率以及对社会造成的不良影响降到最低。[16]治理侵犯公民个人信息犯罪,应纳入到广义刑事政策的视角,依靠综合治理。笔者结合文中采用的对策手段,按照重点区分原则[17]以及预防和惩处并重原则,[18]搭建了治理侵犯公民个人信息犯罪的综合治理体系;在这个模型中,以时间为横轴,危害程度为纵轴,整体分为预防阶段和处罚阶段。此处的犯罪预防指狭义的预防概念,并不包括特殊预防,因此,以行为人犯罪为划分两个阶段的临界点。
在预防阶段,所有预防举措形成一个有机的整体,共同发挥作用,防止侵犯公民个人信息犯罪的发生。其中民事预警、行政威慑和刑法的一般预防等手段侧重预防具有犯罪危险性和倾向性的群体犯罪,而宣传教育、行业自律和技术防控等是普遍、一般的预防手段。但所有手段须整体协同发挥作用,如在内容层面,宣传教育的可能是行业准则、行政威慑的内容;再如在效力层面,刑法的一般预防客观对一般人群也能起到预防的作用,等等。
犯罪一旦发生,必须对其处罚,由此进入惩罚阶段。根据犯罪行为所反映的社会危害性程度不同,采取的处罚手段不同,刑事制裁是制高点,所有对策仍是一个整体,适用上有重点,但不排除重点对策与其他对策协调发挥作用。
卢建平,北京师范大学刑事法律科学研究院常务副院长、教授、博士生导师;常秀娇,单位为北京师范大学。
【注释】
[1]“谁动了我的个人信息”,载《人民日报》2007年11月16日第10版。
[2]齐爱民:《个人信息保护法总论——拯救信息社会中的人格》,北京大学出版社2009年版,第19页。
[3]张秀兰:《网络隐私权保护研究》北京图书馆出版社2006年版,第56页。
[4]赵水忠:《谁偷窥了你的网络隐私》,电子工业出版社2004年版,第242页。
[5]屈学武:“因特网上的犯罪及其遏制”,载《法学研究》2000年第4期。
[6]同注[4],第42页。
[7]“沈阳1万多股民名单资料网上200元就卖”,载http://www.xinhuanet.com/chinanews/2007—04/18/content_9821360.htm,2012年2月29日访问。
[8]同注[2],第38页。
[9]同注[2],第34页。
[10]中国社会科学院法学研究所编:《法治蓝皮书:中国法治发展报告(2009)》,社会科学文献出版社2009年版,366页。
[11]委员会的构成如下:一共17位委员,其中议会议员4人,经济社会理事会委员2人,6位最高司法机构的代表(最高行政法院法官2人,最高法院法官2人,审计法院法官2人),社会知名人士5位(国民议会议长任命1人,参议院议长任命1人,部长会议任命3位);任期5年,若是议员兼任,则与其议员任期一致。
[12]公民个人信息诞生之初,就是为了满足国家公共管理的需要。个人信息,义务是第一性的,权利是第;性的。没有主权国家就没有人的权利,当某个人的个人信息保护与社会大多数人的利益或者国家公共管理的正当运行相冲突时,个人信息的权利要做出让位。从长远来看,个人信息的法律保护应有必要的限定,但就目前而言,应加大公民个人信息的保护力度。
[13]王妍妍:“风险条件下的预期理论——基于行为经济学角度的介绍”,载《法商研究》2009年第3期。
[14]同注[5]。
[15]“‘侵犯公民信息第一案’放过了祸首”,载http://blog.szonline.net/u/591/35384.html,2012年7月30日访问。
[16]卢建平:《刑事政策与刑法》,中国人民公安大学出版社2004年版,第11页。
[17]一个侵犯公民个人信息犯罪行为,对其可以同时使用多种防治对策,同一防治对策也可用于治理不同的侵犯公民个人信息犯罪。但对特定的侵犯公民个人信息犯罪而言,这些均可采用的对策之间并不是等价的,而是有区分,有重点的。
[18]治理侵犯公民个人信息犯罪对策时,应坚持预防和惩处并重的原则,不可忽视预防犯罪的地位和作用,甚至以预防犯罪为优先选择。而法律本身具有滞后性,因此在预防阶段的对策适用中,应积极发挥道德规范、行业自律和技术防控等举措的作用。
