侵犯公民个人信息罪的司法认定困境及其规制路径

侵犯公民个人信息罪的司法认定困境及其规制路径前言随着信息技术的高速发展，公民逐渐凭借个人信息建立起网络形象并参与到线上生产生活中，个人信息基本处于“半公开”状态，公民的信息安全甚至人身安全面临诸多威胁，因此，如何实现个人信息高速流转和个人权益有效保护的平衡已是当前不可回避的难题。本文将通过对侵犯公民个人信息罪的保护法益、司法实践现状以及所存困境的规制方法进行梳理总结，紧跟个人信息保护领域的研究进展，坚持罪刑法定原则，探寻侵犯公民个人信息罪入罪制度的完善路径，反思当前司法实践异象，为个人信息保护体制机制的完善发展提供部分理论参考。一、侵犯公民个人信息罪所保护法益在刑法学界，明确侵犯公民个人信息罪所保护的法益是整个治理过程的首要任务，根据本罪对超个人法益保护与否的标准来划分，现存三种典型学说：个人法益说、超个人法益说、混合法益说，结合本罪的构成要件分析，唯有明确个人法益和超个人法益的关系，才能对个人信息予以更多层次、更加精准的保护。（一）个人法益1.个人法益学说个人法益说是当前学界的主流学说，但其内部又存在多种观点，较为典型的有三种：人格权说、财产说以及个人信息权说。（1）人格权说有两种不同的解释方式，一种将本罪法益解释为隐私权，即具体人格权，主张属于信息主体隐私的部分个人信息是本罪的保护对象；另一种将本罪法益解释为人格尊严和人格自由，即一般人格权，主张公民个人信息作为个人隐私的一部分，若遭遇非法传播和利用，就会对公民的人格尊严和人格利益造成不同程度的损害；（2）财产权说主张信息主体对其个人信息享有一定的占有、使用、收益和处分的权利，将权利重心放在公民个人信息所蕴含的经济价值，这种类似于所有权的界定突出强调着公民个人信息的财产属性；（3）个人信息权说主张个人信息的权属复杂性和保护周延性，于志刚在《公民个人信息的权利属性与刑法保护思路》中提出，公民个人信息是一种兼具人格权性质与财产权性质的新型权利，其内容既包括公民个人使用、并许可他人使用信息的积极权利，也包括防御他人侵害的消极权利。REF_Ref29032\r\h[1]关于侵犯公民个人信息罪的保护核心，多数学者倾向于定位在个人信息权中的信息自决。2.信息自决权个人信息权成为一种区别于传统权利的独立新权利，这是信息技术发展带来的现实需求，这种信息权利主要强调公民信息为个人所有，公民拥有使用权限，可以自主决定信息流转和删改，即所谓的信息自决权。信息自决理论发源并发展于德国联邦宪法法院“第二人口普查案”的判决，施泰姆勒在其提出的《联邦数据保护法（草案）说明》REF_Ref29457\r\h[2]中将这项权利的基本内涵表述为“人们有权自由决定外在世界可多大程度获知自己的思想及行动”，即公民有权控制自身信息是否进入社会流通领域和允许外界收集利用。德国《联邦数据保护法》1977年1月由德国联邦议会通过的保护个人隐私在个人数据处理过程中不受侵害的联邦法律。侵犯公民个人信息罪的实行行为包括“窃取或者以其他方法非法获取公民个人信息”以及“非法向他人出售或者提供公民个人信息”，以上行为均发生于公民个人信息的传播和收集利用过程当中，这是对信息自决权核心内涵的充分体现。信息自决权具体化了法益范畴，但不局限于隐私权，也涵盖了已公开信息的使用处理权限，这是信息自决权的优越性。德国《联邦数据保护法》1977年1月由德国联邦议会通过的保护个人隐私在个人数据处理过程中不受侵害的联邦法律。（二）超个人法益1.超个人法益的解读学界呈现出对本罪所保障的法益包含“超个人”要素的解释倾向，从个人信息到信息管理秩序的研究趋势中可以窥见，超个人法益是一个全新视角的展开。首先，公民个人信息之上附着了可流动的财产属性，成为一种社会资源甚至呈现商品化趋势，在资源配置中发挥重要效能，与商业价值和经济利益挂钩就不可避免地与社会和国家利益产生联系；REF_Ref29594\r\h[3]其次，信息网络打破了私人领域的物理屏障，大量个人信息流入不受私人自由支配的空间，在互联网络中某一个信息主体的信息遭受非法侵害，与其相关的信息主体及周边第三人都会受到影响，这时所应救济的范围就扩大到社会层面，这是公民个人信息的“群体效应”；再次，仅从“公民”一词的潜在意义来看，就已经与社会公共利益和国家安全相关；最后，多起侵犯公民个人信息犯罪的发生严重影响公民的安全感和幸福感，对社会秩序的稳定造成威胁，超个人法益说的存在强调对社会信息管理秩序，即强调着本罪的国家性和社会性，关联发展的全局。2.超个人法益与个人法益的紧张关系一定程度上来说，不论是隐私权、财产权还是其他私权利，都无法涵盖个人信息的法律属性，单方面对私法益的主张不仅忽视了在信息技术发展大环境下传统公域和私域界限的变化，还忽视了个人信息在当下社会的社会属性和经济价值。而德国宪法法院通过判例为公民个体创制了信息自决权的最初形态，其基本功能是防止国家滥用公民个人信息，有学者认为，应将个人信息视为一种公共物品，由政府进行管理和保护，这种片面的公共管理秩序说的观点，则是过分强调了公共法益、过度限缩了公民个人法益的生存空间，仍旧无法顺应当今社会的发展大趋势。如此看来混合法益学说是否就是认定本罪法益的最好选择？侵犯公民个人信息罪的体系定位并未明显突出对超个人法益的保护，其行为对象也是十分具体的公民个人信息，舍近求远地将法益指向超个人法益范畴，意味着将客体个人信息归为社会信息管理秩序的大环境下，导致了主体的不明，虽然社会即个人的集合，但社会并不能独立成为法益持有者，从个人利益到社会利益实则是数量之变而非性质之变，无视个人法益与超个人法益之间的紧张关系，存在本末倒置之嫌。REF_Ref29692\r\h[4]笔者认为，公民的个人信息本就具有专属特质，如果持续抽象强化本罪的超个人法益属性，那么个人法益即公民的私权利就会被掩埋，也就脱离了立法目的，在侵犯公民个人信息罪的司法实践中，最先要明确的就是本罪的法益应当是个人法益。二、侵犯公民个人信息罪司法认定困境及其成因分析（一）司法认定的现存困境1.个人信息边界模糊侵犯公民个人信息罪的犯罪对象是公民个人信息，判断罪名是否成立的首要前提就是对个人信息的甄别和鉴定。源自于日常生活的“个人信息”概念，由于现实需要被纳入刑法保护半径，实则并未有十分明确的法学定义，刑法条文和司法解释所做出的概念界定与前置法具有明显差异与割裂，现阶段刑法条款通过“违反国家有关规定”的空白罪状一定程度上扩大了个人信息的外延，加之刑法条文数量有限、内容抽象，导致实践中个人信息边界认定的模糊性，增大了司法断案和犯罪治理的难度。参见赵志辉.侵犯公民个人信息罪中公民个人信息认定研究[D].吉林大学,2022.《网络安全法》是《个人信息保护法》的前置法，其中个人信息定义被概括为“以电子或者其他方式记录得能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”参见《中华人民共和国网络安全法》第七十六条：“（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”法律规范中最为突出的内容就是最早的将个人隐私与个人信息区分开来，对个人生物识别信息也明确作出列举。之后的《个人信息保护法》在第4条中对个人信息下的定义为“以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名处理的信息”。参见《个人信息保护法》第四条：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”2017年，最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息案件若干问题的解释》（以下简称《解释》）将个人信息定义为参见《中华人民共和国网络安全法》第七十六条：“（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”参见《个人信息保护法》第四条：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”参见《（2017年）最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”司法实践中个人信息边界范围适用的模糊性直接影响着法官自由裁量的不确定性，在特殊情况下判决书中也无法写明该种信息是否具有可识别性、为何该种受到侵害的个人信息属于刑法规制范围之中，甚至只要与个人有关就可能被认定为个人信息，使得裁判的可预测性和公正性遭受质疑，这也是对刑法规范权威的挑战。2.缺乏个人信息敏感度分级分类标准公民个人信息的敏感度分级分类最原始的理由是敏感度高的信息对个人更为重要，与公民的人格利益和经济利益联系更为密切，“可识别性”作为个人信息认定的基础理论，旨在凭借可识别的信息将特定个体从一般个体中抽离，可识别性越独立、身份匹配度越高的个人信息就越是需要刑法予以高度关注；而越是难以单独识别、需要信息技术辅助识别的个人信息，就越具有合理的挖掘、利用空间，因此，对于公民个人信息的区别对待，是对个人合法权益和社会经济价值的平衡。REF_Ref30143\r\h[6]《个人信息保护法》将个人信息分为一般个人信息以及敏感个人信息，并在第二十八条以概括加列举的形式规定“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”参见《个人信息保护法》第二十八条：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”而《解释》第5条，根据个人信息分级、分类保护的原则将个人信息划分为三类：其一，行踪轨迹信息、通信内容、征信信息、财产信息，即特别敏感信息；其二，住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息，即相对敏感信息；其三，其他公民个人信息。REF_Ref30244\r\h[7]据此可以将毫无争议的个人信息快速分类，但对于争议或交叉信息则应对不足，例如车辆信息、房产信息等，不同敏感层级、同级不类型的个人信息混杂重合，不仅造成了与前置法的衔接困难，还导致了司法实践中依据规范把握案件事实的难题，法官的自由裁量权过大，认定公正性存疑。同时司法实践中还存在裁判不一的现象，例如公民的身份证号码、家庭住址和电话号码，在一些案件中可能被认定为相对敏感个人信息，而在其他案件中可能被认定为普通公民信息，由此可见《解释》中的敏感层级划分标准存在缺陷，司法实践中不能完全一致的遵循，相关的法律规范亟须进行调整。REF_Ref30143\r\h[6]参见《个人信息保护法》第二十八条：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”立法的超前性不可避免地使法律规范受到社会发展的冲击，随着新兴技术的不断涌现，大量严格意义上并不属于本罪公民个人信息的信息类型被归入适用范围，这些新类型的个人信息一样承载着不同的法益价值，受到侵害时会造成不同的法益损害结果，也急需法律制度规范保护，例如生物识别信息已被《个人信息保护法》认定为敏感信息，但根据《解释》的分类标准，生物识别信息该何去何从仍旧值得考量。3.倾向源头治理，忽视“非法利用”源头治理模式的内涵并不难理解，即在多个法益侵害行为一同构成犯罪时，即使末端犯罪行为具有更加严重的社会危害性也不构成犯罪，仅仅通过打击前端犯罪行为来消除末端犯罪行为不良影响的治理模式。在所采取的源头治理的立法模式下，侵犯公民个人信息罪所打击的违法行为是非法获取和非法提供，侧重于流转层面的制裁，减少了司法打击面、节省了司法资源，但是“非法获取”和“非法提供”行为都是为下一步的“非法利用”做铺垫的，在大数据的爆发式发展之前，持有行为和流转行为是常态行为，末端利用行为并未成为主流的行为模式，其治理不具有紧迫性，因此也缺少刑法的规制，只打击源头也能有效遏制末端犯罪的发生。但随着黑色信息产业链的成熟，信息传输网的覆盖面持续延伸，“合法获取、非法利用”的犯罪方式大有存在，前端与末端实质上已然脱轨，仅仅打击源头并不能完全消除零碎分散的犯罪可能性。参见李啸天.侵犯公民个人信息罪的检视与完善[D].河南大学,2022.目前刑法将单纯的“非法利用”行为视为不可罚行为，未能分别惩治前端末端两类主体，实际上错误判断了犯罪的重点对象，“合法获取、非法利用”以及“非法利用但未达入罪标准”的前提下，造成严重后果却无法被评定为犯罪，那如何采取制裁措施已然成为处罚漏洞。譬如合成技术的不断进步，合法获取后的非法利用行为社会危害性不断攀升，人脸、虹膜等生物识别信息以及通过AI合成的伪造影响，不仅对个人的肖像权、名誉权等人格权造成侵害，甚至在不法分子的利用下危害个人的生命权。行为类型的复杂化逐渐挖掘出的刑法保护真空，是对源头治理模式的警示。4.“情节严重”认定标准把握困难在侵犯公民个人信息犯罪的治理过程中隐含着“前端数据处理——中端司法认定——末端刑法裁量”的内在关系，显而易见的是，数据分析处理的结果直接影响着司法认定的结果，把重点聚焦在信息数据以及司法认定的“上游链条”，REF_Ref30685\r\h[9]实际上给司法机关带来了极大的判案负担。《解释》在第11条第三款中确立了数量规则以方便认定“批量公民个人信息”，参见《（2017年）最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第十一条参见《（2017年）最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第十一条：“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”“情节严重”的认定标准存在“唯数量论”的倾向，但信息数量越多、违法所得数额越多，法益风险并不必然越高，如此硬性量化就导致判决结果的公正性和合理性得到质疑：（1）现实案件中所涉及的公民个人信息数量很容易达到巨大甚至特别巨大的标准，法官在判决时依赖数量标准很容易直接认定“情节严重”的情形；（2）在个人信息数量庞大、取证难度大的案件中，审判人员更倾向于选择容易获得的违法所得数额作为评判标准，这种惰性思维回避了个人信息的性质认定，只要违法所得数额达到情节严重的标准，就可以抛却信息类型和数量直接定性，虽然这种认定标准在大部分判决中似乎并无不妥，但在个人信息并未详细查明的状态下，也无法排除个案量刑不当的可能。REF_Ref30786\r\h[10]若从多方面列举“情节严重”的情形，如信息的类型、用途、非法所得数额等，仅满足某一方面即可认定时，法官就会设法找到最容易切入的入罪标准，这使得犯罪行为仅得到局部评价。由此可见单一要素或单一方面的认定标准都会打破罪责刑相适应的基本原则，体现了理论层面规范“情节严重”认定标准的必要性。（二）现存困境的成因分析1.信息犯罪数量激增综合上述现状分析，侵犯公民个人信息罪现存司法困境的成因本质上在于信息技术迅速发展引发的犯罪增长，在20世纪，信息的传递相当受限，社会信息秩序并不需要刻意控制便能维持在稳定状态，但在互联网大数据时代，信息的流动速度和波及范围都呈现出爆炸式扩张，这种扩张并非短暂的而是长久的，人们在此浪潮中不断利用信息资源开辟金钱之路，行为方式也日新月异，公民可利用个人信息的种类不断增加，政府和行业内部监管仍显不足，甚至公共机构也成为了信息泄露的主体，公民个人信息的私密性实则不断降低，加之公民的防范意识和维权意识薄弱，不法分子缺乏相应的法律意识，更大程度地刺激着不法分子的逐利心理。2.犯罪行为的技术性提高在大数据时代背景下，部分公民个人信息处于一种数据集中归档状态，信息持有者可以轻而易举地获取全部资料，甚至有不法分子利用自己所掌握的计算机技术侵入网站系统非法获取个人信息，利用互联网非法获取和非法买卖都能快速、隐蔽地实现，这也是侵犯公民个人信息罪的典型行为。不法分子利用计算机特殊算法以及账户密码的破译，通过某一细节信息即有极大的可能实现精准识别，一定程度上提升了公民个人信息的可识别性，而且这种在互联网空间范围内的违法犯罪活动具有很强的隐秘性，不法分子很有可能凭借新兴的信息技术手段进行伪装，且有可能将这种行为性质变得中性化，借此躲避法律的追究和制裁。此外，随着犯罪行为技术程度的不断提高，侦查技术也面临着很大的挑战，我国的网络侦查仍处于发展之中，对于信息追踪和证据定位尚未完善，这也极大的影响了犯罪证据的收集，导致追责和处罚困难。3.法律规范尚不完善犯罪行为激增使得信息秩序的控制难度持续攀升，立法的滞后性及法律规范的稳定性逐渐凸显出司法实践漏洞的存在，现投入的管理精力和现有法律规范已然不能配适现实案件，持续的体制建构和立法完善必然在信息技术发展的推动下进行。虽然我国的相关立法工作和司法解释完善工作并未有过停歇，但其本质上仍在于某一要点的完善而非整体保护链的延长，无论是法益纷争还是实践适用，相关争议并未得到彻底解决，大多数新型信息并未被完全纳入保护范围，立法工作仍旧被动。刑法规范与前置法中相关内容仍有差异，对于相关概念和分类标准在个人信息保护体系内部还未统一，且随着法律条文的逐步增多，法官对概括性内容的自由裁量也产生争议，法律的现实适用存在困难。三、侵犯公民个人信息罪的规制路径（一）强化个人信息概念的明确性加强各法律法规之间关于“个人信息”概念的衔接，是在司法审判中对个人信息进行准确甄别和鉴定的必经阶段，“公民个人信息”“法律所保护的公民个人信息”以及“刑法保护的公民个人信息”的范围并非完全一致，因此要参考包括《民法典》《网络安全法》《个人信息保护法》等前置法中对个人信息概念的具体阐述，并且应当将《刑法》中关于侵犯公民个人信息的罪刑规范与前置法中的个人信息分类标准相互配合、避免冲突，划定各法律法规的保护区间，实现在法统一秩序内的系统性衔接。加强《刑法》与前置法的衔接，就应当明确《刑法》在规制公民个人信息违法行为中的角色定位，虽然《刑法》在侵犯公民个人信息犯罪蔓延滋生的情况下挺身而出，为回应保护法益的呼声充当了打击侵犯公民个人信息犯罪的先锋，但《刑法》的初衷在于“补充性”，如今客观情势已经变更，《刑法》更应该逐步退向治理侵犯公民个人信息犯罪的法律阶梯的后位，承担起“保护法”的重要责任，加之精准明确公民个人信息概念范围并不现实，边界模糊的状态并不能完全消除，因此要寻求适当限缩刑法领域公民个人信息范畴的方法，例如根据其用途、类型等要素进行综合筛选，考量个人信息的隐秘性和案件关联性，秉持罪责刑相适应的基本原则来惩治犯罪行为，保障公民个人信息安全。大数据时代的来临、人工智能的应用使得个人信息的种类持续增加，概括加列举的形式并不能完全涵盖后续个人信息概念的裂变式扩展，《刑法》并未将生物识别信息、金融账户信息等明文纳入保护范畴但并不意味着刑法对利用新型个人信息犯罪的不处罚。这种概念边界的扩张将是持续的、发展的，非必要情况下实体法依旧要处于稳定状态，因此可以利用刑法解释的方法进行概念范围的补充，以适应实际判案的需要。（二）完善个人信息分类的层级性在个人信息的认定之后，要进行信息的分类和敏感层级判断，据此判断罪行的成立与否以及刑法的轻重，但刑事司法解释的条文中仍旧存在的争议和交叉，《解释》较《个人信息保护法》中对于个人信息分类和信息敏感层级划分标准有所差异，使得信息归类认定缺乏实操性，可以借助“违反国家有关规定”的前置条件，参见《中华人民共和国刑法》第二百五十三条之一：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”参见《中华人民共和国刑法》第二百五十三条之一：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”根据个人信息的“可识别性”远近、人身安全关联度等为标准进行敏感层级的划分，如普通个人信息、相对敏感个人信息、高度敏感个人信息等。应该避免在司法实践中对个人信息的敏感层级判断采取一刀切模式，而采取场景化界定路径，在不同场景中不同信息的敏感程度有所不同，例如真实姓名、联系方式和家庭住址在熟人群体中并不算敏感信息，但在网络交易中就可以被认定为敏感个人信息；REF_Ref30956\r\h[11]在不同情况下非法获取公民已公开的个人信息是否进行无罪化处理，等等。根据不同行业、不同场景界定个人信息的敏感层级，兼顾敏感层级的确定性和灵活性，不仅可以为司法审判提供定罪量刑指引，还可以加强行业自律，挖掘公民个人信息的安全利用区间和限制危险区间，实现个人信息的市场价值和社会效用。（三）注重打击犯罪的完整性大数据在社会发展中的地位日益攀升，新型信息犯罪逐步显露，流转端和使用端主体的分离常态化，因此对侵犯公民个人信息犯罪的规制不能局限在源头，而应该实现从“源头”到“全局”的战略性转变，将目光更多转视“非法利用”这一直接对公民个人信息权益造成侵害的环节，适度扩大犯罪打击范围，破坏利用公民个人信息犯罪的完整产业链。在惩治非法利用公民个人信息行为的过程中，应当平衡好公民私权利和经济社会发展之间的关系，既不过度保护也不过度限制，因为本罪的初衷就在于保护公民个人信息不受非法侵害，能够合法使用、合法流转，类似于信息主体不知情而非法利用、信息主体知情同意但超授权利用等行为都应当作为侵犯公民个人信息罪的具体行为特征，将非法利用纳入原本的刑法在规范中并不突兀，也不会引起旧规范的瓦解，法无明文规定不为罪，法无明文规定不处罚，只有加快推动将非法利用公民个人信息行为纳入刑事处罚的立法工作，才能更加全面地保障公民信息安全。此外，在前端信息数据以及中端司法认定的“上游链条”中，个人信息的数据分析认定是一项兼具繁杂性和专业性的工作，为了避免上游问题下游化，可以在查处信息数量庞大的案件之前交由专门单位承担，进行针对性的、最高效的处理，对侵犯公民个人信息行为发生率较高的部分给予更多的关注，建立起严格的全程信息监控机制，在案件审理执行终结后，也要将相关的公民个人信息妥善归档，有选择地保留或清除，消除司法审判端带来的个人信息泄露风险，建立起刑事司法机关在打击侵犯公民个人信息犯罪过程中的公信力。（四）坚持入罪标准的法定性侵犯公民个人信息罪属于典型的情节犯，满足“情节严重”的具体认定标准才能本罪必须，在评判侵犯公民个人信息情节的轻重程度时，应当拒绝避难就易，统一情节严重的认定标准，完善相关法律法规，发挥指导性案例的作用，限制法官的自由裁量权，坚持罪刑法定，防止量刑结果的随意性，最大程度实现“同案同判”。在完善“情节严重”这一入罪标准时，要坚持所保护法益的价值导向，综合多种要素整体考量案件事实，选择的考量要素必须既能承载本罪所保护的法益，又能体现出法益受到侵害的程度，如信息是否被用于犯罪、是否危及信息主体的正常生活等，摒弃单纯的信息数量、违法所得数额等要素，同样剥离“特殊身份”“前科”等实质为量刑标准的要素，且有必要梳理各认定要素之间的适用顺序，这种多要素模式更能适应社会发展和刑事政策调整，也能为司法实践提供便利的可操作标准。情节严重的入罪标准更加严格也就适当限缩了入罪案件的数量，同样在“违反国家有关规定”的违法性阻却事由的前提下，就能适当限缩处罚，拒绝不必要扩张，真正做到罪刑法定、入罪合理。另外，可以依照司法实践