侵犯公民个人信息犯罪的刑法规制研究

徐 昊

（安徽大学，安徽 合肥 230000）

进入信息化时代以来，个人信息和隐私在大数据的冲击下几乎无处遁形，随着网络介入我们生活的广度和深度不断增加，侵犯公民个人信息的犯罪也日益增多。据统计自 2009 年2 月《刑法修正案（七）》增设侵犯公民个人信息犯罪以来，2009 年2月至 2017 年12月间，全国法院新收侵犯公民个人信息刑事案件 3086起，审结 2826 起，生效判决人数 4942 人。[1]然而，这样庞大的案件数不过也是冰山一角，在现实中仍有许多人还在面临着个人信息被侵犯的困扰。频繁发生的侵权事件不仅给社会治理造成了很大的压力，也给当前法制的发展带来了新的挑战。

一、侵犯公民个人信息犯罪的概括解读

（一）概念界定

从字面意义上来看，公民个人信息是指与公民个人相关的信息。一般来说，公民个人信息主要包括：①身份信息，即公民个人的姓名、身份证件号码、通信通讯联系方式、家庭住址、受教育程度、宗教信仰乃至指纹等；②财产信息，如个人不动产持有记录、银行卡账号密码、征信状况等；③动态信息，例如个人的行踪轨迹、酒店开房记录、购物消费记录、通信通讯记录；④健康生理信息，如病历等。与其他信息相比，个人信息最大的特点就在于其可识别性和明确指向性。不论是通过电子或者其他方式记录的信息，只要能够单独或与其他信息结合识别出特定自然人身份或者反映特定自然人活动情况的各种信息，都应当属于个人信息。

而侵犯公民个人信息犯罪从本质上来说就是侵犯公民个人信息行为犯罪化的结果，即将某些造成了特定后果、产生了特定危害的侵犯个人信息行为纳入到法律的管理和制裁范围之内，这些行为包括非法出售行为、非法提供行为、非法获取行为、非法利用行为等。

（二）主要特征

1. 多变性与隐蔽性

侵犯公民个人信息犯罪的隐蔽性和多变性是当下打击这类犯罪所不得不面临的的艰难问题。对于普通人而言，我们通常对个人信息的泄露和非法利用毫无察觉，只有在犯罪的后果切实地降临到我们头上之后，我们才后知后觉地发现自己的个人信息已经被窃取和盗用。现实之中“被买房”数年而未曾察觉，直到准备买房时才发现自己已经丧失经适房申请资格的现象常见报端，去民政局登记才发现自己早已“被结婚”的新闻也不是第一次耳闻。[2]在过去交通和交流相对比较闭塞的时候，非法获取并利用公民个人信息的往往是周围对被害人情况较为熟悉的人，但是互联网技术的发展使得犯罪行为人可以通过网络匿名地、非接触地取得公民的个人信息，从而隐蔽地实现犯罪意图。也正是因为如此，在现实案件的侦破中常常可以发现，侵犯公民个人信息的犯罪与其他犯罪相比往往表现出了地域性更广、受害人数更多的特点。

2. 低投入性与高收益性

智能手机的普及使得当代人的生活发生了翻天覆地的变化。一方面，在抖音、微博等社交软件上分享自己的生活已经成为潮流，在这一过程中无意识地暴露自己的个人信息几乎无可避免；另一方面，基本上所有的手机软件都要求用户在使用之前必须先完成个人信息的注册，公民的姓名、手机号码乃至身份证件号码等开始被越来越多的主体所掌握。除此之外，处于效率和便捷的考量，诸如快递物流、在线酒店预定、网约车等现代服务业都要求掌握客户的基本信息，否则只能拒绝服务。在这样的社会环境下，个人信息越来越透明，非法获取个人信息也变得空前容易，犯罪分子完全可以以较低的成本甚至零成本来获取到大量的个人信息。

与侵犯公民个人信息犯罪的低投入性相对应的是这一犯罪的高收益性。在获取到公民个人信息后，无论是对其进行转卖还是利用其进行诈骗等后续犯罪都可以获得丰厚的收益，只要“黄牛”“电信网络诈骗”等行为没有从现实生活中销声匿迹，侵犯公民个人信息的犯罪就不会销声匿迹。现实中这类案件之所以不断发生，其中的一个主要原因就是犯罪的成本很低，但能获取的经济效益却很高。

3. 广泛危害性和规模性

和其他的刑事犯罪相比，侵犯公民信息犯罪往往具有犯罪数量大、社会危害极为广泛的特点。2012年央视“3·15”晚会报道了上海某公司非法买卖公民个人信息的调查，该公司自称手中掌握着1.5亿条中国中高端消费者的信息，可以应客户的要求对这1.5亿条个人信息数据按照地域、时间、身份、资产情况等各方面进行精准筛选。2017年，支付宝年度账单事件爆发，该软件利用视觉弱点让相当多的用户在不知情的情况下默认签署了《芝麻服务协议》，这不仅意味着芝麻信用可以向第三方提供用户的个人信息，还意味着它可以对用户的全部信息进行分析并将分析结果推送给合作机构，而支付宝软件的使用人数在中国超过了8亿。随后被警方破获的数据堂倒卖个人信息事件，涉案的公民信息数据甚至高达数百亿条，达到足足4000GB。实际上，由于侵犯公民个人信息犯罪的门槛较低，为了获取高额的利润，犯罪分子往往采取团队作案的方式，对个人信息进行批量获取和倒卖。公安机关在打击这类案件的过程中逐渐发现，非法侵犯公民个人信息的灰色产业链已经初具雏形，从卖方、中介到买方实现个人信息的极速流通，侵犯公民个人信息犯罪的规模也因此日创新高。

4. 主体身份的特定性

司法实践表明，侵犯公民个人信息犯罪还具有主体身份特定性的典型特征。个人信息犯罪极其庞大的数据交易量也决定了只有特定身份的主体才能更好地参与到犯罪行为之中。目前在案件中发现的侵犯公民个人信息的主体主要包括国家机关及公共事业机构的工作人员，金融机构、电信行业工作人员，以及其他能掌握到大量公民信息的商业机构和服务机构，如信息技术公司、酒店、快递等。2017年最高人民检察院发布的六起侵犯公民个人信息犯罪典型案例中就涉及某市疾病预防控制中心工作人员韩某利用工作便利非法获取新生婴儿信息30万余条、某省基层派出所民警籍某某利用工作之便倒卖公安系统内公民个人信息3670余条，以及某市原信息技术服务公司工作员工郭某某利用工作之便非法获取、转卖各类公民个人信息共计185203条等案例。

二、侵犯公民个人信息犯罪的行为类型

个人信息从隐蔽状态到被公布和利用往往会经历以下的流程：权利人拥有信息——信息被获取、收集——信息通过中介被传输和转让——信息被利用（被侵害）。针对该流程，侵犯公民个人信息的犯罪应当涵盖信息的非法获取行为、非法提供行为以及最后的非法利用行为。

（一）非法获取行为

非法获取行为是侵犯公民个人信息犯罪的最直接、最典型形式之一，该行为按照获取主体的身份大致可以区分为有权获取行为和无权获取行为。有权获取行为主要是指国家机关工作人员、企事业单位职工等有权或有机会接触到大量公民信息的个体在履行职责、提供服务过程中收集到的公民个人信息行为。而无权获取行为则是指没有身份的普通公民获取、收集个人信息的行为。非法获取行为也被认为是侵犯公民个人信息犯罪的源头行为，犯罪主体往往是在非法收集个人信息的基础上，再开展非法提供、非法使用等行为或者进行其他违法犯罪活动。

（二）非法提供行为

非法提供行为是指在侵犯公民个人信息犯罪中，犯罪嫌疑人将自己所掌握的个人信息传递到其他人手中的行为。按照犯罪嫌疑人是否借此获利，非法提供行为可以区分为有偿提供的行为如出售、交换等，以及无偿提供的行为。在实践中，非法提供行为发生的前提是犯罪主体已经掌握了大量的公民个人信息，因此该行为常常发生在非法获取行为之后，有时也被称为侵犯公民个人信息犯罪的“中间行为”。

（三）非法使用行为

非法使用行为是侵犯公民个人信息犯罪的最后一环，也是现实生活中侵犯他人个人信息比较常用的一个表现方式。非法利用行为的方式较多，最常见的就是利用他人的信息进行假冒。非法利用个人信息、假冒他人身份往往有两个目的：一是借助假身份来掩饰自己，从而便于开展后续诸如诈骗、洗钱、走私、贪污、危害国家安全等犯罪；二是利用假身份来替代被害人行事，其动机或是对被害人不满想要损害其利益，或者是李代桃僵想要挪取被害人的合法权益。无论是明星肖战被私生粉取消航班，还是沸沸扬扬的“山东代替上大学”案件，都在说明非法利用个人信息的行为已经给社会秩序带来了巨大的挑战。

三、侵犯公民个人信息犯罪的立法现状

大数据时代下法律对个人信息的规制保护经历了一个从无到有、从片面到全面的逐步演进过程。从整体上来看，个人信息保护经历了从《刑法》《网络安全法》到《民法典》的逐渐发展过程，而单单从刑事立法的角度来看，2005年《刑法修正案（五）》、2009年《刑法修正案（七）》和2015年《刑法修正案（九）》使得个人信息的刑事规制呈现出从附属其他权利保护到逐渐趋向于直接化与专门化的发展态势。

1997年《刑法》并未以专门的罪名和条款对侵犯公民个人信息的犯罪行为进行规制，但是随着大数据时代的到来，实践中逐年增加的个人信息犯罪开始对过去稳定的法治秩序和社会秩序造成了不小的冲击。因此，如何对个人信息犯罪进行刑法规制以适应现实之需求成为之后历次刑法修正面临的重要问题。2005年《刑法修正案（五）》增设了“窃取、收买、非法提供信用卡信息罪”，着重打击现实中存在的、利用特定自然人信用卡信息进行犯罪的行为。但是，虽然该罪名打击的对象是滥用特定个人信息行为，但由于其所保护的法益是国家金融管理秩序而非个人信息，所以这一时期也被认为是个人信息“附属其他权利保护时期”。到了2009年，《刑法修正案（七）》首次明确地将公民个人信息纳入到刑法的保护范围中，增设了“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”两个罪名，这次修改第一次实现了刑事立法层面的个人信息独立保护。在此之后，2015年颁布的《刑法修正案（九）》将上述两罪整合为“侵犯公民个人信息罪”，并就具体条文进行了调整。2017年最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了“侵犯公民个人信息罪”的具体适用条件，刑法对个人信息犯罪的规制逐渐走上了直接化、专门化的道路。但即便是如此，目前我国关于侵犯公民个人信息犯罪的立法仍然存在不足之处。

（一）立法的分散性与滞后性

对于侵犯公民个人信息行为的法律规制，目前主要散见于《民法典》《刑法》《网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《电信和互联网用户个人信息保护规定》等法律法规和司法解释中，在实践中有时也会利用《治安管理处罚法》来对其进行调整。从法律实践的具体情况来看，我国目前关于侵犯公民个人信息犯罪的规定不仅较为分散，而且在运用时更加倚重司法解释。因此，随着侵犯公民个人信息获取经济利益的现象逐渐增多，关于制定一部完整的《个人信息保护法》的呼声越来越强烈，2020年10月21日第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法（草案）》进行了审议，并面向社会公众公开征求意见。可以预见的是，在该法生效以后，我国对于个人信息的保护将会进入到一个全新的发展阶段。

通过对我国侵犯公民个人信息犯罪的刑事立法沿革进行梳理，可以明显地发现相关的法律法规正在不断地改进和完善，但是滞后性作为法律本身与生俱来的特质却仍然不能避免。更何况侵犯公民个人信息犯罪所依托的互联网技术在日新月异地发展，因此法律的滞后性在侵犯公民个人信息犯罪方面显得尤为明显。两高关于侵犯公民个人信息刑事案件的司法解释采用概括+列举的形式简单指出了公民个人信息的范围，包括姓名、身份证件号码、住址、账号密码等。但由于个人信息的范围实在太过广泛，信息的犯罪方式变化太过迅速，当前这些规定并不能完全解决实践中不断出现的以公民教育信息、医疗病史、DNA档案等为对象的新型犯罪。

（二）源头治理模式失效

“源头治理模式”是我国《刑法》常采取的行为规制模式之一，是指对于某些由数个法益侵害行为共同构成的犯罪，从其犯罪的源头入手，通过打击处于前端的犯罪行为来消解掉末端犯罪行为存在的基础，即使末端行为的社会危害性更高更直接，也不构成犯罪。采用这种模式主要是基于末端行为通常不具有刑法规制的紧迫性和必要性、对其进行规制不符合“罪刑法定原则”、司法行为应当考虑成本和效率等多方面的原因。[3]在《刑法》中，有不少罪名可以体现出“源头治理”的行为规制模式，如非法制造、出售非法制造的用于骗取出口退税、抵扣税款发票罪；盗窃、抢夺、毁灭国家机关公文、证件、印章罪等。采用“源头治理模式”可以避免刑法打击面积过大、浪费司法资源的弊端，而且通过间接防控的方式往往也能同样起到打击下游犯罪的效果。

在处理侵犯公民个人信息犯罪时，《刑法》第二百五十三条也同样选择了这一行为规制模式，即不对最终的非法利用行为进行处理，而是通过对前端的非法提供、出售和非法获取公民个人信息的行为进行打击，从而实现防止犯罪的效果。在互联网发展的初期，这一做法的确比较符合当时的社会现实，从实践效果来看，《刑法修正案》（五）、（七）、（九）的颁布确实使得大量侵犯公民个人信息的犯罪被打击和规制，以盗窃、倒卖等不法手段传播个人信息的非法行为也不复过去的猖獗。但是随着互联网环境的深度发展和广泛影响，滥用个人信息的情况越来越多，面对已经成熟的侵犯个人信息犯罪链条，只规制上游犯罪显然不能发挥出《刑法》打击违法行为、稳定社会秩序的作用。要知道有需求就一定会有供给，当下非法利用个人信息产生的利益越来越大，只要犯罪分子受到诱惑实施了非法利用的终端行为，就一定会诱发出与之对应的前端行为，非法利用已经成为非法获取、非法提供行为的目的和前提，对过去《刑法》中比较稳固的侵犯个人信息行为体系造成了实质性影响。而《刑法》只规制非法前端行为的做法无疑会导致犯罪分子转向新的犯罪模式，即“合法获取、非法利用”，采用这种方式进行犯罪在互联网高度发达、大数据近乎透明的现今完全称得上是轻而易举。也正因如此，侵犯个人信息的犯罪至今仍是屡禁不止。

（三）刑罚设置存在缺陷

从刑罚上来看，《刑法》第二百五十三条及其司法解释的规定似乎也略有瑕疵。作为典型的“程度犯”，刑法规定侵犯公民个人信息的犯罪只有达到情节严重和情节特别严重时才予以规制。按照司法解释，情节严重的标准包括：①非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；②非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上；③非法获取、出售或提供上述两项以外的其他个人信息五千条以上。而情节特别严重的标准则是情节严重标准的十倍。但是从司法实践来看，若以涉案信息数量为参照，绝大多数涉及个人信息犯罪的案件都能轻易达到情节特别巨大的标准，尤其是犯罪对象是关于轨迹信息、通信内容、征信信息、财产信息等个人信息的案件。虽然这种情形有助于遏制日益猖獗的个人信息犯罪，但就其本身而言，这也是刑罚设置存在缺陷、和现实脱节的一大体现。

四、侵犯公民个人信息犯罪刑事规制的完善路径

随着互联网信息技术的进步和大数据时代的纵向发展，公民个人信息保护将会面临的压力也会越来越大，如何以顶层设计来应对大数据时代层出不穷的新问题业已成为法学学科乃至整个社会在未来十几年间的发展方向。从刑事立法的角度来看，以实践经验为立足点，将非法利用行为纳入到《刑法》第二百五十三条，并对适用相关规定时综合具体情况审慎考虑量刑，不仅有利于进一步完善侵犯公民个人信息犯罪案件刑事规制，也有利于更好地应对当前日益严峻的犯罪现状。

（一）完善刑事规制的可行性分析

1. 非法利用行为与旧罪体系的兼容可能

非法利用行为与《刑法》第二百五十三条规定的旧罪体系具有较大的兼容可能性，将其纳入涵摄范围并不会对现有的“侵犯公民个人信息犯罪”造成冲击和破坏。首先，《刑法》之所以规定侵犯公民个人信息犯罪，其初衷就是为了保护个人信息权益，促进个人信息的规范处理、合理利用和依法自由流动。由此可见，该罪的法益应当为自然人的个人信息权益。因此，在该罪的行为体系中不仅包含了侵犯个人信息的非法提供（出售）行为，也包括了非法获取（窃取）行为。而纵观个人信息从为权利人所合法拥有到被非法侵害的流程中，非法提供、非法获取和非法利用都是侵犯公民个人信息行为的具体表现形式，它们侵害的法益相同，造成的社会危害也具有一定的相似性。因此，将非法利用行为纳入到“侵犯公民个人信息罪”的行为体系之中，从立法技术上来看是切实可行的。其次，伴随着“源头治理”行为规制模式的失效和网络信息技术的深入发展，“合法获取、非法利用”的新型犯罪模式已经逐渐成为犯罪分子规避《刑法》、牟取利益的惯常做法。从这个角度来看，非法利用行为入罪的目的不在于另辟蹊径，而在于查漏补缺，将现行侵犯公民个人信息犯罪的行为体系进一步完善。

2. 非法利用行为入罪的司法效率考量

在大数据和互联网时代的背景下，频繁接听骚扰电话和垃圾短信、发觉自己的私人信息被抢先注册身份等情况基本上成了大家的共同遭遇。在非法利用个人信息已成普遍之势的现实背景之下，要想将这一行为纳入到《刑法》的规制范围内，还必须考虑司法的效率性要求。而现行《刑法》第三百五十二条“侵犯公民个人信息罪”规定，普通公民只有侵犯个人信息达到“情节严重”或“情节特别严重”之时，才应当对其处以刑罚，即该罪属于典型的程度犯。随后施行的司法解释业已进一步对“情节严重”和“情节特别严重”进行了详细解释。除此之外，就司法实践的具体情况来看，侵犯公民个人信息罪案件也往往属于身份特殊、影响恶劣或者涉案信息数量较大的情况。因此，即使将非法利用行为纳入到侵犯公民个人信息犯罪的体系之中，对于偶发的、影响轻微的、涉案信息数量少的非法利用行为，应当也不会事无巨细地进行规制。职是之故，将非法利用个人信息的犯罪行为纳入到《刑法》的规制范围之中，不仅可以符合司法效率的要求，也不会造成社会的恐慌与动荡。

（二） 刑事立法途径

将非法利用行为纳入到《刑法》侵犯公民个人信息罪的涵摄范围是通过刑事立法途径解决当前现实问题的优解之一。从侵犯个人信息犯罪的行为流程来看，非法利用行为属于应当被规制的侵犯个人信息犯罪的下游犯罪，其前端行为为个人信息的获取、买卖等行为。而《刑法》第二百五十三条采用的“源头治理模式”并未将该末端行为纳入到规制的范围，这直接导致了实践中花样百出、屡禁不止的侵犯公民个人信息犯罪。因此，必须将非法行为纳入到刑法中，通过上截下堵、先防后治的方式形成完整的犯罪打击流程，从而实现对公民信息的完整保护。

1. 罪名

规制公民非法利用个人信息行为，可以继续沿用《刑法》第二百五十三条“侵犯公民个人信息罪”的罪名。因为无论是从被侵害法益还是被侵害对象来看，非法利用个人信息的行为与侵犯个人信息的非法提供（出售）、非法获取（窃取）行为都具有一致性。此前，为了解决现实生活中广泛存在的侵犯个人信息犯罪乱象，理论界曾尝试着提出将“非法获取、持有、使用、出售、提供、传播公民个人信息”等一系列行为都纳入到法律法规的处罚范围之内[4]①公安部2017年1月16日发布的《中华人民共和国治安管理处罚法（修订公开征求意见稿）》第五十七条规定，非法获取、持有、使用、出售、提供、传播公民个人信息的，处十日以上十五日以下拘留，并处违法所得三倍以上五倍以下罚款；没有违法所得或者违法所得不足一千元的，并处三千元以上五千元以下罚款。情节较轻的，处五日以上十日以下拘留，并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足一千元的，并处一千元以上三千元以下罚款。。这一意见最后虽未被采纳，但也为我们探讨以刑事立法规制个人信息非法利用行为给出了提示和借鉴。

2. 罪状

在规制公民非法利用个人信息行为时可以将非法利用行为单独分列出来，并适当参考《刑法》第二百五十三条第一款的罪状和法定刑构成，即“非法利用公民个人信息的，依照第一款的规定处罚”。不将非法利用行为并入到现存的条款中，主要是出于两方面的考量。首先，犯罪主体应当具有独立性。非法利用行为包括“非法获取、非法利用”和“合法获取、非法利用”两种行为模式，因此其主体既包括有权获取该信息的主体，也包括无权获取该信息的主体。但是《刑法》第二百五十三条第一款“非法提供”行为的主体是无权提供信息的主体，而第三款“非法获取”行为的主体是无权获取该信息的主体，非法利用行为的犯罪主体与这两款犯罪的特殊主体并不相符，因此不能简单地将其合并归入到任意一款当中。其次，我国《刑法》中不少并列行为犯罪的罪名是按照较为严谨的逻辑进行排列，前端行为在前，末端行为在后，非法利用行为作为侵犯公民个人信息犯罪的末端行为，其法益侵害性较之非法获取、非法提供行为更加直接和严重，将其与这两种前端行为随意地合并规定，显然不符合立法的逻辑且容易引发混乱。

3. 刑罚

正是因为“非法利用”行为所侵犯的法益与“非法获取”“非法提供”行为具有一致性，参考《刑法》第二百五十三条第三款对罪状和法定刑的规定并结合罪刑相适应的原则，对“非法利用”罪状和法定刑可以表述为“依照第一款的规定处罚”，即仍然延续《刑法》第二百五十三条“情节严重”“情节特别严重”的量刑情节。首先，某些法益侵害程度轻微的犯罪行为并没有被严厉处罚的必要，设置构罪的最低限度可以促进个人信息保护与合理利用之间的动态平衡。此外，延续侵犯公民个人信息犯罪的刑罚规定也可以尽可能地保持该罪的刑罚体系呈现和谐与稳定。

（三） 刑事司法途径

1. 审慎适用司法解释，促进刑罚适用合理化

就司法实践的经验来看，《刑法》及其司法解释对侵犯公民个人信息犯罪的规定使得“情节严重”的条款在一定程度上被“情节特别严重”的条款所架空，因此才会出现侵犯公民个人信息犯罪的刑罚设置与实际相脱节的状况。造成这种现象的原因主要有两点：首先，大数据背景下个人信息的易获得性大大降低了该类犯罪的门槛，因此犯罪分子在进行牟利时往往采取“走量”的方式。2020年10月26日央视报道称，在某些网络交易平台上，甚至只花两块钱就能买到上千张涉嫌隐私的人脸照片。因此，大多数侵犯公民个人信息的犯罪存在着涉案信息数量不菲的情况。其次，两高的司法解释以数量的形式对情节严重和情节特别严重进行了区分，其设置的初衷主要是为了在司法实践中更明确地把握定罪量刑标准，并对日益猖獗的犯罪进行切实有力的打击。但在实际执行的过程中，法官在判决时有时也会出现为了追求便捷只关注数量而忽视了犯罪社会危害性的情况，这无疑会进一步加剧刑罚设置的失衡倾向。因此，在司法实践的过程中，法官应当综合涉案信息数量、违法犯罪所得、是否引发后续犯罪、造成的社会影响等方面综合考虑定罪量刑，以审慎的态度适用司法解释，从而促进刑罚适用的合理化、实用化。

2. 关注现实动态，及时发布指导性典型案例

作为互联网时代的新型犯罪类型，依托互联网信息技术而存在的侵犯公民个人信息犯罪在犯罪方式、行为手段等方面往往呈现出快速变化的特点。因此，法律的滞后性在此类犯罪中也体现得尤为明显。而要想应对这一困境，除了对法律法规进行定期审视和修改以外，还应当采取更加灵活的形式来应对实践中不断涌现出来的新型犯罪，发布指导性案例就是一个较好的选择。2017年两高分别发布六起侵犯公民个人信息典型案例，对非法获取公民个人信息出售牟利以及行政管理机关和金融、电信、交通部门、宾馆、快递等服务行业工作人员侵犯公民个人信息安全的犯罪如何处理作出了指导性说明。而公安部则两次发布了侵犯公民个人信息犯罪十大典型案例，重点打击利用网络软件和非法网站侵犯公民个人信息的犯罪行为。这些典型案例的发布给广大的基层司法机构如何开展工作提供了很大的指导性价值，从而使得相关的法律法规真正落到了实处。因此，面对隐蔽多变的犯罪情况，司法机关应当聚焦于现实动态，及时发布指导性典型案例，促进现行法律体系能行之有效地打击侵犯公民个人信息犯罪，保护公民合法权益不受侵犯。