侵害公民个人数据犯罪研究

陈柄臣

（华东政法大学 刑事法学院，上海 201620）

自20世纪末我国铺设互联网以来，短短二十年，就已建立起数字社会雏形。随着5G网络全面性铺设，以及IPv6技术的广泛部署，我们的生活可以更加便捷。但是，在我们享受互联网带来的便利生活的同时，个人信息数据泄露问题摆在全社会面前。特别是伴随国家网络实名制制度的推行，相关的配套制度尚未跟上，使得个人会遭受个人信息数据泄露的风险。如何治理侵害公民个人数据犯罪则成为本文要研究的内容。

一、公民个人数据概述

（一）公民个人信息与数据辨析

一直以来，公民个人信息数据一词用来统称公民的个人电子信息。但实际上，公民个人信息数据与公民个人信息和公民个人数据的内涵是不同的。梅夏英认为数据与信息本质不同，从表面上看，数据与信息概念属于混用状态。[1]梅夏英还在2020年中国人民公安大学数据安全法治研究会上阐释了自己最新的观点，他认为：信息以内容为定义，为本体；数据是信息的表现形式，目前信息主要以数字的形式呈现，保护信息等同于保护数据。①摘自微信公众号：雅理读书，“数据安全法治研究会”在中国人民公安大学顺利举行，访问时间：2020年10月1日。程建华等人也对民法中的数据进行有关研究，认为数据独立于其载体，具有财产特性，应适用于相应的财产保护范式。[2]李海敏也有着类似的看法，他认为数据的价值性、可控性与独立性使其成为一项新财产类型。[3]以上的研究结论，我们可以得出，数据的价值属性得到了多位研究人员的一致认可。

那么什么是数据呢？有关于计算机名词，大多属于舶来品，数据对应英文单词为Data。Data在维基百科上，指未经过处理的原始记录。①维基百科：数据，https：//zh.wikipedia.org/wiki/数据，访问时间：2020年10月1日.百度百科给予数据的定义是，数据（data）是事实或观察的结果，是对客观事物的逻辑归纳，是用于表示客观事物的未经加工的原始素材。②百度百科：数据，https：//baike.baidu.com/item/数据，访问时间：2020年10月1日.一般而言，数据缺乏组织及分类，无法明确地表达事物代表的意义，它可能是一堆杂志、一叠报纸、数种开会记录或是整本病人的病历纪录。数据描述事物的符号记录，是可定义为意义的实体，涉及事物的存在形式。是关于事件之一组离散且客观的事实描述，是构成消息和知识的原始材料。因此，从数据的定义来看，信息是数据的表现形式，而非数据是信息的表现形式。数据具有本质性，因此，如果泄露数据，比泄露信息危害性更大。

（二）公民个人数据的内涵

1.欧盟 GDPR

GDPR是General Data Protection Regulation（通用数据保护条例）的简称，目前该条例在28个欧盟成员国统一实施生效。欧盟GPDR的效力虽然基本上只限在欧盟范围内，但依然不影响它成为一部震撼全球的法律。GPDR颁布后，由于其较高的合规要求，谷歌、Facebook第一时间成为被投诉的主要对象。

GPDR第4条第一项为个人数据进行了定义。“个人数据”是指与已识别或可识别的自然人（“数据主体”）相关的任何信息；可识别的自然人是指可以直接或间接识别的人，尤其是通过参考诸如姓名，识别号，位置数据，在线标识符之类的标识符，或针对特定于身体，生理，该自然人的遗传，心理，经济，文化或社会身份。[4]

GDPR以个人可识别信息为核心概念，凡是可以用作识别个人身份的相关信息，均落入GDPR保护范围，这些信息不再只是单纯的姓名、电话或是地址，同时也包括浏览器的Cookie、IP位置，或是足以识别个人身份的生物特征以及医疗资料。具体分类包括如下：

（1）基本身份信息。基本身份信息是每个人在社会中最常用到的信息，例如真实姓名、户籍地址或居住地址、身份证卡号等。基本身份信息可以快速判断一个人是否为本人，因此面临泄露的风险也是最大的。

（2）个人网络数据。常见的有地理位置、IP地址、Cookies数据和RFID标签等。由于移动设备普遍带有Wi－Fi、蓝牙等功能，因此即使不需要GPS传感器，通过你的网络环境也可以判断出你本人在哪里，缺点是精度不够；关于IP地址，不同于中国，海外由于IPv4技术率先应用，地址池数量充足，无论是企业还是个人均能实现固定IP接入（中国内地由于互联网起步晚，全球IPv4地址所剩数量不多，大多使用共享IP上网）；Cookies数据，指存储在用户本地终端上的数据，该技术的发明主要是为了网站辨别用户身份。例如，当你彻底关掉浏览器后，再打开你刚才登录过的网站会自动登录而无须重新输入账户密码；RFID标签，即电子标签系统。日常生活中应用最多的就是刷饭卡。但是，随着物联网的建立，智能家居走向千家万户。智能家居通常使用该技术用以识别用户的无线操作。

（3）医疗保健和遗传数据。医疗保健数据，是指与自然人身体或精神健康有关的个人数据，包括能揭示关于他或她的健康状况的健康保健服务所提供的数据。遗传数据，是指反映个人遗传规律的数据。

（4）生物识别数据。是指通过识别生物数据而确定身份的数据，例如指纹、人脸数据。

2.中国《信息安全技术个人信息安全规范》

2018年5月1日，《信息安全技术个人信息安全规范》正式实施。该规范被业内称为“中国版GPDR”。的确，该规范在制定时参考了个人信息保护方面最先进的国外立法，例如GDPR（通用数据保护条例）、EU－US Privacy Shield（欧美隐私盾协议）、Consumer Privacy Bill of Rights（美国“消费隐私权法案”）。需要说明的是，该规范并非强制性规范，而是作为国家推荐标准实施，但是这将是我国今后开展与个人信息保护相关的各类活动的参考标准，也将成为今后制定和实施个人信息保护相关法律法规的基础。

该规范不仅对个人信息进行了定义，还给予了是否为个人信息的判断逻辑。该规范定义个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。③信息安全技术－个人信息安全规范[S].GB/T35273－2017.判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

该规范附录A表A.1对个人信息进行了举例，相较于GDPR，虽然有重合的分类，但明显分类更加丰富。具体包含个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康生理信息、个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息以及其他信息。相较于GDPR，该规范有特色的信息分类为个人基本资料、个人财产信息、个人通信信息、个人常用设备信息。

个人基本资料，是指记录个人背景特征的数据。个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮箱等。

个人财产信息，指能够反映个人财产的数据。例如银行账号、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息。

个人通信信息，指能够记录个人通过媒介进行交流的数据。例如通信记录和内容、短信、彩信、电子邮件，以及描述个人通信的数据（通常称为元数据）等。

个人常用设备信息，是指自己使用的具备联网功能的硬件数据。指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码（如 IMEI/android ID/IDFA/OPENUDID/GUID、SIM 卡 IMSI信息等）等在内的描述个人常用设备基本情况的信息。

3.公民个人数据分类

无论是欧盟GDPR，还是我国的《个人信息安全规范》都对个人信息数据做了较为完整的定义和类型列举，两者都强调了数据信息的个人可识别性。不同的是，欧盟强调的是“数字主体”身份，而我国强调的是“自然人”身份。欧盟并未对数据存在的形式进行定义上的限制，我国明确提出“以电子或者其他方式记录的”。但是，最根本的不同是，欧盟采取的术语是“数据”，我国该规范采用的术语是“信息”。同时，对数据划分得过于宽泛，会对企业合规造成较大的压力，不利于创新；如果划分范围过窄，则不能起到保护个人数据的作用。因此，根据以上关于数据和信息辨析的结果，归纳个人数据为以下几类：

个人基础数据。个人基础数据，是指能够快速识别定位本人的数据，在识别个体时具有基础性作用。具体内涵为姓名和身份证ID数据。

个人起居数据。指能够完成描述个人生活轨迹的数据。具体内涵应包括居住地地址、工作地址、活动地点、购物地点、上学地点、智能家居数据。获得个人起居数据，进行编码重排后，能够充分了解该个体的日常作息习惯、各种喜好。虽然目前多被用来进行广告投放，但是一旦被犯罪分子获取，个体将进入被“不怕贼偷就怕贼惦记”的状态。

个人社交数据。社交是人类必不可少的行为，也是人之所为社会中的人所必须具备的技能。因此社交数据，是指能记录并反映人的社交情况的数据。具体包括：电话号码和通话记录、社交账户、电子邮件、即时消息和BBS等数据。

个人财产性数据。指能够反映个人财产的数据。具体应该包括银行账号、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等。笔者对《个人信息安全规范》规范中的虚拟财产信息划入个人财产性数据持保留态度，因为虚拟财产信息是个人财产在消费后产生的，应该属于商品，只能反映出一个人花了多少钱，无法去判断他有多少钱。比如，孩子给自己的游戏账户充了几万元，并不能反映出这个孩子本身的状况。因此，虚拟性财产信息不符合数据原生性的准则。

个人设备数据。个人设备数据应当是能够联网的设备数据，正如《个人信息安全规范》中所列举的设备数据种类，硬件序列号、设备MAC地址①MAC位址，或称以太网地址（Ethernet Address）或物理地址（Physical Address），它是一个用来确认网络设备的位置。、唯一设备识别码，通过这些数据能够识别确定单独的设备。如果这些设备不联网的话，实际上设备数据泄露对个人没有任何伤害。比如，一台传统洗衣机，放在家里面，只有主人才可以操纵。但是，如果这台洗衣机联网，并能够在网络上被单独识别确定，那么可操纵该洗衣机的就不止主人了。因此，个人设备数据应指的是那些个人联网设备的数据。比如，目前手机设备均带有GPS芯片，获取到手机设备信息后，可以读取个人的行踪轨迹。

二、侵害公民个人数据犯罪的危害性

对于侵害公民个人数据犯罪，大家最为熟知的是“山东徐玉玉”[5]一案，该案件入选“2017年推动法治进程十大案件”。2016年高考，山东临沂女孩徐玉玉被南京邮电大学录取。同年8月19日，徐玉玉接到一个陌生电话，称有笔助学金要发放给她。徐玉玉由于家庭困难，之前确实向教育部门申请了一笔助学金。加上对方还能在电话里报上她的其他个人信息，徐玉玉深信不疑，按指示将9900元学费转入对方账号。得知被骗，徐玉玉伤心欲绝，心脏骤停，离开了人世。

随着后续案件的调查和结果公开，徐玉玉的受骗并非偶然粗心大意，实属精准诈骗。犯罪嫌疑人陈文辉从犯罪嫌疑人杜天禹手中购买了五万余条山东省2016年高考考生信息。高考考生信息表记载的个人信息数据非常详细，包括个人姓名、身份证号、户籍所在地、主要社会关系、报名号、所在学校以及录取信息。在一个人向你报出这么多信息之后，并找到一个合适的理由进行行骗，很难不相信。

侵害公民个人数据犯罪的危害性在于使每个“数字化”的个人“裸体”暴露在社会面前，从而使得犯罪嫌疑人可以对个人实现“瓮中捉鳖”式犯罪。

（一）个人基础数据泄露的危害性

身份证号目前可以说是在内地生活的通行证，应用场景最为丰富广泛，与大家的生活息息相关。如今，铁路已经实现无纸化车票，凭身份证刷卡进出车站。旅馆业、金融业、物流以及交通运输业这几大大家日常接触频繁的领域均已接入身份证鉴权系统。身份证号码是最常用的个人数据，同时也是最容易被各种主体滥用的数据，最终导致的结果就是身份证号码成为个人数据泄露中的首当其冲。

更重要的是，身份证号码，在日常使用中，如果应用场景一般的话，是不会做仔细鉴权的。特别是在一些App中，获得相匹配的姓名和身份证号码可以初步完成实名认证，而无须本人亲自确认。例如，未成年人通过购买身份证数据逃避防沉迷系统；机场取票时，自动值机系统可以凭身份证取票。

2020年9月6日，据南方都市报报道，吴磊（电视剧《琅琊榜》飞流扮演者）的某位站姐从2017年到2020年连续三年盗用吴磊国航及南航名下的里程积分，为自己和朋友兑换免费机票，前后多达12次。根据曝光者称，该女士擅自将吴磊的身份证号绑定在她用自己手机号注册的航空账号上。通过该操作，该女士不仅能随意查看吴磊的行程，还可以添加受让人，擅自处分积分权益。因此，个人基础数据泄露可以给予别人顶替当事人“身份”的机会。

此外，身份证号码解析规则对社会是透明的，前六位为行政区划代码，中间八位为出生年月，末4位为校验码。通过对身份证号码进行解析，便可以获得你的出生地、出生时间以及性别等有效信息。

（二）个人起居数据泄露的危害性

在过去，个人的起居行为是私密性的，去过哪里、买过什么东西以及路线图是不可能被其他人完全知晓的，即使动用公权力，想要描绘一个人的行为轨迹图，也是需要耗费大量人力物力的。如今，由于智能手机普及化以及人人随时携带智能手机进行起居生活，个人起居数据的收集变得更加容易。但同时，由于手机操作系统对App的权限管理较为宽松，使得用户在自己手机上安装的App均有机会去收集用户的起居数据，并在用户未曾授权或未曾明确知情授权的情况下交换使用。

2018年4月13日，网友@Eric Tsui在网络上晒出一组图，表示两个人使用滴滴打车软件，从同样的地点出发、同样的目的地，但价格却不同。《北京日报》表示，无论是工业经济时代还是互联网信息时代，细分市场都是企业营销的重点。而这一切背后都是企业为了追求更高的边际效益。边际效益是指目标行为预期带来的额外收益。[6]通常操作是，对需求高的人定价高，对价高就不会购买的人定低价。在工业经济时代，企业需要投入大量人力物力进行市场调研才可以细分市场，而在互联网信息时代，企业只需要利用App或者从数据公司购买相关数据，便可以达到目标。

如果你的个人起居数据遭到泄露，被有关主体利用后，就可以对你的生活习惯方式进行画像。对于企业来说，可以精准定时定点以你预期的价格向你推荐商品，促使你进行消费，也可以进行大数据杀熟行为。而犯罪分子，则可以根据你的起居时间，在你的休息时间进行犯罪活动，例如夜晚进行伪基站短信拦截、盗刷银行卡等行为。

（三）个人社交数据泄露的危害性。

个人社交数据泄漏的危害性主要在于使自己的社会关系被公开。对个人社交数据进行再编码进行分析，可以有效获得个人关系网。最常见的行为就是智能手机中App读取通讯录。当你在使用抖音时，会推给你“可能认识的人”。抖音App读取手机通讯录后，不仅推荐通讯录中的人，还推荐通讯录中的人的第二层关系，一般显示为“共同联系人”。抖音该推荐机制体现了抖音算法的强大性，虽然为用户社交带来了极大的便携性，但是也同时侵犯了用户的隐私。有网友表示，我只想我的抖音成为我的“后花园”而已，不想与人共享。[7]

微信如今已经成为国民社交App，各大应用商店市场下载量均排名第一。但是，陌生人请求加微信好友深藏套路[8]，你可知道？由于微信的社交软件属性，会推荐用户开通“发现通讯录中的好友”功能进而获取读取手机“通讯录”权限。当你在自己的手机通讯录中添加新的号码时，微信会自动向你推荐该号码的微信。犯罪分子利用这一功能，进行反向操作，购买具有活跃度的手机号码，导入自己的手机通讯录，然后通过微信的“发现通讯录好友”的功能，进行添加好友操作。新闻报道中，陌生人加好友成功后，一般不是推荐理财就是卖茶叶，但不管打的什么幌子，最终都是为了诈骗受害人的钱财。因此，个人社交数据泄露后，可以给犯罪分子提供接触受害人的机会。

还有一种常见的犯罪行为是，利用社交关系时间信息不对称的条件，对亲朋好友进行诈骗。例如，最常见的是“留学生虚拟绑架案”，此外还有利用社交账户对好友进行诈骗的案例。[9]

（四）个人财产性数据泄露的危害性。

由于金融行业近几年的安全策略的不断进化，目前付款均采取多重验证安全策略，常见的比如手机验证码二重验证，因此单独泄露银行账号密码，一般无法对个人财产造成威胁的。如果在上述背景下，依然发生盗刷，多数是犯罪分子利用泄露的个人其他数据，采取社工策略，诱导受害者提供了所有的信息，从而实现犯罪目的。但是，例如存款信息、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，这些大家最不关心的数据如果泄露反而对自身有着比较大的威胁性。例如，在信贷业务中，为了防控放贷风险，监管部门和银行都对放贷业务的流程和审核作出了严格规定。在这些要求中，摆在首要位置的就是查验申请人身份，申请人要提供包括身份证、收入证明、贷款用途等在内的一系列资料，经银行审核符合要求。[10]根据有关媒体报道，犯罪分子通过对身份证上原主人的照片进行替换，凭借原主人的财产流水记录，成功拿到贷款。

（五）个人联网设备数据泄露的危害性。

目前每个人拥有的联网设备越来越多，隐私泄露问题也伴随而来。

个人联网设备数据泄露，主要是指Mac地址、绑定的IP地址以及端口、设备鉴权口令数据的泄露。通过以上数据，借助互联网，怀有不轨动机的人可以任意对个人联网设备进行后台控制，从而实现不法目的。

2017年末，360水滴直播事件爆出。[11]360水滴摄像头宣称的最大卖点就是，通过与互联网相连，用户可以随时随地地通过智能摄像头查看家庭或所监控场景内的实时画面。但随后爆出，360在未经用户允许的情况下，私自将用户监控画面向社会公众直播。同时，网上还出现众多带有360水印的私密生活视频。360公司是一家做网络安全的公司，为什么还会出现这样的事情呢？据《中国经营报》报道，市场上存在出售相关破解软件、监控视频和摄像头ID及密码的交易，一个监控摄像头的ID和密码单价最低仅需4元就可获取，一条隐私视频的单价则仅需一元。猎豹移动安全专家李铁军向媒体透露：“实际上，监控设备的漏洞早已公开，由于传统厂商的疏忽，硬件商在其中应承担起主要责任。”

三、侵害公民个人数据犯罪治理研究

如上所述，公民个人数据被侵害后所造成的众多的和严重的危害，治理侵害公民个人数据犯罪已经刻不容缓。根据公安部“净网”2020专项行动，截至2020年5月7日15时，各地共捣毁为贷款类电信网络诈骗犯罪团伙提供服务的违法1069短信平台57个，抓获犯罪嫌疑人798名。同时，在新冠肺炎疫情期间，全国公安网安部门打击网上侵害公民个人信息犯罪活动，已治安处罚1522人，通报其他部门给予党纪政纪处分433人。[12]但是，仅靠公安部专项行动是远远不够的。预防侵害公民个人数据需要个体、企业、政府多方面的配合努力及预防、监控、防范等多个环节的治理。具体而言：

（一）公民个体需要主动保护所属个人数据

公民个体对所属个人数据的保护意识不强是普遍存在的。大多数人为了方便，将身份证等证件照片存储在手机之中，且并未进行加密保护。一旦手机丢失，不法分子借助手机里的数据，可以迅速进行人工申诉，获取相关账户所有权，进行不法操作。学习工作中，经常需要上报身份证等数据，申报完后不在本地终端进行删除数据操作，导致有可能被他人有机会得知自己的个人信息。而最为危险的操作是，绝大多数人将身份证随意存放，使得身份证可以被更多的人接触到。此外，还有大家所熟知的快递面单，大多数都是明面显示收件人的地址、号码和姓名，很多人收到快递后并不对快递面单做信息抹除操作，因此衍生出一个专门收集被抛弃快递盒子面单数据的行业。公民个体应保护好自己的账户密码。应当自己的账户自己管理，非必要不对他人授权或者共享账户密码。近几年高考篡改志愿案件，均是因为个体没能保护好自己的账户密码，或者对他人透露自己的账户密码导致的。

公民个体应严格管理自己智能设备上的App权限。目前全球两大移动设备操作系统分别为美国谷歌公司的Android系统和美国苹果公司的iOS系统，且均可以实现强大的App权限管理功能。不同于iOS系统的闭源性特征，Android系统由于其开源，可以在各种不同的硬件平台上运行，目前在全球份额占七成以上[20]。由于Android平台的开放性特征，其平台运行的App索要过度权限问题一直很严重。公民个体在授予App权限时，应坚持最少权限授予原则，从而避免自己个人数据被侵害的风险。

（二）企业应积极履行保护消费者数据的义务

公民个人无论怎么样保护自己的数据不被泄露，但是为了自身在网络生活中的便利性，依然会为了接受企业提供的服务而将自己的个人数据提供给企业保存。企业作为市场经济活动中的主要个体，应该积极依照法律保护有关数据。同时作为交易中的被信任方，更应该积极履行自己的义务。

企业负有严格防范用户账户数据泄露的义务。2020年3月19日，有用户发现5.38亿条微博用户信息在暗网出售，其中，1.72亿条有账户基本信息，涉及用户ID、性别、地理位置等。随后微博方面很快承认了微博数据泄露一事属实。此外，快递业对于客户信息保护也十分不力。目前，快递业主要精力放在递件速度上，并不重视客户数据安全问题。[14]

企业负有禁止买卖交换用户数据的义务。2020年9月12日，全球创业者峰会，李开复在分享自己投资“旷视”经验时，说：“我们早期帮助它们（旷视科技）寻找了合作伙伴，包括美图、蚂蚁金服，让它们拿到了大量的人脸数据”。用户对企业进行授权默认一次性或仅仅授予该企业，将用户数据与其他公司进行买卖，一方面违背合同法精神，另一方面可能使用户面临更大的隐私泄露风险，因为“雪崩时，没有一片雪花是无辜的”。

（三）政府应积极履行监管市场的义务

社会主义核心价值观中倡导“自由、平等、公正、法治”，这是对美好社会的生动描述。《论语·季氏》中也曾讲“不患寡而患不均”。在数字社会中，相关市场主体为了追求最大的利益，违背社会主义核心价值观，进行科技歧视。因此，需要发挥政府的宏观调控作用。

政府部门应积极利用行政规章来调控市场行为。2020年，文化和旅游部发布了《在线旅游经营服务管理暂行规定》，已于10月1日起正式发行，规定明确指出禁止“大数据杀熟行为”。全国信息安全标准化技术委员会制定的《信息安全技术个人信息安全规范》，要求不得强迫收集个人信息，用户应有权拒绝个性化推送。这些行政规章均为用户维护自己合法权益提供了法律依据，并积极调控了市场交易行为中的灰色地带。但是，用户数据内涵丰富，日后需要更多的行政规章来保护用户个人数据。

政府部门应监控市场数据的存放位置问题。目前在我国开展数字服务的并非只有中资企业，还包含了一大批外资企业。如果这些外资企业掌握的国内公民个人数据转移到国外去，那么将可能进一步造成公民个人数据的境外泄露。目前，美国Apple公司已经将中国内地iCloud云服务的服务存储在贵州，称为“云上贵州”。此外，美国Microsoft以及美国Amazon公司也在中国建立了存储中国区用户的数据基地。随着改革开放进入深水区，开放的大门越来越大，未来可以预期更多的外资企业进入中国运行业务。因此，做好数据存储位置的监控工作十分重要。

四、结语

本文通过国内外比较研究，对个人数据依据一定规则进行了再划分，认为个人数据内涵应包括个人基础数据、个人起居数据、个人社交数据、个人财产性数据以及个人联网设备数据。个人数据泄露的危害性是巨大的、多样的，必须要治理侵害公民个人数据犯罪。

治理侵害公民个人数据犯罪，本文是从公民个人、企业和政府三个主体展开的，提出了各种有益的对策和见解。但是，本文并未从立法层面给予建议。主要原因是立法是一项浩大的工作，数字社会信息变化万千，如果立法朝立夕变，将会严重破坏法的稳定性，而行政规章则不存在这个问题，较为灵活，同时具有强制力。此外，学界对于数据的定义的讨论尚未有定论，相关研究尚未完善。期待未来能够看见在立法层面创新规制侵害公民个人数据犯罪的对策。