《个人信息保护法》与《刑法》的规范衔接问题探讨

方 涛

（西北政法大学，陕西 西安 710063）

伴随着大数据与信息时代的到来，侵犯公民个人信息的犯罪现象日益严重，公民个人信息保护问题已成为当下每个公民关注的焦点之一。据中国互联网网络信息中心发布的《2019 年中国网民信息安全状况研究报告》，77.7%的被调查网民遭遇过信息安全事件，并且遭受不同程度的损失，总额大约为194 亿元。中国消费者协会研究表明，85.2% 的公民遭遇过个人信息泄露情况。新冠疫情期间，为疫情防控的需要，公民个人信息被长时间、全方位地大量收集，可以预见到公民个人信息泄漏的风险也大为增加。

自2003 年以来，我国相关部门就开始了对《个人信息保护法》（以下简称“《个保法》”）草案的起草工作，然而基于一系列复杂因素，《个保法》迟迟未能出台。历时18 年，在国内、国际整个社会大环境的紧逼下，具有划时代意义的《个保法》于2021 年8月正式诞生，可谓真正的“难产儿”。《个保法》不仅吸收了近年来个人信息保护的国际经验，而且总结了我国《刑法》、《网络安全法》、《民法》等部门法的立法与实践经验。既与国际接轨，又不乏中国特色。［1］自此，《个保法》与《网络安全法》、《数据安全法》共同组成了我国网络安全与数据安全保护的“三驾马车”，为个人信息安全保驾护航。

“个人信息保护”已成为当下各个部门法学研究的热点与重点。《个保法》的出台将改善我国以往个人信息保护立法分散混乱、操作性不强等局面，但新法也将面临一些急需破解的困境。当下亟待解决的难题之一便是如何处理好《个保法》与其他相关部门法的衔接问题，进而与其他相关部门法形成综合性、明确性、完备性的个人信息保护法律体系。本文拟从阐释《个保法》与《刑法》的规范供给困境与冲突出发，对“两法”的规范衔接展开探讨，最后对刑法立法与刑事司法进行展望，为未来个人信息刑法保护的规制方向提供几点建议。

一、“两法”的规范供给困境与冲突

探讨《个保法》与《刑法》规范衔接的前提，必定先要在比较的视野下审视两法的规范，审查二者规范供给方面的困境与存有的规范冲突。两法的规范供给方面存在法律责任条款的虚置化、罪名涵盖的法益保护不周延等困境，规范冲突方面主要是内容错位带来的问题。

（一）《个保法》的规范供给困境

《个保法》是个人信息保护的基础性部门法，是我国多年来理论与实践经验的结晶。基于庞大的部门法体系，难以做到面面俱到。在位阶上，其与《刑法》具有同等效力；在内容上，其提供了诸如基本概念、原则等个人信息保护的基础性法律规定，覆盖面广泛；在法律属性上，《个保法》是一部兼具有公私法属性的综合性部门法；［2］在法律责任上，其为《刑法》提供了判断合法性基础的前置性规定。

然而，于《刑法》而言，《个保法》在规范供给方面主要体现为法律责任条款的虚置化。《个保法》仅在法律责任章节条款下简单地、概括性地规定了“构成犯罪的，依法追究刑事责任”。这一宣示性的刑事责任条款形同虚设，空白罪状立法的方式导致刑法中的具体罪名在援引前置性规定时衔接不畅，常常引发争议。［3］有学者指出，作为法定犯上位法的行政法律规范，不仅对法定犯具有违法性的解释功能，还具有立法的限定功能和刑法处罚范围的限缩功能。［4］118理论界曾在《个保法》生效前就对侵犯公民个人信息罪的“前置性要件”展开丰富的探讨，很多学者寄厚望予《个保法》以求破解这一困境，但该法的出台显然没有彻底解决该问题。

非刑事部门法中概括式的刑事责任规定似乎成为惯常，这也涉及我国附属刑法的定位问题。通说认为，我国并没有严格意义上的附属刑法。在积极刑法观的大背景下，有学者主张设置附属刑法，在商法、行政法、经济法等法律规定行政犯的构成要件和法定刑，以此解决行政犯衔接不畅与司法适用困惑。［5］［6］也有学者反对增设附属刑法，认为这种方式有损刑法施行，不符合我国国情等。［7］但无论哪种观点，都要以提供明确性前置要件，保障其他部门法与刑法衔接流畅为前提。前置性违法要件的不明确，往往也会使行政上的“违法性”与刑法上的“违法性”产生混乱。

（二）《刑法》的规范供给困境

从对个人信息的立法沿革来看，先是由刑事立法再由民事、行政等相关立法。具体到个人信息的刑法保护而言，立法层面经历了从间接保护到直接保护的模式，即由1997 年《刑法》对身份盗窃的间接保护到《刑法修正案（五）》对信用卡犯罪的直接保护。［4］115基于特殊主体利用职务之便取得公民个人信息进行非法行为的违法趋势，《刑法修正案（七）》第7 条增设了第253 条之一，规定出售、非法提供公民个人信息罪和非法获取公民个人信息罪，以达到抑制特殊主体侵犯公民个人信息犯罪的效果。随着互联网技术的提高与信息产业建设的发展，侵犯公民个人信息犯罪呈现高发态势，犯罪主体呈现多元化，基于现实社会的需要，《刑法修正案九》第17 条将原来第253 条之一下的三个罪名合并为侵犯公民个人信息罪，犯罪主体调整为一般主体，自然人和单位都可成为犯罪主体。2017 年“两高”出台《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）进一步明确侵犯公民个人信息罪的司法适用，加强刑法对个人信息的保护力度。

然而，随着大数据时代的到来与人工智能技术的兴起，当下的形势已经发生变化，传统的刑法规制路径已然不适应现实需求。原有的相关罪名愈发显露出保护法益的不周延，涵盖射程有限。刑事处罚漏洞日益明显，对于一些原本未规定为犯罪，但现已具备高度法益侵害性的违法行为，应及时纳入刑法规制范畴以应对处罚漏洞。当然，这也是刑法分则罪名构成要件的类型性所不可避免的缺陷。具体而言，《个保法》较《民法》更加完善地规定了个人信息的处理方式，涵盖了个人信息的收集、存储、使用、加工、传输、提供、公开、删除等整个个人信息生命周期。但《刑法》现有规定仅将非法获取、出售、提供予以规制，《刑法》法益保护的不严密性十分突出。例如，对于当下普遍发生的合法获取，非法利用行为，仅用非刑事规制是否足以救济法益？对于一些重大的企业个人信息泄露事件，刑法是否继续沉默？随着司法实践的检验，侵犯公民个人信息罪囊括的三种行为方式的法益侵害性程度并不一样，将三种行为方式按照统一标准予以处罚是否符合罪刑相适应原则？

（三）“两法”的规范冲突

《个保法》与《刑法》属同等效力的基本法律，但二者部门法的属性决定了二者的规制重点以及价值取向存在差异，由于内容错位也不可避免地存在规范冲突。对《个保法》整个立法体系进行梳理，笔者认为，《刑法》在对接《个保法》规范的过程中，存在以下规范冲突。

一是基础概念衔接的冲突。基础概念主要涉及“公民个人信息”、“敏感个人信息”概念的衔接问题。对于“公民个人信息”的概念，《个保法》第4 条采取了“识别说+关联说”的标准，强调与个人信息主体的相关性。而依据《解释》，《刑法》采取识别说的标准，关注对信息主体本身的影响，旨在保护公民的人身、财产安全。两法对“公民个人信息”的定义表述不同，如何予以协调是首要任务。此外，《个保法》对“敏感信息”的概念作出了明确定义，而《刑法》只是对其中的一部分信息通过《解释》予以更高程度保护，如何协调二者的范围也需要关注。

二是规制个人信息违法处理行为方式的冲突。《个保法》为处理个人信息提供了基本原则与具体规则，保护更具有全面性。《刑法》基于谦抑性，仅规定了两种方式，并以司法解释明确范围。①从广义上讲，非法出售行为可以囊括在非法提供行为之下，因为出售是一种常见类型，所以刑法单独予以规定。本文采取广义的表述。前文提到，《个保法》第4 条第2 款规定了个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。该法规制的个人信息违法处理行为是否与《刑法》所规制的非法获取、提供行为相一致？ 如《解释》第四条明确规定了违反国家有关规定，在履行职责、提供服务过程中收集公民个人信息属于非法获取行为，而《个保法》第6 条第2 款规定了收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。当信息处理者违反过度原则，过度收集的信息是否属于《解释》规定的这一非法获取范围？此外，《个保法》还规定了个人信息处理者的委托、转让等情形，该类情形能否被《刑法》所规定的提供行为所涵盖？

二、“两法”的规范衔接

“两法”规范的价值追求具有相对的一致性。《个保法》追求个人信息的保护与促进个人信息的高效利用二者之间的平衡。《刑法》的谦抑性原则决定了其不能全方位介入个人信息的保护，避免矫枉过正，只能为个人信息的保护提供最后的保障作用。“两法”的衔接事关个人信息过度保护与弱化保护的界限，也直接影响刑法的适用范围与作为后位法保障机能的充分发挥。笔者拟对整个《个保法》进行体系性考察，从其与刑法总论、分论的衔接分别来进行探讨。

（一）《个保法》与刑法总论的衔接

《个保法》与刑法总论的衔接涉及到以下方面。一是与罪刑相适应原则的衔接。从信息类别上看，《个保法》对个人信息的保护采取了二分法，即按一般个人信息与敏感个人信息进行分级别保护，对敏感信息采取了更严格的保护制度，强调基于特定目的和充分的必要性，单独同意与告知义务。这样二分法的保护策略与刑法总论的罪刑相适应原则契合。

二是与刑事管辖权的衔接。《个保法》第三章专章规定个人信息跨境提供的规则，这与个人信息涉及的国家数据主权以及商业价值等密切相关，也将直接涉及到普遍管辖权的问题。

（二）《个保法》与刑法分论的衔接

与刑法分论的衔接，主要是与分论具体罪名的衔接。《个保法》采取了民事主体与行政主体双管齐下规制的路径。《个保法》涉及到的分论罪名主要有侵犯公民个人信息罪、非法利用网络信息罪、拒不履行网络安全管理义务罪、非法获取计算机信息系统数据罪等。下文仅以侵犯公民个人信息罪进行展开。

1.基础性概念的衔接

对于“个人信息”与“敏感信息”这两个基础性概念的衔接，是两法衔接的首要问题。“个人信息”的概念不只是规定在这两个部门法之中。在民法典出台之前，其中最具有权威的当属2017 年实施的《网络安全法》。②《网络安全法》第76 条：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。此外，两高《解释》第1 条在此基础上进一步明确个人信息概念。③《解释》第1 条：刑法第253 条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”2020 年颁布的《民法典》在第六章，即隐私权和个人信息保护这一章中，对个人信息的概念作了专门的规定。④民法典第1034 条：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个保法》生效前，《民法典》对个人信息概念的规定，是对个人信息概念普遍适用的最高规范，对公民个人信息的民事保护，以及部门法之间的协调保护等都具有重大意义。

从定义上看，《个保法》对“个人信息”的概念采取了与上述部门法都相异样的最广义表述，①《个保法》第四条：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。对个人信息的范围进行了扩张。与民法的表述相比，其将与自然人有关的非身份信息也予以容纳。［8］与两高《解释》采取的“识别说”表述相比，范围更是不言而喻。《个保法》将其他部门法规定的所有个人信息统一做了概括性规定。笔者认为，基于“两法”本身的关注重点不同，二者虽在表述形式、认定标准上略有差别，但就条文本身所设置的内涵而言，实质并不具有太大的差异。也有学者以法秩序统一性原理为由认为刑法不宜在前置法之外提出个人信息的概念。［9］

继《个人信息安全规范》之后，《个保法》第28条采取“概括+列举”的方法对“敏感个人信息”的概念再一次作出了明确定义，扩大了敏感个人信息的范围，列举了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。《个保法》与《刑法》都对个人信息采取了分类保护方式，《个保法》采取一般个人信息与敏感个人信息的二分法，《解释》第5 条采取敏感信息、重要信息、一般信息的三分法。②此分类不是严格的分类，不属于法定分类，为了便于表述，暂且按学理上的这种分类进行划分。该敏感信息不等同于《个保法》上的敏感信息。《解释》对敏感信息、重要信息作出了比一般个人信息更严格的规定。该如何将《个保法》上的敏感信息与《解释》规定的敏感信息、重要信息进行协调？以生物信息为例，《解释》对于应给予更高程度保护的生物信息却并未明确区别对待。笔者建议，未来通过修订刑法立法的方式，以《个保法》的个人信息分类为参考进行分层保护，来弥补“两法”衔接的困境。

2.“知情-同意”规则与前置要件“违反国家有关规定”的衔接

侵犯公民信息罪包含三种行为类型，前两种行为类型中的“出售”与“提供”都以“违反国家有关规定”为前置要件。前文已经提到，《个保法》对刑事责任采取宣示性条款的做法形同虚设，对这一前置要件的内涵及外延并不明确，无法为司法实践提供明确指向。

《个保法》将“知情-同意”作为个人信息处理合法性的核心规则，不仅充分保障信息主体的知情权、决定权，也为界定合法、违法划清界限。第13条还对“同意”的例外情形做出明确规定，以防个人信息的处理过于受限。例外情形与这一核心规则共同组成了对处理个人信息合法性基础的考察。因而《个保法》第13 条、14 条直接决定侵犯公民个人信息罪前置要件的判断，进而也起到限制入罪的作用。对于《个保法》规定的委托、共同处理、转让、自动化决策等其他个人信息处理情形，仍要以这一核心规则作为判断合法性的基础标准，同时遵循该类情形具体的规定。

此外，《个保法》第5 条到第8 条规定了处理个人信息的四大原则，即第5 条的合法、正当、必要、诚信原则、第6 条的目的明确和最小限度原则、第7条的公开透明原则、第8 条的质量及安全保障原则。虽这些原则性规定大部分被吸收到处理个人信息的具体规则里面，但能否以此来作为直接判断侵犯公民个人信息罪前置要件的基础？笔者持否定态度，对这一前置规定必须进行具体的、实质的认定。司法机关必须对行为人的行为所违反的前置规定进行充分的说理，以具体的前置规定为依据，同时对其内容进行实质性考察，而非抽象的、形式性、原则性的判断。唯有这样，才能严格地、规范地认定前置要件。［10］

3.违法处理行为方式的衔接

《个保法》第4 条第2 款对个人信息的处理包括了收集、存储、使用、加工、传输、提供、公开、删除等，而《刑法》仅规定了非法获取、提供这两种行为方式。

《解释》第三条对“提供公民个人信息”予以了明确。③两高《解释》第三条：向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。提供的含义可以将上述《个保法》中的提供、公开予以囊括。但《解释》第2 条“未经被收集者同意，将合法收集的公民个人信息向他人提供的”这类情形与《个保法》第13 条第1 款的第2 项至第7 项，即与“知情-同意”的例外规定情形相冲突。如果机械的理解《解释》这一规定，会将《个保法》“知情-同意”的例外规定认定为《刑法》上的非法提供行为，简言之，《个保法》的合法行为反而成为《刑法》上的犯罪行为。笔者看来，其实对该“知情-同意”的例外规定通过考察侵犯公民个人信息罪的前置违法要件予以排除，根本就不会存在继续考虑《解释》第2 款的这类情形，自然也不会产生“两法”逻辑上的不自洽地问题。

《解释》第4 条对“以其他方法非法获取公民个人信息”予以了明确。①两高《解释》第四条：违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。获取的含义可以将《个保法》中的收集予以包含。对于《个保法》中的其他个人信息处理行为，有些还值得具体分析，如储存是否可以评价为获取，传输是否可以评价为提供等。但根据罪刑法定原则，《刑法》目前未明文规定的单纯非法使用等行为，不得纳入刑法的评价范畴。

此外，《个保法》相关规定还规定了共同处理、委托处理、因合并、分立等需要转移处理、向第三方提供、自动化决策、公共场所安装图像采集、个人身份识别设备、敏感个人信息处理等特殊处理的情形。如果个人信息处理者违背了该类情形中的具体规定，仍可能符合获取与提供的评价范围，进而也不排除构成犯罪的可能性。

三、《刑法》的与时俱进

《个保法》作为刚生效的新法，还需要理论与实践不断去探索与《刑法》的协同配合问题。《两法》的衔接流畅与否将直接影响对个人信息的保护效果。而随着大数据时代的来临，技术的不断进步，公民个人信息的刑法保护困境凸显，既有刑法立法规范的阙如，也有刑事司法的适用不足。若想充分有效发挥对《个保法》这一基础性法律的后位保障作用，还需要刑法立法与司法做出相应调整，与时俱进。

（一）《刑法》立法的与时俱进

刑法立法要根据生活的需要适时作出修正，现行刑法对个人信息的保护需要从立法观念和法益保护周延性上做出调整。

1.立法观念：个人信息的控制流转规制转向使用规制

纵观我国个人信息刑法保护的立法脉络，正如有学者指出，我国刑法对个人信息的保护一直坚持两条腿走路，一条路径是在行为构造上，将侵犯公民个人信息行为限定为个人信息的非法流转，立法者高度关注信息的自主可控性。另一条是通过扩展公民个人信息的范围来加强个人信息的刑法保护。［4］116因而，也有一些学者主张侵犯公民个人信息罪的保护法益为个人信息权中的信息自决权。但这种传统保护的刑法立法观念在大数据与人工智能时代已经无法满足保护公民个人信息安全的需求。信息网络技术的发达使信息主体与个人信息的控制权越来越分离，信息主体很难对个人信息形成可控力，信息自决权在海量的数据存储库中只是所谓的形式存在。这实际与有学者主张的个人信息保护从个人控制到社会控制理念相吻合。［11］由于行为人在个人信息被侵犯后往往面临很大的人身危险性，立法者从信息的获取到流转进行打击是法益保护提前化的征表，初衷无疑值得肯定，但现实环境已然发生变化。此外，对个人信息外延的扩张也不能解决上述的现实难题。

信息的最终目的在于使用，而刑法仅以脱离现在的预防性规制来达到对个人信息利用的保护实难发挥实际的法益保护作用。因而，倒不如刑法立法一改传统立法观念，从对个人信息的控制流转规制转向使用规制。

2.法益保护周延性：细化立法与增设行为类型

前文已提到，现行刑法对个人信息的法益保护愈发呈现出不周延性。需要细化现行立法与增设新的行为方式予以完善。细化立法而言，主要是对侵犯公民个人信息罪中的不同行为方式予以具体化，非法获取、出售与提供行为的法益侵害性程度并不一样，对三种行为方式使用统一的刑罚标准与罪刑相适应原则不符。因而，刑法立法需要适时做出调整。

增设行为类型方面，一是“非法利用”行为入刑的考量。刑法作为保障法的地位，只有某种行为符合犯罪的本质特征，即满足严重的社会危害性时，才能考虑通过立法将其纳入刑事规制范围予以刑罚。因此需要谨慎、认真考量“非法利用”行为入刑的必要性和可行性。［12］笔者认为：首先，这是互联网时代所带来的新问题，公民个人信息在大数据面前几乎是透明的存在，刑法规制前端非法取得行为，合法取得，非法利用便成为一种常态，非法利用公民个人信息具有普遍性；其次，该类行为与现在呈现高发态势的一些犯罪联系密切，诸如电信诈骗、敲诈勒索罪、绑架罪等，这些犯罪往往伴随着严重的损害后果，此前“徐玉玉个人信息泄露被诈骗导致自杀身亡案”就是鲜活的例子，用刑事手段制裁该类行为往往可以对这些犯罪起到前置预防作用；此外，从该类行为高发态势来看，单纯规定民事责任不足以抑制该类行为的发生，而且非法利用公民个人信息行为有时也会产生严重的社会危害性，因此符合刑事制裁的必要性；最后，即使符合入刑的必要性，也要对该类行为入刑的条件严格进行把控，把握好民事与刑事的界限。从立法上与司法上看，将该行为入刑也具有可行性的。在立法上将该行为纳入侵犯公民个人信息罪下面，也符合该罪的文义解释。在司法上，对于非法利用行为所造成的严重后果进行刑事规制也符合国民规范意识。

二是增设过失类型犯罪。刑法以规制故意犯罪为原则，过失犯罪为例外。近年来曝光出来很多的企业个人信息重大泄露事件，给人们造成了很大程度的恐慌，诸如2018 年华住酒店5 亿条用户信息遭泄露、圆通“内鬼”致使40 万条个人信息泄露、网贷作诱饵20 万余条个人信息被倒卖等。从《个保法》第58 条来看，也对掌握数量巨大的个人信息处理者作出了更高的要求。但伴随着个人信息主体对个人信息的愈发失控，对该类重大过失的巨量信息泄露事件，用一贯的行政处罚手段是否足以应对？曾有学者提出增设过失泄露个人信息罪。［13］笔者也赞成这一观点，增设该罪能对掌握个人信息数量巨大的企业以及互联网服务提供者提供警示作用，从而起到预防犯罪的效果，但对该罪的入罪标准应该更高。

（二）刑事司法的与时俱进

以往在对个人信息的保护中，一直贯穿着以刑法保护为主的状态，这与刑法的谦抑性原则不相符合，违背刑事规制的原理。因此需要扭转这种以刑为主保护状态的转变，且刑事司法也应总结以往实践，顺应时代需要做出相应改变。

一是针对利用职务便利实施的侵犯公民个人信息行为，缺少非刑罚措施——“从业禁止”的适用。有学者通过对2015 到2019 年所有利用职务便利实施的侵犯公民个人信息案件进行统计分析，发现尚未有一例被适用从业禁止。［14］对在此之后的案件进行检索，结论亦是如此。侵犯公民个人信息犯罪具有犯罪成本低、收益高的特点，因而这一非刑罚处罚措施的司法适用值得关注。

二是结合以往实践，侵犯公民个人信息罪的入罪门槛单一化的劣势暴露无遗。司法实践一般采取“数量加数额”的方式来认定入罪标准，入罪门槛过于单一化，且在计算实际侵犯个人信息数量时往往产生争议，可以参考其他类似犯罪，增设相关其他情节来予以完善，科学设置入罪门槛。

三是针对企业对个人信息的保护问题，引入企业刑事合规制度。《个保法》第58 条对相关个人信息处理者的企业合规制度体系的建立提出了要求。企业合规是当下的热点话题，大数据时代，随着个人信息的商业价值被不断挖掘，很多大型企业实质掌握着个人信息的控制权，从构建企业对个人信息的刑事合规制度出发不失为一种路径，既能提高对个人信息的保护力度，又能保障民营企业的可持续发展。

结语

《个保法》的出台标志着我国个人信息保护的立法格局进入崭新的时代，其与《刑法》的规范衔接问题应是当下理论与实务探讨的重点。“两法”的衔接需要化解二者规范供给的困境与冲突，但对刑法存在的规范阙如以及司法不完善等问题，刑法立法与刑事司法应与时俱进，及时做出调整。刑法立法上需改变传统对个人信息的控制流转规制观念，转向使用规制，且细化立法与增设行为类型以促进法益保护周延性。刑事司法也应总结以往实践，不断完善个人信息的刑法保护，进而使《个保法》与《刑法》共同组成个人信息保护的铜墙铁壁。