冯洋等：侵犯公民个人信息罪司法裁量的实证研究 | 山东大学学报（哲学社会科学版）202301

【作者】冯洋（浙江大学光华法学院副教授）；李珂（浙江大学经济学院博士研究生）；张健（北京航空航天大学法学院博士后研究人员）

【来源】北大法宝法学期刊库《山东大学学报（哲学社会科学版）》2023年第1期（文末附本期期刊法学要目）。因篇幅较长，已略去原文注释。

　　近年来，《民法典》《数据安全法》《个人信息保护法》等国家法律相继出台，丰富了我国个人信息法律保护的手段。在数据安全形势和个人信息保护法律体系发生重大变化的背景下，应当对施行13年之久的侵犯公民个人信息罪刑事法律规范加以严肃审视。本文以2009年2月至2021年7月间全国法院公开的侵犯公民个人信息罪判决书为样本，通过实证研究方法，分析法官集体经验与应然规范的偏差现象，研讨问题背后的原因，并提出相应的建议。

　　自20世纪90年代以来，与公民个人信息泄露有关的犯罪在全球范围内呈现快速增长态势，如何从源头打击侵犯个人信息的行为成为各国刑事立法的重点问题。随着立法实践的推进，世界各国在公民个人信息刑法保护方面演化出两类保护模式。第一类是创设专门罪名的保护模式。在此保护模式下，刑事立法上采用诸如身份盗窃（identity theft）的概念，侵犯公民个人信息的行为就是刑法制裁的客体，代表性国家有美国、德国、法国、尼日利亚等。第二类是依托传统罪名的保护模式。在此保护模式下，侵犯公民个人信息的行为并不构成单独的罪名，该行为仅被立法者视为犯罪人实施其他犯罪的过程性行为，因而通过欺诈罪等其他罪名对犯罪人进行制裁。英国和澳大利亚是采用这一模式的典型国家。

　　我国个人信息刑法保护体现出保护“范围广、层次多”的特征。一方面，刑法上构成该罪的规范依据在于获取或者提供个人信息的行为是否违反国家的有关规定，情节严重的即构成侵犯公民个人信息罪。按照最高人民法院、最高人民检察院2017年发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称2017年司法解释）的规定，“出售或者提供行踪轨迹信息且被用于犯罪”只是构成情节严重的情形之一。可见，我国个人信息刑法保护的重点在于制裁非法获取或者提供个人信息，而不是制裁对个人信息的滥用。将犯罪意图排除在侵犯公民个人信息罪的犯罪构成之外，使该罪名的适用范围大幅扩展，刑法介入制裁的时间点大幅提前，凸显了预防后续违法犯罪的功能。另一方面，构成我国《刑法》上侵犯公民个人信息的行为类型多样，对非法提供和非法获取个人信息行为的覆盖较为全面。我国《刑法》第253条列举了3类侵犯公民个人信息犯罪的行为，分别是出售、非法提供和窃取公民个人信息。此外，该条还笼统地规定，通过其他方法非法获取公民个人信息的，也属于侵犯公民个人信息的行为。其中，2017年司法解释将“其他方法非法获取”界定为“购买、收受、交换等方法”。

　　我国关于侵犯公民个人信息的刑事立法是全球个人信息刑法治理的重要组成部分，全国各级法院积累下来的大量司法判例中隐藏着司法机关对该罪的实然评价，为研究个人信息刑法治理提供了具有独特性的中国样本。笔者试图回答以下问题：（1）自2009年《刑法修正案（七）》采用专门罪名惩治侵犯公民个人信息行为以来，我国刑事司法裁量呈现出怎样的样态，司法实然评价是否存在偏离应然规范现象？（2）我国侵犯公民个人信息罪本身还处于不断演进过程中，在数字经济迅猛发展背景下，哪些关键概念出现了识别困难问题？本文将利用司法判例对法官集体经验进行总结，通过实证研究发现刑法治理中亟须解决的问题，为健全和完善侵犯个人信息的刑法规则提出建议。

　　（一）数据来源

　　本研究的样本来自中国裁判文书网上公开的侵犯公民个人信息刑事案件判决书，时间跨度为2009年2月1日至2021年7月31日。以“侵犯公民个人信息罪”为关键词，共下载收集相关案件8418件。在此期间，全国各级法院审结的此类犯罪案件数量约为12000件。所收集的侵犯公民个人信息罪裁判文书，约占同期全国法院审结案件总数的70％。剔除二审案件、以单位为被告的案件、审结案件数量过少地区的案件后，共获得覆盖28个省、自治区、直辖市的8050份判决书。被剔除的案件中，二审案件有242份，以单位为被告人的案件有111份，西藏、青海和宁夏三地审结的该类案件过少（分别为1件、3件和11件），均予以剔除。然后利用Python对所获取的判决书进行省份和年份的双重分层随机抽样，抽样比例为25％且向上取整，得到2112份判决书。本研究的最小分析单位为被告人，若同一判决书中存在多个侵犯公民个人信息罪的被告人，则列为多个样本。剔除了极少数关键变量缺失的样本后，最终得到2029份判决书中的3688个有效被告人样本。

　　（二）变量与估计方法

　　为量化侵犯公民个人信息罪的刑罚轻重，本文提取了2个因变量来衡量司法裁量的结果，分别是：（1）是否判处有期徒刑，（2）有期徒刑或拘役的刑期长度。以“是否判处有期徒刑”为因变量时，排除了仅处罚金的样本，即以拘役作为基准组。以“有期徒刑或拘役时长”为因变量时，刑期长度直接用月份来统一度量，仅判处罚金的样本刑期长度编码为0。判处有期徒刑、拘役和仅处罚金的样本分别有3251个、343个和94个。

　　本研究将前提性法定因素作为自变量。根据《刑法》第253条，只有当侵犯公民个人信息符合“情节严重”或者“情节特别严重”情形时，才构成侵犯公民个人信息罪。2017年司法解释细化了“情节严重”和“情节特别严重”的情形。除兜底条款外，有9种情形构成侵犯公民个人信息“情节严重”，还有3种情形构成“情节特别严重”。结合犯罪的构成事实和样本的实际情况，本文选取5种情形作为法定因素变量，分别是：（1）侵犯公民个人信息的数量。（2）侵犯公民个人信息的类型。构成情节严重的情形是：侵犯行踪轨迹、通信内容、征信、财产等个人信息50条以上的；或者侵犯住宿、通信、健康生理、交易等其他可能影响人身、财产安全的个人信息500条以上的；或者侵犯上述两类以外的个人信息5000条以上的。本文将第一类信息称为特别敏感个人信息，第二类信息为敏感个人信息，第三类信息为普通个人信息。（3）违法所得。侵犯个人信息违法所得5000元以上即构成情节严重。（4）是否利用履职的便利。（5）犯罪目的。明知利用个人信息实施后续犯罪还向他人提供的，即构成情节严重。

　　为了观察5类前提性法定因素对量刑结果的绝对影响，本文采用以下两种多元回归模型。其一，“是否判处有期徒刑”是二元变量，故选取Logit模型进行估计。其二，“有期徒刑或拘役的刑期长度”是大于等于零的连续变量，同时存在截尾删失，故选取Tobit模型进行估计。为分析不同法定情节的相对影响，本文采用相对重要性分析法。该方法通过解释变量在所有可能的子模型中的拟合度贡献均值进行比例分析，从而分离出每类因素对整个模型判决系数R2的影响。若模型有P个解释变量，就有2p个子模型，所有解释变量的标准化贡献程度之和等于1。这种方法不仅考虑到了变量间的相关性和离散变量的问题，也避免了逐步回归中人为剔除和引入变量的主观影响，同时标准化的贡献程度便于比较不同因素的相对重要性。下述结果均在Stata软件中实现。

　　法院司法裁量实践应当严格依照法律规范的规定。但是，司法裁量实践可能出现与立法规则偏离的现象。本部分通过将司法裁量实践与刑法规则进行对比，发现其中的差异，并深入探讨导致差异的原因。

　　（一）司法裁量实践存在的问题

　　1.法院实际判处的刑罚畸轻。法定刑的起刑点与量刑幅度反映了立法机关对该项犯罪行为潜在社会危害性的认识，法定刑幅度的设置应当与该罪的社会危害程度成比例，实现罚当其罪。在理想状态下，司法机关判处的刑罚应与立法机关规定的刑罚保持一致，这体现在两个方面：一是司法机关量刑基准应当保持在法定刑幅度范围内；二是司法机关的宣告刑应当趋近于法定刑中线。在实践中，由于立法机关和司法机关认识上的局限性以及经济社会因素的变化，使得司法宣告刑与法定刑中线总是存在不一致的现象，但是该不一致应当控制在适度范围内。

　　按照宽严相济的刑事政策，侵犯公民个人信息犯罪情节较轻时，司法机关在法定量刑幅度内处以较轻刑罚。但是样本表明，在实践中，侵犯公民个人信息的犯罪形势较为严峻，统计结果见表1。一是作为主要犯罪构成的个人信息条数和违法所得数额均大幅高于法定入罪标准。统计结果显示，被告人侵犯个人信息的平均数量为222300条，中位数为18856条。情节严重和情节特别严重的被告人对应的侵犯公民个人信息数量的均值为107007条和404526条，中位数分别为10000条和100000条。以上数值均远超2017年司法解释所规定的5000条的入罪标准。此外，有1900名被告人有违法所得，平均金额为35160元，同样远超5000元的入罪标准。二是相当数量的被告人存在从严处罚情节。有728名被告人后续目的是违法犯罪（占被告人总数的19.74％）。有658名被告人（占被告人总数的17.84％）被法院认定为在侵犯公民个人信息时利用了履职便利。有1961名被告人（占被告人总数的53.17％）被法院认定为侵犯特别敏感个人信息和敏感个人信息。统计显示，法院实际判处的刑罚均值较低。法院认定为情节严重的被告人，其司法宣告刑均值为11个月，明显低于法定刑中线（18个月）。被认定为情节特别严重的被告人，其宣告刑均值为35个月，不仅低于法定刑中线（60个月），甚至比法定刑幅度的底线（36个月）还低一个月。

表1前提性法律规范因素的描述性统计

　　从样本数据统计结果来看，无论是被认定为情节严重的被告人，还是被认定为情节特别严重的被告人，司法实践中的量刑基准并不是法定刑幅度的中线，而是在远低于中线的某个点。对于被告人宣告刑低于法定刑底线这一反常现象，更有可能的解释是，法院尽管将被告人的犯罪行为认定为情节特别严重，但是量刑时却将基准刑设置在法定刑幅度的底线附近或以下，而量刑的起点更有可能在底线以下。

　　2.法院未能准确识别个人信息的敏感程度。图1是利用2017年司法解释出台后的样本绘制而成的箱型图。按照量刑的入刑标准来划分侵犯信息数量的区间，可直观地显示出不同敏感程度的个人信息在不同数量区间内判决时长的离散和分布情况。从整体来看，三类信息并未在全部区间内呈现出梯形关系。具体而言，根据2017年司法解释，当侵犯数量在51—500条区间时，法官需要区分敏感和特别敏感的个人信息，当侵犯数量在501—5000条区间内时，法官需要区分普通和敏感的个人信息。而在以上两个数量区间内，相较于普通个人信息和特别敏感个人信息，敏感个人信息的刑罚时长离散程度更大。变异系数同样证明，侵犯数量在51—5000区间内，敏感个人信息的离散程度（0.877）大于普通个人信息（0.821）和特别敏感个人信息（0.692）。以上结果初步表明，法官在认定敏感个人信息时，更容易出现偏离现象。

图1 2017年解释出台后，侵犯公民个人信息数量与刑罚时长的箱型图

　　在控制其他变量的基础上，本文以普通个人信息作为基准组，分析信息类型对量刑结果的影响（见表2）。回归结果表明，无论是在量刑裁决的种类方面还是判决时长方面，相较于普通个人信息，法院的确显著加重了对侵犯特别敏感个人信息的被告人的刑罚。但相较于普通个人信息，侵犯敏感个人信息对是否被判有期徒刑的影响并不显著，而且侵犯敏感个人信息对刑期长度的影响虽然整体上显著为正，但是结果并不稳健。分地区来看，中部地区样本的敏感个人信息系数显著为正，但是东部和西部地区样本（样本占比72.43％）的敏感信息均没有通过显著性检验。

表2 法定因素对量刑结果的影响

注：***P＜0.01，**P＜0.05，*P＜0.1，括号中为标准误。列（1）采用Logit模型，汇报了对数发生比系数β，当系数大于0时，表明该情节的存在会增加被告人判处有期徒刑的几率（odd）；反之会降低几率。列（2）—（5）采用Tobit模型。

　　针对不同信息类型的案件，本文利用标准化R2的贡献程度比值得到法定因素相对重要性的结果（见表3）。其中，犯罪目的被归为同一类法定量刑情节进行整体分析，同时剔除了时间和地区等控制变量。由表3前两列可知，在侵犯普通信息和敏感信息的案件中，“侵犯数量”的贡献居于首位，“违法所得”位于“侵犯数量”之后，紧接着是“犯罪目的”和“是否利用履职便利”，以上四类前提性法定因素的贡献程度排序和相对比值没有明显差异。而在侵犯特别敏感个人信息的案件中，“侵犯数量”的贡献比值增加至93.9％，“犯罪目的”和“是否利用履职便利”超过“违法所得”的贡献，上升至第二位和第三位，“违法所得”的贡献程度占比下降至1％以下。上述结果说明，不同于侵犯特别敏感信息案件，法官在处理侵犯普通信息和敏感信息案件时，各法定因素的衡量权重基本一致。

表3 不同信息类型的案件中，法定因素对量刑结果的相对影响

注：采用对数多元线性回归；表中报告了变量标准化后的贡献值占比，加总为1；中括号中的数字是各因素排序。

　　综上，尽管法院较为准确地识别了特别敏感信息，并对侵犯该类信息的被告人加重了刑罚，但是，法院并未按照2017年司法解释的要求，对侵犯敏感信息和普通信息的被告人进行显著的区分。这一现象表明，法院在区分敏感信息和普通个人信息时出现了识别困难，这一问题在东部地区和西部地区尤为突出。

　　（二）导致司法裁量实践存在问题的原因

　　1.侵犯公民个人信息罪的设置偏重于发挥预防功能。侵犯公民个人信息罪量刑畸轻的原因，在理论上有两种可能性。一种可能的原因是，侵犯公民个人信息的犯罪活动得到有效遏制，进而导致出现畸轻的集体裁量结果。例如，个人信息刑法保护在实践中取得良好效果，使得我国侵犯公民个人信息犯罪活动得到有效遏制，数据安全状况好转，犯罪形势大幅缓和，法院在严格按照裁量规范审理时得出畸轻的集体裁量结果。在此种解释下，裁量规范制定主体和司法适用主体均恪守各自职责，并无偏差，发生变化是侵犯公民个人信息犯罪的形势。犯罪形势大幅好转的解释，并不符合我国个人信息安全整体形势的发展状况。由于数字化进程不断加快，尽管刑事制裁力度很大，我国个人信息安全形势依然严峻。在我国侵犯公民个人信息犯罪案件呈现高发态势的情况下，法院如果严格按照刑法规范裁量，则无法推导出量刑畸轻的结果。因此，犯罪形势趋缓导致量刑畸轻的解释不符合现实情况。

　　侵犯公民个人信息罪量刑畸轻的第二种解释更具有合理性，即适用裁量规则的司法机关对于该罪量刑的认识与裁量规则制定机关不一致。如果司法机关认为裁量规则设置的入罪标准过低，量刑偏重，那么在审判实践中就倾向于趋轻判决；反之，如果司法机关认为入罪标准过高，量刑偏轻，那么在审判实践中就倾向于趋重判决，以实现宣告刑与犯罪行为社会危害性的一致。

　　2017年司法解释所设置的侵犯公民个人信息罪的入罪门槛较低，对于敏感和特别敏感的个人信息，侵犯数量分别达到500条和50条即可入罪。对于法院而言，如果严格适用现有裁量规则，将导致刑罚与该罪社会危害性不相当的结果。在数字经济快速发展的当下，随着个人信息流动与运用的加速，个人信息的不当使用甚至滥用随之增多。一些学者甚至主张，应改变以知情同意为基本规则的个人信息法律治理体系，允许有条件地突破个人对于个人信息的控制权。在此背景下，我国刑法规则通过设置较低的入罪门槛，试图防范、惩治甚至杜绝侵犯公民个人信息的行为。司法机关在审理侵犯公民个人信息案件时持更为宽容的态度，可被视作是一种纠偏行为，反映出我国个人信息法律保护的体系化程度有待完善。在刑法作为主要救济手段而其他部门法救济手段乏力的大背景下，法院在采用刑法救济手段时持一种较为温和的态度，以实现犯罪行为和刑罚的合理匹配。尽管畸轻处罚实践的存在有其背景，但是该现象本身背离了量刑指导意见的规定，无法在刑事法律规范层面达成自洽。

　　2.个人信息分级分类制度有待完善。首先，2017年司法解释关于个人信息分级分类保护的规定较为粗略和模糊。2017年司法解释采取正面列举的方式，明确了特别敏感个人信息的范围，给法院识别此类个人信息提供了较为明确的指引。实证结果也表明，侵犯特别敏感个人信息要比侵犯普通个人信息受到更为严厉的处罚。然而敏感个人信息与普通个人信息并未完全采取列举的方式，而是分别采取“列举＋概括”和纯粹概括的方式来界定个人信息的范围。具体而言，2017年司法解释在正面列举住宿信息、通信记录、健康生理信息和交易信息属于敏感个人信息外，还概括性地表述“其他可能影响人身、财产安全的公民个人信息”也属于敏感个人信息。根据样本信息，侵犯公民个人信息罪涉案的敏感个人信息种类已远超上述四类，这表明2017年司法解释中关于敏感个人信息的类型化规定已落后于实践的需要。另外，关于敏感个人信息的概括性规定颇为模糊，对于法院审理案件的指引性不强。

　　其次，法院未能积极主动地识别和认定涉案个人信息的敏感性。尽管2017年司法解释关于个人信息分级认定的概括性规定提高了司法实践中认定个人信息的难度，但是概括表述的方式具有相当的弹性，为法院识别和认定敏感个人信息提供了较为灵活的空间。从这个角度来看，2017年司法解释的概括性规定，也给法院结合案件中侵犯个人信息的具体场景来认定个人信息的敏感度，提供了规范依据。因此，法院在审理侵犯公民个人信息罪案件时，如果遇到新型个人信息时，应当按照一定的标准对个人信息的敏感度进行判定。但从样本数据来看，判决书中往往直接给出了个人信息的类型，对于涉案个人信息类型的识别及其敏感度缺乏必要的说明和论证。这说明我国法官面对侵犯公民个人信息这类较新罪名时，未能主动提炼关于涉案个人信息敏感度的裁判规则。

　　最后，个人信息分级分类保护制度体系不成熟。在刑事司法实践中，法院判断个人信息的类型和性质的科学性，有赖于一整套个人信息分级分类保护标准作为判断的依据。刑事法律规范仅是判断个人信息类型和性质的依据来源之一，此项判断更多地需要其他“国家规定”的系统、全面指引。但长期以来，我国立法层面缺乏对个人信息分级分类保护的相关规定。在2017年司法解释出台前，尽管打击侵犯公民个人信息犯罪已历时8年，但无论是刑法还是其他国家法律法规中并未明确个人信息分级分类保护的规定。2021年《个人信息保护法》出台前，2017年司法解释是最早的国家层面关于个人信息分级分类保护的规范。当前，个人信息的分级分类制度尚未在立法层面得到明确。由于“国家规定”的不健全，导致司法机关对于个人信息分级分类问题缺乏明确标准。判决书中缺乏对个人信息认定的必要说明和论证，不能简单地将责任推给主审法官。如果说一两位法官忽视了个人信息认定的判断是其自身问题的话，大样本的描述性统计所显示的相同结论则说明，此类现象的体制机制根源在于个人信息分级分类保护体系的不完善。

　　根据前文的规范分析和实证探索，我国公民个人信息刑法保护制度亟待完善。该项制度已运行13年之久并已嵌入我国个人信息法律治理体系之中。无论从制度发展逻辑还是从可行性角度来看，都不应对现行刑事法律规定做根本性变革。改革的正确思路应当是，借鉴吸收其他国家有益的立法实践经验并围绕司法实践显露的特定问题，打造针对性强的刑事法律规则改革方案。

　　（一）调整定罪标准，优化个人信息保护法律体系的结构

　　侵犯公民个人信息罪司法量刑畸轻的现象，表面上是刑法规范设置的问题，深层次来看是我国个人信息保护法律体系结构性失调导致的结果。完善刑事法律规范的前提是，对刑法在个人信息保护法律体系中的功能定位有科学的认识。刑法应当是制裁严重侵犯公民个人信息行为的有效手段，但不应是占主导地位的法律手段。应当对刑法和2017年司法解释中“情节严重”这一关键概念进行更为细致的解释和量化，其目的在于，不仅使得法院对于犯罪行为的评价与应然规范保持一致，而且能够优化刑法与民法、行政法等部门法在保护公民个人信息上的功能定位，实现不同部门法之间在保护力度上的有效衔接。

　　一方面，调整2017年司法解释关于侵犯公民个人信息罪的定罪标准。应提高2017年司法解释关于构成情节严重和情节特别严重的量化标准，使得司法实然评价朝着规范应然评价方向回归，从而符合量刑指导意见的形式要求。该项改革最为主要的内容，是提高构成情节严重和情节特别严重的侵犯公民个人信息数额和非法所得金额标准。入罪与量刑标准的提高，并非只是简单地使部分侵犯公民个人信息的行为人逃脱制裁，或者对其从重处罚，而是将刑法手段制裁的对象控制在最为严重的侵犯公民个人信息行为上。

　　另一方面，充分发挥行政法和民法在保护公民个人信息方面的功能，实现与刑法保护的有效衔接。提高侵犯公民个人信息行为定罪量刑的标准后，对于未达到该标准的违法行为应当通过民法和行政法手段进行治理。近年来，我国先后出台了《民法典》《数据安全法》《个人信息保护法》等与个人信息保护密切相关的国家法律。在民事与行政法律保护框架逐步搭建的背景下，未来个人信息保护应采用民法、行政法、刑法等多部门法协同保护的策略。应以构建个人信息保护的法治生态系统为目标，适度收缩刑法手段的运用，使得民法保护、行政法保护和刑法保护各自发挥其功能，实现三者在保护公民个人信息上的有效衔接。

　　（二）细化敏感个人信息的类型，通过司法实践拓展对个人信息敏感度的认识

　　针对刑事司法实践中暴露出的法院未能准确识别个人信息敏感程度的问题，未来的改革重点，应是结合《个人信息保护法》等相关国家法律法规，进一步明确不同敏感程度个人信息的分类标准，厘清其边界，为法院判定犯罪嫌疑人的情节轻重提供更加明确的指引。2017年司法解释所采用的“列举＋概括”规范方式，是较为科学地界定个人信息类型的方式，能够较好地兼顾规范的确定性和灵活性。建议未来改革应在目前界定方式的基础上进一步完善。

　　首先，结合《个人信息保护法》等国家法律法规的规定，扩充敏感个人信息的范围。列举与概括是界定个人信息类型的两种基本方式，列举的个人信息类型越多，越能够为法院审理侵犯个人信息案件提供直接的指引。建议借鉴《个人信息保护法》中关于敏感个人信息分类的规定，扩充2017年司法解释所列举的敏感个人信息的范围。提出此项建议的原因在于，《刑法》和《个人信息保护法》是个人信息保护法律体系的重要组成部分，这两类重要法律规范的不同之处在于救济的时机与方式。《刑法》更多的是通过给予行为人刑事制裁的方式为被害人提供救济。而《个人信息保护法》则更多的是通过对敏感个人信息处理的严格控制和相应的民事、行政法律责任予以救济。既然这两类法律规范构成了对于公民个人信息的体系化法律保护，对于敏感个人信息的认定应当有统一的标准。从刑事司法的角度来看，统一敏感个人信息类型的合理性在于，敏感个人信息的泄露与非法提供将信息主体置于更为危险的境地，因而需要包括《个人信息保护法》在内的民法与行政法提供保护，而当侵犯此类个人信息具有更大的社会危害性和主观恶性时，应当受到更为严厉的刑事制裁。建议在2017年司法解释所列举的敏感个人信息基础上，新增《个人信息保护法》第28条所列举的敏感个人信息类型，包括生物识别、宗教信仰、特定身份以及未满十四周岁未成年人的个人信息。随着我国相关法律法规和司法解释的出台，敏感个人信息的类型将进一步细化。

　　其次，完善2017年司法解释的概括性规定。如前文所述，2017年司法解释采用“可能性”标准，将敏感个人信息的概括性规定表达为“其他可能影响人身、财产安全的公民个人信息”。采用“可能性”标准来界定敏感个人信息并不确切，因为侵犯普通个人信息也具有危害性。建议借鉴《个人信息保护法》的规定，将“可能性”标准调整为程度标准，将敏感个人信息概括界定为“一旦泄露或者非法使用，容易带来较大人身伤害和财产损失的公民个人信息”。潜在危害性应当以社会公众对于信息性质的一般认知为标准。确定信息的敏感度可以参考以下三大因素：（1）与危害后果的产生有着直接因果关系；（2）可能引发严重的危害后果；（3）导致危害后果发生的可能性较大。只有同时满足以上三项条件，才能确定为敏感个人信息。

　　最后，法院在审理侵犯公民个人信息案件时应积极提炼总结敏感个人信息的类型。现行刑事规范概括界定敏感个人信息的方式，给法院在司法实践中提炼敏感个人信息的类型留下了空间。近年来，我国最高人民法院发布的指导性案例对于地方司法实践的影响趋于增强。与数字经济有关的法律问题存在变化快速、规则不完善等特点，在此形势下，更需要发挥法院的司法能动性，通过司法裁判塑造规则。各级地方法院也应在司法实践中积极探索提炼敏感个人信息的类型，最高人民法院应当适时总结发布关于公民个人信息刑法保护的指导性案例，将法官的裁判经验上升为裁判依据。具体操作可以从两个方面展开：一是细化有关法律规范中关于敏感信息的分类。《个人信息保护法》和2017年司法解释中所列举的敏感个人信息类型还有待细化。例如，根据国家标准化管理委员会2020年发布的《个人信息安全规范》，生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等七类；健康生理信息包括就医或体检所产生的诸如住院记录、检验报告、传染病史等十多项类型。这些具体的个人信息是否属于敏感类型需要法院在司法实践中予以厘清，形成关于敏感个人信息的二级分类。二是从刑事司法实践中提炼敏感个人信息的新类型。随着数字经济的发展和公众观念的变化，实践中敏感个人信息的类型趋于增多。法院有必要结合具体案情对涉案个人信息的敏感性进行判断，并形成判断某种个人信息是否为新型敏感个人信息的可操作性方法。顺应最高人民法院推动裁判文书说理的改革要求，法官无论是细化已有的敏感信息分类还是提出新的敏感信息类型，都应在判决书中进行认定与必要说理。

　　我国通过创设专门罪名的方式加强个人信息的刑法保护，符合全球个人信息刑法治理的趋势。与世界其他国家相比，我国侵犯公民个人信息罪的适用范围广、入罪门槛低，凸显了预防后续违法犯罪的功能。本文实证研究显示，在数字化进程持续推进的大背景下，过于强调侵犯公民个人信息罪的预防功能，将导致司法裁判偏离量刑规范的结果。由于个人信息分级分类制度尚不健全，导致法院未能准确识别个人信息的敏感程度。未来应当以健全个人信息多部门法协同保护为目标，适时调整优化各部门法的保护边界，细化敏感个人信息的类型，通过司法实践拓展对个人信息敏感程度的认识，实现刑法与其他部门法的有效衔接，进而实现法律手段与其他规制手段的协同治理。