网络隐私权及其刑法保护

柯 卫，刘武杰

（1.广东财经大学 法治与经济发展研究所，广东 广州 510320；2.广东岭南律师事务所，广东 广州 510335）

网络隐私权犯罪是指发生在互联网空间中通过非法收集、窃取、入侵等手段进行的蓄意侵犯他人网络隐私的犯罪行为。目前，我国未针对网络隐私权犯罪出台专门法律，实践中只能借助侵犯个人信息罪等相关条文进行间接惩处，导致相当一部分网络隐私权犯罪行为无法得到惩处。国内学界对于这一问题的讨论大多局限于私法领域，认为应将网络隐私权纳入侵权法保护的轨道。但是，我们应当认识到私法的调整和救济往往是以意思自治为前提，这一根本点就决定了其对权利的救济能力是有限的。近年来，我国网络隐私权犯罪呈高发趋势，许多典型案件都造成了巨大的社会影响，这与我国社会主义法治的要求相背离。所以，通过救济能力更强的刑法来保护网络隐私权已是刻不容缓。

一、网络隐私权的概念与特征

（一）网络隐私权的概念

所谓隐私权，指的是自然人所普遍享有的个人生活及隐秘空间不被他人非法打扰、入侵及公开的一种独立人格权。我国侵权责任法中将隐私权与生命权、健康权等独立人格权并列提及，这是我国第一次从立法角度指明隐私权是一种受法律保护的人格权，具有与其他人格权相同的独立法律地位。王泽鉴先生认为：“在人格权具体化的新兴个别人格权中，以隐私权最为重要，已发展成为一个具有概括性的权利。①王泽鉴：《人格权的具体化及其保护范围·隐私权篇（上）》，《比较法研究》2008年第6期第1页。”而网络隐私权正是隐私权在网络空间中的延伸，由于网络隐私权在权利性质和特征方面没有脱离传统隐私权的范畴，仍然着重保护自然人选择是否将个人隐私内容公之于众的权利，即便在内容的存在形式等方面有所突破，即由传统的思想、观点、情感等内容过渡到以数据形式存在的各种个人信息，但这也仅仅是因为技术的发展，并不能因此就否定网络隐私权作为传统隐私权延伸的本质属性。网络隐私权与传统隐私权的联系和区别表现如下。

网络隐私权与传统隐私权的联系。第一，网络隐私权起源于传统隐私权，传统隐私权在互联网空间中的延伸造就了网络隐私权，这样的渊源导致了二者存在必然联系。这种联系主要存在于权利客体方面，即二者所保护的权利客体均为个人隐私不受非法侵害。只不过由于网络隐私权的特殊性，权利指向的内容由传统隐私权中的有关私人财产、生活经历等内容延伸到个人账户、互联网活动痕迹等。第二，虽然在客体的形式上网络隐私权相较传统隐私权有了较大的扩展，但其内核仍然是对于个人隐私不受非法侵害的精神利益的保护，形式上的演变只是为了适应不断升级的互联网空间技术和社会生活的变化而已。

网络隐私权与传统隐私权的区别。第一，网络隐私权极大地扩充了“隐私”的范围。当今，个人网络活动记录、信用信息、电子邮件、网络账号等在互联网时代都被纳入了网络隐私权所保护的范围。相较于传统隐私权来说，无论是在内容上还是在形式上都有较大程度的提升。第二，网络隐私权所保护的隐私往往具有非常强烈的财产性倾向。在传统隐私权视域下，对于隐私权的侵害往往并不是以获取财产利益为目的；而在网络时代，对于网络隐私权的侵犯尤其是对于个人数据的非法获取大多是为了获取非法的财产性利益。如对个人信息及对其进行大数据分析后所产生的衍生信息进行非法贩卖。正是这种显而易见的差异导致了网络隐私权犯罪在特点和行为表现上与传统隐私权犯罪有着较大的差异。

（二）网络隐私权的特征

一是主体唯一性。网络隐私权的主体只能是自然人，即互联网的使用者。这一特征就将企业等其他社会个体排除在网络隐私权的保护范围之外，这些被排除的个体对于隐私保护的需求可以通过商业秘密等其他手段来满足。所有对于隐私的保护需求，其实都是来自于人类本源性的羞耻心，设置隐私权的主要目的就是保护自然人的此种精神利益，使其免受因隐私内容暴露而导致的精神伤害。生而为人，我们先天的就具有感知精神痛苦的本能，隐私权制度的存在就是为了保护我们的精神情感不受因隐私泄露而造成的巨大痛苦。但是法人及其他组织却不具备这样的能力，虽然在法律上也称其为“人”，但其人格是由法律授予的，是拟制的。法人及其他组织并没有实际感受因隐私权被侵害而造成的精神痛苦的本能，这就是为什么网络隐私权的主体具有唯一性，只能是自然人。法人及其他组织在运作过程中出现的“隐私被侵害”可以通过商业秘密等其他渠道进行保护，但不属于这里讨论的隐私权的范畴。

二是权利行使具有排他性。网络隐私权作为传统隐私权在网络空间中的延伸，完美地继承了传统隐私权的一大重要特性，即排他性。网络隐私权是公民私人享有的权利，具有强烈的排他性，非经许可，任何人不得以任何方式了解、复制、传播他人在网络空间中存在的隐私内容。

三是权利义务关系复杂性。在传统隐私权的语境下，侵害隐私权的行为通常是发生在被侵权人和媒体或被侵权人与其他个体之间，权利义务关系相对简单，即单纯的点对点的侵权关系。但是，如果将视角转移到互联网空间，其信息传播的速度和方式恰好重塑了隐私侵权的权利义务关系。网络空间中信息的传播具有迅速、及时和无序等特点，缺乏传统媒体中的“把关人”，任何信息都可以在众多网络平台中以几何倍数的速度传播，这就导致了原先点对点的简单侵权关系变成了各网络平台、互联网服务提供商和原侵权人对被侵权人的共同侵权关系，其权利义务关系的复杂性因此大大增强。

二、网络隐私权犯罪的特点及行为表现

（一）网络隐私权犯罪的特点

一是犯罪手段具有隐蔽性。网络隐私权犯罪属于广义的网络犯罪中的一种，其最明显的特点便是犯罪手段具有隐蔽性。所有的犯罪行为都发生在互联网空间中，实施犯罪的主体大多是那些精通互联网技术者，他们不但善于实施网络犯罪，且能够利用其自身所掌握的知识和技能进行自我隐蔽。信息在网络空间中的流动往往是多节点的，想通过网络空间去回溯追查犯罪者在某一节点上的行为，其技术难度很大。且在侦查过程中，该类案件往往涉及网络服务提供者、电信接入服务提供商、终端使用者等，无形中给案件侦查增加了难度。从犯罪指向的对象来看，通常情况下被侵权的一方大多是普通的网络服务使用者，不具备相应的知识和能力去监控自己的网络隐私状况，大多数情况是其网络隐私已经被侵犯却不自知，无法及时报警和保留证据，这些都给网络隐私权犯罪案件的侦破带来了巨大的困难。

二是犯罪现场的虚拟性。在网络隐私权犯罪中，所有的犯罪行为都可以通过轻点鼠标完成，信息以数字的方式在网络空间中传播，网络服务提供商的服务器遍布全球，这样的犯罪方式导致了网络隐私权犯罪不存在真实的犯罪现场。无国界的信息流动也造成了调查取证等一系列司法程序在执行中的困难，我国的执法机关在没有签订相应的国际条约或合作协议的情况下不可能实施跨国执法去查封存放于国外的服务器，且所有证据以数字形式存在也客观上对执法机关的技术水平提出了更高的要求。网络隐私权犯罪的本质导致了其犯罪现场具有虚拟性，增加了案件调查取证的难度。

三是信息传播速率高、波及范围广。网络空间中信息传播的速度和效率相比于传统信息传播渠道有了质的提升，打破了原有的点对点传播的模式，其信息传播是发散性的。引起社会大众广泛关注的信息可以在短时间内以几何倍的速度波及到非常广的范围。曾经被广泛讨论传播的“优衣库事件”①北京优衣库不雅视频事件：2015年7月14日晚，微信朋友圈里疯传“三里屯优衣库试衣间”的消息，并且附有不堪入目的照片，该事件后续在网络空间持续发酵，引起了巨大关注。从视频上传到在网络空间中发酵就只经历了短短的几天，可见网络隐私权犯罪的危害性之大，危害范围之广。

（二）网络隐私权犯罪的行为表现

一是利用Cookie技术侵害网络隐私权。Cookie技术是指用户使用的服务器能够较为准确地识别用户，在电脑里存储一些用户信息的资料，当用户下次登录浏览器时，服务器会根据之前存储的Cookie内容来预判用户下一步可能进行的操作行为的一种技术[1]。Cookie技术本质上是对用户个人信息的收集、分析和使用，根据隐私权基础理论，用户有权决定是否贡献自己的个人信息且有权知晓自己的信息被以何种方式收集、分析和使用。现实的情况是，在Cookie技术的应用上，大部分的网络服务提供商采取的是不允许就不能使用服务或限制用户使用全部功能的方式，这就变相架空了所谓的用户知情权，用户只有选择贡献个人信息才能使用服务，这使原本在实力不对等状况中处于劣势的用户的际遇变得更加糟糕，这无疑是对网络隐私权的侵害，法律应当保护用户在被要求接受Cookie技术时的知情权和选择权。

二是非法收集贩卖个人信息。在各类网络隐私权犯罪中，非法收集贩卖个人信息行为最为猖獗，后果也最为严重。虽然我国刑法在两次修正案和司法解释中都对该行为作出了具体规定，但从实践上看收效并不明显，此类行为仍然屡禁不止且有愈演愈烈的趋势。在由各类QQ群组成的个人隐私网络黑市中，只要几十元加一个手机号就能查到有关该号码所有人的诸多隐私信息。包括但不限于实时位置、网约车上下车时间和地点、名下支付宝账户信息甚至出入境航班的订购记录。公民的网络隐私被视为商品在网络黑市中大肆兜售，侵犯了公民本应享有的网络隐私权，破坏了社会生活秩序，让民众在丧失安全感的同时也开始质疑司法是否有能力保护民众的网络隐私不受侵犯。

三是非法侵入他人网络空间。非法侵入他人网络空间指的是犯罪人通过技术手段，破除互联网空间中的各类安全屏障，非法侵入他人网络空间的行为。此类犯罪的实施者往往都是那些具有互联网专业知识和技能的高智商犯罪者。王作富教授认为：“根据犯罪人的心理特征，可以将他们分为温和型和危险型：温和型黑客主要出于好奇、恶作剧等心理，其行为危害性较小；而后者多以政治、经济、报复、泄愤等为动机，其人身危害性、社会危害性均较为严重。②王作富、庄劲：《论黑客犯罪及刑事立法对策》，载赵秉志主编《计算机网络犯罪专题整理》，中国人民公安大学出版社，2007，第349页。”且此类犯罪通常与下游犯罪同时实施，以侵入他人网络空间为基础，合并实施敲诈勒索等其他犯罪。

四是“人肉搜索”。“人肉搜索”是利用互联网作为中介，通过合并互联网搜索到的信息和现实中知情人提供的信息，以查找事实真相为目的联合活动。网民们凭借着自己狭隘的“正义观”加入到实施“人肉搜索”的队伍中，通过网络汇集起来的信息碎片经互联网的收集和处理，最终形成对有关事件和当事人信息的大汇总，这种行为其实是对当事人网络隐私权的严重侵害。

网络隐私权犯罪的行为在侵害公民合法权益的同时也激发了社会不安定情绪，此时突破刑法的“谦益性”对网络隐私权实施刑法保护就显得极为必要。

三、我国网络隐私权刑法保护的现状

（一）刑法修正案（七）

2009年通过的刑法修正案（七）首次规定了有关网络隐私权保护的条款，是我国刑法在保护公民网络隐私权上的第一次尝试。在刑法第二百五十三条后增加一条，以国家机关或金融、电信、交通、教育、医疗等单位的工作人员为犯罪主体，这点主要是与当时各类公共服务机构非法获取、使用用户个人信息行为猖獗的历史背景相适应。尤其是该修正案首次使用了“个人信息”这一在当时还非常新的概念，凸显了刑法对社会发展新需求的反馈，具有积极的进步意义。由于这是刑法第一次以条文的形式保护互联网用户的网络隐私权，难免有疏漏和缺陷，主要问题有二。

一是立法过于笼统。犯本罪要求“情节严重”，但何种情节将被视为严重，所谓“个人信息”具体所包含的范围有哪些，“国家规定”指的又是哪些规定？这些都没有配套的法律法规、司法解释进行释明，为日后的法律适用留下了难题，进而导致同案不同判、各地量刑标准差异大等问题，从而损害司法的权威性和公正性。

二是对犯罪主体的规定不明确。本条文将犯罪主体规定为国家机关或金融、电信等单位。立法者的初衷是以上单位相较于公民个人均处于优势地位，主体之间实力的不对等就使得以上单位很容易在利益的驱使下通过贩卖其在提供服务过程中所获得的个人信息侵害公民的网络隐私权。但是，行文中又使用了“等”字，这就造成了对主体规定的不明确和在法律适用过程中的混乱。

（二）刑法修正案（九）

2015年的刑法修正案（九）拓展了刑法修正案（七）所规定的犯罪主体的范围，由特定主体拓展到一般主体，即任何单位和个人只要符合该罪的犯罪构成要件都会构成该罪。众所周知，随着互联网和社会公共服务的不断发展，可能依靠自身在获取信息方面所占的优势地位非法出售提供公民个人信息的个体早已超越了原条文所规定的六种单位的范围，原先封闭式的列举已经不能满足现实保护公民网络隐私权的实际需求，如各类电商、互联网生活服务提供商都已经成为收集公民个人信息的重要主体。这次修正案之所以取消对该罪犯罪主体的限制主要也是出于这一点考虑。

本次修正案增加了对互联网服务商行为的约束，规定互联网服务商在提供网络服务的过程中，如果因为其自身的原因导致公民个人信息泄露并造成严重后果的，必须承担相应的刑事责任。从法律上正式明确了互联网服务商在提供互联网服务的同时也要承担相应的安全管理责任，这无疑是给近年来野蛮生长的新型互联网企业带上了紧箍咒，也是保护公民在互联网中个人信息的重大进步。

本次修正案还增加了一档量刑档次，即对情节特别严重的危害行为处以三年以上七年以下有期徒刑，并处罚金。量刑档次的升格体现了国家要重拳打击侵害公民网络隐私权犯罪的决心，与现今严峻的网络隐私权犯罪形势相匹配。

（三）关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释

刑法修正案（九）的公布对遏制我国网络隐私权犯罪起到了较为积极的作用，但在司法实践中仍然出现了对该罪的适用标准不明确的问题。为了统一裁判标准、维护司法权威性，两高在2017年联合发布了《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》），《解释》针对刑法条文中的模糊地带作出了一系列的细化规定，主要涉及对公民个人信息范围的界定、定罪量刑标准、与其他关联犯罪的竞合等问题，有效回应了司法实践中显现的一系列疑问。

一是明确划定了“个人信息”的范围，主要包括身份识别信息和活动情况信息两方面的内容。同欧盟《一般数据保护条例》一样，《解释》采用“识别性”作为判定个人信息的主要标准，即只要该信息单独或与其他信息合并后能够识别出公民的身份或活动情况，该信息就属于刑法条文所述的个人信息。

二是明确将非法提供经合法收集的公民个人信息的行为入罪。即该罪所映射的范围不再局限于非法收集的范畴，即使是合法收集到的信息，在提供公民个人信息之前，都应取得被收集者的同意，或对信息进行匿名化处理，否则就会触犯本罪。

三是明确条文中“情节严重”的具体指向，由于本罪只有情节严重才构成犯罪，所以对于“情节严重”的定义其实就是该罪的入罪标准。具体通过信息的数量和违法所得的数额这两个维度作为衡量情节是否严重的标准。因此，以“情节严重”中规定的数量和所得的十倍来定义“情节特别严重”，适用升格法定刑。同时，进一步明确了互联网服务提供方在提供服务过程中应当履行的安全保全义务。

四、我国网络隐私权刑法保护的缺陷

（一）缺乏对网络隐私权独立法益的直接保护

从网络隐私权刑法保护的国际视野来看，德国早在1871年颁布的刑法典中确定了侵犯私人秘密犯罪一章，而法国刑法典1810年就明确禁止侵犯隐私的行为，而美国及加拿大刑法典也将侵犯私人领域秘密权的行为直接规定为侵犯隐私权的犯罪[2]。

反观我国的司法体系，长期以来并没有将“隐私权”作为一种独立受保护的法益，没有作出过明确具体的保护性规定。司法实践中对隐私权的保护通常都是利用其他关联罪名进行的，如侮辱罪、诽谤罪、传播淫秽色情物品罪等。2010年7月1日起开始实施的《中国人民共和国侵权责任法》才第一次正式提及“隐私权”这一概念。故此，我国现有的法律体系中并不存在系统严密的隐私权概念，虽然有关隐私权的保护性条款零星散布于各部门法之间，但这样松散的规范体系很难起到预期的保护目的。尤其是各部门法之间无法就有关隐私权保护的条款进行良好的衔接，导致保护功能被大幅度削弱，法规体系冗杂混乱。这在一定程度上影响到网络隐私权刑法保护的效率和力度。

把视角缩小到刑事法律领域，无论是1979年刑法、1997年刑法还是后续的司法解释中，均不见隐私权、私人生活、私密空间等概念，因此隐私权从未曾有作为一种独立性权利而获得登台露脸的机会[3]。这样的立法背景就决定了我国刑法对脱胎于传统隐私权的网络隐私权只能提供间接保护，即现行刑法只能通过对侵犯“个人信息”的行为进行处罚来保护互联网用户的网络隐私权。

侵害网络隐私权的方式多样，侵犯“个人信息”只是其中的一种，在司法实践中，如果危害行为不能满足间接保护罪名的构成要件要求，那么该如何保护受害人已经被侵害的网络隐私权？与此同时，诸如侵犯公民个人信息罪等罪名在设计时都有其独立的保护法益并且有自己独特的定罪量刑标准，隐私权的这种依附性保护并不能满足对其进行全面保护的需求。

（二）起诉模式缺乏合理性

我国司法体系目前对侵犯网络隐私权犯罪实行的是国家公诉模式，即所有涉及侵害网络隐私权犯罪的诉讼都要先由公安机关进行立案侦查，侦查完结后再提交检察机关向人民法院提起公诉。这种国家公诉的模式存在以下两方面问题。

一是与其他强烈侵害公民人身权益的犯罪相比，网络隐私权犯罪所侵害的是相对轻微的个人法益，大多数情况下不会对受害人的人身和财产造成巨大损失。对于此类犯罪如果也实施与故意杀人罪一样的起诉模式，从某种意义上来说是在浪费本就已经非常紧张的司法资源。同理，公安机关在警力资源紧张的情况下也不可能将工作重心放在法益侵害性相对较轻微的网络隐私权犯罪的侦破上。

二是网络隐私权犯罪侵害的是公民的私密信息和网络个人空间，这类内容往往会与其声誉、社会地位等相联结。是否要将他人侵害自己网络隐私的事实交予国家公权力机关进行处理，这项主动权应该掌握在受害人自己的手中，现行的对网络隐私权案件完全实施国家公诉的起诉模式在合理性上有待商榷。优化起诉模式，采用不公开审理模式，不但能疏解公安机关的案件压力，也能更好地保护受害人的权利。不顾受害人意见，武断地提起公诉反而会对其本已受侵害的隐私权造成二次伤害。

（三）定罪量刑标准中的困境

我国刑法中定罪量刑采取的是定性与定量相结合的方式，但具体的数额确定不便在刑法中直接规定，由司法解释完成这个任务更具有灵活性。刑法修改时，习惯上主动让渡出细节性规定。当然，抽象司法解释长期负责对抽象性条件的细化，久而久之也影响了刑事立法的预判与技术选择[4]。在网络隐私权犯罪的刑法保护领域，一直存在着定罪量刑标准的困境。2017年，两高联合发布的《解释》细化了侵犯公民个人信息罪的理解和适用的相关理念及规则，进一步理清了自该罪设置以来在司法实践中出现的争议问题，客观上提升了相关刑事司法的统一性和准确性。鉴于刑事司法过程的严谨性和复杂性，加之刑事法律规定本身具有的原则性特征，导致即便《解释》的规定已经颇为详尽，但司法实践中仍有部分问题没有被清晰的界定。由于具体量刑标准的不明确，司法人员在认定犯罪的过程中面临某些困境。如“违反国家有关规定”的具体含义和违法所得的具体认定标准如何确定，“情节严重”的认定标准，如果以贩卖数据的数量来衡量的话，使用什么样的方法来认定数据的数量，数量认定与直接窃取贩卖是否要区别对待？这些困境必然导致同案不同判等有违司法公正的现象。

五、完善我国网络隐私权刑法保护的对策

（一）在刑法中设置侵害网络隐私权罪

对于网络隐私权的刑法保护，直接保护模式显然要优于间接保护模式，要改变我国现行刑法长期以来对网络隐私权的间接保护模式，就必须在刑法中设立侵害网络隐私权罪。设置专门罪名有助于厘清网络隐私与个人信息之间的边界，将对网络隐私权的保护脱离个人信息保护的框架，增强对其保护的直接性和力度。

第一，明确违法构成要件。一是明确行为主体。行为主体指的是刑法规定的实施犯罪行为的主体，包括自然人和单位主体两种。侵害网络隐私权罪中的犯罪主体应是一般主体，这一点已经在刑法修正案（九）中有所体现，即删除了在行为主体方面的列举式限定，这点是符合社会生活实际的。大数据时代，侵犯公民的网络隐私权早就已经不只是由在信息获取上占优势的单位或组织实施了，自然人在网络上贩卖公民个人信息、侵害公民网络隐私权的案件每天都在发生。将侵害网络隐私权罪的主体设置为一般主体才是符合客观事实的做法。二是明确犯罪行为。侵害网络隐私权罪中所指的犯罪行为应当是非法侵入公民网络隐私空间、非法收集使用公民网络隐私、未经允许公布公民网络隐私的行为。三是明确行为对象。侵害网络隐私权罪的行为对象应为公民的网络隐私。此处区分行为对象最大的意义在于，当刑法分则基于区分受侵害法益或类型化犯罪的需要，针对不同行为对象规定了不同犯罪时，特定的行为对象影响此罪与彼罪的区分。我国现行刑法对于网络隐私权的保护基本上是通过个人信息进行的间接保护。此处区分行为对象可以明确的界定现行刑法中侵犯公民个人信息罪与侵害网络隐私权罪的边界，防止后续司法中出现法律适用错误。四是明确危害结果。危害结果指的是行为给刑法所保护的法益造成的现实侵害事实和现实危险状态。危害结果并不是所有犯罪所必须的构成要件要素，但在侵害网络隐私权罪的讨论中必须讨论这一要素，其意义在于危害结果可以用来判定该行为对刑法所保护的法益所造成损害的程度。基于刑法的“谦益性”原则，只有对法益造成严重损害的行为才能够启动刑法进行保护，其他情节轻微的侵害行为应当考虑使用行政法、侵权法的保护渠道，使用危害结果对危害行为进行分级有助于界定网络隐私权刑法保护与其他部门法保护的边界。在各类危害公民网络隐私权的行为中，仅有那些造成公民在精神、财产等方面重大损失的严重危害行为才是侵害网络隐私权罪的适用对象。除此之外，应当适用其他部门法，保持刑法的“谦益性”。

第二，明确违法免责事由。网络隐私权犯罪需要关注以下两类违法免责事由。一是职权行为。所谓职权行为，指的是公务人员根据法律行使职务履行职责的行为。如公安机关在调查犯罪过程中，有时会在未经允许的情况下进入被调查对象的网络隐私空间，甚至会复制隐私空间中的内容作为证据留存。此种行为虽然符合前述的非法侵入他人网络隐私空间的构成要件，但因为其行为的目的是惩处犯罪、维护社会稳定，这样的行为保护了更为优越的社会法益，应当认为这种行为并没有被刑法所禁止。二是被害人承诺。被害人承诺符合一定条件，便可以排除损害被害人法益的行为的违法性。网络隐私权具有鲜明的个体属性，在危害行为没有违反国家、社会等公共法益的情况下，网络隐私权是可以被放弃的。即如果公民本身要求或授权他人进入自己的网络隐私空间、使用网络隐私信息，这类行为不应当被视为刑法所规定的侵害网络隐私权的行为。

第三，明确责任要件。此罪责任要件方面应该是以侵害他人网络隐私权为目的的故意犯罪，过失不能构成此罪。体现在行为人对于侵害他人网络隐私权是有意识的，包括直接故意和间接故意。犯罪人必须是出于故意而行使侵害他人网络隐私权的行为，具有明确的目标，并且清楚地认识到该行为可能造成的结果。

（二）采取双轨制立法模式

相对于保守稳定的刑法典，在各种各类单行法中设置附属刑法规范就显的更为灵活。单行法虽然因为具有就事论事的特征而无法形成系统化整体化的保护体系，但却能方便快捷的对社会生活变迁尤其是技术的发展作出灵敏而有效的反应。所以，世界上很多国家和地区在隐私权立法方面都使用的是刑法典及附属刑法双轨制的立法模式，如美国和我国台湾地区，足见其有效性和科学性。

具体来说，我国在刑法中设置网络隐私权犯罪的同时，应当在其他相关单行立法中设置侵犯网络隐私权的刑法条款，如已经被列入本届全国人大常委会立法规划的个人信息保护法。单行法的制定和修改往往不受类似刑法稳定性的束缚，其之所以产生就是为了使法律体系能够跟上社会发展的节奏。在相关单行立法中设置保护网络隐私的单行条款，既保证了刑法条文的稳定性又满足了网络隐私保护随网络技术发展而产生的新变化，也是较多域外国家和地区选择的网络隐私权刑事立法保护模式。

（三）明确现行法律定罪量刑标准

第一，明确对“个人信息”的理解。一是在对“个人信息”这一概念的解释上，《解释》采用了开放性列举的技术方法，即本罪所指的个人信息包括但不限于条文中所列举的内容。但如果想要将其他未列举内容解释为该条文所规定的个人信息，则未列举的内容必须与已列举内容具有相当性或同质性。二是《解释》联系国内外司法实践和研究成果，对个人信息的识别性作出了具体规定，只有满足了能够反映出公民个人活动情况的识别性特征的信息才能被定义为本法所规定的个人信息。在立法过程中，有学者提出增加学历、婚姻状况等具体的信息类别，但该类意见并没有被采纳。现今网络隐私存在的形式五花八门，想要全部列明是不可能的，也不具备司法操作性。同时，本罪所指的个人信息既包括中国公民的个人信息，也包括外国公民及无国籍人的个人信息。

第二，明确对“违反国家相关规定”的理解。根据刑法第二百五十三条之一的规定，“违反国家有关规定”是出售或提供公民个人信息行为的入罪前提。《解释》第二条规定，违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一的违反国家有关规定[5]。在刑法修正案（九）出台之前，我国刑法条文中“违反国家规定”一般指的是刑法第九十六条所规定的法律和行政法规。刑法第二百五十三条所规定的“违反国家有关规定”事实上是对刑法条文的突破，将“部门规章”纳入语境之内。目前，我国尚未制定专门的公民个人信息保护法，但一些法律、法规、部门规章对特定领域公民个人信息的保护作出了专门规定。考虑到立法实际情况和办案需要，《解释》对“国家有关规定”的范围予以明确。

第三，明晰网络隐私权刑法保护与其他部门法保护的边界。建立完善的整体性法律法规体系用以保护公民的网络隐私权不受侵犯，其中就包含刑法、侵权法、行政法、诉讼法等多个部门法。各部门法在保护网络隐私权这一问题上所持的视角是不同的，应当与其本身特定的立法目的和职权范围相契合，这就产生了网络隐私权刑法保护与其他部门法保护的边界问题。通常在谈及刑法与其他部门法的边界问题时都会提到刑法的“谦抑性”。张明楷教授认为：“刑法应依据一定的规则控制处罚范围与处罚程度，即凡是适用其他法律足以抑止某种违法行为、足以保护合法权益时，就不要将其规定为犯罪；凡是适用较轻的制裁方法足以抑止某种犯罪行为、足以保护合法权益时，就不要规定较重的制裁方法。①张明楷：《论刑法的谦抑性》，《中南政法学院学报》1995年第4期第55页。”法国著名启蒙思想家卢梭指出：“刑法在根本上与其说是一种特别的法律，还不如说是其他一切法律的制裁力量。②卢梭：《社会契约论》，何兆武译，商务印书馆，2003，第70页。”这句话精辟地揭示了刑法在网络隐私权保护法律体系中的地位。总的来说，刑法的“谦抑性”决定了网络隐私权的刑法保护与其他部门法保护的边界在于犯罪行为的危害是否达到了要动用刑法来制裁的程度；反之，严厉的刑法也成为其他部门法有效实施的根本保障，在背后为各部门法提供有力支撑。