11月19日下午，首届中国网络文明大会网络法治论坛在北京国家会议中心举行，本次论坛由中央网信办网络法治局、最高人民检察院第四检察厅主办，检察日报社、中国人民大学法学院协办，论坛主题为“网络法治文明与个人信息保护”。

图为中国社会科学院大学副校长林维进行主旨发言。董宁 摄

在主旨发言环节，中国社会科学院大学副校长林维以“数字合规与过失泄露个人信息罪的设置”为题进行了发言交流，以下是发言内容。

公民的个人信息作为重要资源，能为信息收集者、使用者、处理者带来巨大的商业利益，也因此造成泄露的风险。目前，侵犯公民个人信息违法犯罪猛增，造成公民个人信息大量泄露，产生衍生危害后果。2013年至2017年全国公安机关侦办侵犯公民个人信息刑事案件仅800余起，而2018年至2020年，公安机关侦办侵犯公民个人信息案件1.7万余起，抓获犯罪嫌疑人4万余名，其中2020年破获窃取、贩卖未成年人和老年人个人信息的案件50余起，抓获犯罪嫌疑人860余名，破获窃取、贩卖人脸数据案件20余起。这一系列案件呈现出犯罪主体多元、犯罪行为多样、犯罪危害严重等特点，尤其是大型平台造成的公民个人信息泄露的后果更为严重。

2009年，刑法修正案（七）规定了出售、非法提供公民个人信息罪、非法获取公民个人信息罪。同时对该犯罪规定了单位犯罪。2015年，刑法修正案（九）将其修改为侵犯公民个人信息罪。与刑法修正案（七）相比，侵犯公民个人信息罪扩大了犯罪主体、提高了法定刑，对于打击侵犯个人信息犯罪具有重要意义。但是两次规定均特别强调必须故意才能构成。尽管刑法修正案（九）又新增了拒不履行信息网络安全管理义务罪，对网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务的行为进行了规制。但按照“两高”2019年《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第一条对网络服务提供者作出的三个方面规定，无法完全覆盖其他侵犯公民个人信息的单位和个人。对于国家机关工作人员滥用职权或者玩忽职守造成公民个人信息泄露，固然可以成立滥用职权罪、玩忽职守罪，但其主体仍然局限于国家机关工作人员。

显然，目前侵犯公民个人信息等犯罪的设置，无法处罚相关主体基于过失而造成的海量公民个人信息泄露的行为，但此类过失行为所导致的危害后果在客观上与故意侵犯行为所造成的后果，没有任何区别。

根据个人信息保护法第9条、第51条、数据安全法第四章之规定，确保个人信息安全是个人信息处理者的合规义务。尽管个人信息保护法第66条对违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的行为规定了较大幅度的惩罚，但上述处罚同泄露个人信息所带来的严重后果和巨大影响仍然无法相比，而且由于对个人无法追究刑事责任，仍然可能无法对此类违法行为收到最佳的预防效果。

借鉴其他国家或地区的立法体例，法国刑法典第226条规定，如果某种记名信息被泄露将产生损害当事人声誉之后果，或者有损于当事人私生活秘密，在输入、分类、传播或进行其他各种形式的信息处理中收集到此种信息的任何人，未经当事人允许，将其透露给无获取此种信息资格的第三人的，处1年监禁并科15000欧元罚金。由于不谨慎或疏忽大意，发生前款所指信息泄露，处7500欧元罚金。又如澳门《个人资料保护法》第41条规定，依法负有职业保密义务者，在没有合理理由和未经适当同意情况下，披露或传播全部或部分个人资料，构成违反保密义务罪，处最高2年徒刑或240日罚金，过失犯本罪的，处最高6个月有期徒刑或120日罚金。就此而言，应当在我国刑法中规定过失泄露个人信息有下列情形的，成立过失泄露个人信息罪：（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；（二）造成重大经济损失或者恶劣社会影响的；（三）数量或者数额达到故意侵犯个人信息行为标准十倍以上的。