2.“情节严重”认定难以操作。实施非法获取公民个人信息的行为,也可以通过追究民事责任或者行政手段进行规制,只有行为的社会危害性达到了应当受到刑罚处罚的程度时,才构成犯罪,因此,法律明确规定“情节严重”是非法获取公民个人信息罪的入罪条件,但何为“情节严重”,尚无依据可循。在判断入罪时,可能因为司法者对法律条文的不同理解甚至误读造成法网严疏有别,如打击面过宽,则有违刑法的谦抑性原则;如打击面过窄,则偏离了立法保护公民权利的初衷,不利于震慑愈演愈烈的犯罪。而入罪之后,司法部门又没有可供执行的统一执法尺度,量刑存在差别,在一定程度上破坏了法律的严肃性。在办案实践中,一般掌握的“情节严重”标准,是从非法获取信息的目的、犯罪手段、信息的用途、犯罪后果、获取数量及获取次数等方面进行判断的。然而即便司法者审慎地掌握上述标准,在实际操作中问题仍随之而来。例如,为进行市场调查获取大量信息,并未转卖或用于拓展业务的,是否应当入罪?非法获取行为造成严重后果的,应达到何种程度?获取信息的数量应当定为多少比较适宜?获利金额与此罪侵害的法益并无直接联系,是否也应成为“情节严重”的标准之一?此类问题若得不到解决,易造成各地基层执法部门的不统一。
3.获取信息的来源和时间难以甄别和确认。虽然法律规定公民个人信息的来源作出了限制性的规定,但是在办案实践中,出售和非法提供公民信息的源头往往难以查获,而大多非法获取的公民个人信息案件中的信息都是几经转手或者直接购买于网络,犯罪嫌疑人也不知道信息最初的来源。因此,除了一些户籍底卡、储户信息、新生儿信息等显而易见的是从国家机关、金融、医疗单位方能获取的之外,对于其他一些综合类信息及经过修改的信息,办案人员很难从信息内容上判断信息的来源,给定罪带来困难。
同时,由于《刑法修正案(七)》自2009年2月28日实行,而刑法溯及力采用从旧兼从轻的原则,因此,2009年2月28日以前实施的非法获取公民个人信息行为不应作为犯罪处理。然在在实践中,出现了非法获取公民个人信息的时间点难以确定的情况。例如很多案件属于网络交易形式,交易双方互不相识,很难找到上家核实交易时间,因此犯罪时间的确定只能依靠行为人的供述,造成行为人对犯罪时间的供述能够左右案件处理结果的窘境。
