近年来,以公民个人信息为犯罪对象的侵犯公民个人信息罪呈现高发态势。包括“徐玉玉诈骗案”在内的一系列由公民个人信息的泄露、非法获取而导致的恶性事件,警醒着我们侵犯公民个人信息罪可能导致的“蝴蝶效应”。2017年6月1日正式实施的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),为侵犯公民个人信息罪的法律适用提供了指引,一定程度上解决了本罪司法实践中所出现的疑难问题与争议。但是应该看到,由于司法实践中犯罪手段的复杂多样,再加之相关公民个人信息保护立法的缺失,侵犯公民个人信息罪的司法适用刑依旧面临着许多亟待解决的难题。本文以《解释》以及个人信息保护的有关规定为基础,对本罪的犯罪对象、客观行为以及司法实践中出现的数量认定问题进行一定的分析与探讨,希望对司法实践中侵犯公民个人信息罪的法律适用提供借鉴和参考。本文除引言外,主要分为以下三章。第一章主要从“公民个人信息”的认定入手。首先,就“公民个人信息”的内涵来看,本文通过对近年来有关于公民个人信息保护的相关立法中对“公民个人信息”定义进行的梳理,发现其涵射的范围呈现不断扩大的趋势。同时通过对“公民个人信息”主体“公民”的解读,进一步明确公民的范围应当包括外国人、无国籍人,但是不包括法人与死者。其次,在把握“公民个人信息”的身份识别标准时,应当注意身份识别的对象为特定自然人、身份识别的方式应当包括直接识别和间接识别,以及间接识别中的可识别程度的判断应当结合主客观因素进行综合判断三个问题。第三,对两种司法实践中比较常见的两种“公民个人信息”的认定进行探讨。无论是“行踪轨迹”信息,还是“财产信息”,在判断上都应该更为严谨。“行踪轨迹”信息应当为动态信息并同时满足身份识别标准,而“财产信息”应当为真实且以能够反映特定自然人的财产状况为判断标准。第二章主要对侵犯公民个人信息罪的客观行为进行分析。根据行为方式的不同可以将本罪的客观行为划分为“泄露型”与“获取型”两类。“泄露型”犯罪的行为非法性判断上应当以“违反国家有关规定”为准,在具体判断时,应当根据相关法律、行政法规进行判断,而部门规章的作用仅仅是确定相关法律、行政法规的含义。“出售”应当理解为是以获利为目的的有偿转让行为,而理解“提供”的关键在于将不应为他人知悉的公民个人信息提供给他人,同时两者之间应当是一种包含而非并列的关系。此外,《解释》第五条第一款第(一)项的规定是本罪的客观处罚条件,系责任主义的例外,没有不当的扩大刑事处罚范围。但考虑其例外的性质,应当将其适用的范围限制在行踪轨迹当中,并对行踪轨迹信息做严格限制,同时对于“犯罪”的理解上,应当采用违法意义的犯罪概念。“获取型”犯罪中,“窃取”的对象应当是无形物,同时不要求转移占有,也不以秘密为前提。通常只需要行为人违背信息主体的意愿,以平和的方式获取公民个人信息,即被认定为“窃取”。再次,“以其他方法非法获取公民个人信息”这一兜底条款应当包括三种情况,即与“窃取”在手段的非法性和危害程度上具有同质性的行为,违反国家有关规定,购买、收受、交换等非法获取方式非法获取公民个人信息的行为与在履行职责、提供服务过程中收集公民个人信息的行为。1第三章主要针对侵犯公民个人信息罪的保护对象,“公民个人信息”的数量认定规则进行分析和解读。首先,在公民个人信息“混杂”的情况下,针对“一条信息”的认定,笔者认为原则上应当以“客观说”作为信息数量计算和认定的标准,而仅仅在涉案信息数量巨大,已经远远超过了《解释》所设立的入罪标准,导致信息数量本身对于定罪量刑的意义已经不大的时候,可以采取“主观说”的观点对公民个人信息的数量进行认定。其次,在信息种类混杂的情况下就“公民个人信息”进行折算,通常情况下应当按照“1:10:100”的比例进行折算,但在以这种方法折算有悖公平的情况下,应当结合涉案信息的数量等因素对涉案信息进一步划分和考量。第三,《解释》第十一条第三款的性质属于刑事诉讼中公诉机关的一项推定证明的规定和被告人举证责任负担的规定。在司法实践中,通过具有高度盖然性的按数量比例随机抽样检验法的检测,在数量极大的公民个人信息数量满足了《解释》所规定的入罪标准的情况下,只要涉案的公民个人信息数量达到了“五千条”以上,就能被认定为“批量公民个人信息”,进而适用《解释》第十一条第三款的推定规则。