近年来,公民个人信息遭到随意泄露、恶意篡改的不法侵害事件频繁发生,这既侵犯了公民的人身权利和财产权利,也威胁了社会的经济秩序和公共安全。对此,国家相继出台了《刑法修正案(九)》、《民法总则》、《网络安全法》等法律及相关司法解释,加强对公民的个人信息安全的保护。然而,法律的生命在于实施。虽然《刑法修正案(九)》完善了侵犯公民个人信息罪的相关规定,但是对于该罪的认定依然有许多问题需要解决。具体而言,本罪的法益属性是什么?“非法获取”的界限标准是什么?“非法使用”应当如何认定?同时,在舆论媒体纷纷呼吁滥用信息入刑的浪潮中,我们应该如何看待滥用信息的行为?这些问题都在司法实践中困扰着我们每一个人。为了解决上述问题,本文针对相关概念、理论展开研究,试图厘清相关概念,明确相关界限,解决侵犯公民个人信息罪在认定过程中存在的一些难题。在本罪的认定问题上,首先应当明确的是本罪的法益属性,本文认为,应当将个人信息权作为侵犯公民个人信息罪的客体。信息技术的发展使个人信息所牵涉的利益不断扩大,以个人隐私为中心不断向外延伸至人格利益和财产利益,并触及公众权益。传统的权利类型无法涵盖这些权利,继而无法全方位保障公民的信息安全,因而个人信息权这样一个综合的新型权利应运而生。我们应当与时俱进,及时将其确定为本罪的客体。对于个人信息的认定,学界的主流观点有关联说、可识别说。本文认为,个人信息的范围应当通过“可识别性”进行确定,这一标准不仅能够全方位地保护公民的个人信息,还能避免公开的个人信息在认定上的尴尬。在行为的判断上,“非法获取”的认定标准应当为:1.未经同意(明示或者默示);2.违反国家有关规定;3.积极行为。对于部分学者提出的手段非法这一标准,本文持否定意见。这一标准会限制本罪的适用范围,背离立法宗旨,不宜再做考虑。此外,刑法将“非法获取”行为作为侵犯公民个人信息罪的行为方式之一,却没有对“非法使用”行为作出规定。那么“非法使用”行为又将如何认定?本文认为,“非法使用”内涵广泛。包括出售、非法提供行为;刑法其他罪名规制的行为,如诈骗、侮辱等行为;以及其他非法使用行为,也称狭义的非法使用行为,一般表现为滥发短信、邮件等行为。其中,前两种行为可由刑法进行调整,第三种行为由民法或行政法调整即可,不受刑法规制。个人信息在经济发展的过程中有巨大的商业价值,但公民的个人信息安全也因此面临着严峻的挑战。个人信息保护的背后,涉及的是商业价值与个人安全的博弈。如何权衡取舍,实现平衡,考验着立法者的智慧。本文认为,在个人信息的流通上,刑法应当严格把关,做一名安全的卫士,谨防信息的泄露与不法传播;在个人信息的使用上,刑法应当谦抑谨慎,做一名经济的向导,让位于民法与行政法。刑法应当始终秉持宽严相济的原则,从而实现信息安全与经济发展的共赢。