在互联网快速发展的时代背景下,公民个人信息被非法获取的可能性大大提升,信息的安全问题已经不容忽视。个人信息依托互联网而传播,催生了诸如电信诈骗等关联犯罪,严重威胁公民人身安全、财产安全。为了更有效、准确地打击惩治犯罪,切实保护公民的个人信息安全,在《刑法修正案(九)》中也作出了修改,其中包括对犯罪主体外延的扩充,对入罪标准和量刑情节的层次划分,提供了更充分有力的法律依据。为确保法律有效实施,《刑法修正案(九)》公布施行后,最高法与最高检于2017年5月9日联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“解释”),明确了“个人信息”的范围、构成该罪的客观行为、定罪量刑标准以及处罚原则等。该司法解释的出台,对于犯罪事实的认定更加明确,对于震慑犯罪人员有着一定的积极作用,也为学界讨论研究提供了大量素材。本文以“两高”发布的上述解释为视角,主要选取公民个人信息界定、犯罪客观行为和司法实践中量刑标准三个角度进行讨论。第一部分是对公民个人信息内涵的概述,文章分三小节分别讨论公民个人信息的主体范围和法律属性。第一节对法条中的“公民”一词进行文义解释,对理论界、司法界争议较大的无国籍人、外国公民和死者的个人信息分别进行分析认定。第二节从学界的不同学说出发,分别探讨了与犯罪对象相关的“单法益说”与“多法益说”,并总结归纳了公民个人信息的法律属性。根据《解释》,公民的个人信息除了身份信息之外,其活动过程之中所产生的各种信息也应该包括在内。公民的个人信息的共同点在于其识别性,不管是单独还是和其他信息结合进行识别都是其识别性的表现。识别的难易程度、准确性与信息的隐私性相关。本文从理论和司法实践两个方面分析认为,只有行为人出售或提供的个人信息具有被识别的可能性时,才会对本罪所保护的法益造成危害。同时从立法角度讲,不具备隐私性特点的个人信息不是本罪保护的内容。第三节主要讨论了在公民个人信息数量较大时的计数规则,并对《解释》中规定的“累计计算”与“批量计算”进行了分情况讨论。第二部分主要从本罪的客观行为出发展开讨论。笔者主要从该《解释》列举的危害行为的两类具体行为方式进行剖析研究。第一节在介绍出售及提供行为时,着重讨论了此类客观行为的大前提,即违反国家有关规定。第二节着重讨论了“非法获取”这一客观行为,通过对合法方式的穷尽式列举,从而对“非法”一词进行反推。本节还提出应当对购买行为另行规定,原因在于买方的需求往往会刺激交易,对社会秩序同样是一种破坏。且购买与出售是对向行为,在出售行为被明确规定为犯罪客观行为的情况下,对购买行为也应当予以界定。第三部分对司法解释规定的量刑标准和司法实践中常伴随的其他犯罪进行讨论,其中在量刑情节方面,着重探讨“情节严重”这一标准,列举了学界的单层次与多层次之争,并从信息数量、获利金额、行为次数和危害后果四个方面分别不同情况认定。在实际案例之中可以看出,本罪往往与盗窃、非法获取计算机信息系统数据罪及诈骗罪等交织并发,给调查、取证、认定等带来困难,因此第三节中选取案例进行讨论,探讨侵犯公民个人信息罪和其他相关罪名之间的关联,与法条竞合、想象竞合的情形相对应,厘清一罪与数罪的关系。