当今,信息技术的飞速进步推动着社会步入大数据时代。信息的自由流动为人们带来便利的同时,也增加了个人信息遭受侵害的风险,甚至直接或间接地致使了许多严重实害结果的发生。社会现实急切呼唤法律保护。刑法有力作出了回应,在二零零九年和二零一五年分别抓住新出修正案的契机,将侵犯个人信息行为入刑并加以完善,建造起一道坚实的个人信息权利刑事法律防护墙。但由于立法规定的模糊性,司法实践中暴露出一些问题。如个人信息范围、情节严重标准等都不统一,造成司法实践的混乱与不公。学界、实务界围绕公民个人信息的定义、行为方式的认定、情节严重情形等几个方面重点论证。而《关于侵犯公民个人信息罪的司法解释》于在二零一七年六月一日正式出台。本文本着辩证的眼光结合解释文本着重对司法实践中的几个疑难问题进行研究。关于公民个人信息的认定,关键在于“公民”以及“个人信息”的界定。此次司法解释,将“公民”解释为“自然人”。从刑法属地管辖、保护必要性出发,外国人、无国籍人应在“公民”含义之内,属于刑法的扩大解释;从信息的人身专属性、民刑部门法保护目的不同出发认为死者不能成为该罪适用主体。而关于“个人信息”的界定,解释采用了“识别说”界定标准。与关联型、隐私型定义相比,“可识别”标准对应的保护范围最为合理,且与此前刑法相关规定契合,遵守了法律体系的内在一致性。而“公民个人信息”的具体判断,一方面须从“须与特定自然人关联”“得以固定”以及“识别性的判断”三方面进行正面判定;另一方面也应规定排除适用的“公民个人信息”——基于信息主体对信息收集者的同意或法律、法规本身规定可以公开两种情形,从“排除违法性”的反向角度进一步厘定刑法学意义上的“公民个人信息”内涵。经笔者检索发现,司法实践中关于“业主信息”“企业信息”仍存在定性不同的情况。笔者论证,“业主信息”当属二级敏感信息,“企业信息”中有关个人信息当归入刑法保护范围内,但在司法实践中应当秉承谨慎态度。关于“出售”的认定,刑法规制“出售”在于其行为给信息主体造成的危害,而非保护交易行为,因此,无须对价、也不以实际获益为条件;而行为中确实牵涉到“财物交换”,随着社会发展,物质和精神需求多元化,“财物”可解释为包括财产性利益在内,但因缺少“财物”的管理可能性、转移可能性特征,不宜将非财产性利益包含在内。对于“提供”的认定,认定疑难点主要在于是否要求“获利目的性”。有观点认为,法条既然将“出售”“提供”明确并列列出,说明含义不同,“出售”具有明显的“获利目的性”,则“提供”不需要。本文认为,“提供”包括无偿与有偿。“出售”是现实生活中最为典型的侵犯公民个人信息的行为方式,从语义来说,本质仍属于“提供”,条文中单列出来可以解释为“提示性规定”。而对“窃取”行为的理解,应注意不以秘密为要件,否则对于平和方式的“公开盗窃”无法规制。对于中间保证人“介绍出售”个人信息的行为,根据一定的处罚必要性,建议将其入罪;根据非典型性以及与其他直接接触个人信息行为方式的差异性综合考虑,给信息主体造成严重后果的,才被认定为本罪。关于本罪的“情节严重”标准,在《解释》未出台之前,有三因素说、四因素说、五因素说、六因素说。这些观点总体看来采取的是一种“单一标准”。《解释》第五条对“情节严重”最新确定的是“单一标准+综合标准”共存的混合模式。这种混合模式,既克服了单一模式过于死板的弊端,又避免了完全综合模式自由裁量空间过大的问题,值得肯定。在此基础上,笔者结合解释规定对情节严重的具体认定标准进行分析,同时,提出自己的完善建议。此外,在个人信息批量认定时,应在推定前添加适用基础——抽样检测信息真实,兼顾司法公正与效率。