随着经济社会与信息科学技术的共同发展,大数据成为信息时代引领科技创新的重要战略资源。与此同时,个人信息在内的数据流通与交易实现了规模效益与经济价值。在流动和交易过程中,个人信息面临扩散、失控的风险,非法收集、使用、盗用、披露公民个人信息的情况层出不穷。无论是因为系统技术缺陷、自身逐利诉求或是监管疏漏,当代立法者、司法人员所首先应当考虑的是如何运用法律实现保护公民个人信息的目的。我国在相关法律法规中加入了与个人信息保护相关的内容,但尚未制定完整、统一的个人信息保护法。刑事法律中,从《刑法修正案(七)》增设罪名,到《刑法修正案(九)》的修改完善,再到“两高”的司法解释,初步实现了对相关犯罪的规制。在立法已经给出应对的情况下,应当进一步结合司法实践的诉求,健全公民个人信息犯罪的法律保护应用体系。开宗明义,首先应当对行为对象予以明确。“公民”的范围不能仅限定于具有中华人民共和国国籍的人。无论是无国籍人,还是他国籍人,其个人信息均应当受到保护。同时,个人信息具有人身和财产双重属性,且为了追求司法实践中操作的便利性,死者的个人信息也应考虑纳入保护范围。2017年出台的最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对于“个人信息”予以明确,但如何具体认定“可识别性”特征,仍未统一观点。实践中,不仅需要结合司法解释对基本要素的罗列,更要牢牢把握公民个人信息的识别性判断。本文认为可将公民个人信息分为综合信息、敏感信息和简单信息分别进行判断,综合信息和敏感信息可直接认定,简单信息则需要从实质和形式两个方面进行具体判别。在方法论上,由于信息量庞大,囿于办案时限,要求司法机关对批量公民个人信息的真实性、重复性逐条核实存在较大困难,可以运用抽检、去重、鉴定等方法解决这一问题。从犯罪的行为方式上,出售个人信息所获取的财物应当包含财物和财产性利益。对于获得非财产性利益的行为则按照提供型进行处断。合法经营型,得到司法解释合理的差异化评价,此类行为人主观恶性较小,应当消减刑事责任。窃取型,在实践中也多争议。不同于传统财物,公民个人信息既有财产属性,又兼具无形物的物理特性,值得关注。对于本罪中“其他方法非法获取”的行为方式,属于兜底性表述,应当注意“非法获取”和“非法收集”的界限。在具体行为方式上,“收买型”是较为常见,应当注意非法性以及与“收受”行为的界限。明确侵犯公民个人信息罪的行为对象和方式后,与相关罪名进行比较,有助于进一步明晰侵犯公民个人信息犯罪的形态。与窃取、收买、非法提供信用卡信息罪相比较,两者属于法条竞合,在行为对象和方式上存在包容关系,应当按照窃取、收买、非法提供信用卡信息罪处断。与故意泄露国家秘密罪、非法获取计算机信息系统数据罪、侵犯通信自由罪相较,罪名之间在客观方面,即行为对象和方式上均不相类似。若与上述罪名在实践中出现交叉、重合,可以按照想象竞合及牵连犯原理进行处断。对于行为人非法获取公民个人信息又使用该信息实施诈骗等罪数形态认定,应当基于牵连犯原理进行具体分析,单独构成诈骗罪或数罪并罚。