随着信息社会的不断深入发展,个人信息安全被提及的次数越来越多。个人信息不再仅仅是一串数字或文字的组合,而是关涉公民个人的人身与财产安全的又一权利。随着公民个人信息财产价值和利用价值的日益凸显,针对个人信息的违法犯罪行为数量也不断攀升,公民普遍感受到个人信息不安全、生活被搅扰。近年来的法律修订,虽然注意到了个人信息应当受到法律保护,但目前个人信息法仍停留在草案阶段,《民法总则》也只是宣示性地表明个人信息应当受到保护。可见,在目前的司法实践中,对个人信息的法律保护主要依据刑法条文和相应司法解释达成。通过对司法案例的实证分析,可以发现在侵犯公民个人信息罪的认定中仍然存在对公民个人信息的界定和数量认定的争议。因此,本文在研究分析了选取的2018年的100份判决书和收集阅读了相关文献资料的基础上,对上述公民个人信息的相关问题进行了剖析。首先,通过对司法判决书的宏观和微观分析,可以发现:第一,自《刑法修正案(九)》施行以来,侵犯公民个人信息罪的发案率不断攀升,涉案信息的数量和违法所得数额都远超司法解释规定的标准;第二,案件的分布地域与相应地区的经济发展程度呈现正相关关系;第三,案情都较为简单,基本在基层法院一审即可终结,少数案件因人数众多、涉及下游犯罪或对公民个人信息的认定和计算上存在异议而进行二审。在对个案的分析后可见,一方面以公民个人信息为犯罪对象的侵犯行为涉及多个行业领域,社会危害性大,另一方面,其争议焦点集中在某些个人信息是否属于公民信息、属于哪种信息,以及在公民信息的数量计算上是否排除某些信息。故此,本文的研究重心即为公民个人信息的界定和数量认定。其次,在界定个人信息的问题上,一方面,从法条规定和学说的角度阐述个人信息的概念和权利属性;另一方面,从个人信息的特征和类型角度具体分析判断公民个人信息。第一,从法律条文规定看来,域外国家早于我国保护个人信息,因此在认定标准上具有借鉴意义。美国以识别信息和隐私信息为个人信息;德国法律保护的是可以确定具体个人的个人数据;欧盟则依据《一般数据保护条例》认为个人数据就是直接或间接识别某一自然人的信息;日本也以识别性作为个人信息的认定标准。国内的法条在采用识别说为认定标准的前提下,不断扩大公民个人信息的范围,刑事司法解释还列举了公民的身份信息、活动状况以及与人身财产有关的其他个人信息。第二,分析个人信息识别说、关联说和隐私说等学说理论的优劣,可以认定公民个人信息的概念应当采取识别说。第三,在个人信息的权利属性上,提出将其权属定性为个人信息权,虽同时具备了人身和财产的属性,在本质上却依然为人身权利。第四,结合个人信息的特征看来,个人信息应当具备识别性、客观经济价值性,并且在表现形式上有复合性的特征。公开信息只要具备识别性特征,就应当认定为公民个人信息,cookie信息亦然。第五,对个人信息的分类可以按照信息的具体内容和重要性为标准,依据信息内容可以分为人身信息、财产信息和活动信息、直接信息和间接信息,而依据信息重要性程度则可以分为敏感信息和一般信息,刑事司法解释则根据信息内容分成不同类型,并通过设置不同的入罪数量表明个人信息重要性程度之差异。最后,在公民个人信息的数量认定上,主要阐明两个问题,即信息类型和信息内容分别对个案中个人信息数量认定的影响。前者在明确特定类型个人信息应当根据涉及的公民某一项具体内容认定为一条或一组个人信息后,再结合司法案例具体认定涉案个人信息的数量。车辆信息属于财产信息,网购快递单信息则需区分是否是保密发货单,而非法获取的特定自然人的行踪轨迹信息和手机定位信息都属于行踪轨迹。后者在阐明重复、非真实的个人信息内容对准确运用批量计算方法的负作用并应将之排除后,又结合实际判决,垃圾信息、空白车辆信息都不计入个人信息数量,法定代表人信息在可识别特定自然人的情况下一般计入总数量,唯其仅仅为合法获取时才予以排除计算。