信息资源的利用与信息安全的保护是这个时代最具争议的主题之一。一方面,信息是这个时代发展最重要的资源,它的存在让人类社会活动变得更加便捷和丰富多彩;另一方面,信息又是这个时代最容易被滥用的资源,不合理的使用信息不仅会带来种种社会问题,更会增加潜在的犯罪风险。正因为如此,我国立法对公民个人信息提供了比较全面的保护,其中,刑法作为“最后手段的法”,其在公民个人信息保护方面起着最底线的作用。基于此,本文拟从侵犯公民个人信息罪的司法实践状况出发,分析该罪理解与适用中的实务问题,并以刑法第253条之一及相关司法解释为立足点,提出正确理解与适用该罪的具体路径。首先,从《刑法修正案(七)》到《刑法修正案(九)》,刑法第253条之一对侵犯公民个人信息罪的规定得到进一步完善,并配套《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对该罪的构成要件进行了比较详细的解释。但是,目前司法实践中围绕该罪的理解与适用仍然存在三大难题:其一是以可识别性为标准划分信息类型,未必能够考虑到不同场景下信息泄露风险的不同;其二是未确立对信息真实性审查的标准,可能使得很多已经失效或者无效的信息被作为有效的信息计算进来;其三是没有将合理使用公民个人信息的行为与犯罪行为进行区分,导致罪与非罪的界限趋于模糊。其次,表象上的实务问题其实都可以说是理论问题的外在显现。以可识别性为分别标准有其必要性,但在此之外还要辅助以信息使用场景与风险的考量,这样才能够准确定位信息使用的危害性。只有非法使用、买卖真实的公民个人信息才构成对公民个人信息权利的侵犯,才可能构成犯罪,否则无论如何都不能作为犯罪处理的。合理使用行为并不构成对公民信息权的侵犯,其并未增加信息泄露的风险性,不宜作为犯罪处理。最后,基于前述难题,从教义学理论与实务操作上提出如下建议:一是要将可识别性作为信息分类的基本方法,但也要考量信息使用的具体场景,将不同场景的风险性纳入到个案裁判中,打破单纯以数量为依据所确立的入罪标准。二是在计算信息数量时,要将非真实的信息剔除,并确立不同类别信息的折算标准,确保形式公正。三是确立以授权+保密为构成要件的信息资源合理使用制度。同时,在履行法定或约定义务、保护数据控制者合法利益的场合允许合理使用存在例外,即使不经过授权也不宜将之视为侵犯公民个人信息权的行为。