近年来,我国信息技术飞速发展,大数据、人工智能及云技术也不断得到应用及推广,这些为我国迈入信息化社会奠定了坚实基础。信息化时代下,公民个人信息与公民重要人格、人身安全及财产安全联系日益紧密,愈发成为推动产业发展、人民生活变迁的重要资源,但同时也遭受着前所未有的侵害威胁。基于此,国家出台多项法律法规保护公民个人信息,并将侵犯公民个人信息行为入刑,以具有强大威慑力的刑罚规制该种行为。2009年《刑法修正案(七)》设立出售、非法获取公民个人信息罪;后于2015年通过《刑法修正案(九)》,将本罪改为侵犯公民个人信息罪。本罪为典型情节犯,以“情节严重”的满足作为入罪前提,但修正案未对如何认定“情节严重”予以说明。为解决本罪“情节严重”情形难以把握,司法实践判定标准不一的窘境,两高对症下药,于2017年联合出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称为《解释》),并对本罪“情节严重”的具体情形作出详细说明。《解释》虽在一定程度上厘清了本罪设立以来司法实践中出现的认定争议,但实践中对于侵犯公民个人信息罪“情节严重”的司法认定仍存疑虑。判断涉案信息是否为“公民个人信息”、区分信息类型、认定信息数量以及判定“被用于犯罪”、获利数额和主体身份情节成为本罪“情节严重”认定的关键。首先,本罪成立是以行为人侵害“公民个人信息”为前提。若非刑法所保护的“公民个人信息”受侵害,则无需刑法介入。对“公民个人信息”的界定需从本罪法益结构入手,探究得本罪法益为公民人格尊严、人身安全及财产安全。同时结合“公民个人信息”的定义可得,“公民个人信息”应当为具有可识别性、真实性及法益关联性三大特性的信息。即“公民个人信息”需为能够识别出特定自然人身份的真实有效的且与该自然人人格尊严、人身安全或财产安全法益密切相关的所有信息。而在具体案件判定时,可采取“三角形法”判定涉案信息是否为“公民个人信息”。其次,应考量能否对信息类型予以区分。区分不同层级信息类型需着重把握信息核心要素及信息用途,并将信息交易价格作为辅助划分信息类型的因素,综合判定信息类型。针对现行公民个人信息类型层级划分标准存有瑕疵的状况,本文建议将生物识别信息增设为高度敏感信息,以50条信息作为入罪标准,来有效应对生物识别信息的重要性、敏感性及易侵害性与日俱增之现状。再次,界定出信息类型后,需判定信息数量。判定时应遵循“三步走”模式,先对信息进行主体识别,将涉及同一特定自然人的信息汇总到一起;然后再对涉案信息可能侵害的法益进行判定,根据法益的不同划分为不同条个人信息;最后识别个人信息真实性,仅在信息真实有效时,才可将其计入行为人侵害的信息数量中。针对信息真实性核查,建议以5000条作为“批量”信息标准,对于未达批量要求的部分,采取逐一认定信息真实性的方法核查;对于超过五千条的部分则采取分组抽样检测,分别算出真实率后,以加权平均真实率计算的方式进行真实条数认定。最后,本罪情节设置合理性存有争议,应从“情节严重”的性质或定位展开分析,以此判定本罪情节设置合理与否。“情节严重”应认定为排除主观责任要素、特殊预防刑要素及主观违法要素等的客观违法构成要件要素。由此反思目前情节设置的合理性,删改不合理的情节,坚持从行为不法和结果不法入手,将本罪入罪情节限制于侵害的信息类型、信息数量、侵害手段及造成的侵害后果几个方面并严格规范“其他情节严重的情形”认定标准。借此实现侵犯公民个人信息罪“情节严重”认定的科学及合理性。