二、提供公民个人信息行为“非法”的判断

实践中存在合法的出售或者提供公民个人信息的行为。因此，刑法第二百五十三条之一第一款、第二款关于出售或者提供公民个人信息的罪状表述将“违反国家有关规定”作为前提要件。据此，对于提供公民个人信息是否系非法，应当以是否违反国家有关规定作为标准。特别是，判断提供公民个人信息的行为是否“非法”，不能仅以是否经权利人同意作为判断标准，而是应当以国家有关规定作为基准。[1]例如，为了维护国家安全，基于侦查、起诉、审判工作的需要，依据有关法律向司法机关提供犯罪嫌疑人、被告人的个人信息的，虽未经该犯罪嫌疑人、被告人许可，但符合相关法律的规定，属于合法提供。

需要提及的是，基于大数据发展的现实需要，《网络安全法》在法律层面为个人信息交易和流动留有一定空间，第四十四条规定任何个人和组织“不得非法出售或者非法向他人提供个人信息”，即不仅允许合法提供公民个人信息，而且为合法出售和交易公民个人信息留有空间。[2]而且，《网络安全法》第四十二条第一款进一步明确了合法提供公民个人信息的情形，规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”据此，经得被收集者同意，以及匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形，不能纳入刑事规制范围。基于此，《解释》第三条第二款规定：“违反国家有关规定，未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”

[1]值得关注的是，《刑法修正案（九）》（草案一次审议稿）将出售或者提供个人信息入罪的前提要件设置为“未经公民本人同意”，即采用的是主观判断的标准；但是，从《刑法修正案（九）》（草案二次审议稿）开始，采取了客观判断标准，即“违反规定”；《刑法修正案（九）》延续了这一立场，调整为“违反国家有关规定”。参见喻海松：《刑法的扩张——〈刑法修正案（九）〉及新近刑法立法解释司法适用解读》，人民法院出版社2015年11月版，第148～149页。对于这一立法审议过程，即对“非法”的判断从主观标准调整为客观标准，实际上彰显了对公民个人信息保护的不断全面化。但是，更为值得注意的是，主观标准本身存在一定的缺陷。正如有论者所指出的，“个人信息保护是在个人信息适用过程中保护个人权益不受侵犯。在人类文明史上，任何国家、任何法律均没有将信息置于私权控制下，而是将其暴露在法律的支配权之外。个人信息不属于个人所有，法律也不会赋予个人对个人信息的排他支配权。因为这样的授权会产生‘非经个人（也称为数据主体）同意，不得使用个人信息’的法则。在这样的法则下，许多人类社会活动无从开展。”参见高富平：《法律应如何保护个人信息》，载《中国审判》2017年第3期。

[2]此前，《关于加强网络信息保护的决定》第一条第二款规定：“任何组织和个人……不得出售或者非法向他人提供公民个人电子信息。”依据这一规定，出售公民个人信息属于禁止的范畴，不存在合法交易的空间。