（一）“出售”行为的认定

出售行为即有偿转让行为。具体到本罪“出售”行为的认定，需要厘清两大争议问题：①出售是否以对价为基础；②出售的交换对象是否包括财产性利益和非财产性利益。

1.出售不应以对价为基础

针对“出售”行为是否需要以对价为基础，存在两种分歧。一种观点认为，“出售”是一种等价交换的过程。另一种观点认为，只要行为人基于获利的目的进行有偿转让即可认定为出售，对获利的数额没有要求。^[48]上述两种观点分歧之处在于出售是否要求对价。前一种观点对出售采用了狭义的理解，认为出售应满足等价交换规则，此观点符合一般的交易原则。后一观点对出售行为采用了广义的理解，认为只要行为满足交换的特征即可，不需要建立在等价的基础上。笔者认为，在侵犯公民个人信息罪“出售”行为的认定中，不应以支付合理对价为基础。

第一，现实生活中对价的标准很难界定，狭义的出售说在实践中不具有可行性。只有能用货币衡量的一般商品，才可以适用等价交换规则，但针对个人信息来说，其并没有凝结无差别的人类劳动，不属于商品的范畴，当然不可以用货币衡量。另外，每个个体信息的经济价值是不同的，很难以量化的数据来衡量其价值。即使法律为个人信息的价值设定统一的标准，也很难就现实生活具体情况加以涵盖。

第二，在刑法中有关于其他“出售型”罪名的规定，也不要求以对价为基础。在我国现行刑法中，除了本罪采用了“出售”的表述，还有其他罪十几个罪名中也采用了“出售”的表述，如出售假币罪、非法出售增值税专用发票罪、非法出售文物藏品罪。从上述罪名看来，出售的对象为禁止流通的物品或者是违禁品，如假币、文物藏品等，这些物品由于其本身并不具有价值或者由于其特殊性根本不能在市场上流通，所以谈不上所谓的价格。可见，我国刑法中的“出售”并不需要以对价为基础。

2.“出售”包括财产性利益和非财产性利益

根据上文论述，出售行为的认定只要求有偿即可，不要求合理的对价，那么对于交换的对象应如何认定？此处的交换对象除了财物之外，是否还包括财产性利益和非财产性利益呢？下面笔者就这一问题加以探讨。

在刑法中，最初的交换对象仅指财物，财物最初的范围仅限于金钱和物品，然后扩充至财产性利益，后来在贪污贿赂犯罪中将一切财物解释为一切财产性利益和非财产利益。笔者认为，本罪中的财物应同贪污贿赂中的财物采用相同的解释，即包括财产性利益和非法财产性利益。从语义上来说，财产性利益包含两个方面的内容：①积极财产的增加，如设立债权；②消极财产的减少，如债务的免除。从财物和财产性利益的表现方式来看，两者是不同的，财物是可以用金钱直接计算衡量，财产性利益需要间接以货币计算，但是就本质来说两者并没有存在实质区别。那能否将财物扩大解释为非财产性利益呢？笔者认为答案是肯定的。目前，公民个人信息的价值凸显，各行各业都在对个人信息不断地开发和利用，其背后的商业利益是巨大的，将财物扩大解释为财产性利益和非财产性利益符合大数据背景下打击侵犯公民个人信息罪的需要。(www.daowen.com)

（二）“提供”行为的 认定

在认定“提供”的具体含义时，需要厘清以下三大争议问题：①出售与提供行为的关系；②提供的对象是否必须为特定人；③合法收集公民个人信息后非法提供的认定。

1.提供和出售为包含关系

关于“提供”和“出售”行为的关系问题探讨，学界存在两种观点。一种认为，“提供”和“出售”为并列的关系，还有一种观点认为“提供”应包含“出售”。对于上述两种观点，笔者赞同后者。本罪中的“提供”是指行为人将知悉的公民个人信息告知不知悉者；“出售”是指行为人将知悉的公民个人信息告知不知悉者并取得报酬。两者之间的共同之处在于使不应知悉者知悉，两者区别的关键在于是否获得报酬。换句话说，“出售”行为在“提供”行为的基础上增加了取得报酬的要求，可见“出售”的外延要小于“提供”，所以只要有“出售”就必然包含“提供”。刑法第253条之一之所以将“出售”行为单独列出，是因为现实生活中，“出售”是“提供”的一种典型方式。

2.提供不特定接受对象的理解

关于本罪的提供对象是否包括不特定的多数人，学界存在两种争议。有学者认为，提供信息的对象需要为特定个人。也有学者主张提供行为对象不要求特定化，如散播方式。笔者认为，非法向不特定多数人提供公民个人信息构成本罪，与向特定人提供信息的危害性相比，向不特定多数人提供个人信息的危害性更大，举轻以明重，向不特定多数人提供公民个人信息构成本罪是毫无疑义的。这一观点在司法解释中也得到了印证，现《解释》已经明确指出，本罪的提供对象包含不特定的多数人。根据《解释》第3条第1款的规定，我们可以将“提供”行为划分为两种类型：①向特定人提供，这种情况下提供者和获取者是一对一的模式；②向不特定人提供，即通过网络或其他途径发布信息，这种情况下信息提供者和获取者是一对多的模式，其扩散范围远远大于向特定人发布的扩散范围。

3.合法收集公民个人信息后非法提供的认定

根据《解释》第3条第2款的规定，在未经信息主体同意的情况下，将合法收集的信息提供给其他人的，属于非法提供公民个人信息。但是经过处理无法识别特定自然人并且无法复原的除外。根据上述规定，非法提供行为需排除以下两种情形：①经被收集者同意；②信息经过匿名处理无法识别。可见法律并不禁止合法的信息提供，由于信息经过匿名化处理，不具有可识别性的特征，也就无法与特定的自然人相联系，不属于刑法需要保护的对象。这一点在网络安全法中也得到了充分体现，根据该法第42条第1款规定，网络经营者如果将合法收集的信息加工处理后提供给他人，只要这些个人信息无法与特定自然人联系，即使没有经过被收集者同意，也是合法的。信息的价值在于流通和共享，打击侵犯公民个人信息犯罪并不意味着禁止信息流通，这一点在德国的《数据保护法》第28条中也有规定，该法保护经过“匿名”处理的利用行为。随着大数据产业的蓬勃发展，对“匿名”信息的保护符合信息社会发展的现实需要。