第164页

    3.未经作为个人信息被收集者的自然人的同意，向他人提供个人信息属于非法提供个人信息。换言之，处理者虽然自身履行了告知同意义务而使其处理自然人个人信息的行为具有合法性和正当性基础，但其并不因此而当然具有任意将所合法收集、存储的个人信息向他人提供的权利，其不能以自身对个人信息或个人数据享有的权益来对抗自然人的个人信息权益。这是因为，自然人针对其个人信息享有的是人格权益，而处理者对个人信息或个人数据充其量享有的只是财产权益，后者的法律位阶明显低于前者的。故此，处理者要向他人提供其所合法收集、存储的个人信息，必须告知个人信息被收集的自然人并取得其本人或者其监护人的同意。如果没有告知并取得同意，那么这种个人信息的提供就是非法提供。例如，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条第2款就明确规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”此种非法提供个人信息的行为不仅是侵害自然人个人信息权益的侵权行为或违约行为，也是违法甚至是犯罪行为，需要遭受行政处罚乃至刑罚的处罚。《网络安全法》第64条规定：“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。”我国《刑法》第253条之一规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”
    近年来，我国实践中经常发生的个人信息泄露、侵害他人隐私权等事件，很多就是处理者非法向他人提供个人信息所致。尤其是一些国家机关、企事业单位，因为内部管理松弛，员工可以很容易地获得个人信息并将之非法提供给他人。此种情形下，这些员工利用职务便利而获取个人信息进而非法提供的行为，不仅这些员工要承担法律责任，单位也要承担法律责任。在民法上，应当由员工和单位承担连带责任，在刑法上应当实行双罚制，即在对犯罪的员工处以刑罚的同时，该单位也构成犯罪，要遭受刑罚的处罚。
    （二）无须同意而可以提供的例外
    1.匿名化的信息
    《民法典》第1038条第1款第2句规定了一种例外情形，即可以不经被收集者同意向他人提供个人信息，而不构成非法提供个人信息，这就是那些经过加工无法识别特定个人且不能复原的信息。《网络安全法》第42条第1款也规定，“未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外”。所谓经过处理无法识别特定个人且不能复原的信息，就是指信息的匿名化。[3]由于信息或数据匿名化处理后，无法识别特定的自然人，因而就不属于个人信息，为了促进大数据的发展和应用，《网络安全法》借鉴了一些国家的做法，对个人信息匿名化作出了规定，作为向他人提供个人信息须经本人同意的例外。[4]例如，欧盟《一般数据保护条例》第4条第5款将“匿名化”界定为：“是一种使个人数据在不使用额外信息的情况下不指向特定数据主体的个人数据处理方式，若该处理方式将个人数据与其他额外信息分别存储，凭技术性和组织性措施无法指向一个可识别或被识别的自然人。”再如，日本《个人信息保护法》第2条，将“匿名加工信息”界定为：“是指，针对下列各项规定的个人信息相应地采取同项规定的措施，从而为了无法识别特定个人而对个人信息进行加工后所得到的有关个人的信息中，通过处理使该个人信息无法恢复的部分：（一）第一款第一项规定的个人信息删除该个人信息中所含有的部分记述等（包括以使该部分的记述等丧失有可能恢复的规律性的方式，将该部分记述等转换为其他记述等）；（二）第一款第二项规定的个人信息删除该个人信息中所含有的全部个人识别符号（包括以使该个人识别符号丧失有可能恢复的规律性的方式，将该个人识别符号转换为其他记述等）。”该法第37条规定：“匿名加工信息处理业者在将匿名加工信息（自己加工个人信息并制作而成的匿名加工信息除外。以下于本节相同）提供给第三人时，应当依照《个人信息保护委员会规则》的规定，事先公布被提供给第三人的匿名加工信息所含有的个人相关信息中的项目及提供的方法，并同时向该第三人明示该提供所涉及的信息为匿名加工信息。”
    当然，个人信息或个人数据的匿名化只是相对的，在可获得的数据来源越来越丰富以及算法越来越强大的大数据时代，无法识别出个人的数据也存在重新具有可识别特定个人的可能。例如，将大量的匿名化数据重新整合在一起进行相关性分析，就完全有可能导致特定个人的身份信息被识别从而泄露隐私。美国学者Paul Ohm教授认为，随着大数据、云计算等新技术的兴起，传统的仅仅删除姓名和社保号码的匿名化技术已经失败了，技术专家可以通过再识别（Re-identify）或者去匿名化（De-anonymize）的方法来实现个人身份的再识别。[5]例如，2006年8月，美国在线公布了大量旧的搜索查询数据供研究者分析，尽管整个数据库进行过精心的匿名化处理，但《纽约时报》的两名记者Michael Barbaro与Tom Zeller依然在几天内就通过综合分析搜索记录，识别出了该数据库中代号4417749的用户是来自佐治亚州利尔本的一位名叫赛尔亚·阿诺德的62岁寡妇。[6]故此，法律上对数据的匿名化也有相应的要求，只有经过无法再识别的匿名化处理的个人数据才能被认定为非个人数据。
    《民法典》第1038条第1款和《网络安全法》第42条第1款对个人信息匿名化提出的要求是“无法识别特定个人”且“不能复原”。所谓无法识别特定个人，是指既不能凭借该信息本身识别特定的自然人，将该信息与其他信息结合后也无法识别特定的自然人。欧盟《一般数据保护条例》“鉴于条款”第26条指出