在信息合规培训中，公民个人信息历来是关注重点。收集与提供公民个人信息的刑事合规，简单来讲，就是让行为合符刑事法律的规定，避免触犯公民个人信息罪。

根据刑法第二百五十三条之一的规定，收集与提供公民个人信息构成侵犯公民个人信息罪，须以“违反国家有关规定”为前提。换言之，如果收集与提供行为没有违反国家有关规定的，那么，不构成侵犯公民个人信息罪。

《网络安全法》第四十四条，禁止的是非法的获取、出售、提供个人信息的行为。换言之，合法的获取、出售、提供公民个人信息行为是被允许的。

“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”——《网络安全法》第四十四条。

因此，收集与提供公民个人信息的刑事合规，讨论就是在符合何种条件之下的收集、提供公民个人信息是合法的问题。

一、何种条件下的收集是合法的

1、经被收集者同意。

根据《网络安全法》第四十一条第一款，经被收集者同意，经营者可以收集个人信息，换言之，在征得被收集者同意的情况下，收集个人信息的行为是不违法的。

网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。——《网络安全法》第四十一条第一款

被收集着的同意，既包括针对特定人的同意，也包括概况的同意。针对特定人的同意，是指明确同意特定人收集；概况的同意，是指权利人自愿公开、甚至主动公开。

2、获得许可或法律规定。

特定行业，经营者在取得许可之后，收集特定公民个人信息的行为是合法行为，如人力资源机构，在取得人力资源服务许可证并办理相关备案之后，收集求职者的个人信息就是合法的。

经营性人力资源服务机构从事职业中介活动的，应当依法向人力资源社会保障行政部门申请行政许可，取得人力资源服务许可证。经营性人力资源服务机构开展人力资源供求信息的收集和发布、……等人力资源服务业务的，应当自开展业务之日起15日内向人力资源社会保障行政部门备案。——《人力资源市场暂行条例》第十八条。

二、何种条件下的提供是合法的

1、经被收集者同意或者匿名化处理。

《网络信息安全法》第四十二条第一款规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

采用相反解释的方法可以得出以下结论：经被收集者同意，向他人提供是允许的，经匿名化处理后，向他人提供也是允许的。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款规定，未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。

采用相反解释的方法可以得出以下结论：经被收集者的同意，将合法收集的公民个人信息向他人提供或者经过处理无法识别特定个人且不能复原的，均不属于刑法第二百五十三条之一规定的“提供公民个人信息”，不构成侵犯公民个人信息罪。

2、获得许可或法律规定。

特定行业，经营者在取得许可之后，提供公民个人信息的行为是合法行为。这种情况，与获得许可后收集公民个人信息具有合法性的依据是一样，不再累述。