原条文规定出售、非法提供公民个人信息罪和非法获取公民个人信息罪的犯罪主体为国家机关或者金融、电信、交通、教育、医疗等单位的国家工作人员,在规定单位可触犯上述两罪名的同时,亦限定了犯罪主体的范围。该犯罪主体的设定主要是考虑到国家机关以及相关单位通过主管各项行政事务、经营垄断性行业以及负责公民日常生活等情况,掌握大量的公民个人信息,故应针对上述机关、单位就保护公民个人信息作出相关刑罚性规定。
但随着各类社交、购物、第三方支付等网络平台的出现,以及上述平台单位要求公民实名注册并提供相关身份信息的行业要求(如支付宝以及微信的实名制),公民的个人信息逐渐亦被上述单位所掌控。此时,基于对公民个人信息的保护,同时考虑原刑法第二百五十三条之一并不适用于国家机关或者金融、电信、交通、教育、医疗等单位之外的单位或个人,《修正案》第十七条对此作出了新的规定。《修正案》第十七条新规定删除了原条文中的“国家机关或者金融、电信、交通、教育、医疗等单位的国家工作人员”这一主体规定,将上述两罪名的犯罪主体扩大为一般主体及单位,扩大了犯罪主体并为除原规定的犯罪主体意外的单位触犯上述两罪名的追责提供了法律依据。