贵阳某厂家研制出一种叫做一捏响的电子爆竹，公安机关按照对贵阳市政府规章《关于禁止燃放烟花爆竹的规定》的理解，认为该产品不属烟火爆竹范畴，不禁放。

2020年3月，中共中央、国务院下发《关于构建更加完善的要素市场化配置体制机制的意见》，阐述了政府数据开放共享对于培育数据要素市场的重要作用。2020年，贵州省人大审议通过了《贵州省政府数据共享开放条例》，该条例成为我国首部省级层面政府数据开放共享的地方性法规。

在实现方式、开放对象、技术手段、整体目标方面，政府数据开放都与政府信息公开存在较大的不同。对于公众而言，政府数据开放也可能无法得到有效赋能。此外，政府数据开放还应当坚持公平性原则、便捷性原则与生态建构原则，促使政府数据开放从消极公开走向积极服务。相比较而言，政府数据开放的电子化增强了政府信息或数据的可利用性，使公众能够更为便利地运用政府数据。在政府数据开放的过程中，企业等社会力量扮演了非常重要的角色，它们既可能成为政府数据开放的搭便车者，也可能成为政府数据开放的重要推动力量。

支振锋：《贡献数据安全立法的中国方案》，《信息安全与通信保密》2020年第8期。[xvii]例如，世界银行曾经对25个实施政府数据开放的非洲国家进行实证调查，以实证材料证明数据开放所带来的政府透明度提升与责任性增强。GDPR第45条延续此传统，要求只有当数据接收国对个人数据提供充分保护时方可让个人数据出境，并将数据接收国的法治程度、人权保障水平等作为评估因素。

[xliii] 龙卫球主编：《中华人民共和国个人信息保护法释义》，中国法制出版社2021年版，第186页。例如根据《个人信息保护法》第13条第1款第3项的履行法定职责，公安机关侦查发现某人有重大犯罪嫌疑后，依据《刑事诉讼法》第155条，发出包含其个人信息的通缉令，本就无须取得嫌疑人同意。因此，物理载体的数据出境管控只能另寻他径，传统上有两种方式。典型如日本《个人数据保护法》第23条规定个人数据控制者事先未获得数据主体的同意的，不得将其个人数据向第三者提供，第三者可位于境外。

最后，2021年11月14日公布的《网络数据安全管理条例（征求意见稿）》第39条给向境外提供个人信息的数据处理者增设了一系列义务。[xiv] 参见王融：《数据跨境流动政策认知与建议——从美欧政策比较及反思视角》，载《信息安全与通信保密》2018年第3期，第45页。

2012年国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》就曾指出为政府机关提供服务的数据中心、云计算服务平台等要设在境内。进入专题： 国家机关 个人信息 《个人信息保护法》 。注释: [i] 参见张舵：《略论个人数s据跨境流动的法律标准》，载《中国政法大学学报》2018年第3期。根据《数据出境安全评估办法（征求意见稿）》第4条，关键信息基础设施运营者个人信息出境应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

王爱立主编：《中华人民共和国刑法释义》，法律出版社2021年版，第639页。据此，关键信息基础设施的本质为一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益，而公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域在立法上被视为符合这一核心特征。[xlvii] 如《数据出境安全评估办法（征求意见稿）》中的相关规定。（3）保障措施的有效性。

[xviii]所以，安全评估机制同时体现了数据自由流动和安全保障两种价值。[lix] 参见王锡锌、彭錞：《个人信息保护法律体系的宪法基础》，载《清华法学》2021年第3期，第19页。

[xlii]根据这些国际条约、协定，我国相关国家机关有权向境外提供个人信息。《个人信息保护法》草案一审稿第54条、二审稿第55条曾规定个人信息处理者向境外提供个人信息应当在事前进行风险评估。

其一，由个人信息处理者自行开展。（2）数据出境对安全和个人权益带来的风险。（4）数据跨境机制合规模式，即按照事先给定、官方认可的框架性机制跨境传输个人信息。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。典型的如GDPR第46条规定的充分保障措施（appropriate safeguards），包括标准合同文本（SCC）和有约束力的公司规则（BCR）。本文聚焦于前者，不区分使用跨境和出境。

据此，国家机关处理的数据统称政务数据，所依托的电子设施和系统统称电子政务系统。（3）安保措施的有效性。

作为一种特殊的关键信息基础设施运营者，国家机关在个人信息跨境方面与非国家机关的关键信息基础设施运营者有同也有异。[xxxix]港澳台地区亦都有各自的个人信息保护法律体系，不宜作为境内处理。

[xxxi]之所以第36条和第40条表述有差异，是因为国家机关和其他关键信息基础设施运营者安全评估的具体操作不完全相同，对此，下文将做详细论述。安全评估 一、问题的提出 2021年11月1日生效的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第36条规定：国家机关处理的个人信息应当在中华人民共和国境内存储。

其中，第40条与第36条高度类似，均规定以本地存储为原则，以安全评估出境为例外。《数据安全法》第30条重复此表述。[xxviii] 第四，从实践需求来看，若将国家机关和关键信息基础设施运营者分视为两种主体，就可能导致国家机关规避《网络安全法》《数据安全法》和《个人信息保护法》针对关键信息基础设施运营者设计的一系列强化安保义务。《个人信息保护法》第36条则对所有国家机关课以个人信息境内存储义务。

一是根据第36条，国家机关在个人信息出境前应进行安全评估，并可要求有关部门提供支持与协助。[xxv] 基于上述分析，尽管中国法尚无明文规定，但基于如下五点理由，应把国家机关视为关键信息基础设施运营者。

因此，某主体是否在物理上位于我国境外或在法律上是否受中国法管辖，并不决定其是否属于境外主体。若该处理活动自始包含出境，则意味着《个人信息保护法》第13条和第39条出现适用冲突。

[xix] 据2021年11月14日公布的《网络数据安全管理条例（征求意见稿）》第37条，处理个人信息达到国家网信部门规定数量的个人信息处理者是指处理一百万人以上个人信息的数据处理者。[lvii] 当然，现实中也可能出现合法性基础变更的情况，即处理活动先是基于非同意类合法性基础，在出境时转为同意，这时就需要按照第39条取得单独同意。

《个人信息保护法》第36条要求国家机关处理的个人信息原则上同时处于这两种状态。这意味着国家机关属于《网络安全法》第31条和《关键信息基础设施安全保护条例》第2条所称的电子政务行业和领域。第二，虚拟空间意义上，位于我国内地的个人信息存储介质上的个人信息不被境外主体读取，公开渠道读取的除外。2012年国家安全生产监督管理总局办公厅《关于进一步加强安全监管监察国家电子政务网络建设和应用工作的通知》也明确要求新建、续建电子政务工程建设项目的，要切实做到与安全等级保护措施同步设计、同步施工并报有关部门备案。

第二，自行评估的内容愈渐充实，2021年的最新规定包括：（1）数据出境的合法性、正当性及必要性。关于个人信息保护影响评估（personal information protection impact assessment），《个人信息保护法》第55条和第56条做出三点规定。

二是现实中，此类组织承担着重要的公共职能，例如，车辆管理所由《机动车登记规定》《机动车驾驶证申领和使用规定》两部规章授权负责车辆管理，其在履职过程中会处理大量个人信息，理应承担与国家机关相同的个人信息保护法律义务。[li]若国家机关是以取得个人同意作为信息处理的合法性基础，无论处理活动自始或嗣后涉及出境，国家机关都应自始或嗣后取得个人单独同意方可让数据出境。

自1980年经合组织（OECD）发布《隐私保护和个人数据跨境流动指南》以来，全球各国或地区纷纷建立个人数据跨境制度。"个人信息"指在中国内地收集和产生的、未经当事人自行公开或合法公开的个人信息。

(责任编辑：罗嘉良)