第四章　第三節　國家機關處理個人信息的特別規定

大數據時代，個人信息保護法治中，國家不再單純以超然于信息業者與信息主體雙方關系之外的治理者角色出現，政務部門代表國家成為最大的個人信息處理者。同信息業者處理個人信息相同，政務部門進行個人信息處理仍以具備合法性或正當性依據為前提。---《個人信息保護法（專家建議稿）及立法理由書》作者：張新寶，葛鑫

第三十三條　國家機關處理個人信息的活動，適用本法；本節有特別規定的，適用本節規定。

【解讀】

國家機關為了履行其職能，需要處理大量的個人信息。因此，很多個人信息掌握在國家機關手里。為了保護個人信息，有必要明確規定國家機關處理個人信息也要遵守本法的規定。

從司法實踐上來看，國家機關工作人員泄露、非法使用、買賣個人信息的案件時有發生，對于此種違法犯罪行為，往往是因為行為人所在的單位存在個人信息保護的漏洞或者疏于防范。

國家機關應該吸取教訓，根據本法的規定，完善本單位對于個人信息的處理規范和流程。

【案例】

從2010年4月起，南京市秦淮區國家稅務局工作人員劉某某利用負責稅收征收、納稅輔導等職務的便利，下載企業稅務登記信息，非法獲取包括企業名稱、企業法定代表人或聯系人姓名、居民身份證號碼、手機號碼、固定電話、企業營業執照號、企業地址、經營范圍、企業性質、所屬行業等信息的江蘇省內各地企業稅務登記信息82萬余條，并將上述信息出售或提供給他人。經統計，2010年4月至2016年9月，劉某某向他人出售、提供包含公民個人信息的企業稅務登記信息70余萬條，2011年11月至2016年7月，劉某某向他人提供包含公民個人信息的企業稅務登記信息12萬余條。

法院判決：劉某某犯侵犯公民個人信息罪，判處有期徒刑四年，并處罰金人民幣九萬元。

第三十四條　國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的范圍和限度。

【解讀】

根據本法第六條的規定：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。”國家機關在處理個人信息的時候，也需要具有明確、合理的目的——為了履行法定職責的需要。為了履行法定職責，可以處理個人信息。所有的非必要的個人信息，均不可處理。

第三十五條　國家機關為履行法定職責處理個人信息，應當依照本法規定履行告知義務；有本法第十八條第一款規定的情形，或者告知將妨礙國家機關履行法定職責的除外。

【解讀】

本法在若干條款規定了不同場景下的告知義務（例如第十七條規定的一般告知義務），甚至還有單獨告知的義務（例如第二十九條規定的處理敏感個人信息的單獨告知義務）。對于本法規定的告知義務和單獨告知義務，國家機關也應該遵守。

本條對國家機關的工作提出新的要求。國家機關應該主動完善工作流程，使其具體工作符合本法的要求。

第三十六條　國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行安全評估。安全評估可以要求有關部門提供支持與協助。

【解讀】

本法對于國家機關處理的個人信息存儲提出了不同的要求，要求一般在境內存儲。其他的個人信息的存儲則可以按照本法四十條的規定辦理：“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。”

第三十七條　法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息，適用本法關于國家機關處理個人信息的規定。

【解讀】

本條進一步擴大了按照國家機關處理個人信息主體的范圍。

根據我國的具體情況，一些事業單位甚至國有企業等非國家機關，也被法律、法規授權管理特定的公共事務職能。這些組織在處理個人信息的時候，需要根據本法關于對國家機關的要求。