第四章　第三节　国家机关处理个人信息的特别规定

大数据时代，个人信息保护法治中，国家不再单纯以超然于信息业者与信息主体双方关系之外的治理者角色出现，政务部门代表国家成为最大的个人信息处理者。同信息业者处理个人信息相同，政务部门进行个人信息处理仍以具备合法性或正当性依据为前提。---《个人信息保护法（专家建议稿）及立法理由书》作者：张新宝，葛鑫

第三十三条　国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。

【解读】

国家机关为了履行其职能，需要处理大量的个人信息。因此，很多个人信息掌握在国家机关手里。为了保护个人信息，有必要明确规定国家机关处理个人信息也要遵守本法的规定。

从司法实践上来看，国家机关工作人员泄露、非法使用、买卖个人信息的案件时有发生，对于此种违法犯罪行为，往往是因为行为人所在的单位存在个人信息保护的漏洞或者疏于防范。

国家机关应该吸取教训，根据本法的规定，完善本单位对于个人信息的处理规范和流程。

【案例】

从2010年4月起，南京市秦淮区国家税务局工作人员刘某某利用负责税收征收、纳税辅导等职务的便利，下载企业税务登记信息，非法获取包括企业名称、企业法定代表人或联系人姓名、居民身份证号码、手机号码、固定电话、企业营业执照号、企业地址、经营范围、企业性质、所属行业等信息的江苏省内各地企业税务登记信息82万余条，并将上述信息出售或提供给他人。经统计，2010年4月至2016年9月，刘某某向他人出售、提供包含公民个人信息的企业税务登记信息70余万条，2011年11月至2016年7月，刘某某向他人提供包含公民个人信息的企业税务登记信息12万余条。

法院判决：刘某某犯侵犯公民个人信息罪，判处有期徒刑四年，并处罚金人民币九万元。

第三十四条　国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

【解读】

根据本法第六条的规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”国家机关在处理个人信息的时候，也需要具有明确、合理的目的——为了履行法定职责的需要。为了履行法定职责，可以处理个人信息。所有的非必要的个人信息，均不可处理。

第三十五条　国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务；有本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。

【解读】

本法在若干条款规定了不同场景下的告知义务（例如第十七条规定的一般告知义务），甚至还有单独告知的义务（例如第二十九条规定的处理敏感个人信息的单独告知义务）。对于本法规定的告知义务和单独告知义务，国家机关也应该遵守。

本条对国家机关的工作提出新的要求。国家机关应该主动完善工作流程，使其具体工作符合本法的要求。

第三十六条　国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

【解读】

本法对于国家机关处理的个人信息存储提出了不同的要求，要求一般在境内存储。其他的个人信息的存储则可以按照本法四十条的规定办理：“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。”

第三十七条　法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息，适用本法关于国家机关处理个人信息的规定。

【解读】

本条进一步扩大了按照国家机关处理个人信息主体的范围。

根据我国的具体情况，一些事业单位甚至国有企业等非国家机关，也被法律、法规授权管理特定的公共事务职能。这些组织在处理个人信息的时候，需要根据本法关于对国家机关的要求。