在2019年修改的《开放数据指令》中，欧盟强化了数据获取的公平性。

作者简介：梁君瑜，法学博士，武汉大学法学院副教授。在我国现行的法规范体系下，至少有三个条文可能涉及对行政行为同一性的解读：（1）根据《行诉法解释》第22条第1款，复议机关改变原行政行为仅限于改变原行政行为的处理结果，而改变原行政行为所认定的主要事实和证据、所适用的规范依据等理由但未改变处理结果的，视为复议机关维持原行政行为。

正确的做法应当是撤销被诉行为并表明法院所认为的正确理由，被告在败诉后可基于该正确理由而重新作出行政行为。笔者认为，在我国，替换证据但不改变行政行为同一性的情形是存在的，这涉及理由之替换的限度问题。[18]其中，前三种情形是基于程序价值的考量，此时的补正因无法真正发挥其治愈行政行为程序瑕疵的作用，故有名无实。在这个例子中，如果公安局在诉讼中没有改用《治安管理处罚法》第26条，而是补充《公安机关执行〈治安管理处罚法〉有关问题的解释（二）》第7条[45]作为依据，则虽属于改变行政行为的规范依据，但不影响对王某行为的定性，因此，也就无损行政行为的同一性。其次，监督行政权之目的与程序经济理念没有绝对的优位与备位之分，二者应遵循一定的衡平规则。

在对理由之替换的限度进行本土化设计时，须注意以下两个细则。故而，峨眉山景区分局本应分别以《政府信息公开条例》第16条第2款、第2条、第10条第1款作为拒绝公开的事由。《个人信息保护法》第36条将前者的风险评估改为安全评估，第55条将后者的风险评估改为个人信息保护影响评估。

此外,国家机关还应确保境外接收方安保水平达标,并在特定情形下告知当事人、取得单独同意。国家机关依据第36条自行开展个人信息出境安全评估就相当于一般个人信息处理者依据《个人信息保护法》第55条自行开展个人信息保护影响评估。该征求意见稿第40条要求个人信息出境的数据处理者在每年1月31日前编制数据出境安全报告，并向设区的市级网信部门报告上一年度数据出境情况。另一方面，基于国际间政府交流、跨国执法协作、知识分享和技术转移等现实情境，国家机关处理的个人信息并非铁桶阵，而是有跨境流动的正当需求，尽管这种需求可能不如企业旺盛。

《个人信息保护法》草案一审稿第37条、二审稿第36条曾规定：国家机关处理的个人信息应当在中华人民共和国境内存储。因此，第36条实际上构成第40条的特别规定。

《网络数据安全管理条例（征求意见稿）》第36条第2款也明确：收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。这也部分解释了为何《个人信息保护法》实施后，产业界迅速掀起合规风潮，国家机关却相对冷淡。《个人信息保护法》之所以采用后一术语，应该是为了凸显个人信息保护这一关键词，也能与GDPR第37条规定的数据保护影响评估（data protection impact assessment）更好接轨。由此，《个人信息保护法》第13条和第39条之间并不存在适用冲突，更无需将后者作为特别法优先适用。

[xxxv] 综上，《个人信息保护法》第36条所称的国家机关处理的个人信息是指国家机关处理的在中华人民共和国境内收集和产生的、未经当事人自行公开或者合法公开的个人信息。三同步的具体要求包括：一是项目设计单位在编制项目设计文件时就要编制安全技术措施的设计文件。三、国家机关处理的个人信息跨境流动制度之整体定位 《个人信息保护法》针对三类主体设定了个人信息跨境流动制度，分别为第36条的国家机关，第38条的一般个人信息处理者以及第40条的关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。事实上，光有数据本地化并不能确保数据安全，因为只要服务器接入互联网，即便置于境内，数据仍可出境。

此种程序当然亦可称作安全评估，但不能混同于《个人信息保护法》第36条规定的安全评估。第三次是2017年8月国家信息安全标准化技术委员会发布的《信息安全技术数据出境安全评估指南（征求意见稿）》第3.7条不仅给出数据出境的完整定义，即网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动，而且对数据出境的具体情形做了正、反面说明。

[xxix]早在2007年，国家发改委出台的《国家电子政务工程建设项目管理暂行办法》就已对电子政务项目提出相同要求。存储介质虽可要求境内存储，但携带或寄递出境难以通过网信部门的安全评估来管控。

许可：《自由与安全：数据跨境流动的中国方案》，载《环球法律评论》2021年第1期。这两种手段以不同方式组合，就会产生不同的个人信息跨境制度。摘要:  《个人信息保护法》第36条的基本目标是平衡个人信息流动和安全,整体定位等同于第40条,因为国家机关属于关键信息基础设施的运营者。因此，对《个人信息保护法》第36条境内存储更好的解释进路是先厘清什么是向境外提供或数据出境，再反推境内存储的含义。第五，从权威定义来看，2016年国家网信办发布的《国家网络空间安全战略》将关键信息基础设施界定为关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统等。换言之，国家机关、非国家机关的关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者、一般个人信息处理者向境外提供个人信息前，都需要自行开展内容基本相同的评估，只不过评估的名称分别为个人信息出境安全评估个人信息出境风险自评估和个人信息保护影响评估，而且国家机关和一般个人信息处理者无须进一步申报国家网信部门的监管评估，除非一般个人信息处理者向境外提供的个人信息达到一定规模以上。

第五，自行评估与个人信息保护影响评估的内容也基本相同。[v]数据跨境流动制度可理解为一国政府针对数据跨越边境的传输、处理活动所采取的基本立场以及配套管理措施的集合。

法律、行政法规另有规定的，依照其规定。[xlix] （三）安全评估之外还有哪些义务？ 除依《个人信息保护法》第36条开展安全评估外，根据《个人信息保护法》其他条文及相关规范，国家机关向境外提供个人信息时还应履行至少三类义务。

[xiii] 参见许多奇：《个人数据跨境流动规制的国际格局及中国应对》，载《法学论坛》2018年第3期，第134页。第40条最后一句法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定，不能转介至第38条第1款第2-4项，否则将掏空《个人信息保护法》对于关键信息基础设施运营者（包括国家机关）个人信息出境所设置的更严格要求。

[lii]难解的问题是：若国家机关依据个人同意之外的合法性基础来处理个人信息，比如《个人信息保护法》第13条第1款第2-7项所规定的情形，处理活动自始或嗣后涉及个人信息出境的，是否需要取得单独同意？ 答案取决于如何理解同意和单独同意之关系。[xli] 其次，《个人信息保护法》第38条第2款规定：中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。二是出境的方式，即应当进行安全评估，意指唯有通过评估方可出境。实现两者平衡，正是《个人信息保护法》第36条的基本目标。

这些个人信息是否属于敏感个人信息或者属于重要数据。作者简介：彭錞，法学博士，北京大学法学院助理教授。

[xvii]更重要的是，相较于非国家机关主体，国家机关处理的个人信息在数量、规模、颗粒度方面有整体优势，例如，任何一家企业掌握的公民个人金融信息都无法与央行相比。所谓数据跨境流动（trans-border data #64258;ow），意指在一国内生成的信息记录被他国境内的私主体或公权力机关读取、存储、使用或加工。

但此类公开个人信息的行为，应由《政府信息公开条例》和《个人信息保护法》第25条、第55条来规范，不能与个人信息出境混同，否则会抹杀公开与出境两者之间的区别。二是根据第40条，作为关键信息基础设施运营者，国家机关在个人信息出境前应通过国家网信部门组织的安全评估。

[lv] 否则第2款可直接表述为前款第二项至第七项规定情形下，不需取得个人同意。（1）接收国适当性评估模式，即只有当数据接收国具有同数据出境国实质同等的个人信息保护水平时，个人信息方可出境，典型如欧盟1995年《数据保护指令》第25条规定：若欧盟范围以外的其他国家能够对欧盟公民的个人数据提供非常充分的保护，满足欧盟以及欧盟成员国的法律法规，则欧盟公民个人数据可以从欧盟境内转移到欧盟境外。非关键信息基础设施运营者或处理个人信息未达国家网信部门规定数量的处理者一定规模以下的个人信息出境无须自行或申报安全评估，[xlvi]但应根据第55条进行个人信息保护影响评估。物品管控可适用该条例第28条，将出境后会造成国家安全威胁的个人信息介质认定为法律、行政法规规定的危害国家安全和社会秩序的违禁物品予以禁运。

第二，虚拟空间意义上，位于我国境内的个人信息存储介质上的个人信息被境外主体读取，公开渠道读取的除外。（3）网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据的。

但这是一种误读，《关键信息基础设施安全保护条例》第2条澄清表述为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统。第一，从立法背景来看，2017年7月公布的《关键信息基础设施安全保护条例（征求意见稿）》第18条曾明确把政府机关、公用事业单位和广播电台、电视台、通讯社等新闻单位列为关键信息基础设施运营者。

[xliv] 关于何时需要取得个人单独同意，下文将详述。龙卫球主编：《中华人民共和国个人信息保护法释义》，中国法制出版社2021年版，第120页。