[2]在适用场域转至我国后，有关保护规范理论的批评和质疑还掺入了是否与我国行政诉讼的整体定位相符、是否适应我国行政诉讼的现实发展等其他考量。

传统农耕中国必须通过革命和建设实现工业化/现代化，重构现代中国。即便在农耕地区，军阀割据，从未真正统一。

除农用外，还可以短途运输，作为动力源则可以从事各类副业生产和加工。或如张东荪，在朝鲜战争爆发之际，认定中必输，想以自己曾是国共调人以及自己与司徒雷登的私人关系，来调解中美关系。1958年洛拖批量生产前，除批示拖拉机型号、名称不可用外文外，毛主席特别批示洛拖生产的各种拖拉机式样和性能一定要适合我国的气候和地形，一定要综合利用，一定要尽可能降低成本。当初，这一理论只能主要或更多基于欧洲历史上各地或各国的经验，也明显受19世纪的生物、社会进化论影响，很容易被理解为，人类社会发展会是普遍、持续且统一的历史进步。甚至，今天回头看，更重要的原因甚或是，仅就当时中国某些农耕地区的自然条件和生产技术水平来看，一家一户小农经济或许已经是有效率的。

与之有关，还有一点，也是中国经济社会发展提出的一个问题。当时中国民族工业太弱，工人阶级太小。这也正是为什么《个人信息保护法》第36条没有在安全评估之前加上国家网信部门组织的定语。

第四，自行评估和安全评估的内容高度一致，区别主要在于评估主体不同。[lviii] 第四，非同意类合法性基础与单独同意无法并存，理由是作为一种特殊形式的同意，单独同意亦可撤回。由此而来的问题是：国家机关和关键信息基础设施运营者对应的两套个人信息跨境制度究竟是何关系？[xix]这决定了国家机关处理的个人信息跨境流动制度在《个人信息保护法》设立的多套数据跨境制度中的整体定位。[vii]一国对此的基本立场和配套管理措施就是其个人信息跨境流动制度。

[xxvii]其中，政府设施（government facilities）涉及由联邦政府拥有或运营的超过900000个设施以及56个州和海外领地、3031个郡、85973个地方政府和566个联邦承认的部落政府拥有或经营的设施，包括位于这些政府设施中或支撑其运行的网络系统和设备。相同点在于都采用列举+兜底的结构，先列举重要行业和领域，再以核心特征来兜底，前后通过以及其他相关联。

彭岳：《数据本地化措施的贸易规制问题研究》，载《环球法律评论》2018年第2期。（1）无本地化模式，即不要求个人信息本地存储，只规定个人信息出境管制，典型如欧盟《通用数据保护条例》（以下简称GDPR）。[xii] 参见张金平：《跨境数据转移的国际规制及中国法律的应对》，载《政治与法律》2016年第12期，第140-142页。然而，遗憾的是，个人信息保护相关文献虽早已汗牛充栋，但既有研究或探讨中国的数据跨境流动的宏观模式，[i]或聚焦于非国家机关主体处理的个人信息跨境流动，[ii]或解读《网络安全法》第37条及《个人信息保护法》第三章个人信息跨境提供的规则，[iii]却极少论及国家机关处理的个人信息跨境，[iv]对《个人信息保护法》第36条的专题分析更是付之阙如。

反面排除包括：（1）非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境。后者指对数据出境施加限制条件，但不一定要求数据本地化存储。同年，国家网信办网络安全协调局发布《国家网络安全检查操作指南》，将关键信息基础设施分为网站、平台和生产业务三类，其中网站类包括党政机关网站（县级（含）以上）、企事业单位网站，生产业务类包括地市级以上政府机关面向公众服务的信息系统，以及与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的公共服务信息系统。较之数据出境管控，数据本地化确实对数据自由流动限制更大，但能更有效地实现属地管辖，维护国家安全。

[xxxvi] （二）如何境内存储 何谓境内存储？有学者解释为个人信息的物理存储设备，无论是用来存储个人信息的硬盘，还是云存储服务所对应的远端存储设备，均应当设置在中华人民共和国境内，而不得设置在境外。[vi]作为数据跨境流动的子概念，个人信息跨境流动（trans-border #64258;ow of personal information）是指一国境内的个人信息流出境内，为他国的公权力机关或者民事主体所读取、收集、存储、加工、使用等。

综上，《个人信息保护法》上的国家机关涵盖军事机关以外的所有党政机关以及法律、法规、规章授权的管理公共事务或提供公共服务的组织。另一方面，该办法第31条要求项目建设单位应在完成项目建设任务后的半年内，组织完成建设项目的信息安全风险评估和初步验收工作，包括验收建设项目确定的安全设施已按设计建成且运行合格。

（二）如何进行安全评估 根据《个人信息保护法》，国家机关具有三重身份，对应三类个人信息出境评估。[xxi] 参见最高人民法院民法典贯彻实施工作领导小组主编：《中华人民共和国民法典总则编理解与适用》（上），人民法院出版社2020年版，第489-490页。简言之，关键信息基础设施一定由关键信息基础设施运营者来运营，而关键信息基础设施运营者运营的不一定都是关键信息基础设施。关于告知，根据《个人信息保护法》第7条，处理个人信息应当遵循公开、透明原则，明示处理目的、方式和范围。[x] 参见许可：《自由与安全：数据跨境流动的中国方案》，载《环球法律评论》2021年第1期，第24页。尽管两个分句之间是句号，但既然同处一条，就表示同意和单独/书面同意都是对基于个人同意处理个人信息这一合法性基础的具体解说，区别在于一般情况下只需要同意，法律、行政法规规定的例外情形下才需要单独/书面同意。

（2）数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的。何谓境外主体？首先，关于境内和境外的区分标准，《个人信息保护法》本身并无界定，但中国法上一般将港澳台地区视为境外，因其不受我国司法体制管辖。

洪延青：《推进一带一路数据跨境流动的中国方案——以美欧范式为背景的展开》，载《中国法律评论》2021年第2期。若将《个人信息保护法》第36条解读为要求我国国家机关将境外收集和产生的信息也本地化存储，有悖于上述立场。

尽管美国联邦层面未就个人信息跨境进行统一立法，但根据其主导构建的APEC 跨境隐私规则体系（CBPR）可以发现，美国在原则上允许个人数据跨境的前提下，要求数据控制者确保个人数据跨境传输的安全。[xxii] 军事网络的安全保护，由中央军事委员会另行规定。

[v] 许可：《自由与安全：数据跨境流动的中国方案》，载《环球法律评论》2021年第1期，第23页。如前所言，第一、二类安全评估在内容上没有差别。正面列举包括：（1）向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据。即便个人单独同意，个人信息出境也要通过安全评估。

这对国家机关是否适用，须分情况讨论。例如，根据《基本医疗卫生与健康促进法》第18条、第35条，公立医疗机构的职能在于提供基本公共卫生服务，其中包括传染病、慢性非传染性疾病、职业病、地方病等疾病预防控制，后者必然涉及疾控应急等公共管理职能。

当然，为事后调查改进之便，国家机关自行评估报告最好也设定最短保存期限。典型如国家安全机关掌握的涉密人员个人信息，一旦向境外泄露将对国家安全利益造成巨大损害。

五、国家机关处理的个人信息之跨境提供规则 （一）国家机关处理的个人信息出境的渠道 根据《个人信息保护法》第36条第二句，国家机关处理的个人信息出境应进行安全评估。又如依据《个人信息保护法》第13条第1款第4项为应对突发公共卫生事件所必需，出于避免传染病扩散之目的，我国边检部门向外国边检机关通报即将进入外国的感染者或密接者的个人信息，同样无须取得当事人单独同意。

这表明电子政务项目在规划、建设、运行阶段都应同步使用安全技术措施。事实上，我国很早就开始关注此问题。《个人信息保护法》出台前，相关国家标准使用的术语为个人信息安全影响评估（personal information protection security impact assessment）。（2）弱本地化模式，即要求特定个人信息本地存储，如澳大利亚2012年《我的健康记录法》禁止将个人健康信息转移至境外，又如印度2019年《个人数据保护法》要求关键个人信息本地化。

2019年4月，国家信息安全标准化委员会起草了《信息安全技术基于信息流的关键信息基础设施边界确定方法（征求意见稿）》，将关键信息基础设施边界定义为确定关键信息基础设施元素的分界线，用于将关键信息基础设施元素同其他信息基础设施区分开来，以明确关键信息基础设施保护对象和保护范围，并指出识别边界的核心在于将保障关键业务持续稳定、持续运行必不可少的网络设施、信息系统同关键信息基础设施运营者一般的信息基础设施区分开来。本文试图填补此空白，以《个人信息保护法》第36条为切入点，从基本目标、整体定位、境内存储义务和跨境提供规则四个方面，初步勾勒我国国家机关处理的个人信息跨境流动制度。

[xliii]这是一种误解，因为当事人单独同意是个人信息出境在特定情形下的必要条件，[xliv]而非充分条件。首先，从法律衔接的角度看，其他相关规范均明确规定只有在我国境内收集和产生的个人信息才面临跨境管控。

国家机关无须多此一举按照第55条开展个人信息保护影响评估。2021年6月1日实施的《信息安全技术个人信息安全影响评估指南》第1条指出各类组织自行开展个人信息安全影响评估，须第5条进一步明确该类评估的三大要素：合规差距评估、个人权益影响分析、安全风险综合分析。