从该现象来看，本文开头所列之问题群，不仅（1）和（2）需要进一步讨论，（3）和（4）也有待追问。

质言之，相邻人仅仅是这种二元关系的他者或行政决定的被告知者，相对于行政机关，他不具有独立的法律地位，从而也就无法主张自身的利益。对任何一方私人的更强保护都要求国家承担正当化论证责任并进行合理平衡。

利益的多样化交错与互相依赖导致侵害扩张，行政活动虽然仅指向相对人，但是也有可能使相对人以外的第三人遭受侵害。一方面，除了典型的公益和相对人的私益外，由于利益多元化的趋势以及功能性团体的自治实践，集体利益和第三人利益出现。行政法主要维护作为行政活动理由与界限的公共利益，个人仅作为无法与整体相剥离的组成部分而受到保护。为了实现利益的均衡与协调，避免撕裂原本复杂的利益衡量过程，行政机关应中立地考虑所有相关利益，各利害相关方也负有一定的注意义务与协力义务。例如，对于以债务人为相对人的行政行为，我国行政诉讼实践原则上否认债权人的公权利，只有当债权是行政机关在作出行政行为时应予保护或者应予考虑的权利或利益时，债权人才与行政行为存在利害关系。

以垂直关系和水平关系为视角，我们可以区分非真正的三方行政法律关系与真正的三方行政法律关系，实现对第三人公权利的合理判定。建筑许可意味着建筑者可以在许可确定的范围内利用土地，而相邻人也必须容忍建筑物的建造以及土地的合法利用。由于国家机关向境外提供个人信息无须申报网信部门监管评估，故亦不必向后者报告数据出境情况，但仍建议在每年1月31日前编制数据出境安全报告，并提交网信部门以获得专业指导和建议。

[xxxiii]同理，已自愿或合法公开的个人信息，本就能为境外主体阅读，[xxxiv]信息主体对此也有合理预期，要求国家机关将此类信息本地化存储或者向境外提供之前须进行安全评估，未免多此一举。（4）数据跨境机制合规模式，即按照事先给定、官方认可的框架性机制跨境传输个人信息。赵骏、向丽：《跨境电子商务建设视角下个人信息跨境流动的隐私权保护研究》，载《浙江大学学报（人文社会科学版）》2019年第2期。一方面，该办法明确电子政务工程建设项目建议书、可行性研究报告、初步设计方案和投资概算均应包含安全系统建设。

注释: [i] 参见张舵：《略论个人数s据跨境流动的法律标准》，载《中国政法大学学报》2018年第3期。第二，自行评估的内容愈渐充实，2021年的最新规定包括：（1）数据出境的合法性、正当性及必要性。

[lvii] 第三，依据非同意类合法性基础处理个人信息的情形，数据出境无法也不需取得单独同意。整体上，该制度包含两种极易混淆的手段——数据本地化（data localization）和数据出境管控（control of trans-border data #64258;ow）。该征求意见稿第40条要求个人信息出境的数据处理者在每年1月31日前编制数据出境安全报告，并向设区的市级网信部门报告上一年度数据出境情况。关于准国家机关，《个人信息保护法》第37条有两点值得说明。

[viii]根据《个人信息保护法》第36条，国家机关处理的个人信息跨境流动制度以本地存储为原则，以安全评估出境为例外。此外,国家机关还应确保境外接收方安保水平达标,并在特定情形下告知当事人、取得单独同意。[ix] 广义上讲，数据跨境流动包括出境和入境，后者涉及一国调取境外数据。在此背景下，《个人信息保护法》第36条针对国家机关处理的个人信息设置了境内存储为原则、安全评估后出境为例外的框架。

[xxiv] 支撑性的学术研究可参见冯燕春等：《如何识别关键信息基础设施的边界》，载《中国信息安全》2018年第12期。许可：《自由与安全：数据跨境流动的中国方案》，载《环球法律评论》2021年第1期。

国家机关处理的个人信息出境,包括物理载体出境、国际合作出境和安全评估出境,安全评估由国家机关在网信部门支持下自行开展。这些规定后被《个人信息出境安全评估办法（征求意见稿）》和《数据出境安全评估办法（征求意见稿）》删去，明确体现了主管部门的态度。

[xix] 据2021年11月14日公布的《网络数据安全管理条例（征求意见稿）》第37条，处理个人信息达到国家网信部门规定数量的个人信息处理者是指处理一百万人以上个人信息的数据处理者。这些个人信息是否属于敏感个人信息或者属于重要数据。2019年4月，国家信息安全标准化委员会起草了《信息安全技术基于信息流的关键信息基础设施边界确定方法（征求意见稿）》，将关键信息基础设施边界定义为确定关键信息基础设施元素的分界线，用于将关键信息基础设施元素同其他信息基础设施区分开来，以明确关键信息基础设施保护对象和保护范围，并指出识别边界的核心在于将保障关键业务持续稳定、持续运行必不可少的网络设施、信息系统同关键信息基础设施运营者一般的信息基础设施区分开来。由上述比较可得以下五点结论。首先，从法律衔接的角度看，其他相关规范均明确规定只有在我国境内收集和产生的个人信息才面临跨境管控。这两种手段以不同方式组合，就会产生不同的个人信息跨境制度。

之所以有此例外，是因为网络无国界，当国家机关公开个人信息，比如裁判文书网公开当事人姓名，境外组织和个人也能查阅。同时，还应参照《保守国家秘密法》第15条规定的解密机制，对个人信息的物理载体出境设立脱敏程序。

本文聚焦于前者，不区分使用跨境和出境。需要说明的是，《个人信息保护法》第38条第1款第2-4项并不能作为国家机关处理的个人信息出境的通路，否则会使第40条关于关键信息基础设施运营者个人信息出境的特别规定失去意义。

进入专题： 国家机关 个人信息 《个人信息保护法》 。据此，个人信息安全影响评估与个人信息保护影响评估没有本质区别。

[xiii]（3）数据主体同意模式，即在取得数据主体同意的情况下允许个人数据出境。[lii] 参见张凌寒：《个人信息跨境流动制度的三重维度》，载《中国法律评论》2021年第5期，第40页。《个人信息保护法》出台前，相关国家标准使用的术语为个人信息安全影响评估（personal information protection security impact assessment）。综上，《个人信息保护法》上的国家机关涵盖军事机关以外的所有党政机关以及法律、法规、规章授权的管理公共事务或提供公共服务的组织。

这在中国法上首次确立了国家机关处理的个人信息跨境流动制度。[xvi] 参见王玥：《试论网络数据本地化立法的正当性》，载《西安交通大学学报（社会科学版）》2016年第1期，第56-57页。

[liii]据此，以非同意类合法性基础向境外提供个人信息，无需信息主体单独同意。《民法典》和《刑法》上，国家机关是指国家为实现其政治统治职能和管理职能而设立的国家机构的总称，包括立法、行政、军事、监察、审判、检察机关，也包括党的各级机关、人民政协、民主党派机关。

[lviii] 根据《国境卫生检疫法》第5条，中华人民共和国与外国之间的传染病疫情通报，由国务院卫生行政部门会同有关部门办理。这些规范虽尚未生效，亦未就国家机关作出规定，但对关键信息基础设施运营者处理的个人信息出境安全评估已有如下安排。

后者指对数据出境施加限制条件，但不一定要求数据本地化存储。齐爱民、盘佳：《大数据安全法律保障机制研究》，载《重庆邮电大学学报（社会科学版）》2015年第3期，第26页。因此，物理载体的数据出境管控只能另寻他径，传统上有两种方式。曹博：《跨境数据传输的立法模式与完善路径——从〈网络安全法〉第37条切入》，载《西南民族大学学报（人文社科版）》2018年第9期。

其二，提供公共服务的授权组织也应视为准国家机关，因为提供公共服务同样属于管理公共事务，后者本质上也是一种公共服务。存储介质虽可要求境内存储，但携带或寄递出境难以通过网信部门的安全评估来管控。

关于个人信息保护影响评估（personal information protection impact assessment），《个人信息保护法》第55条和第56条做出三点规定。数据本地化方面，我国选择了特定个人信息本地化模式，要求国家机关处理的个人信息境内存储，一般个人信息处理者则无此要求。

（2）非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据出境。但这是一种误读，《关键信息基础设施安全保护条例》第2条澄清表述为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统