逐条精解：《个人信息保护法》33-37条

1. 国家机关处理个人信息需要基于履行法定职责的需要，避免在法定职责之外随意收集、使用个人信息，即法无授权即禁止。

2. 国家机关处理个人信息需要依照法律、行政法规规定的条件和程序进行，也就是说如未经法定条件和程序，即使在法定职责范围内国家机关也不得处理个人信息，国家机关作为特殊的信息处理者，更加需要严格遵守相关法律法规规定的条件和程序，一方面，维护法律的尊严，另一方面，为其他民事主体的信息处理者做出良好的示范，有利于规范个人信息处理者依照法定程序处理个人信息，保障个人的信息权益。

3. 国家机关处理个人信息不得超出履行法定职责所必需的范围和限度。本条呼应了《个人信息保护法》第6条第2款“收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息”的规定，国家机关处理个人信息仍需要遵守最小限度原则。例如在公共场所安装图像采集、个人身份识别设备，所收集的个人信息，在征得个人同意后，只能用于维护公共安全的目的，不得用于其他目的。

条文精讲：本条明确了国家机关为履行法定职责处理个人信息的要求。

从一般要求看，国家机关为履行法定职责处理个人信息，仍需要满足“告知”的模式。相较一般信息处理者还要满足“同意”的模式，本条规定对国家机关为履行法定职责处理个人信息时的要求相对较宽；

从例外情形看，本法第18条第1款规定法律、行政法规规定应当保密或不需要告知的情形，以及告知、取得同意将妨碍国家机关履行法定职责的除外。比如为了犯罪侦查收集使用个人信息的，可以不向个人告知也无需获得其同意；

国家机关在紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，可在紧急情况消除之后及时告知而无需经过事前告知及同意。

条文精讲：本条明确了国家机关不得跨境提供个人信息要求和例外情形。

从原则性要求看，国家机关以不得跨境提供个人信息为基本原则。如果需要公开或者向他人提供，需要经过安全评估机制。同样的，国家机关作为特殊的信息处理者，在进行安全评估时仍应遵守《个人信息保护法》第38条个人信息跨境提供的必备条件，但相较于其他民事主体的个人信息处理者，国家机关跨境提供个人信息的，进行安全评估可以要求有关部门如公安部门、网信部门等提供支持与协助。

当然，《个人信息保护法》第38条亦规定了例外情况，即中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。例如，我们常听到的“猎狐行动”、“红色通缉令”，即向国外机关提供需要进行司法引渡人员的相关个人信息，就是一种例外情形。

特别提示：如国家机关向境外提供个人信息时，原则上应遵守《个人信息保护法》第39条规定适用“告知+同意”的模式处理个人信息。但如果处理个人信息符合《个人信息保护法》第13条第2-7款规定情形的，亦可以得到豁免，即无需取得个人同意。

条文精讲：本条进一步扩大了按照国家机关处理个人信息主体的范围。

法律、法规（即行政法规和地方性法规）授权的具有管理公共事务职能的组织，但不包括规章。

根据我国的具体情况，一些事业单位甚至国有企业（如中国证券登记结算有限责任公司）等非国家机关，也被法律、法规授权管理特定的公共事务职能。这些组织在处理个人信息的时候，需要参照本法关于对国家机关的要求予以执行。