十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求
2021-09-28
来源:出海互联网法律观察
第三部分:数据本地化存储要求
数据本地化存储,是指某一主权国家/地区,通过制定法律或规则来限制本国数据向境外流动,是对数据出境进行限制的做法之一。数据又被誉为当今的“石油”,在全球互联网信息时代中显得尤为重要。因此,有些主权国/地区会对个人信息进行不同维度的分类,并根据不同的类型的个人信息提出了本地存储与跨境流动限制的要求。
(一)我国个保法解读:
01明确了个人信息以境内存储为原则
我国个保法明确规定了个人信息的存储地点应当以“境内存储”为原则,应当存储在境内的具体情形包括:
01
国家机关处理的个人信息;
02
关键信息基础设施运营者(“CIIO”)在境内收集和产生的个人信息;
03
即使不构成CIIO,如果个人信息处理者在境内收集和产生的个人信息的数量达到国家网信部门规定的数量的,也应当存储在境内。
个保法特别强调了关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内,不得向境外传输。如果的确需要向境外提供个人信息的,应当通过国家网信部门组织的安全评估。
换言之,对于关键信息基础设施等重要数据的储存、利用、控制和管辖,我国提出了明确的本地化存储的要求,其基本逻辑是,任何中国公司或者外国公司在我国境内采集和存储与个人信息和关键领域相关数据时,必须使用我国境内的服务器。
这是我国作为主权国家行使“数据主权”的重要体现之一,也与我国《网络安全法》基于保障网络数据安全的考量,明确要求在境内存储“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”的要求一脉相承。
02 企业合规扼要建议
从前面分析可知,我国个保法并非像某些主权国家(例如俄罗斯)一样对本地化存储进行了非常严格的要求,而是对特定的主体提出了本地化存储的要求以及安全评估的义务。企业以及特别是涉及国际业务的企业,在处理个人信息的时候,需要关注是否受到本地化存储的要求限制:
01
Step 1:判断是否落入必须进行本地化存储的主体范围。
如果是,则需要进行数据本地化存储,即企业应当将在中国境内收集和产生的个人信息存储在境内。
02
Step 2:判断是否有的确有需要向境外提供的必要。
即企业需要结合业务的实际情况与业务运作安排等维度,综合考虑与确认该等数据出境的必要性。
03
Step 3:判断是否已经通过国家网信部门组织的安全评估。
我国的数据本地化要求并没有一刀切地完全禁止将个人信息传输至中国境外,对于确实需要向境外提供的,则需要在通过国家网信部门组织的安全评估后再进行传输。
根据网信办2019年《个人信息出境安全评估办法(征求意见稿)》的要求,企业在进行安全评估时候,并非完成了内部的自我评估就结束,而是应当向所在地的省级网信部门进行个人信息出境安全评估的申报动作。安全评估的重点包括:
(1) 评估个人信息跨境传输是否符合法律法规及政策规定;
(2) 传输方与接收方所签署的合同是否能够充分保障个人信息主体合法权益;
(3) 合同是否得到有效执行;
(4) 传输方与接收方是否发生过有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;
(5) 传输方获得个人信息是否合法、正当。
(二) 海外主要个人信息保护法律对比:
从上述各国或地区要求本地化的数据类型来看,大致可以分为三种类型:
01
数据保护法律中没有明确要求进行本地化存储的,但可能在进行跨境传输时候提供了严格的限制。例如欧盟GDPR、新加坡地区等;
02
对数据类型进行划分,针对不同的数据类型提出不同的本地化存储要求。例如印度,划分为关键个人数据、敏感个人数据和一般个人数据,关键的个人数据必须存储在印度境内,但也提供了例外条件;对于敏感的个人数据,必须存储在印度境内,但其副本可以按照跨境转移的要求进行传输到印度境外。
03
对收集数据的主体进行了划分,并针对不同的特定主体提出了不同的本地化存储要求。例如印尼要求只有公共电子系统运营商才必须将其电子系统和数据放置在印尼本地。
总体来说
随着各国监管机构认识到某些类型的数据需要在本地境内存储,并需要更严格控制跨境数据传输,数据存储本地化正日益成为一项全球性挑战。对于涉及海外业务的企业,应特别需要关注出海目标国家的数据本地化存储的要求,结合业务的整体发展规划与业务运营成本,综合考虑服务器部署的位置与方案,以更好地在符合目标国际的数据合规要求同时,也提高企业的内部运作效率。