第三部分:數(shù)據(jù)本地化存儲要求
數(shù)據(jù)本地化存儲,是指某一主權國家/地區(qū),通過制定法律或規(guī)則來限制本國數(shù)據(jù)向境外流動,是對數(shù)據(jù)出境進行限制的做法之一。數(shù)據(jù)又被譽為當今的“石油”,在全球互聯(lián)網(wǎng)信息時代中顯得尤為重要。因此,有些主權國/地區(qū)會對個人信息進行不同維度的分類,并根據(jù)不同的類型的個人信息提出了本地存儲與跨境流動限制的要求。
?。ㄒ唬┪覈鴤€保法解讀:
01明確了個人信息以境內存儲為原則
我國個保法明確規(guī)定了個人信息的存儲地點應當以“境內存儲”為原則,應當存儲在境內的具體情形包括:
01
國家機關處理的個人信息;
02
關鍵信息基礎設施運營者(“CIIO”)在境內收集和產(chǎn)生的個人信息;
03
即使不構成CIIO,如果個人信息處理者在境內收集和產(chǎn)生的個人信息的數(shù)量達到國家網(wǎng)信部門規(guī)定的數(shù)量的,也應當存儲在境內。
個保法特別強調了關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,應當將在境內收集和產(chǎn)生的個人信息存儲在境內,不得向境外傳輸。如果的確需要向境外提供個人信息的,應當通過國家網(wǎng)信部門組織的安全評估。
換言之,對于關鍵信息基礎設施等重要數(shù)據(jù)的儲存、利用、控制和管轄,我國提出了明確的本地化存儲的要求,其基本邏輯是,任何中國公司或者外國公司在我國境內采集和存儲與個人信息和關鍵領域相關數(shù)據(jù)時,必須使用我國境內的服務器。
這是我國作為主權國家行使“數(shù)據(jù)主權”的重要體現(xiàn)之一,也與我國《網(wǎng)絡安全法》基于保障網(wǎng)絡數(shù)據(jù)安全的考量,明確要求在境內存儲“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”的要求一脈相承。
02 企業(yè)合規(guī)扼要建議
從前面分析可知,我國個保法并非像某些主權國家(例如俄羅斯)一樣對本地化存儲進行了非常嚴格的要求,而是對特定的主體提出了本地化存儲的要求以及安全評估的義務。企業(yè)以及特別是涉及國際業(yè)務的企業(yè),在處理個人信息的時候,需要關注是否受到本地化存儲的要求限制:
01
Step 1:判斷是否落入必須進行本地化存儲的主體范圍。
如果是,則需要進行數(shù)據(jù)本地化存儲,即企業(yè)應當將在中國境內收集和產(chǎn)生的個人信息存儲在境內。
02
Step 2:判斷是否有的確有需要向境外提供的必要。
即企業(yè)需要結合業(yè)務的實際情況與業(yè)務運作安排等維度,綜合考慮與確認該等數(shù)據(jù)出境的必要性。
03
Step 3:判斷是否已經(jīng)通過國家網(wǎng)信部門組織的安全評估。
我國的數(shù)據(jù)本地化要求并沒有一刀切地完全禁止將個人信息傳輸至中國境外,對于確實需要向境外提供的,則需要在通過國家網(wǎng)信部門組織的安全評估后再進行傳輸。
根據(jù)網(wǎng)信辦2019年《個人信息出境安全評估辦法(征求意見稿)》的要求,企業(yè)在進行安全評估時候,并非完成了內部的自我評估就結束,而是應當向所在地的省級網(wǎng)信部門進行個人信息出境安全評估的申報動作。安全評估的重點包括:
?。?) 評估個人信息跨境傳輸是否符合法律法規(guī)及政策規(guī)定;
(2) 傳輸方與接收方所簽署的合同是否能夠充分保障個人信息主體合法權益;
?。?) 合同是否得到有效執(zhí)行;
?。?) 傳輸方與接收方是否發(fā)生過有損害個人信息主體合法權益的歷史、是否發(fā)生過重大網(wǎng)絡安全事件;
?。?) 傳輸方獲得個人信息是否合法、正當。
?。ǘ?海外主要個人信息保護法律對比:
從上述各國或地區(qū)要求本地化的數(shù)據(jù)類型來看,大致可以分為三種類型:
01
數(shù)據(jù)保護法律中沒有明確要求進行本地化存儲的,但可能在進行跨境傳輸時候提供了嚴格的限制。例如歐盟GDPR、新加坡地區(qū)等;
02
對數(shù)據(jù)類型進行劃分,針對不同的數(shù)據(jù)類型提出不同的本地化存儲要求。例如印度,劃分為關鍵個人數(shù)據(jù)、敏感個人數(shù)據(jù)和一般個人數(shù)據(jù),關鍵的個人數(shù)據(jù)必須存儲在印度境內,但也提供了例外條件;對于敏感的個人數(shù)據(jù),必須存儲在印度境內,但其副本可以按照跨境轉移的要求進行傳輸?shù)接《染惩狻?/p>
03
對收集數(shù)據(jù)的主體進行了劃分,并針對不同的特定主體提出了不同的本地化存儲要求。例如印尼要求只有公共電子系統(tǒng)運營商才必須將其電子系統(tǒng)和數(shù)據(jù)放置在印尼本地。
總體來說
隨著各國監(jiān)管機構認識到某些類型的數(shù)據(jù)需要在本地境內存儲,并需要更嚴格控制跨境數(shù)據(jù)傳輸,數(shù)據(jù)存儲本地化正日益成為一項全球性挑戰(zhàn)。對于涉及海外業(yè)務的企業(yè),應特別需要關注出海目標國家的數(shù)據(jù)本地化存儲的要求,結合業(yè)務的整體發(fā)展規(guī)劃與業(yè)務運營成本,綜合考慮服務器部署的位置與方案,以更好地在符合目標國際的數(shù)據(jù)合規(guī)要求同時,也提高企業(yè)的內部運作效率。