第三部分：數(shù)據(jù)本地化存儲要求

　　數(shù)據(jù)本地化存儲，是指某一主權(quán)國家/地區(qū)，通過制定法律或規(guī)則來限制本國數(shù)據(jù)向境外流動(dòng)，是對數(shù)據(jù)出境進(jìn)行限制的做法之一。數(shù)據(jù)又被譽(yù)為當(dāng)今的“石油”，在全球互聯(lián)網(wǎng)信息時(shí)代中顯得尤為重要。因此，有些主權(quán)國/地區(qū)會對個(gè)人信息進(jìn)行不同維度的分類，并根據(jù)不同的類型的個(gè)人信息提出了本地存儲與跨境流動(dòng)限制的要求。

　?。ㄒ唬┪覈鴤€(gè)保法解讀：

　　01明確了個(gè)人信息以境內(nèi)存儲為原則

　　我國個(gè)保法明確規(guī)定了個(gè)人信息的存儲地點(diǎn)應(yīng)當(dāng)以“境內(nèi)存儲”為原則，應(yīng)當(dāng)存儲在境內(nèi)的具體情形包括：

　　01

　　國家機(jī)關(guān)處理的個(gè)人信息；

　　02

　　關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（“CIIO”）在境內(nèi)收集和產(chǎn)生的個(gè)人信息；

　　03

　　即使不構(gòu)成CIIO，如果個(gè)人信息處理者在境內(nèi)收集和產(chǎn)生的個(gè)人信息的數(shù)量達(dá)到國家網(wǎng)信部門規(guī)定的數(shù)量的，也應(yīng)當(dāng)存儲在境內(nèi)。

　　個(gè)保法特別強(qiáng)調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲在境內(nèi)，不得向境外傳輸。如果的確需要向境外提供個(gè)人信息的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。

　　換言之，對于關(guān)鍵信息基礎(chǔ)設(shè)施等重要數(shù)據(jù)的儲存、利用、控制和管轄，我國提出了明確的本地化存儲的要求，其基本邏輯是，任何中國公司或者外國公司在我國境內(nèi)采集和存儲與個(gè)人信息和關(guān)鍵領(lǐng)域相關(guān)數(shù)據(jù)時(shí)，必須使用我國境內(nèi)的服務(wù)器。

　　這是我國作為主權(quán)國家行使“數(shù)據(jù)主權(quán)”的重要體現(xiàn)之一，也與我國《網(wǎng)絡(luò)安全法》基于保障網(wǎng)絡(luò)數(shù)據(jù)安全的考量，明確要求在境內(nèi)存儲“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”的要求一脈相承。

　　02 企業(yè)合規(guī)扼要建議

　　從前面分析可知，我國個(gè)保法并非像某些主權(quán)國家（例如俄羅斯）一樣對本地化存儲進(jìn)行了非常嚴(yán)格的要求，而是對特定的主體提出了本地化存儲的要求以及安全評估的義務(wù)。企業(yè)以及特別是涉及國際業(yè)務(wù)的企業(yè)，在處理個(gè)人信息的時(shí)候，需要關(guān)注是否受到本地化存儲的要求限制：

　　01

　　Step 1：判斷是否落入必須進(jìn)行本地化存儲的主體范圍。

　　如果是，則需要進(jìn)行數(shù)據(jù)本地化存儲，即企業(yè)應(yīng)當(dāng)將在中國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲在境內(nèi)。

　　02

　　Step 2：判斷是否有的確有需要向境外提供的必要。

　　即企業(yè)需要結(jié)合業(yè)務(wù)的實(shí)際情況與業(yè)務(wù)運(yùn)作安排等維度，綜合考慮與確認(rèn)該等數(shù)據(jù)出境的必要性。

　　03

　　Step 3：判斷是否已經(jīng)通過國家網(wǎng)信部門組織的安全評估。

　　我國的數(shù)據(jù)本地化要求并沒有一刀切地完全禁止將個(gè)人信息傳輸至中國境外，對于確實(shí)需要向境外提供的，則需要在通過國家網(wǎng)信部門組織的安全評估后再進(jìn)行傳輸。

　　根據(jù)網(wǎng)信辦2019年《個(gè)人信息出境安全評估辦法（征求意見稿）》的要求，企業(yè)在進(jìn)行安全評估時(shí)候，并非完成了內(nèi)部的自我評估就結(jié)束，而是應(yīng)當(dāng)向所在地的省級網(wǎng)信部門進(jìn)行個(gè)人信息出境安全評估的申報(bào)動(dòng)作。安全評估的重點(diǎn)包括：

　?。?）  評估個(gè)人信息跨境傳輸是否符合法律法規(guī)及政策規(guī)定；

　?。?）  傳輸方與接收方所簽署的合同是否能夠充分保障個(gè)人信息主體合法權(quán)益；

　?。?）  合同是否得到有效執(zhí)行；

　?。?）  傳輸方與接收方是否發(fā)生過有損害個(gè)人信息主體合法權(quán)益的歷史、是否發(fā)生過重大網(wǎng)絡(luò)安全事件；

　　（5）  傳輸方獲得個(gè)人信息是否合法、正當(dāng)。

　?。ǘ?海外主要個(gè)人信息保護(hù)法律對比：

　　從上述各國或地區(qū)要求本地化的數(shù)據(jù)類型來看，大致可以分為三種類型：

　　01

　　數(shù)據(jù)保護(hù)法律中沒有明確要求進(jìn)行本地化存儲的，但可能在進(jìn)行跨境傳輸時(shí)候提供了嚴(yán)格的限制。例如歐盟GDPR、新加坡地區(qū)等；

　　02

　　對數(shù)據(jù)類型進(jìn)行劃分，針對不同的數(shù)據(jù)類型提出不同的本地化存儲要求。例如印度，劃分為關(guān)鍵個(gè)人數(shù)據(jù)、敏感個(gè)人數(shù)據(jù)和一般個(gè)人數(shù)據(jù)，關(guān)鍵的個(gè)人數(shù)據(jù)必須存儲在印度境內(nèi)，但也提供了例外條件；對于敏感的個(gè)人數(shù)據(jù)，必須存儲在印度境內(nèi)，但其副本可以按照跨境轉(zhuǎn)移的要求進(jìn)行傳輸?shù)接《染惩狻?/p>

　　03

　　對收集數(shù)據(jù)的主體進(jìn)行了劃分，并針對不同的特定主體提出了不同的本地化存儲要求。例如印尼要求只有公共電子系統(tǒng)運(yùn)營商才必須將其電子系統(tǒng)和數(shù)據(jù)放置在印尼本地。

　　總體來說

　　隨著各國監(jiān)管機(jī)構(gòu)認(rèn)識到某些類型的數(shù)據(jù)需要在本地境內(nèi)存儲，并需要更嚴(yán)格控制跨境數(shù)據(jù)傳輸，數(shù)據(jù)存儲本地化正日益成為一項(xiàng)全球性挑戰(zhàn)。對于涉及海外業(yè)務(wù)的企業(yè)，應(yīng)特別需要關(guān)注出海目標(biāo)國家的數(shù)據(jù)本地化存儲的要求，結(jié)合業(yè)務(wù)的整體發(fā)展規(guī)劃與業(yè)務(wù)運(yùn)營成本，綜合考慮服務(wù)器部署的位置與方案，以更好地在符合目標(biāo)國際的數(shù)據(jù)合規(guī)要求同時(shí)，也提高企業(yè)的內(nèi)部運(yùn)作效率。