第三部分：數(shù)據(jù)本地化存儲要求

　　數(shù)據(jù)本地化存儲，是指某一主權(quán)國家/地區(qū)，通過制定法律或規(guī)則來限制本國數(shù)據(jù)向境外流動，是對數(shù)據(jù)出境進行限制的做法之一。數(shù)據(jù)又被譽為當(dāng)今的“石油”，在全球互聯(lián)網(wǎng)信息時代中顯得尤為重要。因此，有些主權(quán)國/地區(qū)會對個人信息進行不同維度的分類，并根據(jù)不同的類型的個人信息提出了本地存儲與跨境流動限制的要求。

　?。ㄒ唬┪覈鴤€保法解讀：

　　01明確了個人信息以境內(nèi)存儲為原則

　　我國個保法明確規(guī)定了個人信息的存儲地點應(yīng)當(dāng)以“境內(nèi)存儲”為原則，應(yīng)當(dāng)存儲在境內(nèi)的具體情形包括：

　　01

　　國家機關(guān)處理的個人信息；

　　02

　　關(guān)鍵信息基礎(chǔ)設(shè)施運營者（“CIIO”）在境內(nèi)收集和產(chǎn)生的個人信息；

　　03

　　即使不構(gòu)成CIIO，如果個人信息處理者在境內(nèi)收集和產(chǎn)生的個人信息的數(shù)量達到國家網(wǎng)信部門規(guī)定的數(shù)量的，也應(yīng)當(dāng)存儲在境內(nèi)。

　　個保法特別強調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)將在境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)，不得向境外傳輸。如果的確需要向境外提供個人信息的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。

　　換言之，對于關(guān)鍵信息基礎(chǔ)設(shè)施等重要數(shù)據(jù)的儲存、利用、控制和管轄，我國提出了明確的本地化存儲的要求，其基本邏輯是，任何中國公司或者外國公司在我國境內(nèi)采集和存儲與個人信息和關(guān)鍵領(lǐng)域相關(guān)數(shù)據(jù)時，必須使用我國境內(nèi)的服務(wù)器。

　　這是我國作為主權(quán)國家行使“數(shù)據(jù)主權(quán)”的重要體現(xiàn)之一，也與我國《網(wǎng)絡(luò)安全法》基于保障網(wǎng)絡(luò)數(shù)據(jù)安全的考量，明確要求在境內(nèi)存儲“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”的要求一脈相承。

　　02 企業(yè)合規(guī)扼要建議

　　從前面分析可知，我國個保法并非像某些主權(quán)國家（例如俄羅斯）一樣對本地化存儲進行了非常嚴(yán)格的要求，而是對特定的主體提出了本地化存儲的要求以及安全評估的義務(wù)。企業(yè)以及特別是涉及國際業(yè)務(wù)的企業(yè)，在處理個人信息的時候，需要關(guān)注是否受到本地化存儲的要求限制：

　　01

　　Step 1：判斷是否落入必須進行本地化存儲的主體范圍。

　　如果是，則需要進行數(shù)據(jù)本地化存儲，即企業(yè)應(yīng)當(dāng)將在中國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。

　　02

　　Step 2：判斷是否有的確有需要向境外提供的必要。

　　即企業(yè)需要結(jié)合業(yè)務(wù)的實際情況與業(yè)務(wù)運作安排等維度，綜合考慮與確認(rèn)該等數(shù)據(jù)出境的必要性。

　　03

　　Step 3：判斷是否已經(jīng)通過國家網(wǎng)信部門組織的安全評估。

　　我國的數(shù)據(jù)本地化要求并沒有一刀切地完全禁止將個人信息傳輸至中國境外，對于確實需要向境外提供的，則需要在通過國家網(wǎng)信部門組織的安全評估后再進行傳輸。

　　根據(jù)網(wǎng)信辦2019年《個人信息出境安全評估辦法（征求意見稿）》的要求，企業(yè)在進行安全評估時候，并非完成了內(nèi)部的自我評估就結(jié)束，而是應(yīng)當(dāng)向所在地的省級網(wǎng)信部門進行個人信息出境安全評估的申報動作。安全評估的重點包括：

　?。?）  評估個人信息跨境傳輸是否符合法律法規(guī)及政策規(guī)定；

　?。?）  傳輸方與接收方所簽署的合同是否能夠充分保障個人信息主體合法權(quán)益；

　?。?）  合同是否得到有效執(zhí)行；

　?。?）  傳輸方與接收方是否發(fā)生過有損害個人信息主體合法權(quán)益的歷史、是否發(fā)生過重大網(wǎng)絡(luò)安全事件；

　?。?）  傳輸方獲得個人信息是否合法、正當(dāng)。

　?。ǘ?海外主要個人信息保護法律對比：

　　從上述各國或地區(qū)要求本地化的數(shù)據(jù)類型來看，大致可以分為三種類型：

　　01

　　數(shù)據(jù)保護法律中沒有明確要求進行本地化存儲的，但可能在進行跨境傳輸時候提供了嚴(yán)格的限制。例如歐盟GDPR、新加坡地區(qū)等；

　　02

　　對數(shù)據(jù)類型進行劃分，針對不同的數(shù)據(jù)類型提出不同的本地化存儲要求。例如印度，劃分為關(guān)鍵個人數(shù)據(jù)、敏感個人數(shù)據(jù)和一般個人數(shù)據(jù)，關(guān)鍵的個人數(shù)據(jù)必須存儲在印度境內(nèi)，但也提供了例外條件；對于敏感的個人數(shù)據(jù)，必須存儲在印度境內(nèi)，但其副本可以按照跨境轉(zhuǎn)移的要求進行傳輸?shù)接《染惩狻?/p>

　　03

　　對收集數(shù)據(jù)的主體進行了劃分，并針對不同的特定主體提出了不同的本地化存儲要求。例如印尼要求只有公共電子系統(tǒng)運營商才必須將其電子系統(tǒng)和數(shù)據(jù)放置在印尼本地。

　　總體來說

　　隨著各國監(jiān)管機構(gòu)認(rèn)識到某些類型的數(shù)據(jù)需要在本地境內(nèi)存儲，并需要更嚴(yán)格控制跨境數(shù)據(jù)傳輸，數(shù)據(jù)存儲本地化正日益成為一項全球性挑戰(zhàn)。對于涉及海外業(yè)務(wù)的企業(yè)，應(yīng)特別需要關(guān)注出海目標(biāo)國家的數(shù)據(jù)本地化存儲的要求，結(jié)合業(yè)務(wù)的整體發(fā)展規(guī)劃與業(yè)務(wù)運營成本，綜合考慮服務(wù)器部署的位置與方案，以更好地在符合目標(biāo)國際的數(shù)據(jù)合規(guī)要求同時，也提高企業(yè)的內(nèi)部運作效率。