|
数据本地化是指出于本国公民隐私保护、国家数据安全或执行便利等目的,在国家内部收集、处理和存储有关国家公民或居民的数据。 棱镜门事件爆发后,为了维护国家数据主权、防止美国再次对他国数据进行监控管理,俄罗斯、韩国、印度尼西亚等国家纷纷提出了数据本地化存储的主张,并出台了相关法律在本国推行数据本地化措施。综合各国的数据本地化形态,可按宽严程度将其分类四类。 最严格的数据本地化形态为“完全禁止本国数据出境”。也就是说,本国的数据必须保存在本国境内的存储设备上,他国跨国公司要想进入本国市场,就必须在本国境内建立数据中心以存储本国公民数据。印度的数据本地化就呈现出这种状态,其出台的《个人信息保护法》就要求将政府机构和公民的数据都本地化,所有电子邮件服务提供者要为其印度业务设立本地服务器,所有在印度产生的数据要存储在本地服务器中。对于印度政府来说,这种数据本地化的形态是必要的。正如其信息技术部的一位官员所说:“这既能够方便政府开展与数据有关的调查研究,又可以防范全球普遍存在的数据泄露事情的发生”。然而,对于像Facebook、PayPal这种想要大力发展印度市场的外国公司来说,这种数据本地化的形态就不是那么喜闻乐见了,因为这意味着企业成本的巨额增加,他们不得不在印度建立额外的其他基础设施来保存数据。 比印度的数据本地化形态稍微宽松一些的是俄罗斯、澳大利亚等国家采取的策略——禁止本国特定数据出境。呈现这种本地化形态的国家只要求特定类型的数据留存在境内。例如,俄罗斯针对本国公民的电子通信和社交网络数据进行本地化处理,澳大利亚针对医疗信息进行本地化处理,比利时要求将企业的会计和税务文件存储在纳税人办公地。 相比之下,欧盟和韩国的数据本地化措施更为开放。他们规定,只要数据满足了法律规定的条件,就可以自由出境。这就是数据本地化的第三种形态——本国有条件数据出境。目前,数据出境达到的条件分为两种。一种是需要进行安全评估后方可跨国传输。例如,阿根廷的《数据保护法》就禁止将个人信息传输给没有足够安全防护能力的国家;欧盟的相关数据保护指令也规定,只有得到了当地法律保护或合同约束的数据,才能送到欧盟之外的国家或地区。另一种是需要征得数据主体同意后方可出境。例如,韩国的《个人信息法》就规定,如果处理个人信息时要将个人信息传输至境外第三方,就需要通知并获得信息主体的同意;同样,马来西亚的《个人信息保护法》也指出,除非马来西亚政府同意,否则不允许将个人信息转移到马来西亚境外。 当然,如果是与“数据境内备份”这个条件相比,“安全评估”“政府同意”等要求就略显严格复杂了。因此,“境内数据中心备份出境”当属最宽松的数据本地化形态。也就是说,实施这种本地化措施的国家仅要求跨境数据在当地有备份,而并不对其跨境设立过多限制。这些国家其实是在用建立境内数据中心的方式保证数据的安全。例如,新西兰要求企业将跨境业务记录存储在本地数据中心,德国和法国也一直致力于推动境内企业将跨境数据存储在欧洲甚至本国境内的数据中心。 【出处】张莉.数据治理与数据安全,人民邮电出版社,2019年9月第1版.
| 
发表于 2025-11-26 09:23:05
