第三部分：數(shù)據(jù)本地化存儲(chǔ)要求

　　數(shù)據(jù)本地化存儲(chǔ)，是指某一主權(quán)國(guó)家/地區(qū)，通過(guò)制定法律或規(guī)則來(lái)限制本國(guó)數(shù)據(jù)向境外流動(dòng)，是對(duì)數(shù)據(jù)出境進(jìn)行限制的做法之一。數(shù)據(jù)又被譽(yù)為當(dāng)今的“石油”，在全球互聯(lián)網(wǎng)信息時(shí)代中顯得尤為重要。因此，有些主權(quán)國(guó)/地區(qū)會(huì)對(duì)個(gè)人信息進(jìn)行不同維度的分類，并根據(jù)不同的類型的個(gè)人信息提出了本地存儲(chǔ)與跨境流動(dòng)限制的要求。

　　（一）我國(guó)個(gè)保法解讀：

　　01明確了個(gè)人信息以境內(nèi)存儲(chǔ)為原則

　　我國(guó)個(gè)保法明確規(guī)定了個(gè)人信息的存儲(chǔ)地點(diǎn)應(yīng)當(dāng)以“境內(nèi)存儲(chǔ)”為原則，應(yīng)當(dāng)存儲(chǔ)在境內(nèi)的具體情形包括：

　　01

　　國(guó)家機(jī)關(guān)處理的個(gè)人信息；

　　02

　　關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（“CIIO”）在境內(nèi)收集和產(chǎn)生的個(gè)人信息；

　　03

　　即使不構(gòu)成CIIO，如果個(gè)人信息處理者在境內(nèi)收集和產(chǎn)生的個(gè)人信息的數(shù)量達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定的數(shù)量的，也應(yīng)當(dāng)存儲(chǔ)在境內(nèi)。

　　個(gè)保法特別強(qiáng)調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)，不得向境外傳輸。如果的確需要向境外提供個(gè)人信息的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估。

　　換言之，對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施等重要數(shù)據(jù)的儲(chǔ)存、利用、控制和管轄，我國(guó)提出了明確的本地化存儲(chǔ)的要求，其基本邏輯是，任何中國(guó)公司或者外國(guó)公司在我國(guó)境內(nèi)采集和存儲(chǔ)與個(gè)人信息和關(guān)鍵領(lǐng)域相關(guān)數(shù)據(jù)時(shí)，必須使用我國(guó)境內(nèi)的服務(wù)器。

　　這是我國(guó)作為主權(quán)國(guó)家行使“數(shù)據(jù)主權(quán)”的重要體現(xiàn)之一，也與我國(guó)《網(wǎng)絡(luò)安全法》基于保障網(wǎng)絡(luò)數(shù)據(jù)安全的考量，明確要求在境內(nèi)存儲(chǔ)“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”的要求一脈相承。

　　02 企業(yè)合規(guī)扼要建議

　　從前面分析可知，我國(guó)個(gè)保法并非像某些主權(quán)國(guó)家（例如俄羅斯）一樣對(duì)本地化存儲(chǔ)進(jìn)行了非常嚴(yán)格的要求，而是對(duì)特定的主體提出了本地化存儲(chǔ)的要求以及安全評(píng)估的義務(wù)。企業(yè)以及特別是涉及國(guó)際業(yè)務(wù)的企業(yè)，在處理個(gè)人信息的時(shí)候，需要關(guān)注是否受到本地化存儲(chǔ)的要求限制：

　　01

　　Step 1：判斷是否落入必須進(jìn)行本地化存儲(chǔ)的主體范圍。

　　如果是，則需要進(jìn)行數(shù)據(jù)本地化存儲(chǔ)，即企業(yè)應(yīng)當(dāng)將在中國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。

　　02

　　Step 2：判斷是否有的確有需要向境外提供的必要。

　　即企業(yè)需要結(jié)合業(yè)務(wù)的實(shí)際情況與業(yè)務(wù)運(yùn)作安排等維度，綜合考慮與確認(rèn)該等數(shù)據(jù)出境的必要性。

　　03

　　Step 3：判斷是否已經(jīng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估。

　　我國(guó)的數(shù)據(jù)本地化要求并沒(méi)有一刀切地完全禁止將個(gè)人信息傳輸至中國(guó)境外，對(duì)于確實(shí)需要向境外提供的，則需要在通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估后再進(jìn)行傳輸。

　　根據(jù)網(wǎng)信辦2019年《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》的要求，企業(yè)在進(jìn)行安全評(píng)估時(shí)候，并非完成了內(nèi)部的自我評(píng)估就結(jié)束，而是應(yīng)當(dāng)向所在地的省級(jí)網(wǎng)信部門(mén)進(jìn)行個(gè)人信息出境安全評(píng)估的申報(bào)動(dòng)作。安全評(píng)估的重點(diǎn)包括：

　　（1）  評(píng)估個(gè)人信息跨境傳輸是否符合法律法規(guī)及政策規(guī)定；

　　（2）  傳輸方與接收方所簽署的合同是否能夠充分保障個(gè)人信息主體合法權(quán)益；

　?。?）  合同是否得到有效執(zhí)行；

　　（4）  傳輸方與接收方是否發(fā)生過(guò)有損害個(gè)人信息主體合法權(quán)益的歷史、是否發(fā)生過(guò)重大網(wǎng)絡(luò)安全事件；

　?。?）  傳輸方獲得個(gè)人信息是否合法、正當(dāng)。

　?。ǘ?海外主要個(gè)人信息保護(hù)法律對(duì)比：

　　從上述各國(guó)或地區(qū)要求本地化的數(shù)據(jù)類型來(lái)看，大致可以分為三種類型：

　　01

　　數(shù)據(jù)保護(hù)法律中沒(méi)有明確要求進(jìn)行本地化存儲(chǔ)的，但可能在進(jìn)行跨境傳輸時(shí)候提供了嚴(yán)格的限制。例如歐盟GDPR、新加坡地區(qū)等；

　　02

　　對(duì)數(shù)據(jù)類型進(jìn)行劃分，針對(duì)不同的數(shù)據(jù)類型提出不同的本地化存儲(chǔ)要求。例如印度，劃分為關(guān)鍵個(gè)人數(shù)據(jù)、敏感個(gè)人數(shù)據(jù)和一般個(gè)人數(shù)據(jù)，關(guān)鍵的個(gè)人數(shù)據(jù)必須存儲(chǔ)在印度境內(nèi)，但也提供了例外條件；對(duì)于敏感的個(gè)人數(shù)據(jù)，必須存儲(chǔ)在印度境內(nèi)，但其副本可以按照跨境轉(zhuǎn)移的要求進(jìn)行傳輸?shù)接《染惩狻?/p>

　　03

　　對(duì)收集數(shù)據(jù)的主體進(jìn)行了劃分，并針對(duì)不同的特定主體提出了不同的本地化存儲(chǔ)要求。例如印尼要求只有公共電子系統(tǒng)運(yùn)營(yíng)商才必須將其電子系統(tǒng)和數(shù)據(jù)放置在印尼本地。

　　總體來(lái)說(shuō)

　　隨著各國(guó)監(jiān)管機(jī)構(gòu)認(rèn)識(shí)到某些類型的數(shù)據(jù)需要在本地境內(nèi)存儲(chǔ)，并需要更嚴(yán)格控制跨境數(shù)據(jù)傳輸，數(shù)據(jù)存儲(chǔ)本地化正日益成為一項(xiàng)全球性挑戰(zhàn)。對(duì)于涉及海外業(yè)務(wù)的企業(yè)，應(yīng)特別需要關(guān)注出海目標(biāo)國(guó)家的數(shù)據(jù)本地化存儲(chǔ)的要求，結(jié)合業(yè)務(wù)的整體發(fā)展規(guī)劃與業(yè)務(wù)運(yùn)營(yíng)成本，綜合考慮服務(wù)器部署的位置與方案，以更好地在符合目標(biāo)國(guó)際的數(shù)據(jù)合規(guī)要求同時(shí)，也提高企業(yè)的內(nèi)部運(yùn)作效率。