十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

必读收藏

十国/地区个人信息保护法十大合规要点大比对

本文是“十国/地区数据保护法十大合规要点对比”系列的第三部分，主要是围绕数据本地化存储要求进行解读、对比与分析。

第一部分请参见：十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

第二部分请参见：十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

第三部分：数据本地化存储要求

数据本地化存储，是指某一主权国家/地区，通过制定法律或规则来限制本国数据向境外流动，是对数据出境进行限制的做法之一。数据又被誉为当今的“石油”，在全球互联网信息时代中显得尤为重要。因此，有些主权国/地区会对个人信息进行不同维度的分类，并根据不同的类型的个人信息提出了本地存储与跨境流动限制的要求。

（一）我国个保法解读：

01明确了个人信息以境内存储为原则

我国个保法明确规定了个人信息的存储地点应当以“境内存储”为原则，应当存储在境内的具体情形包括：

国家机关处理的个人信息；

关键信息基础设施运营者（“CIIO”）在境内收集和产生的个人信息；

即使不构成CIIO，如果个人信息处理者在境内收集和产生的个人信息的数量达到国家网信部门规定的数量的，也应当存储在境内。

个保法特别强调了关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在境内收集和产生的个人信息存储在境内，不得向境外传输。如果的确需要向境外提供个人信息的，应当通过国家网信部门组织的安全评估。

换言之，对于关键信息基础设施等重要数据的储存、利用、控制和管辖，我国提出了明确的本地化存储的要求，其基本逻辑是，任何中国公司或者外国公司在我国境内采集和存储与个人信息和关键领域相关数据时，必须使用我国境内的服务器。

这是我国作为主权国家行使“数据主权”的重要体现之一，也与我国《网络安全法》基于保障网络数据安全的考量，明确要求在境内存储“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”的要求一脉相承。

02 企业合规扼要建议

从前面分析可知，我国个保法并非像某些主权国家（例如俄罗斯）一样对本地化存储进行了非常严格的要求，而是对特定的主体提出了本地化存储的要求以及安全评估的义务。企业以及特别是涉及国际业务的企业，在处理个人信息的时候,需要关注是否受到本地化存储的要求限制：

Step 1：判断是否落入必须进行本地化存储的主体范围。

如果是，则需要进行数据本地化存储，即企业应当将在中国境内收集和产生的个人信息存储在境内。

Step 2：判断是否有的确有需要向境外提供的必要。

即企业需要结合业务的实际情况与业务运作安排等维度，综合考虑与确认该等数据出境的必要性。

Step 3：判断是否已经通过国家网信部门组织的安全评估。

我国的数据本地化要求并没有一刀切地完全禁止将个人信息传输至中国境外，对于确实需要向境外提供的，则需要在通过国家网信部门组织的安全评估后再进行传输。

根据网信办2019年《个人信息出境安全评估办法（征求意见稿）》的要求，企业在进行安全评估时候，并非完成了内部的自我评估就结束，而是应当向所在地的省级网信部门进行个人信息出境安全评估的申报动作。安全评估的重点包括：

（1）评估个人信息跨境传输是否符合法律法规及政策规定；

（2）传输方与接收方所签署的合同是否能够充分保障个人信息主体合法权益；

（3）合同是否得到有效执行；

（4）传输方与接收方是否发生过有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件；

（5）传输方获得个人信息是否合法、正当。

（二）海外主要个人信息保护法律对比：

从上述各国或地区要求本地化的数据类型来看，大致可以分为三种类型：

数据保护法律中没有明确要求进行本地化存储的，但可能在进行跨境传输时候提供了严格的限制。例如欧盟GDPR、新加坡地区等；

对数据类型进行划分，针对不同的数据类型提出不同的本地化存储要求。例如印度，划分为关键个人数据、敏感个人数据和一般个人数据，关键的个人数据必须存储在印度境内，但也提供了例外条件；对于敏感的个人数据，必须存储在印度境内，但其副本可以按照跨境转移的要求进行传输到印度境外。

对收集数据的主体进行了划分，并针对不同的特定主体提出了不同的本地化存储要求。例如印尼要求只有公共电子系统运营商才必须将其电子系统和数据放置在印尼本地。

总体来说

随着各国监管机构认识到某些类型的数据需要在本地境内存储，并需要更严格控制跨境数据传输，数据存储本地化正日益成为一项全球性挑战。对于涉及海外业务的企业，应特别需要关注出海目标国家的数据本地化存储的要求，结合业务的整体发展规划与业务运营成本，综合考虑服务器部署的位置与方案，以更好地在符合目标国际的数据合规要求同时，也提高企业的内部运作效率。

作者介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人，合著《互联网全球数据合规法律观察报告》，并输出多篇专业互联网与数据合规文章，部分文章刊登于威科先行专业数据库中。

联系方式：

夏律

垦丁律师事务所W&W国际法律团队律师助理。

协助全球数据合规资讯周刊编写，追踪各国数据合规执法状况。

近期更新：

十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

大数据杀熟-互联网法律人的周末私享会

佛罗里达州众议院通过了《佛罗里达隐私保护法》

爱尔兰数据保护委员会：Facebook5.33亿用户数据泄露

欧盟委员会提出AI专门立法提案

爱尔兰DPC称Facebook发生5.33亿用户数据泄露