中国科技企业出海时,首先面临的问题之一是服务器如何在全球部署,以响应各目标市场用户的需求。在设计服务器部署方案时,各目的国的“数据本地化”要求是一个核心考虑因素。
过去几年,在为中国企业提供这方面的服务时,我们意识到,“数据本地化”是一个模糊的统称,不同国家不同法律的数据本地化要求类型不同,其将本来自由流动的数据拉向本国的“向心力”强弱也不同,有必要进行细粒度的把握。我们创造“数据向心力”一词,用于方便描述一国的数据本地化规定迫使数据在该国驻留的趋势。
基于对全球多国的法律研究以及项目经验,我们按照“数据向心力”从弱到强,将数据本地化细分为“本地访问”“本地备份”“本地存储”“本地处理”四种类型。我们结合中外法律实例,对这些类型的本地化要求一一分析说明如下,供中国出海企业参考。
一、“本地访问”要求
(一)中外法律实例(非完全列举,下同)
中国法律并无关于“本地访问”的直接规定,但设置“向监管机构提供数据”等配合执法义务,间接实现“本地访问”要求的效果,实例如下:
|
法条 |
限制数据类型 |
限制方式 |
|
《互联网信息服务管理办法》第14条 |
互联网信息服务提供者提供的信息内容及其发布时间、互联网地址或者域名;上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息 |
在国家有关机关依法查询时,予以提供 |
|
《数据安全法》第35、48条 |
因依法维护国家安全或者侦查犯罪需要调取的数据 |
须配合提供数据 |
其他国家或地区的法律中也有“本地访问”的要求,实例如下:
|
国家 |
法条 |
限制数据类型 |
限制方式 |
|
法国 |
《法国税务程序法典》[1]第L.102C条 |
发票数据 |
在保证即时、完整、在线访问的数据系统中保存 |
|
阿联酋 |
《迪拜金融服务管理局规则》[2]AML 14.4.3 |
与客户尽职调查中获得的文件和信息副本及相关记录等 |
可即时访问 |
|
南非 |
《税务管理法》[3]第31条 |
使该人能够遵守税法规定的事项;税法特别要求保存的事项;等 |
合理时间内向南非税务局官员开放 |
|
蒙古 |
《敏感个人数据处理条例》[4]第3.2.2条 |
敏感个人数据 |
仅可从蒙古进行访问 |
(二)“本地访问”的理解与实现
“本地访问”中“本地”的核心含义在于国家主管部门可以在境内发起访问请求,并在境内获得相应的访问响应。其中,“境内”指访问行为及响应结果发生在一国或地区法律和监管管辖范围之内,包括但不限于境内办公网络、境内业务系统或依法设立的境内访问节点。该要求关注的是访问能力和访问结果的属地性,只要访问请求能够在境内发起,且访问响应能够在境内获得,即可满足“本地访问”的基本要求。
部分国家的法律对访问的响应时间作出进一步要求,“本地访问”中的“本地”可能进一步体现为对访问稳定性和可预期性的要求。在此情形下,如果访问依赖境外网络环境或跨境链路,虽非当然被禁止,但因可能影响访问的响应时间而被判定为“不合规”。因此,“本地访问”在技术层面的落实,除关注访问是否能够实现外,还可能需要结合访问链路对响应时间的实际影响,评估其是否足以支撑法条所要求的访问效率和可用性。
(三)“本地访问”规定与数据出境限制
“本地访问”规定通常不构成对数据出境的限制。数据可以在境外进行存储、处理,只要这些安排不会导致境内访问无法实现,或无法在法规规定的合理时间内获得响应,即可符合要求。数据出境安排是否合规,需要结合具体技术架构和访问效果进行评估,而非仅看数据是否跨境。
需要注意的是,少数实例中法律规定(如蒙古的《敏感个人数据处理条例》)对于本地访问的规定为“仅可从境内进行访问”,使用这类表述的规定一般还会附随其他更严格的本地化规定,需要综合判断出境限制。
二、“本地备份”要求
(一)中外法律实例
大部分“本地备份”规定集中在会计和金融领域,这与这些数据本身的特性密切相关。会计数据通常涉及企业的账务记录、凭证和财务报表,具有高度结构化、连续性要求强、更新频繁且必须保持完整性和可追溯性;金融数据则包括交易记录、支付信息和客户资金账户信息,不仅数据量大,而且一旦丢失或篡改可能直接造成财务损失、系统风险或法律责任。因此,为实现在生产数据不可用时,备份数据可以独立支撑账务核算、交易结算及财务监督的目的,“本地备份”规定应运而生。
中国法律关于“本地备份”要求的实例如下:
|
法条 |
限制数据类型 |
限制方式 |
|
《会计软件基本功能和服务规范》第36条 |
电子会计资料 |
数据服务器部署在境外的,应当支持将服务器中的电子会计资料备份到境内 |
其他国家或地区的法律规定实例如下:
|
国家 |
法条 |
限制数据类型 |
限制方式 |
|
土耳其 |
《关于支付和电子货币机构信息系统以及支付服务提供商在支付服务领域数据共享服务的公报》[5]第21条(2) |
客户之间支付交易的数据 |
在境内保存备份 |
|
《支付与证券结算系统、支付服务与电子货币机构法》[6]第23条第1款 |
系统运营方业务过程中产生的数据 |
在境内保存备份 |
(二)“本地备份”与“本地存储”的区别
从技术上看,“存储“本身具有广义与狭义两种用法:在广义语境下,只要数据被写入并保存在某种介质中,且以可读取形式存在,即可构成存储,在这一层面,备份自然属于存储的范畴。在狭义语境下,“存储”往往被用来指系统中生产数据的存放,而“备份”则是在已有生产数据的基础上进行额外复制,以防止数据丢失或在原数据不可用时用于恢复。由此可见,“备份”属于广义的“存储”,但不同于狭义的“存储”。
“备份”与狭义“存储”的区别还可以从业务角度来理解。存储系统通常直接服务于业务系统,承载日常的数据读写和查询需求,强调持续可用性和稳定访问;而备份机制并不直接参与业务运行,必须依托具体的存储介质或存储平台存在,其核心作用是在系统发生故障、数据损坏或不可访问时提供恢复能力。因此,“备份”体现为对既有“存储”的补充,而非与“存储”并列运行的部分。
中国的《会计软件基本功能和服务规范》第36条规定,如果数据服务器部署在境外,条文要求会计软件必须能够将其备份到境内,并且“仅依靠境内备份的电子会计资料独立满足单位开展会计工作及财会监督需要”,“数据服务器部署在境外”意味着生产数据存储在境外,要求数据“备份到境内”意味着本地备份要求,这里明确区分“存储”与“备份”,可以佐证我们的上述分析。
(三)“本地备份”规定与数据出境限制
“本地备份”规定对数据出境限制通常较小,因为其只要求备份数据在境内可访问、可恢复,而非禁止在境外存储或处理数据。从技术上讲,备份数据可以存在多份,包括境内和境外副本,且可以通过增量或全量同步方式进行管理,只要境内备份能够独立访问和恢复即可满足法规要求。因此,在境内建立备份并不排斥境外存在备份,这既符合技术实践,也符合立法意图——本地备份制度的主要目的是保障数据的稳定性和可恢复性,而非维护数据主权或限制跨境流动。
三、“本地存储”要求
(一)中外法律实例
中国法律关于数据本地化的规定多表述为“本地存储”,相关实例如下:
|
法条 |
限制数据类型 |
限制方式 |
|
《个人信息保护法》第40条 |
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者在境内收集和产生的个人信息 |
存储在境内 |
|
《网络安全法》第39条 |
关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据 |
存储在境内 |
|
《汽车数据安全管理若干规定(试行)》第11条 |
重要数据 |
存储在境内 |
|
《大型网络平台个人信息保护规定(征求意见稿)》第9条 |
大型网络平台服务提供者在境内运营中收集和产生的个人信息 |
存储在境内 |
|
《国务院办公厅关于促进“互联网+医疗健康”发展的意见》(十四) |
患者信息等敏感数据应当存储在境内 |
存储在境内 |
|
《金融基础设施监督管理办法》第15条(四) |
在境内运营过程中收集和产生的个人信息和重要数据 |
存储在境内 |
|
《公路水路关键信息基础设施安全保护管理办法》第15条 |
运营者在境内运营中收集和产生的个人信息和重要数据 |
存储在境内 |
|
《寄递服务用户个人信息安全管理规定》第12条 |
在境内收集和产生的个人信息 |
存储在境内 |
|
《国家健康医疗大数据标准、安全和服务管理办法(试行)》第30条 |
健康医疗大数据 |
存储在境内安全可信的服务器上 |
其他国家关于“本地存储”的法律规定实例如下:
|
国家 |
法条 |
限制数据类型 |
限制方式 |
|
越南 |
《数据法》[7]第14条 |
国家数据库的数据 |
存储于国家数据中心 |
|
哈萨克斯坦 |
《个人数据及其保护法》[8]第12条第2款 |
个人数据 |
存储在境内的数据库中 |
|
土库曼斯坦 |
《关于个人信息及其保护法》[9]第12条第2款 |
个人数据 |
存储在境内的数据库中 |
|
南非 |
《国家数据和云政策》[10]第15.4.2条 |
涉及国家安全与主权的政府数据 |
存储在位于境内的数字基础设施中 |
|
沙特阿拉伯 |
《保险市场行为监督条例》[11]第17条(b) |
客户个人数据 |
存储在境内 |
某些国家已经出现针对违反“本地存储”要求的处罚案例,俄罗斯较为显著:
|
监管部门 |
被罚主体 |
案情 |
处罚后果 |
|
莫斯地方法院、俄罗斯联邦通信、信息技术和大众传媒监管局
|
|
俄罗斯联邦通信、信息技术和大众传媒监管局对1500余家公司检查时发现,LinkedIn未将俄罗斯用户个人数据存储在俄罗斯境内 |
莫斯科地方法院裁定LinkedIn违反本地化义务;裁决生效后,LinkedIn域名被加入屏蔽名单,要求运营商封禁访问,并要求应用商店下架LinkedIn应用,导致其服务基本无法在俄罗斯境内使用 |
|
Twitter、Facebook |
2019年4月,因未将俄用户个人数据本地化存储,莫斯科地方法院对Twitter和Facebook各罚3000卢布; 2020年2月,两家公司仍未按要求本地化其数据库,法院再次对每家公司处以400万卢布罚款 |
2019年4月各罚款3000卢布,2020年2月各罚款400万卢布 |
|
|
|
2015年《个人数据法》生效后俄罗斯联邦通信、信息技术和大众传媒监管局多次要求Google在俄境内部署本地数据库; Google继续使用位于美国和欧盟国家的服务器存储俄用户个人数据,在前一轮被罚后仍未完成本地化整改 |
2021年7月罚款300万卢布,2022年6月追加罚款1500万卢布 |
(二)“本地存储”的理解与实现
“本地存储”规定的主要目的在于确保本国对数据的实际控制权和监管能力。从这一角度看,无论数据是直接写入境内硬件设施(物理存储),还是通过境内逻辑节点在境内的数据中心管理(逻辑存储),都能够实现对数据的属地控制:物理存储保证数据的实体存在和直接掌控,监管机构和企业可以直接介入硬件设备和存储环境;逻辑存储则通过境内控制的数据节点和访问路径,实现对数据的管理、访问和监控,同样可以确保境内主体对数据的控制权。
“本地存储”主要有三种技术实现方式:一是在本国境内机房或数据中心存储,企业在境内部署服务器和存储设备,实现数据物理落地;二是在本国境内云服务节点或对象存储,数据逻辑上存储在境内数据中心,即便由云平台管理,也保证属地性;三是在本国境内的终端或边缘节点存储,在低延迟或局部业务场景下,企业可在境内终端或边缘节点存储部分数据,实现局部落地并可由境内网络访问。
(三)“本地存储”与“本地供应商存储”
在上述常规的“本地存储”的基础上,中外有些法律提出了进一步的要求,即不仅数据要存在本国境内,运营数据存放服务的供应商也必须是本国的。典型的如中国于去年年底发布的《大型网络平台个人信息保护规定(征求意见稿)》,该法第9条提出“本地存储”的要求,第10条进一步对存储的数据中心提出要求,包括
(1)设立在中华人民共和国境内;
(2)主要负责人具有中华人民共和国国籍,无境外永久居留权或者长期居留许可。
越南的《数据法》也要求国家数据库的数据存储于国家数据中心。
从“本地存储”到“本地供应商存储”,显然是受美国《云法》(Cloud Act)的影响。该法赋予美国监管机构要求美国公司(包括境外数据存储的服务提供商)交付其全球范围内控制的数据的权力,因此即便数据物理存储在美国境外,只要供应商为美国公司,数据就存在被美国监管机构访问的风险。
法国Doctolib案[12]就是因美国《云法》引发的争议。Doctolib是一家医疗科技公司,主营在线医疗预约服务平台,因此该公司在运营过程中收集了大量的患者健康数据,属于GDPR下的特殊类别个人数据,跨境传输有较为严格的条件。该公司将患者的健康数据存储在亚马逊云服务(AWS)位于欧盟的数据中心,虽然存储地点位于欧盟境内,但由于AWS为美国公司,受到《云法》等法律的管辖,存在被美国监管机构强制访问的可能性。根据欧盟GDPR,即使数据未发生物理上的跨境转移,但只要一个非欧盟实体及其所在国政府有权访问存储在欧盟境内的数据,这种访问本身就可能被视为一次数据传输,需要满足GDPR第五章关于数据跨境转移的要求。Doctolib最终被认定合规,因为其实施了充分的技术措施:它对所有数据进行了加密,并且将密钥的管理交由一家总部位于欧盟且完全独立于AWS的第三方机构。即便AWS收到美国监管机构的命令,它也只能提供无法解密的密文数据,从而在技术上阻断了美国监管机构获取明文数据的路径。
云服务供应商的国籍虽然不影响常规“本地存储”义务的履行,但是如果外国供应商所属国家有类似于美国《云法》的长臂管辖规定,“本地存储”的安全屏障就有可能被击穿,至少也会引发两国之间的管辖争议,因此会出现“本地供应商存储”的要求。随着地缘政治竞争在数字世界里加剧,“本地供应商存储”的要求可能会蔓延。
(四)“本地存储”规定与数据出境限制
“本地存储”规定本身不是对数据出境的限制,但与数据出境限制密切关联。有些法律在规定“本地存储”后,附加出境限制要求;有些法律则只有“本地存储”规定,没有数据出境限制。两者的核心区别在于是否允许跨境远程访问。
在“本地存储”规定后另附加出境限制要求的条文,通常表述为“……应在境内存储;确需向境外提供的,应当……”,如《网络安全法》第39条、《国家网络身份认证公共服务管理办法》第12条、《自然资源领域数据安全管理办法》第20条、《工业和信息化领域数据安全管理办法(试行)》第21条等。还有一些法律只规定了“本地存储”,但同时适用的其他法律有限制数据出境的规定,如对个人信息或重要数据出境安全评估或备案一般性规定。“本地存储”虽仅限制数据存储地点,但叠加出境限制后,境外的任何介入(包括访问)都将构成数据出境,从而可能违反数据出境限制。二者叠加的效果等同于“本地处理”要求。
只要求“本地存储”而不叠加数据出境限制的实例有《会计师事务所一体化管理办法》第15条(仅限于根据《促进和规范数据跨境流动规定》第五条豁免安全评估或备案等出境手续的情形)。这种情况下,如从境外进行远程跨境数据处理,可能会在境外生成临时副本或缓存,这种情况下是否符合“本地存储”要求,需要谨慎评估,如果只是从境外远程访问,通常不会违反“本地存储”要求。
|
监管模式 |
是否可以传输至境外 |
境外是否可以访问 |
|
本地存储+出境限制 |
× |
× |
|
仅本地存储,无出境限制 |
谨慎评估 |
√ |
四、“本地处理”要求
(一)中外法律实例
中国法律关于“本地处理”的规定见于医疗、金融等领域,如:
|
法条 |
限制数据类型 |
限制方式 |
|
《医疗卫生机构网络安全管理办法》第22条 |
各医疗卫生机构收集的数据 |
数据全生命周期活动应在境内开展 |
|
《个人金融信息保护技术规范(JR/T 0171-2020)》7.1.3 d) |
在境内提供金融产品或服务过程中收集和产生的个人金融信息 |
应在境内存储、处理和分析 |
其他国家的法律实例如下:
|
国家 |
法条 |
限制数据类型 |
限制方式 |
|
俄罗斯 |
《个人数据法》[13]第18条第5款 |
个人数据 |
在境内的数据库中进行记录、系统化、存储、更新和提取,不得使用境外数据库 |
|
乌兹别克斯坦 |
《个人数据法》[14]第27条第1款 |
个人数据 |
确保此类数据按照既定方式收集、系统化并存储在位于乌兹别克斯坦共和国境内的技术手段中,以及在国家个人数据数据库登记册中注册的个人数据数据库中 |
|
阿联酋 |
《卫生领域使用ICT的联邦法》[15]第13条 |
健康数据 |
不得在境外存储、处理、生成或转移 |
|
西班牙 |
《公共部门法律制度法》[16]第46 bis条 |
用于收集、存储、处理和管理选举普查、市政居民登记册和其他人口登记册、与自有或转让税相关的税务数据以及国家卫生系统用户数据的信息和通信系统 |
在欧盟境内进行数据处理 |
(二)“本地处理”的理解与实现
依中外法律对“处理”的定义,“处理”并非数据生命周期中的单一环节,而是一个覆盖数据全生命周期的统称。我国《数据安全法》第3条第2款、《个人信息保护法》第4条第2款及《网络数据安全管理条例》第62条第(二)项,均将“处理”界定为包括收集、存储、使用、加工、传输、提供、公开、删除等在内的一系列行为。外国立法多与我国相似,欧盟GDPR第4条第(2)项、俄罗斯《个人数据法》第3条第(3)项及乌兹别克斯坦《个人数据法》第4条,均明确“处理”涵盖对数据实施的任何操作或一系列操作。因此,“本地处理”是对数据处理全部环节本地化的要求。
“本地处理”通常体现为以下几个层面:其一,数据的读取与调用起点应位于境内,即数据应从境内数据库或存储节点进入处理流程;其二,数据的记录、系统化、分析、计算、更新等核心处理活动,应由部署在境内的服务器、计算节点或运行环境完成;其三,支撑数据处理的数据库和业务系统应运行于境内技术架构之中,而非依赖境外系统;其四,处理结果的生成与回写应在境内完成并固化于境内存储;其五,对数据处理具有实质性影响的调度、流程控制和权限管理等关键控制节点,应由境内系统主导。
(三)“本地存储”与数据出境限制
在上述“处理”的定义下、“传输”本身即属于“处理”,从而使得“本地处理”对境外呈现出高度封闭的效果。由于任何境外介入均不可避免地以数据传输为前提——无论是供境外主体访问、由境外系统参与计算,还是在境外节点进行调用、调度或分析——一旦发生,即意味着处理活动已部分发生于境外,从而不再满足“本地处理”的要求。因此,无需叠加出境限制,“本地处理”本身就已排除数据在处理过程中被传输至境外并由境外介入的可能性,其规范效果等同于对处理活动设置全面的属地封闭边界。
(四)“本地处理”与“本地部署”
除上述列举出的四类数据本地化规定之外,还有一类常见的立法例是对于系统部署地点本地化的规定,本文称之为“本地部署”规定。中国该类规定包括《中国人民银行关于进一步加强银行卡风险管理的通知》四(一)、《非银行支付机构监督管理条例》第18条、《中国人民银行公告(2015)第43号――非银行支付机构网络支付业务管理办法》第26条对于业务系统及备份系统部署在境内的要求;其他国家该类规定包括沙特阿拉伯《所得税法实施条例》[17]第56条第2款a项对于用于记账的计算机系统设置在境内的要求。
业务系统部署在境内,意味着数据的处理节点、数据库及计算环境均位于境内,从而使数据在生成、记录、系统化、分析和更新等核心处理环节依托境内系统完成,实现了处理活动的本地化,其实际效果与“本地处理”高度相似。然而,业务系统本地部署本身仅解决“数据处理基础设施位于何处”的问题,并不当然排除境外主体通过远程方式介入数据处理或访问数据。因此,业务系统本地部署是实现“本地处理”的必要条件,但并不等同于“本地处理”;若要真正与“本地处理”效果一致,仍需附加数据出境限制或境外访问限制。
五、结语
数据本地化规定不是非黑即白的“全有或全无”,而是呈现从弱到强、从宽到严的阶梯状。面对不同层级的数据本地化要求,中国出海企业应进行精细把握,因地制宜,分类部署:针对仅需“本地访问”或“备份”的情形,维持低成本的全球统一架构;而针对明确要求“本地存储”或“本地处理”的情形,则需通过独立节点和系统部署,确保数据全生命周期在境内闭环。这种差异化的应对策略,既可避免在监管宽松地区因过度合规造成不必要的投入,也可防止在高压监管地区面临的业务中断风险。
注释
[1]https://www.legifrance.gouv.fr/codes/texte_lc/LEGITEXT000006069583/?utm_source=chatgpt.com
[2]https://dfsaen.thomsonreuters.com/entiresection/1842?utm_source=chatgpt.com
[3]https://www.gov.za/sites/default/files/gcis_document/201409/a282011.pdf
[4]https://legalinfo.mn/mn/detail?lawId=16760452348261&utm_source=chatgpt.com
[5]https://tcmb.gov.tr/wps/wcm/connect/80b75c08-7e61-4c79-ab5f-6791f2f2973d/%C3%96deme%2Bve%2BElektronik%2BPara%2BKurulu%C5%9Flar%C4%B1n%C4%B1n%2BBilgi%2BSistemleri%2B%C4%B0le%2B%C3%96deme%2BHizmeti%2BSa%C4%9Flay%C4%B1c%C4%B1lar%C4%B1n%C4%B1n%2B%C3%96deme%2BHizmetleri%2BAlan%C4%B1ndaki%2BVeri%2BPayla%C5%9F%C4%B1m%2BServislerine%2B%C4%B0li%C5%9Fkin%2BTebli%C4%9F.pdf?MOD=AJPERES
[6]https://www.lexpera.com.tr/mevzuat/kanunlar/odeme-ve-menkul-kiymet-mutabakat-sistemleri-odeme-hizmetleri-ve-elektronik-para-kuruluslari-hakkinda
[7]https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Du-lieu-2024-so-60-2024-QH15-621343.aspx
[8]https://adilet.zan.kz/rus/docs/Z1300000094?utm_source=chatgpt.com
[9]https://minjust.gov.tm/hukuk/merkezi/hukuk/694
[10]https://www.gov.za/sites/default/files/gcis_document/202406/50741gen2533.pdf
[11]https://www.sama.gov.sa/en-US/Laws/InsuranceRulesAndRegulations/IIR_4600_C_InsuraMarketCode_Ar_1429_09_16_V2.pdf
[12]https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2021-03-12/450163?utm_source=chatgpt.com
[13]https://base.garant.ru/12148567/
[14]https://lex.uz/docs/-4396419
[15]https://tahseen.ae/media/2702/uae-ict-health-law-english.pdf
[16]https://www.boe.es/buscar/act.php?id=BOE-A-2015-10566
[17]https://zatca.gov.sa/ar/HelpCenter/guidelines/Documents/%D8%A7%D9%84%D9%84%D8%A7%D8%A6%D8%AD%D8%A9%20%D8%A7%D9%84%D8%AA%D9%86%D9%81%D9%8A%D8%B0%D9%8A%D8%A9%20%D9%84%D9%86%D8%B8%D8%A7%D9%85%20%D8%B6%D8%B1%D9%8A%D8%A8%D8%A9%20%D8%A7%D9%84%D8%AF%D8%AE%D9%84.pdf
(原标题:企业出海与合规|出海部署第一问:全球数据本地化制度的分类拆解)
来源:北京竞天成律师事务所
作者:
- 袁立志,竞天成律师事务所合伙人;联系方式:邮箱:yuan.lizhi@jingtian.com、电话:(86-10) 5809 1211(86-21) 2613 6222
- 王嘉妮,竞天成律师事务所律师助理;联系方式:邮箱:wang.jianil@jingtian.com、电话:(86-21) 2613 6316
声明:竞天公诚律师事务所严格遵守对客户的信息保密义务,本篇所涉客户及项目内容均取自公开信息或征得客户同意。本篇观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的法律意见。如您有任何法律问题或需要法律意见,请与本所联系。