数据本地化系列（一）大国博弈下的数据本地化

Original 区德嫦 LEGAL EYE 看法见法 2024-01-09

关键词：区块链；人工智能；大数据；智能合约；涉外法律服务；专业律师

本期关键词：数据；存储；本地化；跨境；安全；个人信息

本文约5177字，大概需要阅读8分钟。

《第三次浪潮》的作者阿尔文·托夫勒所断言：“谁掌握了信息，控制了网络，谁就将拥有整个世界。”在全球数字经济高速发展的背景下，跨境数据流动的体量急速增长，数据安全越来越受关注和重视。2013年，斯诺登揭发美国的“棱镜门”事件，让大众意识并关注到，用户数据可能并不总是储存在用户自身所在的国家，而当一些软件将用户数据传输和储存在其他国家的时候，他国政府就可能接触到这些数据，个人隐私就可能被侵犯。很多国家纷纷针对跨境数据流动制订了相关法律法规，限制相关数据向境外传输，有些国家甚至在立法中明确了数据本地化储存的要求。

数据本地化储存的概念

2020年12月22日，经济合作与发展组织（Organization for Economic Co-operation and Development，以下简称OECD）发布了《数据本地化趋势和挑战——审查隐私准则的考量》，报告中提及“数据本地化”是指强制性的法律或行政法规直接或间接规定，排他性的或非排他性的数据存储或处理，需在一个特定的管辖权覆盖范围内。全球互联网治理委员会（Global Commission on Internet Governance）在其 2015 年的报告《数据本地化规则对金融服务的影响》（Addressing the Impact of Data Location Regulation in Financial Services）中，将数据本地化概括为四种类型：一是数据出境的地域限制，即要求数据必须于某一国家或区域境内存储和处理；二是数据位置的地域限制，即允许数据副本出境处理，但在本国或本区域内必须存有副本；三是基于许可制的数据出境限制，即要求数据出境需经有权机关许可；四是基于标准体系的数据出境限制，即要求数据出境必须采取标准化的步骤以确保数据安全和隐私保护。

一般来说，跨境数据流动主要涉及的是个人数据，但目前数据类型已经扩展至商业数据、关键信息基础数据、政府数据等。而各国对于数据本地化储存针对的数据类型也有所不同，例如越南规定了个人通信数据、业务使用者关系数据和业务使用者在越南产生的数据需要在政府规定的时间内在越南储存这些数据，澳大利亚则要求对健康记录相关数据进行本地化储存，而俄罗斯就规定俄罗斯公民的个人信息需要储存在该国境内的服务器中。

各国对于数据储存本地化的立法倾向

各国对于数据储存本地化的立法倾向不一，主要基于国家主权、数据安全、个人信息保护、对当地经济发展等多种因素考虑。而根据OECD的研究报告，倾向于数据本地化的常见动机可能包括保障网络安全，限制国外网络间谍活动，协助国家安全和执法机构获取数据，尽量减少和调查网络犯罪，保护个人数据，加强网络复原力，提供地缘政治优势，确保政府获取某些类别的数据，提供经济竞争优势等。

各国对于数据本地化的立法主要分为三类。

第一类

明确支持数据跨境流动，反对数据本地化

最典型的代表是美国。美国通过国际治理机构以及双边和多边贸易协定制定政策，表明其对数据本地化的立场。2019年3月25日的WTO数字贸易规则谈判上，美国提交了《电子商务倡议联合声明》(Joint Statement On Electronic Commerce Initiative)草案，明确提出“数据跨境流动不应设限”。2020年7月生效并取代北美自由贸易协定的美墨加协定（The United States-Mexico-Canada Agreement）则明确了禁止数据本地化，并确定了成员国之间的数据自由流动。

第二类

旨在保障数据自由流动的基础上，通过相关法律明确个人隐私和数据安全的原则和标准

比如欧盟的《通用数据保护条例》，在第五章“向第三国或国际组织传输个人数据”的第44条就规定了传输的一般原则：“对于正在处理中的个人数据或拟在传输到第三国或国际组织后进行处理的个人数据，在不违反本条例其他规定的前提下，控制者和处理者满足本章规定后方可传输，包括个人数据从第三国或国际组织再传输到其他第三国或国际组织。本章所有规定应当适用，以确保本条例所保障的对自然人的保护程度不受减损。”也就是说如果第三国可以提供与欧盟相等数据保护水平的，那么无须任何特别授权，即可向该第三国传输个人数据。

第三类

通过法律条文明确了数据本地化储存的相关规定

例如俄罗斯从2015年起就实施了严格的数据跨境流动管控。2015年9月1日生效的《第242-FZ号联邦法》确定了数据本地化,要求所有国内外公司在俄罗斯境内的服务器上存储和处理俄罗斯公民的个人信息。而现行的《俄罗斯联邦个人信息保护法》对“个人数据的跨境传输”做了更为细致的限制约束。

中国对于数据储存本地化的规定

中国积极参加国际交流对话，推动数据跨境流动，但同时也不断制定和完善相关法律法规，明确提出了数据储存本地化的要求，在兼顾数据流动、保障数据安全的基础上促进数据流动。2021年11月1日，《个人信息保护法》正式施行，与《网络安全法》、《数据安全法》一起成为中国网络空间治理和数据保护的三部重要法律。

《网络安全法》

自2017年6月1日起施行的《网络安全法》侧重于网络空间安全整体的治理。《网络安全法》第三十七条明确规定了关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。如需向境外提供的，需要进行安全评估。第七十七条规定存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守本法外，还应当遵守保密法律、行政法规的规定。

《数据安全法》

《数据安全法》在2021年9月1日起正式施行，主要关注数据处理活动的安全和开发利用。《数据安全法》第三十一条对于关键信息基础设施的重要数据出境管理参照《网络安全法》，其他重要数据的出境管理办法由国家网信部门会同国务院有关部门制定。第三十六条规定对于外国司法或者执法机关提出数据的请求需要根据中国参加的国际条约、协定处理，非经中国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。第五十三、五十四条则规定了涉及国家秘密的数据活动适用《保守国际秘密法》、在统计、档案工作中开展数据处理活动，开展涉及个人信息数据处理活动，应当遵守有关法律法规，军事数据安全保护由中央军事委员会依据本法另行制定。

《个人信息保护法》

最新出台的《个人信息保护法》进一步明确了个人信息的使用与保护规则，尤其对于个人信息的数据出境进行了详细的规定。《个人信息保护法》第三十六条规定国家机关处理的个人信息应当在中华人民共和国境内存储，确需向境外提供的，应当进行安全评估。第三十八条规定了向境外提供个人信息需要通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，或者符合法律规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。对个人信息处理者也作出了要求，需要采取必要措施以保障境外接收方处理个人信息达到本法的标准。第四十条则明确了关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，需要将个人信息本地化储存，确需向境外提供的，应当通过安全评估。第四十一条则参照了《数据安全法》第三十六条规定，对于外国司法或者执法机关提出境内个人信息的请求需要根据中国参加的国际条约、协定处理，非经中国主管机关批准不得向外国司法或者执法机构提供存储于中国境内的个人信息。

其他法律法规

2011年5月1日，中国人民银行发布了《关于银行业金融机构做好个人金融信息保护工作的通知》，其中第六条规定了在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。

2013年3月15日，《征信业管理条例》正式施行，其中第二十四条规定了征信机构在中国境内采集的信息的整理、保存和加工，应当在中国境内进行。征信机构向境外组织或者个人提供信息，应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。

2014年5月5日，国家卫生和计划生育委员会关于印发《人口健康信息管理办法（试行）》的通知，第十条规定了不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。

2015年11月11日施行的《地图管理条例》第三十四条规定了互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内，并制定互联网地图数据安全管理制度和保障措施。

2018年7月12日，国家卫生健康委员会印发了《国家健康医疗大数据标准、安全和服务管理办法（试行）》的通知，其中第三十条规定了健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。

2021年10月1日施行的《汽车数据安全管理若干规定（试行）》第十一条规定重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理，适用法律、行政法规的有关规定。第十二条规定汽车数据处理者向境外提供重要数据，不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。第十四条规定了向境外提供重要数据的汽车数据处理者应当向网信部门和有关部门报送年度汽车数据安全管理情况的基础上补充报告接收者的基本情况、出境汽车数据的种类、规模、目的和必要性、汽车数据在境外的保存地点、期限、范围和方式、涉及向境外提供汽车数据的用户投诉和处理情况以及其他需要报告的其他情况。

国家互联网信息办公室在2021年11月14日发布了关于《网络数据安全管理条例（征求意见稿）》公开征求意见的通知，该征求意见稿虽未对数据存储作出特别的规定，但对于跨境数据传输、重要数据处理均作出了详细的规定，包括需要对数据安全进行安全评估，对向境外提供数据可能存在被泄露、毁损、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险应作重点评估。征求意见稿未明确数据境外存储是否属于向境外提供数据，但从立法目的考虑，数据存在跨境操作存在数据安全的风险，应遵守相关的规定。

数据本地化储存的必要性

在大数据时代，数据安全已经成为国家安全的其中一个重要部分了。2021年6月，某出行软件在美国纽约交所挂牌上市，但其后几天内，国家网信办网络安全审查办公室发布公告，对该软件实施网络安全审查，期间停止新用户注册。针对该软件赴美上市可能存在涉及国家安全的情况，国家网信办还发布通知称，国家网信办会同有关部门修订了《网络安全审查办法》，该《办法》明确了目的是确保关键信息基础设施供应链安全，维护国家安全。根据《办法》介绍，网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑的因素有：核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险等。

2021年11月18日中共中央政治局召开会议，会议中审议了《国家安全战略（2021-2025年）》，强调了国家安全，并明确了五大重点安全领域。会议提出，要增强产业韧性和抗冲击能力，筑牢防范系统性金融风险安全底线;加快提升生物安全、网络安全、数据安全、人工智能安全等领域的治理能力。

在大力发展数据经济的同时，为了确保国家安全和个人隐私，应当从立法层面为确立数据主权提供法律依据，数据本地化储存并非为了阻碍数据跨境流动，而是在完善数据保护的管理机制上推动数据经济的发展。相信未来，在各国普遍承认网络和数据安全的原则下，可以形成公平、合理、统一的跨境数据流动国际规则，进一步推动全球数字经济的发展。

下一期，我们继续讨论数据本地化在实践中的应用，各行各业在日常经营中，究竟哪些数据需要进行本地化储存呢？敬请期待。

参考文献

1. 2021年12月2日访问百度百科：https://baike.baidu.com/item/棱镜门/6006333?fr=aladdin

2. 李雅文. 信通院互联网法律研究中心. OECD发布《数据本地化趋势和挑战》报告. 2021年12月6日访问微信公众号：https://mp.weixin.qq.com/s?src=11×tamp=1638760190&ver=3479&signature=ubfWvKhyzzuvpQxMkZynMt0wod6WP23j51wjRTSUq*3tA-CFJWr*b0t7MwawByP*kLuOB8Cuh98JOrXc3sPqL32vSs8X4PUU5yGnEfS3pFjBN8Ls2zC3WvRETJD9-s8g&new=1

3. 裴炜. 全球互联背景下数据本地化发展趋势与展望. 载于《中国信息安全》2021年第5期

4. 洪昇. 浅谈越南数据本地化储存的立法必要性和启示意义. 载于《信息安全与通讯保密》2019年7期

5. 罗嘉俪. 揭开数据本地化的面纱: 数字贸易中的大国博弈. 载于《人工智能咨询周报》第119期

6. Lindsey R. Sheppard. 虎符智库. 分析：数据本地化的不同路径与国家安全考量. 2021年12月2日访问微信公众号：https://mp.weixin.qq.com/s?src=11×tamp=1638843218&ver=3481&signature=8rl11YzvljCA2aLIWPNsi8ZZERcxjEZIetRkiJpaTHm4kmGxbYUiAbxLfJlR39TfNBnGa5TFrCOByJ2umSQUIRzGlUjxm120ueZMhr3gHtu1KlGUwCpt65LMB3uIG9gV&new=1

7. 瑞柏律师事务所译. 欧盟《一般数据保护条例》GDPR（汉英对照）. 法律出版社2018年. 73页

8. 证券时报. 重磅！中央定调国家安全，明确提出五大方面，金融风险、海外利益、人工智能皆有提及，什么信号？2021年11月29日访问腾讯网：https://xw.qq.com/amphtml/20211119A01EUA00

陆续更新，敬请期待

版权归闪涛律师团队所有，未经许可不得转载。

如认为本文侵犯版权，请及时联系闪涛律师团队。

往期回顾

数据安全

数据安全 | 金融数据安全的标准来了！

数据安全 | 欧洲数据保护委员会EDPB：澄清域外适用与数据跨境传输条款间的相互作用

数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元

数据安全 | 脸书前员工出席欧洲议会听证会，欧盟数字监管步伐加速？

数据安全 | 浅析欧美跨境数据管辖权