第三部分：數據本地化存儲要求

　　數據本地化存儲，是指某一主權國家/地區，通過制定法律或規則來限制本國數據向境外流動，是對數據出境進行限制的做法之一。數據又被譽為當今的“石油”，在全球互聯網信息時代中顯得尤為重要。因此，有些主權國/地區會對個人信息進行不同維度的分類，并根據不同的類型的個人信息提出了本地存儲與跨境流動限制的要求。

　　（一）我國個保法解讀：

　　01明確了個人信息以境內存儲為原則

　　我國個保法明確規定了個人信息的存儲地點應當以“境內存儲”為原則，應當存儲在境內的具體情形包括：

　　01

　　國家機關處理的個人信息；

　　02

　　關鍵信息基礎設施運營者（“CIIO”）在境內收集和產生的個人信息；

　　03

　　即使不構成CIIO，如果個人信息處理者在境內收集和產生的個人信息的數量達到國家網信部門規定的數量的，也應當存儲在境內。

　　個保法特別強調了關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在境內收集和產生的個人信息存儲在境內，不得向境外傳輸。如果的確需要向境外提供個人信息的，應當通過國家網信部門組織的安全評估。

　　換言之，對于關鍵信息基礎設施等重要數據的儲存、利用、控制和管轄，我國提出了明確的本地化存儲的要求，其基本邏輯是，任何中國公司或者外國公司在我國境內采集和存儲與個人信息和關鍵領域相關數據時，必須使用我國境內的服務器。

　　這是我國作為主權國家行使“數據主權”的重要體現之一，也與我國《網絡安全法》基于保障網絡數據安全的考量，明確要求在境內存儲“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”的要求一脈相承。

　　02 企業合規扼要建議

　　從前面分析可知，我國個保法并非像某些主權國家（例如俄羅斯）一樣對本地化存儲進行了非常嚴格的要求，而是對特定的主體提出了本地化存儲的要求以及安全評估的義務。企業以及特別是涉及國際業務的企業，在處理個人信息的時候，需要關注是否受到本地化存儲的要求限制：

　　01

　　Step 1：判斷是否落入必須進行本地化存儲的主體范圍。

　　如果是，則需要進行數據本地化存儲，即企業應當將在中國境內收集和產生的個人信息存儲在境內。

　　02

　　Step 2：判斷是否有的確有需要向境外提供的必要。

　　即企業需要結合業務的實際情況與業務運作安排等維度，綜合考慮與確認該等數據出境的必要性。

　　03

　　Step 3：判斷是否已經通過國家網信部門組織的安全評估。

　　我國的數據本地化要求并沒有一刀切地完全禁止將個人信息傳輸至中國境外，對于確實需要向境外提供的，則需要在通過國家網信部門組織的安全評估后再進行傳輸。

　　根據網信辦2019年《個人信息出境安全評估辦法（征求意見稿）》的要求，企業在進行安全評估時候，并非完成了內部的自我評估就結束，而是應當向所在地的省級網信部門進行個人信息出境安全評估的申報動作。安全評估的重點包括：

　　（1）  評估個人信息跨境傳輸是否符合法律法規及政策規定；

　　（2）  傳輸方與接收方所簽署的合同是否能夠充分保障個人信息主體合法權益；

　　（3）  合同是否得到有效執行；

　　（4）  傳輸方與接收方是否發生過有損害個人信息主體合法權益的歷史、是否發生過重大網絡安全事件；

　　（5）  傳輸方獲得個人信息是否合法、正當。

　　（二） 海外主要個人信息保護法律對比：

　　從上述各國或地區要求本地化的數據類型來看，大致可以分為三種類型：

　　01

　　數據保護法律中沒有明確要求進行本地化存儲的，但可能在進行跨境傳輸時候提供了嚴格的限制。例如歐盟GDPR、新加坡地區等；

　　02

　　對數據類型進行劃分，針對不同的數據類型提出不同的本地化存儲要求。例如印度，劃分為關鍵個人數據、敏感個人數據和一般個人數據，關鍵的個人數據必須存儲在印度境內，但也提供了例外條件；對于敏感的個人數據，必須存儲在印度境內，但其副本可以按照跨境轉移的要求進行傳輸到印度境外。

　　03

　　對收集數據的主體進行了劃分，并針對不同的特定主體提出了不同的本地化存儲要求。例如印尼要求只有公共電子系統運營商才必須將其電子系統和數據放置在印尼本地。

　　總體來說

　　隨著各國監管機構認識到某些類型的數據需要在本地境內存儲，并需要更嚴格控制跨境數據傳輸，數據存儲本地化正日益成為一項全球性挑戰。對于涉及海外業務的企業，應特別需要關注出海目標國家的數據本地化存儲的要求，結合業務的整體發展規劃與業務運營成本，綜合考慮服務器部署的位置與方案，以更好地在符合目標國際的數據合規要求同時，也提高企業的內部運作效率。