Earth from space.

数据存储本地化监管:在全球范围内不可能实现?

By Noriswadi Ismail

December 19, 2019

过去几周,Ankura 数据隐私常务董事 Noriswadi Ismail一直在中国、印度和印度尼西亚与客户、行业机构以及同类的数据隐私和网络安全专家会面。 在研究了不断发展的数据存储本地化监管规则对跨国机构的影响之后,他分享了对数据存储本地化当前的发展、主要挑战和机遇的看法。

简介—数据存储本地化监管走向全球

这听起来可能有点矛盾, 但随着各国监管机构认识到某些类型的数据需要在本地境内存储,并需要更严格控制跨境数据传输,数据存储本地化正日益成为一项全球性挑战。

对于业务遍布多个国家的跨国公司而言, 其通常依赖数据出售产品和服务, 数据存储的本地化走向全球就变成一个重大挑战。 他们如何才能最好地遵守各种不同而复杂的国家法规, 同时高效管理其全球运营并充分利用新兴的数据驱动技科?

不过,在回答这个问题之前, 让我们先详细了解三个主要国家的数据存储本地化法规:

中国——在有限的范围内增长

中国的《网络安全法》 (CSL) 成为该地区首个针对网络安全和个人信息隐私保护的国家级法规。 企业需要在中国境内存储数据, 限制数据在该地区以外的传输, 并授权中国当局对公司的网络运营状况进行抽查。

虽然该法律做出了更加明确的规定, 但在如何执行以及需要采取哪些步骤来实现合规性方面仍有一些不确定因素。然而, 显而易见的是, 许多在中国运营时向海外总部传输数据的机构需要重组其机制。 这也突显数据存储本地化对数据转移出境以及在境内进行处理的看待一样重视。 由于中国的巨大增长市场, 跨国公司有动力去迅速并有效地解决合规性问题。

印度——加快速度

印度的《数据保护法案》已经受到了广泛关注,因此现在看重的是其数据保护的步伐明显加快, 该法案目前定于本届议会会议上提交。 美国的科技企业正密切关注这一发展,担心新的存储本地化要求可能会在其大致与《通用数据保护条例》保持一致的监管框架内制造障碍。 然而, 该法案的出台应能在保护个人信息和数字经济增长方面提供更多的保障。

印度知名律师事务所 TechLegis 的合伙人兼 TMT & IP 业务负责人 Salman Waris 从法律视角提出了对这种情况的观点,“ 鉴于在正在进行的冬季会期上已经向议会提交了《个人数据保护法案》, 印度将在来年制定该项法律。 尽管最初的文件草案大量借鉴了《通用数据保护条例》的做法,但它进一步要求公司确保数据存储本地化, 而印度储备银行的指令也使这一点更加复杂, 对金融科技公司而言也是如此。 最近印度政府已表示, 有可能制定另一项数据立法,处理由非个人信息组成的‘社区数据’, 如果这些非个人信息数据已匿名, 则该数据可以被商业化”。

印度尼西亚——保持技术领先

印度尼西亚是东南亚最大的IT消费国, 也是全球第四大移动市场, 因此, 印尼加快修改数据隐私监管规定也就不足为奇了。 随着 2019 年 10 月《电子系统和交易实施》条例撤销并取代了此前关于同一议题的政府法规, 最初旨在对现有法规进行修订, 当中内容顿时备受瞩目, 成为社会热议。

印度尼西亚雅加达 Atma Jaya 大学数据保护法专家兼法学院客座教授 Abu Bakar Munir 指出, 数字经济和国际贸易都需要数据流通, 因此“数据存储本地化要求可以被视为一种数字经济中的非关税贸易壁垒。 经合组织认为, 限制性的数据存储本地化要求‘影响企业’采用最高效科技的能力, 影响投资和雇佣决策, 增加创新成本, 并导致错失商业机会。 印度尼西亚宽松的数据存储本地化规则是为了吸引外国投资。 包含被遗忘权也是重要的。 新法规将如何与即将颁布的个人信息保护法相互影响和行业将如何应对, 将是值得注意的发展。”

采取行动——参与规则

与数据存储本地化相关的每条法规无需多作介绍, 也很容易看得出跨国公司在全球范围内存在一个更大的问题- 它如何管理自身企业以应对多种技术、 法律和商业挑战?要成功应对这一挑战, 这意味着已超越个案解决方案,反而转为深入探索: 回顾业务和运营模式, 看看如何对它们进行量体定制, 从而更加适应具有存储本地化要求的司法管辖区。 好消息是, 大多数跨国机构都有能力、资格和资源来做到这一点。 对于那些没有这么大预算的企业来说,强而有力和良好的风险管控将大有帮助。

走出本地——服务供应商路线

从广义上讲, 数据存储本地化规则意味着, 为了跨境传输个人信息, 企业必须寻求相关监管或政府部门的授权。对于许多跨国企业而言, 这是一个附加的且相对陌生的复杂状况, 因为在《通用数据保护条例》中, 通常无需遵守相关数据传输机制即可寻求此类许可。

如果我们随后将此要求放在诸如云基础架构之类的技术环境中, 那么对于一个跨国机构来说, 每次例如从中国向美国、从印度向欧盟或从印度尼西亚向世界其他地方传输数据时, 都要不断寻求批准认可, 这显然是一项挑战。

为化繁为简, 跨国机构正在使用本地的服务供应商以及必要的基础设施和技术安全措施来满足数据存储本地化要求。 虽然让这些本地服务供应商在地管理所有数据存储本地化的合规性活动有明显的好处, 但是与任何外包业务一样, 跨国机构监控风险水平也同样重要。

事实上, 风险是在数据存储本地化的许多方面的关键因素。建立针对每个司法管辖区的详细风险评估对于确保其符合您企业的风险承受能力至关重要。

从建立到扩展, 数据风险仍然是关键

将数据安全风险评估和风险管理纳入商业运营的每个阶段至关重要, 如下所述:

当全球性私募基金公司或企业在中国、印度和印度尼西亚投资时, 他们将率先了解全面评估合规性问题所带来的影响。 这不仅仅是指理解该法规及其实施方式, 还扩展到第三方和供应商领域, 特别是代表他们管理数据相关风险的本地实体。 无论是在中国、印度还是印度尼西亚, 选择服务供应商时的尽职调查都至关重要。 然而, 一些提供商或会将这一过程视为框符上打勾的任务; 更好的办法是将数据社会化, 并通过不同的场景来进行压力测试。

因此, 在与您选择的服务供应商进行了尽职调查之后,解决了合规问题并收到了司法管辖区内律师的建议, 下一步就是具体行动。 正如在商业生活的许多领域一样, 有些问题只有在计划从绘图板到市场实施时才会变得明显。关键就是要意识到, 到目前为止, 您的建议将从法律角度出发, 并且您的准备工作可能专注于技术上的挑战。 在下一个阶段中, 您需要灵活地适应实时挑战, 同时要有控制环境的强大规则, 让您安全地步入正轨。

现在, 在遵循正确的建议并利用中国、印度和印度尼西亚的巨大商机之后, 概念上公司希望进一步扩展到该地区。这种扩张产生了一个新问题—可能向没有既定数据保护框架的国家传输数据。 鉴于已经描述过的复杂情况, 与一个没有数据保护框架的国家进行交易可能看起来是积极的,但事实上, 这可能会产生未知和无法量化的风险。 这就是为什么我们看到一些大型全球机构为了管理风险, 实际上正在强制实施企业自有的数据保护框架。 在我们之前的文章《 GDPR: 构建全球数据隐私框架》中, 已更详细地介绍了企业采取全球性方法处理数据隐私的趋势。

商业生命周期中与数据相关的另一个挑战是参与合并和收购活动。 这里有多种情况, 但总的来说是,根据收购或被收购公司的运营所在地和总部所在地, 围绕数据存储本地化可能会出现严重的风险。 因此, 让全球隐私官、首席信息官、首席风险官或首席数据官(最好是交易双方)在早期阶段参与尽职调查非常重要。

与此相反的是, 如果公司表现不佳,因此需要重组以巩固业务。 这导致一些本地业务被关闭, 这些业务需要将数据从中国、印度或印度尼西亚传输到实体的总部或其他办事处。显然, 风险会根据机构在全球总部的所在地而有所不同,但是, 在撤离资金之前和之后重新评估风险非常重要。

史无前例——最佳实践使您走在前段

如前所述, 总体而言, 数据隐私法规(尤其是数据存储本地化规则)相对较新, 并且仍在不断发展。 这意味着, 在某些情况下, 我们仍在等待监管机构的技术指导, 而企业及其法律顾问在执行方面几乎没有先例可循。

在这种情况下, 最好的方法是采取基于风险的方法,并由一个整体团队不断审查数据传输机制, 并将其与更广泛的业务需求联系起来。数据将分为两类。 第一个涉及公司运营, 如营销数据、人力资源数据和财务数据。 此处的最佳实践是对本地数据进行匿名处理, 然后使用高度安全、高效的方法(例如, 通过端对端加密)进行输入。 第二个是 B2C 活动,通常涉及个人客户数据。 此处的最佳实践是进行高度结构化的, 类似于《通用数据保护条例》的数据清单计划。 这符合欧盟《通用数据保护条例》第30条, 该条要求“每个控制人(如适用), 控制人的代表, 应保持其职责范围内的处理工作记录”。

尽管目前尚不清楚中国、印度尼西亚和印度是否应适用第30条, 但该条款可能仍值得实施, 因为拥有强大的数据库存清单可以推动在合规性和数据传输计划范围内的改进。谈到通用标准, 人们对 ISO 27701 认证的兴趣与日俱增,该认证为隐私和网络安全控制框架提供了越来越受到认可和尊重的外部验证。 这是一个我们期望在未来更详细地讨论的话题。

展望未来: 立足本地, 放眼全球

企业愿意主动设定较高的通用标准, 而不是仅仅关注本地合规性需求, 这显然是积极的。 面临的挑战将是关注由此带来的整体利益, 尤其是在赢得客户信任方面, 同时密切关注特定国家/地区数据存储本地化的细节。

监管机构面临的挑战不仅仅是澄清与新数据存储本地化要求相关的技术指导。 它延伸到与跨地区和全球的其他监管机构合作, 以简化和标准化该要求。 这可以帮助监管机构更好地保护自己的国家利益, 并进一步铺平国际投资和增长的道路。 这是一种本地化和全球化携手并进的方法。


为了帮助我们的客户解决这些问题, Ankura 协助第三方供应商进行尽职调查、风险评估, 这些评估考虑多个监管框架和适用的数据清单要求。 如果您想讨论本文涉及的任何主题, 或者了解 Ankura 如何帮助您管理机构内的数据隐私和安全性, 请联系我们的团队。