跨国公司在境内的分、子实体使用境外服务器上的集团管理系统、境内实体选用境外服务商提供的经营管理程序而需将数据传输至服务商的境外服务器处理等场景,境内的合规义务方在判断数据合规需求、选择合规方案时常有困惑。面对“数据本地化”“境内存储”“本地存储”“数据出境”“跨境传输”等大量专业用词,业务端和法务端难以直接统一认识,法律法规的条文也可能因时间跨度大、行业视角不同等原因,无法对这类用词的实现精准对应。这就导致合规义务方解决具体问题时,可能需要花费大量时间逐一拆解、辨析,更有甚者将其做同一理解,比如直接选择法规更新时间在后的数据出境评估合规路线,忽略“境内存储”的要求。
为此,特撰本文,希望能辅助快速区分这些概念,帮助合规义务方了解、重视“境内存储”这一重要要求,加深对自身必要合规义务范围的理解。
一、 “境内存储”与 “数据本地化”和“数据出境”的关系
如前述跨国企业共用集团管理系统、境内实体选用境外服务商的服务等场景中,合规义务方往往提出“数据本地化”的合规方向,意在能涵盖更多合规要点,降低遗漏的可能。中国现行法律目前还未给“数据本地化”作具体定义,我们结合在数据合规领域的实务经验分析,合规义务方考虑“数据本地化”问题,一般主要着眼于不同法域间数据的流动,对两个主要的合规监管视角应予重视,其一是满足数据“境内存储”的要求,其二是满足“数据出境”的要求。
二者实际是两个相对独立的合规要求,差别较大,而容易混淆。简单理解,对数据来说,“境内存储”旨在保障“境内要有”,“数据出境”则是要综合一些要素,判断“能否出境”。
二、“境内存储”是什么?管什么?
数据“境内存储”,部分法律法规也有称“存储在境内”“在境内存储”“本地存储”,意思是“存储在境内的服务器上”,主要针对的数据类别是三大类:重要数据、个人信息和特定行业数据。根据《网络安全法》第三十七条、《个人信息保护法》第四十条等规定,在中国境内采集和存储个人信息和关键领域相关数据,以“境内存储”为原则,均应当存储在境内的服务器上。结合合规义务方所处的具体行业,还会有基于行业角度的具体法律法规规定和监管意见,对特定行业的数据也提出境内存储的要求,比如汽车、金融、医疗健康、邮政等行业。
有时,部分法规所称“本地存储”是要求个别单位将数据部署在本单位自控的服务器上,多是出于网络或系统安全、控制力、责任、保密等角度考虑,限制服务器、数据控制权的委托外管,而不是在针对出境问题,所以遇到“本地存储”,我们需要结合文件背景和上下文语境作具体判断。
《数据安全法》《关键信息基础设施安全保护条例》均没有直接提出“境内存储”的要求,《数据安全法》第三十一条、第三十六条规定解决的仍然是“出境”问题,特别是关键信息基础设施运营者(简称“CIIO”)的处境问题。CIIO这个合规常用关注事项,在考虑“境内存储”时也值得给予特别的关注。一是CIIO控制的数据多为重要数据,落入《网络安全法》限定的范围,二是即使认为数据不含重要数据、个人信息,仍有《公路水路关键信息基础设施安全保护管理办法》第十五条等部门规章、其他规范性文件的具体规定,以主体、行业、数据类别等要素作为限制考量,恰好与CIIO的行业认定存在重叠判定的可能。
三、强化与“数据出境”的区分
为与“境内存储”相区分,数据处理者将在境内运营中收集和产生的数据传输、存储至境外,或是虽未直接存储在境外,但供境外机构、组织或者个人访问或者调用的,都属于“数据出境”。
我们实务中提及“数据出境”,有时是“数据出境监管”的简化代称。根据拟出境数据包含重要数据、个人信息的情况,处理量达到特定规模的处理者将触发中国对数据出境的监管,届时需要结合数据类别、数据量规模等要素,选择通过“数据出境安全评估”、“个人信息出境标准合同备案”或“个人信息跨境传输认证”三个路径之一,实现合法的数据出境。三种路径均将会产生相应的分析论证、合规化改造的成本,且客观上无法完全保障能够以计划的数据范围、方式实现成功出境。
另外,笔者提示,中国境内的数据出境监管主要针对产生于或来源于中国境内,或可能影响中国国家利益及/或境内自然人利益的数据(含个人信息),所以监管的数据流动方向为自中国境内流向中国境外。同时,监管也关注保护个人信息权益,维护中国国家安全和社会公共利益,促进数据跨境安全、自由流动。如果实务中境内的分支机构接收境外关联实体提供的管理资料,实为“入境”,与监管所关注的数据流动方向不符,接收的信息并非收集和产生于中国境内的,单纯的入境不符合《个人信息保护法》第三章和《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》等数据出境的监管规则的适用条件。在这种情况下,后续可能需要考虑其他方面的合规问题,如接收内容是否符合中国法律、应用VPN等手段接收,其应用方式的合法性等等。
四、“境内存储”义务判定依据整理
如前分析,数据的“境内存储”主要针对重要数据、个人信息和特定行业数据三大类,判断合规义务时需要考虑义务方主体、所在行业、待存储数据的性质、数据类别、数据收集来源等多个维度,还有不同地区政府出台的地域化规定。为便于更直观地对比不同维度的监管思路和合规义务依据的结构,笔者将常见的“境内存储”义务判定依据进行整理,以供查阅和探讨。
[1] 应为医疗卫生机构、互联网医疗健康服务平台、智能医疗设备以及关键信息基础设施、数据应用服务的运营者。
[2] 金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
[3] “教育数据”是指陕西省各级教育行政部门及经法律法规授权具有职能的直属事业单位在履行职责过程中、各级各类学校在教育管理和教学应用中、各企事业单位在为教育行政部门及各级各类学校提供应用服务过程中产生、采集和使用的各类非涉密数据。
五、结语
概念区分不是为了让问题复杂化,而是为了让我们更准确地理解合规的具体义务及操作方式。能够选择正确的合规框架,能够准确地判断自身对合规要求的适用性,这是合规义务方“有效合规”的前提。同时,这也是未来数据资产化、数据流通和交易制度得以建立和保障的基础。无论“境内存储”还是出境监管,看似限制,实为支撑,让重要的数据能留下来,让必要的数据能走出去。
附:境内存储义务判定依据
1.《个人信息保护法》第三十六条
国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
2.《个人信息保护法》第四十条
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
3.《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
三、建立并实施关键信息基础设施安全保护制度
(四)加强重要数据和个人信息保护。运营者应建立并落实重要数据和个人信息安全保护制度,对关键信息基础设施中的重要网络和数据库进行容灾备份,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当遵守有关规定并进行安全评估。
4.《互联网个人信息安全保护指南》
6.2 保存
个人信息的保存行为应满足以下要求:
a) 在境内运营中收集和产生的个人信息应在境内存储,如需出境应遵循国家相关规定;
b) 收集到的个人信息应采取相应的安全加密存储等安全措施进行处理;
c) 应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限;
d) 应对保存的个人信息在超出设置的时限后予以删除;
e) 保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔,并使用不少于以下一种备份手段:
1) 具有本地数据备份功能;
2) 将备份介质进行场外存放;
3) 具有异地数据备份功能。
5.《人口健康信息管理办法(试行)》第十条
责任单位应当结合服务和管理工作需要,及时更新与维护人口健康信息,确保信息处于最新、连续、有效状态。
不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。
6.《工业和信息化领域数据安全管理办法(试行)》第二十一条
工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。
7.《汽车数据安全管理若干规定(试行)》第十一条
重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。
我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。
8.《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》
二、加强数据和网络安全管理
(一)强化数据安全管理能力。企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。需要向境外提供数据的,应当通过数据出境安全评估。
9.《关于鼓励和规范互联网租赁自行车发展的指导意见》
四、保障用户资金和网络信息安全
(十三)加强网络和信息安全保护。互联网租赁自行车运营企业应当遵守《中华人民共和国网络安全法》等法律法规要求,将服务器设在中国大陆境内,并落实网络安全等级保护、数据安全管理、个人信息保护等制度,建立网络和信息安全管理制度及技术保障手段,完善网络安全防范措施,依法合规采集、使用和保护个人信息,强化系统数据安全保护,防范违法信息传播扩散。运营企业采集信息不得侵害用户合法权益和社会公共利益,不得超越提供互联网租赁自行车服务所必需的范围;在境内运营中采集的信息和生成的相关数据应当在中国大陆境内存储。发生重大网络和信息安全事件,应及时向相关主管部门报告。主管部门不得将运营企业报送的数据超越管理所必需的范围。
10.《国务院办公厅关于促进“互联网+医疗健康”发展的意见》
(十四)保障数据信息安全。
2.加强医疗卫生机构、互联网医疗健康服务平台、智能医疗设备以及关键信息基础设施、数据应用服务的信息防护,定期开展信息安全隐患排查、监测和预警。患者信息等敏感数据应当存储在境内,确需向境外提供的,应当依照有关规定进行安全评估。(国家卫生健康委员会、国家网信办、工业和信息化部负责)
11.《公路水路关键信息基础设施安全保护管理办法》第十五条
运营者应当加强公路水路关键信息基础设施个人信息和数据安全保护,将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要,确需向境外提供数据的,应当按照国家相关规定进行安全评估;法律、行政法规另有规定的,依照其规定执行。
12.《寄递服务用户个人信息安全管理规定》第十二条
寄递企业因业务等需要,确需向中华人民共和国境外提供寄递服务用户个人信息的,应当按照相关法律法规的规定执行。
寄递企业应当将在中华人民共和国境内收集和产生的个人信息存储在境内。
13.《邮件快件实名收寄管理办法》第十六条
寄递企业应当依照法律、行政法规以及国家有关规定,建立健全信息安全保障制度,采取必要防护措施,防止信息泄露、毁损、丢失。
寄递企业及其从业人员应当对提供寄递服务过程中获取的用户身份信息严格保密,不得出售、泄露或者非法提供寄递服务过程中知悉的用户信息。
发生或者可能发生用户身份信息泄露、丢失等情况时,寄递企业应当立即采取补救措施,并向事件所在地邮政管理部门报告,配合相关部门进行调查处理。
寄递企业在中华人民共和国境内实名收寄活动中收集和产生的用户信息和重要数据应当在境内存储。
14.《邮政企业、快递企业安全生产主体责任落实规范》
(五)强化用户个人信息保护
39.强化用户个人信息保护:(1)应当建立健全寄递用户信息安全保障制度和措施,完善数据管理体系和安全保障体系,采取技术手段和必要措施保证数据安全;(2)应当采用有效技术手段,防止实物信息在寄递过程中泄露;(3)严格履行保护用户数据的责任,收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与寄递服务无关的个人信息,不得出售、泄露或者非法提供寄递服务过程中知悉的用户信息;(4)在中华人民共和国境内实名收寄活动中收集和产生的用户信息和重要数据应当在境内存储;(5)建立健全寄递详情单实物档案管理制度,按照国家相关标准规定的期限保存档案;保存期满后,由企业进行集中销毁,做好销毁记录,严禁丢弃或者贩卖;(6)对实物信息安全保障情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全隐患;(7)建立快递运单及电子数据管理制度,妥善保管用户信息等电子数据,定期销毁快递运单;(8)在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并向事件所在地邮政管理部门报告,配合相关部门进行调查处理。
15.《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三十条
责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件,加强对健康医疗大数据的存储管理。健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。
16.《医疗卫生机构网络安全管理办法》第二十二条
各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,数据全生命周期活动应在境内开展,因业务确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估或审核,针对影响或者可能影响国家安全的数据处理活动需提交国家安全审查,防止数据安全事件发生。
……(三)各医疗卫生机构应按照有关法规标准,选择合适的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全。涉及到云上存储数据时,应当评估可能带来的安全风险。数据存储周期不应超出数据使用规则确定的保存期限。加强存储过程中访问控制安全、数据副本安全、数据归档安全管控。……
17.《个人金融信息保护技术规范(JR/T0171-2020)》
3.1金融业机构financial industry institutions
本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
7.1.3 使用
个人金融信息在信息展示、共享与转让、公开披露、委托处理、加工处理、汇聚融合等方面,应遵循6.1.4.1—6.1.4.6的要求,并满足以下要求:
d) 在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。因业务需要,确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的,具体要求如下:
· 应符合国家法律法规及行业主管部门有关规定;
· 应获得个人金融信息主体明示同意;
· 应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;
· 应与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。
18.《保险公司财会工作规范》第八十二条
保险公司财务信息系统中的业务、财务数据应当在中国境内存储,并进行异地备份。
19.《会计师事务所一体化管理办法》第十五条
会计师事务所信息系统核心功能或子系统包括但不限于:审计作业管理、工时管理、客户管理、人力资源管理、独立性与职业道德管理、电子邮件、会计核算与财务管理等。会计师事务所的系统服务器应当架设在境内,数据信息应当在境内存储,并符合国家安全保密等规定。
20.《企业会计信息化工作规范》第三条、第三十六条
第三条 企业(含代理记账机构,下同)开展会计信息化工作,软件供应商(含相关咨询服务机构,下同)提供会计软件和相关服务,适用本规范。
第三十六条企业会计信息系统数据服务器的部署应当符合国家有关规定。数据服务器部署在境外的,应当在境内保存会计资料备份,备份频率不得低于每月一次。境内备份的会计资料应当能够在境外服务器不能正常工作时,独立满足企业开展会计工作的需要以及外部会计监督的需要。
21.《陕西省教育数据管理办法》第二条、第三十四条
第二条本办法适用于陕西省教育数据管理工作。本办法所指教育数据,包括陕西省各级教育行政部门及经法律法规授权具有职能的直属事业单位在履行职责过程中、各级各类学校在教育管理和教学应用中、各企事业单位在为教育行政部门及各级各类学校提供应用服务过程中产生、采集和使用的各类非涉密数据。涉密数据的管理按照国家有关法律、法规进行。
第三十四条 各类教育数据必须在境内存储,谨慎采用公有云方式存储。因业务需要,确需向境外提供的,必须按国家有关规定开展数据出境安全评估。
速解数据“境内存储”——与“数据本地化”“数据出境”有效区分
作者:李佳慧来源:兰台律师事务所

跨国公司在境内的分、子实体使用境外服务器上的集团管理系统、境内实体选用境外服务商提供的经营管理程序而需将数据传输至服务商的境外服务器处理等场景,境内的合规义务方在判断数据合规需求、选择合规方案时常有困