APEC经济体四国数据本地化要求

来源:网络法实务圈

文章摘要
核心提要 Key Takeaways 1、APEC 中中国、俄罗斯、印尼、越南四个经济体在国家级立法中明确要求数据本地化,其余多数经济体无强制本地存储规则。
核心提要 Key Takeaways
1、APEC 中中国、俄罗斯、印尼、越南四个经济体在国家级立法中明确要求数据本地化,其余多数经济体无强制本地存储规则。
2、数据本地化要求多覆盖个人信息、重要数据、关键信息基础设施数据以及金融、医疗等特定行业数据。
3、部分国家数据出境需满足安全评估、监管访问/批准等前置条件
APEC 核心经济体数据本地化要求对比表

具体分析
目前,明确在国家级立法中明确提出或有条件的数据本地化要求的APEC核心经济体主要包括:中国、俄罗斯、印尼、越南有数据本地化的要求,具体如下:
1.中国
(1)关键信息基础设施运营者的数据本地存储要求
根据《网络安全法》第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
(2)处理个人信息达到国家网信部门规定数量的个人信息处理者的数据本地存储要求
根据《个人信息保护法》第40条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的, 从其规定。
(3)重要数据的本地存储要求
根据《数据出境安全评估办法》第二条,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。对于非CII在境内运营中收集和产生的重要数据,仍应境内存储,且向境外提供时应进行安全评估。
重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
(4)特定行业
A. 金融行业:2016年人民银行出台的《中国人民银行金融消费者权益保护实施办法》规定了金融行业数据出境需遵从“原则禁止和例外允许”的原则。办法第三十三条规定,在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。
B.医疗健康: 《人口健康信息管理办法》不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。
C.地图/地理信息: 存放地图数据的服务器必须设在境内。
2.俄罗斯
首先存放原则:根据242-FZ 号联邦法(修订通过了第152-FZ 号《个人数据保护法》)第十八条第五款,要求收集俄罗斯公民个人数据(包括通过互联网收集的个人数据)的俄罗斯和外国数据运营商,必须首先使用俄罗斯数据库记录、存储、整理、更新和提取该数据,并向俄罗斯联邦通信、信息技术和大众传媒监管局(Roskomnadzor)报备数据存储设施的所在地。第23-FZ 号联邦法律进一步明确不得使用位于俄罗斯联邦境外的数据库初始收集和处理俄罗斯联邦公民的个人数据。
俄罗斯本地化要求采取“先存俄罗斯、再可外传”的逻辑。2025年7月修法后,企业不仅需要在俄罗斯有“活数据库”而不是“空壳数据库”,还需确保受托处理者(如云HR系统、外包服务商)同样在俄罗斯境内完成数据处理。这一改动实际上封堵了“云端同步”中的某些灰色地带。
3.印度尼西亚
根据2019年关于电子系统和交易组织的第71号政府条例,公共电子系统运营商 (ESO) 必须在在印度尼西亚共和国境内管理、处理和/或存储电子系统和电子数据。私营电子系统运营商(ESO)可以在印度尼西亚共和国境内和/或境外管理、处理和/或存储电子系统和电子数据,如在境外管理、处理和/或存储电子系统和电子数据的,须遵守以下条件:
a. 电子系统和电子数据位于印度尼西亚境外并不影响相关国家部委或机构以及执法机构进行监管的有效性;
b. 必须依法提供对电子系统和电子数据的访问权限,以用于监督和执法。金融领域私营电子系统运营商对电子系统和电子数据的管理、处理和存储的规定,由金融监管部门进一步规范。《关于商业银行信息技术组织的金融服务管理局条例》第11/2022 号规定,银行应在境内设立数据中心和灾难恢复中心(DRC),如金融机构在印度尼西亚境外建立数据中心或数据处理之前,须获得OJK的批准。
4.越南
(1)越南实体的数据存储要求
2018年《网络安全法》(Law on Cyber Security 2018)第26条规定,越南国内实体应该将以下数据存储在越南境内:a) 越南境内服务用户的个人信息数据;b) 越南境内服务用户创建的数据:账户名称、服务使用时长、信用卡信息、电子邮件地址、上次登录或注销会话的 IP 地址以及与账户或数据关联的注册电话号码;c) 越南境内服务用户的关系数据:用户已联系或互动的朋友和群组。
(2)外国实体的数据存储和本地办公室要求
境外实体的本地化义务并非一律自动触发。根据实施细则第53/2022/ND-CP号法令(Decree 53/2022/ND-CP)第26条,须同时满足以下条件:(a)经营电信服务、电子商务、在线支付、社交媒体、网络游戏等十类受规管业务之一;(b)收到公安网络安全部(A05)的正式数据存储要求(即其服务被用于违反越南网络安全法,公安部网络安全和高科技犯罪预防控制司已书面通知并要求企业配合且未予配合)。满足条件的外企须在越南境内存储数据并留存至少2年,须同时在越南设立分支机构或代表处。与此同时,当地办事处只需保留到受影响的外国实体不再在越南开展业务或不再在越南提供在线服务为止。
不过,新《网络安全法》(第116/2025/QH15号): 2025年12月10日,国会通过了新的《网络安全法》,取代现行的第24/2018/QH14号《网络安全法》,自2026年7月1日起生效。2025年网络安全法重申了数据本地化要求,要求在越南提供电信网络、互联网服务或网络空间增值服务的国内外企业,须在本地存储此类数据。值得注意的是,《2025年网络安全法》并没有将适用范围限制在某些行业,而是普遍规定上述外国企业必须在越南设立分公司或代表处。这意味着新法可能扩大境外企业本地化义务的适用范围(不再限于十类业务),但最终效果取决于配套实施细则。
行动指南
1. 梳理业务覆盖的 APEC 经济体,识别是否涉及中/俄/印尼/越
2.按当地规则界定需本地存储的数据类型(个人信息/重要数据)和特殊主体类型(如关键信息基础设施、公共机构、大规模信息处理者)
3. 评估数据出境需求,准备安全评估、监管申请、备案等材料
4. 涉及越南业务的外企,评估是否落入须设立分支机构/代表处情形
5. 建立数据存储地点台账,留存出境合规记录
技术驱动法律,专业成就未来