【中国数据本地化】中国：数据本地化要求(2020-07)

数据何时从中国传输到第三国，以及哪些数据本地化要求将适用，这些问题无疑是复杂而棘手的问题，许多不同的法律和建议针对不同的实体，并在立法过程的不同阶段提出。Fieldfisher高级助理张德豪（Dehao Zhang）阐述了这一主题，并分析了企业如何在不断发展的法律框架下更好地理解其义务。

2019年6月13日，中国网络空间管理局（“CAC”）发布了新的中国境外数据传输指南-个人信息境外安全评估办法（征求意见稿），其中规定了网络运营商评估个人信息传输安全的流程，在中国隐私和数据保护社区掀起了一波浪潮。

数据本地化是中国数据保护的一个非常重要的话题，对于许多企业来说，数据本地化的要求造成了很多混乱；这些要求非常复杂，有许多不同的规定来解决这个问题。长期以来，中国大陆一直被视为强制要求企业在中国存储其数据（包括个人数据）的司法管辖区，并禁止将所有数据（包括私人和非个人数据）转移到第三国。然而，这是对中国法律法规的误解，在本文中，我们将澄清中国数据本地化的要求。

数据本地化规定的框架

一般而言，中国并不禁止所有数据在境外传输。数据本地化将分为两个不同部分-一般要求和特殊数据本地化规定。

一般数据本地化要求见：

一般而言，中国并不禁止所有数据在境外传输。数据本地化将分为两个不同部分-一般要求和特殊数据本地化规定。

一般数据本地化要求见：

• 《中华人民共和国网络安全法》（“CSL”）第37条要求关键信息基础设施运营商（“CIO”）存储中国关键信息基础结构生成的个人信息和重要数据；
• 《中华人民共和国数据安全法》草案（“数据安全法草案”），已由中华人民共和国全国人民代表大会（“NPC”）审查；
• 2017年4月11日的《个人信息和重要数据出境安全评估办法》（征求意见稿）（“旧办法”）目前无效；
• 2019年6月13日的《个人信息出境安全评估办法》（征求意见稿）（“新办法”）目前也未生效；和
• 2017年8月25日的数据跨境传输安全评估信息安全技术指南（征求意见稿）（“指南草案”）也无效。

特殊数据本地化规定可在以下文件中找到：

• 《中华人民共和国保守国家秘密法》（2010年修订版）第48条规定，如果数据涉及中国的国家秘密，则禁止将该数据转移到国外，然后必须专门存储在中国；
• 《中国人民银行关于银行机构有效保护个人金融信息的通知》第6条规定，在中国收集的个人金融信息应在中国存储、处理或分析；除其他法律法规另有规定外，银行业金融机构不得将境内个人金融信息向境外转移；
• 《征信行业管理条例》第24条规定，征信机构收集的信息应存储在中国；如果该组织需要将个人信息转移到中国境外，应遵守法律法规的相关要求；
• 《人口健康信息管理办法（试行）》第十条规定，禁止将人口健康信息存储在中国境外的服务器上；
• 《网上借贷信息中介机构业务活动管理暂行办法》第27条规定：“在中国境内收集的贷款人和借款人的信息应在中国境内存储；除其他法律法规另有要求外，在线平台不得将贷款人和借款人的信息转移到中国境外；
• 《地图管理条例》（“地图管理条例”）第34条规定，互联网地图服务机构应在中华人民共和国境内设立存储地图数据的服务器，并建立互联网地图数据安全管理系统和保障措施；
• 《网上出租汽车预订业务运营和服务管理暂行办法》第27条规定，网上出租汽车平台公司应遵守国家相关网络和信息安全规定；即，个人信息和业务数据应在中国大陆存储和使用，不得在中国境外转移，并应保留两年，除非其他法律法规另有要求；和
• 《鼓励和规范互联网自行车租赁发展的指导意见》第4（13）条规定，互联网自行车租赁运营商的服务器应位于中国大陆，个人信息和业务数据应在中国大陆存储和使用。

什么样的数据是数据本地化的对象？

虽然与特殊数据本地化规定相比，哪些类型的数据需要进行数据本地化的问题很简单，但就一般要求而言，情况完全不同。根据CSL第37条，CIIOs应存储中国关键信息基础设施产生的个人信息和重要数据。个人信息和重要数据将成为数据本地化的对象。

“个人信息”是指以电子或其他形式记录的各种信息，可单独使用或与其他信息结合使用，以识别自然人的身份，包括但不限于自然人的姓名、出生日期、身份证号码、生物识别的个人信息、地址和电话号码。

然而，根据强制性和有效的法律法规，“重要数据”的定义并不明确。没有法律法规对重要数据给出任何定义，这给企业带来了不确定性。如果任何数据都可以被视为重要数据，那么控制这些数据的网络运营商似乎可能被视为CIIO，并受由此产生的义务的约束。

2017年8月25日的《数据跨境传输安全评估信息安全技术指南》（征求意见稿）（“指南草案”）将“重要数据”定义为与国家保密无关，但与国家安全、经济发展和公共利益密切相关的数据，包括原始数据和其他衍生数据。准则草案附录A列出了27类行业和领域，试图与CSL下关键信息基础设施的要求保持一致。然而，准则草案并不有效，即使它们生效，它们仍将是国家推荐的标准，而不是强制性要求。

根据数据安全法草案第19条，每个地方政府和部门应定义重要数据目录，并为这些重要数据提供高水平的安全性。然而，它不需要直接识别重要数据。

如何遵守中国的数据本地化义务？

对于如何在中国存储数据，存在不同的看法。然而，事情似乎在实践中得到了解决。我们可以考虑以下不同的方式：

• 如果有数据中心，数据中心位于中国大陆；
• 存储数据的服务器或其他固定器位于中国大陆，例如地图管理条例要求服务器应位于中国大陆；或
• 云服务器位于中国大陆，例如iCloud如何使用位于中国贵州省的服务器。

存储在中国的数据应为原始数据，如果有任何业务需求，组织只能在通过安全评估后向中国以外的第三国提供复制数据。由于法律没有直接规定这一点，因此对这一问题存在不同意见；但实际上，大多数人会选择在中国存储原始数据。

一些政府正试图发展大数据产业，如宁夏和贵州，他们将提供政策支持中国企业存储数据。

数据本地化后是否可以进行出站数据传输？

数据定位与数据传输不同，但这两个过程密切相关。

根据《保密法》第37条，如果因业务需要确实需要在海外提供此类信息和数据，则应按照中国网络空间管理局会同国务院有关部门制定的措施进行安全评估，法律或行政法规另有规定的除外。

根据CSL，如果安全评估结果是肯定的，数据可以转移到中国境外。然而，对于数据本地化的某些特定规则，禁止数据传输，例如数据涉及国家机密的情况。

然而，仍然存在一个问题-如何对数据传输进行安全评估？这个问题的答案目前还不清楚。CSL提出了这一要求，但没有提供指导方针，而新措施规定了如何进行安全评估的详细措施，但并不有效。在这一点上，大多数数据专家仍在等待全国人大正在审议的数据安全法草案。

根据数据安全法草案第22条，当数据处理活动可能影响国家安全时，政府有必要对数据处理活动进行国家安全审查。这可以理解为包括在中国境外传输的数据；然而，尚不清楚这是否与上述安全评估相同，后者着眼于国家安全，而根据数据安全法草案进行的评估将从数据传输的角度进行。

根据《数据安全法》草案第23条，中国可以对其控制清单范围内的数据建立出口管制，尽管我们对此并不清楚，因为这是数据安全中的一个新术语。

此外，根据数据安全法草案第24条，中国将与限制或禁止中国在投资或/和商业贸易领域使用或开发数据的国家采取类似的限制或禁止措施。这是一个新术语，可能会影响数据处理活动，包括向特定国家的数据传输。

数据安全法草案的一项规定提出了另一个数据传输问题，我们发现，如果其他国家的数据保护机构需要数据来执行其执法权力，相关组织或个人应向主管机构报告，并只能获得所需数据主体的批准。

结论

中国不要求所有网络运营商遵守数据本地化规定，也不禁止所有数据在中国境外传输。目前，中国的CIIOs应注意在中国存储其数据，包括个人数据和从其重要网络和系统生成的重要数据。对于大多数非CIIO的组织，当需要在中国境外传输数据时，他们可能会考虑如何最好地进行安全评估；然而，这对立法者和CAC来说也是一个问题，可能会受到新的数据法（例如，数据安全法草案和个人信息保护法草案）和法规的约束，这些法律和法规的状态应受到仔细监控。

本文：https://cioctocdo.com/china-data-localisation-requirements