许多司法管辖区正在越来越多地颁布法律和法规，规定数据必须如何和在何处存储，无论是在各自的境内还是境外。其结果是不断演变的数据位置规则和限制网络。在这个由三部分组成的系列中，OneTrust DataGuide概述了数据本地化和数据驻留的关键趋势，概述了实现这些趋势的主要方法，以及与行业和数据类别相关的常见趋势。

EMEA地区的驻留和本地化趋势

最显著的趋势是新的数据保护法律中本地化要求的显著增加。与此同时，公共和私营部门在数据存储程序方面的做法也发生了变化。

分散的数据中心

与此同时，数据中心热点也在不断扩展，以满足全球派驻和本地化要求。例如，中东地区（阿联酋和沙特阿拉伯有本地化要求）是一个经常引用的例子，其要求特别严格。然而，已经就欧盟法院在数据保护专员诉Facebook爱尔兰有限公司（Maximillian Schrems）（C-311/18）（“Schrems II案”）中的裁决是否通过后门创建了本地化要求进行了讨论。因此，一些国际组织决定在欧洲建立数据中心，以避免在其成员国领土之外传输个人数据的复杂限制。

赌博业的驻留要求

本地化要求的一个讨论较少的领域是赌博业。尽管金融和医疗保健行业出现了重要趋势（正如本《全球理解数据驻留系列》中的前文所述），但博彩业仍有一些关键的全球需求。在欧盟，马耳他博彩管理局要求在其技术基础设施指南中实时复制监管数据。此外，罗马尼亚的《赌博条例》要求游戏服务器具有能够识别玩家的注册系统，以及存储和传输数据给位于罗马尼亚境内的备份服务商的系统。

国际贸易和PNR协定

各种国际贸易协定包含要求相关国家确保国家间数据自由流动的条款，有时用于特定目的，如乘客姓名记录（“PNR”）或执法目的，或仅作为一般性声明。数据的自由流动是贸易协定的一个关键方面，消除了贸易壁垒，促进了数字贸易。

脱欧后起草并于2021 12月发布的《英国-澳大利亚自由贸易协定》（“FTA”）1第14.10条明确要求，“任何一方均应禁止或限制通过电子手段（包括个人信息）跨境传输信息，如果该活动是为了受保人士的业务开展。《自由贸易协定》第14.11条继续写道，“[n]任何一方均应要求被保险人在其领土内使用或定位计算设施，作为在该领土内开展业务的条件。该协议尚未生效。英国和澳大利亚都需要完成各自的国内程序，以使协议生效。一旦得到两国议会的批准，企业将能够按照其条款进行交易。

同样，2021 2月，英国与新加坡签署了第一份数字经济协议（“DEA”）。英国-新加坡DEA通过防止对跨境数据传输的不合理限制，承诺英国和新加坡之间出于商业目的的可信数据自由流动2。

DEA进一步保证，英国企业将能够避免由于不合理的数据本地化要求而在新加坡设置服务器和存储数据的成本。

作为一项警告，英国-新加坡DEA和英国-澳大利亚FTA均规定，各方可能能够对数据传输或计算设施位置要求施加限制，这些限制与其目的相称，并且出于公共政策原因（例如个人数据保护）是必要的。

PNR可能需要存储在管辖区内。即使欧盟委员会已经发布了批准个人数据传输的充分性决定，在没有公共当局传输PNR数据的专用PNR协议的情况下，可能会对PNR数据施加进一步限制，特别是出于执法和预防恐怖主义的目的。2016年4月27日欧洲议会和欧洲理事会关于使用乘客姓名记录（PNR）数据预防、侦查、调查和起诉恐怖主义犯罪和严重犯罪的指令（EU）2016/681第6（8）条（“PNR指令”）规定，乘客信息单元（“PIU”）对PNR数据的分析应仅在成员国境内的一个或多个安全位置进行。到目前为止，欧盟只与美国和澳大利亚签署了PNR协议，而与加拿大和日本的谈判仍在继续。

还需要进一步澄清Schrems II案对欧盟-美国PNR协议的影响，以及在通过全面充分性协议后脱欧的影响。

非洲各地的各种趋势

在整个非洲，存在一系列要求，从明确的本地化到事实上的方法。2021第3号赞比亚数据保护法案第十部分包含了大量的驻留义务。第70条要求控制器在赞比亚境内的服务器或数据中心处理和存储个人数据。某些类别个人数据本地化要求的例外情况可由主管部长发布，或在有限情况下由数据保护专员发布（但敏感数据必须始终存储在其中）。在布基纳法索，健康数据必须在领土内托管，除非数据保护局给予豁免。在肯尼亚，《2021数据保护（一般）条例》要求出于国家战略利益处理个人数据的数据控制者或数据处理者通过位于肯尼亚的服务器和数据中心处理此类个人数据，或在位于肯尼亚的数据中心存储至少一份相关个人数据的服务副本。《埃及个人数据保护法》要求获得任何跨境数据传输的许可证。

一般驻留要求——沙特阿拉伯案例

沙特阿拉伯新的《个人数据保护法》（“PDPL”）由2021 9月17日批准2021 9月14日第98号决议的皇家法令M/19实施，该法令第29条对在沙特境外传输数据提出了严格要求。补充PDPL的执行条例草案第28条要求控制人在沙特阿拉伯的地理边界内存储和处理个人数据。在进行影响评估并获得监管机构的书面批准之前，不得在沙特阿拉伯境外存储或处理个人数据。监管机构已与主管机构就具体情况进行联系。

在PDPL和最终执行条例生效之前，国家数据管理办公室（“NDMO”）制定了国家数据治理临时条例（“临时条例”），其中包括个人数据保护临时条例和数据共享临时条例。关于网络安全要求，《暂行条例》适用于所有个人数据处理活动，并包括在国内对所有个人数据进行本地化的要求。尽管《暂行条例》和国家部门立法仍然适用，但沙特阿拉伯的其他部门本地化要求多种多样，包括云计算、网络安全、金融和支付服务以及物联网设备等。

关于IT/云服务行业，2013年《云计算监管框架》（“云框架”）对与驻留在沙特阿拉伯或在沙特阿拉伯有地址的客户签订云服务协议的云服务提供商（“CSP”）进行了监管，并限制了“三级”和“四级”内容的国际转让。

关于云计算，国家网络安全局（“NCA”）的“云网络安全控制2020”（“CCC 2020”）包含与云服务相关的各种网络安全控制，包括本地化和信息安全考虑，以及NCA的关键系统网络安全控制20194（“CSCC 2019”），其中包含本地化要求和禁止远程访问关键系统的身份和访问管理。就CCC 2020控制而言，云提供商将被要求在沙特阿拉伯境内提供云服务，包括在沙特阿拉伯境内托管的基础设施。

关于支付服务，沙特阿拉伯金融管理局（“SAMA”）发布的《沙特阿拉伯王国预付费支付服务监管规则20125》第2.6.2节要求在客户招募和客户交易活动期间收集的个人数据存储在沙特阿拉伯境内的设施中。

此外，就物联网行业而言，通信和信息技术委员会（“CITC”）在物联网监管框架6第7节中指出，物联网服务许可提供商和室内物联网网络实施者必须托管用于提供物联网服务的所有服务器，并在沙特阿拉伯王国（“KSA”）内存储所有数据。

政府对数据驻留的基本方法

剖析政府对数据驻留的基本方法是一项有争议和具有挑战性的任务，尤其是由于政治因素。然而，本地化和驻留法律针对的记录和数据类型会出现模式。

第《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”）并未就超国家数据本地化要求进行立法，而是允许该领域的国家机构遵守国家部门法律。五章虽然禁止在许多情况下进行跨境数据传输，但在很大程度上促进了数据传输。然而，它确实要求企业首先在欧盟内部保护其数据。

对于非个人数据，2018年11月14日欧洲议会和欧盟理事会关于欧盟非个人数据自由流动框架的第2018/1807号条例（EU）禁止非个人数据的数据本地化要求，除非基于公共安全和符合比例原则。

围绕欧洲潜在的保护主义数字政策存在着激烈的争论。法国数据保护局（“CNIL”）在其2020年年度报告中指出，数据主权是2020年经常出现的主题之一，他们有责任制定一项雄心勃勃的欧洲数字数据主权政策7。

英国的本地化方法尚不确定，但仍有一些有利于经济的方法，同时继续应对与隐私、数据保护、知识产权和安全相关的挑战。英国七国集团数字和技术部长们调查了本地化对微型、小型和中型企业（MSME）的影响，8作为七国集团与Trust在数据自由流动方面合作的路线图9的一部分。部长们承认，本地化对大公司的障碍较小，但可能导致小型企业退出市场。人们还认识到，许多中小型企业由女性拥有和领导（在英国和全球），需要更好地理解本地化对女性的影响。

公共部门特定的驻留要求

法律的本地化没有界限；本地化法律涵盖一系列领域，包括电信、医疗、金融、保险、税收/增值税法案、信贷、虚拟资产和政府相关领域。必须有某种利益，可能是出于经济动机、出于监视动机，或出于保护某些公民权利（如隐私）的意图。

无一般性、多部门性——阿联酋案例研究

从阿联酋的情况来看，我们可以看到监管大数据和新兴技术相关传输的重点。尽管新的联邦数据法似乎不包括本地化要求，《储值和电子支付系统监管框架》10第D.6条要求电子支付服务提供商仅在阿联酋境内存储和保留所有用户和交易数据，自原始交易之日起五年。数据也不得存储在阿联酋金融自由区。

金融服务

阿联酋中央银行（“CBUAE”）银行外包条例第6条规定，银行必须确保主记录系统（包括所有机密数据）在阿联酋持续维护和存储。除此之外，经阿联酋中央银行批准，外国银行分行可通过在阿联酋境内保留记录副本来遵守此要求。但是，未经CBUAE批准并获得客户事先书面同意，不得在阿联酋境外共享银行客户的机密数据。银行还必须获得客户的书面确认，在这种情况下，其机密数据可能会在阿联酋境外的法律程序下被访问。

健康数据

根据2019年关于卫生领域信息和通信技术的第2号联邦法律，不允许在阿联酋境外存储、处理、生成或传输与卫生服务相关的数据和卫生信息，除非卫生和预防部做出决定允许。

例如，《刑法典》和CBUAE消费者保护条例中对数据传输或特定信息的同意有一些总体要求。

刑法典

《阿联酋刑法典》第379条要求披露“秘密”的同意：

“因其职业、技艺、职位或艺术而被委托保守秘密并在法律允许的情况下泄露秘密的人，或出于个人利益或他人利益而使用的人，应被判处至少一年的监禁和/或至少两万迪拉姆的罚款，除非知情人授权披露或使用。

如果行为人是公务员或公共服务负责人，因履行职责或履行服务而被泄露秘密，则应处以不超过五年的监禁。

CBUAE消费者保护条例

《消费者保护条例》（“CPR”）所附标准的第6.1.1.2节至第6.3.1.5节概述了：

“6.1.12.持牌金融机构必须保护消费者数据并保持数据的保密性，包括授权代理持有、访问或使用的数据。

6.1.1.3持牌金融机构负责确保通过使用新技术和社交媒体对金融服务进行任何分析、数据挖掘、营销和销售时的数据保护和个人消费者保密。

6.1.1.4持牌金融机构必须在其所有交付渠道中提供安全、可靠和保密的环境，以确保个人数据的高度保密和隐私。

6.1.1.5持牌金融机构对消费者负有保密的法律义务，但以下情况除外：a.法律当局适当要求披露消费者数据；或b.经消费者明示同意或通过消费者指定的代表进行披露。

标准第6.1.3节概述了消费者明示同意的进一步条件。例如，第6.1.3.3节规定，“消费者必须自由明确地表示同意许可金融机构使用和/或共享个人数据的请求。同意请求必须以清晰明了的语言表达，并告知消费者他/她有权拒绝提供明示同意。

阿联酋-ADGM

在阿联酋的金融自由区内，也可能适用特定法规。阿布扎比全球市场（“ADGM”）会计和员工记录等就是如此。根据《公司条例201511》第377条，如果会计记录保存在ADGM以外的地方，那么保存的会计记录中涉及的业务的账目和报表必须发送到ADGM内的一个地方，并保存在该地方。根据《就业条例201512》第11条，员工必须在ADGM的主要营业地点为每位员工保留以下记录：

• 雇员的雇佣合同副本；
• 员工姓名、出生日期、职业、电话号码和联系地址（住宅和邮政）；
• 雇佣开始的日期；
• 雇员的工资（毛工资和净工资，如适用）以及适用的支付期；
• 雇员同意工作的合同工时；
• 雇主支付给雇员的福利；
• 从雇员工资中扣除的每一笔款项及其原因；
• 雇员的国家假日日期和雇主支付的金额；
• 雇员休假的日期、雇主支付的金额以及所欠天数和金额；
• 病假和其他特殊休假；和
• 雇佣关系终止时支付给员工的任何服务终了酬金和任何其他遣散费的金额。

欧盟政府相关数据

虽然在欧盟的所有部门中可能不存在一般驻留要求，但许多政府要求与政府或公共部门活动相关的数据保留在相关管辖区内。这是法国的情况，GDPR适用，因为个人数据可能离开司法管辖区，但被视为国宝或国防机密的数据或记录除外。

云计算

由于服务的非本地性质，与云计算相关的数据或记录经常受到驻留要求的约束。在南非，根据《个人信息保护法》（“POPIA”），不存在数据本地化要求。然而，2021 4月1日，国家数据和云政策草案公开征求公众意见。如果通过，将对该地区的数据传输产生广泛影响。它要求对被分类或确定为关键信息基础设施的数据拥有数据主权，这些数据只能在南非境内处理和存储。此外，该政策草案要求为执法目的在南非境外传输的所有数据副本本地化。更广泛地说，在南非生成的任何相关数据都成为南非的财产，即使该技术公司未在该地区注册。

结论

由于GDPR未提供任何本地化要求，因此未对违反此类规定的行为采取任何执法行动或罚款。然而，在Schrems II案之后，出现了新一轮的权力决定。欧盟监管机构已被赋予新的责任，根据这些条款执行第五章。监管部门对数据传输越来越感兴趣，作为副产品，这对全球数据本地化和存储要求提出了质疑。

鉴于Schrems II案，CNIL和葡萄牙国家数据保护委员会（“CNPD”）均禁止或暂停向美国服务提供商传输数据。

最近，欧洲数据保护委员会宣布，协调执法框架下的第一个联合调查倡议将调查使用云服务的公共机构遵守GDPR的情况。

关于数据传输的未来以及本地化要求在这个故事中的位置，问题不断涌现。对于企业来说，这是一个关键时刻，需要仔细检查数据保护法的要求（不仅在欧盟，而且在中东和非洲也是如此），以及他们的数据保护机构正在采取哪些措施来执行这些法律。

本文：https://cioctocdo.com/international-understanding-data-residency-part-t…