许多司法管辖区正在越来越多地颁布法律和法规，规定数据必须如何和在何处存储，无论是在各自的境内还是境外。其结果是不断演变的数据位置规则和限制网络。在这个由三部分组成的系列中，OneTrust DataGuide概述了数据本地化和数据驻留的关键趋势，概述了实现这些趋势的主要方法，以及与行业和数据类别相关的常见趋势。

数据本地化趋势

与中东和非洲等其他地区类似，亚太地区和独联体的许多管辖区已经开始和/或预计将引入数据本地化措施和立法。目前，俄罗斯、中国和乌兹别克斯坦等司法管辖区在立法中明确了数据本地化要求，印度和越南等国家在其法律草案中也有类似规定。

数据本地化要求

2015年，俄罗斯通过了2014年7月21日第242-FZ号联邦法律，该法律修订了俄罗斯联邦关于更新信息电信网络中个人数据处理程序的一些立法法案（“数据本地化法”），该法律引入了运营商的数据本地化要求。《数据本地化法》要求位于俄罗斯联邦境内的数据库用于记录、系统化、积累、存储、澄清（更新或修改）和检索俄罗斯联邦公民的个人数据，其中个人数据主要通过互联网收集，例外情况除外（《数据本地化法第2（1）条）。同样，在中国，《中华人民共和国个人信息保护法》（“PIPL”）的生效为关键信息基础设施运营商（“CIIO”）和个人信息处理人员引入了额外的数据本地化要求。除《网络安全法》（“CSL”）第37条规定的预先存在的数据本地化要求外，在处理在中国境内收集和生成的个人信息时，最高可达到中国网络空间管理局（“CAC”）规定的数量，CIIO和个人信息处理人员需要在国内存储此类个人信息（PIPL第40条）。

与乌兹别克斯坦类似，2021对2019年7月2日第三轮РУ-547号《乌兹别克斯坦共和国个人数据法》（“个人数据法”）的修订引入了一项新要求，即运营商必须确保使用位于乌兹别克斯坦境内的技术手段存储数据。这一要求的适用范围很广，适用于：已确定或可确定的个人；乌兹别克斯坦公民；使用信息技术处理数据，包括互联网和存储在数据存储设备上的任何全球信息网络（《个人数据法》第3、4和27（1）条）。最近，斯里兰卡在最近通过的2022年第6号《个人数据保护法》（“PDPA”）中，对跨境数据传输提出了要求，这也可能对在该地区运营的数据控制者提出数据本地化要求。有趣的是，《个人数据保护法》规定，个人数据不能处理斯里兰卡境外的个人数据，除非适用某些条件，如充分性决定或适当的保障措施（《个人数据保护法案》第26条）。

展望未来，数据保护立法草案正在立法过程中的司法管辖区包含类似的数据本地化要求。例如，在印度，《个人数据保护法案》（“法案”）规定，敏感数据可以在印度境外传输，但必须存储在印度境内，而关键数据只能在印度处理，但有某些例外情况（法案第33节）。同样，在越南，关于个人数据的法令草案（“法令草案”）规定，作为越南公民个人数据跨境数据传输的一个条件，数据的原始副本应存储在越南（法令草案第21条）。

国际协定

与欧洲和美国类似，在亚太地区，国际协议中包含明确禁止签署方本地化要求的条款的趋势越来越大。特别是，新加坡和澳大利亚之间的数字经济协议规定，该协议旨在实现可信的跨境数据流，同时避免数据本地化等要求。此外，美国财政部和新加坡金融管理局（Monetary Authority of Singapore）发布的一份联合声明表示，只要金融监管机构能够访问监管目的所需的数据，他们就反对普遍适用的数据本地化要求。

数据中心

未来几年，亚太地区的投资和数据中心数量预计将大幅增加。虽然有几个因素会影响这一点，但引入本地化要求和要求企业在本地存储数据被认为是一个重要因素。数据中心的开发被认为有助于帮助云服务提供商解决数据本地化法规，因为它们可以为在不同地区运营的客户提供本地数据存储。

划线方法

在亚太地区和独联体，引入数据本地化要求的主要基本方法/原因之一似乎是国家安全和公共利益——无论是为了确保执法部门获得个人信息还是防止外国监视。这与亚太地区数据本地化要求的出现是一致的，因为2013年前后，人们对外国监控的担忧日益增加。

2015年，《数据本地化法》在俄罗斯生效被解释为有必要为俄罗斯公民提供额外保护，防止外国公司滥用其个人数据和外国政府监控。同样，在印度尼西亚，数据本地化要求的引入与执法以及保护和执行国家对其公民数据的主权有关。类似地，在中国，虽然中国政府没有明确说明引入本地化要求的原因，但可以根据受此类要求约束的数据类型进行推断。例如，根据CSL，对CIIOs施加了限制，包括数据泄露可能严重危及重要网络设施、信息系统、国家安全和公共利益等重要行业的运营商。这意味着，在某些情况下，中国政府要求本地存储可能涉及国家安全或公共利益的数据。

最近在印度，联合议会委员会于2021 12月发布了其报告，该报告支持在国家主权和完整性以及国家安全的基础上引入数据本地化，这与上述其他管辖区一致。有趣的是，该报告还强调了将促进商业、创新和投资作为引入数据本地化条款的考虑因素。这与以下建议一致，即数据本地化要求也正在出现，因为本地存储数据有利于本地经济，并为该地区带来更多业务，例如，通过创建如上所述的本地数据中心。

数据驻留要求和相关部门

财政的

在金融部门，历史上存在大量本地化要求，这可能基于主体，即金融机构和/或数据类型。例如，在孟加拉国，有一项要求，银行公司不得将与其业务有关的记录或文件转移到孟加拉国境外，除非事先得到中央银行的批准（《银行公司法》第12条）。另一方面，在中国、马来西亚和印度，存在与财务记录相关的要求（《2011年敦促银行业金融机构保护个人财务信息的通知》（“通知”）第6节）。在中国，金融数据必须在中国境内存储和处理。只有在其他法律、法规或中国人民银行明确允许的情况下，才允许向第三方进行个人金融信息的境外转移（通知第6节）。同样，在印度，与在印度签发的所有保单和索赔相关的保险记录必须保存在位于印度的数据中心并进行维护（1999年《印度保险监管和发展局法》，与2015年《IRDAI（保险记录维护）条例》第3（9）条一起阅读）。最后，在马来西亚，会计和其他此类财务记录必须存储在公司的注册办事处或马来西亚的其他地方（《1965年公司法》第167（3）条）。

保健

相应地，在医疗保健部门，往往会根据记录类型提出要求。在澳大利亚，有一项要求，为我的健康记录系统而保存的记录必须在澳大利亚保存（《2012年个人控制电子健康记录法》第77（1）条）。同样，在韩国，存储医院创建的患者电子病历的云服务器必须位于韩国（管理和存储医院生成的电子病历的设施和设备标准）。同样，在日本，虽然不可强制执行，但有一项通知要求在日本存储与医疗机构运营相关的原始医疗记录和业务文件（ASP和SaaS业务运营商处理医疗信息时的安全指南）。

云计算

在云计算方面，云的使用有所增加，这可能与数据本地化要求相冲突，例如，公司希望使用云，但云服务提供商在该管辖区内没有数据中心。与美国不同的是，亚太地区还没有看到特定于云的数据本地化要求。然而，这一领域的监管和要求也有所增加，以确保云的安全使用。

例如，在马来西亚，一项云服务法规最近生效，马来西亚通信和多媒体委员会指出，该法规是对云服务使用增加的回应，旨在确保云服务提供商保持高水平的数据安全、数据隐私、数据保护、数据安全和数据安全，同时能够为消费者和公共机构提供法律保护（关于云服务监管的常见问题）。同样，在巴基斯坦，引入了云优先政策，旨在促进云解决方案的采用，并指导巴基斯坦的云政策监管，并打算在受监管部门和私营部门组织继续进行数字转型过程中为其提供有用的指导（云优先政策第4节）。

最后，2021 3月，亚洲证券业和金融市场协会发布了一项关于公共云监管原则的提案1，该提案概述了公共云监管的好处和挑战，包括数据本地化和跨司法管辖区相互冲突的监管要求。该文件建议为公共云监管建立一个一致且全球一致的框架，以促进其使用。

数据驻留要求和相关数据类型

在亚太地区和独联体，人们往往关注重要、关键和公共数据。关于关键和重要数据，印度的《数据保护法案》和《CSL》对此类数据有限制。这些限制往往与可能影响国家安全或公共利益的数据相关。另一方面，对于公共数据，这些要求往往与公共记录相关联。在印度，有一项要求，未经中央政府事先批准，任何人不得将公共记录带出印度（1993年《公共记录法》（1993年第69号）第4节）。同样，在印度尼西亚，要求公共电子系统运营商将其电子系统和数据放置在印度尼西亚（2016年《Kominfo条例20》第17（1）条）。最后，在亚美尼亚，存在与政府机构官方网站相关的数据本地化要求（2013年12月26日关于批准互联网官方网站最低要求的第1521-N号政府法令）。

执法趋势

在亚太地区和独联体，数据本地化方面的执法行动并不多。

然而，俄罗斯联邦通信、信息技术和大众媒体监督局（“Roskomnadzor”）对不遵守本地化要求的行为进行了一些罚款。最高罚款为1800万卢布（约196400欧元），通常对未能确保使用位于俄罗斯境内的数据库处理俄罗斯公民个人数据的行为处以罚款。

值得注意的是，一般本地化要求仅在过去几年中在亚太地区和独联体国家出现，因此，随着法律更加完善，并发布了关于数据本地化的明确监管指南，我们可能会看到监管机构在这一领域采取更多执法行动。

挑战和影响

此外，除了本系列第一部分中强调的挑战和影响外，对于旨在遵守数据驻留和本地化要求的公司来说，关于数据本地化要求的范围和适用性的混乱也是一个显著的挑战。例如，就中国而言，重要数据和CIIOs的范围仍然存在混乱和不确定性，这吸引了CSL和PIPL下的本地化要求。许多公司发现难以确定其处理活动是否属于吸引数据本地化要求的必要类别。

结论

数据驻留是亚太地区和独联体的一个新兴概念。尽管对此类规则的必要性仍存在争议，但目前的趋势表明，未来该领域的立法和监管将有所增加，可能导致许多国际公司的数据管理框架更加复杂。由于数据本地化要求日益突出，各组织必须考虑其义务并监控监管发展。

本文：https://cioctocdo.com/international-understanding-data-residency-part-t…