x

【数据驻留】按国家/地区划分的数据驻留法律:概述

cioctocdo
22 June 2023
SEO Title
Data Residency Laws by Country: an Overview

全球数据保护法律法规情况

由于云计算和数据分析等技术的快速采用,组织的数字化程度不断提高,数据的重要性急剧增加。这一趋势既影响了传统行业,也影响了SaaS和电子商务。

数据被理所当然地认为是现代全球经济的命脉,而将受保护的数据转移到海外变得越来越复杂。由于新颁布的数据驻留法规,越来越多的国家制定了障碍,使这一过程耗时且成本高昂。

什么是数据驻留,以及它如何改变全球数据格局

随着信息时代的发展,地理与隐私的相关性变得越来越重要。虽然像GDPR这样的大型跨国隐私法规或像CCPA这样的主要法律成为头条新闻,但有无数较小的地区性法律和习俗往往受到较少的报道或关注。这些法律往往是跨国企业全球扩张计划的基石障碍。

什么是数据驻留?它是在特定地区或国家内对个人信息等受监管数据进行本地化。这可能只包括存储数据,但也可能包括处理数据。这些数据是根据特定地区的法律处理的。就这一点而言,InCountry是第一家数据驻留即服务提供商,它允许您在90多个国家/地区安全管理受监管的数据,从而实现全球扩张。

尽管新的数字化世界给公司、消费者和国民经济带来了巨大的好处,组织也有能力轻松地跨境共享数据,但数十个国家对跨境数据流动设置了障碍。其中包括将数据限制在一个国家边界内的数据驻留要求,或者一个也称为“数据本地化”的概念

数据本地化可能是法律明确要求的,也可能是其他限制性政策导致数据传输不可行的结果。他们要求公司在本地存储数据副本,在本地处理数据,并要求个人或政府同意数据传输。

让我们仔细看看各国的一些数据居住要求示例。

世界各地的数据本地化政策

下面的地图显示了世界上大部分的数据本地化政策。数据本地化有多种形式:虽然一些国家全面禁止数据传输,但许多都是针对特定行业的,涵盖个人、健康、会计、税务、金融、地图、政府、电信、电子商务和在线发布数据

InCountry支持面临地区隐私法限制的全球企业。与InCountry合作是遵守数据驻留法规和解锁新领域的最快方式。

data

Learn more about countries with data residency regulations by clicking the map

欧盟数据居留要求

欧盟有一个统一的数据保护法,称为GDPR(通用数据保护条例)。该法律规范了欧盟内部个人数据的处理,是欧盟隐私和人权法的重要组成部分。虽然欧盟目前没有具体的数据本地化要求,但最近隐私盾的失效可能意味着需要这样的要求。许多公司已经采取措施,确保其数据战略确保受监管数据在离开来源国之前实现数据本地化。

受监管的数据类型

  • 画像,就业,金融,健康,支付。

接收和持有任何受监管数据类型以遵守GDPR要求的组织。根据《通用数据保护条例》,公司必须在欧盟内部保护数据的安全,如果数据要在欧盟外部传输,则只能传输给已签署同等隐私保护协议的国家或组织

从技术角度来说,这是如何工作的?转移意味着源数据被转移到欧盟以外的机器上。但是,当欧盟以外的员工访问数据时,也可能发生这种情况——例如,印度的开发人员正在检查日志,或者新加坡的支持工程师正在帮助客户并查看他的数据。

这些操作也被视为数据传输(因为数据会转移到另一个国家),所以在理想的世界里,你必须确保只有欧盟公民和UE机器与数据交互。在 EEA 之外的存储、处理和访问都将算作传输。。这对您的处理体系结构有重大影响。例如,如果您拥有美国和国际客户群,则需要在多个国家/地区分别存储和处理数据。

然而,如果您同意应用GDPR数据保护原则或使用特殊的数据驻留即服务提供商来帮助在传输过程中保护数据,则此类传输仍然可以。(这句话有多正确?)

有用的链接

GDPR国家实施指南

俄罗斯数据居留法

俄罗斯的数据保护规则见具体立法,特别是2006年7月27日颁布的第152 FZ号《数据保护法》以及为实施该法而通过的各种监管法案。俄罗斯的其他一些数据居留法是2006年7月27日颁布的第149号《信息、信息技术和信息保护法》,该法规定了有关一般信息及其保护的基本规则。

如果该信息识别了特定的个人,则该信息被视为个人数据。本地化规则仅适用于有意采取具体行动的公司:收集、记录、系统化、积累、存储、澄清(更新和修改)和提取个人数据。

然而,俄罗斯数据居留法并不禁止进一步处理俄罗斯人在国外的个人数据,如果这些数据以前包含在俄罗斯数据库中,并在必要时更新。

因此,个人数据的使用、传输(分发、提供)、去个性化、屏蔽、删除或销毁可以使用俄罗斯以外的数据库进行。

受监管的数据类型

  • 画像; 金融; 员工; 健康(允许在俄罗斯联邦境外保存镜像副本)。
  • 支付数据细节:所有信用卡,包括国际信用卡,国内交易都通过俄罗斯国家支付系统处理。
  • 内部交易记录应在俄罗斯联邦境内处理和存储。

俄罗斯的数据居留法——如何运作

从技术上讲,数据本地化法适用于所有在俄罗斯没有正式存在但在当地市场有商业活动的俄罗斯公司、外国公司的分支机构和代表处,以及在俄罗斯境外成立的其他法律实体。

如果一家国际公司使用域名“.ru,.рф”,拥有俄语网站,以俄罗斯卢布付款或向俄罗斯联邦发货,则该法律也适用。因此,任何在俄罗斯或与俄罗斯人开展业务的公司都可能受到法律的影响,即使它没有在俄罗斯注册。

如果上述任何一项适用于您的公司,它将被视为个人数据运营商,必须在俄罗斯联邦本地化其数据库。这些法律要求仅适用于截至2015年9月1日通过的条款,因此在此日期之前收集的个人数据无需转移到俄罗斯。

有用的链接

监管机构和法规

Roscomnadzor是控制公司如何在俄罗斯履行本地化职责的官方政府机构。其功能之一是能够启动场外或现场审计。在审计期间,国务院通常会检查运营商发送的通知,并可能需要任何必要的信息,例如确认数据库的存储位置。

结论

遵守第152号《数据保护法》需要律师和信息技术专家的参与,以创建处理个人数据的系统和政策。已经在俄罗斯开展活动的公司需要审查其数据库内容和处理个人数据的系统。一些数据库显然需要迁移到俄罗斯,根据当地的做法,将它们迁移到云端并不能解决这个问题。

阿联酋数据居留法

阿联酋有一些具体的方法来管理数据本地化法律。首先,阿联酋在联邦层面没有全面的数据保护法,但该国有许多法律管理隐私和数据安全。

此外,某些法律中也有针对特定行业的数据保护规定。此外,阿联酋有许多经济特区或无部门特区,其中三个特区有具体的数据保护法。这些是迪拜国际金融中心、阿布扎比全球市场(ADGM)和迪拜医疗保健城。

阿联酋的监管机构和法规

阿布扎比全球市场(ADGM)是一个位于阿联酋首都的自由区和国际金融中心。自2015年以来,该公司就制定了数据保护法规。为了使其定义与国际标准保持一致,并澄清一些要点,在《2018年数据保护(修订)条例》中对该法进行了某些修订。ADGM还在2017年12月成立了一个数据保护办公室(ODP),负责执行和控制法规。

阿联酋境内的另一个自由区,迪拜国际金融中心(DIFC)。自2007年以来,它制定了《数据本地化法》,并于2018年1月与国际标准接轨。数据保护专员办公室负责保护DIFC中的所有个人信息。

阿联酋数据本地化法律

阿联酋的数据保护受阿联酋中央银行和电信监管局(TRA)的联邦法律法规管辖。这些阿联酋联邦法律法规包含与隐私和个人数据保护有关的各种规定。

其中一些是:

  • 《网络犯罪法》——2012年第(5)号联邦法令。《网络犯罪法》将获取、持有、修改、销毁或披露(未经授权)与医疗记录有关的电子文件或电子信息定为犯罪(第7条)。
  • 《刑法》(经修订的1987年第3号联邦法律)
  • 阿联酋中央银行储值和电子支付系统监管框架(“数字支付监管”)2017年1月1日
  • 电信监管局(TRA)-《消费者保护条例》,第1.3版,2017年1月10日
  • DHCC健康数据保护条例2013年第7号
  • DIFC于2007年实施了《2007年数据保护法》第1号DIFC法,随后经《2012年数据保护修正法》第5号DIFC法律修订。
  • 《迪拜数据法》,2015年12月27日

受监管的数据类型

  • 资金健康物联网;简介(政府数据)。

数据驻留或数据传输限制

个人数据是否可以转移到阿联酋境内和/或境外的第三方?根据《刑法典》(第379条),如果有关人员以书面形式同意转让,则可以转让。关键的期望是得到相关人员的同意。

然而,对于金融类型的数据情况不同,阿联酋中央银行的“储值和电子支付系统监管框架”要求所有支付系统运营商(PSP)仅在阿联酋境内存储和保留所有用户和交易数据。

Cernatin限制也存在于电信行业。电信监管局(TRA)通过“2017年1月10日发布的消费者保护条例,第1.3版”要求,被许可人在与其附属公司和/或未直接参与提供用户订购的电信服务的其他第三方共享任何“用户信息”之前,应事先获得用户的同意。

此外,被许可方必须确保第三方采取一切合理和适当的措施来保护用户信息的保密性和安全性,第三方的义务应在合同中得到照顾,他们应负责保护用户信息。被许可人有义务确保采取一切合理措施保护其保存在文件中的用户信息的隐私,无论是电子形式还是纸质形式。

https://incountry.com/lp/whitepaper/incountry-datasheet-uae/

结论

重要的是要确保实施的最佳做法和数据合规控制的级别能够提供足够级别的受监管数据保护。组织现在应该看看他们如何在阿联酋收集、存储和使用冗余数据,并问问自己如何遵守当地法律。这可能涉及使用像InCountry这样的特殊数据驻留即服务平台。

越南的数据本地化法律

越南的数据本地化法律有一些具体规定。与其他国家不同,这个国家没有单一的全面数据保护法。

相反,数据保护法规目前分布在各种法案和指导性法律文件中。其中包括:民法典(2015)、电子交易法(2005)、信息技术法(2006)、消费者权益保护法(2010)、网络信息安全法(2015)和网络安全法(2018)。在这种情况下,公司有时很难确定数据保护法是否适用于每种特定情况。

受监管的数据类型

  • 简介、健康、员工。

越南数据本地化法律

以下主要法律和指导文件规定了收集、存储、使用、处理、披露或转移个人信息的关键原则:

  • 2018年6月12日国民议会通过的关于网络安全的第24/2018/QH14号法律(“网络安全法”);
  • 2015年11月19日国民议会通过的关于网络信息安全的第86/2015/QH13号法律;根据2018年11月20日第35/2018/QH14号法律修订,该法律对37项法律(“网络信息安全法”)规划的部分条款进行了修订;
  • 2016年7月1日关于分类信息系统安全的第85/2016/ND-CP号法令;
  • 信息和通信部2017年9月12日第20/2017/TT-BTTT号通知,对协调和应对全国信息安全事件的规定作出了规定。

值得一提的是,越南的每个方面、每个行业都可能有各自的规范性文件。换言之,法律文件的适用性将取决于每个商业案例的实际情况,例如,个人资料、健康、财务或员工数据可能会根据行业受到专门的数据保护法规的约束。《2012年劳动法》还对员工的个人信息做出了特别规定。

越南规范数据保护的最重要法律文件是什么?这是越南的网络安全法。与受欧盟《通用数据保护条例》启发的其他网络安全法不同,该法与2017年制定的中国《网络安全法》有相似之处。它侧重于为政府提供控制信息流的能力,而不是强制执行私人数据主体的数据隐私权。

目前正在制定的其他法律包括一项法令草案,其中详细说明了《网络安全法》的一些条款,一项法令草稿详细说明了一些网络安全保障措施的实施顺序和程序,以及一项总理发布对国家安全重要的信息系统清单的决定草案。

个人数据和数据主体定义

根据许多现有的法律文件,个人数据和数据主体的定义被称为不同的术语,如“私人生活”、“私人秘密”、“个人信息”、“客户信息”。然而,一般理解如下:

  • “个人数据”是指可识别个人的信息,其中可能包括其姓名、地址、种族、民族、教育、财务状况、就业史和其他信息;和
  • “数据主体”是指可以从此类个人数据中识别的人。

应遵守数据本地化法规的实体的定义是什么?它们也相对宽泛,在各种适用的法律中有不同的界定。通常,他们包括在越南处理(即收集、存储和处理)个人数据的个人和组织,其中可能包括外国实体。

在越南使用受监管数据的公司应遵守以下义务:

  • 在收集、共享、披露或向第三方传输个人数据之前,必须获得数据主体的同意。如果个人数据被传输给第三方并由第三方处理,那么在与第三方签订的合同中,必须有明确规定各方遵守数据保护相关规定的责任的条款;
  • 准备隐私通知,并确保数据主体可以轻松访问(例如在网站上);
  • 个人资料须在资料当事人提出要求或使用期限届满时予以删除;
  • 受监管的数据必须安全存储,并符合与国际标准(即ISO/IEC)和网络信息安全保障法规相兼容的技术标准;
  • 如有必要,可根据当地主管部门的要求进行检查,以控制和确保信息安全。

https://incountry.com/lp/whitepaper/incountry-datasheet-vietnam/

关注点和有用链接

在考虑在越南采用数据居住法时,考虑以下因素是有意义的:

  • 目前,没有办法正式检查有关监管和合规问题的统计数据或记录;
  • 要获得有关越南数据保护法规主题的更多信息,您可以访问越南信息安全协会-VNISA
  • 数据保护方面的不合规行为可能会受到制裁(甚至刑事制裁),具体取决于严重程度。尽管数据保护法规规定了许多义务,但有关处理不合规行为的法规尚未更新。

沙特阿拉伯数据居住法

沙特阿拉伯王国(KSA)的主要法律来源是伊斯兰教原则。这些都是源自《古兰经》和《圣训》的伊斯兰原则。除了伊斯兰教法原则外,KSA的法律还包括政府通过的世俗法规。

受监管的数据类型

  • 简介、健康、员工、财务。

云计算框架

KSA云计算监管框架(CCF)基于国际最佳实践,管理云服务提供商(CSP)、个人客户、政府实体和企业的权利和义务。CCF是世界上为数不多的云特定监管框架之一,包括数据保护原则。其中一些条款,如安全漏洞通知,符合欧盟采取的方法,而其他条款,如向通信和信息技术委员会(CITC)注册内容分类的要求,则是KSA特有的。

从数据保护的角度来看,CCF的一些最重要的功能是云服务提供商必须遵守的云安全要求。云客户信息可能受到不同级别的信息安全保护,这取决于所需的信息保密性、完整性和可用性保护级别。CSP还必须应要求通知任何云客户CSP提供的或应用于云客户信息的信息安全功能。

https://incountry.com/lp/whitepaper/incountry-datasheet-ksa/

有用的链接

政府通过了一些长期法规,尽管这些法规不是专门针对数据隐私/保护的,但在某些情况下包含了关于隐私权和数据保护的具体规定。

其中包括:

InCountry数据驻留即服务的工作原理

随着我们的世界一天比一天大,地区差异也出现了:埃及可以接受的个人信息使用在中国可能会引起争议。像 InCountry 这样的服务支持数据驻留,允许通过内部处理决策根据区域期望定制处理。

InCountry可以成为您在全球合规计划中的终极解决方案。我们的服务目前在80多个国家/地区提供,并且正在快速增长。我们的服务安全地管理您的受监管数据——让我们看看这是如何发生的。

可以使用InCountry收集和处理的数据类型:

  • 简介、财务、健康、员工、薪酬。

由于您希望以最小的工作量和最大的速度在全球范围内进行扩展,我们的解决方案是专门设计的,因此可以快速、经济高效地实施,以适应您所需的定制和控制量。

目前InCountry提供三种类型的产品:InCountryREST API和SDK、InCountyBorder、InCount Single-Tenant。

有关我们服务的更多信息,请点击此处

结论

虽然隐私的定义因地区而异,但有一点大家都同意——隐私很重要。展望未来总是很有挑战性的,但如果以过去五年为指导的话,隐私法的地区差异可能会增加。

支持数据驻留向客户发出两个信号。首先,支持数据驻留的企业尊重隐私。其次,支持数据驻留的业务可以满足区域数据保护和隐私要求。

在InCountry,我们相信数据居留即服务是那些寻求全球扩张并需要遵守不同国家数据居留法的公司的最终解决方案。与InCountry等服务提供商合作有助于确保信息的收集、处理和存储能够满足不同的期望。

准备好在数据驻留方面迈出下一步了吗?

文章链接
https://cioctocdo.com/data-residency-laws-country-overview

标签