【数据主权】云中的数据主权：如何保护您的数据

世界已经变得如此数字化，并产生如此多的数据，以至于许多国家颁布了具体的立法来规范如何在其境内管理数据。 数据主权是确保数据收集、存储和处理各个阶段的地方立法。 其中一些法律禁止在国外共享数据，从而促进国内本地化。

一百多个国家制定了某种类型的数据监管立法。 监管的大杂烩使得全球数据保护领域有些不协调且难以驾驭。

本指南介绍了数据主权，研究了主要司法管辖区的一些最重要的法律，并提供了有用的解决方案，以便在您所在的位置掌握云数据主权法律。

什么是数据主权？

各国使用“主权”一词来表示其政府对其境内发生的事情拥有绝对控制权，并且不受外部影响。 同样，数据主权意味着一个国家对其境内数据的处理拥有权力。 这包括如何处理、存储和保护它。

与数据主权相关的两个术语是：

• 数据驻留，与数据处理和存储的地理位置有关；
• 数据本地化要求在本地处理和存储数据，并在传输数据之前获得个人、政府或两者的同意。
• 如果数据涉及其公民或居民，一个国家不仅可以在其境内，而且可以在境外拥有数据主权。

一个人的数据就像一个人的数码照片，正如个人受到法律的监管一样，他们的个人信息也受到国内数据法的管辖。

管理数据的实体必须遵守数据主权要求，以避免无意的侵犯。

什么是云中的数据主权？

当使用当地基础设施处理数据时，主权显然属于处理所在国家。 然而，云使得在许多不同区域处理和存储数据成为可能，而不必关心处理者的物理位置。 尽管这可能会带来一些挑战，但毫无疑问，此类数据仍然受到其来源国和基础设施拥有国的监管。 这就是所谓的云数据主权。

与数据主权相关的关键考虑因素

控制者和处理者在遵守数据主权合规性时必须注意一些特定的注意事项。

他们之中有一些是：

不断的法律审查

数据主权是一个现代且不断发展的问题。 许多国家仍处于纠正错误的过程中。 因此，随着各国努力制定完善的立法来建立数据主权，政策处于不断变化的状态。

扩张

进入新的全球地区总是一件积极的事情，但增长也伴随着新的挑战。 即使在您所在国家/地区接待外籍客户也会增加您的企业必须遵守的一系列数据主权要求。

透明度

虽然合规性是内部工作，但必须接受外部衡量和审查。 这将要求公司捕获其流程并不时接受监管机构的检查。

云端

云对于软件技术具有无限的好处，但其分散的基础设施可能使合规性变得相当复杂。 公司必须留在其运营所在国家/地区的云基础设施部署范围内。 然而，缺点是这些本地基础设施可能会限制这些公司利用云服务的程度。

成本

遵守数据法可能会导致公司运营费用增加。 例如，在技能培训、采购新设备、基础设施升级等过程中经常会产生成本。

根据云端数据主权存储和传输数据

云中的数据主权要求在存储和传输过程中采取一定的做法。

对于数据存储（静态数据），合规性的第一步是决定数据的存储位置，是现场还是云端。 当然，云的使用更具挑战性，但遵守一些最佳实践可以大大减轻负担。 使用云的公司通常通过将数据存储在多个位置来复制这些数据。 这应该以云服务提供商的准确信息为指导，帮助企业根据各自的监管要求选择最有利的存储区域。

对于数据传输（传输中的数据），公司必须确保两端（来源国和目的地）遵守数据主权。 它有助于仔细审查每个地区的法律并相应地调整流程。

由于数据在传输过程中容易受到攻击，因此在传输过程中应部署加密和访问控制等安全协议。

云提供商和数据主权之间存在着重要的联系，因为他们最熟悉地区法律并可以帮助公司遵守。

各国云数据主权

在本节中，我们将按国家/地区检查一些关键数据驻留要求：

中国：

《个人信息保护法》（PIPL）是中国的最高数据立法。 它对数据保护做出了一般性规定——如何处理和跨境传输敏感信息、处理者的义务以及违约责任。 众所周知，PIPL 还向数据主体提供广泛的权利，以了解和理解他们的个人信息如何被使用。

中国其他主要数据立法包括《数据安全法》和《网络安全法》。 前者管理数据处理、安全和本地化，限制在中国境外的传输以满足某些条件。 另一方面，《网络安全法》通过规定关键信息基础设施（CII）、网络设备认证等安全措施规范国家网络空间。 其目的是为阿联酋公民和居民提供对在线活动更大的控制感、安全感和信任感。

欧洲：

《通用数据保护条例》从根本上改变了欧盟国家数据主权的范围。 其他国家在制定法律时也大量借鉴了该条例的一些特点。 目前，根据GDPR的规定，将欧盟任何成员国的数据导出到欧盟以外的其他国家都是非常困难的。

GDPR 具有某种形式的域外影响力。 它适用于处理欧洲居民个人信息的人员，无论他们是否在欧洲境外。 GDPR 可以说是世界上最严格的保护法，也是使用最广泛的保护法，因为它在整个大陆都适用。

印度尼西亚：

《个人数据保护法》（印度尼西亚共和国 2022 年第 27 号法律）于 2022 年 10 月 17 日生效。与其他数据保护法一样，PDPL 适用于印度尼西亚境内外的运营（如果影响国家或地区）。 它的公民。

PDPL是根据同意、目的限制、必要性和合法性等数据隐私的一般原则起草的。 它明确概述了保护个人信息免遭非法访问的措施、数据主体的权利以及将个人数据传输到印度尼西亚境外的条件。

印度尼西亚的其他保护法包括 2008 年第 11 号《电子传输法》、2016 年第 20 号通信和信息部长条例等。

阿联酋：

阿联酋 2021 年第 45 号联邦法涉及个人数据保护，内容广泛。 它通过提供在每种情况下采用的技术和组织措施来规范数据收集、隐私、使用、保留、同意、传输等。 该立法为安全可靠的数字环境提供了明确而全面的规则。

另一项保护法是 2019 年第 2 号联邦法，专门为保护健康信息而颁布。 它赋予个人选择如何处理自己的权利。

阿联酋境内各州也有各自的数据保护法律。 迪拜国际金融中心 (DIFC) 数据保护法，即 2020 年第 5 号 DIFC 法，是规范迪拜国际金融中心 (DIFC) 内个人和组织数据的立法。

此外，2018 年阿布扎比全球市场 (ADGM) 第 2 号数据保护条例：规范 ADGM 内的数据处理，类似于 DIFC 法，并提供补充指南以帮助合规。

日本：

日本现行的数据主权法是对当时不断发生的数据泄露事件的回应。 第一部数据保护法于 2003 年制定，但个人信息保护 (APPI) 是在 2015 年制定的，旨在解决数字数据传输中的新问题。 随后对该法律进行了审查，以涵盖传输和监控、匿名数据的使用以及泄漏管理等灰色地带。

InCountry 方法：如何遵守数据主权

云中的数据主权问题可能会给数据处理公司带来真正的挑战，尤其是那些在多个司法管辖区运营的公司。

InCountry 在全球范围内提供数据驻留即服务。 该解决方案意味着立即遵守各个国家/地区的所有保护法。

以下列出了 InCountry 可以帮助您实现数据合规性的一些方法：

• 在多个国家/地区快速实施：InCountry 在全球 90 多个国家/地区开展业务，并且这一数字还在不断增加。

这意味着您可以在决定开设商店的任何国家/地区使用 InCountry 作为一站式解决方案。

• 本地化：InCountry 始终与每个国家/地区的数据驻留和本地化要求保持一致。 我们经过认证的云基础设施有助于将受监管的数据本地化于现有的顶级数据中心。
• 安全性：InCountry 仅使用并提供业界最佳的安全标准和保护措施，例如高级数据加密（SHA-256 和 AES-256）、防火墙、网络隔离和入侵检测。
• 合规的云提供商：InCountry 与经过验证且值得信赖的安全合规云服务提供商合作，以满足您公司的需求。