【数据保护】数据主权vs数据驻留vs数据本地化

cioctocdo

13 February 2023

SEO Title

在违反法规时，混淆数据主权、数据驻留和数据本地化这三个术语可能会让您的业务付出代价。您不仅需要区分这三个术语，还需要了解它们对数据的影响。

“数据主权”、“数据居留权”和“数据本地化”这三个术语通常会让企业在跨境管理数据，尤其是在云基础设施上管理数据时产生困惑。事实上，它们被互换使用，以至于它们各自的意义都失去了。

这种可互换的使用最明显的证据是，在谷歌等搜索引擎中，每个词的搜索次数都保持了显著的一致性。尽管新立法和新闻文章带来了各种高峰，但全球对“数据居留权”和“数据本地化”的兴趣几乎完全相同，“数据主权”的搜索量略有减少，但仍遵循相同的粗略趋势。

Data Sovereignty vs Data Residency vs Data Localization

然而，为什么存在这些术语？为什么它们可以互换使用？他们的实际差异（不仅仅是哲学差异）是什么？为什么企业需要保持领先？

这三个术语如何相互关联？

它们实际上是一个概念的三个层面：数据隐私如何影响跨境数据流。近年来，这一问题变得越来越重要，去年的GDPR立法赋予了个人更大的权利，让他们了解欧盟内外的企业如何使用他们的数据。

Insights for Professionals进行的研究发现，近50%的IT领导者关注数据主权/居留权/控制问题。

处理国际数据的组织必须确保数据隐私在跨境共享时不会受到威胁。同样，了解在某个国家存储数据的法律要求对于满足数据隐私和安全标准至关重要。

1.什么是数据驻留？

数据驻留是指企业、行业机构或政府指定其数据存储在其选择的地理位置，通常是出于监管或政策原因。

数据居留权要求的一个典型例子是，公司希望利用更好的税收制度。这样做通常需要企业证明其在该国境外开展的核心业务活动（包括数据处理）比例不太大。因此，他们将实施数据驻留，要求他们使用某些基础设施，然后对自己和任何云服务提供商实施严格的数据管理工作流，以保护他们的税收权利。

数据主权与数据居留权的不同之处在于，数据不仅存储在指定位置，而且还受其物理存储所在国的法律管辖。这一差异至关重要，因为数据主体（任何个人数据被收集、持有或处理的人）将根据数据中心存放其数据的实际位置而受到不同的隐私和安全保护。

这一差异对企业来说也至关重要，因为各国政府获取其境内数据的权利差异很大。这就是数据主权和居留权经常被混淆的地方。无论出于何种原因（无论是避免或利用法律、法规和税收制度，还是纯粹出于偏好和舒适），确保数据位于地理位置都是一个数据驻留问题。但数据受该国法律保护和惩罚的原则是数据主权问题。

它们显然是相关的，甚至是一个硬币的两面，但一个是国家法律权利和义务的问题，而另一个是地理问题。认识到这一区别将有助于专业人员更好地为合规的数据管理和交换做好准备。

这是这三个概念中最严格和最具限制性的概念，与数据主权一样，是基于法律义务的数据居留权。这也是国际上增长最快的概念。

数据本地化要求在特定边界内创建的数据保持在边界内。与上述两个术语不同的是，它几乎总是适用于个人数据的创建和存储，例外情况包括一些国家对税收、会计和赌博的规定。

在许多情况下，数据本地化法律只是要求在该国境内保存此类数据的副本，通常是为了保证相关政府可以审核其本国公民的数据（前提是有正当理由），而不必与另一个政府的隐私法相争。印度的个人数据保护法案草案就是一个很好的例子（您可以在我们的数据隐私服务总监博客中看到更多关于该法案的讨论）。

然而，有些国家的法律非常严格，根本无法阻止其越境。例如，俄罗斯的《个人数据法》（OPD法）要求其公民数据的存储、更新和检索仅限于俄罗斯联邦境内的数据中心资源。

对这些法律的典型批评是，它们利用加强网络安全或公民隐私保护的幌子来掩盖国家保护主义的真正动机。据称，这种基于边界的数据孤岛阻碍了企业和政府充分发挥数据提供的潜力，并助长了数字派系主义和“分裂网络”。

但不管围绕这些做法的争论如何，我们发现高管们往往需要更好地理解这三个术语之间差异的重要性。作为数据隐私专业人士，我们可能会坚持在正确的环境中使用正确的词汇，但这些词汇在我们所从事的业务中以及甚至其他行业评论员之间互换使用的频率和方式表明了一种危险的广泛误解。

解决您自己业务中的任何级别的困惑都将使您能够确定适用于您的确切义务，并更严格地询问您的云服务提供商的能力。

文章链接