跳转到主要内容

许多司法管辖区正在越来越多地颁布法律和法规,规定数据必须如何和在何处存储,无论是在各自的境内还是境外。其结果是不断演变的数据位置规则和限制网络。在这个由三部分组成的系列中,OneTrust DataGuide概述了数据本地化和数据驻留的关键趋势,概述了实现这些趋势的主要方法,以及与行业和数据类别相关的常见趋势。

出身背景

数据本地化与数据驻留

第一个重要的澄清点是数据驻留与数据本地化的概念。不幸的是,由于美洲地区立法中缺乏定义,以及许多当局交替使用这些术语,因此没有明确的定义。然而,从概念上讲,我们可以将数据驻留定义为管辖区指定其数据必须按地理位置存储的规则。另一方面,数据本地化通常可以定义为规定在某个管辖区内创建的数据必须保留在该管辖区内的规则。

美国

虽然从美国的角度来看,没有全面的联邦数据保护法,但存在与数据驻留/本地化或政府对某些类型数据的访问相关的部门法律。此外,组织在国外使用美国公民数据和向美国传输数据方面面临的许多障碍都通过机制解决,包括欧盟-美国隐私保护组织。然而,由于欧盟法院(“CJEU”)在数据保护专员诉脸书爱尔兰有限公司Maximillian Schrems(C-311/18)(“Schrems II案”)一案中的裁决,欧盟-美国隐私保护法案无效,在向美国和/或从美国传输数据方面留下了巨大的监管空白。

加拿大

与美国类似,加拿大法律对数据驻留或数据本地化没有明确定义。虽然《个人信息保护和电子文件法》SC 2000 c 5(“PIPEDA”)提供了全面的数据保护立法,但其数据居留义务侧重于数据如何在国外传输,而不是数据应存储在何处。值得注意的是,加拿大联邦和省级对某些类别的数据(如政府相关数据)有相当严格的本地化规则。这是许多司法管辖区的一个显著趋势,因为政府希望保护可能影响国家安全或公共安全的数据。

拉丁美洲

同样,在拉丁美洲,限制性本地化措施的部门例子有限,因为大多数法律都限制跨境数据传输。

趋势

总体而言,数据保护立法有所增加。在美洲,许多州、省和国家正在制定新的全面法律,明确或通过上文所述的关于转移的规则来处理居住问题。事实上,美国贸易代表办公室(USTR)发布了一份报告1,其中确认了数据本地化立法的快速增长,列出了21个拥有本地化措施的司法管辖区,USTR认为这些措施是数字贸易的障碍。

由于限制性本地化法律的增加,许多组织已经开始迁移到云,作为一种在管辖区存储数据的方式,而不必在管辖区内实际存在和操作。从美洲的角度来看,在制定区域性限制性法律方面有些犹豫不决。美国贸易代表报告在提到阿尔及利亚新颁布的电子商务法时指出,“这种本地化要求给服务供应商带来了不必要的成本,特别是外国公司,它们更可能依赖全球分布的数据中心”。在整个地区,许多人都担心数据本地化措施的有效性,包括加拿大商业委员会,该委员会表示,“要求[组织]在每次转移时获得同意是不切实际的,在许多情况下是不可能的”。2

同样,在美洲地区,关于数据驻留规则是否是有效工具的争论越来越激烈,这涉及到国家安全问题或加强对国家敏感数据的控制。这导致在贸易协定中纳入了明确禁止数据本地化措施的条款。最近的一项协议是于2020年7月1日生效的美国-墨西哥-加拿大协议,该协议规定,“任何一方均不得要求被保险人(covered person )在其领土内使用或定位计算设施,作为在该领土内开展业务的条件”。3美国与其对应方(如美国-欧盟、美国-日本和美国-肯尼亚)之间的其他双边协议条款中有类似的语言。此外,拉丁美洲的优惠贸易协定也包含了类似的观点。

划线方法

理解数据驻留要求的主要方法可能是一项困难的工作,因为许多政府没有充分解释这些规定背后的原因。此外,由于数据类别的敏感性,数据本地化和驻留要求往往是一个高度政治化的话题从美国的角度来看,这些法律主要是为了限制外国政府对存储在美国境外的数据的访问权。美国法律,如《澄清海外合法使用数据法》(“云法”)以及限制性国家安全法,如《通过提供拦截和阻止恐怖主义所需的适当工具团结和加强美国》(2001年《美国爱国者法》),证明了这一点。

当司法管辖区根据其他国家颁布的法律颁布法律时,数据驻留的政治性质也很明显。这方面的一个明显例子是加拿大的本地化法,该法最初是为了响应《爱国者法案》而引入的。事实上,在加拿大隐私专员办公室(“OPC”)向不列颠哥伦比亚省信息和隐私专员办公室提交的一份文件中,当时的隐私专员詹妮弗·斯托达特概述说,“对《美国爱国者法》对加拿大人个人信息隐私的影响所引起的关注实际上是一个更广泛问题的一部分[……]爱国者法案的颁布可能只是将这些问题推到前台的催化剂。”

在拉丁美洲,数据保护/隐私立法的主要焦点之一是该地区各国之间的数据自由流动增加-受传输限制。这一重点可能来自区域内的贸易协议;拉丁美洲拥有该区域内一些最大的优惠贸易协定,并与拉丁美洲国家签署了这些文书。此外,对本区域许多国家来说,数据保护仍处于初级阶段。

数据驻留要求和相关数据类别

对某些类型的数据有共同的限制。特别是,如前所述,与政府相关的数据通常吸引了美洲所有地区的驻留要求此外,会计和税务数据也有类似的趋势,即原始副本必须保存在区域内或者此类数据的转移必须得到相关当局的授权,如阿根廷、哥伦比亚和加拿大。以下是明确和隐含的居住和本地化要求的一些示例。

明确的

美国

  • 云法案 (CLOUD Act)

根据合法程序拥有、保管或控制的所有数据,无论数据位于何处,都可以通过使用与美国司法部和监管机构签订的双边协议进行访问,以便于执行。

  • 爱国者法案

大多数类别的个人信息,包括电话记录、计算机记录、信用历史和银行历史,都可以由美国政府机构访问,以防止和减轻恐怖主义。

加拿大

安全管理指令-附录J:安全分类标准

  • 数据(分类为“机密”或“受保护”)必须保存在加拿大境内或存储在加拿大政府的海外设施中。
  • 不列颠哥伦比亚省和新斯科舍省

某些公共部门机构(如医院、学校和政府机构)持有的数据只能在加拿大存储和访问,除非满足某些条件(新斯科舍省的《个人信息国际披露保护法》和不列颠哥伦比亚省的《信息自由和隐私保护法》)。

含蓄的

由于对跨境个人数据传输的共同限制,上述大多数管辖区都有隐含的数据驻留要求。许多司法管辖区采用了与欧盟《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)类似的方法,并规定了限制,包括当局的授权、安全措施以及数据传输到的国家的充分性要求。

执法趋势

在整个美洲,数据驻留和本地化方面的执法趋势相当有限。然而,在某些司法管辖区,从部门角度来看,正在考虑一些法规,这些法规可能会导致执法行动的增加。

挑战和影响

数据驻留和本地化制度的最大挑战之一是合规成本。除其他原因外,这导致在双边贸易协定中包括了禁止本地化规则的条款,如美国-墨西哥-加拿大协定。这些条款旨在降低移动数据的成本,并为组织提供更高的确定性。此外,数据类型的定义各不相同,吸引了常驻要求,导致组织更加混乱。

结论

数据驻留是一个不断发展的概念,各国的做法各不相同。尽管对此类规则的必要性仍存在争议,但司法管辖区正在越来越多地颁布法律和法规,导致更复杂的监管框架。值得注意的是,由于驻留的普遍性,组织必须考虑其义务,并密切关注不断变化的规则。

1. Available at: https://ustr.gov/sites/default/files/files/reports/2021/2021NTE.pdf
2. Available at: https://thebusinesscouncil.ca/report/data-driven/
3. Available at: https://ustr.gov/sites/default/files/files/agreements/FTA/USMCA/Text/19-Digital-Trade.pdf
4. Available at: https://www.priv.gc.ca/media/1296/sub_usapa_040818_e.pdf

本文:https://cioctocdo.com/international-understanding-data-residency-part-o…