数据要保存在中国境内,出境需要申请安全评估。
全球范围内,信息数据不可以离境是一件被讨论很久的事情。
中国、俄罗斯、印度、越南以及欧盟成员国等国家都对数据离境辅以相对较严格的监管要求。
4 月 11 日,中国网信办发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,要求中国境内提供网络服务的企业或个人,对于运营中收集和产生的个人信息和重要数据,应当在中国境内存储。如果因业务需要,需向境外提供的,则照章进行安全评估。
图中颜色越深(深蓝色最深)的国家,对数据离境要求越严格,它们是中国、俄罗斯、印度、尼日利亚、越南、印尼。欧盟的紫色被划分为次一级严格。图/albrightstonebridge
个人信息是指姓名、出生日期、身份证件号码、电话、指纹等,无论是以电子或纸质文件存储的信息,都需经用户同意才可以申请出境。未成年人个人信息出境须经其监护人同意。
重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据,包括核设施、化学生物、国防军工、人口健康等领域数据,或者包含关键信息基础设施的系统漏洞、安全防护等网络安全信息。
这些数据出境监管方式跟个人信息一样,也要先报请监管部门进行评估。
去年 12 月 Airbnb 正式进入中国,当时它们就表示将应监管要求把用户的个人数据存储在本地服务器上,它还与上海、深圳、重庆以及广州的地方政府达成了新的协议。
可预见的是今后企业会在告用户书或使用协议里加上一条“本人已同意将个人信息交由 xx 企业处理,包括但不限于存储、转移、出境……”。
此外,如果企业已经获取累计 50 万人以上的个人信息或者数据量超过 1000 GB,数据出境需报请监管部门进行安全评估。
1000 GB 约等于 1 TB,也就跟今天大多数人电脑硬盘容量相当。
此次网信办还规定了一些数据不准出境的情况,包括:
- 没有得到个人允许的;
- 对国家政治、经济、科技等带来安全风险的;
- 以及被国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
但这些规定说的很含糊,企业操作过程中可能会遇到需要频繁向监管部门进行报备的情况。
《华尔街日报》表示跨国公司通常反对数据本地化,因为这会使它们在各提供服务的国家或地区重复建设基础设施或租用当地服务器,这可能会提高成本,不利于跨境业务快速展开。
通常来说,跨国公司以往是数据根据需求分散在全球各地的服务器保存,原本是一个技术上的事情,即公司设海外数据中心更关心传输效率和数据安全问题。
比如 Facebook 的第一处海外数据中心设在常住人口不到 8 万人的瑞典北部城市吕勒奥,原因是那里作为工业城市,电网可靠、电价便宜,又因为靠近北极圈,低气温有利于数据中心散热。Facebook 每天十亿活跃用户发表在网上的各类消息,欧洲地区的数据会在这里交换汇总。
除此以外,选择不同数据存储的位置也是公司规避政策风险的一个方法。
微软曾于去年起诉美国司法部不让用户知道政府秘密获取数据。美国政府当时想获得微软海外服务器上的数据。
但随着现在政策愈发收紧,跨国公司找海外数据安全港是越来越难了。