跨境数据驻留解决方案DRaaS的合规问题——以InCountry为例
发布时间:2022-03-24
文 | 黄春林 钱静雯 汇业律师事务所
近年来,为了满足数据合规、税务筹划及安全备份等需要,越来越多的跨国公司有跨境数据驻留的需求。随着全球数据安全立法的加速,这一需求变得前所未有的迫切。
在中国,随着《网络安全法》《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》《数据出境安全评估办法(征求意见稿)》等法律法规及配套规则的陆续发布,如何平衡数据本地化与全球业务一致性,确保数据驻留与数据跨境合规,成为摆在众多跨国公司面前的一个重要难题。为了解决这一难题,业界给出了不同的解决方案,其中之一即是以InCountry等为代表的数据驻留解决方案(DRaaS,Data Residency-as-a-Service)。
本文中,结合近期中国立法趋势、行业实践及类似项目经验,汇业律师事务所黄春林律师团队简要分析以InCountry为代表的数据驻留解决方案在中国的主要合规问题,仅供参考。
一、数据驻留之合规需求
中国数据安全监管采取分类分级策略,因此,不同类型和不同级别的数据往往有不同的数据驻留合规需求。
1.数据备份驻留
该场景下合规需求是,在中国境内收集和产生的数据可以自由出境,在中国境内驻留数据备份即可,无需满足安全评估备案等其他合规要求,亦不管数据出境与境内驻留的先后顺序。
例如,根据《企业会计信息化工作规范》规定,“数据服务器部署在境外的,应当在境内保存会计资料备份”。
2. 数据受限驻留
这是当前中国数据合规中最常见的场景,其合规要求是,在中国境内收集和产生的数据应当驻留境内,确因业务等需要向境外提供的,应当满足安全评估备案等必要程序。该场景下要求数据本地驻留,并不绝对禁止数据出境,但是设置了数据出境的前置条件。
例如,下列数据应当在中国境内受限驻留:
(1)根据《网络安全法》及《数据安全法》等规定,CIIO在中国境内收集和产生的重要数据;
(2)根据《网络安全法》及《个人信息保护法》等规定,CIIO及特定PIP在中国境内收集和产生的个人信息;
(3)根据《汽车数据安全管理若干规定(试行)》《国家健康医疗大数据标准、安全和服务管理办法(试行)》等规定的特殊行业数据;
(4)参照《互联网个人信息安全保护指南》等内容,在境内运营中收集和产生的个人信息;等等。
值得注意的是,目前业界对如下问题仍然还有不少争议:经安全评估可以合规出境的数据是否还必须在境内驻留数据?以及,关于本地驻留与出境谁先谁后的顺序问题。汇业律师事务所黄春林律师认为,实际上,这个问题的争议者没有理解我国数据驻留合规要求的双重价值属性,即数据留驻立法是基于数据国家安全(或数据主权)和数据主体权益保护的双重价值选择。
3. 数据绝对驻留
在一些特殊场景下,考虑到数据的高敏感性和高安全性要求,法规要求数据绝对驻留本地,不得出境。
例如,根据《生物安全法》《人类遗传资源管理条例》等规定,我国人类遗传资源不得向境外提供。此外,《网络出版服务管理规定》《互联网域名管理办法》等也规定了应当在境内设置服务器的要求。
二、数据驻留解决方案
为了解决当地数据合规问题,业界给出了不同的解决方案,例如数据本地化方案、数据驻留方案等。纯粹的数据本地化方案,因数据不互通、全球管理不便、部署成本较高等原因,很多公司一直持观望态度。但是,因为能够较好地平衡当地数据合规及全球业务一致性、互通性的需求,数据驻留解决方案得到了部分咨询机构(例如埃森哲、IBM咨询等)、安全公司、云服务商(例如InCountry、Odaseva等)的广泛推崇。
InCountry就是其中的后起新秀。InCountry近期开始通过与国内阿里云合作,试水中国市场。在中国经营的跨国公司中,绝大多数使用全球统一部署的SaaS服务,例如SAP、ServiceNow、WorkDay、Salesforce等。但是,往往这些SaaS服务因为电信业务牌照等原因,未能落地中国,因此使用这些SaaS服务的跨国公司天然面临数据驻留合规的问题。InCountry也正是敏锐的看到了这一点,本文中,汇业黄春林律师团队以InCountry的Salesforce解决方案为例,简要介绍InCountry针对不同数据驻留需求的几种常见解决方案:
1. 数据备份驻留方案
(1)延时备份方案(legacy replication model)
(2)实时备份方案(UI-based replication model)
2. 数据受限驻留方案(restriction model)
3. 数据绝对驻留方案(redaction model)
以下是InCountry与阿里云合作在国内的解决方案示意图:
以下是某咨询公司的实施架构图:
汇业黄春林律师团队经常应客户要求出具类似InCountry的数据驻留解决方案(DRaaS)的合规意见,大家普遍关注的问题包括但不限于:
(1)InCountry是否有在中国直接提供DRaaS服务的资质?答案显然是否定的,也正因此,InCountry才在国内与阿里云合作,客户需要与阿里云签约。
(2)在中国的客户使用InCountry服务需要ICP许可证(来自InCountry意见)?答案也是否定的,需要根据客户的具体业务类型判断,但是ICP备案通常是需要的,因为阿里云需要。
(3)InCountry的数据驻留方案的核心是能够准确区分“规管数据(Regulated Data)”和“非规管数据(Non-regulated Data)”,这个在当前中国法语境下并非易事,这可能会让系统部署成本和合规成本居高不下。
(4)回答上一个问题,还会衍生出来一个问题, InCountry采用“one-way hash”处理个人信息等规管数据后传输至境外,但是按照中国法律,这种技术仅仅是一种去标识化的技术,处理后的个人信息仍然是个人信息,并不能彻底规避“单独同意”、“必要性”审计和出境安全评估等合规责任。当然,这种策略在某种程度能够提高数据安全性,或许有利于后续数据安全评估中的安全性评估。
(5)即便在数据绝对驻留模式(redaction model)中,InCountry介绍说可以从境外执行境内规管数据的验证等撞库操作,并返回“是/否”等逻辑值。如是一来,境外仍然能够通过这个方法实现数据融合及大数据分析,对于数据主权而言仍然是个潜在风险。
(6)InCountry通常把网页、代码、账密等当作非规管数据,但是对于一些特殊行业和特殊网络系统,中国法是要求该等系统也要本地化,甚至运维服务都要本地化。
(7)看起来InCountry与Salesforce是达成了战略合作,但是若在其他非合作SaaS服务或系统的交互界面中插入InCountry的API或SDK,并捕获、编辑和加密相关数据,是否会认为侵犯了该等SaaS服务商的软件著作权或者构成不正当竞争呢?
(8)InCountry的API或SDK,在国内过等保了吗?InCountry的HASH算法在国内开展密评了吗?
(9)之前,InCountry也在俄罗斯当地与Yandex.Cloud合作开展本地数据驻留服务,俄乌冲突发生后,从国家安全角度出发,该模式解决了相关SaaS服务的数据主权问题了吗?