跨境数据驻留解决方案DRaaS的合规问题——以InCountry为例

发布时间:2022-03-24

文 | 黄春林 钱静雯 汇业律师事务所

近年来,为了满足数据合规、税务筹划及安全备份等需要,越来越多的跨国公司有跨境数据驻留的需求。随着全球数据安全立法的加速,这一需求变得前所未有的迫切。

在中国,随着《网络安全法》《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》《数据出境安全评估办法(征求意见稿)》等法律法规及配套规则的陆续发布,如何平衡数据本地化与全球业务一致性,确保数据驻留与数据跨境合规,成为摆在众多跨国公司面前的一个重要难题。为了解决这一难题,业界给出了不同的解决方案,其中之一即是以InCountry等为代表的数据驻留解决方案(DRaaS,Data Residency-as-a-Service)。

本文中,结合近期中国立法趋势、行业实践及类似项目经验,汇业律师事务所黄春林律师团队简要分析以InCountry为代表的数据驻留解决方案在中国的主要合规问题,仅供参考。

一、数据驻留之合规需求

中国数据安全监管采取分类分级策略,因此,不同类型和不同级别的数据往往有不同的数据驻留合规需求。

1.数据备份驻留  

该场景下合规需求是,在中国境内收集和产生的数据可以自由出境,在中国境内驻留数据备份即可,无需满足安全评估备案等其他合规要求,亦不管数据出境与境内驻留的先后顺序。

例如,根据《企业会计信息化工作规范》规定,“数据服务器部署在境外的,应当在境内保存会计资料备份”。

2. 数据受限驻留

这是当前中国数据合规中最常见的场景,其合规要求是,在中国境内收集和产生的数据应当驻留境内,确因业务等需要向境外提供的,应当满足安全评估备案等必要程序。该场景下要求数据本地驻留,并不绝对禁止数据出境,但是设置了数据出境的前置条件。

例如,下列数据应当在中国境内受限驻留:

(1)根据《网络安全法》及《数据安全法》等规定,CIIO在中国境内收集和产生的重要数据;

(2)根据《网络安全法》及《个人信息保护法》等规定,CIIO及特定PIP在中国境内收集和产生的个人信息;

(3)根据《汽车数据安全管理若干规定(试行)》《国家健康医疗大数据标准、安全和服务管理办法(试行)》等规定的特殊行业数据;

(4)参照《互联网个人信息安全保护指南》等内容,在境内运营中收集和产生的个人信息;等等。

值得注意的是,目前业界对如下问题仍然还有不少争议:经安全评估可以合规出境的数据是否还必须在境内驻留数据?以及,关于本地驻留与出境谁先谁后的顺序问题。汇业律师事务所黄春林律师认为,实际上,这个问题的争议者没有理解我国数据驻留合规要求的双重价值属性,即数据留驻立法是基于数据国家安全(或数据主权)和数据主体权益保护的双重价值选择。

3. 数据绝对驻留

在一些特殊场景下,考虑到数据的高敏感性和高安全性要求,法规要求数据绝对驻留本地,不得出境。

例如,根据《生物安全法》《人类遗传资源管理条例》等规定,我国人类遗传资源不得向境外提供。此外,《网络出版服务管理规定》《互联网域名管理办法》等也规定了应当在境内设置服务器的要求。

二、数据驻留解决方案

为了解决当地数据合规问题,业界给出了不同的解决方案,例如数据本地化方案、数据驻留方案等。纯粹的数据本地化方案,因数据不互通、全球管理不便、部署成本较高等原因,很多公司一直持观望态度。但是,因为能够较好地平衡当地数据合规及全球业务一致性、互通性的需求,数据驻留解决方案得到了部分咨询机构(例如埃森哲、IBM咨询等)、安全公司、云服务商(例如InCountry、Odaseva等)的广泛推崇。

InCountry就是其中的后起新秀。InCountry近期开始通过与国内阿里云合作,试水中国市场。在中国经营的跨国公司中,绝大多数使用全球统一部署的SaaS服务,例如SAP、ServiceNow、WorkDay、Salesforce等。但是,往往这些SaaS服务因为电信业务牌照等原因,未能落地中国,因此使用这些SaaS服务的跨国公司天然面临数据驻留合规的问题。InCountry也正是敏锐的看到了这一点,本文中,汇业黄春林律师团队以InCountry的Salesforce解决方案为例,简要介绍InCountry针对不同数据驻留需求的几种常见解决方案:

1. 数据备份驻留方案

(1)延时备份方案(legacy replication model)

1.jpg(2)实时备份方案(UI-based replication model)

2.jpg2. 数据受限驻留方案(restriction model)

3.jpg3. 数据绝对驻留方案(redaction model)

4.jpg以下是InCountry与阿里云合作在国内的解决方案示意图:

5.jpg

以下是某咨询公司的实施架构图:

6.jpg三、数据驻留解决方案的主要合规问题

汇业黄春林律师团队经常应客户要求出具类似InCountry的数据驻留解决方案(DRaaS)的合规意见,大家普遍关注的问题包括但不限于:

(1)InCountry是否有在中国直接提供DRaaS服务的资质?答案显然是否定的,也正因此,InCountry才在国内与阿里云合作,客户需要与阿里云签约。

(2)在中国的客户使用InCountry服务需要ICP许可证(来自InCountry意见)?答案也是否定的,需要根据客户的具体业务类型判断,但是ICP备案通常是需要的,因为阿里云需要。

(3)InCountry的数据驻留方案的核心是能够准确区分“规管数据(Regulated Data)”和“非规管数据(Non-regulated Data)”,这个在当前中国法语境下并非易事,这可能会让系统部署成本和合规成本居高不下。

(4)回答上一个问题,还会衍生出来一个问题, InCountry采用“one-way hash”处理个人信息等规管数据后传输至境外,但是按照中国法律,这种技术仅仅是一种去标识化的技术,处理后的个人信息仍然是个人信息,并不能彻底规避“单独同意”、“必要性”审计和出境安全评估等合规责任。当然,这种策略在某种程度能够提高数据安全性,或许有利于后续数据安全评估中的安全性评估。

(5)即便在数据绝对驻留模式(redaction model)中,InCountry介绍说可以从境外执行境内规管数据的验证等撞库操作,并返回“是/否”等逻辑值。如是一来,境外仍然能够通过这个方法实现数据融合及大数据分析,对于数据主权而言仍然是个潜在风险。

(6)InCountry通常把网页、代码、账密等当作非规管数据,但是对于一些特殊行业和特殊网络系统,中国法是要求该等系统也要本地化,甚至运维服务都要本地化。

(7)看起来InCountry与Salesforce是达成了战略合作,但是若在其他非合作SaaS服务或系统的交互界面中插入InCountry的API或SDK,并捕获、编辑和加密相关数据,是否会认为侵犯了该等SaaS服务商的软件著作权或者构成不正当竞争呢?

(8)InCountry的API或SDK,在国内过等保了吗?InCountry的HASH算法在国内开展密评了吗?

(9)之前,InCountry也在俄罗斯当地与Yandex.Cloud合作开展本地数据驻留服务,俄乌冲突发生后,从国家安全角度出发,该模式解决了相关SaaS服务的数据主权问题了吗?


返回列表