跨境数据驻留解决方案DRaaS的合规问题——以InCountry为例
发布时间:2022-03-24
文 | 黄春林 钱静雯 汇业律师事务所
近年来,为了满足数据合规、税务筹划及安全备份等需要,越来越多的跨国公司有跨境数据驻留的需求。随着全球数据安全立法的加速,这一需求变得前所未有的迫切。
在中国,随着《网络安全法》《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》《数据出境安全评估办法(征求意见稿)》等法律法规及配套规则的陆续发布,如何平衡数据本地化与全球业务一致性,确保数据驻留与数据跨境合规,成为摆在众多跨国公司面前的一个重要难题。为了解决这一难题,业界给出了不同的解决方案,其中之一即是以InCountry等为代表的数据驻留解决方案(DRaaS,Data Residency-as-a-Service)。
本文中,结合近期中国立法趋势、行业实践及类似项目经验,汇业律师事务所黄春林律师团队简要分析以InCountry为代表的数据驻留解决方案在中国的主要合规问题,仅供参考。
一、数据驻留之合规需求
中国数据安全监管采取分类分级策略,因此,不同类型和不同级别的数据往往有不同的数据驻留合规需求。
1.数据备份驻留
该场景下合规需求是,在中国境内收集和产生的数据可以自由出境,在中国境内驻留数据备份即可,无需满足安全评估备案等其他合规要求,亦不管数据出境与境内驻留的先后顺序。
例如,根据《企业会计信息化工作规范》规定,“数据服务器部署在境外的,应当在境内保存会计资料备份”。
2. 数据受限驻留
这是当前中国数据合规中最常见的场景,其合规要求是,在中国境内收集和产生的数据应当驻留境内,确因业务等需要向境外提供的,应当满足安全评估备案等必要程序。该场景下要求数据本地驻留,并不绝对禁止数据出境,但是设置了数据出境的前置条件。
例如,下列数据应当在中国境内受限驻留:
(1)根据《网络安全法》及《数据安全法》等规定,CIIO在中国境内收集和产生的重要数据;
(2)根据《网络安全法》及《个人信息保护法》等规定,CIIO及特定PIP在中国境内收集和产生的个人信息;
(3)根据《汽车数据安全管理若干规定(试行)》《国家健康医疗大数据标准、安全和服务管理办法(试行)》等规定的特殊行业数据;
(4)参照《互联网个人信息安全保护指南》等内容,在境内运营中收集和产生的个人信息;等等。
值得注意的是,目前业界对如下问题仍然还有不少争议:经安全评估可以合规出境的数据是否还必须在境内驻留数据?以及,关于本地驻留与出境谁先谁后的顺序问题。汇业律师事务所黄春林律师认为,实际上,这个问题的争议者没有理解我国数据驻留合规要求的双重价值属性,即数据留驻立法是基于数据国家安全(或数据主权)和数据主体权益保护的双重价值选择。
3. 数据绝对驻留
在一些特殊场景下,考虑到数据的高敏感性和高安全性要求,法规要求数据绝对驻留本地,不得出境。
例如,根据《生物安全法》《人类遗传资源管理条例》等规定,我国人类遗传资源不得向境外提供。此外,《网络出版服务管理规定》《互联网域名管理办法》等也规定了应当在境内设置服务器的要求。
二、数据驻留解决方案
为了解决当地数据合规问题,业界给出了不同的解决方案,例如数据本地化方案、数据驻留方案等。纯粹的数据本地化方案,因数据不互通、全球管理不便、部署成本较高等原因,很多公司一直持观望态度。但是,因为能够较好地平衡当地数据合规及全球业务一致性、互通性的需求,数据驻留解决方案得到了部分咨询机构(例如埃森哲、IBM咨询等)、安全公司、云服务商(例如InCountry、Odaseva等)的广泛推崇。
InCountry就是其中的后起新秀。InCountry近期开始通过与国内阿里云合作,试水中国市场。在中国经营的跨国公司中,绝大多数使用全球统一部署的SaaS服务,例如SAP、ServiceNow、WorkDay、Salesforce等。但是,往往这些SaaS服务因为电信业务牌照等原因,未能落地中国,因此使用这些SaaS服务的跨国公司天然面临数据驻留合规的问题。InCountry也正是敏锐的看到了这一点,本文中,汇业黄春林律师团队以InCountry的Salesforce解决方案为例,简要介绍InCountry针对不同数据驻留需求的几种常见解决方案:
1. 数据备份驻留方案
(1)延时备份方案(legacy replication model)
(2)实时备份方案(UI-based replication model)
2. 数据受限驻留方案(restriction model)
3. 数据绝对驻留方案(redaction model)
以下是InCountry与阿里云合作在国内的解决方案示意图:
以下是某咨询公司的实施架构图:
三、数据驻留解决方案的主要合规问题汇业黄春林律师团队经常应客户要求出具类似InCountry的数据驻留解决方案(DRaaS)的合规意见,大家普遍关注的问题包括但不限于:
(1)InCountry是否有在中国直接提供DRaaS服务的资质?答案显然是否定的,也正因此,InCountry才在国内与阿里云合作,客户需要与阿里云签约。
(2)在中国的客户使用InCountry服务需要ICP许可证(来自InCountry意见)?答案也是否定的,需要根据客户的具体业务类型判断,但是ICP备案通常是需要的,因为阿里云需要。
(3)InCountry的数据驻留方案的核心是能够准确区分“规管数据(Regulated Data)”和“非规管数据(Non-regulated Data)”,这个在当前中国法语境下并非易事,这可能会让系统部署成本和合规成本居高不下。
(4)回答上一个问题,还会衍生出来一个问题, InCountry采用“one-way hash”处理个人信息等规管数据后传输至境外,但是按照中国法律,这种技术仅仅是一种去标识化的技术,处理后的个人信息仍然是个人信息,并不能彻底规避“单独同意”、“必要性”审计和出境安全评估等合规责任。当然,这种策略在某种程度能够提高数据安全性,或许有利于后续数据安全评估中的安全性评估。
(5)即便在数据绝对驻留模式(redaction model)中,InCountry介绍说可以从境外执行境内规管数据的验证等撞库操作,并返回“是/否”等逻辑值。如是一来,境外仍然能够通过这个方法实现数据融合及大数据分析,对于数据主权而言仍然是个潜在风险。
(6)InCountry通常把网页、代码、账密等当作非规管数据,但是对于一些特殊行业和特殊网络系统,中国法是要求该等系统也要本地化,甚至运维服务都要本地化。
(7)看起来InCountry与Salesforce是达成了战略合作,但是若在其他非合作SaaS服务或系统的交互界面中插入InCountry的API或SDK,并捕获、编辑和加密相关数据,是否会认为侵犯了该等SaaS服务商的软件著作权或者构成不正当竞争呢?
(8)InCountry的API或SDK,在国内过等保了吗?InCountry的HASH算法在国内开展密评了吗?
(9)之前,InCountry也在俄罗斯当地与Yandex.Cloud合作开展本地数据驻留服务,俄乌冲突发生后,从国家安全角度出发,该模式解决了相关SaaS服务的数据主权问题了吗?
