數據主權是指數碼資料受收集或儲存所在國法律規管的原則。
目錄
數據主權含義
雖然機構可能擁有數據,但其實體儲存位置決定了哪個國家的法律系統對其擁有控制權。
數據主權是廣泛關注數據如何在全球流動及管理的一部分,尤其是隨著企業越來越依賴跨境雲服務。了解這個概念對於確保合規、管理網絡保安風險及維持客戶信任至關重要。
如何確定數據主權?
數據主權由多個因素決定,包括:
實體儲存位置:最直接的因素是數據儲存的位置。儲存在特定國家數據中心的資料受該國法律約束。
擁有權及控制權:即使數據儲存於本地,如果它由外國服務商控制,例如美國雲端法等外國法律仍可能允許外部機構存取。
國際法律框架:條約、互惠法律援助協議及不斷變化的國際法規可進一步複雜化主權問題。
例如,一家使用美國雲服務商在德國儲存數據的歐洲公司可能仍受美國機構根據美國法律提出的法律要求所約束,即使該數據實際位於歐洲。主權是一個複雜及多面性的風險領域,需要全面規劃及專家法律指引。
數據主權如何運作?
結合法律、技術策略及商業合約,加強數據主權:
國家法規:政府就如何跨境轉移數據設定數據保護標準及限制,例如透過 GDPR 或澳洲私隱法。
服務商協議:與雲端或資訊科技服務商訂立的合約應列明儲存地點、司法管轄區責任及處理法律要求。
技術控制:機構通常會採用本地託管金鑰、地理圍欄技術及嚴格的區域託管策略來部署數據加密等工具。
忽視對數據主權的實際執行可能會使企業遭受重大處罰、營運中斷及聲譽受損。
數據主權與數據駐留權與數據本地化
數據主權、數據駐留權及數據本地化均與數據本地化息息相關,涵蓋跨境管理數據的不同方面:
數據駐留是指數據儲存所在的實體位置。例如,一家公司可能決定在愛爾蘭而非美國儲存其客戶數據,以符合歐洲的私隱期望。駐留地定義了數據最初儲存的位置,但本身並不阻止數據被存取或跨境移動。
數據主權做得更徹底。這不僅關乎數據實際駐留的地方,亦關乎規管數據的法律,無論其位置如何。美國政府機構可能迫使美國雲服務商根據美國法律放棄歐洲儲存的數據,即使數據本身從未離開歐洲。
數據本地化是最嚴格的規則。它需要某些類型的數據,例如財務記錄、健康資訊或國家安全資料,必須完全在境內儲存和處理。例子包括俄羅斯的個人資料法律及印度擬議的數據保護框架,該框架要求對特定數據類型嚴格本地化。
簡而言之:駐留權是關於儲存,主權是關於控制和法律,而本地化是關於強制性的國內儲存和處理。
為何數據主權在網絡保安中很重要
數據主權正成為網絡保安策略的支柱,原因包括:
控制數據存取:受外國司法管轄區規管的數據可能受監控或須強制披露,亦可能無須經擁有人同意。了解數據主權策略確保對敏感數據的可預測性和保護性更高。
合規及監管風險:GDPR、HIPAA 及 CCPA 等法規對數據可傳送的位置及必須如何保護數據實施嚴格管控。違反這些要求可能導致嚴重的處罰,包括數百萬美元的罰款。
防範由國家支持的威脅:數據主權考慮有助機構防範地緣政治風險。在容易受監控或網絡攻擊的地區託管敏感數據,可增加網絡間諜或數據洩露的可能性。
客戶信任及聲譽:客戶愈來愈關注他們的數據存放地點,以及誰可以存取數據。在注重私隱的市場中,展示強有力的數據主權做法可以成為競爭的區別。
尊重數據主權原則不僅是合規問題,更是建立彈性及可信賴網絡保安計劃的基礎。
數據主權的主要挑戰
儘管如此,維持數據主權仍帶來重大的營運障礙:
司法管轄區衝突
全球企業經常發現自己受困於互相制衡的法律責任中。雲服務商必須遵守一個司法管轄區的要求,而該要求可能會與另一個司法管轄區的數據私隱法產生衝突。應對這些衝突需要複雜的法律策略,通常需要本地化措施。
政府監督及法律存取
外國政府可依法強制根據國家安全或執法命令存取數據。例如,美國雲端法賦予美國當局權利存取美國公司在海外儲存的數據,即使是在安全司法管轄區所託管的數據亦然。公司需要了解這種潛在風險,並在必要時討論緩解措施。
分散的雲端基礎架構
許多雲服務商會出於表現及冗餘原因在多個地區分散數據。這架構令用戶難以保證數據集的所有副本均保持在指定國家或法律範圍內,從而增加合規複雜性。
雲端數據主權
雲端為主權帶來機會及風險:
數據儲存位置通常為動態的公有雲環境,可能會在客戶失察的情況下無意中向多個司法管轄區洩露數據。
私有雲及混合雲可加強對數據位置的控制,為企業提供選項,以執行更嚴格的主權措施。
為了在雲端環境維持主權,機構應:
選擇特定地區的主機託管:選擇提供「主權雲端」方案的雲服務商,以保證區域數據儲存和管理。
使用客戶管理的加密金鑰:獨立於雲端廠商的加密管控,防止第三方在未經同意的情況下存取。
仔細審計合約:審查服務級別協議以了解司法管轄區風險條款,並確保數據流動的透明度。
實施嚴格的存取控制:透過持續監控,限制誰可以根據角色、地區及監管要求存取敏感數據。
AWS 數據主權
對於評估雲端策略的領導人而言,數據主權是一個關鍵考慮因素。雖然 AWS 提供區域數據託管服務,但其全球基建及美國法律義務仍可能將客戶資料洩露給外國司法管轄區。
AWS 提供強化管控及合規工具,包括:
特定地區儲存,以符合當地法規;
專為獨家基礎架構管控而設的主機;
由客戶管理的加密金鑰,以維持對數據存取的全面權限。
這些能力促成更強的監管協調,並減少法律風險,為在受監管行業或跨境營運的機構提供關鍵優先考慮。
如欲了解趨勢科技如何協助保護 AWS 環境,同時支援資料主權及合規,請瀏覽我們的 AWS 雲端保安方案頁面。
按國家劃分的數據主權法律
了解各國的數據主權法律如何變化對全球營運至關重要,下表概述了主要法規、對雲端儲存的影響及合規的實際考慮因素:
國家/地區
主要法律
雲端儲存限制
備註
美國
CLOUD Act + 特定行業的法律
無本地化要求;美國公司在全球的數據都可被存取
無論存放地點為何,美國供應商都可能須接受政府存取
中國
中華人民共和國個人信息保護法
需要海外資料傳輸的保安評估;關鍵資料嚴格本地化
專注於國家安全和數據主權
中國
中華人民共和國國家情報法
中國公司在全球的數據都可被存取
無論儲存地點如何,中國供應商都可能須接受政府存取
英國
英國通用資料保護法規
個人資料可以採用有保障的方式在國際上轉移
由 ICO 執行。英國脫歐後可能與歐盟通用資料保護法規存在分歧。
德國
Bundesdaten-schutzgesetz(BDSG)+ 歐盟通用資料保護法規
資料應儲存在歐盟或適當國家
執法力強;對違規處以高額罰款。本地託管最受青睞。
法國
CNIL 與歐盟通用資料保護法規
與德國類似,資料傳輸需要充分的保障措施
CNIL 支援本地託管;主機必須確保私隱保護。
澳洲
Privacy Act 1988
必須採取合理措施以確保海外接收方遵守
該法案正在改革中。違規處罰已增加。
印度
Digital Personal Data Protection Act (DPDP, 2023)
禁止未經同意轉移某些個人資料
本地化敏感資料的安排正在討論中。執行力正不斷增加。
巴西
Lei Geral de Proteção de Dados(LGPD)
允許以適當的法律基礎進行國際轉移
仍在發展中,正加強透過 ANPD 執法。
如何實現資料主權合規
尋求滿足數據主權要求的機構應制定綜合數據管治框架,包括:
綜合資料分類:根據敏感性、法規要求及地域限制對所有數據進行分類,以確保提供度身訂製的保護。
策略性加密:在靜態及傳輸時加密資料,加密金鑰與數據本身在同一司法管轄區內管理。
本地託管及冗餘計劃:可保證國內數據中心及符合主權要求的容錯移轉計劃的合作夥伴優先。
供應商風險管理:審查所有第三方供應商,確保其符合主權及合規期望,尤其是分包或跨境數據複製。
持續的法律及監管監控:緊隨不斷演變的資料保護法律,並準備好相應調整雲端或資料儲存策略。
投資於具主權意識架構的組織不僅可以減少法律及合規風險,亦可定位為負責任數據管理的領導者。
李兆熙是趨勢科技產品管理副總裁,負責領導企業電郵與網絡資訊保安方案的全球策略與產品開發。
常見問題
甚麼是數據主權?
數據的原則受儲存或處理國家的法律約束。
您如何確保數據主權?
透過在本地儲存數據、使用合規的雲服務商,以及應用加密及存取控制。
英國的數據主權法律是甚麼?
英國 GDPR 及 2018 年資料保護法案規管個人資料在英國境外儲存、處理及轉移的方式。
數據主權如何影響全球企業?
它影響公司儲存和處理數據的位置,影響合規、成本和營運靈活性。