資料主權是指資料受到資料來源國家或地區的法律法規的約束。
複製文章連結
「資料主權」一詞是指在特定地理位置(例如特定國家/地區或歐盟 (EU))收集或儲存的資料(例如智慧財產權、財務資料或個人資訊)應受該位置法律的約束。無論人們是在電子商務網站中輸入信用卡資訊還是在社交媒體平台上發表評論,資料主權規則的目的都是確保這些使用者資料受到使用者所在國家/地區的法律框架的監管。
資料主權的廣泛概念常常與資料隱私、政府對資料的存取、安全性、國際商務競爭和人權等議題交織在一起。一些資料主權範式試圖確保在一個管轄區域內產生的資料實際上保留在該管轄區域內。另一些做法則希望確保在某個司法管轄區域產生的資料即使在另一個司法管轄區域處理或儲存,也仍然受到該司法管轄區域的法律保護。還有一些試圖確保在一個司法管轄區域產生的資料至少仍然可供該司法管轄區域的執法部門使用,無論這些資料是否也在其他地方處理或儲存。
幾乎每個國家/地區都有某種資料保護法,為從其公民處收集的個人資訊提供一定的保護。資料主權規則的相關範例包括:
如需資料主權監管的範例,想像一下一家向世界各地(包括歐盟)客戶銷售產品的電子商務商店。為了履行來自歐盟的客戶訂單,該商店收集並處理各種使用者資料,包括姓名、地址和帳單資訊。
無論該電子商務商店位於何處,歐盟 GDPR 都將適用於歐盟客戶的資料。這意味著該商店必須在收集資料之前明確通知客戶,並且僅收集與交易相關的個人資訊(在本例中為與訂單履行相關的資訊)。如果商店出於其他原因(例如傳送行銷電子郵件)想要收集和使用更多的個人資訊,商店將需要獲得客戶的同意(可以隨時撤銷)。
此外,根據 GDPR,客戶可以要求存取其收集的資料,並要求公司糾正或刪除其資料(「資料主體要求」),這意味著該電子商務商店還必須建立系統來接受和回應此類資料主體要求。
資料主權和資料當地語系化是密切相關的概念。如上所述,資料主權是指資料受資料處理所在國家或地區的法律管轄。同時,資料當地語系化是指將資料儲存在資料來源國家或地區的實體邊界內的做法。它通常用於確保高度敏感的資訊(例如銀行詳細資訊或醫療資訊)仍然符合當地法規,因為將這些資料傳輸到另一個地區或在另一個地區處理這些資料可能會使組織面臨合規風險。
回到上面描述的電子商務企業:從處理個人資料的那一刻起,就需要遵守適用於所收集的消費者資料的不同法律框架。除非該企業希望遵循最具保護性的法規並將其套用至所有客戶資料,否則該電子商務企業將需要對應其資料,以確保對所有個人資料套用適用的資料保護要求。
此外,資料主權規則可能會對資料處理和儲存位置的決策產生重大影響。其中一些法律也對跨境資料傳輸產生影響,因為無論資料在何處處理,都需要對該個人資訊進行法律保護。
就該電子商務企業而言,要將歐盟公民的資料傳輸到歐盟以外的資料中心,該企業需要考慮使用 GDPR 核准的哪種法律機制來傳輸資料。根據企業所在地,可能需要製定特殊的合約條款,以便在歐盟境外處理歐盟個人資料,或證明符合適當的框架,如歐盟-美國資料隱私框架。
一個企業處理的個人資料所附帶的資料主權和當地語係化要求也會影響組織關於使用基於雲端的儲存解決方案的決策。雲端儲存提供了更高的靈活性和可擴展性,許多雲端儲存還可以提供資料當地語係化解決方案。但要滿足具有嚴格當地語係化要求的非常保守的司法管轄區的要求,組織可能在基於雲端的解決方案之外還需要內部部署儲存,或者僅使用內部部署儲存體。
Cloudflare 長期以來一直為客戶和終端使用者提供資料保護,遠在這些保護被納入法律之前。我們認為,除了聲稱我們遵守某些法律,還要證明我們的合規性,這一點很重要。
Cloudflare 已通過 ISO/IEC 27701:2019(對應歐盟 GDPR)認證,並符合 ISO 27001/27002、支付卡產業資料安全標準(PCI DSS) 和 SSAE 18 SOC 2 Type II。Cloudflare 也獲得了《歐盟-美國資料隱私框架》、《瑞士-美國資料隱私框架》以及《歐盟資料隱私框架的英國擴展》的認證。此外,Cloudflare 還獲得了《歐盟雲端行為準則》認證。我們持有的這些驗證和其他驗證為透過 Cloudflare 傳輸最敏感資料的組織提供了保證,並幫助公司履行和維護自己的合規義務。
Cloudflare 長期以來一直遵循與通用資料主權法規一致的原則:
此外,Cloudflare 還可以支援滿足任何適用的資料當地語係化要求。我們的資料當地語係化套件讓企業能夠輕鬆地在網際網路邊緣設定規則和控制,並在本地儲存和保護資料。
深入瞭解全球連通雲內建的安全性、隱私權和合規性功能。