引言
回顾工作经历,发现一直从事与数据中心相关的工作;2025年春节期间便计划分享过往海外业务数据本地化的经验,但一再推迟,直至国庆假期才对历史汇报文档和收集的素材进行系统性整理。
2005年,正值中国金融行业推行数据中心大集中,毕业后参与了A保险集团的数据中心迁移项目,将分散在区域(华北、华南等)电脑中心的服务迁移至深圳和上海的数据中心。
2012年,从网络运维转向信息安全领域,契机是B公司收购海外业务的IT交接期,参与了海外数据中心的整合与迁移,主要负责防火墙设备的物理搬迁与访问策略的重新规划。
2016年,欧盟《通用数据保护条例》(GDPR)获得通过(2018年正式实施),开始推进海外业务的数据本地化工作,先后完成了C公司在欧洲、印度、俄罗斯、美国、印度尼西亚等国家或地区的业务系统迁移和数据本地化改造。
2021年,鉴于数据合规要求日益严格,派驻新加坡,负责筹建C公司的国际技术运营中心,以实现中国与海外业务的数据(服务器、数据库及业务系统访问)相互访问隔离。
然而,由于公司内部数据本地化方案具有敏感性、不完备性,文章一直未能公开;今年,在处理美国EO14117数据脱钩法案过程中,再次体会到数据本地化方案导致的组织和效率割裂问题,因此决定对内容进行反复删减及脱敏处理后发表;当然,大家看到的删减版本会缺失很多方案落地的关键内容。
Part1:数据跨境传输的定义与影响
1.1 中国🇨🇳
中国法律对“数据出境”采用实质重于形式的认定原则。即便数据本身未在物理上离开中国,只要境外的机构或个人能够访问,即构成数据出境。
(1)国家互联网信息办公室发布的《数据出境安全评估申报指南》对数据出境活动定义如下情形:
将在境内运营中收集和产生的数据传输、存储至境外; (物理出境)
收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出; (远程访问)
(2)“远程访问即出境”的原则意味着许多对全球一体化运营至关重要的商业活动,均纳入中国数据出境的监管范围,例如以下典型场景:
境外IT支持:位于境外的IT工程师远程登录访问和维护位于境内的服务器。
境外HR管理:位于新加坡的亚太区HR,通过系统访问存储在中国服务器上的中国区员工信息,以进行绩效评估或薪酬管理。
全球客户关系管理(CRM):境外的销售团队访问部署在中国,但作为全球CRM系统一部分的客户数据。
供应链协同:境外的合作伙伴被授予权限,登录访问中国境内的生产或库存管理系统。
以上场景在传统认知中属于“企业内部”处理行为,在中国法律框架下均被视为受监管的“数据出境”事件,必须遵守相应的合规要求(例如申报数据出境安全评估、签订标准合同或进行个人信息保护认证)。
1.2 欧盟🇪🇺
(1) GDPR 关注点:“向第三国或国际组织传输”
GDPR未对“数据传输”给出独立、封闭的定义,但其监管框架的核心是GDPR第五章(Chapter V),“向第三国或国际组织的个人数据传输” (Transfers of personal data to third countries or international organisations)。
法律依据:GDPR第44条明确规定了数据传输的一般原则:“只有在控制者和处理者遵守本章规定的条件的情况下,才能进行已在或拟在向第三国或国际组织传输后进行处理的个人数据的任何传输...”。
监管逻辑:GDPR的跨境传输机制并非关注数据流动的技术路径,而是关注一个法律意义上的行为,即将受GDPR保护的个人数据,转移到一个新的、位于欧洲经济区(EEA)之外的法律管辖区。立法目的在于防止数据因“出境”而失去GDPR所赋予的高水平保护。
(2)EDPB 的功能性解释:实质重于形式
权威指南:《关于GDPR第三条(地域范围)与第五章(国际传输)的第05/2021号指南》中,EDPB阐明了构成“跨境传输”的三个核心标准:
数据输出方:控制者或处理者受GDPR的地域范围(根据第3条)管辖。
跨境传输:通过披露或提供访问权限的方式将个人数据传送或提供给位于第三国的数据输入方(另一个控制者、共同控制者或处理者)。
数据输入方:在法律上不属于欧盟/欧洲经济区成员国,并且其处理活动不受GDPR直接管辖。
核心要点:关键在于“提供”(making available)。即使数据物理上仍存储在EEA境内,但如果一个位于第三国(如美国、中国)的实体被授予了访问这些数据的权限,这种远程访问行为同样构成了受GDPR第五章管辖的“数据传输”。
(3)核心原则:确保数据保护的连续性(Continuity of Protection)
合规机制:GDPR第五章设立了一系列机制(如充分性认定、标准合同条款SCC、有约束力的公司规则BCR等),目的是确保数据到达目的地后,其享有的保护水平与在欧盟境内“基本等同”(essentially equivalent)。
法律实践:欧洲法院(CJEU)在“Schrems II”案判决中,基于“保护连续性”这一核心原则,宣告了原有的“欧美隐私盾”无效。法院认为,该协议无法有效阻止美国政府的监控,从而无法确保欧盟公民的数据在美国能获得与欧盟法律“基本等同”的保护,破坏了数据保护的连续性。
1.3 美国🇺🇸
美国在数据治理方面采取双重策略:一方面,通过《云法案》主张对全球数据的“长臂管辖权”;另一方面,通过FIRRMA、PAFACA和EO14117构建数字壁垒,以阻止其认定的“受关注国家”或“外国对手”访问美国数据。
(1)《云法案》(CLOUD Act)- “长臂管辖权”
法律的制定目的:
提高美国执法机构获取电子证据的效率,以打击恐怖主义、网络犯罪等严重罪行。在《云法案》出台前,如果执法机构需要的数据存储在海外服务器上(例如,微软爱尔兰数据中心案),则必须通过耗时冗长的《司法互助协定》(MLAT)流程。
法案旨在绕过流程障碍,其核心逻辑是:只要一家公司受美国管辖(如微软总部在美国),那么无论其数据存储在世界何处,美国法院的搜查令都对其具有约束力。它确立了“控制权优先于地理位置”的原则。
对跨国企业的数据远程访问风险:
直接的法律冲突:对于一家在美国设有总部的跨国公司(如Google, Amazon, Microsoft),这意味着其部署在全球任何地方(包括欧盟、新加坡)的数据中心,都有可能被美国执法机构通过一张搜查令要求远程访问并提供数据。这直接与欧盟的GDPR等区域性数据保护法产生冲突,使企业陷入“不给美国,违法美国法律;给了美国,违法当地法律”的两难境地。
对客户的连带风险:对于一家选择美国云服务商(GCP,AWS,Azure)的外国跨国企业(例如,一家中国公司将其欧洲业务数据存储在AWS的法兰克福节点),其数据同样受《云法案》管辖。因为控制数据基础设施的AWS的Amazon是一家美国公司,美国执法机构可以强制AWS访问并移交其客户的数据。
信任危机:该法案削弱了全球客户对美国科技公司的信任,引发了“数据主权”和“数字脱钩”的担忧,促使许多国家和企业寻求非美国的替代方案。
(2)《外国投资风险评估现代化法案》(FIRRMA)- “禁止投资拥有美国数据的公司”
法律的制定目的:
FIRRMA的主要目的是扩大美国外国投资委员会(CFIUS)的审查范围,以应对新的国家安全威胁。传统上,CFIUS主要关注对关键基础设施(如港口、能源)的外国投资。
FIRRMA认识到数据本身就是关键资产,因此将审查权扩大到涉及美国公民“敏感个人数据”的非控股投资。其目的是防止外国对手通过看似无害的少数股权投资,获得对美国公民海量数据的访问权或控制权,从而进行间谍活动、施加恶意影响或威胁国家安全。
对跨国企业的数据远程访问风险:
将美国用户数据物理存储在美国境内,设立严格的技术和组织防火墙,禁止位于外国母公司的员工远程访问这些数据。
任命由美国政府批准的数据安全官,直接剥夺了外国母公司对美国子公司数据的远程访问能力,使其无法进行全球数据整合与分析。
交易审查和阻碍:一家外国公司(特别是来自中国等“受关注国家”)如果计划投资或收购一家掌握大量美国用户数据的美国公司(如医疗健康、社交媒体、金融科技类企业),该交易将接受CFIUS的严格审查。审查的核心问题之一就是:收购方将如何处理这些数据?其母国的实体是否能够远程访问这些数据?
强制性的数据隔离措施:即使交易获得批准,CFIUS也可能施加极其严格的“缓解协议”(Mitigation Agreement)。
(3)《保护美国人免受外国对手控制应用影响法案》(PAFACA)
法律制定目的:
该法案(俗称“TikTok法案”)目的明确,即消除“外国对手控制的应用程序”带来的国家安全风险。立法者认为,此类应用存在两大核心风险:
一是可能被其母国政府利用,大规模收集美国用户的敏感数据;
二是可能被用于进行宣传或信息审查,影响美国的舆论和选举。法案通过“不剥离就禁止”的模式,试图切断外国对手通过流行应用对美国数据和舆论的潜在控制。
对跨国企业的数据远程访问风险:
对于被认定为“外国对手控制”的应用(如TikTok),其面临的是致命的市场准入风险。
该法案直接挑战了其全球一体化的运营模式,即中国的工程师和算法团队远程访问和处理美国用户数据的模式。
合规的唯一途径是将美国业务完全剥离,创建一个不受母公司远程访问和控制的独立美国实体。
(4)EO14117行政令(关于防止受关注国家获取美国人敏感数据)
行政令制定目的:
该行政令旨在堵住一个关键的国家安全漏洞,即外国对手无需通过黑客攻击或投资,可直接通过商业渠道合法购买美国人的海量敏感个人数据。数据泄露、数据掮客和跨境数据服务,使得基因组、生物识别、地理位置等高度敏感的数据集能够在市场上流通。
EO14117的目的是禁止或严格限制将此类“批量敏感数据”以任何形式转移给“受关注国家”(名单与PAFACA类似,明确包括中国)。
对跨国企业的数据远程访问风险:
数据供应链合规风险:跨国企业的数据处理链条变得高度敏感。若一家公司将其美国用户的健康数据交由位于“受关注国家”的服务商进行分析,或允许该国的研发团队远程访问其位于美国的数据库进行模型训练,均会被EO14117禁止。
业务模式受限:对于从事数据分析、精准营销、生物科技等行业的公司,行政令会严重限制其利用“受关注国家”人才和资源的能力。公司必须进行严格的数据尽职调查,确保其数据不会直接或间接地流向或被访问自受关注国家,这可能迫使其将数据处理活动“在岸化”(on - shore),增加运营成本。
美国将其公民数据视为国家战略资源及安全边界的组成部分。对于跨国企业而言,这意味着其在美国境内的运营需在一个日益分化且地缘政治化的数据监管环境中审慎行事:既要应对美国政府基于《云法案》所延伸的“长臂管辖”,又要规避因自身与“受关注国家”关联而可能触发的“数据防火墙”。为此,企业必须构建高度复杂且基于地理位置的数据本地化与访问控制策略。
Part - 2 数据本地化的法律架构
2.1 法律主体的架构设计
数据本地化的本质是国家数据主权的延伸,各国通过立法将数据存储、处理与本地司法管辖权相绑定。独立法律主体架构的核心价值在于通过法人独立地位实现责任隔离,独立架构设计不仅是合规要求,更是企业应对制裁风险的重要策略。
(1)全资子公司架构
优势
合规性良好:例如新加坡子公司可作为独立法人,通过制度、组织和技术措施明确数据处理权限,符合多数国家“本地实体”要求。
风险
实质控制权穿透:母公司实时获取子公司数据可能被认定为“共同控制者”,需承担连带责任。建议在服务合同中禁止母公司直接访问子公司数据,仅允许通过合规审计接口获取匿名统计信息。
跨境传输隐性成本:即使数据存储在新加坡,若数据控制者在欧盟,需遵守GDPR的SCCs;或选择日本、韩国等受EDPB认可的具有充分保护水平的国家。
(2)合资公司架构
优势
合规风险缓冲:引入本地伙伴可降低因地缘政治冲突导致的数据合规风险(如TikTok美国的合规经营方案)。
本地化运营整合:本地伙伴可协助应对复杂的合规要求(如印度DPDP法案)。
风险
商业利益冲突:本地伙伴可能利用数据优势开发竞品,需在协议中设置数据使用限制和竞业禁止条款。
🌰 案例:Lenovo - NetApp在中国成立合资公司“联想凌拓”以满足中国法规要求。
(3) 外包模式
优势:
成本效益显著:适合中小企业,可避免自建团队的投入。
交付周期优势:应选择具备专业能力和团队的外包团队
风险:
法律障碍:GDPR要求签订明确的数据处理合同,禁止转委托/二次外包。
连带责任:外包商技术漏洞导致数据泄露,委托方可能承担主要赔偿责任(参考英航案例)。需对外包商进行尽职调查,要求其提供安全审计报告(如SOC 2)并定期进行渗透测试。
🌰 案例:根据美国第14117号行政令的股权穿透审查要求,若合资公司中方持股比例超过20%,则仍存在合规风险。因此,部分公司选择在境外设立“伪外包”公司(其人员构成通常为外派员工,并继续向总部汇报),由该外包公司负责美国业务的运营与维护。此后,业务运维将逐步过渡至美国本土团队或该外包公司将转型为“真外包”公司。
2.2 区域中心模式:可扩展的合规路径
在全球化浪潮涌动以及数据主权意识不断崛起的当下,跨国企业正面临着一个根本性的战略冲突:业务运营追求全球一体化所带来的效率与协同效应,然而各国法律却要求数据进行本地化存储并确保合规。这一矛盾致使传统的 IT 运维模式陷入困境,迫使企业不得不痛苦地在“高风险的效率”与“高成本的合规”之间做出抉择。
(1)“总部集中式”:地缘政治的牺牲品
总部集中模式的目标是实现极致的控制与统一,将全球所有的数据和系统集中汇聚于总部。在过去,这种模式或许能够带来管理上的便利,然而在数据主权日益受到重视的今天,其潜在风险不言而喻。
合规风险:该模式天然与《通用数据保护条例》(GDPR)、《中国数据安全法》等法规的本地化要求相冲突。任何一次跨境数据传输都有可能构成违规行为。
🌰 案例:法国 CNIL 对某电商开出的 1.2 亿欧元罚单并非个例,而是为这种模式所存在的系统性风险敲响了警钟。选择这种模式,意味着企业默认要将营收的 2% - 4% 作为潜在罚款进行拨备,这显然并非明智之选。
(2)“各国碎片化”:效率泥潭
作为对集中模式风险的过度反应,“各国碎片化”走向了另一个极端。它通过在每个国家建立独立的 IT 孤岛,来确保 100% 的本地合规。然而,这种所谓的安全是以牺牲企业的全球竞争力为代价的。
失控的成本黑洞:架构的无休止复制造成了惊人的资源浪费。
瓦解的全球协同:当各区域的 IT 系统、工具(如飞书工单与 ServiceNow 并存)以及知识库相互割裂时,全球协同便成为了空谈。故障排查时间延长 40%,美国团队的经验无法为中国团队提供支持,企业作为一个整体的智慧和效率被彻底瓦解。
(3)“区域中心”,实现“合规”与“效率”的平衡
其核心逻辑在于:既不在全球层面推行“大一统”,也不在国家层面搞“各自为政”,而是在法规相似、地理邻近、业务协同的“区域”内部,实现资源与管理的集中。
区域合规 (Regional Compliance):解决跨区域数据传输问题。例如,设立欧盟中心,所有欧盟成员国的数据在该区域内流转,完全符合 GDPR 的框架,无需为每个国家单独进行适配。同时,通过配置本地合规专家,又能够灵活应对德国、法国等国家的特殊要求。
规模化效率 (Scaled Efficiency):在区域内,企业可以共享数据中心、运维团队和知识库,从而获得接近“总部集中”模式的规模效益。
动态适应性 (Dynamic Adaptability):世界法规环境处于不断变化之中,区域中心模型具备灵活调整的能力。当印度政策收紧时,企业可以迅速将南亚业务从新加坡迁移至孟买,合规风险降低 90%。这种敏捷性是前两种僵化模式所无法比拟的。
因此,选择何种 IT 运维模式,已不再仅仅是一个单纯的技术或成本问题,而是一个决定企业能否在全球化下半场实现持续增长的核心战略问题。
2.3 美国 EO 14117 行政令的应对架构
美国 EO 14117 行政令旨在限制与“国家安全风险相关国家”之间的敏感个人数据流动。其核心限制包括:
股权限制:受管制国家的企业在涉及美国个人数据的业务中,持股比例不得超过 50%;
控制权限制:若属于科技或数据处理类企业,尤其涉及算法、源代码或程序控制权的部分,有效控制权不得超过 20%。
在此背景下,中国科技企业若涉及美国公民个人数据的收集、分析或云服务运营,通常被要求美国业务的数据运维和决策环节独立于中国总部。因此,一些企业选择通过设立境外合资公司(如新加坡、日本)或采用本地 IT 外包合作模式来满足 EO 14117 的合规要求。
鉴于此,部分企业选择将亚太地区(如新加坡、马来西亚、日本、澳大利亚、新西兰)作为替代方案。这些地区不仅时区相近、文化兼容性较高,同时在法律上能够承接美国或欧盟客户的数据托管与服务要求。
新加坡:特朗普政府在第一任期对中国科技公司(如字节跳动、腾讯等)进行打压(列入黑名单),新加坡凭借稳定的法律环境以及多语言科技人才储备,成功吸引了大量区域研发与数据合规中心的落地。然而,近年来由于科技行业的集中布局,新加坡本地华语工程师的人力成本显著上升,企业在考虑外派与区域布局时,需要综合考量成本与合规因素。
马来西亚:综合考虑中文语言、时区以及人力成本,马来西亚是最佳选择,适合传统 IT、客户服务等技术运维团队。
日本:如果侧重于开发经验,特别是 DevOps 领域,日本则是最优选,因为中国拥有大量对日开发外包业务,申请工作签证相对容易,更易于承接中国科技企业在美国业务的技术运维需求。
Part-3 数据本地化的技术架构
3.1 存储隔离:数据本地化的基石
(1)合规实践 = 数据分级 + 本地化存储
数据分级:例如,“个人数据”需要进行本地化存储;“供应链数据”(如 SKU)可以在中国总部进行跨境存储;“企业经营数据”则采用本地存储 + 脱敏跨境访问模式,以满足不同的合规与企业经营需求。
本地化存储:例如,欧盟用户数据存储于爱尔兰、德国的数据中心;东南亚数据存储于新加坡;中国数据存储于中国大陆。
(2)数据分级
数据分级是平衡数据安全和企业效率的核心手段。
敏感数据识别技术:包括关键词过滤、大模型识别以及人工标注。
数据分级标准制定:
按敏感程度划分:分为公开级、内部级、机密级、绝密级。
按数据类型划分:分为敏感个人数据、普通个人数据。
按业务影响划分:分为核心业务、重要业务、一般业务
分级管理流程:
数据发现:通过自动化工具对全量数据进行扫描。
敏感识别:识别结构化和非结构化数据中的敏感信息。
分类分级:按照敏感程度划分等级。
标签管理:为数据添加安全等级标签。
动态更新:定期重新评估数据的敏感性。
在企业运营过程中,总部需要查阅境外经营数据。然而,由于经营数据与用户个人数据相互混杂,为了符合法规及审计规定,数据分级在全球企业数据本地化进程中显得尤为关键,并且需要投入大量的精力。同时,随着法规日益严格,总部的数据访问权限也可能会随之动态调整。
(3)本地化存储
公有云 vs. 自建 IDC 的分析:超过 95% 的企业应选择公有云。只有当数据出站(Egress)成本超过 IDC 建设和运维的长期摊销成本时,自建 IDC 才具备经济性。这个“成本拐点”通常出现在 PB(Petabyte)级别。
厂商选择 —— 地缘政治风险是首要考量因素,选择与目标市场所在国或其核心盟友一致的云厂商,是规避数据管辖权冲突和供应链制裁风险的最优策略。
备考:俄罗斯、哈萨克斯坦、菲律宾等国家不具备可选择的公有云厂商。同时,这些国家会选择性地执行相关法规,因此企业需要权衡评估违法成本与数据本地化的成本,进行综合决策。
3.2 访问隔离:人员本地化
该策略旨在应对“远程访问即出境”的挑战。
(1)组织层面:
a) 法律与合同层面 (Legal & Contractual Measures)
集团内部数据处理协议 (Intra - Group Data Processing Agreement - DPA):
角色定义:将子公司定义为“数据控制者”(Data Controller),母公司定义为“数据处理者”(Data Processor),或者在不同场景下,两者均为独立的控制者。
访问目的:严格限定母公司只有在特定、合法且必要的情况下(如提供财务支持、IT 系统维护)才能访问数据。
数据范围:明确母公司可以访问的数据类型和范围,禁止访问超出范围的数据。
合规框架:协议必须符合子公司所在地的法律要求(如欧盟的 GDPR)。例如,根据 GDPR,数据跨境传输必须具备合法的法律基础,这份 DPA 就是基础之一。
标准合同条款 (Standard Contractual Clauses - SCCs):
如果母公司位于数据保护水平不被认可的国家(例如,子公司在欧盟,母公司在中国或美国),签署欧盟委员会批准的 SCCs 是实现数据合法跨境传输的强制性要求。这本身就对数据接收方(母公司)施加了严格的法律义务,限制了其对数据的任意使用。
b) 技术与组织层面 (Technical & Organizational Measures - TOMs)
法律协议需要借助技术手段来确保其得以有效执行。
数据物理/逻辑隔离:
物理隔离:子公司的数据存储在本地或特定区域的云服务器上,与母公司的 IT 系统在物理上实现分离。
逻辑隔离:在共享的 IT 系统(如集团 ERP)中,通过创建独立的虚拟环境、数据库实例或应用层来隔离子公司的数据。
严格的访问控制 (Access Control):
基于“最小权限原则”(Principle of Least Privilege),母公司的员工默认无法访问子公司的数据。
只有经过授权的少数人员,在特定需要的情况下,通过严格的审批流程(如多因素认证、堡垒机审计)才能临时访问。所有访问行为都应被记录和审计。
加密与密钥管理:
对子公司的敏感数据进行端到端加密。更进一步,可以采用“自带密钥”(Bring Your Own Key - BYOK)策略,由子公司独立掌管数据加密密钥,从技术上杜绝母公司在未经授权的情况下解密数据。
c) 治理与架构层面 (Governance & Corporate Structure)
设立独立的数据保护官 (DPO):在子公司任命独立的 DPO,直接向子公司董事会或最高管理层汇报。DPO 的职责是监督数据合规,并有权阻止不合规的数据访问请求,包括来自母公司的请求。
明确的治理框架:建立清晰的数据治理政策和流程,明确数据的所有权、管理权和使用权归属于子公司,并获得母公司层面的书面认可。
(2)技术层面:
系统认证:需通过多重验证(生物识别 + 硬件密钥),避免境内员工借用境外“白手套”进行远程访问,访问会话全程加密并留存审计日志。
动态授权:采用零信任架构(ZTA),基于员工劳动合同的法律主体、IP 地址或 GPS 位置授权数据访问权限。
访问控制:实施严格的身份与访问管理(IAM)和基于角色的访问控制(RBAC),以强制执行最小权限原则。例如,一个区域的工程师不应拥有对另一个区域生产数据的永久访问权限。
(3)人员层面
“地域绑定”机制:在本地成立独立法律主体,员工在本地签约,如果是外籍员工需要取得本地工作签证。
人员本地化具有必要性:为了有效降低合规风险,企业必须考虑不仅将存储本地化,还需将需要访问数据的人员(如数据库管理员/DBA、系统可靠性工程师/SRE)本地化。此措施可最大限度地减少跨境访问需求,并简化对数据跨境规则的遵守。
人员本地化是远程访问合规的关键措施。最佳实践是处理境外用户数据的员工应优先签约境外主体或派驻至境外主体,避免因人员归属问题触发数据跨境访问。