数据主权是指数据受数据来源国家或地区的法律法规管辖。
复制文章链接
“数据主权”一词是指在特定地理位置(如特定国家/地区或欧盟 (EU))收集或存储的数据(如知识产权、金融数据或个人信息)应受该地理位置的法律管辖。无论人们是在电子商务网站上输入信用卡信息,还是在社交媒体平台上发表评论,数据主权规则都旨在确保这些用户数据受到用户所在国家/地区实施的法律框架监管。
数据主权的广泛概念往往与数据隐私、政府获取数据、安全、国际商业竞争和人权等问题交织在一起。一些数据主权范式试图确保在一个司法管辖区生成的数据实际留在该司法管辖区中。另一些范式试图确保即使数据在另一个司法管辖区进行处理或存储,在该司法管辖区生成的数据也将受到法律保护。还有一些范式试图确保在某一司法管辖区生成的数据至少可供该司法管辖区的执法部门使用,无论这些数据是否也在其他地方处理或存储。
几乎每个国家/地区都有某种数据保护法,对收集到的公民个人信息提供一定的保护。数据主权规则的相关例子包括:
如需数据主权监管的例子,想象一下一家向包括欧盟在内的世界各地客户销售产品的电子商务商店。为了完成来自欧盟的客户订单,商店收集并处理各种用户数据,包括姓名、地址和账单信息。
无论电子商务商店设在哪里,欧盟 GDPR 都将适用于欧盟客户的数据。这意味着商店必须做到在收集客户数据前明确告知客户,并且只收集与交易相关的个人信息(在本例中,与订单执行相关的信息)。如果商店希望出于其他原因收集和使用额外的个人信息,如发送营销电子邮件,则需要征得顾客的同意(可随时撤销)。
此外,根据 GDPR,客户可以要求访问他们收集的数据,并要求公司纠正或删除他们的数据(“数据主体请求”),这意味着电子商务商店也必须建立系统,以接受和响应此类数据主体请求。
数据主权和数据本地化是密切相关的概念。如上所述,数据主权是指数据由数据处理所在国家或地区的法律监管。数据本地化是指将数据存储在其来源国家或地区之外的物理边界内的做法。它通常用于确保银行信息或医疗信息等高度敏感信息始终符合当地法规,因为在另一个地区传输或处理这些数据可能会使组织面临违反法规的风险。
回到上文所述的电子商务企业:从处理个人数据的那一刻起,它就需要遵守适用于所收集的消费者数据的不同法律框架。除非企业希望采用保护性最强的法规,并将其应用于所有客户的数据,否则电子商务企业需要对其数据进行映射,以确保适用的数据保护要求与个人数据相一致。
此外,数据主权规则会对有关在何处处理和存储数据的决策产生重大影响。 其中一些法律还对跨境数据传输产生影响,因为无论数据在哪里处理,对个人信息的法律保护都会随之而来。
就电子商务企业而言,为了将欧盟公民的数据传输到欧盟以外的数据中心,企业需要考虑使用何种 GDPR 批准的法律机制来传输数据。根据企业所在地的不同,企业可能需要制定特殊的合同条款,以便在欧盟以外处理欧盟个人数据,或对欧盟-美国数据隐私框架等充分性框架进行认证。
企业处理的个人数据所附带的数据主权和本地化要求也会影响企业使用云存储解决方案的决策。云存储具有更高的灵活性和可扩展性,许多云存储还能提供数据本地化解决方案。但是,为了满足非常保守的司法管辖区对本地化的严格要求,企业可能需要寻求内部存储,而不是基于云的解决方案。
Cloudflare 在为客户和最终用户提供数据保护方面有着悠久的历史,在这些保护措施被写入法律之前,我们就已经在为客户和最终用户提供数据保护了。
Cloudflare 已通过与欧盟 GDPR 相对应的 ISO/IEC 27701:2019 认证,并且符合 ISO 27001/27002、支付卡行业数据安全标准 (PCI DSS) 和 SSAE 18 SOC 2 Type II。Cloudflare 还通过了欧盟-美国数据隐私框架、瑞士-美国数据隐私框架和欧盟数据隐私框架英国扩展的认证。此外,Cloudflare 还通过了欧盟云行为准则的认证。这些验证和我们持有的其他验证为通过 Cloudflare 传输其最敏感数据的组织提供了保证,并帮助公司履行和维护自身的合规性义务。
Cloudflare 长期以来一直遵循符合通用数据主权法规的原则:
此外,Cloudflare 还支持满足任何适用的数据本地化要求。我们的数据本地化套件使企业能够轻松地在互联网边缘设置规则和控制,并保持数据在本地存储和保护。
进一步了解全球连通云的内置安全、隐私和合规功能。