克服資料主權的挑戰
不限制全球業務的合規性
資料主權法已成為 IT、隱私權、合規性和安全性領導者最關注的問題。100 多個國家/地區制定了法律,旨在保護公民個人資訊的隱私權,這是一件好事。然而,遵守這些法律可能為全球企業帶來嚴峻挑戰。
「資料主權」一詞意義廣泛。通常指群體或個人控制和維護自身資料的權利。近年來,該詞彙被更具體地用來指在特定地理位置(例如特定國家/地區)收集或儲存的資料應受該地法律的約束。無論人們是在電子商務網站上輸入信用卡資訊,還是在社群媒體平台上發表評論,資料主權法都有助於確保�這些使用者資料受到其所在國政府的監管。
許多司法管轄區也頒布了資料保護法,規定在何種條件下,可以將本國境內產生的資料傳輸到其他國家/地區。例如,歐盟的《一般資料保護規定》(GDPR) 規定,只有在建立特定傳輸機制(例如新的《歐盟-美國資料隱私框架》)的情況下,才允許將資料跨境傳輸到其他司法管轄區。此外,俄羅斯等其他司法管轄區也頒布了資料當地語系化法律,規定在某些情況下,本國境內產生的資料必須保留在本國境內。
過去十年,隨著全球企業收集越來越多的個人資料,資料主權和資料當地語系化法律的推動力顯著增強。各國政府越來越擔心本國公民的資料被外國政府取得。想要保護資料的政府不希望其對手——有時甚至是盟友——存取或控制其公民的資訊。
TikTok 這款應用程式將「資料主權」、「資料當地語系化」與「個人資料隱私權」等議題,首次推向主流社會的關注焦點。美國立法者一直擔心,中國政府可能會在使用者不知情的情況下獲取數百萬美國 TikTok 使用者的資料。他們之所以感到擔憂,是因為 TikTok 的母公司 ByteDance Ltd. 的總部位於中國,而中國法律可能會要求企業交出資料。由於一些立法者威脅要禁止該應用程式,ByteDance 不得不承諾將美國客戶資料儲存在美國。
您的公司可能沒有像 TikTok 那樣擁有如此規模的運營,後者在全球擁有超過 10 億使用者。然而,資料主權法和資料當地語系化的趨勢仍然可能對您的企業產生重大影響。
面臨資料主權的挑戰
對於任何想要在全球開展業務的公司來說,資料主權都是嚴峻的挑戰。如果您的公司總部位於法國,但決定在加拿大和阿根廷銷售產品,那麼您可能需要根據法律義務、產業準則或認證標準,設法將加拿大和阿根廷的客戶資料保留在其各自的國家。
業務擴張越大,可能遇到的資料主權要求就越多。您可能需要找到在特定司法管轄區處理和儲存資料的方法,否則將面臨高昂的交易成本以實現跨境資料傳輸。
對於小型公司而言,應對這些挑戰尤其困難。例如,一家初創公司可能沒有足夠的資源在該公司想要開展業務的每個國家/地區保留客戶資料。若面臨資料當地語系化要求,而初創公司又無法負擔在全球多國建立資料存放區的成本,其領導團隊勢必得在國際擴張策略上做出艱難決策。
全球企業不僅需要考慮如何滿足資料傳輸和當地語系化要求,還需要瞭解資料主權和資料當地語系化可能為資料驅動決策帶來的挑戰。您可能希望分析彙總資料以做出關鍵業務決策。然而,當您的資料分佈在多個國家/地區時,您可能無法輕鬆地集中資料並進行全面的分析。
我之前在一家大型跨國公司擔任 CISO 時就遇到過這樣的挑戰。我們的業務遍及數十個國家/地區,需要保存其中許多國家/地區的資料以維持合規性。但同時,我們還需要判斷詐欺和洗錢風險,這需要對資料進行匯總。
為了在遵守資料主權法律的同時進行資料匯總,我們制定了專屬的資料存取規則,並建立了一個管控環境來確保資料儲存與存取規範得以落實。我們將此治理框架命名為「資料簽證」治理計畫。我們制定了一套嚴格的安全、存取和資料控制措施,並進行全天候監控,以確保資料不會外洩。這就像是政府內部的機密網路或高端網路——我們擁有高度安全的網路,資料無法離開這裡。之後,我們將這個計畫提交給各國監管機構,並向他們解釋了這種方法對我們維持業務的重要性。我們獲得了推進這種資料管理方法所需的政府批准。然而,大多數小公司對政府缺乏這種影響力,也沒有能力在內部開發創新的資料治理計畫。
在控製成本和復雜性的同時實現合規性
跨國公司如何在不設立多個國家/地區資料中心的情況下,遵守資料主權和資料當地語系化要求?雲端服務似乎是顯而易見的答案。但傳統公有雲端提供者可能無法完全滿足需求。這些公司採用集中式資料儲存模式。誠然,許多雲端服務提供者在全球擁有多個區域資料中心,但他們可能不會在您公司開展業務的每個地方都設立資料中心。
為了滿足資料主權和資料當地語系化要求,與能夠讓您在客戶所在地儲存和處理資料的科技公司合作至關重要。您還需要能夠靈活地選擇資料儲存位置、解密資料、儲存加密金鑰、進行資料檢查以及維護記錄,��以確保您的控制環境符合資料主權的法律義務。
根據您對法律義務的理解,您可能需要將資料儲存在特定司法管轄區,但仍能彙總資料以便在該司法管轄區之外進行分析。同時,您可能有法律義務確保這些資料永遠無法在第三個司法管轄區存取。鑑於這些複雜的法律義務,您還需要考慮如何設定這些資料的存取控制。
為了遵守資料主權和資料當地語系化法律,您還可能需要重新思考應用程式的建置方式及其執行位置。例如,建置無伺服器應用程式並在特定地理區域執行,有助於確保應用程式使用的資料保留在應有的位置。採用這種方法還可以改善使用者體驗,因為應用程式將在更靠近使用者的位置執行。
在所有資料存放區中建立一致的安全策略也至關重要。一致性有助於確保您的全球網路中沒有薄弱環節,並使您能夠避免使用多種工具來管理眾多不同環境的複雜性。
不受限制地向前邁進
若您尚未開始關注資料主權議題,現在正是規劃的關鍵時刻。不久的將來,您將面臨越來越多要求在特定地理疆界內儲存與處理資料的法規。特別是當您的企業邁向全球化發展時,很可能已經需要遵守多項現行有效的資料主權與資料當地語系化規範。
好消息是,遵守資料主權和資料當地語系化要求並不一定意味著要建立新的資料中心或削減您的擴展計畫。透過正確的策略,您可以在開展業務的每個國家/地區安全地儲存和處理資料,並且仍然可以集中存取這些資料進行分析和決策,而無需增加過多的成本或複雜性。
瞭解 Cloudflare 如何透過 Cloudflare Data Localization Suite 協助企業遵守資料主權和資料當地化法規。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
作者
——Cloudflare 資安長 Grant Bourzikas (@rantbourzikas)
重點
閱讀本文後,您將能夠瞭解:
資料主權為全球企業帶來了哪些挑戰
公司如何在不限制業��務發展的情況下遵守法律
您應該尋找怎樣的技術合作夥伴來簡化資料主權