What is data sovereignty?

Data sovereignty is a government’s right to regulate data within its borders. If an organization collects data in Spain and stores and processes it in the United States, it must abide by the data laws of both sovereign nations. Their laws and regulations guide how the company manages and uses data—especially sensitive information, such as credit card and medical data. For example, the United States CLOUD Act tells organizations how to respond to law enforcement requests for data they’re storing.

What is data residency?

Data residency refers to geographic location, the country or region where organizations choose to store their data. Their choice often relates to local privacy and security laws. Tight regulations, such as those that restrict companies from moving data from one location to another, can inhibit commerce and/or cause companies to rethink their practices. Some managed service providers are building local data centers to meet the requirements of individual governments. For example, TEAM IM, a New Zealand data management services provider, is building that country’s first locally owned and operated hyperscale cloud to meet relevant regulatory and data sovereignty requirements.

What is the major difference between data sovereignty and data residency?

Data sovereignty concerns the legal authority to regulate data. Data residency concerns the geographical location of stored data, which determines the national or regional body that can claim sovereignty.

Does GDPR affect data sovereignty and residency?

Under GDPR, both the nation where data is stored and the EU have the sovereign right to regulate data. In doing so, member states adhere to GDPR data residency rules protecting privacy and security.

What is the difference between data localization and data residency?

Data residency relates only to where data is stored, its geographical location. Data localization is when governments insist that data can’t leave its borders. In Brazil, for example, certain types of sensitive data must be stored locally.

菜单联系我们登录 Oracle Cloud

数据主权与数据驻留：三大不同点

Mark Jackley | 内容策略师 | 2024 年 8 月 26 日

本文目录

什么是数据主权？
什么是数据驻留？
数据主权和数据驻留有何不同？
数据主权和数据驻留的三大不同点
借助 Oracle 解决方案采用主权云策略
数据主权和数据驻留的常见问题解答

数据主权和数据驻留的法律法规是数据管理的关键因素。这些法律法规规定了企业必须如何收集、存储、处理和使用人们的数据，特别是在云端，因为云端环境通常都会跨越国界。云计算服务器的物理位置决定了主权和与驻留相关的框架决策。如果想要正确地管理数据，我们必须了解这两个概念之间的差异。

什么是数据主权？

数据主权是政府对境内数据进行监管的权利。如果某家企业在西班牙收集数据，然后在美国存储和处理这些数据，那么该企业就必须遵守两个主权国家的数据法。两国的法律法规会指导企业如何管理和使用数据，尤其是信用卡和医疗数据等敏感信息。例如，美国的《澄清境外合法使用数据法案》(CLOUD Act) 规定了企业应该如何确保所存储的数据符合执法要求。

目前，超过 100 个国家和地区拥有数据隐私和安全方面的法律法规，全球企业都面临着合规挑战。了解在各种制度下的数据责任，有助于企业保持合规，避免严厉的处罚。例如，《通用数据保护条例》(GDPR) 规定，欧盟有权对违规企业征收高达 2000 万欧元或等同于年收入 4% 的罚款，具体金额以较高者为准。根据 2022 年数据存储提供商 Scality 的一项研究，98% 的美国和欧洲 IT 部门已经制定了数据主权战略。

什么是数据驻留？

数据驻留是指企业选择将数据存储在哪个地理位置，例如某个国家或地区。企业通常会根据当地隐私和安全法律来做出选择。有些法规较为严格，例如限制企业只能够将数据从一个位置移动到另一个位置，这可能会不利于商业发展和/或促使企业改变经营方式。有的托管服务提供商正在构建本地数据中心，以满足各个政府的要求。例如，新西兰数据管理服务提供商 TEAM IM 正在构建该国首个本地拥有和运营的超大规模云技术，以满足相关的监管和数据主权要求。

很多人经常会分不清数据驻留和数据本地化，但其实它们是两个不同的概念，数据本地化指的是在某个国家或地区创建的数据必须保留在本地。有些国家或地区只是要求将数据的副本驻留在本地，而其他国家或地区（比如俄罗斯）则规定要将公民的数据存储在本地数据中心。

关键要点

数据主权涉及法律管辖权。
数据驻留反映了数据的存储位置。
这两种想法都源于数据隐私和安全问题。
随着技术（尤其是 AI）不断发展，有些企业正在采用主权云策略，从而更轻松地遵守有关数据驻留、访问和安全的当地法律。

数据主权和数据驻留有何不同？

数据主权是一个概念，主要确立了某个国家或地区在境内监管数据的权利。数据驻留也是一个概念，主要保障某个地理位置的数据主权。但这也是一个重要的事实：就算是云端数据库，它也是存在于地球上的某一个国家或地区，数据管理的各个方面由当地政府的法律指导。

数据主权

根据数据主权，一个国家或地区机构（例如欧盟）负责监管其管辖范围内存储的数据。由于数据主权法律因地而异，全球企业在存储、保护和利用所收集的数据时必须小心谨慎。例如，2023 年，美国弗吉尼亚州、加利福尼亚州、康涅狄格州、犹他州和科罗拉多州通过了严格的隐私法，在这些州运营的企业必须审查和调整当地的数据收集和使用惯例。

数据驻留

数据驻留规定了数据的存储位置。这是数据管理难题中的一个重要部分，指导着企业如何改善运营并提高技术能力，以遵守当地法律。例如，为满足数据驻留要求，印度储备银行暂时限制了 American Express、Diners Club 和万事达卡 (Mastercard) 向该国的新客户发放卡。面对此类法律挑战，企业可能需要对数据管理方式进行更改，例如制定更严格的跨境数据传输政策，或委任首席数据保护官来监督隐私和安全法律的遵守情况。

数据主权和数据驻留的三大不同点

人们有时会将数据主权和数据驻留这两个术语互换使用。实际上，这两者之间存在三个主要差异，可能会影响企业的数字活动，包括有关数据存储和法规合规性的决策。

范围。数据主权是管理数据的法律权威。例如，在美国，联邦政府和州政府都有这种权力。数据驻留是指存储数据的实际位置，用于确定哪些政府拥有主权。例如，马赛的数据中心受欧盟法律以及法国法律的约束，因为它位于两个司法管辖区。
关注焦点。对于数据主权，各个国家和地区通过了管理数据存储和管理的法律和法规。例如，巴西的《一般数据保护法》旨在保护与种族或族裔血统、宗教信仰、政治观点、工会会员资格、健康和性史以及遗传学或生物识别相关的个人数据。对于数据驻留，企业必须遵守当地数据法律，否则将会面临处罚。2023 年，Irish Data Protection Commission 根据爱尔兰和欧盟法律采取行动，对科技巨头 Meta 非法向美国发送个人数据的行为处以 12 亿欧元的罚款。
优势。凭借数据主权，各个国家和地区有权保护境内数据的隐私和安全。以前，企业可以在很大程度上随意使用个人信息，包括在未经第三方同意的情况下将信息出售给广告商。通过了解数据驻留，企业知道哪些国家和地区的法律适用于数据管理，包括数据安全、访问和使用标准。这是决定在何处存储数据的一个关键因素，企业能够据此了解需要对政策和技术进行哪些更改以遵守当地法律。

数据主权和数据驻留

数据主权	数据驻留
数据主权赋予政府监管数据的合法权利。	数据驻留是指数据存储的实际位置，决定哪个政府或区域机构拥有主权。
要想区分这两个概念，可以这么理解：数据主权是一个广泛的法律概念…	…而数据驻留也是一种法律概念，可以深入了解数据的存储和处理方式。
对于数据主权，各个国家和地区通过了管理数据存储和管理的法律和法规，例如中国的《个人信息保护法》。	对于数据驻留，企业必须遵守当地数据法律，否则将会面临处罚。
凭借数据主权，各个国家和地区有权保护境内数据的隐私和安全。	通过了解数据驻留，企业知道哪些国家和地区的法律适用于数据管理，包括安全、访问和使用标准。
在数据主权法出台之前，企业几乎没有个人信息使用的条规，包括未经第三方同意出售个人信息。	如今，遵循不断变化的数据隐私和安全法律已成为开展全球业务的常规部分。

借助 Oracle 解决方案采用主权云策略

面向主权的 Oracle Cloud Infrastructure (OCI) 解决方案可帮助企业满足数据位置、访问、驻留和控制方面的需求。面向主权的 OCI 可帮助企业和政府组织通过限制访问和运营信息流来遵守法律法规并保护数据。Oracle 提供了多种解决方案，其中包括多个地区的公有云技术区域、可在客户数据中心部署云技术的专用区域、EU Sovereign Cloud 以及不连接互联网的隔离云技术，让您能够获得额外的安全性。

了解 Gartner 为何将 Oracle Distributed Cloud 评为“领导者”。该产品为受监管的数据客户提供云技术的所有优势，包括更好地控制操作、数据驻留和邻近性。

数据主权和数据驻留的常见问题解答

数据主权和数据驻留有什么区别？

数据主权涉及监管数据的合法权利。数据驻留则涉及数据存储的地理位置，决定了哪个政府或区域机构拥有主权。

GDPR 会影响数据主权和驻留吗？

根据 GDPR 规定，存储数据的国家或地区以及欧盟都有监管数据的主权权利。在此过程中，成员国必须遵守 GDPR 数据驻留规则，以保护隐私和安全。

数据本地化和数据驻留有什么区别？

数据驻留仅与数据的存储位置，也就是某个特定地理位置有关。数据本地化则是政府坚决禁止数据离开境内。例如，在巴西，某些类型的敏感数据必须存储在本地。

注：为免疑义，本网页所用以下术语专指以下含义：

除Oracle隐私政策外，本网站中提及的“Oracle”专指Oracle境外公司而非甲骨文中国。
相关Cloud或云术语均指代Oracle境外公司提供的云技术或其解决方案。