什麼是資料主權?

Michael Chen | 內容策略師 | 2024 年 5 月 2 日

文章概覽

資料主權是指適用於使用者資料的相關法律,具體包括哪個司法管轄區的法律適用於哪些資料,以及每個使用者在隱私權、組織使用和同意方面的哪些權利受到保護。資料主權原則最著名的範例是歐盟 (EU) 的《一般資料保護令》(GDPR),它定義了在收集和使用方面保護歐盟公民資料的方式。

什麼是資料主權?

資料主權是指資料遵守其所有者所在地區的法律法規的概念。一般而言,資料主權規則將管理和保護使用者資料的責任交給收集和處理使用者資料的組織。使用者隱私權與安全問題必須由組織處理,並且必須遵守使用者所在國家/地區或居住州的法規,這意味著擁有跨國使用者群的組織需要多層合規性。例如,在歐盟和美國擁有使用者的組織可能需要遵守歐盟的 GDPR 以及各國的資料主權法。

一般而言,全球的資料主權法有很大的重疊,某些國家/地區的法律更具限制性。

重點精華

  • 資料主權是指法律資料問題、法規和限制屬於資料生成地的國家、州或地區的管轄範圍。
  • 資料主權通常涉及資料在地化、資料駐留和資料隱私權等相關問題。
  • 一些著名的資料主權範例包括歐盟的 GDPR、美國加州的 CCPA 以及本地資料主權。
  • 企業必須持續評估區域法律、自身的雲端運算細節,以及組織安全性和硬體狀態。

資料主權詳解

資料主權是一個重要的概念,具有許多不同的方面,其基本知識可以深入至以下幾點:

  • 參與人員。資料主權可能涉及多方,但責任最終可能歸結於收集或銷售資料的組織。各方可能包括這些組織、其資料被收集的個人、儲存資料的雲端供應商,以及規定監督資料的指導法律的國家/地區/州。在組織內,資料主權監督可能包括 IT 部門和法律團隊。

  • 受影響範圍。對於未能滿足監管準則的企業而言,其面臨的後果可能是複雜的,有可能是各種國際性的法律問題和罰款。法律後果可能會對企業造成進一步的問題,要么切斷客戶區域,要么阻礙業務營運。

    另一方面,如果企業投資於合規性,則能夠滿足監管要求。

  • 受益對象。由於資料主權側重於保護和監督方面,個人資料所有者本質上可能會從資料主權中受益,而企業也可能會從中獲益。一方面,企業只需保持營運,並為未來的合規性奠定堅實的基礎。此外,一致的合規性可能有助於建立公眾信任,也就是作為公共關係或行銷訊息的一部分,以進一步推動業務成長。

為什麼資料主權很重要?

資料主權很重要,因為其能夠確保適用於資料的法律和法規得到遵守。如今,這往往說來容易做來難,因為在過去 20 年裡,企業內部使用資料的方式已經完全改變。當資料變得動態且行動化時,也將面臨更大的風險 — 檔案不再保留在本機磁碟機和裝置的範圍內,資料庫開始儲存遠遠超出少數特定應用程式範圍的記錄。資料範圍的擴大產生了許多不同類型的風險。防範這些危險變得越來越重要,尤其是隨著網路攻擊變得越來越複雜,並且開始跨國進行資料。

如今,資料主權的重要方面包括:

  • 法律。近年來,各國和地區都制定了資料保護法規,以解決有關實體資料儲存位置的隱私、安全和儲存問題。歐盟的 GDPR 法規就是一個典型的範例。這些類型的法規涵蓋網站訪客資料和產品使用資料等方面。不遵守法規可能會導致複雜的法律問題,進而導致營運和財務複雜化。

  • 安全性。誰有權存取敏感資料?無論是財務、個人或組織智慧財產權,控制對敏感資料的存取是資料主權的關鍵要素。在某些情況下,地區法律也涉及資料收集的隱私權方面。所有這些可能都表明需要保持對安全、存取和儲存的控制權。

  • 連續性。在全球分散式資料的世界中,公有雲供應商理論上可以將備份儲存在位於其他國家的資料中心。如果發生嚴重斷電或發生自然災害中斷存取和連接,就會產生各種問題。這也引發了管轄權問題 — 如果有人入侵了雲端供應商的資料中心,哪些法律將適用於保護居住在世界各地的使用者?資料主權策略可能有助於確保儲存保留在特定區域內。在極端情況下,特定的地點可以實現快速的備份連線,不會因地理距離而導致延遲問題,也不會因地區法律而導致合法存取問題。

資料主權如何運作?

收集和儲存資料的企業必須遵守其營運所在國家/地區的資料主權法律,這項工作可能涉及將資料儲存在特定位置、實施安全措施,以及確保資料的處理符合當地法規。這可能是一個複雜且具有挑戰性的流程,尤其是對於在多個司法管轄區運營的跨國公司而言。

資料主權規範的基本工作流程如下:

  1. 企業評估其資料的目前狀態,包括其內部安全協定和資料中心的實體位置。
  2. 客戶和使用者的位置為識別相關資料主權法奠定了基礎。
  3. 企業的 IT 和法律團隊將評估企業是否遵守不同地區的法律,否則的話,則必須確定實現合規性的必要步驟。
  4. 企業持續關注客戶和相關法律,以確保不會錯過任何更新。

資料主權、資料在地化、資料駐留與資料隱私權

資料主權是一個複雜的概念,包含數個不同的互連元素。司法管轄區、法律和硬體位置都會影響資料主權的動態公式。此概念最重要的要素如下:

資料主權

資料主權的核心是根據資料生成國/地區的法規對資料進行法律監督。全球使用者群、遠端工作人員和雲端儲存資料中心等變數使這個最初的概念變得更加複雜。因此,資料所在位置、收集位置以及收集方式等因素對於瞭解所涉及的問題至關重要。

資料在地化

資料在地化介於資料駐留和資料主權之間,意指一個地區的公民產生的資料在外部使用之前應該駐留在該地區內。資料在地化限制源自於隱私權和安全考量,尤其是當組織處理機密、個人或財務資料時。

資料駐留

「資料駐留」一詞指的是組織資料的實體位置。如果資料儲存在與其生成地不同的國家或地區,則適用該特定地區的資料駐留法,進一步增加規範複雜性。

資料隱私權

資料隱私權是指對使用者個人資料的保護。網站和應用程式可以使用多種方式收集這些資料,包括表單、使用者提供的資訊和網站 Cookie。同意和收集的合法性等問題是資料隱私權的首要考量,各地區已開始制定自己的資料隱私法,以保護公民資料免受詐騙和濫用。

主要差異

資料主權、資料在地化、資料駐留,以及資料隱私權之間的主要差異在於它們之間的關係。資料主權是指包括司法管轄區、公民、組織和法律在內的整體;資料在地化規定如何處理使用者資料,而資料駐留和資料隱私權則指在檢查更廣泛的概念時所使用的定義。下圖提供了這些概念如何協同工作的流程。

主權 vs. 在地化 vs. 駐留

資料隱私權是指保護個人和機密資訊的要求。如果做不到,可能會失去客戶信任,影響企業聲譽,甚至面臨罰款和被起訴的風險。

資料主權 資料在地化 資料駐留
根據資料產生和/或處理國家/地區的法規,對資料進行法律監督 一個地區的公民產生的資料在外部使用之前應該駐留在該地區內 企業儲存和/或處理資料的實體位置

資料主權的歷史

隨著電腦從房間大小的龐然大物發展為桌上型電腦,資料存取也隨之演變。安全性成為實體儲存媒體、區域網路和資料中心的焦點。隨著資料變得更加便攜且可動態傳輸,資料主權的概念由此誕生。在歐盟,1995 年的資料保護指令將歐盟公民資料的處理和儲存限制在這些邊境範圍內。美國也從不同角度考慮資料主權,其中包括 2001 年的《愛國者法案》,該法案從根本上改變了美國政府可以合法存取的公民資料的範圍。該法律允許聯邦政府存取儲存在美國管轄範圍內的資料,以及在美國境內營運的公司管理的資料。

在那個時代,實體媒體、撥接資料機和網路被視為一種利基服務。但在接下來的幾年裡,數位轉型已滲透各個產業和社區,涵蓋家庭網際網路存取、線上金融交易、社交媒體上的個人資料,一直到日常雲端儲存、數位貨幣和物聯網 (IoT ) 裝置。突然之間,資料主權的重要性呈指數級增長。舉例來說,企業開始跨國分享資料;網路犯罪成為日常風險之一;人們從遠處進行線上購物;以及政府非法監控個人資料等。所有這些變化都需要在混亂中建立某種秩序,尤其是涉及不同的司法管轄區。

如今,資料主權的概念涵蓋了廣泛的主題,包括當地合法性、隱私權問題、雲端儲存伺服器的實體位置等。隨著裝置進一步融入我們日常生活的每個層面,企業不斷突破遠端工作的界限,資料主權只會隨著時間的推移而變得更加複雜,也更加重要。

資料主權與 GDPR

1995 年,歐盟資料保護指令 (DPD) 在網際網路時代來臨之際生效。DPD 的正式名稱為 95/46/EC 指令,以基本權利與自由為依據,是全球檢視資料隱私權的基礎。DPD 中的關鍵主題包括以下內容:

  • 處理歐盟公民資料時的透明度
  • 定義儲存和處理的意圖和目的
  • 適用於在歐盟境外傳輸資料的法律
  • 個人資料的處理方式和限制原因,以確保隱私

此後的 20 年裡,全球各地的資料使用情況呈爆炸式增長,首先是透過家庭寬頻存取網際網路,然後是社交媒體的出現,再到智慧型手機等物聯網 (IoT) 裝置的誕生 — 這些都不斷收集大量的個人資料。隨著資料開始以以前難以想像的方式流動,這種演進揭示了 DPD 保護中的漏洞。

《一般資料保護規範》(GDPR) 於 2016 年通過,並自 2018 年起生效,取代了 DPD,並建立在其所有關鍵原則的基礎上,包括基本資料權利、監管機構的規定以及向第三國傳輸個人資料的限制。值得注意的是,GDPR 規定組織只能以合法授權的方式收集和處理個人資料,包括主體同意、合約義務或官方機構的公共利益。在 GDPR 生效前的十年裡,由於美國根據《愛國者法案》使用資料的情況曝光,人們對使用資料的同意和政府權威感到擔憂。GDPR 釐清並簡化了個人資料的存取、所有權、同意、投訴和限制,以實現更嚴格的法律界限和更大的個人所有權,同時將責任和責任轉移給組織和資料控制者。

GDPR 被廣泛認為是史上最具影響力的資料保護法,有助於推動全球的資料保護行動。美國的多個州通過了自己的居民產生資料的法律,包括《加州消費者隱私法》和《科羅拉多州隱私法》。南非、泰國、新加坡等國家也跟著效仿。

5 大資料主權挑戰

資料主權是一個獨特且經常充滿挑戰性的旅程 — 企業達成目標後,由於新興地區不斷變化的法規和新準則,該過程將持續下去。企業在做出重要的 IT 選擇並評估影響時,必須掌握所有這些變數。以下清單列出資料主權面臨的常見挑戰:

  • 在多個國家營運。如果您的企業在多個國家/地區營運,資料主權可能會立即變得更加複雜。資料收集法規取決於流程發生的司法管轄區。根據地區的不同,跨國企業可能必須針對其營運地區資料法的細微差別而做出調整。

  • 不斷變化的法律。即使其他司法管轄區推出了自身的資料保護版本,歐盟 GDPR 和美國 CCPA 等現有法律仍可能會繼續更新。每個組織都有責任追蹤這些變更以保持合規性,因為資料隱私權和保護的法律責任可能落在實體而不是個人身上。例如,英國在 2020 年退出歐盟後仍維持 GDPR 標準,但還可以獨立決定針對英國居民的法律如何演進。

  • 供應商儲存位置。如果您的組織使用公有雲來滿足其資料需求,則公有雲的實體儲存和處理位置可能會成為一個重要因素。如果資料隱私法要求資料駐留在使用者的管轄範圍內,組織可以考慮是否與供應商就有關地理位置的任何特定法律要求進行溝通。

  • 初始投資。資料主權需要財務承諾。如果您正在執行本地資料中心,這可能表示需要移轉至雲端。如果您正在收集財務資訊等機密資料,則可能需要導入新的安全層。實現健全資料主權所需的具體步驟對於每個企業來說都是獨特的。企業還可能需要花費大量時間和精力對員工進行有關這些細節的重新培訓。無論您的資料主權旅程的情況如何,都必然會面臨意想不到的挑戰,因此企業必須準備好吸收成本。

  • 成功的代價。或許您的組織最初是一家本地企業,但隨著您的產品或服務受到關注而擴大了版圖。隨著擴張帶來了更大的客戶群,而這個基礎也帶來了越來越多的資料主權問題,尤其是當您的客戶覆蓋範圍擴展到具有不同法規的新領域時。在規劃擴張和成長時,資料主權必須是一個不變的部分,因為忽視資料主權可能會帶來嚴重的法律後果。

如何透過 6 個步驟支援雲端運算中的資料主權

在資料主權方面,沒有一體適用的解決方案。然而,無論企業現有的技術或業務目標為何,以下廣泛的要求都是一致的。以下六個步驟是達成資料主權的一般指南。

1.瞭解企業目前的情況

企業的資料是如何儲存的?目前位於何處和/或在何處被處理?企業使用本地資料中心、雲端供應商還是混合模式?企業採取了哪些角色型存取和其他安全措施?企業是否使用和/或需要對靠近管轄邊界的邊緣裝置的支援?企業將如何擴展業務?在對資料主權做出任何決策之前,企業必須能夠回答這些問題,才能全面瞭解推動合規性的因素。

2.瞭解企業的自身需求

企業能回答上述問題嗎?現在,企業須根據上述資訊,考慮自身的需求以及要達成的目標。當然,滿足監管合規要求很重要。然而,考慮到所涉及的策略也會影響企業的 IT 選擇、法律團隊和預算,企業也應在過程中建立明確的目標。一般藍圖、硬體和資料需求清單,以及最佳/最壞情況評估可能都是協助制定資料主權策略的關鍵標準。

3.瞭解可用的解決方案

在許多情況下,由於合規性、業務和營運方面的需求,促使企業尋求雲端解決方案。這可能需要透過混合模型連接現有的本地資料中心,將本地資料中心移轉至雲端,或根據雲端供應商所能提供的服務考慮實際的規範要求。企業應評估雲端供應商的技術、財務和合規等相關需求,並考慮移轉服務、實體資料中心位置和服務區域等因素。

4.做出一個或多個選擇

到目前為止,您已經瞭解企業自身的現狀,列出具體的企業需求,以及不同雲端供應商的能力。將所有這些因素整合起來,有助建立明確的供應商候選名單。企業可以對每個供應商進行面試,並在可能的情況下取得示範或試用版。接著,是時候選擇所需供應商並建立移轉藍圖了。作為此步驟的一部分,企業可以徹底查看每個供應商的服務層次協議 (SLA),以瞭解其服務如何滿足企業的功能需求。

5.掌握最新變化

對於功能、安全性和合規性,即使在移轉和啟動後,企業也可能需要監控關鍵效能指標和安全問題,以確保一切按計畫進行。定期稽核可能是當今資料導向的業務營運的必要部分,考慮到區域更新和新推出的法律也是如此。在這個階段,企業也應該為最壞的情況做好準備:如果企業必須淘汰表現不佳的供應商,該怎麼辦?

6.視需要進行修訂

如果企業對所選的供應商不滿意,總是還有其他選擇。此外,隨時都有新的技術可供使用。即使企業運作一切順利,考慮一下現有的情況也沒有什麼壞處,當然,同時也要考慮到移轉的問題。如果您的簽約供應商出現問題,例如不符合 SLA 中規定的效能標準,或者缺乏客戶服務,那麼瞭解所有選項就尤其重要。

無論如何,在技術方面,重新評估和修訂應該始終成為計畫的一部分,在涉及資料導向的經濟和安全時更是如此。

資料主權最佳實務

雖然資料主權很少採用一體適用的解決方案,但各種最佳實務幾乎適用於所有情況。這可能包括以下內容:

  • 瞭解資料去向。對於儲存、處理和傳輸來說,位置很重要。健全資料主權的第一步是識別所有實體位置。列出清單後,企業可以搜尋相關的地區法律,以協助驗證合規性 (或確定不合規的風險)。

  • 對資料在地化做出明智的選擇。資料在地化確保儲存的資料實際位於收集資料的管轄範圍內,從而降低合規性和監管風險。在許多情況下,資料在地化可能是實現合規性的最快方法,因此這種方法可以消除資料跨越國際或國家邊界時涉及的許多複雜問題。

  • 保護機密資料。敏感的個人資料和網站收集的一般使用者指標之間存在差異。醫療、財務或其他機密資料可能需要適當的保護措施,才能滿足法律和道德準則。企業可能需要制定專門用於管理和保護機密資料的策略。為了保持合規性,企業可以考慮定期審查和更新為此目的制定的政策。

  • 審查雲端供應商。與本地資料中心相比,雲端儲存具有顯著的優勢,包括速度、成本和可擴展性。但是,任何處理使用者資料的組織都必須瞭解資料收集的地點。由於雲端提供者理論上可以為全球各地的組織提供服務,因此組織有責任審查其供應商,確保實現資料駐留,以滿足區域合規要求。

上述最佳實務的關鍵在於,需要及時瞭解最新的地區法律和法規。隨著新技術的不斷湧現和指南的不斷發展 (有時發展非常迅速),合規性是一個動態且持續的過程。即使組織建立了資料主權原則,持續的驗證和合規性也依賴所有相關地區和司法管轄區的定期檢查。

使用 Oracle Sovereign Cloud 滿足主權要求

為了協助世界各地的組織滿足許多不同的資料主權要求,Oracle 提供了一系列 Oracle Cloud Infrastructure (OCI) 主權解決方案,旨在透過完整的 OCI 功能來協助滿足特定商業和政府需求的部署模型。這些產品支援客戶控制其組織的資料駐留、存取和合規性認證。此外,Oracle National Security Region 有助於為高度機密和敏感的工作負載提供安全的政府網路,而 Oracle EU Sovereign Cloud 則可提供符合歐盟規範需求的公有雲服務、定價和計畫。

瞭解 Gartner 為何將 Oracle 分散式雲端評為「領導者」,探索該產品如何為客戶提供受監管的資料、雲端的所有優勢,以及如何對營運、資料駐留和相鄰性的擁有更高的控制權。

資料主權常見問題

什麼是資料主權?

資料主權是指特定司法管轄區的資料法適用於在其境內儲存和產生的資料。因此,特定國家/地區內的使用者的個人資料受該國家/地區的法律所規範。同樣,如果雲端供應商將資料儲存在與其客戶不同的管轄範圍內,則可能適用多個法規。在大多數情況下,瞭解並遵守這些法規的責任落在獲取資料並向雲端供應商支付服務費用的組織身上,例如擁有智慧型手機應用程式的科技公司。

資料主權原則的範例是什麼?

歐盟的 GDPR 是資料主權原則的最著名的範例之一。GDPR 於 2016 年通過並自 2018 年起生效,適用於歐盟公民,對個人資料隱私權、資料收集、資料保護和自動化資料使用實施法規。GDPR 通常被認為是現有最具影響力的資料隱私法。

為什麼資料主權很重要?

在使用軟碟的時代,由於傳輸資料的能力有限,關於資料主權的討論並不多。然而,隨著連線能力和 IoT 裝置的功能不斷增強,資料在各地不斷產生並跨境傳輸。資料主權很重要,因為它有助於確定企業可以處理使用者資料,尤其是透過社群媒體收集的個人資料或透過銀行應用程式收集的財務資料。此外,每個裝置或網站都可能因駭客攻擊而面臨潛在的隱私風險,引發了誰應該對隱私權和安全負責的問題。資料主權計畫有助於為收集、處理和儲存資料的企業制定明確的指導方針、限制和責任。

什麼是美國的資料主權?

美國沒有針對其公民制定單一、全面的資料主權法。美國聯邦貿易委員會有權調查和起訴不遵守隱私權政策的組織。在州的層面上,加州的 CCPA 涵蓋了與歐盟 GDPR 相同的許多領域,尤其重要的是,該州對國家整體經濟的巨大貢獻,特別是科技業。俄勒岡州、科羅拉多州和維吉尼亞州等其他州也制定了資料隱私法,近年來越來越多的州推出了不同範圍的法案。與此相關的是,隨著 2001 年《美國愛國者法案》的出台,提出了許多關於隱私權和資料倫理的 GDPR 之前的問題。需要注意的是,2018 年《雲端法案》與資料主權相關。然而,在執法機構出示搜索令或傳票時,該法律側重於雲端服務供應商對資料所承擔的責任。