现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
数据本地化要求
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:数据出境合规 | 数据跨境流动 | 网络安全与等保 | 重要数据保护
核心法条
- 《网络安全法》第 37 条:关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据,应当在境内存储。确需向境外提供的,应当进行安全评估 [现行有效]
- 《个人信息保护法》第 40 条:关键信息基础设施运营者和处理一百万人以上个人信息的处理者,个人信息应当在境内存储。确需向境外提供的,应当通过国家网信部门组织的安全评估 [现行有效]
- 《数据安全法》第 21 条:国家建立数据分类分级保护制度,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度 [现行有效]
- 《网络安全审查办法》(2023 年修订):网络安全审查中涉及数据本地化与境外上市的要求 [现行有效]
- 《数据出境安全评估办法》(国家互联网信息办公室令第 11 号):数据出境安全评估程序和要求 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》施行 | 现行有效 |
| 2021-09-01 | 《数据安全法》施行 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》施行 | 现行有效 |
一、数据本地化的法律渊源
1.1 概念界定
数据本地化(Data Localization)是指法律要求特定类型的数据必须存储在本国境内的服务器或数据中心,在履行特定程序之前不得传输至境外的制度安排。
数据本地化是数据主权的具体体现,也是全球数据治理中"数据主权"模式的核心措施。
1.2 立法沿革与三级体系
| 法律依据 | 适用主体 | 数据类型 | 本地化要求 |
|---|---|---|---|
| 《网络安全法》(2017)第 37 条 | 关键信息基础设施运营者(CIIO) | 个人信息和重要数据 | 强制境内存储 |
| 《个人信息保护法》(2021)第 40 条 | CIIO + 处理 100 万人以上个人信息的处理者 | 个人信息 | 强制境内存储 |
| 《数据安全法》(2021) | 所有数据处理者 | 核心数据 | 原则上禁止出境 |
1.3 国际比较
| 国家/地区 | 数据本地化范围 | 特点 |
|---|---|---|
| 中国 | CIIO 的个人信息和重要数据;100 万+ 个人信息处理者的个人信息 | 最广泛的数据本地化要求之一 |
| 欧盟 | 无一般性义务,个别领域有特定要求 | 强调GDPR adequacy(充分性)认定 |
| 俄罗斯 | 所有俄罗斯公民的个人信息 | 全面强制本地化 |
| 印度 | 金融、医疗等关键领域的个人数据 | 逐步推进中 |
二、数据本地化的适用场景
2.1 强制本地化的三类主体
| 主体类型 | 法律依据 | 本地化数据范围 | 例外方式 |
|---|---|---|---|
| 关键信息基础设施运营者(CIIO) | 《网安法》第 37 条 | 境内个人信息 + 重要数据 | 通过安全评估后可出境 |
| 大规模个人信息处理者(100 万人以上) | 《个保法》第 40 条 | 个人信息 | 通过安全评估后可出境 |
| 核心数据处理者 | 《数安法》第 21 条 | 核心数据 | 原则上不得出境 |
2.2 CIIO 的认定
关键信息基础设施运营者的认定依据《关键信息基础设施安全保护条例》:
行业范围:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。
认定标准:网络设施一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。
2.3 本地化存储的技术实现
企业在实践中需要关注以下技术实现问题:
- 服务器选址:境内服务器或云服务商(如阿里云、腾讯云、华为云)
- 数据隔离:确保本地化数据与非本地化数据在物理或逻辑上隔离
- 访问控制:境外人员不得直接访问本地化数据(除非通过安全评估)
- 备份与灾备:备份数据也须在境内存储
- 日志留存:网络日志须留存不少于 6 个月(《网安法》第 21 条)
三、数据本地化与出境的衔接
3.1 合规路径总览
数据本地化并非绝对禁止出境,而是要求出境前履行特定合规程序:
本地化存储 → 评估是否需要向境外提供
├── 否:境内处理
└── 是:选择合规路径
├── 安全评估(CIIO / 100 万+ / 重要数据)
├── 个人信息保护认证
└── 标准合同
3.2 安全评估的强制适用情形
以下数据出境必须通过数据安全评估(不得选择其他路径):
- CIIO 向境外提供个人信息和重要数据
- 处理 100 万人以上个人信息的处理者向境外提供个人信息
- 向境外提供重要数据(不论主体身份)
- 累计向境外提供 10 万人个人信息或 1 万人敏感个人信息的
- 国家网信部门规定的其他情形
详见数据出境合规。
3.3 境外上市与数据本地化
《网络安全审查办法》(2023 年修订)增加了数据本地化相关的审查要求:
- 掌握超过 100 万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查
- 审查重点评估:核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险
四、数据本地化的合规实务指南
4.1 合规评估步骤
- 主体身份识别:
- 是否属于 CIIO?
- 处理的个人信息是否超过 100 万?
-
是否处理核心数据?
-
数据类型识别:
- 境内收集和产生的数据中,哪些属于个人信息?
- 哪些属于重要数据?
-
哪些属于核心数据?
-
存储架构设计:
- 确保相关数据存储在境内服务器
-
评估现有 IT 架构是否满足本地化要求
-
出境合规:
- 如确需出境,选择合适路径并履行程序
4.2 企业常见风险点
| 风险点 | 描述 | 后果 |
|---|---|---|
| 主体身份误判 | 企业未达到 100 万人标准但误判为无需本地化 | 行政处罚 |
| 云服务使用不当 | 使用境外云服务器或境外可访问的云服务 | 违规出境 |
| 境外可访问 | 数据存储境内但境外可访问调用 | 等同于出境 |
| 重要数据未识别 | 未按行业目录识别重要数据并本地化 | 违反数据分类分级义务 |
4.3 跨国企业的特别挑战
跨国企业面临数据本地化与全球 IT 架构一致性的双重挑战:
- ERP 系统:全球统一的 ERP 系统可能涉及中国员工和客户数据的境外传输
- CRM 系统:客户关系管理系统通常全球部署,存在数据出境风险
- HR 系统:集团共享的人力资源系统涉及中国区员工信息出境
- 合规应对:通过本地化部署、数据隔离、出境评估等方式解决
五、法律责任
5.1 行政处罚
| 法律依据 | 违法情形 | 处罚幅度 |
|---|---|---|
| 《网安法》第 59-66 条 | CIIO 未履行本地化义务 | 10-100 万元(一般);100-1000 万元(严重) |
| 《个保法》第 66 条 | 个人信息违规出境 | 最高 5000 万元或上年度营业额 5% |
| 《数安法》第 46 条 | 重要数据违规出境 | 10-100 万元(一般);100-1000 万元(严重) |
| 《网络安全审查办法》 | 未申报网络安全审查 | 处上一年度营业额 1%-10% 的罚款 |
5.2 典型处罚案例
- 滴滴案(2022 年 7 月):罚款 80.26 亿元人民币,部分违法事实包括违法收集用户相册截图和面部识别信息、违规向境外提供数据
知识库原始资料索引
法律法规
- 中华人民共和国网络安全法
- 中华人民共和国数据安全法
- 国家互联网信息办公室令第 11 号:《数据出境安全评估办法》/国家互联网信息办公室公布_数据出境安全评估办法_(附全文_答记者问).md)
学术研究
- 魏求月:数据跨境调取的审查规则构建——《数据安全法》第 36 条重塑
- 洪延青:国家安全视野中的数据分类分级保护
- 曹全来:"双重国家战略"引领下我国数字法学学科建设研究
地方指引与实务
- 企业数据合规指引(上海市杨浦区)
- 滴滴因违法收集个人信息下架