各国数据本地化法律(2026年)
数据本地化法律要求将特定个人数据存储在一国境内的服务器上。相关要求的严格程度各不相同,从俄罗斯《联邦第242-FZ号法律》这类禁止公民主数据库离境的强本地化制度,到允许有条件跨境传输的弱本地化模式不一而足。截至2026年,全球已有60多个国家实施某种形式的数据留存要求。
数据本地化法律要求机构将特定数据的存储、处理或备份保存在物理位于特定国家境内的服务器上。自2015年以来,受国家安全考量、隐私保护目标、经济发展战略以及围绕数字主权的地缘政治因素驱动,此类法律迅速增多。
本地化要求的范围和严格程度差异很大。一些国家规定所有本国居民的个人数据都必须留在境内。另一些国家则只对银行、医疗或电信等特定行业适用本地化要求。还有一些国家采取折中做法,要求保留本地副本,同时允许在满足一定条件的情况下向境外传输。
本指南对截至2026年各国的数据本地化要求进行了逐国概述,阐释强本地化与弱本地化之间的区别,涵盖行业专项规则,考察欧盟的立场,梳理相关经济层面的争论,并概括切实可行的合规策略。
强本地化与弱本地化
理解强本地化与弱本地化之间的区别,对于制定合规规划至关重要。
强本地化
强本地化完全禁止特定数据离境。相关数据必须仅在本地服务器上收集、存储和处理。无论采取何种保障措施,都不得将副本传输至境外。俄罗斯的个人数据法以及中国数据保护框架下的某些数据类别,均属于强本地化的代表。
弱本地化
弱本地化要求在本地服务器上保留数据副本,但允许将副本传输至其他国家,通常须满足政府批准、用户同意或合同保障措施等条件。印度对某些数据类别的做法以及印度尼西亚的相关法规,均属于弱本地化的代表。
有条件传输模式
一些国家并不要求本地存储,而是对跨境传输附加条件,这些条件在实际效果上等同于本地化要求。例如要求每次传输都须获得政府批准、要求在数据出境前进行安全评估,或将传输范围限制在具备“充分”保护水平的国家。这些有条件模式在合规负担上可能不亚于正式的本地化要求。
各国数据本地化要求
下表概述了主要法域的数据本地化要求。下文将对重点国家进行详细分析。
| 国家 | 类型 | 范围 | 主要法律 |
|---|---|---|---|
| 中国 | 强制/有条件 | 个人信息、重要数据、关键信息基础设施数据 | 《个人信息保护法》、《数据安全法》、《网络安全法》(2026年1月修订) |
| 俄罗斯 | 强制 | 俄罗斯公民个人数据 | 联邦第242-FZ号、第266-FZ号法律 |
| 印度 | 弱制/行业性 | 支付数据(强制);其他数据有条件 | 2025年DPDP规则、印度储备银行指令 |
| 印度尼西亚 | 弱制 | 公共电子系统数据 | GR 71/2019号条例、《个人数据保护法》(2024年10月) |
| 越南 | 弱制/有条件 | 个人数据、国家安全数据 | 第13/2023号法令、第53/2022号法令 |
| 尼日利亚 | 弱制/行业性 | 政府数据、关键基础设施数据 | 2023年NDPA、NITDA法 |
| 土耳其 | 有条件 | 个人数据 | 第6698号法律(KVKK) |
| 沙特阿拉伯 | 有条件/行业性 | 个人数据、金融数据、政府数据 | PDPL(2024年9月起执行) |
| 巴西 | 无(有条件) | 无本地化要求;有条件传输规则 | LGPD |
| 韩国 | 有条件 | 个人信息 | PIPA |
| 澳大利亚 | 无(有条件) | 无本地化要求;APP 8传输规则 | 1988年隐私法 |
| 哈萨克斯坦 | 弱制 | 公民个人数据 | 《个人数据法》(2024年2月修订) |
| 阿联酋 | 行业性 | 金融、医疗、政府数据 | 各行业监管机构规定 |
| 泰国 | 有条件 | 个人数据 | PDPA |
| 南非 | 有条件 | 个人信息 | POPIA |
| 日本 | 有条件 | 个人信息 | APPI(2022年修订) |
中国:最复杂的数据本地化制度
中国拥有全球最全面的数据本地化框架之一,由三部相互关联的法律共同构成:2017年颁布的《网络安全法》、2021年颁布的《数据安全法》和2021年颁布的《个人信息保护法》。
关键信息基础设施运营者
关键信息基础设施运营者必须将其在中国境内收集和产生的个人信息及“重要数据”存储在境内。数据出境须经国家互联网信息办公室(网信办)组织的政府安全评估。关键信息基础设施所涉及的行业包括能源、交通、金融、公共服务、电子政务、国防和科技等领域。
自2026年1月1日起生效的《网络安全法》修订
全国人民代表大会常务委员会于2025年10月28日通过了对《网络安全法》的修订,修订版自2026年1月1日起生效。2026年1月的修订并未改变第39条对关键信息基础设施运营者规定的核心数据本地化要求,但对执法格局作出了重大调整:
- 对于造成特别严重后果的关键信息基础设施运营者违法行为,最高罚款额现已提高至1000万元人民币(约合140万美元)。
- 《网络安全法》的域外适用范围已从仅涵盖损害境内关键基础设施的行为,扩大至涵盖任何在境外从事损害中国网络安全活动的组织或个人。
- 人工智能治理义务现已明确纳入《网络安全法》框架,包括国家对人工智能创新的支持、训练数据资源建设,以及人工智能风险评估和安全治理。
- 销售未经认证的网络安全设备的处罚,包括最高可达购买金额十倍的罚款。
个人信息处理者与2024年3月的门槛调整
根据《个人信息保护法》,处理中国居民个人信息且需要向境外传输数据的机构,必须满足以下四项条件之一:通过网信办组织的安全评估、取得经认可机构的认证、签订并向网信办备案标准合同,或符合其他适用条件。
2024年3月22日,网信办发布了《促进和规范数据跨境流动规定》,即时生效。该规定大幅放宽了此前的要求:
- 现仅在一个自然年内传输超过100万人个人信息,或传输超过1万人敏感个人信息的情况下,才需要接受网信办的安全评估。
- 一个自然年内传输不足10万人个人信息的,可豁免标准合同备案要求。
- 经网信办批准的安全评估结果,有效期已由此前的两年延长至三年。
- 位于指定自由贸易区内的机构可适用负面清单制度:由自贸区制定限制传输数据的目录,目录之外的数据均可自由传输。上海自贸区已于2024年5月发布首份一般数据清单,涵盖汽车、生物医药和公募基金等行业。
重要数据
《数据安全法》设立了一个独立的“重要数据”类别,须遵守本地化和出境限制要求。各行业监管机构负责界定本行业内哪些数据构成重要数据。汽车、金融服务和医疗保健行业已发布重要数据目录的征求意见稿或正式版本。
实际影响
对跨国公司而言,中国的制度是负担最重的本地化框架。在中国运营的机构通常会维护完全独立的数据基础设施,由专门的境内数据中心以及阿里云、腾讯云、华为云等中国云服务商负责本地数据处理。
俄罗斯:严格的个人数据本地化
俄罗斯的数据本地化法律,即《联邦第242-FZ号法律》(修订第152-FZ号《个人数据法》),已于2015年9月1日起施行。该法要求,凡用于收集、记录、系统整理、积累、存储、更新、修改或检索俄罗斯公民个人数据的所有数据库,均须位于俄罗斯联邦境内的服务器上。
适用范围
该法广泛适用于任何收集俄罗斯公民个人数据的运营者(无论俄罗斯本国还是外国运营者)。这包括在线服务、电子商务平台、社交媒体公司,以及任何收集俄罗斯居民员工或客户数据的企业。
跨境传输与2023年FZ-266号法律的变化
《联邦第266-FZ号法律》(于2022年7月14日签署;主要条款自2022年9月1日起生效;跨境传输条款自2023年3月1日起生效)对跨境传输框架进行了实质性更新。自2023年3月起,运营者在向境外传输个人数据之前,须先向俄罗斯联邦通信监管局(Roskomnadzor)提交传输意向通知。向未被认定为具备充分保护水平的国家传输数据,现须事先取得Roskomnadzor的明确许可。
此前的两级分类制度(欧洲委员会《第108号公约》缔约国与其他国家)在判断哪些国家被推定为具备充分保护水平时仍然适用。不过,无论传输目的地为何,事先通知的要求现已一律适用。
主要的数据存储要求保持不变:俄罗斯公民个人数据的主数据库必须留存在俄罗斯境内的服务器上。数据副本可以提供至境外,但原始数据库必须留在俄罗斯境内。
执法情况
俄罗斯的数据保护机构Roskomnadzor,一直通过封锁措施来执行本地化要求。LinkedIn因未能遵守本地化要求,已于2016年在俄罗斯境内被封锁。违反本地化要求的罚款金额现为6万至1800万卢布不等,屡次违规可能导致网站被封锁。
印度:不断演变的本地化格局
印度的数据本地化框架已发生了相当大的转变。《2023年数字个人数据保护法》(DPDP法)取代了此前包含严格本地化条款的《个人数据保护法案》草案。
现行框架:DPDP规则(2025年11月)
DPDP规则已于2025年11月定稿并发布。第15条规定:“数据信托人可以将个人数据传输至印度境外,但中央政府限制此类传输的除外。”这是一种负面清单模式:除非政府通过公告特别限制某一国家,否则允许向所有目的地传输数据。跨境传输的全面合规须于2027年5月前完成(即2025年11月13日后18个月)。截至2026年5月,政府尚未发布限制国家的负面清单。
这一做法明显比此前提出严格白名单制度的法案草案更为宽松。印度选择了负面清单模式,而非GDPR所采用的充分性认定模式。
支付数据本地化
印度储备银行(RBI)已于2018年4月发布指令,要求所有支付系统数据仅可存储在印度境内。该要求适用于支付系统运营者(包括银行卡组织、支付聚合商和电子钱包提供商)处理的境内交易数据。这是全球最严格的行业专项本地化要求之一,迫使Visa、万事达和PayPal等公司在印度设立数据中心。该要求依然完全有效,不受DPDP框架的影响。
行业专项要求
印度证券交易委员会(SEBI)已于2024年发布通函,对使用云服务提供商的受监管实体提出数据留存要求,规定监管和合规数据须留存在印度境内。印度保险监管与发展局(IRDAI)对保险数据可在何处处理和存储附加了条件。这些行业规则独立于DPDP框架运作。
越南:网络安全与数据存储
越南的《网络安全法》(第24/2018号法律)自2019年1月1日起施行,连同两项实施法令共同规定了分层的本地化要求。有必要区分这两项法令:
- 第53/2022/ND-CP号法令(自2022年10月1日起生效)是《网络安全法》的实施细则,规范数据本地化事项。
- 第13/2023/ND-CP号法令(自2023年7月1日起生效)是越南的个人数据保护法规,规范跨境传输程序。
根据第53/2022号法令,提供电信、互联网、数据存储、电子商务、在线支付、交通出行应用、社交网络、即时通讯、游戏及相关服务的境内企业,必须在越南境内存储三类数据:服务用户的个人信息、用户生成数据(账户名称、会话时间戳、信用卡信息、电子邮箱地址、IP地址、注册电话号码),以及关系数据(用户所连接的好友和群组)。
对于外国企业而言,本地化要求并非自动适用,而是基于触发条件启动。如果外国企业的服务被用于违反越南网络安全法律,或该企业未能遵守此前的要求,公安部发出的书面请求即会触发本地化要求。一旦触发,该企业必须在12个月内完成合规,并自收到请求之日起至少保留相关数据24个月。
第13/2023号法令要求向境外传输越南公民个人数据的机构,须编制传输影响评估报告并向公安部备案。传输开始前须取得登记证书。
印度尼西亚:关于电子系统的政府条例
印度尼西亚《2019年第71号政府条例》(GR 71/2019号,关于电子系统与交易)要求公共电子系统运营者将其数据中心和灾难恢复中心设置在印度尼西亚境内。私营电子系统运营者可以在满足条件的情况下将数据存放于境外:境外存放不得削弱政府监管的有效性,且须为监管和执法提供访问权限。
印度尼西亚《个人数据保护法》(第27/2022号法律)已于2022年10月颁布。为期两年的合规过渡期已于2024年10月17日结束,各机构现须全面合规。该法允许数据控制者将个人数据存储在印度尼西亚境内或境外,这与GR 71/2019号条例对私营运营者的规定保持一致。
金融服务行业还须遵守印度尼西亚金融服务管理局(OJK)提出的额外要求,该局要求银行和金融机构在境内维持主要数据中心。
尼日利亚:NDPR升级为成文法
尼日利亚的数据本地化要求现以《2023年尼日利亚数据保护法》(NDPA)为依据,该法已于2023年6月签署成为法律。NDPA取代了2019年的《尼日利亚数据保护条例》(NDPR),将数据保护框架提升为成文法。该法设立了尼日利亚数据保护委员会(NDPC)作为法定机构,取代此前由NITDA负责的监管安排。
NDPA并未实行一刀切的全面本地化,而是要求传输至尼日利亚境外的个人数据须在目的地国获得充分保护,或须实施适当的保障措施。美国未被NDPC认定为具备充分保护水平,这意味着向美国传输数据须采用标准合同条款或其他保障措施。
2024年一项政府令将若干关键系统认定为关键国家信息基础设施(CNII):银行验证号码(BVN)数据库、国家身份识别号码(NIN)数据库,以及尼日利亚银行间结算系统(NIBSS)。被认定为CNII的系统须遵守更为严格的数据处理和本地化规则。
政府数据须满足额外要求。NITDA的指导方针要求政府数据以及代表政府机构处理的数据须托管在尼日利亚境内。尼日利亚中央银行(CBN)要求金融机构在境内保存数据,并就某些跨境传输取得批准。
沙特阿拉伯:PDPL现已全面执行
沙特阿拉伯《个人数据保护法》(PDPL)已于2023年9月14日生效,并设有一年的合规宽限期。全面执行已于2024年9月14日开始。PDPL具有域外适用效力:它涵盖沙特境外实体对沙特居民个人数据的处理行为。
2024年8月,沙特数据与人工智能局(SDAIA)发布了《个人数据向沙特王国境外传输条例》。该传输条例允许在以下情形下进行跨境传输:目的地国提供充分保护;或控制者实施了适当的保障措施;或符合特定法定依据之一(同意、履行合同所必需、维护重大利益或公共利益)。
沙特阿拉伯货币局(SAMA)的相关规定要求金融机构在沙特境内维持主要数据存储。国家健康信息中心对健康数据提出了额外要求。国家网络安全局(NCA)要求政府数据留存在沙特境内。
土耳其:有条件传输框架
土耳其《第6698号个人数据保护法》(KVKK)并未实行严格的数据本地化,但建立了一套在实际效果上可等同于本地化的有条件传输框架。
跨境传输须取得数据主体的明确同意,或经个人数据保护委员会(KVKK委员会)作出充分性认定。2024年3月,KVKK委员会更新了其做法,允许基于具有约束力的企业规则、标准合同条款或其他经批准的保障措施进行传输,使土耳其的框架更接近GDPR模式。这一更新符合土耳其长期以来寻求获得GDPR充分性认定的目标。完整详情请参阅我们的土耳其数据隐私法指南。
哈萨克斯坦:2024年修订后的本地化要求
哈萨克斯坦《个人数据及其保护法》(第94-V号法律)要求处理哈萨克斯坦公民个人数据的运营者,须将该数据存储在位于哈萨克斯坦境内的服务器上。自2024年2月11日起生效(于2023年12月11日通过)的修订引入了新的义务:机构须就任何个人数据安全事件通知数字发展部,该通知要求自2024年7月1日起生效。现禁止收集和处理身份证件的实物副本。数字发展部获得了开展不定期合规检查的权力。
行业专项本地化模式
在本地化仅适用于特定行业而非所有数据的法域中,可以观察到若干共同模式。
金融数据
全球各地的银行监管机构往往施加最为严格的本地化规则。印度RBI的支付数据要求、印度尼西亚OJK的要求、尼日利亚CBN的指令、中国的银行数据规则,以及沙特阿拉伯SAMA的规定,均要求金融数据在一定程度上进行本地存储。金融数据本地化是全球范围内最为一致的行业模式。
医疗数据
健康数据本地化要求见于澳大利亚(《我的健康记录法》)、土耳其(健康数据法规)、沙特阿拉伯(国家健康信息中心的要求),以及若干在GDPR基准要求之外对健康数据施加额外限制的欧盟成员国。
电信
电信元数据和用户数据在俄罗斯、中国、越南、印度(通过电信牌照条件)以及若干非洲国家均面临本地化要求。这些规则通常源于国家安全和执法机关数据访问方面的考量。
政府与公共部门数据
几乎所有国家都要求政府数据在境内存储。这包括印度尼西亚针对公共电子系统的GR 71/2019号条例、尼日利亚NITDA的指导方针、印度的政府云政策,以及沙特阿拉伯NCA的相关要求。
人工智能训练数据
中国的人工智能治理规定,已随2026年1月的修订纳入《网络安全法》框架,其中包含针对关键信息基础设施运营者所处理的人工智能训练数据的本地化要求。在关键信息基础设施行业内,使用从中国用户处收集的数据训练人工智能模型的机构,必须确保训练数据继续遵守标准的本地化和安全评估要求。
欧盟与数据主权
GDPR并不要求在欧盟或欧洲经济区内实行数据本地化。相反,它允许向具备充分保护水平的国家进行跨境传输,或通过标准合同条款、具有约束力的企业规则或充分性认定等经批准的传输机制进行传输。GDPR框架的核心是传输条件,而非存储强制要求。
不过,欧盟也并非完全没有数据主权方面的压力。
由欧盟网络安全局(ENISA)根据《欧盟网络安全法案》制定的欧盟云服务网络安全认证计划(EUCS),长期以来一直是数据主权要求争论的焦点。早期的EUCS草案曾为最高认证等级(High+)设定明确的主权要求:总部须设在欧盟境内、受欧盟司法管辖、且不承担向第三国政府披露数据的法律义务。这些要求实际上将把美国主要云服务商排除在最高认证等级之外。2024年9月,欧盟理事会敦促ENISA和欧盟委员会加快EUCS进程,并明确说明主权标准将如何被纳入其中。欧洲网络安全认证小组(ECCG)原计划于2025年通过该方案,但主权问题仍存在争议。
若干欧盟成员国在GDPR基准要求之外,施加了行业专项本地化要求。德国、法国和荷兰对健康数据提出了额外要求。多个成员国要求政府相关数据留存在本国境内。这些成员国层面的规则与GDPR的一般传输框架并行存在。
经济与贸易政策层面的争论
数据本地化要求带来了可衡量的经济成本。信息技术与创新基金会(ITIF)已识别出66个国家存在154项明确或事实上的数据本地化法规。基于源自经合组织(OECD)的数据限制性指数,ITIF估计,一国数据限制程度每提高1个点,五年内将使其贸易总产出下降7%,生产率增速放缓2.9个百分点,并使依赖数据的行业下游价格上涨1.5%。
在ITIF的分析中,数据限制程度最高的国家分别是中国(29项本地化措施)、印度(12项)、俄罗斯(9项)和土耳其(7项)。
在世界贸易组织内部,《电子商务联合声明倡议》框架下的数字贸易讨论已涉及跨境数据流动问题。多个世贸组织成员已提出关于数据流动自由化的具有约束力的承诺方案,但目前尚未就数据本地化达成具有约束力的多边协议。
本地化的支持者认为,它服务于多项正当利益:国家安全(防止外国情报机构获取公民数据)、执法机关的数据访问(确保调查所需数据在本法域内可获取)、经济发展(培育本国云产业,并将数据处理相关岗位留在境内),以及隐私保护(使公民数据继续受本国法律管辖)。批评者则认为,本地化使全球互联网趋于分裂,提高了跨境经营企业的合规成本,使缺乏本国云基础设施的发展中国家处于不利地位,并以高昂的经济成本重复建设基础设施,而未能带来相应的安全收益。
这些利益之间的平衡尚未有定论。尽管一些国家(尤其是印度通过其DPDP法)已转向比早期草案更为宽松的基准框架,但全球总体趋势仍是本地化程度不断加深,而非减弱。
近期动态(2024至2026年)
自本页面上一次审阅(2026年3月)以来,已出现若干重大动态:
中国。《网络安全法》修订已于2026年1月1日生效,将最高罚款额提高至1000万元人民币,扩大了域外适用范围,并纳入了人工智能治理内容。2024年3月网信办发布的跨境数据规定放宽了传输门槛,并引入了自贸区负面清单,是迄今为止中国跨境数据规则最大幅度的放宽。
印度。 DPDP规则已于2025年11月定稿并发布。第15条确立了跨境传输的负面清单模式。全面合规须于2027年5月前完成。限制国家的负面清单尚未发布。
沙特阿拉伯。 PDPL的宽限期已于2024年9月14日结束。SDAIA已于2024年8月发布跨境传输条例。沙特阿拉伯的数据保护制度现已全面施行并可强制执行。
尼日利亚。 已于2023年6月签署的NDPA取代NDPR成为数据保护的成文法依据。2024年对BVN、NIN和NIBSS作出的CNII认定,新增了关键基础设施本地化义务。
印度尼西亚。《个人数据保护法》为期两年的过渡期已于2024年10月17日结束。自该日起,所有机构均须实现全面合规。
俄罗斯。 FZ-266号法律规定的跨境传输通知要求(自2023年3月起生效),为任何跨境个人数据传输新增了向Roskomnadzor事先通知的强制步骤。
哈萨克斯坦。 2024年2月的修订引入了数据泄露通知义务(自2024年7月起生效),并禁止收集身份证件的实物副本。
跨国机构的合规策略
在多个法域运营、面对不同本地化要求的机构,可以采用若干策略。
区域数据中心架构
在关键法域部署数据中心(或与云服务商签约),可确保满足本地存储的合规要求。AWS、微软Azure和谷歌云等主要云服务商均提供特定区域的数据留存选项。机构可以配置数据留存策略,确保来自特定国家的数据留存在指定区域内。主要云服务商还推出了主权云产品:谷歌的主权云(Sovereign Cloud)、微软的欧盟数据边界(EU Data Boundary)以及同类产品,允许机构以合同方式承诺特定数据永不离开指定的地理区域,从而在无需承担专用基础设施资本支出的情况下满足弱本地化要求。
数据隔离与分类
建立按法域和类别对数据进行标记的数据分类框架,使机构能够有选择性地适用本地化规则。并非某一国家的所有数据都须本地化;通常只有特定类别的数据(金融、医疗、政府数据)才须遵守本地存储要求。
混合架构
一些机构出于合规目的维护本地的“热”存储,同时在中心位置进行数据处理或分析。这种方式既能满足本地化要求,又能保留集中式分析的效率。关键在于确保本地副本在适用的情况下满足“主要存储”的要求。
多重传输机制叠加
在实行弱本地化的法域,机构可以在维持本地存储的同时,利用标准合同条款、充分性认定、用户同意或合同条款等传输机制,将数据副本导出用于全球业务运营。
监管动态跟踪
本地化法律变化频繁。机构需要建立系统化流程,跟踪其运营所在每个国家的立法和监管动态。2024至2026年间,印度、沙特阿拉伯、印度尼西亚、尼日利亚、哈萨克斯坦和中国均出现了重大变化。对于在这些市场有重要业务存在的机构而言,每季度进行一次合规审查是最低要求。
本文提供的是一般法律信息,而非法律建议。在多个法域应对数据本地化要求的机构,应就其具体情况咨询在相关法域获得执业资格的律师。本页面内容反映截至2026年5月可获得的信息。
Frequently Asked Questions
什么是数据本地化?
数据本地化是指要求将个人数据或其他类别的数据存储、处理或保存在物理位于特定国家境内的服务器上的法律规定。此类法律可能要求一国所有居民的数据都必须留在境内(强本地化)、要求保留本地副本同时允许向境外传输(弱本地化),或对跨境传输附加条件,从而在实际效果上形成本地化。
哪些国家的数据本地化法律最为严格?
截至2026年,中国、俄罗斯和越南拥有最全面的本地化制度。中国要求关键信息基础设施运营者在境内存储个人信息和重要数据,任何跨境传输前均须经过政府安全评估。自2026年1月1日起生效的《网络安全法》修订,将最高罚款额提高至1000万元人民币,并扩大了该法的域外适用范围。俄罗斯要求俄罗斯公民个人数据的所有主数据库均须存储在俄罗斯境内的服务器上;自2023年3月起,运营者在任何跨境传输前还须通知Roskomnadzor。越南要求境内服务提供商进行本地存储,并对外国公司施加基于触发条件的本地化义务。
GDPR是否要求在欧盟内部实行数据本地化?
[GDPR](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/what-is-gdpr)并不要求在欧盟或欧洲经济区内实行数据本地化。相反,它允许向具备充分保护水平的国家进行跨境传输,或通过[标准合同条款](/world-laws/world-data-privacy-laws/standard-contractual-clauses)、具有约束力的企业规则或[充分性认定](/world-laws/world-data-privacy-laws/eu-adequacy-decisions)等经批准的传输机制进行传输。不过,围绕EUCS云认证的争论,以及部分欧盟成员国针对健康数据和政府数据的行业专项规则,已超出了GDPR的基准要求。
强数据本地化与弱数据本地化有何区别?
强本地化完全禁止特定数据离境,数据必须仅在本地服务器上存储和处理,不得向境外传输任何副本。弱本地化要求在本地服务器上保留数据副本,但允许将副本传输至其他国家,通常须满足政府批准、用户同意或合同保障措施等条件。俄罗斯的个人数据法是强本地化的代表,而印度尼西亚的框架则是弱本地化的代表。
印度是否要求数据本地化?
印度已于2025年11月定稿的《数字个人数据保护规则》并未实行一刀切的全面本地化。第15条允许向任何国家进行跨境传输,除非中央政府通过负面清单特别限制该目的地。截至2026年5月,尚未发布任何负面清单。跨境传输的全面合规须于2027年5月前完成。不过,印度储备银行要求所有支付系统数据仅可存储在印度境内,这使其成为全球最严格的行业专项本地化要求之一。
中国的数据本地化规则在2024年和2026年发生了哪些变化?
发生了两项重大变化。2024年3月,网信办发布了新的跨境数据流动规定,大幅放宽了传输门槛:现仅在每年传输超过100万人个人信息或超过1万名敏感数据主体信息的情况下,才需要进行安全评估。传输不足10万人信息的,可豁免标准合同备案要求。2026年1月,《网络安全法》修订生效,将最高罚款额提高至1000万元人民币,将域外适用范围扩大至涵盖任何损害中国网络安全的行为,并将人工智能治理纳入《网络安全法》框架。
跨国公司如何应对不同的本地化要求?
常见策略包括:部署区域数据中心,或使用提供特定法域数据留存选项的云服务商(包括谷歌主权云、微软欧盟数据边界等主权云产品);建立按国家和类别标记数据的数据分类框架;维护混合架构,以本地存储满足合规要求,同时通过集中处理进行数据分析;在弱本地化法域叠加使用标准合同条款等传输机制;并建立季度监管动态跟踪流程,追踪所有运营所在国家的变化情况。
哪些行业面临最多的数据本地化要求?
金融服务和银行业面临最严格、覆盖范围最广的行业专项本地化规则,印度(RBI)、印度尼西亚(OJK)、尼日利亚(CBN)、沙特阿拉伯(SAMA)和中国的监管机构均要求本地数据存储。医疗数据在多个法域面临本地化要求。出于国家安全考量,电信元数据也经常被要求本地化。在几乎所有设有数据留存法律的国家,政府和公共部门数据都须遵守本地化要求。人工智能训练数据是一个新兴的本地化类别,在中国尤为突出。
全球范围内的数据本地化要求是在增加还是在减少?
全球总体趋势是本地化程度不断加深。自2015年以来,实行某种形式本地化要求的国家数量已大幅增加。根据ITIF最新的报告,已在66个国家识别出154项本地化措施。推动因素包括国家安全考量、培育本国云产业的经济发展战略、围绕数字主权的地缘政治紧张关系,以及执法机关的数据访问需求。一些国家(尤其是印度通过其DPDP规则)已采用比早期草案更为宽松的框架,但更广泛的趋势仍是不断扩张,而非收缩。
Sources and References
- 中国《个人信息保护法》(PIPL)(npc.gov.cn).gov
- 中国《数据安全法》(npc.gov.cn).gov
- 中国《网络安全法》(2026年1月修订版)(npc.gov.cn).gov
- 中国《网络安全法》修订(2025年10月通过,2026年1月生效)(gov.cn).gov
- 网信办跨境数据流动规定(2024年3月)(chinalawtranslate.com)
- 网信办数据出境标准合同办法(2023年)(cac.gov.cn).gov
- 俄罗斯联邦第242-FZ号法律(pravo.gov.ru).gov
- 欧洲委员会第108号公约(coe.int).gov
- 印度2023年数字个人数据保护法(meity.gov.in).gov
- 印度储备银行支付数据存储指令(rbi.org.in).gov
- 越南网络安全数据本地化(美国国际贸易署)(trade.gov).gov
- 尼日利亚2023年数据保护法(cert.gov.ng).gov
- 尼日利亚数据保护委员会(ndpc.gov.ng).gov
- 土耳其第6698号KVKK法(mevzuat.gov.tr).gov
- 印度尼西亚GR 71/2019号条例(jdih.kominfo.go.id).gov
- 沙特阿拉伯PDPL实施条例(istitlaa.ncc.gov.sa).gov
- 沙特阿拉伯ICT跨境传输执法情况(美国国际贸易署)(trade.gov).gov
- 哈萨克斯坦数据本地化概述(Morgan Lewis律所,2024年)(morganlewis.com)
- ITIF:跨境数据流动壁垒报告(itif.org)
- ITIF:欧盟云服务限制报告(2025年)(itif.org)
- 众达(Hogan Lovells)律所:EUCS数据主权争论解读(hoganlovells.com)