文|天元律师事务所合伙人     刘    瑛
      |天元律师事务所律师        郑    霞
      |天元律师事务所律师        王    玄   
二、云计算业务的数据监管及对外资的影响
（一）数据监管的主要规定
我国关于数据监管的规定，概括起来主要包括“数据不得离境”、“保留数据接口”两大方面。
1、数据不得离境
近年来，我国在信息安全、用户个人信息保护等方面的法律法规和政策逐步出台和完善，关于数据信息不得离境的规定散见于各领域立法和规定。我们简要归纳如下：
（1）个人信用信息：征信机构在中国境内采集的信息的整理、保存和加工，应当在中国境内进行。[1]
（2）个人金融信息：在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。[2]
（3）人口健康信息：不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。[3]
（4）地图数据：存放地图数据的服务器设在中华人民共和国境内。[4]
（5）政府信息：为政府机关提供服务的数据中心、云计算服务平台等要设在境内。[5]
（6）企业会计信息：企业会计信息系统数据服务器的部署应当符合国家有关规定。数据服务器部署在境外的，应当在境内保存会计资料备份，备份频率不得低于每月一次。对于涉及国家秘密、关系国家经济信息安全的会计资料，未经有关主管部门批准，不得将其携带、寄运或者传输至境外。[6]
（7）人类遗传资源信息：除法律规定外，因特殊情况确需临时向外提供人类遗传资源的，须填写人类遗传资源出口出境申报表及审批机关要求的其他材料，经地方主管部门或国务院有关部门审查同意后，报中国人类遗传资源管理办公室，经批准后核发出口、出境证明。[7]        
（8）一系列标准化文件提出云服务提供商应确保机房位于中国境内的技术规范和要求。[8]
另外，2015年6月向社会公开征求意见的《网络安全法（草案）》中明确规定了关键信息基础设施的运营者[9]应当在境内存储公民个人信息等重要数据；确需在境外存储或者向境外提供的，应当按照规定进行安全评估。[10]这一立法动态也反映了“数据不得离境”的监管趋势。   
2、保留数据接口
除了上述数据不得离境的规定，2016年1月1日起施行的《反恐怖主义法》明确规定，电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关调查恐怖活动提供技术接口和解密等技术支持。[11]
强制性国家标准亦要求互联网交互式服务[12]提供商应当为公安机关提供合规的技术接口，确保实时、有效地提供相关证据。[13]
诚然，保留数据接口并不等于相关国家机关可以不经任何法律程序而随意调取业务数据。但是这些规定可能会增加外国服务商在华开展业务的忧虑。   
（二）外资开展云计算业务的数据监管要点
  1．无论是“数据不得离境”还是“保留数据接口”等有关数据监管要求，都是针对云计算、乃至网络数据管理的规定，并不因云计算业务的经营主体是中资或者外资企业而有所不同。因此，无论外国企业、外商投资企业与中国企业合作开展云计算业务，还是外商投资企业自行在中国运营云计算业务，都需要遵守中国关于数据监管的相关要求。   
  2．除上述关于数据监管的规定外，云服务提供商开展云计算业务、客户使用云服务时，还需要关注企业商业秘密以及其他敏感信息的保护问题。   
3．云计算业务中，云服务提供商基于数据安全等考虑，可能同时通过镜像等技术进行数据备份；云服务提供商的云服务还可能建立在其他云服务提供商的PaaS或者IaaS之上。对数据监管的要求应当贯穿云服务提供商提供云服务的全程。例如，对于上述规定的个人信用信息、个人金融信息等，云服务商在提供云服务的整个链条（包括数据备份）中都不得将该等信息向境外提供或者存储在境外服务器上。
结 语我们通过以上四期文章，分析、归纳了外资在中国开展云计算业务，需要关注的资质监管、数据监管等多方面问题。概言之，外资在中国开展云计算业务，即使是采取目前比较普遍的与国内企业进行合作的方式，也需要考虑合作方式的合法合规性，包括对业务资质、数据安全等监管政策的遵守，以及合作模式架构中涉及的业务管理、收益获取与传递、客户服务及管理等需要审慎对待的事项。
[1]《征信业管理条例》第二十四条。
[2]《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）。
[3]《人口健康信息管理办法（试行）》第十条。
[4]《互联网地图服务专业标准》（国测管发〔2010〕14号）。
[5]《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）。
[6]《企业会计信息化工作规范》（财会〔2013〕20号）第三十六条、第三十九条。
[7]参见《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》。
[8]参见《信息安全技术云计算服务安全指南》第7.1.10条、《信息安全技术云计算服务安全能力要求》第14.2.1条。
[9]根据《网络安全法（草案）》第二十五条，关键信息基础设施是指：提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统。
[10]《网络安全法（草案）》第三十一条。
[11]《反恐怖主义法》第十八条。
[12]根据《信息安全技术互联网交互式服务安全保护要求》，互联网交互式服务是指为用户提供向社会公众发布信息的服务发布方式包括文字、图片、音视频等。包括但不限于论坛、社区、贴吧、文字或者音视频聊天室、微博客、博客、即时通信、移动下载、分享存储、第三方支付等互联网信息服务。据此我们认为，其中的“分享存储”即可能涉及到云服务。
[13]《信息安全技术互联网交互式服务安全保护要求》第13.4条。