数据驻留云DRaaS：在中国使用国外SaaS怎样保证数据合规

Salesforce，Workday，ServiceNow等国外领先的SaaS广受企业用户欢迎，在大型跨国公司内普遍使用，然而近年来随着地缘政治摩擦、个人隐私关注等因素，各国纷纷加强网络安全法规，中国用户跨境使用这些SaaS也遇到越来多的合规风险。过去一年有很多朋友问我，中国的《数据安全法》和《个人信息保护法》开始实施后，还能不能使用数据中心不在国内的Salesforce，Workday等的服务，我说据我理解，的确有合规风险，当然监管机构也没主动查禁，现在算是灰色地带。

不仅如此，当越来越多的企业应用上云后，跨国公司的数据在云上存储，也要考虑到存储地点合规的问题。

世界上已经有几十个国家出台了限制数据跨境传输的法律：美国很早就有关于医疗数据、消费者数据的数据保护法律，欧洲2018年开始实施GDPR，对于个人数据在欧盟内以及向欧盟外传输提出了管控要求；中国在过去网络安全法基础上，最新出台了《数据安全法》（DSL）、《个人信息保护法》（PIPL），数据管控范围从个人数据扩展到其他分级的重要数据，由于中国经济体量巨大，在中国的跨国公司越来越多，这些合规要求给跨国公司在中国使用国外的云服务带来很大困扰；印度、澳大利亚和许多其他国家都有要求数据本地化驻留的规定。

自从2018年GDPR开始实施，如何管理公司SaaS的全球化应用就成为跨国公司CIO头疼的问题，根据一项统计，数据合规、数据驻留及管控是CIO在云安全上最关注的问题：

www.insightofprofessionals.com/it/cloud/state-of-cloud-security-report

数据跨境传输具有这样一些数据管控类型：

数据驻留（Data residency）：指企业等机构将其数据存储及处理在其选择的地理位置，通常是出于监管、政策或者税务考虑等原因。

数据主权（Data sovereignty）：数据不仅存储在指定的位置（即符合“数据驻留”要求），而且还受其物理存储所在国家的法律的主权约束。数据主体（例如被收集、持有或处理个人数据的个人）将根据其存放的数据中心的实际位置，拥有不同的隐私和安全保护。

数据本地化（data Localization）：要求在特定疆域内创建的数据保持在这些边疆域内，比前两者更严格。数据本地化便于本国政府对本国公民的数据审计于监管，而不受他国的隐私法律抵触。有些国家允许本地保留副本，有些国家则根本就不允许数据越境。

以上三个术语意思虽然有一定差别，在实际使用中常被互换使用。不同国家和不同数据对象类型的管控要求各不相同，体现了一个国家对于公民、商业、社会事务的保护主义的力度和开放度。

有很对技术手段来解决数据安全问题，例如数据处理端的“隐私计算”，数据消费端的“数据沙箱”等。几年前，许多公司将令牌化（tokenization）或匿名化 （anonymization）作为应对数据传输中的隐私保护的变通方法，例如将个人身份信息等敏感信息用变造信息的令牌替换，以可以处理其余的数据，可是目前大多数数据主权监管机构都不支持令牌化做法。

于是专门为企业使用SaaS时提供合规的“数据驻留”的云服务商就应运而生了。其原理如下图所示，即用户在使用SaaS时，受监管的数据存储到符合监管要求的云服务上，称为“数据驻留云服务”（DRaaS），而没有监管要求的其他数据则存在企业控制的数据库上，用户使用应用程序时对数据的存储位置并没有感觉。在一条交易记录中，涉及到受监管的数据在企业数据库中以匿名化方式存储，不可以被复原。

这种方式类似于电商网站上的支付过程的数据隔离处理——当用户在电商网站上支付一笔订单时，支付过程是跳转到外部支付平台上处理，电商网站并不保留用户的信用卡信息等敏感信息。

数据驻留云服务提供和多个SaaS平台集成、安全数据存储、数据加密等功能，为了满足各国的合规要求，数据会存在所在国的云服务上，例如DRaaS厂商InCountry据称提供Salesforce，ServiceNow，Veeva等多个SaaS集成接口，在中国则将数据放在阿里云上。

微软Azure等云大厂提供一定的数据本地化服务，而更专业的DRaaS是个非常新的云服务领域，最近两三年才在市场上为人关注，目前市场上有几家新兴厂商：

InCountry：一家由基于互联网技术的企业软件老将创立的公司，已经融资4400万美元，声称提供符合包括中国在内的90多个国家合规要求的数据驻留云服务：

Odaseva：一家提供Salesforce数据管理解决方案的创业公司，在获得了4000万美元融资后，宣布在2022年推出基于Salesforce的DRaaS服务，使得Salesforce的用户在欧洲和中国符合监管要求，未来还将提供Workday的DRaaS服务：

Skyflow：一家新成立的数据隐私安全柜的公司：

声明：本文来自陈果George，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。