把資料留在本地,不會自動讓你更安全;它只會把你的治理問題,從「跨境」改成「境內也失控」。

這兩年很多企業面對跨境與 AI 專案時,第一個直覺都是:「那就不要出境」。 但實務上,資料在地化(data localisation)只能解決一部分監理可近性問題,無法取代流程治理、權限治理與證據治理。

一、問題背景:監理疊加,企業卻還在單點解題

今天的難題不是單一法規,而是多套規範同時施壓:

  1. 台灣《個人資料保護法》第 19 條要求,企業若以契約關係蒐集/處理個資,仍須「採取適當之安全措施」。
  2. 歐盟跨境傳輸若無適足性決定,實務上常需採用 Standard Contractual Clauses(SCC)等合法機制。
  3. AI 專案又帶來額外風險分類與治理義務(例如 AI Act 的分階段適用節奏)。

結果是什麼?

  • 法務在做法條對照
  • IT 在做系統上線
  • 內稽在補證據

三邊都努力,但沒有共同控制底圖,最後就會變成「文件看起來有做,事件來時不會動」。

二、核心分析:資料在地化的價值與盲點

1) 正方觀點:在地化有其治理價值

資料在地化並非錯誤策略。它至少有三個正面效果:

  • 提高監理機關取證與執法可近性
  • 降低部分高敏感資料的跨境合規複雜度
  • 對特定產業(金融、醫療、關鍵基礎設施)提供更可控的風險邊界

這也是為何越來越多法域在「特定資料類型」上採更嚴格的傳輸限制。

2) 反方觀點:只做在地化,可能帶來新風險

反方不是主張「全面自由流動」,而是提醒:

  • 在地化不會自動修復存取權限設計錯誤
  • 在地化不會自動解決 DSR(當事人權利)時鐘管理
  • 在地化也不會替代供應鏈契約責任(例如處理者事故通知)

如果組織把「資料是否出境」當成唯一 KPI,就容易忽略真正的控制重點: 誰可以看、何時可用、怎麼刪除、如何證明你有做。

3) 我的判斷:要做的是「三層治理」,不是二選一

結合既有 wiki 的治理脈絡,我建議把跨境與在地化問題拆成三層:

  • 法域層:哪些資料屬於強制在地化、哪些可條件式傳輸
  • 流程層:把 DSR、跨境審查、事故通報放進同一工單系統
  • 證據層:把法律基礎、傳輸機制、審查紀錄、例外批准,做成可稽核證據鏈

企業需要的不是「境內/境外」二分法,而是「可分流、可追溯、可稽核」的決策系統。

三、可行建議:30-60-90 天行動清單

Day 1–30:先做「可視化」

  • 建立資料流向總表(系統、資料類型、儲存地、接收地)
  • 在 ROPA 增加四欄:儲存地、接收地、傳輸機制、機制到期日
  • 標記 AI 用例是否涉及個資、是否跨境、是否高風險

Day 31–60:把規範變成流程節點

  • 建立「先判法域、再選機制」決策樹(避免先傳再補件)
  • 把 DSR 欄位工單化:身分驗證、期限、拒絕理由、延展依據
  • 針對供應鏈加入最低契約要求:事故通知 SLA、刪除/返還證明、再委託揭露

Day 61–90:補上證據與演練

  • 對高風險流程做桌上演練(跨境事故 + DSR + AI 模型更新)
  • 建立月度治理看板:逾期工單、例外批准、證據缺口
  • 以 NIST AI RMF 的 Govern/Map/Measure/Manage 檢查 AI 專案治理成熟度

四、結語

資料在地化是工具,不是答案。

在跨境與 AI 疊加的時代,真正可持續的合規能力來自三件事:

  1. 法域差異能被分流
  2. 流程責任能被執行
  3. 治理結果能被證明

當你的制度可以在壓力情境下「持續輸出一致決策」,你才真正跨過了「文件合規」到「營運治理」的門檻。

參考資料

  1. 法務部全國法規資料庫,個人資料保護法
    https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021

  2. European Commission, Standard Contractual Clauses (SCC)
    https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en

  3. European Commission, AI Act (Regulatory framework for AI)
    https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

  4. ICO, International transfers
    https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/

  5. NIST, AI Risk Management Framework
    https://www.nist.gov/itl/ai-risk-management-framework

  6. UNCTAD, Data protection and privacy legislation worldwide
    https://unctad.org/page/data-protection-and-privacy-legislation-worldwide