数据全球化与数据主权的对抗态势和中国应对——基于数据安全视角的分析
何傲翾
(北京航空航天大学 法学院, 北京 100083)
摘要:数据主权是网络主权延伸到数据层面的必然结果,其背后折射的是国家主权利益,但在行使方式上可能存在不同的利益诉求,并将深刻影响数据跨境流动的效率和成本。自"棱镜门"等多起网络安全事件爆发后,出于维护国家安全、加强公众个人信息保护和促进数字经济发展的现实需要,世界各国(地区)政府纷纷采取措施规制数据跨境流动,催生了美国"云法案"等一批将传统管辖权伸及网络空间的制度设计,深刻地挑战了网络空间秩序,印度等新兴市场国家则通过数据本地化措施予以应对。数据安全属于非传统安全,中国应坚持数据安全流动的基本立场,完善数据跨境流动统一立法,在国际治理中主动开展国际合作,以更具建设性的姿态融入数据全球化进程之中。
关键词:数据主权;数据跨境流动;数据安全;数据本地化;数据治理
一、问题的提出
在全球化格局重组、信息技术迅猛发展和大数据广泛应用共生交融的新时代背景下,网络空间已成为与陆、海、空、天并列的第五维空间领域。数据作为网络空间中最关键的战略资源,也是信息革命和人工智能等前沿技术得以进步和迭代的基础资源,由各类数据集成的大数据的重要性与价值也日益凸显。在经济全球化的时代中,数字经济也具备了天然的全球化特征,通过信息网络实现全球供给和全球消费,造成大量高频的数据跨境流动,可谓是“经济全球化”引发了“数据全球化”。一旦数据开始跨境流动,将受制于传统国家主权观念和现行国际法规则,而如何在这一过程实现数据安全,只能依赖于各国的自发行动,缺乏统一的行动指引。2013年,美国中央情报局(CIA)前雇员斯诺登所曝光的“棱镜门”事件揭露了美国通过信息技术手段侵蚀他国主权的行径。同年,“微软海外邮件数据案”将跨国企业置于数据管辖冲突的旋涡之中,“数据存储地标准”和“数据控制者标准”的选择之争一直延续到2018年美国《合法使用境外数据明确法》(又称“云法案”)出台后才告一段落,而跨国公司至今仍面临各国法律不确定、政府信任和用户信任降低的经营风险[1]。近日,特斯拉公司首席执行官Musk承认通过车内摄像头可以监测车主并获取数据的新闻引发关注,使得他主动保证称“特斯拉绝不会向美国政府提供其在中国或其他国家所收集的任何车辆和用户数据”,并表示“数据不加密存储,且不能分享至本地设备,确保所有储存在中国境内的GPS位置信息均不出境”,才平息了中国用户数据可能会被发送到美国的担忧。
数据全球化是不可逆的,由此带来数据的流动不可避免,绝对的、严格的数据流动管制既不现实,也无益于经济增长和技术进步。数据全球化与数据主权的对抗态势对人们提出了新的挑战,简言之,显然是要回答这两个相向而行的问题:一是数据全球化对数据主权的影响;二是数据主权对数据全球化的影响。笔者主要关注的是第二个问题,相应地,所要讨论的核心问题应有两个方面:一是数据主权能否为应对数据全球化、控制数据跨境流动提供正当性依据;二是如何围绕数据主权构建中国的数据跨境流动相关制度,衡平数据自由流动和数据安全的利益诉求。
二、以安全保障主权:数据跨境流动规制的基本立场
“数据跨境流动”意指“在一国内生成电子化的信息记录被他国境内的私主体或公权力机关读取、存储、使用或加工合称‘处理’”。就流动方向而言,其可分为“跨境流出”和“跨境流入”;就处理主体而言,其可分为“私主体跨境处理”和“公权力机关跨境处理”[2]。数据跨境流动并非一个新鲜议题,自20世纪60~70年代互联网开始进入民用领域以来,大量数据通过跨国公司的经营活动和互联网设备、系统形成的局域网及互联网进行跨境转移[3]。在二十国集团(G20)2019年大阪峰会上发布的“大阪数字经济宣言”指出:“数据、信息、思想和知识的跨境流动产生了更高的生产率、更优质的创新和更好的可持续发展。”[4]然而,在一片欣欣向荣、加强合作的景象背后,数据跨境流动的暗流也在涌动。在2019年G20大阪峰会上,印度因秉持数据本地化立场而没有参加会谈,印度尼西亚和南非则拒绝签字,这些国家都对跨境数据流动持反对意见,认同将数据存储在本地。伴随国际竞争的加剧,各国的数据监管措施越来越分散,禁止或大量阻碍跨境数据流动的数据限制在国内数据治理措施中也变得司空见惯,显示出了一种积极响应没有约束力的号召、严格收紧有约束力规则的困局。
(一) 数据主权:国家主权下的应然命题
“存储和处理某些类型的数据的能力,很可能会让一个国家在政治和技术上优于其他国家。这进而可能导致超国家数据流动导致国家主权的丧失。”[5]数据跨境流动之所以引起广泛关注和争议,究其根本在于体现一国之主权,而并非简单表现为数据的输入和输出。国家主权是一个历史久远、历久弥新的概念,依据《威斯特伐利亚和约》形成的“国家主权”概念已基本受到国际法的广泛承认。在威斯特伐利亚体系下,独立的诸侯邦国对内享有至高无上的国内统治权,对外享有完全独立的自主权。但是,上述的主权及其理论拓展局限于地理空间意义上的、由国家海陆空边界划定而形成的主权,互联网改变了传统国际法中的地域性,强烈虚化了主权国家地理意义上的边界,最大限度地消解了主权的对内和对外面向[6],为人类社会再造了一个虚拟的、去中心化的世界。正如Barlow[7]于1996年在世界经济论坛发表的《网络空间独立宣言》中所说:“我们不欢迎你们,我们聚集的地方,你们不享有主权。”在网络空间这一自由主义者梦寐以求的“新世界”中,网络社会不再依照传统的国际法规范形成基本秩序,政府干预让位于自我规制,也弱化了既定法律规范的空间效力。但是,对网络空间尤其是对数据的利用、保护和进行监管亦是涉及国家主权和利益的一项重要内容。正如有学者所总结的,全球互联网治理的可能性和具体方案,从根本上来说取决于人们对于互联网和主权关系的理解:应采取传统国家为主体的治理方式抑或后主权国家的网络空间自治,取决于人们对互联网是否超越主权国家管辖权这一问题的基本判断[8]。
网络空间自治主义(也可称为“网络空间自由主义”)认为,网络社会基于自身的信息权力和技术权力而形成了一种“网络绝对主权”①,依靠网络社会自身生成的这种绝对主权,就能够实现网络社会自身的有效运转和网络秩序的有效维系[9]。关联到数据跨境流动,则体现为数据的绝对自由流动。但是,实践表明:在没有既定秩序和具有约束力的规则的制约下,网络空间自治会逐渐发生异化,反过来影响国家的稳定安全和社会秩序。国家作为唯一享有主权的行为体,为了应对这一挑战,首先提出的是“网络主权”的概念,试图通过明确网络主权定义、行使网络主权来做出回应[10]。网络主权的概念目前也得到了学界有条件的接受,其中最为有影响力的成果当属北约卓越合作网络防御中心牵头制定的《网络行动国际法塔林手册2.0版》。该手册从对内主权和对外主权两个角度论述了网络主权,国家既对一国领土内的网络基础设施和网络活动享有主权,国家也可以在国际范围内自由实施网络行动②,这一观点尝试将国家的主权利益空间溢出至网络空间中,也代表着目前国际法学界较为一致的共识。
网络空间活动最密集的美国则对国际网络空间治理主张的是全球“网络公域”和“互联网自由”[11]。近年来,随着美国单边主义思潮的回归,全球治理秩序也在进行重构,特别是随着互联网、人工智能、大数据等前沿技术领域国际竞争加剧,主权肯定论已经显示出更加强大的说服力。中国一直是网络主权的坚定主张者和支持者,《网络安全法》第1条相应规定了该法的制定目的之一是为了保障网络安全,维护网络空间主权和国家安全。由武汉大学等多家机构于2020年11月联合发布的《网络主权:理论与实践》(2.0版)将“网络主权”定义为“是一国基于国家主权对本国境内的网络设施、网络主体、网络行为及相关网络数据和信息等所享有的最高权和对外独立权”,并赋予网络主权以独立权、平等权、管辖权、防卫权等四项权能③,呈现出了一个比较清晰的网络主权的权利框架。
如前所述,数据是信息革命得以进步与迭代的基础资源,在大数据时代,网络主权意识不仅是要保障对信息技术的掌控,还要对网络中的数据取得占有和管辖的权利[12]。21世纪初,已经有学者基于互联网制造、传播和交易信息的现象而提出“信息主权”的概念④,但信息和数据并非一体两面的同一事物⑤,当已有的信息主权无法适应国家管控海量数据传送和集聚的现象和行为,“数据主权”便应运而生[13]。梁坤[14]主张,数据主权依托网络空间, 因此其理应成为中国在国家安全法和网络安全法中规定的“网络空间主权”的下位概念。而网络空间主权系国家主权在网络空间的延伸,因此,数据主权也成为国家主权不可或缺的组成部分。齐爱民和盘佳[15]认为,数据主权是指国家对其政权管辖地域内的数据享有的生成、传播、管理、控制、利用和保护的权力。2015年8月31日,国务院印发的《促进大数据发展行动纲要》中首次从官方层面对数据主权作了表述。在十三届全国人民代表大会常务委员会第二十次会议上审议的《数据安全法(草案)》虽然在条文中没有直接使用“数据主权”的表述,但在总则和具体制度设计方面都体现了数据主权意识,如第22条和第33条分别规定了数据安全审查制度和对属于管制事项的数据实行出口管制等。
可以认为,数据主权是指国家对数据和与数据相关的技术、设备、服务商等的管辖权及控制权,具体权能包括但不限于生成、传播、管理、控制、利用和保护,体现为域内的最高管辖权和对外的独立自主权、参与国际事务的合作权[13]。数据主权是国家主权在信息化、数字化和全球化发展趋势下新的表现形式,是各国在大数据时代维护国家主权和独立,反对数据垄断和霸权主义的关键领域。在经济效益外,在与西方国家的综合国力尤其是互联网的竞争中, 中国现处于相对弱势一方, 缺乏自主创新的核心技术,网络主权和网络防护意识不足,确有必要从国家的数据主权诉求出发,为规制跨国数据流动提出相应的制度框架,以切实维护中国的主权利益。
(二) 跨境数据流动对数据主权的威胁
中国《数据安全法(草案)》第10条首次提出“促进数据跨境安全、自由流动”原则,体现出中国对于数据跨境流动的两个价值面向:一是安全,二是自由[2]。安全流动是维护国家网络主权和国家安全、公民和组织数据安全的现实需要,自由流动是促进数字经济增长、发展数据相关产业的必要条件。不可否认,数据是具备一定公共属性的。数据文件可被无限复制,且复制成本低,在经济上具有较强的非竞争性。数据所蕴含信息一旦产出,更多的人使用该信息并不会对其使用造成妨碍[16]。欧盟《通用数据保护条例》(GDPR,又称《一般数据保护条例》)前言第39~41段以及第6(1)条也把公共利益、数据控制者合法利益、数据控制者合法职责等作为制衡个人数据权利的“正当利益”,赋予数据以公共性[17]。因此,无论是基于互联网互联互通的本质,还是立足于数据的公共性原理,应在理论上接受“数据分享是前提性的,而数据控制需要充分理由”的前提[18]。当数据在多种渠道和方式下呈现出流动更加复杂、利用场景更加多元、传统安全风险持续地泛化的局面,由此引发的数据安全威胁已经对数据主权造成开放与规制之间的矛盾,也在一定程度上动摇了数据自由流动的诉求。
1. 数据安全风险的重新审视:以公民个人数据跨境流动为例
大数据带来了数据与信息处理方式的根本性变革,目前正在蓬勃发展的第三代人工智能技术也推动了数据处理和分析模式的革新,但也都存在其自身安全方面的脆弱性,使原有的安全边界已经不再适合目前的发展情景,如算法歧视等一系列新型数据安全问题以悄然又迅猛的方式渗透于公民日常生活和社会运转之中,使得传统网络安全和数据安全威胁更加复杂。数据的价值创生无法离开大量多样性数字化数据的汇聚、流动、处理和分析,数据密集型活动的流动性和复杂性既使得传统的数据安全风险大大增加,也引发了新型的数据安全风险和挑战[19]。以跨境流动公民个人数据为例,在现有的网络基础设施上,数据通常会寻找阻力最小的路径进行传输,并进行数据共享、交易和使用。这个过程既是数据财产的流转行为, 同时也涉及个人信息的反复收集、利用的过程,可能会引发三个方面的问题。一是滋生数据泄露风险:公民个人数据流动一旦缺乏规范, 使数据的收集、传输失控,将导致大量的个人信息遭受不当使用, 甚至是泄露[20];二是架空“知情同意”规则:数据的共享和使用等活动本质上仍属于个人信息的传输和收集,因此,依照《网络安全法》第41条确立的“知情同意”规则,这一过程应当取得数据权利人的同意,伴随着数据完全脱离数据权利人的现实控制,数据流动已无法向海量的数据权利人征求同意;三是减弱主体监管能力:现行《网络安全法》和《数据安全法(草案)》等法律都为国家、网络运营者等主体设定了一系列的安全管理义务,但如果数据流向国外,相关主体亦无法完全落实监管措施。长此以往,一旦一国对数据采集、存储等活动采取较为严格的监管措施,将导致数据借助跨境流动以逃避监管的倾向,进一步地减弱了主体的监管能力。
2. 数据主权的弱化:以管辖权为例
数据主权是否仅仅意味着国家的数据治理权力?在此可以借鉴国际法学者Leiter[21]对于“网络主权”概念的解释——“它首先是指在网络空间中创建和实施规则的能力。或者可以说它指的是在网络空间中实施法律的权力,即具有司法管辖权”。这一定义也阐明了国家行使数据主权的一个重要方面:对本国数据行使管辖权。在传统国际法中,国家通常以属地管辖作为行使管辖权的依据,而对于网络空间而言,就目前仍没有发展出得到普遍承认的行使管辖权的国际习惯法。当前,数据基于网络媒介的跨境流动与存储成为常态,造成了数据来源地与储存地的割裂、数据控制者与所有者的分离、以及数据管辖权与治理权的模糊[22]。这又导致了两个方面的问题:一是在网络环境中,无论管辖权请求国还是被请求国均存在确认目标数据所在地的困境,无法客观地证实被请求的数据或意欲进行管辖的数据存在于被请求国中[23];二是如果一国忽视他国的司法或执法主权并进行扩张性的管辖权行使,将本国管辖权的“长臂”伸及他国主权范围内,势必将会引发管辖权的冲突。“微软海外邮件数据案”的争议核心就在于:一国政府对本国企业在域外的数据是否享有控制权或管辖权。这也构成目前国际上大多数管辖权纠纷和核心议题。
(三) 小结
如何看待网络主权、数据主权和数据跨境流动之间的关系,将会对数据跨境流动的规制手段和规制程度产生影响。网络主权是国家主权在网络空间的延伸,同样具备国家主权的平等性等特征,而数据主权则属于网络主权的下位概念。基于国家权力在网络空间延伸的不对等性,网络空间治理也呈现出不均衡的局面,此种不对等性扩大了新型数据安全风险,有损于国家主权,国际上以国家为主体的权力博弈并不意味着放弃网络主权和数据主权的主张。
三、数据跨境流动规制的实践动向
纵观世界各国应对数据跨境流动的立法和执法实践,有一对呈明显对抗态势的动向:一方面是试图通过国内立法,在主权方面作出超地域的扩展,为本国调取域外数据提供管辖权依据;另一方面是通过数据本地化措施保护该国公民、实体的个人和财务数据免受外国监视和调取,并赋予国内政府和监管机构管辖权。相应地,产生了两类数据跨境流动的实践。其一是美国“云法案”的颁行,“云法案”的制定是美国为建立全球数据霸权所采取的一项重要措施,直接服务于美国“无限的数据饥渴”;其二是印度正在加快数据本地化立法,落实相关措施以维护本土数据安全和数据主权。
(一) 美国“云法案”:“长臂管辖”式的数据使用
“云法案”体现的是美国立法部门和政府部门对于数据主权和跨境数据流动问题最新的政策取向。该法首先确立“数据控制者标准”,简化美国政府跨境调取数据的流程,第2节第2713条明确规定:“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照本章(即《存储通信法案》)所规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有(Possession)、监管(Custody)或控制(Control)。”⑥由此,如果美国联邦调查局(FBI)等美国情报调查机构再向微软等跨国企业发出搜查令,企业应向FBI提交其存储于境外的电子邮件内容,否则属于违法。此外,“云法案”不仅为美国联邦政府调取境外数据提供了法律依据,还为外国政府机构向美国企业请求调取数据等司法协助做出了相关规定。但是,“云法案”仅允许“符合资格的”且与美国政府签订行政协议的外国政府(该法案第2523条)向美国境内组织发出协助调查、调取数据的请求[24]。尽管该法案考虑了数据调取的国际合作问题,但程序的实质实现均由美国单边自由决定,并未尊重他国对治理网络空间的“共治权利”[25]。美国为“符合资格”所设定的标准是“为隐私和公民自由提供了强有力的实质性和程序性保护”,而如何认定这类保护的决定权仍然由美国所有,并且在这一过程中“不得故意针对美国人或位于美国的人”⑦。因此,在“云法案”下的管辖权主张很有可能会带来对其他主权国家执法权完整性挑战,构成对他国执法主权的威胁,强行启动程序很有可能引发国家之间的冲突。
(二) 印度的数据本地化实践
印度作为新兴市场国家,一直非常重视数据跨境流动对本国经济和社会发展带来的影响,在1993年《公共记录法》中,印度规定除为“公共目的”外,禁止公共记录向印度境外传输。例如,2018年4月,印度储备银行要求外国支付公司将所有涉及印度客户的交易相关信息全部存储在该国境内的服务器上,迫使美国运通等公司调整数据存储政策以达到合规目的。印度监管机构声称,数据本地化对于确保负责任和透明地使用数据以及对其公民进行可靠的隐私保护至关重要[26],由此产生的印度《个人数据保护法案》要求互联网公司必须将在印度收集的关键个人数据存储在印度境内,在脱敏后才可转至国外处理,且只能用于法律许可的目的。印度政府将视情况确定哪些数据为关键数据。
1. 个人权利
该法案规定了公民个人在数据处理过程中的权利。这些权利包括:获得受托人关于其个人数据是否已被处理的确认;对不准确,不完整或过时的个人数据的更正请求权;在某些情况下,有权将个人数据转移到任何其他受信任的数据中;有权在不再委托或撤回同意时,限制相关受托人继续披露其个人数据。
2. 处理个人数据的依据
该法案同时也提供了处理个人数据的法律依据。该法案仅允许受托人在获得个人同意的情况下处理数据。但是在某些情况下,未经个人同意也可以处理,这些例外情形包括:如果国家要求为个人提供利益;基于法律程序或法判决、命令等;应对医疗紧急情况;在灾难或公共秩序受损期间,为维护公众安全。
3. 数据保护机构
该法案还设立了数据保护机构,该机构可以采取措施保护个人数据利益;防止滥用个人数据,以及确保该法得到遵守。该小组将由1名主席和6名成员组成,他们在数据保护和信息技术领域拥有至少10年的专业背景。该小组有权向上诉法庭上诉管理局的命令,上诉将提交最高法院⑧。
印度《个人数据保护法案》采用统一的立法模式,即该法案统一适用于印度境内的所有组织机构,使印度有机会从本国的信息和数据“资产”中受益,但具体制度能否有效落实并实现立法目标,还需要进一步观察。
(三) 小结
除美国和印度外,2018年欧洲议会投票通过的《非个人数据自由流动条例》在区分非个人数据的基础上,推动非个人数据的跨境自由流动并禁止数据本地化限制,该条例与聚焦保护个人数据的GDPR一起,确保欧盟对域内所有数据的自由流动采取全面而一致的方法。可以看到,美国、印度和欧盟等国家或地区正在进行的数据立法体现出“不变”与“变”交织的现状,“不变”的是对数据利益的重视和对本国数据主权的维护,“变”的是采纳不同的规制路径,并有不同的侧重。
四、数据跨境流动的治理框架
目前,中国关于维护数据主权的法律规定散见于各单行法中,比较完善的立法成果集中于“个人信息”的出境规制,如信息出境的安全评估要求和事前批准机制等,体现在《网络安全法》《个人信息出境安全评估办法(征求意见稿)》《个人信息保护法(草案)》等法律和办法中,并和《民事诉讼法》等程序法相呼应。这些规定均体现出中国偏重于保障数据安全、维护数据主权的规制思路,但总的来看,中国的数据跨境流动立法和实践还处于起步阶段。
(一) 中国数据跨境流动规制的不足
第一,中国尚未形成跨境数据流动的统一立法,上位法依据缺失。在《网络安全法》中,数据安全问题依附于网络安全,属于网络安全的一部分。从比较法上看,欧美各国的立法中,数据安全通常也与网络安全和个人信息保护交织在一起,分散在不同的法律中。因此,《数据安全法》与《国家安全法》《网络安全法》《个人信息保护法》之间的体系协调问题构成立法和未来执法的一大难点[27]。在指导立法的立法理念上,《数据安全法》的指向仍然是安全价值,因此,自由价值相应地位于较低的位阶,在客观上可能导致限缩数据自由流动空间的后果。
第二,规范内容不明确,制度构建仍处于起步阶段。当前有关数据跨境流动的规定多以原则性、概括性条款为主,可操作性不强,既没有形成一个完整清晰的制度体系以应对实践问题,也没有关于数据的权属、数据跨境流动的特有原则、权利义务关系、监管机构与职责等基本争议进行充分规定。当前立法也多侧重于“个人信息”的保护,对企业数据和其他组织的数据、政务数据等虽有进行规定,但仍不足以支撑实践。尤其是对于企业而言,数据跨境流动是跨国企业开展经营活动的必然要求,如何赋予相关企业充分的数据合规动力,并指导其完成数据合规工作,也是数据跨境流动立法的重要任务之一。
第三,没有充分对接当前国际上数据全球化和数据主权的对抗趋势,对部分强权国家和发达国家的管辖主张不足以进行有效应对。网络技术发展成熟、技术底蕴深厚的国家往往会凭借技术优势垄断网络规则制定权,并推行本国的价值理念,满足自己的数据治理主张,美国“云法案”就是典型例证。此外,面对《经济合作与发展组织指南》(《OECD指南》)和《亚太经济合作组织隐私框架》(《APEC隐私框架》)等国际公约所提供的不同的限制模式以及其他国家基于各类理由所提出的数据本地化主张⑨,中国的国内立法也应当做出相应回应,以推动中国企业更好地开展海外经营活动。
(二) 应对数据全球化和数据主权对抗态势的治理框架
在处理数据跨境流动时,发达国家处于占有绝对优势的规则制定权主体地位,而发展中国家和不发达国家只能以“数据防御主义”作为维护本国利益的手段,加强网络防范。因此,在应对数据全球化问题时,一个基础的出发点和落脚点是本国的实际国情和根本利益,以此来制定中国的治理框架,可以考虑的一个基本思路是:坚持数据安全流动为先的基本立场,明确数据安全流动和数据自由流动两项基本原则,促进数据跨境流动的统一立法,有区分地实施数据本地化措施,积极参与国际规则制定,主动融入以国际条约为主要内容的国际合作治理,寻求形成平等互惠的数据共享协议和管辖权互助协议,确保数据主权和网络主权不受侵害。
1. 坚持数据安全流动为先的基本立场
从总体国家安全观到数据安全,从技术民族主义到网络强国,强调提升自我技术能力以抵御外来危险的安全防御思想,是中国数据防御主义的认知建构基础[28]。如前所述,数据主权的基本原理不是保护人格尊严等基本价值,“数据主权可以被视为一种填补信息资产权威和控制空白的要求,这将弥补在域外数据处理中逐渐丧失的、虚拟化的国家公权力”[4]。面临国际竞争日趋加剧的局面,就地理空间上的主权安全而言,中国已经通过经济社会发展进步、国防力量不断增强、国际合作日益深入的方式达到稳定发展环境的目标,当网络空间开辟了国际竞争新战场,从维护国家主权这个根本利益出发,在承认中国的技术优势不足的基础上,应再次将安全化作为优先考虑的重大命题。哥本哈根学派创始人巴瑞·布赞指出,安全化的本质是把公共问题通过政治化途径上升为国家的安全问题,并允许施动者以非常措施应对威胁[29]。当今的跨境数据流动不仅指涉公民个人数据权利和企业数据权的保护,也会超越这些社会性问题而指向国家主权这一国家运行的基础,迫切需要中国坚持数据安全流动为先的基本立场,弱化和消除其对主权产生的负面影响。
坚持数据安全流动为先,并不意味着否认数据需要自由流动或者坚持数据孤立主义。实践也表明,在全球化的数字时代,数据越是本地化,其收益将越衰减。随着各类数据密集型技术的普及,“数据依赖”开始泛化,数据的自由流动也成为全球数字经济中贸易和创新的必要条件,制衡了数据安全价值不能过多干涉数据自由流动。
2. 构建统一的跨境数据流动规则体系
尽管存在显著的重叠,但隐私权和个人信息保护并没有为数据主权提供法律依据[30]。借鉴印度在规制数据跨境流动方面的做法,在《网络安全法》《数据安全法(草案)》等法律的基础上,应当加快出台数据跨境流动相关评估细则,指导、监督数据流通主体严格落实以上法律中关于个人信息及关键数据存储本地化及跨境流动评估的相关规定。在统一的规则体系下,也应当探索成立一个起到统筹协调作用的数据流动行政管理部门,除印度外,日本也设立了“个人信息保护委员会”(PIPC)作为独立的第三方监管机构,在此类机构的指导下,数据跨境流动的管理体制、机构设置和职责划分等体制机制问题将得到进一步厘清。
3. 优化数据本地化的具体规则和实践做法
通过对重要数据的跨境流动施加限制,防止一国公民个人信息、产业、经济以及科学技术等重要信息泄露国外以维护数据主权安全,均可以归入数据本地化(Data Localization)的范畴[31],实际上是技术处于相对弱势的一方对本国在网络空间管辖权的一种保护性手段[32]。数据本地化为国内的个人信息数据和数字企业的发展提供了一个“安全空间”,必要的数据本地化措施是实现安全化所必须采取的“非常措施”,经济效益和商业利益也相应做出了让步,但数据本地化并不意味着数据的绝对安全。本地化后的数据可能面临新的安全风险,也会降低本地数据服务提供商履行安全保护义务的动力。为了明晰阻碍数字服务贸易发生和发展中存在的限制性政策,并度量其对数字服务贸易的影响,OECD构建了数字服务贸易限制性指数,在OECD给出的五大领域42项限制性措施中,中国的数字服务贸易限制性措施数目较多,总数达到18条[33],这也从侧面体现出中国在数据跨境流动和数据安全之间实现平衡的道路还任重道远。在数据本地化方面,中国一方面可以尝试建立数据跨境流动备案制度,提升监管部门对数据存储及跨境流通的监管力度;另一方面也可以考虑制定“白名单”制度,由法律或法规明确规定白名单认证的实质性要件和程序,将符合要件的组织或实体列入名单并提供相应豁免,以此种区分性提高数据跨境流动的效率。
4. 融入国际数据治理,正向引导国际规则制定和实践动向
由于在现行国际法规范体系下,缺乏受到国际广泛承认的可执行的数据权利标准,关于数据主权的域外要求,或解决主权冲突的诉求,也陷入了多利益攸关方主义与多边主义的争论之中。通过国际贸易条约直接或间接地调整数据跨境流动法律关系是国际上较为通行的做法。中国已经具备相当丰硕的技术成果,理应主动、迅速地融入到国际沟通之中,以主动权赢得规则制定权,推动制定数据跨境流动的国际条约或国际治理框架,建立健全电子证据跨境取证等国际协调机制,充分表达中国在网络空间的权益诉求。
五、结论
综合来看,在数据全球化和数据主权的对抗中,一个显著趋势是主权国家和地区逐渐通过完善立法或重构数据法律规范的方式应对数据跨境流动,各国政府开始采取更加主动的措施应对数据跨境流动对本国的影响,如禁止数据出境、要求企业必须在本地储存和处理数据等,伴随着各类型攻击手段的升级,网络空间也面临传统攻击深化的深度威胁,威胁数据安全的严峻态势为维护数据主权、限制数据跨境流动的主张和措施提供了合理性依据,但过度管控的政策和施加不合理限制的执法手段也将为全球范围内数字经济和前沿信息技术的发展带来障碍。国家间各异的管辖权主张也可能引发国际法冲突,为国际关系和全球治理秩序埋下隐忧。为了重构一个更加符合中国主权利益和安全利益的数据流动秩序,在总体国家安全观的指导下,未来一段时期内,仍应重点以实现数据安全流动为指向,通过完整、全面的制度规范促进数据自由流动,以推动中国更好地开展数据治理。
注释:
① 网络绝对主权也表征为“网络自身主权”(Cyberspace as Sovereignty)。参见:张新宝, 许可.网络空间主权的治理模式及其制度构建[J].中国社会科学, 2016(8): 139—158, 207—208。
② 《网络行动国际法塔林手册2.0版》制定的一个重要前提是尝试将现行国际习惯法规则运用于网络空间之中,并加以发展,而非制定全新的国际习惯法,因此必然也会选择将国家主权原则作为该手册的基础性原则。关于该手册的研究成果,参见:甘勇.《塔林手册2.0版》网络活动国际管辖权规则评析[J].武大国际法评论, 2019, 3(4): 117—135;黄志雄.网络空间国际规则制定的新趋向——基于《塔林手册2.0版》的考察[J].厦门大学学报(哲学社会科学版), 2018(1): 1—11。
③ 《网络主权:理论与实践》(2.0版)该白皮书发表于2020年世界互联网大会,内容涵盖网络主权的含义、义务维度、行使原则和实践进程等内容,是对中国网络主权理论体系的一次系统梳理与总结,具备较强的实践价值。
④ 21世纪早期对“信息主权”的研究,参见:孔笑微.全球化进程中的信息主权[J].国际论坛, 2000(5): 13—17;俞晓秋.对信息技术与国家安全若干问题的思考[J].现代国际关系, 2001(3): 6—12。
⑤ 对于信息和数据是否应不加区分地使用,学界仍存较大争议。关于二者的区分研究,参见:冯源.《民法总则》中新兴权利客体“个人信息”与“数据”的区分[J].华中科技大学学报(社会科学版), 2018, 32(3): 81—88;梅夏英.信息和数据概念区分的法律意义[J].比较法研究, 2020(6): 151—162以及参考文献[16]。
⑥ 该条在法案中的原文表述为:A provider of electronic communication service orremote computing service shall comply with the obligationsof this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any recordor other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, orother information is located within or outside of the United States。
⑦ 该条在法案中的原文表述为:The domestic law of the foreign government, including the implementation of that law, affords robust substantive and procedural protections for privacy and civil liberties in light of the data collection and activities of the foreign government that will be subject to the agreement。该条系统设置了外国政府获取执法数据的标准和要求,除了应当有强有力的实质性和程序性保护外,还涉及到国际普遍人权的适用、获取数据程序及其公开监督、有利于互联网自由流动发展原则等条件。
⑧ 此处援引的规定均来自印度《个人信息保护法案》(The Personal Data Protection Bill)。
⑨ 关于《OECD指南》和《APEC隐私框架》的相关讨论,参见:张金平.跨境数据转移的国际规制及中国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则[J].政治与法律, 2016(12): 136—154。
参考文献:
[1]洪延青. "法律战"旋涡中的执法跨境调取数据: 以美国、欧盟和中国为例[J]. 环球法律评论, 2021, 43(1): 38-51.
[2]许可. 自由与安全: 数据跨境流动的中国方案[J]. 环球法律评论, 2021, 43(1): 22-37.
[3]张金平. 跨境数据转移的国际规制及中国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则[J]. 政治与法律, 2016(12): 136-154.
[4]2019 G20 Osaka Summit. Osaka declaration on digital economy[EB/OL]. (2019-06)[2021-03-24]. https://www.wto.org/english/news_e/news19_e/osaka_declration_on_digital_economy_e.pdf.
[5]KRISTINA I. Government cloud computing and national data sovereignty[J]. Policy & Internet, 2012, 4(3-4): 40-71.
[6]刘连泰. 信息技术与主权概念[J]. 中外法学, 2015, 27(2): 505-522.
[7]BARLOW J P. A declaration of the independence of cyberspace[EB/OL]. [2021-03-25]. https://www.eff.org/cyberspace-independence.
[8]刘晗. 域名系统、网络主权与互联网治理历史反思及其当代启示[J]. 中外法学, 2016, 28(2): 518-535.
[9]郑智航. 网络社会中传统主权模式的消解与重构[J]. 国家检察官学院学报, 2018, 26(5): 3-15, 172. DOI:10.3969/j.issn.1004-9428.2018.05.001
[10]黄志雄. 网络主权论: 法理、政策与实践[M]. 北京: 社会科学文献出版社, 2017: 11.
[11]王爱玲, 达妮莎. 坚持"网络主权"的中国声音及国际认同分析[J]. 大连理工大学学报(社会科学版), 2020, 41(6): 6-13.
[12]曹磊. 网络空间的数据权研究[J]. 国际观察, 2013(1): 53-58.
[13]孙南翔, 张晓君. 论数据主权——基于虚拟空间博弈与合作的考察[J]. 太平洋学报, 2015, 23(2): 63-71.
[14]梁坤. 基于数据主权的国家刑事取证管辖模式[J]. 法学研究, 2019, 41(2): 188-208.
[15]齐爱民, 盘佳. 数据权、数据主权的确立与大数据保护的基本原则[J]. 苏州大学学报(哲学社会科学版), 2015, 36(1): 64-70, 191.
[16]纪海龙. 数据的私法定位与保护[J]. 法学研究, 2018, 40(6): 72-91.
[17]商希雪. 超越私权属性的个人信息共享——基于《欧盟一般数据保护条例》正当利益条款的分析[J]. 法商研究, 2020, 37(2): 57-70.
[18]梅夏英. 在分享和控制之间数据保护的私法局限和公共秩序构建[J]. 中外法学, 2019, 31(4): 845-870.
[19]刘金瑞. 数据安全范式革新及其立法展开[J]. 环球法律评论, 2021, 43(1): 5-21.
[20]王利明. 数据共享与个人信息保护[J]. 现代法学, 2019, 41(1): 45-57. DOI:10.3969/j.issn.1001-2397.2019.01.04
[21]LEITER A. Cyber sovereignty: A snapshot from a field in motion[EB/OL]. (2020-04)[2021-03-25]. https://harvardilj.org/2020/04/cyber-sovereignty-a-snapshot-from-a-field-in-motion/#_ftn1.
[22]邵怿. 论域外数据执法管辖权的单方扩张[J]. 社会科学, 2020(10): 119-129. DOI:10.3969/j.issn.1004-6917.2020.10.020
[23]裴炜. 向网络信息业者取证: 跨境数据侦查新模式的源起、障碍与建构[J]. 河北法学, 2021, 39(4): 56-81.
[24]程昊. 从"云幕"法案看我国数据主权的保护[J]. 情报理论与实践, 2019, 42(4): 31-35.
[25]许可. 数据主权视野中的CLOUD法案[J]. 中国信息安全, 2018(4): 40-42. DOI:10.3969/j.issn.1674-7844.2018.04.019
[26]Strategic Investment Research Unit (SIRU). Understanding the data localisation debate in India[EB/OL]. (2019-12-27)[2021-03-26]. https://www.investindia.gov.in/team-india-blogs/understanding-data-localisation-debate-india.
[27]翟志勇. 数据安全法的体系定位[J]. 苏州大学学报(哲学社会科学版), 2021, 42(1): 73-83.
[28]刘金河, 崔保国. 数据本地化和数据防御主义的合理性与趋势[J]. 国际展望, 2020, 12(6): 89-107, 149-150.
[29]巴瑞·布赞, 奥利·维夫, 迪·怀尔德. 新安全论[M]. 朱宁, 译. 杭州: 浙江人民出版社, 2003: 36.
[30]TAYLOR R D. "Data localization": The Internet in the balance[J]. Telecommunications Policy, 2020, 44(8): 1-15.
[31]齐爱民. 论大数据时代数据安全法律综合保护的完善——以《网络安全法》为视角[J]. 东北师大学报(哲学社会科学版), 2017(4): 108-114.
[32]田旭. 数据本地化立法的兴起与反思[J]. 大连海事大学学报(社会科学版), 2020, 19(1): 32-40.
[33]王拓. 数字服务贸易及相关政策比较研究[J]. 国际贸易, 2019(9): 80-89.
北京航空航天大学学报(社会科学版), 2021, 34(3): 18-26.
声明:本文来自北京航空航天大学学报社会科学版,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。