【摘要】在以移動互聯網、云計算、大數據、物聯網、人工智能等為代表的新一代信息技術蓬勃發展的時代背景下,跨境數據的管轄及控制問題催生了數據主權訴求。美國、歐盟和中國等諸多國家和地區積極開展數據主權戰略部署,法律與地域的差異導致了司法管轄權和數據控制權等方面的爭端。我國應當積極為制定國際協議建言獻策,推動數據主權治理的國際合作,完善本國數據主權戰略,在捍衛國家數據主權與保障國家數據安全的同時尋求創新發展。
【關鍵詞】數據主權 主權戰略 主權爭端 國家安全 【中圖分類號】D035 【文獻標識碼】A
2021年7月2日,國家網信辦發布針對滴滴出行啟動網絡安全審查的通告,依據《網絡安全法》第九條,滴滴出行泄露地理位置信息到境外,涉嫌威脅國家安全。于是,剛剛在美股上市的“獨角獸”企業滴滴出行,被監管機構啟動網絡審查下架,停止新用戶注冊。這一事件引起了社會公眾對數據主權、數據安全等問題的廣泛關注。新一代信息技術催生了大批中國科技企業,一部分企業掌握著海量的用戶敏感數據,其在國際資本市場積極跨國展業,可能會損害國家數據安全和公共利益。數據主權關乎國家利益,是國家主權的重要組成部分。我國應當將保護數據安全置于國家戰略高度,順應全球數字經濟的嚴監管趨勢,全力捍衛國家數據主權。
互聯網服務無視國界的性質侵蝕了傳統主權和領土管轄權的概念,地理界限在“云”中失去意義。云服務作為全球計算基礎設施的未來,具有廣闊的發展前景,在解決由云計算產生的復雜管轄權問題中,數據主權訴求應運而生。國際層面,數據主權是指以符合數據所在國法律、慣例和習俗的方式管理數據,也指國家采取一系列方法控制在本國互聯網基礎設施中生成或通過本國互聯網基礎設施生成的數據,并將數據流置于國家管轄范圍內。國家數據包括土地、水、人口、健康、金融和犯罪等方面信息,隨著互聯網信息呈爆炸式增長,管理國家數據變得至關重要,各國正在尋找新的適當方法來保障國家數據安全。
數據主權治理的全球態勢
迄今為止,全球近60個國家或地區出臺了數據主權相關法律,各國的數據主權戰略部署呈現出不同特征,其中以美國、歐盟與中國的數據主權布局最具有代表性。美國主要從制度層面入手規制,歐盟主要依賴市場監管,中國采取的是制度與市場并重的數據主權治理模式。
美國的數據主權戰略。美國的數據主權安全保障及其戰略建設起步于20世紀80年代,作為全球最早開始建設數據主權戰略的國家,美國至今已出臺130余部相關法案,形成了同時涵蓋互聯網宏觀整體規范與微觀具體規定的完備數據主權戰略體系。近年來,美國接連出臺《國家網絡戰略》《澄清境外數據的合法使用法案》《消費者隱私法案》等相關法規、政策,謀求繼續主導網絡空間國際治理規則。
在與數據有關的制度上,美國號稱促進全球數據的自由流動,但實際上是實施有利于自身的流動和不利于他國的全面封鎖,在一定程度上推行的是數據霸權主義。具體表現在以下方面:第一,以美國主導的《美墨加協議》為例,該協議明確要求確保數據的跨境自由傳輸、最大限度減少數據存儲與處理地點的限制,但其實質是促進數據向美國流動。第二,美國對競爭對手實施全面的數據封鎖。在量子計算、高端微芯片、云計算、人工智能和網絡安全等關鍵領域,美國啟動了“清潔網絡計劃”,將一系列中國互聯網產品和服務排除在美國市場之外。在此基礎上,美國政府還通過一系列行政命令和其他決定,對中國公司實施了重要的技術封鎖。譬如發起“337調查”,制定出口管制清單,禁用Tic-Tok、微信等應用程序;將半導體制造國際公司(中芯國際)等列入黑名單,聲稱其產品構成“被轉用于軍事終端用途”的“不可接受的風險”;針對華為開展一系列技術發展限制;對其他中國科技公司,如阿里巴巴、百度、騰訊和其他云服務提供商,美國也在數據問題上進行長臂管轄,在數據主權上實行雙重標準。第三,美國對其他國家或地區的數據主權戰略進行強硬干涉。2019年7月,法國頒布了自己的國家數字稅,將對在法收入超過2500萬歐元、全球收入超過7.5億歐元的互聯網公司征收3%的數字服務稅,這引起了美國的強烈反應,美國政府立即展開調查,以確定法國的數字稅是否“不公平地針對美國公司”,并威脅要對法國葡萄酒制造商和其他當地生產商征收高達24億美元的報復性關稅。
歐盟數據主權戰略。在過去幾年中,從隱私到數據保護、從競爭問題到保護版權和出版商權利、從打擊網上仇恨言論和虛假信息到率先進行人工智能監管,歐盟一直是數字監管領域的佼佼者,歐盟通過監管規則與懲罰措施并行強力主張數據主權,開創了全球數據規制新氣象。特別是在監察數字巨頭權力方面,歐盟走在全球監管的最前沿。如果“數字主權”意味著監管權力,那么歐洲的“主權”確實是毋庸置疑的。
與美國的寬松監管模式不同,歐盟采取的是嚴格的監管。歐盟通過在歐洲以及世界各地頒布具有影響力的法規,全力推進歐盟數據主權戰略的構建。2018年出臺《通用數據保護條例》;2020年通過《歐洲數據治理條例(數據治理法)》提案,并公布《數字服務法案》、《數字市場法案》兩部法案的草案;2021年3月,歐盟委員會發布《2030數字羅盤:數字十年的歐洲方式》,提出了未來十年歐洲加快數字化轉型的具體目標以及衡量目標完成情況的數字羅盤,并積極推進與多國的項目合作,加大對數字領域的投入。歐盟通過其在競爭政策、環境保護、食品安全、隱私保護或社交媒體言論監管方面設定標準的能力,發揮了重要、獨特和高度穿透性的力量,塑造、改變了全球市場,以單邊監管影響全球規范,引發了數字領域的“布魯塞爾效應”。有學者認為,歐盟已經成為其地緣政治對手無法匹敵的全球監管霸主。歐盟的法律決定了印度如何采伐木材、巴西如何生產蜂蜜、喀麥隆可可農民使用什么殺蟲劑、中國乳品廠安裝什么設備、日本塑料玩具中加入什么化學品,以及拉丁美洲的互聯網用戶有多少隱私權。歐盟的數字監管模式極大地影響了世界各國或者各大企業的數據監管措施,企業為了進入歐洲市場,需要或主動或被動地將其數據保護措施提升至歐盟標準。
中國數據主權戰略。我國于2016年頒布的《網絡安全法》創建了一個廣泛的數據保護框架,數據隱私保護在該框架下適用于幾乎所有公共和私人實體。出于對國家安全的考慮,法規中包含了對個人信息和“重要數據”的數據本地化要求。2017年,中央網信辦發布了《個人信息和重要數據出境安全評估辦法》,據此,數據本地化要求擴展到所有網絡運營商而不僅是《網絡安全法》中規定的關鍵信息基礎設施運營商,我國對數據本地化存儲的要求更加嚴格。在《網絡安全法》的框架下,我國陸續制定了《數據安全法》《個人信息保護法》等法律,出臺了《數據安全管理辦法(征求意見稿)》《個人信息出境安全評估辦法(2019年征求意見稿)》等一系列規章制度,要求在數據出境時對運營商進行安全評估,以防存在影響國家安全或損害公共利益的風險。實行嚴格的數據主權治理模式,確保了我國的數據主權保護得到落實。
我國對數據流動采取更加保護主義和非干預主義的方式。我國擁有自己的國家內聯網,互聯網流通內容需要經過審查,審查和約談機制成為我國獨特的數據治理措施。在強化數據跨境流動監管的同時,我國政府也在大力投資境內數字基礎設施建設,以及通過“數字絲綢之路”計劃在全球范圍內擴大通信基礎設施建設,創造了以中國為中心的跨國網絡基礎設施體系。在嚴格執行數據本地化存儲與擴大跨國數字基礎設施建設的雙重戰略部署下,我國既控制了國家重要數據的流動,加強了數據主權的安全保障,又在全球范圍內穩固了作為新興經濟強國的地位。
當前全球數據主權治理態勢下,數據主權安全的爭議焦點
司法管轄權問題。數據的跨境分布式存儲為各國政府執法機構的數據調取帶來管轄權上的爭議,數據主權的爭奪成為各國在網絡空間立法博弈的新領地。如今,電子郵件、社交網絡帖子和其他許多內容通常存儲在不同的國家,導致對普通刑事調查至關重要的證據需要跨國界調取,歐盟委員會2018年的一份報告指出,85%左右的刑事調查需要電子證據,在這些調查中,有三分之二需要從另一個管轄區的在線服務提供商那里獲取證據。2017年,美國微軟公司與美國司法部產生的糾紛也是一個例證,微軟拒絕了美國政府調取其存儲的數據的請求,理由是該數據存儲在愛爾蘭的服務器上,而當時所依據的美國《存儲通信法》并無域外效力。后來,美國《CLOUD法案》的頒布解決了其中的一些問題,根據該法案,美國執法部門可以根據《美國法典》第18卷第2703節的規定獲得數據搜查令而不管數據位于何處。但該法案并未闡明美國在線服務提供商應如何響應外國政府提出的合法數據請求,假設美國提供商收到《CLOUD法案》未涵蓋國家的請求,提供商是否可以根據當地法律直接回復,或者該國是否必須使用司法協助條約程序申請美國授權,這些問題都不清楚。當前,由數據主權政策差異帶來的司法管轄挑戰尚未有效解決。
大數據時代,將地域性作為定義數據傳輸如何監管和治理的前提,忽略了代碼、市場和私人參與者在數據治理中的重要影響,因此認定國家對位于或存儲在物理領土內的數據享有主權的想法過于簡單化。目前,越來越多的數字平臺開展跨國服務,有時數字服務的總部和數據存儲地、處理地分布在不同的國家或地區。這一情況引發了關于適用哪個國家的法規以及如何解決法律沖突的挑戰。各國政府如何解決與全球數據流動相關的管轄問題將對商業、技術的發展創新產生重要影響。
數據控制權問題。工業時代,各國對石油資源展開爭奪;數字時代,數據被譽為“二十一世紀的石油”,圍繞“數據主權”,各方也紛紛展開了博弈。無論是特斯拉維權事件中“行駛數據到底屬于誰” 的爭議,還是近日特斯拉宣布在我國國內建立數據中心,實現數據存儲本地化,以及歐盟強勢推進數字稅計劃等,這些事件背后都可以看到數據主權之爭愈演愈烈之勢。數據主權范疇下的數據控制,是指在云計算的技術框架下,通過尋求跨境云服務提供者的合作或對其發出指令的方式,獲取其控制的數據。數據控制權的爭議源于存在兩個或兩個以上相互競爭的網絡外交監管和控制方案,相互之間非常容易產生數據主權糾紛。
目前,各國捍衛跨境數據控制權的普遍做法是通過立法要求科技公司在本國境內存儲本國公民的數據,并謀求對互聯網實施域外控制。譬如,歐盟綜合利用條例和指令等“硬規則”、《打擊網上非法仇恨言論行為準則》等具有全球影響力的“軟規則”、數據保護和其他監管機構采取的監管行動、歐洲聯盟法院判例法等,通過影響科技公司的全球政策和影響其他國家的態度與監管措施來達到數據控制的目的,在數字領域實現了“布魯塞爾效應”。
保障數據主權安全的中國應對
為制定國際協議建言獻策。目前,還沒有一個統一的國際協議來規定云服務中的數據主權問題,各國所依據的還是本國制定的各類數據保護法,這很容易引起各國在云數據主權上的爭議。國際上存在著兩種不同方向的數據治理愿景,一種是“世界主義理想”,渴望在任何國家和地區都適用同一套規則;另一種是“開放互聯網理想”,認為互聯網數據治理規則應當根據各地規范、習俗和規則在不同的地方以不同的方式運行。當前,互聯網全球治理的主要問題不在于互聯網是否應該具有或具有多少世界性,而是互聯網應當如何適應主權差異。正如刑事證據的全球化給執法帶來重大挑戰,現有的司法協助條約之類的傳統跨界機制過于緩慢和繁瑣,國際社會需要建立新的協議和規范以應對這一局面。此前,歐盟與美國在個人數據領域從“安全港”制度到“隱私護盾”制度的變遷,都體現了雙邊的數據規則安排。
在未來,我國應當在國際上建言獻策,在數據主權問題上體現“共商共建共享”全球治理觀的“中國主張”,我國政府、社會組織、私營部門、技術社群、專家學者等應積極參與全球互聯網發展治理,參與全球技術標準的制定和研發,參與全球互聯網關鍵基礎資源管理,為全球互聯網治理進程的推進貢獻中國智慧。
推動數據主權治理的國際合作。單純強調數據主權可能會導致國與國之間形成對抗狀態,不利于數字經濟的發展,也不利于各國之間的科技交流、文化交流乃至政治交流。過度強調數據本地化和強大的數據主權將導致碎片化和“數字邊界”的興起,這有時被稱為“互聯網巴爾干化”,即互聯網世界分裂說。其實,“數據主權”的實現并不意味著主權國家必須在數字領域“自給自足”,為了有效行使國家數據主權,更好的做法是尋求有意義的國際合作。
2014年,習近平主席在首屆世界互聯網大會開幕賀詞中提出:“中國愿意同世界各國攜手努力,本著相互尊重、相互信任的原則,深化國際合作,尊重網絡主權,維護網絡安全,共同構建和平、安全、開放、合作的網絡空間,建立多邊、民主、透明的國際互聯網治理體系。”未來,我國應當積極引領數據主權治理的國際合作。第一,主動銜接,加強各國數據規則的協調,對數據使用與流動的規則與各國進行友好協商與談判;第二,推進制度型開放,促進全球數字產業合作,推動完善公平、有序和開放的現代市場體系,優化管理方式以適應國際投資和貿易規則的發展趨勢,在負面清單、知識產權保護等方面對標國際經貿規則,參與并引領全球經貿規則變革。
完善我國數據主權戰略布局。在數據主權領域加強戰略布局,是在全球數字主權“割據戰”中贏得主動權的前提條件。如果主權國家過于強勢地通過封鎖技術來主張數據主權,將可能導致一些學者所說的“技術民族主義”,從而形成對外國公司的無正當理由的歧視,降低該主權國家在數字領域的吸引力和競爭力。因此,我國要重視并加速謀劃全球數據主權戰略布局,既要保障數據主權安全,又要不斷提升數字領域國際競爭力。
第一,在意識層面,需要意識到數據主權治理事關總體國家安全,積極主動地制定數據主權總體戰略目標、階段性目標和具體實施路徑;第二,在制度層面,在本國內完善數據資源相關立法,確保我國數據流動與共享的安全,同時在國際上積極推動雙邊與多邊協議和數字主權國際公約的制定,推動全球數據主權治理;第三,在組織保障層面,明確監管部門職責,完善基礎設施建設,為數字技術的創新、數字產業的發展提供良好基礎;第四,在市場層面,依托市場主體全面開放合作,在數字領域加強與其他國家的合作交流,消除貿易壁壘,積極構建人類命運共同體,推進中國科技企業全球化布局,在保障國家安全的基本前提下努力實現數字時代的互利共贏。
(作者為武漢大學信息管理學院教授)
【參考文獻】
①C. M. SNIPP. What Does Data Sovereignty Imply: What Does It Look Like. Indigenous Data Sovereignty, 2016.
②D Polatin-Reuben, J Wright. An Internet with BRICS Characteristics: Data Sovereignty and the Balkanisation of the Internet. 4th USENIX Workshop on Free and Open Communications on the Internet. 2014.
③China’s Biggest Chipmaker SMIC Hit by US Sanctions. Financial Times. September 28th, 2020.
④A. Bradford. The Brussels Effect: How the European Union Rules the World. Northwestern University Law Review, 2012, 107(1).
⑤European Commission. Commission Staff Working Document Impact Assessment. April 17th, 2018.
⑥A. K. Woods. Litigating data sovereignty. The Yale Law Journal, 2018, 128(2).
⑦黃海瑛、何夢婷:《基于CLOUD法案的美國數據主權戰略解讀》,《信息資源管理學報》,2019年第2期。
⑧梁坤:《基于數據主權的國家刑事取證管轄模式》,《法學研究》,2019年第2期。
⑨姜志達:《歐盟構建“數字主權”的邏輯與中歐數字合作》,《國際論壇》,2021年第4期。
⑩張曉君:《數據主權規則建設的模式與借鑒——兼論中國數據主權的規則構建》,《現代法學》,2020年第6期。
責編/馬寧遠 美編/楊玲玲
聲明:本文為人民論壇雜志社原創內容,任何單位或個人轉載請回復本微信號獲得授權,轉載時務必標明來源及作者,否則追究法律責任。
