数据主权的兴起及其双重属性*
2018-02-06翟志勇
翟志勇
北京航空航天大学法学院副教授
一、“棱镜门”引发数据主权之争
2013年6月,曾为美国中央情报局工作的爱德华·斯诺登向《卫报》和《华盛顿邮报》披露,美国国家安全局(NSA)和联邦调查局(FBI)于2007年启动了一个代号为“棱镜”的秘密监控项目,直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。消息发布后,全球舆论哗然,无论是美国民众还是美国盟友,都抨击美国政府的秘密监控行为严重侵犯了个人的隐私权和相关国家的数据主权,但美国政府坚持认为秘密监控是为了反恐,并且得到国会授权,因此具有正当性。
“棱镜门”事件的重要后果之一是各国和地区纷纷加快数据立法,比如欧盟、中国、俄罗斯、澳大利亚、巴西、加拿大、印度、韩国等纷纷出台有关数据保护的法律,强化个人隐私和数据权利保护,推动数据本地化,加强对数据跨境流通的限制,捍卫数据主权,以至于有学者称其为“数据民族主义”。1Anupam Chander,Uyên P. Lê, "Data Nationalism", Emory Law Journal, Vol. 64, 2015, pp. 677-737.在这场数据立法大潮中,对于个人数据权利的关注空前高涨,无论是继续从隐私权的角度探讨数据权利,还是将数据权利作为一种新型财产权利,各种研究层出不穷,2龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第4期。但对于数据主权的研究却寥寥无几。对于何为数据主权,也有不同的理解,代表性的解释有两种。
一种理论认为数据主权是网络主权的一个子项,是领土主权的一种延伸。“网络主权还应根据网络空间的技术特征,进一步切分为‘网络物理层主权’、‘网络逻辑层主权’、‘网络数据层主权’。”3许可:《数据主权视野中的CLOUD法案》,载《中国信息安全》2018年第4期。网络物理层主权涉及国家对计算机、服务器、移动设备、光纤、交换机等网络设备的主权,这一主权已经得到国际社会一致认可,属于领土国家的管辖权。网络逻辑层主权涉及国家对计算机代码特别是负责网络互联和传输的通讯协议软件的主权,此类主权主要由ICANN、RIRs、ISOC等国际组织掌控,从单纯的国家主权转向“多利益攸关方的共同治理”。网络数据层主权更为复杂,涉及不同国家对于海量大数据的控制、处理、流通等问题的争夺,目前尚未形成普遍接受的数据主权模式。
另外一种完全不同的理论则用数据主权“描述互联网信息巨头们对海量数据的占有和使用,以区别于依托传统主权理论而衍生出的‘互联网主权’、‘信息主权’(information sovereignty)等概念。如果说后者仍然带有传统国家安全的政治意味,数据主权则伴随着云计算和大数据挖掘而进入决策者和研究者的视野。它涉及数据的收集、聚合、存储、分析、使用等一系列流程,背后反映了新经济的价值链,反映了数据的商业价值”。4胡凌:《什么是数据主权?》,载https://www.guancha.cn/HuLing/2016_09_03_373298.shtml,2018年10月20日访问。这种数据主权理论并不认为数据主权是传统领土主权在数据领域的延伸,而是回到主权理论的原初,将数据主权视为对数据的占有和使用,因此数据主权的享有者未必是国家,因为大量的数据被跨国互联网信息巨头实际占有和使用。
本文试图通过对欧盟和美国有关数据主权的立法,来分析数据主权问题在法律层面的呈现方式,以及透过数据主权的法律面向,思考数据主权在何种意义上独立于领土主权以及数据主权和领土主权的关系问题,并进一步从数据主权的角度思考传统主权理论面临的新挑战。
二、欧盟《一般数据保护条例》中的数据主权
2016年4月14日,欧洲议会通过史上最严格个人数据保护条例——《一般数据保护条例》(General Data Protection Regulation,GDPR)。GDPR于2016年5月24日生效,自生效之日起有两年的过渡期,这期间欧盟成员国将该条例转化为本国法,2018年5月25日GDPR将直接适用于欧盟全体成员国。GDPR非常的复杂,且很多规定语义不明,需要在日后的实践中逐步明确。虽然GDPR第1条规定“针对个人数据处理中的自然人保护及个人数据的自由流动制定本条例”,“本条例保护自然人的基本权利和自由,尤其是自然人的个人数据保护权”,但GDPR在保护个人数据权利的同时,实际上宣誓了欧盟的数据主权,也就是说将数据主权的理论基础建立在对个人权利的保护之上。GDPR中有关数据主权的规定,主要体现在第3条“地域范围”和第五章“向第三国或国际组织传输个人数据”中。5本文有关GDPR的引述,均引自瑞栢律师事务所译:《欧盟〈一般数据保护条例〉GDPR》,法律出版社2018年版。
第3条分为3款,分别规定了三种情形的地域适用范围:第一种情况是,“本条例适用于在欧盟境内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟境内”。所谓“在欧盟境内”不仅指在欧盟境内设立子公司或分公司,而且包括其他形式的在欧盟境内“有效且真实地开展活动”的主体。所谓“处理行为”,是指“对个人数据或个人数据集合的任何单一或一系列的自动化或非自动化操作,例如对其的收集、记录、组织、建构、存储、适配或修改、检索、咨询、使用、披露、传播或其他的利用、排列或组合、限制、删除或销毁”。[第4条第(2)款]这个对“处理行为”的界定是非常宽泛的,几乎有关数据的一切行为,都可以视为处理行为。更为关键的是,“无论其处理行为是否发生在欧盟境内”均适用GDPR。
第二种情况是,对于设立在欧盟境外的控制者和处理者对欧盟境内数据主体的个人数据进行处理,如果涉及下列情况,同样适用GDPR:(1)向欧盟境内的数据主体提供商品或服务,无论此项商品或服务是否需要数据主体向其支付对价。比如欧盟成员国公民使用微信或淘宝,他们在微信或淘宝上产生数据,就可能涉及微信或淘宝对其数据的处理。(2)对数据主体发生在欧盟境内的行为进行监控。比如为了做出有关个人的兴趣偏好的预测而跟踪这个人的网络行为,最常见的就是定向广告推送。这两种情况同样非常宽泛,在某种意义上,只要欧盟境内的数据主体使用了境外的网络服务,绝大多数都可以落入这两种情况之中,具体的边界需要日后通过个案进一步明确。
第三种情况是,设立在欧盟境外的控制者,如果其设立地依据国际公法而要适用欧盟成员国法律的,其对个人数据的处理同样适用GDPR,比如设立在成员国海外领地或使馆内的数据控制者的处理行为。6张建文、张哲:《个人信息保护法域外效力研究——以欧盟〈一般数据保护条例〉为视角》,载《重庆邮电大学学报》(社会科学版)2017年第2期。
从以上的三种情况来看,虽然第3条的标题是地域范围,但实际上GDPR的管辖权远不是依据属地原则确立的,除了属地原则,还采用了“效果原则”。所谓的效果原则,最初是美国法院在国际商业领域通过判例确立的,境外的公司行为对境内的经济产生了某种“效果”,即影响,法院对此就享有管辖权。如谷歌在欧盟的“被遗忘权”案件中,法院适用的就是“效果原则”,认定谷歌公司搜索引擎的搜索行为与谷歌西班牙公司的销售广告行为有“无可摆脱的关系”,因此欧盟法院对谷歌公司享有管辖权。7Google Spain SL, Google Inc. v. Agencia Española de Protección de Datos (AEPD), Mario Costeja González, JUDGMENT OF THE COURT (Grand Chamber), 13 May 2014.
除了第3条“地域范围”之外,GDPR第五章“向第三国或国际组织传输个人数据”同样涉及数据主权问题。GDPR并未采取严格的数据本地化政策,在开头的“鉴于”条款中明确,“技术改变了经济和社会生活,应在确保高度保护个人数据的同时,进一步推进个人数据在欧盟内部的自由流通,以及向第三方国家和国际组织的传输”。但将数据传输到第三国或国际组织进行处理,必须符合特定条件,第五章规定了三种情况。
第一种情况是“基于充分性决议传输数据”。如果欧盟委员会确认第三国、第三国境内的地区或一个或多个特定行业、国际组织能够充分地保护数据安全,那么可以向其传输个人数据。欧盟在评估是否保护充分时,应考虑该国的法治、人权和基本自由状况,与数据相关的立法和司法救济情况,是否有独立的监管机构以及监管机构是否有效运行,以及有关数据保护的国际承诺或义务等。评估通过后,在欧盟官方公报上公布得到确认的国际、地区或国际组织名单。欧盟委员会的评估是实质性评估,而非仅仅是形式审查,这就为欧盟跟其他国家谈判留下了政策空间和博弈的筹码,也增加了不确定性。
第二种情况是“须采取适当保障的传输”。如果没有上述“基于充分性决议传输数据”,那么数据控制者或处理者必须提供适当保障,并且在数据主体可获得可强制执行的数据主体权利和有效法律救济的条件下,才可以向第三国或国际组织传输个人数据。如何提供“适当保障”呢?包括政府机关或机构之间具有法律约束力、可强制执行的文件,欧盟委员会通过的标准数据保护条款,依据欧盟相关机构批准的行为准则或认证机制以及第三国境内的控制者或处理者所作的适当保障并具有约束力和强制执行力的承诺。也就是说,如果数据控制者或处理者所在的国家、地区或国际组织未通过欧盟委员会的充分性评估,则只能靠自身提供符合欧盟数据保护标准的“适当保障”来获得向第三国或国际组织传输个人数据的许可。
第三种情况是“约束性企业规则”,主要是针对跨国集团企业内部数据的传输,比如欧盟的跨国公司在世界各地有分支机构,企业集团内部的数据传输实际上就是向第三国传输个人数据,在这种情况下,企业集团可以按照GDPR的相关规定制定适用于企业集团或从事共同经济行为的企业团体内每个有关成员并被其执行的具有法律约束力的企业规则,并明确授予数据主体与其个人数据处理相关的可强制执行的权利。对于约束性企业规则的具体内容,GDPR做了非常详细的规定。约束性企业规则一旦获得欧盟监管机构的批准,在企业集团内部就建立了数据安全港,可以合法地传输数据。8金晶:《欧盟〈一般数据保护条例〉:演进、要点与疑义》,载《欧洲研究》2018年第4期。
综上所述,数据控制者或处理者如果想要向第三国或国际组织传输数据,对于数据的保护必须达到欧盟的标准或欧盟认可的标准,这使欧盟在与第三国、国际组织或企业进行数据保护谈判时,有重要的法律筹码,在本质上是欧盟数据主权的域外延伸。欧盟的企业在全球数据经济中不占优势,这促使欧盟以守为攻,以保护个人数据权利为正当理由,规定非常高标准的数据保护要求,以增加欧盟在数据市场上的话语权。
三、美国CLOUD法中的数据主权
2013年美国司法部为了调查一桩毒品走私案,向纽约南区联邦地方法院申请搜查令,要求微软公司提供犯罪嫌疑人的电子邮件账户的通信信息,但微软认为微软电子邮件通讯信息存储在位于爱尔兰都柏林的服务器中,美国法官无权对存储在爱尔兰的数据核发搜查令,检察官必须前往爱尔兰并经爱尔兰法院许可才能拿到该数据,因此拒绝向司法部提供相关信息。2014年法院驳回微软的抗辩,法官认为邮件通信信息虽然存储在位于都柏林的服务器中,但微软公司是服务器的所有者和数据的控制者,微软公司有能力在美国提供司法部所需要的信息,因此要求微软公司必须提供。微软公司上诉到联邦第二巡回法院,法院在2016年推翻联邦地方法院的判决,认为微软无需提供相关信息,理由是无论就立法的原意还是文意的解释,搜查令所依据的《存储通讯法》并未明确该法具有域外效力,搜查的范围仅限于存储在美国境内的数据,如果强行要求微软提供存储在爱尔兰都柏林服务器上的数据,将侵害爱尔兰的主权。9Microsoft Corp. v. United States,Docket No. 14-2985,2016.
联邦地方法院和第二巡回法院的分歧在于,《存储通讯法》所确立的搜查标准是数据存储地标准还是数据控制者标准,地方法院坚持数据控制者标准,微软是数据的控制者,微软是位于美国的公司,因此应该适用《存储通讯法》。但第二巡回法院坚持数据存储地标准,虽然微软是位于美国的公司并且是数据的控制者,但数据事实上存储在美国境外,而《存储通讯法》又未明确该法具有域外效力,因此不能依据该法调取位于爱尔兰的数据。
美国政府不服,上诉至联邦最高法院,最高法院2017年签发了调卷令,但就在最高法院审理过程中,2018年3月23日美国国会通过了《澄清境外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act,以下简称CLOUD法)。CLOUD法所谓的“境外合法使用数据”既包括美国政府调取存储在美国之外的数据,也包括合格外国政府调取存储在美国境内的数据,两种情况的标准是不一样的。
对于前一种情况,CLOUD法第三部分规定,“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照本章所规定的义务要求,保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有(possession)、监护(custody)或控制(control)”,但如果服务提供者认为存在以下两种情况,则可以要求撤销或修正法律程序:第一,消费者或者用户不是美国人且不居住在美国;第二,服务提供者提供信息可能实质性地违反合格外国政府的法律。对于服务提供者的抗辩,法院要考虑如下三个因素:第一,披露义务是否将会导致服务提供者实质性地违反“合格外国政府”的立法;第二,综合案件的所有情况,公正的利益是否要求撤销或修正法律程序;第三,消费者或用户确实不是“美国人”且不居住在美国。其中法院在考虑第二个因素时,要综合考量与之相关的各种因素,进行礼让分析,也就是说对外国政府的相关法律政策给予必要的尊重,如外国政府的相关法律及处罚、消费者与美国关系的性质和程度、强制要求披露信息可能带来的消极影响等。但这实际上意味着赋予美国法院巨大的裁量权。
对于后一种情况,CLOUD法第五部分做了非常详细的规定,总结起来大概包括三方面:第一,是否是“合格外国政府”由美国国会认定,参考的标准包括该外国政府在数据保护方面是否有完善的立法,是否尊重法治和平等原则,是否尊重人权,等等;第二,被认定为“合格外国政府”之后,还要跟美国签署双边的数据协议;第三,真正调取美国数据时,对于调取行为又有非常严苛的要求,比如“外国政府发出的调取数据命令,应是与预防、侦破、调查、起诉严重犯罪(包括恐怖主义)相关的;调取命令应限定于特定的个人、账号、住址、个人设备等;外国政府要求服务提供者提供数据应具备国内法的明确授权,且具备合理事由(如基于可信、可描述的事实,特别是调查所针对行为的违法性、严重性);调取命令应受本国法院、法官、治安法官,或其他独立机构的审核和监督;当调取命令涉及拦截监听实时通信或延长监听时限时,则监听应有固定的期限且不得超过完成命令所合理必需的时间,同时必须是使用其他入侵性更少的方式无法合理地取得同样的数据”。10洪延青:《美国快速通过CLOUD法案,清晰明确数据主权战略》,载《中国信息安全》2018年第4期。总之,外国政府能否调取美国境内的数据,最终需要经过美国政府的严格审查。
综合两种情况的规定,在数据主权问题上,美国严格保护位于美国的数据的境外调取,但却可以合理地调取美国境外的数据,美国可以这样做,前提条件当然是美国的互联网公司控制着全球大量的数据。CLOUD法通过之后,美国最高法院就撤销了前述的微软案,11United States, Petitioner v. Microsoft Corporation, on Writ of Certiorari to the United States Court of Appeals for the Second Circrit, April 17, 2018.美国政府实际上通过推动国会立法的方式,避开了美国最高法院的判决。
四、数据主权中的法律与技术
以上对于GDPR和CLOUD法中的有关数据主权的梳理,粗略地展示了有代表性的数据主权立法的核心内容。除此之外,有关数据主权的立法还涉及数据本地化问题,比如我国《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”这被视为中国的数据本地化法律,为此苹果公司不得不将中国大陆用户的iCloud数据存储在位于贵州的数据中心。再如俄罗斯《个人数据保护法》规定:俄罗斯公民的个人信息数据只能存于俄境内的服务器中,以实现数据本地化;任何收集俄罗斯公民个人信息的本国或者外国公司在处理与个人信息相关的数据,包括采集、积累和存储时,必须使用俄罗斯境内的服务器。澳大利亚、巴西、加拿大、印度、韩国等国家也制定了类似的法律。12对于这些国家数据本地化立法的详尽分析,参见Anupam Chander,Uyên P. Lê, "Data Nationalism", Emory Law Journal,Vol.64,pp.677-737,2015。
在这些有关数据主权的立法中,可以看到各国通过立法进行的数据主权博弈,博弈不仅发生在主权国家之间,还发生在主权国家与大数据公司之间。比如,印度的数据本地化立法就遭到亚马逊、脸书(Facebook)、微软等跨国互联网公司的联合抵制和批评。法律战才刚刚开始,未来在数据主权立法方面各国之间以及主权国家与大数据公司之间仍然会有激烈的冲突,相信最终会达成法律上某种妥协。但数据主权不仅只有法律的面向,因为主权问题从来就不只是法律问题,主权问题首先是个事实问题。因此在数据主权的法律面向背后,我们必须看到其事实的面向。
主权理论的产生与现代领土国家的诞生是同步的,博丹的主权理论实际上为现代领土国家的诞生提供了理论支撑,因此我们惯常理解的主权实际上是领土主权,也即是说主权是建立在对领土的实际占取之上的,施米特的《大地的法》对此做了深入的分析。13[德]卡尔·施米特:《大地的法》,刘毅、张陈果译,上海人民出版社2017年版。主权与对土地的实际占取紧密相关,这可以解释为什么海洋和太空无法进行主权主张,因为现代国家对海洋和太空无法实行有效地占取,现代国家对海洋和太空的有限权力,实际上是基于领土主权的某种延伸,比如领海和领空权。
互联网的诞生在大地、海洋和太空之外创造出第三种空间,通常称之为赛博空间,对这个空间的占取催生出网络主权。14刘晗:《域名系统、网络主权与互联网治理:历史反思及其当代启示》,载《中外法学》2016年第2期。最近几年,随着云计算和大数据的发展,又进一步催生出数据主权,但无论是网络主权还是数据主权,都是建立在对网络和数据的实际占取或者是控制之上的,背后的核心因素实际上是技术。因此在网络主权和数据主权领域,都不存在平等问题。对于那些网络和数据技术不发达的小国家,事实上没有网络和数据主权。在一个大数据时代,由于数据的非领土性及其流动性、可复制可分割性等独特属性,使基于对数据的占取而产生的主权权力具有突破领土的现实性。
仅就数据主权而言,其本意是指对数据的有效占有、控制和处理,而数据产业发展的结果是,大量的数据实际上不是被主权国家占有和控制,而是被跨国的互联网公司占有和控制。这些大数据公司凭借强大的技术能力和经济影响力,在数据主权问题上享有巨大的权力和影响力,与主权国家存在合作和竞争的关系。在棱镜项目中,美国的大互联网公司均与政府合作,参与其中。而美国CLOUD法的出台背景,又是因为微软拒绝为美国司法部门调取位于爱尔兰的数据,欧盟的GDPR制定背景也与美国互联网公司对欧洲的全面占领密切相关。
我们有必要区分两种数据主权:第一种数据主权是领土主权在数据领域的体现,领土主权试图在领土范围内对数据进行有效的管控,但由于数据本身天然的跨境性,这种数据主权往往会主张突破领土范围的管辖权,各国的数据本地化立法、欧盟的GDPR以及美国的CLOUD法中的数据主权都属于此种数据主权。这种数据主权实际上是某种稍作修正的领土主权,但由于其主张超越领土范围的管辖权,会引发主权国家之间的法律冲突。15齐爱民、祝高峰:《论国家数据主权制度的确立与完善》,载《苏州大学学报》(哲学社会科学版)2016年第1期。第二种数据主权是完全从对数据的实际占取来界定的数据主权,在这种数据主权中,参与竞争的主权者不仅包含主权国家,还有跨国互联网公司,甚至可以说,跨国互联网公司凭借强大的技术能力,在此竞争中占据优势。如果我们仅从赛博空间或数据世界来看数据主权,这些大数据公司才是真正的主权者,他们在事实上主宰着整个数据世界。因此主权国家与大数据公司的数据主权之争,实际上是上述两种不同的数据主权之争,或者说是领土主权与数据主权之争。法律是主权国家的武器,技术是大数据公司的武器。当然,数据主权之争事实上更为复杂,因为存在着主权国家之间、大数据公司之间、主权国家联合大数据公司与其他主权国家和/或大数据公司之间的竞争,在这场数据主权混战中,法律和技术都是合适的武器,除此之外人权、市场等也是博弈的筹码。
因此,数据主权实际上具有双重的属性,既可以视为领土主权在数据领域的延伸,也可以视为数据世界的独立主权。但无论是哪种属性的数据主权,在这场数据主权的大混战中,超领土的主权是最明显的趋向,传统的以领土为基础的主权理论面临着新的挑战。这需要我们进一步思考传统主权理论所主张的绝对性、最高性和不可分割性如何应对大数据的挑战,并作出相应的理论回应。
除了理论上的回应,中国的数据主权政策必须同时考虑数据主权的双重属性。第一,在对数据跨境流动的管控上,必须考虑到数据跨境流动是互联网和大数据发展的必然要求,不能一味地追求数据本地化政策。从各国的数据立法来看,严格追求数据本地化政策的国家大多是互联网和数据技术不发达的国家,数据本地化政策是一种防守性政策,可以作为这些国家与其他国家和互联网公司谈判的筹码,但这种政策的效果如何目前尚不明朗,但可以预见到的是,各种严格的数据本地化政策不利于全球互联网和大数据的发展,而中国在这个方面处于优势地位,中国应该采取更开放的政策,鼓励数据在做出特定保护后的自由流通,这样才有助于中国的互联网企业和大数据公司参与全球化的竞争。第二,就各种互联网企业和大数据公司对于海量个人数据的占有和使用而言,中国的数据主权政策应该进一步加强对个人数据权的保护,强化对互联网企业和大数据公司合规经营的监管,以应对数据技术对个人隐私的侵犯,防范数据技术对个人自主性的操控。同时考虑到欧盟及其他国家在数据跨境流动方面往往要求流入国有非常完善的个人数据保护法律和机制,中国强化个人数据权的保护,也有助于中国在各种数据跨境流动的双边和多边谈判中达到高标准的个人数据保护要求,与其他国家达成数据跨境流通的双边或多边协议,以利于中国互联网企业和大数据公司的全球发展,实现中国大数据国家战略。