数据主权规则建设的模式与借鉴
2020-12-23张晓君
摘 要:数据是大数据时代重要的国家战略资源。数据主权是国家主权在网络空间的核心表现,关系到数据安全、数字鸿沟、个人隐私,是国家安全和发展的核心利益所在。近年来,欧盟与美国都在数据主权方面开展新的规则建设。欧盟以数据保护为核心出台的《通用数据保护条例》,重新建立了与美国之间处理数据保护的规则框架,进一步强化了对数据主权的保护。美国则以《澄清域外合法使用数据法案》为代表,确立以数据自由为核心的数据主权规则,但实质是单边主义和霸权主义在数据主权问题上的延伸。中国宜在欧盟和美国数据主权规则建设差异性基础之上,以主权平等、合作共治为原则,以网络命运共同体理念为指导,构建符合我国数据要求,兼顾各国利益的数据主权规则,推动全球数字经济全面健康发展。
关键词:数据主权;数据安全;数据保护;数据自由
中图分类号:DF92 文献标志码:A
DOI:10.3969/j.issn.1001-2397.2020.06.10
随着互联网的深入发展,网络运行过程中形成的数据体量日益庞大。与数据存储相关的“大数据”“云计算”等成为各国互联网发展进程中重点关注的领域。数据的获取和利用关乎个人信息保护、企业经营发展,更关乎国家利益。近年来,各国之间的数据纠纷愈发激烈,其核心在于对数据资源的合理占有与有效利用。①国家是否对网络数据享有主权,国家应该怎样合理地行使此类主权?网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。②
目前数据存储方式发生了较大变化,数据存储从当地的存储器逐渐转变为全球数据库的远程存储,甚至有大量的数据存储在“云”(cloud)上。
数据主权源于网络主权,是国家主权在大数据时代的核心表现。[ 参见肖冬梅、文禹衡:《数据权谱系论纲》,载《湘潭大学学报(哲学社会科学版)》2015年第6期,第71页。]数据主权表现为国家对本国数据与本国国民数据的所有权、控制权、管辖权与使用权。[ 参见杜雁芸:《大数据时代国家数据主权问题研究》,载《国际观察》2016年第3期,第7页。]数据主权对内体现了国家对数据的最高管辖权,对外体现了国家在网络数据上的独立自主权与合作权。[ 参见孙南翔、张晓君:《论数据主权——基于虚拟空间博弈与合作的考察》,载《太平洋学报》2015年第2期,第64页。]广义的数据主权包括国家的数据主权与个人的数据主权。[ 参见蔡翠红:《云时代数据主权概念及其运用前景》,载《现代国际关系》2013年第12期,第59页。]有学者认为,全球化给国家主权以新的发展和启示:在全球化背景下,国家主权表现了国家对其公民利益的关心,这让公民的个人权利逐渐开始与国际社会产生互动。[ 参见Helen Stacy, Relational Sovereignty, 55 Stanford Law Review 2029, 2044-2045(2003).]
美國和欧盟在数据主权领域的规制措施呈现出了不同的特点。2018年2月,美国通过了《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act),[参见Clarifying Lawful Overseas Use of Data Act, as part of the Consolidated Appropriations Act, 2018 Pub. L. 115-141.]该法案亦被称作《云法案》(Cloud Act)。[ 参见 Clarifying Lawful Overseas Use of Data Act, Section 1. Short Title.]2018年5月,欧盟的《通用数据保护条例》(General Data Protection Regulation)正式生效实施。[ 参见 EU General Data Protection Regulation, Article 84.2.]这两项规制措施代表了美国与欧盟在数据主权领域不同的态度与选择。本文以构建数据主权发展战略为命题,比较分析美国与欧盟的数据主权规制措施,进而提出符合中国发展要求的数据主权规则。
一、数据主权的法理基础与核心要素
在网络数据领域,国家享有主权。2017年,我国外交部和国家互联网信息办公室发布《网络空间国际合作战略》,明确了主权原则对网络空间的适用,鉴于数据领域与网络空间的交叉与重合,这为数据主权打下了良好基础。网络空间具有可规制性,因为用户的“认证”、统一技术标准下的“兼容”、计算机与万维网之间的互联互通为网络空间的规制提供了可能性。[ 参见张新宝、许可:《网络空间主权的治理模式及其制度构建》,载《中国社会科学》2016年第8期,第142页。]同样,数据也存在可规制性。面对数据自由与数据保护两大核心要素,不同国家有不同侧重。
(一)国家主权原则对数据主权的适用
国家主权赋予一国在其领土范围内完全的、排他的权力。在独立国家之间,国家主权是国际关系最为本质的基础。[参见Wolff Heintschel von Heinegg, Territorial Sovereignty and Neutrality in Cyberspace, 89 International Law Studies 123, 123-124(2013). ]数据是无形的,但是数据具有一定的物理属性。网络数据存储器和基础设施通常放置在一国境内,存储器通常由国家或公司所有。同时,数据也需要国家电网和电缆等基础设施进行传输。网络数据的全球治理并非对国家主权原则的放弃。[参见 Joshua E. Kastenberg, Non-Intervention and Neutrality in Cyberspace: An Emerging Principle in the National Practice of International Law, 64 Air Force Law Review 43, 62-64(2009).]暂时的技术难题也不会真正阻止国家通过国家主权原则管理其境内的网络数据及基础设施,其他国家也不应干涉他国境内的网络数据基础设施。[ 参见 Patrick W. Franzese, Sovereignty in Cyberspace: Can it Exist?, 64 Air Force Law Review 1, 23-36(2009).]国家主权原则在数据主权上的适用包括在一国领土范围内的数据存储设备,数据存储设备可以在一国的领水、领陆、领空范围内。基于此,若他国侵犯、干涉、非法获取、不正当使用在一国境内的数据及数据存储设备,就将构成对该国主权的侵犯。
国家对数据主权的管辖权应该理解为“国家使用法定权力裁决某项行为是否构成对该国数据的侵犯”。按照属人原则,一国国民在该国领土范围之外侵犯该国数据主权的行为,也在该国管辖权范围之内。如果某项侵犯数据主权的行为发生在一国领土之外,就需要适用“效果原则”(effects doctrine)进行判断。欧盟法院对此有过系统的阐释,就某国对案件的管辖权基于领土而言,有两个不同的原则:其一,主观领土原则,即一国可以管辖源于其本国的行为,即使其完成在国外;其二,客观领土原则,即一国可以管辖源于国外但是完成在其领土范围内的行为。效果原则实际上承认国家对没有发生在其领土范围内的行为行使管辖权。[参见Wolff Heintschel von Heinegg, Territorial Sovereignty and Neutrality in Cyberspace, 89 International Law Studies 123,133-134(2013).]国家有义务阻止发生在其领土范围内侵犯他国数据主权的行为。具体而言,国家的此项义务包括调查、起诉侵犯数据主权的主体、与数据主权被侵害的主体相互合作等。[ 参见 Matthew J. Sklerov, Solving the Dilemma of Sate Responses to Cyberattacks: A Justification for the Use of Active Defenses against States Who Neglect Their Duty to Prevent, 201 Military Law Review 1, 61-63(2009).]国家在其领土范围内更进一步的义务是尊重他国的数据主权、维护网络数据的稳定性、维护网络数据的安全性等。网络数据的稳定性要求主权国家不应肆意干涉在其领土内的网络数据基础设施与其他国家之间的互联互通。维护网络数据的安全性要求国家保护网络数据基础设施,确保其免受攻击和滥用。
(二)“云数据”的可规制性
云计算和大数据给数据存储带来极大的变革,由此带来最为突出的问题即是“云数据”的主权归属问题。如果数据存储在“云”上,诸如苹果公司的iCloud或者百度云盘,该领域完全不同于传统领土,数据的归属应该如何判断?因为该领域并没有明确的地域界限,并且数据能够迅速移动,数据可能被拆分成不同的部分,从而进入不同的司法管辖范围;同时,该数据还可能与其他数据有密切联系,从而给判定其主权归属造成更大的困难。[ 参见 Andrew Keane Woods, Against Data Exceptionalism, 68 Stanford Law Review 729, 755-756(2016).]但是,即便是在“云”上的数据,也并非不可规制。
首先,数据的“无形”特点并非新问题。数据的“无形”会增加规制难度,但“无形”的特征并非数据独有,法院已经对其他“无形”财产如股权、债权、知识产权等积累了丰富的司法实践经验。[ 参见 Aaron D. Simowitz, Siting Intangibles, 48 New York University Journal of International Law and Politics 259, 260-262(2015).]例如,商标权就是以其产生地或注册地作为判断其国籍属性的依据,股权则以股东所在国为主判断其国籍,以方便该国在股权转让时收取税收。美国《对外关系法重述(第三次)》认为,“无形资产根据实现目标的不同,会产生不同的地域属性,在某些目标下存在没有地域属性的可能。”[参见Restatement of the Law, Third, Foreign Relations Law of the United States note 2.]数据与无形资产有着许多相似性,针对数据的“无形”特征,法院有大量的经验来判断其地域归属或虚构地域归属,或是忽视地域归属从而直接以其他理由进行司法管轄。
其次,数据的移动性不能阻止其地域归属的判断。数据以极快的速度转移确实对地域归属判断造成了困难,但是,移动性强也并非数据独有的特点。例如,金钱也可以从某一地点迅速转移到另一地点,法院依然可以判断其对金钱的司法管辖权。虽然数据存在不同于金钱、债权的特征,即数据可以同一时间在多个地点进行存储和复制,但这并不能改变数据归属或法院司法管辖权问题分析的实质。[ 参见 Andrew Keane Woods, Against Data Exceptionalism, 68 Stanford Law Review 729, 756-760(2016).]
最后,数据的可分性与可替代性可以实现对其地域的判定。用户的数据可能同时由不同地域的服务者提供服务,但是,“可分性”特点同样也非网络数据所独有。尽管数据具有可分性与可替代性,但人们关心的只是数据所组合形成的表现形式,如图片、文稿、音频、视频等。举例来说,用户将一百元存入银行后,该用户并不会期待这一百元一直以固定的形式存在,只关心能取回一百元的本金及其产生的利息,因为货币具有可替代性。[参见Jack Goldsmith, Unilateral Regulation of the Internet: A Modest Defence, 11 European Journal of International Law 135, 135-139(2000).]数据的规制亦然。
综上,数据的无形性、移动性与可分性并不会对判断数据的地域归属形成实质性障碍。
(三)数据保护与数据自由两大核心要素
对于互联网技术发达、数字贸易量巨大的美国而言,数据的自由化更为重要。美国需要获取世界各国的各种数据,为其政治、经济、安全等决策与制度设计提供支持。欧盟及其他国家更强调数据保护的重要意义,以保障其数据保护措施的正当性。当然,数据保护并不等同于数据保护主义。数据保护是为了实现国家对数据流动的规制,从而采取的合理限制措施;数据保护主义则是否定数据自由流动,拒绝国家之间数据的正常自由交流。[ 参见 Anupam Chander & Uyen P. Le, Data Nationalism, 64 Emory Law Journal 677, 738-739(2015).]在美国的数据威胁背景下,部分国家开始采取措施限制数据在全球范围内的自由流动。例如,“金砖国家”就曾希望建立一个区域内的网络体系,以阻止美国对互联网的干预。[参见Paul Joseph Watson, BRICS Countries Build New Internet to Avoid NSA Spying, Oct. 24, 2013, https://www.mendeley.com/research-papers/brics-countries-build-new-internet-avoid-nsa-spying/.]
数据主权不仅包括国家数据主权,还包括个人数据主权。[ 参见王永刚:《完善立法,明确网络主权、控制数据主权》,载人民网2015年2月5日,http://opinion.people.com.cn/n/2015/0205/c1003-26511363.html。该文作者将数据主权按照数据的归属分为三类。]个人数据主权是公民因履行数据采集义务而获得的数据使用权,包括用户对数据的自决权和自我控制权,涵盖个人隐私权、生命财产的数据保护、公民在国际社会中的数据保护等内容。个人数据主权需要在国家数据主权框架和范围内运行以获取有效保障。[ 参见杜雁芸:《大数据时代国家数据主权问题研究》,载《国际观察》2016年第3期,第6页。]国家数据主权是个人数据主权的前提和基础,个人数据主权反过来支撑和落实国家数据主权。[ 参见 Joel Trachtman, Cyberspace, Sovereignty, Jurisdiction, and Modernism, 5 Indiana Journals of Global Legal Studies 561, 566(1998).]就个人的数据主权来说,数据隐私权是其中较为重要的部分。在隐私权方面,欧盟与美国的法律呈现出不同的特点。欧盟的隐私法更关注保护“尊严”,而美国的隐私法更强调保护“自由”。《欧盟基本权利宪章》指出:“每个公民的个人数据都有受到保护的权利,并且每个公民都有权获取、纠正其个人信息。”[ Charter of Fundamental Rights of the European Union Article 8.]《欧洲联盟运行条约》规定:“每个人都有权保护其个人数据。”[ Treaty on the Functioning of the EU Article 16.]美國的隐私更加强调对自由的保护,尤其强调国家不应干涉个人的自由。[参见James Q. Whitman, The Two Western Cultures of Privacy: Dignity versus Liberty, 113 Yale Law Journal 1151, 1151-1155(2004).]欧盟与美国的个人数据主权理念同样呈现出数据保护与数据自由的差异。
数据自由与数据保护两种理念的博弈类似于贸易自由与贸易安全的关系,在数据主权领域,需要平衡数据自由与数据保护之间的关系。这两种要素没有孰优孰劣之分,都是数据主权发展的核心要素,构建全球化数据主权规则本质上需要在这二者之间寻求平衡。
二、数据主权的欧盟模式:数据保护为核心
(一)“隐私护盾”制度对“安全港”制度的升级
欧盟1995年的《数据保护条例》鼓励数据在得到当地法律或与外国公司合同安排的保护下,可以自由地传输到国外。[ 参见 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, paras. 45-46.]随后,欧盟发现美国并没有为欧盟公民的个人数据隐私提供足够的保护,所以欧盟禁止个人数据传输到美国。[ 参见 Steven C. Bennett, EU Privacy Shield: Practical Implications for U.S. Litigation, 62 Practical Law 60, 60(2016).]考虑到与美国信息交换涉及的庞大体量,2000年,美国与欧盟同意建立数据的“安全港”制度:在美国遵守数据保护标准,并接受联邦贸易委员会监督的条件下,欧盟允许数据传输到美国的公司。[参见 Anupam Chander & Uyen P. Le, Data Nationalism, 64 Emory Law Journal 677, 688-689(2015).]该制度允许欧盟的个人数据在美国公司或组织满足通知、安全、数据完整性等方面要求
的情况下传输到美国。
2015年,欧洲法院认为“安全港”制度缺乏对欧盟公民数据基本权利保护的法律补救措施。同时,由于美国确认“安全港”制度的遵守情形,使得该制度缺乏合适的执行机制和问责机制,所以欧盟开始寻求对数据保护制度的改革。[参见Christopher Wolf, EU VP Reding Uses PRISM AS Lever to Push Enactment of Regulation and Questions EU-US Safe Harbor, Chronicle of Data Protection, Jul. 19, 2013, https://www.hldataprotection.com/2013/07/articles/international-eu-privacy/eu-vp-reding-uses-prism-as-lever-to-push-enactment-of-regulation-and-questions-eu-us-safe-harbor/.]随后,欧盟数据保护机构(EU Data Protection Authorities)宣布,不再依据“安全港”制度规制美国与欧盟之间的数据传输。[ 参见 Steven C. Bennett, EU Privacy Shield: Practical Implications for U.S. Litigation, 62 Practical Law 60, 60(2016).]
2016年,欧盟委员会宣布“隐私护盾”(privacy shield)制度将替代之前的“安全港”制度,相比于“安全港”制度,“隐私护盾”制度对透明度和规则遵守的监督有着更高的要求。[ 参见 Morgan A. Corley, The Need for an Convention on Data Privacy: Taking a Cue from the CISG, 41 Brooklyn Journal of International Law 721, 721-723(2016).]其一,对公司的保护义务要求更趋严格。该制度包含了有效的监管机制,以确保公司遵守数据保护的相关义务。其二,对美国政府获取数据的防御和透明度要求。在“隐私护盾”制度中,美国政府首次书面承诺,“任何以国家安全为目的获取欧盟公共机构数据或个人数据都必须有清晰的限制、防卫和监管机制”。同时,美国承诺通过独立的监察专员机制(ombudsman mechanism)为欧盟建立一个国家数据领域的救济机构。其三,构建了数据保护争议解决机制。该制度要求数据保护争议应在45天之内解决。同时,当数据保护争议未得到合理有效解决时,欧盟公民有权要求本国的数据保护机构与美国商务部和联邦贸易委员会一起解决争议。其四,设置年度联合审查机制。欧盟委员会将联合美国商务部一起评估审核“隐私护盾”制度的执行情况。[ 参见 European Commission, EU-U.S. Privacy Shield: Frequently Asked Questions,Feb.29, 2016, http://europa.eu/rapid/press-release_MEMO-16-434_en.htm.]从“隐私护盾”制度的内容可以发现,欧盟数据主权制度设计总体上是围绕着如何实现数据保护进行的,尤其强调对欧盟个人数据主权的捍卫,这也体现了欧盟维护公民数据“尊严”的基本理念。“隐私护盾”制度可以说是“安全港”制度在数据保护基础上的升级,进一步维护了欧盟数据主权,强化了美国对欧盟数据主权的尊重。
(二)《通用数据保护条例》的特点
欧盟2016年《通用数据保护条例》替代了1995年《数据保护条例》。《通用数据保护条例》规定,在满足一定约束性规定和数据保护条款基础之上,才允许数据传输到欧盟之外的国家和地区,并禁止将欧盟数据传输给有权掌握欧盟个人数据的国家。[ 参见 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016, on the Protection of Natural Persons with Regard to the Processing of personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation), paras 42-43.]“保护自然人的个人数据是每个公民的基本权利。保护个人数据权利应该尊重公民的基本权利和自由。”[ 参见 EU General Data Protection Regulation, Preamble para. 2.]《通用数据保护条例》在数据的自由流动方面的规定,主要是指在欧盟成员之间数据的自由流动。[ 参见 EU General Data Protection Regulation, Article 1.3.]
與之前的《数据保护条例》相比较,《通用数据保护条例》主要存在以下几方面的差异:
首先,适用范围更广。适用于所有与欧盟公民相关的数据,不论该数据是否实际上产生或运行在欧盟范围内。[ 参见 EU General Data Protection Regulation, Article 3.]有观点认为,《通用数据保护条例》规定的欧盟数据隐私法律域外适用,将对国际数据流动产生重大影响,并且将会事实上使《通用数据保护条例》成为一种全球标准。[ 参见 Allison Callahan Slaughter, Lipstick on a Pig: The Future of Transnational Data Flow between the EU and the United States, 25 Tulane Journal of International and Comparative Law 239, 249-253(2016).]《通用数据保护条例》为数据传输行为本身提出了系统的要求,还规定任何第三国的法庭、行政机构只能通过国际协定或法律援助协定向欧盟提出公开数据的请求。[ 参见 EU General Data Protection Regulation, Article 48.]
其次,拓宽了数据种类的范围。这意味着公司想要获取相关数据,需要在更为广泛的层面上获得数据主体的同意。《通用数据保护条例》进一步要求这种“同意”必须是数据主体明确、准确的表达,不能是暗示的表达。[ 参见 EU General Data Protection Regulation, Preamble 32 and Article 9.]赋予个人一项新的权利,即数据的“被遗忘权”(right to be forgotten),也叫数据的“消除权”(right to erasure)。被遗忘权是指数据主体在满足一定条件下,有权从数据控制器或数据管理者处获得没有延迟的、消除个人数据信息的权利。[ 参见 EU General Data Protection Regulation, Article 17.]被遗忘权以个人信息自治为基础,进一步拓宽了个人数据权利,体现了较高水平的个人数据权利保护。[ 参见刘文杰:《被遗忘权:传统元素、新语境与利益衡量》,载《法学研究》2018年第2期,第24-40页。]
再次,细化了数据控制者与数据处理者的责任。在《通用数据保护条例》中,云服务提供者作为数据控制者将被要求遵守一系列新的具体义务,包括保留其处理数据活动中的文件、实施适当的安全标准、执行例行的数据保护评价体系、遵守国际数据传输规则等。[ 参见 EU General Data Protection Regulation, Article 30, Article 32 and Article 35.]云服务提供者作为数据处理者,需要遵守数据保护的规定。同时,数据处理者需要与数据控制者达成有约束力的合同。如果数据处理者没有依据数据控制者的说明和指令来处理数据,该数据处理者将被视为数据控制者,并承担数据控制者的相关责任。在处理数据之前,处理者有义务通知数据控制者等主体。[ 参见 EU General Data Protection Regulation, Article 28.]关于两个及两个以上数据控制者即联合控制者(joint controllers)的责任分配问题,无论数据联合控制者内部如何安排,对外每个控制者都将就全部损害承担责任。[ 参见 EU General Data Protection Regulation, Article 26.]
最后,确立违反数据保护规则的补偿及惩罚机制。《通用数据保护条例》要求在欧盟成员之间建立起违反规则后的对等惩罚机制(equivalent sanctions)。[ 参见 EU General Data Protection Regulation, Preamble para. 11.]例如,西班牙数据保护机构2013年对Google处罚90万欧元。随后,荷兰、德国、比利时、法国、意大利、西班牙联合调查Facebook公司的数据保护遵守情况。法国的数据保护机构——国家信息与自由委员会(National Commission on Informatics and Liberty),在2016年对Google没有遵守数据移除规则的行为罚款10万欧元,同年,要求Facebook限期改变其搜集和使用数据新消息的方式,并罚款15万欧元。[ Samantha Cutler, The Face-Off between Data Privacy and Discovery: Why U.S. Courts Should Respect EU Data Privacy Law When Considering the Production of Protected Information, 59 Boston College Law Review 1513, 1521-1523(2018).]
(三)《通用数据保护条例》对中国数据保护的启示
欧盟的数据主权重点在于数据的保护。欧盟在《通用数据保护条例》中将之前的隐私权集中表述为个人数据保护权,这种做法一方面拓展了数据保护的范围,给予个人数据普遍法律保护,另一方面提升了保护水平,强调了事前主动防范。[ 参见刘泽刚:《欧盟个人数据保护的“后隐私权”变革》,载《华东政法大学学报》2018年第4期,第59页。]
2017年生效的《中华人民共和国网络安全法》(以下简称《网络安全法》)初步建立了用户信息保护制度,要求网络运营者不得泄露、篡改、毁损个人信息,确保个人信息的安全;《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)从数据安全与发展、数据安全保护义务、政务数据安全与开放等方面保障数据安全。[ 参见《中华人民共和国网络安全法》第40条、第42条。]相较于欧盟对于数据保护的相关规则,中国的数据保护可从以下三个方面进行完善:其一,扩大数据保护的范围。《网络安全法》更多以国内法的性质对数据保护进行规定,并没有强调域外的数据保护,也未涉及与第三国数据的合作与协调问题。《数据安全法(草案)》明确在中华人民共和国境内开展的数据活动予以适用,境外的数据活动以损害中国国家安全、公共利益或者公民、组织的合法权益为条件。因此,可借鉴欧盟的域外数据保护措施,扩大数据保护范围并加强与第三国在数据保护领域的合作等。其二,适度强化个人对数据信息的控制权。《网络安全法》对网络运营者处理、使用个人信息进行了规范,但是,该法并没有从数据的所有者即公民自身对数据信息的控制权进行规则设置,《数据安全法(草案)》主要从国家层面强调数据保护。欧盟的《通用数据保护条例》不仅强调数据主体,还赋予数据主体数据“被遗忘权”。中国的数据主权规则有必要在该方面借鉴欧盟路径,进一步延伸个人数据权利保护的维度。其三,明晰数据主体的责任分配。《网络安全法》主要将责任主体限定为网络运营者,《数据安全法(草案)》更强调数据处理者的数据安全保护义务。[ 参见《中华人民共和国网络安全法》第61条、第61条。]欧盟将责任主体细分为数据控制者与数据处理者,并对多个数据控制者如何进行责任分配进行了详细规定,这些做法都值得借鉴。
三、數据主权的美国模式:数据自由为核心
(一)《澄清域外合法使用数据法案》对数据自由的支撑
2013年,美国纽约南区地方法院签发搜查令,搜查了微软公司电子邮件账户储存的数据。但是,该搜查令涉及的用户数据并没有储存在美国境内,而是储存在位于爱尔兰的数据中心。微软公司认为,美国的《存储通信法案》(Stored Communication Act)作为《电子通信隐私法》(Electronic Communications Privacy Act)的一部分,并没有域外适用的效力,所以美国法院无权签发该搜查令。[ 参见 Andrew Keane Woods, Against Data Exceptionalism, 68 Stanford Law Review 729, 731(2016).]2014年,美国联邦地方法院支持了纽约南区地方法院的判决。微软公司将此案上诉至联邦第二巡回上诉法院,该法院支持了微软公司的主张,认为《存储通信法案》并没有明确规定该法可以适用于境外。此案推动了美国修改《存储通信法案》和《电子通信隐私法》的进程。
2018年,美国通过了《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act,以下简称《云法案》)。[参见Clarifying Lawful Overseas Use of Data Act, as part of the Consolidated Appropriations Act, 2018 Pub. L. 115-141.]为解决“美国政府诉微软公司案”中所体现的获取域外数据合法性问题,《云法案》扩大了美国法律的适用范围。《云法案》要求电子通信服务或远程计算服务的供应商遵守本法关于保留、备份、公开电子通信内容、记录以及其他与消费者相关的信息之规定,无论该信息是在美国境内还是美国境外。在《云法案》中也增加了让步性安排:其一,在外国的数据信息公开会违反该国法律;其二,基于整体的司法公正考虑;[ 在判断司法公正性时,《云法案》规定了“礼让分析”(comity analysis)应当考虑的要素:(1)美国的利益,包括政府主体获取信息公开的调查利益;(2)具备主体资格的外国政府在禁止信息公开中所获得的利益;(3)对数据服务提供者或其雇员不遵守法律采取处罚措施的可能性、程度和实质;(4)顾客所处的地点和国家,以及顾客与美国的联系本质及程度;(5)数据信息提供者与美国联系的本质与程度;(6)需要被公开的信息的重要性;(7)产生较低消极影响而及时有效获取公开信息的方式。参见 Clarifying Lawful Overseas Use of Data Act, Section 3. Preservation of Records; Comity Analysis of Legal Process §2713.]其三,用户不是美国公民且不居住在美国。基于这三类情况,美国法院应修改或撤销该法律程序。《云法案》仅适用于美国的公司,且主要针对电子通信服务提供商和远程计算服务提供商。[ 参见 Clarifying Lawful Overseas Use of Data Act, Section 3. Preservation of Records; Comity Analysis of Legal Process §2713.]但是,由于前述这些所谓的“让步性”规定都是由美国法院予以适用,实践中是否能切实尊重其他国家的数据主权,仍然是不确定的。美国这种单边的、缺乏与其他国家公平合作的数据安排,也许难以实现真正的主权平等和数据主权规则的公正合理。
《云法案》将外国政府调取存储在美国的相关数据也纳入调整范围。[ 参见 Clarifying Lawful Overseas Use of Data Act, Section 5. Executive Agreements on Access to Data by Foreign Governments§2523.]一方面,外国政府调取存储在美国的数据需要满足一定的条件:(1)外国政府是否有足够的关于网络犯罪和电子证据的实体法和程序法,是否加入了《布达佩斯网络犯罪公约》,以及外国政府的国内法是否与《云法案》的第一章和第二章规则相一致;(2)外国政府是否尊重法律规则和非歧视原则;(3)外国政府是否遵守国际人权义务和承诺;[ 这些尊重人权义务包括:其一,保护隐私免受肆意和非法干涉;其二,公平的审判权;其三,自由表达与和平集会权;其四,禁止武断地逮捕和拘留;其五,禁止折磨、残酷非人道的待遇和惩罚。参见 Clarifying Lawful Overseas Use of Data Act, Section 5. Executive Agreements on Access to Data by Foreign Governments§2523.](4)外国政府是否有清晰的法律强制和程序措施来规制其国内实体的数据搜集、保留、使用和分享活动,并且对这些与数据相关的活动进行有效监管;(5)外国政府是否有足够的机制来对电子数据的使用提供有责任的、适当的透明度规则;(6)外国政府是否对促进和保护信息的数据流动,以及互联网开放、分布、互联互通的本质作出承诺;(7)外国政府是否采取了合适的程序来最小化对美国人信息的获取、保留和传播。另一方面,在外国政府满足前述条件之后,要调取美国的数据,送达行政命令还需要满足其他要求:(1)外国政府不能有意地直接对美国人或位于美国境内的人发布行政命令,而是要满足“目标程序”要求;(2)如果外国政府以获得关于美国人和位于美国境内的人的信息为目的,则不能直接对美国境外的非美国人发布调取数据的行政命令;(3)外国政府不能以为美国政府或第三国政府获得信息为由发布行政命令,也不能以与美国政府或第三国政府分享信息为由发布行政命令;(4)外国政府发布调取数据的行政命令应该以获取与预防、检测、调查或起诉犯罪、恐怖活动相关信息为目的,外国政府的行政命令要基于可靠的事实情况,接受法院、法官或其他独立机构的监督;(5)外国政府发布的行政命令不得用于侵犯言论自由;(6)外国政府应该及时审查搜集到的材料,并且将未经审核的材料存入安全系统,仅对专业人士开放;(7)外国政府应该对数据信息给美国人带来的消极影响达到最小化尽最大努力;(8)外国政府不应将获取的美国人的数据传输给美国政府,除非该數据会威胁美国的国家安全、经济安全或其他重要的国家利益;(9)外国政府应该提供互惠的数据准入权利;(10)外国政府应定期审查遵守本法案的情况;(11)对美国政府认为不恰当的外国政府行政命令,美国政府保留不适用本法案的权利。
在《云法案》中,对美国调取域外数据与外国调取美国数据相比,无论从规则的严苛程度,还是自由裁量权的程度等都存在着极大的差异:一方面,美国获取域外数据与外国获取美国数据在难易程度上存在差异。《云法案》以美国获取域外数据为原则,以限制美国获取域外数据为例外,即仅有三类情况可以限制美国获取域外数据。但是,外国想要获取美国数据要满足十一项条件,任何国家恐怕都很难同时满足如此繁复的条件。并且,外国想要调取美国的数据在对象上也有严格的限制,若想要调取美国人的数据,更是十分困难。另一方面,无论是限制美国获取域外数据,或是限制外国获取美国数据,《云法案》都授予了美国极大的自由裁量权。这体现了对其他国家数据主权的不尊重,是单边主义和以美国为中心的表现。
(二)美国数据自由规则对中国的启示
尽管美国的数据保护规则以促进数据自由流动的理念为核心,但是美国也并未置数据保护于不顾。相反,美国是单方强调他国数据的自由流动,对其本国的数据则采取严格的保护措施。我国不应采取这种单边和霸权的做法。但是,美国的数据保护措施以及与第三国之间数据自由流动的安排,仍有一些经验和路径可供借鉴。首先,在数据自由流动方面,中国需要建立起公平合理的域外数据调取机制。《云法案》扩大了美国相关法律的适用范围,无疑加剧了美国与数据存储地国家之间的数据主权冲突。尽管有一系列的让步安排,这些让步安排的条件是否满足、最终是否能够否认美国对数据的司法管辖权,其裁决权仍然在美国法院手中。针对主权国家拒绝提供数据的情形,包括外国的数据信息公开是否违反该国法律、是否有违司法公正等,不应该由进行数据调取的国家来判断和决定。由此,中国可考虑建设双边或者多边数据调取裁决机构。其次,允许外国政府或个人请求调取存储在中国的数据。中国对存储在国内的数据享有数据主权。可以借鉴美国的审核机制,包括考察外国主体对数据信息的保护机制、外国主体调取信息的目的、我国与该国是否有调取信息的互惠合作安排等。最后,中国可以在平衡数据保护与数据自由的过程中,采取基本原则加例外条款的模式。例如,美国以禁止数据本地化为原则,但规定了例外情形,这种模式更可能在各国之间达成一致意见,有利于我国与其他国家开展数据主权方面的合作。[ 参见彭岳:《数据本地化措施的贸易规则问题研究》,载《环球法律评论》2018年第2期,第186-189页。]
四、中国方案:数据主权规则的构建
(一)数据主权规则构建的原则
中国数据主权的规则构建既要维护我国利益,又要兼顾他国合理关切;既要符合我国法律传统,又要遵守国际法基本原则。具体而言,数据主权规则的构建需要遵循以下原则:
第一,坚持主权独立与平等。主权原则适用于网络空间和数据领域已经获得较广范围的认同,但是数据保护与数据自由平衡的要求,需要不断提升对数据主权的认知和适应能力。数据领域的虚拟性、无界性、开放性等特点,决定了数据主权对传统主权绝对性、不可分性的突破。习近平主席指出:“《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间。”[ 参见《习近平在第二届世界互联网大会开幕式上的讲话》,载人民网2015年12月16日,http://cpc.people.com.cn/n1/2015/1216/c64094-27937316.html。]国际社会应该尊重每个国家自主的数据主权发展战略,让每个国家平等地参与到数据主权国际规则构建的合作中来。数据主权不仅需要重申主权独立,更需要在主权平等的基础上倡导多边参与、多方参与、平等参与的共同治理模式。[ 参见张新宝:《尊重网络主权 发扬伙伴精神》,载《人民日报》2018年6月4日,第16版。]根据权利义务相统一的基本逻辑,大国在获得事实上所谓“特权”的同时,理应承担要求更高的“特殊”义务。[ 参见蔡从燕:《国际法上的大国问题》,载《法学研究》2012年第6期,第193-205页。]平等地享有数据主权无关国家强弱和数据技术水平高低,每个国家都可依法对其数据进行规制和安全保护。[ 参见张新宝、许可:《网络空间主权的治理模式及其制度构建》,载《中国社会科学》2016年第8期,第154页。]
美国的《对外关系法重述(第三次)》列举了一国管辖权确定的五个标准:其一,行为发生在该国境内;其二,人或物在該国境内;其三,域外行为在该国领域内产生了实质性影响;其四,该国国民的行为;其五,域外行为与该国的国家安全或国家利益发生直接冲突。[参见Restatement of the Law, Third, Foreign Relations Law of the United States§402.]借鉴此标准,在判断“云数据”管辖权问题上也有五个相关标准:其一,数据所在地。尽管数据是无形的,但数据存储器以及相关数据驱动器具有物理形态。在某国境内的这些数据存储器及驱动器,该国对其应享有主权。[参见Jack L. Goldsmith, Against Cyberanarchy, 65 The University of Chicago Law Review 1199, 1216-1218(1998).]其二,与数据相关的损害情形发生地。若外国主体在境外对本国的数据安全造成损害,
该国就有权对损害行为相关的数据行使管辖权。其三,与数据相关的嫌疑人经常居住地或国籍所在地。其四,与数据相关的受害人经常居住地或受害人国籍所在地。其五,数据控制者经常居住地或国籍所在地。因此,国家可以依据前述要素和标准来确定其对数据的司法管辖权。总体而言,国家在数据问题上拥有较为宽泛的规制权,只要数据或数据产生的影响发生在一国境内,或者对该国(该国公民)产生实质影响,国家就可以行使对数据的管辖权。[参见Jack Goldsmith, Unilateral Regulation of the Internet: A Modest Defence, 11 European Journal of International Law 135, 136-139(2000).]
第二, 遵循合作共治。习近平主席在第二届世界互联网大会上提出构建网络空间命运共同体的倡议,指出网络空间命运共同体要以促进网络共同繁荣、推动全球数字经济发展、构建各方普遍接受的网络空间国际规则为目标,以坚持多边参与、反映大多数国家意愿和利益为基础。[ 参见《习近平出席第二届世界互联网大会开幕式并发表主旨演讲》,载人民网2015年12月17日,http://cpc.people.com.cn/n1/2015/1217/c64094-27938940.html。]我国的数据主权发展战略和规则建设,作为网络空间治理的重要组成部分,需要坚持网络空间命运共同体的基本理念和重要内涵,以开放平等的姿态参与到国际社会共同治理中去。对网络数据的规制更需要多国的共同合作,数据治理合作需要实现权利与义务相统一,网络数据技术相对发达的国家可以承担更多的责任和义务来完善数据的国际规制,且有义务帮助数据水平落后的国家完善数据治理。同时,网络数据的安全性问题日益凸显,数据安全关乎国家利益、公共利益和公民利益,网络数据国际合作是各国的共同需求,具有重要的意义。[ 参见张新宝:《论网络信息安全合作的国际规则制定》,载《中州学刊》2013年第10期,第58页。]人类命运共同体理念是对马克思主义共同体学说的发展,也是对国际法依赖的社会基础的再认识,是将中国文化融入全球治理的重要举措。[ 参见张辉:《人类命运共同体:国际法社会基础理论的当代发展》,载《中国社会科学》2018年第5期,第55页。]数据主权规则构建需要坚持以人类命运共同体理念为指导的合作共治。
(二)数据主权规则的构建之策
我国基本的数据主权规则最初体现在《网络安全法》第37条中,其核心内容包含两个方面:其一,关键信息基础设施的运营者在我国境内收集的个人信息、重要数据应储存在我国境内;其二,数据向境外传输,需要进行安全评估。[ 参见《中华人民共和国网络安全法》第37条。]正在审议的《数据安全法(草案)》第三章“数据安全制度”也集中体现了我国的数据主权规则,主要从分级分类保护、数据安全风险评估、报告、信息共享、监测预警机制、应急处置机制、安全审查制度、出口管制、反制措施等方面进行制度建设。但是我国数据主权规则仍存在着一些亟待解决的问题,如缺乏以个人数据和国家数据保护为类别的分类治理机制,未对商业数据跨境传输进行高水平治理,对“数据自由”前提下的长臂管辖规制不足等。为此,我国可以汲取欧盟与美国数据主权规则建设的经验,完善符合我国国情及国家利益的数据主权规则。
第一,构建个人数据和国家数据的分类治理规则。数据分类治理的重点之一,就是要根据数据的不同特点和用途对个人数据与国家数据设置不同的治理模式。虽然个人数据在大数据时代具有明显的复合性,个人数据在经过处理后可能用于国家层面的服务和应用,但是这不意味着个人数据等同于国家数据。从个人权利保障角度和现实生活需求出发,有必要对个人数据进行不同于国家数据的制度安排。[ 个人数据信息保护的规则既需要权利义务之间的平衡,又需要个人数据保护的权利与其他权利之间的平衡。参见张文亮:《个人数据保护立法的要义与进路》,载《江西社会科学》2018年第6期,第173页。]当然,大数据时代的个人数据存在不同于以往的特点,传统民法理论中私人领域与公共领域的对立在这里逐渐模糊,个人数据的物理边界和公私边界不再严格,数据生产本身就具有共享性,这也直接影响了个人数据治理规则的完善。个人数据治理从理念上需要从个人控制转到社会控制,个人数据在一定程度上是社会的共同资源,所以国家需要承担起个人数据保护的责任。先肯定社会控制个人数据的理念,事后再进行司法救济,即由法院裁判是否侵犯个人数据,有效地平衡了个人利益与社会公益保护,有利于中国的个人数据得到有效保护。[ 参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期,第97-100页。]另外,目前我国的个人数据保护亟须精细化管理,尽管《中华人民共和国民法典》第4编第6章“隐私权和个人信息保护”对于自然人个人信息的保护和处理列明了条件和情形,规定了自然人的权利、信息处理者以及国家机关和工作人员的义务,但仍缺乏系统化、具体化制度设计,同时还存在重责任追究轻综合治理的问题,需要尽快出台《个人信息保护法》予以弥补。一方面,我国需要强化个人数据保护的基本价值观念,鼓励各类主体积极主动维护个人数据安全;另一方面,需要建立起对个人数据保护的惩治威慑机制,建立起公开透明的个人数据处理机制,建立多层次、高标准、宽严相济的治理和处罚机制,而非简单地将违反国家数据安全的处罚措施移植到侵犯个人数据安全的行为上。[ 参见洪延青:《“以管理为基础的规制”——对网络运营者安全保护义务的重构》,载《环球法律评论》2016年第4期,第20-40页。]
第二,完善商业数据跨境流动的规则。商业数据的跨境流动安全对商业主体本身有着重要意义,同时,部分商业数据与个人数据、国家数据保护密切相关。目前,商業数据跨境流动的安全防范在我国《网络安全法》和《数据安全法(草案)》中较少涉及,缺乏深入和系统的规制。因此,我国有必要尽快加强针对商业数据跨境流动的规制:针对与个人数据、国家数据安全相关的商业数据,直接纳入个人数据或国家数据保护规则范畴;若商业数据跨境流动与个人数据和国家数据保护无关,则建立专门的安全评估规则。[ 参见曹博:《跨境数据传输的立法模式与完善路径——从〈网络安全法〉第37条切入》,载《西南民族大学学报(人文社会科学版)》2018年第9期,第99页。]
第三,提前阻断“数据自由”名义下的长臂管辖。无论是美国的《云法案》还是欧盟的《通用数据保护条例》,都存在借“数据自由”之名行长臂管辖之实,将数据管辖权延伸至域外,形成挑战他国数据主权的长臂管辖。欧美的长臂管辖没有充分的国际法基础,又存在对公民隐私、企业管理、国家数据主权的潜在威胁和侵犯,有必要通过立法对长臂管辖进行阻断。一方面,在立法理念上,坚持“存储地模式”,将虚拟空间附着于物理空间,以传统属地原则确定管辖边界。同时,宜设定必要的例外情形,诸如数据存储位置不确定而导致的域外适用等,也为他国侵犯我国的数据主权提供反制空间。另一方面,从立法源头上否认欧美等国长臂管辖条款的效力,并禁止中国企业和个人遵从损害中国合法权益的裁判,更进一步为由于长臂管辖受损失的企业提供救济渠道和途径。
第四,推动数据主权国际合作规则建设。欧盟与美国在个人数据领域从“安全港”制度到“隐私护盾”制度的变迁,都体现了双边的数据规则安排。其中,不仅有共同监督、审核数据保护制度执行的体系,也有数据保护的争端解决合作机制。我国目前并没有对如何进行双边、区域或多边数据合作形成具体规则和方案,但是,构建网络空间命运共同体、促进网络规则构建的开放合作,是我国推进全球互联网治理体系变革的基本原则。[ 参见《习近平“四项原则”“五点主张”成全球共识》,载中华人民共和国国家互联网信息办公室官网2016年12月29日,http://www.cac.gov.cn/2016-12/29/c_1120209665.htm。]因此,我国可借鉴欧盟数据规则的合作模式,完善符合我国特点的数据主权规则。可以先从双边或区域着手,构建数据主权规则的合作机制,从而为数据主权规则的多边建设提出中国方案。在推动国际规则建设的过程中,需要把握以下原则:数据保护是数据自由的前提和基础,数据保护体系为数据自由流动保驾护航;数据自由流动是数据的价值所在和数据保护的目标。
结 语
数据主权是国家主权在网络空间的核心表现,数据主权主要包括数据管理权和数据控制权。随着云计算、大数据等新兴技术的发展,数据已经成为经济、国防等领域国家重要的基础性战略资源。各国在数据领域的竞争日趋激烈。数据主权事关国家总体安全,是国家的核心利益之一。[ 参见《数字化时代,亟须捍卫数据主权》,载中华人民共和国国防部官网2018年3月1日,http://www.mod.gov.cn/jmsd/2018-03/01/content_4805627.htm。]尽管数据存在无形性、移动性、分散性等特点,但是并非不可规制。欧盟以数据保护为核心制定其数据主权规则,尤其强调对个人数据主权的保护。“隐私护盾”制度在美国与欧盟之间建立起了有效的数据保护监管机制和联合审查机制,强化了数据保护的透明度规则,并且建立起了有效的数据保护争议解决机制。《通用数据保护条例》赋予个人对数据使用的“同意权”和“被遗忘权”,进一步加强了数据责任的分配,为违反数据主权规则的主体责任承担提供了更为科学的依据。
美国以数据自由为核心构建数据主权规则。从实质来说,是针对美国调取域外数据的数据自由,但对域外国家调取美国数据仍然采取了较为严苛的数据保护规则。《云法案》从原则上确认了美国调取域外数据的合法性,给其他国家的数据主权造成了严重威胁。《云法案》对域外国家调取美国数据设置了极为烦琐的条件及要求,且给予美国法院过多自由裁量权,客观上形成了不平等的数据主权规则。
中国的数据主权规则应以主权独立、平等、合作为指导,无论国家强弱,无论其网络数据技术水平的差异,都平等地享有数据主权。同时,中国的数据主权规则还需要以网络空间命运共同体理念为指导,以合作共治为原则,促进全球数字经济发展,构建各方普遍接受的数据主权国际合作规则。欧盟与美国的数据主权规则可以给予中国提供有益的借鉴。中国应该积极发掘符合数据发展情况和国家利益的内容,提出具有中国特色的数据主权国际合作方案。
The Building Models of Data Sovereignty Rules and the Enlightment:
On the Rule Building of Chinas Data Sovereignty
ZHANG Xiao-jun
(Southwest University of Political Science and Law, Chongqing 401120, China)
Abstract:
Data is an important national strategic resource in the era of big data. Data sovereignty is the core manifestation of national sovereignty in cyberspace. It is related to data security, digital divide and personal privacy. It is where national security and development interests lie. In recent years, the European Union and the United States have continued to build rules on data sovereignty. With data protection at its core, the European Union has issued the "General Data Protection Regulations" to re-establish the rules and framework for handling data protection with the United States and further strengthen the protection of data sovereignty. The United States, represented by the "Clarifying Lawful Overseas Use of Data Act", established data sovereignty rules with free flow of data as the core, but the essence is an extension of unilateralism and hegemonism on the issue of data sovereignty. Based on the differences in data sovereignty rules between the European Union and the United States, China should follow the principles of sovereign independence, equality, cooperation and co-governance, take the concept of a community of shared future in cyberspace as the guide to building data sovereignty rules that meet Chinas development requirements, and take into account the interests of all countries, as well as promote the comprehensive and healthy development of the global digital economy.
Key Words: data sovereignty; data security; data protection; free flow of data
本文责任编辑:邵 海