论数据主权谦抑性:法理、现实与规则构造
2021-01-02卜学民马其家
卜学民 马其家
(对外经济贸易大学法学院 北京 100029)
随着大数据、云计算、人工智能和区块链技术的发展,工业文明正向信息文明加速转变。在此背景下,数据成为重要的战略资源,对政治、经济、文化、军事、外交的影响日益深刻和广泛,已成为影响国际关系的重要因素[1]。为争夺和保护数据资源,数据跨境流动成为各国竞争的焦点。数据跨境流动一方面在促进经济增长、加速创新、推动全球化和保障用户数字权利等方面发挥了积极作用。但另一方面则容易引发数据安全风险、影响本国数字产业发展机会、阻碍政府实施执法权并可能威胁国家主权与安全[2]。为趋利避害,维护国家利益,各国纷纷在此领域通过国家政策、法律制度和国际实践等方式展开竞争,并形成了数据主权观念。然而,数据主权是一把双刃剑,尽管数据主权的建立有助于维护国家数据安全、保护数据权利,并能在一定程度上保护国内经济发展,对抗发达国家的数据霸权。但也可能由此形成国家独占数据,严重影响数据跨境流动带来的经济发展和全球治理效益。出现这一问题的核心原因在于依照传统的主权观念,无法平衡数据自由与数据保护两大核心要素的冲突,而构建全球化数据主权规则本质上需要在这二者之间寻求平衡[3]。
诚然,维护国家数据主权是各主权国家的基本职能,但将传统主权观念全面移植到数据主权中却并不可行。从时代发展来看,各国严格控制数据无法适应经济全球化和大数据时代需要,也不能全面维护国家利益。从性质来看,数据主权不仅是一种政治主权,还是一种经济主权,国家并不应该将数据完全锁死,反而应鼓励数据的流动,发挥数据的最大价值[4]。因此各国需要改变传统主权绝对性的观念,将谦抑性作为数据主权的基本内涵之一,这是平衡数据自由和数据安全、构建数据主权规则的基本方案和出路之一。
本文试图在新的时代背景下,将数据主权放到当代的经济和社会环境中,通过比较数据主权与传统主权的差异,分析数据主权保持谦抑性的法理基础和实现路径为何?更重要的是如何进行理念和制度设计才能够既维护数据主权又能兼顾全球经济的发展?只有这样,我们才能在激烈的数据竞争中求同存异,同时实现数据保护和高水平的数字经济发展。
1 主权的现代化与数据主权谦抑性趋势
按照传统的威斯特伐利亚主权理论,主权具有对内的至高无上性和对外的独立平等性。这种主权表现出强烈的不相容性和绝对性。此中原因主要有二,一是传统主权是坚船利炮下的主权。从英荷“海上马车夫”战争到二战和冷战,国际政治战争频繁,深刻影响了世界格局,主权必然是不可调和和不可分享的。二是国家可以在物理上彼此完全分离。传统主权及于陆地、领海、领空和底土,这些有形物不可能同时被两个国家占有和利用,否则就会侵犯主权。而在当今社会则不然,世界进入经济全球化时代,趋势不可逆转,国家间的相互依赖性增强,各国发展都离不开国家间的交往与合作,脱离国际社会这个整体,一国的发展便无从谈起,这对主权产生了深刻影响。
第一,国家间竞争方式的变化消解着主权的绝对性特征。传统的政治战争演变为经济战争、科技战争和网络战争。有形战争对主权的影响力下降,经济、科技和网络对主权的影响力快速增强。经济的触角遍布全球,科技成为资本和信息全球流动的工具,互联网更是从一开始就难以划分国界。当代社会国家间的竞争是经济、科技和网络相互联通基础上的合作竞争。
第二,数字化信息具有全球化特征,不存在国家和区域的地理界限,弱化了主权的控制范围。数据、信息资源等主要以计算机代码的形式存在,无法明确划定国界。数据等要素在全球范围内快速流动,国家难以掌控所有本国数据,大数据存储中的“云”更是难以确定国界。
第三,国际组织、企业和个人的国际主体地位上升。国际组织尤其是超国家间或准超国家间组织在国际社会发挥着越来越重要的作用,这对主权概念形成了巨大挑战[5]。与此同时,个人和企业权利意识觉醒,个人权利范围不断扩大,深刻影响着国家主权的权力构造。企业尤其是跨国公司掌控着全球主要的资本和信息资源,也对传统主权理念形成了冲击。
在此背景下形成的数据主权,内容也会表现出不同于传统主权的谦抑性特征。理论上,主权不仅包括具有绝对性的威斯特伐利亚主权,还包括在经济全球化背景下和相互联系语境中的相互依赖之主权[6]。就数据主权而言,一方面,信息社会和大数据时代是一种全球交互时代,经济发展和国际协作需要数据跨境流动。另一方面,国家无法单方面处理通信革命所引发的问题,国家也不是简单的“不可分割和不受限制地制定和执行法律权力”的主体,而需要参与组建国际机构以提供集体利益保护[7]。在实践上,各国在数据领域的合作意识不断增强。在国际法领域,自2000年以来,美国和欧盟分别通过《安全港协议》和《隐私盾协议》来跨境传输数据,体现了两国在数据合作方面的妥协与融合。尽管这两个协议均被欧盟法院裁定无效,但很快美国和欧盟又开始了新一轮谈判,意图再次实现数据跨境流动。《区域全面经济伙伴关系协定》(RCEP)中也有部分条款涉及数据跨境流动合作。APEC和OECD等国际组织也通过发布《跨境隐私规则体系》和《关于隐私保护和个人数据跨境流动指南》(下称“指南”)等官方文件协调各国数据主权和法律政策,为促进数据跨境流动做出了贡献。在国内法中,尽管各国均主张数据主权,但都通过原则性规定和具体规则设计为数据跨境流动做出了让步。
以上均说明,数据主权在延续传统主权特性的同时,具有不同于传统国家主权的谦抑性。数据主权不应再固守绝对性,而需要保持开放性,体现出相容性和相对性。维护数据主权的目的不是保持对数据的独占和绝对控制,而是在数据主权和数据跨境流动之间保持平衡。
2 数据主权谦抑性的法理基础与现实路径
数据主权是大数据时代国家主权在数据领域的体现,需要同时兼顾主权、经济全球化和科技发展等需要。因此,数据主权应当在合理的范围内保持谦抑。这种谦抑有两方面含义,即作为的谦抑和不作为的谦抑。前者指国家通过积极作为的方式让渡、分享并在在更高层面维护国家的数据主权。后者则指国家在不行使数据主权也不会使国家数据主权受到损害情况下通过不作为的方式免于行使国家数据主权。
2.1数据主权谦抑的法理基础依据国际条约,传统主权也可以让渡、分享,但是这必须由主权国家自主决定,是主权国家的意愿,而不是接受者与被分享者的意愿[8]。而数据主权的相对性则并非依据国际条约,而是存在法理基础的自然之理。
2.1.1 主权绝对性无法适用 依据不同的功能,可以将数据主权的行使分为三个层次,第一个层次是物理层,也就是计算机、数据服务器、路由器等有形实体。第二个层次是协议层,即各种数据协议和标准。第三个层次是内容层,即数据本身。毫无疑问,国家可以对领土内物理层行使传统国家主权应有的一切权力而不受干涉。而如果一国非法入侵他国计算机和数据服务器,则会被视为侵犯该国的主权[9]。但是在协议层和内容层,数据主权的行使却受到限制。
在协议层,一国无法干涉和制止未在本国经营的外国组织制定的数据收集与传输协议,而网络世界管理权又非为一国所掌握。因此,当一国公民接受外国网络服务商提供服务时,便可能发生数据跨境传输,而此时一国政府,尤其是制度和技术落后的国家,根本无力管辖。
在最重要的内容层,数据主权的行使更加困难。
第一,数据具有全球流通的特征,权属难于辨清。一方面,数据本质上是全球流通的,没有国家界限。不同于传统主权客体是有形的物理实体,数据主权的客体是存在于网络世界和计算机领域的数字化代码,依靠互联网传输,任一国家很难对其形成绝对控制,也很难通过法律或技术手段来定位和阻断数据传输[10]。另一方面,数据处理和存储由网络提供资源和云服务,很难分清云存储中的数据属于哪一国家。加之跨国公司在数据跨境传输中发挥重要作用,其数据处理链条通常很长,更加难以区分数据的国家属性。对于一国而言,其不可能完全掌控本国的数据,但对于国家来说,承认其只掌握部分信息会导致主权不完整。也就是说,这与数据主权绝对化相矛盾[11]。质言之,数据主权绝对性要求国家能够对数据进行有效管控,但是国家却无法做到,致使数据主权遭到弱化。
第二,企业的数据主权和对数据的实际掌控导致国家行使绝对数据主权困难重重。在理论上,数据主权可分国家数据主权、企业数据主权以及个人数据主权三类[12]。企业数据主权的存在使得国家数据主权行使受到限制。在实践中,国家必须主要通过企业行使数据主权,尤其是当数据涉及商业秘密和个人隐私时,国家数据主权的行使会存在相当程度的障碍。因为在实际控制意义上,数据主权也部分为互联网巨头公司所分有。在极端情况下,二者甚至对于数据控制权产生争夺[13]。例如,在2015年12月,在苹果公司和美国联邦调查局之间的一次纠纷中,美国联邦地方法院要求苹果协助FBI协助破解嫌犯的iPhone,遭到了苹果的拒绝,随即引发了苹果与美国联邦调查局间持续一个多月的法律纠纷。最终,美国司法部宣布通过第三方解锁iPhone,撤销了对苹果提起的诉讼[14]。
第三,数据一旦公布就不再具有专有性。与有形物理实体不同,以代码形式存在数据具有可复制性。当数据处于一国境内时,国家可以通过技术和法律将数据本地化,防止数据外流。但是数据一旦泄露,会迅速在全球互联网传播,形成多国同时占有和控制数据的局面,从而导致国家丧失对数据的专有权。
第四,已经形成的数据库难以分解。数据库是数百万条甚至更多数据的集合,也因此才有意义。但是,这些数据却可能分别属于多个国家。一旦主张数据主权,这些数据的分解会耗费巨大的成本,而与成本损耗相比,数据分解带来的社会和经济价值则要小得多。
第五,国家难以掌控去中心化的数据。随着科技的发展,去中心化的交易网络出现。在去中心的网络中,不存在某个控制主体,网络平台的运行完全依靠协议和节点自治。一切交易数据都会被记录到分布式账本上且不可篡改。这样的交易既不属于某个国家管辖,也无法通过监管强制性地控制数据,并且所形成的数据并不专属一国,也就难以确认数据主权。
2.1.2 数据主权的相互依赖性增强 大数据时代的数据主权已经不再是独立主权,而是一种相互依赖性主权,一个国家无法在大数据时代完全独立自主。任何一个国家离开相互依赖都会受到损失[15]。随着国际社会政治、经济和文化等交往的不断加深,数据跨境流动越来越成为一种需要。在这一问题上,由于一国的监管范围和监管力量受限,国际社会需要相互合作、共同治理。在此过程中,一国能够更加积极地捍卫国家利益。一方面,针对数据滥用和数据泄露问题,国际社会需要开展监管合作。一是要避免数据落入犯罪组织手中,防止数据被用于洗钱和恐怖融资等犯罪活动。二是要对企业尤其是大型跨国公司进行监管,防范其滥用数据侵犯个人数据权利、危害国家和公共安全。另一方面,数据跨境流动监管产生的国家执法和司法管辖权冲突需要国家间合作。这种冲突表现为两点,一是因两个以上国家同时对数据跨境流动开展执法或者司法活动而产生管辖冲突。二是因一国单方开展跨国执法活动而影响另一国数据主权,而主权受影响的国家又在经济、法律和科技上无法形成对抗。这两种数据管辖的冲突均必须通过跨境合作的方式予以缓和和解决。因此,在数据领域的相互依赖是必要和必然的。但同时,这也意味着一国无法对其数据行使完全的主权,而是在相互依赖和相互合作中实现国家数据主权。在经济和贸易全球化不断加深的背景下,数据跨境流动更加频繁、广泛和深入,形式和手段也更加多样,数据主权的相互依赖性将会不断增强。这就需要树立数据主权谦抑性理念,不一味追求国家对数据的绝对控制,而是通过合作来更有效地维护国家数据主权。
2.1.3 个人数据权利维护的要求 数据主权与传统国家主权的不同在于:传统国家主权及于领土、领海和领空等有形空间,并且个人很难分享国家权力,而数据权具有强烈的个人所有属性,数据主权和个人数据权同时存在。无论数据权利是否如欧盟一样属于基本权利,个人数据权利都应被尊重。在对内维度方面,一方面,国家要尊重数据权利的行使。个人对数据享有人格权利和财产权利,前者包括知情同意权、修改权、被遗忘权,后者包括采集权、可携权、使用权和收益权[16]。当个人同意个人数据被传输至境外,而这些数据又不属于国家禁止传输的数据时,国家没有理由行使数据主权,因为国家权力的设定是为了保护个人权利而不是限制个人权利。另一方面,国家在行使数据主权时也应考虑到个人数据权利。国家在行使数据权力时容易忽视个人数据权利,尤其是在法律制度不健全的国家更容易将对内行使数据主权变为国内政府监视公民行为的借口[17]。我们不仅应该关注美国“棱镜门”式的国际监控,也应该注意国内大规模监控行为。在对外维度上,国际合作由国家主导,数据主权包括缔结数据协议的权力。然而,却可能存在两个极端,一是一些国家可能为了获取经济利益,依附于美国这样的超级大国,从而置个人数据权利于不顾。二是过于强调国家对于数据的控制,拒绝开展国际合作,任何数据都无法流向国外,致使个人无法完全享受数字经济的红利,已经流入境外的数据也无法得到保护。凡此种种,都要求国家数据主权尊重个人数据权利,保持谦抑性。
2.1.4 数据效用和价值的实现 在数字经济社会和大数据时代,数据成为了新的生产要素,能够推动全球经济的发展。在理论上,数据的财产属性和流动价值论出现。支持该理论的学者认为数据是一种具有经济价值的商品,其价值取决于数据质量[18]。信息的跨境自由流通不仅能够促进国际贸易发展,进而促进创新、生产力和经济增长[19]。还能够催化出高度创新的社会解决方案,有利于更完善的政策选择,促进数据驱动的经济得以实现[20]。在实践中,数据跨境流动也确实在推动经济增长。研究表明,数据资源只有在不断流动的过程中,才能创造更大的价值,反之则阻碍经济发展。根据布鲁金斯学会的研究,从2009年到2018年,数据跨境传输为全球GDP的增长贡献了10.1%,仅2014年就创造了2.8万亿美元的GDP,预计2025年这一数据会达到11万亿美元[21]。根据美国信息技术与创新基金会的研究,阻碍数据传输可能使美国GDP降低0.1%~0.36%,巴西和欧盟的某些云服务价格上涨10.5%~54%,巴西、中国、欧盟、印度、印度尼西亚、韩国和越南的GDP将降低0.7%~1.7%[22]。这些都说明了只有数据在全球范围流动起来,才能发挥出最大价值。也提醒我们不能直接将传统主权规则直接适用于数据主权,也不能只重视数据主权而遏制数据的跨境流动,而是要在维护数据主权和促进数据跨境流动之间找到平衡点。国家主权具有至高无上的地位,数据主权自然不容侵犯。但是考虑到数据跨境流动的需求,我们需要在一定程度上对于数据的开放利用持相对宽松的标准,接受数字经济对主权绝对性的冲击,在维护数据主权的同时使数据流动为全球经济服务。
2.2数据主权谦抑性的现实路径及其经验各国都已经认识到数据资源对于一国各方面的重要意义,开始在国家政策和立法上维护数据主权,但同时,也不再恪守数据主权的绝对排他,而是做出了灵活性规定。
2.2.1 美国的数据自由流动路径 美国拥有全球最大的数字经济规模,是全球数字产业的“领头羊”。在数据跨境流动方面,美国国内没有专门统一的立法规范,而是依靠分散立法、行业自律和问责制进行规制。这种规制思路是美国以市场为主导、以行业自律为中心的信息隐私政策的体现。在国际上,美国通过经贸协定和国际组织推广数据跨境自由流动政策。2012年的《美韩自由贸易协定》第15.8条规定成员方应努力避免对跨境电子信息流动施加或维持不必要阻碍。OECD的“指南”中第16~18条要求成员国采取合理恰当措施确保并尽可能避免限制个人数据跨境流动。APEC的《隐私框架》同样强调避免和消除任何不必要的信息流动障碍。这些规则都是美国推动数据跨境自由流动的体现。
实际上,美国主张数据跨境流动不是忽视数据主权,而是在利用美国经济和科技优势,以数据跨境自由流动为名确立和固化“数据占有和利用”的优势,最大限度地攫取“数据金矿”[23],从而实现在全球的数据主权。但这也客观上导致美国式数据主权的谦抑。即使美国可以利用数据霸权,在数据跨境流动中获取不公平的利益,但美国的部分数据也会被传输到其他国家。一是因为在多极化的国际社会,美国也受到其他国家和所签订的国际协定制约,数据不可能只进不出。二是因为美国数据跨境流动的决定权属于市场和企业,不免会导致企业在商业利益的驱动下忽视数据保护和事后问责的后果,使本国数据流向国际社会。
这种谦抑的方式具有不平等的霸权色彩,从表面上看,数据对等传输,条件也似乎公平,但实际上则不然。一方面,各国原有经济和技术基础不平衡,其他国家可能因为不具备数据处理和利用能力而无法利用美国数据。另一方面,实践中,美国外国投资委员会也经常以“威胁美国国家安全”为由拒绝外国服务提供商进入美国市场[24]。《澄清域外合法使用数据法案》更是以美国为标准来衡量其他国家的资格,一方面为自身控制的数据资源提供保护,另一方面也在强行推动以美国为主导的网络秩序标准规则[25]。因此,美国式的数据主权谦抑性路径并不可取,也不能为其他国家接受。
2.2.2 欧盟的充分保护下例外规则路径 作为最早对数据跨境流动进行专章立法的国际主体,欧盟形成了独特并影响各国的充分保护模式。在欧盟,数据权利被认为是宪法中的基本权利,这种模式的出发点在于确保欧盟公民的数据权利在其他国家能得到像在欧盟一样充分的保护。在《一般数据保护条例》(GDPR)颁布后,欧盟采用属地原则和效果原则扩大了自身的管辖权[26]。这既是欧盟在维护个人数据权利,也是在通过维护个人数据权利维护欧盟的数据主权。但同时,GDPR第46-47条也规定了数据跨境传输变通方式,包括标准合同条款、约束性公司规则、符合经批准的法规和认证机制等方式。这些变通性规定为向不符合充分保护标准的国家传输数据提供了可能。由此可看出,欧盟尽管也极力通过保护个人数据权利的方式维护数据主权,但并没有一刀切式地阻断数据跨境传输。从1995年的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》到GDPR,不仅规定了充分保护标准,还为向未达到充分保护的国家传输数据留有余地。
对于欧盟模式,外界褒贬不一,有人认为欧盟做出充分保护评估时,程序过于繁琐和低效,在评估第三国是否符合适当性要求时还考虑了政治因素[27]。并且欧盟可能会因政策实施得当而崩溃于繁琐的官僚程序,或因程序过于繁琐而崩溃于大规模放弃依法实施,从而陷入两难之境[28]。也有人认为欧盟建立了协调数据保护原则并具有灵活性、坚持了技术中立并对提高隐私意识有所助益,是良好数据保护规范的标准[27]。事实上,欧盟GDPR所确立的原则既能够维护本国数据主权也很好地通过数据主权的谦抑兼顾了国际利益,从而成为立法典范为他国借鉴,例如,日本2015年《个人信息保护法》第4条规定的同等保护标准和新加坡2012年《个人信息保护法》第26条第1款规定的相当保护标准。
2.2.3 印度的有限数据本地化路径 尽管印度以能力短板为由拒绝在2019年G20发布的“大阪数字经济宣言”上签字,不认同促进数据跨境流动的做法,并将采取数据本地化政策,但是并没有禁止数据跨境流动。根据印度2018年《个人数据保护法(草案)》第40条,一般个人数据和敏感个人数据,应在印度境内的服务器或数据中心中存储副本。印度中央政府认定的“关键个人数据”则仅能在印度境内处理。由此可看出,为维护国家利益,印度计划通过数据本地化来维护国家数据主权。不过该草案规定的数据本地化是有限的。一方面,中央政府基于必要性和国家战略利益的原因可以豁免一般个人数据的本地化义务。另一方面,在个人数据管理上,将数据分为一般数据、敏感数据和关键数据,采取不同程度的保护措施,并设置有充分性认定机制、标准合同机制、集团内部计划机制、数据保护局批准机制等对国际社会开放数据。这说明,在一开始,印度就未实行严格的数据本地化政策。而在印度2019年的《个人数据保护法(草案)》中,第33条规定仅个人关键数据应该在印度境内存储备份和处理,个人敏感数据虽须在境内备份但可以在境外处理,而不再对一般个人数据的跨境传输设限。此外,新草案还规定了敏感数据和关键数据跨境传输的适用条件,这些条件基本是2018年草案中适用于一般数据跨境传输的条件。由此观之,印度个人数据跨境流动的本地化措施在松动,不仅减少了本地化的数据范围,而且增加了可跨境传输数据的情形。
印度的有限本地化路径具有一定可取之处,依照重要程度将个人数据分为一般数据、敏感数据和关键数据,这可以为数据跨境流动的差异化管理提供基础,值得肯定。可以说,印度的路径也代表了数据本地化措施的发展趋势,即从严格本地化到逐渐开放数据流动,仅限制重要数据的跨境传输,对一般数据不做限制。
3 数据主权谦抑性的基本理念与规则构造
数据主权在理论上有保持谦抑性的原因并已经在实践中得以体现。除此之外,还需构建数据主权谦抑性的基本理念和具体规则,这样才能进一步因应数据跨境流动的时代趋势。
3.1数据主权谦抑性规则的基本理念
3.1.1 保持数据主权的相对性 随着国际交往的深入以及科技和互联网等的发展,主权并非绝对性权力的观点得到更多认可。事实上,主权不仅包括国家主权,还包括个人主权甚至是企业主权,而且,主权不仅要受到自然法和国际法的限制,还要受到他国自由和独立的限制。数据主权具有不同于传统主权的时代特征,更符合也更需要成为相对性权力。一方面,数据跨境传输必然意味着数据主权受限。个人数据跨境传输行为具有国际性,各国为维护国家安全和利益出现分歧在所难免,单凭国内法难以合理规制数据流动,国际社会就个人数据跨境传输等事宜存在广泛交流与合作的前提及必要[30]。此外,数据主权的实现不仅受到国家和超国家、亚国家甚至个人之间的网络空间权力关系的纵向制约,也受到一国网络空间实力和其他国家的权力关系的横向制约,网络时代的数据主权必须以必要的妥协为代价[31]。由此看来,在大数据和互联网时代,世界连为一体,任一国家无法脱离国际社会,将数据主权严格绝对化,数据主权会因国际交往而表现出相对性。另一方面,为了促进国家利益,国家数据主权需要受限。国际交往中,国家会力争实现利益最大化。因此,国家不会成为国际竞争中的受动者,而是会采取包括限制自身主权的方式实现国家利益。从另一个角度讲,这不是在削弱主权,而是主权权威的体现[32]。当我们把主权视为一个民族国家对自己的未来拥有控制权时,主动参与国际竞争能够增加国家对未来的掌控力[33]。质言之,保持数据主权相对性并不会损害数据主权,反而会在更高层次上维护数据主权和国家利益。
为此,在定义数据主权时,我们需要在维护国家利益的同时,一方面树立主权相对性的理念,不把主权的绝对性和不可相容的结构移植到数据主权中,在行使数据主权的过程中保持手段的适当性和必要性[34]。另一方面要缩小数据主权内容的涵盖范围,不轻易将数据跨境流动和数据分享行为界定为放弃数据主权和侵犯数据主权。在行使数据主权时,如国家积极行使数据主权,则应该为维护更高和更重要的利益而保持相对性。如果国家通过不作为而保持数据主权的相对性,则应该保证不会减损国家应保护的利益。
3.1.2 实现数据主权价值多元化 在数据跨境流动中,维护数据主权是首要价值但不是唯一价值,我们需要做的是在不牺牲国家数据主权的前提下,同时兼顾其他法律价值。
数据兼具个人属性和国家属性、人身属性和财产属性。其国家属性和人身属性要求国家通过确立数据主权维护国家数据安全和个人数据人身权,这是国家的职责所在。而数据的个人属性和财产属性则要求数据主权的谦抑。一方面,国家需要重视数据的跨境流动价值和数据交换价值,允许多个国家同时占有和使用一国部分数据,促进数据的跨国使用和经济价值的挖掘。这部分数据不涉及国家和商业秘密,不属于重要数据,跨境流动能为国家和个人带来的利益超过因放弃数据独占而产生损失。另一方面,国家需重视企业数据权利和个人数据权利,排除数据国家绝对所有的观念。以往的主权观念强调国家对领土及自然资源的绝对所有权,而数据领域则应该是企业和个人享有对数据的所有权,而国家应扮演管理和保护的角色。因此,在国家数据主权之下,国家不应争夺企业和个人的数据权益。实际上,在维护数据主权的同时兼顾其他价值并不是在损害主权,而是在另一层面维护国家利益。因为,主权制度是不同维度的分类集合,具有极大的灵活性。看似主权被削弱,实际上是国家增强了其他方面的主权意识,权衡各种利弊从而获得了更多利益。由此,国家应该兼顾数据主权的多元化价值,在更高的层面实现数据主权。
3.1.3 平衡数据跨境流动中的多重利益 数据跨境流动中涉及多重利益,包括国家数据安全、个人数据权利、经济发展以及政治利益。利益的多样化和差异化造成了数据主权和数据跨境流动的困境。总的来说,各国需要树立全球视野,承认数据隐私与成功的商业运作相互依存,实现既保护个人权利和国家权力又满足商业利益的目标[35]。为此,需要从如下几方面展开。第一,平衡国家数据安全和经济发展利益。在数据跨境流动中,经济发展和国家数据安全存在矛盾。通过全球数据流动促进经济发展很可能导致一国数据安全受到他国和国际犯罪组织威胁,而将数据只存储在国内则会有损经济发展。因此,需要找到二者的平衡点,既不能使数据完全自由流动以维护国家数据安全,也要促进经济发展。第二,平衡国家数据权力与企业和个人数据权利。强调国家主权时,数据通常由国家控制,企业的数据权利受到国家政策和法律法规的限制,个人难以掌握具有经济价值的数据,也无法控制数据跨境流动,是数据跨境流动中最弱势的主体。但企业和个人分别为数据的收集、加工、利用者和数据主要来源,数据权利需要得到确认和保护。为此,国家需要保持数据主权的谦抑,赋予企业和个人数据权并尊重数据权利的行使,重视企业和个人数据权利和利益的保护,而非只强调国家数据主权而使个人及企业数据权利形同虚设。第三,平衡发达国家和发展中国家利益。由于国家间的经济和科技实力相差悬殊,任何全球政策的整齐划一都会带来实质的不公平。发展中国家不具备强大的数据处理和利用能力,这意味着发展中国家不可能在相同的数据跨境流动政策中获取和发达国家一样的利益。因此需要发达国家照顾发展中国家利益,允许后者在国际协定中对数据跨境流动政策进行保留。发展中国家不应坚持数据主权绝对,拒绝任何数据对外开放和共享,而应通过不断扩大自身数据的开放程度,加入到全球数字经济中来。
3.2数据主权谦抑性的制度构建
3.2.1 数据分类管理与分级审核 数据的分类和分级是数据跨境流动的前提和基础议题。既不能完全禁止也不能放任数据跨境流动,确定哪些数据可以跨境流动和流动程度的关键在于数据的分类管理与分级审核。
不同国家对于数据有着不同的分类方法,欧盟将数据分为个人数据和非个人数据,澳大利亚将个人数据分为一般数据和敏感数据,印度将个人数据分为一般数据、敏感数据和关键数据。我国《数据安全法》将数据分为一般数据和重要数据,《个人信息保护法(草案)》界定了敏感信息。这些数据分类为在维护数据主权的前提下促进跨境流动提供了基础。整体而言,各国的数据分类与分级应该做好以下几点:第一,区分个人数据和非个人数据。个人数据是指已识别或者可识别为与自然人相关的数据,否则为非个人数据。对于个人数据,出于维护个人数据权利的需要,国家在利用该数据或管理数据跨境流动时一般需保证数据主体的知情权并视情况得到个人同意。而对于非个人数据的利用和跨境流动,国家虽不必考虑个人意愿,但在对数据跨境流动设限时也需要个人数据保护以外的理由。第二,区分个人数据中的一般数据和重要数据。这种分类需要以利益保护类型、数据主体的保密性预期和数据传输可能造成的损害等为标准。对于一般数据的传输管理程度较弱,重要数据的管理则应更严格。第三,对不同行业数据进行分类。不同行业数据的重要程度和价值不同。例如金融数据、健康数据一般比电话号码和住址等一般数据更重要,因为前者不仅关系到个人数据权利,而且涉及国家金融安全和生命安全,而后者不仅重要程度相对较小,而且可变性强。第四,应建立相对统一的数据分类标准。数据的分类具有交叉性,依照不同的标准可将数据划分为不同类别,可能导致对同一数据有不同的管理制度,并且每个国家数据分类制度均不一致,这会导致数据分类混乱,跨境流动不畅。为此,可以考虑由统一的国际组织根据数据的内容属性制定相对统一的数据分类标准供各国参考来解决这一问题[36]。
除了数据分类管理之外还需在分类基础上进行分级审核。对于重要程度一般的数据,可由企业在采取数据保护措施后自主决定是否进行数据跨境传输,对于重要数据则需要经过个人同意甚至官方机构批准后才可跨境传输。对于需要官方批准的数据,也需要视数据的重要性而定。较为重要的数据需要经过官方认证即可,非常重要的数据则可能需要政府部门的特许,跨部门的数据还需要经过多重或者联合许可。
3.2.2 合理定位国家在数据主权中的角色 在大数据时代,国家不应该再是管控型全能政府,而应该是服务型有限政府。在数据主权谦抑性理念下,更应该合理定位国家角色。对内而言,国家应在数据主权的框架下维护并合理分配个人和企业数据权利。在具体规则上,一是在立法上确立个人数据权利和企业数据权利,明确数据权利的法律基础,规范国家数据权力的行使范围和界限,防止国家数据权力界定不清,挤压个人和企业数据权利空间,从而更好地使政府服务企业和个人。二是要合理安排数据跨境流动中“个人同意”和“国家许可”的关系。规定何种数据跨境流动仅需要“个人同意”或“国家许可”,何种数据跨境流动需要同时经过“个人同意”和“国家许可”,防止以国家权力替代个人数据权利。三是要推进数据民主。单独的个人数据只具有人身意义,而不具有经济和社会意义。相对于国家和企业,个人并不掌握也不能直接享受数据红利。为此,应该促进政府部门和企业有条件地对个人逐步开放数据访问和利用权限,维护个人的知情权和数据使用权,促进个人数据权利的全面实现。对外而言,国家应利用数据主权保护个人数据权利,同时发展数字经济。其一,国家主权源自并依赖于个人主权,同时个人数据权利的实现需要以国家数据主权为基础和前提[37]。个人无力在数据跨境流动中行使和维护个人权利,只有在数据主权法定框架下,该权利才能得到保障[38]。为此,国家必须积极维护个人数据权利。其二,发展经济是国家的第一要务,在大数据时代,国家应竭尽全力发展数字经济,开展数字贸易。为此,国家不能只注重数据主权,而是要通过数据主权的谦抑性表达,有条件地实现数据跨境流动。不应简单绝对地限制数据跨境流动,而应在平等协商、互利共享的基础上使数据跨境流动为经济建设服务。
3.2.3 禁止绝对型数据本地化 根据数据本地化的程度,可分为三种类型,一是本地备份型数据本地化,这种类型并不限制数据跨境流动,而要求数据必须在本国备份以便国家能够随时获取和利用本地数据。二是可访问型数据本地化,即禁止数据跨境传输,但允许其他国家跨境访问存储在本国的数据,这种类型对他国利用本国数据进行了严格限制,本国可以充分处理、利用数据,而其他国家只能访问而无法处理数据。第三种类型是绝对型数据本地化,即数据只能本国存储且禁止跨境传输和访问。这种类型绝对禁止了本国数据为他国所用,反过来,他国会依据对等原则禁止该国利用他国数据。相比之下,在数据分类和分级的基础上,第一种类型既保证了本国对数据的充分利用,又能防止关键数据外流,同时兼顾了国内和国际经济利益,代表了数据本地化国家的趋势。第二种类型的管制则相对更严格,其他国家仅能访问而无法处理本国数据,严格限制了数据的跨境利用,维护了本国数据的本国利用,但在一定程度上实现了数据对外开放。第三种类型则完全否定了数据跨境流动的经济价值,拒绝数字经济全球化,走向了极端的数据防御主义。经济和科技实力较弱的国家往往倾向选择绝对型数据本地化策略,但一味采取这种防御策略,很容易陷入“经济落后—数据本地化——经济更落后”的恶性循环。从长远来看,这必然不利于本国经济发展和在更高层面上维护数据主权。因而,这种类型只能成为一国在某一类数据上的措施,而不应成为主要规制类型。各国需要将数据本地化视为一个利益平衡过程[39],在实施数据本地化的过程中发展数字技术和数字经济。当国家通过数据本地化维护数据主权时,可以依照数据重要性采取一种或者多种数据本地化类型,但不可将绝对型数据本地化适用于所有数据,并应该尽可能缩小绝对型数据本地化的适用范围。
3.2.4 开展跨国数据合作 各国在数据跨境流动方面的情况千差万别,利益和价值取向多元,难以实现统一。跨境数据流动规则也是一个多元法律框架,很难用单一的监管理论囊括多层次的规则和执行机制[40]。隐私保护当局受限于预防或补救权不足、法律制度不一致以及资源限制,这强烈要求全球监管的协调[41]。在此情况下,各国必须通过开展数据跨境合作,在维护数据主权的同时保持数据主权的谦抑。在具体方式上,首先,开展数据跨境流动双边或多边合作。双边或者多边数据跨境流动合作具有针对性,各国能够在相互尊重数据主权的基础上为数据跨境流动设定灵活性的方式,合作效率高、适用性强,且能够为其他国家合作、区域合作和通过国际组织合作提供借鉴。其次,开展区域间的数据跨境流动合作,同一区域往往国际交往密切、经济制度较为统一,法律政策也容易协调,具有数据跨境流动合作的基础。最后,国际组织要发挥指导和协调作用。通过召开会议、制定指南和标准等方式,国际组织能够在广泛的范围内协调国家间的差异,促使各国在求同存异的基础上达成共识。世贸组织或联合国的成员国也应达成数据保护协议,这样才能出现真正的全球解决方案[42]。在具体内容上,国际社会也急需建立统一的数据权利内容、数据利用、保护和权利救济规则。为此,各国和国际组织需要尽力缩小分歧,协商一致建立较为统一的具体规则,从而为数据主权维护和数据跨境流动提供良好的国际法制环境。
4 结语:维护我国数据主权及其谦抑性策略
在全球范围内,我国的数据跨境流动法律在理念和规则上仍处于相对落后状态。在规则上,目前法律层面仅有《网络安全法》和《数据安全法》生效,《个人信息保护法》还处于草案阶段,规则不够全面和具体,《网络安全法》第37条仍要求数据本地化,只规定因业务需要,按照国家网信部门会同国务院有关部门制定的办法进行安全评估,数据才可出境。《数据安全法(草案)》和《个人信息保护法》仅对数据跨境传输设定了原则性规定和简单的条件,目前尚缺少可操作性较强的规则。在立法理念上,我国过于重视数据安全而非数据跨境利用。这不仅无法充分维护国家数据主权,也不利于在数据跨境流动中维护国家经济利益。我国应该在这一领域有更多的作为,维护数据主权的同时抓住数字经济的发展机遇,保持数据主权的谦抑性。
第一,完善具体的法律规则。为克服我国目前跨境数据立法中的短板,一方面,我国应该根据数据的重要性对数据进行更细致的分类,而后对数据跨境流动分类管理。另一方面,我国应该完善数据跨境流动机制和具体标准建设。目前《个人信息保护法(草案)》中规定了评估机制、认证机制和标准合同机制,但是规则不够具体,具体的机制如何执行也没有具体标准。我国应该立足于规则的完善和标准的建立,争取在国际数据竞争中增强话语权,维护数据主权。再一方面,我国应该在立法中分配国家、企业和个人的数据权,采取合理的措施鼓励数据跨境流动,做到既维护国家数据主权,又能照顾企业和个人利益,利用数据促进经济发展。
第二,立足数据和法律双重维度。数据主权不仅是法学命题,也和技术密切相关。如果一国不具备强大的数据处理和数据利用能力,对于数据资源来说是一种浪费。目前美国是数据超级大国,凭借技术创新优势,数字经济规模蝉联全球第一。我国虽紧随其后,但仍有较大差距[43]。我国不仅应该为数据跨境流动提供法律基础,还应该强化数据技术开发与应用,这样才能在数字经济世界中处于有利地位,进而在数据主权谦抑性理念下更好地维护数据主权。
第三,应该加强数据跨境流动合作。目前我国的跨境数据合作较少,不存在专门的国际协议。“数字经济大阪宣言”仅倡导进一步促进数据的自由流动,RCEP中涉及数据跨境流动的规则较少且宏观。这制约了我国在国际社会的发言权。今后,我国应该立足国情,积极通过国际协定和国际组织制定有利于中国的数据跨境流动规则。同时利用好一带一路政策,发展沿线数据基础设施、开展合作,同沿线国家建立良好的数据协作关系。