数据管辖权:立法博弈及中国的对策
2021-01-15朱雅妮
朱雅妮
(广东工业大学政法学院,广东 广州 510006 )
引 言
大数据时代,科学技术发展推动数据成为主权国家、其他利益主体竞相治理的战略性生产资料。[1]信息与数据正在成为我们当下和未来赖以生存和发展的,类似于土地、森林、水利资源同等重要甚至更为重要的资源。[2]数据引发的国家博弈在数据稀缺价值不断被发掘的过程中逐渐激烈。不少国家以规则为切入点,布局有利于自身的数据治理格局。近年来,基于不同利益目标体现各自价值理念的数据立法、修法是数据竞争加剧的明证。美国2018年颁布的《澄清域外合法使用数据法案》(the Clarifying Lawful Overseas Use of Data Act,以下简称《云法案》)、俄罗斯2014年《关于信息、信息技术和信息保护法》(修正案)、中国2017年的《网络安全法》等是数据国内立法的成果;2018年生效的欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)、《美国-墨西哥-加拿大协议》中的数据条款、《全面与进步跨太平洋伙伴关系协定》当中的数据议题则一定程度体现了当前数据管辖权立法博弈的加剧。
一、以“数据存储地标准”为管辖依据的立法
云计算时代的数据尽管有边界,但其迅速穿越国境的弱边界性也是不争的事实。到底何国能对数据行使管辖权是各国立法不得不考量的因素,传统主权项下的管辖权分配被视为国际数据流通攻防策略的核心。[3]
立法管辖权指立法机关所拥有的立法权限范围。[4]也可视为是国家制定法律的权能。[5]现代社会的立法管辖权主要存在“地”和“人”两个基点,分别对应领土和居民这两个主权国家要素,国家通过法律框架来达到对该两要素的有效控制,属地原则和属人原则也就成为立法管辖权的两个主要管辖依据。随着理论和实践的发展,对于国家间立法管辖权的分配,除了属地原则、属人原则(或称国籍原则),国际法还确认了保护原则和普遍原则的合法性。[6]上述四原则之外,美国国内法中有时采用效果原则作为管辖权依据。
投射在数据问题上,上述哪一个原则才是恰当的管辖权分配依据?一种逻辑为:在一个广泛的、相互连接的世界中,数据和应用程序是在服务器上运行。这些服务器虽然连接到一个无边界的网,但它们都驻留在物理上的某个地方。相应地,数据存储的服务器所在地点——数据存储地——对数据拥有管辖权。固守数据于某地的思维很显然受到威斯特伐利亚体系疆域观点的影响,将领土性作为了数据立法管辖的主要依据。属地原则是国家在国内和国际立法、司法和执法权力的基石。[7]它的优势在于引发的国际法争议最少且引起的争端最少。
在属地原则的惯性思维下,国家和数据公司经常将数据的位置视为管辖权的决定性因素。“数据存储地”成为数据立法的重要管辖依据。虽然数据存储中心的位置可能与许多操作和应用程序无关,但数据或信息的物理位置通常是决定哪个主权国家控制这些数据的关键。如果说信息就是力量,那么信息的位置可能决定谁在网络空间行使权力。[8]同时,在缺乏有力的管辖权国际协调机制的情况下,数据管辖问题更有可能通过参考网络的物理基础设施来解决,服务器的位置和数据的存储位置最终可能决定了谁的规则适用。有人将数据存储地与管辖权的关系表述为“地理就是命运”。[9]一些国家要求互联网公司在当地存储所有相关数据,并由此衍生出形式不同的“数据本地化”措施,包括:要求数据或数据备份存储在本国境内的服务器上;阻止数据跨境流动;数据移转出境前必须征得数据主体同意或是对数据出口进行征税等等。[10]这些措施坚守着属地原则,强化了数据的有界性。
俄罗斯一直坚持数据属地原则,是“数据本地化”立法的典型代表。自“棱镜门”事件后,俄罗斯多次修改法律以强化对数据的控制。2014年俄罗斯先后通过联邦第97号法令和联邦第242号法令对《关于信息、信息技术和信息保护法》(2006)(以下简称《信息保护法》)和《俄罗斯联邦个人数据法》(2006)进行修改。第一,根据第97号法令在《信息保护法》中增设信息留存要求,规定:电信服务商和在线信息发布组织者有义务在俄罗斯境内存储用户的语音信息、短信、图像、声音、视频和其他信息。从数据发送、接收或处理时起,留存期限为6个月。[11]第二,根据第242号法令在《信息保护法》第十六条第四款中增加:信息拥有者、信息系统运营者有义务对俄罗斯联邦公民个信息进行收集、记录、整理、保存、核对、提取的数据库存放在俄罗斯境内。[12]第三,第242号法令还修改了《俄罗斯联邦个人数据法》,在第十八条中增加第五款:要求收集个人数据时,运营商需要保证使用位于俄罗斯境内的数据库。这其实是变相规定整个数据处理过程都应在俄罗斯进内完成。由上可知,俄罗斯通过数据存储在境内、数据库设置在境内、数据处理过程等在境内完成的具体规定,加固数据的地域藩篱,加强“数据本地化”立法以达到对数据的牢牢控制。
印度虽然也以“数据存储地标准”为立法管辖依据,但印度对数据的控制不如俄罗斯严格。印度将数据区分为公共数据和个人数据分别予以规定。在个人数据方面,根据《隐私规则》,印度允许个人敏感数据在境内和境外移转,但必须符合法律规定的两种情形:第一,移转数据的主体与信息提供者之间合同的履行是必要的(necessary);或者第二,信息提供者必须同意数据的移转。在公共信息方面,1993年《公共记录法》第4条禁止公共记录移出印度领土,除非是为了“公共目的”。它规定“任何人未经中央政府的事先批准,不应将任何公共记录带出印度;如果出于任何官方目的而获取或发送任何公共记录,不需要事先获得这种批准。”
二、“数据控制者标准”的兴起:原因及立法趋势
(一)云时代数据的特征
以“数据存储地”为代表的数据本地化立法很快受到了技术的挑战。大数据、云计算时代数据有以下特点:第一,数据的迅捷流动性。数据瞬间穿梭多地,运动轨迹由互联网的路由算法决定,用户无法知晓给定时间的数据具体位置,给数据存储地的确定带来困难。第二,数据的离散存储性。在云系统中,为了提高效率和便于管理,数据可能被拆分为多个数据包,每个数据数据包可能存储在不同的地理位置上。当用户访问时,这些分散的数据包通过相应的程序又重新拼凑在一起。[13]例如病人的信息、医疗记录、用药历史可能会作为不同的数据包存储在不同的地方,当医生调取病历时才汇聚成原样。第三,数据位置的独立性。数据位置的独立性是指数据的存储可以独立于数据用户,其实质是数据与用户的相互分离。[14]互联网诞生之时,数据和软件都存储在用户电脑或手机上,用户能自主掌握数据。而今,技术令数据能够脱离原载体并存储在遥远的服务器上,“云服务”向用户呈现了一种分散化的假象,实质却是数据资源正在从终端用户向拥有巨大处理能力和存储能力的系统集中。第四,数据的第三方掌控性。无论存储在“云”中的数据的实际所有者是谁,数据都是控制在“云服务”提供者手中。这些控制数据的第三方包括互联网服务提供商、云服务提供商,以及维护和运营构成互联网主干的光纤电缆的公司。第三方(而非用户)对数据的传输路径或存储位置做出关键决策。[15]
云计算下的数据特征决定了一方面数据的真正控制者并非数据用户,而是作为第三方的数据服务主体。“数据控制者”所在的国家通过控制“数据控制者”掌握了较大的数据主动权。另一方面,“数据存储地”很难再成为立法管辖权的核心标准,毕竟数据的位置较难确定或较难唯一地确定,给“数据存储地标准”蒙上了不确定性,动摇了人们选择它作为数据立法管辖权依据的信心。这种变化在美国和欧盟的新近数据立法中体现得尤为明显。
(二)《云法案》与“数据控制者标准”的采用
“数据存储地标准”将数据当做了传统法律思维中的“物”,存储地理位置的固定就能有效确定法律管辖。[16]然而,数据的特性无不显示着它与传统的物有诸多差异,正是数据不同于实体物的特征导致了基于有形边界和有形物体的属地原则在大数据时代备受挑战。微软案的出现集中暴露出“数据存储地标准”与实践的矛盾之处,直接引发了美国《云法案》的出台。
各国政府会为了反恐、移民控制、犯罪调查等不同目的寻求合法获取互联网数据的途径。但是由于管辖权冲突、法律限制、公司政策等各种原因,政府发现他们经常无法合法地访问云存储的数据,特别是当数据由外国公司管理或存储在外国服务器上时。2013年12月,美国联邦执法人员向美国地区法院申请一份搜查令,要求微软协助一起毒品调查,将一名微软用户的电子邮件内容和其他相关数据提交给美国政府。微软拒绝交出这些邮件,并向该地区法院提出废除该搜查令的动议,理由是:联邦政府的搜查令只在美国境内有效,但包括电子邮件在内的相关数据位于爱尔兰都柏林的一个数据存储中心,不属于美国管辖范围,故而搜查令无效。地方法院驳回微软废除搜查令的动议,认为:问题的关键是谁控制了数据,而非数据位置。尽管数据的存储地在爱尔兰,但数据被美国境内的微软及其员工控制,搜查令符合属地原则,是有效的。
微软对联邦地区法院的裁决不服,向美国第二巡回法院提起上诉。第二巡回法院认为本案所依据的《存储通信法案》(Stored Communication Act, 以下简称SCA)没有规定搜查令的域外适用性。该案搜查令要求微软将存储在都柏林的数据交给美国政府,微软必然要对都柏林的数据中心做出远程操作,这将构成SCA的域外适用,超出了SCA的管辖范围。[17]
第二巡回法院和联邦地区法院的主要分歧在于数据域内和域外的判断。前者将“数据存储地”当成了界分标准,数据存储在美国境外则视为是境外操作,故超出SCA的适用范围;后者将“数据控制者”所在地当成区分标准,数据控制者在美国境内则视为是境内操作,故落入了SCA的适用范围。微软案被上诉至美国联邦最高法院,未待裁决,美国便出台并生效了《云法案》,明确了SCA的域外适用性。依据新法,微软公司则必须交出存于爱尔兰数据中心的数据。
除了明确SCA的域外适用效力,《云法案》的重点变化还在于将“数据控制者标准”作为立法管辖权的依据,动摇了“数据存储地标准”的中心地位。《云法案》规定:“电信或远程计算服务提供者应按照本章规定保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制,无论该通信、记录或其他信息存储在美国境内或境外。”根据该法,这些保管、控制或占有数据的通信服务提供商指受美国管辖的通信服务商。当然,该法案还规定了网络服务提供者可以免除披露数据义务的三个条件。[16]换言之,除非满足调取数据的例外情形,只要数据涉及美国公民并在美国公司的控制之下,无论其是否位于美国境内,网络服务提供者均应提供司法协助。于此,“数据控制者标准”成为美国刑事取证中数据立法管辖的标准。
《云法案》所体现美国数据立法的变化,一方面契合了大数据、云计算下数据流动性的特点。如前分析,数据移动和存储的不确定性导致了“数据存储地”难于识别,依据动态的“数据存储地”制定的法律将加剧国家间数据管辖权的冲突,它如何还能作为数据管辖的首要选择呢?另一方面,《云法案》的出现也是为应对不断出现的数据本地立法,将以云计算为基础的数据全球化直接纳入国内法律规制范围。[17]面对数据本地化立法潮流,“数据控制者标准”能越过他国主权边界,在本国法的支持下控制更多的数据。立法管辖权是主权国家的重要属性,一国在其领域之内的立法,即使是产生了域外效力也不能视其违反国际法,相反,对于立法管辖权而言,“国际法并不禁止一国在其领土范围之内,对任何发生在国外的事情行使管辖权”。[4]对地、对人、对事的不同控制手段,决定着一个国家行使立法管辖权的方式。[18]
三、欧盟数据立法中的管辖权扩张
欧盟GDPR第3条规定了该条例的地域适用范围。其中第1款规定,本法适用于欧盟境内设立的数据控制者或处理者处理个人数据的行为,不论处理行为发生在欧盟境内还是境外。该款实质采用了“数据控制者标准”,没有提及数据存储地,同美国《云法案》非常相似。GDPR将数据控制者与欧盟境内相联系的做法仍然是对属地原则的坚守,但放弃了“数据存储地”这一连接点,转而采用“数据控制者”作为属地原则的新连接点,形成了“领土原则明显摆脱地理限制的新特点,甚至可以视为适应云计算而对领土原则的重新建构”。[17]
如果说第1款体现了欧盟坚持并创新属地原则的数据立法思路,那么第2款则是在坚持属地原则之上引入了效果原则。效果原则赋予了国家对人、实体或活动进行管辖的权利,只要这些人、实体或活动对该国领土产生了实质性影响,即使他们位于国家领土之外。根据第2款,在欧盟境外设立的数据控制者或处理者同样适用本条例,只要他们处理的个人数据之数据主体位于欧盟境内,并与以下两种情形相关:(a)为位于欧盟境内的数据主体提供商品或服务,无论是否要求数据主体支付对价;或(b)对数据主体在欧盟境内的行为进行监控。在该款的逻辑中,数据控制者或加工者位于世界的何处便无关紧要,只要数据处理行为所涉的数据主体位于欧盟境内就潜在具有影响欧盟利益的可能,根据效果原则应受到GDPR管辖。整个GDPR第3条其实确立了属地原则为主、效果原则为辅的管辖原则,在它们的共同作用下,适用范围远远超出了欧盟的地域边界。[19]
除了第3条,GDPR在第五章中通过对数据跨境传输进行规定,将欧盟的数据立法以及标准扩散到世界各国。欧盟允许个人数据跨越边境移送,但要满足各种严苛的条件。首先要看是否达到“充分性决定”,也即第三国或国际组织是否能够达到欧盟委员会实质性评估的条件,评估通过后,欧盟将公布确认的国家或组织的名单,个人数据能够传送到相关国家。欧盟委员会的评估包括该国的法治、人权状况等诸多评估因素。其次,如果不能满足第45条的“充分性决定”,数据控制者或处理者也能向第三国或国际组织传输个人数据,但要对传输进行“适当保障”并且数据主体可获得强制执行的数据权利及有效的法律救济。适当保障同样包括诸多条件,例如欧盟委员会通过的标准数据保护条款等等。再次,跨国企业内部的数据传输也要受到GDPR的调整,GDPR为其规定了非常具体的约束性规则。综上观之,欧盟将源自欧盟境内的数据深深打上了受欧盟法律保护的烙印,这些保护措施不会随着个人数据的流动而消失,恰恰相反,数据的跨境传输将附着在数据上的欧盟标准带到各数据接受国或国际组织。
欧盟GDPR的影响无疑是深远的:第一,欧盟可能迫使他国改变数据立法。欧盟用自己的标准去审视第三国或国际组织的数据保护情况,在第三国不能满足条件但又不愿意放弃欧盟这一数字市场的情况下,该国可能通过改变立法来达到与欧盟同等的数据保护水平。第二,欧盟可能迫使数据服务提供者改变数据服务模式或自身结构,以迎合欧盟标准。从某种程度来说,欧盟通过数据立法的域外效力将欧盟数据保护的基本理念和标准推向全球。尽管没有绝对禁止数据跨境流动,但欧盟通过层层设限,事实上执行着数据本地化措施。这与欧盟矛盾的数据心理有关:一方面,出于对促进数字经济增长的考虑,欧盟对跨边境的数据流动有着强烈的诉求;另一方面,欧盟自身的数字产业不如美国发达,为了保护域内产业,不得不对数据跨境施加限制,以扶持数字产业的竞争力。再一方面,欧盟的历史传统、文化惯性对个人隐私高度重视,而个人数据的完全自由流动伴随着隐私风险。为了保护个人隐私,欧盟也需要对跨境数据流动加以控制。
四、中国的数据管辖权立法中的问题与应对
数据管辖权立法博弈的实质上是数据主权问题。2015年8月,国务院《促进大数据发展行动纲要》首次将“数据主权”写入国务院文件。《纲要》指出,发展和释放数据资源的潜在价值,有利于更好发挥数据资源的战略作用,增强网络空间数据主权保护能力,维护国家安全,有效提升国家竞争力。
(一)我国的数据立法现状
在数据主权原则的基础上,中国的数据立法陆续展开。2021年6月10日,历经三审的《中华人民共和国数据安全法》(以下简称《数据安全法》)正式通过并于今年9月1日起实施。它与2017年6月1日实施的《中华人民共和国网络安全法》(以下简称《网络安全法》)一并构成《中华人民共和国国家安全法》框架下的核心版图。
数据法律体现一定的中国数据价值取向和立法侧重。我国将国家安全和社会公共利益作为数据立法的核心价值,是一种“国家安全话语”。国家安全和社会公共利益贯穿了三个法律文件的不同条文,它是数据出境评估的重点内容;是报请行业主管或监管部门组织安全评估的条件之一;是数据不得出境的一种情况;还是重要数据的划分标准。“国家中心导向”的数据立法价值与中国的网络现实不无关系。中国面临的网络安全威胁存在于三方面:一是政治稳定与社会安定的威胁;二是关键信息基础设施和网络安全的威胁;三是数据安全与国际网络安全博弈的威胁。[20]中国希望互联网在推动国家发展的同时将负面影响降至最低。这与美国及欧盟的数据立法政策和思路均有不同。美国推行数据自由的理念,促进数据自由流动,减少数字贸易壁垒将是美国的长期关切,是一种“市场话语”下的数据治理价值观。为了实现网络空间与数据自由,美国在理论上强调互联网的无边界及其公共物品的属性,在法律一边利用国内立法扩张数据管辖权,一边依托国际条约限制数据本地化措施,打开他国的数据边界。欧盟则将个人隐私权当成理论核心,以个人信息保护的私权角度作为规则设计的切入点,以私权保护之名拓展公权介入数据国际治理的空间。[3]私权保护成为限制数据流动的正当理由。这种价值定位和制度设计是一种“权利话语”。
关于数据本地存储的要求。第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”第37条在一个条文中同时规定了数据本地化存储和数据跨境流动两项内容。《网络安全法》明确了有关数据必须存储在中国境内的要求,是典型的数据本地化措施。
关于数据跨境流动。《网络安全法》第37条允许我国个人信息和重要数据流转出境,但要满足一定要求。《网络安全法》并未具体规定我国数据跨境流动的条件,而是将相关事项留给《个人信息和重要数据出境安全评估办法(征求意见稿)》(下简称《安全评估办法》)处理。《安全评估办法(征求意见稿)》从以下几方面确立了数据出境规则:首先明确了数据出境安全评估的公正、客观和有效原则。其次,数据出境安全评估的主体是网络运营者,符合一定条件需报请行业主管或监管部门组织安全评估。再次,明确规定数据不得出境的情形。另外,个人信息出境还必须征得信息主体的同意。《安全评估办法(征求意见稿)》的出台推动了我国数据跨境流动规则的细化。
关于数据安全的管理。《网络安全法》整体基于网络空间主权原则,以网络事务为核心,重点关切关键信息基础设施,将数据存储及其出境安排都是放在关键信息基础设施一节,但缺乏对数据本身的关注。随着独立于网络空间主权的数据主权概念的提出,有关数据的单独规定逐渐出台
(二)我国数据立法中存在的问题和对策
1.数据法律的域外适用问题
我国的数据立法以领土原则为基础,重点考虑域内适用,几乎没有涉及域外适用性。《网络安全法》规定,在中华人民共和国境内建设、运营、维护和适用网络,以及网络安全的监督管理,适用本法。这与世界上许多国家争相将本国数据法律效力扩大至域外的趋势有所差别。将境外的数据控制者的特定数据处理行为纳入法律适用范围成普遍做法。[19]我国应考虑在数据法律适用拓展至域外,其理由在于:
第一,是全面调整和规范数据关系的需要。随着网络技术的持续发展,数据企业在领土范围之外从事收集、处理、存储等数据活动已非难事,境外数据企业收集和处理本国数据也是常态。仅规定境内适用的数据立法将留下不少数据管辖空缺。
第二,是应对其他国家数据管辖权扩张的需要。欧盟、美国的最新数据法律都纷纷将本国数据法律的适用效力延扩至域外,无疑会损害包括我国在内的许多国家的数据主权。中国对境内的数据主客体和数据活动具有管辖权是领土主权原则的应有之义。但按照《云法案》或是GDPR的规定,美国和欧盟都有可能在一定条件下,将法律适用至我国境内,进而妨碍我国的数据管辖权,也在一定程度上加剧了各国数据管辖权的积极冲突,破坏了国际法的生成逻辑和运行环境。根据反制原理和对等原则,在我国的数据立法中,不能不考虑在国际法许可的范围内增加数据的域外适用条款。立法管辖权与司法管辖权相互依存。当法院地因与所涉及的人、利益、关系或者行为存在联系而具有立法管辖权时,司法管辖权才被人接受。[6]质言之,只有在具有域外适用性的数据法律的前提下,将来对相关数据纠纷的司法管辖权才得以确立。
本文建议,可以借鉴欧盟GDPR的经验,在相关立法中加入域外适用内容。具体而言,可将第二条修改成为:(一)本法适用于中国境内设立的数据控制者或处理者处理个人信息和重要数据的行为,不论处理行为发生在中国境内或中国境外。(二)本法适用于在中国境外设立的数据控制者或处理者的行为,只要他们处理的个人信息的数据主体位于中国境内或处理的是与中国国家安全和社会公共利益有关的重要数据。(三)本法适用于根据国际公法,在数据控制者所在地区适用中国法律的情形。
2.数据本地化措施与GATS条款的合规性
数据本地化措施可能引发WTO法的合规性问题。第一,数据本地化措施构成了GATS第1.1条“影响服务贸易的措施”。[21]因为数据跨境流动与服务贸易中的跨境提供方式最为相似,除非成员特别排除,数据跨境流动属于服务贸易的一种,[22]而法律要求数据在本国存储的事实会增加数据服务提供者的财政负担,进而影响数据跨境服务。相关措施构成“服务贸易”并且会“影响”该服务贸易是上诉机构在“加拿大——汽车案”中判断一项措施是否构成“影响服务措施”的主要依据,[23]数据本地化措施恰恰符合了该两项判断要素。第二,数据本地化措施极有可能违反了中国在GATS项下的具体承诺。当分析WTO成员国对跨境数据流动的限制措施是否违反了GATS项下的义务时,要看该跨境数据流动所涉及的贸易是否属于服务贸易。确认之后,要考察成员对服务贸易所做的具体承诺以确定限制措施是否违反相关承诺。前面已经分析了数据跨境流动属于服务贸易的一种,那么接下来要分析中国在GATS下的具体承诺。在《中华人民共和国服务贸易具体减让表》中的B项“计算机及其相关服务”中的(c)小项“数据处理服务”中,我国对跨境交付、境外消费和商业存在的市场准入和国民待遇均没有限制。换言之,我国在GATS中承诺对数据跨境流动没有限制,但事实上数据本地化措施相当于以“零配额”的形式对服务提供者和服务施加了数量限制,[21]违反了GATS 第16条的(a)项或(c)项。有研究者认为,诸如数据本地化等措施,一旦因涉及不当而违反国际条约义务,引发国际争端会导致国家规则的“二次风险”。[24]
在数据立法过程中,针对数据本地化措施应考虑数据保护和数据发展之间的平衡问题。一方面,数据出境控制的国家遍布各洲,既包括加拿大、澳大利亚等发达国家,也包括俄罗斯、印度等发展中国家。必须承认,尽管许多国家都实施数据出境控制,但各国的具体措施和控制程度各有不同。对数据跨越边境的限制出于不同考量,但保护数据应该是其中的重要因素。另一方面,过度的数据保护会对数字经济产生消极影响。例如欧盟对于个人数据保护的高标准将有损它的数字贸易,令其在与美国的数据竞争中处于劣势。2013年,欧洲国际政治经济中心报告显示,如果欧盟采取过严的保护规则,欧盟GDP增长率将降低0.8到1.3个百分点。[25]欧盟也清楚地认识到信息和通信技术已经成为现代创新经济体系和社会的基础,而数据是这些系统的核心并产生巨大价值。为提高自身的数据竞争力, 2018年10月4日欧盟出台了《非个人数据自由流动条例》,明确指出成员国机关的数据本地化要求以及私营部门供应商的锁闭实践成为欧盟内部数据经济发展的两种阻碍。同理,过度拔高网络安全的重要性,也会不可避免的损害中国数字经济竞争力。[21]
结论
数字贸易时代,国家间数据资源争夺不断加剧,数据保护有所升级,全球数据治理中相对稳定数年的规则和制度不断重建、更新,数据规则动荡时期已然到来。新近出台的数据国内国际规则即为明证,同时也显示出网络威斯特伐利亚时代国家对数据介入和管理不断深入的趋势。西方国家一面借用不同理论虚化国家对数据拥有主权的事实,或鼓吹网络空间是“全球公域”从而否定数据主权,或主张数据“多利益攸关方”的治理模式弱化数据主权;一面抓住主权中的立法管辖权对数据进行控制。“长臂管辖原则”、法律域外效力等扩张数据管辖权的制度接连出现。美国以“数字自由主义”为名,行使“数字保护主义”之实。欧盟也以保护个人数据权利的私权角度切入数据治理的公权领域。美、日、欧等国正试图共同制定跨国数据流动规则,打造“数据流动圈”,将中国、俄罗斯等国排除在数据共同体之外。2019年美英之间签署了“史上首份”数据互通协议,以实现二者之间的数据获取自由。上述行为都将对全球数据治理体系和国家数据主权产生深远影响。面对美国的“数字霸权主义”及以少数西方国家为中心的数据政策和规则,我国一直基于国家主权的基本立场,强调数据主权原则,致力于在国际层面倡导并推动数据主权概念的发展。2015年中国和俄罗斯等六国向联合国第六十九届会议提交了《信息安全国际行为准则》①联合国第六十九届会议《信息安全国际行为准则》(A/69/732),2011年,中国、俄罗斯、塔吉克斯坦和乌兹别克斯坦向大会第六十六届会议联合提交了《信息安全国际行为准则》(A/66/359),后来,吉尔吉斯斯坦和哈萨克斯坦加入成为共同提案国。提案国修改了此准则,以充分顾及所有方面的意见和建议。,为全球数据治理提供了中国方案。该准则重申与互联网有关的公共政策问题的决策权是各国主权,并写到:“所有自愿遵守该准则的国家应承诺遵守《联合国宪章》和公认的国际关系基本原则与准则,包括尊重各国主权,领土完整和政治独立。”可以说,《信息安全国际行为准则》中反映了中国政府对待网络空间和信息事务上国家主权原则的基本立场。针对美国等国借助法律设计强化数据控制的新态势,我国开始建立数据保护法律体系,开展了数据保护专项立法。这些法律体现了中国以国家安全为导向的数据价值核心。数据的天然弱边界性意味着数据治理需要加强国际合作。即使当前无法形成较为统一的数据治理政策和规则,中国也可以考虑将符合本国数据优势的议题嵌入双边与多边条约谈判,充分利用“一带一路”倡议的平台,在完善国内规则的基础上,建立国际数据合作与协调机制。
