安全抑或自由:数据主权谦抑性的展开*
2022-03-14唐云阳
唐云阳
(1.四川大学法学院 四川成都 610000)
习近平总书记多次强调:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”[1],这一基本论调在数智化时代得到了强有力的印证。当前,数据逐渐成为生产要素与战略性资源,积极重塑着国家权力体系和国家竞争力体系,各国围绕数据主权相关的数据管理权和控制权展开激烈争夺,以谋求数据空间治理的主导权。一方面,数据作为新型战略资源对全球经济增长的贡献己超过传统跨国际贸易和投资[2],数据流动所释放出的巨大潜力激发了更有效的贸易运作,催化了高度创新的社会解决方案,以及完善的政策选择[3];另一方面,数据自由流动也会削弱国家对本国数据的管控权,而关键信息基础设施存储数据的流失甚至会威胁一国的数据主权[4],因此数据主权流通潜藏着重大风险。尤其是当前的数据主权尚未脱离传统领土主权控制论,仍将数据主权定位于一种领土排他性及防卫性的“维斯特法利亚主权”[5],这也造成“允许数据自由流动”与“主张国家安全管控”间的权衡成为数据主权最为强烈的表现形式[6]。本文结合当前国家发展战略及需要,聚焦欧、美等国的数据主权理念及模式,将“谦抑性”原则引入数据主权领域,作为缓和“数据自由流动与数据安全管制”冲突的权衡工具,以期能够为我国数据主权的积极发展、合理扩张及规则建构提供新思路及新路径。
1 积极与激进:数据主权扩张的两种形态
当前,由于各国际行为主体在数据主权治理上并未形成统一的治理框架,而是由未被普遍接受或停留于单边、双边和多边协定或贸易规则拼凑而成[7],因而呈现出数据所有权与执法权的分离化、数据管辖权的碎片化与治理主体不确定化、利益诉求多元化与规则制定单边化的冲突格局。然而,在这种“分而治之”的格局下,各国却保持数据主权扩张的基本共识。
1.1 数据主权的积极化扩张
(1)扩张性数据主权立法的国际样态。面对不确定性且频繁的数据安全风险,各国通过立法规范及区域性规则的积极扩张予以回应。 在区域性组织层面,扩张性立法体现为各国围绕经济贸易、数据安全及数字技术等内容积极建构国家间的区域性数据战略协议或数据规则,以此获取在他国的数据管辖权及强化本国(组织)数据规则的全球话语地位。 在国家数据立法层面,各国积极推动相关数据立法、数据规则及法律政策扩张,数据立法规制及保护范围不断扩大。 如欧盟以个人数据权及其保护为导向,在“公约、指令、条例及规划”等系列规范文件上密集出台并成体系化(见表1)。而美国以市场及商业利益为导向,除各州频繁颁布独立的数据规则外,对内民主党和共和党在有关数据安全与隐私保护上争相提出相应法案,对外还积极扩张“指南、框架和协定”等法律规范(见表2)。可以预测,在一段时间内各国对数据主权安全及流动的立法规范将继续保持扩张趋势。
表1 欧盟数据主权立法的扩张表现
表2 美国数据主权立法的扩张表现
(2)数据主权扩张策略的不同方式。各国在积极建立和发展数据主权规则的同时,因自身实力和利益诉求差异衍生出数据主权的不同扩张策略,一类是以美国为首的部分国家通过数据单边立法、长臂管辖等手段实现数据主权的自我扩张;另一类是以俄罗斯为主的部分国家采取严格性的数据本地化储存、数据独占等方式实现数据主权的自我防御。以欧盟为例,《一般数据保护条例》被视为史上最为严格、保护水平最高的数据保护规则,很大程度上源于其数据主权策略扩张的多种渠道。
其一,数据管辖的规制对象扩张。 欧盟通过该条例在数据储存地标准上确立起了数据控制者或处理者标准,如该条例第3 条规定“本条例适用于在欧盟境内的数据控制者、处理者、接收者对个人数据的处理,无论其处理行为是否发生在欧盟境内。 ”此外,间接或者利益相关第三方也被纳入GDPR 的管辖范围。
其二,数据权利的保护范围扩张。该条例基于强化个人数据权利与个人数据跨境规制的保障考量,在属地标准和数据控制者标准基础上还拓展出“数据主体权利”标准,具体表现为以个人数据保护权取代隐私权成为基本权利[8],建构了以同意权、访问权等个人数据权利为核心的权利束,并划分跨境流动可信国家或地区,确保“同等保护水平”的条件充分[9]。这种具有保护管辖色彩的最低联系标准实际上以保障公民基本权利为表象,强行性地扩张了GDPR 的适用范围。
其三,“效果”原则的管辖扩张。只要境外的公司行为对境内企业、个人的数据权利产生了某种“效果”或“影响”,欧盟法院即可获取对境外数据的执法管辖权[10]。
其四,白名单制度的排斥扩张。 欧盟在进行“充分性认定”的数据准出评估后,再利用“白名单制度”将符合充分保护标准的国家列入可进行数据传输的正面清单,而对应的“黑名单”国家除非妥协或顺从于欧盟规则,否则禁止或严格限制数据的流通及调取。从当前发展趋势看,欧盟“白名单”的成员国不断增加,未纳入该名单的部分国家也围绕“充分性标准”积极寻求与欧盟开展数字贸易合作的空间。
其五,行政执法的管辖扩张。 GDPR 第58 条赋予本条例监管机构的调查权(第1 款)、矫正权(第2 款)、授权或建议权(第3 款),其中矫正权可向数据控制者或处理者发出警告、训斥、命令赋权(第2 款a、b、c项),甚至可强加临时性或终局性的限制,包括数据处理的禁令、行政处罚、暂停数据流入等权力。 该条虽为监督之名,却有行政命令之实,可在不经他国同意的前提下对域外或其他组织的数据相关主体直接行使行政执法的权力,从而实现行政执法管辖之扩张[11]。 综上,欧盟通过GDPR 建构出“属地+属人+效果原则+黑白名单+行政执法”的严格模式,塑造了域内全面管控和域外“长臂管辖”的严密体系[9],有效推动了欧盟标准的全球化扩张。
1.2 数据主权的激进式扩张
数据主权的激进式扩张本质上也属于一种积极性的扩张,但较之后者,前者在扩张方式的限制性以及对他国网络主权与数据安全的侵害性上,幅度更大,乃至超出一般防御或流通之必要。
(1)激进式扩张之数据防御主义。决定各国数据主权策略的因素是综合性的,对发展中国家而言,数据安全才是第一要务。 因此秉持“数据国家主义”立场以追求国家整体利益的最大化是有限理性下的优先选择,即“数据防御主义”[12]。 数据防御主义普遍存在于大部分国家①根据美国信息技术和创新基金会数据显示,从2017-2021 年,有关数字信息储存在特定国家的法律法规及政府政策的数量增加了一倍多,达到144 个。,并因数据流动的限制程度差异而形成一般形态与激进形态,前者是数据治理的常规手段,后者则为极端的数据管控措施。具体包括附条件的流通(欧盟、韩国为代表)、本地备份的流通(印度、印尼为代表)以及刚性禁止的流通(俄罗斯为代表)[13]。 其中,刚性的数据本地化模式是激进式防御主义的典型表征。 这种模式要求数据控制者和处理者将公民个人数据的收集、记录、整理、积累、存储、更新、修改和检索全部限制于本国境内及服务器内[14],必要时还需履行相关信息告知和协助有关部门执法的义务[15]。其严苛性和激进性体现为两方面:一方面,该模式对数据所承载的安全风险及数字价值秉持一种绝对且极端的国家控制,是以牺牲本国数据流动效益为代价所获得数据防御,并可能对其他国家形成数据壁垒;另一方面,其他的数据跨境流动限制着眼于设计旨在对附着在数据上的权利进行保护的政策工具[12],而刚性的数据本地化模式属于一种自我限缩式的过度扩张,它会加剧信息不对称现象,可能使某一市场被孤立或者受到局限,降低本国的国际竞争力。 因此,对该模式应当保持克制,以防止激进扩张的极端化形态。
(2)激进式扩张之数据进攻主义。在数据主权扩张上,美国崇尚并积极推广数据自由流通模式,然而其在全球数据治理中却表征为一种霸权式的对外扩张,即以牺牲别国安全谋求自身所谓的绝对安全及数据自由。
一是数据霸权地位的巩固。在数据主权归属模糊、管辖主体交叉以及国际规则未成形的现状下[16],无论是片面追求数据自由或遵循完全化的网络自由,既是对各国科技与经济实力差异性的故意忽视,更是通过排除他国在领土之内的主权管辖而去固化部分国家形成已久的“数据优势”,使其在边界模糊的网络空间中担任规则制定者和执法者[17]。
二是数据霸权秩序的扩张。 当今世界不存在绝对的网络自由,任何国家都会本能地固守网络联通的边界,实施必要的管制,美国所提倡的“网络自由”战略根本目的在于依托互联网传播系统的控制,为其数据强权和政治霸权的扩张提供保障以及合法性理由,实现美国霸权主义在虚拟世界的扩张及新秩序构建[18]。
三是数据霸权规则的同化。 美国数据或网络自由的霸权主义策略采取一种双重标准,数据输入国家要么接受规则同化,要么被排斥于规则体系之外被动发展。此外,美国还借助“一揽子”协议强行塑造美国与其他国家在规则上的“制定-接受”关系[19],这种明显的意识形态扩张意图和外交谋略,加剧了国家间的数据争端及其报复反弹。如“CLOUD”法案限制美国获取境外数据仅有三类情况,而外国获取美国数据则需要满足十一项条件,任何国家恐怕都很难同时满足如此繁复的条件[20]。
2 必要与均衡:数据主权谦抑性的法理基础及规范体现
数据主权的谦抑性要求“允许数据自由流动”的扩张与“主张国家管辖权”的扩张间保持有限理性,从而探寻数据安全保护与发展之间的合理界限。即,各国应避免采取完全的数据自由流通模式,这可能成为数据霸权的另类形态。 也应注意谨慎采取绝对的数据本土化模式,忽视国家及国家间的数据价值利用最大化及效益最佳化。 当前对数据主权谦抑性的法理基础虽有一定研究,但仍不够深入[21],有待进一步挖掘。
2.1 数据主权谦抑性的法理基础
(1)数据主权过度扩张具有双向侵害性,这要求数据防御限制和进攻扩张保持适度性。 美国虽然通过数据自由战略将自身的理念价值、数据规则以及分化策略有效扩张至他国,数据霸权主义得以延伸发展,但同时也受到较多抵制及“报复”。部分国家通过强制数据本地化存储等方式加强数据的控制权,以防范数据跨境流动风险,抑制美国对数据控制的优势和支配地位;部分国家施行强制性反加密制度,允许政府强迫科技公司为他们的产品安装后门,实时截取相关国家的数据。 如澳大利亚《反加密法》授权澳大利亚警方可强制任何(在该国运营的)公司帮助政府进行入侵系统、植入恶意软件或插入后门等黑客行为,以此帮助政府打击使用加密通信来躲避侦查的“恐怖主义组织”[22]。 部分国家采取“对等报复”方式予以回击,如英国、巴西等国家通过单方面主张域外管辖权获取境外数据[23]。 英国《数据保留和调查权力法案》(DRIPA) 的核心目标之一就是允许在美国的控制下获取难以获得的数据。
(2)各国数据主权立法存在规则适用的冲突性,自然无法避免主权的域外效力产生,这要求各国行使数据主权时保持谦抑性,否则会陷入“单边规制单边”的循环。 各国数据规则间存在法律冲突,具体包括虚假法律冲突和真实法律冲突①虚假冲突指就适用法律,仅一个国家存在利益,其他国家并不存在利益,在此情形下应适用有利益国家的法律。真实法律冲突主要包含以下三类:其一,两国法律对统一行为作出规范;其二,按照两国法律对管辖权的规定,对于哪一个国家有权获取相关数据存在冲突;其三,就适用法律双方均存在利益。,而仅后者才会产生数据主权冲突,突出表现为两类。 第一类,各国在数据立法模式和数据主权的域外效力上存在规范差异,如严格坚守本地化储存模式的俄罗斯与推行数据自由流通模式的美国就存在严重的立法管辖冲突;第二类,部分国家尚未建立起专门的数据立法,这就导致他国在该国的数据权利行使或本国在他国的数据调取等可能会因规则模糊、缺失而面临管辖阻力。 加之,数据主权缺乏普遍效力的国际规则,而单边立法和长臂管辖却盛行,为避免法律观点冲突及单边规则的循环,谦抑性原则能发挥缓冲和过渡作用,并填补网络空间冲突规则的空缺。
(3)数据主权管辖争端的解决有赖于各国际行为体间的依赖性,而非独立性的单边处理,这要求各国在数据主权对外扩张或对内防御上都应保持谦抑性。 具体包括三个方面:一是数据安全防御不能完全依靠本地化策略所解决。 虽然数据本地化政策能够保障国家对数据的有效控制,但一国不可能完全切断与域外国家的数据交流,加之数据跨境逃逸难以规制性,国家管辖的政策性需求与企业经营实际需求的相互制约性,数据可复制性及重复利用性等特点[24],直接决定了国家对数据主权的绝对掌控无法实现,一昧地防御势必导致数据主权的弱化及他国抵制, 因此需要数据主权保持适度的软化和弹性,借助数据自由流动予以缓和处理;二是数据主权权威及数据竞争力的提升也不能完全依托数据自由流通的扩张策略所实现。 如上所述,过度的对外主权扩张会引发对应国家的同等性乃至不平等性的规制报复,在发生管辖冲突时,单边的长臂管辖并不会得到他国承认乃至重重受阻,这也要求数据扩张需要与他国保持有效的国际协作与互助,建立数据主权的局部共识乃至国际共识,否则只会导致争端搁置或冲突加剧;三是各国际行为体间相互依赖性逐渐强化并取得显著效果。 为保护本国或本组织之数据主权利益,也是考虑到跨境数据调取之管辖冲突解决, 各国际行为体正积极建构数据治理的“朋友圈”,“圈子化”的数据依赖性特征显著加强[25]。 而这也对数据主权安全保护、数据管辖争端处理、数据规则立法以及数字经济发展发挥了推动作用,且一定程度上平衡了数字强国与弱国数据主权对话的不平等性,协调了国家间的数据差异,增强了数据主权治理的共识性。
2.2 数据主权防御谦抑与数据主权进攻谦抑的动态均衡
以数据本地化为代表的数据主权防御主义与以数据自由流通为代表的数据主权进攻主义是一对相辅相成的共同体,二者并非处于非此即彼的关系,本质上都是基于各国利益诉求的理性考虑和功利选择[26]。 当前,单一的防御主义或进攻主义都非网络强国建设的合理发展路径,乃至产生反作用,由此二者间既要保持独立的谦抑性,又要互相吸收各自的合理性要素,实现不同利益诉求的动态均衡及有机统一,这也是未来各国际行为体数据主权策略的合理扩张方式(二者关系见图1)。 实质上,当前的数据本地化模式抑或数据自由流通模式已经具备部分谦抑性的特征。
图1 数据主权防御谦抑与进攻谦抑的分析框架图
(1)数据本地化模式的“流动”谦抑。 梳理各国的数据本地化策略发现,本地化程度具备层次差异性,由弱到强主要可分为宽松的本地化模式、相对严格的本地化模式、刚性的本地化模式。在宽松的数据本地化模式中,其谦抑性表现为仅要求数据副本的本地化,而对数据跨境流通不做过多限制。如印度尼西亚原则上允许数据跨境流通及境外处理,但调取主体或相关主体应当事先在境内的特定数据中心完成数据备份[27]。此外,即使刚性的数据本地化模式中也存在数据跨境流动的谦抑设计。 虽然澳大利亚《个人控制电子健康记录法案》禁止在澳大利亚境外持有数据记录及境外数据访问,第77 条严格规定“不得在澳大利亚境外保存、获取、处理数据,甚至不得造成或允许他人在境外保存、处理与记录有关的信息”[28]。但是若境外的数据接收方能提供与本国相当的数据保护水平则可获得豁免条件[29]。可见,即使是采取数据本地化模式的国家也会增设数据自由流通的例外。
(2)数据自由流通模式的“让步”谦抑。 对美国、欧盟等强权国家(组织)而言,选择数据跨境自由流动模式可以最大限度地攫取数据效益和巩固数据霸权地位,但也存在对外让步与自我限制的内容。一是对他国或组织数据主权规则的让步妥协。 鉴于美国对欧盟公民个人数据隐私的不对等保护、缺乏对公民数据基本权利的法律补救措施以及“棱镜门事件”的影响,美国先后与欧盟达成妥协协议,建立了《安全港协议》《隐私盾协议》,要求美国应遵守欧盟相关数据保护标准,并接受联邦贸易委员会监督。美国还应允许将欧盟数据规则的规制对象延伸至美国政府和国家安全部门,且争端解决机制从商业纠纷条款升级为具有强制性的终局仲裁[3];二是对本国数据自由流通的部分限制。 同一国际行为体主张的数据主权可能具有双重属性,即使强调数据自由流通模式的美国也普遍采取了部分限制性措施。如CLOUD 法案确立获取域外数据为原则的同时也作出限制美国获取域外数据的例外。其让步性的调取限制仅三类:披露义务是否将会导致服务提供者实质性地违反“合格外国政府”的立法;综合案件的所有情况,公正的利益是否要求撤销或修正法律程序;消费者或用户确实不是“美国人”且不居住在美国[10]。
3 安全与自由:我国数据主权谦抑的现代化路径
习近平总书记对我国数据安全流动与自由流动的关系曾作出重要阐释,指出“网络安全和信息化是一体之两翼,驱动之双轮,必须统一谋划,统筹部署,统一推进,统一实施[30]。”这也决定了我国数据主权谦抑发展的现代化路径。
3.1 我国数据防御主义是有限条件下的优先选择
从立法规范看,我国在数据跨境上采取严格的本地化存储模式,作为中国网络空间治理的重要制度,对数据跨境流动的限制程度及幅度反映了我国对数据治理的决策逻辑,实质表现为有限理性下的复杂政策抉择。一方面,在充满风险与冲突的外部环境下,数据安全是我国总体国家安全观的下位概念及重要组成,并与意识形态安全、政治安全及经济安全紧密相连。以数据本地化为基本准则,是欲通过自身技术能力来抵御足以威胁我国数据安全的外来风险及主权干预,并形成中国特色的数据防御系统;另一方面,与美欧等发达国家相比,我国数据法治建设明显滞后,尚不能满足大数据时代不断提高的数据主权要求[31]。 在数据发展与数据安全的抉择中,由于缺乏数据发展的技术性优势和制度性保障,我国难以抵御数据监管不力所带来的数据安全风险,尤其是境外国家或势力恶意监控的不可控风险,也难以有效处理当前国际间扩张性的域外数据执法管辖权及恶意管辖带来的司法风险。 因此采取数据本地化的防御主义或数据安全流动是一种有限条件下的优先选择,抑或说无奈之举。
然而,随着跨境数据流通的常态化、跨国企业交流的频繁化以及数字经济的持续性发展,严格遵循数据本地化模式的弊端逐渐显现,这就要求我国积极平衡数据发展和数据安全的利益诉求,在秉持数据主权防御性扩张的同时,也要强调国家管控的自我克制和适度性,采取一种进取而克制的总体策略,据此实现中国数据主权的现代化目标。
3.2 数据主权谦抑性建构的原则
(1)坚持数据主权发展模式的兼容性原则。从数据流动规律看,绝对的数据本地化储存模式不利于“发挥数据的基础资源作用和创新引擎作用”[32],而完全的数据自由流通模式因对他国主权的严重侵害性而扩张受阻,单一化的利益追求路径反而不利于本国数据主权模式的优化及利益实现。因此,提倡数据主权防御主义和进攻主义的谦抑性。 一方面是针对缺乏冲突解决机制和数据主权恶意管辖或监控下零和博弈的积极回应,也是全球数据信息化下从国家间相互依存、利益交融出发对数据主权发展路径的适应性调整[33];另一方面,数据主权吸收谦抑性要素,是为了反哺自身,即强化各自模式的合理性以及明确其限度性,从而形成有“进攻性”的有限防御主义以及有“防御性”的有限进攻主义。 如我国可适当确立特定范围及特定数据类型的数据控制者标准,以缓解我国现有数据储存地标准的僵化,为数据的境外管辖提供合法性基础。
(2)坚持数据主权治理的合作共治原则。我国在数据安全领域的国际合作机制相对滞后,存在与现行国际规则不兼容、监管制度灵活性不够以及国际规制缺失等问题[34]。 因此我国数据主权治理应一改以往消极被动之姿态而转为积极主动之进取,积极融入国际及区域性数据规则、治理机制和安全框架的建构过程,避免因数据主权规则的滞后性与冲突性而导致边缘化以及话语地位的弱化。一方面,我国要积极参加国际数据治理战略协议,提供数据治理的中国方案及经验方法,反映施行数据本地化策略国家的安全利益观及考量,防范发达国家单边建构以国家强弱和数据技术水平高低为衡量标准的数据主权规则,抵制数据主权中的大国主义、强权政策以及霸权扩张;另一方面,我国应秉持“数据命运共同体”原则,立足于“一带一路”沿线国家、ASEAN、SCO、APEC 等国家(组织)的合作基础,加强国家(组织)间的数据联合治理及多边协助,推动各国共识性规则的形成,扩大我国数据安全与流通的“朋友圈”[35],从而提高数据治理能力与水平。
(3)坚持数据主权扩张的克己性原则。数据主权扩张附有双向约束力,一国在为本国数据主权设定权力义务边界的同时,也为他国的数据流通及管辖创设了限制,并且会遭受对应方式下的同等乃至不对等约束。因此,我国在秉持数据主权防御性扩张的同时,也要强调国家管控的自我克制和适度性,采取一种进取而克制的总体策略。首先,我国在强化数据本地化储存以保护数据安全的同时,也要保留并不断拓展常规的数据流通路径,摒弃“绝对属地主义”思想;其次,数据本地化的克制性表现为对数据的有效控制,而非绝对控制,是对关键信息基础设施储存数据的重点控制,而非一般数据的全面控制;再次,我国要严格遵循本国数据框架的规则效力并受其约束,减少“双重标准”及单边规制,在保障国家基本利益不受损的前提下以互惠和礼让进行数据流通。
3.3 数据跨境流动规则的谦抑性设计
虽然我国《数据安全法》第13 条已确立数据安全与数据自由兼顾的“双原则模式”,然而实质操作上仍保持着以数据安全管控为基本政策导向,以数据自由流动为兼顾发展的安全流动模式[36]。 因此,如何协调数据自由流动和安全管控间的不同利益诉求是数据主权谦抑性的核心内容。
(1)重要数据出境规则的谦抑性。数据分类分级管理及审查机制虽已在《数据安全法》确立并执行,这是谦抑性的表现之一。 然而现有规范对重要数据管控的确定性与重要数据外延的模糊性形成了鲜明对比[37],甚至一定程度上背离了数据分类分级制度的预期目标。因此,数据出境规则应当明确重要数据与非重要数据的边界,并区分不同出境规则。
其一,重要数据范围的限缩把握。当前,《数据安全法》对重要数据的范围界定过于宽泛,这可能加剧数据本地化的严苛。以关键信息基础设施为例,其区别于关键基础设施,而特指信息系统、控制系统及网络平台等[14],且只要达到“后果上的严重程度”即可构成关键信息基础设施。 这一数据概念的定位使其涵括了私人信息数据、重要行业的企业数据及相关领域的业务数据,乃至于关键信息基础设施中的所有数据。相较于其他采取数据本地化储存的国家,我国数据本地化严苛程度略高且管控范围过广,应从国家层面、公共利益层面及个人层面的数据保护为基点,将非必要之数据信息排除于本地化储存范围,确保重要数据的核心化和必要性,以此限缩数据管控的边界。
其二,重要数据标准的限缩解释。《数据安全法》将数据的“重要程度”和“危害程度”作为区分重要数据和非重要数据的标准,这种标准形式上看较为全面,然而即使为重要的数据信息,也并不意味着严格的政府管控或禁止出境,因为这类数据信息的流通并不会造成第21 条之“危害程度”。 因此,《数据安全法》对数据出境的标准划分应予以限缩解释,可继续保留危害程度标准,而由于重要程度标准存在合理性质疑,应将其解释为“可能造成严重不利影响”的数据信息,对未造成危害程度或“严重不利影响”的数据信息可降低保护审查力度,允许其在有序地自由流动。
其三,重要数据认定主体的限缩授权。 我国《网络安全法》《数据安全法》将重要数据与非重要数据的认定权授予“各地区”和“各部门”,由它们确定本地区、本部门以及相关行业、领域的重要数据具体目录,并以此决定重要数据的安全流动以及非重要数据的自由流动。问题在于,这一授权模式可能因认定主体的认知差异性、各行业或领域的专门性以及各地区情况的特殊性,导致对重要和非重要数据认定的不当限缩或扩张,出现各地区数据认定冲突的现象,甚至引发法律规避问题。 因此,建议限缩重要数据认定主体的授权范围,将认定主体的“分散授权模式”改为“国务院统一划定模式”,即由国务院负责机关或部门统一划定重要数据类型,各地区可参照该重要数据目录确定本地区的重要数据种类,并由国务院相关部门负责重要数据的认定结果监督以及重要数据的地区认定冲突。 对于认定为重要数据的,应以数据安全流动为主导模式,此时重要数据的出境具备严格的条件限制,如要满足严格的数据安全审查、数据风险评估及报告等系列安全要求才可出境。此外,重要数据的出境并不代表对该数据法律管控权或管辖权的丧失,作为数据提供国家仍有权以保障重要数据不被泄露、破坏及非法控制而作出安全保护控制。
(2)非重要数据出境规则。非重要数据只是相对于重要数据和核心数据而言,仅是代表此种数据信息泄露引发的危害程度较小,受到的国家管控偏弱,但并非放任此类数据信息的风险发生。相反,由于此类数据信息的自由流动是创造我国数字经济规模和价值高低的主要因素,因此对非重要数据的数据管控要区别于重要数据,而选择数据效益最大化的流动模式。 非重要数据的自由流动应降低国家管控力度,提升流动的速度及广度,减少数据提供者和数据接收者的猜忌成本及其风险。由此,谦抑性要求非重要数据出境应以市场自由流动为导向,建立数据“信任”关系。 如应避免“用户赋权-企业担责”的单向路径[38],而选择“个人同意+客观标准保护”的双向通道[39],减少数据流通的事前禁止机制,而建构事后追责以及“数据随数据走”的灵活机制,从而实现数据的区别化治理及效益最大化。
4 结语
在数据安全(国家管控)和数据自由流动的普遍争议下,我国确立了以数据安全为底线,以数据自由流动为常态的谦抑性发展路径,这种路径抉择也破除了长期以来欧美国家对我国数据本地化严苛化的误解与污蔑。然而,我国数据自由流动规则仍处于初步建构阶段,尚不完善。 未来,数据自由流动规则应在宏观层面弥合与国内既有规范及国际规则的冲突,在中观层面协调好与数据安全流动的关系,在微观层面具体且明确规则的核心要素与基本内容,从而建构起中国特色的数据主权规则。