数据主权治理的全球态势与中国应对
2022-03-16冉从敬
冉从敬
【关键词】数据主权 主权战略 主权争端 国家安全 【中图分类号】D035 【文献标识码】A
2021年7月2日,国家网信办发布针对滴滴出行启动网络安全审查的通告,依据《网络安全法》第九条,滴滴出行泄露地理位置信息到境外,涉嫌威胁国家安全。于是,刚刚在美股上市的“独角兽”企业滴滴出行,被监管机构启动网络审查下架,停止新用户注册。这一事件引起了社会公众对数据主权、数据安全等问题的广泛关注。新一代信息技术催生了大批中国科技企业,一部分企业掌握着海量的用户敏感数据,其在国际资本市场积极跨国展业,可能会損害国家数据安全和公共利益。数据主权关乎国家利益,是国家主权的重要组成部分。我国应当将保护数据安全置于国家战略高度,顺应全球数字经济的严监管趋势,全力捍卫国家数据主权。
互联网服务无视国界的性质侵蚀了传统主权和领土管辖权的概念,地理界限在“云”中失去意义。云服务作为全球计算基础设施的未来,具有广阔的发展前景,在解决由云计算产生的复杂管辖权问题中,数据主权诉求应运而生。国际层面,数据主权是指以符合数据所在国法律、惯例和习俗的方式管理数据,也指国家采取一系列方法控制在本国互联网基础设施中生成或通过本国互联网基础设施生成的数据,并将数据流置于国家管辖范围内。国家数据包括土地、水、人口、健康、金融和犯罪等方面信息,随着互联网信息呈爆炸式增长,管理国家数据变得至关重要,各国正在寻找新的适当方法来保障国家数据安全。
数据主权治理的全球态势
迄今为止,全球近60个国家或地区出台了数据主权相关法律,各国的数据主权战略部署呈现出不同特征,其中以美国、欧盟与中国的数据主权布局最具有代表性。美国主要从制度层面入手规制,欧盟主要依赖市场监管,中国采取的是制度与市场并重的数据主权治理模式。
美国的数据主权战略。美国的数据主权安全保障及其战略建设起步于20世纪80年代,作为全球最早开始建设数据主权战略的国家,美国至今已出台130余部相关法案,形成了同时涵盖互联网宏观整体规范与微观具体规定的完备数据主权战略体系。近年来,美国接连出台《国家网络战略》《澄清境外数据的合法使用法案》《消费者隐私法案》等相关法规、政策,谋求继续主导网络空间国际治理规则。
在与数据有关的制度上,美国号称促进全球数据的自由流动,但实际上是实施有利于自身的流动和不利于他国的全面封锁,在一定程度上推行的是数据霸权主义。具体表现在以下方面:第一,以美国主导的《美墨加协议》为例,该协议明确要求确保数据的跨境自由传输、最大限度减少数据存储与处理地点的限制,但其实质是促进数据向美国流动。第二,美国对竞争对手实施全面的数据封锁。在量子计算、高端微芯片、云计算、人工智能和网络安全等关键领域,美国启动了“清洁网络计划”,将一系列中国互联网产品和服务排除在美国市场之外。在此基础上,美国政府还通过一系列行政命令和其他决定,对中国公司实施了重要的技术封锁。譬如发起“337调查”,制定出口管制清单,禁用Tic-Tok、微信等应用程序;将半导体制造国际公司(中芯国际)等列入黑名单,声称其产品构成“被转用于军事终端用途”的“不可接受的风险”;针对华为开展一系列技术发展限制;对其他中国科技公司,如阿里巴巴、百度、腾讯和其他云服务提供商,美国也在数据问题上进行长臂管辖,在数据主权上实行双重标准。第三,美国对其他国家或地区的数据主权战略进行强硬干涉。2019年7月,法国颁布了自己的国家数字税,将对在法收入超过2500万欧元、全球收入超过7.5亿欧元的互联网公司征收3%的数字服务税,这引起了美国的强烈反应,美国政府立即展开调查,以确定法国的数字税是否“不公平地针对美国公司”,并威胁要对法国葡萄酒制造商和其他当地生产商征收高达24亿美元的报复性关税。
欧盟数据主权战略。在过去几年中,从隐私到数据保护、从竞争问题到保护版权和出版商权利、从打击网上仇恨言论和虚假信息到率先进行人工智能监管,欧盟一直是数字监管领域的佼佼者,欧盟通过监管规则与惩罚措施并行强力主张数据主权,开创了全球数据规制新气象。特别是在监察数字巨头权力方面,欧盟走在全球监管的最前沿。如果“数字主权”意味着监管权力,那么欧洲的“主权”确实是毋庸置疑的。
与美国的宽松监管模式不同,欧盟采取的是严格的监管。欧盟通过在欧洲以及世界各地颁布具有影响力的法规,全力推进欧盟数据主权战略的构建。2018年出台《通用数据保护条例》;2020年通过《欧洲数据治理条例(数据治理法)》提案,并公布《数字服务法案》、《数字市场法案》两部法案的草案;2021年3月,欧盟委员会发布《2030数字罗盘:数字十年的欧洲方式》,提出了未来十年欧洲加快数字化转型的具体目标以及衡量目标完成情况的数字罗盘,并积极推进与多国的项目合作,加大对数字领域的投入。欧盟通过其在竞争政策、环境保护、食品安全、隐私保护或社交媒体言论监管方面设定标准的能力,发挥了重要、独特和高度穿透性的力量,塑造、改变了全球市场,以单边监管影响全球规范,引发了数字领域的“布鲁塞尔效应”。有学者认为,欧盟已经成为其地缘政治对手无法匹敌的全球监管霸主。欧盟的法律决定了印度如何采伐木材、巴西如何生产蜂蜜、喀麦隆可可农民使用什么杀虫剂、中国乳品厂安装什么设备、日本塑料玩具中加入什么化学品,以及拉丁美洲的互联网用户有多少隐私权。欧盟的数字监管模式极大地影响了世界各国或者各大企业的数据监管措施,企业为了进入欧洲市场,需要或主动或被动地将其数据保护措施提升至欧盟标准。
中国数据主权战略。我国于2016年颁布的《网络安全法》创建了一个广泛的数据保护框架,数据隐私保护在该框架下适用于几乎所有公共和私人实体。出于对国家安全的考虑,法规中包含了对个人信息和“重要数据”的数据本地化要求。2017年,中央网信办发布了《个人信息和重要数据出境安全评估办法》,据此,数据本地化要求扩展到所有网络运营商而不仅是《网络安全法》中规定的关键信息基础设施运营商,我国对数据本地化存储的要求更加严格。在《网络安全法》的框架下,我国陆续制定了《数据安全法》《个人信息保护法》等法律,出台了《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(2019年征求意见稿)》等一系列规章制度,要求在数据出境时对运营商进行安全评估,以防存在影响国家安全或损害公共利益的风险。实行严格的数据主权治理模式,确保了我国的数据主权保护得到落实。
我国对数据流动采取更加保护主义和非干预主义的方式。我国拥有自己的国家内联网,互联网流通内容需要经过审查,审查和约谈机制成为我国独特的数据治理措施。在强化数据跨境流动监管的同时,我国政府也在大力投资境内数字基础设施建设,以及通过“数字丝绸之路”计划在全球范围内扩大通信基础设施建设,创造了以中国为中心的跨国网络基础设施体系。在严格执行数据本地化存储与扩大跨国数字基础设施建设的双重战略部署下,我国既控制了国家重要数据的流动,加强了数据主权的安全保障,又在全球范围内稳固了作为新兴经济强国的地位。
当前全球数据主权治理态势下,数据主权安全的争议焦点
司法管辖权问题。数据的跨境分布式存储为各国政府执法机构的数据调取带来管辖权上的争议,数据主权的争夺成为各国在网络空间立法博弈的新领地。如今,电子邮件、社交网络帖子和其他许多内容通常存储在不同的国家,导致对普通刑事调查至关重要的证据需要跨国界调取,欧盟委员会2018年的一份报告指出,85%左右的刑事调查需要电子证据,在这些调查中,有三分之二需要从另一个管辖区的在线服务提供商那里获取证据。2017年,美国微软公司与美国司法部产生的纠纷也是一个例证,微软拒绝了美国政府调取其存储的数据的请求,理由是该数据存储在爱尔兰的服务器上,而当时所依据的美国《存储通信法》并无域外效力。后来,美国《CLOUD法案》的颁布解决了其中的一些问题,根据该法案,美国执法部门可以根据《美国法典》第18卷第2703节的规定获得数据搜查令而不管数据位于何处。但该法案并未阐明美国在线服务提供商应如何响应外国政府提出的合法数据请求,假设美国提供商收到《CLOUD法案》未涵盖国家的请求,提供商是否可以根据当地法律直接回复,或者该国是否必须使用司法协助条约程序申请美国授权,这些问题都不清楚。当前,由数据主权政策差异带来的司法管辖挑战尚未有效解决。
大数据时代,将地域性作为定义数据传输如何监管和治理的前提,忽略了代码、市场和私人参与者在数据治理中的重要影响,因此认定国家对位于或存储在物理领土内的数据享有主权的想法过于简单化。目前,越来越多的数字平台开展跨国服务,有时数字服务的总部和数据存储地、处理地分布在不同的国家或地区。这一情况引发了关于适用哪个国家的法规以及如何解决法律冲突的挑战。各国政府如何解决与全球数据流动相关的管辖问题将对商业、技术的发展创新产生重要影响。
数据控制权问题。工业时代,各国对石油资源展开争夺;数字时代,数据被誉为“二十一世纪的石油”,围绕“数据主权”,各方也纷纷展开了博弈。无论是特斯拉维权事件中“行驶数据到底属于谁” 的争议,还是近日特斯拉宣布在我国国内建立数据中心,实现数据存储本地化,以及欧盟强势推进数字税计划等,这些事件背后都可以看到数据主权之争愈演愈烈之势。数据主权范畴下的数据控制,是指在云计算的技术框架下,通过寻求跨境云服务提供者的合作或对其发出指令的方式,获取其控制的数据。数据控制權的争议源于存在两个或两个以上相互竞争的网络外交监管和控制方案,相互之间非常容易产生数据主权纠纷。
目前,各国捍卫跨境数据控制权的普遍做法是通过立法要求科技公司在本国境内存储本国公民的数据,并谋求对互联网实施域外控制。譬如,欧盟综合利用条例和指令等“硬规则”、《打击网上非法仇恨言论行为准则》等具有全球影响力的“软规则”、数据保护和其他监管机构采取的监管行动、欧洲联盟法院判例法等,通过影响科技公司的全球政策和影响其他国家的态度与监管措施来达到数据控制的目的,在数字领域实现了“布鲁塞尔效应”。
保障数据主权安全的中国应对
为制定国际协议建言献策。目前,还没有一个统一的国际协议来规定云服务中的数据主权问题,各国所依据的还是本国制定的各类数据保护法,这很容易引起各国在云数据主权上的争议。国际上存在着两种不同方向的数据治理愿景,一种是“世界主义理想”,渴望在任何国家和地区都适用同一套规则;另一种是“开放互联网理想”,认为互联网数据治理规则应当根据各地规范、习俗和规则在不同的地方以不同的方式运行。当前,互联网全球治理的主要问题不在于互联网是否应该具有或具有多少世界性,而是互联网应当如何适应主权差异。正如刑事证据的全球化给执法带来重大挑战,现有的司法协助条约之类的传统跨界机制过于缓慢和繁琐,国际社会需要建立新的协议和规范以应对这一局面。此前,欧盟与美国在个人数据领域从“安全港”制度到“隐私护盾”制度的变迁,都体现了双边的数据规则安排。
在未来,我国应当在国际上建言献策,在数据主权问题上体现“共商共建共享”全球治理观的“中国主张”,我国政府、社会组织、私营部门、技术社群、专家学者等应积极参与全球互联网发展治理,参与全球技术标准的制定和研发,参与全球互联网关键基础资源管理,为全球互联网治理进程的推进贡献中国智慧。
推动数据主权治理的国际合作。单纯强调数据主权可能会导致国与国之间形成对抗状态,不利于数字经济的发展,也不利于各国之间的科技交流、文化交流乃至政治交流。过度强调数据本地化和强大的数据主权将导致碎片化和“数字边界”的兴起,这有时被称为“互联网巴尔干化”,即互联网世界分裂说。其实,“数据主权”的实现并不意味着主权国家必须在数字领域“自给自足”,为了有效行使国家数据主权,更好的做法是寻求有意义的国际合作。
2014年,习近平主席在首届世界互联网大会开幕贺词中提出:“中国愿意同世界各国携手努力,本着相互尊重、相互信任的原则,深化国际合作,尊重网络主权,维护网络安全,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。”未来,我国应当积极引领数据主权治理的国际合作。第一,主动衔接,加强各国数据规则的协调,对数据使用与流动的规则与各国进行友好协商与谈判;第二,推进制度型开放,促进全球数字产业合作,推动完善公平、有序和开放的现代市场体系,优化管理方式以适应国际投资和贸易规则的发展趋势,在负面清单、知识产权保护等方面对标国际经贸规则,参与并引领全球经贸规则变革。
完善我国数据主权战略布局。在数据主权领域加强战略布局,是在全球数字主权“割据战”中赢得主动权的前提条件。如果主权国家过于强势地通过封锁技术来主张数据主权,将可能导致一些学者所说的“技术民族主义”,从而形成对外国公司的无正当理由的歧视,降低该主权国家在数字领域的吸引力和竞争力。因此,我国要重视并加速谋划全球数据主权战略布局,既要保障数据主权安全,又要不断提升数字领域国际竞争力。
第一,在意识层面,需要意识到数据主权治理事关总体国家安全,积极主动地制定数据主权总体战略目标、阶段性目标和具体实施路径;第二,在制度层面,在本国内完善数据资源相关立法,确保我国数据流动与共享的安全,同时在国际上积极推动双边与多边协议和数字主权国际公约的制定,推动全球数据主权治理;第三,在组织保障层面,明确监管部门职责,完善基础设施建设,为数字技术的创新、数字产业的发展提供良好基础;第四,在市场层面,依托市场主体全面开放合作,在数字领域加强与其他国家的合作交流,消除贸易壁垒,积极构建人类命运共同体,推进中国科技企业全球化布局,在保障国家安全的基本前提下努力实现数字时代的互利共赢。
(作者为武汉大学信息管理学院教授)
【参考文献】
①C. M. SNIPP. What Does Data Sovereignty Imply: What Does It Look Like. Indigenous Data Sovereignty, 2016.
②D Polatin-Reuben, J Wright. An Internet with BRICS Characteristics: Data Sovereignty and the Balkanisation of the Internet. 4th USENIX Workshop on Free and Open Communications on the Internet. 2014.
③Chinas Biggest Chipmaker SMIC Hit by US Sanctions. Financial Times. September 28th, 2020.
④A. Bradford. The Brussels Effect: How the European Union Rules the World. Northwestern University Law Review, 2012, 107(1).
⑤European Commission. Commission Staff Working Document Impact Assessment. April 17th, 2018.
⑥A. K. Woods. Litigating data sovereignty. The Yale Law Journal, 2018, 128(2).
⑦黃海瑛、何梦婷:《基于CLOUD法案的美国数据主权战略解读》,《信息资源管理学报》,2019年第2期。
⑧梁坤:《基于数据主权的国家刑事取证管辖模式》,《法学研究》,2019年第2期。
⑨姜志达:《欧盟构建“数字主权”的逻辑与中欧数字合作》,《国际论坛》,2021年第4期。
⑩张晓君:《数据主权规则建设的模式与借鉴——兼论中国数据主权的规则构建》,《现代法学》,2020年第6期。
责编/马宁远 美编/杨玲玲