我国数据主权研究的系统性文献综述*

2022-04-28张晶

情报杂志 2022年4期

张晶

(中国人民公安大学北京 100038)

伴随着“互联网+”时代的到来，网络空间迅速发展壮大，甚至成为物理空间的数字孪生。与此同时，网络空间的生存“土壤”—数据的重要性日益凸显，大数据应用的共生交融使其成为与石油、矿产等自然资源同等重要的战略资源，数据全球化引发了各国对数据安全和数据主权的担忧。确保数据安全、明确数据主权成为当今世界各国政府刻不容缓的战略部署。随着国家对数据资源的重视，数据主权成为学界关注与研究的热点，有关数据主权的研究成果不断涌现，研究内容不断深入。为全面了解数据主权的研究状况，本文运用系统性文献综述方法，从基本内涵、保护缘由、保护模式、保护路径4个视角对数据主权的相关研究文献予以量化统计与质性分析，精准勾勒出当前国内数据主权的研究态势，并在此基础之上，对未来仍需深入研究的问题提供理论导向。

1 研究设计

1.1研究综述随着数据权利的不断发展，我国学界已有关于数据主权研究进展与发展动态的评述，但这些评述均将数据主权作为数据权利的一个子视角进行研究。如冉从敬等[1]从数据权利博弈角度对数据隐私权、数据产权、数据主权和数据霸权的保护进展进行综述，认为未来仍需进一步界定数据主权的范畴，设计数据主权保障的顶层机制、协同治理机制和霸权消解及协作推进机制。付伟等[2]则从数据权属构成、数据产权、数据主权和数据人格权四个视角对当前国内外数据权属研究成果进行综述，认为数据主权并非权属问题，而是技术发展过程中对数据的控制及分析能力问题。目前，学界依旧缺乏专门针对数据主权研究状况的深度梳理。因此，本文将从量化统计和质性分析两个层面对当前我国数据主权的研究状况进行全面评述。

1.2研究方法系统性文献综述与传统意义上的文献综述不同，主要基于特定主题进行文献收集，通过预设研究视角对相关文献进行进一步筛选和分析的文献分析方法[3]。

1.3文献样本首先，鉴于我国大多文献数据库与中国知网(CNKI)数据库重复，为了防止重复检索，简化检索程序，本文将检索范围限定在中国知网(CNKI)学术期刊数据库。其次，为了全面了解数据主权的发展情况，检索时间截至2021年9月27日且不设上限。通过学术讨论与实验性检索确定检索词：数据主权、数字主权、跨境数据流动、数据跨境流动、CLOUD法案、云法案、GDPR。通过上述检索方法获取的文献仍有许多与本研究不相关，为确保研究结果的准确性，需进一步设定入选标准：a.目标文献应当包括已选定与数据主权相关的一个或多个研究视角：基本内涵、保护缘由、保护模式和保护路径；b.只限中文文献。

笔者通过主题、关键词、篇名三种检索方式共检索到315篇文献，按照入选要求通过对题目进行初筛剩余168篇。之后通过阅读摘要进行二次筛选，文献数量减至137篇。最后通过阅读全文，剔除发言稿、情况简介等共获得102篇符合要求的文献，并从基本内涵、保护缘由、保护模式和保护路径4个方面进行编码。

2 描述性分析

2.1研究视角分析目前，我国数据主权研究仍处于起步阶段，许多文献选择保护路径(69篇)和保护模式(60篇)作为研究视角，其次针对保护缘由(41篇)和基本内涵(42篇)进行研究。由于大部分文献囊括多个研究视角，因此当前统计的各研究视角的文献总量超出了102篇。总体而言，我国数据主权研究集中在保护路径和保护模式，大部分保护模式研究局限于法律政策文本分析，缺乏与相关理论结合的深层次探讨。保护路径大多在基于国外保护模式研究的基础上进行经验借鉴，缺乏具体实践的进一步检验。

图11998-2021年期刊发文数量

2.2研究趋势分析如图1所示，通过检索发现，1998年，学者程卫东开始关注跨境数据流动(Transborder Data Flow，简称TDF)对国家主权的影响，并提出了相应的应对策略[4]。之后15年数据主权研究一直处于停滞状态。直到2013年，大数据技术迅速发展，有媒体称2013年为大数据元年[5]。2013年6月，美国发生了震惊全球的“棱镜门”事件，引发舆论哗然。各国政府纷纷开始加快数据立法，有学者甚至称这场数据立法浪潮为“数据民族主义”[6]。然而，在这次立法活动中，各国政府更多的关注个人数据权利，对数据主权的关注度不高。此时，我国学界虽然有少数学者重新关注数据主权，但相关研究仍寥寥无几，发文量仅3篇。直到2016年，学界出现了数据主权研究的短暂高峰期，发文量达到10篇。原因大概与2016年4月14日，欧洲议会通过的史上最严的个人数据保护条例—《通用数据保护条例》(General Data Protection Regulation，简称GDPR)直接相关。之后两年，经过短暂的沉寂期。2018年美国《澄清境外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act，简称云法案)和2019年《2019美国国家安全与个人数据保护法案》的出台，数据主权的关注度逐渐升高。2019年开始，有关数据主权的研究迅速增加，并呈逐年上升趋势。2021年，随着我国《数据安全法》和《个人信息保护法》的出台，有关数据主权的研究更是达到了又一高峰期，截至检索日发文量已达到31篇。总体而言，通过统计1998-2021年与数据主权研究相关的文献发现，随着社会数据化的不断深入，有关数据主权的研究呈曲折上升趋势，数据主权也越来越受到学界的关注。

3 我国数据主权研究的系统性分析

本文通过对102篇文献进行全面分析，从基本内涵、保护缘由、保护模式、保护路径四个研究视角对当前国家数据主权的研究现状进行全面回顾与总结。

3.1基本内涵由于我国学界对数据主权的研究尚处在初始阶段，基本内涵仍存在争议，这一主题的关注度仍然较高。其中，42篇文献涉及基本内涵的一个或多个视角，最终选定了国家、企业和个人3个主要的内涵视角，其中国家视角42篇，企业视角7篇，个人视角7篇。

毋庸置疑，国家数据主权是绝大部分学者普遍认同的数据主权的应有之义。曹磊[7]认为，数据主权即国家数据主权，是国家自主对本国数据进行管理与利用的权力。孙南翔等[8]认为数据主权包括域内外两方面，域内表现为对数据及相关技术、设备等的管辖、控制权，域外则表现为与数据相关国际事务的合作权。齐爱民等[9]认为，数据主权是国家对其政权管辖地域内对数据享有的诸多权力。包括数据管理权、数据控制权、数据产业发展自主权和数据立法权[10]。吴沈括[11]认为，数据主权是国家最高权力—国家主权在数据领域的体现，同国家主权一样具有独立、自主、排他的特性。但部分研究也存在不同观点，认为数据主权除国家数据主权外，还包括企业数据主权和个人数据主权。杜雁芸[12]认为，数据主权是国家数据主权和个人数据权利的总和。冯伟等[13]认为，数据主权包括国家、企业、个人3个层面，即国家对本国数据的管理权，企业通过提供服务换取的用户数据永久使用权，个人拥有信息隐私权。翟志勇[14]认为主权属于规范与现实的双重概念，数据科技公司可以在某种程度上被视为事实上数据主权掌控者。

3.2保护缘由当前国际国内形势是加强数据主权保护的重要因素之一。通过阅读所有研究文献的全文发现，其中41篇文章涉及数据主权保护缘由的一个或多个视角，如表1所示。

在国际形势方面，大数据时代国家间的竞争博弈方式发生改变，如若无法掌握数据主权，他国别有用心的数据干预必然会危害国家安全和国家主权。如维基解密泄露美国军事机密、“棱镜门”事件、乌克兰等国的“颜色革命”以及中东的“Twitter革命”等，都昭示着国家主权在大数据发展洪流中经受着考验与挑战[9]。明确数据主权有助于应对他国的数据干涉，避免他国“规则溢出”和反向制约带来的不利影响[15]。超国家间国际组织和跨国公司对国家主权形成挑战[16]。数据主权尚未达成国际共识[17],数据已经成为国家权力的基础，数据控制能力强就意味着国家竞争力强，数据强国会竭力谋求数据霸权[18]。在信息技术方面，数据信息发展削弱了国家主权的控制力，云服务给各国政府带来了数据主权归属的担忧[19]。数据跨境流动可能带来他国对本国数据信息的分析利用，威胁本国国家安全。此外，确立数据主权有利于国家之间建立合作机制，在不威胁数据主权的前提下开展数据方面的沟通交流，共享数据成果，有利于实现数字红利带来的共赢[20]。

表1 数据主权保护缘由研究视角统计

3.3保护模式数据主权代表着国家主权利益，不同国家基于不同的利益诉求必然采取不同的保护策略。数据主权的保护模式研究主要介绍美国和欧盟数据策略，为我国数据主权保护提供实践借鉴。此外，还重点研究了数据本地化存储模式的类型、逻辑，反思其优缺点，进而进行制度重构。具体而言，以美国和欧盟作为研究视角的论述数量居多，分别是45篇和42篇，其中可能的原因是二者出台的数据保护法案具有典型代表性。以其他国家为研究视角的论文数量较少，其中，以俄罗斯为研究对象的文献为16篇，以国际组织和国家间多边协定为研究对象的文献为14篇，以印度为研究对象的文献为9篇，以澳大利亚、日本为研究对象的文献各6篇，以加拿大、法国为研究对象的文献各5篇，以英国、德国、巴西、越南为研究对象的文献分别为4篇、3篇、3篇和2篇(见表2)。

3.3.1 美国数据自由流通模式美国基于《存储通讯法案》(Stored Communication Act，简称SCA)和云法案确立了数据自由流通模式。目前我国学界对美国数据主权保护模式的研究主要集中于对SCA和云法案的制度文本分析，以期从中发现有利于中国数据主权保护的有利思路。如洪延青在分析云法案的缘起、基本内容和效果后，初步提出了我国“取”和“防”

表2 各国保护模式研究文献统计

的应对建议[21]。程昊对云法案进行全面的解读基础上，列举了云法案出台给我国数据主权带来的挑战，并提出了相应的应对建议[22]。夏燕等从云法案的立法起因、主旨与内容、理论路径与法治功能、局限与实践矛盾等视角对该制度文本展开详细阐述，并得出我国可以适当借鉴的结论[23]。张晓君在分析了云法案对美国数据自由的支撑后，提出对我国数据保护的启示[24]。除此之外，吴沈括以《加利福尼亚州消费者隐私保护法案》为视角，通过介绍CCPA的总概况、制度构建和配套机制，研究美国数据治理的现实博弈态势和价值取向[11]。

3.3.2 欧盟数据权利保护模式欧盟的数据权利保护模式主要基于安全港制度、隐私盾制度以及GDPR建立。目前我国学界对欧盟数据主权保护模式的研究同样集中于制度文本的分析。如洪延青研究欧盟司法判决和GDPR中“取”和“防”的规定以及《电子证据立法建议》后，总结了欧盟数据保护模式的要旨[21]。张晓君分析了隐私盾制度与安全港制度以及GDPR的特点后，提出GDPR对我国数据保护的启示[24]。漆晨航等以欧盟数据主权有关的战略文本为分析对象，从背景、制度梳理、具体措施、特点及启示对欧盟数据主权保护制度进行了全面的论述[25]。除此之外，吴沈括还关注到欧盟《非个人数据自由流动条例》[11]以及欧洲议会发布的《欧洲的数字主权》[26]，对欧盟数据治理的新动向以及下一步发展方向进行了简要分析。

3.3.3 其他保护模式对于其他数据保护模式，有学者重点研究了数据本地存储模式。如刘金河等提出“数据防御主义”，并指出采取数据本地化策略主要基于有限理性下的优先选择和数据主权的表达[27]。李毅等则以世贸组织为背景对我国数据本地化存储进行评析[28]。卜学民着重反思了数据本地化模式在数据安全、数据价值、经贸发展等方面的优缺点，主张对该制度予以重构[29]。洪延青提出“数据本地化存储合理界限理论”,并以此为出发点构建数据跨境流动的安全评估框架[30]。在数据主权保护模式研究中，也不乏以其他国家为研究对象的文献。冉从敬等提出俄罗斯数据跨境模式属于安全保障与收缩下的主权限制模式[31]。陈海彬等研究日本数据跨境流动的治理框架和成效[32]。何傲翾以印度《个人数据保护法案》为文本研究印度数据本地化实践[33]。胡水晶等还研究了英国、法国、加拿大、澳大利亚的保护模式[19]。此外，与数据相关的多边协定研究也在不断推进。洪延青研究了美国推行的亚太经合组织(APEC)倡导的“跨境隐私保护规则”(Cross Border Privacy Rules，简称CBPRs)，欧盟的GDPR 后提出我国基于“一带一路”的数据保护构想[34]。冯洁菡等研究了欧美的多边自由贸易协定(简称FTA)，美国的《跨太平洋伙伴关系协定》(简称TPP)以及中国和东盟近期签署的《区域全面经济伙伴关系协定》(简称RCEP)等数据治理方案[35]。

3.4保护路径当前文献对数据主权保护路径的探索主要从宏观和微观两个层面展开，共有69篇文献涉及保护路径的一个或多个方面。整体而言，宏观层面，主要指明数据主权保护的重要方向。张晓君认为保护数据主权应当遵循主权独立与平等、合作共治原则[24]。胡炜认为应当确立数据主权优先、个人信息保护和经济发展并重的立法原则[36]。微观层面则强调如何将数据主权保护在实践中贯彻落实，发文量如图2所示。

图2 数据主权规则层面保护路径的发文量

第一，法治国家精神要求实现数据主权保护应当有法可依。许多奇认为，国内层面，应当完善数据主权保护相关立法，提升法律的可操作性。国际层面，应当积极参与国际规则制定，争当国际规则的制定者，而非被动应对与接受[37]。第二，加强国际合作，掌握国际社会的话语权。吴玄认为，联合主权理念相近的国家建立数据主权保护的“朋友圈”，可以直接扩大自身主权理念的国际影响力[38]。第三，中国具有极大的数据潜力，加强顶层设计，是大数据战略发展和数据主权保护引领性问题的关键所在。如冉从敬等提出顶层设计机制主要包括数据国际冲突协调机制、政府治理机制、人才培养机制、数据霸权消解机制等[1]。第三，加强数据监管，是数据主权保护的重要保障。陈兵等提出应当摒除“一刀切”式的监管体制，确定监管权限，建立数据出境的安全评估体系等[39]。第四，加强技术研究，提升科技水平是数据主权保护的核心。王俊明认为，掌握关键技术、提升技术水平对在国际合作与竞争实现安全保障十分重要[40]。此外，匡梅认为，应当引入数据分层管理策略，根据不同性质的数据，建立相应的分类治理规则[41]。

4 数据主权研究评述与展望

本文采用系统性文献综述方法，从基本内涵、保护缘由、保护模式、保护路径4个视角，对我国数据主权研究现状进行全面梳理，以期描绘出当前我国数据主权研究概貌。在此基础之上，初步搭建起数据主权保护研究建构图(见图3)，指出现有研究存在的不足以及将来可能发展的方向。需要特别注意的是，该图是基于当前理论文献研究搭建，因而仅仅作为一种可能的假设。

图3 数据主权研究建构

4.1研究评述就基本内涵而言，这是研究数据主权的起点，厘定数据主权的范畴对后续保护至关重要。当前研究普遍达成的共识是，数据主权是大数据时代传统国家主权理念在数据领域的衍生，对内体现为数据的自治性，对外则具有独立自主性。然而，这种定义方式相对片面，国家并不能掌握所有的数据，国家强调数据主权主要基于对国家数据安全利益的保护。这一利益的保护方式与当前对领土主权范围内管理对象直接采取法律管制措施不同，需要兼顾数据安全与经济发展，具有相对性。因此，将传统主权理论直接移植到数据主权领域，过分强调主权的绝对性，会忽视数据所特有的灵活性与流动性。目前已有学者关注到数据主权的开放性与灵活性，或称谦抑性，强调数据主权应当在控制管理与自由流动之间寻找到对数据保护与规制的平衡点，但尚未有相关研究在兼顾数据主权绝对性与谦抑性的基础上对其进行重新定义。因此，未来研究应当在吸纳谦抑性理念的基础上对数据主权的内涵进行重新界定。

就保护缘由而言，当前统计的研究视角广泛，总体来看可以归结为两大类：一是国际政治环境视角；二是数据自身特性视角。研究内容多为对数据主权保护面临的现实困难进行阐述，相对表面、浅显。未来研究应当着墨于在现象描述基础上进行本质理论的追问，为什么国家必须确立与维护数据主权，从更高的理论层面进行更进一步的阐述，另外，当前研究主要从国家视角展开，较为宏观，对个人和企业等微观层面关注较少。数据主权对国家的重要性不言而喻，但对社会、企业和个人而言意义也十分重大，关注微观层面相关主体的利益需求，才能发现确立数据主权为社会发展带来的实际效益，也有利于保障数据主权法律政策的真正落地。

就保护模式而言，目前学界对国外的保护模式研究居多，且以美国和欧盟为主要研究对象。当前研究集中表现为对域外法律政策文本的介绍、解读以及对域外经验的借鉴。具体而言，对美国和欧盟法律政策的分析较为全面、具体、详细，对其他国家保护模式的介绍则相对较少，内容也比较简单、浅显，这也是未来可以重点关注的研究对象。另外，在数据领域，国家之间通过签署多边协定，实现合作共赢是将来数据主权保护发展的重要方向。日前我国与东盟合作新近签署了《区域全面经济伙伴关系协定》，在数据流动规制理念上有着不同于欧美范式的重大突破，但内容方面仍属于框架式。因此，有关数据跨境的国际协同合作模式，治理规则的完善以及与其他国家的协调适应等理论研究有待进一步推进。

就保护路径而言，数据主权作为国家主权的新形式，理应率先开展顶层设计，再进行制度细化，最后落实到具体操作，真正落地实践。一方面，在宏观层面，通过对当前面临的国际国内形势、大数据发展动态等现实情况开展深度调研考察和定量分析，对我国数据主权面临的国际国内环境有一个清醒、理性的认识，在此基础上确立数据主权的保护方向，厘定数据主权的范畴，开展相关制度设计。另一方面，在微观层面，关注数据主权相关领域的制度建设，让法律制度不断细化、完善，确保制度与实际情况相匹配。除此之外，还要落实到实际效果之中，对数据主权制度实践效果开展调研，及时调整不适当之处。

4.2未来研究展望通过上文的系统性分析及评述可以发现，数据主权保护作为一个复杂的系统性工程，今后研究仍需要从以下几方面进行拓展与完善，以期进一步提升数据主权的保护效果。

a.强化数据主权安全教育研究。数据时代，微博、Twitter等数字媒介产品成为国家间意识形态斗争的新阵地，通过数字媒介强行输出价值观念成为数据霸权的重要表现形式之一，文化渗透会在不知不觉中威胁我国数据主权文化安全[42]。当前研究对数据主权安全教育的关注较少，学界应当加强数据主权安全观教育的实践路径探索。帮助人们树立正确的数据安全观，甄别并抵制西方思潮的渗透。针对不同群体开展有针对性的宣传教育，如对于认知不够成熟、情感易冲动且思想和行为易受国外思潮影响的大学生，利用好课堂教学，以数据主权安全作为核心议题开展授课及课程讨论。利用专题教育网站、微信公众号、微博等网络平台进行舆论宣传和引导，占领舆论阵地的制高点，加深大学生们对数据安全的理性认识。对于城镇、农村中的基层人员，比如留守妇女、老人、儿童等群体，探索通俗易懂的宣传方式，增强他们的数据保护意识和防控能力，保证基层社会的数据安全。此外，还可以就数据主权的相关议题开展实证调研，通过调查问卷、座谈交流等方式，发现思想意识领域存在的问题，及时采取相应的补救措施。

b.建立企业数据合规制度。目前我国已经出台了《网络安全法》《数据安全法》和《个人信息保护法》，厘定了数据保护的基本框架。企业作为数据处理过程中的重要一环，如何实现个人数据合规和数据跨境流动合规是当前亟待研究的重要课题[43]。在国内层面，企业需要根据现行法律调整自身内部管理制度，确保个人数据的收集和使用合规。国家也可以尝试探索建立行政合规激励机制和刑事合规激励机制，对于建立有效数据合规的企业减轻行政处罚、达成行政和解，或不采取影响企业正常经营的强制措施、作为法定减轻或从轻量刑情节等等。在国外层面，跨国企业在国际贸易中如何实现数据合规是一个更具体系性和复杂性的课题，若要实现这一目标需要多方主体参与。事前企业应开展国际合作，通过签署企业间协议或者标准合同搭建合作桥梁。一旦出现合规问题，要积极采取多种方式进行补救，TikTok事件就是通过沟通化解的典型案例。除此之外，政府也要积极维护本国企业的海外利益，阻断长臂管辖，维护我国数据主权。

c.提出数据主权国际合作的中国方案。随着数据全球化的不断深入，开展数据全球治理，及时回应数据跨境流动面临的新问题，探寻数据跨境流动的新路径以及数据主权合作的新模式成为当前亟待研究的新课题。目前世界上主流的数据跨境流动范式由美国、欧盟等西方国家主导建立，其主要目的是使全球范围内更多的数据流向本国，进而掌控越来越多的数据资源。这一范式与当前我国倡导的“共商共建共享”数据合作治理理念大相径庭。因此，我们应当在反思与借鉴的基础之上，融合现有制度体系，提出数据跨境流动和数据主权国际合作的中国方案。目前我国已经签署RCEP，申请加入《全面与进步跨太平洋伙伴关系协定》(简称CPTPP)，未来我们应当进一步完善国内数据立法，与各成员国及其他相关国家加强数据领域的合作，借助多边或区域合作平台提升自身的国际影响力，推动建立多元共治的数据治理体系，构建数据治理的国际新秩序。