印度数据本地化:网络利益边疆的碰撞与机遇
2022-07-02戴永红陈思齐
戴永红 陈思齐
【内容提要】 2020年6月29日至年底,印度曾四次宣布禁止中国的应用软件,前后超过200款中国手机应用程序进入禁止名单,其中的一大理由便是存在跨国企业对数据安全保护不当而引起印度国家安全问题的风险。近年来,印度政府为了提高数据安全,开始提倡数据本地化,并构建自己的网络利益边疆。这一做法在国际社会引起了诸多争议。其一,数据本地化并不一定能减少数据泄露,提高数据安全;其二,数据本地化在一定程度上阻碍了数据的跨境流通,给跨国企业带来了利益损失,影响了全球经济的发展。然而,印度构建网络利益边疆看似对中国海外利益边疆有负面影响,实则暗含共同的发展机遇。
2020年6月29日至年底,印度曾四次宣布禁止中国的应用软件,前后超过200款中国手机应用程序进入禁止名单,其中的一大理由便是存在跨国企业对数据安全保护不当而引起印度国家安全问题的风险。近年来,印度政府为了提高数据安全,开始提倡数据本地化,并构建自己的网络利益边疆。这一做法在国际社会引起了诸多争议。以美国企业为首的西方跨国互联网巨头纷纷对此表示反对,在印发展的中国企业也直接或间接地受到损失。同时,这也是中国海外利益边疆在印度“数据保护”过程中遭遇的一次激烈碰撞,而且是一次典型的、发生在无形的信息空间中的网络利益边疆碰撞。(1)吉鹏、许开轶:“政治安全视阈下网络边疆协同治理的困境及其突破路径”,《当代世界与社会主义》,2019年第4期,第170-177页。2020年,新冠肺炎疫情在全球范围内暴发,世界被迫加速进入逆全球化周期,经济民族主义在不同国家亦有加强趋势。由于民族主义在全球范围内的异动,各国的利益边疆也随之变动,多次产生碰撞。现有文献已经有对“利益边疆”这一概念的系统性的、成熟的论述,但尚未有文献利用这一概念寻找解决现存问题的方法,并对实例个案进行分析。(2)G. Gallegos,“Border Matters:Redefining the National Interest in U.S.-Mexico Immigration and Trade Policy,” California Law Review,vol.92,no.6,2004,pp.1729-1778.(3)杨成:“利益边疆:国家主权的发展性内涵”,《现代国际关系》,2003年第11期,第17-22页。根据现有的知识体系,中印网络利益边疆的碰撞属于双边国家利益竞争形态。(4)陈崇仁:“全球化转型背景下的经济民族主义与利益边疆——生成逻辑、现实路径及影响”,《经济问题探索》,2020年第461期,第182-194页。此类形态中一般分为利益分离、利益碰撞、利益重叠三个阶段。本文将从这三个阶段出发,分析中印网络利益边疆的形成与碰撞的过程,并探寻潜在的解决办法。不同于既有研究,本文中的“利益重叠”不是指碰撞化解后受全球化影响的结果,而是指国家间利益调适达成的双边共识部分。
一、从“利益边疆”到“网络利益边疆”
“利益边疆”这一概念起源于20世纪80年代末的美苏冷战末期。从1989年开始,东欧剧变和苏联解体导致很多欧洲国家边界发生变化。美国边疆研究学者萨多夫斯基·史密斯(Sadowski-Smith)指出,美国以冷战结束为契机,在冷战结束后不断重新定义“美国国家利益”这一概念。(5)Sadowski-Smith C.,“US Border Theory,Globalization,and Ethnonationalisms,” Diaspora:A Journal of Transnational Studies,vol.8,no.1,1999,pp.3-22.冷战前美国及其盟友将“第二世界”(6)此处为英语语境中的“第二世界”,泛指社会主义国家及其“盟友”,具体包括苏联、中国、古巴、南联盟等。的部分社会主义国家抹黑为“法西斯分子”,而冷战结束后这些国家则被列为“中东恐怖分子”,被视为美国的主要敌人。另外,由于这一时期许多东欧国家在政治、经济上均有着极大的不确定性,大量移民和难民从东欧涌出,迁徙到西欧乃至美国。北大西洋公约组织(简称“北约”)在1999年4月批准了一项新的战略构想(Alliance's new Strategic Concept),将“不受控制的大规模人口流动”确定为军事“危机干预”的充分理由,从而正式承认国际移民和难民潮是一类新的安全挑战,为其在同年3月对南联盟发动的大规模轰炸补充理由。
1997年,两位美国学者斯科特·迈克尔森(Michaelsen S.)和大卫·约翰逊(Johnson D. E.)共著了《边界理论:文化政治学的局限》一书。书中主要讨论的“边疆”已经从水泥沟、钢铁墙、铁丝网一类的“硬边疆”(hard border)转变为基于民族主义和文化本质主义(7)文化本质主义认为每种文化都有一种超时空的本质,并倾向于基于文化差异将人分为不同群体。的“软边疆”(soft border)。(8)Michaelsen S. and Johnson D. E.,Border Theory:The Limits of Cultural Politics, Minneapolis:The University of Minnesota Press,1997,pp.12-26.之后加布里埃拉·加列戈斯(Gallegos.G)在2004年指出,西方大国将国际移民潮和难民潮视为对本国国家安全的挑战有两方面的原因。一方面,西方大国与移民来源国的贸易政策和移民政策相互交织发展,导致大规模移民给西方国家带来经济冲击。另一方面则是出于对本土种族主义的国家利益的理解以及对边境人民国家概念(以墨西哥为例)的排斥。因此,国家利益也是“软边疆”的一大组成部分。(9)Gallegos G.,“Border Matters:Redefining the National Interest in U.S.-Mexico Immigration and Trade Policy,” California Law Review,vol.92,no.6,2004,pp.1729-1778.到2016年,托马斯·奈尔(T. Nail)在他的《边疆理论》一书中指出,“不能再简单地将边疆理解为民族国家之间的地理划分。如今,它们的形式和功能已经变得更加复杂”。(10)Nail T.,Theory of the Border,Oxford:Oxford University Press,2016, pp.13-31.
由于利益外溢出自身国界,西方大国在其冷战叙事中使用了“利益边疆”的概念,并在尚未构建利益边疆的地区无序扩张。整套西方大国的行为逻辑背后都透露着过度的民族主义色彩,而这亦可以从其文献中略窥一斑。例如,加布里埃拉·加列戈斯指出的“对边境人民的国家(以墨西哥为例)概念排斥”(11)Gallegos G.,“Border Matters:Redefining the National Interest in U.S.-Mexico Immigration and Trade Policy,” California Law Review,vol.92,no.6,2004,pp.1729-1778.,但是当“边疆”“邻国”的适用对象转为民族相近的国家,如加拿大时,西方学者则更多地讨论加强跨境利益联盟的方法。另外,有少许拥护霸权主义和新殖民主义的学者认为,民族国家将随着全球化的发展逐渐消亡,而“国家利益”是弱小国家是维护自身发展所找的借口。
在国内学者中,“利益边疆” 概念最早出现在2003年学者杨成的文章中。杨成提出,这一概念涉及政治、军事、经济、文化、信息技术等领域,并与国家安全息息相关。(12)杨成:“利益边疆:国家主权的发展性内涵”,《现代国际关系》,2003年第11期,第17-22页。此后,于沛分析了美苏冷战结束后的地缘政治变化,并指出在美国建立以其为主导的单极霸权体制,以图谋求全球霸权的过程中,西方边疆理论完成了从“地理边疆”到“利益边疆”的演变。于沛同时强调,全球化是利益边疆形成的不可或缺的条件。(13)于沛:“从地理边疆到‘利益边疆’——冷战结束以来西方边疆理论的演变”,《中国边疆史地研究》,2005年第2期,第31-38页。王西华分析了利益边疆的超越性、变动性、不确定性、建构性和交互融合性等特征,并指出利益边疆以及全球化给传统的防御力量策略带来了不容忽视的挑战。(14)王西华:“全球化时代的国家利益边疆与积极防御战略的转换”,《南京政治学院学报》,2011第27期,第42-45页。
在利益边疆理论的运用方面,周平于2014年提出可以运用此概念来界定中国的海外利益。周平认为,利益边疆是基于全球化背景下国家间利益交换后,国家利益外溢出领土范围的结果;中国应该顺势而为,通过建立自己的利益边疆来应对别国利益边疆的扩展。(15)周平:“中国应该有自己的利益边疆”,《探索与争鸣》,2014第5期,第22-26页。朱碧波进一步指出,中国的海权建设将构成利益边疆建设的重要一环。(16)朱碧波:“论中国利益边疆的当代困境与安全建构”,《创新》,2016第2期,第39-46页。刘春呈和夏鹏在方法构建和策略维护等方面为“我们应该如何建立有中国特色的利益边疆”这一问题提供了具体的解决方案。(17)刘春呈:“全球化时代中国利益边疆的构建”,《云南行政学院学报》,2018年第6期,第38-45页;夏鹏:“中国利益边疆的建构逻辑与维护对策研究”,硕士学位论文,辽宁大学,2019年。
2020年,国内学者陈崇仁整理了双边和多边利益边疆的起源、发展及最终走向,为解决利益边疆的碰撞提供了思路。陈崇仁认为,利益边疆是经济民族主义的输出,前者是后者是的反馈,两者都受国际秩序的作用力影响。在全球化初期,各国的国家利益还未能产生外溢,因此各国之间处于利益分离的状态。随着国家利益向外不断延伸,双边和多边的利益冲突时有发生,此时需要国家间、国家组织间进行利益调适,最终化解冲突。(18)陈崇仁:“全球化转型背景下的经济民族主义与利益边疆——生成逻辑、现实路径及影响”,《经济问题探索》,2020年第461期,第182-194页。
随着互联网的日益发展,这一概念也逐渐衍生出“网络边疆”的子概念。根据吉鹏、许开轶的定义,“网络边疆”是“一国划定的属于本国主权管辖范围内的网络空间,是传统边疆‘界线’在网络空间的自然延伸,也是现实主权在网络虚拟空间符合逻辑的投射”。与“利益边疆”相比较,“网络边疆”具有前者的诸多特性,但是从传统的、有形的空间转换成了无形的第五空间(the Fifth Domain),即网络空间(Cyberspace)。这一概念因此也在本文中被称作“网络利益边疆”。在网络利益边疆的构建中,有价值的新数据成为了国家间争夺的重要对象。(19)吉鹏、许开轶:“政治安全视阈下网络边疆协同治理的困境及其突破路径”,《当代世界与社会主义》,2019年第4期,第170-177页。
二、印度网络边疆利益的扩张
印度数据市场环境一直受到信息安全问题的困扰。近年来,印度恶性数据泄露事件屡次发生。2016年,由于日立支付服务系统遭受恶意入侵,来自印度主要银行的320万张借记卡遭到破坏,交易损失近1300万卢比(2016年为19.5万美元)。(20)Shukla S. & Bhakta P.,“3.2 million debit cards compromised; SBI,HDFC Bank,ICICI,YES Bank and Axis worst hit,” The Economic Times,20 October 2016,https:∥economictimes.indiatimes.com/industry/banking/finance/banking/3-2-million-debit-cards-compromised-sbi-hdfc-bank-icici-yes-bank-and-axis-worst-hit/articleshow/54945561.cms,2 Apri 2016.2017年,印度电信运营商Reliance Jio 1亿多用户的数据被泄露,其中包括姓名、手机号、电子信箱、SIM激活日期等信息,甚至还包括印度公民唯一身份号码(Aadhaar Number)。(21)Team Entrackr,“Largest data breach in India:Reliance Jio users data leaked on Magicapk,” 9 July 2017,https:∥entrackr.com/2017/07/largest-data-breach-reliance-jio-users-data-leaked-on-magicapk/,4 April 2022.2019年1月,印度国家银行(SBI)一台位于孟买数据中心的未受保护的服务器发生数据泄露事件,泄露数据包括客户的手机号码、部分账号、余额和交易详细信息等。(22)Zack Whittaker,“India's largest bank SBI leaked account data on millions of customers,” TechCrunch,30 January 2019,https:∥techcrunch.com/2019/01/30/state-bank-india-data-leak/,5 April 2022.同年4月,总部位于孟买的本地搜索引擎Justdial公司发生数据泄露,近1亿用户的姓名、手机号码、电子邮箱账户、职业和地址等详细信息被泄露。(23)Mohit Kumar,“Over 100 Million Just Dial Users' Personal Data Found Exposed On the Internet,” The Hacker News, 17 April 2019.2020年和2021年也相继发生了几起大规模数据泄露事故,涉及公司有BigBasket、 Unacademy、印度航空(Air India)和Domino's India等。(24)Pranav Mukul,“Explained:How big is the Bigbasket data breach,” 12 November 2020,https:∥thehackernews.com/2019/04/justdial-hacked-data-breach.html,5 April 2022.(25)Samreen Ahmad,“Unacademy data hacked,names and passwords put on sale:Security firm,” Business Standard, 8 May 2020.(26)Pranav Mukul,“Explained:What is the data breach that has hit Air India customers,” New Delhi:The Indian Express,27 May 2021,https:∥indianexpress.com/article/explained/air-india-sita-data-breach-explained-7325501/,20 April 2022.(27)Ankita Chakravarti,“Leaked data of Dominos India users now available on search engine created by hacker,” 24 May 2021,https:∥www.medianama.com/2021/05/223-dominos-data-leak/#:~:text=Data%20belonging%20to%20around%20180%20million%20users%20who,orders%20placed%20on%20Dominos%20India%E2%80%99s%20website%20in%202019,9 Aril 2022.
造成印度数据安全事故频发的原因主要有二。其一,印度拥有庞大的互联网用户量和信息数据来源。印度每个月都有5亿多人使用互联网,通过点击、滚动、滑动和下载,创造出大量的私人信息。(28)S. Poonam,S. Bansal,“Inside India's booming dark data economy,” 22 December 2020,https:∥restofworld.org/2020/all-the-data-fit-to-sell/,9 Aril 2022.同时,印度拥有庞大的监视行业,这成为印度数据的另一大来源。研究数据表明,在印度的100家网络安全领域的公司里,就有76家卖过监控相关产品,15家卖手机监控软件。(29)Mary Xynou,“The Surveillance Industry in India,” 2 March 2013,https:∥cis-india.org/internet-governance/blog/the-surveillance-industry-in-india-at-least-76-companies-aiding-our-watchers,9 Aril 2022.所提供的监控服务包括但不限于:大众监控、IP和语音监控、精准监控、手机监控、WIFI监控、远程拦截、反监控技术服务等。服务对象中有44.1%为执法机构或政府机关,35.3%为大型公司或机构,11.8%为互联网供应商(ISPs)和电信供应商(TSPs),8.8%为普通大众。这些信息和数据都有巨大的潜在经济价值,成为数据泄露者的极大动机。
其二,印度尚未建立强有力的法律体系来规避数据泄露。在印度,与数据安全相关的法律大致可分为两类:数据获取监管类和数据保护类。数据获取监管类法律旨在为执法机构、公共部门获取数据提供便利。早在1885年,当时的中央政府就颁布了《印度电报法》(Telegraph Act),用于电话拦截。(30)Centre for Internet and Society India and Privacy International,“The Right to Privacy in India:Stakeholder Report,” October 2016,https:∥uprdoc.ohchr.org/uprweb/downloadfile.aspx?filename=3913&file=EnglishTranslation,9 Aril 2022.在1996年之前,政府一直依据电报法来执行电话窃听。2000年印度出台了《信息技术法》(Information Technology Act),其中的第69条规定,在以保护国家安全为目的的前提下,可截取、监视和解密数字文件。该法第419A条规定,截取任何类别的信息只能由中央内政部部长或邦内政部部长下达命令。《1973年刑事诉讼法》(The Code of Criminal Procedure,1973)第91条也涉及对存储数据的访问,规定印度法院或警察局的任何官员可以传唤任何人,命其出示任何调查所需的文件或其他物品,为执法机构提供调取数据和个人信息的依据。问题在于,这些法律法规没有对数据记录储存执照的发放提供统一标准,也没有专门的权威机构来评判是否可以发放该执照。
相比之下,有关数据保护的法规则简单很多。仅有2011年出台的《数据保护规则》(Data Protection Rules)以及《信息技术法》第43条第A项提及的数据保护规定。随着近几年当局对数据保护的重视程度逐渐提高,2013—2014年,印度资讯科技常务委员会发表第52号报告书《犯罪、网络安全和隐私权》,但这些提议尚未被正式纳入数据隐私保护的法律体系。(31)The Standing Committee on Information Technology of India,“Cyber Crime,Cyber Security and Right to Privacy,”Feburary 2014,https:∥www.dsci.in/sites/default/files/documents/resource_centre/Standing%20Committee%20report%20on%20Information%20Technology.pdf,9 Aril 2022.目前,印度的数据泄露和交易处在一个法律灰色地带。根据印度法律法规,所有进行数据交易的公司都要经过认证,并在其网站或软件使用协议中包含隐私条款。但是绝大多数的公司都不表态其是否遵守了信息法规和标准,且只有不到四成公司在自己的网站上公布了隐私条款。
为了改善数据泄露,印度政府于2018年相继颁布了《电子药房规则草案》《2018年个人数据保护法草案》《印度电子商务国家政策框架草案》。细看这些草案,印度政府主要是从加强政府管控,方便政府从企业提取数据,提高企业的数据透明度等方面加强对数据的保护。2019年,Facebook在其“透明度报告”中表示,在要求Facebook提供用户数据方面,印度仅次于美国,排名世界第二。(32)Sangeeta Mahapatra,“Digital Surveillance and the Threat to Civil Liberties in India,” German Institute for Global and Area Studies,13 May 2021,pp.1-12.截至2021年5月,印度已有40多个政府部门可通过“高级社交媒体分析应用程序”(Advanced Application for Social Media Analytics)收集和分析各类社交媒体平台上的数据。
除了“数据保护”这一目的之外,2018年公开的这几项草案也表明了印度实施数据本地化的决心。2018年6月,印度储备银行曾在《关于发展和监管政策的声明》中明确指出,数据的境外存储无法被有效监督,因此无法保障数据安全性,进而无法满足执法需求。电信部门也要求本地存储和处理用户信息,并禁止转让与用户或用户信息有关的会计信息。
数据本地化是指限制数据跨地理边界自由流动的各种政策措施。随着互联网技术的发展,世界经济贸易经历了巨大的变化。这也带来技术驱动生产力的显著提高,并带动了数字经济的发展。数字经济的繁荣离不开对数据的获取、收集和分析,因此数据也被称为“21世纪的新石油”。谁掌握了对数据的获取权、收集权、分析权,谁就掌握了主动权和话语权。
各国对这些权利的争夺也推动着全球性的数字资本主义的发展,威胁着另一些国家的网络空间安全、互联网产业安全以及科技安全。面对数字资本主义驱动下的网络利益边疆扩张,数据来源国通常会有这三个安全方面的顾虑。在网络空间安全方面,当地数据若储存在外国服务器上,会给国家安全机构的数据访问和司法采证带来困难,同时也存在被监控的隐患。在互联网产业安全方面,外国公司有可能在未告知数据来源国的情况下利用已收集到的数据,以满足自己公司的目的(data exploitation),给数据来源国带来经济损失。此外,不受约束的数据跨境自由流通更容易导致全球性的数字行业垄断,国际互联网巨头一旦在数据来源国形成行业垄断,必定会给这些国家的本土互联网产业带来巨大打击。最后,由于互联网产品具有科技属性,互联网产业安全问题将会进一步导致科技安全问题。
印度提倡数据本地化本质上是在构建自己的网络利益边疆。其数据本地化主要有四个目的:便利司法取证,促进经济增长,防止外国监听监视,以及更好地执行数据保护法律法规。(33)A. Burman,U. Sharma,How Would Data Localization Benefit India,New Delhi:Carnegie India (working paper,pp.3-10),14 April 2021,https:∥carnegieindia.org/2021/04/14/how-would-data-localization-benefit-india-pub-84291#:~:text=Upasana%20Sharma%20is%20a%20program,allowing%20data%20to%20flow%20freely,7 May 2022.《2018年个人数据保护法草案》在以下9 个方面做出了详细的规定:诉讼管辖、执行原则、豁免情况的法律依据、数据管理者、数据监视与跨境流通、对数据委托人(data fiduciary,即收集或分析数据的实体)的要求、数据信任、数据获取分级和刑事犯罪处罚。同时该草案还设立了印度数据保护局(Data Protection Authority of India,DPAI),该机构将有权指导公司进行符合草案规定的活动或对其提出投诉。
印度提倡数据本地化势必会导致其与别国的网络利益边疆发生碰撞,因此在国际社会引起了诸多争议。抨击印度数据本地化政策的理由无外乎有两点:其一,数据本地化并不一定能减少数据泄露,提高数据安全;其二,数据本地化在一定程度上阻碍了数据的跨境流通,给跨国企业带来了利益损失,影响了全球经济的发展。数据本地化法案的提出以及之后的中国手机应用禁令,实质上是一种经济保护主义在疫情时期的体现,更是经济民族主义和利益边疆在数字经济领域中的延伸。
对于印方网络利益边疆的过度延伸,中国表达了反对,美国和欧盟反对之声尤为强烈。不过,三方反对的具体内容并不一致,解决利益冲突的方式也大不相同。2018年,以亚马逊、微软为首的美国科技巨头联合反对印度实施数据本地化。同时,美国参议员约翰·科宁(John Cornyn)和马克·华纳(Mark Warner)致信印度总理,反对印度政府的数据本地化要求。(34)Aditya Kalra,“U.S. Senators Urge India to Soften Data Localization Stance,” 13 October 2018,https:∥gulfnews.com/technology/us-senators-urge-india-to-soften-data-localisation-stance-1.2289497,10 April 2022.两位美国参议员要求印度总理莫迪在数据本地化的问题上采取温和立场,因为印度在这一问题上的政策将对在印美国企业产生不利影响。他们表示:“《数据保护法草案》《国家电子商务政策框架草案》中包含的数据本地化要求不利于跨国企业在印度开展业务,同时将阻碍印度实现自己的经济目标。另外,数据本地化也不太可能提高印度公民个人数据的安全性。” 美国-印度商业委员会主席尼莎·比斯瓦尔(Nisha Biswal)公开批评道,这项本该仅关注于个人隐私的法律牵涉其他方面,如要求社交媒体在个人信息安全中承担责任,她认为这些问题应该通过不同的立法处理。(35)A. Basu,J. Sherman,“Key Global Takeaways from India's Revised Personal Data Protection Bill,” 23 January 2020,https:∥www.lawfareblog.com/key-global-takeaways-indias-revised-personal-data-protection-bill,15 April 2022.此外,商务部长威尔伯·罗斯(Wilbur Ross)在新德里之行中指出,数据本地化限制了美国公司的发展,并强调需要消除这些限制。欧洲委员会也公开发表了相似意见。
与之相反,对于印度的数据本地化,在印的中国企业纷纷表示支持。阿里云总裁胡晓明在2018年阿里云计算会议上表示,会尊重有关数据安全和隐私的法律,且阿里云希望在所有国家进行数据本地化,以促进数据安全。2017年阿里巴巴在印度建立了首个数据中心,并联手印度智库Niti Aayog利用大数据和信息分析解决了印度的部分交通拥堵问题。阿里巴巴的城市大脑技术(City Brain)将用于收集数据、提供交互式仪表板和设置指挥中心。小米也同样用实际行动表达了对印度数据本地化的支持,将其在新加坡和美国的数据库转移至印度,并建立当地的数据中心。此外,腾讯云在2018年3月正式开放了其首个印度数据中心。
从中国企业的反应来看,虽然印度数据本地化会提高中国互联网企业在印度运营的成本,但中国商家愿意为此买单。因此在这一阶段,中印双方的互联网利益边疆并未发生激烈碰撞。直到2020年1月26日,印度政府以“对数据安全隐私保护不当引起了国家安全问题”为由,突然宣布要在同年6月禁用59款中国的手机应用程序。此后直至2020年底,印度一共宣布了4次禁用,总共禁用200多款中国手机应用程序。第一次在2020年6月29日,59款手机软件被禁止,包括最为大家熟悉的抖音、微信和UC浏览器。一个月后的7月29日又有47款中国手机软件被禁止。中国手机应用程序被禁数量最多的一次发生在同年9月2日,共有118款应用被禁,其中包括非常受欢迎的应用程序PUBG Mobile 和 PUBG Mobile Lite。 在所有这些禁令中,印度中央政府都声称被禁止的中国应用程序对印度的完整性和内部安全构成了风险。2020年11月24日,印方再次禁用43款中国手机应用程序。这一系列行为导致中印网络利益边疆发生激烈碰撞。中国外交部发言人明确指出,印度的“有关做法明显违背市场原则和世贸组织规则,严重损害中国企业合法权益。中方对此坚决反对”。(36)“印度再次宣布禁用43款中国APP,中方:坚决反对”,2020年11月25日,https:∥www.guancha.cn/internation/2020_11_25_572587.shtml?s=zwyxgtjdt,2022年3月11日。
三、中印网络利益边疆的重叠与共同发展的机遇
当两国利益边疆发生碰撞时,其中一方或者双方将不可避免地妥协,进行利益调适,从而避免利益边疆碰撞升级。在解决与印度利益碰撞的问题上,美国等西方国家采取了强硬交涉的方式,迫使印度在最终递交给议会审议的草案中做出了数据本地化相关规定的改变。原先《2018年个人数据保护法草案》中有一条“镜像条款”(mirroring provision),该条款要求在印度存储所有个人数据的实时服务副本,并限制所有 “关键个人数据”的任何跨境数据传输。(37)The Parliament of the Republic of India,“The Personal Data Protection Bill,” 2018,https:∥www.ibm.com/cloud/blog/indias-journey-to-personal-data-protection-and-data-privacy-law,3 May 2022.但在2019年12月正式递交给印度议会的版本中,这一“镜像条款”取消了。新版本只要求在印度境内存储“敏感个人数据”(sensitive personal data),且新版本中的此类数据范围也缩小到2018版“敏感个人数据”的一部分。(38)The Parliament of the Republic of India,“The Personal Data Protection Bill,” 2019,https:∥www.ibm.com/cloud/blog/indias-journey-to-personal-data-protection-and-data-privacy-law,3 May 2022.在满足某些特定条件时,敏感个人数据也可以转移到国外进行处理,例如已获得数据用户的明确同意,或者数据用户和数据处理者(fiduciary)已经就跨境数据处理签订合同或达成一致的内部计划,并且数据处理者承诺对一切可能发生的损失承担责任。
在印度与欧美的利益调适过程中,欧美政客的态度是居高临下的。他们在与印度对话过程中明确使用“要求”“警告”等词语,呈现出对印度国内政策强烈的干预意图。这样的行为体现出以美国为首的西方国家的霸权主义,以及特朗普政府“美国优先”(America First)的战略思想。在印度首次公布其数据本地化的政策之后,西方媒体与智库展开了对这些政策的广泛批评,称之为“过度的政府干预”(oversupplies government intervention)。他们强调,印度数据本地化会增加经济贸易的困难,但并不能很好地保障个人隐私安全,反而有可能增加国家对民众不恰当的监视(inadequate state power to surveil)。(39)Anirudh Burman,Will India's Proposed Data Protection Law Protect Privacy and Promote Growth,New Delhi:Carnegie India (working paper,pp.16-30),9 March 2020,https:∥carnegieindia.org/2020/03/09/will-india-s-proposed-data-protection-law-protect-privacy-and-promote-growth-pub-81217,9 May 2022.
除此之外,西方国家还在政府提取数据权限方面采取了“双重标准”。印度国家网络安全顾问古尔桑·赖伊(Gulshan Rai)博士指出,抗议印度拟议的数据本地化政策的国家实际上正在实施更为严格的政策,例如美国的《澄清境外数据合法使用法》(Cloud Act),以及欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR)。(40)“Nations protesting India's data localisation plans are implementing stricter policies in their own country,” 23 February 2019,https:∥economictimes.indiatimes.com/tech/internet/nations-protesting-indias-data-localisation-plans-are-implementing-stricter-policies-in-their-own-country/articleshow/68124806.cms,3 May 2022.美国2018年3月生效的《澄清境外数据合法使用法》更新了对美国司法机构提取国内个人信息要求,让这一过程变得更加简单,受到更少的约束。它还规定,无论数据是否存储在美国境内,服务供应商均应按照法律要求,对所持有、监护或控制的数据进行保存、备份和披露通信内容或记录等。(41)U.S. Department of Justice,“Promoting Public Safety,Privacy,and the Rule of Law Around the World:The Purpose and Impact of the CLOUD Act,” 2019,pp.3-5.这种毫不掩饰的霸权主义以及过度的经济民族主义值得西方互联网企业的众多数据来源国警惕。当然,印美双方碰撞的化解也离不开一些西方互联网公司如WhatsApp Pay,Google Pay,Mastercard对自身隐私政策的调适,并承诺遵守印度的政策。
在面对中印网络边疆碰撞问题时,我国势必不能采取美国的做法,主要原因有以下两点。首先,从中美两国在利益边疆碰撞中反对的内容不同可以看出,中印、美印利益边疆碰撞所涉及的利益程度有所不同。印度的数据本地化直接与美国的《澄清境外数据合法使用法》相违背,挑战了美国的霸权主义,并且极大程度上减少了美国在印发展企业的长期利益;而中国在印发展的企业很早就采取了本地化的措施,尊重当地数字安全,寻求互利共赢,且中国并不追求霸权主义。同时2020年的几轮涉及中国手机应用程序的禁令具有更短的实效性。在2021年9月,一些2020年被禁止的软件已经在“改名换姓”后重新回到了印度市场,并再次受到大众的欢迎。(42)Jaijit Bhattacharya,“Chinese Whisperers:Are Banned China Companies Making a Quiet Comeback in India,” Indian Defense News,7 September 2021,https:∥www.outlookindia.com/website/story/opinion-chinese-whispers/393796,3 May 2022.
其次,碰撞发生时的中印、美印双边关系亦有所不同。在2018年7月印度的《2018个人数据保护法草案》发布之后,美国曾两次向印度政府施压。第一次在2019年3月,美国认为印度不再符合普遍优惠制(Generalized System of Preference)标准,并撤销了印度的普惠制地位。(43)2018年4月,美国启动了对印度遵守普惠制(GSP)市场准入标准的资格审查,并于2019年3月决定印度不再符合该标准,撤销了印度的普惠制地位。终止普惠制意味着取消了印度对美国出口 56 亿美元商品的特殊关税待遇,影响了印度许多以出口为导向的部门,如制药、纺织品、农产品和汽车零部件等。第二次在2019年6月,特朗普政府通过媒体放出消息,声称正在考虑将任何“进行数据本地化”的国家的 H1B 签证的发放数量限制在发放总量的 15% 左右。(44)N. Dasgupta,A. Kalra,“US Tells India it May Cap H-1B Visas to Counter Data Localisation Plans”,20 June 2019,https:∥thewire.in/diplomacy/us-india-h1b-visa-data-localisation,3 May 2022.这将直接影响印度当时价值 1500 亿美元的 IT 行业,因为在此之前每年发放的8.5万个 H1B 签证中有 70% 流向了印度人。加之作为印度支柱性产业的IT外包服务业也将因此受到强烈影响,进而使本土的劳务市场变得不稳定。虽然这些强硬的手段让印度在数据本地化的具体条款上做出了让步,但印美之间仍然存在有关数据本地化的分歧,并且体现在印美贸易谈判方面。正是因为有分歧的存在,印美双边贸易谈判不断地陷入僵局,时至今日也未能达成双边贸易协定。
印度出台中国手机应用程序禁令首次发生在2020年6月底。此时正逢加勒万河谷冲突爆发,两军即将进行第三轮军长级会谈。这次中印边界的紧张局势始于当年5月初,两国在6月6日便已展开军长级会谈,但在6月15日依旧发生了加勒万河谷冲突,并于9月7日冲突再次升级,双方沿着“实际控制线”发生肢体冲突。在此期间,印度国内反华情绪一路高涨,出现了一波抵制“中国制造”的狂潮。此时出台的中国手机应用程序禁令无疑是对印度民众反华情绪的一种安抚。
此后的几次军长级会谈中,印方或是未能与中方达成一致,或是展示出较为强硬的态度。例如当年8月8日中印的第六次军长级会谈中,印方将6月加勒万河谷冲突的主要责任怪罪给中方,而在10月12日的第七轮会谈中印度更是提出“用BR计划对抗中国和巴基斯坦”,并扬言要给“中国和巴基斯坦上一课”。(45)“BR计划”是印度的一种军事计划。“B”指的是“毗湿摩”(Bhishma)坦克,也就是T-90主战坦克,“R”指的是“阵风”(Rafale)战机。冲突的转折出现在2020年11月6日的中印第八轮军长级会谈中。值得关注的是,这段时间恰逢美国2020年总统大选的结果统计。尽管投票结果由于疫情等因素未能如期公布,但是在这轮中印军长级会谈时,美国总统竞选人约瑟夫·拜登的选票已经超过唐纳德·特朗普的选票,而这次会谈的结果中包括“双方一致同意认真落实两国领导人达成的重要共识”的内容。
此后一直到2021年7月31日,中印双方还举行了4次同级别会谈。虽然并不是每次会谈都取得积极的、建设性的成果,但总体而言,中印边界西段实控线地区的紧张局势趋于缓解,也意味着中印网络利益边疆碰撞的解决迎来契机,因为印方通过禁令来安抚民众情绪的需求已经没有其在2020年6月时强烈。在这一背景下,中国采取类似于美国的强硬的解决策略并无必要。
对于印度的中国手机应用程序禁令,有国外媒体解读为“中美科技贸易冷战”或者“新冷战”中的“站边”行为。(46)Jia Vipra,“India has chosen sides in the US-China tech war,” NIKEEI Asia,7 July 2020,https:∥asia.nikkei.com/Opinion/India-has-chosen-sides-in-the-US-China-tech-war,8 May 2022.这种说法是谬误的,因为“中美是否处于一轮新冷战”尚有争议,而国内外学术界现在普遍讨论的还是“中美是否会进入新一轮冷战”这一议题。(47)陶文钊:“中美关系不是‘新冷战’”,《前线》,2021年第6期,第26-29页。(48)宋鹭等:“美国智库涉华研究的‘新冷战化’趋势”,《现代国际关系》,2021年第4期,第53-59页。另外,基于印度和美国在双边贸易上的谈判屡屡陷入僵局,以及结合印度之前的行为来看,印度在中美之间站边的可能性不大。在上世纪美苏冷战期间,印度首任总理尼赫鲁于1954年提出“不结盟”的倡议,为之后印度的外交政策奠定了基础。此后印度也一直是“不结盟运动”的领袖国家之一。
这次禁令本质上是印度“保护主义”在数字科技领域的体现,而且这并不是印度第一次实行保护主义。早在上世纪70年代,印度政府曾对跨国企业实行过限制和打压,迫使70年代初占据印度市场份额75%的IBM公司于1978年6月撤离印度。(49)戴永红:“试论印度软件发展政策的演变及启示”,《科技管理研究》,2005年第11期,第33-35页。印度政府迫于国内严峻的经济形势,想要扶持国内企业发展。另一方面,2020年6月印度新冠肺炎疫情失控,同时国内的国家主义、民族主义情绪高涨,此时对中方企业采取强硬措施可以很好地通过民族主义情绪的宣泄将群众注意力从由疫情引起的国内矛盾上转移开。总而言之,印度对中国手机应用程序的禁令不是新冷战的产物,中印网络利益边疆的碰撞也应该在中印双边关系的框架中寻求解决方法。
如图1所示,在现有理论中,利益边疆碰撞最终可以利益部分重叠的形式结束,因此比较可行的办法是通过分析寻找可能存在的利益重叠,达成双边共识,从而进行利益调适。而想要达成双边共识,需要先分析双方的诉求。这些诉求可以进一步分为与碰撞直接相关的诉求(简称“直接诉求”)和其他重要诉求(简称“重要诉求”)。这次碰撞中,印方的直接诉求是保护本地互联网企业,发展数据本地化。中方的直接诉求为,中国企业在印度市场能有稳定且相对公平的经商投资环境,被禁的手机应用程序也能重回印度市场。双方的直接诉求兼容性较小,所以我们需要分析双方的其他重要诉求,对比查看是否存在能与直接诉求兼容的部分。直接诉求的兼容和最大化满足是构成双方共识的基础,而对其他重要诉求的分析往往能发现求同存异的发展机遇。
图1 利益碰撞问题解决思路
目前,印度的一大重要诉求是降低失业率,改善国内经济情况。受新冠肺炎疫情影响,印度经济状况持续低迷。根据印度经济监测中心所发布的数据,印度失业率从2020年1月到2021年8月一直高于自1999年以来的历史水平。(50)Unemployment in India:A Statistical Profile,Jan-Apr 2021,Centre for Monitoring Indian Economy,2021,https:∥unemploymentinindia.cmie.com/,10 May 2022.(51)Unemployment in India:A Statistical Profile,May-Aug 2021,Centre for Monitoring Indian Economy,2021,https:∥unemploymentinindia.cmie.com/,10 May 2022.1999—2019年,印度年度失业率一直维持在5.27%到5.72%之间,但在2020年飙升至7.11%。从月失业率来看,印度在2020年1月已经增至7.22%,并随着第一轮新冠肺炎疫情的大暴发在同年4月达到最高值23.52%。虽然经过印度政府和各界的努力,印度失业率在2021年1月降至6.53%,但在同年5月又升高到11.9%。若中国互联网企业能在印度享有更加稳定的经商环境,无疑能为印度创造更多工作岗位,带来更多投资,进而缓解当地的经济困境。
而印度的直接诉求,即数据本地化,亦是中国的重要诉求。《中华人民共和国网络安全法》(以下简称《网络安全法》)的第37条明确规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。在印度政府推出《2018年个人数据保护法草案》时,很多中国企业也明确表示支持。但不论是中国的《网络安全法》还是印度的“2018草案”,其中对数据本地化涉及的概念名词都未做出详细明确的解释,缺乏标准定义。例如《网络安全法》中数据本地化部分的主要影响对象,“关键信息基础设施的运营者”(Critical Information Infrastructure Operators,CIIOs),就尚未有精确明确的定义。中印两国可以就诸如此类的概念和相关标准进行商讨,结合两国甚至更多国家的实践情况在标准的制定上达成共识。这样的共识对中印有诸多利好。首先,它可以让两国的数据跨境流通更加有序。其次,外来投资者也将在中印两国拥有更稳定的数字经济市场。再次,此类标准的明确与制定可以减少国际社会对数据本地化的误解。比如,中国数据本地化一直被不少西方国家视为对企业在中国存储其数据的强制性要求,误以为对所有数据的跨境流通都有限制。(52)Dehao Zhang,“China:Data localisation requirements,” July 2020,https:∥www.dataguidance.com/opinion/china-data-localisation-requirements,18 April 2022.
图2 利益调试过程
综上,如图2所示,中印双方各有可与对方的直接诉求利益重叠的重要诉求,意味着中印网络利益边疆的碰撞是可以化解的。首先,印度降低失业率的重要诉求和中方希望在印有较为稳定的经商环境的直接诉求存在利益重叠。其次,印度保护国内互联网企业,发展数据本地化的直接诉求和中方推广数据本地化,建立相关标准的重要诉求存在利益重叠。
四、中印两国达成共识的路径
中印两国达成共识的主要路径有二。其一,两国通过双边机制达成双边共识。双边机制包括中方与印方的直接对话、签定谅解备忘录、签定双边协议或协定等。双边机制能够更加有效率且更有针对性地探讨和解决中印双方的诉求。根据前文所述,中印双边对话可以本着互惠互利的原则,围绕两国数据本地化相关标准的形成展开,甚至拓展到“数字丝绸之路”(Digital Silk Road)的相关合作,以及其他可以帮助降低印度失业率的商业合作。印度此前也与别国在数据跨境传输的相关议题上达成过双边共识,例如印度与南非于2020年共同提出了关于电子传输关税的税收提案,旨在保障两国在商品数字化时代的财政收入。但是,中印通过双边机制达成的共识有可能与印度和别国的双边共识存在较大差异,影响力也较为有限。
其二,两国通过多边机制促成双边共识。在近年来中国参与的或将要参与的区域性多边机制中,“金砖国家”(BRICS)、《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP),以及正在申请加入的《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)都涉及隐私信息和数据的跨境传输。其中,“金砖五国”都对数据保护和数据主权有需求,并制定了相关法律。除中国、印度之外,巴西推出了《巴西通用数据保护法》,俄罗斯有《数据保护法》,南非也有《电子通信交易法》。2015年,金砖国家领导人第七次会晤签署了《乌法宣言》,标志着金砖国家在数字政策和网络安全问题上初步达成共识。2016年《果阿宣言》进一步讨论了金砖国家的数字合作领域。在此基础上,中印有可能与其他金砖国家在数据本地化方面达成更多共识,制定具有兼容性的国际标准。
RCEP和CPTPP都在其文件中明确加入了关于个人信息保护和数据跨境运输的条例。RCEP在第12章《电子商务》中对各缔约方的个人信息数据保护法律框架提出要求,“各缔约方应公布其向电子商务用户提供个人信息保护的相关信息”。(53)《区域全面经济伙伴关系协定》(RCEP),第12章,http:∥fta.mofcom.gov.cn/rcep/rcep_new.shtml,2021年9月18日。在网络安全方面,RCEP要求各缔约方不仅要认识到各自主管部门的能力建设的重要性,也要能利用现有合作机制,在与网络安全相关的事项上开展合作。在通过电子方式跨境传输信息方面,RCEP在肯定数据安全重要性和承认各国数据监管存在差异的同时,强调商业活动中数据跨境传输的重要性。文件内容呈现出对两者重要性的平衡,要求 “各缔约方不得阻止出于商业原因通过电子方式跨境传输信息的行为”,也阐述了出于公共利益考量的例外情形。由于大多数RCEP成员国与原成员国印度对数据本地化的态度较为一致,若RCEP成员国能在谈论数据安全与本地化的过程中延续一贯的平衡风格,并在具有实操性的条款上达成一致标准,这些标准的影响力很有可能辐射到中印的网络边疆利益调适。
CPTPP的前身是《跨太平洋伙伴关系协定》(Trans-Pacific Partnership Agreement,TPP)。其 “电子商务” 一章谈及“电子传输免关税”“个人信息保护”“跨境数据流动”“计算设施非本地化”“保护源代码”等颇具争议的议题,整体更偏向于减少数字跨境贸易的壁垒。为了缓解对于数据流通持谨慎态度的成员国的疑虑,CPTPP的多项条款都留有余地。例如,允许政府出于监管和安全目的要求企业公开源代码,在“个人信息保护的条款”中,加入“应考虑相关国际机构的原则和指导方针”和“增强不同体制内的兼容性”。(54)《全面与进步跨太平洋伙伴关系协定》(CPTPP),http:∥www.mofcom.gov.cn/article/zwgk/bnjg/202101/20210103030014.shtml,2021年9月18日。但是,通过CPTPP达成多边共识进而促进中印形成双边共识的方法存在太多的不确定性。第一,CPTPP的成员国对数据本地化的需求不够强烈,而以日本为代表的数字技术强国更是反对数据本地化的推广。第二,中国正式加入CPTPP的时间尚未确定,在正式加入时中印双方的诉求可能已经发生改变。第三,正在申请加入的国家还有英国,潜在的申请者还包括韩国、菲律宾。成员国的变动将会改变相关条款的实施,进而影响CPTPP中数字安全方面的多边共识。
综上,以上三个多边机制能促进中印双方达成共识的可能性大小依次是:BRICS>RCEP>CPTPP。但这并不意味着此次网络利益边疆碰撞最有可能在BRICS框架下被解决,也不意味最终在多边机制中被解决。多边机制通常存在以下三方面的缺陷。它虽然有更广泛的影响力,但因其涉及到多个国家,往往在制定标准和实施时受到更多阻力。有时仅仅因为谈判某些条款耗时太多,直接导致谈判失败。同时,通过BRICS、RCEP以及CPTPP中有关数据本地化的条款可以看出,多边框架中的条例往往无法如双边协定细致。除此之外,多边机制往往倾向于满足大型跨国公司的需求,而本土的小型企业常常需要自己承担因为多边框架变动导致的成本上升。这一因素也将牵制其对于印度的影响力。
但可以肯定的是,无论是通过双边机制还是某种多边机制,两种方法都存在自身的优点和缺点。尽管通过分析可以得出多边机制在促成共识上的可能性大小的比较,但目前很难就双边机制与多边机制实现共识的可能性大小给出定论。比较可能的结果是通过多边机制和双边机制的结合解决碰撞,并在实践过程中运用这两种方式的结合来进行双边利益调适。
结 语
印度的数据本地化政策出台与西方国家一向倡导的数据自由跨境流通相违背,因此引发了印美、印欧网络利益边疆的激烈碰撞。加上美国前总统特朗普在执政期间一直倡导和实践以“美国优先”为导向的、带有霸权主义色彩的政策,印度迫于H1B签证等压力改变了自己的数据本地化条款。同一时期,印度发起了对中国手机应用程序的禁令,前后一共4次禁用中国的手机软件,被禁手机应用程序数量多达200多款。联系2020年6月发生的中印加勒万河谷冲突,此次中印网络利益边疆的碰撞可视为两国实际边疆碰撞在虚拟空间的延伸,也是印度过度的民族经济主义和保护主义在疫情压力下的体现。需要注意的是,印度对中国手机应用程序的禁令并不是“中美科技冷战”中的站边行为,而美印之间的网络边疆利益碰撞一直持续到了此后的美印双边贸易谈判,且迟迟未能达成共识。
基于现有理论,利益边疆的碰撞可以通过利益重叠与达成共识来解决。通过对两国的直接诉求和重要诉求的分析得出,这种解决碰撞的方式是可行的,两国都存在利益调适的空间。印度经济的直接诉求和中国的重要诉求有极大的兼容性。受疫情影响,印度经济持续低迷,失业率居高不下,而中国企业能在印度创造更多的就业岗位。此外,印度的直接诉求,即数据本地化,也是中国的重要诉求。
中国和印度都是人口大国,众多人口的一举一动都产生着大量数据。因此,中印两国是人口大国的同时亦是数据来源大国,对数字主权的捍卫符合两大国的自身利益。在数字经济高速发展的今天,数据本地化尚缺乏具有国际影响力的准则体系。中印有需求,亦有责任推进相关体系的形成和落实。实现这一利益重合的途径包括双边机制途径和多边机制途径。两种途径各有优缺点,因此在实践中往往需要两者的结合。
总之,两国的网络利益边疆发生碰撞时,我们可以通过分析两国可以达成共识的部分诉求及其实现途径,进而推动两国的利益调适。由此可将利益冲突化解为更加稳定的利益重叠状态,避免进入零和博弈的双边模式。