基于领土性的数据主权理论证成及治理
2023-03-16高国柱
高 岚,高国柱
随着科技的不断进步,数据作为触及大国经济命脉的战略资源的重要性日益凸显。数据资源自身的战略价值早已引起了主权国家的高度重视。为了获取和利用这些宝贵的数据资源,主权国家在政治和技术等方面都积极布局,以期在国际竞争中占据优势。在政治层面,各个主权国家积极参与数字领域的全球治理,制定数字化战略和政策,以推动本国数字经济的发展和国际数字经济的合作。在技术层面,加大对数据科技研发的投入,不断创新和突破,以取得在数据竞争中的优势。但是在法律层面,对数据主权的具体含义在理念和建构路径上仍然存在着较大的分歧。
在当今的国际法学、网络法学和国际关系学的各种理论说辞中,对“主权”一词的解读已经非常普遍,也有研究关注数据的私人所有权、财产权。①刘辉、夏菁:《数据交易法律治理路径探析》,载《海峡法学》2022 年第1 期,第82 页。公法和私法对数据的研究范围常常交叉、重叠,对主权问题的探讨缺乏统一共识。偶尔落入国际法的研究领域中,呈现出国际法色彩较弱的局面。不仅如此,关于主权的论证浮于对原则的平铺直叙,致使产生对于主权问题是否为当今国际交往中最根本和核心的问题的怀疑。主权问题作为国际公法中最核心的基本理论问题之一,特别是在涉及到主权问题时,应该被提升至应有的重要地位,为国际法的发展留有足够的叙事空间。②Hermann Heller,David Dyzenhaus,Sovereignty:A Contribution to the Theory of Public and International Law,Oxford University Press,2019,p.140.有鉴于此,本文旨在从国际法理论的角度,考察当前数据主权的论证所面临的困境。进而,对当下的数据主权理论进行修正,并提出适用于我国的数据主权建构的方案,以期为我国在全球化数字时代的发展提供法律支持。
一、对主权概念的叙事性检视
人类在其本性上天生就是一种政治动物。①[古希腊]亚里士多德著:《政治学》,吴寿彭译,商务印书馆1983 版,第7 页。在由政治动物组成的场域里,势必会生成一种终极地位,这种终极地位在民族国家的语境下的表述就是“主权”。汉语“主权”中的主,指君主、国王的意思。英语中的主权(sovereignty)来自古法语soveraineté,其基本含义是威严与权威。该古法语又源于中古拉丁语superanus,意为“上级”。②[英]理查德·伯克、昆廷·斯金纳主编:《历史视域中的人民主权》,张爽译,格致出版社2021 年版,第1 页。进一步探究主权一词的具体内涵,可以追溯到十六世纪法国政治思想家让·布丹(Jean Bodin)的《君主六论》。《君主六论》用法语写就,随后布丹本人将其翻译成拉丁语。无论何种语言版本,sovereign 意指国王,所谓主权,其本意就是王权。③Oisin Keohane,“Taking Exception to Translation?Paragraph”,Translation and the Untranslatable Vol.38(2),2015,pp.245-260.布丹在亚里士多德的主权观念——最高权力和威权统治的基础上系统地阐释主权的特性,④陈序经著:《现代主权论》,张世保译,清华大学出版社2010 年版,第20 页。即:至高的、绝对的、不可分割的和永久的。他认为,君主是上帝的世俗偶像,主权即君王王权。由于王权代表国家,所以这一理论为王权张目,得到皇室或王室的青睐。布丹所认为的,主权的所有者享有立法、宣战和媾和等权利,王权理应高于封建割据贵族王公的地方性权利,的确有利于当时的国家统一。虽然有些学者将布丹的主权理论简单概括为“绝对主权”,进而否定布丹对当今主权学说发展的积极意义。但是,鉴于布丹所处的诸侯割据的历史环境,本文仍旧认同布丹的主权理论所具有的现实作用。主权是一个关于政治权力如何行使的概念或主张。⑤Francis.Harry.Hinsley,Sovereignty,Cambridge University Press,1986,p.1.十六、七世纪,主权主要通过君主行使;在现代,主权来源于人民的意志,主要通过国家行使。就此而言,布丹的理论对于解释当今的主权问题仍然具有基础理论价值。
几个世纪以来,主权的内涵在不同维度上一直在扩张。自15 世纪地理大发现以降,主权国家的管辖范围从最初以陆地为主,逐渐横向扩展至海洋、空气空间。1919 年,《巴黎协定》确立的领空主权原则将国家主权的行使范围纵向延展至海平面以上100km 处。⑥通说认为,海平面100km 处为外层空间的起始线。1945 年,《联合国宪章》重申国家在国际法律体系中平等、合法的地位,主权国家有权自主签订条约。⑦[英]戴雪著:《英宪精义》,雷宾南译,中国法制出版社2001 年版,第148 页。自此以后,主权不仅仅是个政治话语概念。不过,受制于《外空条约》的外空不得据为己有原则,国家主权的管辖范围并没有因为苏联第一颗人造卫星Sputnik-1 的升空而向外层空间扩展。从此,领陆、领海和领空三个领域鼎立一同构成了主权的控制范围,也即:领土空间。
网络空间是由计算机网络所构成的虚拟空间,因此在物理层面上并没有明确的边界。对此,约翰逊和珀斯特曾建设性地提出网络空间是不同于有物理标记和现实边界的领土。⑧Jack L.Goldsmith,“The Internet and the Abiding Significance of Territorial Sovereignty”,Indiana Journal of Global Legal Studies,Vol.5(2),1998,pp.475-478.可是,主权行使范围并不必然以物理边界为限。1996 年,约翰·巴洛发表错误的言论:“网络空间并不受制于任何物理限制且游离于传统的主权”,⑨[美]约翰·佩里·巴洛著:《网络空间宣言》,李旭、李小武译,载《清华法治论衡》2004 年第4 辑,第509~511 页。在此后三十年受到了来自联合国、各国政府和学者的重新检视。2003 年,联合国信息社会世界峰会第一阶段会议在日内瓦通过《日内瓦原则宣言》,其中第49 条第1 款明确指出:“与互联网有关的公共政策问题的决策权是各国主权”。⑩参见《日内瓦原则宣言》第49 条第1 款。这是联合国正式确认网络空间主权的权威文件。从此,“网络空间构成无法律自由区的论点将不再受到重视”。①Sean Watts,“Low-Intensity Cyber Operations and the Principle of Non-Intervention”,Baltic Yearbook of International Law,Vol.14(1),2015,pp.137-167.数据在网络空间中传输和存储,也是网络空间得以实现信息交流和共享的关键所在。作为网络空间的主要组成部分之一,国家理应对数据享有主权。本文试图从概念研究、规范分析的角度切入,对以往研究中涉及的空间、领土和主权概念进行分析性审视,以满足我国对建构数据主权理论的现实需求。
二、数据主权的国际法理论分析
(一)领土性:数据主权的前提
1.领土性的内涵
领土体现一定社会结构。②[英]斯图尔特·埃尔登著:《领土论》,冬初阳译,时代文艺出版社2017 年版,第4 页。转引“萨克主张领土性质是一种社会结构,在竞争和互动中形成,而且被各种社会关系全程渗透”,作者埃尔登在本书中的主张之一是,领土不仅是政治术语,而且它的技术属性在领土的发展中有着不可磨灭的作用;把领土看作是封闭的空间和固定的边界的观点是历史的产物。领土是一个由国家或其他主权实体所控制和管理的特定区域。在这个区域中,权威机构通过制定和执行法律规则、社会规范和道德准则,约束群体成员的行为,形成一定的社会结构。领土具有领土性。领土性(territoriality)在《布莱克法律词典》中被解释为“用于表示与特定国家或地区的联系或限制”,③Henry Campbell Black,M.A.,Black’s Law Dictionary,West Publishing Co.1968,p.1642.是一个涵盖主体、物质、现象、过程和关系等方面的概念,体现了一种通过空间来实现控制的规范关系,④Josef Weinzierl,“Territoriality Beyond the State:The EU’s Territorial Claims and the Search for Their Legitimacy”,German Law Journal,Vol.22(4),2021,pp.650-672.也是一种限制空间和社会的媒介、工具,⑤Robert D.Sack,“Human Territoriality:A Theory”,Annals of the Association of American Geographers,Vol.73(1),1983,pp.55-74.暗含着空间上的分类。领土性的建构过程是通过人们的互动和竞争而形成的,是社会关系的全程渗透。因此,领土性的形成和存在基于一定的社会结构和关系,而该社会结构和关系反过来影响和塑造领土性的发展和演变。领土性是人类社会建构领土的能力,是一种社会结构,不是领土本身。这种能力具体表现为权威在有形或无形的空间内互动占有、控制相关物体或目标。尽管领土是国际公法上广泛使用的一个概念,但《联合国宪章》并未对其定义进行明确直接的规定。领土性概念更未见于任一国际法文件。实践中,国家却表现出极强的建构领土的能力。在国际层面上享有完全支配和处分的排他性领土权利,在国内对领土享有绝对统治权。⑥周鲠生著:《国际法》,商务印书馆2013 年版,第321 页。
2.网络空间的领土性
领土可以被概念化为空间。雅克·列维(Jacques Lévy)绘制八个领土概念,其中之一的含义和用法附和笛卡尔的论证,即空间具有数学几何的抽象性、外延性,并且领土可以与抽象的空间概念等同并互换使用。⑦Joe Painter,“Rethinking territory,Antipode”,A Radical Journal of Geography,Vol42(5),2010,pp.1090-1104.空间作为领土的上位概念可以拥有更广泛的场域,甚至包括更为抽象的空间。⑧黄志雄:《国际法在网络空间的适用:秩序构建中的规则博弈》,载《环球法律评论》2016 年第3 期,第6 页。
“网络空间(cyberspace)”一词最初出现在上个世纪六十年代的视觉艺术中,当时丹麦艺术家Susanne Ussing和她的合作伙伴建筑师Carsten Hoff 假名“Atelier Cyberspace”创作了许多拼贴画作品。⑨See Wikipedia.Cyberspace,http://en.wikipedia.org/wiki/Cyberspace,访问时间:2023 年3 月22 日。随后,网络空间作为流行语开始出现在1982 年出版的《Omni》杂志中。赛博朋克科幻作家威廉姆·吉布森于他的短篇小说《燃烧的铬》中略有提及此术语。最终,在他1984 年创作的科幻小说《神经漫游者》中,将该术语真正用于指代计算机网络。⑩The Cyberpunk Project,Burning Chrome,http://project.cyberpunk.ru/idb/burningchrome.html,last visited on Mar 22,2023.自此以后,威廉·吉布森的“网络空间”概念便正式应用于计算机科学、互联网和虚拟现实。
网络空间一语由“(网络)cyber”和“(空间)space”两个单独的概念组成。网络是一个广义的概念,它包括电信网、物联网、传感网、工控网、广电网等不同类型的网络。这些网络的运行模式大致为,通过物理或虚拟链路连接各个端节点,从而实现端节点间的载荷(即数据)交换。①方滨兴、邹鹏、朱诗兵,《网络空间主权研究》,载《中国工程科学》2016 年第6 期,第1 页。尽管科学家对网络的概念有着清晰的界定,但出于本国利益的考虑,不同国家对网络空间的定义却存在着明显的差异。例如,美国官方认为,网络空间是指相互依赖的信息技术基础设施网络。意大利则规定,网络空间是一个主要由信息通信技术节点和网络所组成的人造域。以色列对网络空间定义包含设施、数据和活动三个要素,并将人作为构成网络空间的组成要素之一。我国方滨兴院士则主张采用和俄罗斯较为接近的四要素定义法,即将网络空间定义为“一种人造的电磁空间,其以终端、计算机、网络设备等为载体,人类通过在其上对数据进行计算、通信来实现特定的活动”。②方滨兴、邹鹏、朱诗兵:《网络空间主权研究》,载《中国工程科学》2016 年第6 期,第2 页。电磁空间显然不同于传统的具有物理边界的领土空间,因为电磁空间没有明确的物理边界。如果用“领土的延伸”来表述网络空间,似乎有些差强人意。在“利比亚—马耳他大陆架”案中,国际法院根据法律和国家实践确认领土的自然延伸的内涵。国际法院认为,领土的自然延伸是由距离标准决定的,自然延伸和距离标准是相互补充的存在。③See LIBYAN ARAB JAMAHIRIYA/MALTA.1985 ICJ Rep.13.para.36.网络空间作为人造的电磁空间,似乎无法体现出与物理形态的领陆、领海、领空等领土之间在距离标准内的自然延伸。因此,“网络空间是领土的自然延伸”这一表述的内在动力不足,缺乏强有力的逻辑支撑。不过,这并不意味着网络空间不具备领土性。尽管网络空间无法体现出领土的自然延伸,但它作为一个独立的信息空间,与现实世界的领土有着密切的联系。其领土性表现为,用户通过计算机和网络设备等载体实现特定的活动,权威在网络空间内互动,对用户的活动进行有效的监督和管理。申言之,网络空间领土性关涉主体、物质、现象和过程,是权威通过空间实现监管能力的体现。社会关系全程渗透其中,人们的互动和竞争建构领土性。相较于物理空间,网络空间具有一定的虚拟性,但并不完全虚拟,必需基础设施的支持运行。网络空间所依赖的基础设施,如服务器、光缆和计算机等,表明它无法彻底脱离物理设备而独立运行。无论真实的物理空间还是虚拟的网络空间,都是空间。
3.基于领土性的网络空间主权证成
一些自由主义者认为,网络空间不存在主权或者由代码自行治理。④[美]劳伦斯·莱斯格著:《代码2.0:网络空间中的法律》,李旭、沈伟伟译,清华大学出版社2009 年版,第299 页。那么,最终管理和控制这些代码的是哪个主体,这些代码储存的服务器最终又是被哪个国家政府真正控制?⑤RSSAC023:History of the Root Server System,https://www.icann.org/en/system/files/files/rssac-023-04nov16-en.pdf,last visited on Mar 22,2023.这仍旧涉及国家主权问题。各国国家的社会制度、意识形态和价值观念不尽相同,如果无法就基本问题达致共识,将有可能导向前主权时代的全球秩序的失衡。但并不会像有些学者主张的那样,绝对性地导致网络空间的“巴尔干化”。⑥Andrew Keane Woods,“Litigating Data Sovereignty”,Yale Law Journal,Vol.128,pp.328-406.网络空间主权的理论基础在于,它是国家主权在网络空间的自然延伸和表现。⑦《网络空间主权:国家主权的自然延伸和表现》,http://www.cac.gov.cn/2017-08/07/c_1121443864.htm,访问时间:2023 年3 月22日。国家信息化专家咨询委员会委员、国家行政学院教授汪玉凯在接受《网络传播》专访时强调,“网络空间主权,是指一个国家在建设、运营、维护和使用网络,以及在网络安全的监督管理方面所拥有的自主决定权。网络空间主权是国家主权在网络空间中的自然延伸和表现,是国家主权的重要组成部分。作为国家主权的延伸和表现,网络空间主权集中体现了国家在网络空间可以独立自主地处理内外事务,享有在网络空间的管辖权、独立权、自卫权和平等权等权利。”《塔林手册2.0 版》将网络空间分为四个层次:物理层、网络层、应用层和人类行为层。其中,物理层是指由硬件设备构成的基础设施层,包括通信网络设备、服务器、存储设备等。①Michael N.Schmitt:Tallinn Manual 2.0 on the International Law Applicable to Cyber Operation,Cambridge University Press,2017,p.15.这些设施和设备存在于一国领土管辖范围内,因而,国家对领土内的基础设施、运营接入点及其场域内产生的电磁波信号所形成的网络空间享有主权。国家对与网络空间相关联的用户、物质和交互关系进行监管。概言之,国家对网络空间享有主权基于网络空间的领土性特征。
自由主义的网络空间无主权论从人权保护的角度反对权威对网络空间的干预,坚持网络自治、代码治理。②[美]约翰·佩里·巴洛:《网络空间宣言》,李旭、李小武译,载《清华法治论衡》2004 年第4 辑,第509~511 页。但是,这种以美国为主导奉行的网络空间为法外之地的“全球公域说”,既无理论依据,又无事实基础。我国倡导网络空间国家主权。2010 年6 月国务院新闻办公室发布的《中国互联网状况》明确指出“中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护”。这是管辖权属地原则、属人原则和保护原则的结合运用。2015 年,“网络空间主权”首次写入了立法。③参见《中华人民共和国国家安全法》第25 条。此外,2016年,《中华人民共和国网络安全法》开宗明义地重申维护网络空间主权和国家安全的必要性。尽管法律并没有对网络空间主权给出明确的定义,但两部法律均透露出立法者的意图,他国应该给予中国网络空间主权事宜充分的尊重,本国政府有权力维护网络空间的合法性。此后,网络空间主权是“一国基于国家主权对本国境内的网络设施、网络主体、网络行为及相关网络数据和信息等所享有的最高权和对外独立权”的主流观点逐渐成型。④黄海瑛、何梦婷、冉从敬:《数据主权安全风险的国际治理体系与我国路径研究》,载《图书与情报》2021 年第4 期,第17 页。网络设施在这种语境下指的是,电缆、光纤、发射塔、卫星等基础设施和计算机、手机、服务器等终端设施。我国法律明确规定国家是网络基础设施建设的重要推手,数据基础设施的建设被列为国家重要战略之一。⑤参见《中华人民共和国数据安全法》第14 条。这种通过强调国家对基础设施和用户的实际控制能力并由此建构网络空间主权的论证已然成熟。此外,如前所述,以网络空间领土性为起点的分析也为网络空间主权的意涵扫清了理论和逻辑障碍。
(二)可建构性:数据主权存在的现实进路
数据是网络空间的主要组成部分,是以电子或其他方式对信息的记录,⑥参见《中华人民共和国数据安全法》第3 条。这种对信息的记录需要通过物理或虚拟链路实现交换行为。数据并非自然界生成,也不是法律概念,但却是事实存在于计算机的二进制系统中、以补码的形式存储的表现形式,是信息的载体,也是构成信息的基础性要素。数据具有多重利益价值,涉及公民个人隐私的数据兼具人格利益和财产利益,互联网企业对其收集的原始数据经过分析处理后,享有数据的财产利益。个人、集体对数据享有的利益并不与国家的监管行为和规制行为相冲突。⑦Joel Trachtman,“Cyberspace,Sovereignty,Jurisdiction,and Modernism”,Indiana Journals of Global Legal Studies,Vol.5(2),1998,pp.566-581.一直以来,我国践行《世界人权宣言》和其他人权国际规范所规定的人权和基本自由,积极履行保障国家安全和公共利益的首要之责,避免与个人权利产生矛盾对立。相当一部分数据因包含个人信息,使其不仅承载经济价值,而且具有人身属性,落入人权保护的范畴。当国家因国家安全行使数据管辖权而不得不调取公民个人信息时,可能面临国内法的制约。例如,美国联邦调查局就曾要求苹果公司协助提供涉嫌制造恐怖袭击的嫌疑人的手机数据,但被苹果公司以保护用户隐私权和个人信息安全为由抗辩。⑧See United States District Court for the Central District of California,Order Compelling Apple,Inc.To Assist Agents in Search,No.ED15-0451M.
数据理论百家争鸣。各家对数据权、数据主权、数据权利的意涵理解各异。这些分歧折射出在建立数据主权的道路选择上的差异,增加国际文件的制定困难。主权的基本内容包含多个面向:对内最高权威、保障国家安全、独立处理本国事务、防止侵略的自卫权以及法律地位上的平等。国家对数据的控制权和管理权展示了国家主权的独立性和自主性。主权的意涵在国际上已逐渐趋于统一,但是数据主权的理论意涵仍需要厘清。
1.一些局限性
在我国学界讨论中,数据主权是上位概念,包含国家数据主权和个人数据主权。①Joel Trachtman,“Cyberspace,Sovereignty,Jurisdiction,and Modernism”,Indiana Journal of Global Legal Studies,Vol.5(2),1998,pp.566.也有主张以数据权为上位概念,数据主权(包括数据管理权和数据控制权)和数据权利为两个分支,探讨数据权利中的数据人格权和数据财产权及其各自的外延和内涵。②肖冬梅、文禹衡:《数据权谱系论纲》,载《湘潭大学学报(哲学社会科学版)》2015 年第6 期,第70 页。数据人格权契合欧盟《通用数据保护条例》(以下简称为“GDPR”),并被我国《个人信息保护法》充分吸收。个人数据权利在于,个人自然地拥有对数据的知情同意权、数据修改权、数据被遗忘权等数据人格权。③肖冬梅、文禹衡:《数据权谱系论纲》,载《湘潭大学学报(哲学社会科学版)》2015 年第6 期,第70 页。企业对所收集的数据享有一定的权利,其理论基础源于洛克的财产劳动说。从经济社会利益的角度,企业在积极收集整理并利用数据方面投入了巨大的人力和物力资源。对此,国家为了鼓励企业营利的积极性,促进经济稳健发展,专门出台对企业数据权利的保护政策。④龙卫球:《再论企业数据保护的财产权化路径》,载《东方法学》2018 年第3 期,第52 页。2022 年,国务院印发的《“十四五”数字经济发展规划》明确指出“……以数据为关键要素……加强数字基础设施建设”。⑤参见《国务院印发<“十四五”数字经济发展规划>》,http://www.gov.cn/xinwen/2022-01/12/content_5667840.htm,访问时间:2023年3 月22 日。企业数据权利的设计反映出国家事实上对企业的依赖:作为第一道防线,企业收集、设计、生产和销售数据产品,同时也面临着不可预测的网络攻击。⑥Luciano Floridi,“The fight for digital sovereignty:what it is,and why it matters,especially for the EU”,Philosophy&Technology,Vol.3,2020,pp.369-378.无论是个人数据权利还是企业数据权利,数据财产权本质上是一种新型的权利形态,具有经济属性。⑦龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017 年第4 期,第63 页。遗憾的是,这一看似高度尊重私权利的制度设计却隐含着一些固有的内在缺陷,也忽略了数据作为国家主权客体的适格性。
第一,绝对私权的构建与数据本身的性质不符。数据具有重复利用且不会被减损的非竞争性和非排他性特征。⑧See Jillian C.Wallis,Elizabeth Rolando,Christine L.Borgman,“If We Share Data,Will Anyone Use Them?Data Sharing and Reuse in the Long Tail of Science and Technology”,PLoS ONE,Vol.8(7),2013,https://journals.plos.org/plosone/article/file?id=10.1371/journal.pone.0067332&type=printable,last visitedon Mar22,2023.绝对私有化数据财产权减弱市场参与者对数据的有效利用,一定程度上减缓了社会经济的发展。第二,《民法典》疏于对私有数据财产权的界定和规定。确立于罗马法时期的“对物权(iura in rem)”一方面秉承有物必有体和物权法定的理念,另一方面又确立了以权利为客体的无形体物的概念。⑨[古罗马]查士丁尼著:《法学总论》,张启泰译,商务印书馆2020 年版,第62 页。目前学界对数据的权利归属仍存在争议。有学者认为,数据本身的无形性和网络空间的虚拟性并不妨碍将其拟制为物。不过这样一来,《民法典》第127 条对数据的引致条款:“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,⑩王利明:《论数据权益:以“权利束”为视角》,载《政治与法律》2022 年第7 期,第100~102 页。似乎有些力所不及。在承认个人、企业既有的数据权利的前提下,本文主张国家数据主权。国家数据主权并非主权概念的“过度”体现,数据主权理论的逻辑起点是主权理论在数据领域的自然延伸,也可以视为数据世界的独立主权。①谢卓君、杨署东:《全球治理中的跨境数据流动规制与中国参与——基于WTO、CPTPP 和RCEP 的比较分析》,载《国际观察》2021年第5 期,第109 页。
2.应然性和实然性:数据主权化的国际法需要
从网络空间主权到数据主权的论证路径,并非基于薄弱的“空间意象”。②文禹衡、戴文怡:《数据主权安全能力成熟度评估应用研究——以DSSCMM 模型应用于中国的评估为例》,载《图书与情报》2021年第4 期,第39 页。数据主权的主体是国家。国家行使行公权力对境内数据进行治理和利用数据治理属于行政法范畴。③查云飞:《大数据检查的行政法构造》,载《华东政法大学学报》2022 年第1 期,第60 页。在国际层面上,国家与其他国际法主体不分大小、强弱,平等地商谈和制定与网络空间有关的国际法规则、原则。国家依赖公法身份的网络治理是数据主权的基础和数据权能得以展开的法律依据。④徐玉梅:《身份意义与权能意义:国家数据主权治理法治化》,载《行政论坛》2021 年第6 期,第37 页。国际数据主权体系的建设,有助于保护和管理数据资源,从而促进国家和地区的经济发展和社会进步。数据主权化可以加强对跨境数据流动的监管,避免数据泄露和滥用,保护国家信息安全。在国际层面,目前已经有相关法律规定,如欧盟GDPR,但是这些规定还不能完全解决数据主权化所带来的问题。因此,需要国际社会进一步制定相关的国际法律法规,以保护和管理国家和地区的数据主权。具体来说,需要制定涉及数据主权化的国际公约、协议等法律文件,明确国家对于本国数据资源的主权权利和义务,加强跨境数据流动的规范和监管。
类比领海、领空主权命题,外国船只在沿海国领海享有无害通过权,一国民用飞机在提前获得他国批准的情况下可以享有第一航权之领空飞越权。反观数据主权,《网络数据安全管理条例(征求意见稿)》第35 条指出,数据处理者因业务等需要确需向境外提供数据的,应当通过国家网信部门的数据出境安全评估,其中“提前获批”的内在法律逻辑似与第一航权“提前批准”规定并无二致。在网络空间的语境下,国家主权的独立性在于,在遵守国际法和其他国际文件的前提下,本国可以不受他国意志干涉独立自主处理本国数据,甚至有权禁止他国利用应用程序违法收集本国用户数据。在全球化背景下,一国对本土数据的独占性管辖权很难跨越数据本身无限复制的障碍,难以回避数据跨越国境流动的治理问题;巨量性数据产生的即时性和网络攻击的危害性给国家的监控工作带来挑战。不过,这些窘境恰恰是国家行使防卫权的原因。国家对危害国家安全、公共安全的外来网络攻击、威胁以及网络犯罪具有防卫的权利。因此,数据主权有其现实意义,也符合国际法的应然规则。
三、数据主权的国际治理
主权是具有法律意义的词汇,没有主权就没有国家,就没有国际法。⑤Malcolm N Shaw,The International Court of Justice and the Law of Territory,Oxford University Press,2013,p.150-176.数据主权不是一种幻觉。国际社会对国家主权的普遍认可,也是数据主权的必然性基础,为数据主权的实现带来了可能。数据主权的国际治理是一个极其复杂的问题,涉及国家间政治、经济、文化等多个领域。从国际法的角度来看,数据主权的基础是国家主权。国际社会广泛认可并尊重国家主权,因此数据主权也被视为国家主权的延伸。不同国家在数据主权的理念和实践上也存在着巨大的差异,这也是导致国际数据治理难以协调一致的主要因素之一。
(一)碎片性、重叠性、协同性:国际法在网络空间的适用
1.自卫权和不干涉内政原则的适用
国家主权和关于主权的国际规范和原则适用于国家在其领土内对信息通信技术基础设施的管辖权。①General Assembly,Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the C ontext of International Security,UN document A/68/98, 24 June 2013,para.20.管辖权的行使根据数据所在国家的法律。②Leo Hippelainen,Ian Oliver and Lal Shankar,Towards Depend Detecting Geolocation of Cloud Servers,Springer International Publishing,2017,p.643-656.国际法和《联合国宪章》不仅适用于各个国家的信通技术,也对促进创造开放、安全、和平和无障碍信通技术环境具有至关重要的作用。③General Assembly,Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security,UN document A/68/98, 24 June 2013,para.19.国际法上对于数据主权性的规定是碎片化的。2003 年,《日内瓦原则宣言》声明,与网络空间有关的公共政策的“决策权”是国家的主权。2005年,《突尼斯议程》再次重申,涉及互联网公共政策问题的“决策权”属于国家主权。一国的公共政策的制定权是国家主权的基本内容,属于一国内政,与《联合国宪章》中确定的不干涉内政原则相契合。申言之,《日内瓦原则宣言》和《突尼斯议程》是对《联合国宪章》中不干涉别国内政的重申和确认。不过,渗透、降级和破坏一国网络设施的网络攻击是否可以被定性为侵犯别国领土主权的使用武力,以及受此网络攻击的国家是否拥有自卫的权利,答案是模糊的。《联合国宪章》第2 条第4 款的本意是不得使用武力或者以武力相威胁,或者与任何联合国宗旨不符的任何其他方法,侵害任何会员国或者国家的领土完整,但对于“其他方法”则指代不明,仅泛泛规定为“不得与联合国宗旨不符”。国际上对于该条款的解释未能达成一致。发展中国家的态度早在《联合国宪章》拟定的初期已表明,他们将武力扩大解释到政治或经济手段。但是,这种解释受到了质疑,施密特认为这种扩大解释挑战了非法胁迫和合法外交压力之间的界限。④Julius Stone,Conflict through Consensus: United Nations Approaches to Aggression,The Johns Hopkins University Press,1977,p.87-104.以美国为主的发达国家主张狭义解释,即武力就是军事手段,因为动用军事力量是一种容易观察到的强制手段。在索尼影视娱乐公司遭受来自朝鲜的黑客攻击后,美国政府认为本国的领土主权受到侵犯,公民的自决权等其他受美国法律保护的基本权利受到侵犯。朝鲜政府认为,美国政府对该事件的指责是一种政治挑衅和压迫,黑客攻击仅仅是一次正义的行动,目的是抵制索尼公司拍摄的一部涉及朝鲜的电影《刺杀金正恩》。最终,法院并没有针对朝鲜政府做出具体的法律裁决,而是美国政府对事件调查后,认定朝鲜政府参与了该黑客攻击,将其界定为网络犯罪行为,并对朝鲜政府采取一系列的制裁措施。⑤Clare Sullivan,“The 2014 Sony Hack and the role of International Law”,Journal of National Security Law & Policy,Vol8(3),pp.4 37-468.可见,如果网络行动的严重性、即时性、直接性和侵入性足以对一国国家安全产生威胁,那么,可类比传统的军事攻击。⑥Michael N.Schmitt,“Computer Network Attack and the Use of Force in International Law:Thoughts on a Normative Framework”,Columbia Journal of Transnational Law,Vol37(885),1999,pp.914.在实践中,绝大多数国家针对远在“使用武力”的阈值以下,持续、低级别的网络攻击较难行使自卫权。在国际法和习惯国际法严重落后的情况下,较难认定任何未经授权的网络入侵是否会构成侵犯目标国的主权。与国际法基本原则相比,国际社会的讨论一向侧重于如何将具体规则适用于国家资助的网络行动,冲突解决模式的改变对国际法规则提出了调整的需求。尽管逐案评估成为判断主权是否受到侵犯的现实操作,但是案件结果的随机性和不确定性给法律实践带来较大阻碍。
不干涉原则适用于一国的网络行动。如果一国的强制行为剥夺目标国在行使主权职能方面的自由意志,迫使目标国在保留的事项上做出让步和妥协,不干涉原则应该予以适用。但是如何适用是一个持续争论的议题。不仅这方面的法律不明确;各国在援引该法律或如何描述该法律时也常常模棱两可。各国在国际法如何适用于国家的网络活动方面缺乏一致意见,造成了适用法律的不确定性。
目前,一国针对另一国的敌对网络行动愈演愈烈,而且这些行动的数量和规模都在增长。①See Cyber Operations Tracker,https://www.cfr.org/cyber-operations/,last visited on Mar 22,2023.如果网络行动造成人员伤亡、物体损坏,那么网络行动可能构成宪章下的使用武力或武力相威胁。②United Nations Charter,Art.2(4),https://www.un.org/en/charter-united-nations/,last visited on Mar 22,2023.但在实践中,绝大多数网络行动都发生在使用武力的门槛以下,系持续的、低级别的入侵,这些入侵往往没有明显的物理影响。以前,国家将这种性质的网络攻击归咎于特定行为者(无论是国家、代表国家行事的代理人还是独立于国家行事的非国家行为者)非常具有挑战性,因为攻击者利用位于不同司法管辖区的多台服务器隐藏身份。不过,技术的发展为各国提供了更大的能力来准确溯源网络攻击的源头。③James A.Green,Cyber Warfare:A Multidisciplinary Analysis,Routledge,2015,p.61-72.
2.管辖主体的多元性、重叠性
管辖权是国家的一项基本权利,是“国家根据国际法对特定的人、物和事件进行管理或者施加影响的权力”。④曾令良、江国青主编:《国际公法学》,高等教育出版社2021 年版,第121 页。在大数据时代,数据的产生、存储和使用主体的多样化往往涉及多个管辖主体。数据本地化存储模式要求,国家对产生和存储于境内的数据行使管辖权。《俄罗斯联邦个人数据法》第4 条、第18 条即是对数据属地性的完全阐述。
谷歌等大型科技公司的数据中心全球化分布的态势致使数据的生产主体、利用主体、通信基础设施和经营主体位于不同国家的领土范围内,属地管辖主体因此具有多元性。以本地化存储模式为基础,我国将主权范围辐射至存储于境内的数据,数据所存储的物理介质通常位于较为确定的司法管辖区域内。别国无权自行收集产生和存储于我国境内的数据,以保障数据安全。有时,面对同样采取数据本地化存储模式的国家,我国在未经别国许可的情况下亦无法收集位于别国境内服务器中的数据。
美国意识到数据本地化存储的缺陷后推出《云法案》,数据本身的无形性和流动性特点可以突破传统物理空间限制。美国选择了最密切联系这种“相当灵活”的、不以地理性的联系为要素作为连接点,霸权性地主张美国政府有权监管或者控制任何由在美国的服务提供商拥有、监管或控制的数据,不论这些数据地理位置如何。并且,扩大解释了属人管辖的内涵:对于非美国本土的境外的、由美国控制的数据享有绝对的属人管辖权。如前所述,数据本地化存储模式和数据控制者模式存在根本性矛盾。采用数据控制者模式的美国会将管辖范围延伸至主张数据本地化存储的国家境内。不过,国家在选择数据本地化存储模式和数据控制者模式时,并非采用二选一的非此即彼策略。例如,比利时、丹麦、芬兰、德国、俄罗斯、瑞典和英国都要求一定范围内的财务数据存储在本地;澳大利亚和美国要求将健康记录存储在其境内。⑤Jyh-An Lee,“Hacking into China’s Cybersecurity Law”,Wake Forest Law Review,Vol.53(57),2018,pp.57-104.
3.多国利益集团主导的协调治理
2011 年,中俄同塔吉克斯坦、乌兹别克斯坦代表致函联合国,呼吁《信息安全国际行为准则》草案的落实,将尊重国家的网络主权列为各国网络空间行为的国际准则。2015 年,中国连同上海合作组织成员国常驻联合国代表再次致信联合国秘书长,提交了修订的《信息安全国际行为准则》,重申与互联网有关的公共政策问题的决策权是各国的主权。2016 年,中国和俄罗斯《关于协作推进信息网络空间发展的联合声明》再一次重申了网络空间国家主权的原则。此外,俄罗斯联邦的国内立法也围绕数据主权原则确立保护数据安全的这一要义。
2019 年9 月联合国大会期间,英美等27 个国家发表了《关于在网络空间促进负责任的国家行为的联合声明》,游说联合国成员国“不断形成”“有关网络空间负责任的国家行为的框架”并“支持基于规则的国际秩序”,主张“保护自由、开放和安全的网络空间”,要求“那些与这一框架背道而驰的国家承担责任”。英国和美国在内的几个国家都主张基于效果的侵犯主权行为。任何未经授权的入侵一个国家的网络基础设施的行为,应该存在一定的伤害,无论是物理伤害还是功能损失。如果一国未经另一国的同意在另一国的网络中安装恶意软件,这并不侵犯其主权,也并不违反国际法。如果恶意插入软件而没有实际后果,不属于使用武力的范畴。①参见《关于在网络空间促进负责任的国家行为的联合声明》,https://china.usembassy-china.org.cn/zh/joint-statement-on-advancingresponsible-state-behavior-in-cyberspace-zh/,访问时间:2023 年3 月22 日。
(二)数据主权后的中国因应
数据作为承载信息的关键要素,具有极其重要的经济、政治和社会价值,是国家不可或缺的战略资源。然而,数据主权理论众说纷纭。如何对数据进行国际治理,已然成为一个亟待解决的国际难题。在理论上,需要借助网络空间主权的理论框架进行分析,从网络空间具有“领土性”的角度看,基于领土性的数据主权的必然性结论证成有望成为解决这一难题的有力抓手。我国一向主张基于国际法的国际秩序。主权作为国际法中的焦点问题,在不存在完全禁止数据主权的绝对性理由的前提下,通过法律手段实现数据主权这一目标有望成功地塑造现行国际法框架,拨正如现实主义者所言的,国际法的出现只是“附带现象”。
1.稳健求进的战略布局
领陆、领海、领空等物理空间之内存在一国主权。鉴于网络空间的虚拟性和无边界性,其主权理论的建构基于国家或地区对特定空间的控制或限制。数据作为网络空间中最主要的组成部分之一,其领土性映射出的社会结构是人类社会建构领土的能力。这种能力具体表现为权威在一定有形或无形的空间内互动占有、控制相关物体或目标。虽然,在形态上,物理空间和虚拟空间略显不同。但是,二者的领土性内涵别无二致。国家主权原则因而可以直接适用于网络空间主权和数据主权,这也与我国长期以来坚持的国家立场相契合。
目前,我国已经建立较为健全的中国特色网络法治体系,数据治理已然成型。对于在中国境内进行的数据处理活动及其安全监管,应该适用我国的《数据安全法》。所有在中国境内进行数据处理的个人、组织或企业都必须遵守该法律。对于在中国境外进行的数据处理活动,如果这些活动损害了中国的国家安全、公共利益或公民、组织合法权益,那么将会受到中国法律的追究和惩罚。②参见《中华人民共和国数据安全法》第2 条。我国政府将通过法律手段来保护本国公民、组织和国家的数据安全。作为负责任大国,我国以身作则地营造基于法律的国际秩序。在已然稳健的数据主权战略布局下,我国稳中求进地迈向对数据的战略控制,确立对数据实施分类分级保护制度的目标。③参见《中华人民共和国数据安全法》第21 条。2022 年,中共中央国务院出台的《关于构建数据基础制度更好发挥数据要素作用的意见》指出,在国家数据分类分级保护制度下,类型化地建立公共数据、企业数据、个人数据的分类分级确权授权制度。这是我国对数据分类分级保护制度这一目标的初步落实。今后,我国可以采取穷尽列举的方式,对各国达成共识的数据类型进一步规范化;而后,将概括性的描述作为非穷尽列举的兜底条款。
2.积极寻求与未来伙伴达至理念范式的统一
我国是负责任大国,一直以来秉持着建立以国际法为基础的国际秩序的理念。自2021 年9 月正式向《全面与进步跨太平洋伙伴关系协定》(以下简称为“CPTPP”)保存方提出申请加入的书面信函后,我国一直积极按照CPTPP 的有关准入程序与各成员方进行磋商,在加入CPTPP 的过程中做出诸多努力。在经济改革和市场准入、知识产权和数字贸易、环境和劳工保护等方面与其他成员国进行多轮协商并作出相应承诺。在数字贸易方面,CPTPP 规定了数据自由流动的原则,成员国不能限制跨境数据传输和存储。而我国为确保个人隐私和国家数据安全,规定数据本地化存储。尽管在这些方面存在差异,但这并不意味着中国无法加入CPTPP。我国可以加强数据隐私保护,确保网络安全等方面的法律法规的制定和执行。同时,通过加强监管机制、提高技术水平等方式提高数据保护的水平,以获得其他CPTPP 成员方的信任。可以采取一些灵活的数据管理措施,实现在数据自由流动和数据保护之间的平衡。例如,在某些情况下允许数据跨境流动,但要求数据受到特定的保护,或者要求数据存储在特定的地理位置。①许清婷、陈明添:《数据流动豁免主体研究》,载《海峡法学》2022 年第3 期,第59 页。我国可以在国际上推动制定更为明确和统一的数据保护规则和标准,以便各国能够在数据自由流动和数据保护之间做出更好的平衡。通过积极参与国际组织和多边机制,推动国际数据规则的制定,可以使我国的数据管理措施与其他国家更为接近,从而有助于与未来伙伴共建以国际法为基础的国际秩序。
四、结语
数据的领土性特征为数据主权提供了逻辑起点,使得数据主权不仅仅是“基于空间的构想”,也不仅仅是作为网络空间主权、国家主权的下位概念而进行的简单逻辑推演。数据主权不是对主权概念的过度延伸,相反,是国家主权的自然延伸。我国一直主张网络空间主权,坚持数据本地化存储。然而,仍然遭到一些国家竭力的反对。作为主张网络空间主权的主要大国,我国有责任在基于国际法的国际秩序中发挥更积极的作用。在国际舞台上,我国应该持续倡导国际社会尊重各国的数据主权,并通过多边合作机制加强国际数据治理的规范化和协调化。同时,我国应积极推动和参与制定相关国际公约和准则,促进数据安全和数据主权的全球化治理。在国内方面,我国应该加强立法和执法力度,建立健全数据安全和隐私保护法律体系,保护个人和企业的数据权益。总之,构建以数据主权为核心的、基于国际法的国际秩序是全球数据治理的大势所趋。我国应该积极投入到其中,为构建一个更加安全、稳定、公正、可持续的全球数据治理体系展现大国应有的担当。
