我国数据主权的概念体系及其模型化研究

2023-06-23郑令晗郝嫚利

图书与情报 2023年2期

郑令晗郝嫚利

摘要：构建数据主权的概念体系和模型，不仅有助于推动我国数据主权的实践应用，还有助于向国际输出我国数据主权的自主话语体系。文章运用文本分析法和内容分析法，解构数据主权的概念内涵并提炼认知维度，在此基础上厘清概念间关系，最终构建概念体系并将其模型化。从认知维度可以推导出数据主权目的、数据主权性质、数据主权内容、数据主权特征、数据主权类型和数据主权场景六个相关概念，每个相关概念内部又存在诸如数据保护、政治主权、控制权、绝对性、硬数据主权和数据价值释放等其他概念。各概念的“实体-关系-属性”构成了数据主权概念体系与模型，数据主权概念体系中的各概念之间存在关联关系、整体-部分关系和属种关系，数据主权概念模型中的相关概念之间存在一对多关系和多对多关系。

关键词：总体国家安全观；数据主权；概念关系；概念体系；概念模型

中图分类号：D912.1 文献标识码：Ａ DOI：10.11968/tsyqb.1003-6938.2023025

Abstract Constructing the concept system and model of data sovereignty will not only promote the practical application of Chinese data sovereignty， but also contribute to exporte our independent discourse system of data sovereignty to the world. Text analysis and content analysis are used to deconstruct the conceptual connotation of data sovereignty and refine the cognitive dimension. On this basis， the relationship between concepts is clarified， and the conceptual system is finally constructed and modeled. From the cognitive dimension， six concepts related to the purpose， nature， content， characteristics， types and scenarios of data sovereignty can be deduced. Within each of these concepts lie other concepts such as data protection， political sovereignty， control， absoluteness， hard data sovereignty， and data value release. The "entity-relationship-attribute" of each concept constitutes the conceptual system and model of data sovereignty. Among the concepts in the conceptual system of data sovereignty， there are correlation relations， whole-part relations and species relations; among the related concepts in the conceptual model of data sovereignty， there are one-to-many relationship and many-to-many relationship.

Key words the overall national security concept; data sovereignty; conceptual relationship; conceptual system; conceptual model

2023年3月，中共中央、國务院印发《党和国家机构改革方案》，组建国家数据局负责协调推进数据基础制度建设。2022年12月，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《数据二十条》），指出“数据基础制度建设事关国家发展和安全大局”“统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设”。数据作为生产要素，在促进经济增长方面发挥着重要作用，但同时也是国家安全的“风险源”。相较于其他生产要素，数据具备产生即时性、使用非损耗性和非独占性的自然属性［1］，如果国家无法有效控制本国数据资源，数据很容易被动地流出境外，而数据荷载的信息和利益，轻则泄露个人隐私和商业秘密，重则危害国家安全和社会稳定，因此数据安全在国家安全体系中是重中之重。鉴于此，在传统主权之外，用于维护国家安全的数据主权概念应运而生。数据主权概念不仅是主权国家在网络空间对数据的权威地位反映，更是主权国家面临数字霸权所构建的制度性“防火墙”。在我国，涉及数据主权的政策可以追溯到2012年10月发布的《深圳市经济贸易和信息化委员会关于印发深圳市服务外包产业发展规划（2012-2015）的通知》，其要求在云服务外包中提供数据主权服务。时至今日，我国法律中尚未出现“数据主权”明文规定，政策也未就“何谓数据主权”作出明确定义或解释。

“概念比事实更有力量”［2］，构建逻辑自洽、要素齐备的数据主权概念体系，不仅有利于促进数据主权的学术表达、政策用语和法律术语的整体一致性，更有利于各领域有力地应用数据主权概念。如面对技术先发型国家不断扩张的数字霸权，如何通过制定法律或政策等建立相关数据主权制度来防御“数字霸权入侵”，需要理解数据主权概念目标、性质等，这有助于决策者决定采取防御型或进攻型的数据主权策略。党的二十大报告强调“坚定捍卫国家主权、安全、发展利益”，数据主权是在新时代对国家主权理论的发展和丰富。那么如何理解数据主权及其概念呢？学术概念往往是政策用语和法律术语的“演练场”，在没有数据主权概念的政策定义和法律界定之时，研究数据主权的概念及其模型正当其时。

1 研究综述

与传统主权、网络主权不同，数据主权不是一个空間架构，而是一个实体概念［3］。国内外学者通过不同的方式尝试阐释数据主权概念，有“主权比较型”“内容构成型”和“效力射程型”三种典型模式。

1.1 主权比较型

主权比较型，即通过阐释与其他主权关系来阐释数据主权概念。其一，部分学者主张数据主权是传统国家主权的延伸。如邓崧等认为数据主权是国家主权在网络世界和数据治理领域中的映射、延伸和运作，确保国家在国际上对本国数据拥有至高和排他的管辖权与控制权［4］；Kristina在政府云服务背景下讨论有关主权概念以及国家战略和国际政策演变，将数据主权概念定义为数据受其创造和存储地法律管辖的理念［5］。其二，部分学者主张数据主权是网络主权的构成要素之一。如漆晨航和陈刚认为网络内的数据安全是网络安全的从属概念，而数据治理所代表的数据主权，同样也是网络主权的构成要素［6］；Woods认为在互联网快速发展的背景下，网络主权强调占有管辖网络数据，因此逐渐分化出“数据主权”［7］。

1.2 内容构成型

内容构成型，即通过权力内容来阐释数据主权概念。如杜雁芸认为数据主权可以概括为一国对本国数据及本国国民跨境数据所拥有的所有权、控制权、管辖权和使用权，是国家数据主权和个人数据权利的总和，体现为对内的最高数据管控权和对外的数据处理权［8］；冉从敬和刘妍认为数据主权主要包含硬数据主权与软数据主权两大类别，体现了国家对境内网络设施、数据主体、数据行为和数据资源及相关数据产品等所享有的最高权威［9］；Filippi和Carthy认为云计算背景下数据跨境流动给主权带来了冲击，主张数据主权是数据所有者占有、使用和处分其数据的能力［10］。

1.3 效力射程型

效力射程型，即通过分析国内外效力范围来阐释数据主权概念。如王玫黎和陈雨认为数据主权对内应当是国家对反映国内主体活动内容的数据享有最高的排他性权力，对外应当是国家享有不受到任何外国干扰的权利以及独立平等地参与国际数据治理、开展国际数据合作的权利［11］；孙南翔和张晓君认为数据主权是国家对数据和与数据相关的技术、设备、服务商等所享有的管辖权和控制权，在域内呈现出最高管辖权，在域外体现为独立自主权和参与国际事务的合作权［12］；Addis认为现在处于一个互相依赖的时代，主权概念也根据时代的变迁出现了新的内容，在注重域内管辖的同时，更应该强调沟通与合作，这是主权概念应当拥有的含义［13］。

综上，部分文献侧重分析数据主权性质，却将传统国家主权、网络主权和数据主权三个概念交织在一起；部分文献侧重讨论数据主权内容，但内容“多而杂”，对比传统国家主权概念“不能反映主权的根本价值和基本特征，甚至有‘撕裂主权概念固有内涵的风险”［14］；部分文献侧重呈现数据主权效力，无非是对内对外效力，而且效力所及的对象也不一致。关于数据主权概念的认知，虽然学界已进行过不同角度的阐释，但是尚未达成基本共识，也没有廓清各内容之间的关系，现有成果没有将数据主权的概念体系化。鉴于“概念绝不仅仅是外部的装饰品，而且还是架起科学思想大厦的工具”［15］。本文拟以我国数据主权概念相关成果为样本，归纳各概念的最小公分母，构建我国的数据主权概念体系和模型，为构建我国数据主权规则和制度的“大厦”解决基础性问题。

2 研究设计

2.1 样本选择

本文选择中国知网为样本数据库来源。截至2022年12月1日，以“数据”AND“主权”进行篇名精确检索，限定学术期刊范围为“CSSCI”，共获取51篇主题文献。通过人工逐一校读文献，筛选出界定数据主权概念的文献25篇，其中两篇文献关于数据主权概念的表述重合而计作一条（见表1的S14），最后确定24条数据主权概念原句作为样本（见表1）。

2.2 研究方法

按照《术语工作-原则与方法》（ISO 704：2009）的规定，概念是现实世界的高度抽象，通过归纳客体的相似属性可以得出特征，这些特征又可以组建概念（见图1）。该研究思路已经成熟应用于数据利用［16］、数据安全［17］等的概念体系研究，数据主权的概念体系和模型构建实际上是为了得出概念的概念，因此仍然沿用上述基本思路。

在研究的不同阶段，需要运用不同研究方法，主要包括文本分析法和内容分析法。其一，运用文本分析法，在样本中筛选涉及数据主权概念的原始语句，即通过人工逐一校读文献，识别数据主权概念这一研究客体；其二，运用内容分析法，归纳不同概念间的最小公分母，并从中逐步挖掘出认知维度和应用场景，最后从不同认知维度探讨概念间关系，进而再构建概念体系，即利用内容分析法归纳客体特征获得属性再重建概念体系。以数据主权的内容维度为例说明研究方法的运用过程：使用文本分析方法获得S1-S24这24条样本文献，识别出S1-S3、S7、S10、S11、S13、S14、S17、S20-S23这12条概念有类似的侧重内容，于是从这些内容中析出“排他的管辖权与控制权”“对内的数据管控权”“实际控制数据”“对外的独立自主权”和“参与国际事务的合作权”等概念标签（见表2），即D1与D2所代表的核心概念，再归纳D1与D2中性质相同的标签，得出“所有权”“控制权”“管辖权”“使用权”“消除权”和“管理权”6类标签（见表3中T1的“核心概念”）。进一步可以发现这些概念标签都被“权力内容”这个上位概念所涵摄，所以可以借用上位概念得出“认知维度”，即表3中T1的“内容维度”，再按照概念关系逻辑绘制内容维度下的数据主权核心概念关系（见图3）。

3 数据主权的概念内涵解构

纵观各主权概念的发展历程，可以发现主权的外延随社会发展而处于不断扩展的状态，在数据主权之前，已经出现国家主权、媒介主权、信息主权、技术主权和网络主权等传统概念。数据主权作为传统主权在数字社会的延伸，有必要重新审视其元概念。归纳表1中24条文献中的数据主权概念内容，按照不同侧重点将其划分为5类核心概念（见表2），并从特征、场景两方面进行解构分析。其中，“场景”来源于文献题目和文献内容的归纳。在分析过程中发现，数据主权概念涉及到数据治理、数据跨境流动、数据价值释放、网络/数据空间和政府公共服务等场景。

（1）本质上是国家对国内外的一种权力态度，D1既体现国家对内绝对的权威性，也彰显国家对外的排他性，关系到数据治理效力范围；（2）本质上是数据主权权力本身，主要表现为内外两个方面：D2强调数据主权权力内容，属于内在方面，意在描述权力性质，如权力的管控性、自主性、独立性和合作性等性质；D3强调数据主权权力构成，属于外观方面，是指学者按照不同分析维度划分权力，如将数据主权划分成硬数据主权和软数据主权，这种清晰的划分可以促进数据价值的释放；（3）本質上是延伸其他主权概念：D4延伸了两个主权概念，延伸国家主权强调数据主权至高的权威性，延伸网络空间主权强调网络数据主权是附属于网络主权的一个子集概念；（4）本质上是在维护数据所有者的权利：D5主要是为了满足数据所有者的合法期望，希望通过管控数据达到数据安全目的。

综上，处于发展阶段的数据主权概念呈现出绝对性、排他性、单薄性和混杂性的特点。因数据主权概念脱胎于传统主权概念，其本身不能完全摆脱传统概念所强调的绝对和排他性质，尤其是在国际争端中，这种排他性更明显，各国都严格把控本国数据的流出。但数据主权概念作为新兴概念，在权力内容方面与传统主权概念相比要单薄很多，为了解决内容单薄问题，部分学者又返回去诉诸于传统主权概念，企图通过提炼传统概念特点来丰富数据主权概念，这种想法并非全无道理，但这种方法却将数据主权概念带入了另一个困境，即概念混杂，导致国家主权、网络主权和数据主权三个概念相交织。

4 数据主权概念的维度与关系

4.1 数据主权概念的认知维度

“认知”是自然人基于个人心理和社会影响产生的某项理解，认知维度也是一种根据特定场景产生的感觉、想法和态度［18］。为了降低数据主权认知维度的主观性，有必要在统计和解构数据主权概念的基础之上确定认知维度（见表3），而不能是基于经验的构想。

（1）T1内容维度，从内容角度定义数据主权概念，统计此类概念可以将数据主权内容划分为以下七类：数据所有权、数据控制权、数据管辖权、数据使用权、数据获取权、数据消除权和数据管理权；（2）T2类型维度，从类型的角度来定义数据主权概念，主要包括两种类型：第一类由国家主权、企业主权和个人主权构成，第二类是由软数据主权和硬数据主权构成；（3）T3特征维度，主要体现为国家对内对外的权力态度上，即国家对内享有数据的绝对管控能力，对外享有数据的相对管控能力，如数据处理权和数据合作权，更偏向于友好的合作和被动的防御；（4）T4性质维度，通过探讨数据主权概念与传统主权概念之间的关联来下定义，主要包括四大部分：第一类将数据主权认定为国家主权在网络空间中的映射；第二类将数据主权认定为网络主权的新型应用；第三类将数据主权认定为国家主权的再下位概念，即将网络主权定义为国家主权的延伸，而数据主权则被认定为网络主权的子集概念，三者呈现出历史继承关系；第四类则从政治主权和经济主权的角度定义数据主权性质；（5）T5场景维度，从应用场景出发呈现数据主权概念，包括数据治理、数据跨境、数据价值释放、网络/数据空间和政府公共云服务五个场景；（6）T6目的维度，从意欲达成的目的出发定义数据主权概念，主要包括促进数据跨境流通、保护数据安全和平衡数据流通与数据保护间关系三类目标。

4.2 不同维度下数据主权概念间的关系

概念体系的建立则需要更进一步地探究概念与概念之间的关系，根据ISO704：2009的规定，概念间的关系类型分为层级关系和关联关系，层级关系又分属种关系和整体-部分关系（见图2）。属种关系存在于上下位概念之间，可以理解为包含关系，如“树”和“阔叶树”。整体-部分关系不存在包含关系，可以理解为构成关系，如“树”和“树干”。

（1）内容维度下“数据主权”核心概念关系（见图3）。数据主权同数据主权内容之间具有关联关系，而数据主权内容与数据所有权、数据控制权、数据管辖权、数据使用权、数据获取权、数据消除权和数据管理权属于整体-部分关系。目前，学界认为数据主权内容由上述七种权力（利）构成，但是随着时代发展该数据主权内容会更加丰富。

（2）类型维度下“数据主权”核心概念关系（见图4）。数据主权与数据主权类型之间存在关联关系，数据主权类型和具体的两种分类之间属于整体-部分关系。当下主要有两种类型：第一类以主体为标准，划分为国家数据主权、企业数据主权和个人数据主权；第二类以“干预力度”为标准，划分为软数据主权和硬数据主权。

（3）特征维度下“数据主权”核心概念关系（见图5）。数据主权与数据主权特征之间属于关联关系，数据主权特征和相对性、绝对性则属于属种关系，相对性和绝对性的共同外延都可以被数据主权特征所囊括。

（4）性质维度下“数据主权”核心概念关系（见图6）。数据主权与数据主权性质之间属于关联关系，数据主权性质与国家主权、网络主权、经济主权、政治主权之间是属种关系，后四者之一均可作为数据主权性质的表征。此外，数据主权与国家主权、网络主权之间的关系分为三类：其一，数据主权是国家主权的一种新型组成部分，两者属于整体-部分关系（见图6单箭头I）；其二，数据主权是网络主权的自然延伸，数据主权丰富了网络主权的构成，两者属于整体-部分关系（见图6单箭头II）；其三，数据主权是网络主权的一部分，而网络主权又是国家主权的一部分，数据主权属于国家主权的三级单元，三者整体上仍属于整体-部分关系（见图6单箭头II与III）。

（5）场景维度下“数据主权”核心概念关系（见图7）。数据主权与数据主权场景之间存在关联关系，数据场景与五个具体应用场景之间属于属种关系，数据场景的外延可以涵盖数据治理、数据跨境和数据价值释放等具体数据主权概念应用场景。

（6）目的维度下“数据主权”核心概念关系（见图8）。数据主权与数据主权目的之间存在关联关系，数据主权目的与数据保护、流动、平衡三种目的之间属于属种关系，数据保护、流动、平衡三种目的之间存在并行不包含的关联关系。

5 数据主权概念的体系与模型

5.1 数据主权概念体系及其内容解读

基于前述研究结果，可以描绘出数据主权的概念体系（见图9），其以数据主权为核心，以目的、性质、内容、特征、类型和场景为构成节点，呈现出一种多维度、相融合、有区分的特性，体现了传统主权概念与基于数据特性而衍生出的新型主权概念之间的“关联性”与“独立性”。

（1）数据主权目的维度体现出各执一端和追求平衡两大类，即拟通过数据主权单独实现数据保护或数据流动，或者拟通过数据主权实现数据保护与数据流动之间的平衡，但是缺少了关于数据安全以及国家安全方面的探讨。需要注意的是，数据控制和数据管辖等只是手段而不是目标，实现数据控制和管辖是为了更好地实现目标；（2）数据主权性质维度除了数据主权具有经济主权、政治主权属性以外，还具有国家主权属性。无论是将数据主权直接视为国家主权的延伸，还是数据主权作为网络主权的子集、网络主权作为国家主权子集，数据主权均直接或间接地表现出国家主权性质，这也意味着数据主权的性质还是更偏向于传统主权；（3）数据主权内容维度主要强调获取、占有、使用、消除、管理、控制和管辖数据的能力，尤其是控制与管辖契合传统主权；（4）数据主权特征维度既有绝对性，又有相对性，既反映传统主权概念固有的绝对性，又折射传统概念所没有的相对性；（5）数据主权类型维度从主体和干预力度两个标准区分了不同的数据主权类型，尤其是企业数据主权和个人数据主权与传统主权范畴截然不同；（6）数据主权场景维度本质上是数据主权各种维度发生作用的结果，包括数据治理、数据跨境、网络/数据空间、数据价值释放和政府公共云服务，如数据跨境、数据价值释放和政府公共云服务三种场景是促进数据跨境流通目标的具体应用结果，同时也反映出数据主权不同于传统主权的特殊之处。

5.2 数据主权概念模型及其内部逻辑

E-R模型常常被用于设计数据库，是一种能够表达实体集合关系的建模工具。其中，矩形框代表实体集，框内标明实体名称；椭圆形代表实体的属性，框内书写属性名称，并用无向边与其实体集加以连接；实体与实体之间的关系用菱形框表示，框内书写具体关系，用无向线将矩形框和菱形框相连接，该连线上用1：1、1：N和N：M分别表示一对一、一对多、多对多。E-R模型便于探讨实体集合之间的关系，有助于理解概念与概念之间的关系。就数据主权概念体系而言，数据主权概念体系构成节点多、内容杂，数据主权与不同认知维度之间的关联关系、不同认知维度之间的关联关系、单个认知维度内部之间的整体-部分关系和属种关系，都可通过E-R模型直观表达出来。建立数据主权概念体系的模型（以下简称“数据主权概念模型”），不仅有助于清晰呈现数据主权概念体系的内部逻辑关系，还有助于指导相关实践应用，如界定数据主权法律概念，或者开发诸如数据主权安全能力成熟度［3，19］产品。

数据主权概念模型（见图10）以数据主权场景为中心，即数据主权场景是目的、性质、内容、特征和类型的实例化，数据主权目的是性质定位的导向，数据主权性质决定内容的展开，数据主权内容是特征形成的基础，数据主权特征影响类型划分。（1）数据主权场景是五个维度实例化的结果。场景与内容、类型、特征、性质、目标是一对多的关系，即数据治理、数据跨境、网络/数据空间、数据价值释放和政府公共云服务中的之一均与内容、类型、特征、性质、目标存在一对多的关系。如果说内容、类型、特征、性质、目标是数据主权概念的理论因素，那么场景则是数据主权概念的具体应用，也是这五个维度的实现；（2）数据主权目的是性质定位的导向，二者是多对多关系。主张数据主权可能基于单一目的，也可能考虑多重目的，而一个目的可能导出多个性质。如将数据主权目的确定为数据保护，则数据主权性质应定位为政治主权或国家主权等；将数据主权目的确定为数据跨境流动，则数据主权性质应定位为经济主权或网络主权等；将数据主权目的确定为平衡数据保护与跨境流动，则数据主权性质应定位为政治主权或经济主权等；（3）数据主权性质决定内容的展开，二者是一对多关系。如数据主权性质定位为政治主权，而数据主权内容则重点从所有、控制、管辖、管理和消除展开；数据主权性质定位为经济主权，数据主权内容则重点从获取、使用展开；（4）数据主权内容是特征形成的基础，二者是多对一关系。如从所有权、控制权、管辖权、消除权等内容上可提炼出数据主权的绝对性特征，从获取权、使用权、管理权的等内容上可提炼出数据主权的相對性特征；（5）数据主权特征影响类型划分，二者是多对多关系。分类需要参照既定标准，如按性质可划分硬数据主权（绝对性）和软数据主权（相对性），也可以划分为国家数据主权（绝对性）和企业数据主权（相对性）、个人数据主权（相对性）。之所以说是“影响”，而不是“决定”或者“约束”，是因为类型划分还可以有其他标准，如国家数据主权、企业数据主权和个人数据主权也可以说是以主体为标准；（6）数据主权类型反映着目的，二者是一对多关系。如硬数据主权和软数据主权这一类型，反映着数据主权的数据保护、数据跨境流动或平衡数据保护与跨境流动目的。

6 结语

国家数据局的重要职能之一就是负责协调推进数据基础制度建设，在建设过程中应将数据主权作为数据基础制度的重要内容，进一步在数字化领域贯彻落实总体国家安全观。本研究为后续研究数据主权提供了一个思维框架，也为当前数据主权的应用提供了理论指导，但没有深入展开数据主权概念模型的应用场景，这也为后续研究提供了探讨的空间。

*本文系2021年国家社会科学基金青年项目“数据要素确权的法律供给研究”（项目编号：21CFX007）研究成果之一。

参考文献：

［1］文禹衡.数据产权的私法构造［M］.北京：社会科学出版社，2020：91-93.

［2］唐河，崔向荣.人类智慧宝库·西方智慧卷［M］.北京：改革出版社，1992：1224.

［3］文禹衡，戴文怡.数据主权安全能力成熟度评估应用研究——以DSSCMM模型应用于中国的评估为例［J］.图书与情报，2021（4）：39-51.

［4］邓崧，黄岚，马步涛.基于数据主权的数据跨境管理比较研究［J］.情报杂志，2021，40（6）：119-126.

［5］ Kristina Irion.Government Cloud Computing and National Data Sovereignty［J］.Policy&Internet，2015（4）：40-71.

［6］漆晨航，陈刚.基于文本分析的欧盟数据主权战略审视及其启示［J］.情报杂志，2021，40（8）：95-103，80.

［7］ Woods A K.Litigating data sovereignty［J］.The Yale Law Journal，2018，128（2）：328-406.

［8］杜雁芸.大数据时代国家数据主权问题研究［J］.国际观察，2016（3）：1-14.

［9］冉从敬，刘妍.数据主权的理论谱系［J］.武汉大学学报（哲学社会科学版），2022，75（6）：19-29.

［10］ De Filippi，Mc Carthy.Cloud Computing：Centralization and Data Sovereignty［J］.European Journal of Law and Technology，2012，2（3）：15-21.