摘要:网络主权包括数据主权,后者是前者的新发展和重要方面。网络主权和数据主权的确立,并不是理论演绎的结果,而是经历了一个国际博弈过程,并由特定的事件推动。美国提出“全球公域说”,提倡互联网自由,实质是利用其互联网技术优势主导网络空间。我国通过法律制定维护我国的网络主权和数据主权,从而维护我国的国家安全利益。要充分理解我国维护数据主权的制度背景与制度理性,提高遵守《数据安全法》、维护我国数据主权的自觉性。同时,也应该认识到安全与发展的辩证关系,在坚持相对安全观的基础上,进一步发展、完善我国的数据跨境流动制度,并最终促进我国数字经济的发展。
关键词:网络主权;数据主权;个人信息保护;数据安全法
一、引言
主权是国家的本质特征和特殊属性。传统主权及于领土、领海、领空等物理空间,现代主权则及于网络(领网)这一虚拟空间,更及于一国之领土、领海、领空、领网管辖下的数据,后二者即网络空间主权(简称网络主权)和数据主权。但以美国为首的互联网发达国家,为了其本国的霸权利益,采取“双重标准”,一方面否定网络空间主权和数据主权,另一方面却极力维护自身的网络空间主权和数据主权,侵犯他国的网络空间主权和数据主权。以中国、俄罗斯等为代表的国际社会,积极捍卫并最终在全世界范围内确立了国家的网络主权和数据主权。从网络主权的确立,到数据主权的确立,并不是理论演绎的结果,而是经历了一个国际博弈过程,并由特定的事件所驱动。
我国目前已经建立了以《网络安全法》为基本框架的网络主权维护制度,以《数据安全法》为基本框架的数据主权维护制度。这些制度有助于维护我国的国家安全利益。只有充分阐释好我国《网络安全法》和《数据安全法》的制度背景和制度理性,以及网络安全与数据安全的关系,才能提高人们的理性认识,增强人们遵守《网络安全法》和《数据安全法》的自觉性,处理好这两部法律之间的关系,进而实施好这两部法律。
但安全利益并不是国家的唯一诉求,发展利益也是国家的重要诉求。安全与发展,是对立统一的关系。安全是发展的条件,发展是安全的保证。我们既不能一味地为了安全而罔顾发展,也不能只求发展而忘记安全。我国既要维护网络安全和数据安全,也要大力发展数字经济。因此,我们应摒弃绝对安全观,坚持相对安全观。在充分认识到我国《网络安全法》和《数据安全法》的制度背景和制度理性的基础上,还要提防安全诉求过度从而损及发展利益的问题。
二、网络主权及数据主权的确立
数据主权起始于网络空间主权。无论是数据主权,还是网络空间主权,对于互联网后发国家来说,都不是与生俱来的,而是经过激烈的国际斗争才争取来的,是国际社会政治博弈的结果。
(一)网络主权的确立
互联网在20世纪问世后不久,1996年,互联网的奠基人之一约翰·巴洛(JohnPerryBarlow)在瑞士达沃斯论坛上模仿《独立宣言》发表的《网络空间独立宣言》宣称:工业世界的政府和法律,不适用于网络空间,国家对网络不享有主权。“网络空间不在你们的疆界之内。”虽然这不过是技术人员的一种乌托邦迷思,但这一主张很快为美国政客所利用。
进入新世纪,各方对网络主权的争夺日益激烈。2003年12月10日至12日,联合国信息社会世界峰会通过的《日内瓦原则宣言》强调,信息社会以《联合国宪章》的宗旨和原则为前提,“我们致力于坚持所有国家主权平等的原则”。但这遭到了美国的反对。美国摆出了所谓的“全球公域”理论作为其网络自由主张的理论基础。美国认为,当前“全球公域安全问题”主要有海上安全、外太空安全、网络安全和航空安全四类。显然,这些领域是美国霸权战略的优先方向,而非完整意义上的全球公域,比如其中并未包含地球生态环境系统。
中国及国际社会其他国家则呼吁确立网络空间主权。2010年6月《中国互联网状况》白皮书提出了“互联网主权”的概念。2011年9月,中俄等国在第66届联合国大会上提交了信息安全国际行为准则,该准则重申了与互联网有关的公共政策问题的决策权是各国的主权。
法学理论的进步和法律制度的革新往往是为事件所驱动的。2013年,斯诺登披露美国非法监听全世界,史称“斯诺登事件”。“斯诺登事件”的影响及意义有:第一,暴露了美国所主张的网络自由、反对互联网主权的真正目的是监控全世界,并为其霸权服务;第二,国际社会(包括美国的盟友)对美国的信任不再,唤醒了各国的互联网主权意识,加速了各国就互联网主权斗争达成共识,如巴西特别重视数据保护立法,2016年欧盟通过的《一般数据保护条例》(GDPR)也是这一背景的产物;第三,美国被迫做出妥协和让步,并以所谓的民间组织———位于爱沙尼亚首都塔林的北约合作网络防御卓越中心的名义,通过组织专家编纂出版《塔林手册》,最终承认了网络主权和数据主权。
在“斯诺登事件”的影响下,2013年6月24日,第六次联合国大会通过了联合国“从国际安全的角度看信息和电信领域发展政府专家组”所形成的决议,规定“国家主权和源自主权的国际规范和原则适用于国家进行的信息通信技术活动,以及国家在其领土内对信息通信技术基础设施的管辖权”。这一条款实质上包含了对国家“网络主权”的承认。
“斯诺登事件”对我国也有影响。2013年,我国在《从国际安全的角度看信息和电信领域的发展政府专家组报告》中提出了“国家主权可以延伸到本国的网络空间中,依据国家网络空间主权,可以对位于本国领土内的网络设施以及网络行为实施管辖权”的建议,该建议得到了俄罗斯、巴西、巴基斯坦、白俄罗斯等国的支持。由此,我国逐渐开始使用“网络空间主权”的概念以取代“互联网主权”概念,毕竟“网络主权”的外延大于“互联网主权”。在经过激烈的争论之后,最终我国的上述观点被纳入联合国文件中,成为国际共识。上述成果为我国提出网络空间主权的理念奠定了国际法理基础。2015年7月,我国修订《国家安全法》,第25条首次正式提出“网络空间主权”的概念。由此,“网络空间主权”正式入法并得到法律的确认和保障。
2013年出版的《塔林手册》将网络主权的管辖范围牢牢地限定在“一国领土内的网络基础设施及其相关行动”。2015年4月,在海牙召开的“塔林手册2.0国际咨询会”上,西方法律学者对网络空间的法律属性和主权领域范围做了更深入的探讨,提出:第一,国家主权延伸至网络空间,主权是一国最高权威,对于一国领土上的网络基础设施及相关活动,一国有权行使主权;第二,网络空间是实体和非实体构成的环境,具备使用计算机和电磁环境的特点,包括物理层、逻辑层和社会层三个部分,每个部分都与主权有关;第三,基于主权原则,国家有义务尊重他国处理国际事务的权利,依据“平等者之间无管辖权”而承认管辖豁免。
2017年,《塔林手册2.0版》推出,第1条明确否定了网络空间“全球公域说”。“位于一个特定国家领土上的网络基础设施连接到网络空间,不能解释为该国放弃其主权。”由此,经过激烈斗争,“网络主权”终于成为全球性概念并在国际法中得以确立。中国在这一国际博弈中,担当了关键性角色,发挥了十分重要的作用。我国在网络空间中的理念主张和实践行为更表现出一个“领袖型国家”具备的特质:模范地遵守现存合法规则,帮助规划或提炼一个真正美好的国际体系远景,并努力将这一体系构建起来。
(二)数据主权的确立
尽管存有争议,但主权者对数据行使主权却是当今世界各国的普遍做法。数据立法国际博弈的实质是对数据主权的争夺。例如,德国《电信法》(2004)规定,电信服务提供商需将元数据在法定时间内存储在境内。加拿大不列颠哥伦比亚省《个人信息国际披露法》(2006)规定,公共部门,包括中学、大学、医院、政府、公用事业部门和其他公共机构收集的任何个人数据,存储和访问只能在境内,除非信息主体确认并同意可在境外存储和访问。印度《信息技术(合理的安全实践与程序和敏感个人数据或信息)规则》(2011)和《国家数据共享和存取性政策》(2012)规定,数据控制者将敏感个人数据转移至境内境外第三方时,接收方应保证提供同等水平的保护,且该转移是为了履行与数据主体合法契约所必需,并得到数据主体的同意。凡是用公共资金收集的信息,必须存储在印度境内。美国《出口管理条例》(2014)规定,对部分重要数据的出口实行许可管制,只有取得相关部门颁发的许可证才可以出口。韩国《土地测量、航道测量、地籍档案法》(2014)规定,禁止测量数据向境外转移。美国《国防部云服务网络入侵和承包条例》(2016)规定,为国防部服务的云计算服务提供商均应将政府云数据存储在美国本土,除非得到例外批准。欧盟GDPR(2016)规定,欧盟公民的个人数据不得转移到达不到与欧盟同等保护水平的国家,并通过“长臂管辖”和巨额罚款制度维护欧盟数据主权。
《塔林手册2.0版》也一改《塔林手册1.0版》的做法,承认了数据主权。《塔林手册1.0版》仅认为“一国可对其主权领土内的网络基础设施与活动实行控制”,并没有提到数据。《塔林手册1.0版》解释说:“在网络空间内确定管辖权很困难,因为云或网络的分布式系统,就像数据的复制、动态转移和处理一样,能够跨越国界。由于数据能同时被放置在多个管辖区内,这给在特定的时间确定一个用户的全部数据及其处理的位置带来了挑战。这些技术挑战并不剥夺一国对位于其领土内的人和网络基础设施行使管辖权的法定权利。”《塔林手册2.0版》则确认了主权原则适用于数据。具体言之,《塔林手册2.0版》虽然没有提到数据主权这一词,但确认了国家主权原则适用于一国境内数据。《塔林手册2.0版》指出:“国家主权原则适用于网络空间”,“网络空间的各个方面以及一国的网络行动没有超越主权原则的范围”。《塔林手册2.0版》将网络空间分为物理层、逻辑层和社会层。其中,逻辑层包括保障数据在物理层进行交换的应用、数据和协议。《塔林手册2.0版》在谈到属地管辖权时强调,“属地管辖权适用于一国境内从事网络活动的自然人和法人,及其境内的网络基础设施和数据”,“数据所在国对于数据具有完全管辖权”。《塔林手册2.0版》还强调:“在特定的情况下,国家可对位于其境外的数据行使立法管辖权。”虽然《塔林手册2.0版》确认了主权原则适用于数据,但仅限于一国境内的数据。对于一国存储在境外的数据,《塔林手册2.0版》的多数专家认为,该国并不享有主权,“除非国际法上有明确规定,例如当数据存储在位于其境外的军舰等特定的对象上时”。
《塔林手册2.0版》之后,国际上对数据主权的维护与争夺更加激烈。2018年3月,美国更是通过了《澄清域外合法使用数据法案》,力图通过该法案获取他国数据,但又通过一定的方式阻碍他国获取位于美国的数据,以维护美国的数据主权。一些西方学者还提出了“数据全球公域说”。这种观点认为,对充分利用用户生成数据的巨大社会价值的数据平台应采取开放、协作和基于激励的立场;数据应被视为“全球公域”,并应向广泛的独立利益相关者、研究机构、记者、公共当局和国际组织开放。这不过是前一阶段“网络全球公域说”的翻版,代表了美国的利益,是一种数据霸权的新表现。2020年7月,欧洲议会发布了《欧洲的数字主权》报告,提出了追求“数字主权”、实现“技术主权”的主要关切和采取的措施。
我国使用“数据主权”概念的最高级别的官方文件是2015年8月国务院发布的《促进大数据发展行动纲要》。该《纲要》指出:“增强网络空间数据主权保护能力,维护国家安全,有效提升国家竞争力。”但《数据安全法》并未出现“数据主权”字样。其实,《数据安全法》第1条关于“维护国家主权”的表述即宣告了我国对数据具有主权。此外,该法还有许多条款具体维护国家数据主权。在此前的有关法律中,其实也有一些数据主权条款。例如,2018年制定的《中华人民共和国国际刑事司法协助法》第4条第3款,就是国家主权原则在刑事案件调查、侦查、起诉、审判和执行等活动中的体现。2019年底修订后的《证券法》第177条第2款,也是国家主权原则在证券跨境执法领域中的体现。对此,参与立法者也解释说,这是基于主权原则。
三、数据主权与网络空间主权的关系
不同地域、不同语境下的“数据主权”具有不同的涵义。在欧洲所谈论的“数据主权”,与我国所谈论的“数据主权”,其实不是一回事。欧洲人所谈论的“数据主权”,主要是数据主体对数据的权利。由于欧盟GDPR是以个人数据自决权为立基点,因此将数据主体对数据的权利称为“数据主权”。这种用法,类似于“消费者主权”,本质上是指以“数据自主”为重要内容的个人数据保护和数据主体权利体系规则。而我国的“数据主权”则是国家主权范畴下的数据主权问题,其主体是国家而不是个人。当然,西方越来越多的学者开始在此意义上使用“数据主权”。例如,有学者认为,“数据主权”意味着国家要对一国境内收集的所有数据实施控制,主要分为“数据本地化”即强制化的数据本地存储,以及“数据保留”即强制化的数据交易记录。关于数据主权与网络空间主权的关系,我国既有的研究是不足的。这主要是由于人们对网络空间主权、数据主权的涵义研究不多,共识较少。
(一)网络空间主权的基本涵义
2017年我国发布《网络空间国际合作战略》,倡导将和平、主权、共治、普惠作为网络空间国际交流与合作的基本原则。该战略文件全面阐述了网络空间主权原则的基本涵义。
第一,网络空间主权具有对外主权和对内主权两个方面的涵义。在对外主权方面,国家间应该相互尊重自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利,不搞网络霸权,不干涉他国内政,不从事、纵容或支持危害他国国家安全的网络活动;各国政府有权制定本国互联网公共政策和法律法规,不受任何外来干预;各国不得利用信息通信技术干涉别国内政,不得利用自身优势损害别国信息通信技术产品和服务供应链安全。在对内主权方面,各国政府有权依法管网,对本国境内信息通信基础设施和资源、信息通信活动拥有管辖权,有权保护本国信息系统和信息资源免受威胁、干扰、攻击和破坏,保障公民在网络空间的合法权益。
第二,网络空间主权既是权力(权利),也负有相应的义务。就权力(权利)而言,各国政府有权依法管网,对本国境内信息通信基础设施和资源、信息通信活动拥有管辖权,有权保护本国信息系统和信息资源免受威胁、干扰、攻击和破坏,保障公民在网络空间的合法权益;各国政府有权制定本国互联网公共政策和法律法规。就义务而言,国家间应该相互尊重自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利,不搞网络霸权,不干涉他国内政,不从事、纵容或支持危害他国国家安全的网络活动;各国不得利用信息通信技术干涉别国内政,不得利用自身优势损害别国信息通信技术产品和服务供应链安全。
第三,网络空间主权还可以细分为以下四项基本权力:其一,平等权。主权平等原则是国际法的基本原则。网络空间主权原则是主权原则的延伸,网络空间主权自然也具有平等性。网络空间平等权,指网络之间的互联互通是以平等协商的方式进行,不受管辖制约的权力。但由于各国的网络技术水平不同,这种平等还仅仅是一种法律上的平等,而非事实上的平等。其二,独立权,指本国的网络可以独立运行,无需受制于他国的权力。其三,防卫权,指国家为维护网络空间完整和独立,具有对外来网络攻击和威胁进行防卫的权力。其四,管辖权,指主权国家对本国的网络可以实施管理的权力,包括国家在领网范围内的立法管辖权、司法管辖权和行政管辖权。
(二)数据主权是网络主权的子集
网络空间主权针对的是网络空间中的一切设施、数据及其相关活动,而数据主权针对的客体是数据,是网络空间的一个要素。数据主权从广义上来看是将数据作为一个领域,从狭义上来看是将数据作为一种事物。数据主权所涉及的数据实际上涵盖所有信息种类,包括结构化、半结构化和非结构化的数据,几乎包括任意行为体产生的任意信息或日常行为记录。很显然,网络空间主权与数据主权属于包含关系,数据主权是网络空间主权的一个子集。
数据主权是网络空间时代国家主权理论的新发展。数据具有重要的主权保护价值,数据是国家安全的战略资源,数据是国家权利的基础。大数据改变着社会生活的方方面面。广泛存在于社会各方面的数据和信息必然会成为社会权利的重要来源,成为各国国力竞争的制高点。
国家的网络主权既包括对其境内物理层面的网络基础设施的主权,也包括对逻辑层面的数据和内容层面的信息的主权(即“数据主权”“信息主权”),二者缺一不可。如果说网络基础设施是网络空间不可或缺的“躯壳”或“载体”,数据和网络信息就是网络空间的“灵魂”之所在;离开了“数据主权”“信息主权”的网络主权,只能是丧失“灵魂”、残缺不全的主权。
(三)数据主权的特征
认识到数据主权的特征,既有利于明确我国维护数据主权的工作重点,也有利于在此基础上通过数据的跨境流动,促进数字经济发展。
第一,相对性更强。传统主权具有相对性,数据主权的相对性更强,绝对性更弱。数据流动起来才具有价值,包括跨境流动。在数据跨境流动过程中,一国的数据可能流动出去,别国的数据也可能流动进来。一个国家不能只要求境外数据流动进来而阻止境内数据流动出去。
第二,数据主权的相互依赖性。网络时代和云时代的数据主权已经从独立性发展为相互依赖性,一个国家在全球网络空间中不可能完全独立。一国一旦走上信息高速公路,就必然受国际信息流通规则的约束。信息和数据本身的特点决定了大数据时代各国必须适度合作。一个国家应在保证国家安全的前提下,参与大数据的国际合作,发挥数据所蕴藏的价值,便利本国国民,这就使得数据主权具有了相互依赖性和合作性。
第三,数据主权的平等性和事实上的不平等性。一般来说,数据主权的平等性是各国所争取的最终诉求。但是,在现实世界,各国数据主权却面临着事实上的不平等。这种不平等性既源于一些国家对全球网络空间的霸权,又源于各国网络空间和数据技术水平的差异。我国要维护数据主权,既要反对数据霸权,也要提高自身的技术水平。
四、我国对网络主权和数据主权的维护
(一)基本制度
2015年7月全国人大常委会修订《国家安全法》,第25条首次提出网络空间主权的概念和网络安全的任务,第59条规定了国家建立国家安全审查制度。2016年11月全国人大常委会通过的《网络安全法》则明确其立法宗旨是维护网络空间主权和国家安全,并对网络安全支持与促进、网络运行安全、网络信息安全等进行了全方位的规定。这部法律也涉及到数据问题。例如第37条规定了个人信息和重要数据的境内存储制度。
但《网络安全法》对数据安全的规定不够系统,随着党的十九届四中全会决定明确将数据作为新的生产要素,数据在数字经济中的重要性凸显,按照党中央部署和贯彻落实总体国家安全观的要求,制定一部数据安全领域的基础性法律十分必要。2021年6月,全国人大常委会通过的《数据安全法》,是中国第一部全面的数据安全立法。《数据安全法》旨在规范与任何类型数据的收集、存储、处理、使用、提供、交易和发布相关的广泛问题,并成为自2017年6月1日起生效的《网络安全法》的重要补充,对中国的数据处理活动和业务运营产生了深远影响。
《数据安全法》为了维护数据主权,规定了域外管辖权、“对等措施”、重要数据的出境安全管理制度及境外司法执法机构数据调取的“封阻法令”制度。这都是《数据安全法》对数据主权维护的关键性制度。
国外学者认为,中国《数据安全法》的许多要求似乎与域外其他数据安全法律相当,特别是GDPR的要求,例如,二者通常都要求公司采取适当措施保障数据安全,在发生事故时通知用户,并指定负责人员。但在许多方面,中国《数据安全法》的要求比GDPR的要求更为广泛,例如,中国《数据安全法》不仅管理中国公民的个人数据,还管理与中国国家安全利益攸关的重要数据,并且它比GDPR有更严格的数据传输限制。
2021年8月通过的《个人信息保护法》也有很多维护我国数据主权的制度。比如,第2章规定了个人信息跨境提供的规则,尤其是第40条规定的个人信息境内存储制度及跨境数据提供的安全评估制度,第42条规定的黑名单制度、第43条规定的“对等措施”。第66条第2款还借鉴GDPR,引入了巨额罚款制度。可以说,一方面,我国的《个人信息保护法》在对个人信息的保护力度上,在对我国数据主权的维护上,丝毫不弱于欧盟。“中国《个人信息保护法》在规则的严厉程度上基本对标欧盟GDPR。”另一方面,我国的《个人信息保护法》阻断了美国的单边“长臂管辖”。
(二)制度理性
总体而言,在中美博弈的背景下,我国的《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》强调维护网络主权、数据主权,总体上处于守势地位。为什么我国在这方面处于守势地位,既没有完全开放,也没有转为进攻态势呢?这是因为,“世界各国之间秩序的形成与维持从来都不是依赖于道德和权利,其真正内核是权力法则”。虽然万维网发明于1989年的瑞士日内瓦,但网络使用方式却由美国主导。大多数网络基础建设都由美国掌控,包括电缆、卫星、服务器与基地台等。全球超过九成的网络流量依赖的是美国政府与美国企业研发、拥有或控制的技术。除了网络基建之外,美国主宰的领域还包括计算机软件(微软、谷歌与甲骨文)和硬件(惠普、苹果与戴尔)。事实上,从芯片(英特尔与高通)、路由器、调制解调器(思科与瞻博网络),一直到提供电子邮件、社交功能与云端储存的平台与服务(谷歌、脸书与亚马逊),美国都遥遥领先于其他国家。美国独霸全球,掌握着所有人进行网络连线的总开关。20多年来,我国互联网发展取得了显著的成就,包括不少新技术。但与此同时,“我们也要看到,同世界先进水平相比,同建设网络强国战略目标相比,我们在很多方面还有不小差距,特别是在互联网创新能力、基础设施建设、信息资源共享、产业实力等方面,其中最大的差距在核心技术上。互联网核心技术是我们最大的‘命门’,核心技术受制于人是我们最大的隐患”。中国有九亿网民,是名副其实的“互联网大国”或“网络大国”,但还不是“网络强国”。我们正在从“网络大国”向“网络强国”奋进,正在解决“缺芯少魂”的问题,但在此过程中,我们也应当清醒地认识到:“在缺乏数据科技实力、没有相应制度保障数据安全的情况下,盲目地开放和共享本国的数据资源,有可能将数据大国的优势异化为威胁总体国家安全的风险。”因此,《网络安全法》第37条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”。
维护我国的数据主权,离不开法律,但也不能仅仅依靠法律。在法律这一上层建筑之下,则是科技、军事、经济等基础。只有等这些基础更牢固了,我们的法律才能更加开放。法律不能单兵突进,必须和科技、军事、经济等基础相匹配。当下,我们不仅仅要研究法律、完善法律,更要发展、提升科技、军事、经济等基础。
五、我国维护网络主权与数据主权相关制度存在的问题及其完善举措
(一)我国维护网络主权与数据主权相关制度存在的问题
1.数据本地化要求过于随意
在《数据安全法》《个人信息保护法》制定之前,公安部网络安全保卫局等部门制定的供互联网服务单位在个人信息保护工作中参考借鉴的《互联网个人信息安全保护指南》就提出,在我国境内运营中收集和产生的个人信息应在境内存储,如需出境,应遵循国家相关规定。这一境内存储的规定适用范围广泛,远远超过了后来制定的《网络安全法》和《个人信息保护法》。
除了《网络安全法》《数据安全法》《个人信息保护法》之外,在某些领域,相关规章也规定了数据的本地化存储。例如,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定,在我国境内收集的个人金融信息的储存、处理和分析,应当在我国境内进行。此外,《汽车数据安全管理若干规定(试行)》《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》《关于鼓励和规范互联网租赁自行车发展的指导意见》《邮件快件实名收寄管理办法》《国家邮政局关于印发〈邮政企业、快递企业安全生产主体责任落实规范〉的通知》也都规定了数据的本地存储制度。此外,一些行政法规和规章还提出了“服务器设在境内”的要求,比如,《地图管理条例》《关于鼓励和规范互联网租赁自行车发展的指导意见》等。还有规章要求在境内设立数据中心。这些要求都是为了维护国家网络主权和数据主权,但有的缺乏必要性论证,导致某些领域的数据本地化要求过于随意,与《网络安全法》《数据安全法》《个人信息保护法》的规定不符,从而导致数据本地化要求过宽。
2.对境外数据如何获取考虑不足
《个人信息保护法》第3章规定了个人信息跨境提供规则,第38条第1款规定了个人信息处理者向中华人民共和国境外提供个人信息的规则,《个人信息保护法》却较少考虑中国的数字企业(信息处理者)如何才能从境外获取更多的境外个人信息。
欧盟的做法恰恰相反,其一方面区分盟内(欧盟境内)流动与盟外(欧盟境外)流动。在盟内,禁止成员国借数据保护之名,行限制个人信息自由流动之实。在盟外,则对数据流动施加了较为严格的限制。另一方面,欧盟区分个人数据和非个人数据,为落实欧盟的“单一数字市场”战略,欧盟于2018年制定了《非个人数据自由流动条例》,意在促进非个人数据在欧盟境内的自由流动,消除欧盟成员国的数据本地化限制。
因此,即便不是在《个人信息保护法》的框架内考虑我国数字企业的境外获取数据问题,也应该在其他法律之中考虑这一问题。美国的数字企业一出生就具有国际基因和世界格局,全球都是它的市场,全球数据都在美国法律的考虑范围之内。中国目前在数字经济规模和数字巨头的数量方面仅次于美国,但如果我们长期处于一种反对数字巨头的氛围之中,忽视中国数字企业的利益,中国的数字经济规模方面和数字巨头的数量就会下降得很快,从而让美国、日本、加拿大、欧洲和澳大利亚的数字企业有更多的可乘之机,中国在全球数字经济博弈版图中的地位和话语权就会受到削弱,这不利于中国实现中华民族伟大复兴。
3.对数据跨境国际合作参与不足
2020年9月8日,我国提出了《全球数据安全倡议》,表达我国在数据安全领域的八点主张。我国已经加入《区域全面经济伙伴关系协定》,并已申请加入《全面与进步跨太平洋伙伴关系协定》及《数字经济伙伴关系协定》,但尚未与美国、欧盟等大的经济体签订明确的、可执行的数据跨境流动方面的国际协议。相较于美国、欧盟等大的经济体,我国作为数据大国,目前尚缺乏清晰明确的数据跨境国际战略,这不利于我国参与全球数字治理的国际规则的制定,树立我国在全球数字治理的国际规则制定中的主导权。
在数字全球化时代,各国关于数据本地化和数据跨境流动之间的冲突的协调,秉持简单的单边主义显然已不能适应数字时代的需求。我国维护数据主权的做法具有正当性,同时应考虑到国际合作的必要性。
多边国际规则是各国推行本国利益诉求、寻求国际共识的重要渠道。包括世界贸易组织的《服务贸易总协定》、经合组织的《关于隐私保护与个人数据跨境流动的指南》、亚太经济合作组织的《跨境隐私规则体系》及《跨太平洋伙伴关系协定》规则等在内的多边国际规则,都是规范数据跨境流动的重要规制。尽管各国存在分歧,但加强国际合作,促进数据有序跨境流动,已然成为各国基本共识。各国应在数据本地化的基础上推行数据跨境流动,或者说在推行数据跨境流动前提下实行有限的数据本地化。
美国在数据跨境流动方面,也通过双边、多边协议推进其数据流动政策。自2002年以来,美国已与多个国家签订了双边自由贸易协定,推行数据贸易自由化。在美国与欧盟的关系上,无论是2000年的《安全港协议》,还是2016年《隐私盾协议》,都是美国推动数据跨境流动的双边措施。美国还通过亚太经济合作组织,积极推进《跨境隐私规则体系》,以及通过推进“数据日内瓦公约”,推行美国的数据自由流动政策。
我国《个人信息保护法》第38条第1款前3项提供的数据跨境流动机制对数据跨境国际合作的体现不足,与欧盟的充分性认定机制也存在着较大差异。欧盟的充分性认定机制实际上是国际数据流动双边协议,欧盟意图通过这一机制构建欧盟的“数据跨境流动朋友圈”。我国《个人信息保护法》对此考虑不足。与欧美相比,我国尚未抓住数据跨境流动方面的国际规则制定的主动权,尚未利用有利的国际关系,形成以我国为主的“数据跨境流动朋友圈”。欧美“数据跨境流动朋友圈”的不断扩张,难免会给我国未来开展数字贸易带来更大阻碍。
(二)我国维护数据主权相关制度的完善举措
1.严守数据本地化的法律限制
我国《网络安全法》《数据安全法》和《个人信息保护法》已经规定了诸多数据境内存储制度。由于数据本地化限制数据流动所具有的负面效应和可能引起的国际反对,我国各地各部门的法规规章应与这三部法律保持一致,不宜层层加码,不宜超过这三部法律的要求另外寻求数据本地化或变相的数据本地化。如果确需数据本地化的,至少需要通过行政法规予以规定,部委规章和地方性法规不宜规定数据本地化或类似要求。
2.便利中国数字企业获取境外数据
欧盟的充分性认定机制是以欧盟作为一方与其他国家或地区进行谈判,以一个超主权组织的力量与对方进行博弈。但我国《个人信息保护法》第38条第一款的前三项数据跨境流动路径,并未显示出我国以主权国家的身份与其他国家或地区进行谈判、博弈。在大国博弈中,数字企业的力量毕竟是有限的,因此,建议我国利用《个人信息保护法》第38条第一款前四项的兜底条款,适时引入充分性机制或类似机制,以主权国家的身份直接与其他国家和地区进行“一对一”谈判,为中国数字企业获取境外数据提供国家支持,助推中国数字企业海外运营。
3.加强数据跨境流动国际合作
跨境数据流动在促进经济增长、加速创新、推动全球化等方面发挥了积极作用,推动数据跨境自由流动能够实现保障用户权利和提升全社会经济总体效用。我国应加强国际合作,通过多边和双边机制,积极主导、参与数据跨境流动的国际规则制定。一是依托联合国大会、国际电信联盟、亚太电信组织、二十国集团、上海合作组织、金砖国家峰会、中国—欧盟领导人会晤机制、中非合作论坛、“一带一路”等,加强国际数据治理和数据跨境流动规则的研究,提出中国方案,逐步构建一个以我国为主的“数据跨境流动朋友圈”。二是建立数据跨境流动规则的双边对话机制,积极同友好国家和地区达成数据跨境流动的双边协议,助推中国数字企业“走出去”。