摘要:解析国家数据主权概念及发展背景,探索以美、欧为代表的世界主要国家数据主权战略,为我国数据主权战略提供有益参考。采用文献研究、政策分析等方法对相关研究、政策和法规等资料进行剖析,明确数据主权概念、背景与主要数据主权战略模式与路径,为我国数据主权战略及治理体系构建提供有益参考。我国数据主权战略应确立明晰的国家数据主权发展战略及路径,构建具有中国特色的国家数据主权战略治理体系并加强多边国际合作,增强话语权。
关键词:数据主权;数据法;数据战略;数据保护;数据治理
引言
2014年以来,我国连续6次将大数据写入国务院政府工作报告,提出将大数据作为战略性资源,实施和推进国家大数据战略。同年,总体国家安全观的提出为我国大数据战略提出了发展与安全并重,效率与效益共举的发展路径。在大数据与总体国家安全观的双重时代背景下,一国之数据主权变得与传统边、海、空、天四防一样重要,成为新时代下国家主权的重要组成部分。如何在保障国家数据主权的前提下抢占数据发展制高点,是我国从数据大国转变为数据强国的关键,因而近年来,国家数据主权议题愈发受到关注。鉴于此,本文聚焦于国家数据主权战略,探讨国家数据主权战略的发生、发展、概念及当前具有代表性的数据主权战略,明确其实践现状,为我国数据主权战略的制定与治理提供有益参考。
1 国家数据主权战略内涵
1.1国家数据主权战略的发生与发展
对国家数据主权战略发展历程的梳理,可大致概括出一条由去主权化向再主权化演变的发展路径。自网络技术及服务诞生以来,主权概念在其上发挥的作用一直较为有限。其原因在于当时当下人们对于相关概念认知的局限性,认为互联网是一个全球性和无边界性很强的独立空间,不应将传统的主权概念强加于网络空间上。这种“去主权”观点最早可追溯到1996年美国学者发表的《网络空间独立宣言》之中,并在之后的研究中得到广泛支持。除学界之外,以美国为首的部分国家也公开反对将主权概念延伸至网络领域,认为互联网是一个类似于外层空间的独立领域,应该靠技术、标准以及服务协议等自律形式代替主权监管的他律形式,而相关政策和法律的滞后性也导致主权概念在互联网领域的体现并不明确。之后,随着网络安全问题与日俱增,许多国家开始尝试参与到互联网治理中来,在这一时期内,相继出现了网络空间主权和国家信息主权等概念,上述去主权化的趋势开始放缓。
进入大数据时代后,网络空间主权和国家信息主权的余音仍在,却出现了某种程度上的去主权化趋势。其原因与数据增长爆炸化、数据存储去中心化以及数据流动跨境化等特征相关,也与数据交流理念的出现及数据开放运动的推广密切相关,由此带来了国家层面的数据主权问题。明显的转折点出现在2013年棱镜门事件曝光之后,世界各国都开始审视本国的数据主权战略,学界也对数据主权这一议题愈加关注,自此,主要国家的数据主权战略再次转向主权化。
1.2国家数据主权战略的概念
当前对国家数据主权概念的解读主要有两种观点,即主权理论视角下的国家数据主权和物权理论视角下的国家数据主权。主权理论观点认为国家数据主权与网络空间主权、国家信息主权等概念一脉相承,均是源自国家主权理论。而国家主权理论最早可追溯到文艺复兴时期,1532年马基雅弗利在其所著《君主论》中指出,君主拥有对其所属境内各事物的管理以及对境外扩张和抵御的最高权力,这里的“最高权力”就是对国家主权概念最初的朴素表达。1576年,让·博丹进一步明确了国家主权的概念,认为主权是一国享有的、统一而不可分割的、凌驾于法律之上的最高权力,是一个国家的必备要件,无主权则无国家。进入网络时代后,网络空间成为继传统四防之后的另一个大国博弈空间,因此网络空间主权和国家信息主权被相继提出,并最终伴随着大数据时代的到来,顺应总体国家安全观的要求,诞生了国家数据主权这一概念。物权视角观点则认为国家数据主权是物权在国家所掌握数据资源层面的集中体现,是数据权属的一个分支,除国家数据主权外,还包括个人层面和机构层面的数据权力,并由此诞生了以人格权说、商业秘密说、知识产权说等为代表的数据权属学说。
本文倾向于从第一种角度去理解国家数据主权概念,其一是由于在当前的竞争态势下,国家数据主权这一概念所反映出的主权色彩要远远大于其所反映出的物权色彩。另一个原因则是,在当前的研究语义下,将国家数据主权与微观及中观层面的数据权力拆分开来似乎稍显片面。其原因在于,首先,国家层面的数据资源本身就是由来自微观、中观和宏观各层面的数据资源共同组成。不管数据是源自政府、科研、商业以及个人等不同领域,也不管这些数据在形式、领域、体量上是否存在差别,其最终形式都汇聚成了一国所掌握的数据资源,因而在进行概念定义和内涵阐释的过程中,不能粗暴地将国家数据主权与其他层面的数据权力割裂开来。与此同时,对于那些本不在国家数据主权客体之列,但本身却具有特殊性,需要对其加以主权保护的数据资源来说,从微观和中观层面的权力类型入手对其加以保护具有更强的正当性和合理性,这也是当前各国的主要做法。换句话说,在某些情况下,微观、中观层面的数据权力是服务于宏观层面的国家数据主权战略的,因此将其看作是一个整体,从主权视角加以集中审视似乎更为妥当。鉴于此,本文借鉴国家主权概念,结合国家数据主权发展背景,认为国家数据主权是国家主权在数据时代下所演化出的一种全新的权力类型,是其概念在新时代下的自然延伸与表现,是总体国家安全观对国家数据治理能力的现实要求,是国家在数据治理层面的对内最高统治权和对外独立权,涵盖国家对其数据资源的所有、使用以及发展等多种权力。国家数据主权战略则是国家根据其数据发展现状,规划战略目标,并由此制定、推行的对国家数据主权发展方向、模式、路径、速度、质量、抓手及能力等层面的重大选择、规划具有指导意义的策略的集合。
1.3国家数据主权战略的构成要素
从权力维度上看,国家数据主权战略可以分为宏观、中观和微观三个层面。其中,宏观层面国家数据主权战略的权力主体是国家,中观层面国家数据主权战略的权力主体是组织、机构,微观层面国家数据主权的权力主体是个人,这一理解与上文中主权理论视角下的国家数据主权战略的内涵相吻合。从权力内容上看,国家数据主权战略由一系列权力内容构成,包括对数据的所有权、使用权以及发展权等多项权力内容。其中,所有权又包括对数据资源的控制、管辖、支配以及收益等权力;使用权包括对数据资源的访问、应用以及解释等权力;发展权不仅是一国能够自由和有意义地参与数据经济发展并公平享有发展所带来的利益的权利,也意味着这种发展必须是独立的,不受数据强国限制与主导的。从权力形式上来看,国家数据主权战略的主要表现形式包括但不限于各类型政策与制度,具体有法案、指南、标准、框架、协议、规范等多种类型。上述三个维度的构成要素相互交叉,共同构成了一个国家数据主权战略构成要素的三维坐标体系,如图1。
2 代表性国家数据主权战略分析
本文选择美、欧的数据主权战略作为分析对象,其原因一方面在于美、欧的数据主权战略具有布局早、体系性强和成熟度高的特点,且二者数据主权战略所体现出的方向性、思路性差异也可以为我国数据主权战略布局和治理体系构建提供多角度的参考样本。另一方面,在全球竞争格局重组及数字经济的新态势下,美、欧既是我国最大的合作伙伴,也是我国最大的竞争对手。对美、欧数据主权战略加以掌握,可以在为我国数据主权战略及治理体系构建提供经验的同时,使我国的数据主权战略和体系与国际接轨、融合,并最终提升我国在数据治理体系中的域外治理能力和话语权。
2.1美国的数据主权战略
美国一直以来都是数据开放与自由流动的大力倡导者,认为互联网空间及存储并流转于其上的数据资源可以通过技术、协议和行业自律等松散监管体制得到自治,主权国家无须对其发展进行过多干预。与此同时,偏向从国家安全和商业角度看待数据流动问题也促使美国的数据主权战略更加偏重对数据的获取。不过,随着数据竞争态势的加剧,自2018年以来美国相继出台了多部立法限制数据的跨境流动,截至目前已逐渐形成了一种数据流动“宽进严出”的治理模式。总体而言,其数据主权战略体现以下几方面:首先,积极推动数据自由流动;其次,出台法案,为美国政府获取数据提供法律依据;最后,综合采用人权、适格政府等概念限制数据资源外流。
1)积极推动数据自由流动。2009年1月,时任美国总统奥巴马发布了《透明和开放政府备忘录》,呼吁政府和行政管理机构公开其决策和运行数据。之后,在短短4年多的时间内,美国共先后出台了包括《开放政府计划》《美国开放政府计划国家行动计划》在内的共8部政府数据开放规章指令,试图大力推动政府数据的共享。国际层面上,美国分别于2011年和2013年主导签署了《开放数据声明》和《开放数据宪章》。在此背景下,许多国家都制定了政府数据开放计划,万维网基金会甚至推出了《政府开放数据晴雨表》项目,针对30个世界主要国家的政府数据开放进行评分,数据类型涵盖人口、商业、立法、进出口等多个领域。与此同时,美国与多达63个国家达成了司法互助协定(Mutual Legal Assistance Treaties,MLATs),可以通过司法互助实现数据调取,试图抑制数据全球化存储的主流趋势。除此外,美国曾在其主导的跨太平洋伙伴关系协定(Trans⁃Pacific Partnership Agreement,以下简称TPP)中也针对数据跨境流动提出要求,要求参与国不将数据本地化存储作为允许缔约方企业进入本国市场的前提条件。虽然之后特朗普政府宣布退出TPP,但是美国试图推动数据跨境流动的意图从未改变,其于2018年3月份快速签署并通过《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act,以下简称CLOUD法案)就能够很好地证明这一点。与此同时,美国还大力推动APEC(亚洲太平洋经济合作组织)的跨境隐私保护准则(APEC Cross Border Privacy Rules,以下简称CBPR),规定若不同国家的不同企业承诺遵守APEC隐私框架中的9项个人数据保护原则,则数据就可以在上述公司进行自由的、跨境的流动。不过,从数据保护强度来讲,CBPR对数据的保护水平远逊于现有国家本国内的数据保护政策与法案。可见,美国大力推行CBPR的实质是要求成员国放弃本国原有的高数据保护水准,转而低就于CBPR的低保护水平,从而实现数据向美国流动,掌握全球数据资源。
2)出台法案,为美国政府获取数据提供法律依据。2001年,“9·11事件”的发生促使美国政府就情报失灵问题进行反思,认为应加大对信息和数据的获取权限,并于当年出台了《爱国者法案》,法案规定美国政府可以向网络服务提供商索取经过美国网络的数据,这可以看作是美国政府获取他国数据的初始立法实践。之后出台的《情报授权法案》《国土安全法案》《爱国者改进与再授权法案》以及《外国情报监视法案》等立法都就美国政府获取数据资源进行了规定,数据范围和权力效力有所扩大。如果说上述法案主要对标于国防与公共安全,那么美国于2018年出台的CLOUD法案则被广泛看作是大数据时代下美国数据主权战略的代表性立法。CLOUD法案出台的直接原因源自FBI与微软的数据调用纠纷,与此同时,由于已有《存储通信法案》(Stored Communication Act,SCA)无法为美国政府调用境外数据提供法律依据,而司法互助协定实现起来过于繁杂,因而美国政府加紧修法历程,从CLOUD法案制定到最终获得通过仅用了一个多月的时间。CLOUD法案规定了面向公众的、于美国注册或者总部位于美国的电子通信服务和远程计算服务提供商有义务向美国政府部门提供其掌控的数据,无论目标数据的存储位置是否位于美国境内。
实际上,这一规定相当于重新树立了一个数据司法管辖权的判断标准,将已有的属地管辖转化为现有的数据控制范围管辖,这从根本上扩大了美国的数据主权范围和效力。一方面,属地管辖到数据控制范围管辖的转变十分有利于美国的互联网产业发展优势地位:美国拥有全球规模和影响力最大的一批互联网公司,从微软到谷歌、脸书等一大批企业掌握着规模难以计量的用户数据,这些企业遵循CLOUD法案为美国政府提供的用户数据量将是任何国家都难以企及的;另一方面,CLOUD法案是对当前世界范围内主要国家数据本地化政策的一个有力冲击,破除了数据本地化政策所带来的数据调用屏障,有效扩大美国政府可获取的数据范围。而事实上,这一数据主权策略也确实十分有效:据谷歌公司的透明度报告显示,自2018年3月份CLOUD法案出台之后,仅2018年上半年内美国政府的数据调用指令数量已达到之前数额的130%,下半年比上半年又增长了109%。在涉及的数据量方面,该数据几乎翻了一倍。在数据调用指令通过率方面,美国政府的成功率达到81%。远远大于其他国家,例如,英国的通过率为74%,俄罗斯为7%。
3)综合采用人权、适格政府等概念限制数据资源外流。在积极获取他国数据资源的同时,美国还综合采用各种方式限制本国数据资源向境外流动。除原有的《出口管理条例》《商业管制清单》等方式外,还以个人数据保护的名义陆续出台了一系列数据保护法案,包括《加利福尼亚州消费者隐私保护法案》(California Consumer Privacy Act,CCPA)、《数据管护法案》(Data Care Act,DCA)以及《外国投资审查法案最终规则》等,与此同时,美国还在其CLOUD法案中引入了适格政府的概念,对他国获取数据资源的资格进行限制,从而将他国政府获取数据资源资格与该国政策、法规、技术甚至是意识形态等层面相关联,并保留了对“适格政府”的最终解释权。
2.2欧盟的数据主权战略
与美国从商业角度出发看待数据主权和保护不同,欧盟的数据主权战略更多从个人数据权益出发。具体而言,其数据主权战略分为对内和对外两个方面。对内,在欧盟内部构建数据自由流动的“泛欧数据市场”;对外,采用适格政府标准,严格管控数据的跨境流动。
1)在欧盟内部构建数据自由流动的“泛欧数据市场”。欧盟成员国之间具有相似的历史文化背景和良好的合作基础,其数据的生产、流通和利用等环节也大多发生在欧盟内部,这为其构建“泛欧数据市场”创造了绝佳的先天条件。与此同时,数据竞争态势的加剧和欧盟内部数字市场长期分化的问题也亟须欧盟出台相应的数据主权战略。早在20世纪80年代初,欧盟就出台了政策推动欧盟内部个人数据的自由流动,后又于2019年出台了《欧盟非个人数据自由流动框架条例》(Regulation on a Framework for the Free Flow of Non⁃Personal Data in the European Union),与之前的个人数据自由流动条例相辅相成,共同促进欧盟内部的数据流动。2020年,欧盟出台的《欧盟数据战略》(A European Strategy for Data)提出要打造一个共同的欧洲数据空间,构建大规模数据池以支持欧盟内部成员之间的数据交流和使用,从而使欧盟在数据发展浪潮中占得先机。
2)采用适格政府标准,严格管控数据向第三方国家流动。早在1995年,欧盟就出台了《个人数据保护指令》(Data Protection Directive,以下简称《指令》),其中第25条第1项规定“只有当第三方国家通过相关国内法或者国际承诺,能够对个人数据提供充分保护时,才允许欧盟公民个人信息的转移、存储到该第三方国家进行处理”。如第三国不满足“充分保护”标准,则需要各国分别认可。可见,在《指令》下,欧盟成员国向第三国的信息数据传输存在两种路径,第一种即直接向符合“充分保护”认定标准的第三国直接传输,另一种路径则是通过“个体认定”,对于未通过“充分保护”标准的第三国而言,向其传输数据需要满足《联合企业规则》和《标准交易条约》标准并经个别数据主体的同意。除此外,还有一些成员国进一步针对数据的跨境流动要求进行备案或者获得许可。不过,由于《指令》出台较早,存在与当前技术发展水平和经济全球化程度不适应的问题,欧盟内部亟须一个兼具凝聚力、普适性和平衡性的关于数据保护的法律框架来为各成员国提供更加充分的数据主权方案,因而一直以来欧盟都试图对《指令》进行修改。2013年,棱镜门的曝光进一步促使欧盟内部对其数据主权保护进行反思,并最终于2016年颁布了《通用数据保护条例》(General Data Protection Regulation,GDPR),经过两年缓冲期后于2018年5月份正式生效。GDPR中的许多条款继承了《数据保护指令》中的条款,但更加注重强调消费者的权利和提升效率,自其2016年出台以来就被人们普遍认为是当前世界范围内最为严格的数据保护法案。
GDPR引入了数据保护影响评估机制(Data Protection Impact Assessment,DPIA),对数据处理行为进行安全性审核,以保障个人数据权益。与此同时,GDPR第5章中就数据跨境进行了规定,被视为欧盟数据主权保护的核心法案。对于判断数据传输第三国是否可以被作为数据传输的对象,其衡量准绳沿用《指令》的适格政府标准,而评判是否能够充分保护的标准包括第三国的法制、技术、是否加入国际公约和多边协议等。评估采取周期性审核的方式,至少每4年评估一次,并将评估后的第三国名单写入欧盟官方期刊中,公布于官网。当有信息显示,第三国或第三国的一个或多个特殊部门或国际组织无法再提供对数据充足的保护时,欧盟委员会应对其进行核查,通过制定不具有溯及力的实施性法案,在必要期限内废止、修正或终止其能够为数据提供充足保护的决定。而在具有高度正当性的紧急状态下,欧盟委员会应该立即根据上述审核程序制定实施性法案。值得注意的是,GDPR在第48条提到了不同国家之间司法冲突的问题,规定任何法院判决、仲裁决议以及第三国执行机构的决议,若需要数据控制者和处理者对其进行数据转移和披露,需要同时满足以下两个条件才能够被认可和执行:①该判决、裁决或决定必须是基于提出要求的第三国与欧盟或其他欧盟成员国之间签订的法律互助协议等国际条约的;②该判决、裁决和决定不会对其他数据的转移形式造成消极影响,这在一定程度上抵御了美国CLOUD法案带来的潜在负面影响。
总体而言,美欧的数据主权战略起步较早,且具有良好的动态性与持续性,能够较好地适应技术环境与竞争态势转变所带来的数据主权需求。从权力维度上看,美欧的数据主权战略将宏观、中观与微观层面有机结合,能够较好地保障权力客体的覆盖范围及合理性;从权力内容上看,涵盖了数据资源的所有、使用和发展等多个层面,现阶段尤以数据的所有权为战略重点,其中的数据跨境更是成为当前国家数据主权战略竞争的关注焦点;从权力形式上看,已形成了法案、指南、框架、标准以及协议等多种形式和层级的权力形式,具有良好的体系性和结构性,可以通过不同权力形式的相互配合与辅助完善其数据战略体系。二者的差异在于,美国更加偏向从商业和国家安全角度看待数据主权战略,倡导以行业自律和市场调节机制为主的松散治理,其实质是希望通过自身的产业和技术优势不断吸引全球数据汇聚至美国,形成数据的马太效应。但实际上,美国对于数据的出境却并未真正放松,综合利用意识形态、技术水平等手段不断提升他国获得美国数据的门槛。而欧盟则更多从区域发展和个人权益去看待数据主权战略,通过构建“泛欧数据市场”,以“内松外紧”的形式主导其数据主权战略。其目的是提高欧盟数据市场的独立性和竞争力,抢占数据发展先机。
3 启示与建议
国家数据主权战略不仅可以从历史时间坐标中探索其发展脉络与形态,还可以从世界空间坐标中借鉴其发展经验与规律,并将其放置于我国语境下加以重新审视,使构建的国家数据主权战略在扎根本国发展土壤的同时汲取他国发展的丰厚营养。从时间上看,我国数据主权战略起步较晚,直至2015年国务院印发的《促进大数据发展行动纲要》中才正式提出国家数据主权概念,要求在大数据发展进程中提升网络空间数据主权保护能力。从内容上看,我国于近年来相继出台了《国家安全法》《网络安全法》《数据安全法》等专门化法案,从法律层面保障国家数据主权,同时,我国还先后推出了《国家网络安全战略》《信息安全保护等级管理办法》《关键信息基础设施安全保护条例》《信息安全技术数据出境安全评估指南(草案)》等办法、条例和指南,为贯彻、落实数据主权保护给出具体方案。除此外,我国还将保护客体范畴扩大至个人数据层面,出台了《个人信息保护法》和《个人信息和重要数据出境安全评估办法(征求意见稿)》。总体上看,我国当前的数据主权战略正处于快速发展期,但发展模式和路径仍有待清晰、数据主权战略体系化和结构化有待提升,存在“哪痛医哪”的问题,相关法案、政策及指南等过于零散,配合度不高。同时,在应对以美国为代表的“长臂管辖”策略上,我国数据主权战略域外规制效力也有待提高。上述情况与我国数据大国的地位和数据强国的目标不相符,可以从以下几个层面寻求改善:
1)确立明晰的国家数据主权发展战略及路径。目前来看,我国的数据主权战略及发展路径尚不完全清晰,囿于较晚的起步时间和建设周期,并未形成上述美、欧等国家清晰、明确的国家数据主权战略发展路径。因此,我国应在充分认识当前数据发展阶段的基础上,根据我国的数据发展目标,建立清晰、完善的国家数据主权战略,规划数据主权发展模式、路径等关键内容,并制定相应的国家数据主权治理体系。本文认为,欧盟的“泛欧数据市场”模式对我国数据主权战略具有参考意义,内松外紧的数据主权策略不仅能促进数据资源在国内的有效传递、开发与利用,也能较好地保证跨境数据的安全性。
2)构建具有中国特色的国家数据主权战略治理体系。我国的数据主权战略以《网络安全法》和《数据安全法》为核心,并围绕其不断进行标准、办法等政策增补,但仍存在着相关规定较为零散,隶属于多个独立政策之下的情况,缺乏宏观层面上的体系性设计,并未形成美、欧等国数据战略中不同法案、政策以及标准等相互配合、共同协作、彼此协调的关系。现有法案、政策和标准的主要内容也集中在数据的本地化存储和数据跨境时的安全评估层面,但是对数据的阐释、应用以及发展等层面并未做出有效规定。而实际上,数据所有权只是国家数据主权的权力内容之一,如何促进数据高效流通、利用并发挥最大潜能,既是国家数据主权权力内容的重要组成部分,也是其最终目标。一方面,应加快推进国家关键数据基础设施建设,鼓励数据技术和安全技术研发,制定并修订专门化制度,从低、中、高三个层级构建国家数据主权战略与治理体系。另一方面,应彻底扭转当前“哪痛医哪”的数据主权保障策略,加强我国数据主权战略治理体系的顶层设计,全方位审视国家数据主权的权力内容、形式、维度和数据资源类型需求,构建适用于我国国情的,具有系统性、适应性的数据主权战略治理体系。
3)加强多边国际合作,增强数据治理话语权。互联网空间的无边界性使得国家的网络行为具有高度的全球联动性,一个国家不可能完全独立于他国行使自己的数据主权,也不可能在离开他国参与下独自承担维护世界网络空间有序发展的重要责任。尽管数据主权强调国家在数据层面的绝对性和排他性权利,但是在全球化和分工合作化的时代背景下,国家数据主权的维护同样需要发展多边合作关系,从僵化的单打独斗模式转化至彼此依赖的网络空间命运共同体。因此,我国应该积极与他国开展合作,解决数据跨境流动层面的问题,与此同时不断完善现有规则中有关域外适应性的内容,修订当前的数据保护法案,对数据跨境流动和调用的管辖要求进一步细化,提升我国数据主权保护的防御能力,提升我国数据主权战略的域外规制效力。同时,还应对域外数据获取与调用内容加以补充,提高我国跨境数据获取和调用能力。针对这一问题,尽管我国于2018年出台的《中华人民共和国国际刑事司法协助法》中规定了我国向外国政府请求提供的证据类型中涵盖数据,但是由于该法案仅适用于国际刑事司法领域,并且关于数据的规定仅见于法案第4章第4条,并不能看作是一部完整意义上的数据跨境调用法案,并且该法案也无法摆脱司法协助辐射范围有限、程序烦琐等缺陷,更加完善并高效的方式仍然亟待提出。
