摘要:尽管数据主权已经成为各个国家处理数据问题时的根本指针,但其法律意涵尚未得到充分阐明,保护手段也因此未成体系。研究数据主权的法律意义及其规制和保护路径,有助于为中国数据主权的体系化建构提供理论依据。通过案例与文献分析,揭示数据主权的内外两层含义,并沿着内外属性提出对数据主权保护路径的思考。根据中国实际情况,国家主权原则既要毫不动摇地坚持在数据领域的可适用性,又要充分发挥其弹性特征,灵活调整对不同数据的适用力度。在体系构建方面,数据主权的对内向度决定了国家应当对数据进行有效控制,对外向度则要求中国积极参与到全球数据治理中去。具体说来,就是充分提升数据保护能力、加大数据控制能力、保证数据参与能力。
关键词:数据主权;数据治理;弹性主权;数据分级;国际合作
2021年5月25日,美国电动汽车及能源公司特斯拉(Tesla)宣布已在中国建成数据中心,实现数据存储本地化。2021年7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。这两次事件首次将数据安全带入大众视野,中国社会开始热议“什么是数据”“数据对一个国家意味着什么”。作为网络空间的重要产物,数据不仅承载着巨大的经济价值,它们还与国家安全的各个方面休戚相关,这使得国际社会开始就全球数据治理展开深入研究与交流。
当任何一个新兴领域走入国际法治视野时,各国首要争夺的便是对这个新兴领域的权力分配。主张权力分配,离不开对《联合国宪章》确立的首要国际法原则“国家主权原则”的辩争,数据领域亦不例外。中国在积极参与推动构建全球数据治理体系时,应当先行明确几个关键问题,第一,“国家主权原则能否适用于数据领域”;第二,“如果不适用,理由何在?如果适用,那么国际法视角下的数据主权到底是什么”。回应第一个问题将解决主权国家自主治理数据的合法性问题,回应第二个问题则将解释为什么一定要将数据治理上升成为国际法议题。接下来,本文将围绕这两个问题展开论述。
1数据对传统国家主权理论的冲击
1.1数字时代下数据呈现的整体态势
数据的本质是人类发明的一种符号,是能够被输入计算机并接受计算机程序处理的二进制编码,这些二进制编码在接受处理后,能够传达出其表达的内容。数据最显著的特征是无形性、可分性、可移动性且在计算机设备的连接下具有互通性。这些特征决定着数据很容易被分解或重组,不同部分也经常会被存储在不同地点。
进入21世纪以来,人类社会正式步入以智能应用为核心的数字时代。过去十年,数据总量呈现出指数级增长。总量的强劲增长要求存储数据的硬件设备数量随之增长。从2020年到2025年,全球存储容量预计将以年均19.2%的增长率扩张,但即便如此,后者的增长速度也远远不及前者的产出速度,这就使得新数据产出的同时旧数据被不断移除,数据成为了典型的时效品。这一时效品是高度类型化的。按照来源划分,数据主要包括国家数据、企业数据、机器设备数据和个人数据;按照功能划分,数据可以分为核心数据、重要数据、一般数据和无效数据。总之,切入角度越多,数据种类就越多。然而,无论如何归类,数据的价值始终以人类的参与为前提,所以数据归根结底是人的数据。
1.2数据主权与传统主权的理论错位
威斯特伐利亚体系要求一个文明国家将自身的管辖权力限于其领土范围内。随着愈发多的国家接纳了这一要求,“属地管辖原则”发展成为国家管辖理论的核心内容。然而,数据的出现,更确切地说是互联网的出现,却与传统理论形成了鲜明错位。
第一,数据的无形性和可分性突破了主权与疆域的吻合关系。举个例子:以A国公民为对象收集的数据被存储于B国,此时哪国可以对数据主张主权?对内主权下的国家对领土范围内的一切人事物享有最高管辖权,对于有形物而言,开展这种管辖具有可行性。但是在本例中,数据的无形性首先对“数据所在地”的判断标准提出了挑战。在互联网的支撑下,个体产生的数据可以做到即传即达,当下在A国看到的数据同时可以在B国、C国被看到,这就使得以“视觉”为标准的“数据所在地”论不具有现实意义。于是,“数据访问地”和“数据存储地”两大标准便成为了论争的焦点。随着互联网和计算机在全球范围内的普及,“数据访问地”标准在司法实践中的可操作性越来越低,相比之下,“数据存储地”标准成为主流。在“美国政府诉戈尔什科夫”案中,法庭认为,身处于美国的被告人访问了存储于俄罗斯的数据,此时数据所在地应当是其被存储的地方。“数据存储地”标准的合理性就在于存储数据的服务器是有形物,服务器所在地国可以通过对服务器主张主权,从而间接实现对数据的主权主张。
第二,数据的可移动性和互通性突破了主权的绝对性特征。主权意味着一个国家在国际关系中可以保持独立。过去几个世纪国际关系和国际法发展的成果表明,这种独立性不仅指一个国家可以排他地在其领土内行使各项权力,更意味着这种权力的行使可以摆脱其他国家的干扰。这使得国与国之间的界限愈发重要,国界也成为了主权国家确定自身权力范围和判断他国权力入侵的重要参考。但互联网中的数据却逐渐模糊了这一界限。
在“雷诺诉美国公民自由联盟”案中,法官斯蒂芬斯指出,互联网成为了人类沟通与交流的全新且独特的媒介。之所以说它独特,是因为互联网构建起的网络空间并不存在于一个具体的地理位置,有了互联网,任何人在任何地点都可以进入这个空间。而产自这一空间的数据则更加特殊,因为它们看似随处可见,实际上却无处可寻。这是基于数据的可移动性和互通性做出的绝妙论断,同时又道出了数据相较于传统主权理论的特殊性。因为绝对主权不仅令主权国家对其领土及领土上的一切人事物享有排他管辖权,还意味着其他国家未经其同意的对其领土及其领土上的一切人事物实施管辖的行为将被归结为对主权的侵犯。但一旦将管辖对象置换成数据,问题就出现了。举个例子,A国无法对以A国公民为对象收集的数据(未存储于A国)主张完全排他的管辖权,因为网络空间中的这些数据可随时为B国在不经A国同意的情况下收集、分析与处理,而B国的行为很难被直接认定为侵犯主权。总结起来便是,国家一方面对数据主张主权,另一方面又会发现,传统的管辖方式得不到适用。
2数据主权的定义及规制数据主权的三重进路
2.1数据主权的法律化表达
数据的特殊性决定了数据主权的法律化表达殊为不易。抛开诸多个性化观点,主权必然包含了三层内涵:最高统治、在领土范围内、独立于其他国家。但是放到数据之上,它似乎一条都满足不了。这就会令人质疑,如果数据主权成立,那么数据主权的具体内容到底有哪些呢?国家如何去行使数据主权呢?这些问题归根结底肇始于数据主权的定义。学界目前对数据主权的理解主要强调的是国家对国家数据和本国公民数据拥有所有权、控制权、管辖权和使用权。这种理解把握住了传统主权理论的核心要素,但是为了回应数据带来的理论冲击问题,数据主权的法律化表达应当更加细致深入。
按照塔林手册的划分,网络空间可以被划分为三个层次:物理层、逻辑层和社会层。这个划分同样可以适用于数据。在物理层,数据主要存储于一些硬件和电子基础设施之中,作为典型的有形物,硬件与电子基础设施所具备的物理属性解决了存储其中的数据的地域归属问题,国家对这个层面的数据行使最高权力是不容置疑的。在逻辑层,各种电子设备在关联中,必然涉及保障数据在物理层交换的协议,国家可以依据立法权要求数据交换协议记载附加义务,例如安全传输义务、加密传输义务、安全认证义务等等。在社会层,个人和团体的活动作为数据产出的根本主体,国家有权对位于领土内的自然人和主要营业地在领土内的法人的数据活动进行直接规制。
至此,在对内主权方面,数据主权应当理解为国家对领土范围内的一切电子信息通信技术设备所承载的数据、一切电子信息通信技术活动所产生的数据以及一切以国内主体为中心,反映国内主体活动内容的数据享有最高的排他性权力。
数据之所以值得被讨论,就是因为它是活的,实时流动中的数据蕴含着巨大的经济价值。没有任何证据表明,单纯拥有数据就能够加快经济发展速度、提升经济发展质量。当今世界,建立起数据优势的国家不是因为占有数据的绝对数量大,而是因为分析数据、利用数据、通过数据创造实际价值的能力强。这就要求主权国家不仅仅要正确看待数据的跨境流动,还必须要鼓励数据的跨境流动,这对国家正确认识数据的对外主权提出了新要求。
对外主权的核心是国家的对外独立性,这意味着一国有权基于自身需求,制定内外政策、开展国际交往,而不受到任何外国的任何形式的干预。但也要看到,“二战”结束后,国际社会趋向一体化,即便国与国间仍然存在博弈与对抗,但总体上讲,和平与发展仍然是当今世界的主题,合作与交流仍然是诠释这一主题的主要方式。所以主权的存在绝对不意味着自我隔绝、封闭脱钩,而是要求国家积极主动地参与到各项国际事务中去。这个要求在数据领域显得更加突出。一方面,数据已经成为创造和捕获价值的新经济资源。数据的获取和利用成为了实现技术突破、引领商业发展的源动力,“数据具有重要的财产价值”为社会广泛认可。因此,只有让社会中的数据要素充分涌流,世界经济发展才能不断向好。另一方面,现行国际体系和国际秩序的核心理念是多边主义,国际规则应该是世界各国共同认可的规则。在探索数据治理的过程中,应当吸取历史上“西方中心主义”带来的经验教训,坚决避免因国内法向国际法的过度渗透而带来的数据霸权主义。
至此,在对外主权方面,数据主权应当理解为国家自行制定数据政策、完善数据立法、健全数据治理,而不受到任何外国干扰的权利以及独立平等地参与国际数据治理、开展国际数据合作的权利。
2.2规制数据主权的三重进路
数据主权的内外向度决定着对它的规制存在多重路径。偏重内向度即意味着看重“数据安全”,偏重外向度则意味着看重“数据自由/发展”,而在这个平衡的过程中,往往会出现第三条路径。
2.2.1强数据主权:一条严格限制数据跨境流动的进路
所谓强数据主权,意指一国为保护国家主权和安全而采取绝对禁止或严格限制数据跨境流动的举措。强数据主权坚守着最传统的主权观,将国家对数据流动的干预最大化。实际上,当今世界没有国家不会对数据跨境流动作出限制,这往往是基于国家安全和公共秩序的考量。当前,“安全例外”已经成为国际经贸领域的重要原则之一,《关税及贸易总协定》第21条明确规定国家可以出于保护其国家安全利益的目的而采取例外措施。在《区域全面经济伙伴关系协定》(简称“RCEP”)中,第15条更明确授权缔约国可以基于安全利益考虑对数据跨境流动采取一切必要的限制措施。尤其应当注意到,数据来源主体的多样性正在大幅削弱国家干预数据流动的能力。随着互联网巨头的不断涌现,大型互联网企业掌握的重要数据愈发多,某些情形下甚至已经超过了政府部门所掌握的数据。从本质上讲,以资本为根本驱动力的大型企业与国家追求的数据主权极有可能是冲突的,前者受各方资本力量的裹挟而刻意削弱对某些重要数据的管控并不少见,这就要求国家必须以主权者的身份释出限制性命令,从而保证载有重要内容的数据不出境。
主张强数据主权,从根本上讲是全球信息通信技术强弱不均导致的。在全球现有的13台域名根服务器中,美国掌握着唯一的母根服务器和9台辅根服务器,另外3台分别位于欧洲和日本。长期以来,美国通过垄断互联网域名体系、根服务器等关键技术资源不断向别国施加“断网”威胁。虽然美国已于2016年将对根服务器的管辖权交由全球共治,但是由于现行国际互联网域名解析体系仍然采用“中心式分层管理模式”,所以从域名解析角度看,各国的互联网运营仍然高度依赖位于美国境内的母根域名服务器。当前,包括中国在内的一些国家在本土已建立有镜像服务器,一定程度上保证了这些国家域名访问请求解析的自主性和有效性,但由于镜像服务器直接由根服务器复制而来,所以一旦美国政府操控根服务器将某国顶级域名直接抹去或拒绝某国的域名访问请求,则镜像服务器仍然摆脱不了根服务器的钳制。“棱镜门”事件爆发以来,在信息技术上处于明显劣势的国家更易基于实用主义,采取以加强自身对数据的控制权为核心的自助方式,从而尽可能保障自身安全。因此,对于绝大多数国家而言,他们限制数据跨境流动有着必然合理性,当然限制也不能过度。这首先是由数据的自身特性决定的。数据只有流动起来才能释放最大的经济价值。过去十年,数据跨境流动至少使全球经济总量增加了10%。过度限制意味着数据很难主动获得与境外交流的机会,从而失去数据流附加值的积累。更为现实的是,数据也很难被限制。这涉及到一个自我防御和被动承受的问题。无论一个国家的数据主权如何强势,在面对其他国家更为发达的信息通信技术时,它总可能陷入被动的自我防御,这种能力上的差异是无法通过国家政策予以弥合的。因此,强数据主权进路存在着明显的不可操作性。
2.2.2弱数据主权:一条追求个人数据权益保护的进路
强数据与弱数据是一对相对的概念,弱数据主权并非不关注对国家主权和安全的保护,而是考虑到某些国家或地区在数据政策的制定上更加侧重对人的保护,故相比之下称之为“弱”。提到对个人数据权益的保护,欧盟是应当且首要考察的样板。
2000年,在“罗塔努诉罗马尼亚”案中,欧洲人权法院指出,个人数据是指与个人相关的一切数据。这些数据不论敏感与否,只要与个人相关,就应受到欧盟成员国的保护。2002年,欧盟委员会颁布第58号指令进一步完善对个人电子通信和隐私的保护。在随后的“福利党诉土耳其”案中,欧洲人权法院重申国家是个人权利和自由的保护人,欧盟成员国均应当积极保障《欧洲人权宪章》下欧盟公民享有的各项权利。因此,欧盟不仅负有不得侵犯公民隐私的消极义务,同时还应当采取有效举措积极保护公民隐私。2012年,《欧盟基本权利宪章》第8条正式确立人享有数据受保护的基本权利。2016年4月,欧盟委员会通过《一般数据保护条例》(简称“GDPR”),该条例完整建立起了个人数据的法律保障体系,不仅全面展示了欧洲对个人数据权益的偏向性保护,更在全球范围产生重大影响。为回应GDPR对数据跨境流通提出的新要求,美国政府与欧盟进一步推动有关数据跨境传输协议的谈判工作,双方于2016年7月达成《隐私盾协议》。2020年,欧洲法院最终裁定《隐私盾协议》无效。欧洲形成的个人数据保护体系从根本上反映的是欧洲大陆传统的西式文明。长久以来,欧洲国家认为只有“欧洲文明”才是“文明”,只有“欧洲人权”才是“人权”,欧洲社会的治理深受其影响,数据领域亦不例外。GDPR的一大目标就是向全世界输送欧洲价值,从而实现欧洲标准的全球化建立。然而,各领域迹象表明,欧洲正在被其坚守的“文明论”“人权论”所反噬。近年来,欧洲在整体数据安全保障方面裹足不前。当前,中国和美国占全球物联网支出的50%,占全球公共云计算市场的75%,占全球70个最大数据平台市值的90%。这让欧盟意识到其对数据缺乏有效控制,直到2020年欧盟才真正从区域安全的战略高度关注到数据主权。
2.2.3有弹性的数据主权:一条突破传统主权理论的进路
国家总是基于客观世界的变化而对主权产生着不同向度的新认识,随后为获取国家利益而在不同向度间进行利益权衡。在数据跨境流动方面,数据的属性决定了主权理论不能脱离有形领土却也不能囿于有形领土。有弹性的数据主权就是强调对数据的管辖主张不仅要立足于领土,也需要结合国家的需求适度扩张。强调前者是因为威斯特伐利亚体系将主权与领土相结合的观念在可预见的相当长的时期内不会被动摇,强调后者则是因为在全球化时代,以有形国界为限的管辖已无力应对信息通信技术变革带来的挑战。概言之,有弹性的数据主权理论既不会因一律禁止或限制数据跨境流动而导致数据失活,又不会完全松怠对数据的规制而埋下危害国家安全的隐患。具体说来,一国应在尊重威斯特伐利亚体系确立的主权观念之上,以安全有序、开放合作为导向,制定不同的治理规则,以调整不同主体之间的,主要是国家与国家之间的数据冲突。
从纵向关系上看,数据主权的弹性要求主权国家保持高度克制。这意味着国家要对数据进行有效控制,但不应当追求绝对控制。实现有效控制,重点是对关键信息基础设施的控制。关键信息基础设施紧密对接国家安全基本面向,是涉国家安全数据的根本载体。对涉及政治、领土、军事、社会、经济、文化、科技、资源、生态、生物安全以及其他非传统安全的数据,应当持控制立场。对其余的通用数据,则应当持流动立场。克制还体现在对涉国家安全数据的层级划分上。即便都是涉及国家安全,数据也应当有层级之分,至少包含顶级数据和二级数据。与数据层级相对应的是控制举措的等级结构。处于金字塔塔尖的应当是强数据主权路径下的绝对禁止措施,之后是严格限制措施,接下来是审查筛选措施,直至与通用数据相对应的鼓励流通措施。
从横向关系上看,数据主权的弹性要求主权国家推动多元共治。多元共治是国家在数据治理领域保持高度克制的必然结果。一方面,从治理逻辑层面看,处于流动状态的数据总是占据数据整体的大多数。这种全球性流动只能通过共同治理才能实现有序。而从经济价值层面看,正是因为流动着的数据才具有生命力,所以鼓励数据流动才成为国际社会的主流立场。当越来越多的国家都对数据保持开放时,允许多元声音存在的治理模式成为唯一选项。另一方面,当新的技术变革与旧的社会理论发生冲突时,总是需要后者做出转变。弹性主权的提出正是对传统主权理论内核和数据自身特性的一种妥协,多元共治便是妥协下的产物。最后,保持高度克制、推动多元共治确立了对数据沙文主义的反对立场。保持克制不仅要求国家对内以分级治理为核心思路,还要求对外摒弃单边主义的霸权思维。数据始终以开放一体、互联互通的互联网为载体,数据的特性应当得到维护而不是破坏,主张数据主权也并非要使数据治理碎片化、孤立化,而是要在不触及国家安全与稳定的前提下,最大限度拉近国家之间的技术鸿沟,尽可能地推动数据资源平等分配。这一过程就体现了多元共治的价值。当越来越多带着私域治理思维的国家开始结合公域治理思维治理数据时,数据和谐作为人类的共同价值追求才能逐步与数据霸权分野。
3中国数据主权的体系化建构
中国语境下提出的数据主权,从根本上讲是为了保护国家主权、安全和发展利益。具体说来,中国数据主权的内涵可以总结为“3P”:数据保护权(Data Protection)、数据控制权(Data Possession)和数据参与权(Data Participation)。中国数据主权的体系化建构应遵循弹性主权的基本内容,围绕这三个方面有序展开。
3.1加强数据保护,坚守国家主权原则
国家主权原则起步于西方世界,又为西方世界不断演绎和解释,如今已经深深根植于国际法学的理论发展和国际关系的全球实践中,这就解释了无论新兴领域如何涌现,国家主权原则为什么总是能够为东西方世界共同接纳,总是能够成为国际社会的首要共识。今后,人类缔造的新空间或许会越来越多,在不同空间也会出现不同的规则,但这些具体规则总是建立在领土主权神圣不可侵犯的基础之上。换言之,只有承认了主权原则的一般适用性,才有可能出现特殊领域的例外性,这恰好反映出了主权原则的弹性。
在数据领域,同样要坚守国家主权原则的直接适用,这与我国长期持有的主权立场和对新兴领域的治理态度完全一致。强调直接适用,就是明确主权原则可以产生数据领域的行为义务,从而敦促世界各国,尤其是信息通信技术强国受到以国家主权原则为核心衍生出的一系列国际法义务的约束。强调直接适用,还是因为考虑到数据保护和其他空间的保护总是类似的,是矛与盾的结合,在外国的行动受到约束的同时,国家可以根据主权原则,站在道义高点合理合法地布局自卫行动。
3.2加强数据控制,实施数据分级管理
加强对数据的控制是体系化建构数据主权的核心环节。当前,实施数据分级管理是加强数据控制的有效途径之一。我国《数据安全法》第21条已明确规定国家建立数据分类分级保护制度。接下来的重点工作就是将这一制度具体化。
第一,实施数据分级管理,应当界定数据类别。数据固然有价值,但并不是所有数据都有价值,因此对不同价值的数据实施不同级别的管理符合惯常逻辑。设定级别的前提是对数据类别进行界定。当前中国主要将数据划分为核心数据、重要数据和非重要数据。但比对《数据安全法》第21条对核心数据的界定以及《数据出境安全评估指南(草案)》对重要数据的理解,会发现现行规定下的核心数据与重要数据存在明显的内涵重叠。
考虑到“上位法优先”的原则,核心数据的界定应当在结合《国家安全法》第2条的基础之上,延续《数据安全法》的内容,可确定为“可能影响到国家政权、主权、统一和领土完整、人民重大福祉、经济社会可持续发展和国家其他重大利益的数据。”
重要数据则可以摒弃具体概念,融入“后果标准”予以判断,确定为“一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成若干严重后果的数据。为避免对重要数据的界定过于宽泛,相关行业主管部门及行业协会应当结合实际,进一步明确本行业重要数据的范围和判断标准。同时,为解决核心数据和重要数据的内涵重叠问题,对核心数据的认定应当由国家数据安全工作协调机制统筹协调有关部门单独确认。
第二,实施数据分级管理,应当确立管辖依据。对于收集或产生于中国境内的核心数据,应当采取“国家完全控制,严禁数据出境”的立场,为履行相关国际条约规定的义务或其他情况下需要采取的例外性立场,则应当由国家数据安全工作协调机制统筹协调有关部门单独确认。对于其他数据,应当以《数据安全法》第11条为原则,促进数据跨境安全、自由流动。而对重要数据的控制,则是本部分讨论的重点。
控制好重要数据,就是保证收集或产生于中国境内的重要数据不轻易出境。换言之,就是在防御端严格对数据的管辖。根据上文论述可知,只通过一个标准很难完成对数据的管辖全覆盖,鉴于此,对重要数据的控制应当多标准并用。首先,对于数据基础设施,应当坚持“数据本土化”。《网络安全法》第37条已经为关键信息基础设施的运营者设定了“数据本土化”的法定义务。对数据的本土化,就是对用以存储数据的基础设施的本土化,这样可以最大限度地突出数据的物理属性,将对数据的管辖与传统国家主权原则建立联系,从而确保一国对存储于其境内的所有数据享有属地管辖权。其次,对于数据主体而言,应当坚持“国籍管辖原则”。对于数据主体而言,他们的国籍总是相对确定的。将国籍与数据的管辖建立联系就意味着,无论数据主体处于一国领土范围以内还是以外,其利益、关系、资格和行为都将受到国籍国管辖。“国籍管辖原则”在实践中可能遇到的困难在于,企业的注册地如果在中国境外,且企业的代表不具有中国国籍,此时如何对这种企业掌握的数据进行控制?应当注意到,在这一事例中,“企业在中国境内进行实质运营”成为了中国与该企业的重要连结点。此时,可通过回归“数据本土化”的法定义务解决对这类企业的数据控制难题。
3.3加强数据参与,推动数据主权合作
中国为什么要参与到数据的全球治理中去,推动数据主权的合作?当前,国外有一些研究成果带有明显的主观恶意,诋毁中国的数据政策,将中国的数据参与称为“新殖民主义”或“技术霸权”。对于这样的评价,中国应当发出回应。
第一,国际合作原则是一项最根本的国际法基本原则和国际关系基本准则。国际条约的发展史就是国际合作原则不断补强的历史。“二战”结束后,《联合国宪章》第1条将促进国家间的各领域合作确立为联合国四大根本宗旨之一。此后,国际合作原则渗透进入国际治理的各个领域。早在1970年,《关于各国依联合国宪章建立友好关系及合作之国际法原则之宣言》就提出各国应在经济、社会及文化方面以及在科学与技术方面彼此合作。数据领域虽然是新兴领域,但它始终跳脱不出经济、社会、文化、科技的范畴。因此,谈到国际合作,数据领域很难被认定为例外。
第二,数据主权合作的主张是基于对主权理论的全面理解提出的。在既有的治理领域中,国际社会总是难以避免某些强大的参与者以自身好恶左右国际规则的制定。这种霸权思维甚至会通过强力迫使国际社会的众多弱小参与者屈从。在新兴的数字领域,如果不扼制这种情状,那么数字霸权只会在既有的技术霸权基础上更加突出。为了扭转西方文明的傲慢与偏见,一个重要策略就是对现有国际法体系中所谓的“道德标准”进行革命,在文明兼容的框架内找到真正能够为各种文明都接纳的公正标准。
面对经济全球化和风险全球化,主权国家已经无法摆脱相互依存的客观事实。21世纪的第二个十年充分表明,以合作求得人类社会的存续和进步才是理性选择。这就要求国家间应当向着“正和博弈”的方向努力,在交互理性的基础上通过协商一致和共同行动将风险控制在最低点,而不是在封闭圈子中争夺资源。国际法根植于自然法,自然法就是一种不成文的,但符合人类理性的为世界公认的规则。这种规则不论被置于东西方都可以被文明接纳,不论在何种法系中,也总能看到这些普遍性规则的本地化。相互依存、彼此合作恰恰是人类文明的最高自然法规则,不论是东方文明还是西方文明,都找不到否认这条规则的理由。而这就赋予了主权的对外功能:合作与共进。鉴于此,主张数据主权合作本质上是对主权对外向度的一种实践。
4结论
主权是弹性而非固定的概念,是合作而非隔绝的概念。这应当成为当下对主权理论的基本认知。回到文首的两个问题,第一,国家主权原则能够适用于数据领域。主权的根本性来源是人,主权的合法性依据也来源于人,这是主权理论的内核。随着科技的进步,人类“开疆拓土”的范围已经从过去的陆地扩至海洋,从地表扩至空域,现在又将从现实迈向虚拟。无论“领土”的实质内涵有什么变化,但是“领土”根植于人的结论从未动摇。即便在数据领域,它们也总是产生于人、应用于人,只要这一锚点未曾改变,主权就仍然存在着重要的适用价值。它不仅可以适用在新领域,还可以以其特有的弹性适应新领域的特征。第二,主权理论总有变与不变,它的适用范围不断变大,但是对内核与内外属性的坚守却使主权总是保有价值。对内,主权是一种命令与调控的权力,对外,主权是一种代表与参与的资格。国际法视角下对数据主权的认识仍然要紧紧围绕这两个方面展开。
对以上两个问题的回应,实践中是为了助力中国数据主权的体系构建。上文提出的构建思路从数据保护权、数据控制权和数据参与权展开,体现了弹性主权保持克制、多元共治和反对霸权的基本特征,这是对国家主权原则的坚守,是对“任何国家都无法凭借一己之力管控好数据”这一现状的尊重,也是扼制西方世界傲慢与偏见的思路之一。