[摘 要]:以云计算为代表的信息技术改变了数据与用户的物理联系,模糊了国家的疆界,进而侵蚀了主权国家行使管辖权的基础。基于国家主权原则,数据存储地模式倾向于将数据本地化存储,通过多边法律协助机制协调国际管辖冲突。而数据的无形性导致了国家管辖难以确定与国际管辖难以协调的双重困境。为此,美国云法提出数据访问地模式,在数据跨境执法领域引入“长臂管辖”,试图打造全新的数据跨境执法机制,形成符合其利益的极具单边主义色彩的国际规则。中国应以《数据安全法》和《个人信息保护法》的实施为契机,坚持以数据主权原则作为指引,在保障国家核心数据、重要数据以及个人信息安全的前提下,加强国际数据执法合作,推出数据跨境执法的“中国方案”。
[关键词]:数据跨境;数据安全法;个人信息保护法;数据主权;美国云法
一、问题的提出
随着数字经济的兴起,数据已经成为重要生产要素与国家战略资源,数字化驱动下的全球经济离不开大规模数据的跨境流动。关于数据跨境流动的国际规则也成为全球数据治理的重要组成部分,受到国际社会的广泛关注。实践中,数据跨境不仅包括数据贸易、电子商务等“因私”跨境流动,也存在大量公权力机关跨境调取数据的活动。所谓数据跨境执法(law enforcement access to data across borders),是指国家公权力机关基于行政执法或司法目的而获取存储在他国境内的电子化信息记录。近年来,伴随着犯罪活动的数字化趋势,数据证据亦成为打击网络犯罪的主要证据类型,数据跨境执法已经成为打击跨国犯罪的重要手段。与此同时,新兴技术下的数据特殊性导致数据分布“去地域化”,执法活动受到越来越多的“跨境”因素影响。现有的全球跨境执法机制是基于物理世界规则建构的,实践中往往运行不畅。如果国家间缺乏国际协议,就需要通过“一案一议”的方式调取数据,耗时且低效。因此,如何重塑数据跨境执法机制以满足数字时代的跨境执法需求,成为国际社会面临的紧迫问题。
遗憾的是,国际共识在数据跨境流动领域远未达成,制度分歧导致管辖冲突日常化。一方面,部分国家诉诸“数据本地化”立法,试图将数据“再地域化”。这些法规要求相关企业将本国产生的数据存储在境内,以加强对数据跨境流动的监管。另一方面,部分国家依赖技术优势,推动数据彻底“去地域化”。美国、英国、巴西等国则采取技术和法律手段开展远程数据调取活动。美国2018年出台的《澄清境外数据合法使用法》(Clarifying Lawful Overseas Use of Data Act,即美国云法)授权美国执法机构向管辖范围内的网络服务提供商(ISP)直接调取存储在境外的数据,是为数据“长臂管辖”。为此,我国《数据安全法》与《个人信息保护法》设置了“阻却条款”,强调对境内存储数据的排他管辖。
上述不同立法路径也反映在学者的研究之中。虽然国内外学界均已经认识到数据特性对传统跨境执法机制的冲击,但在管辖模式的选择上观点趋于两极化。美欧学者大多偏向“数据访问地”模式,并从多角度加以论证。他们主张数字时代的法律全球化运动导致域外管辖具备正当性和普遍性;国家管辖框架“去地域化”不仅是提升打击网络犯罪效率的要求,也有助于全球数据产业发展;同时,统一的数据跨境执法规则也可以提升全球隐私保护水平。国内学者多主张在跨境数据执法中坚持“数据存储地”模式。有的学者提出数据取证管辖模式的改变源于各国自身利益最大化对数据资源实施掌控,因此中国的数据跨境执法应以数据主权国家战略为基础。有的学者指出应将涉外刑事司法中的立法管辖与执法管辖进行区分,以此为基础化解跨境调取数据所带来的执法管辖冲突问题。针对各国法律规定分歧加大的趋势,有的学者提出以软法规制的灵活性来协调数据本地化与自由流动的矛盾。上述研究仍然停留在规则层面的讨论,并未结合数据立法的理论基础与治理理念加以分析。
数据跨境执法涉及多重法益,不仅包含数据安全、公共利益、个人信息与隐私保护,也关系到国家主权、数据产业发展、国际博弈等。对数据跨境执法制度的研究,不能忽视对数据法律性质以及数据治理理念的讨论。前者是“数据法学”的根基。数据是无形的,不受疆域限制。物理时空的边界变得愈发模糊,现有法律框架面临着颠覆性挑战。后者则回归到全球网络治理的元问题,即主权国家如何行使对网络空间的管辖。由此产生坚持传统的主权国家模式分割管辖和“网络无国界”放任数据完全自由流动。
基于上述背景,本文直面数据跨境执法的主要困境,梳理数据访问地模式的理论基础与实践演进,分析该模式对传统国际管辖框架的冲击,并结合我国国内制度的进展和完善,提出构建数据跨境执法机制的“中国方案”。文章结构如下:第一部分,提出问题。第二部分,探讨新技术下跨境数据执法机制面临的挑战,指出国内管辖识别与国际管辖协调是当前的主要问题。第三部分,就数据访问地模式的理论提出与实践发展进行深入分析。以“数据例外说”为切入点,梳理各国司法实践,重点探讨美国云法建立的数据访问地模式的运作。第四部分,梳理分析中国立法现状,结合《数据安全法》和《个人信息保护法》相关规定,提出在数据主权的基础上,完善数据本地化立法,构建符合国家利益的跨境数据执法协作机制。
二、云计算下数据跨境执法的困境
云计算是指“在互联网上作为服务交付的应用程序和提供这些服务的数据中心中的硬件和系统软件”。用户使用云计算可以在任何地点创设、修改、存储文档和数据,彻底改变了人们的工作生活方式。然而,云计算削弱了用户与数据的联系:用户并不知晓数据存储地,对数据(包括个人信息)的控制力也远不及个人电脑时代对电子文档的控制。面对这些数据,如何确定国家的管辖权,进而协调国际管辖,成为跨境数据执法中无法回避的问题。
(一)困境一:国家管辖认定困难
传统国际刑事司法领域,国家的管辖以疆域为基础,跨境执法活动也应当在尊重国家主权的原则下展开。电子证据出现后,该原则受到了挑战,各国不仅在管辖认定上陷入困境,而且在国际协作上也显得有心无力。面对日益增长的跨境数据执法需求,传统的国际法律协助机制在执法效率上已经捉襟见肘。
1.数据存储地模式的基础
当前国际通行的跨境数据管辖以数据存储地作为管辖判断标准,被称为“数据存储地模式”。该模式建立在虚拟空间依附于物理空间的判断上,强调主权国家对于数据的绝对控制。很长一段时间,对数据适用属地原则进行管辖是国际社会的共识,并体现在各类国际协议中。
欧盟主导的《网络犯罪公约》(Convention on Cybercrime)提出应对数据施以属地管辖。依据公约,相关机构对存储在他国境内计算机系统上的数据进行远程访问必须获得该国同意。《塔林手册2.0》也坚持数据管辖的属地原则。“对于不可能从公共途径获取的数据,一国只能适用属地管辖,而非域外管辖”,即未经他国(数据存储国)许可,执法机构的管辖止于本国国境。美国司法实践中长期遵循的“领土推定”(territorial presumptions)也是以属地原则作为管辖基础的。1986年《关于〈电子通信隐私法〉的报告》中明确:“本法中涉及访问存储的有线和电子通信的规定只适用于美国境内。”实践中,美国最高法院和司法部对域外执法也持否定态度。
2.新技术对数据存储地模式的冲击
在数据存储地模式下,数据的物理存储地是主权国家行使属地管辖的重要依据。但云计算技术改变了数据访问对存储地的依赖,对数据存储地模式构成挑战。
第一,数据存储地认定困难。云计算突破了物理空间的限制,将执法人员的数据访问地(执法人员所在地)与数据存储地(执法对象所在地)分离,使得搜查行为发生地的确定成为难题。极端的情况下,即使执法人员已经掌握了终端设备及相关账户密码,也无法确定管辖调取数据。
第二,数据访问行为不受数据存储地限制。技术上来说,所有数据都可以通过远程访问获取,而无须物理介入数据存储地。云计算技术赋予了执法人员在境内获取存储在他国数据的能力。执法机构事实上不再需要征得他国的许可和协助,就可以自行完成跨境数据调取。
(二)困境二:国家管辖协作不畅
网络通信技术的普及大大增加了各国数据执法量。随着越来越多的用户数据跨境存储在不同国家的云服务器上,导致大量的管辖重叠和管辖冲突。在数据存储地模式下,各国只能对本国境内存储的数据实施管辖,跨境数据执法高度依赖于各国的协调。
1.传统国际执法协调机制的运作原理
无论是从国内法还是国际法看,一国虽然可以依据国内刑事法律对发生在他国境内的犯罪享有立案管辖权和裁判管辖权,但是原则上并不能行使执法管辖权。实践中,为了协调各国的管辖,国际社会诉诸多边法律协助机制(mutual legal assistance,MLA)。该机制通过一系列的双边、多边条约,打造国际法律互助区,以此解决各国的执法需求。《联合国反腐败公约》第46条规定:“缔约国应当在对本公约所涵盖的犯罪进行的侦查、起诉和审判程序中相互提供最广泛的司法协助。”
国际法律协助机制运转依赖主权国家间的高度信任和合作。相关协助请求涉及国家主权、公共安全和个人权利,稍有不慎可能带来严重后果。因此,无论是请求国还是被请求国,双方均设置了多重程序和审核环节,关联不同级别和不同监管机构。一般而言,协助机制要求各国建立专门的中央机构提出和回应协助请求,该机构通常设在政府的司法部门或外交部门(参见图1)。
2.云计算对多边法律协助模式的冲击
云计算带来的数据定位问题同样冲击了传统的法律协助机制。在跨境数据执法中,数据存储地识别难题加重了机制的负担,也使得各国数据企业频频陷入法律冲突。
一方面,现有的协助机制无力应对跨境数据执法的需求。随着对电子证据的需求的增长,多边法律协助机制所承受的压力剧增,其低效耗时与网络犯罪调查时限性的张力愈发明显。美国司法部在其2015财政年度预算请求中表示,源自外国当局的法律协助请求增加了近60%,而要求获得计算机记录的请求数量在过去10年中增加了10倍。
另一方面,数据服务提供商面临越来越多的法律冲突。从事数据服务业务的大多是跨国企业,它们需要面对不同国家的法律制度。在此背景下,统一而明晰的数据跨境执法国际机制是产业发展的必然要求。但由于各国法律文化、人权保护标准和网络治理方式的差异,法律冲突仍然普遍。如美国的电子隐私保护法(ECPA)禁止美国信息服务者向他国政府披露数据,这与很多国家的立法相悖。当通过传统的多边法律协助机制无法满足需求时,一些国家政府会直接强制服务者提供数据,并追究相关人员的责任。
综上,云计算技术下跨境数据执法已经成为各国无法回避的问题。传统的管辖认定与协调机制基于属地原则,强调数据存储地国家的排他管辖权。云计算削弱了数据访问对数据存储地的依赖,模糊了数据流通的国家边界,冲击了传统“数据存储地模式”。一些国家提出在跨境数据管辖领域应适用新的法律制度,“数据访问地”模式应运而生。
三、数据访问地模式的提出与实践
云计算技术带来的大规模数据跨境流动动摇了传统管辖的属地基础。数据的无形物性质促使一些国家转向数据访问地模式,推动数据跨境执法制度的“去地域化”。
(一)数据访问地模式的理论构建
长期以来,跨境调取证据的对象均是有形实体,其管辖范围受限于国家疆域。当云计算技术普及后,关于数据法律性质的讨论再度兴起。部分学者提出数据的本质不同于传统有形实体,应当打造新的法律制度,是为“数据例外说”(data exceptionalism)。作为无形物,数据具备移动性、拆分性和混同性等特征,这些特征消解了传统物理位置的规范性意义。
1.数据移动性
物理空间中,有形物体受到物理定律的约束,其移动的轨迹和存储地是可识别、可追溯、可选择的,处于一种“稳定”的状态。而云计算下的数据高速流动,系统自动选择传输路径与存储地,具有较强的“去地域性”。人们无法观察、选择数据传输的路径。数据存储地并不固定,可以移往他处,也可能复制、拆分为多个片段分散在境内外不同服务器上。对于用户、执法部门甚至数据服务商而言,数据的状态“不能知、不想知、不需知、不可控”。
这种移动性也引发了管辖上的难题。一是无法明确数据管辖。如微软案中,执法部门强调,如果数据访问取决于服务提供商在特定时刻对存储地的选择,那么数据调取结果将呈现出不确定和“任意性”。二是法律后果不可预测。在云计算服务中,用户对数据移动路径和物理位置丧失控制,因而也无法预测相关行为的法律后果。
2.数据拆分性和混同性
除却快速移动之外,数据的拆分与混同使其处于一种混沌状态,难以适用属地管辖。基于运行因素,云服务提供商经常将数据多地备份在不同司法管辖区的服务器上。此外,为了保障数据使用的灵活度与效率,一条信息(数据)往往被分割成不同的“片段”,只有将存储在不同服务器的片段整合后方可读出完整内容。因此,通过光纤传输的并不是一条条信息,而是一段段数据碎片。不同用户的数据混合在一起,执法部门在执法过程中很难将目标数据从数据流中予以分离。
上述特点使得数据的存储地不再明晰可辨,进而对以属地原则为基础的传统管辖框架造成了挑战。由于现有立法对原始数据与备份数据地位尚无定论,执法机关亦无法区分各存储地的管辖权优先级。对于拆分存储的数据,需要将所有片段集齐整合方可读取。这意味着仅获取本辖区内的片段数据毫无意义,唯有通过不同管辖区的合作方可达成执法目的,这也增加了管辖冲突的可能性。对于混合传输的数据,目前的技术尚不能将目标数据从多个通信传输中剥离,只能将整段通信全部拦截。这将导致非目标用户的数据也暴露在执法部门的检视下,威胁个人隐私。此外,用户身份识别困难加剧了基于属地原则的管辖争议。
“数据例外说”将数据视为传统管辖体系中的“例外”,认为有必要为其量身打造一套新的法律机制。这为执法机构在数据跨境执法领域寻求一种新的模式提供了理论基础。
(二)数据存储地模式的实践突破
面对传统属地原则的管辖失灵,各国执法机构最初是尝试绕过属地判定的障碍,以提升执法效率。
一方面,在管辖判定上弱化数据存储地的绝对管辖,引入数据访问地作为例外。越来越多的国家诉诸新技术获取数据。一是执法人员直接远程获取数据。如United States v. Goshkov案,美国执法人员远程访问并获取了位于俄罗斯境内的电脑上的数据。二是执法部门转移责任,要求“持有、保管或控制”数据的服务提供商交出数据。2015年,巴西政府要求微软巴西分支机构披露存储在美国的数据,微软公司主张遵循美国法律拒绝执行,随后巴西警方逮捕了微软本地工作人员。
另一方面,在行为判定上,将无干涉后果作为跨境执法行为的标准。以往实践中,执法对象所在地(或实际结果发生地)即为执法行为发生地。个人电脑时代延续了该标准,将存储数据的物理设备所在地视为执法行为发生地。这一时期,数据存储地、执法对象所在地、实际结果发生地完全重合,数据存储地模式的适用没有任何争议。
云计算技术将数据与使用者(访问者/执法者)分离,带来了一系列执法实践中的难题,进而造成传统跨境执法机制的架构错位与功能失效。由此,多国执法机构认为,通过远程访问调取数据的行为并未对他国产生“实质”影响,也没有阻碍用户访问和使用数据,因此不构成跨境搜查。
虽然在实践中,执法机构可以通过技术和法律手段回避数据存储地的管辖,但相关行为潜在的跨境属性与传统跨境执法管辖框架并不相容,在国际社会引发了大量管辖冲突。
(三)美国云法:数据访问地模式立法确立
针对实践中不断产生的管辖冲突,美国率先以立法的方式将数据访问地模式固定下来,并试图以此重塑全球数据跨境执法规则。2018年3月通过的美国云法将跨境数据执法的争论推入了一个新的阶段。
该项立法的源头可以追溯到“微软爱尔兰案”。2013年,美国执法机构在案件调查中发现相关数据存储在微软公司设置在爱尔兰的服务器上,因此向美国法院申请令状调取数据。该案争议的焦点在于美国执法机构能否依据法院搜查令获取美国网络服务提供商存储于境外的数据。执法机构认为,搜查令的对象是美国公司,自然具有法律效力。而微软站在数据存储地模式的角度抗辩,提出数据处于爱尔兰政府管辖,应当通过国际司法协助机制协调数据调取。案件引发了数据存储地模式与数据访问地模式支持者的论战。
在此背景下,美国云法采纳数据访问地模式,授权美国执法机构在数据跨境执法中实施“长臂管辖”,彻底颠覆了传统国际管辖框架。作为全球范围内第一部将数据访问地模式体系化的立法,美国云法着力解决数据跨境执法需求剧增与传统国际协调机制低效的矛盾。依据该法,美国执法机构可以要求电子通信服务者或远程计算服务提供者披露其拥有(procession)、保管(custody)或控制(control)的数据,无论这些数据是位于境内还是境外。由此,国境不再是妨碍数据执法的“障碍”。针对数据流动特性带来的国家管辖难以确定的困境,美国云法的选择是将管辖与属地脱钩,实现数据跨境执法彻底“去地域化”。然而,美国的选择将导致与数据存储地国家冲突的激增。
为防止上述单边数据执法行为引发大规模管辖冲突,美国云法从两个方面对数据执法行为加以限制。一是在程序上对跨境执法行为进行了自我设限,在如下特殊情形下,执法行为可以被撤销或修正:①行为违反外国法律(礼让分析);②用户不是美国公民,也没有居住在美国;③根据司法利益整体衡量。二是授权本国政府与“适格外国政府”(qualifying foreign government)签署新的双边协议,“一揽子”赋予相关国家在美国的数据调取权,试图以让渡部分主权的方式缓解相关国家对于自身主权的焦虑,同时解决传统国际法律协助机制效率低下的困境。三是在执法异议的救济中,明确法院应进行“礼让分析”,平衡美国执法机构调查需求与他国主权的利益。
可以说,美国云法建立的数据跨境执法规则是以数据法学理论建构与网络空间治理理念为基础的。在理论层面,立法以“数据例外说”作为依据,以此重构跨境数据领域的国内和国际法律框架。在治理理念层面,立法的“去地域化”与“数据自由流通”和“网络无疆界”一脉相承,并不认可主权国家对境内数据的绝对管辖。然而,数据访问地模式是否能够取代数据存储地模式,尚值得探讨。
四、出路:跨境数据执法的“中国方案”
云计算突出了数据的非实体性,令传统物理世界的跨境执法机制陷入困境。美欧等国在此领域展现出了强大的理论建构和规则制定能力,意图重塑跨境数据执法机制。制定符合本国国情的跨境数据执法体制,也是中国从数据大国到数据强国所必须应对的挑战。
(一)美国云法中数据访问地模式的缺陷
美国云法选择数据访问地模式,推动数据跨境执法机制进一步“去地域化”。然而,在“高效”外表下的“新机制”却隐藏着单边性和不对等。
首先,从性质来看,美国云法是国内法的单边国际适用。基于主权平等原则,各国均将公法性质的法律适用范围限制在境内。一国不能忽视他国在国际法上的权利而任意主张本国法律规范普适性。数据跨境执法机制也应当遵循国际法原则。云法打破了上述原则,直接将美国的法律施加于其他主权国家,这种过于强调法律适用的单边性的“数据霸权”对国际法与国际秩序都将造成危害。
其次,从法律地位来看,美国与其他国家并不平等。一是“适格外国政府”标准完全由美国掌握。美国云法对“适格外国政府”提出了诸多要求,将候选国范围限定在少部分欧美国家。即使是同样持“互联网自由”主张的盟友,也需要修改本国相关法律以达到云法要求。二是美国法院取代外国政府进行裁决。针对存储在境外的数据,美国执法部门不再事先向外国政府提出申请,而是直接调取。虽然云法要求法院遵循国际礼让原则,但事实上剥夺了其他主权国家的管辖权。三是监督权与决定权均属于美国国会。云法规定双边协议有5年有效期,到期后司法部需要向国会提交报告。实质上赋予了美国国会审查他国政府活动的权利。
最后,从实施来看,新机制运转建立在美国与他国在技术与产业的不对等之上。实践中,各国对于存储在境内的数据较易行使管辖权,而对于流至境外的数据缺乏控制手段。此时实际管辖效果完全取决于相关国家的数据控制能力,如果本国的网络服务提供者控制他国数据,那么数据调取较为便捷。反之,即使在立法上采纳数据访问地模式,实践中也无从执行。因此,对于在数据产业无法与美国抗衡的国家,在双边协议的签署与执行中缺乏议价能力,只有选择遵循“适格外国政府”标准和美国的监督。
由此可见,美国云法创设的新机制实质上是一种“霸权”视野下的数据跨境调取机制。在这个机制中,美国作为一种“超主权”的国际主体存在,制定并监督规则的实施。即使相关数据存储在本国境内,相关国家也只能遵循美国的标准才可以调取访问数据。同时,美国得以利用技术和市场优势,将其标准演化为国际通则,并“激励伙伴国家遵守这些标准”。
(二)中国数据跨境执法机制现状
与美国云法所展示的单边性和侵略性不同,中国在数据跨境执法中长期坚持国际法(见表1)。尤其是近几年我国加快了立法进程,已经逐步建立起数据跨境执法的基本框架。
首先,我国将主权平等原则视为数据跨境执法的重要基础。主权平等原则是中国处理网络空间事务、参与互联网全球治理的基本原则。长期的全球互联网治理实践表明,网络空间的秩序离不开主权国家的维护。早期的互联网乌托邦主义者所主张的“网络自治”“去主权化运动”并没有阻止主权国家对网络空间的管辖。所谓网络空间,仍然是现实世界的一部分,最终仍然从属于民族国家的主权。
近年来,针对数字化的发展趋势,我国提出了数据主权概念。数据主权是国家主权在数据领域的具体表现。“它是传统主权在网络空间的延伸,也是现实主权在网络虚拟空间符合逻辑的投射。”作为数据主权适用的主要场景,数据跨境执法活动中同样应当遵循主权平等原则。数据跨境执法是数据主权的主要适用场景。2021年实施的《数据安全法》和《个人信息保护法》在数据跨境相关章节均以数据主权为主要指导依据。为了进一步回应云计算技术对于国家主权的挑战,立法部门需要进一步丰富数据主权的内涵,构建数据主权原则下的跨境数据法律体系,并将数据主权融入网络治理体系。
其次,我国将数据本地化立法作为数据跨境执法的有力保障。由于数据管辖遵循属地原则,将数据留存在境内是实施控制的有效手段。我国的数据本地化实践开展较早,最初是针对特殊类型的数据提出本地存储要求,如金融、卫生医疗和交通领域等重点领域。《网络安全法》第37条站在国家安全的层面就数据本地化作出了统一规定,将数据本地化的范围设定在关键信息基础设施产生的重要数据上。同时,为了不阻碍正常的数据流动,提出了数据出境评估制度。随后的《数据安全法》与《个人信息保护法》进一步完善了重要数据与个人信息跨境制度。
最后,涉外制度已经成为数据跨境执法的重要组成部分。随着我国对外交往程度的不断加深,迫切需要熟练运用法律手段维护本国利益。当美国云法的“长臂管辖”侵犯到本国的主权时,我国开始尝试“阻断立法”对其进行限制。云法颁布后,我国立即通过了《刑事司法协助法》,表明国际司法协助机制作为中国与他国进行跨境司法(执法)协助的主要途径,并要求境外机构在我国境内寻求司法协助须经主管机关同意。《数据安全法》与《个人信息保护法》均设置了相似条款,意在阻断美国执法机构未经同意获取境内数据。上述规定在法律层面重申了主权国家对境内数据的管辖权。此外,在阻止他国长臂管辖的同时,我国立法对采取歧视性措施的国家施以对等措施。2021年6月全国人大通过的《反外国制裁法》是中美进行法律战的标志性发展,表明我国开始重视反制霸权的法律建设。《数据安全法》和《个人信息保护法》也加入了相关条款,为数据领域储备法律武器。目前,相关制度尚在建立之中,有必要对具体反制措施的启动要件、施行程度及事态扩大风险的评估进行更加细致的研究。
(三)“中国方案”的完善
我国已经建立起数据跨境执法制度的框架,将数据存储地模式作为数据跨境执法的判断标准。然而,将本已脱离地域限制的数据重新锚定在物理空间实施管辖的方式亦不可取。数据跨境执法制度的完善应当回归数据本身的特性。
首先,以数据分级分类为基础,适当对等开放数据管辖。数据跨境流动是数字经济发展的必然要求,只有流动的数据才具有价值。数据本地化的目的并不是阻碍数据流通,而是在数据安全与数据流通中找寻平衡点。
一方面,过于严苛的数据本地化法律无助于解决跨境数据执法的困境。如前文所述,流程复杂导致的低效是国际法律协助机制面临的主要问题。在数据跨境执法中,或可以采取“程序主义数据主权”下的互惠机制。在数据存储地模式下允许数据访问地模式的例外,主权国家间通过协商让渡部分数据管辖权,以提升执法效率。该机制并未改变数据存储地模式的根本地位,而是吸纳了数据访问地模式的效率优势,也符合平等互惠原则。另一方面,对数据实施分类分级保护的方式符合数据的客观规律。并非所有的数据都涉及国家安全,现行相关法律规定也绝非一刀切式执行数据本地化措施。《网络安全法》将本地化的范围限定在“关键信息基础设施”产生的个人信息和重要数据,体现了数据分类保护的思路。这种思路在《数据安全法》和《个人信息保护法》得到了进一步明确。
因此,应当在跨境数据执法领域引入数据分级分类机制。对承载着不同利益层次和位阶诉求的数据流动加以规范,明确可跨境流动数据的类型、范畴、保护措施,为数据跨境流动提供可操作的法律依据。对于与国家安全、公共利益关联度较低的数据,可以考虑在特定条件下(双边多边协议),允许相关国家执法部门跨境调取。
其次,积极参与全球数据治理,影响数据跨境执法规则的形成。目前,以美欧为代表的部分西方国家秉持“网络无国界”“数据自由”治理理念,强调网络空间“全球公域”(global commons)属性,在跨境数据执法领域推行数据访问地模式,实施单边性“长臂管辖”;而广大新兴国家,在网络空间国际治理中坚持数据主权,主张数据本地化立法,以数据存储地模式区分各国管辖范围。
跨境数据执法领域是网络空间国际治理的重要分支,受到国际博弈、国家安全、技术发展各种因素的影响。云计算技术的发展和普及消融了物理边界,冲击了传统国际法上的管辖架构。如何修补、更新乃至重塑跨境数据执法机制成为各国面临的重要问题。
经过长期发展,我国的数据产业在全球竞争中已经取得了一定优势。这为我国参与制定跨境数据执法机制提供了实力保障。在此可以借鉴美国将国内法转化为国际规则的相关经验。美国云法正是通过国内法和双边协定影响数据跨境执法领域全球规则的鲜活例子。
同时,中国应遵循互联网全球治理法治化的路径,摒弃欧美国家以实力谋取霸权的思维模式。互联网全球治理法治化“是以先定的规范为标准和指引解决问题的;它区别于霸权之下的权力垄断,它是以多边民主透明的方法制定反映多数国家意愿和利益的规则”。
在实践中,一是积极参与跨境数据执法规则的制定,包括参加国际平台关于跨境执法机制改革的研讨,在具体规则和理论建构中提出中国主张,扩大中国影响。利用G20(二十国集团)会议、金砖国家峰会、世界互联网大会等场合,清晰阐述数据主权的治理理念,提出具体的跨境数据执法规则。二是灵活运用国际网络治理中的“朋友圈”,与立场理念相近国家积极开展双边、多边谈判,率先建立数据主权下的跨境数据执法机制“示范区”,增强中国在此领域的话语权,树立与国际地位相一致的数据大国形象。
结语
领土是传统国际法上主权国家行使管辖权的基础,国家主权原则要求在他国领土上行使管辖须获得该国同意。然而,云计算技术使得领土界限变得模糊,各国在网络空间和数据领域的管辖冲突在所难免。
理论和实践中,各国都试图解决问题。一方面,一些学者认为数据的移动性、拆分性、混通性等特点造成存储地意义的缺失,进而提出以数据访问地取代数据存储地模式。另一方面,随着网络再主权化,许多国家诉诸数据本地化立法,倾向于回到国际法律协助机制协调管辖冲突所带来的执法困境。
美国在全球网络技术和数据产业中居于主导地位,在数据领域事实上具备超越其他主权国家的管辖能力。同时,“数据例外论”为美国绕开主权国家边界,实施“长臂管辖”提供了理论基础。最终,美国云法抛弃了传统国家管辖在网络空间的适用,转而建立一套以美国为主导的新模式。云法的制定,是“美国优先”政策在跨境数据领域的表现,对以国家主权为基础的传统国际法管辖框架构成了严重威胁。
当前,我国已经明确提出将“尊重网络主权”原则作为建构全球互联网治理体系的重要基础。随着《数据安全法》《个人信息保护法》的颁布实施,我国数据跨境的基本架构业已完成。下一阶段,需要进一步平衡主权管辖与数据自由流通的关系,以《数据安全法》《个人信息保护法》的实施为契机,尽快建构完备的跨境数据执法体系。在国际法层面制定以网络主权为基础的网络空间国际规则,推动和巩固数据跨境管辖上的国际共识,提升通过国内立法影响及重塑国际规则的能力。跨境数据执法的“中国方案”应以数据主权为基础,强调对关键核心数据的保护,适当对等开放一般数据,并设定必要的反制措施,以实现维护国家主权和数据安全的目的。