内容摘要:围绕数据的存储和跨境展开的数据治理规则博弈已成为大变局时代的重要表现。当前,各国基于各自立场分别形成了倡导数据自由流动的全球主义,和以本地化存储、数据跨境审查为特征的本地主义,从而在数据的财产属性和隐私属性之间找寻平衡。在规则层面,美欧双方更通过影响数据跨境规则的构建来贯彻各自的理念,并以双边协调到多边合作再到单边制裁的方式展开博弈。随着新兴国家的崛起,以中国为代表的后发国家纷纷入场,使得全球数据治理格局更加复杂。从中国的立场出发,我们应坚定维护网络数据主权,在全球主义和本地主义的合流中,确立以数据本地化存储为基点的数据跨境适度审查模式,并依托软法促进相关国际规则的协调。
关键词:全球主义;本地主义;本地化存储;数据主权;数据隐私
一、引言
当今世界正经历百年未有之大变局,新一轮科技革命和产业变革带来的新陈代谢和激烈竞争前所未有,全球治理体系与国际形势变化的不适应、不对称前所未有。在新一轮的科技革命与全球治理体系调整中,数据已成为促进全球经济社会发展的核心资源。近年来,美国、欧盟、中国及印度等接连对TikTok、微信、滴滴打车以及Facebook等应用展开数据调查,无疑凸显出各国对数据安全的关注。
在这场全球数据博弈中,各国重点关注数据的存储与跨境两方面,并在过去几十年间渐趋形成了以美国为代表的全球主义和以欧盟为代表的本地主义。所谓全球主义,主要指主权国家不强制要求数据存储于本国境内并鼓励数据的自由跨境。本地主义则突出表现为以国家主权边界为限要求相关数据必须存储于本国境内,且在数据跨境的过程中国家有权介入并作出限制。随着近年来全球化的退潮,世界各国政策呈现出明显的内生性,使得民族国家体系与全球化之间的张力正在脆弱平衡中发生位移并加剧逆全球化的发展。在此次逆全球化中,新兴国家力量的崛起也深刻影响着网络空间规则的形成。尤其是2021年6月出台的《中华人民共和国数据安全法》(以下简称《数据安全法》)第36条所确立的以本地化存储为基点,以条约和互惠原则为方式进行数据跨境流通,再次凸显了中国在全球主义与本地主义之间的抉择与平衡。
本文聚焦数据治理规则,首先在理论层面对全球主义和本地主义进行分析,以明确当前各方的立场分歧。在此基础上,进一步关注数据治理规则的博弈,从双边合作到多边规则形塑再到单边制裁回潮三个层面审视当前数据规则的对垒。最后,基于中国立场,探寻身处全球数据博弈中的中国应如何选择本国的数据存储及跨境规则,并推动相关国际规则的协调。
二、全球数据治理规则分歧的理论缘由
互联网自20世纪中后期走出美国的实验室后,率先在西方发达国家得到普及。在互联网诞生之初,美欧便开始关注网络空间规则的构建,并在二者的推动下促使网络空间规则走向阵营化,直接导致数据层面形成了美国倡导的全球主义与欧洲倡导的本地主义的分歧。
(一)数据治理的全球主义:全球化中数据流动的商业价值
如果说从“蒸汽时代”到“电气时代”全球化的水平还止步于物理空间的聚合,那么信息技术的发展已经让人类活动的触角达至新的维度,改变了全球化的图景。从横向来看,互联网进一步扩大了全球化的影响范围,使得世界依托互联网高速便捷的数据传输变成真正的“地球村”。人类依托互联网不断地扩展在全球获取资源的广度,促进了资源全球配置。全球配置资源业务既是经济增长和效益提高的主要驱动力,也是数字经济在逻辑上的延伸。新的商业模式和商业互动取决于跨境转移数据的能力,这也是完成企业必要运作的需要。从纵向来看,互联网打通了社会阶层,个体崛起与话语权提升使得全球化的参与主体已经从过去以跨国企业、国际组织和国家等大组织为主逐步转变成为以个人为主。这让个体的身份也从过去的主权国家的国民,转变为兼具主权国家背景和世界公民色彩的双重身份。尽管各国政府和政府间国际组织在全球治理中仍将一如既往地起主导作用,但这种作用正在日益被全球公民社会所共享和消解。
正是由于互联网与全球化之间的密切联系,美国作为互联网“母国”率先举起全球主义大旗,强调数据的跨境自由流动是现代商业的常态,应当在限制滥用的情况下鼓励跨境流动创造更大的商业价值。美国在数据保护上始终秉持宪法第四修正案的基本精神和判例法传统,将数据纳入隐私权保护范畴,并通过1974年《隐私法案》等成文法加以明确。在结构上,美国采用分散立法的方式形成了“两层三类”的数据立法体例。所谓“两层”是指在联邦和州两个层级进行各自的立法,以联邦立法为主、州立法为辅。“三类”则是指立法类型可以分为以下三种类型:一是在宪法和普通法下对信息隐私权的一般保护,其中以1974年《隐私法案》为典型。二是针对特定人群进行单独立法,例如针对儿童制定《儿童网上隐私保护法》,针对通信业制定《电子通信隐私法》等。三是《联邦贸易委员会法案》从反不正当竞争角度对个人信息进行商业保护。在内容上,美国基于隐私权的保护范式,极力限制公权对数据流动的干预,强调私法和行业自律在数据利益平衡中的重要性,因而存在大量的行业性文件对数据隐私进行保护。在私主体的利益平衡上,美国高度关注数据的商业价值,通过确立“公平实践和保护原则”实现数据主体与数据控制者之间的利益平衡,防止交易任何一方的绝对垄断。
美国作为互联网的缔造者和全球第一大经济体,一方面,其深刻认识到数据流动在全球化中的作用,通过宪法和单行法不断限制行政权对数据规制的干预,为数据的全球流动消除公权障碍;另一方面,也通过倡导私法自治理念,推动各方基于自身利益诉求制定合理的数据流动规则,赋予私主体在保护个人权利和创造商业价值之间更大的选择权。
(二)数据治理的本地主义:基于人权与主权的数据保护
互联网虽诞生于美国却服务于全球,美国所倡导的全球主义并非是唯一路径。无论是从20世纪中后期欧洲的主张还是从21世纪以来新兴国家的诉求而言,本地主义日益得到各方的认可,所依凭的理论基础也恰是国际法所倡导的人权保护理念。
早在1953年颁布的《欧洲人权公约》便已确立了对隐私权利和家庭生活尊重权利的保护,数据与隐私天然的联系也使其构成了欧洲数据保护立法的重要渊源。在欧洲人眼中,对隐私的保护也是对个人名誉和尊严的保护,每个人都有权控制个人数据以何种方式公开,从而控制自己在他人面前的形象,防止尊严的丧失。因此对数据隐私的保护本质上是对基本人权的保护,而在欧洲的法律体系下自然也需要通过立法加以干预。
在欧陆国家立法中,虽然数据与隐私之间的联系得到认可,但二者也并非等同。相较于隐私权,数据更多地关乎公民的人格与尊严,这恰恰能够被涵盖进大陆法系人格权保护的范畴。故而自1973年瑞典颁布全球首部个人数据保护法以来,以法德为代表的欧洲大陆法系国家先后通过创设“信息自决权”等方式,以单一立法模式保护数据权利。随着欧洲一体化的深入推进,加强成员国之间法律的协调性成为重要课题,这也催生了1981年《有关个人数据自动化处理的个人保护公约》(以下简称《公约》)、1995年《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(以下简称《指令》)和2018年《通用数据保护条例》(General Data Protection Regulation, GDPR)。这三份文件无不将数据保护上升至人权层面,为数据流动设置条件,凸显了欧洲对数据存储和控制重要性的确认。
《公约》明确指出数据保护的目的在于维护欧洲公民的权利和基本自由,对隐私权的保护尤为重要。基于该目标,《公约》所树立的数据质量、数据安全等原则倡导数据的完整、准确与及时,保障数据存储与传输的安全,带有保障公民政治权利、健康权利、隐私权等基本人权的色彩,力图在提高欧洲内部数据保护水平的同时打通成员国之间的流通障碍。
《指令》的出台强化了《公约》相关规则的拘束力,尤其第32条规定的成员国必须在3年内将指令转化为国内法的要求,令成员国不得不启动对国内法的修订。在内容上,《指令》规定了更加宽泛的适用范围、更加具体的对象定义、更加严格的数据处理标准和全面的数据保护机制,反映了欧盟对数据隐私保护的重视程度。同时,《指令》也首次提出了“第三国”的概念,强调在统一欧盟内部数据保护水平、打造欧盟单一数据市场的同时,限制成员方将数据转移至保护水平不足的第三国。
在此基础上,GDPR在秉持人权保护的理念上,改变《指令》的间接效力为直接效力,并通过赋予数据主体的更正权、被遗忘权等新权利,强化数据处理者的保护义务。2022年1月欧洲议会高票通过的《数字服务法》(Digital Services Act, DSA)进一步强化了在数字服务中对欧洲数据保护框架的贯彻,针对大型互联网企业提供在线服务做出更加明确和严格的规制,通过事前合规、事中监管和事后惩罚等监管全流程规则的构建,明确了大型互联网企业对用户数据保护的责任,以防止科技巨头差异化对待企业和消费者,造成不公平的竞争环境。
随着互联网的全球普及,以中国、印度与俄罗斯为代表的新兴国家在数字经济时代实现了崛起,积极参与全球数据治理的主张和诉求也深刻影响着规则的形成。相较于美欧的技术优势与规则主导权,新兴国家作为“后入场者”更需借助国际法的力量维护自身利益,“主权”恰恰为它们提供了有力的理论支持。
自《威斯特伐利亚和约》开启现代国际法的塑造之路以来,主权便成为国际法的核心要素,并始终是民族国家头上的皇冠。网络空间作为人类新兴的活动空间,经历了从自由放任到规则法治的发展历程,吸收了包括主权原则在内的相关国际法原则与规则。早在2003年,联合国信息社会世界峰会达成的《日内瓦宣言》就首次明确了与互联网有关的公共政策决策权是各国主权。这既是国家主权平等原则在网络空间的延伸,也是对过去各国基于主权治理网络空间的确认。
尽管主权日渐成为新兴国家参与网络治理的核心主张和依据,但是网络主权本身在理论上便存在争议。从主权的本位概念出发,网络主权如同领土与领海一样,是一国在相关领域具有的对外独立、对内最高的权力。从网络空间的特性看,以美国和加拿大为代表的发达国家则将网络空间定位为“全球公域”,并突出强调其公共属性。也正是由于概念的游离,使得如何将网络主权具象化成为难题。《塔林手册》作为近年来推动网络空间规则形成的重要文本,在网络主权的规则制定上并未纠结于概念的辨析,而是通过强调一国具有对本国网络基础设施和相关行为的控制权来框定主权边界。例如,2017年出台的《中华人民共和国网络安全法》(以下简称《网安法》)第3章便针对网络安全运行强调国家对关键信息基础设施的控制权,要求相关数据应当存储于境内。而针对数据出境问题,《网安法》和《个人信息和重要数据出境安全评估办法》(以下简称《评估办法》)更是强调对相关数据的评估与审核。与此类似,早在2015年俄罗斯联邦通信监管局就要求国内外企业必须将所有俄罗斯用户的个人数据存储在该国境内,并将其解释为俄罗斯数据保护的首要标准。随着美国近年来对俄罗斯实施全面制裁,更进一步促使俄罗斯强化数据的本地化存储,通过对谷歌、推特等互联网企业进行合规与处罚,强调企业数据本地化存储的义务,呈现出一种“孤岛式”的数据保护模式。印度2019年出台的《个人数据保护法》也强调相关数据应通过境内的信息基础设施实现本地化存储,而数据出境也应按照法律规定分级别进行审查。
因此,无论是欧洲对公民人权的保护还是新兴国家对网络主权的捍卫,都促使以本地化存储为核心的数据本地主义原则的产生和确立。在本地主义范式下,数据的商业属性不断弱化,留下了人格尊严与国家利益的烙印,影响了数据的跨境流动。
(三)法经济学视域下的主义之争
在倡导规则的设定应围绕资源的有效配置和合理利用展开,以追求制度效率的最大化的法经济学视角下,数据实际上构成了一种固定于一定载体上,能够满足人们生产和生活需要的信息,是具有确定性、可控制性、独立性、价值性和稀缺性等特征的信息财产。不同于传统财产类型,数据兼具财产利益和人格利益。前者主要在交易中凸显价值,后者则需要通过法律加以保护,令其在流动性和稳定性中徘徊。各国对流动性和稳定性的抉择,使之产生了不同的规制路径。这种抉择的作出,很大程度上受到了不同国家经济制度和对数据技术掌控能力的影响。
美欧分别作为全球主义与本地主义的擎旗者,在经济治理上因对政府与市场关系的认知差异而走向不同的道路。回顾资本主义的发展历程,强调自由放任理论的亚当·斯密(Adam Smith)与强调国家干预的凯恩斯(John Maynard Keynes)让资本主义呈现出两种不同的面貌。在美国人眼中,尽管“罗斯福新政”一度挽救美国并奠定其战后的经济主导权,但美国宪法所秉持的限制公权理念恰与自由资本主义倡导的“小政府大市场”形成契合,令美国的经济治理始终偏重自由主义。滥觞于20世纪七八十年代的互联网经济适逢“里根经济学”风行的自由主义高潮,推动数据全球自由流动以创造商业价值也成为美国的数据治理方向和目标。
反观欧洲,二战后的经济凋零使得政府在恢复和发展经济上逐渐居于主导地位,通过政府有效调控以促进市场的良性发展模式,也日益得到欧洲各国的认可。在美国主导全球经济的背景下,欧洲愈发重视对本国经济利益和人权的保护。尤其随着欧洲一体化的深入推进和“欧洲公民”理念的推广,侧重于保护人权和欧洲整体利益的思潮渐趋渗透到欧洲的统一政策之中。因此,对内不断强化数据的人权价值和对外强调欧盟数据主权的概念都已成为数据保护的核心,也成为欧洲公权机构所肩负的公法义务。
除了欧洲以外,以中国为代表的新兴国家也日益成为本地主义的拥趸。作为后发国家,在经济治理上政府的力量不容小觑,中国所强调的“充分发挥市场在资源配置中的决定性作用,更好发挥政府作用”更凸显了政府调控对经济发展的重要性。故在这一经济治理模式下,强调公权在维护数据主权性和公民数据隐私的义务性上的双重作用也成为必然的逻辑结果。我国对本地主义的支持更多的是因为政府在数据保护和使用方面的主导地位,强调数据资源的本地化管理。
聚焦以现代企业为主要枢纽的微观经济领域,企业作为驱动全球经济发展的核心力量,趋利性使其在全球寻找价值洼地并促进了国际经贸往来。一国能否为企业提供良好的进出通道并保障其合法权益,也会影响该国的经济发展。在美国的经济结构下大企业起到了重要作用,大企业的全球拓展也是美国主导全球经济秩序的重要手段。在互联网领域,无论是硬件与软件供应还是互联网服务,以亚马逊、微软、苹果为代表的美国企业居于主导地位,美国人能够控制的数据疆域几乎覆盖全球。尤其是在数字经济崛起的背景下,数据对本国企业收益的提高和生产力的促进,逐步令有效获取数据成为美国政府和企业共同的目标。因此,以全球主义的方式压制数据本地化存储并促进数据全球流动,既能保障美国全球获取数据的通道,也能降低美国企业的合规成本。
从本地主义立场看,尽管相关研究表明以GDPR为代表的数据治理规则影响了数据流通效率并扭曲全球贸易关系,但从欧洲和新兴国家的技术实力与企业诉求看,一方面,对外坚持数据本地化存储并防止数据的任意流失,才能够有效防范美国的数据“阻击”;另一方面,以维护主权和人权的理由建立域内单一数据市场,通过差异化的政策调整企业的数据合规成本也能弥补本国企业的竞争短板。
总之,全球主义与本地主义的分歧源于数据的财产属性和人格属性的不同复合。而不同国家的立场选择,既反映了相关国家经济治理体系的差异,也显现了在技术与经济实力的差异下,国家数据战略与企业利益追求目标的同一化。
三、全球数据治理与博弈中的规则构建
从现实的维度出发,数据存储与跨境规则穿梭于公法与私法两大领域,并在二者的融合中将规则拉入到了对不同价值取向的判断与选择中。公法层面触及了国家安全和经贸自由的价值判断,私法层面更离不开对商业财产权和人格隐私权的价值平衡。也正是在这些价值拉扯中,全球数据存储与跨境规则不断变化和形成,并经历了从双边规则协调,到多边规则形塑,再到经济博弈背景下单边制裁回潮的三个阶段。
(一)数据博弈中的双边协调:从“安全港”到“隐私盾”
1995年欧盟出台的《指令》通过确立“数据充分保护原则”,明确禁止向保护水平低于欧盟的国家转移个人数据,美国则被划入其中。此举招致了美国政府与企业的极大不满,因为从美国的统计来看,数字经济时代的数据流动极大地促进了美国经济发展,而GDP近5%的增长和200余万就业的增加更得益于美国对全球数据的高效获取。美国认为欧盟单方面限制数据流出,切断了美国企业在欧洲的商业网络,带有一定的贸易保护倾向。与此同时,欧盟也逐渐认识到因数据保护而失去美国这一重要的贸易伙伴,会在经济上付出巨大代价,因而在保护的同时也不应忽视数据的商业利益。
基于上述现实,自20世纪90年代起美欧便针对双边数据流动展开谈判,并于2000年达成了《安全港协议》(Safe Harbor Framework)。该协议以美国商业机构自愿加入的方式,强调相关机构只要达到协议项下的规定便有权在欧盟获取并转移数据。从效力上看,其实际是一种美国私主体与欧盟签订的私法协议,并不会对欧盟数据保护法产生影响。从内容上看,该协议所规定的通知原则、选择原则、向前转移原则、安全原则、数据完全性原则、接入原则和执行原则均高度强调在数据的获取、转移与使用的过程中充分尊重欧盟公民的知情权、获取权与删除权,相关制度依旧渗透着人权保护的基本理念。
2013年发生的“斯诺登事件”令美国海外监听丑闻曝光,导致2015年《安全港协议》被欧盟法院以无法达到欧盟数据保护标准为由判决失效。风波平息后,2016年《隐私盾协议》(Privacy Shield Framework)再次出台。该协议延续了美欧在数据保护领域的双边协调,并在继承《安全港协议》的自愿加入、商业信息交换的基础上开始关注政府相关行为,赋予欧盟数据保护机构对第三国的数据保护水平的调查权,并强调欧盟公民的救济与申诉权。《隐私盾协议》更多地体现出欧盟数据保护制度的最新改革成果,进一步拓展了欧盟在国际规则制定中的影响力,加强了对欧盟公民个人数据的保护力度。但是,《隐私盾协议》的程序性规则仍存在走过场、不透明等问题,宣示意义更大于实质意义。因此,2020年欧盟法院以美国数据保护标准未达到欧盟人权保护水平为由判决《隐私盾协议》无效,再次中断了美欧之间的数据流动通道。
《安全港协议》和《隐私盾协议》虽然弥合了美欧在数据流动上的制度分歧,为双方商业机构的利益交换提供了合规空间与法律通道,但是这种商业机构自愿加入的方式属于私法协议,并不会对本国法产生公法效力,双方依旧在数据治理上占据着全球主义与本地主义的两大阵营,存在着制度理念的分野。同时,相关协议的内容也凸显出美国对本地主义的让步,在追求数据商业利益的同时充分尊重了欧盟对数据人权的保护。反之欧盟也在坚守保护人权的本地主义模式下,为美国的全球主义让出空间。这种相互的博弈与妥协,更多是基于现时利益的选择,并随时面临着中断的可能。
(二)数据博弈中的规则形塑:国际软法与硬法中的数据规则
国际法作为各方利益主体协调意志的产物,在全球数据跨境规则形塑的过程中反映和吸收了各方的博弈与妥协。国际法下利益协调的路径无外乎硬法与软法两种。所谓硬法是指明确约定了各方的权利义务,具有执行机制且国际社会成员认为具有法律拘束力的国际规则,主要表现为《国际法院规约》第38条规定的国际条约、国际习惯和一般法律原则。软法主要是原则上不具有法律约束力但可能产生实际效果的行为规则。国际组织、多边外交会议通过的包括决议、宣言、声明、指南或者行为守则等在内的一些能产生重要法律效果的非条约协议是软法的主要表现形式。
1.国际软法中的数据规则
在全球数据跨境规则的形塑中,相关国际组织通过制定软法发挥着巨大作用。1980年经济合作组织(OECD)发布的《隐私保护和个人数据跨境流动指南》是最具代表性的国际软法。该指南较早地确立了“数据跨境流动”的概念,其中的限制收集、数据质量、目的明确等八项原则,明确了数据保护的最低标准。OECD作为聚集世界上主要发达经济体的经济合作平台,首先希冀于发挥数据的商业价值和全球主义目标。面对彼时欧洲的立法,使其关注数据治理中的人权与主权诉求,并以更为中立的语言影响欧洲的统一立法。2013年,OECD对该指南进行修订,在保持原有框架的基础上加入了隐私管理项目和国家政策战略等条款,以求进一步适应数字经济的发展并影响新兴国家的立法。
在更大范围上,1990年联合国公布的《关于计算机化个人数据处理指南》在数据跨境传输、监督机制和处分措施等方面进行了规定,在坚守联合国宪章对主权与人权保护理念的同时,倡导数据的非歧视和各方的安全义务,总体上倡导将数据保护职责落实到主权国家以彰显数据的属地性。21世纪以来,鉴于美欧之间《安全港协议》的成型,私法协议模式得到关注。2004年亚太经合组织(APEC)为协调区域数据跨境推出了“APEC隐私框架”。该框架以推动数据跨境自由流动为目标,希望通过行业自律模式要求成员方尽可能避免和消除任何不必要的信息流动障碍,留下了美式全球主义的痕迹。2012年APEC进一步推出“跨境隐私规则”(Cross-border Privacy Rules, CBPR),借鉴了私法协议模式,被APEC定义为为规范成员经济体企业个人数据跨境传输活动自愿的多边数据隐私保护计划,在遵守该框架的基础上产生了对企业的拘束力,逐步显现出软法的“硬效果”。
2.国际条约中的数据规则
在WTO框架下,服务贸易总协定(GATS)是与数据跨境流动相关的基本条约。GATS的电信服务附件中规定“成员方应保证任何其他成员的服务提供者可使用公共电信传输网络和服务在其境内或跨境传送信息,包括此类服务提供者的公司内部通信,以及使用在任何成员领土内的数据库所包含的或以机器可读形式存储的信息”。这表明GATS电信服务附件允许跨境数据传输,故美国认为对数据跨境的限制构成了贸易壁垒。由于跨境数据流动涉及成员方主权与国内政策,GATS第14条规定了个人数据保护例外和安全例外,允许成员方在不构成歧视和变相贸易限制的前提下,可援引上述条款排除GATS项下承诺的适用,为成员方限制数据跨境提供了依据。
聚焦21世纪以来的新型多边经贸协定,2009年美国加入《跨太平洋伙伴关系协定》(TPP)谈判,令TPP在数据治理上高擎全球主义旗帜。一方面,TPP强调了互联网的自由与开放性,要求缔约方不应采用超出协议的保护性措施阻碍数据跨境传输,并且在数字贸易方面坚持非歧视原则并取消贸易壁垒。同时,针对数据本地化存储,TPP要求缔约方不得强迫本国公司在计算服务中采取本地化策略,禁止要求公司向本国个人转让技术、生产流程或专有信息等。另一方面,TPP也为各国行使数据监管权提供了空间,通过相对模糊的条文允许缔约方以“合法公共政策目标”为由对数据进行监管。
作为TPP继承者的《全面与进步跨太平洋伙伴关系协定》(CPTPP),依旧延续了TPP在数据问题上的基本立场,显现出各方对美式数据跨境规则的接受。作为CPTPP成员的日本、越南等国尽管认可美式全球主义在国际经贸条约中的作用,但因CPTPP赋予了缔约国一定的数据监管权使其进一步完善了本国立法。例如日本依旧在2015年《个人信息保护法》中引入类似于欧盟的相关规则,围绕本地主义模式建立数据出境的相关评估规则。越南2019年实施的《网络安全法》也要求网络服务提供商在境内存储该国公民的个人数据一段时间,凸显出在实力差距下部分国家对本地主义的依赖。作为成员国的新加坡、智利与新西兰于2020年达成的《数字经济伙伴关系协定》(Digital Economy Partnership Agreement, DEPA)进一步对有关数据跨境问题作出规制,允许在新加坡、智利和新西兰开展业务的企业跨边界更无缝地传输信息,并确保它们在符合必要法规的前提下,实现数据跨境的自由流动,展现出全球主义的倾向。但对于包括数据在内的有关已识别或可识别自然人的个人信息,DEPA充分认识到不同国家在该方面的法规差异性,故希冀通过透明度、目的规范、使用限制、收集限制、个人参与、数据质量和问责制等制度的构建,推动缔约方在国内建立一个与这些原则相匹配的框架,从而促进各国保护个人信息法律之间的兼容性和互操作性,展现出打造统一数据市场的愿景。
美国政府退出TPP并不代表对更新型经贸协定的放弃,相反其是在追求较TPP更高标准的贸易规则,《美国—墨西哥—加拿大协定》(USMCA)的达成便是有力例证。USMCA在TPP的基础上,进一步禁止一切将计算设施放置于一国境内或使用一国境内计算设施的本地化要求,展现出对本地主义的彻底否定。
除了美国主导的相关多边条约外,欧盟始终基于本地主义立场参与部分条约的谈判。在《跨大西洋贸易与投资伙伴协议》(TTIP)的谈判中,欧盟始终立足于人权保护立场强调数据跨境流动必须满足欧盟标准,且相关数据和具体行为必须受到欧盟的控制与监管。而在欧盟参与的相关双边条约中,由于其内部数据保护模式的刚性要求,使得诸如加拿大、日本为代表的CPTPP成员也不得不作出妥协。例如在《加拿大—欧盟双边贸易协定》中,双方特设专门条款针对电子商务中的信任和隐私问题,并要求缔约方采取或维持法律、法规或行政措施,参照国际数据保护标准保护电子商务使用者的个人信息。日本也在和欧盟的多轮谈判后通过完善本国法实现合规,并通过欧盟数据保护的充分性认定实现欧日之间的双向互认,创建了世界上最大的数据流动安全区域。
作为亚洲各国主导形成的多边经贸协定——《区域全面经济伙伴关系协定》(RCEP),也对各个领域的数据跨境问题有所关注。从相关条款的表述来看,RCEP总体上凸显了对缔约国本国法律法规的尊重。除了在特定问题上要求缔约方为诸如金融机构、贸易伙伴提供数据跨境的支持外,协定允许缔约国基于本国法在不违背RCEP的基础上承认数据的本地化存储并允许缔约国行使监管权。
(三)数据博弈中的单边路径:GDPR与“云法案”的对垒
无论是双边私法协议还是国际条约谈判,欧盟近年来的动作似乎远不及美国频繁。但从实体规则上看,欧盟的影响力却丝毫没有减弱。尤其是GDPR的出台更是在强化数据本地主义的前提下,凸显出欧盟推动域内法域外适用,形成了一种数据“长臂管辖”而走向了单边路径。
一方面,GDPR第3条改变了《指令》所规定的法律仅适用于欧盟境内的原则,通过“效果标准”强调相关行为只要影响到欧盟数据安全,便会被GDPR所规制。这意味着任何向欧盟居民提供商品或服务的企业都将受制于GDPR,而不论该企业是否位于欧盟境内并使用境内设备。另一方面,GDPR继续坚持数据本地主义立场,对欧盟数据的出境建立了更加完备的规制。具体而言:第一,GDPR第45条延续了《指令》所树立的充分性标准,强调在将个人数据向第三国传输时,只有欧盟委员会认定第三国(地区及国际组织)在个人数据保护方面达到一定水平,才许可向该第三国传递数据,充分性保护认定的结果通常以“白名单”的方式公开。在评估中欧盟主要考虑目标国对法治和基本人权的保护程度,是否存在独立且有效运作的监管机构,以及承担有关个人数据保护的国家责任或国际承诺。第二,GDPR除了关注数据转移国,也将视角聚焦于数据的控制者和处理者,第46条所确立的“适当保障的传输规则”便对数据控制与处理者设定了较高的标准。第三,欧盟看到了在大企业主导全球经贸往来的背景下,跨国企业内部数据流动的合规至关重要。因而GDPR第47条规定的“约束性企业规则”便通过建立问责机制,要求跨国企业内部数据转移应满足欧盟的相关标准,借此提高企业整体的数据保护水平。第四,GDPR在强化域外适用的同时阻断了域外法对境内的强制适用。第48条规定数据控制与处理者即使因外国判决或行政决定向第三国提供数据时,也应基于相关国家与欧盟的条约或不对GDPR产生负面影响。第五,GDPR第49条和50条也为基于公共利益、行使或抗辩法律诉求等原因规定了数据跨境传输的豁免,并倡导与第三国及国际组织的合作提高数据保护水平。
如果说欧盟的单边路径是维护本地主义立场的规则扩张,那么美国2018年出台的《澄清境外数据合法使用法案》(又称“云法案”)则是在全球主义之上目标明确的法律“攻击”。早在2013年,纽约南区联邦地方法院就依据1986年《存储通信法案》(Stored Communication Act, SCA)要求微软提供存储于爱尔兰的相关数据以协助毒品犯罪调查。但微软主张该数据存储的服务器在爱尔兰,美国执法部门无管辖权,拒绝服从该命令。恰因此案,使得美国愈发认识到SCA在数据获取上的滞后,从而启动了对该法的修订。特朗普上台以来高举“美国第一”的政策,全面影响和改造美国的对外政策,“云法案”对SCA的修改恰凸显出了美国国家利益的抬头和国家安全泛化主义的实践。“云法案”以“数据控制者标准”强调无论数据实际存储位于何地,只要相关数据控制者总部位于美国或为美国注册的公司,均有义务向美国提供数据。“云法案”既打破数据本地化存储对数据获取造成的障碍,将以云计算为基础的数据全球化直接纳入国内法规制范围,也赋予了美国政府绕开互惠原则直接调取境外数据的权力,展现出强烈的单边主义倾向。
在“云法案”公布不久后,欧盟便强调“云法案”并不能成为向美国转移个人数据的法律依据。一方面,GDPR第48条明显阻断了“云法案”在欧盟的适用。在不存在国际协议和无法证明对GDPR没有损害的前提下,美国执法机构无权调取欧盟境内数据,如果相关机构屈从于“云法案”便可能触发GDPR的问责与惩罚机制。另一方面,“云法案”的立法意图也明显与GDPR第49条的豁免内容存在龃龉,故在欧盟境内“云法案”只会导致数据控制者陷入两难境地。
拜登政府上台后,尽管已经对特朗普政府时期的部分外交政策作出调整,但在互联网领域依旧凸显出强烈的全球主义立场。在总体政策导向上,维护包括互联网在内的各领域的规则主导权仍是美国外交政策的核心。在具体规则上,其以中国为靶向展开了互联网领域的竞争,美国国会更通过出台包括《无尽前沿法案》和《2021年战略竞争法案》等立法文件进一步扩大美国在科技领域的优势,以强化在全球获取数据的技术实力。而在具体实践上虽然暂缓了对TikTok的制裁,拜登政府仍进一步强调对相关外国软件潜在风险的调查和防范,尤其防止相关软件访问甚至“窃取”美国人的敏感数据。
总之,从GDPR与“云法案”所彰显的单边主义倾向看,尽管二者都强调了国内法对域外数据的管辖与适用,但从细微之处却也能看到全球主义与本地主义的对垒。GDPR虽然强调了对域外数据的管辖,但仍是在维护本地主义前提下限制数据的流出,是一种防守型的政策导向。反观美国,“云法案”的出台无疑是将数据自由流动的全球主义推向极端。在遭受本地主义壁垒无法有效获得数据时,美国选择通过单边途径强制要求数据商提供数据,显现出进攻的姿态。
四、全球数据治理规则协调中的中国路径
国际法作为大国兴衰罔替的阶段性产物,一直在消弭分歧和调和博弈中不断发展。在全球数据博弈中,国际法的协调作用依旧应予重视。身处大变局中的中国,如何在全球数据博弈中明确自己的选择也需关注。
(一)坚守本地主义的数据本地化存储
在参与全球数据博弈的过程中,中国首先要明确在网络空间中的主权立场。但在数据主权的界定上,由于数据的所有者、存储者与使用者在地理位置上的分离,使得以何者为标准划定主权便产生争议。本地主义强调的数据本地化存储实际上将现行国际法的主权边界引入网络空间,以存储者锚定数据主权,并集中体现在GDPR当中。而以云法案为代表的全球主义则主要以数据的实际控制者为标准明确数据主权,强调以数据控制者身份来建立主权联系,无疑打破了传统国际法对主权的界定。
对中国而言,坚守本地主义的数据主权概念,强调数据本地化存储符合中国的现实需求。一方面,在技术上我国较美欧等发达经济体仍存在较大差距,无论是数据存储还是获取能力上都有待提高。只有坚持数据本地化存储,才能够为技术进步留下空间。另一方面,随着中国电子商务的崛起,中国已经成为全球数据储量大国。坚持数据本地主义确保数据的本地化存储和跨境评估,才能更好地维护我国公民的数据隐私权并弥补我国企业在数据获取能力上的短板。
同时,坚持以数据存储者为标准建立网络主权,也体现了对传统国际法的尊重,符合我国一贯的政策立场。如前所述,2003年联合国信息社会世界峰会达成的《日内瓦宣言》和《塔林手册》均强调以一国对网络基础设施和相关行为的控制权来框定主权边界。这无疑把网络主权从抽象的概念转化为具体的实践规则,深刻影响了数据的存储与流动。
在中国近年来的实践中,2011年中俄等国在向联合国大会提交《信息安全国际行为准则》中,再次重申了网络主权的重要性,凸显了新兴国家的基本立场。习近平主席更指出《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,理应适用于网络空间,尊重网络主权更是推进全球互联网治理体系变革的首要原则。恰是基于上述原因,中国近年来的立法更加凸显出了对本地主义的坚持。《网安法》第37条和《数据安全法》第36条都强调数据应当存储于中国境内。
(二)借鉴全球主义中的数据跨境审查
本地主义除了强调数据本地化存储以外,对数据跨境的审查也不容忽视。在建立数据出境规则的过程中,尽管目前中国基于本地主义强调有权机关具有数据审查的职能,但是从长远来看,忽视全球主义对数据流动价值的促进,并不利于中国在数字经济时代的竞争中博取优势。
因为在新一轮全球化浪潮中,数字经济的重要性日益凸显。尤其在后疫情时代和全球产业结构调整的背景下,依托互联网展开的数据交易也将驱动国际经贸体系的升级迭代。数据作为一种具有财产属性的资源,它的经济价值不是暂时静止地存在于物权,而是从一个债权向另一个债权不停地移动,只有在流动中才能获得更多赋值。法律作为反映经济基础的上层建筑,在规则构建的过程中应当继续倡导财产的流动性以扩大社会福祉。所以,全球主义所倡导的数据跨境流动,实际上有助于提升数据的商业价值并扩大中国在数字经济时代的优势。从域外的实践发展看,欧盟作为本地主义的引领者也在不断地吸收借鉴全球主义。无论是通过GDPR建立相应的数据评估“白名单”还是与美国达成《安全港协议》和《隐私盾协议》,都显现出其对数据跨境流动的重视,并希望通过建立适度的数据审查模式来弥补本地主义的缺陷。
当前,中国的《网安法》和《数据安全法》都强调了在数据出境的过程中,一是要通过建立数据的分级分类,赋予行政机关对关键数据风险评估的权力,并且在关键数据出境时需要进行相应的评估。二是在境外主体调取中国境内数据时,应根据有关法律和中国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。相关规则勾勒出了数据出境审查的基本框架,贯彻了《数据安全法》“保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”的立法宗旨。
面向未来,建立适度的数据跨境审查机制也势在必行。2019年印发的《中国(上海)自由贸易试验区临港新片区总体方案》更明确提出“实施国际互联网数据跨境安全有序流动……试点开展数据跨境流动的安全评估,建立数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制”,这与欧盟所倡导的“白名单”模式形成呼应。该规定也在2021年出台的《深圳经济特区数据条例》第82条有所体现。因此,基于自贸区和经济特区的制度优势,从地方改革开始推动数据认证、评估和审查机制的建立,在试验中总结经验并完善制度体系是值得考虑的。
(三)以软法为依托推动两种主义融合
回顾网络空间规则构建的路径,从国际软法的规则示范到主权国家的意志协调再到国际硬法的规则定型,软法的硬化渐成趋势。从软法的现实意义看,在国际合作上软法出现的领域往往是那些具有高度国际共识却又极度敏感存在相当多立法“瓶颈”的领域。当前全球数据博弈在全球主义与本地主义的分歧中形成了美欧之间的针锋相对,随着新兴国家的实力崛起,相关国家更是基于本国利益诉求或选边站队或自我抱团,形成了“第三方力量”。在这一僵局下想要直接通过以条约为核心的国际硬法协调各方利益并不现实,而硬法的缺失却为软法的生长提供了空间。
软法并不是国际法的终点,在国际法的塑造中软法会随着时间的推移大致向以下四个方向发展:一是以具有约束力的形式被批准或进入条约;二是经由国内法转化而具有拘束力;三是成为进一步合作的框架和制定更为具体规则的过程之一;四是成为习惯法。从数据规则的形成看,无论是OECD指南树立的八项原则被各国国内法所接受,还是“APEC隐私框架”下CBPR对企业产生的拘束力,都表现出了软法向硬法转化的趋势。另外,借助软法为路径也并非放弃硬法。现行国际法的责任体系是支撑现代国际社会秩序的核心内容,在关键问题上如果失去硬法所具有的拘束力则会导致行为失范并损害各方利益。在诸如国家安全、地区稳定和世界和平等重大问题上,应该坚持以硬法的方式明确立场,一旦违反要承担相应的国际责任。面向未来,通过软法赢得国际社会的支持进而向国际条约过渡亦是将数据问题纳入多边条约范畴最为谨慎的方式,有利于共识的凝聚和规则的形塑。
长期以来,联合国始终关注网络空间的国际合作与规则制定。成立于2004年的联合国政府专家小组(United Nations Governmental Group of Expert, UN GGE)先后发布多份专家组报告以引导网络空间多边合作机制的建立,中国也在UN GGE中发挥着举足轻重的作用。2018年12月,联合国大会第一委员会先后通过了两项关于网络空间国家行为的决议,其中一项由俄罗斯提交,将在联大之下设立一个开放性工作组(Open-ended Working Group, OEWG),负责研究UN GGE此前报告中的既有规范、提出新规范并探索在联合国框架下建立定期对话机制的可能性。另一项由美国提起,将设立一个新的政府专家组(Group of Governmental Experts, GGE),负责研究现有国际法如何适用于网络空间的国家行为,并提出促进遵守现有网络规范的途径。在两个小组的运作中,中国为弥合各方分歧发挥了重要作用。尤其在OEWG中,中国针对数据治理重申国际法的重要性,强调在数据全球流动的背景下着力关注数据安全问题,以期有效平衡技术进步、商业发展与国家安全,推动数据依法有序的自由流动。
所以,在参与全球数据跨境规则的形塑过程中,中国依旧要积极参与相关国际软法的制定工作,既要在现有多边机制下积极发声,也要鼓励中国互联网企业参与全球数字贸易规则的制定,实现政府与民间的双向共进;同时也要切实维护国家利益,在倡导全球主义的同时发挥本地主义优势,维护国家网络安全和公民数据隐私。
五、结语
在全球数据治理的规则博弈中,全球主义与本地主义反映了数据的不同价值。虽然各方基于全球主义和本地主义的博弈依旧存在,但也开始呈现出两种主义合流的可能趋势。美国尽管依靠强大的技术和经济实力通过全球主义的方式推行理念,以进攻姿态在全球网罗可利用的数据,但同时其也通过完善本国法律保护自身数据主权和公民隐私权。这实际上是一种以攻为守的数据策略。而欧盟虽然以本地主义守护着域内数据,但也由于数据的商业价值迫使其他国家不得不做出让步以满足其要求。这实质上也是一种以守为攻的策略,凸显出本地主义的制度价值。
基于当前中国的综合实力与现实需求,在参与全球数据跨境规则构建的过程中或许选边站队并非明智之举。面对全球主义与本地主义的分歧和博弈,中国应以一种调和者的姿态入场。在全球主义和本地主义的合流中,确立以数据本地化存储为基点的数据跨境审查的规则体系,这既符合全球数据跨境规则构建的现实趋势,也是构建人类命运共同体的应有之义。