高级检索

学术资源

行政法学

当前位置: 首页 -> 学术资源 -> 行政法学前沿 -> 行政法学 -> 正文

阙天舒、王子玥:数字经济时代的全球数据安全治理与中国策略

信息来源:《国际安全研究》2022年第1期 发布日期:2022-09-28

[ ]:进入数字经济时代以来,日益严峻的数据安全风险与变幻莫测的国际形势交织叠加,各国围绕数据安全治理规则博弈呈现加剧态势,引发全球数据安全治理问题。各国际行为体虽然已经意识到数据安全治理的重要性,但对全球数据安全治理并未形成统一的治理框架。全球数据安全治理仅仅由单边、双边和多边框架以及贸易规则拼凑而成,相关治理议题在公民个人、社会、经济以及国家安全等多个层面相继涌现。多领域多维度的数据安全问题难免造成治理主体利益诉求的差异,也导致全球数据安全治理出现了规则碎片化、机制效用不足、治理乏力等问题。与此同时,个别国家的数据霸权主义行为更是使得国际行为体难以凝聚共识,全球数据安全治理步履蹒跚,重视和加强对全球数据安全问题的治理迫在眉睫。中国高度重视数据安全的相关议题,由于中国在数据治理领域起步较晚,仍存在立法不完善、技术创新能力薄弱、国际合作不足、治理乏力等问题。中国需要全面、系统地分析影响数据安全的各种重大风险因素,准确把握全球数据安全趋势,进一步优化中国在全球数据安全治理中的策略选择。

[关键词]:数据安全;全球治理;国家安全;个人数据保护;跨境数据流动


在数字经济时代,数据资源蕴含着丰富的战略价值,但同时也是最脆弱的资源。当前,全球重大数据安全事件频发,数据安全风险的危害性和外溢性已对政治、科技、经济和社会等多个领域产生了负面影响。为切实保障数据安全,国际社会各方在实践中不断探索治理路径,并基于不同价值理念,形成了各具特色的数据安全保护路径。但随之而来的问题是,既有的全球数据安全治理机制已经无法有效应对全球范围内日益严峻的数据安全问题,也无法有效协调数据治理主体之间差异化的治理需求与规制理念,全球数据安全治理体系的困境日益凸显。鉴于此,本文将通过厘清全球数据安全治理问题的缘由、内涵及特征,围绕所涉核心议题,深入剖析全球数据安全治理的政策实践以及面临的主要挑战,并就中国如何进一步完善数据安全治理体系,提升全球数据安全治理规则话语权进行思考。


一、数据安全问题的缘起及表现


传统数据安全指数据自身安全层面的静态风险,主要表现为利用网络系统漏洞破坏数据内容的完整性、保密性和可用性。人类社会进入数字经济时代以来,实现数据价值的最大化往往依赖于大量多样性数据的汇聚、流动、处理和分析活动,而这种流动性的数据密集型活动所涉及的治理主体更加多元,利益诉求更加多样,治理议题更加丰富,数据安全概念的内涵与外延均在不断扩充、延展。


(一)数据安全治理的界定及其基本属性


“数据安全治理”概念的出现,是人类社会信息化发展的不断深入以及智能技术融合推进的综合结果。根据20213月世界银行报告对其的界定,“数据安全治理”是一种新的数据社会契约方式,应从国家和国际的层面展开治理:国家层面即政府应当充分了解各行为体的利益诉求,并完善相关法律法规以保障数据安全的使用;国际层面应加强双边、地区间和全球范围的国际合作,促进数据治理的协调统一。该界定也与联合国经济社会局(UNDESA)的观点不谋而合。联合国经济社会局对“数据安全治理”的定义建立在“数据治理”之上,即通过系统性的多维方法来制定数据相关问题的制度政策、建立组织机构、协调国家战略并简化针对数据的管理模式。同样,高德纳咨询公司(Gartner)将数据安全治理定义为,“数据治理的一个子集,贯穿于数据治理的各个环节,强调数据的安全属性,用于制定并实施数据安全政策,实施一套统一的规则来处理和保护基本数据”。


国内学术研究则按照人类社会信息化发展三个阶段的划分,对“数据安全治理”作出了不同界定。首先,在始于20世纪80年代的数字化(信息化1.0)阶段,由于通信技术的落后,数据安全即指静态层面的信息内容,侧重于保护信息的完整性、保密性和可用性。其次,在20世纪90年代中期的网络化阶段中,由于计算机和数字技术的大规模应用和普及,随之出现了具有极强破坏性、复制性和传染性的蠕虫和木马等网络传播病毒,因此,这一阶段对数据安全的治理不仅要确保数据安全的完整性、保密性和可用性,而且要求网络系统能够提供“稳定可靠运行”和“持续提供服务”的能力。再次,在以“人机物”三元融合为特征的智能化阶段,数据安全风险内涵已扩展到对其承载的个人权益和国家利益的安全保护,具体分为三个层次:第一层次是确保数据载体上的信息内容安全。第二层次是对数据主体权益的保护。这其中又可细分为维护主体尊严的权利、消极控制数据使用的权利以及数据移转权(数据携带权)等。第三层次是维护敏感性数据上所承载的国家利益、公共安全以及社会经济发展等方面。鉴于此,虽然国内外研究对“数据安全治理”的概念界定略有差异,但综合来看,可以将其定义为国际行为体对数据产生、收集、储存、流动等活动环节提供的安全保护,既包含制定并完善数据治理议题领域中的相关政策、法律法规,协调各行为体之间的利益诉求,同时也涉及国际行为体提供数据安全保障的能力。


(二)各国参与数据安全治理的原因


随着全球数字经济化的加速发展,数据对各国经济发展的重要性不言而喻,与之相伴的数据安全风险也与日俱增。主权国家均意识到数据资源背后所蕴含的战略价值,同时,对数据安全治理的理解已经上升至“国家安全”和“国家竞争力”层面。在此背景下,数据安全治理领域正成为世界各国竞争的新高地,各国参与数据安全治理也是确保对内安全和强化对外竞争的关键所在。


1.数据安全形势日益严峻局面促发各国参与数据安全治理


当前,各国对数据的依赖因数据缺乏安全性而面临越来越大的威胁。物联网、人工智能等前沿数字技术的快速发展,已经衍生出了更具有持续性和隐蔽性的数据安全风险,皆给数据安全风险保障工作带来了极大的挑战。数据安全问题的爆发性、危害性与日俱增,对国家安全、经济发展、社会发展和个人隐私安全皆带来了严峻挑战。自“棱镜门”事件曝光以来,各国际行为体就深刻意识到,数据安全带来的威胁不只是停留在网络和物理层面的入侵,而且是以窃取商业机密、国家敏感数据为首要目标,存在干预政治、操控舆论、颠覆政权等风险。尤其是,数据安全领域面临以美国为首的数据霸权国家在网络空间以“善良的管家”面目来掩盖其变相侵犯他国数据主权、对他国进行监控的事实。由此,数据安全被迅速提升到备受国际社会关注的层面。由于各国对数据安全问题的顾虑增加,发展中国家不断强化数据出入境的约束与限制,而部分西方发达国家的经济战略显露“保护主义”思维,并在全球数字领域实施“战略围剿”,进而引发“数字失序”现象。总体来看,虽然主权国家已经意识到数据安全治理的重要性,但由于各国治理理念、价值诉求、规则制度等方面的差异,难以从全球层面形成统一的数据安全治理框架,再加上各国对数据安全保障能力显著不平衡,共同制约了全球数据安全治理的发展与合作。因此,各国深度参与数据安全的治理,不仅对内有助于建立规范的数据治理制度和机制,有利于提升国内数据安全治理能力和基本保障;对外也有利于引导数据交往方式的全新变革,在为破解全球数据安全治理难题提供合理性价值引领的同时,也为全球数据安全治理体系创新贡献智慧和新方案。


2.数据蕴含的战略性经济资源是各国加强数据安全治理的客观性因素


“全球经济是一台数据永动机:它消耗数据,处理数据,并产生越来越多的数据。”根据中国信息通信研究院发布的《全球数字经济新图景(2020年)》统计,全球数字经济体量连年增长,47个国家的数字经济总规模超过31.8万亿美元,占国内生产总值(GDP)比重高达41.5%。数据作为数字经济的核心要素,正成为塑造国家核心竞争力的战略制高点,数据资源的多寡则决定了一国参与国际竞争能力的高低,也直接影响该国在国际社会中的数据影响力乃至政治经济影响力。美欧等西方发达国家已将数据安全治理纳入政治议题,数据安全立法也已经纵深化和精细化,各国政府在数据安全领域的战略博弈与数据资源争夺加剧。例如,美国依托《澄清境外数据的合法使用法案》(Clarifying Lawful Overseas Use of Data Act,以下简称“云法案”),实施跨境数据流动领域内的“长臂管辖原则”;欧盟依托《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),实施“内松外严”的个人数据流动保护体系等,皆对境内外数据处理活动作出了具体规定,也对其他国家数据安全立法产生直接影响。可见,为了抢先获得数据资源领域的话语权,以美国为首的西方发达国家正凭借其在网络空间和数据技术上的优势,不遗余力地攫取发展中国家的数据资源、争夺数据控制权。在此态势下,各国完善数据安全相关法律法规,是更有效获取数据资源、提升国际竞争力的关键步骤。同时,面对后疫情时代全球经济下滑的态势,以立法形式推动数字经济治理,也是有效优化产业结构、促进就业和推动经济增长的优先选项。


3.数据安全治理领域已经成为主权国家战略博弈的新场域


数字经济时代,一国对数据资源掌控力以及保障数据安全的能力也将成为国家竞争力的体现。事实上,2013年美国“棱镜门”事件的爆发,推动了各国政府将数据治理与国家安全、网络安全、隐私保护等政策紧密挂钩,加剧了世界各国在数据空间的战略博弈。欧盟发布的《欧洲数据保护监管局战略计划(20202024)》报告,旨在从前瞻性、行动性和协调性三个方面应对数据安全的风险挑战;美国发布《美国全球数字经济大战略》(2021),设立“新兴技术与数据的地缘政治影响委员会”(Geo Tech Commission),将“数字现实政治”作为数据基础战略,以全面保障美国利益。2020年,中国发起《全球数据安全倡议》,向国际社会呼吁应全面客观看待数据安全问题。当前,国家竞争焦点已经从资本、土地、人口资源的争夺转向对数据的争夺,数据安全上升至国家战略层面已成为全球共识。主权国家也正通过密集出台数据竞争战略、提升数据安全保障能力、构建配套政策、加大资金投入等方式,不断抢占数据安全治理领域的制高点。同时,由于数据价值的敏感性以及主权国家围绕数据不断变化的规则战略,使得数据安全风险持续上升,数据安全治理领域也正成为未来中长期大国规则博弈的聚焦点。


(三)数据安全治理的表现及特点


“数据安全”问题的缘起与深化是数字技术的发展、数据增量的累加以及国际环境的变化等多方面因素交织的综合结果,全球数据安全治理可被视为大国权衡经济利益后从多维度、多角度、多层次作出的战略抉择。相较于数字化、网络化阶段中的静态数据安全特征,智能化阶段中的数据安全问题更具复杂性、动态性、平衡性以及整体性等特点。


1.数据安全治理呈现出主体多元化、利益诉求多样化的特征


智能化阶段之前的数据安全问题无论是主体还是内容都呈现出单一化、固定化和模式化的特征。例如,在数据活动中以“点对点”的数据交换为主,即公司内部对客户信息、客户对服务的评价等信息的传输。由于在整个数据处理过程中数据主体清晰、过程明确,数据流动发生频次有限和零散,因此相应的规制措施也只需聚焦传输主体而不用考虑更为复杂的数据流动过程。但进入智能化阶段后,基于数据呈指数级增长以及常态化跨境流通的形势,数据的流通广泛分布于国家、企业、社会组织与公民个人之间,传统的治理结构经历调整,更为平权化、多元化的治理模式正在崛起。由于数据治理主体的多元化,也必然呈现出利益诉求以及治理手段等差异化的特征,重点表现在主权国家数据治理战略不兼容、主权国家与企业和个人之间出现数据权益冲突、利益难以平衡等方面,这些都对数据的存储、管理及使用带来压力。有学者指出,“数据安全治理可以通过建立一个强大的数据治理框架以增强数据的流通性、准确性和安全性”。而当前的困难在于,无法协调不同类型组织之间的战略目标和规则制度,进而导致数据治理框架的不兼容。


2.数据安全治理是一种兼顾安全性和可用性的相对安全问题


“相对安全”理念认为,安全价值仅具有首要和基础地位,而不具有终极和最高地位,安全只是发展的基础和前提,应努力摈弃追求绝对安全的行为。在智能化阶段,数据活动是一种牵涉多主体、多环节的复杂性问题,这也意味着数据安全并不存在绝对的安全,而是应确保数据处于有效保护和合法利用的状态。在此逻辑下,数据安全涵盖了两方面特征:其一,从数字经济的角度出发,数据作为社会政治经济发展的新引擎,各类新技术、新产业的研发正是建立在海量数据的开发利用之上,“数据治理”和“数据管理”则是实现安全性和可利用性之间平衡的关键。信息网络能成为“促进发展的机器”的关键,主要来自它与“颠覆性创新”机制的耦合。数据的安全和利用应看作是一体之两翼、驱动之双轮,而最佳的数据安全治理在于能够实现最大限度地利用数据与使风险最小化之间的平衡。其二,由于各国的政策目标、政策措施和数据处理能力存在差异,进而对数据安全的利益诉求与面临的外在现实约束均有所不同。因此,相应的数据安全治理机制及制度选择并不存在绝对的一致性,也不存在“绝对模板”,而是应根据各国的国情特点,在“良好的数据保护”与“数据开发利用”两个目标之间展开。


3.数据安全治理是一种动态且持续的弹性治理过程


由于传统数据安全风险主要指数据泄露、数据篡改等行为所导致数据的保密性、完整性和可用性遭到破坏,传统数据安全治理更加强调数据自身层面所承载信息的静态安全。但是在当前智能化的阶段中,这种孤立且缺乏弹性的安全治理框架远远不够。数据只有在自由流通过程中才会对社会发展产生重要的经济价值,数据的价值也会随着数据的流动速度、活跃程度及传输规模而日益递增。因此,面对处于快速流转之中的数据体系,相应的数据安全治理也应从动态发展的角度进行持续性补充与更新。从其表现形式来看,一方面应维持数据的“流入”与“流出”的动态平衡性,实现数据质量从“无序杂乱”趋向“清晰治理”。例如,在政府数据开放与共享过程中,通过对杂乱无序的数据进行分析、挖掘及可视化输出后,能有效提高数据服务的匹配度与精确度,从而激发数据最大的效用价值。另一方面应借助数据技术,通过对数据的全面采集,构建从“事前预警”“事中监管”到“事后追责”相结合的动态数据安全防护体系,从而为各行各业提供全方位、全过程的数据安全保障。


二、数据安全问题的全球治理及其困境


数据的价值在全球经济中迅速增长,然而数据却是一种有争议的经济资源。当前,各国际行为体对全球数据安全并未形成统一的治理框架,全球数据安全治理是由未被普遍接受的或停留于单边、双边和多边框架以及贸易规则拼凑而成,相关治理议题涉及公民个人、社会、经济以及国家安全等层面。目前,多领域多维化的数据安全问题造成多元数据主体的治理诉求差异,这也导致全球数据安全治理发展过程中出现规则碎片化以及机制效用不足、治理乏力等情况。多方面因素交织互构,使得各国际行为体治理难以达成共识,合作意愿持续降低,增加了全球数据安全治理的复杂性。


(一)全球数据安全治理概况


“全球数据安全治理”已经被各国际行为体提上日程,然而,从目前来看,无论是国际组织层面还是主权国家层面,对数据安全问题的治理皆未形成全球性的规制体系。传统治理机制在应对数据安全治理问题时频频受阻,而一些新机制和新制度本身就存在诸多短板和软肋,难以发挥作用。既有国际组织在全球数据安全治理中动力不足,而主权国家出于各自利益诉求、价值理念以及经济需求的考量,形成的数据安全治理模式和规则存在较大差异。由于这些数据安全治理规则存在一定程度的不兼容性,也难以在全球层面有效对接,进而造成全球数据安全治理呈现“分而治之”的现状。


1.国际组织:以区域性组织和国际经贸机制为主导


全球数据安全的治理问题早已经引起国际社会的重视。1990年,联合国发布《计算机处理的个人数据文档规范指南》,对个人数据治理给予规范性指导。此后,经济合作与发展组织(OECD)、亚太经济合作组织(APEC)和世界贸易组织(WTO)等纷纷开展多边规制行动,致力于把数据安全战略行动向纵深推进。然而,面对风险性和不确定性日益倍增的数据安全现状,关于全球数据安全的治理路径或解决方案却迟迟未能取得实质性进展,当前的国际合作机制仍然散落于多边、区域性组织以及经贸规则之中。


第一,经济合作与发展组织以便利性和协调性为基准,进行了全球数据安全治理的早期探索。1980年,OECD发布的《隐私保护与个人数据跨境流动指南》(以下简称“指南”)就个人数据保护提出了八项基本原则,这些原则已成为国际公认的个人信息立法范式。该指南还呼吁,各国应尽量减少以保护个人隐私和自由为名义的数据安全措施,从而规避其对数据自由流动所造成的不利影响。1985年,OECD在《跨境数据流动宣言》中以便利性和协调性为前提,形成了全球数据安全治理体系的雏形。同时,该宣言也指出,阻碍全球数据安全治理体系构建的根本障碍在于“难以调和各国差异化的数据治理规制”。2019年,OECD在《关于数字安全风险管理建议》中进一步强调应加强数据安全领域内的国际合作,形成数字国际伙伴关系,以规避各国政策的差异化,并使国内政策发挥最大作用。简而言之,OECD作为全球首个提出数据隐私保护治理框架的国际组织,通过区域性示范原则使得各国际行为体初步形成数据安全保护的原则共识,这为开启全球数据安全治理奠定了基础。


第二,APEC以自愿性和灵活性为基准,成为美国增强全球数据安全治理话语权的工具。APEC建立了亚太地区第一套数据隐私协同治理框架,其运作是通过非约束性的承诺与基于成员自主自愿、协商一致的合作原则,强调开放对话及平等尊重各成员意见。2004年,APEC设立了“数据隐私小组”,并提出了APEC“隐私框架”,概括性地提出了数据保护最低标准的参考指引。为了更好地发挥实质性效果,2011年,美国在APEC中主导设立了跨境隐私规则体系(Cross-Border Privacy Rules,以下简称CBPRs),将其定义为“规范成员个人数据跨境流动的自愿性数据隐私保护计划”。虽然CBPRs依旧具有自律性和非强制性的特点,但加入CBPRs的相关行为体需要制定符合该体系的数据隐私政策及规则,并由APEC认证的问责代理机构进行评估。该模式体系构建的初衷是在一套既定的隐私原则以及规则框架之下,以扩大行为体共识的方式来平衡个人隐私保护和数据自由流动,推动区域经济一体化持续增长。CBPRs作为针对性较强的合作机制,虽然能够在数据的自由流动和隐私保护之间起到平衡作用,但本质上该机制具有强烈的“美国色彩”,而其约束力较弱的特征也与美国国内宽松且碎片化的数据治理机制特点相符合。美国将该机制作为实施“数据霸权”的工具,其在各个国际场合坚持推行CBPRs体系,并试图通过修改规则的方式来满足自身利益需求,在不断削弱各国数据管理限制的同时,以期在全球数据安全治理中夺取规则治理话语权。


第三,WTO、《区域全面经济伙伴关系协定》(RCEP)、二十国集团(G20)以经济贸易为基准,致力于消除数据流动阻碍。现有的和新兴的国际经贸机制与全球数据安全治理的相关性仍未得到充分重视。WTO作为全球贸易规则以及“电子商务”规则谈判的国际组织,使命在于确保贸易尽可能顺畅、可预测和自由地流动,但面对数据全球化的不断深入以及数据安全形势的巨大变化,其配套的法律规则却没有更新和发展。同时,各成员国在《服务贸易总协定》(GATS)下作出的承诺高度不均衡,其对限制性数据政策的约束力在WTO争端解决机制中几乎没有得到检验。相反,全球科技行业却要求在日益全面的贸易和投资协议中游说并制定新规则。RCEP为国际数据治理创建了一个新模板,即将数字安全、数据流动与各国经济利益相协调的新尝试。该谈判进程持续八年之久,但最终印度、南非等国家依旧以数据民族主义为由放弃该协定的签署。同时,RCEP在规则执行中也存在一些缺陷,诸如对数据自由流动例外规则中“安全”内涵界定模糊、对个人数据保护要求不足等。另外,鉴于当前全球和区域内的地缘政治风险不断增加,以及国际贸易局势日益紧张,RCEP的首要任务是要进一步推动经济一体化发展进程,同时,在各成员国间存在文化、社会、经济和政治异质性的情况下,RCEP还要从长远考虑如何来调和国家之间差异化的利益诉求。G20领导人曾在2019年提出了关于“具有信任的数据自由流动”(DEFT)的“大阪行动路线”构想,旨在促成全球数据政策协调框架。虽然大部分国家都承认促进跨境数据流动具有潜在经济和社会效益,但由于各国对隐私或数据安全有着不同的理解和界定,要在实践中真正实现该治理框架存有一定难度。


2.主权国家:围绕本国利益形成差别化数据安全治理模式


主权国家在全球数据安全治理方面日益呈现出“新数字孤立主义”的倾向。虽然主权国家普遍意识到全球数据安全治理以及合作的重要性和紧迫性,但却不断颁布单边限制数据流动的法规。无论是欧盟的《通用数据保护条例》(GDPR)对个人数据保护的规制,还是美国出台的“云法案”,抑或是部分发展中国家推行的数据本地化监管政策,皆是出于自身的利益诉求、价值理念以及经济需求的考量,并试图在全球层面输出“本国模式”,以期扩大自身数据安全治理模式的影响力。但实际上,主权国家的数据安全治理模式存在一定的不兼容性,这在不同程度上阻滞了全球数据安全治理的发展。按照主权国家对数据安全保护的程度,大致可以分为宽松型、严格型和折中型的数据安全治理模式。


第一,以维护数字竞争优势为核心,实施数据“宽松保护”安全治理方略。这类数据安全治理模式拥有数字竞争优势以及良好的数据市场规模,因此,使用该模式的主权国家更加强调数据的经济利益。这种模式以美国为典型,美国凭借强大的数字技术以及市场优势,对数据的自由流动实施宽松保护治理。美国以“事后问责”的方式来规范数据跨境流动行为,即指仅在数据安全事件发生之后,依托“云法案”对相关数据控制主体进行问责。美国在数据安全领域建立“宽松型模式”主要出于两方面因素的考虑:一方面以经济利益为导向,依托长臂管辖治理,以多边合作建立“数据盟友”,不断扩大治理范围;另一方面,美国试图在全球数据领域争夺规则主导权。长期以来,美国虽然对外一直倡导数据应“无国界”自由流动,但美国惯以国家安全为由,借“安全化”策略作为提升其国际数据竞争力的重要手段,同时通过政府介入,为美国互联网企业的全球扩张提供强有力支撑。因此,美国推行数据“宽松型保护”治理战略,不仅能使数据的高效流动汇聚于本国,支持其鼓吹的数据自由流动规则,也在于减少本土互联网产业受到国际贸易规则的限制,保障美国企业对全球数据的掌控,提升美国在全球数据安全治理领域内的主导地位。


第二,以强调个人数据隐私为核心,实施数据“严格保护”安全治理战略。采用该类数据安全治理模式的国家往往处于数字技术和市场规模刚刚起步的状态,更加注重保护个人隐私、企业发展以及减缓外部对国家安全影响等因素,并要求在对数据实行高标准的保护下,推行数据的自由流动。以欧盟为例,欧盟GDPR的出台被称为是“世界上最严苛的隐私安全法”,该机制对任何涉及欧盟公民数据的地区或国家皆施加了数据权利和义务。虽然GDPR是由欧盟发起并制定的新规则,但其带来的影响是全球性的。截至20217月,已经有16个国家建立了类似GDPR的数据隐私治理机制。以欧盟为代表的该类“严格型”安全治理战略可以概括为三个原则:一是充分性原则,建立以“白名单制度”为核心的数据保护机制。与美国“事后问责”形成鲜明对比的是,欧盟以“事前规制”的方式来提前考察数据接受国是否达到欧盟的充分性认定原则,符合欧盟数据保护标准的国家或地区则被列入“白名单”。二是所有涉及个人相关信息的数据活动都应提前取得当事人同意。三是在确保数据安全的环境下,鼓励数据在欧盟内部自由流动,实施“内松外严”的治理政策。关于出台GDPR的目的,欧盟委员会《在全球化世界中交换和保护个人数据》报告表明了其根本用意,主要内容包括三方面:一是欧盟的数据保护理念和推崇的价值观应该是全球数据安全治理的标杆。二是面对主权国家差异性的数据保护治理规则,欧盟应抓住时机,把握全球数据安全治理规则制定的话语权。三是对个人数据隐私保护始终保持坚定的态度,但这并不意味欧盟放弃数据流动的经济利益,相反,欧盟近年来正试图在高标准的数据保护标准体系下构建出各类数据跨境流动机制,从而满足数据跨境流动的市场需求。


第三,以利益均衡为核心,实施数据“折中保护”治理战略。相较于上述两种以“针对性”的方式来规制数据安全问题,数据“折中保护”型战略形成了一条介于两者之间的数据安全治理思路,其所对应的治理目标也是介于上述两者治理战略之间。该战略理念在尊重和保障数据主体主权的前提下,试图寻找介于“数据自由流动”与“数据安全”之间的平衡路径。根据罗伯特·亚历克西(Robert Alexy)的“权衡法则”,“一个原则的未被满足程度或受限程度越高,另外一个原则在运用过程中能被满足的重要性就越大”。因此,基于该法则,需要在全球数据安全治理实践中对“数据自由流动原则”和“数据安全原则”的运用进行权衡比较。具体可以分为三个步骤:第一步,确定“数据自由流动原则”在运用过程中未被满足的程度或受到限制的程度;第二步,确定与“数据自由流动原则”相冲突的“数据安全原则”在运用过程中能被满足的重要性程度;第三步,将第一步所确立的未被满足程度与第二步所确立的被满足的重要性程度进行比较,从而判断出“数据安全原则”在运用过程中的被满足重要性程度是否能证立“数据自由流动原则”的未被满足程度。从当前跨境数据流动治理的实践来看,由于受数据类型的多样化、数据治理多元的利益诉求以及地缘政治规制角力等复杂因素影响,“数据自由流动”与“数据安全”之间的二元平衡在短期内难以实现,因此该战略是在一个理想化的设定下,各国亟待达成的全球数据安全治理规则的新秩序、新规则。


(二)全球数据安全治理的主要领域


数字技术的快速发展使得数据治理领域正在不断拓宽,与之相伴的数据安全问题在个人权利、社会发展、经济利益和国家安全等多个方面持续涌现,因此,全球数据安全的治理与维护是一个极其复杂的系统。按照数据主体以及议题领域的属性划分,大致可以将当前的全球数据安全治理领域归纳为以下四类。


1.个人权利:对个人数据隐私的治理


在数字经济快速发展的背景下,数据已经成为战略性经济资源以及重要的生产要素。其中,个人数据蕴含的商业价值愈加凸显的同时,也孳生了个人数据隐私泄露的风险。一方面,由于部分数字平台为了攫取数据红利,存在过度采集用户各类个人信息的行为,而其在未经数据主体同意或授权的情况下采集到的个人数据,往往会架空个人“知情同意”的规则,使得数据主体监管权利减弱;另一方面,前沿科学技术的发展和应用,使得个人隐私边界日益模糊,技术对数据的高度依赖性也使得新类型的隐私侵权行为方式不断涌现。此外,数据主体的保护意识不足、数字平台获取用户数据的隐秘性、数据共享与个人隐私的冲突,皆加剧了个人数据隐私泄露的风险。


无论是国际层面还是主权国家层面,当前的治理现状均对个人数据隐私保护问题给予高度重视,但依旧面临诸多挑战。就治理政策而言,被称为“有史以来最严苛”的欧盟GDPR是当前国际社会援引最多的法律条例。GDPR确定了“原则上禁止,有合法授权时允许”的个人数据使用模式,赋予数据主体知情权、访问权、修正权等在内的七项数据权利。就治理模式而言,可以分为两类基本模式:第一类是除非获得明确许可,个人数据不得跨境流动;第二类则是原则上允许个人数据跨境流动,但监管机关有权加以禁止或限制。例如,欧盟、俄罗斯以及部分推崇数据本地化存储的国家大都采取了第一种模式;而美国推崇第二种模式,其通过对监管部门的干预权加以约束,以减轻企业在跨境数据流动上的合规成本。


2.社会发展:对数据开放与共享问题的治理


政府数据开放与共享即是指政府数据资源内部生成、协同共享和开放利用的过程。标准化、规范化的数据开放与共享治理,不仅有助于充分挖掘和开发数据资源的全部价值,使其更好地服务于全球经济社会的发展,而且可以建立起科学完善的相关制度和机制,为各主权国家的数据交往提供指引,加强全球数据安全治理合作意愿。近年来,随着数字政府的推进以及开放政府合作伙伴(OGP)等国际组织的成立,政府数据开放与共享的治理议题凸显其重要性。2015年,《国际开放数据宪章》(ODC)确立开放数据“默认开放”“及时全面”“可获取和可使用”“互操作性”“统一标准性”以及“包容性发展和创新”等六大准则。202012月,经济合作与发展组织协助各国政府健全组织体系、完善数据共享开放平台等措施,加快规则制定和实施数据共享,提高数据开放与共享的公开性、透明性以及协作性。


然而,由于治理的复杂性,该议题领域依旧面临数据安全风险。首先,治理主体之间存在“不愿共享”“不能共享”以及“不会共享”的问题。在当前数据资源即“权力”和“财富”的发展形势下,数据保护主义、数据民族主义的思维破坏了政府、企业以及个人之间的数据协作治理,导致出现“数据孤岛”和“数据鸿沟”的现象。此外,治理主体在数据资源搜集、存储、处理、传输能力以及技术发展水平方面还存在差异。这些都会进一步加剧该现象,进而导致合作基础薄弱、治理效果不尽如人意。其次,数据开放与共享过程中的防控难度系数较高。由于这些数据往往具有体量庞大、类型丰富、流动频率高等特征,一旦在法律法规、技术保障水平、安全管理机制或数据主体保护意识等方面出现欠缺和疏漏,皆会带来严峻的安全风险。再加上治理主体之间对开放数据的程度不明了,难以平衡个人隐私与社会利益之间的矛盾,这就使得数据安全防护的薄弱点层出不穷,存在潜在的数据安全隐患。


3.经济利益:对数字平台数据垄断与数据权属问题的治理


近年来,数字平台企业之间屡屡出现恶性竞争行为,这不仅使用户权益沦为利益扩张的牺牲品,而且也引发了一系列数据安全问题,消耗了互联网行业在维护网络生态安全中的治理动能。从危害表现形式来看,一方面,数字平台企业特殊的市场行为产生的“数据杀熟”“数字化卡特尔”“掠夺性定价”等现象,成为平台形成数据垄断的重要手段,或导致市场支配地位滥用,引发一系列诸如破坏行业生态、扰乱市场竞争秩序、压制创新、侵犯个人隐私等数据安全问题;另一方面,数据自身具备的多重属性以及复杂权利责任关系,使得难以统一数据权属层面的标准,进而导致数字企业平台之间产生数据权属界定不清晰、配套规则缺失以及数据类型划分难等问题,加剧了数据安全治理的难度。当前,随着数字企业平台的日益扩大,其所带来的数据安全问题愈加严重,主权国家相继通过加大反垄断力度、提高罚金等方式来抑制数字企业的恶性竞争。据统计,美国已有超过30个州向亚马逊、谷歌、苹果、脸书(Facebook)等在内的大型互联网科技巨头提起反垄断相关诉讼。欧盟出台《数字市场法案》与《数字服务法案》,致力于构建一个公平和安全的数据市场竞争环境。日本则成立了数字市场竞争政策研究小组,专门处理数字市场的反垄断难题等。此外,新加坡、韩国和澳大利亚等国也对大型互联网科技巨头提起反垄断诉讼,以确保构建公平有序的市场环境。


4.国家安全:对主权国家数据主权与数据跨境流动问题进行治理


数据基于网络媒介在各主权国家之间的跨境流动与存储已经成为常态,然而数据的跨境自由流动也孕育着各类数据安全潜在风险。首先,从国家主权安全的视角看,数据的跨国界流动造成了数据来源地与储存地的割裂、数据控制者与所有者的分离以及数据管辖权与治理权的模糊,进而引发各国在数据管辖权以及确认目标数据所在地方面的矛盾。例如,“微软海外邮件数据授权案”的争议焦点就在于,一国政府对本国企业在域外的数据是否享有控制权或管辖权。其次,从各国数据隐私保护的视角看,由于各国数据安全和隐私保护水平不一致,当用户数据从保护水平较高的地区流向保护水平较低的地区时,可能会因为立法不足、保护技术或管理能力有限,导致存在数据泄露的风险。从当前主权国家的实践看,有以美国为代表的宽松型数据安全战略,即在确保对数据资源有效掌控的同时,利用长臂管辖原则来压制对手的数据权利,以此取得本国的数据安全;以欧盟为代表的严格型数据安全战略,为了制衡数据强国对自身数据主权的损害,往往以相对独立的战略认知和价值体系等形成一套自我模式,并强调在尊重和保障数据相关主体权益的情况下加以实施(参见表1)。


1全球数据安全治理领域与风险


(三)全球数据安全治理的困境与存在问题


数据安全问题的复杂性使得全球数据安全治理在起步阶段便遭遇多方面的现实挑战。多元主体需求的多样化、数据治理机制的效用不足、数据安全治理的碎片化以及面临数据霸权主义等因素,共同制约了全球数据安全治理的健康发展。


1.多元数据主体利益诉求的差异性成为全球数据安全治理的首要难题


全球数据安全治理牵涉以各国政府、私营部门以及公民个人为主的治理主体,这些主体相互间存在着不同的利益主张和价值诉求,进而引发全球数据治理机制建构的多层次冲突。首先,主权国家之间存在对数据权属认识的不统一、对数据安全认知的规制路径以及治理理念的差异。例如,美国是以市场主导和行业自律结合的事后规制路径,采取分散监管的立法模式;欧盟则以个人数据权利以及法律主导的事前规制路径,采取高度统一的立法模式。与此同时,主权国家在数据治理领域内的博弈态势,势必加剧全球数据安全治理的难题。其次,各国政府、私营部门以及公民个人之间存在数据权益失衡的现象。例如,个人与企业数据权属的界限不明,导致企业侵犯个人数据权利的行为屡见不鲜;主权国家与企业数据资源不对称,使得主权国家无法切实掌握数据资源并对其展开有效治理,亦无法解决国家数据主权与个人数据权利不相协调等问题。由此可见,全球数据安全治理中的治理主体难以就价值目标以及实践标准达成共识,如何弥合上述分歧,塑造具有包容性和共识性的全球治理规制,是优化全球数据安全治理体系的重要问题。


2.全球数据安全治理机制效用不足阻碍治理进程


近年来,民粹主义、贸易保护主义、科技脱钩等“逆全球化”声浪不断。尤其是处于新冠肺炎疫情叠加百年变局的关键时期,各国“单边主义”和“保护主义”政策交互推行,使全球治理体系既暴露出老问题,又面临新挑战。全球数据安全治理作为全球数据治理的新兴领域之一,自产生起便始终处于“参与的赤字”以及“责任的赤字”中,致使相应的数据安全治理机制无法发挥应有作用。一方面,由于全球数据安全治理规则处于“空白期”,既有的国际组织虽然已对数据安全问题高度重视,但由于不同性质的国际组织围绕全球数据安全治理议题设置存在区别,规则间的异质性也增加了谋求全球共识的成本,削弱了治理机制的效用;另一方面,由于全球数据竞争优势逐渐呈现“由西向东”的趋势,美国和欧盟在数据领域内的优势正逐渐消失,新兴发展中国家也正致力于发展新兴科技,提出参与全球数据安全治理规则的诉求,各国际行为体围绕“谁的规则”这一问题展开博弈,进而造成各国合作意愿逐渐降低,阻碍了全球数据安全治理进程。此外,数字技术的快速发展使数字治理议程持续扩大,衍生的数据安全问题也愈发严峻,进而导致全球数据安全治理领域内的“盲点”“难点”不断增加。在这种情况下,现有机制还未对当今困境和问题作出回应的同时,又面临一系列新的治理问题。总之,全球数据治理规则的建设以及主权国家的数据处理能力远远落后于数字技术的发展,而相应的治理制度供给、数据能力与数据技术之间的“剪刀差”也将会随时间持续扩大,进一步削弱全球数据安全治理机制的有效性。


3.数据安全治理规则的碎片化导致国际合作进程受阻


全球数据安全治理的核心议题在于,如何在数据的“安全流动”与“发展利用”之间找到一个符合各国际行为体实际需求的平衡点。各国价值诉求、治理目的以及规制路径不同,因此应当在不同程度上对主权国家出台的数据流动限制以及约束性措施作出统一标准。然而,全球数据安全治理的现状却呈现出规则碎片化的趋势,使得全球数据安全治理框架趋于分而治之的局面。数据安全治理规则的碎片化在以美国和欧盟为首的主要行为体中已初见端倪。美国和欧盟长期以来在数据治理领域存在着难以调和的分歧,虽然两者皆在不同程度上对数据保护作出规定,但美国的“市场话语”体系与欧盟的“权利话语”体系之间存在根本矛盾,这种矛盾冲突也在20208月欧洲法院宣布《欧美隐私盾牌》协议无效后达到顶峰。直至今日,双方就如何制定协调一致的合作机制前景仍不明朗。与此同时,越来越多的主权国家正通过推行数据本地化措施,应对数据安全风险。根据信息技术和创新基金会统计,“2017年以来,全球范围内实施的数据本地化措施的数量增加了一倍多”。事实上,数据本地化措施会使跨境数据传输变得更加昂贵和耗时,大量数据存储在境内服务器也会扩大网络攻击风险点,造成适得其反的效果。


最重要的是,全球数据本地化趋势加剧,会造成全球数据流动的新“壁垒”,严重阻碍了全球数据安全治理的深入推进。从全球层面而言,全球数据安全治理大致分为宽松型、严格型和折中型等三大类数据安全治理模式,但细加审视,各国对数据跨境流动的限制程度、本地化存储的程度以及豁免规定等不尽相同,再加上各国涉及的区域、双边法律也有所不同,进而致使各国在参与全球数据安全治理中出现了规则及制度的不兼容。因此,主权国家依据自身的治理偏好对数据安全治理进行诠释和演绎,不仅削弱了全球数据安全合作的可能性,引发了规则竞合与管制的冲突,并且随着主要经济体的战略竞争愈加分散化,加大了建立统一规范的全球数据安全治理规则和体系的难度。


4.数据霸权主义给全球数据安全治理带来多重挑战


数据霸权是传统霸权在数字经济时代的延续,即指数据资源的富有国凭借数字技术的优势对他国滥用权力,甚至以强权为基础侵犯他国主权的行为,而其根本实质是数据权利的不平等。美国的数据霸权主义在全球范围内持续扩散,其滥用国家安全名义提升自身数据安全攻防能力,并利用长臂管辖原则,对他国实施大规模数据监控,甚至在数据安全问题中引入意识形态和政治制度等因素,将数据安全问题政治化,罔顾全球利益和福祉,在全球数据治理中造成严重安全壁垒。美国学者埃伦·伍德(Ellen Wood)指出,“资本帝国主义所追求的是在‘任何可能的地方无需借助于政治统治而树立经济霸权’。”美国实施数据霸权的目的,既有经济内在失衡和外在危机驱动,更重要的是寻求自身的经济绝对安全,以此维护世界霸权地位。美国这种野蛮行径不仅会对他国的国家安全、数据主权、社会经济等方面造成威胁,也会对现有的国际合作造成极大冲击,在全球范围内引发一系列的安全困境,催生更多的单边主义政策,使得全球数据安全治理以及合作发展受阻。同时,数据霸权主义也将会导致数据生产、流通和消费等多个环节产生权力不平等,加剧“数字无序”的状态,进而造成网络空间分裂,给全球数据安全治理带来多重阻力。


三、中国参与全球数据安全治理的策略思考


近年来,中国高度重视数据安全治理工作,陆续出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等一系列数据安全治理的法律法规、政策文件和标准规范。习近平总书记强调:“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”然而,在当前全球数据安全治理现状下,中国依然存在立法体系不够完善、数字技术研发创新能力薄弱、国际合作不足等问题。因此,如何在准确把握国际数据安全问题趋势的基础上,进一步夯实参与全球数据安全治理的实力基础,对于中国的意义重大。


(一)坚持数据安全流动与发展并重的基本立场


哥本哈根学派创始人巴里·布赞(Barry Buzan)指出,“安全化的本质是把公共问题通过政治化途径上升为国家的安全问题,并以非常措施应对威胁”。当前,面对日趋严峻的大国“数据战”,尤其是在以美国为首的西方发达国家数据霸权和单边主义盛行的态势下,中国在参与全球数据安全治理的过程中,应坚守维护国家安全、公共安全以及个人隐私安全的底线,同时兼顾数据保护和数据流动。首先,结合中国的具体国情和所处的发展阶段,确定中国对于数据应用发展“开放”与“限制”的程度,在数据利用与维护国家安全之间找到一个恰当的平衡点。不同于美国“宽松型”以及欧盟“严格型”的数据安全治理战略,中国始终奉行“折中型”数据安全治理战略,全面提升中国参与全球数据安全治理的能力。2020年以来,中国已相继签署《区域全面经济伙伴关系协定》(RCEP)和《中欧投资协定》,并向国际社会发起《全球数据安全倡议》,又积极申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP),呼吁各国秉持发展和安全并重的原则,平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系,但如何真正将该理念贯彻融入中国对外交往实践还值得进一步思考。其次,面对各主权国家差异化的数据安全治理模式,中国秉持求同存异的立场,在尊重他国数据主权和利益诉求的基础上,推进全球数据安全有序流动。此外,在当前变幻莫测的国际形势下,中国也需实时追踪、持续研判全球数据安全领域内的规则新变化,及时评估国际博弈各方力量及利益,这既能够有效借鉴域外有益经验,更有利于调整国内规范、科学应对全球数据安全挑战。


(二)构建科学系统的数据安全治理制度体系


“宜细不宜粗”的数据安全立法风格是提高数据安全立法效力的关键因素。从当前的情况看,除了美国和欧盟等部分国家或国家集团已经具备了较为成熟的数据安全治理体系,包括中国在内的许多国家均在数据安全治理体系中处于不断探索和完善的阶段。中国数据安全治理制度体系主要由《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部法律构成。这些法律法规的出台顺应了国内外形势的发展,已经初步形成数据安全治理的总体制度框架,但在实践操作中还需立足于全球视野,进一步细化数据安全治理细则,为中国深度参与全球数据安全治理建立对话基础。


具体而言,一是要根据不同类型的数据,提出不同的安全要求。全面分析“关键数据”面临的安全形势与风险,建立分级分类保护制度,有针对性地提出安全防控要求。二是要对数据的全生命周期进行全程安全风险评估和审查监管,重视数据的产生、形成、采集和存储等环节可能产生的安全漏洞以及安全风险,做到提前预警,并建立统一的数据安全相关标准。三是要对政府、企业、个人和其他组织在维护数据安全中的权利义务作出明确的规定。在赋予数据主体对数据的所有权、使用权、财产权、人格权、访问权、被遗忘权和可携权等诸多权利的同时,还要明确维护数据安全的职责和义务,做到责任权利相统一。总之,在当前以美欧为首的西方发达国家引领制定全球数据安全治理规则的形势下,构建科学完整的数据安全治理制度体系应当双管齐下、内外结合,对内应以建立健全跨境数据流动安全规则体系为抓手,不断细化相关治理制度建设;对外则以合作共赢为目标,提高中国在全球数据安全规则治理中的话语权。


(三)加强数据安全技术研发及技术标准制定


数据技术是数据安全和隐私保护的治理基础以及有效工具。从个人隐私保护到国家数据主权,从事前防范到事后追溯,形成全方位、全流程和全领域的数据安全治理防护都离不开关键技术的应用与突破。近年来,中国在数字技术应用领域虽然取得较大进展,基本建立起围绕个人隐私保护、平台运营安全和网络安全等层面的数据安全技术架构,但是在基础理论、核心器件和算法及软件等层面,较之美国等技术发达国家仍明显落后,这也导致中国信息技术长期存在“空心化”和“低端化”问题,不利于中国提升全球数据安全话语权以及规则制定权。特别需要注意的是,全球数据安全治理的深入发展为国际社会在新兴技术层面提供了更多合作需求,各国际行为体加强合作是实现技术进步和增强数据安全防护的关键因素。然而,当前中美博弈等因素正不断压缩中国对外合作空间,美国在技术、投资及科研项目合作等方面不断对中国设置障碍。美国不仅以国家安全为由,依托“长臂管辖”原则,施压域外企业和国家限制中国技术出口及合作,同时也联合其盟友在技术标准等方面意图对中国进行联合压制。在此态势下,中国必须从长期战略规划角度予以政策激励,加快关键技术领域自主研发,为全球数据安全治理筑牢根基。一是加大在芯片、操作系统和传感器等关键前沿技术领域“卡脖子”技术方面的科研攻关,尽快打造相关技术领域的自主创新能力。二是加大相关人才培养。中国在云计算、大数据、人工智能和区块链等技术领域的前沿基础理论与高端人才储备尚存在不足,要从应用研究和基础研究两个方向加强基础人才队伍建设。三是加强数字技术国际交流与合作,以全球视野谋划、推动和鼓励创新,充分利用全球创新资源,实施安全、包容和公平的数据合作治理战略。


(四)积极开展并促进数据领域的国际交流与合作


互联网技术的发展使得世界各国的依存程度日益加深,国际社会日益成为一个“一荣俱荣、一损俱损”的命运共同体。面对层出不穷的数据安全问题,没有任何一个国家能够置之度外、独善其身。虽然主权国家在数据治理规则制定中存在分歧和冲突,但积极开展国际合作依旧是当前促进全球数据安全治理成功的关键因素。同时,为了最大限度地发挥数据的创新和生产力优势,主权国家应基于包容性、互操作性和公平透明的原则,就全球数据安全治理的核心原则达成共识,并制定共同规则。中国数据安全领域内的国际合作机制相对滞后,而且存在与现行国际规则不兼容、监管制度灵活性不够以及国际规制缺失等问题。在此形势下,中国应加快探索建立相适应的国际治理机制、全球数字规则以及安全治理框架。一方面,中国应积极主动参与数据安全治理的多边或双边谈判,在以对等原则、尊重他国数据主权和利益诉求的前提下,建立统一的跨境数据流动规则,形成共同认可的数据保护机制,实现数据有序和安全的流动;另一方面,面对各主权国家努力扩大数据安全流通“朋友圈”的形势,中国也应积极联合友好国家,扩大数据安全流通的国际“朋友圈”。例如,中国可以借鉴亚太经合组织、G20等已有多边机制建构的数据治理规则,依靠与“一带一路”沿线国家、金砖国家、上海合作组织的友好关系,在发展和平衡中提升全球数据安全治理“中国方案”的影响力,并进一步建立“数据命运共同体”,推动构建全球数据安全合作治理的新秩序、新格局。



当今世界已进入数据时代,海量数据的产生与流转成为“新常态”。随着数据价值的不断提高,数据安全风险也与日俱增。相较于数字化和网络化阶段的传统数据安全,当前的数据安全风险具有更为明显的复杂性、动态性、平衡性和整体性的特点,但不可否认的是,数据安全具有安全问题的共性,即本质上是一种动态、平衡和相对的安全,数据安全的治理核心也在于如何保障数据的安全与合法有序流动。为了应对数据安全治理出现的一系列挑战,国际社会各方在实践中不断探索,但鉴于数据安全的技术与应用特性,有效确保全球数据安全仍然面临诸多现实挑战,包括全球数据安全治理面临标准差异化、规则碎片化和诉求多元化等问题。检视中国现有数据安全相关法律法规不难发现,中国数据安全治理依然存在立法体系不够完善、科技自主创新能力薄弱和国际合作不足等问题,这都与维护中国国家安全和数据安全的现实需要存在明显差距。为了更好地发挥数据安全在维护国家安全中的积极作用,在中国的数据安全立法中,要进一步突出总体国家安全观的立法指导思想地位,认清数据发展与国家安全的辩证关系,构建科学完整的数据安全法治体系。如何在数字经济背景下,推动国际社会就全球数据的发展与安全达成共识,在尊重数据主权的前提下,建立国际数据流动、公开与共享的机制和标准,让数据成为全人类共享的信息科技成果,是未来急需面对和解决的共同课题。