数据主权规则建设的模式与借鉴
———兼论中国数据主权的规则构建
张晓君
( 西南政法大学,重庆 401120)
摘 要: 数据是大数据时代重要的国家战略资源。数据主权是国家主权在网络空间的核心表现,关系到数据安全、数字鸿沟、个人隐私,是国家安全和发展的核心利益所在。 近年来,欧盟与美国都在数据主权方面开展新的规则建设。欧盟以数据保护为核心出台 的《通用数据保护条例》,重新建立了与美国之间处理数据保护的规则框架,进一步强化了 对数据主权的保护。美国则以《澄清域外合法使用数据法案》为代表,确立以数据自由为 核心的数据主权规则,但实质是单边主义和霸权主义在数据主权问题上的延伸。中国宜 在欧盟和美国数据主权规则建设差异性基础之上,以主权平等、合作共治为原则,以网络 命运共同体理念为指导,构建符合我国数据要求,兼顾各国利益的数据主权规则,推动全 球数字经济全面健康发展。
关键词: 数据主权; 数据安全; 数据保护; 数据自由
随着互联网的深入发展,网络运行过程中形成的数据体量日益庞大。与数据存储相关的“大数 据”“云计算”等成为各国互联网发展进程中重点关注的领域。数据的获取和利用关乎个人信息保 护、企业经营发展,更关乎国家利益。近年来,各国之间的数据纠纷愈发激烈,其核心在于对数据资 源的合理占有与有效利用。① 国家是否对网络数据享有主权,国家应该怎样合理地行使此类主权? 网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。② 目前数据存储方式发生了
收稿日期: 2020 - 08 - 30
基金项目: 2019 年度教育部哲学社会科学研究重大课题攻关项目“对‘一带一路’沿线国家投资风险监测预警体系研究”( 19JZD053)
作者简介: 张晓君( 1969) ,男,云南永德人,西南政法大学国际Betway必威App体育教授,法学博士。
致谢: 感谢上海对外经贸大学董静然副教授对本文的协助。
① 参见曹磊: 《网络空间的数据权研究》,载《国际观察》2013 年第 1 期,第 58 页。
② 参见《中华人民共和国网络安全法》第 76 条第 4 项。也有外国学者从三个方面界定“数据”的概念: ( 1) 数据是被用作推理、讨论及计算基础的事实信息; ( 2) 数据是被相关设备传输出来的,包括有用的信息和需要处理加工的无用信息; ( 3) 数据是数字形态的信息,能够被数字化传输和处理。参见 Myra F. Din,Data without Borders: Resolving Extraterritorial Data Disputes,26 Journal of Transnational 1,42 - 43( 2016) .
较大变化,数据存储从当地的存储器逐渐转变为全球数据库的远程存储,甚至有大量的数据存储在
“云”( cloud) 上。
数据主权源于网络主权,是国家主权在大数据时代的核心表现。① 数据主权表现为国家对本国数据与本国国民数据的所有权、控制权、管辖权与使用权。② 数据主权对内体现了国家对数据的最高管辖权,对外体现了国家在网络数据上的独立自主权与合作权。③ 广义的数据主权包括国家的数据主权与个人的数据主权。④ 有学者认为,全球化给国家主权以新的发展和启示: 在全球化背景下, 国家主权表现了国家对其公民利益的关心,这让公民的个人权利逐渐开始与国际社会产生互动。⑤
美国和欧盟在数据主权领域的规制措施呈现出了不同的特点。2018 年 2 月,美国通过了《澄清域外合法使用数据法案》( Clarifying Lawful Overseas Use of Data Act) ,⑥ 该法案亦被称作《云法案》 ( Cloud Act) 。⑦ 2018 年 5 月,欧盟的《通用数据保护条例》( General Data Protection Regulation) 正式生效实施。⑧ 这两项规制措施代表了美国与欧盟在数据主权领域不同的态度与选择。本文以构建数据主权发展战略为命题,比较分析美国与欧盟的数据主权规制措施,进而提出符合中国发展要求 的数据主权规则。
一、数据主权的法理基础与核心要素
在网络数据领域,国家享有主权。2017 年,我国外交部和国家互联网信息办公室发布《网络空间国际合作战略》,明确了主权原则对网络空间的适用,鉴于数据领域与网络空间的交叉与重合,这 为数据主权打下了良好基础。网络空间具有可规制性,因为用户的“认证”、统一技术标准下的“兼 容”、计算机与万维网之间的互联互通为网络空间的规制提供了可能性。⑨ 同样,数据也存在可规制性。面对数据自由与数据保护两大核心要素,不同国家有不同侧重。
( 一) 国家主权原则对数据主权的适用
国家主权赋予一国在其领土范围内完全的、排他的权力。在独立国家之间,国家主权是国际关 系最为本质的基础。瑏瑠 数据是无形的,但是数据具有一定的物理属性。网络数据存储器和基础设施通常放置在一国境内,存储器通常由国家或公司所有。同时,数据也需要国家电网和电缆等基础设
①
②
③
④
⑤
⑥
⑦
⑧
⑨
瑏瑠
( 2013) .
参见肖冬梅、文禹衡: 《数据权谱系论纲》,载《湘潭大学学报( 哲学社会科学版) 》2015 年第 6 期,第 71 页。参见杜雁芸: 《大数据时代国家数据主权问题研究》,载《国际观察》2016 年第 3 期,第 7 页。
参见孙南翔、张晓君: 《论数据主权———基于虚拟空间博弈与合作的考察》,载《太平洋学报》2015 年第 2 期,第 64 页。参见蔡翠红: 《云时代数据主权概念及其运用前景》,载《现代国际关系》2013 年第 12 期,第 59 页。
参见 Helen Stacy,Relational Sovereignty,55 Stanford Law Review 2029,2044 - 2045( 2003) .
参见 Clarifying Lawful Overseas Use of Data Act,as part of the Consolidated Appropriations Act,2018 Pub. L. 115 - 141.
参见 Clarifying Lawful Overseas Use of Data Act,Section 1. Short Title.
参见 EU General Data Protection Regulation,Article 84. 2.
参见张新宝、许可: 《网络空间主权的治理模式及其制度构建》,载《中国社会科学》2016 年第 8 期,第 142 页。
参见 Wolff Heintschel von Heinegg,Territorial Sovereignty and Neutrality in Cyberspace,89 International Law Studies 123,123 - 124
137
施进行传输。网络数据的全球治理并非对国家主权原则的放弃。① 暂时的技术难题也不会真正阻止国家通过国家主权原则管理其境内的网络数据及基础设施,其他国家也不应干涉他国境内的网 络数据基础设施。② 国家主权原则在数据主权上的适用包括在一国领土范围内的数据存储设备,数据存储设备可以在一国的领水、领陆、领空范围内。基于此,若他国侵犯、干涉、非法获取、不正当使 用在一国境内的数据及数据存储设备,就将构成对该国主权的侵犯。
国家对数据主权的管辖权应该理解为“国家使用法定权力裁决某项行为是否构成对该国数据 的侵犯”。按照属人原则,一国国民在该国领土范围之外侵犯该国数据主权的行为,也在该国管辖 权范围之内。如果某项侵犯数据主权的行为发生在一国领土之外,就需要适用“效果原则”( effects doctrine) 进行判断。欧盟法院对此有过系统的阐释,就某国对案件的管辖权基于领土而言,有两个不同的原则: 其一,主观领土原则,即一国可以管辖源于其本国的行为,即使其完成在国外; 其二,客观领土原则,即一国可以管辖源于国外但是完成在其领土范围内的行为。效果原则实际上承认国 家对没有发生在其领土范围内的行为行使管辖权。③ 国家有义务阻止发生在其领土范围内侵犯他国数据主权的行为。具体而言,国家的此项义务包括调查、起诉侵犯数据主权的主体、与数据主权 被侵害的主体相互合作等。④ 国家在其领土范围内更进一步的义务是尊重他国的数据主权、维护网络数据的稳定性、维护网络数据的安全性等。网络数据的稳定性要求主权国家不应肆意干涉在其 领土内的网络数据基础设施与其他国家之间的互联互通。维护网络数据的安全性要求国家保护网 络数据基础设施,确保其免受攻击和滥用。
( 二) “云数据”的可规制性
云计算和大数据给数据存储带来极大的变革,由此带来最为突出的问题即是“云数据”的主权归属问题。如果数据存储在“云”上,诸如苹果公司的 iCloud 或者百度云盘,该领域完全不同于传统领土,数据的归属应该如何判断? 因为该领域并没有明确的地域界限,并且数据能够迅速移动,数据可能被拆分成不同的部分,从而进入不同的司法管辖范围; 同时,该数据还可能与其他数据有密切联系,从而给判定其主权归属造成更大的困难。⑤ 但是,即便是在“云”上的数据,也并非不可规制。
首先,数据的“无形”特点并非新问题。数据的“无形”会增加规制难度,但“无形”的特征并非 数据独有,法院已经对其他“无形”财产如股权、债权、知识产权等积累了丰富的司法实践经验。⑥ 例如,商标权就是以其产生地或注册地作为判断其国籍属性的依据,股权则以股东所在国为主判断其 国籍,以方便该国在股权转让时收取税收。美国《对外关系法重述( 第三次) 》认为,“无形资产根据
实现目标的不同,会产生不同的地域属性,在某些目标下存在没有地域属性的可能。”①数据与无形资产有着许多相似性,针对数据的“无形”特征,法院有大量的经验来判断其地域归属或虚构地域归 属,或是忽视地域归属从而直接以其他理由进行司法管辖。
其次,数据的移动性不能阻止其地域归属的判断。数据以极快的速度转移确实对地域归属判 断造成了困难,但是,移动性强也并非数据独有的特点。例如,金钱也可以从某一地点迅速转移到 另一地点,法院依然可以判断其对金钱的司法管辖权。虽然数据存在不同于金钱、债权的特征,即 数据可以同一时间在多个地点进行存储和复制,但这并不能改变数据归属或法院司法管辖权问题 分析的实质。②
最后,数据的可分性与可替代性可以实现对其地域的判定。用户的数据可能同时由不同地域 的服务者提供服务,但是,“可分性”特点同样也非网络数据所独有。尽管数据具有可分性与可替代 性,但人们关心的只是数据所组合形成的表现形式,如图片、文稿、音频、视频等。举例来说,用户将 一百元存入银行后,该用户并不会期待这一百元一直以固定的形式存在,只关心能取回一百元的本 金及其产生的利息,因为货币具有可替代性。③ 数据的规制亦然。
综上,数据的无形性、移动性与可分性并不会对判断数据的地域归属形成实质性障碍。
( 三) 数据保护与数据自由两大核心要素
对于互联网技术发达、数字贸易量巨大的美国而言,数据的自由化更为重要。美国需要获取世 界各国的各种数据,为其政治、经济、安全等决策与制度设计提供支持。欧盟及其他国家更强调数 据保护的重要意义,以保障其数据保护措施的正当性。当然,数据保护并不等同于数据保护主义。 数据保护是为了实现国家对数据流动的规制,从而采取的合理限制措施; 数据保护主义则是否定数据自由流动,拒绝国家之间数据的正常自由交流。④ 在美国的数据威胁背景下,部分国家开始采取措施限制数据在全球范围内的自由流动。例如,“金砖国家”就曾希望建立一个区域内的网络体系, 以阻止美国对互联网的干预。⑤
数据主权不仅包括国家数据主权,还包括个人数据主权。⑥ 个人数据主权是公民因履行数据采集义务而获得的数据使用权,包括用户对数据的自决权和自我控制权,涵盖个人隐私权、生命财产 的数据保护、公民在国际社会中的数据保护等内容。个人数据主权需要在国家数据主权框架和范 围内运行以获取有效保障。⑦ 国家数据主权是个人数据主权的前提和基础,个人数据主权反过来支
139
撑和落实国家数据主权。① 就个人的数据主权来说,数据隐私权是其中较为重要的部分。在隐私权方面,欧盟与美国的法律呈现出不同的特点。欧盟的隐私法更关注保护“尊严”,而美国的隐私法更 强调保护“自由”。《欧盟基本权利宪章》指出: “每个公民的个人数据都有受到保护的权利,并且每个公民都有权获取、纠正其个人信息。”②《欧洲联盟运行条约》规定: “每个人都有权保护其个人数据。”③美国的隐私更加强调对自由的保护,尤其强调国家不应干涉个人的自由。④ 欧盟与美国的个人数据主权理念同样呈现出数据保护与数据自由的差异。
数据自由与数据保护两种理念的博弈类似于贸易自由与贸易安全的关系,在数据主权领域,需 要平衡数据自由与数据保护之间的关系。这两种要素没有孰优孰劣之分,都是数据主权发展的核 心要素,构建全球化数据主权规则本质上需要在这二者之间寻求平衡。
二、数据主权的欧盟模式: 数据保护为核心
( 一) “隐私护盾”制度对“安全港”制度的升级
欧盟 1995 年的《数据保护条例》鼓励数据在得到当地法律或与外国公司合同安排的保护下,可以自由地传输到国外。⑤ 随后,欧盟发现美国并没有为欧盟公民的个人数据隐私提供足够的保护, 所以欧盟禁止个人数据传输到美国。⑥ 考虑到与美国信息交换涉及的庞大体量,2000 年,美国与欧盟同意建立数据的“安全港”制度: 在美国遵守数据保护标准,并接受联邦贸易委员会监督的条件下,欧盟允许数据传输到美国的公司。⑦ 该制度允许欧盟的个人数据在美国公司或组织满足通知、安全、数据完整性等方面要求的情况下传输到美国。
2015 年,欧洲法院认为“安全港”制度缺乏对欧盟公民数据基本权利保护的法律补救措施。同时,由于美国确认“安全港”制度的遵守情形,使得该制度缺乏合适的执行机制和问责机制,所以欧盟开始寻求对数据保护制度的改革。⑧ 随后,欧盟数据保护机构( EU Data Protection Authorities) 宣布,不再依据“安全港”制度规制美国与欧盟之间的数据传输。⑨2016 年,欧盟委员会宣布“隐私护盾”( privacy shield) 制度将替代之前的“安全港”制度,相比于“安全港”度,“隐私护盾”制度对透明度和规则遵守的监督有着更高的要求。①
其一,对公司的保护义务要求更趋严格。该制度包含了有效的监管机制,以确保公司遵守数据保护的相关义务。其 二,对美国政府获取数据的防御和透明度要求。在“隐私护盾”制度中,美国政府首次书面承诺,“任 何以国家安全为目的获取欧盟公共机构数据或个人数据都必须有清晰的限制、防卫和监管机制”。同时,美国承诺通过独立的监察专员机制( ombudsman mechanism) 为欧盟建立一个国家数据领域的救济机构。其三,构建了数据保护争议解决机制。该制度要求数据保护争议应在 45 天之内解决。同时,当数据保护争议未得到合理有效解决时,欧盟公民有权要求本国的数据保护机构与美国商务 部和联邦贸易委员会一起解决争议。其四,设置年度联合审查机制。欧盟委员会将联合美国商务 部一起评估审核“隐私护盾”制度的执行情况。② 从“隐私护盾”制度的内容可以发现,欧盟数据主权制度设计总体上是围绕着如何实现数据保护进行的,尤其强调对欧盟个人数据主权的捍卫,这也 体现了欧盟维护公民数据“尊严”的基本理念。“隐私护盾”制度可以说是“安全港”制度在数据保 护基础上的升级,进一步维护了欧盟数据主权,强化了美国对欧盟数据主权的尊重。
( 二) 《通用数据保护条例》的特点
欧盟 2016 年《通用数据保护条例》替代了 1995 年《数据保护条例》。《通用数据保护条例》规定,在满足一定约束性规定和数据保护条款基础之上,才允许数据传输到欧盟之外的国家和地区, 并禁止将欧盟数据传输给有权掌握欧盟个人数据的国家。③ “保护自然人的个人数据是每个公民的基本权利。保护个人数据权利应该尊重公民的基本权利和自由。”④《通用数据保护条例》在数据的 自由流动方面的规定,主要是指在欧盟成员之间数据的自由流动。⑤ 与之前的《数据保护条例》相比较,《通用数据保护条例》主要存在以下几方面的差异:
首先,适用范围更广。适用于所有与欧盟公民相关的数据,不论该数据是否实际上产生或运行 在欧盟范围内。⑥ 有观点认为,《通用数据保护条例》规定的欧盟数据隐私法律域外适用,将对国际数据流动产生重大影响,并且将会事实上使《通用数据保护条例》成为一种全球标准。⑦ 《通用数据保护条例》为数据传输行为本身提出了系统的要求,还规定任何第三国的法庭、行政机构只能通过 国际协定或法律援助协定向欧盟提出公开数据的请求。⑧
其次,拓宽了数据种类的范围。这意味着公司想要获取相关数据,需要在更为广泛的层面上获
① 参见 Morgan A. Corley,The Need for an Convention on Data Privacy: Taking a Cue from the CISG,41 Brooklyn Journal of International
Law 721,721 - 723( 2016) .
② 参见 European Commission,EU - U. S. Privacy Shield: Frequently Asked Questions,Feb. 29,2016,http: / / europa. eu / rapid / press -
release_MEMO - 16 - 434_en. htm.
③ 参见 Regulation ( EU) 2016 /679 of the European Parliament and of the Council of 27 April 2016,on the Protection of Natural Persons
with Regard to the Processing of personal Data and on the Free Movement of Such Data,and Repealing Directive 95 /46 / EC ( General Data Protection Regulation) ,paras 42 - 43.
④ 参见 EU General Data Protection Regulation,Preamble para. 2.
⑤ 参见 EU General Data Protection Regulation,Article 1. 3.
⑥ 参见 EU General Data Protection Regulation,Article 3.
⑦ 参见 Allison Callahan Slaughter,Lipstick on a Pig: The Future of Transnational Data Flow between the EU and the United States,25
Tulane Journal of International and Comparative Law 239,249 - 253( 2016) .
⑧ 参见 EU General Data Protection Regulation,Article 48.
141
得数据主体的同意。《通用数据保护条例》进一步要求这种“同意”必须是数据主体明确、准确的表达,不能是暗示的表达。① 赋予个人一项新的权利,即数据的“被遗忘权”( right to be forgotten) ,也叫数据的“消除权”( right to erasure) 。被遗忘权是指数据主体在满足一定条件下,有权从数据控制器或数据管理者处获得没有延迟的、消除个人数据信息的权利。② 被遗忘权以个人信息自治为基础, 进一步拓宽了个人数据权利,体现了较高水平的个人数据权利保护。③
再次,细化了数据控制者与数据处理者的责任。在《通用数据保护条例》中,云服务提供者作为 数据控制者将被要求遵守一系列新的具体义务,包括保留其处理数据活动中的文件、实施适当的安 全标准、执行例行的数据保护评价体系、遵守国际数据传输规则等。④ 云服务提供者作为数据处理者,需要遵守数据保护的规定。同时,数据处理者需要与数据控制者达成有约束力的合同。如果数 据处理者没有依据数据控制者的说明和指令来处理数据,该数据处理者将被视为数据控制者,并承 担数据控制者的相关责任。在处理数据之前,处理者有义务通知数据控制者等主体。⑤ 关于两个及两个以上数据控制者即联合控制者( joint controllers) 的责任分配问题,无论数据联合控制者内部如何安排,对外每个控制者都将就全部损害承担责任。⑥
最后,确立违反数据保护规则的补偿及惩罚机制。《通用数据保护条例》要求在欧盟成员之间 建立起违反规则后的对等惩罚机制( equivalent sanctions) 。⑦ 例如,西班牙数据保护机构 2013 年对Google 处罚 90 万欧元。随后,荷兰、德国、比利时、法国、意大利、西班牙联合调查 Facebook 公司的数据保护遵守情况。法国的数据保护机构———国家信息与自由委员会( National Commission on Informatics and Liberty) ,在 2016 年对 Google 没有遵守数据移除规则的行为罚款 10 万欧元,同年,要求 Facebook 限期改变其搜集和使用数据新消息的方式,并罚款 15 万欧元。⑧
( 三) 《通用数据保护条例》对中国数据保护的启示
欧盟的数据主权重点在于数据的保护。欧盟在《通用数据保护条例》中将之前的隐私权集中表 述为个人数据保护权,这种做法一方面拓展了数据保护的范围,给予个人数据普遍法律保护,另一 方面提升了保护水平,强调了事前主动防范。⑨
2017 年生效的《中华人民共和国网络安全法》( 以下简称《网络安全法》) 初步建立了用户信息保护制度,要求网络运营者不得泄露、篡改、毁损个人信息,确保个人信息的安全; 《中华人民共和国数据安全法( 草案) 》( 以下简称《数据安全法( 草案) 》) 从数据安全与发展、数据安全保护义务、政务
① 参见 EU General Data Protection Regulation,Preamble 32 and Article 9.
② 参见 EU General Data Protection Regulation,Article 17.
③ 参见刘文杰: 《被遗忘权: 传统元素、新语境与利益衡量》,载《法学研究》2018 年第 2 期,第 24 - 40 页。
④ 参见 EU General Data Protection Regulation,Article 30,Article 32 and Article 35.
⑤ 参见 EU General Data Protection Regulation,Article 28.
⑥ 参见 EU General Data Protection Regulation,Article 26.
⑦ 参见 EU General Data Protection Regulation,Preamble para. 11.
⑧ Samantha Cutler,The Face - Off between Data Privacy and Discovery: Why U. S. Courts Should Respect EU Data Privacy Law When
Considering the Production of Protected Information,59 Boston College Law Review 1513,1521 - 1523( 2018) .
⑨
142
参见刘泽刚: 《欧盟个人数据保护的“后隐私权”变革》,载《华东政法大学学报》2018 年第 4 期,第 59 页。
数据安全与开放等方面保障数据安全。① 相较于欧盟对于数据保护的相关规则,中国的数据保护可从以下三个方面进行完善: 其一,扩大数据保护的范围。《网络安全法》更多以国内法的性质对数据保护进行规定,并没有强调域外的数据保护,也未涉及与第三国数据的合作与协调问题。《数据安 全法( 草案) 》明确在中华人民共和国境内开展的数据活动予以适用,境外的数据活动以损害中国国家安全、公共利益或者公民、组织的合法权益为条件。因此,可借鉴欧盟的域外数据保护措施,扩大 数据保护范围并加强与第三国在数据保护领域的合作等。其二,适度强化个人对数据信息的控制 权。《网络安全法》对网络运营者处理、使用个人信息进行了规范,但是,该法并没有从数据的所有 者即公民自身对数据信息的控制权进行规则设置,《数据安全法( 草案) 》主要从国家层面强调数据保护。欧盟的《通用数据保护条例》不仅强调数据主体,还赋予数据主体数据“被遗忘权”。中国的 数据主权规则有必要在该方面借鉴欧盟路径,进一步延伸个人数据权利保护的维度。其三,明晰数 据主体的责任分配。《网络安全法》主要将责任主体限定为网络运营者,《数据安全法( 草案) 》更强调数据处理者的数据安全保护义务。② 欧盟将责任主体细分为数据控制者与数据处理者,并对多个数据控制者如何进行责任分配进行了详细规定,这些做法都值得借鉴。
三、数据主权的美国模式: 数据自由为核心
( 一) 《澄清域外合法使用数据法案》对数据自由的支撑
2013 年,美国纽约南区地方法院签发搜查令,搜查了微软公司电子邮件账户储存的数据。但是,该搜查令涉及的用户数据并没有储存在美国境内,而是储存在位于爱尔兰的数据中心。微软公司认为,美国的《存储通信法案》( Stored Communication Act) 作为《电子通信隐私法》( Electronic Communications Privacy Act) 的一部分,并没有域外适用的效力,所以美国法院无权签发该搜查令。③ 2014 年,美国联邦地方法院支持了纽约南区地方法院的判决。微软公司将此案上诉至联邦第二巡回上诉法院,该法院支持了微软公司的主张,认为《存储通信法案》并没有明确规定该法可以适用于 境外。此案推动了美国修改《存储通信法案》和《电子通信隐私法》的进程。
2018 年,美国通过了《澄清域外合法使用数据法案》( Clarifying Lawful Overseas Use of Data Act,以下简称《云法案》) 。④ 为解决“美国政府诉微软公司案”中所体现的获取域外数据合法性问题,
《云法案》扩大了美国法律的适用范围。《云法案》要求电子通信服务或远程计算服务的供应商遵守 本法关于保留、备份、公开电子通信内容、记录以及其他与消费者相关的信息之规定,无论该信息是 在美国境内还是美国境外。在《云法案》中也增加了让步性安排: 其一,在外国的数据信息公开会违
① 参见《中华人民共和国网络安全法》第 40 条、第 42 条。
② 参见《中华人民共和国网络安全法》第 61 条、第 61 条。
③ 参见 Andrew Keane Woods,Against Data Exceptionalism,68 Stanford Law Review 729,731( 2016) .
④ 参见 Clarifying Lawful Overseas Use of Data Act,as part of the Consolidated Appropriations Act,2018 Pub. L. 115 - 141.
143
反该国法律; 其二,基于整体的司法公正考虑; ①其三,用户不是美国公民且不居住在美国。基于这三类情况,美国法院应修改或撤销该法律程序。《云法案》仅适用于美国的公司,且主要针对电子通 信服务提供商和远程计算服务提供商。② 但是,由于前述这些所谓的“让步性”规定都是由美国法院予以适用,实践中是否能切实尊重其他国家的数据主权,仍然是不确定的。美国这种单边的、缺乏 与其他国家公平合作的数据安排,也许难以实现真正的主权平等和数据主权规则的公正合理。
《云法案》将外国政府调取存储在美国的相关数据也纳入调整范围。③ 一方面,外国政府调取存储在美国的数据需要满足一定的条件: ( 1) 外国政府是否有足够的关于网络犯罪和电子证据的实体法和程序法,是否加入了《布达佩斯网络犯罪公约》,以及外国政府的国内法是否与《云法案》的第一 章和第二章规则相一致; ( 2) 外国政府是否尊重法律规则和非歧视原则; ( 3) 外国政府是否遵守国际人权义务和承诺; ④( 4) 外国政府是否有清晰的法律强制和程序措施来规制其国内实体的数据搜集、保留、使用和分享活动,并且对这些与数据相关的活动进行有效监管; ( 5) 外国政府是否有足够的机制来对电子数据的使用提供有责任的、适当的透明度规则; ( 6) 外国政府是否对促进和保护信息的数据流动,以及互联网开放、分布、互联互通的本质作出承诺; ( 7) 外国政府是否采取了合适的程序来最小化对美国人信息的获取、保留和传播。另一方面,在外国政府满足前述条件之后,要调取美 国的数据,送达行政命令还需要满足其他要求: ( 1) 外国政府不能有意地直接对美国人或位于美国境内的人发布行政命令,而是要满足“目标程序”要求; ( 2) 如果外国政府以获得关于美国人和位于美国境内的人的信息为目的,则不能直接对美国境外的非美国人发布调取数据的行政命令; ( 3) 外国政府不能以为美国政府或第三国政府获得信息为由发布行政命令,也不能以与美国政府或第三 国政府分享信息为由发布行政命令; ( 4) 外国政府发布调取数据的行政命令应该以获取与预防、检测、调查或起诉犯罪、恐怖活动相关信息为目的,外国政府的行政命令要基于可靠的事实情况,接受 法院、法官或其他独立机构的监督; ( 5) 外国政府发布的行政命令不得用于侵犯言论自由; ( 6) 外国政府应该及时审查搜集到的材料,并且将未经审核的材料存入安全系统,仅对专业人士开放; ( 7) 外国政府应该对数据信息给美国人带来的消极影响达到最小化尽最大努力; ( 8) 外国政府不应将获取的美国人的数据传输给美国政府,除非该数据会威胁美国的国家安全、经济安全或其他重要的国家 利益; ( 9) 外国政府应该提供互惠的数据准入权利; ( 10) 外国政府应定期审查遵守本法案的情况;
( 11) 对美国政府认为不恰当的外国政府行政命令,美国政府保留不适用本法案的权利。
在《云法案》中,对美国调取域外数据与外国调取美国数据相比,无论从规则的严苛程度,还是
① 在判断司法公正性时,《云法案》规定了“礼让分析”( comity analysis) 应当考虑的要素: ( 1) 美国的利益,包括政府主体获取信息
公开的调查利益; ( 2) 具备主体资格的外国政府在禁止信息公开中所获得的利益; ( 3) 对数据服务提供者或其雇员不遵守法律采取处罚措施的可能性、程度和实质; ( 4) 顾客所处的地点和国家,以及顾客与美国的联系本质及程度; ( 5) 数据信息提供者与美国联系的本质与程度; ( 6) 需要被公开的信息的重要性; ( 7) 产生较低消极影响而及时有效获取公开信息的方式。参见 Clarifying Lawful Overseas Use of Data Act,Section 3. Preservation of Records; Comity Analysis of Legal Process § 2713.
② 参见 Clarifying Lawful Overseas Use of Data Act,Section 3. Preservation of Records; Comity Analysis of Legal Process § 2713.
③ 参见 Clarifying Lawful Overseas Use of Data Act,Section 5. Executive Agreements on Access to Data by Foreign Governments § 2523.
④ 这些尊重人权义务包括: 其一,保护隐私免受肆意和非法干涉; 其二,公平的审判权; 其三,自由表达与和平集会权; 其四,禁止武
断地逮捕和拘留; 其五,禁止折磨、残酷非人道的待遇和惩罚。参见 Clarifying Lawful Overseas Use of Data Act,Section 5. Executive Agreements on Access to Data by Foreign Governments § 2523.
144
自由裁量权的程度等都存在着极大的差异: 一方面,美国获取域外数据与外国获取美国数据在难易程度上存在差异。《云法案》以美国获取域外数据为原则,以限制美国获取域外数据为例外,即仅有 三类情况可以限制美国获取域外数据。但是,外国想要获取美国数据要满足十一项条件,任何国家 恐怕都很难同时满足如此繁复的条件。并且,外国想要调取美国的数据在对象上也有严格的限制, 若想要调取美国人的数据,更是十分困难。另一方面,无论是限制美国获取域外数据,或是限制外 国获取美国数据,《云法案》都授予了美国极大的自由裁量权。这体现了对其他国家数据主权的不 尊重,是单边主义和以美国为中心的表现。
( 二) 美国数据自由规则对中国的启示
尽管美国的数据保护规则以促进数据自由流动的理念为核心,但是美国也并未置数据保护于 不顾。相反,美国是单方强调他国数据的自由流动,对其本国的数据则采取严格的保护措施。我国 不应采取这种单边和霸权的做法。但是,美国的数据保护措施以及与第三国之间数据自由流动的安排,仍有一些经验和路径可供借鉴。首先,在数据自由流动方面,中国需要建立起公平合理的域外数据调取机制。《云法案》扩大了美国相关法律的适用范围,无疑加剧了美国与数据存储地国家之间的数据主权冲突。尽管有一系列的让步安排,这些让步安排的条件是否满足、最终是否能够否认美国对数据的司法管辖权,其裁决权仍然在美国法院手中。针对主权国家拒绝提供数据的情形,包括外国的数据信息公开是否违反该国法律、是否有违司法公正等,不应该由进行数据调取的国家来判断和决定。由此,中国可考虑建设双边或者多边数据调取裁决机构。其次,允许外国政府或个人请求调取存储在中国的数据。中国对存储在国内的数据享有数据主权。可以借鉴美国的审核机制,包括考察外国主体对数据信息的保护机制、外国主体调取信息的目的、我国与该国是否有调取信息的互惠合作安排等。最后,中国可以在平衡数据保护与数据自由的过程中,采取基本原则加例外条款的模式。例如,美国以禁止数据本地化为原则,但规定了例外情形,这种模式更可能在各国之间达成一致意见,有利于我国与其他国家开展数据主权方面的合作。①
四、中国方案: 数据主权规则的构建
( 一) 数据主权规则构建的原则
中国数据主权的规则构建既要维护我国利益,又要兼顾他国合理关切; 既要符合我国法律传统,又要遵守国际法基本原则。具体而言,数据主权规则的构建需要遵循以下原则:
第一,坚持主权独立与平等。主权原则适用于网络空间和数据领域已经获得较广范围的认同, 但是数据保护与数据自由平衡的要求,需要不断提升对数据主权的认知和适应能力。数据领域的 虚拟性、无界性、开放性等特点,决定了数据主权对传统主权绝对性、不可分性的突破。习近平主席 指出: “《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,
① 参见彭岳: 《数据本地化措施的贸易规则问题研究》,载《环球法律评论》2018 年第 2 期,第 186 - 189 页。
145
其原则和精神也应该适用于网络空间。”①国际社会应该尊重每个国家自主的数据主权发展战略,让每个国家平等地参与到数据主权国际规则构建的合作中来。数据主权不仅需要重申主权独立,更 需要在主权平等的基础上倡导多边参与、多方参与、平等参与的共同治理模式。② 根据权利义务相统一的基本逻辑,大国在获得事实上所谓“特权”的同时,理应承担要求更高的“特殊”义务。③ 平等地享有数据主权无关国家强弱和数据技术水平高低,每个国家都可依法对其数据进行规制和安全 保护。④
美国的《对外关系法重述( 第三次) 》列举了一国管辖权确定的五个标准: 其一,行为发生在该国境内; 其二,人或物在该国境内; 其三,域外行为在该国领域内产生了实质性影响; 其四,该国国民的行为; 其五,域外行为与该国的国家安全或国家利益发生直接冲突。⑤ 借鉴此标准,在判断“云数据” 管辖权问题上也有五个相关标准: 其一,数据所在地。尽管数据是无形的,但数据存储器以及相关数据驱动器具有物理形态。在某国境内的这些数据存储器及驱动器,该国对其应享有主权。⑥ 其二,与数据相关的损害情形发生地。若外国主体在境外对本国的数据安全造成损害,该国就有权对 损害行为相关的数据行使管辖权。其三,与数据相关的嫌疑人经常居住地或国籍所在地。其四,与 数据相关的受害人经常居住地或受害人国籍所在地。其五,数据控制者经常居住地或国籍所在地。 因此,国家可以依据前述要素和标准来确定其对数据的司法管辖权。总体而言,国家在数据问题上 拥有较为宽泛的规制权,只要数据或数据产生的影响发生在一国境内,或者对该国( 该国公民) 产生实质影响,国家就可以行使对数据的管辖权。⑦
第二,遵循合作共治。习近平主席在第二届世界互联网大会上提出构建网络空间命运共同体 的倡议,指出网络空间命运共同体要以促进网络共同繁荣、推动全球数字经济发展、构建各方普遍 接受的网络空间国际规则为目标,以坚持多边参与、反映大多数国家意愿和利益为基础。⑧ 我国的数据主权发展战略和规则建设,作为网络空间治理的重要组成部分,需要坚持网络空间命运共同体 的基本理念和重要内涵,以开放平等的姿态参与到国际社会共同治理中去。对网络数据的规制更 需要多国的共同合作,数据治理合作需要实现权利与义务相统一,网络数据技术相对发达的国家可 以承担更多的责任和义务来完善数据的国际规制,且有义务帮助数据水平落后的国家完善数据治 理。同时,网络数据的安全性问题日益凸显,数据安全关乎国家利益、公共利益和公民利益,网络数 据国际合作是各国的共同需求,具有重要的意义。⑨ 人类命运共同体理念是对马克思主义共同体学
① 参见《习近平在第二届世界互联网大会开幕式上的讲话》,载人民网 2015 年 12 月 16 日,http: / / cpc. people. com. cn / n1 /2015 /
1216 / c64094 - 27937316. html。
②
③
④
⑤
⑥
⑦
( 2000) .
⑧
参见张新宝: 《尊重网络主权 发扬伙伴精神》,载《人民日报》2018 年 6 月 4 日,第 16 版。参见蔡从燕: 《国际法上的大国问题》,载《法学研究》2012 年第 6 期,第 193 - 205 页。
参见张新宝、许可: 《网络空间主权的治理模式及其制度构建》,载《中国社会科学》2016 年第 8 期,第 154 页。参见 Restatement of the Law,Third,Foreign Relations Law of the United States § 402.
参见 Jack L. Goldsmith,Against Cyberanarchy,65 The University of Chicago Law Review 1199,1216 - 1218( 1998) .
参见 Jack Goldsmith,Unilateral Regulation of the Internet: A Modest Defence,11 European Journal of International Law 135,136 - 139
参见《习近平出席第二届世界互联网大会开幕式并发表主旨演讲》,载人民网 2015 年 12 月 17 日,http: / / cpc. people. com. cn / n1 /
2015 /1217 / c64094 - 27938940. html。
⑨
146
参见张新宝: 《论网络信息安全合作的国际规则制定》,载《中州学刊》2013 年第 10 期,第 58 页。
说的发展,也是对国际法依赖的社会基础的再认识,是将中国文化融入全球治理的重要举措。① 数据主权规则构建需要坚持以人类命运共同体理念为指导的合作共治。
( 二) 数据主权规则的构建之策
我国基本的数据主权规则最初体现在《网络安全法》第 37 条中,其核心内容包含两个方面: 其一,关键信息基础设施的运营者在我国境内收集的个人信息、重要数据应储存在我国境内; 其二,数据向境外传输,需要进行安全评估。② 正在审议的《数据安全法( 草案) 》第三章“数据安全制度”也集中体现了我国的数据主权规则,主要从分级分类保护、数据安全风险评估、报告、信息共享、监测 预警机制、应急处置机制、安全审查制度、出口管制、反制措施等方面进行制度建设。但是我国数据 主权规则仍存在着一些亟待解决的问题,如缺乏以个人数据和国家数据保护为类别的分类治理机 制,未对商业数据跨境传输进行高水平治理,对“数据自由”前提下的长臂管辖规制不足等。为此, 我国可以汲取欧盟与美国数据主权规则建设的经验,完善符合我国国情及国家利益的数据主权 规则。
第一,构建个人数据和国家数据的分类治理规则。数据分类治理的重点之一,就是要根据数据 的不同特点和用途对个人数据与国家数据设置不同的治理模式。虽然个人数据在大数据时代具有 明显的复合性,个人数据在经过处理后可能用于国家层面的服务和应用,但是这不意味着个人数据 等同于国家数据。从个人权利保障角度和现实生活需求出发,有必要对个人数据进行不同于国家 数据的制度安排。③ 当然,大数据时代的个人数据存在不同于以往的特点,传统民法理论中私人领域与公共领域的对立在这里逐渐模糊,个人数据的物理边界和公私边界不再严格,数据生产本身就 具有共享性,这也直接影响了个人数据治理规则的完善。个人数据治理从理念上需要从个人控制 转到社会控制,个人数据在一定程度上是社会的共同资源,所以国家需要承担起个人数据保护的责 任。先肯定社会控制个人数据的理念,事后再进行司法救济,即由法院裁判是否侵犯个人数据,有 效地平衡了个人利益与社会公益保护,有利于中国的个人数据得到有效保护。④ 另外,目前我国的个人数据保护亟须精细化管理,尽管《中华人民共和国民法典》第 4 编第 6 章“隐私权和个人信息保护”对于自然人个人信息的保护和处理列明了条件和情形,规定了自然人的权利、信息处理者以及 国家机关和工作人员的义务,但仍缺乏系统化、具体化制度设计,同时还存在重责任追究轻综合治 理的问题,需要尽快出台《个人信息保护法》予以弥补。一方面,我国需要强化个人数据保护的基本 价值观念,鼓励各类主体积极主动维护个人数据安全; 另一方面,需要建立起对个人数据保护的惩治威慑机制,建立起公开透明的个人数据处理机制,建立多层次、高标准、宽严相济的治理和处罚机 制,而非简单地将违反国家数据安全的处罚措施移植到侵犯个人数据安全的行为上。⑤
第二,完善商业数据跨境流动的规则。商业数据的跨境流动安全对商业主体本身有着重要意
① 参见张辉: 《人类命运共同体: 国际法社会基础理论的当代发展》,载《中国社会科学》2018 年第 5 期,第 55 页。
② 参见《中华人民共和国网络安全法》第 37 条。
③ 个人数据信息保护的规则既需要权利义务之间的平衡,又需要个人数据保护的权利与其他权利之间的平衡。参见张文亮: 《个
人数据保护立法的要义与进路》,载《江西社会科学》2018 年第 6 期,第 173 页。
④ 参见高富平: 《个人信息保护: 从个人控制到社会控制》,载《法学研究》2018 年第 3 期,第 97 - 100 页。
⑤ 参见洪延青: 《“以管理为基础的规制”———对网络运营者安全保护义务的重构》,载《环球法律评论》2016 年第 4 期,第 20 - 40
页。
147
义,同时,部分商业数据与个人数据、国家数据保护密切相关。目前,商业数据跨境流动的安全防范 在我国《网络安全法》和《数据安全法( 草案) 》中较少涉及,缺乏深入和系统的规制。因此,我国有必要尽快加强针对商业数据跨境流动的规制: 针对与个人数据、国家数据安全相关的商业数据,直接纳入个人数据或国家数据保护规则范畴; 若商业数据跨境流动与个人数据和国家数据保护无关, 则建立专门的安全评估规则。①
第三,提前阻断“数据自由”名义下的长臂管辖。无论是美国的《云法案》还是欧盟的《通用数 据保护条例》,都存在借“数据自由”之名行长臂管辖之实,将数据管辖权延伸至域外,形成挑战他国 数据主权的长臂管辖。欧美的长臂管辖没有充分的国际法基础,又存在对公民隐私、企业管理、国 家数据主权的潜在威胁和侵犯,有必要通过立法对长臂管辖进行阻断。一方面,在立法理念上,坚 持“存储地模式”,将虚拟空间附着于物理空间,以传统属地原则确定管辖边界。同时,宜设定必要 的例外情形,诸如数据存储位置不确定而导致的域外适用等,也为他国侵犯我国的数据主权提供反 制空间。另一方面,从立法源头上否认欧美等国长臂管辖条款的效力,并禁止中国企业和个人遵从 损害中国合法权益的裁判,更进一步为由于长臂管辖受损失的企业提供救济渠道和途径。
第四,推动数据主权国际合作规则建设。欧盟与美国在个人数据领域从“安全港”制度到“隐私 护盾”制度的变迁,都体现了双边的数据规则安排。其中,不仅有共同监督、审核数据保护制度执行 的体系,也有数据保护的争端解决合作机制。我国目前并没有对如何进行双边、区域或多边数据合 作形成具体规则和方案,但是,构建网络空间命运共同体、促进网络规则构建的开放合作,是我国推 进全球互联网治理体系变革的基本原则。② 因此,我国可借鉴欧盟数据规则的合作模式,完善符合我国特点的数据主权规则。可以先从双边或区域着手,构建数据主权规则的合作机制,从而为数据 主权规则的多边建设提出中国方案。在推动国际规则建设的过程中,需要把握以下原则: 数据保护是数据自由的前提和基础,数据保护体系为数据自由流动保驾护航; 数据自由流动是数据的价值所在和数据保护的目标。
结 语
数据主权是国家主权在网络空间的核心表现,数据主权主要包括数据管理权和数据控制权。 随着云计算、大数据等新兴技术的发展,数据已经成为经济、国防等领域国家重要的基础性战略资 源。各国在数据领域的竞争日趋激烈。数据主权事关国家总体安全,是国家的核心利益之一。③ 尽管数据存在无形性、移动性、分散性等特点,但是并非不可规制。欧盟以数据保护为核心制定其数 据主权规则,尤其强调对个人数据主权的保护。“隐私护盾”制度在美国与欧盟之间建立起了有效 的数据保护监管机制和联合审查机制,强化了数据保护的透明度规则,并且建立起了有效的数据保
① 参见曹博: 《跨境数据传输的立法模式与完善路径———从〈网络安全法〉第 37 条切入》,载《西南民族大学学报( 人文社会科学
版) 》2018 年第 9 期,第 99 页。
② 参见《习近平“四项原则”“五点主张”成全球共识》,载中华人民共和国国家互联网信息办公室官网 2016 年 12 月 29 日,http: / /
www. cac. gov. cn /2016 - 12 /29 / c_1120209665. htm。
③ 参见《数字化时代,亟须捍卫数据主权》,载中华人民共和国国防部官网 2018 年 3 月 1 日,http: / / www. mod. gov. cn / jmsd /2018 -
03 /01 / content_4805627. htm。
148
护争议解决机制。《通用数据保护条例》赋予个人对数据使用的“同意权”和“被遗忘权”,进一步加 强了数据责任的分配,为违反数据主权规则的主体责任承担提供了更为科学的依据。
美国以数据自由为核心构建数据主权规则。从实质来说,是针对美国调取域外数据的数据自 由,但对域外国家调取美国数据仍然采取了较为严苛的数据保护规则。《云法案》从原则上确认了 美国调取域外数据的合法性,给其他国家的数据主权造成了严重威胁。《云法案》对域外国家调取 美国数据设置了极为烦琐的条件及要求,且给予美国法院过多自由裁量权,客观上形成了不平等的 数据主权规则。
中国的数据主权规则应以主权独立、平等、合作为指导,无论国家强弱,无论其网络数据技术水 平的差异,都平等地享有数据主权。同时,中国的数据主权规则还需要以网络空间命运共同体理念 为指导,以合作共治为原则,促进全球数字经济发展,构建各方普遍接受的数据主权国际合作规则。 欧盟与美国的数据主权规则可以给予中国提供有益的借鉴。中国应该积极发掘符合数据发展情况 和国家利益的内容,提出具有中国特色的数据主权国际合作方案。 ML
149