數據本地化立法的興起與反思

田 旭

(華東政法大學 國際法學院，上海 200063)

一、問題的提出

互聯網自興起之初就被認為是全球性和自發性的，自由被認為是互聯網的核心精神。早在20世紀90年代，互聯網的先驅就曾經對互聯網世界的獨立性發聲，要求將互聯網世界獨立于現實世界，而不受政府組織的干預。[1]然而，隨著網絡時代的演進，大公司取代個人成為互聯網時代的主角，影響著民眾生活的各個層面，這種技術烏托邦主義由此與現實拉開距離。主權者作為社會秩序的維護者將法律的觸角伸向了嶄新的網絡領域，數據本地化立法與實施正是主權者針對網絡空間進行管轄的體現。另一方面，主權者關于這一問題的立法動因、傾向的權利客體以及限制的程度存在差異，這些差異將為數據跨境流通帶來障礙，為跨國企業的數據合規增加成本，甚至構成所謂“本地化貿易壁壘(localization barriers to trade, LBTs)”[2]11。根據聯合國貿易法委員會報告所列數據，采取強制性數據本地化政策對企業計算成本相比于走出國境增加30%～60%。[3]反觀我國，立法中對數據保護所基于的權利基礎和屬性缺乏統一認識，甚至在學術層面也陷入混亂不堪的概念泥潭之中，至今我國法學界對數據所承載的權利稱謂尚不統一，數據隱私權、個人信息權或數據資料權、個人數據權各色稱謂不一而足。有學者坦言這些分歧大多基于學者們對我國當下個人信息權利的認識與其所參照的國外立法和理論的差別。[4]在這種情形下，制定數據本地化法律將因立法目的不明確導致法律內部沖突的情形。因此梳理和探究數據保護所針對的核心法益，是規范數據本地化問題的首要準備。有學者總結，國家安全、本國市場保護、隱私權保護、防范監管，是各國主權者們紛紛在網絡空間以國境筑起墻圍，將數據作為國家的私產封鎖在本地的服務器之中的主要原因。[5]然而事實真是如此嗎？

二、數據本地化立法邏輯差異的要因

筆者認為，數據本地化是指所有為限制數據出境之目的，對數據出境的條件、標準以及方式予以規范的做法。主權者對“數據權”的差異理解是造成數據本地化立法邏輯差異的要因。主權者通過制定數據本地化法對數據進行限制的行為本質屬于國家行使自上而下的公權，然而這種限制的原因卻絕非純粹基于公益，而是錯綜復雜的。事實上，幾乎所有關于數據本地化的立法都不會放過個人隱私保護這個完美理由，然而隱私保護則更偏向私益的保護。《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)第1條之立法目的表明，立法者意識到數據保護存在公權與私權交織，但是該法尚未將數據信息所包含的公權與私權加以區分，導致《網絡安全法》針對不同權利屬性的數據，采用一致的立法路徑，從而造成私法利益被公法干預。相比之下，參見國外針對數據本地化的立法，無不基于統一的保護基礎進行管理權的創設，因而無須面對保護基礎缺失的尷尬局面。

三、對數據本地化含義的考察

自計算機技術普及以來，特別是在移動互聯、大數據、云計算等技術蓬勃發展的今天，“數據”一詞已經隨處可見。然而，在理解一項法律概念時，語詞的含義常常決定于對其特定語境和說話背景的理解。[6]對數據一詞的理解尤為重要，它是理解整個數據本地化立法的關鍵問題。

(一)“數據”的一般文義

“數據”是一個事實概念而非法律概念，它來源于拉丁語(datum)，英國牛津詞典對此有兩重解釋：一指經過試驗、統計而收集的事實或信息，主要以數值的形式所體現，其主要用途是用以說理、分析、立論或者計算；二是指由計算機存儲的信息。美國韋氏詞典中的解釋更加現代化，它將“以數字形式存儲和加工的信息”稱為數據，它的特點在于可以以數字形式被存儲和流通。從上述解釋可以看出，數據和信息的概念非常近似，但如果強行區分，可將數據比喻為一塊“生肉”，信息則是經過加工的“熟肉”。肉由生到熟的過程需要屠夫、零售商和廚師等中介的介入，數據也是一樣，將其轉變為得以使用的信息除了數據主體產生數據之外，仍然需要經過數據收集者、經營者、處理者的收集并加工，才能制成富有意義的信息。而在法律中，數據和信息的概念也常被交叉解釋，可以說數據和信息概念區分意義較小，個人數據的保護實際上就是個人數字化信息的保護，是個人信息保護的子集。在我國早期立法中，也曾多次提及數據，與詞典中的多重解釋一樣，數據在不同語境下也存在不同的文義。(1)例如1984年1月1日生效的《中華人民共和國統計法》第5條規定：“國家有計劃地加強統計計算和數據傳輸技術的現代化建設。”此處出現的“數據”仍然是指用以證明、計算或者說理的數據，而非本文所特指的數據。而1998年《國務院辦公廳秘書局關于向〈國務院公報〉提供選刊文件和做好訂閱工作的通知》中所稱的“電子數據”與本文所要討論的數據意思較為接近。在我國早期立法中對于數據的定義是采用字典以及科學教科書中的普遍定義，其對數據一詞的使用往往伴隨著試驗、科研或者統計等行為，它多指用于計算、論證、統計以及其他實證分析所利用的數據，常常表現為數值。數據的一般文義是一個中心的事實概念，不具有任何價值導向，而數據本地化中的數據概念是基于一般文義，對數據進行價值延生。依照延生的路徑不同，產生公法數據、私法數據以及公法與私法相互交織的數據類型。這些不同類型的數據不僅對應不同的規范邏輯，并且也決定國家對數據的管轄權基礎。

(二)《網絡安全法》語境下的“數據本地化”

《網絡安全法》的首條宗旨就是保護國家安全和網絡空間的主權，它構成了《網絡安全法》所需要代表的首要價值。這種表達也體現出《網絡安全法》中對數據本地化立法的基點是出于對數據安全和國家主權的保護，這是純粹的公法語境。《網絡安全法》進一步言明，這種公法性的價值包含國家經濟利益、政治制度、反恐主義以及國計民生等全方位的國家利益(2)《網絡安全法》第12條和第31條。，體現出數據應用已經滲透到國家治理的各個層面。根據德國法學家考夫曼關于公法權力的定義，公法權是國家對個人的權力(如課稅權)或個人對國家的權力。[7]而數據本地化就是政府對網絡所有者存儲在關鍵信息基礎設施上的重要數據限制出境的權力，也是一種公法權力。從這個角度看，數據本地化限制似乎完全是一個公法行為。我國《網絡安全法》將數據本地化限制規定在第四章“關鍵信息基礎設施的運行安全”項下。其中，關鍵信息基礎設施(critical information infrastructure，簡稱CII)指那些關乎“國家安全、國計民生、公共利益的關鍵信息基礎設施”。由于這類基礎設施的破壞會對公益造成巨大損害，因此應較一般設施采取更高的保護標準。筆者認為，對于CII的物理設施進行公法保護存在法理基礎。首先，CII屬于一般基礎設施的子概念，它是為社會生產和居民生活提供公共服務的物質工程設施，是社會賴以生存發展的一般物質條件，對其安全進行保護體現出很強的公益性；其次，CII一定是設置于境內的計算機或者計算機系統，是物的概念，正如國家之于領土的管轄權也是來源于物法。然而值得玩味的是，《網絡安全法》第37條關于數據本地化是如是規定的，它針對的對象是存儲于CII中的重要數據和個人數據，而數據是無形的，那么對于有形的設施的保護是否能夠當然地擴大解釋到該設施內部存儲的信息內容呢？并且這些信息內容還包括代表私人利益的個人數據。

針對CII的保護措施，有必要列舉國外立法加以比較。新加坡在2018年8月31日生效的《網絡安全法》第三部分對CII的保護進行了詳盡的規定，主要包括：(1)CII的識別(第7～10條)；(2)CII所有者從業守則和業績標準(第11條)；(3)專員對CII所有者業績和行為的監督和管理(第12～15條)；(4)網絡安全演習(第16條)；(5)責任處理和救濟(第17～18條)(3)CYBERSECURITY ACT 2018 (No. 9 of 2018).。而對于存儲于CII中的數據，新加坡法律只字未提。可以看出，相比于我國較為剛性的立法模式，新加坡模式具有彈性，且對作為私主體的CII所有者提供了救濟機制，這一點與我國形成較為鮮明的對比。

歐盟負責網絡信息系統安全的主要職能部門是歐盟網絡與信息安全局(European Union Agency for Network and Information Security, ENISA)。2016年7月6日，歐洲議會和歐盟理事會頒布2016/1148號指令，以保護歐盟的網絡和信息系統。這個指令提出了數字服務提供者的概念，相當于我國《網絡安全法》中的網絡所有者概念。該指令“鑒于條款”第75條提出確保數字服務提供者營業自由，并且沒有提及對于數據跨境流動的限制措施。此外，該指令多處明確提出，凡是針對個人數據處理的，均應當遵守95指令中的相關要求。(4)See Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, https://eur-lex.europa.eu/eli/dir/2016/1148/oj，2019(3).這部指令反映出歐盟對于CII的保護著重于官方保護機構與數字服務提供者之間的合作以及一些必要的國際合作，并未采取直接限制數據出境的方式。此外，歐盟認識到，在絕大多數情形之下，數據安全與否并不取決于其所存儲的物理位置，而是決定于信息技術基礎設施以及加密程序使用強度。(5)See Commission Staff Working Document on the free flow of data and emerging issues of the European data economy: Accompanying the document Communication Building a European data economy, {COM (2017) 9 final}, Brussels, 10.1.2017, SWD (2017) 2 final: 7.

美國對于關鍵信息基礎設施的保護歷史則更為久遠，可以說美國是世界上最早針對關鍵信息基礎設施進行保護的國家，但是不同于立法模式，美國采用政策予以保護。1998年美國時任總統克林頓簽署了PDD-63號總統令，建立了“關鍵基礎設施(critical infrastructure protection)”保護計劃，而針對網絡信息基礎設施的保護也涵蓋其中。2014年2月12日，美國國家標準技術研究所(NIST)發布網絡安全框架1.0版本，進一步深化對網絡信息系統的保護。這份框架性文件對于數據的保護重點在于對數據訪問的把控，而未提及對跨境傳輸上的限制。[8]

經過簡單比較不難發現，在公法語境下的數據保護，國外通行做法似乎都不將數據本地化政策納入網絡安全范圍之中。這或許是由于國外政府傾向于認為網絡安全的重點在于對關鍵信息基礎設施訪問限制，而不是輸出限制。另外，《網絡安全法》應對的是突發性的網絡攻擊和網絡泄露事件，而針對CII中存儲的任何重要數據和個人信息采取限制性措施，想必會很大程度上擴大被限制信息的范圍。

(三)私權保護語境下的“數據本地化”

目前，對數據出境進行數據本地化限制的國家和地區大體上包括歐盟、俄羅斯、中國、文萊、印尼、尼日利亞、越南、白俄羅斯、印度、韓國、馬來西亞、阿根廷、巴西、哥倫比亞、秘魯、土耳其、委內瑞拉等。筆者在參考上述各國關于數據本地化條文時發現，除中國外，上述所有國家對數據本地化立法中的數據均特指個人數據，數據本地化的主流又可以視為個人數據的本地化。對于個人數據的保護目前存在個人信息權保護和隱私權這兩種模式。我國學者主流觀點認為個人信息權源于人格權。[9]有學者歸納全球已經有120個國家制定歐盟式的個人信息保護法專項法律，并且認為這種模式超越了私法和公法的二元對立。[10]雖然張新寶對個人信息保護法作為一個兼有公法性和私法性的綜合立法的未來憧憬萬分，[10]但是國外學界也不乏對歐盟數據保護法中的公私混合的擔憂和懷疑，認為或許采用公法和私法分立的方式更行得通。[11]另一方面，基于隱私保護的個人數據保護模式是美國法的一大特征。雖然《歐盟人權公約》和《歐盟基本權利憲章》中均提及了隱私權的概念(6)《歐盟人權公約》第8條和《歐盟基本權利憲章》第7條。，但是在針對數據信息進行保護過程中，主要依照的是人權憲章關于個人數據權利的條款進行保護。“個人數據獲取保護的權利(right to the protection of personal data)”在歐盟屬于一項基礎性權利(fundamental rights)(7)《歐盟基本權利憲章》第8條，《歐盟通用數據保護條例》“鑒于條款(Whereas)”第1條。，而歐盟政府作為人民的保護人有義務強化基礎性權利的保護(8)《歐盟基本權利憲章》前言第3段。。政府是個人信息的保護人，其可以通過立法促進個人信息的保障。

對比歐盟，美國則將個人隱私權視為個人自由。依照美國法傳統，對于自由范疇的權利政府采取被動保護的方針，即法無禁止即自由理念。美國是最主張數據自由流動的國家，而對于數據本地化采反對態度。實際上，除了少數數字經濟活躍的州制定了專門的數據保護法律(9)例如加州，于2018年10月出臺了《加州消費者隱私法案》，該法案將于2020年正式實施。，大部分州缺乏個人數據保護的法律框架(10)O’CONNOR N. Reforming the US approach to data protection and privacy. Council on Foreign Relations, 2018: 30.。美國對個人數據保護的另一個特點在于，美國的聯邦貿易委員會(Federal Trade Commission, FTC)作為執法部門發揮了極大的作用。FTC一則不斷制定和修改關于隱私政策監管的標準，使這些標準越來越趨近于法律規范；二則其被賦予監管企業不公平和欺詐的貿易行為的職權，在企業違反隱私承諾時可以采取包括處罰、代為訴訟等手段，予以保障個人隱私。這種保護實際上是全方位且強有力的，有學者認為這種保護甚至形成一套完善的普通法體系[12]。美國隱私權理論主要包含五種學說：(1)不受打擾的權利(the right to be let alone)；(2)有限接近自我說(the limited-access to the self)；(3)私密說；(4)資訊控制說；(5)私密關系說。[13-14]有學者將個人信息權與隱私權做出區分，并且認為私密性是隱私權不同于個人信息權的首要原因。[15]這種提法基于隱私權秘密說，其狹隘地理解了隱私概念，從空間角度認為隱私實際上被鎖定在一個固定的空間[16]，超過這個空間隱私權就是不存在且不受保護的。遠在羅馬法時代，純粹的公共空間和私人空間是存在的，然而在信息爆炸的當下，私人空間與公共空間的界限日漸模糊，秘密性要求已經逐步被拋棄。比如某人發布于微信朋友圈的照片屬于私密信息，他只向朋友圈中的好友公開，未列于朋友圈中的他人無權且事實上無法獲取這條信息(11)《微信隱私保護指引》第1.3條，2018年12月21日發布并生效，參見文獻[17]。，那么這條信息恐怕就難以被認定具有私密性了。必須強調，無論是歐盟模式還是美國模式，對于數據本地化中數據權利的認識都是一種私權，只是應對私權保護底層邏輯上的差異造成對數據本地化立法態度上的差異。

(四)“數據本地化”公法與私法交叉

一方面，如果完全基于公法原因對數據進行本地化限制，那么無法解釋為何代表私人權利的個人數據應該受到限制這一事實；另一方面，如果數據本地化僅僅是出于保護私人權利的目的而做出，則無法厘清為何要采用公權介入的方式，而非通過合同或者侵權這種傳統的私權保護模式。兩方面的原因指向了問題的起點，就是當人們談論數據本地化時究竟是站在何種語境之下？此時不妨仔細探討數據本地化的執行過程。數據本地化過程中涉及三方主體：實施本地化措施的政府、受到限制的企業以及作為數據主體的個人。當然，作為數據主體的個人不是特指某一個人，而是所被禁止或限制出境數據主體的集合，往往包含成千上萬的數據主體。此時不禁反思，數據為什么可以被限制？首先，可以清晰地看出，受到直接限制的一方系數據的控制人或持有人，按照《網絡安全法》中所稱的術語就是“網絡經營者”。現實中的網絡經營者往往是有能力掌握和控制大量數據的網絡平臺，是高科技企業，擁有強大的經濟和技術實力，而數據主體常常就是這些網絡平臺的用戶。此時需要思考一下數據主體和數據平臺之間的具體關系。數據主體作為網絡平臺的用戶是數據平臺的消費者，雖然互聯網服務常常是免費的，但是這不妨礙互聯網平臺通過不斷吸引客戶以增加其收益的事實。這些收益可能是基于網絡流量的使用費、廣告收入等。然而，近年來，網絡資源使用費和廣告收入都成為細枝末節，而數據的收集成為廣大互聯網企業所倚仗的主要生產資料，數據被稱為數字經濟的血液、貿易的血液、商業的血液甚至是資本主義的血液。有學者就曾指出，數據作為新經濟生產資料的價值應當為法律所承認。[18]在這一維度上，用戶作為數據的提供者也就是造血機，與平臺之間就不再是消費者和服務提供者的單純關系，而成為雇主和雇員的關系。無論是消費者與服務提供者抑或是雇主和雇員關系，都反映了數據主體和數據控制者關系的極大不平衡。這種不平衡直接造成數據主體通過單方努力尋求保護自身的隱私顯得非常不現實。此時政府對數據主體進行的保護就存在一定的合法性和合理性。

實際上，我國不無學者發現，美國在針對個人信息進行保護時與消費者保護法聯系密切，具有明顯的公法特征。美國的個人信息保護措施和相關立法帶有明顯的消費者法保護或公法規制的特征。由于并未賦予個人以針對不特定第三人的權利，對于普通民事主體收集與處理個人信息的行為，這些立法并不適用。[19]

綜上，筆者認為數據本地化立法從法律性質上講屬于行政性法律，而通過觀察世界主流立法，其保護的權利是一種民事權利，簡單地講，它是通過公權力加強私權利保護的法律。筆者認為這種公權干預私權保護的緣由在于平衡大企業和私人在數據收集、處理、應用、傳輸等行為中的實力不均衡，具有很強的社會性。反觀我國，數據本地化的權利客體不僅限于私權，或者說其保護的主要是國家和公共利益，這不符合數據本地化的一般立法，容易引發我國數據本地化立法規范范圍過大的問題。

四、數據本地化規則興起的深層原因

從數據本地化立法的形式上看，這種立法方式比較類似一種防御性的立法。一方面立法者將外國數據保護機關默認為是無能的或者不作為的，另一方面出于對本國數據財產性的保護。現代國際法體系產生于美國前總統威爾遜的國際協調主義，而數據流動保護所展現的圖景則存在一些前現代的意味，它更具自發秩序的特征，回歸了國際法源于習慣這一本源。由于國家應對數據問題都處于非常原始的階段，因此捍衛眼前利益成為國家處理數據問題的首要傾向。筆者認為，國家主體采取本地化主義的原因有以下幾個方面。

(一)數據資產的巨大經濟價值推動

中國共產黨第十九屆代表大會報告中指出：“加快建設制造強國、網絡強國，就要推動互聯網、大數據、人工智能等新一代信息技術與工業、制造業深度融合。”阿里巴巴董事局主席馬云在其著作《未來已來》一書中提及，現在已經從IT(信息技術)時代向DT(數據技術)時代轉移，并宣稱阿里巴巴就是一家數據企業。聯合國貿易發展組織《2017全球投資報告：投資和數字經濟》指出:“絕大多數國家都在積極地推動數字經濟，因為它們都意識到它所帶來的潛在利好。”(12)United Nations Conference on Trade and Development. World Investment Report 2017: Investment and the Digital Economy. UN, 2017:14.中國信通院和大數據技術標準委員會聯合發布的《數據資產管理實踐白皮書3.0版》中，直接稱“數據作為越來越重要的生產要素,將成為比土地、石油、煤礦等更為核心的生產資源”[20]。我國某些地方政府在出臺政策時，堂而皇之地將數據本地化明碼標價，展示出其捍衛數據經濟價值的決心。(13)2015年9月威海市政府發布的《威海市人民政府印發關于當前促投資穩增長若干政策措施的通知(威政發〔2015〕18號)》第13條摘錄：“推動口岸數據本地化，2015年實現數據本地化10億美元。”2015年5月19日，國務院正式頒發《中國制造2025》，提出推進信息化與工業化深度融合，鼓勵大數據、云計算、工業互聯網等新技術在企業生產全流程中應用。筆者認為，大數據的應用構成一種顛覆性創新(disruptive innovation)，它為社會釋放巨大的經濟價值。顛覆性創新概念最早是由哈佛大學Clayton Christensen在其名著《創新者的解決方案》一書中首先提出，它是指通過向全新市場投放創新產品而逐步取代原來建立市場的一種創新。[21]顛覆性創新的顛覆性不止于擾亂原來的市場，它繼而將給社會的其他層面諸如政治、社會、經濟以及文化帶來影響，最終引發法律的變革。此外，大數據具有數量龐大、時效性強以及價值密度低的特點，而單個數據不能實現社會應用，因此數據的價值必須通過流通、數據共享的方式形成數據鏈條，再通過科技加工才能最大限度地發揮價值。[22]獲取本地數據以加強本國大數據技術發展的競爭力可能是諸多國家對于數據本地化有著明確或隱晦的限制措施(14)USITC, Digital Trade in the US and Global Economics, Part 1, Chapter 5, p5-2.的原因之一。

(二)逆全球化的時代背景

如果將數據資產視為一種生產資源，那么對數據的保護實際上是對本國優勢資源的保護。這么看來，數據本地主義的思想背景實際上是傳統的貿易保護主義，即通過加高本國壁壘，以擴大本國數據產業優勢。前面已經論證，數據在當今時代已經成為一項重要的生產資料，數據的流出實際上代表著生產資料的流出。然而，數據價值往往是通過傳輸實現的，跨境傳輸數據已成為數據產業發展的核心需求，那么過度嚴格的數據本地化措施是否符合互聯網企業的需求就值得商榷了。

(三)立法者對于新事物本能的懷疑

立法者屬于社會中最保守的群體，這來自于法學家群體天生的保守性格。他們習慣于捍衛現有的秩序和價值，對于社會的全新發展傾向于被動地變革，而對新鮮事物表現出審慎的懷疑態度。大數據的應用屬于顛覆性創新，它擾亂傳統的市場秩序、刻板的產業模式，甚至是普通人群的生活方式。相較于經濟增長等宏觀概念，立法者關注更多的是突破性的規定對法域產生的消極影響，而相比于數據跨境的自由開放，數據出境限制顯得更加謹慎。筆者認為，在此階段采用數據本地主義的立法模式符合大部分立法者的思維傾向。

(四)互聯網技術發展的“理性”回歸

在互聯網技術剛剛興起的20世紀90年代初，無論從數量還是速度方面看，當時的數據傳輸與流通與今天不能在一個數量級上進行比較。當時的世界主流聲音認為，互聯網是自由的不設限制的，甚至互聯網被無政府主義者認為是打破政府行政壟斷的有力工具。但不可否認，正因為互聯網對人們的生活產生了巨大的便利，所以尊重互聯網自由似乎成為普遍的聲音。然而，任何事情都有利有弊，隨著人類對網絡的依賴逐步加深，人們也在無所顧忌地利用網絡這一載體傳播信息，交流思想，分享隱私。而保護公民的隱私權和個人信息權被很多政府視為政府的重要職責，將公民隱私數據進行本地化限制被認為是保護公民隱私的一種手段。其次，政府也逐漸認識到，網絡技術發展的不平衡導致網絡技術處于優勢地位的國家可以通過網絡的鏈接對另一國的政府官員進行監控，典型如2013年的斯諾登案。出于反監控的目的要求數據本地化也是采納數據本地化的原因之一。

五、數據本地化措施的效果與影響

(一)網絡空間主權宣言

國內有學者稱，對跨境數據流動進行管理是一國行使其數據主權的重要體現。[23]這一邏輯似乎成立，國家對于數據出入境的管控體現出國家主權，而這一主權概念又被稱為數據主權。但是稍做分析就會發現，這是主權概念被濫用的體現。國家主權原則是國際法的基本原則，然而這一主權原則實際上是指領土主權(territorial sovereignty)。領土主權原則的形成經歷了漫長的發展過程，而對國家主權是否延生至網絡空間，并且這種延生是無限的還是有限的，沒有形成任何習慣法或條約，這一問題可以說是國際法領域亟待開墾的處女地。我國《網絡安全法》實際上是國家對網絡空間存在主權的一種單方面宣言，這種宣言本身更多地表現為國內法意義。現代國際法理論一般認為，國家主權在經濟領域和民事領域是可以通過條約的方式進行部分讓與的，而在公法領域，國家享有絕對的主權。由此筆者認為，國家主權的行使對內體現為一種管轄，包括立法、行政和司法三重管轄，而對外則表現為一種消極對抗的權利。我國《網絡安全法》第37條一經推出，毋寧于網絡空間主權又一次宣言，(15)《國家安全法》第二次草案審議稿中，網絡主權概念被正式寫入法律。它表明中國對于數據控制采用的是傳統屬地主義立場，即通過本地化手段加強本國數據的監管和保護。

(二)管轄權之搶奪

針對跨境數據流動引發的管轄權之爭或許是數據本地化的重要原因之一。由于國際法還未能針對虛擬的網絡空間發展出國家管轄權之習慣法，屬地主義成為國家對網絡空間進行管轄的可靠依據。雖然網絡空間是虛擬的，但是數據所存儲的服務器仍然是實在的物。自達讓特萊提出“混合法”應當被視為“物法”理論后，屬地原則就被上升到一個基本原則的高度，[24]成為管轄權理論的基本原則。此外，數據本身具有物權和人身權的雙重屬性，大數據是數據的集合，也就是物的集合。因此，對于數據跨境的限制仍然是基于傳統的物法，即以屬地管轄權為依據。

然而，2018年3月美國出臺的《澄清境外數據合法使用法案》(以下簡稱《云法案》)對這一原則發起了沖擊。《云法案》認為無論數據存儲于何地，只要設立于美國的企業對該數據具有控制權，美國法院簽發的令狀即有權對其進行搜查。這一理論采用了“數據控制者標準”[25]。《云法案》模式將數據管轄疆域等同于一國企業對數據的控制程度，取決于其數據控制者占全球市場份額的多寡。美國網絡技術全球首屈一指，《云法案》的基本做法與其技術實力相呼應。因此數據本地化的普遍化理論實際上是技術處于相對弱勢的一方對本國在網絡空間管轄權的一種保護性手段。一般認為，一國不能在沒有獲得其他國家同意下在后者領土上通過采取措施執行國內法，這是國際法占主導地位的一項原則。[26]但是美國所采的“數據控制者”標準能否被解釋為域外執法是不確定的。第一，根據《云法案》，雖然調取證據的指令是由美國政府發出的，但是實施這一調取行為的主體是企業而非政府，由于侵犯國家主權的主體也是國家，因此企業的行為僅僅能引發另一國國內法中的責任，而不可能引發國家責任；第二，《云法案》為外國政府調取美國數據也設置了路徑，從這一角度來看，《云法案》是基于國家對等原則所做出的；最后，美國《云法案》中的調取行為完全在網絡空間展開，不會對另一國領土造成任何損害，侵害的結果難以認定。

需要指出，如果僅出于獲得針對數據的管轄權之目的，而這種管轄也并非排他性的，那么絕對的本地化是不必要的。俄羅斯聯邦97-FZ法案的目的就是針對在俄羅斯缺乏管轄權案件的調查而制定的，它并不要求數據僅存儲在俄羅斯境內。而我國的立法模式是針對存儲于CII中的重要數據和個人信息原則上限制出境，如必須出境則需要進行評估。從管轄權爭奪角度來看，我國立法希望在數據領域獲得一種相對排他的管轄權。

(三)潛在的負面作用

本地化措施在國際貿易中被視為一種消極的貿易保護手段，常常被稱為本地化貿易壁壘，而成為貿易法律發展過程中亟須解決的新鮮問題。其中數據本地化被歸入為國家對信息和通信技術(ICT)采用的本地化舉措。這種措施受到了國際貿易法學者的普遍詬病，被稱為數據重商主義(Data Mercantilism)。它被認為阻礙了數據利用的最佳方式，并在其生產、存儲、處理過程中帶來了地理位置的限制。[27]18

正如前文所述，數據被視為國際經濟甚至是現代資本主義的血液和命脈，血液的生命在于流動，而數據本地化措施違背了數據需要流動的天性，這或許會對經濟造成負面影響。2014年歐洲國際政治和經濟中心(ECIPE)基于GTAP8均衡模型分析了數據本地化政策對各國國內生產總值、外商投資造成的負面影響，其中對中國經濟影響的研究結果分別是GDP為-1.1%和外商投資為-1.8%。[28]另一方面，數據本地化可能造成跨境服務質量下降，甚至引發糾紛，而這些糾紛的直接受害人可能是境內的消費者。(16)參見《佳電(上海)管理有限公司與亞士創能科技(上海)股份有限公司買賣合同糾紛一審民事判決書》，上海市長寧區人民法院，(2018)滬0105民初9351號。最后，過于模糊的數據本地化范圍將會引發國際社會的不滿情緒，從而削弱我國立法的可接受度。我國《網絡安全法》第37條在送審稿階段，46個外國商業組織聯名向國務院抗議該草案，他們認為受限制傳輸的數據范圍過于全面且模糊(comprehensive but ambiguous)，并且他們認為這項立法將會傷害到中國與他們之間的貿易。[29]美國一向主張堅持數據的自由流動和反對數據本地化。2018年，美國貿易代表委員會在其撰寫的貿易狀況的評估報告中針對多國數據本地化政策表達不滿，并且對我國出臺的《網絡安全法》《國家安全法》以及《反對恐怖組織法》中涉及的數據本地化措施所采用的措辭最為強烈。其批評主要集中在中國的法律未能將安全性事項和一般性商業事項做出區分。[2]104-106另一方面，該報告也針對歐盟的數據本地化做法表明了自己的態度，但使用的詞語就中性許多，它對歐盟主導的數據本地化做法用了“不幸(unfortunately)”這個詞語，體現出美國對歐盟立法的一種無奈之感，這也反映出歐盟的數據本地化途徑更具接受度。

六、關于中國現有數據本地化立法的建議

(一)明確數據本地化的立法目的和保護客體

如前文所述，除我國以外，數據本地化立法均以個人數據權利為保護的客體，而我國對數據本地化的規制則以網絡安全為首要宗旨。國家安全固然是實施網絡保護措施的合理理由，然而是否一定需要通過本地化手段進行規制仍然值得商榷。對于關鍵信息基礎設施保護的國家針對網絡系統實施保護的對象，保護方式包括技術方式和法律方式。技術方面強調對本地CII進行加密保護，法律方式側重于對CII的營運者及其營運行為進行監管，而不直接指向CII中所包含的數據信息。而我國《網絡安全法》觸及CII中所存儲的數據本身，這一規定實際上削弱了營運者的數據控制權，從而增加其數據跨境應用的成本和跨境競爭的實力，對我國企業發展數字經濟有所損害。筆者認為，《網絡安全法》中所規定的重要數據和個人信息所指向的保護客體對應公共利益和私人利益，其保護的方式可以加以區分。比如涉及核設施、化學生物、國防軍工、人口健康等領域數據，大型工程活動、海洋環境以及敏感地理信息數據(17)參見《個人信息和重要數據出境安全評估辦法(征求意見稿)》第9條。，筆者認為此類數據屬于與國家安全高度相關的數據，針對其保護在提高技術加密程度的同時，可在運營者的準入階段進行規制。另一方面，根據世界主要國家互聯網指數發展排名，我國互聯網發展指數位列全球第二位，[30]僅次于美國，因此我國在立法中應當鼓勵擴大營運者的控制權，過度本地化將與這一趨勢相違背。

(二)加快個人數據民事權利的賦權

筆者認為，數據本地化的目的主要在于對本國數據主體信息權保護，它需要一套較為完善的個人數據保護法律體系相佐。我國民法學界也有很多學者呼吁針對個人數據保護制定相關的專項法律。2017年3月全國人大代表、全國人大常委、財經委副主任委員吳曉靈，全國人大代表、中國人民銀行營業管理部主任周學東以及45位全國人大代表向兩會提交《關于制定〈中華人民共和國個人信息保護法〉的議案》，建議盡快制定《中華人民共和國個人信息保護法》，但該部法律仍未落地，這也可能是立法者率先借用公法對個人數據進行規制的主要原因。

(三)兼顧國家主權與國際融合

國際法不同于國內法最大的特征是缺乏至高無上的權威。國際社會是多中心的，國家和國家之間的立法實踐相互獨立卻又相互影響，好的實踐不斷被后來者模仿使用，從而形成了習慣。至今，習慣法仍然是國際法最主要的淵源。世間本無國際法，引用主體多了，就形成了國際法，從這個意義上講，國際法產生的過程也就是規則競爭和篩選習慣的過程。任何空白領域都是富有習慣產生的肥沃土壤的，網絡空間中的秩序真空由于迫切的矛盾和沖突，勢必會引發一系列的法律實踐競爭。數據本地化正在向習慣的方向演進，然而過程中的諸多細節是我們需要發現和把控的。筆者認為，在應對數據本地化這一問題時，我國應當注重本國利益與國際潮流的融合，將個人信息作為數據本地化所規制的主要對象。這一方面可以促進我國本國個人信息權法律體系的建立；另一方面也可以樹立大國形象，加強我國立法在國際習慣法形成過程中的話語權。