數據主權規則建設的模式與借鑒

摘 要：數據是大數據時代重要的國家戰略資源。數據主權是國家主權在網絡空間的核心表現，關系到數據安全、數字鴻溝、個人隱私，是國家安全和發展的核心利益所在。近年來，歐盟與美國都在數據主權方面開展新的規則建設。歐盟以數據保護為核心出臺的《通用數據保護條例》，重新建立了與美國之間處理數據保護的規則框架，進一步強化了對數據主權的保護。美國則以《澄清域外合法使用數據法案》為代表，確立以數據自由為核心的數據主權規則，但實質是單邊主義和霸權主義在數據主權問題上的延伸。中國宜在歐盟和美國數據主權規則建設差異性基礎之上，以主權平等、合作共治為原則，以網絡命運共同體理念為指導，構建符合我國數據要求，兼顧各國利益的數據主權規則，推動全球數字經濟全面健康發展。

關鍵詞：數據主權;數據安全;數據保護;數據自由

中圖分類號：DF92? 文獻標志碼：A

DOI：10.3969/j.issn.1001-2397.2020.06.10

隨著互聯網的深入發展，網絡運行過程中形成的數據體量日益龐大。與數據存儲相關的“大數據”“云計算”等成為各國互聯網發展進程中重點關注的領域。數據的獲取和利用關乎個人信息保護、企業經營發展，更關乎國家利益。近年來，各國之間的數據糾紛愈發激烈，其核心在于對數據資源的合理占有與有效利用。①國家是否對網絡數據享有主權，國家應該怎樣合理地行使此類主權？網絡數據是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。②

目前數據存儲方式發生了較大變化，數據存儲從當地的存儲器逐漸轉變為全球數據庫的遠程存儲，甚至有大量的數據存儲在“云”（cloud）上。

數據主權源于網絡主權，是國家主權在大數據時代的核心表現。[ 參見肖冬梅、文禹衡：《數據權譜系論綱》，載《湘潭大學學報（哲學社會科學版）》2015年第6期，第71頁。]數據主權表現為國家對本國數據與本國國民數據的所有權、控制權、管轄權與使用權。[ 參見杜雁蕓：《大數據時代國家數據主權問題研究》，載《國際觀察》2016年第3期，第7頁。]數據主權對內體現了國家對數據的最高管轄權，對外體現了國家在網絡數據上的獨立自主權與合作權。[ 參見孫南翔、張曉君：《論數據主權——基于虛擬空間博弈與合作的考察》，載《太平洋學報》2015年第2期，第64頁。]廣義的數據主權包括國家的數據主權與個人的數據主權。[ 參見蔡翠紅：《云時代數據主權概念及其運用前景》，載《現代國際關系》2013年第12期，第59頁。]有學者認為，全球化給國家主權以新的發展和啟示：在全球化背景下，國家主權表現了國家對其公民利益的關心，這讓公民的個人權利逐漸開始與國際社會產生互動。[ 參見Helen Stacy， Relational Sovereignty， 55 Stanford Law Review 2029， 2044-2045（2003）.]

美國和歐盟在數據主權領域的規制措施呈現出了不同的特點。2018年2月，美國通過了《澄清域外合法使用數據法案》（Clarifying Lawful Overseas Use of Data Act），[參見Clarifying Lawful Overseas Use of Data Act， as part of the Consolidated Appropriations Act， 2018 Pub. L. 115-141.]該法案亦被稱作《云法案》（Cloud Act）。[ 參見 Clarifying Lawful Overseas Use of Data Act， Section 1. Short Title.]2018年5月，歐盟的《通用數據保護條例》（General Data Protection Regulation）正式生效實施。[ 參見 EU General Data Protection Regulation， Article 84.2.]這兩項規制措施代表了美國與歐盟在數據主權領域不同的態度與選擇。本文以構建數據主權發展戰略為命題，比較分析美國與歐盟的數據主權規制措施，進而提出符合中國發展要求的數據主權規則。

一、數據主權的法理基礎與核心要素

在網絡數據領域，國家享有主權。2017年，我國外交部和國家互聯網信息辦公室發布《網絡空間國際合作戰略》，明確了主權原則對網絡空間的適用，鑒于數據領域與網絡空間的交叉與重合，這為數據主權打下了良好基礎。網絡空間具有可規制性，因為用戶的“認證”、統一技術標準下的“兼容”、計算機與萬維網之間的互聯互通為網絡空間的規制提供了可能性。[ 參見張新寶、許可：《網絡空間主權的治理模式及其制度構建》，載《中國社會科學》2016年第8期，第142頁。]同樣，數據也存在可規制性。面對數據自由與數據保護兩大核心要素，不同國家有不同側重。

（一）國家主權原則對數據主權的適用

國家主權賦予一國在其領土范圍內完全的、排他的權力。在獨立國家之間，國家主權是國際關系最為本質的基礎。[參見Wolff Heintschel von Heinegg， Territorial Sovereignty and Neutrality in Cyberspace， 89 International Law Studies 123， 123-124（2013）. ]數據是無形的，但是數據具有一定的物理屬性。網絡數據存儲器和基礎設施通常放置在一國境內，存儲器通常由國家或公司所有。同時，數據也需要國家電網和電纜等基礎設施進行傳輸。網絡數據的全球治理并非對國家主權原則的放棄。[參見 Joshua E. Kastenberg， Non-Intervention and Neutrality in Cyberspace： An Emerging Principle in the National Practice of International Law， 64 Air Force Law Review 43， 62-64（2009）.]暫時的技術難題也不會真正阻止國家通過國家主權原則管理其境內的網絡數據及基礎設施，其他國家也不應干涉他國境內的網絡數據基礎設施。[ 參見 Patrick W. Franzese， Sovereignty in Cyberspace： Can it Exist？， 64 Air Force Law Review 1， 23-36（2009）.]國家主權原則在數據主權上的適用包括在一國領土范圍內的數據存儲設備，數據存儲設備可以在一國的領水、領陸、領空范圍內。基于此，若他國侵犯、干涉、非法獲取、不正當使用在一國境內的數據及數據存儲設備，就將構成對該國主權的侵犯。

國家對數據主權的管轄權應該理解為“國家使用法定權力裁決某項行為是否構成對該國數據的侵犯”。按照屬人原則，一國國民在該國領土范圍之外侵犯該國數據主權的行為，也在該國管轄權范圍之內。如果某項侵犯數據主權的行為發生在一國領土之外，就需要適用“效果原則”（effects doctrine）進行判斷。歐盟法院對此有過系統的闡釋，就某國對案件的管轄權基于領土而言，有兩個不同的原則：其一，主觀領土原則，即一國可以管轄源于其本國的行為，即使其完成在國外;其二，客觀領土原則，即一國可以管轄源于國外但是完成在其領土范圍內的行為。效果原則實際上承認國家對沒有發生在其領土范圍內的行為行使管轄權。[參見Wolff Heintschel von Heinegg， Territorial Sovereignty and Neutrality in Cyberspace， 89 International Law Studies 123，133-134（2013）.]國家有義務阻止發生在其領土范圍內侵犯他國數據主權的行為。具體而言，國家的此項義務包括調查、起訴侵犯數據主權的主體、與數據主權被侵害的主體相互合作等。[ 參見 Matthew J. Sklerov， Solving the Dilemma of Sate Responses to Cyberattacks： A Justification for the Use of Active Defenses against States Who Neglect Their Duty to Prevent， 201 Military Law Review 1， 61-63（2009）.]國家在其領土范圍內更進一步的義務是尊重他國的數據主權、維護網絡數據的穩定性、維護網絡數據的安全性等。網絡數據的穩定性要求主權國家不應肆意干涉在其領土內的網絡數據基礎設施與其他國家之間的互聯互通。維護網絡數據的安全性要求國家保護網絡數據基礎設施，確保其免受攻擊和濫用。

（二）“云數據”的可規制性

云計算和大數據給數據存儲帶來極大的變革，由此帶來最為突出的問題即是“云數據”的主權歸屬問題。如果數據存儲在“云”上，諸如蘋果公司的iCloud或者百度云盤，該領域完全不同于傳統領土，數據的歸屬應該如何判斷？因為該領域并沒有明確的地域界限，并且數據能夠迅速移動，數據可能被拆分成不同的部分，從而進入不同的司法管轄范圍;同時，該數據還可能與其他數據有密切聯系，從而給判定其主權歸屬造成更大的困難。[ 參見 Andrew Keane Woods， Against Data Exceptionalism， 68 Stanford Law Review 729， 755-756（2016）.]但是，即便是在“云”上的數據，也并非不可規制。

首先，數據的“無形”特點并非新問題。數據的“無形”會增加規制難度，但“無形”的特征并非數據獨有，法院已經對其他“無形”財產如股權、債權、知識產權等積累了豐富的司法實踐經驗。[ 參見 Aaron D. Simowitz， Siting Intangibles， 48 New York University Journal of International Law and Politics 259， 260-262（2015）.]例如，商標權就是以其產生地或注冊地作為判斷其國籍屬性的依據，股權則以股東所在國為主判斷其國籍，以方便該國在股權轉讓時收取稅收。美國《對外關系法重述（第三次）》認為，“無形資產根據實現目標的不同，會產生不同的地域屬性，在某些目標下存在沒有地域屬性的可能。”[參見Restatement of the Law， Third， Foreign Relations Law of the United States note 2.]數據與無形資產有著許多相似性，針對數據的“無形”特征，法院有大量的經驗來判斷其地域歸屬或虛構地域歸屬，或是忽視地域歸屬從而直接以其他理由進行司法管轄。

其次，數據的移動性不能阻止其地域歸屬的判斷。數據以極快的速度轉移確實對地域歸屬判斷造成了困難，但是，移動性強也并非數據獨有的特點。例如，金錢也可以從某一地點迅速轉移到另一地點，法院依然可以判斷其對金錢的司法管轄權。雖然數據存在不同于金錢、債權的特征，即數據可以同一時間在多個地點進行存儲和復制，但這并不能改變數據歸屬或法院司法管轄權問題分析的實質。[ 參見 Andrew Keane Woods， Against Data Exceptionalism， 68 Stanford Law Review 729， 756-760（2016）.]

最后，數據的可分性與可替代性可以實現對其地域的判定。用戶的數據可能同時由不同地域的服務者提供服務，但是，“可分性”特點同樣也非網絡數據所獨有。盡管數據具有可分性與可替代性，但人們關心的只是數據所組合形成的表現形式，如圖片、文稿、音頻、視頻等。舉例來說，用戶將一百元存入銀行后，該用戶并不會期待這一百元一直以固定的形式存在，只關心能取回一百元的本金及其產生的利息，因為貨幣具有可替代性。[參見Jack Goldsmith， Unilateral Regulation of the Internet： A Modest Defence， 11 European Journal of International Law 135， 135-139（2000）.]數據的規制亦然。

綜上，數據的無形性、移動性與可分性并不會對判斷數據的地域歸屬形成實質性障礙。

（三）數據保護與數據自由兩大核心要素

對于互聯網技術發達、數字貿易量巨大的美國而言，數據的自由化更為重要。美國需要獲取世界各國的各種數據，為其政治、經濟、安全等決策與制度設計提供支持。歐盟及其他國家更強調數據保護的重要意義，以保障其數據保護措施的正當性。當然，數據保護并不等同于數據保護主義。數據保護是為了實現國家對數據流動的規制，從而采取的合理限制措施;數據保護主義則是否定數據自由流動，拒絕國家之間數據的正常自由交流。[ 參見 Anupam Chander & Uyen P. Le， Data Nationalism， 64 Emory Law Journal 677， 738-739（2015）.]在美國的數據威脅背景下，部分國家開始采取措施限制數據在全球范圍內的自由流動。例如，“金磚國家”就曾希望建立一個區域內的網絡體系，以阻止美國對互聯網的干預。[參見Paul Joseph Watson， BRICS Countries Build New Internet to Avoid NSA Spying， Oct. 24， 2013， https：//www.mendeley.com/research-papers/brics-countries-build-new-internet-avoid-nsa-spying/.]

數據主權不僅包括國家數據主權，還包括個人數據主權。[ 參見王永剛：《完善立法，明確網絡主權、控制數據主權》，載人民網2015年2月5日，http：//opinion.people.com.cn/n/2015/0205/c1003-26511363.html。該文作者將數據主權按照數據的歸屬分為三類。]個人數據主權是公民因履行數據采集義務而獲得的數據使用權，包括用戶對數據的自決權和自我控制權，涵蓋個人隱私權、生命財產的數據保護、公民在國際社會中的數據保護等內容。個人數據主權需要在國家數據主權框架和范圍內運行以獲取有效保障。[ 參見杜雁蕓：《大數據時代國家數據主權問題研究》，載《國際觀察》2016年第3期，第6頁。]國家數據主權是個人數據主權的前提和基礎，個人數據主權反過來支撐和落實國家數據主權。[ 參見 Joel Trachtman， Cyberspace， Sovereignty， Jurisdiction， and Modernism， 5 Indiana Journals of Global Legal Studies 561， 566（1998）.]就個人的數據主權來說，數據隱私權是其中較為重要的部分。在隱私權方面，歐盟與美國的法律呈現出不同的特點。歐盟的隱私法更關注保護“尊嚴”，而美國的隱私法更強調保護“自由”。《歐盟基本權利憲章》指出：“每個公民的個人數據都有受到保護的權利，并且每個公民都有權獲取、糾正其個人信息。”[ Charter of Fundamental Rights of the European Union Article 8.]《歐洲聯盟運行條約》規定：“每個人都有權保護其個人數據。”[ Treaty on the Functioning of the EU Article 16.]美國的隱私更加強調對自由的保護，尤其強調國家不應干涉個人的自由。[參見James Q. Whitman， The Two Western Cultures of Privacy： Dignity versus Liberty， 113 Yale Law Journal 1151， 1151-1155（2004）.]歐盟與美國的個人數據主權理念同樣呈現出數據保護與數據自由的差異。

數據自由與數據保護兩種理念的博弈類似于貿易自由與貿易安全的關系，在數據主權領域，需要平衡數據自由與數據保護之間的關系。這兩種要素沒有孰優孰劣之分，都是數據主權發展的核心要素，構建全球化數據主權規則本質上需要在這二者之間尋求平衡。

二、數據主權的歐盟模式：數據保護為核心

（一）“隱私護盾”制度對“安全港”制度的升級

歐盟1995年的《數據保護條例》鼓勵數據在得到當地法律或與外國公司合同安排的保護下，可以自由地傳輸到國外。[ 參見 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data， paras. 45-46.]隨后，歐盟發現美國并沒有為歐盟公民的個人數據隱私提供足夠的保護，所以歐盟禁止個人數據傳輸到美國。[ 參見 Steven C. Bennett， EU Privacy Shield： Practical Implications for U.S. Litigation， 62 Practical Law 60， 60（2016）.]考慮到與美國信息交換涉及的龐大體量，2000年，美國與歐盟同意建立數據的“安全港”制度：在美國遵守數據保護標準，并接受聯邦貿易委員會監督的條件下，歐盟允許數據傳輸到美國的公司。[參見 Anupam Chander & Uyen P. Le， Data Nationalism， 64 Emory Law Journal 677， 688-689（2015）.]該制度允許歐盟的個人數據在美國公司或組織滿足通知、安全、數據完整性等方面要求

的情況下傳輸到美國。

2015年，歐洲法院認為“安全港”制度缺乏對歐盟公民數據基本權利保護的法律補救措施。同時，由于美國確認“安全港”制度的遵守情形，使得該制度缺乏合適的執行機制和問責機制，所以歐盟開始尋求對數據保護制度的改革。[參見Christopher Wolf， EU VP Reding Uses PRISM AS Lever to Push Enactment of Regulation and Questions EU-US Safe Harbor， Chronicle of Data Protection， Jul. 19， 2013， https：//www.hldataprotection.com/2013/07/articles/international-eu-privacy/eu-vp-reding-uses-prism-as-lever-to-push-enactment-of-regulation-and-questions-eu-us-safe-harbor/.]隨后，歐盟數據保護機構（EU Data Protection Authorities）宣布，不再依據“安全港”制度規制美國與歐盟之間的數據傳輸。[ 參見 Steven C. Bennett， EU Privacy Shield： Practical Implications for U.S. Litigation， 62 Practical Law 60， 60（2016）.]

2016年，歐盟委員會宣布“隱私護盾”（privacy shield）制度將替代之前的“安全港”制度，相比于“安全港”制度，“隱私護盾”制度對透明度和規則遵守的監督有著更高的要求。[ 參見 Morgan A. Corley， The Need for an Convention on Data Privacy： Taking a Cue from the CISG， 41 Brooklyn Journal of International Law 721， 721-723（2016）.]其一，對公司的保護義務要求更趨嚴格。該制度包含了有效的監管機制，以確保公司遵守數據保護的相關義務。其二，對美國政府獲取數據的防御和透明度要求。在“隱私護盾”制度中，美國政府首次書面承諾，“任何以國家安全為目的獲取歐盟公共機構數據或個人數據都必須有清晰的限制、防衛和監管機制”。同時，美國承諾通過獨立的監察專員機制（ombudsman mechanism）為歐盟建立一個國家數據領域的救濟機構。其三，構建了數據保護爭議解決機制。該制度要求數據保護爭議應在45天之內解決。同時，當數據保護爭議未得到合理有效解決時，歐盟公民有權要求本國的數據保護機構與美國商務部和聯邦貿易委員會一起解決爭議。其四，設置年度聯合審查機制。歐盟委員會將聯合美國商務部一起評估審核“隱私護盾”制度的執行情況。[ 參見 European Commission， EU-U.S. Privacy Shield： Frequently Asked Questions，Feb.29， 2016， http：//europa.eu/rapid/press-release_MEMO-16-434_en.htm.]從“隱私護盾”制度的內容可以發現，歐盟數據主權制度設計總體上是圍繞著如何實現數據保護進行的，尤其強調對歐盟個人數據主權的捍衛，這也體現了歐盟維護公民數據“尊嚴”的基本理念。“隱私護盾”制度可以說是“安全港”制度在數據保護基礎上的升級，進一步維護了歐盟數據主權，強化了美國對歐盟數據主權的尊重。

（二）《通用數據保護條例》的特點

歐盟2016年《通用數據保護條例》替代了1995年《數據保護條例》。《通用數據保護條例》規定，在滿足一定約束性規定和數據保護條款基礎之上，才允許數據傳輸到歐盟之外的國家和地區，并禁止將歐盟數據傳輸給有權掌握歐盟個人數據的國家。[ 參見 Regulation （EU） 2016/679 of the European Parliament and of the Council of 27 April 2016， on the Protection of Natural Persons with Regard to the Processing of personal Data and on the Free Movement of Such Data， and Repealing Directive 95/46/EC （General Data Protection Regulation）， paras 42-43.]“保護自然人的個人數據是每個公民的基本權利。保護個人數據權利應該尊重公民的基本權利和自由。”[ 參見 EU General Data Protection Regulation， Preamble para. 2.]《通用數據保護條例》在數據的自由流動方面的規定，主要是指在歐盟成員之間數據的自由流動。[ 參見 EU General Data Protection Regulation， Article 1.3.]

與之前的《數據保護條例》相比較，《通用數據保護條例》主要存在以下幾方面的差異：

首先，適用范圍更廣。適用于所有與歐盟公民相關的數據，不論該數據是否實際上產生或運行在歐盟范圍內。[ 參見 EU General Data Protection Regulation， Article 3.]有觀點認為，《通用數據保護條例》規定的歐盟數據隱私法律域外適用，將對國際數據流動產生重大影響，并且將會事實上使《通用數據保護條例》成為一種全球標準。[ 參見 Allison Callahan Slaughter， Lipstick on a Pig： The Future of Transnational Data Flow between the EU and the United States， 25 Tulane Journal of International and Comparative Law 239， 249-253（2016）.]《通用數據保護條例》為數據傳輸行為本身提出了系統的要求，還規定任何第三國的法庭、行政機構只能通過國際協定或法律援助協定向歐盟提出公開數據的請求。[ 參見 EU General Data Protection Regulation， Article 48.]

其次，拓寬了數據種類的范圍。這意味著公司想要獲取相關數據，需要在更為廣泛的層面上獲得數據主體的同意。《通用數據保護條例》進一步要求這種“同意”必須是數據主體明確、準確的表達，不能是暗示的表達。[ 參見 EU General Data Protection Regulation， Preamble 32 and Article 9.]賦予個人一項新的權利，即數據的“被遺忘權”（right to be forgotten），也叫數據的“消除權”（right to erasure）。被遺忘權是指數據主體在滿足一定條件下，有權從數據控制器或數據管理者處獲得沒有延遲的、消除個人數據信息的權利。[ 參見 EU General Data Protection Regulation， Article 17.]被遺忘權以個人信息自治為基礎，進一步拓寬了個人數據權利，體現了較高水平的個人數據權利保護。[ 參見劉文杰：《被遺忘權：傳統元素、新語境與利益衡量》，載《法學研究》2018年第2期，第24-40頁。]

再次，細化了數據控制者與數據處理者的責任。在《通用數據保護條例》中，云服務提供者作為數據控制者將被要求遵守一系列新的具體義務，包括保留其處理數據活動中的文件、實施適當的安全標準、執行例行的數據保護評價體系、遵守國際數據傳輸規則等。[ 參見 EU General Data Protection Regulation， Article 30， Article 32 and Article 35.]云服務提供者作為數據處理者，需要遵守數據保護的規定。同時，數據處理者需要與數據控制者達成有約束力的合同。如果數據處理者沒有依據數據控制者的說明和指令來處理數據，該數據處理者將被視為數據控制者，并承擔數據控制者的相關責任。在處理數據之前，處理者有義務通知數據控制者等主體。[ 參見 EU General Data Protection Regulation， Article 28.]關于兩個及兩個以上數據控制者即聯合控制者（joint controllers）的責任分配問題，無論數據聯合控制者內部如何安排，對外每個控制者都將就全部損害承擔責任。[ 參見 EU General Data Protection Regulation， Article 26.]

最后，確立違反數據保護規則的補償及懲罰機制。《通用數據保護條例》要求在歐盟成員之間建立起違反規則后的對等懲罰機制（equivalent sanctions）。[ 參見 EU General Data Protection Regulation， Preamble para. 11.]例如，西班牙數據保護機構2013年對Google處罰90萬歐元。隨后，荷蘭、德國、比利時、法國、意大利、西班牙聯合調查Facebook公司的數據保護遵守情況。法國的數據保護機構——國家信息與自由委員會（National Commission on Informatics and Liberty），在2016年對Google沒有遵守數據移除規則的行為罰款10萬歐元，同年，要求Facebook限期改變其搜集和使用數據新消息的方式，并罰款15萬歐元。[ Samantha Cutler， The Face-Off between Data Privacy and Discovery： Why U.S. Courts Should Respect EU Data Privacy Law When Considering the Production of Protected Information， 59 Boston College Law Review 1513， 1521-1523（2018）.]

（三）《通用數據保護條例》對中國數據保護的啟示

歐盟的數據主權重點在于數據的保護。歐盟在《通用數據保護條例》中將之前的隱私權集中表述為個人數據保護權，這種做法一方面拓展了數據保護的范圍，給予個人數據普遍法律保護，另一方面提升了保護水平，強調了事前主動防范。[ 參見劉澤剛：《歐盟個人數據保護的“后隱私權”變革》，載《華東政法大學學報》2018年第4期，第59頁。]

2017年生效的《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）初步建立了用戶信息保護制度，要求網絡運營者不得泄露、篡改、毀損個人信息，確保個人信息的安全;《中華人民共和國數據安全法（草案）》（以下簡稱《數據安全法（草案）》）從數據安全與發展、數據安全保護義務、政務數據安全與開放等方面保障數據安全。[ 參見《中華人民共和國網絡安全法》第40條、第42條。]相較于歐盟對于數據保護的相關規則，中國的數據保護可從以下三個方面進行完善：其一，擴大數據保護的范圍。《網絡安全法》更多以國內法的性質對數據保護進行規定，并沒有強調域外的數據保護，也未涉及與第三國數據的合作與協調問題。《數據安全法（草案）》明確在中華人民共和國境內開展的數據活動予以適用，境外的數據活動以損害中國國家安全、公共利益或者公民、組織的合法權益為條件。因此，可借鑒歐盟的域外數據保護措施，擴大數據保護范圍并加強與第三國在數據保護領域的合作等。其二，適度強化個人對數據信息的控制權。《網絡安全法》對網絡運營者處理、使用個人信息進行了規范，但是，該法并沒有從數據的所有者即公民自身對數據信息的控制權進行規則設置，《數據安全法（草案）》主要從國家層面強調數據保護。歐盟的《通用數據保護條例》不僅強調數據主體，還賦予數據主體數據“被遺忘權”。中國的數據主權規則有必要在該方面借鑒歐盟路徑，進一步延伸個人數據權利保護的維度。其三，明晰數據主體的責任分配。《網絡安全法》主要將責任主體限定為網絡運營者，《數據安全法（草案）》更強調數據處理者的數據安全保護義務。[ 參見《中華人民共和國網絡安全法》第61條、第61條。]歐盟將責任主體細分為數據控制者與數據處理者，并對多個數據控制者如何進行責任分配進行了詳細規定，這些做法都值得借鑒。

三、數據主權的美國模式：數據自由為核心

（一）《澄清域外合法使用數據法案》對數據自由的支撐

2013年，美國紐約南區地方法院簽發搜查令，搜查了微軟公司電子郵件賬戶儲存的數據。但是，該搜查令涉及的用戶數據并沒有儲存在美國境內，而是儲存在位于愛爾蘭的數據中心。微軟公司認為，美國的《存儲通信法案》（Stored Communication Act）作為《電子通信隱私法》（Electronic Communications Privacy Act）的一部分，并沒有域外適用的效力，所以美國法院無權簽發該搜查令。[ 參見 Andrew Keane Woods， Against Data Exceptionalism， 68 Stanford Law Review 729， 731（2016）.]2014年，美國聯邦地方法院支持了紐約南區地方法院的判決。微軟公司將此案上訴至聯邦第二巡回上訴法院，該法院支持了微軟公司的主張，認為《存儲通信法案》并沒有明確規定該法可以適用于境外。此案推動了美國修改《存儲通信法案》和《電子通信隱私法》的進程。

2018年，美國通過了《澄清域外合法使用數據法案》（Clarifying Lawful Overseas Use of Data Act，以下簡稱《云法案》）。[參見Clarifying Lawful Overseas Use of Data Act， as part of the Consolidated Appropriations Act， 2018 Pub. L. 115-141.]為解決“美國政府訴微軟公司案”中所體現的獲取域外數據合法性問題，《云法案》擴大了美國法律的適用范圍。《云法案》要求電子通信服務或遠程計算服務的供應商遵守本法關于保留、備份、公開電子通信內容、記錄以及其他與消費者相關的信息之規定，無論該信息是在美國境內還是美國境外。在《云法案》中也增加了讓步性安排：其一，在外國的數據信息公開會違反該國法律;其二，基于整體的司法公正考慮;[ 在判斷司法公正性時，《云法案》規定了“禮讓分析”（comity analysis）應當考慮的要素：（1）美國的利益，包括政府主體獲取信息公開的調查利益;（2）具備主體資格的外國政府在禁止信息公開中所獲得的利益;（3）對數據服務提供者或其雇員不遵守法律采取處罰措施的可能性、程度和實質;（4）顧客所處的地點和國家，以及顧客與美國的聯系本質及程度;（5）數據信息提供者與美國聯系的本質與程度;（6）需要被公開的信息的重要性;（7）產生較低消極影響而及時有效獲取公開信息的方式。參見 Clarifying Lawful Overseas Use of Data Act， Section 3. Preservation of Records; Comity Analysis of Legal Process §2713.]其三，用戶不是美國公民且不居住在美國。基于這三類情況，美國法院應修改或撤銷該法律程序。《云法案》僅適用于美國的公司，且主要針對電子通信服務提供商和遠程計算服務提供商。[ 參見 Clarifying Lawful Overseas Use of Data Act， Section 3. Preservation of Records; Comity Analysis of Legal Process §2713.]但是，由于前述這些所謂的“讓步性”規定都是由美國法院予以適用，實踐中是否能切實尊重其他國家的數據主權，仍然是不確定的。美國這種單邊的、缺乏與其他國家公平合作的數據安排，也許難以實現真正的主權平等和數據主權規則的公正合理。

《云法案》將外國政府調取存儲在美國的相關數據也納入調整范圍。[ 參見 Clarifying Lawful Overseas Use of Data Act， Section 5. Executive Agreements on Access to Data by Foreign Governments§2523.]一方面，外國政府調取存儲在美國的數據需要滿足一定的條件：（1）外國政府是否有足夠的關于網絡犯罪和電子證據的實體法和程序法，是否加入了《布達佩斯網絡犯罪公約》，以及外國政府的國內法是否與《云法案》的第一章和第二章規則相一致;（2）外國政府是否尊重法律規則和非歧視原則;（3）外國政府是否遵守國際人權義務和承諾;[ 這些尊重人權義務包括：其一，保護隱私免受肆意和非法干涉;其二，公平的審判權;其三，自由表達與和平集會權;其四，禁止武斷地逮捕和拘留;其五，禁止折磨、殘酷非人道的待遇和懲罰。參見 Clarifying Lawful Overseas Use of Data Act， Section 5. Executive Agreements on Access to Data by Foreign Governments§2523.]（4）外國政府是否有清晰的法律強制和程序措施來規制其國內實體的數據搜集、保留、使用和分享活動，并且對這些與數據相關的活動進行有效監管;（5）外國政府是否有足夠的機制來對電子數據的使用提供有責任的、適當的透明度規則;（6）外國政府是否對促進和保護信息的數據流動，以及互聯網開放、分布、互聯互通的本質作出承諾;（7）外國政府是否采取了合適的程序來最小化對美國人信息的獲取、保留和傳播。另一方面，在外國政府滿足前述條件之后，要調取美國的數據，送達行政命令還需要滿足其他要求：（1）外國政府不能有意地直接對美國人或位于美國境內的人發布行政命令，而是要滿足“目標程序”要求;（2）如果外國政府以獲得關于美國人和位于美國境內的人的信息為目的，則不能直接對美國境外的非美國人發布調取數據的行政命令;（3）外國政府不能以為美國政府或第三國政府獲得信息為由發布行政命令，也不能以與美國政府或第三國政府分享信息為由發布行政命令;（4）外國政府發布調取數據的行政命令應該以獲取與預防、檢測、調查或起訴犯罪、恐怖活動相關信息為目的，外國政府的行政命令要基于可靠的事實情況，接受法院、法官或其他獨立機構的監督;（5）外國政府發布的行政命令不得用于侵犯言論自由;（6）外國政府應該及時審查搜集到的材料，并且將未經審核的材料存入安全系統，僅對專業人士開放;（7）外國政府應該對數據信息給美國人帶來的消極影響達到最小化盡最大努力;（8）外國政府不應將獲取的美國人的數據傳輸給美國政府，除非該數據會威脅美國的國家安全、經濟安全或其他重要的國家利益;（9）外國政府應該提供互惠的數據準入權利;（10）外國政府應定期審查遵守本法案的情況;（11）對美國政府認為不恰當的外國政府行政命令，美國政府保留不適用本法案的權利。

在《云法案》中，對美國調取域外數據與外國調取美國數據相比，無論從規則的嚴苛程度，還是自由裁量權的程度等都存在著極大的差異：一方面，美國獲取域外數據與外國獲取美國數據在難易程度上存在差異。《云法案》以美國獲取域外數據為原則，以限制美國獲取域外數據為例外，即僅有三類情況可以限制美國獲取域外數據。但是，外國想要獲取美國數據要滿足十一項條件，任何國家恐怕都很難同時滿足如此繁復的條件。并且，外國想要調取美國的數據在對象上也有嚴格的限制，若想要調取美國人的數據，更是十分困難。另一方面，無論是限制美國獲取域外數據，或是限制外國獲取美國數據，《云法案》都授予了美國極大的自由裁量權。這體現了對其他國家數據主權的不尊重，是單邊主義和以美國為中心的表現。

（二）美國數據自由規則對中國的啟示

盡管美國的數據保護規則以促進數據自由流動的理念為核心，但是美國也并未置數據保護于不顧。相反，美國是單方強調他國數據的自由流動，對其本國的數據則采取嚴格的保護措施。我國不應采取這種單邊和霸權的做法。但是，美國的數據保護措施以及與第三國之間數據自由流動的安排，仍有一些經驗和路徑可供借鑒。首先，在數據自由流動方面，中國需要建立起公平合理的域外數據調取機制。《云法案》擴大了美國相關法律的適用范圍，無疑加劇了美國與數據存儲地國家之間的數據主權沖突。盡管有一系列的讓步安排，這些讓步安排的條件是否滿足、最終是否能夠否認美國對數據的司法管轄權，其裁決權仍然在美國法院手中。針對主權國家拒絕提供數據的情形，包括外國的數據信息公開是否違反該國法律、是否有違司法公正等，不應該由進行數據調取的國家來判斷和決定。由此，中國可考慮建設雙邊或者多邊數據調取裁決機構。其次，允許外國政府或個人請求調取存儲在中國的數據。中國對存儲在國內的數據享有數據主權。可以借鑒美國的審核機制，包括考察外國主體對數據信息的保護機制、外國主體調取信息的目的、我國與該國是否有調取信息的互惠合作安排等。最后，中國可以在平衡數據保護與數據自由的過程中，采取基本原則加例外條款的模式。例如，美國以禁止數據本地化為原則，但規定了例外情形，這種模式更可能在各國之間達成一致意見，有利于我國與其他國家開展數據主權方面的合作。[ 參見彭岳：《數據本地化措施的貿易規則問題研究》，載《環球法律評論》2018年第2期，第186-189頁。]

四、中國方案：數據主權規則的構建

（一）數據主權規則構建的原則

中國數據主權的規則構建既要維護我國利益，又要兼顧他國合理關切;既要符合我國法律傳統，又要遵守國際法基本原則。具體而言，數據主權規則的構建需要遵循以下原則：

第一，堅持主權獨立與平等。主權原則適用于網絡空間和數據領域已經獲得較廣范圍的認同，但是數據保護與數據自由平衡的要求，需要不斷提升對數據主權的認知和適應能力。數據領域的虛擬性、無界性、開放性等特點，決定了數據主權對傳統主權絕對性、不可分性的突破。習近平主席指出：“《聯合國憲章》確立的主權平等原則是當代國際關系的基本準則，覆蓋國與國交往各個領域，其原則和精神也應該適用于網絡空間。”[ 參見《習近平在第二屆世界互聯網大會開幕式上的講話》，載人民網2015年12月16日，http：//cpc.people.com.cn/n1/2015/1216/c64094-27937316.html。]國際社會應該尊重每個國家自主的數據主權發展戰略，讓每個國家平等地參與到數據主權國際規則構建的合作中來。數據主權不僅需要重申主權獨立，更需要在主權平等的基礎上倡導多邊參與、多方參與、平等參與的共同治理模式。[ 參見張新寶：《尊重網絡主權 發揚伙伴精神》，載《人民日報》2018年6月4日，第16版。]根據權利義務相統一的基本邏輯，大國在獲得事實上所謂“特權”的同時，理應承擔要求更高的“特殊”義務。[ 參見蔡從燕：《國際法上的大國問題》，載《法學研究》2012年第6期，第193-205頁。]平等地享有數據主權無關國家強弱和數據技術水平高低，每個國家都可依法對其數據進行規制和安全保護。[ 參見張新寶、許可：《網絡空間主權的治理模式及其制度構建》，載《中國社會科學》2016年第8期，第154頁。]

美國的《對外關系法重述（第三次）》列舉了一國管轄權確定的五個標準：其一，行為發生在該國境內;其二，人或物在該國境內;其三，域外行為在該國領域內產生了實質性影響;其四，該國國民的行為;其五，域外行為與該國的國家安全或國家利益發生直接沖突。[參見Restatement of the Law， Third， Foreign Relations Law of the United States§402.]借鑒此標準，在判斷“云數據”管轄權問題上也有五個相關標準：其一，數據所在地。盡管數據是無形的，但數據存儲器以及相關數據驅動器具有物理形態。在某國境內的這些數據存儲器及驅動器，該國對其應享有主權。[參見Jack L. Goldsmith， Against Cyberanarchy， 65 The University of Chicago Law Review 1199， 1216-1218（1998）.]其二，與數據相關的損害情形發生地。若外國主體在境外對本國的數據安全造成損害，

該國就有權對損害行為相關的數據行使管轄權。其三，與數據相關的嫌疑人經常居住地或國籍所在地。其四，與數據相關的受害人經常居住地或受害人國籍所在地。其五，數據控制者經常居住地或國籍所在地。因此，國家可以依據前述要素和標準來確定其對數據的司法管轄權。總體而言，國家在數據問題上擁有較為寬泛的規制權，只要數據或數據產生的影響發生在一國境內，或者對該國（該國公民）產生實質影響，國家就可以行使對數據的管轄權。[參見Jack Goldsmith， Unilateral Regulation of the Internet： A Modest Defence， 11 European Journal of International Law 135， 136-139（2000）.]

第二， 遵循合作共治。習近平主席在第二屆世界互聯網大會上提出構建網絡空間命運共同體的倡議，指出網絡空間命運共同體要以促進網絡共同繁榮、推動全球數字經濟發展、構建各方普遍接受的網絡空間國際規則為目標，以堅持多邊參與、反映大多數國家意愿和利益為基礎。[ 參見《習近平出席第二屆世界互聯網大會開幕式并發表主旨演講》，載人民網2015年12月17日，http：//cpc.people.com.cn/n1/2015/1217/c64094-27938940.html。]我國的數據主權發展戰略和規則建設，作為網絡空間治理的重要組成部分，需要堅持網絡空間命運共同體的基本理念和重要內涵，以開放平等的姿態參與到國際社會共同治理中去。對網絡數據的規制更需要多國的共同合作，數據治理合作需要實現權利與義務相統一，網絡數據技術相對發達的國家可以承擔更多的責任和義務來完善數據的國際規制，且有義務幫助數據水平落后的國家完善數據治理。同時，網絡數據的安全性問題日益凸顯，數據安全關乎國家利益、公共利益和公民利益，網絡數據國際合作是各國的共同需求，具有重要的意義。[ 參見張新寶：《論網絡信息安全合作的國際規則制定》，載《中州學刊》2013年第10期，第58頁。]人類命運共同體理念是對馬克思主義共同體學說的發展，也是對國際法依賴的社會基礎的再認識，是將中國文化融入全球治理的重要舉措。[ 參見張輝：《人類命運共同體：國際法社會基礎理論的當代發展》，載《中國社會科學》2018年第5期，第55頁。]數據主權規則構建需要堅持以人類命運共同體理念為指導的合作共治。

（二）數據主權規則的構建之策

我國基本的數據主權規則最初體現在《網絡安全法》第37條中，其核心內容包含兩個方面：其一，關鍵信息基礎設施的運營者在我國境內收集的個人信息、重要數據應儲存在我國境內;其二，數據向境外傳輸，需要進行安全評估。[ 參見《中華人民共和國網絡安全法》第37條。]正在審議的《數據安全法（草案）》第三章“數據安全制度”也集中體現了我國的數據主權規則，主要從分級分類保護、數據安全風險評估、報告、信息共享、監測預警機制、應急處置機制、安全審查制度、出口管制、反制措施等方面進行制度建設。但是我國數據主權規則仍存在著一些亟待解決的問題，如缺乏以個人數據和國家數據保護為類別的分類治理機制，未對商業數據跨境傳輸進行高水平治理，對“數據自由”前提下的長臂管轄規制不足等。為此，我國可以汲取歐盟與美國數據主權規則建設的經驗，完善符合我國國情及國家利益的數據主權規則。

第一，構建個人數據和國家數據的分類治理規則。數據分類治理的重點之一，就是要根據數據的不同特點和用途對個人數據與國家數據設置不同的治理模式。雖然個人數據在大數據時代具有明顯的復合性，個人數據在經過處理后可能用于國家層面的服務和應用，但是這不意味著個人數據等同于國家數據。從個人權利保障角度和現實生活需求出發，有必要對個人數據進行不同于國家數據的制度安排。[ 個人數據信息保護的規則既需要權利義務之間的平衡，又需要個人數據保護的權利與其他權利之間的平衡。參見張文亮：《個人數據保護立法的要義與進路》，載《江西社會科學》2018年第6期，第173頁。]當然，大數據時代的個人數據存在不同于以往的特點，傳統民法理論中私人領域與公共領域的對立在這里逐漸模糊，個人數據的物理邊界和公私邊界不再嚴格，數據生產本身就具有共享性，這也直接影響了個人數據治理規則的完善。個人數據治理從理念上需要從個人控制轉到社會控制，個人數據在一定程度上是社會的共同資源，所以國家需要承擔起個人數據保護的責任。先肯定社會控制個人數據的理念，事后再進行司法救濟，即由法院裁判是否侵犯個人數據，有效地平衡了個人利益與社會公益保護，有利于中國的個人數據得到有效保護。[ 參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018年第3期，第97-100頁。]另外，目前我國的個人數據保護亟須精細化管理，盡管《中華人民共和國民法典》第4編第6章“隱私權和個人信息保護”對于自然人個人信息的保護和處理列明了條件和情形，規定了自然人的權利、信息處理者以及國家機關和工作人員的義務，但仍缺乏系統化、具體化制度設計，同時還存在重責任追究輕綜合治理的問題，需要盡快出臺《個人信息保護法》予以彌補。一方面，我國需要強化個人數據保護的基本價值觀念，鼓勵各類主體積極主動維護個人數據安全;另一方面，需要建立起對個人數據保護的懲治威懾機制，建立起公開透明的個人數據處理機制，建立多層次、高標準、寬嚴相濟的治理和處罰機制，而非簡單地將違反國家數據安全的處罰措施移植到侵犯個人數據安全的行為上。[ 參見洪延青：《“以管理為基礎的規制”——對網絡運營者安全保護義務的重構》，載《環球法律評論》2016年第4期，第20-40頁。]

第二，完善商業數據跨境流動的規則。商業數據的跨境流動安全對商業主體本身有著重要意義，同時，部分商業數據與個人數據、國家數據保護密切相關。目前，商業數據跨境流動的安全防范在我國《網絡安全法》和《數據安全法（草案）》中較少涉及，缺乏深入和系統的規制。因此，我國有必要盡快加強針對商業數據跨境流動的規制：針對與個人數據、國家數據安全相關的商業數據，直接納入個人數據或國家數據保護規則范疇;若商業數據跨境流動與個人數據和國家數據保護無關，則建立專門的安全評估規則。[ 參見曹博：《跨境數據傳輸的立法模式與完善路徑——從〈網絡安全法〉第37條切入》，載《西南民族大學學報（人文社會科學版）》2018年第9期，第99頁。]

第三，提前阻斷“數據自由”名義下的長臂管轄。無論是美國的《云法案》還是歐盟的《通用數據保護條例》，都存在借“數據自由”之名行長臂管轄之實，將數據管轄權延伸至域外，形成挑戰他國數據主權的長臂管轄。歐美的長臂管轄沒有充分的國際法基礎，又存在對公民隱私、企業管理、國家數據主權的潛在威脅和侵犯，有必要通過立法對長臂管轄進行阻斷。一方面，在立法理念上，堅持“存儲地模式”，將虛擬空間附著于物理空間，以傳統屬地原則確定管轄邊界。同時，宜設定必要的例外情形，諸如數據存儲位置不確定而導致的域外適用等，也為他國侵犯我國的數據主權提供反制空間。另一方面，從立法源頭上否認歐美等國長臂管轄條款的效力，并禁止中國企業和個人遵從損害中國合法權益的裁判，更進一步為由于長臂管轄受損失的企業提供救濟渠道和途徑。

第四，推動數據主權國際合作規則建設。歐盟與美國在個人數據領域從“安全港”制度到“隱私護盾”制度的變遷，都體現了雙邊的數據規則安排。其中，不僅有共同監督、審核數據保護制度執行的體系，也有數據保護的爭端解決合作機制。我國目前并沒有對如何進行雙邊、區域或多邊數據合作形成具體規則和方案，但是，構建網絡空間命運共同體、促進網絡規則構建的開放合作，是我國推進全球互聯網治理體系變革的基本原則。[ 參見《習近平“四項原則”“五點主張”成全球共識》，載中華人民共和國國家互聯網信息辦公室官網2016年12月29日，http：//www.cac.gov.cn/2016-12/29/c_1120209665.htm。]因此，我國可借鑒歐盟數據規則的合作模式，完善符合我國特點的數據主權規則。可以先從雙邊或區域著手，構建數據主權規則的合作機制，從而為數據主權規則的多邊建設提出中國方案。在推動國際規則建設的過程中，需要把握以下原則：數據保護是數據自由的前提和基礎，數據保護體系為數據自由流動保駕護航;數據自由流動是數據的價值所在和數據保護的目標。

結 語

數據主權是國家主權在網絡空間的核心表現，數據主權主要包括數據管理權和數據控制權。隨著云計算、大數據等新興技術的發展，數據已經成為經濟、國防等領域國家重要的基礎性戰略資源。各國在數據領域的競爭日趨激烈。數據主權事關國家總體安全，是國家的核心利益之一。[ 參見《數字化時代，亟須捍衛數據主權》，載中華人民共和國國防部官網2018年3月1日，http：//www.mod.gov.cn/jmsd/2018-03/01/content_4805627.htm。]盡管數據存在無形性、移動性、分散性等特點，但是并非不可規制。歐盟以數據保護為核心制定其數據主權規則，尤其強調對個人數據主權的保護。“隱私護盾”制度在美國與歐盟之間建立起了有效的數據保護監管機制和聯合審查機制，強化了數據保護的透明度規則，并且建立起了有效的數據保護爭議解決機制。《通用數據保護條例》賦予個人對數據使用的“同意權”和“被遺忘權”，進一步加強了數據責任的分配，為違反數據主權規則的主體責任承擔提供了更為科學的依據。

美國以數據自由為核心構建數據主權規則。從實質來說，是針對美國調取域外數據的數據自由，但對域外國家調取美國數據仍然采取了較為嚴苛的數據保護規則。《云法案》從原則上確認了美國調取域外數據的合法性，給其他國家的數據主權造成了嚴重威脅。《云法案》對域外國家調取美國數據設置了極為煩瑣的條件及要求，且給予美國法院過多自由裁量權，客觀上形成了不平等的數據主權規則。

中國的數據主權規則應以主權獨立、平等、合作為指導，無論國家強弱，無論其網絡數據技術水平的差異，都平等地享有數據主權。同時，中國的數據主權規則還需要以網絡空間命運共同體理念為指導，以合作共治為原則，促進全球數字經濟發展，構建各方普遍接受的數據主權國際合作規則。歐盟與美國的數據主權規則可以給予中國提供有益的借鑒。中國應該積極發掘符合數據發展情況和國家利益的內容，提出具有中國特色的數據主權國際合作方案。

The Building Models of Data Sovereignty Rules and the Enlightment：

On the Rule Building of Chinas Data Sovereignty

ZHANG Xiao-jun

（Southwest University of Political Science and Law， Chongqing 401120， China）

Abstract：

Data is an important national strategic resource in the era of big data. Data sovereignty is the core manifestation of national sovereignty in cyberspace. It is related to data security， digital divide and personal privacy. It is where national security and development interests lie. In recent years， the European Union and the United States have continued to build rules on data sovereignty. With data protection at its core， the European Union has issued the "General Data Protection Regulations" to re-establish the rules and framework for handling data protection with the United States and further strengthen the protection of data sovereignty. The United States， represented by the "Clarifying Lawful Overseas Use of Data Act"， established data sovereignty rules with free flow of data as the core， but the essence is an extension of unilateralism and hegemonism on the issue of data sovereignty. Based on the differences in data sovereignty rules between the European Union and the United States， China should follow the principles of sovereign independence， equality， cooperation and co-governance， take the concept of a community of shared future in cyberspace as the guide to building data sovereignty rules that meet Chinas development requirements， and take into account the interests of all countries， as well as promote the comprehensive and healthy development of the global digital economy.

Key Words：? data sovereignty; data security; data protection; free flow of data

本文責任編輯：邵 海