數(shù)據(jù)主義視角下美國跨境數(shù)據(jù)政策演進及我國的應對

丁 瑋

(哈爾濱工程大學 人文社會科學學院，黑龍江 哈爾濱 150001)

在全球信息化時代，海量數(shù)據(jù)的跨境存儲、傳輸、分析處理，亦成為難以阻擋的發(fā)展趨勢。在數(shù)據(jù)全球化的時代，數(shù)據(jù)跨境流動中的個人數(shù)據(jù)和信息保護，成為各國立法關注的重要問題。本文以數(shù)據(jù)主義為研究背景，分析數(shù)據(jù)主義時代的基本問題，溯源數(shù)據(jù)全球化下美國跨境數(shù)據(jù)政策的演進和影響，探討我國應對數(shù)據(jù)主義時代跨境數(shù)據(jù)安全和個人信息保護的政策問題。

一、數(shù)據(jù)主義時代的問題

(一)數(shù)據(jù)中心主義

“數(shù)據(jù)”或更確切地說“大數(shù)據(jù)”已經(jīng)定義了當今的社會。正如大衛(wèi)·比爾(David Beer)在《數(shù)據(jù)凝視：資本主義、權力和感知力》[1]中所描述的，我們永遠處于“數(shù)據(jù)凝視”(Data Gaze)之下，該“數(shù)據(jù)凝視”提取、分析和預測關鍵變量，這些變量被用來以越來越細化的方式定義我們的世界，直至個人。

無論批評、擔心抑或歌頌，我們正身處在以數(shù)據(jù)為驅(qū)動的(data-driven)時代，也可以說是數(shù)據(jù)中心主義(data centrism)、數(shù)據(jù)資本主義(data capitalism)為特征的時代。本文采取了較為中性的概念——數(shù)據(jù)中心主義。數(shù)據(jù)本身可以使我們“成為更好的人，更健康，更高效，更擅長聯(lián)系、互動和選擇”，數(shù)據(jù)具有“塑造我們的績效水平，我們的能力”的潛力。數(shù)據(jù)打造了信譽度，滿足了我們作為客戶的需求等等。顯然，這種愿景無處不在，數(shù)據(jù)不僅改善了從個人生活方式到國民經(jīng)濟以及公共行政管理的每個方面，而且改善了人本身。比爾甚至用“信念”一詞來形容對這一新興技術的態(tài)度，即所有答案、解決方案乃至生命的最終含義都在于數(shù)據(jù)。而且，這種信念似乎也是自我強化的，積累的數(shù)據(jù)越多，尋找新的工作和解決新問題的壓力就越大。

在新的數(shù)據(jù)秩序中，由數(shù)據(jù)驅(qū)動的公司實現(xiàn)了強大的人機結合，可進行快速的實時決策。沒有專門知識的人可以通過訪問數(shù)據(jù)就能夠獲得并運用相關領域的專門知識。超大體量和超多樣性的全景式大數(shù)據(jù)分析能夠提供具有啟發(fā)意義的準確方案和見解，并具有預測未發(fā)生事件的潛力，從根本上改變了管理和決策的能力。在此，權力的真正擁有者是數(shù)據(jù)解釋者。(1)參見網(wǎng)絡書評Book Review: The Data Gaze: Capitalism, Power and Perception by David Beer，https://blogs.lse.ac.uk/impactofsocialsciences/2019/02/03/book-review-the-data-gaze-capitalism-power-and-perception-by-david-beer/。

數(shù)據(jù)分析師和數(shù)據(jù)工程師理清混亂的數(shù)據(jù)，解決問題，形成新的知識，分析社會狀況，從而“將虛擬的數(shù)據(jù)轉(zhuǎn)化為有形的東西”。因此，正是這些人才真正具有代理權，可以對數(shù)據(jù)進行分類和解釋，即使自動化也正在滲透到他們的領域。而且，由于數(shù)據(jù)注視不僅是監(jiān)視，而且是自我監(jiān)視，因此即使這些活躍的代理人也無法在不斷的“追求完美見解和越來越細化的數(shù)據(jù)社會”中逃脫其審查，因為數(shù)據(jù)注視分析一切可分析的事物，包括他們自身。[2]

幾個世紀以來，價格一直是使市場運轉(zhuǎn)的潤滑劑，有助于克服人為的缺陷。盡管我們認識到無法同時處理多種信息來源，但價格和金錢使我們能夠在復雜的市場中看清方向。可是，大數(shù)據(jù)以及通過分析和機器學習對其進行的智能應用已經(jīng)破壞了明智的消費者的選擇途徑。當任何具有互聯(lián)網(wǎng)訪問權限的消費者可以使用智能工具將其需求和期望與合適的產(chǎn)品相匹配時，價格就不再那么重要，不再是主要的決定因素。數(shù)據(jù)是新的市場“最有價值球員”(MVP)。實際上，它遠不只是“新的石油”。數(shù)據(jù)不是等待改進和使用的資源，而是將要改變我們的經(jīng)濟及其機構的未知要素。[3]從某種意義上說，像Facebook和Amazon這樣的超級巨型公司的統(tǒng)治是工業(yè)革命以來最大的政治挑戰(zhàn)。最終的悖論和機遇就在這里：超級巨型公司保存了大部分數(shù)據(jù)，而全世界收集的所有數(shù)據(jù)中有85%仍未被使用。權力和投資機會不僅存在于數(shù)據(jù)本身，而且最終取決于市場參與者如何明智地使用數(shù)據(jù)，從而重新定義資本和資本主義。

(二)數(shù)據(jù)帝國主義/殖民主義與數(shù)據(jù)保護主義的興起

早在1978年，約翰·艾格(John M. Eger)就預言了“跨境數(shù)據(jù)流”問題。在彼時，計算機與通信技術結合在一起，是“跨境數(shù)據(jù)流”爭議的核心。 計算機通常被稱為信息時代的象征，就像更早時代的蒸汽機一樣，這些發(fā)明不僅改變了工作的性質(zhì)，而且改變了生活模式。[4](P.1055)數(shù)據(jù)流動是信息時代的基本特征。數(shù)據(jù)在國際范圍內(nèi)的自由傳輸對于跨國企業(yè)的業(yè)務交易和科學文化信息的共享是必不可少的。然而，頗具諷刺意味的是，各國以保護涉及隱私、安全和跨越國界信息的機密性為主要名義的政策和立法為數(shù)據(jù)跨境流動筑起堤防。(2)在20世紀70年代，已有18個國家制定了隱私權或“數(shù)據(jù)保護”法律。其他發(fā)達國家和發(fā)展中國家在安全方面也有類似的或者正考慮制定的數(shù)據(jù)保護法律。加拿大、法國、德國、挪威、瑞典、丹麥和美國制定了隱私法。奧地利和比利時的議會制定了隱私權立法。荷蘭和西班牙也起草了類似的法律。芬蘭、愛爾蘭、意大利、日本、新西蘭、瑞士和英國正在研究起草類似法律。轉(zhuǎn)引自John M. Eger, “Emerging Restrictions on Transnational Data Flows: Privacy Protection or Non-Tariff Trade Barriers”, Law and Policy in International Business, 10(4), 1978, p. 1055。這些政策法律的適用、解釋和執(zhí)行可能實際上切斷了數(shù)據(jù)流，對跨國經(jīng)濟、社會、文化活動以及“信息產(chǎn)品”的輸入輸出，帶來深遠的影響。

數(shù)據(jù)跨境流通的根本問題除了世界貿(mào)易之外，還包括技術轉(zhuǎn)讓、外國援助和其他與國內(nèi)經(jīng)濟、社會和政治政策有關的重要問題。“數(shù)據(jù)帝國主義”是許多發(fā)展中或者欠發(fā)達國家關注的國家主權與生存問題。與此相關的另一個概念是“數(shù)據(jù)殖民主義”。(3)印度法律和IT部長Ravi Shankar Prasad表示，印度需要認真對待隱私，而信息隱私也是不可或缺的，這意味著一個人必須控制其數(shù)據(jù)及其商業(yè)用途，數(shù)據(jù)帝國主義將不被接受。參見Data Imperialism, https://www.jatinverma.org/data-imperialism。殖民主義是一種國家政策，其目的通常是在經(jīng)濟上占主導地位，以擴大或保留其對其他人民或領土的權力。帝國主義是一種政策或意識形態(tài)，通常是通過軍事力量或獲得對其他地區(qū)的政治和經(jīng)濟控制來實現(xiàn)國家對外國的統(tǒng)治。如果說殖民主義是指一個國家對另一個國家進行實際控制的過程，那么帝國主義是指政治上和貨幣上的統(tǒng)治，無論是正式的還是非正式的。因此，數(shù)據(jù)殖民主義被定義為國家和跨國公司對數(shù)據(jù)所有權的激烈競爭，這一過程不僅保留了我們的個人信息，還跟蹤了我們的日常工作、習慣、行為和溝通。根據(jù)這些定義，在信息時代，我們不能僅憑其實際存在，如地理范圍和人口等來定義國家。我們都生活在Facebook、Twitter、Instagram、Google、Airbnb、Uber和數(shù)百種其他移動應用程序構成的虛擬邊界內(nèi)。以Facebook為例，盡管它不是一個國家，但是這家美國公司擁有的數(shù)據(jù)包括每月超過20億活躍用戶的個人信息。從這個意義上講，這個最受歡迎的社交網(wǎng)站擁有了世界范圍內(nèi)的為數(shù)眾多的“殖民地”。與石油不同，數(shù)據(jù)不是自然界發(fā)現(xiàn)的物質(zhì)，數(shù)據(jù)的使用必須適當。社會數(shù)據(jù)的收集和處理通過我們稱為數(shù)據(jù)關系(data relations)的過程得以展開，該過程可確保將“自然”的日常生活轉(zhuǎn)換為數(shù)據(jù)流，基于不斷跟蹤的新社會秩序，為社會歧視和行為影響提供了前所未有的新機會。殖民主義的歷史有助于理解這一過程，數(shù)據(jù)關系形成了一種新的數(shù)據(jù)殖民主義形式，通過數(shù)據(jù)規(guī)制了對人類的剝削，就像歷史上的殖民主義占領領土和資源并統(tǒng)治人類以牟取暴利一樣，數(shù)據(jù)殖民主義為資本主義進入一個新的階段鋪平了道路。(4)這里的“殖民主義”不僅僅用作隱喻，也不是對領土殖民主義歷史形式的呼應或簡單延續(xù)，而是指一種21世紀獨有的殖民主義新形式。Couldry和Mejias認為，數(shù)據(jù)殖民主義將殖民主義的掠奪性歷史與抽象的計算方法相結合，理解大數(shù)據(jù)就意味著理解資本主義當前對這種新型連結的依賴。正如長期的歷史殖民主義提供了工業(yè)資本主義出現(xiàn)的必要前提條件，隨著時間的流逝，我們可以期待數(shù)據(jù)殖民主義將為資本主義進入新階段提供前提。參見Nick Couldry, Ulises A. Mejias, “Data Colonialism: Rethinking Big Data’s Relation to the Contemporary Subject”, Television & New Media, Vol. 20(4),2019, pp. 336-349.

長期以來對美國在信息技術領域的領先地位感到沮喪的歐洲工業(yè)化國家，轉(zhuǎn)向保護主義的新形式——制定和實施數(shù)據(jù)保護法。信息即是權力，存儲和處理數(shù)據(jù)的能力賦予一國在政治和技術上相較于他國的優(yōu)勢，反過來可能會導致他國跨國數(shù)據(jù)流的國家主權的喪失。盡管并非其初衷，許多歐洲國家和地區(qū)正在以各種數(shù)據(jù)保護法努力保護“國家主權”免受這種威脅。第一個以隱私權名義限制信息流通的是瑞典，由于發(fā)現(xiàn)瑞典公民的資料被瑞典以外的2000多個數(shù)據(jù)系統(tǒng)存儲和處理，瑞典于1973年頒布了數(shù)據(jù)法案(5)The Swedish Data Bank Statute (1973: 289) of May 11, 1973.。根據(jù)該法，任何傳輸?shù)饺鸬湟酝獾臄?shù)據(jù)文件和個人數(shù)據(jù)必須經(jīng)過數(shù)據(jù)檢查委員會批準。此后，德國、法國以及加拿大等國相繼頒布了數(shù)據(jù)保護方面的法律法規(guī)。(6)The German Act of January 27, 1977, titled Law for the Protection of Personal Data Against Misuse in Data Processing, became effective in January 1978; The French Data Protection Law of 1978, Data Processing, Files and Freedom Act; Canadian Human Rights Act, 1976.以此為起點，經(jīng)過40多年的發(fā)展，歐洲數(shù)據(jù)保護主義的路線圖在《歐盟數(shù)據(jù)保護條例》(GDPR)上達到了一個新的高度。另一方面，發(fā)展中國家不甚關心作為商品或具有財富價值的數(shù)據(jù)。如前所述，他們的主要關注點是文化泛濫、外國媒體報道失衡以及發(fā)達國家不愿意分享其信息產(chǎn)品和技術的數(shù)據(jù)帝國主義/數(shù)據(jù)殖民主義憂慮。發(fā)展中國家除了施行數(shù)據(jù)保護的政策法律以外，高科技產(chǎn)業(yè)國有化也是其數(shù)據(jù)保護主義的一種方式。只要世界上還存在數(shù)據(jù)技術洼地(7)“洼地”相對于“高地”，是指近似封閉的比周圍地面低洼的地形。本文用“數(shù)據(jù)技術洼地”指代在信息數(shù)據(jù)技術領域處于落后或劣勢的國家或地區(qū)。，數(shù)據(jù)保護主義就會大行其道。即便像美國這樣的信息和數(shù)據(jù)技術的領頭羊，也存在類似的顧慮和隱憂。

二、美國跨境數(shù)據(jù)政策的演進

(一)早期美國跨境數(shù)據(jù)政策

20世紀70年代，美國的政策決策者和政治團體尚未充分認識到新興的跨境數(shù)據(jù)壁壘的重要性及其對數(shù)據(jù)存儲、傳輸、利用等的潛在影響。同樣，美國也很少關注綜合性的國家層面的信息政策需要。相反地，美國將該領域的政策下放給多個政府機構，而這些機構缺乏足夠的協(xié)調(diào)與合作。尼克松政府時期成立的電信政策辦公室(OTP)是早期的產(chǎn)物。國際信息政策的權限在國務院國際電信政策辦公室和環(huán)境與科學事務(OES)辦公室之間劃分。這些問題的管理權力也可以由國家安全委員會、中情局、新成立的國際傳播署(International Communications Agency)以及國務院、商務部、財政部和國防部共同行使。

作為計算機、互聯(lián)網(wǎng)與信息技術的發(fā)源地，美國優(yōu)先考慮將國家通訊和信息政策與國內(nèi)自由市場競爭的經(jīng)濟政策相結合，其次要兼顧版權和隱私權保護。崇尚自由企業(yè)系統(tǒng)的資源分配，以及消費者與企業(yè)間的關系由市場力量主導。與非市場經(jīng)濟國家相比，美國依靠間接的而非直接干預的政策手段。該政策促進了科技企業(yè)的快速成長以及數(shù)據(jù)與信息的跨境自由流動。然而，該跨境數(shù)據(jù)政策的一個顯著的負面后果是，美國以外的國家開始一個接著一個地制定政策和法律，試圖控制數(shù)據(jù)的處理、存儲，轉(zhuǎn)移和使用。

作為美國跨境數(shù)據(jù)政策發(fā)展的重要步驟，1975年跨國企業(yè)咨詢委員會和1978年國際數(shù)據(jù)處理小組委員會相繼成立。眾議院國內(nèi)政策委員會制定了總統(tǒng)審查備忘錄，涉及在美國和國外適用的隱私法，以及與關注國家安全的重要法律的關系。與歐洲的意識形態(tài)形成對比的，是美國的隱私保護方法的實用主義。 美國對于隱私保護的第一次努力是召開濫用信用信息的聽證會，產(chǎn)生了《公平信用報告法》。(8)Fair Credit Reporting Act, 15 U.S.C. §§ 168 la-1 681t (1976).1974年《隱私法》(9)Privacy Act of 1974.僅適用于政府或公共部門。依據(jù)該法成立的隱私保護研究委員會，其目的是審查根據(jù)該法案提供保護的有效性，專門檢查私營部門的記錄保存方法，“以便確定有效的個人保護標準和程序信息”，并對適用于私營部門的原則或范圍提出建議。

歐洲對數(shù)據(jù)保護采取更寬泛的看法，并尋求人們免受公共機構和私人的侵害。與大多數(shù)歐洲國家不同，美國不采用“綜合”立法方法，而采取逐案檢驗的方法。美國承認個人、公共機構和私營部門的區(qū)別。特別是隱私保護研究委員會分析私營部門的特定利益，例如在消費者信貸、儲蓄、保險和就業(yè)中，根據(jù)個人在每個類別中個人信息的相對能力而采取不同的處理方式。顯然，美國在跨境數(shù)據(jù)限制和隱私保護政策方面落后于歐洲國家，其對隱私立法的態(tài)度已經(jīng)使它容易受到新興的跨境數(shù)據(jù)的影響。1974年的《隱私法》僅針對公共部門，不能保護個人免受私人公司的侵害。此外，該法律不適用于非美國公民的個人。某些歐洲國家禁止獲取個人信息，不是因為相關法律禁止轉(zhuǎn)讓，而是因為美國沒有保護外國國民信息的互惠立法。美國隱私保護立法的不足導致其面臨著跨境數(shù)據(jù)流問題，美國私人實體實際上可能被數(shù)據(jù)壁壘包圍，并被隔離在跨境數(shù)據(jù)流之外。[5](P.20)

(二)《存儲通信法》(SCA)對第四修正案的擴展

The Stored Communications Act(SCA)(10)Stored Communication Act (SCA), codified at 18 USC Chapter 121§§2701-2712). 它是針對1986年《電子通信隱私法》(ECPA)的Title II制定的一項法律，涉及第三方互聯(lián)網(wǎng)服務提供商(ISP)自愿和強制披露的“存儲的有線和電子通信及交易記錄”。頒布于1986年，該法案規(guī)范了兩種類型的服務提供商電子通信服務(ECS)提供者和遠程計算服務(RCS)提供者。強制ECS提供商披露超過180天的存儲內(nèi)容或強迫RCS提供商披露內(nèi)容，政府可以采取三種強制措施：授權令、傳票加通知書或第2703(d)條命令(“超級”搜查令)和通知。在這種要求下，SCA限制了政府強迫互聯(lián)網(wǎng)服務提供商(ISP)披露客戶信息的能力，以及ISP自愿向政府披露信息的能力。

美國憲法第四修正案保護個人免受“不合理的搜查和沒收”。根據(jù)Katz V.UnitedState的說法(11)389 U.S. 347 (1967).，第四修正案適用于被社會承認的個人對“隱私實際的或主觀的期待”。然而，法院在States V. Miller(12)425 U.S. 435 (1976).案中確立了今天仍然適用的第三方原則，即個人自愿將其擁有的信息透露給第三方，則不享有合理的隱私期待。SCA將電子記錄的隱私保護擴展到類似于第四修正案規(guī)定的內(nèi)容。微軟愛爾蘭公司正是基于SCA提出的對抗政府的隱私保護主張。

(三)United States v. Microsoft Corporation (Microsoft Ireland) (美國訴微軟公司案)

2013年，紐約的執(zhí)法人員根據(jù)《存儲通信法案》(SCA)，要求微軟披露一位被懷疑涉嫌販毒的用戶的電子郵件賬戶信息。微軟遵守了該指令涉及的存儲在美國的數(shù)據(jù)，但聲明其余所請求的數(shù)據(jù)存儲在愛爾蘭，該數(shù)據(jù)未包括在指令的參數(shù)之內(nèi)。微軟隨后申請撤銷指令。地方法院法官駁回了撤銷的動議。第二巡回法院推翻了地方法院的裁決，認為根據(jù)SCA的語言和目的，其調(diào)整的內(nèi)容并未擴展到海外數(shù)據(jù)。美國政府上訴到最高法院，此即為United States v. Microsoft Corporation(Microsoft Ireland)(13)United States v. Microsoft Corp., 584 U.S., 138 S. Ct. 1186 (2018).(美國訴微軟公司案)。微軟取消搜查令的嘗試，將一直困擾立法者和學者多年的問題推到了最前沿，即在當今時代SCA如何適用于國際化數(shù)據(jù)存儲。

(四)CLOUD法案對SCA的修改

但是，今天大多數(shù)提供商都承擔這兩種功能。技術發(fā)展使SCA的實施變得復雜。就微軟公司的愛爾蘭訴訟而言，焦點問題是第2703(d)號命令是授權令、傳票還是混合形式，最高法院可以根據(jù)不同法理和憲法解釋作出關于域外適用的不同結論。為了解決美國對存儲于境外的數(shù)據(jù)行使法律執(zhí)行權，國會通過了The Clarifying Lawful Overseas Use of Data (CLOUD)Act(14)《澄清域外合法使用數(shù)據(jù)法》，The Clarifying Lawful Overseas Use of Data (CLOUD) Act, 該法案于2018年3月23日簽署成為法律。，通過修改SCA并特別授權政府實體強迫美國的提供商移交存儲在另一個國家的數(shù)據(jù)。

從2014年開始，參議員Orrin Hatch多次提議Law Enforcement Access to Data Stored Abroad(LEADS)法案，該法案以將SCA擴展到在國外存儲的數(shù)據(jù)的方式解決美國訴微軟一案中的問題。奧巴馬政府在2016年提出了類似的立法。[6](PP.487-488)但是， 無論是LEADS法案還是其后繼CLOUD法案(2018年2月提交眾議院和參議院)，都沒有能夠在國會引起關注，或是召開聽證會。然而，一旦微軟案在最高法院進行口頭辯論，SCA改革就無法停止了。為了解決微軟案的問題，CLOUD法案修改了SCA，根據(jù)SCA的指令即可強制披露由美國公司所持有的海外數(shù)據(jù)。在政府和微軟雙方的同意下，最高法院根據(jù)該法提交了新的數(shù)據(jù)指令，使該案未決，并撤銷了第二巡回法院的裁決。

三、CLOUD法案的爭議及影響

(一)爭議

美國國會于2018年3月通過的CLOUD法案包含兩部分內(nèi)容。首先，該法案授權美國與其他符合某些標準(例如尊重法治)的國家達成協(xié)議，解決法律沖突問題。為了調(diào)查嚴重犯罪，CLOUD法案協(xié)議可以用于取消每個國家/地區(qū)法律的限制。其次，CLOUD法案明確美國可以要求一個國家/地區(qū)的管轄范圍內(nèi)的公司提供其控制的數(shù)據(jù)，無論該數(shù)據(jù)在何時何處存儲。

根據(jù)《法案白皮書》(15)“Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act”, White Paper, April 2019. www.justice.gov/CLOUDAct.的介紹和解釋，CLOUD法案的目的是使外國和美國的調(diào)查人員獲得服務提供商持有的電子信息的訪問權，該電子信息對于各國調(diào)查恐怖主義、暴力犯罪、兒童性剝削和網(wǎng)絡犯罪等嚴重犯罪至關重要。對于管轄權及法律沖突問題，CLOUD法案協(xié)議的任何合作伙伴都同意在某些情況下刪除兩國都認為合適的限制提供商遵守協(xié)議的法律規(guī)定。因而，簽署了CLOUD法案協(xié)議的國家能夠使用熟悉的國內(nèi)法律程序授權訪問數(shù)據(jù)，并確保另一方的法律不會成為遵守其合法秩序的障礙。根據(jù)協(xié)議提出的請求，必須相互尊重兩國的利益。截至目前，美國分別與歐盟(16)“Joint US-EU Statement on Electronic Evidence Sharing Negotiation”, Department of Justice, Thursday, September 26, 2019. 從聯(lián)合聲明的標題、措辭與內(nèi)容上看，美國與歐盟和澳大利亞的談判存在較大差異，與歐盟的聯(lián)合聲明在標題上并未體現(xiàn)“ClOUD法案”或者“協(xié)議”字樣，且聲明內(nèi)容簡短。可見，美國與歐盟在CLOUD法案談判中存在嚴重分歧，未來合作執(zhí)行該法案難度較大。、澳大利亞(17)“Joint Statement Announcing on United State and Australian Negotiation of a CLOUD Act Agreement by U.S. Attorney General William Barr and Minister for Home Affairs Peter Dutton”, Department of Justice, Monday, October 7, 2019.進行了CLOUD法案談判，并發(fā)表了聯(lián)合聲明。英國是第一個與美國正式簽署《打擊網(wǎng)絡犯罪和恐怖分子跨界訪問數(shù)據(jù)協(xié)議》(18)“U.S. and U.K. Sign Landmark Cross-Border Data Access Agreement to Combat Criminals and Terrorists Online”, Department of Justice, Thursday, October 3, 2019. 美國與英國實施CLOUD協(xié)議需要解決的新問題，包括可能達成區(qū)域協(xié)議、執(zhí)行機制、管理模式、權力機構、人權標準以及問責制和審查等等。的國家。

美國國內(nèi)對CLOUD法案的反應不一。[7](P.613)美國政府、許多美國科技公司(19)新的《澄清域外合法使用數(shù)據(jù)法》反映了越來越多的贊成保護全球互聯(lián)網(wǎng)用戶，并為跨境治理提供訪問數(shù)據(jù)的邏輯解決方案。引入兩黨立法是朝著加強保護個人隱私權，減少國際法律沖突，使我們所有人向更加安全的方向前進。Joint letter from Apple, Facebook, Google, Microsoft and Oath.和一些法律學者表示支持法案。支持者認為這是現(xiàn)代刑事調(diào)查所必需的，對先前關于跨境數(shù)據(jù)可訪問性的模糊標準問題做了很好的回答。隨著行政協(xié)議的推進，所有有關方面將有機會審查提議的協(xié)議，并就該法案的隱私和人權要求是否得到滿足提供意見。行政協(xié)議還為美國提供了一種評估外國人身份的新機制，并確保政府對數(shù)據(jù)的要求符合該法案的隱私保護標準。因此，該法案為正在進行的政府獲取數(shù)據(jù)的權利標準的公開辯論奠定了基礎。它提供了促進隱私與改善全球伙伴國家的人權實踐的機會。[8]另一方面，公民自由團體和隱私提倡者認為該立法允許外國政府根據(jù)不符合美國法律的標準竊聽美國本土；(20)“Allow foreign governments to wiretap on U.S. soil under standards that do not comply with U.S. law”.參見《關于CLOUD法案的聯(lián)署信》(COALITION LETTER ON CLOUD ACT)，https://www.aclu.org/letter/coalition-letter-cloud-act。賦予行政部門在沒有國會同意的情況下批準訂立外國協(xié)議的權力；可能促進外國政府獲取用于維護人權的信息，如虐待、酷刑等；允許外國政府獲得可能不符合憲法標準的美國個人的信息。該法將過多的權力交到行政部門手中，而缺少防止濫用的機制。缺乏對在外國的美國人的言論自由和隱私保護，侵犯了基本人權。(21)COALITION LETTER ON CLOUD ACT, Advocacy for Principled Action in Government, American Civil Liberties Union, Amnesty International USA, Asian American Legal Defense and Education Fund (AALDEF), Campaign for Liberty Center for Democracy & Technology, Center Link: The Community of LGBT Centers, Constitutional Alliance Defending Rights & Dissent, Demand Progress Action, Electronic Frontier Foundation, Equality California, Free Press Action Fund, Government Accountability Project, Government Information Watch, Human Rights Watch Liberty Coalition, National Association of Criminal Defense Lawyers, National Black Justice Coalition, New America’s Open Technology Institute, OpenMedia, People For the American Way, Restore The Fourth. https://www.aclu.org/letter/coalition-letter-cloud-act.

(二)影響

CLOUD法案對國際社會產(chǎn)生了重大影響。如前文所述，澳大利亞政府支持該法案，并與美國簽署了聯(lián)合聲明，稱贊該法案保護個人的同時提高了數(shù)據(jù)執(zhí)法的效率和能力。然而，澳大利亞的積極反應與國際社會的普遍反應并不一致，尤其是歐盟成員國因CLOUD法案缺乏與通用數(shù)據(jù)保護條例(GDPR)的兼容性而強烈反對該法案。歐盟司法專員將該法案描述為“快速程序縮小了歐盟和美國潛在的兼容解決方案的空間。[9]法案被視為“不可阻擋的武器”，令美國“統(tǒng)治世界”，美國科技公司持有的數(shù)據(jù)將不再是安全的。[7](P.613)歐盟《通用數(shù)據(jù)保護條例》(GDPR)在CLOUD法案通過兩個月后正式生效，其宗旨是為歐盟成員國提供更加強大的個人數(shù)據(jù)隱私保護的法律框架。GDPR是一項具有約束力的法律，可在所有歐盟成員國中強制執(zhí)行。與其他隱私法規(guī)相比，GDPR給予歐盟公民控制、刪除其個人數(shù)據(jù)的權利，即使這些數(shù)據(jù)存儲在其他國家/地區(qū)。GDPR的另一項重要規(guī)定是禁止將個人數(shù)據(jù)以任何不符合GDPR的方式轉(zhuǎn)移至歐盟以外的國家/地區(qū)。GDPR框架下數(shù)據(jù)共享限制與CLOUD法案的要求之間存在潛在的法律沖突。

為了應對不受保障的外國監(jiān)視和加強地方機構的執(zhí)法活動，數(shù)據(jù)本地化的強制做法被合理化了。印度最近發(fā)布了一項指令，要求所有與在印度進行的金融交易有關的數(shù)據(jù)都必須存儲在印度本地的服務器上。 此外，印度議會也正在考慮一項法案，該法案要求在印度收集、共享或處理的所有數(shù)據(jù)都必須物理存儲在印度境內(nèi)。(22)Personal Data Protection Act, ch. 2 § 8, Acts of Parliament, 2018 (India).越南《網(wǎng)絡安全法》2019年1月1日生效，該法要求越南境內(nèi)的數(shù)據(jù)本地化，適用于通過越南互聯(lián)網(wǎng)提供服務的外國和國內(nèi)企業(yè)，參與收集、分析和處理的個人數(shù)據(jù)，以及越南用戶生成的數(shù)據(jù)。[10]

數(shù)據(jù)本地化的實際效果值得觀察和研究。數(shù)據(jù)監(jiān)視技術無需進行物理訪問即可進行，對數(shù)據(jù)濫用的國際不法行為的懲治也難以奏效。然而，數(shù)據(jù)本地化卻為本地執(zhí)法機構濫用數(shù)據(jù)隱私打開了大門。復制數(shù)據(jù)會增加數(shù)據(jù)存儲成本，并對國際貿(mào)易產(chǎn)生負面影響。此外，強制性的數(shù)據(jù)本地化與自由的互聯(lián)網(wǎng)思想背道而馳，導致互聯(lián)網(wǎng)的“巴爾干化”。亞洲國家強制數(shù)據(jù)本地化立法顯示，CLOUD法案并沒有實現(xiàn)訪問境外數(shù)據(jù)的立法目標，外國仍然不愿允許美國自由訪問其本地數(shù)據(jù)。(23)印度、越南、新加坡等國家紛紛制定數(shù)據(jù)和信息保護法，限制數(shù)據(jù)和信息的跨境傳輸。

四、CLOUD法案的主要問題

首先，法律沖突。服務提供商必須披露所有根據(jù)合法程序擁有、保管或控制的數(shù)據(jù)，無論數(shù)據(jù)的位置如何。《歐盟通用數(shù)據(jù)保護條例》(GDPR)對何時將歐盟持有的數(shù)據(jù)轉(zhuǎn)移出歐盟設置了許多限制，包括響應非歐盟國家/地區(qū)法院發(fā)布的指令。(24)《通用數(shù)據(jù)保護條例》第 48 條規(guī)定：“未經(jīng)歐盟授權的傳輸或者披露法院或法庭的任何判決以及第三國行政當局要求控制人或處理者轉(zhuǎn)讓或披露個人數(shù)據(jù)的任何決定，只有在以任何方式得到承認或強制執(zhí)行時，才能基于請求國與歐盟或成員國之間生效的國際協(xié)定，如司法協(xié)助條約，而不影響根據(jù)本章轉(zhuǎn)讓的其他理由。”GDPR第48條規(guī)定，只有基于“沒有偏見的國際協(xié)議，如司法互助條約，才允許數(shù)據(jù)的跨境轉(zhuǎn)移”。(25)GDPR, art. 48.鑒于沒有這樣的國際協(xié)議授權提供商響應美國的要求轉(zhuǎn)移歐盟持有的數(shù)據(jù)，他們需要根據(jù)歐盟數(shù)據(jù)法或者其他法理基礎進行跨境數(shù)據(jù)轉(zhuǎn)移。GDPR第49條中規(guī)定了兩種例外情況：“一是重要的和必要的公共利益；二是合法的數(shù)據(jù)控制者的利益不會被數(shù)據(jù)主體的利益所取代。”(26)GDPR, art. 49.否則數(shù)據(jù)控制者或提供者跨境轉(zhuǎn)移數(shù)據(jù)的行為即違反歐盟數(shù)據(jù)保護法。因此，法律沖突不可避免，只有美國與歐盟簽署雙邊協(xié)議才能消除各自數(shù)據(jù)法律中的障礙。

其次，訪問權限。法案的第二部分規(guī)定了外國政府訪問美國數(shù)據(jù)的內(nèi)容。SCA禁止美國的提供商向外國政府披露信息內(nèi)容，即使是調(diào)查與外國犯罪有關的外國公民。吊詭的是，CLOUD法案協(xié)議僅授權外國政府訪問位于美國境外的外國人的數(shù)據(jù)。如果外國政府要求訪問美國公民、合法永久居民以及其他位于美國境內(nèi)的人的數(shù)據(jù)，外國政府仍然必須繼續(xù)采用MLAT程序。(27)Mutual Legal Assistance Treaty(MLAT)(《司法互助條約》)。解決此類法律沖突問題一般通過制定“共同法律”，啟用”司法互助條約”或“協(xié)議”(“ MLAT”)。執(zhí)法機構可以根據(jù)該條約或協(xié)議請求外國幫助獲得數(shù)據(jù)。外國相關機構根據(jù)其國內(nèi)法律標準審核要求，并可以請求國內(nèi)法院依據(jù)司法程序作出裁決，外國執(zhí)法機構依據(jù)法院裁決將獲得的數(shù)據(jù)傳送給提出要求的政府。具體取決于相關協(xié)議國家和要求的復雜性，此過程須經(jīng)很多步驟和較長時間，對數(shù)據(jù)時代各國跨境司法互助和刑事調(diào)查提出了挑戰(zhàn)。很顯然，CLOUD法案對美國訪問外國數(shù)據(jù)與外國訪問美國數(shù)據(jù)設置了雙重標準，這種差異是關鍵性的、也是不平等的。

第三，“合格“政府的審查。為了打擊嚴重犯罪和恐怖主義，CLOUD法案加強了外國政府對跨境電子數(shù)據(jù)的有效訪問。它提供了一種機制，讓某些外國政府繞過司法互助協(xié)議系統(tǒng)，調(diào)查嚴重犯罪并直接要求美國服務商提供數(shù)據(jù)。然而，CLOUD法案是一個需要通過簽署雙邊協(xié)議保障實施的法案。合格的外國政府僅限于那些與美國達成數(shù)據(jù)共享協(xié)議的政府。(28)外國的立法和法律實施是否符合法治原則和尊重權利，主要基于以下因素：諸如在《布達佩斯公約》(Budapest Convention)中列舉的，充分的實質(zhì)性和程序性的網(wǎng)絡犯罪和電子證據(jù)法律；尊重法治和非歧視原則；遵守可適用的國際人權義務；規(guī)范收集、保留、使用和分享電子數(shù)據(jù)的明確法律授權和程序；關于收集和使用電子數(shù)據(jù)的問責制和透明度的機制；顯示出對信息自由流通和全球互聯(lián)網(wǎng)的承諾。參見“The Purpose and Impact of the CLOUD Act”, White Paper, April 2019, http://www.justice.gov/CLOUDAct。外國政府只有在以下情況下才有資格簽訂協(xié)議：總檢察長與國務卿共同證明并附上解釋，外國政府在有關數(shù)據(jù)收集活動方面“對隱私和公民自由提供強有力的實質(zhì)性和程序性保護”。(29)CLOUD Act § 105(a) (to be codified at 18 U.S.C. § 2523(b)).CLOUD法案在擬簽署的雙邊協(xié)議中設置了單方面的審查程序和標準，可能是阻礙推廣CLOUD法案和簽署雙邊協(xié)議的主要因素。

第四，正當程序。 CLOUD法案不僅涉及美國適用于海外數(shù)據(jù)的搜查指令，而且簡化了外國執(zhí)法部門訪問存儲在美國的數(shù)據(jù)的程序，允許服務提供商向與美國有“執(zhí)行協(xié)議”的外國政府披露信息。此外，該法案還允許沒有達到《竊聽法》(30)Wiretap Act. 《竊聽法》涉及對電子和有線通信的攔截，其中包括“通過使用設施借助電線、電纜或其他類似的連接來進行通信的全部或部分語音傳輸”。要求的外國政府實時攔截在美國內(nèi)部的數(shù)據(jù)。這樣的國際訪問以前是通過國家間的雙邊司法互助條約(MLAT)，協(xié)助外國政府的刑事司法調(diào)查。 MLAT流程確保所有存儲數(shù)據(jù)都是通過所在國家/地區(qū)的法律體系來獲取，而不是由外國政府直接提供在私有實體上的存儲數(shù)據(jù)。由于執(zhí)行協(xié)議由美國商務部制定，行政部門擁有設定或限制域外數(shù)據(jù)訪問的巨大權力，這將會引發(fā)程序正當性問題和價值沖突。

最后，國際數(shù)據(jù)立法。一方面，CLOUD法案代表了通過國內(nèi)法規(guī)而非國際會議，制定新的標準和規(guī)則的一種國際立法形式。實質(zhì)性的和程序性的數(shù)據(jù)隱私保護作為締結雙邊協(xié)議的前提條件，普遍地提高了數(shù)據(jù)隱私保護標準。這種通過區(qū)域立法進行的國際立法并不新鮮，GDPR是另外一個例子。通過適用GDPR的隱私權標準和數(shù)據(jù)轉(zhuǎn)移限制，GDPR將其義務適用于任何在歐盟市場或以其他方式由歐盟控制、甚至是歐盟范圍以外的服務于歐盟客戶的公司控制的數(shù)據(jù)。(31)GDPR, supra note 16, art. 3, § 2.另一方面，大型跨國公司的崛起對數(shù)據(jù)隱私、數(shù)據(jù)安全及跨境數(shù)據(jù)流動的國際規(guī)則制定帶來了新的挑戰(zhàn)。大型跨國公司控制和管理全球大部分數(shù)據(jù)業(yè)務，將導致規(guī)范趨同于這些大型跨國公司所采用的標準。面對上述壓力，各國政府在應對跨境數(shù)據(jù)政策上，數(shù)據(jù)本地化可能是重新控制數(shù)據(jù)權力的一種手段。

五、我國的應對

為應對數(shù)據(jù)開發(fā)利用、數(shù)據(jù)跨境流轉(zhuǎn)、境外執(zhí)法協(xié)助等涉及國家安全及公民、法人合法權益保護的數(shù)據(jù)安全和國際法律沖突，我國采取分頭立法的形式加快立法步伐，《數(shù)據(jù)安全法(草案)》《個人信息保護法(草案)》的快速出臺恰逢其時，是對當前全球數(shù)據(jù)保護緊迫需要的必要回應。這里有一系列的問題需要仔細探討。

首先，適用范圍的域外效力。《數(shù)據(jù)安全法(草案)》明確了域外監(jiān)管效力。(32)《數(shù)據(jù)安全法(草案)》第3條規(guī)定，“在中華人民共和國境內(nèi)開展數(shù)據(jù)活動，適用本法”，“中華人民共和國境外組織、個人開展數(shù)據(jù)活動，損害中華人民共和國國家安全、公共利益或者公民、組織的合法權益的，依法追究法律責任”。這一規(guī)則是數(shù)據(jù)主權觀念在法律條款中的基本體現(xiàn)。實際上，我國此前的多項立法已經(jīng)對法律適用的域外效力有過探討，例如《反壟斷法》對于境外壟斷行為，《網(wǎng)絡安全法》對于境外主體危害境內(nèi)關鍵信息基礎設施承擔法律責任的規(guī)定等。(33)參見《反壟斷法》第2條：“中華人民共和國境內(nèi)經(jīng)濟活動中的壟斷行為，適用本法；中華人民共和國境外的壟斷行為，對境內(nèi)市場競爭產(chǎn)生排除、限制影響的，適用本法。”《網(wǎng)絡安全法》第75條規(guī)定：“境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動，造成嚴重后果的，依法追究法律責任；國務院公安部門和有關部門并可以決定對該機構、組織、個人采取凍結財產(chǎn)或者其他必要的制裁措施。”對于域外影響我國法律所保護的各類利益的行為進行管轄和約束，這從法理角度存在一定的合理性，而實踐中如何有效實現(xiàn)針對域外危害行為的制裁，則有賴于與國際法層面的域外執(zhí)行等規(guī)則進行銜接與配合。

《個人信息保護法(草案)》第3條境外處理中華人民共和國境內(nèi)自然人個人信息的活動適用本法的情形：以向境內(nèi)自然人提供產(chǎn)品或者服務為目的；為分析、評估境內(nèi)自然人的行為；法律、行政法規(guī)規(guī)定的其他情形。《個人信息保護法(草案)》采取了地域范圍與公民相結合的適用范圍，賦予了必要的域外適用效力，能夠更好地維護我國境內(nèi)自然人的個人信息權益。對于在處理中國境內(nèi)自然人個人信息，《個人信息保護法(草案)》第52條提出了在中國境內(nèi)設立專門機構或指定代表處理個人信息保護相關事務的要求，此舉有助于有效實現(xiàn)本條第2款的立法目的，切實達到對境外主體的效果。

其次，數(shù)據(jù)安全監(jiān)管制度。《數(shù)據(jù)安全法(草案)》在第3章“數(shù)據(jù)安全制度”中規(guī)定了數(shù)據(jù)安全監(jiān)管制度。其中，第20條集中規(guī)定了數(shù)據(jù)安全風險防范制度，具體包括數(shù)據(jù)安全風險的評估、報告、信息共享、監(jiān)測預警機制；第21條規(guī)定了數(shù)據(jù)安全應急處置機制，包括職責部門的設立、應急預案的建立、采取具體應急措施以及向社會公眾公布警示信息等內(nèi)容。(34)參見《數(shù)據(jù)安全法(草案)》第20規(guī)定：“國家建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制，加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。”第21條規(guī)定：“國家建立數(shù)據(jù)安全應急處置機制。發(fā)生數(shù)據(jù)安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，消除安全隱患，防止危害擴大，并及時向社會發(fā)布與公眾有關的警示信息。”開展數(shù)據(jù)活動應當加強數(shù)據(jù)安全風險監(jiān)測、定期開展風險評估，及時處置數(shù)據(jù)安全事件，并履行相應的報告義務(35)參見《數(shù)據(jù)安全法(草案)》第27條規(guī)定：“開展數(shù)據(jù)活動應當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應當立即采取補救措施；發(fā)生數(shù)據(jù)安全件時，應當按照規(guī)定及時告知用戶并向有關主管部門報告。”第28條第1款規(guī)定：“重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)活動定期開展風險評估，并向有關主管部門報送風險評估報告。”第28條第2款規(guī)定：“風險評估報告應當包括本組織掌握的重要數(shù)據(jù)的種類、數(shù)量，收集、存儲、加工、使用數(shù)據(jù)的情況，面臨的數(shù)據(jù)安全風險及其應對措施等。”。數(shù)據(jù)安全審查制度賦予國家對影響或者可能影響國家安全的數(shù)據(jù)活動進行審查的職責。出口管制機制，要求國家對與履行國際義務和維護國家安全相關的屬于管制物項的數(shù)據(jù)依法實施出口管制(36)參見《數(shù)據(jù)安全法(草案)》第22條第1款規(guī)定：“國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)活動進行國家安全審查。”該條第2款規(guī)定：“依法作出的安全審查決定為最終決定。”《數(shù)據(jù)安全法(草案)》第23條規(guī)定：“國家對與履行國際義務和維護國家安全相關的屬于管制物項的數(shù)據(jù)依法實施出口管制。”，如果外國對我國的相關投資和貿(mào)易采取歧視性等不合理措施的做法，明確我國可以根據(jù)實際情況采取相應的措施。(37)參見《數(shù)據(jù)安全法(草案)》第24條規(guī)定：“任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術等有關的投資、貿(mào)易方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)采取相應的措施。”境外執(zhí)法機構調(diào)取境內(nèi)數(shù)據(jù)阻斷機制，當公安機關和國家安全機關因依法履行職責需要調(diào)取數(shù)據(jù)以及境外執(zhí)法機構調(diào)取境內(nèi)數(shù)據(jù)時，對有關組織和個人的相關義務做了規(guī)定。(38)參見《數(shù)據(jù)安全法(草案)》第33條規(guī)定：“境外執(zhí)法機構要求調(diào)取存儲于中華人民共和國境內(nèi)的數(shù)據(jù)的，有關組織、個人應當向有關主管機關報告，獲得批準后方可提供。中華人民共和國締結或者參加的國際條約、協(xié)定對外國執(zhí)法機構調(diào)取境內(nèi)數(shù)據(jù)有規(guī)定的，依照其規(guī)定。”

第三，為個人信息跨境提供規(guī)則。《個人信息保護法(草案)》明確了個人信息跨境傳輸?shù)脑u估與認證規(guī)則。這些規(guī)則包括(一)告知同意原則。一般情形下，適用“告知同意”原則。個人信息處理者因業(yè)務需要確實需要向境外傳輸個人信息的，需要具備安全評估、專業(yè)認證或者與境外接收方訂立合同等至少一項條件。(39)參見《個人信息保護法(草案)》第38條規(guī)定：“個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當至少具備下列一項條件：(1)依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；(2)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構進行個人信息保護認證；(3)與境外接收方訂立合同，約定雙方的權利和義務，并監(jiān)督其個人信息處理活動達到本法規(guī)定的個人信息保護標準。”尤其重要的是，個人信息處理者除了告知境外接收者的情況、處理方式、目的以及個人權利外，必須征得個人的同意，此即為“告知同意”原則。(40)參見《個人信息保護法(草案)》第39條規(guī)定：“個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權利的方式等事項,并取得個人的單獨同意。”(二)數(shù)據(jù)本地化。特殊情形下，適用數(shù)據(jù)本地化原則。數(shù)據(jù)本地化適用主體包括兩類：一是關鍵信息基礎設施運營者；二是處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的處理者。在確需向境外提供個人信息的情況下，上述兩類主體應當將在境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。該草案并沒有完全禁止數(shù)據(jù)境外傳輸，即并未采取絕對數(shù)據(jù)本地化原則，而是采取相對數(shù)據(jù)本地化原則，對確實需要向境外傳輸個人信息的，需要通過國家網(wǎng)信部門組織的安全評估；而對于按照法律法規(guī)可以不經(jīng)安全評估的，從其規(guī)定，不進行安全評估。(41)參見《個人信息保護法(草案)》第40條規(guī)定：“關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應當通過國家網(wǎng)信部門組織的安全評估；法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的，從其規(guī)定。”《個人信息法(草案)》中的數(shù)據(jù)本地化原則是國際關注的重點內(nèi)容，該條規(guī)定了三個層次的數(shù)據(jù)本地化原則，體現(xiàn)了立法的原則性和靈活性；數(shù)據(jù)本地化原則的三個層次指：一是數(shù)據(jù)本地化一般原則，關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當數(shù)據(jù)本地化；二是數(shù)據(jù)本地化的例外原則，確需向境外提供的，應當通過國家網(wǎng)信部門組織的安全評估，評估允許向境外傳輸?shù)模梢韵蚓惩鈧鬏敚蝗菙?shù)據(jù)本地化例外原則的例外規(guī)定，確需向境外提供的，法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的，可以按照相關規(guī)定不進行安全評估。(三)國際司法協(xié)助。在國際司法協(xié)助的適用情形上，《個人信息保護法(草案)》采取了嚴格的批準制。(42)參見《個人信息保護法(草案)》第41條規(guī)定：“因國際司法協(xié)助或者行政執(zhí)法協(xié)助,需要向中華人民共和國境外提供個人信息的,應當依法申請有關主管部門批準。”“中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息有規(guī)定的，從其規(guī)定。”(四)清單制度。草案還規(guī)定了類似黑名單、灰名單的清單制度，限制或禁止危害我國公民權益和國家利益的組織、個人接收信息。(43)參見張雅婷《個人信息保護法草案提請審議 互聯(lián)網(wǎng)商業(yè)模式迎考》，《21世紀經(jīng)濟報道》，2020年10月14日；《個人信息保護法(草案)》第42條規(guī)定：“境外的組織、個人從事?lián)p害中華人民共和國公民的個人信息權益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。”(五)歧視性的對等反制措施。對任何國家或地區(qū)對中國在個人信息保護方面的歧視性做法，如限制、禁止或者其他類似做法，我國可以根據(jù)實際情況采取相應措施予以反制或報復。(44)參見《個人信息保護法(草案)》第43條規(guī)定：“ 任何國家和地區(qū)在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者該地區(qū)采取相應措施。”

毫無疑問，《數(shù)據(jù)安全法(草案)》體現(xiàn)了鮮明的數(shù)據(jù)主權原則。第2條開宗明義的規(guī)定了該法的屬地管轄原則，進而對境外組織、個人在開展數(shù)據(jù)活動時損害我國國家安全、公共利益或公民、組織合法權益時規(guī)定了保護性管轄原則。《數(shù)據(jù)安全法(草案)》明確了數(shù)據(jù)管轄的域外效力，這既是對《網(wǎng)絡安全法》和《數(shù)據(jù)安全管理辦法》的突破，也是對美國屬人管轄原則和歐盟效果原則的積極回應。[11]然而，為應對境外執(zhí)法的長臂管轄，如何合理設置數(shù)據(jù)跨境審查規(guī)則至關重要，對數(shù)據(jù)流動的限制所帶來的損失可能比數(shù)據(jù)自由流動更大。(45)Nations are now at a crossroad where they must decide whether enforcing restrictions of data residency and commercial data flows as well as limiting the freedom of commercial operations within national borders are the most effective ways to protect sensitive information. See Jing de jong- Chen, “Data Sovereignty, Cyber security, and Challenges for Globalization”, Georgetown Journal of International Affairs, vol. 16, 2015, p. 112-122.以數(shù)據(jù)是否存儲在我國境內(nèi)為標準劃定數(shù)據(jù)出境審批規(guī)則，有違數(shù)據(jù)分級分類制度設置初衷，影響我國數(shù)據(jù)產(chǎn)業(yè)開拓海外市場。(46)《數(shù)據(jù)安全法(草案)》第33條規(guī)定：“境外執(zhí)法機構要求調(diào)取存儲于中華人民共和國境內(nèi)的數(shù)據(jù)的，有關組織、個人應當向有關主管機關報告，獲得批準后方可提供。中華人民共和國締結或者參加的國際條約、協(xié)定對外國執(zhí)法機構調(diào)取境內(nèi)數(shù)據(jù)有規(guī)定的，依照其規(guī)定。”因此，根據(jù)分級分類制度，數(shù)據(jù)跨境審批規(guī)則主要適用于重要數(shù)據(jù)和敏感數(shù)據(jù)的審批和限制措施，而對于一般數(shù)據(jù)應保護和促進跨境流動。[12]

六、結論

數(shù)據(jù)主義時代是數(shù)據(jù)驅(qū)動的數(shù)據(jù)中心主義時代，也是數(shù)據(jù)帝國主義/數(shù)據(jù)殖民主義和數(shù)據(jù)保護主義共生的時代。以跨境數(shù)據(jù)為代表的數(shù)據(jù)安全與保護政策實踐已經(jīng)在多國存在，數(shù)據(jù)安全立法演變?yōu)槿蚍秶鷥?nèi)的通過數(shù)據(jù)的擴張與抵制的法律沖突。美國的跨境數(shù)據(jù)政策從自由放任，到建立以美國為主導的數(shù)據(jù)跨境流動秩序和跨境調(diào)取數(shù)據(jù)的模式的演進，反映了數(shù)據(jù)帝國主義/數(shù)據(jù)殖民主義自身發(fā)展的內(nèi)在邏輯。我國數(shù)據(jù)跨境的相關立法是對這一國際數(shù)據(jù)立法趨勢和政策動態(tài)的回應。在數(shù)據(jù)主義時代，從個人層面來看，個人數(shù)據(jù)權利既要面對國家(本國和外國)公權力的數(shù)據(jù)監(jiān)視，又要抵制大型跨國公司的數(shù)據(jù)壟斷；從國家層面來看，數(shù)據(jù)帝國主義/數(shù)據(jù)殖民主義和數(shù)據(jù)保護主義形成的數(shù)據(jù)秩序，導致了新的不平等的社會秩序。整體來看，國際社會對數(shù)據(jù)主權原則的普遍共識尚未達成。如何在逆全球化時期，推動國際社會達成共識，在尊重數(shù)據(jù)主權的前提下，建立國際數(shù)據(jù)流動、公開與共享的機制和標準，讓數(shù)據(jù)成為全人類共享的信息科技成果，是未來急需面對和解決的共同課題。