數據主權時代的治理新秩序

數據主權時代的治理新秩序翟志勇

二0二0年七月二日，歐洲議會智庫發布一份研究報告《歐洲的數字主權》，闡述了歐盟提出數字主權的背景和加強歐盟在數字領域戰略自主權的新政方針，并明確了二十四項可能采取的具體措施;無獨有偶，七月三十日，歐洲對外關系委員會（ECFR）發布《歐洲的數字主權：中美對抗背景下從規則制定者到超級大國》，闡述了歐盟不能繼續滿足于通過加強監管來捍衛歐盟數字主權，畢竟裁判永遠無法贏得比賽，歐盟現在不僅要做規則制定者，還要直接下場踢球，在中美科技對抗的夾縫中，成為數字領域的超級大國。

兩份報告雖非歐盟的官方文件，但結合歐盟最近幾年在大數據、人工智能等領域的立法和政策，歐盟的數字主權戰略在逐步建立。能否踢贏比賽不得而知，但戰略意圖和具體措施已經非常清晰。歐盟數字主權涉及大數據、人工智能、5G、物聯網以及云計算等內容，由于大數據不僅關涉個人隱私，同時也是人工智能、5G、物聯網以及云計算的基礎，并且已經對歐盟造成潛在的安全風險，因此數字主權的核心實際上是數據主權。下面我的論述僅關注歐盟數字主權中有關數據主權的部分，亦在相同的意義上使用數字主權和數據主權。顯然，兩份報告雖然均以數字主權作為標題，并且均以中美作為主要的競爭對手，但如果通讀兩份報告，歐盟數字主權真正指向的不是中美兩國本身，而是“非歐盟科技公司”，尤其是在歐盟占據壟斷地位的美國科技公司，如谷歌、臉書、推特、亞馬遜等。也就是說，歐盟實際上是在向“非歐盟科技公司”主張數據主權。

在我們傳統的認知中，主權一定是國與國之間的，無論是領土主權、領海主權，抑或貨幣主權、經濟主權，一定是針對其他國家而言的，但歐盟數據主權主要不是指向其他國家，而是指向非歐盟科技公司，這標示著主權理論與實踐的一種新趨向。這些科技公司掌握著海量的數據，威脅著歐盟的個人隱私和數據保護，威脅著歐盟的數字經濟與創新潛力，威脅著歐盟建立安全可靠的數字環境。而之所以指向這些非歐盟科技公司，還因為這些科技公司與其總部所在國的利益并非完全一致，甚至對其總部所在國的數據主權同樣構成威脅。也就是說，這些數據科技公司對所有傳統主權國家的數據主權均構成潛在的威脅。由此帶來的問題是，數據主權是一種什么樣的主權？科技公司是否是數據主權者？

傳統主權概念，往往主張主權的絕對性、最高性、排他性，但這些主張在大數據上都不再適用，這首先與大數據自身的物理屬性有關。數據被視為二十一世紀的石油，但這一比喻僅僅凸顯了數據的重要性，數據不僅與石油不同，也與土地和其他生產要素完全不同。數據的特殊性主要表現在：第一，數據是不斷地生成的，不會越用越少，而會越用越多，并且可以重復使用。數據的珍貴性不是來自稀缺性，而是來自豐富性;第二，數據可以無限復制，可以輕易地聚合和分割，因此數據可以同時為多人占用和使用，在實際占有和使用上，數據不具有排他性;第三，數據是在人類使用網絡過程中不停地生成的，甚至可以說，未來人類的大部分行為都將數據化，但這些數據的所有權往往是不明確的，絕大部分數據，包括個人數據，掌握在政府公共機構和科技公司手中，傳統的所有權理論在大數據上不敷使用;第四，數據可以快速在網絡空間流動，并且可以分散存儲在不同的地方，由于云計算和存儲技術的發展，大量數據被分散地存儲在全球不同的數據中心，因此數據往往與數據的生產者、使用者等在物理空間上是分離的。

除了這些獨特的物理屬性，數據的真正價值不在于數據本身，而在于對數據的挖掘和利用，因此不能被計算的數據實際上是沒有價值的。隨著移動互聯網的發展，每個使用智能設備的人都在不停地生產數據，這些數據通常被科技公司收集、占用和使用。即便是政府公共部門掌握的大量數據，要想真正發揮出數據的價值，也需要開放給科技公司使用。這些公司不僅通過掌控海量數據賺得盆滿缽盈，而且威脅著個人的隱私和國家的安全。即便有各類隱私和數據保護的法律法規，但由于數據挖掘往往會帶來意想不到的結果，各種看似不相關的數據聚合在一起，可能會挖掘出單體數據中完全不存在的信息，因此大數據聚合和挖掘存在一種潛在的未知風險，這正是世界各國試圖控制敏感個人數據和重要數據出境的重要原因。

因此數據主權并非主張對數據的所有權或絕對的排他性控制，國家并不掌握全部的數據，也沒有能力挖掘全部的數據，數據世界的實際支配者是數據科技公司，數據主權首先是針對數據科技公司的，其次才是針對數據科技公司實際控制者所在國家的。數據主權主要主張對隱私與安全的保護，當這種保護要求沒法通過一般性的法律監管實現時，主權國家就會主張對數據的實際控制，比如本地化存儲、數據信托、跨境流動管制等。但無論具體措施如何，隱私與安全是數據主權的正當性基礎。

先來看隱私。科技公司通過收集用戶在網上的行為數據，對用戶進行精準畫像，然后再定向推送廣告，從廣告中獲取巨額收益。谷歌、臉書這樣的平臺公司大部分利潤來源于廣告，而這些廣告正是建立在對用戶數據的收集和分析之上的。不僅推送廣告無孔不入，隨著算法技術的成熟，科技公司實際上控制著我們所接觸的信息，為我們編造一個個信息繭房。而各種可穿戴設備和物聯網的運用，更使得科技公司有可能通過“情感分析”繪制人的內心世界，進而控制人的意識。二0一九年一月哈佛商學院教授肖沙娜·朱伯夫（Shoshana Zuboff）出版的新書《監視資本主義時代》（The Age ofSurveillance Capitalism ），即揭示了大型科技公司如何通過監視用戶的行為數據，獲取巨額利潤，并進而主導資本主義社會，重新構筑權力體系。二0二0年九月Netflix 基于朱伯夫的著作，推出紀錄片《社交困境》（The Social Dilemma ），以更直觀的方式展現了數據科技公司對用戶隱私的監視和濫用。在虛擬空間中，我們每一個人，都是毫無隱私的透明人，我們僅僅是一個被系統所分析的對象而已。

再來看安全。二0一三年斯諾登披露了美國國安局的絕密電子監聽項目“棱鏡計劃”，國安局和聯邦調查局可以直接進入美國網際網絡公司的中心服務器，挖掘數據、收集情報，包括微軟、雅虎、谷歌、蘋果等在內的九家科技公司參與其中，由此引發了各國對數據本地化和數據主權的廣泛關注。其實安全問題并不限于主權國家之間的秘密監聽，科技公司帶來的安全風險同樣不容小覷。二0一六年美國總統大選期間，八千七百萬臉書用戶數據被從事政治咨詢的劍橋分析公司抓取，分析的結果用于支持特朗普的競選。西方民主社會突然意識到一個嚴重的問題，所謂的自由民主選舉，有可能被科技公司所操控。二0一九年八月，劍橋分析公司聯合創始人克里斯托弗·懷特出版《心智操控》（Mindf*ck： Cambridge Analytica andthe Plot to Break America ），向公眾揭露社交媒體的數據如何被利用來操縱二0一六年的美國大選和英國脫歐，并向公眾提出警示：那些控制信息的當今世界上最強大的科技公司，正在以過去無法想象的方式操控大眾的思想。二0二0年美國總統大選期間，以推特和臉書為代表的網絡平臺公司謹小慎微，試圖保持政治中立，但這反而意味著，它們在大選中能起的作用，已經不亞于選民，甚至可以在一定程度上左右著選民。

大選之后，推特以煽動暴力為由永久刪除特朗普賬號，引起軒然大波，歐盟受到了非常強烈的刺激。默克爾說壟斷信息傳播的網絡平臺公司是“有問題的”，法國財長勒梅爾說“數字寡頭是懸在所有國家和民主制度頭上的威脅之一”，歐洲議會最大跨國黨團“歐洲人民黨”主席韋伯說，“歐盟一定不能任由臉書和推特來決定其平臺（內容）可接受范圍”。雖然推特創始人杰克·多西堅持認為推特的做法是正確的，因為網上的煽動性言論，會造成現實中即刻且危險的暴力活動，但他也承認，推特“開創了一個很危險的先例，個人或企業所擁有的權力已凌駕于一部分全球公共對話之上”。科技公司對于信息和言論的控制，已經成為懸在自由民主選舉頭上的達摩克利斯之劍。

因此，當歐盟主張數字主權時，歐盟實際上主要針對的是在歐盟占據壟斷地位的科技公司，歐盟已經意識到，嚴格的監管固然重要，但美國科技公司對歐盟網絡空間的滲透和控制，已經到了監管不能徹底解決問題的地步。我們不去討論歐盟的數字主權戰略能否最終成功，因為這取決于諸多因素。更值得討論的是由此帶來的數據主權的新內涵以及對主權概念的新理解。

這個問題涉及，我們應該如何理解這些掌控著海量數據的科技公司的性質？這些公司無疑是跨國私營公司，但與傳統的跨國公司如可口可樂、大眾汽車等完全不一樣，這些跨國私營公司在一定意義上已經成為新的主權者或治理者，已經成為一種新類型的“國家”：從“領土”上看，它們雖然不占據物理空間，但卻占據著網絡空間，并且基本上都是全球性的，超過任何單一國家的領土范圍;從“人口”上來看，臉書有二十二億用戶，WhatsApp 有十九億用戶，YouTube有十八億用戶，均超過中國和印度的人口，并且還在繼續增長;從財富上來看，完全可以說富可敵國，蘋果的年收入排名世界所有國家中的第二十五位，并且蘋果還可以合理合法地征收“蘋果稅”;從法律上講，這些平臺可以制定自己的規則并自己執行，管控著平臺上所有人的言行，推特可以依據自己制定的規則將美國總統的賬號永久刪除，并且還不違法;從意識形態上講，這些平臺公司管控著全球的信息傳播和言論自由，以自己的意識形態塑造著用戶的意識形態。除此之外，隨著數字貨幣的發展，這些公司可以發行自己的數字貨幣，如臉書的Libra/Diem，從而獲得鑄幣權，當年臉書提出Libra 計劃時，甚至連美國都感到震驚和恐懼。

如果說人類在大地、海洋、太空之外，發展出網絡空間，那么這些科技公司無疑是網絡空間的超級玩家。隨著網絡空間逐步從虛擬走向了現實，這些科技公司基于在網絡空間中獲得的巨大權力，開始塑造著現實空間，逐步成為現實空間中新的主權者。我們來看看這些科技巨頭的自我認知，臉書的創始人扎克伯格說，在很多方面，臉書更像是一個政府而非公司，因為臉書可以制定政策。而微軟的前總裁史密斯則說，這些科技巨頭更應該被視為“數字瑞士”，數字瑞士意味著什么？首先意味著一個主權獨立的國家，當然不是傳統意義上的國家，而是一種新形態的國家;其次意味著這個新型的國家，在其他傳統主權國家之間是中立的，因此是超國家的國家。這些說法聽起來駭人聽聞，但如果我們摒棄對國家和主權的傳統認知，這些說法非常具有預見性。這些新形態的“國家”雖然不是傳統意義上的國家，但基于它們對現實世界決定性的影響，它們可能比那些弱小的傳統國家具有更大的現實性權力。即便這些公司不是主權者，至少也是新的治理者（t h e n e w g o v e r n o r s），是傳統主權國家不得不面對和接受的新治理者。

今天的主權概念，是伴隨著現代國家的誕生而形成的，在現代主權概念中，國家是主權的主體。但在現代國家誕生之前，主權僅僅意味著管轄權，領主對領地享有管轄權，自治城市對城市事務享有管轄權，教會組織在教會內部享有管轄權，這些管轄權的重要體現是，它們可以各自制定法律，并建立各自的法庭。因此，在現代國家誕生之前，主權的主體是多元的，皇帝、國王、教會、諸侯、領主以及自治城市等都享有一定意義上的主權，也正因為如此，主權也就不是絕對的、最高的和排他的，不同的主權管轄不同的事務，當然其中會有沖突與競爭，但可以達成一定的平衡。按照哈羅德·伯爾曼在《法律與革命》中的說法，近代早期法治在西方的萌芽，正是因為這種多元主權的狀況，使得任何一個主權者都無法主張絕對性和最高性，因此彼此妥協共同遵循法律之下的治理。

今天的世界，虛擬空間已經不再是完全虛擬的，技術的發展使得我們每一個接入網絡的人，都是虛擬空間中現實的數字人，虛擬空間完全實現了數字化管理，是很現實的;而由于虛擬空間對現實社會的侵入，現實空間反而可能是虛擬的，我們的偏好、意識和自主，很可能是系統操控的結果。總之，我們今天已經生活在一個現實與虛擬相互構造的新世界中，在這個新世界中，我們似乎又將迎來多元主權的時代。至少可以說，傳統的主權觀念開始瓦解了，我們需要新的主權觀。

打個比方，今天的數據科技公司有點類似于中世紀的教會組織。教會主要掌控著精神領域，有自己的信徒、財富、法律以及組織體系，教會與世俗的治理者并存，但又超越每個具體的世俗治理者。這個格局的形成，是因為精神領域與現實領域是兩個不同的空間，雖然相互構造，但卻可以容納兩類不同的主權者。今天的數據科技公司主要掌控著虛擬空間，有自己的用戶、財富、規則、意識形態以及組織體系，同樣因為虛擬空間與現實空間是不同但相互構造的空間，數據科技公司可以并且事實上已經成為與傳統主權國家相互競爭的新的主權者。

主權既是一個規范性概念，也是一個現實性概念，不僅要問誰應該成為數據主權者，還應該問誰事實上掌控著數據并行使著管轄權，那么誰就是事實上的數據主權者。當然，認為數據科技公司在某種意義上是數據主權者，并不是因此要賦予其權利或免除其義務，而是要提出對數據公司更嚴格的公法規制和義務。比如對于人的尊嚴和人權的尊重、可問責性、透明度等。也就是說，數據科技公司不但在私法上要承擔對用戶的私法義務，還要在公法上承擔更多的公法責任，新的主權者也必須是法治之下的主權者。

其實，對于每一個個體而言，多元主權并不一定是壞事，多元主權之間的相互對抗和競爭，很可能會給個體更多的保護。不同主權者之間的相互競爭，使得任何一個主權者都不享有絕對的權力，并且為了獲得更多人民/ 用戶的支持，要提供更好的社會公共產品。

這種跡象，今天已經出現。蘋果公司在最新的隱私政策中，要求開發者在向蘋果AppStore提交應用或應用更新審核時，必須主動匯報該應用對用戶隱私的收集情況，并將隱私收集信息明細呈現在AppStore的應用下載頁面。谷歌在最新的隱私政策中，將在Chrome瀏覽器中推出一項類似于儀表板的功能，向互聯網用戶提供更多有關哪些cookie（儲存在用戶本地終端上的數據）正在跟蹤用戶的信息，并提供封鎖這些cookie的選項。這些新的隱私政策，將在一定程度上減少對用戶數據的追蹤和監控，但這不是天上掉下的餡餅，而是數據主權者之間相互斗爭和競爭的結果，包括主權國家與數據科技公司之間的斗爭，以及數據科技公司的相互競爭。誰能提供更高的隱私和安全標準，誰才能留住更多的用戶，誰才能在競爭中立足。

總而言之，我們當下處于現實與虛擬相互構造的新空間中，數據主權不像領土主權、領海主權甚至貨幣主權等傳統主權，發生在傳統的現實空間中，數據主權誕生于新的空間中，空間變了，空間中的主權者及其法律，自然也會變化。在這個新的空間中，圍繞數據的主權之爭，必然會呈現出一種多元主權競爭性共生的新秩序。