法律視角下數據主權的理念解構與理性重構

陳曦笛

（清華大學法學院，北京市 100081）

目前，全球經濟已逐步轉向數字驅動模式，數據對國家治理和社會進步的重要價值得到了世界各國的廣泛認可。一方面，正如聯合國秘書長古特雷斯（Guterres）所指出的那樣，數據是決策和善治的命脈。[1]獲取所需數據對國家正確評估現狀、確定最優治理方案至關重要。另一方面，數據已然與數字經濟各環節緊密耦合，成為信息化社會不可或缺的生產要素。妥善利用數據被聯合國視為實現2030年全球可持續發展目標的重要途徑。[2]

鑒于數據資源的稀缺性和戰略意義，數字大國圍繞數據獲取和利用而在科技、政治、法律等維度展開的全面競爭愈演愈烈，而數字跨境流動的自由及限度也因此成為各國論爭的焦點。截至2021年，大多數國家都通過制定法律或出臺政策，對數字跨境流動施加了不同形式和尺度的限制，這表現出國家想要掌控數據的強烈愿望[3]。在此背景下，數字主權的概念一經提出，便迅速被各國視為證成國家控制數據并拒絕數據跨境流動的重要理據，并時常成為影響數字地緣政治競爭的指揮棒[4]。

毋庸置疑，數字主權已經成為國家互動中政治話語的一部分，但在法律層面，各方對數字主權具體意涵的理解仍然存在較大差異。這些理念上的分歧會映射到構造數字主權的路徑選擇上，并進而影響各國在國際數據競爭中的地位。本研究將在歸納數據主權化國際趨勢基礎上，從理論和實證層面剖析數據主權作為法律話語所面臨的困境，并基于我國的現實和需求，有針對性地提出適合的數據主權建構方案。

一、數據主權化的國際趨勢

追求最大程度的數據自由一度被認為是具有吸引力的圖景，但根植于個人權利至上觀念的數據自治構想，在現實中卻面臨著復雜的挑戰。數據自治是否有助于數據善治受到了廣泛關注。與此同時，發展數字經濟與保障國家安全的需求促使數據治理問題從單純的私法議題上升為國家事務。越來越多的國家開始基于自身利益訴求，采取不同形式的單邊、雙邊或多邊措施，以管理數據的獲取、保存、利用與跨境行為，嘗試推動數據的主權化過程。

（一）數據自治構想及局限性

自1983年德國聯邦憲法法院的人口普查案裁決以來，個人對自身所產生的信息擁有自我決定權逐步成為世界范圍內具有主導性的觀點[5]。就當前而言，私主體活動所產生的信息是具有經濟價值之數據的最主要來源。因此，作為數據的產生者，私主體天然擁有對數據的自我決定權和自我控制權，且其廣泛涵蓋個人隱私權、私人財產數據保護、公民在國際社會中的數據保護等內容[6]。在此基礎上，數據自治構想提出，私主體所產生的數據不必然受國家控制。與之相反，個體可以通過協商、談判和投票，自由地將自己所享有的數據主權再集中，委托給企業或政府加以控制和管理，從而避免風險并產生經濟效益[7]。然而，這一看似邏輯周延且高度尊重個體權利的構想在實踐中卻暴露出較大缺陷。

首先，數據自治構想對數據權屬的確定方式過于單一，與數據產生的實際場景不相適應。在現代生產生活中，數據的產生往往并不僅僅基于單個主體的活動。比如，在汽車拼裝過程中，個人可以操作企業所有機器對上游產品進行加工。此時，機器所搜集的生產數據既不屬于操作者個人的數據，亦無法被認為完全歸屬于企業。可見，這種復雜的數據產生場景使得預想中的自我決定變得難以實現。

其次，數據自治構想過度簡化了個體數據主權再集中的邏輯，忽視了受委托者潛在的優勢地位。在技術黑箱不斷涌現的信息化時代，私主體在委托行使數據權利之前，要真正理解該行為的收益與風險愈發困難。盡管各國都要求數字平臺承擔一系列說明義務，但事實上大多數人在點擊“同意共享數據”按鈕時，依然不能真正知曉自己究竟在對何種內容表示同意。由此，平臺即可以不合理的對價獲取大量有價值的數據，并在雙方合意的外表下獲取巨額利益，甚至以侵害用戶權益的方式加以利用。

最后，數據自治構想極易導致國家間數據獲取與利用能力上差距的擴大。毋庸諱言，由于數字產業發展程度不同，各國獲取、存儲、傳輸、利用數據的能力存在極大差距。數據自治構想沒有給予數據產生國優先于他國的地位，而這很可能導致數據向有能力提供數據產品并將收益投入再生產的國家富集，從而進一步加深各國數字產業發展的鴻溝，導致不公平利益分配格局的形成。

由此可見，強調私主體權利的數據自治構想過度簡化數據主權再集中的邏輯，輕視數字治理公域危機的威脅，不能圓滿回應當前存在的現實挑戰。在數據領域徹底拋棄“最高權威”的方案不能真正促進對個人權利的保障，反而有可能放大既已出現的治理危機。

（二）推動數據主權化的國家實踐

由于數據自治構想具有局限性，相當一部分國家轉而開始采取與自身利益相符的立法、司法與行政措施，意圖強化國家主權對數據這一新興資源的控制。盡管各國立法與監管政策不一而足，但推動數據主權化在國際數據治理實踐中顯然是主流。

美國作為數據跨境議題的主導者，正在數據自由的法律政策表征下悄然推動國家安全的泛化。美國國會2020年1月發布的一份研究報告顯示，美國采取了一種市場驅動的方法，致力于建設開放、可交互、安全可靠的網絡，促進網絡數據自由流動。這種理念看似與數據主權背道而馳，卻恰恰因為美國在全球數字產業中的特殊地位而產生了相反的效果[8]。一方面，美國的數據驅動型企業已經憑借自身先發優勢滲透到了大多數市場中，并藉由數據的“門戶開放”，得以不斷鞏固強權。當地市場數據獲取門檻越低，這些企業越能獲取更廉價數據，創造更領先數字產品，從而形成能夠增強美國數據權力的正反饋循環（Positive Feedback Loop）。[9]另一方面，美國通過清潔網絡計劃、云法案以及針對華為、字節跳動等企業的定向“狙擊”，在迫使他國開放數據的同時，大大拓展了國家安全在數據治理中的疆域。不難看出，美國正在有針對性地限制競爭對手國家及其企業對數據的獲取，以進一步鞏固自身對重要數據的有力控制。[10]

相比之下，歐盟國家基于區域防御者的自我定位，其推動數據主權化的態度更為清晰。鑒于自身數字產業與數字平臺發展相較中美弱勢的現實，歐盟針對數據跨境采取了較為強硬的因應措施。除了反復在政治宣言中提及歐盟數據主權外，[11]還在具有重要意義的歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）中以能否充分保護歐盟國家公民的個人數據權利為標準，劃分了數據流動的兩個區域[12]。在成員國以及有能力遵守歐盟制定的數據保護規則且共享相同價值觀的國家范圍內，歐盟決心摒除數據流動壁壘，最大程度地兌現數據自由所帶來的經濟價值[13]。這并非說明了歐盟數據主權立場的動搖，而是反映了歐盟以共同體方式構建數據主權的雄心。即使一家公司未在歐盟設立分支，只要其商業活動涉及對歐盟國家公民數據的獲取或在歐盟國家境內提供數據產品，歐盟數據跨境規則就對其有效。總體而言，歐盟以保護個人權利為由，對數據向非共同體成員流動設置了極為嚴苛的條件，并通過歐盟規則的域外適用擴張數據管轄范圍。

兼具數據資源大國和數據利用大國身份的中國，亦多次在國內國際場合強調數據主權對國際數據治理的重要價值。從2021年底公布的《網絡數據安全管理條例（征求意見稿）》可以看出，我國在鼓勵數字產業發展的整體戰略下，嘗試對數據利用和跨境建立與傳統國際貿易分級監督和審查類似的機制，并明確了國家安全、公共利益相關數據主權化控制的必要性。俄羅斯近年來也陸續修訂了《通信法》《信息、信息技術和信息保護法》等數據相關法律，致力于實現全面的數據本地化，以進行強有力的數據監控和數據跨境監管，卻把促進數字經濟發展置于相對次要的地位。[14]印度作為數字產業的后發國家，也選擇了類似路徑。印度頒布的《個人數據保護法案》和國家數字貿易政策表明，印度政府正在嘗試通過強制性的數據本地化，將數據驅動型產業所產生的經濟和社會效益盡可能地留存在國內，而非流向數字大國，以保護印度免受數據殖民主義影響。[15]

總體來看，只要有一部分國家嚴格控制數據跨境流動，其余國家就不得不采取類似方式因應，以避免他國數據驅動型產業占據不對等的優勢。盡管數據主權化以往并未被視為數據國際治理的最優選擇，但當前已成為各國制定數據政策時重要的理念支撐，深刻影響著數據競爭的現實圖景。

二、數據主權化的理論祛魅

盡管數據主權作為政治話語已經在國家交往中被逐步接受，但數據主權在法律層面的實際意涵及其是否信息網絡時代新的國家主權類型等問題仍待厘清。

（一）數據作為國家主權客體的適格性檢視

在論證國家對網絡數據享有主權時，相當多的研究強調國家對網絡數據基礎設施或公民及企業的實際控制力，以此說明建構數據主權的可行性[16]。誠然，數據對國家而言具有可管理性與可規制性，但存在一個經常被忽略的問題，即國家在國際法上所享有的數據權利能否被視為一種新的主權形式，抑或其僅僅是領土主權或網絡空間主權的權利映現。

當前領土主權仍然是最主要的國家主權存在形式。通常認為，領土主權是一個國家對其領陸、領水及其底土和領空范圍內人、事、物的最高權力。值得注意的是，這一概念實際上具有兩個層次的含義：一是在國際法意義上，國家對上述四類領域享有完全權利（Rights），且除特殊情況外不允許存在與之競爭的他國權利；二是國家對主權領域之內的一切人、事、物，在國內法意義上享有最高權力（Power）。國際法上的主權理論自建立至今，始終無意探究國家對特定對象的權力，而是旨在總括式地承認一國在特定空間內的獨占性權利，以排除他國可能提出的競爭性權利主張。概言之，國際法層面的領土主權所指向的適格客體是國家所領有的空間。

與之相似，仍處于發展之中的網絡空間主權理論亦均遵此理。具體而言，網絡空間主權的權利客體是虛擬的網絡空間，而在此主權空間發生的網絡活動，進一步成為包括國家立法、司法、執法管轄權在內的主權權利所指向的對象。國際法上創造網絡空間主權，也是為了抵御他國對本國網絡空間這一虛擬領域的管轄和干涉。可見，只有能夠容納現實或虛擬活動開展的領域，方能構成適格的國家主權客體。

具體到數據主權化的命題之上，數據是經過整理和分析的信息之集合，本質上仍屬于寬泛意義上的物。數據與諸如礦藏或電力等的資源更為相似，難以構成能夠容納其他人、事、物的空間。有研究指出，在法律層面將數據加以主權化，是基于錯誤類比邏輯而提出的方案，就好比不把蘋果與甜瓜相提并論，而將之與棒球帽相較[4]。國家對數據利用和數據跨境的管轄需要，完全可以通過領土主權或網絡空間主權的延展得以實現。相較而言，具有同樣重要性和可規制性的礦藏和電力，從未被認為有必要被冠以主權之謂。這正是因為，對礦藏或電力的開發利用活動已然落入領土主權的具體權能之下，沒有必要在其上再構建一套新的主權形式。

盡管數據并非不受國家主權影響，但其本身無法被視為新型主權的客體，否則將沖擊國際社會對國家主權既有的認識和界定邏輯。否定這一新型主權，不會影響國家獲取必要數據與合理限制數據出境的需求。借助地域或國籍等國家管轄聯結點，主權國家就能依靠領土主權和網絡空間主權有效賦予數據管轄合法性。同時，侵犯他國對于數據的管轄權也可能構成對領土主權或網絡空間主權項下主權權利的侵犯，從而被視為國際不法行為。

（二）數據主權化對主權概念的過度延展

應當承認，國際法上的國家主權概念并不是一成不變的，而是變動的和不斷發展的（Plastic and Evolving）[17]。傳統的領土主權被認為能夠向網絡空間延伸，進而形成具有不同權利取得方式和權能內容的網絡空間主權。然而，與其他任何概念一樣，國家主權概念也不能承受無限制的拉伸延展，否則將失去其作為邏輯工具的根本價值。

國家主權概念及相關法律規則植根于羅馬法的所有與占有規則，領土主權獲取規則更是直接承繼自其中有關財產轉移的規則[18]。創造國家主權概念最初的目的在于，避免不同國家因領域的權利歸屬和行使界限不明確而導致和平之破壞。國家主權能夠設置相對清晰的法律疆界，遏制他國越界行權的不法行為。國家主權原則之所以長久地為各國所遵守，正是因為其能夠明確國家權利的行使范圍和權能內容，從而定分止爭的實踐價值。然而，國際法話語下的數據主權化卻過度偏離了構造國家主權概念的根本意旨，不僅無法實質性地促進對國家數據權利的保障，而且可能使國家主權概念面臨混亂。

一方面，數據主權的邊界難以厘定。對于主權的經典論述是，在一個特定領域中，只有一個國家可以擁有主權（最高權力），其他國家沒有權利在此領域未經其同意就實施統治行為（Governmental Acts）[19]。不難看出，一國之主權必須在特定領域中方能存在，一旦超出該領域的邊界就會受到他國主權控制或歸屬國際公域，故相對確定的邊界對于主權的存在和行使至關重要。盡管領土邊界可能會因各種原因陷于不確定或產生移動，但爭議領土與確定領土相比總是小得多，故領土主權能夠在這些確定的空間中發揮效能，正是基于這些確定界限的存在，國家尊重他國主權方有現實的可能性。

當前，數據主權的疆域仍然太過模糊。鑒于數據在產生、利用、傳輸等過程中普遍會與多個主權國家產生不同類型的聯結，國際社會關于何種數據應依照何種規則確定權利歸屬的討論尚未形成基本共識。在這樣的情況下，即便自產生起就一直存儲于某國設備之上的數據，亦有可能僅因包含為數不多的另一國公民信息而受其“統治”。國家間不可能在疆界高度不確定的情況下相互尊重彼此的權利，國際法也不可能依據主權獨立原則對他國的“統治行為”作出不法評價。應當說，高度不確定的邊界使得數據主權概念的建構缺乏可行性與實際意義。

另一方面，數據主權的權能內容太過薄弱。借用羅馬法的權利束理論不難發現，國家主權的本質是國家在特定領域中所享有法律權利的集合。同時，只有國家擁有對領土的完全權利，方能證明領土主權之存在，而一些因租賃、地役或其他形式而取得的次要權利來自主權權利，并不能證明權利人對該領土擁有主權。[20]簡言之，并非主權國家對某一領域的任意管轄事實或管轄權都源自主權，只有擁有對特定領域最完全至少是最根本權利的國家才可能被稱為主權者。以此為基礎檢視當下的數據主權化趨勢，不難看出，國家對數據所能享有的權利與最低標準的“主權統治”亦相去甚遠。

首先，在國際法層面上國家的獨立性與主權密切相關，甚至兩者被認為幾乎具有相同的含義。主權國家的獨立性主要表現為，國家在主權領域內的行權除受國際習慣法或條約限制外，不受任何外來干涉影響的自主性和獨占性。[21]然而，在全球化背景下，數據的主要特征就是，一國無法不受他國制約地獨占管轄，否則就可能會構成對他國主權或主權權利的侵犯。這種與既有主權類型截然不同的特征，可用分享主權或共同主權概念來解釋。盡管如此，仍然存在一個難以回避的邏輯困境，即這種創新是否已經因為與國家主權基本特征的背反，而超出了主權所能覆蓋的最大范圍。

其次，戰爭與和平的思考貫穿國家主權概念形成的全過程。事實上，國家主權最終之所以能夠在現代國際法體系中得以確立，正是因為各國間存在的反對戰爭、維護和平的基本共識與需要。為遏制和平被破壞，侵犯他國主權被明確認定為國際不法行為。受害國對此有權采取反制、對等報復以至自衛等措施，國際社會的所有成員都有責任不予協助并盡最大努力加以制止。有學者指出，對他國發起諸如入侵導彈控制系統或醫療系統的網絡攻擊，有可能會因造成等同于武力攻擊的物理性后果而觸發受害國的自衛權。[22]但很難想象，對他國數據的侵犯會引發如此嚴重的后果。所謂的數據主權難以被主權國家的自衛權所保護。由此，數據主權與戰爭與和平這一支撐國家主權概念根本價值的議題相分離，從必要性來看，數據主權似乎無法與既有的主權類型相提并論。

最后，主權平等理念在數據主權語境下將受到極大沖擊。從當前的討論來看，數據主權被認為不僅源于產生數據的各國公民及企業，亦來自數據存儲和利用環節。如此，數字產業的先發國家較落后國家更有能力在數據驅動型產業中開疆擴土，謀取更多數據主權，而數據的富集性特點會促使這種差距不斷擴大。盡管數據主權化被相當多的發展中國家視為對抗數字產業收益不平等的途徑，但事實上很難期待數據主權能夠在當前境況下被各國平等地享有或行使。建立在國際法話語之上的數據主權，反而更容易成為先發國家合法化和固化其優勢地位的捷徑。

由此可見，國際法層面的數據主權未能體現國家主權的基本特征和根本價值，缺乏實際意義，會過度撕裂主權概念的固有意涵，給既已趨于穩固的國際法規則帶來失范風險。

（三）數據主權化的政治話語本質

隨著數據的跨境流動因數字產業的飛速發展而愈發頻繁，先發國家和大型跨國企業在數據獲取與利用方面占據了前所未有的強勢地位。各國政府和公民產生了失去對本地數據必要控制的擔憂。在這樣的背景下，旨在增強國家數據管轄能力的行動路線得到了廣泛支持。

如前所述，數據的主權化想象已經被相當一部分國家所接受和推動，數據主權也迅速被用作拒絕數據跨境流動請求、禁止非本國企業獲取和利用數據的便捷工具，甚至在某些事項上起到了一票否決的作用。可以說，數據主權化不僅成為各國加強對本地數據控制的有力宣誓，也成為合理化自身數據域外管轄的主要理據。

盡管如此，數據主權仍未完成從國家間政治話語向國際法話語的轉換，其在國際法意義上還不能被視為一種新的主權形式。一方面，對數據作為國家主權客體的適格性存在疑問，對數據主權化的嘗試，無論在行使范圍還是在權能內容上，均超出了現有主權理論所能提供的最大彈性和靈活性，以至于可能會使主權概念失去有意義的邊界；另一方面，國家對于數據控制的權利需求，無須以主權的形式在國際法層面加以固化，既有的國家主權權能就足以從實體層面到虛擬層面，完滿地回應一國關于數據獲取、利用和流動限制等方面的各類需求。

總體來看，旨在強化國家數據控制力的數據主權化理念已經成為國家間交往中被頻繁使用的政治話語，指導著各國政府為之調整法律和監管工具。但從國際法理論角度觀察，數據的主權化難以契合國家主權概念的基本特征和根本價值，且缺乏現實意義。

三、數據主權化的現實困境

國家主權體現了國際法對國家領域的承認與保護。作為積極側面的承認關乎國家對所屬領域專屬管轄的合法性，[23]而作為消極側面的保護則指一國必須尊重他國管轄且自身管轄亦受他國尊重[24]。可見，國家主權作為法律話語的現實意義，不僅在于宣示國家的獨立性，更在于要將管轄事實與國際法權利和義務聯結起來，從而將之納入國際法治軌道。面對現實中的重重困境，試圖以主權模式控制數據的做法無異于追尋蜃樓海市，缺乏現實意義。

（一）數據的多元權屬、去權屬與權屬對抗

數據的特殊性造就了一國獨立實施管轄時所面臨的困境。若一國堅持采用主權化模式對數據實施管轄，就必須不斷地處理與他國主權之間的緊張關系，且不得不面對國家主權與個人權利之間頻發的沖突。數據的多元權屬、去權屬特性以及個人權利保障都是數據主權構建中難以回避的現實障礙。

第一，數據存在多國聯結點的情況極為普遍。鑒于數字產業的高度全球化，數據在從生產、傳輸到利用的過程中與多個國家產生聯結，已經成為一種常見的現象。相關國家均有可能援引國際法中得到廣泛認可的管轄原則，對同一組數據主張管轄。以跨境電商場景為例，假設A國消費者在注冊營業于B 國的網絡購物平臺向C 國商家購買商品，而B國平臺將所搜集的原始信息交由D國數據處理企業分析，再把信息存儲于設備在E國運營的F國云存儲服務供應商。這種假設看似復雜，但在當前的跨國經貿往來中并不少見。蘇格蘭足球聯盟就曾在英國高等法院起訴，指稱一家瑞士企業盜用其數據，并將之分別儲存到位于德國和奧地利的設備上。[25]根據數據主權化理念，上述各國均有權依據屬地或屬人管轄原則要求相應企業提交數據，并禁止其向他國傳輸數據。出現對抗管轄主張的國家要么通過協商機制解決此問題，要么任由實際控制力強的一方實施管轄。不難想象，在這樣的爭端解決模式下，有能力憑借所謂數據主權達到目的的一方，基本都是少數處于強勢地位的數據大國，其他多數國家的主權只能停留于紙面。

第二，去中心化數據存儲技術應用廣泛。近年來，隨著區塊鏈技術從專用性和局限性逐步走向通用化和產品化，去中心化的數據存儲模式已經不再存在顯著的技術障礙。去中心化數據庫架構不存在中心節點，每個節點都有讀寫功能并保持同步。鑒于這種技術特點，無論是數據來源地、數據存儲地還是數據利用地所在國均無法對數據施加有效控制。隨著去中心化數據存儲技術得到廣泛運用，其功能設計中體現出的超主權特性將對國家數據主權化愿景的實現構成阻礙。

第三，個人權利與國家主權對抗的場景多發。與純粹的財產性權利不同，相當一部分數據因包含個人信息，不僅具有經濟屬性，而且具有人權價值。當國家因行使數據管轄權而涉及公民信息時，不僅可能受到國內立法的自我限制，還可能受到國際人權法規則的約束。這意味著，名義上的數據主權很可能難以在事實上成為一種最高權力，時常需要讓位于個人權利。2015年，美國聯邦調查局就曾經要求蘋果公司協助提供已死亡的恐怖襲擊嫌疑人的手機數據，但被蘋果公司以保護個人權利為由拒絕，美國聯邦調查局最終放棄了這項要求，轉而通過其他技術途徑去獲取相關數據。[26]

可見，數據國家管轄的實現高度依賴于國家間的管轄合作，導致管轄的專屬性反而成為一種例外規則，此時即便確立了數據主權，其在很大程度上也只能具備宣示意義。同時，數據存儲技術變革對國家控制的排斥以及個人權利在數據治理問題上的強勢地位，亦使得強調主權化模式的國家數據治理難以為繼。

（二）數據跨境逃逸難以規制

在數據權屬帶來的困境之外，數據跨境流動的高度便利性也使得國家管轄顯得力不從心，大型跨國企業為規避法律風險、降低合規成本而向弱監管地區遷移的趨勢，也深刻影響著各國對監管強度的選擇。國家之間以及國家與企業之間的復雜博弈，正在令數據的跨境轉移變得難以規制。

其一，跨國數據轉移難以被發現，規避監管的途徑多樣。一方面，數據跨境轉移本身具有隱蔽性。傳統貨物需要經由海關出境，具有逐項核驗的可能性。數據能夠在網絡空間直接被傳輸，或借助小型存儲器在未被監測的情況下實現跨境。與此同時，對于一國網絡使用者與外國網絡服務提供商之間的數據收集轉移協議與標準，該國根本無從知曉，在網絡空間的協議層加以規制亦不現實。[27]另一方面，數據跨境轉移方式極為靈活且數量極大，仰賴主動申報的國家監管很難應對。比如，我國的國家互聯網信息辦公室2021年10月公布的《數據出境安全評估辦法（征求意見稿）》對數據出境規定了廣泛適用的評估審查機制，但細察其具體內容不難發現，通過再出境再轉移方式、企業合并方式以及企業控制權轉移等迂回途徑依然可以輕易地規避監管，實現原有目的。此外，數據產品往往不需要反映所用數據的來源，這也導致從產品端進行溯源監管的傳統思路很難取得實效。

其二，國家管轄在很大程度上受企業經營需求制約。當下大量跨國企業已經逐漸擺脫了對特定國家及市場的依賴，而轉向了全球市場和分散布局。這樣的趨勢意味著，企業可以相對自由地選擇管轄國以規避過度監管。在此背景下，如果一國執意以主權模式控制數據及相關跨國企業，這些企業就可能傾向于向他國轉移，以規避數據監管。一旦這種情況形成規模，該國的數字產業就不得不面對國際投資外逃、被國際市場孤立的囧境，甚至因此錯過數字經濟發展的窗口期。換言之，國家在制定數據管轄政策時，必須考量跨國企業對數據監管的接受程度，國家的政策性需求有時只得向企業的實際經營需求妥協。

其三，數據可復制與可重復利用的特點挑戰本地化策略。數據的利用價值不會被一次耗盡，而是會在相當長的一段時間內持續保有經濟或安全價值，這也為數據非法轉移提供了持續的利益驅動。對此，數據主權化的主要應對方式就是數據本地化，比如前文提及的印度、俄羅斯等國的實踐。然而，數據區別于一般有形物的可復制性，使得耗資頗巨、牽連甚廣的數據本地化策略收效甚微。數據在儲存的任一節點逃逸，都可能被大量復制和廣泛傳播，且難以被追回。進一步看，無論是現在還是將來，企業等私主體都是大部分數據的實際存儲者，強制要求它們為數據提供極盡謹慎嚴密的安全保障，在事實上既不經濟，亦不具有可行性。

（三）數據主權的建構性

早在20世紀早期，曾任國際常設法院院長的馬克思·哈勃（Max Huber）法官就在帕馬斯群島仲裁案裁決中指出，與地球表面一部分相關的主權是該部分構成任何國家之領域的必要法律前提[23]。從國際法視角看，國家并非天然地對特定空間擁有主權，反而是擁有主權才使得特定空間成為國家的主權領域。換言之，一國對特定領域的實際管轄只有在不違反國際法的前提下達到了國際法構建主權的門檻，該特定領域才可能歸屬于該國，并成為其真正的主權領域。

對于何種強度的管轄足以建構主權，尚無法在既有規則中找到明確答案，不過各國仍能從國際司法判例與主流學說中一窺管轄事實的重要性。有效統治在20世紀以來領土爭端中的活躍表現，就很好地說明了現代國際法體系中國家管轄事實與國家主權的緊密聯系。國際法院在2007年尼加拉瓜訴洪都拉斯案和2012年尼加拉瓜訴哥倫比亞案中明確指出，在爭議地區歸屬不明的情況下，主權歸于實施更有力的立法、司法和執法管轄活動的一方，這構成了有效統治的核心意涵。[28]可見，在主權或主權權利確實存在競爭，且不存在與《聯合國海洋法公約》類似的權利分配規則的情況下，決定主權建構的最重要的事項就是，證明本國存在具有優勢的管轄事實。

鑒于數據主權化的國際趨勢，數據權利在各國間的分配沒有可適用的權利分配規則，處于多方競爭之中。各國試圖通過既有規則在國際法上確證自己的權利是不現實的，當前最為可行的道路是盡可能地展示國家對數據的控制，創造管轄事實。換言之，國家對數據的國際法權利不是基于分配的，而是具備建構性的。與此同時，盡管管轄事實的重要性已經得到闡明，但如前所述，要在數據之上建立一種國際法意義上的主權仍然存在障礙，這正是各主要國家在雄心勃勃追求數據主權政治話語的同時，卻表現出管轄上的謙抑性之原因[27]。事實上，國家沒有必要執意追求以主權的方式控制數據，而是可以選擇更為理性的建構路徑，來充分滿足自身在國家安全與經濟發展方面的需求。

四、定疆以界：我國數據主權的建構路徑

隨著國家對失去對數據控制的最初恐慌逐漸消退，探索更為合理的數據治理路徑開始受到重視。由于理論與現實層面存在重重困境，數據主權在國際法上缺乏實際意義和真實力量，在政治層面突出數據的戰略自主目標可能才是更具可行性的替代選擇[29]。數據安全始終是我國政府的重要關切，但與此同時，以數據驅動產業發展亦是實現數字大國愿景的必由之路。為平衡兩個向度的利益訴求，我國在推動數據主權化的同時，有必要重視國家管轄的自我克制，區別處理安全利益與個人權益，實現數據國內規制與國際共治兩個層次的協調。

（一）進取而克制的總體策略選擇

在國家管轄方面，數據與領土存在較大不同。領土之上只能存在一國之主權，只要在領土邊界以內，在絕大多數情況下他國管轄權的存在均要仰賴主權者的同意（Consent of the Sovereign）。但這一規則對數據而言顯然并不適用，同一組數據之上很可能存在不同國家的管轄權，且發生沖突時這些管轄權孰優孰劣，尚無規則或先例可供遵循。因此，各國均能憑借本國與數據或緊密或疏遠的聯結點劃定自身享有主權權利的疆域，即使自身疆域與他國重合，由于界定規則缺乏，亦不會被國際法消極評價為越界。

然而，這種有疆無界的狀態在現實中極易引發國家間的抵牾乃至沖突。美國、歐盟等主要經濟體圍繞數據跨境流動已經產生了一系列分歧。在著名的棱鏡門事件曝光后，歐洲法院于2020年7月，再次以美國未能有效保護歐盟公民數據權利為由，單方廢止了雙方此前共建的隱私盾數據跨境機制[30]。具體爭議的解決往往由國家對數據的實際控制能力決定，這致使部分國家開始強調數據的本地化。但如前所述，數據的全球流動是任何國家都難以阻擋的必然趨勢。真正的解決方案不在于徒勞地將數據收攏在國門之內，而是要在國際法上厘定對數據的國家管轄權分配規則，即劃定數據管轄的國家邊界，這也正是美歐數據談判的實質性主題。

在明確了數據管轄從有疆無界向定疆以界發展的基本方向后，有必要進一步考量的是，何種管轄權分配規則是符合我國安全與發展利益的。一方面，我國在數據管轄問題上具有很強的進取動機。強化國家數據管轄既是出于防止重要數據泄漏的國家安全需要，也是提升我國維護本國公民和企業權益實際能力的主要途徑。鑒于數據權利的建構性特征，我國應轉變思路，從概括性的數據主權宣示邁向具體的管轄權獲取。細言之，我國有必要以不窮盡列舉的方式，首先在法律層面對我國切實能夠管轄的數據類型加以固化。從目前來看，我國的管轄范圍至少應當包括對本地化存儲數據的管轄、對本國公民和企業以及向我國境內提供的數據產品的管轄。在此基礎上，我國可以在可行的情況下，以立法、司法、執法同步推進的方式拓展我國在數據犯罪等特定事項上的管轄疆域。同時，我國亦可通過國家間的雙多邊協定，共同厘定管轄權的分配規則，取得排斥協定外國家管轄的效果。一個值得借鑒的樣例就是《數字經濟伙伴關系協定》（Digital Economy Partnership Agreement，DEPA）第4.4 條之規定，其在一定程度上承認了各國基于硬件設施所處位置而享有的受到限制的管轄優越性。

另一方面，我國在擴張數據管轄范圍時，有必要保持自我克制。事實上，一國在推動數據管轄權分配規則建構時，不僅在創造對他國的約束，而且在以相同的方式約束自身。比如，若我國向國際社會闡明，自身對領土范圍內存儲器上的數據享有專屬的管轄權。那么，不難想見，當他國以特定數據存儲于其領土范圍內為由，拒絕我國對這些數據加以管轄時，我國也只得遵循自身確定的規則而放棄管轄，否則就會遭到來自國際社會的道德譴責和基于國家平等理念的非難。此外，鑒于國際上的禁止反言規則，這種法律立場一旦表明，就無法輕易改變或撤回。由此可見，在數據議題上，國家在為他國劃界的同時，亦是在為自己劃界。因此，過分地擴張數據管轄范圍，可能并非最明智的選擇。

（二）安全利益與個人權益的二元架構

在進取而克制的數據管轄策略之下，真正的實踐疑難在于，如何在具有不同影響的領域區別地處理管轄問題。在此意義上，安全利益與個人權益二分的管轄架構，或有助于理順我國的數據治理邏輯。

首先，精確識別并堅決維護數據議題中的國家安全利益。國家安全是任何國家參與國際事務的底線，在數據管轄問題上也是如此。如果數據轉移或利用可能損害我國國家安全利益，那么對其加以絕對禁止就是應有之意。即便對于那些形成或存儲于領土之外的此類數據，我國亦應通過外交或司法協助等手段來減輕潛在的危害。正是因為國家安全紅線不可觸碰，精確識別其內涵對于構建理性的數據管轄更顯重要。應當指出，國家安全問題在數據談判乃至整個經貿領域始終極富爭議。除我國外，不少主要國家均以擔憂濫用為由，對將國家安全納入經貿協定的提議表達了強烈反對。為減少他國抵制所造成的不利影響，一個可行的方案是，對影響國家安全的數據加以嚴格限定，判斷數據是否有助于對我國發起武力攻擊以及能否被用于顛覆我國政權。同時，可將諸如工業、電信、能源等領域的重要信息歸入公共利益或商業秘密范疇，設置審查機制而非一概禁止，迂回地規避敏感的關于國家安全的討論。

其次，全過程保障個人權益和公共利益。大數據作為大量個體信息的集合，不僅會關系到個人權益，而且很多時候會天然牽涉公共利益。在這個方面，我國可以借鑒歐盟有關權利保護的數據管轄思路，廣泛地賦予私主體基于個人信息權利或商業利益的訴權，設置較高的懲罰性賠償以激勵維權，促進司法管轄在數據領域的延展。不僅如此，鑒于大型平臺相較于使用者更具優勢地位，我國應發揮公益訴訟和支持起訴的效能，采取行政調查執法措施，有針對性地矯正平臺強制收集數據和濫用數據的行為。此外，當我國私主體因面臨他國提交數據要求而陷入合規沖突之時，我國有必要構建支持機制，為我國企業與公民拒絕他國政府無理要求提供智識、法律或資金上的支持，并積極與他國有關部門溝通協調，對抗他國數據管轄的擴張。

最后，鼓勵和推動對數據的合理利用，以數據驅動產業發展。盡管以數據驅動產業發展已經被認為是數字經濟未來的核心，但當前其仍處于發展初期，需要相對寬松的創新空間和試錯機會。我國應當在經濟領域弱化法律話語層面的數據主權概念，以實現商業數據利用與數據轉移的脫敏，在國家安全、公共利益、個人權益之外，預留足夠的數據自由空間。針對一些較難界定的數據類型和數據利用方式，我國可引入監管沙盒機制促進創新，降低創新企業因政策不明而要承擔的監管風險[31]。

（三）國內法規制與國際共治的協調

由于數據跨境流動需求的客觀存在，國家數據管轄不僅與國內法相關，亦不可避免地會受到國際共治的影響。如果一國的數據管轄不能與國際規則發展趨勢保持協調，就會陷入被邊緣化、喪失話語權的境地。然而，國內法規制與國際共治的關系，不應被簡單理解為對規則的跟從與合規。我國在關于數據管轄權分配的國際討論中，不能僅僅滿足于做規則的遵守者，更要爭當規則的建構者。

一方面，我國應基于實踐提出中國方案，積累國際數據治理經驗。國家實踐是推動國際法規則生成的重要動力，而法律提案是國家掌握規則制定話語權的最主要方式。我國盡管仍屬于發展中國家，但已然成為數字產業的先發國家。當前我國數字經濟的體量緊隨美國，遙遙領先于世界其他經濟體，且這種差距還在繼續擴大[32]。在這樣的背景下，我國對數據的管轄實踐就成為國際法形成必須考量的因素，這天然賦予了我國以行動構建規則的地位。我國應在明確自身利益訴求的前提下，積極厘清國家數據權利范圍及管轄規則，論證其合理性，推動國際規則同向發展。

不止于此，當下美歐因數據需求不同，陷入了選擇高度自由還是主權限制的僵持局面。不過，在這個問題上，其余大多數國家僅著眼于增進本國中小企業的數字惠利，無意選邊站隊。我國有必要把握這一機遇，以務實的態度參與國際討論與區域數字協定的制定。《區域全面經濟伙伴關系協定》（Regional Comprehensive Economic Partnership，RCEP）中關于國家安全與數據利用平衡的思想值得借鑒[33]。在互相尊重國家安全的前提下，我國完全可以為企業獲取和利用數據提供互惠條件，以此爭取中小國家對中國方案的支持。

另一方面，我國在接受規則后應恪守規則，確保管轄實踐與之保持一致。條約必須遵守，這是國際法最根本的要求。當前，《區域全面經濟伙伴關系協定》已陸續對簽署國生效，其中就包含反對以數據本地化作為貿易前提和不得阻礙出于業務需求的數據跨境流動的內容。同時，我國正致力于加入《全面與進步跨太平洋伙伴關系協定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP）及《數字經濟伙伴關系協定》，這兩個協定中也包含保障數據跨境流動與利用的內容。作為負責任的大國，我國在因條約或聲明而負有國際法義務時，就應當盡可能地確保國內法及國家實踐與之保持一致。這種遵守不僅是為了滿足國際法的要求，亦會成為我國與他國之間各方面合作得以持續開展的重要信賴基礎。

五、結語

隨著數據自治構想在實踐中暴露出越來越多的問題，數據主權化正在成為國際數據治理的主要發展趨勢。數據的主權想象暗含著對他國權利的排斥，這加劇了圍繞數據控制權的國家間競爭。無論是美歐等發達經濟體，還是以中印為代表的發展中國家，均在致力于強化數據主權，盡管所采取的措施因自身戰略定位不同而存在差異。毋庸置疑，數據主權已被國際社會視為比較成熟的政治話語，用以宣示各國對特定范圍內數據相較于他國的優越性。

然而，數據的主權化與國際法上的國家主權概念并不吻合。對數字主權加以解構，我們只能看到各國相互交疊的疆域想象，卻看不到法律上劃定國家主權所需的最為重要的要素——有形或無形的疆界。數據因其作為“物”而非“領域”的本質，不適宜被作為國家主權的客體。在數據之上建構新型主權形式的設想，在欠缺現實意義的情況下過度延展了主權概念，與其作為邏輯工具的根本功能相背離。從現實層面考察，以主權模式控制數據存在現實困難。法律意義上的數據主權激化了數據多元權屬、去權屬與權屬對抗所帶來的挑戰，難以在事實上解決數據跨境逃逸問題，無益于有效的實際管轄的形成。

對我國而言，在政治話語層面堅持數據主權，強調我國數據戰略自主固然重要，但也應深刻認識到數據權利在法律層面的建構性。一味追求以主權模式控制數據缺乏現實意義，而依托領土主權或網絡空間主權合理地建構我國數據管轄更具可行性。因此，一方面，我國應采取進取的策略，固化并拓展我國的數據管轄事實；另一方面，我國應保持必要克制，采取安全利益與個人權益的二元架構，尊重他國合理的數據管轄，處理好國內法規制與國際共治的互動關系。