摘 要
跨境数据流动既创造价值,又引发风险和挑战。如何有效规制跨境数据流动被迫切地提上各国议程。该议题涵盖个人隐私、主权安全、管辖适用、国家竞合等多重复杂的政策因素。由于缺乏统一的国际规制框架,各国出于地缘政治、产业水平、历史传统、国家安全等诸多因素之考量,形成了多种规制模式。利益的复杂性、规则的差异性加上规则本身存在不同程度的弊端,导致各规制模式间摩擦不断。
国家规制跨境数据流动的最终目的在于捍卫国家数据主权不受侵犯,甚至尽可能获取本国之外数据资源的处理与管辖权。国家的配套规制措施本质上是该国国家能力的映射。因此,跨境数据流动规制和国家能力的关系可以概括为:一国国家能力决定该国形成和实施何种规制路径;规制路径可以体现该国的国家能力。
本文以X、欧盟和中国的跨境数据流动规制路径为研究对象,以其代表性制度文本为基本依据,考察X、欧盟和中国路径。再以路径差异为切入点,通过研究跨境数据流动规制体现的国家技术能力和制度能力的高低之别,尝试划分X、欧盟、中国的国家能力类型。
关键词:跨境数据流动;数据主权;规制路径;国家能力
一、绪论
(一)研究背景及意义
1.研究背景
随着物联网、云计算、人工智能等技术广泛运用于经济社会、国防军事等领域,海量的数据产生与流转成为常态,国家间的竞争焦点正从人口、土地、资本转向作为基础性生产要素的数据。根据麦肯锡全球研究院发布的报告,2008年以来,数据流动对世界经济增长的贡献已经超过传统的跨国贸易和投资,成为推动世界经济发展的重要力量。
在复杂的数据跨境流动和存储环境下,各国XX在执法过程中调取数据存在管辖权上的争议,可能对个人隐私、产业发展甚至国家主权与安全造成严重损害。在尚未形成通行有效的跨境数据流动规则的形势下,各国出于对数据资源重要性的考量和对跨境数据流动风险的规避,纷纷加快建立和完善国内数据空间顶层制度的步伐,谋求对数据资源的管理与控制,“数据主权”作为热点问题甚至核心议题迅速成为国家博弈的新领地。然而,由于各国在政治、经济、文化等国情上存在较大差异,面对跨境数据流动产生的价值与风险间的冲突,不同国家形成了不同政策主张:X《国家网络战略》、《云幕法案》,欧盟《通用数据保护条例》,中国《网络安全法》,俄罗斯《个人数据保护法》,韩国《个人信息保护法》……
以上国家构建和捍卫数据主权的做法,本质上是国家能力的映射。也就是:一国国家能力既决定该国在跨境数据流动问题上的制度设计和立法实践,又体现在该国的制度设计和立法实践当中。总体而言,数据产业竞争力较强的国家是技术设备和服务的主要提供者,支持数据自由流动;数据产业竞争力较弱的国家是数据的主要提供者,支持数据本地留存。本文将区分X、欧盟和中国在跨境数据流动规制路径上的差异,尝试对其规制路径体现出的国家能力进行类型学划分。
2.研究意义
(1)理论意义
跨境数据流动挑战国家主权概念,衍生出数据主权。数据主权作为现实世界国家主权在虚拟空间的自然延伸,已经超出传统国家主权理论的范畴。尽管数据的流动、传输可以跨越国界,但数据本身是有疆界的。面对数据主权对传统国家主权理论提出的挑战,研究数据主权的缘起与界定,能够在一定程度上完善和发展国家主权理论的内涵和外延。
同时,X、欧盟和中国是最具代表性的主要经济体。本文关注国家能力中的技术变量和制度变量,将国家能力区分为技术能力和制度能力,根据X、欧盟、中国技术能力和制度能力的高低差异,将其划分为三种不同的类型,力求提供研究国家在跨境数据流动规制领域博弈的新视角。
(2)现实意义
大数据时代已经到来,大规模的跨境数据流动价值与风险并存。由于缺乏健全的全球性跨境数据流动规范与机制,部分国家以扩张的姿态对域外国家数据行使管辖权、使用权。最典型的例子是2013年的“棱镜门”事件,X对X以外地区居民的通话资料、电子邮件等秘密资料进行监听,引发各国对个人隐私、经济发展乃至国家安全的担忧,直接导致欧盟与X间长达15年的《安全港协议》无效。面对这种依托于技术和市场优势的单方扩张对国家安全和数据主权的侵犯,越来越多的国家开始加大对跨境数据流动的限制。然而,围绕主权国家应当如何应对跨境数据流动带来的风险、捍卫数据主权这一问题,各国存在分歧且难以在短期内消除。国家的规制路径既是一国在数据主权问题上立场的直接体现,也是该国国家能力的具体反映。有鉴于此,本研究分析X、欧盟、中国的具体规制路径,对于厘清大数据时代国家数据主权与国家能力问题,具有现实意义。
(二)文献综述
1.国外研究现状
国外对跨境数据流动的关注较早,研究内容丰富,涵盖了法律、经济、政治、单边、多边、区域等不同角度。戴维·R·本德(DR Bender)[1]回顾TDF(Trans-border Data Flow,跨境数据流动)的历史以及经合组织提出的原则,讨论与TDF有关的国家主权问题。G·罗素(G. Russell)[2]同样研究TDF的演变,提出TDF是当下代表“国际信息政策”的术语,认为TDF既包含技术性特征,如内容和传输问题,又包含非技术特征。吉塞拉·穆汉(Gisela Moohan)等人[3]考察TDF的四个方面:隐私和数据保护、欧洲经济共同体的作用、东欧国家和西方国家之间的TDF以及第三世界对工业化国家主导TDF的反应。孔令杰(Kong Lingjie)[4]认为数据保护是全球数据自由流动规定障碍,通过指出欧盟数据保护的标准合同模式和公司法模式的不足,呼吁国际社会建立通行有效的全球法律框架。雪莉·沃威克(Shelly Warwick)等人[5]研究X、加拿大和墨西哥规制TDF的法律和政策,以及这些法律政策对信息在三国间传播和获取的影响。丽塔·沃尔丘奇(Rita Walczuch)等人[6]发现各国颁布法律禁止计算机可读数据自由流动的主要动机是保护公民隐私,因此他们研究TDFL(Trans-border Data Flow Legislation,跨境数据流动立法)的文化决定因素,以及文化与隐私保护间的关系。
2.国内研究现状
以“跨境数据流动”和“跨境数据流动规制”为主题分别在CNKI数据库中检索,得到表1-1中的结果。
表1-1 CNKI数据库检索记录(1998—2021.3)
| 主题 | 数量(单位:篇) | 主题 | 数量(单位:篇) |
| 跨境数据流动 | 470 | 跨境数据流动规制 | 165 |
通过梳理国内文献可发现,以“跨境数据流动”为源起、紧扣“跨境数据流动规制”的学术研究,主要集中在跨境数据流动规制的类型研究上,即先区分不同的跨境数据流动规制类型,再对这些不同类型的规制进行具体分析。
有学者以经济发展程度和信息技术水平为标准区分不同的规制体系。黄宁、李杨[7]将跨境数据流动规制分为主导体系和单边规制。主导体系包括欧盟体系和X体系,单边规制由主导体系外的国家组成,如俄罗斯、巴西、印度等后发国家。
有学者基于时间序列作出区分。陈少威、贾开[8]从“全球治理”的角度回溯跨境数据流动规制体系,将其分为制度差异、走向共识、治理冲突三个阶段,每个阶段分别对应主权国家间相互合作、以欧美《安全港协议》为代表的公私合作和后斯诺登时代争夺数据主权的规制进路。
有学者依据数据主体的不同提出相应的规制措施。根据数据承载内容的不同,李思羽[9]、叶开儒[10]等学者将数据分为个人数据、商业数据和公共数据,将规制的重点分别放在个人数据和隐私权保护、产业政策和知识产权、公共安全和国家利益上。
也有学者以价值理念作为区分不同规制差异的标准。李艳华[11]认为国家最终形成何种规制范式取决于对“数据保护”、“数据自由流动”和“国家数据自主权”三者关系的组建。当以良好的数据保护和国家自主权作为优先价值目标时,形成了以俄罗斯为代表的本地存储规制路径和以欧盟为代表的充分性规制路径;当以保障数据自由流动和国家自主权作为优先考虑时,形成了以X为代表的问责制规制路径;当既追求良好的数据保护,又要确保数据自由流动时,形成了以澳大利亚为代表的利益均衡型规制路径。胡炜[12]也强调价值取向的重要性,认为价值冲突是导致跨境数据流动问题难以达成国际共识的主要原因,并将价值冲突总结为个人隐私与商业利益、网络开放性与网络安全性、宽松标准与严格标准、本国习惯与国际习惯。
此外,还有学者提出,国家对跨境数据流动的规制往往出于多重因素之考量,导致规制差异的原因需要回溯到各国政治、经济、历史传统、法律基础、文化认同的差异之中[8],[13],[14]。
3.综述
综合以上学者观点,目前学界对跨境数据流动规制的分类标准大致可分为纵横两大类。纵向上,基于时间序列研究某个国家的规制对策演进,或在全球占据主导地位的规制体系演进;横向上,一是依据经济发展和信息技术水平,二是依据数据主体的分类,三是根据价值取向,或对诸多价值目标的选择。本文认为:以上分类标准确实在一定程度体现出不同国别、历史时序下的规制路径差异,但都各有其不妥之处。
在对规制模式的纵向区分中,基于时间序列无从划分现阶段的多种规制模式。在对规制模式的横向区分中,一是从全球数字经济发展格局和产业竞争态势来看,无论是总规模还是增长率,中国已超过X、欧盟居世界第一,俄罗斯、印度、巴西等后发国家也表现出强劲势头,且这些后发国家普遍执行限制数据出口、捍卫国家数据主权的规制对策。单边规制现象越来越突出,便无法将诸多单边规制排除在世界主导体系之外。即,依据经济发展程度和信息技术水平,将规制模式分为以欧美为代表的主导体系和由后发国家组成的体系外的单边规制,这样的分类已不适应实际情况,有失偏颇。以中国、俄罗斯为代表的后发国家对跨境数据的规制也应当自成一大体系。二是个人数据规制、商业数据规制和公共数据规制,三者绝非完全相互独立的关系,而是彼此相交。贸易往来绕不开对个人隐私数据的传输,维护公共安全也必然涉及到个人与企业。三是当以价值取向的不同区分各国规制差异时,得到的分类结果并不单一。譬如,欧盟和中国都遵循保护个人数据权利和国家数据主权的价值取向,形成的规制路径却大相径庭。
“国家主义”或“以国家为中心”的理论是研究政策决定因素的一大范式。在对公共政策以国家为中心的研究中,不少学者以“国家能力”概念作为解释要素,即一国的政策选择与执行很大程度上受制于既有国家能力。彼得·霍尔[15]完善该线索,指出在考虑国家的政策行为时,应当关注国家能力中的具体变量,如制度性能力;且国家差异的结论要从具体政策的比较中得来。
本文借助该理论思路,将国家能力视为解释不同国家规制差异的核心要素,以此为前提,建构起国家能力与跨境数据流动规制路径的关系:国家能力决定规制路径,规制路径体现国家能力。以三个最具代表性的经济体——X、欧盟、中国的跨境数据流动规制路径为研究对象,由此派生出两个研究问题:第一,美欧中的规制路径差异体现了何种国家能力差异?第二,这种国家能力差异是如何体现的以及国家能力的高低之别。本文通过案例分析比较,关注国家能力中的技术变量和制度变量,将国家能力区分为技术能力和制度能力,给出了第一个问题的答案。再通过比较美欧中的跨境数据规制在技术和制度上的具体规定,构建国家能力高低的类型划分,试图回答第二个问题。
本文的核心脉络是:当把跨境数据流动规制体现的国家能力区分为技术能力和制度能力时,国家是如何实现技术能力和制度能力的?理清此逻辑过程后,再一般化技术能力与制度能力共同的功能——数据主权,抽象出数据主权的内涵维度,在同一维度下比较X、欧盟、中国的能力差异。本文的定位和意义在于:希望通过对X、欧盟、中国的案例研究,在跨境数据流动规制中进一步理解国家能力,从国家能力差异区分规制路径差异。文章不仅关注国家能力中的制度性因素,还考虑到国家能力与企业技术的互动关系,将技术能力也纳入国家能力范畴。最后的研究结果显示了国家能力的类型划分,可对认识跨境数据流动议题中复杂的国家主权、竞合、差异等问题提供启示;同时表明,提升本国跨境数据治理水平、强化跨境数据流动规制的根本举措在于不断加强国家能力建设,持续增强数据技术能力,完善数据制度体系。
(二)研究内容
本论文的研究内容主要包括三个部分:
第一部分是说明背景和建构研究问题。首先从现状阐明规制跨境数据流动的重要性:跨境数据流动给传统国家主权带来挑战,会引发各类风险问题,为各国规制跨境数据流动提供现实依据。再引入数据主权,确定数据主权的概念、内涵和重要意义,作为规制跨境数据流动的理论依据。最后提出文章的研究问题:跨境数据流动的规制路径体现何种国家能力,以及何以体现该国家能力?
第二部分是案例比较。选取世界范围内具有代表性的三种模式——X、欧盟和中国规制路径,概括X、欧盟、中国规制跨境数据流动的代表性制度文本,建立路径差异的分析框架,通过对X、欧盟、中国规制路径的具体论述来进一步验证该分析框架。
第三部分在第二部分的基础上,将国家能力分为技术能力和制度能力,首先,界定区分能力高低差异的标准;其次,抽象比较能力高低差异的维度;再次,分析技术能力和制度能力在各维度的具体差异表现。最后,以国家技术能力水平和制度能力水平为轴线建立维度,对三个国家(地区)进行类型的划分,以直观的分类展示X、欧盟和中国的国家能力差异。第二、三部分“国家的跨境数据流动规制与能力类型”的主体框架如表1-2所示。
表1-2“国家的跨境数据流动规制与能力类型”主体框架
| 国家 | 代表性立法 | 基本立场 | 具体实践 | 国家能力类型 |
| X | 《云幕法案》 | 商业利益
霸权主义 | 数据控制者标准 | 高技术、高制度 |
| 欧盟 | 《通用数据管理条例》 | 数据主权
人权主义 | 充分性原则 | 低技术、高制度 |
表1-2“国家的跨境数据流动规制与能力类型”分析框架(续)
| 国家 | 代表性立法 | 基本立场 | 具体实践 | 国家能力类型 |
| 中国 | 《网络安全法》&
《数据安全法》(草案) | 数据主权
国家安全 | 本地化存储 | 高技术、低制度 |
(三)研究方法
本文主要采用文献分析、比较分析、法律解释和跨学科研究的研究方法。
广泛搜集、整理和阅读国内外学者的文献,X、欧盟和中国的法律法规、XX文件和新闻报道,进一步了解国内外学者在跨境数据流动和数据主权议题上的看法,以此作为总结三个国家(地区)跨境数据流动规制路径特点和划分国家能力类型的基础。通过对具有代表性的X、欧盟和中国对待跨境数据流动的基本立场和采取的配套规制措施进行比较研究,作出恰当的规制路径比较和国家能力分类。对不同制度文本的相关法条(如《通用数据保护条例》对充分性原则和适当保障措施的规定,《网络安全法》第三十七条)采用文义解释的方法,剖析法条内涵,为总结规制路径差异提供依据。同时,跨境数据流动的国际规制涉及政治、经济、法学等多学科的知识,因此本文将采用跨学科研究方法,对X、欧盟和中国的规制路径和国家能力进行分析论证。
二、跨境数据流动规制的一般概念
(一)跨境数据流动的风险与挑战
跨境数据流动是指数据跨越国界的流动和处理,以及数据虽然没有跨越国界仍可以被第三国主体访问[16]。数据的自由跨境流动在促进经济增长、技术创新、全球化等方面的价值不言而喻,但随着数据规模的迅速膨胀和流动速度的日益加快,不仅我们的工作生活内容、思维方式发生巨大变化,而且传统安全和非传统安全间的界限被进一步模糊,引发了各类数据安全问题。
1.跨境数据流动与个人数据权利保护
由于人们与网络的联系越来越密切,无论是日常出行和消费,还是学习、工作、交通、医疗、投资理财,都会在各种各样的数据系统中留下“数据脚印”。个人数据的重要性决定了其被高概率地觊觎:2018年11月,万豪国际酒店旗下的喜达屋酒店被曝泄露约5亿客人的信息,覆盖31个国家地区;2020年3月,万豪再爆泄露510万客户信息。据IBM2019年度调研发现,引发数据泄露事件的最根本原因是恶意网络攻击,在所有数据泄露事件中,因恶意攻击而引发的数据泄露在过去六年从42%上升至51%。离境数据被恶意泄露和买卖事件频发,全球数据黑色产业链成熟,一些接收方的数据保护意识和管理能力不足,已对个人隐私、财产甚至人身安全造成极大威胁。
2.跨境数据流动与本国数字产业发展
数据是重要的战略资源。一方面,数据不受限制地外流将会导致数据资源向少数具备优势产业和先进管理的国家集中,损害本国企业开发利用数据资源的发展机会,尤其对于数字产业能力不强的国家而言,放任数据流向境外将直接影响本国数字经济竞争力的提升。另一方面,资本的运作离不开对大量数据资源的掌控,以X为首的先发国家始终掌握着世界资本市场的主动权。当一国的经济、金融数据能够任由别国大量获取和深入分析,或者一国对另一国在经济上形成过度依赖,则该国经济的正常运作将会极大地受此另一国掣肘。
3.跨境数据流动与国家主权安全
一是跨境流动的数据难免涉及到国家情报安全领域,这意味着外国XX可以通过跨境流动的数据实现情报监控,获取敏感数据[17]。二是数据离境增加执法成本和不确定性。一方面,数据大量流向海外会导致执法机关提取、甄别有效证据需要耗费更多的人力物力和时间。另一方面,域外取证过程中,执法机关由于管辖权不足而始终处于被动地位。三是从长远来看,“棱镜门”事件的发生,数据安全与国家主权安全的关系被剖析在世人面前。数据本身是生产力资源,也是支撑国家安全和发展的重要战略资源,涉及意识形态、科技、国防、能源的数据极易成为黑客的攻击目标。
综上所述,随着跨境数据与个人隐私、产业发展、国家安全的联系不断紧密,与之相对应的国家数据管控能力水平参差不齐,跨境数据流动孕育着风险与挑战。维护数据主体权利和促进数据自由流动在一定程度上存在对立。维护数据主体权利,即保证数据主体对数据的排他控制,这必然会限制数据自由流动,一旦保护过度有损公民福利和发展机遇;不设限制的数据流动会引发安全威胁,给国家主权的完整性带来严峻挑战。针对该问题有多种选择的排列组合,各国既为了在数据资源竞争中抢占优势地位,又为了维护国家数据与主权安全,制定出不同的跨境数据治理方案,形成了侧重不一的规制路径。
(三)跨境数据流动规制的理论依据
1.从跨境数据流动与数据主权
主权概念是伴随着国家产生而形成的,经历了博丹的对内主权、格劳秀斯的对外主权以及卢梭的人民主权的概念演变后,随着时代不断演进,主权被赋予新的内涵。21世纪,海量数据蕴含的价值逐渐被挖掘,主权不再局限于领土、领空、领海等具体表现形式,虚拟空间中的一系列信息、数据也被纳入国家主权的范畴。然而,由于国际规则尚未统一,数据流动的跨境性往往引发各国对数据管辖权的争议。数据主权作为大数据时代国家主权的组成部分,是随着主权国家对跨境数据的合法权威不断受到威胁和挑战而提出的。任何国家的跨境数据流动治理体系都是围绕数据主权,建立符合自身国情和利益的制度,以保护本国数据资源不受侵犯,甚至尽可能获得本国之外更多数据资源的处理和管辖权。可以说,数据主权概念的提出是国家对跨境数据流动进行有效管控的必然要求,并且数据主权正在成为新的热点,受到各国重视和争夺。
2.数据主权的概念与意义
对“数据主权”这一概念的定义,国内学者众说纷纭。有的学者沿袭传统国家主权的界定。传统国家主权指一个国家独立自主地处理自己内外事务,管理自己国家的权力,表现为对内最高、对外独立。吴沈括[18]将数据主权界定为特定国家的最高权力在本国数据领域的外化,以独立性、自主性和排他性为根本特征。有的学者根据数据主权的权力内容做出概念界定。齐爱民、盘佳[19]提出数据主权是一国独立自主地占有、管理、控制、利用和保护本国数据的权力。也有学者通过将数据主权分为个人数据、商业数据和公共数据三种类型,来区分数据主权的概念[10]。还有学者通过论述数据主权与媒介主权、信息主权、网络主权等相关概念的区别来进行界定[20],[21]。
针对以上侧重点不同的界定,本文认为对数据主权的界定应当回归主权的本质意义,即数据主权具备主权的两大特征:一是对内的最高控制权,二是对外的独立自主平等权。此外,数据主权的主体应当包括国家和个人。个人数据主权是指公民对个人数据的自决权。本文认为,国家只对国家层面的数据安全进行完整性保护,而不保证国家主权范围内的全体个人数据不被侵犯是远远不够的,数据主权主体须是国家数据和个人数据的总和。从以上角度理解,数据主权应为:数据主权是国家主权在数据领域的自然延伸,指国家对其疆域范围内产生的和其公民产出的数据享有最高权力,对内表现为对数据及其技术、责任主体、设备设施的排他管控权力,对外表现为不受他国和其他组织的干预,能够独立、平等、自主地参与国际数据领域事务的权力。
数据主权作为一种理论工具,其核心在于为国家的跨境数据流动治理的合法性和权威性提供依据,调和数据跨境流动的现实发展需要与出于应对国家安全威胁而进行管控之间的矛盾。由此逻辑出发,数据主权对于国家跨境数据流动规制具有重要意义。
(四)跨境数据流动规制中的国家能力
综上所述,数据的跨境流动既创造价值,又孕育风险。如何在没有硝烟的数据资源争夺战中实现个人隐私保障、经济发展和国家安全的协调?这要求国家运用国家能力对数据跨境流动采取系列管理措施进行有效规制。这里涉及到两个变量——“国家能力”和“跨境数据流动规制”。国家对跨境数据流动的规制与国家能力的关系可以概括为:一国国家能力决定该国实施何种跨境数据流动规制路径;一国对跨境数据流动的规制路径体现出该国的国家能力水平。从该变量关系建构中可以派生出两个问题:以特定国家为研究对象时,第一,这些国家的规制路径差异体现了国家能力的何种差异?第二,这种国家能力差异是如何体现出来的?
本文讨论国家能力中的两种类型:技术能力和制度能力。技术能力是指生产、收集、获取、控制和处理跨境数据的能力,主要表现为计算机和互联网水平。制度能力是指制定、实施、动态调整相关法律、法规、政策的能力,主要表现为跨境数据流动规制体系的完备程度和国际参与度。下文将对X、欧盟、中国的规制路径,和技术、制度能力在规制路径中的具体表现展开具体分析和充分论证。
三、跨境数据流动的多元规制路径
一国规制跨境数据流动的正式制度,必然是以法律、法案、法令、条例等形式化、规范化的文本形式呈现的。X《澄清域外数据的合法使用法案》(Clarifying Lawful Overseas Use of Data Act,下文简称“CLOUD法案”)、欧盟《通用数据保护条例》(General Data Protection Regulation,下文简称“GDPR”)和《网络安全法》是X、欧盟和中国规制跨境数据流动最具代表性的纲领性法案。通过概括CLOUD法案、GDPR和《网络安全法》的主要内容,形成了如表3-1所示的关键词一览表和表3-2所示的差异一览表。本章将在表3-2的分析框架中论述X、欧盟和中国规制跨境数据流动的路径差异。
表3-1 CLOUD法案、GDPR、《网络安全法》关键词一览表
| 国别 | 关键词 |
| X | 1.电子通信服务供应商和远程计算服务提供者
2. 披露义务,实质性和程序性保护,国际承诺 3.法治,人权 4.访问能力 5.信息的全球自由流动 |
| 欧盟 | 1.数据控制者、处理者
2.充足保护认定;国际承诺;适当保障措施,法律救济措施,有约束力公司规则,具有约束力和执行力的承诺;合规性;国际合作机制 3.法治,人权,自由;压倒性的正当利益,公共利益 4.个人数据保护,保护数据主体权利 |
| 中国 | 1.网络运营者
2.信息化发展;关键信息基础设施;网络技术研发,网络安全技术,网络安全技术产业和项目,网络安全技术创新项目;技术措施 3.网络安全等级保护制度;用户信息保护制度;安全评估;信息通报制度;应急工作机制 4.网络安全,网络空间主权,国家安全,社会公共利益 5.个人信息保护 |
表3-2 美欧中跨境数据流动规制的差异一览表
| 国别 | 核心关键词 | 主体 | 基本立场
(数据主权战略) | 依据 | 主要内容 |
| X | 访问能力 | X的电子通信服务供应商和远程计算服务提供者 | 数据的全球自由流动 | 互联网的开放性 | 数据信息披露义务 |
| 欧盟 | 数据保护 | 境外数据控制者、处理者 | 保护数据主体权利 | 人权 | 资格认定规则 |
| 中国 | 网络安全 | 中国网络运营者 | 保护个人信息 | 国家安全 | 网络安全技术 |
(一)X的跨境数据流动规制路径
1.商业驱动下的数据自由流动
X的数字经济和通信产业水平领先全球,为了确保对全球数据的访问能力,维护竞争优势,X倡导较为开放自由的促进数据自由流动的政策。
在数据自由流动的法律政策方面,X主要通过国际谈判和监管合作与其他国家、地区签订双边或多边协议,以达到跨境数据“自由”流向X的目的。具体来说,2007年,亚太经济合作组织(下文简称“APEC”)电子商务指导组下设的数据隐私分组构建起跨境隐私规则体系(下文简称“CBPR”)。CBPR是规范成员经济体企业个人信息跨境传输活动的多边数据隐私保护计划,于2012年正式启动[22]。一方面,CBPR类似行业自律体系,企业可以自由选择是否加入CBPR认证。通过认证的企业即被认为符合APEC隐私保护标准,可以在APEC地区内自由传输数据。另一方面,CBPR设计了隐私执法机构和问责代理机构,在自愿认证体系之上覆盖了一层法律保障。隐私执法机构的职责是对违反CBPR且经过认证的企业采取相应的处罚措施;问责代理机构的职责是审核申请加入CBPR的企业,并对通过审核的企业进行后续监督,以及处理各种投诉。
2012年正式生效的美韩自贸协定(下文简称“美韩FTA”)是国际上首个对数据自由流动作出规定的自贸协定。美韩FTA第15.8条提出:双方成员应当避免对跨境电子信息流设置或维持不必要的障碍[23]。2016年在X主导下签订了《跨太平洋伙伴关系协定》(下文简称“TPP”)。在跨境数据流动上,TPP规定允许各缔约方对跨境传输的信息进行电子监管,但也应当允许协议涵盖的人员出于执行商业业务的需要而进行跨境数据传输;同时,允许各缔约方“为实现合法的公共政策目标”而采取一定措施,但采取的措施不能构成任意歧视和对贸易的变相限制[24]。尽管随后X退出TPP,但TPP中关于跨境数据流动监管的内在框架已成为许多国家进行电子商务协定的范本。
2018年,X、加拿大和墨西哥签订《美墨加贸易协定》(下文简称“USMCA”)。USMCA代替《北美自由贸易协定》,再次确定了X在北美区域商品贸易、金融服务、知识产权、信息数据中的主导地位。尤其是新增的第19.12条,明确禁止任何缔约方将使用或存储其境内的计算机设施作为在该国开展经营业务的前提条件[25]。这样规定的出发点是阻止缔约国以数据本地化存储为由妨碍数据自由流动。
但与倡导境外数据自由流入相反,X对境内数据流出持严格限制的态度,这主要体现在限制关键技术和特殊领域的数据出口。如《商业管制清单》将需要管制的物项分为十大类,其中包括通信及信息安全、计算机和电子设备,并规定这些技术数据到达非X服务器,必须先获得出口许可[26]。
2.基于霸权的长臂管辖原则
长臂管辖原则在跨境数据流动中的适用是由CLOUD法案确定的。跨境数据流动中的长臂管辖指,赋予X调取处于X境外、但由X的数据服务商控制的数据的权力。CLOUD法案的制定可追溯至“微软诉X”一案。2013年X纽约法院要求微软公司提供存储于爱尔兰数据中心的一名犯罪嫌疑人的电子邮件信息,但微软公司以X单方面索取信息的行为会严重侵犯个人隐私和爱尔兰国家主权、不符合国际司法协助制度为由拒绝提供。微软公司先后两次向法院起诉,提出废除搜查令的动议,并于2016年赢得诉讼。[27]该案件的困境在于数据存储地和数据控制者的割裂。为便利国家跨境调取数据,2018年X推出CLOUD法案,将数据主权由物理层边界延伸到技术层的“控制边界”[28],标志着X新数据主权战略的实施。
CLOUD法案主要围绕两大问题展开:“数据控制者标准”和“适格外国XX”的认定。“数据控制者标准”是指,只要数据是由X数据服务者拥有、监管或者控制,则无论数据存储的地理位置是否位于X境内,X都对这些数据享有合法的管辖权。这意味着,首先,属人管辖成为优先适用的冲突规则,数据控制者而非来源地或存储地成为确定管辖权的优先适用标准。其次,形成了从数据到数据控制者再到数据控制者所属国的管辖联系体系[29]。CLOUD法案的出台充分体现出X的长臂管辖原则,实质是属人管辖权在全球范围内的扩张,利用其他国家数据服务产业的空白,以自身的基础优势抢占对海外数据的拥有、监管和控制。“适格外国XX”是指,符合资格的外国XX只有在与XXX达成行政协议后,才拥有向X境内服务提供者直接调取数据的权力[30],且“适格外国XX”的审查条件十分严格,包括X设定的法治、人权和数据全球自由流动标准。 通过设定“数据控制者标准”和“适格外国XX”,达到的客观效果是:1)对于在X数据服务者控制下的数据,无论存储在何地,XXX都可以直接调取;外国想要调取,则必须给予X对等待遇。2)对于X境内和X人的数据,无论存储在何地,外国XX想要调取必须遵循X国内司法程序。由于缺乏健全的全球跨境数据流动治理机制,这种依托于市场优势的单方扩张往往建立在对他国主权安全的侵害之上。
(二)欧盟的跨境数据流动规制路径
1.外紧内松的限制数据流动
欧盟是全球第二大经济实体,内部涵盖的27个主权国家不断通过政治、经济、法制的交汇,形成相似的文化和追求目标。为实现单一化数字市场,欧盟积极将自己打造成为数据保护的标准制定者:2015年6月,欧盟提出实施《数字化单一市场战略》,用以消除成员国间的管制壁垒。2019年,欧盟推行《网络安全法案》,实施欧洲统一框架下的网络安全技术和服务认证标准。2018年,欧盟通过《非个人数据在欧盟境内自由流动框架条例》,致力于消除各成员国本地化存储的要求,保障专业用户可以在欧盟境内自由迁徙非个人数据。
2019年10月,德、法共同宣布了名为“GAIA-X”的欧盟云计划,旨在减少欧盟对亚马逊、微软、阿里云等国外云厂商的依赖,建立起属于安全的欧盟数据基础框架。该计划具体做法是将西门子公司、法国电信、德国电信等二十多家供应商集合在一起进行数据共享和服务。为了调整竞争和监管规则,欧盟推出“数字税”计划,使欧盟技术能力和数字工业能适应激烈的市场环境。2018年3月,欧盟委员会提出两项数字税立法提案:一是对在欧盟范围内没有实体存在却获取利润的三类数字企业征收3%的数字税,二是对全球收入总额超7.5亿欧元且来源于的欧盟收入超700万欧元的互联网公司征收3%的数字税[31]。尽管“GAIA-X”计划还未正式上线,“数字税”计划进程缓慢,不可否认的是,这些对外严格对内宽松的欧盟规则和计划体现了欧盟期望消除境内数据自由流动障碍、强化对数字领域监管、增强数字时代战略自主权的决心。
2.基于隐私文化的充分性保护原则
保护人权、尊重个人隐私是欧洲的传统。《欧盟基本权利宪章》第8条“个人信息之保护”为保护个人隐私信息提供了直接依据。因此一直以来欧盟将数据权视为一种基本人权而基于主张高水平的保护。2018年5月25日,GDPR正式生效,成为欧盟成员国制定本国个人数据法的基本依据。
GDPR共10章99条,第5章对个人数据转移到第三国或国际组织作出具体规定,其中最重要的是“充分性保护原则”。达到“充分性”条件,是欧盟个人数据跨境流转的先决条件。“充分性”是指只有当第三国对个人数据的保护水平达到欧盟的要求,才能将欧盟成员国的个人数据传输至该国,不必采取其他保护措施,即采用白名单的方法确定允许个人数据跨境自由流动的国家和地区。欧盟委员会对“充分性”的考察因素主要有:是否尊重法治和人权,是否存在独立监管机构,是否已经许下国际性承诺。在GDPR中,“充分性”的认定并非一劳永逸,考虑到第三国所有的发展变化,至少每四年要进行一次重新评估。
GDPR关于“充分性”的新规定之一在于增加了适当保障措施。在缺乏欧盟“充分性”认定的情况下,GDPR为企业提供符合适当保障条件下的转移机制:企业约束规则(BindingCorporateRules,下文简称“BCR”)和标准数据保护条款(StandardContractClauses,下文简称“SCC”)[32]。BCR是指,跨国企业认为其公司规则符合欧盟的“充分性”条件,该企业可以自行向具有资质的监管机关(欧盟数据管理机构)提出申请,再由数据管理机构处理申请、进行核查,审核通过后,该跨国企业即可在企业内部进行个人数据的跨境传输。SCC是指,经欧盟委员会批准(或成员国监管机构批准且欧盟委员会承认)的一个不可协商的格式合同文本。企业必须无条件地采用该格式合同文本,只要企业签订该合同,便可以实现数据跨境自由流动。BCR和SCC均在保护个人数据权利的前提下,为企业收集、处理、传输个人数据提供多样化的选择。
至此,欧盟的数据主权战略可概括为:推动欧盟单一数字市场建设,以欧洲规则引领国际数据流动规则。尽管GDPR在保护个人隐私、捍卫国家主权上值得借鉴,但其弊端不容忽视。一方面,GDPR对合规成本、基础设施成本、运营成本要求过高,限制了中小型企业和产业技术的发展。另一方面,GDPR缺乏技术标准、实施细则等细节,为欧盟委员会留有较大余地,而对其他国家近乎严苛的规则有“歧视”嫌疑,极有可能成为欧盟对各国进行牵制的新型政策工具[33]。
(三)中国的跨境数据流动规制路径
1.基于主权原则的本地化存储
中国对跨境数据流动规制的认识相较X、欧盟而言起步较晚,法律制度正处于制定、出台和完善过程中。2017年出台的《网络安全法》作为指导中国网络治理的全局性方针,开宗明义地申明该法主旨在于维护国家、社会、公民安全和网络空间主权。中国最基本的跨境数据流动规则集中体现在第三十七条和第四十至第四十二条当中。第三十七条明文规定了重要数据本地存储原则和数据出境评估规则:在中国境内产生或收集的数据和信息存储在中国境内,关键信息基础设施数据出境必须通过安全评估。第四十至第四十二条初步建立起用户信息保护:网络运营者收集和处理个人信息应遵循合法、正当、必要原则,不得泄露、篡改、损毁个人信息。为落实上述规定,同年国家网信办公布《个人信息和重要数据出境安全评估办法》,再次明确限定了数据出境安全评估的责任主体、评估对象、评估内容等内容,正式建立起我国数据出境安全管理框架。
2.兼顾境内外效力的管辖原则
《网络安全法》的重点在于规范网络空间安全管理问题。虽然数据主权与网络主权概念相近,但这绝不意味着数据主权等同于网络主权。网络是数据流动重要的场所但不是唯一的,数据的接收和发送还可以通过遥感技术、卫星传播等方式实现[21],因此网络主权无法囊括行使数据主权的全部范围,单纯以《网络安全法》作为中国构建跨境数据流动规则、实施数据主权战略的代表并不妥当。2020年7月,全国人大常委会审议并公布《中华人民共和国数据安全法(草案)》(下文简称“《数据安全法》”)。尽管《数据安全法》尚处于草案的初级阶段,但它意味着国家数据安全领域一部统一的基础性法律即将到来。与《网络安全法》相比,《数据安全法》对跨境数据流动规则的完善主要体现在扩大了数据保护的范围。《网络安全法》立足于保护国内个人数据和重要信息,没有对域外数据作出规定,其管辖范围仅限于境内数据活动。《数据安全法》第二条第一款规定在中国境内开展数据活动的都适用于该法,体现属地管理的管辖原则;第二条第二款强调在中国境外开展数据活动损害国家、公共、公民安全和合法权益的,要追究法律责任,明确了属地管理管辖原则的域外效力。境内管辖和域外效力双管齐下,积极回应了以X为代表的长臂管辖原则。此外,《数据安全法》在第三章“数据安全制度”中,对分级分类保护、应急处置机制、安全风险评估、安全审查制度、安全出口管制等方面作出整体规定。
(四)从规制路径差异到国家能力差异
X以强大的综合国力为后盾,主导了跨境数据流动的规则制定,既限制国内关键技术数据的出口,又促进境外贸易数据自由流动机制的建立。欧盟对境外数据控制者、处理者的约束机制较为完备,涵盖了“充分性认定”规则和缺乏“充分性认定”时的救济规则。中国强调网络安全技术,包括发展网络安全技术和运用技术措施抵御危害网络安全的行为。
综上所述,本文发现:美欧中的跨境数据流动规制,主要是围绕对技术的规定和对制度(机制、规则)的规定展开的,也就是说,三个国家和地区跨境数据流动规制措施的区别,主要体现在对数据技术规定和数据制度规定的差异上。根据前文建构的国家能力与跨境数据流动规制路径的关系:一国国家能力决定该国采用何种规制路径,该国规制路径体现其国家能力水平。X、欧盟、中国规制路径的差异主要体现在对数据技术规定和数据制度规定的差异上。由此可以推出:X、欧盟、中国跨境数据流动的规制路径差异体现出各自国家能力的差异,也就是国家数据技术能力和制度能力的差异。
四、多元规制路径中的国家能力差异
(一)国家能力差异的标准与维度
1.国家能力差异的界定标准
结合前文对制度文本关键词的归纳和对具体规制路径的差异分析,本文对跨境数据流动规制中国家技术能力和制度能力内容、高低标准、实现路径的界定如下(如下表4-1):
表4-1 技术能力、制度能力的评判标准
| 国家能力类型 | 评判标准 | |
| 抽象关键词 | 具体标准 | |
| 技术能力 | 主体
美:服务供应商、提供者 欧:数据控制者、处理者 中:网络运营者 | 一国/地区的计算机技术水平、互联网产业水平、数字运营商水平 |
| 制度能力 | 核心立场
美:访问能力 欧:个人数据保护 中:网络安全 | 一国/地区构建捍卫数据主权的规制体系的能力 |
| 代表法案
美:TPP,CBPR,USMCA 欧:GDPR 中:《网络安全法》 | 一国/地区参与国际合作、国际规则制定的程度 | |
“技术能力”包括数据保护技术、数据利用技术、研发和创新技术、技术产业和项目,其高低之别体现为计算机技术、互联网产业和数字运营商水平,也即该国的互联网企业水平。技术能力涉及两个主体:互联网企业和国家。在“企业技术如何转化为国家能力”问题上,一国企业,尤其是拥有前沿技术的企业,在很大程度上满足了提升国家竞争力的需要。而国家拥有合法的强制权力,可以通过立法、出台政策来扶植、监管和调控企业行为,实现将企业技术能力转化为国家技术能力。在此企业和国家相互需要的关系下,企业技术可以视为国家能力。
“制度能力”包括信息保护制度、安全评估制度、等级保护制度、应急制度、国际合作机制,其高低之别体现为,一是各国/地区构建的规制体系捍卫其数据主权的程度,二是各国/地区参与相关国际规则制定的程度,或发挥重要作用的能力。与技术能力不同,国家对于制度而言具有独一无二的主体地位,是最大的权威主体和制度供给主体[34]。在“制度与国家能力的关系”问题上,制度因素一直被视为研究国家能力的核心变量[35]。制度依靠国家确立和实施,尤其是诸如法律法规、政策的正式制度,国家借助制度实现其治理功能与目标。因此在国家规制本国跨境数据流动过程中,国家制度能力就是国家自身主导制定、实施有效规则和政策的能力。
2.国家能力差异的比较维度
作为跨境数据流动规制的理论依据,数据主权代表国家规制跨境数据流动的正当性和权威性,是各国共同追求的目标,各国都不会轻易放弃。国家运用国家能力规制跨境数据流动正是为了完成在数据领域捍卫和争夺主权。因此,本文将技术能力和制度能力的本质功能抽象概括为国家数据主权,即国家的技术能力和制度能力均服务于数据主权。
就数据主权的内涵而言,结合前文数据主权的概念界定,可以从以下四个方面理解:第一,数据是宝贵的战略资源,跨境数据流动是复杂的地缘政治经济议题,是这是国家争夺数据主权的最主要原因。第二,倘若国家对数据缺乏控制,便会在对数据资源和数据主权的争夺中丧失话语权。国家控制权表现为国家排除他国干预,对本国数据占有、使用、管理、处理的最高权力。第三,在不违反国际法前提下,制定怎样的数据法律和怎样制定数据法律是一国内部事务,即数据立法权。数据立法权指为了保护数据主权与安全,国家制定、修改、废除数据领域配套法律法规的权力。第四,除国家的数据控制权和数据立法权外,数据主权的实现方式还表现为数据技术产业的自主发展权。这是保护数据主权的基础,因为国家只有自主发展数据技术、建立数据产业,才能实现有效的国家数据控制。
以上四点,第一点是解释数据主权的重要性,第二、三、四点是数据主权的具体内涵。将此三项内涵分别视为比较能力差异的三个维度,当以数据主权作为技术能力和制度能力的抽象功能时,技术能力和制度能力的差异就体现在数据控制权、数据立法权、数据技术和数据产业发展自主权上。表4-2呈现了这三个维度分别对应的能力类型,以及能力类型对应的具体表现。
表4-2 比较维度、能力类型与能力具体表现一览表
| 维度 | 能力类型 | 具体表现 |
| 数据技术和数据产业自主发展权 | 技术能力 | ①计算机和互联网基础;②计算机和互联网水平 |
| 数据控制权 | 制度能力 | ①管辖模式;②跨境数据流动体系;③代表性立法;④国际参与度 |
| 数据立法权 |
(二)国家能力差异的具体分析
1.X:高技术能力、高制度能力
X高技术能力的主要依据和具体表现为:“电子通信供应和远程计算机服务”水平全球领先,是计算机研发与创新技术、互联网科技和产业的发明者、创立者和先行者。(见表4-3)
表4-3 X:高技术能力
| 维度 | 主要依据(关键词) | 关键词的具体表现 |
| 数据技术和数据产业自主发展权 | 电子通信服务供应商和远程计算服务提供者 | 计算机技术和互联网产业水平领先 |
一是世界上第一台计算机和因特网分别于1946年和1969年诞生于X。二是在全球仅有的13台根域名服务器中,主根服务器仅1台,位于X本土,辅根服务器12台,其中9台分布在X本土。三是在互联网科技上,X制造商垄断了网络核心技术,如因特尔垄断芯片,Windows、IOS、安卓操作系统垄断PC和智能手机。四是在互联网产业上,X共有12家公司跻身全球20大互联网公司,苹果、亚马逊、Alphabet 、微软、Facebook分别占据榜单前5。前文提到的“微软诉X”一案,犯罪嫌疑人的信息即存储在位于爱尔兰的微软数据服务器上。
X高制度能力的主要依据和具体表现是:为提高其对跨境存储数据的“访问能力”,主导了很大一部分跨境数据流动国际制度体系。(见表4-4)
表4-4 X:高制度能力
| 维度 | 主要依据(关键词) | 关键词的具体表现 |
| 数据控制权;数据立法权 | 访问能力,数据的全球自由流动 | 主导跨境数据流动国际制度体系 |
互联网技术和信息资源上的先发优势为X主导制定规则提供了便利。X拥有强势的经济、科技地位,雄厚的自由市场基础,宽松的产业政策,独占鳌头的互联网产业发展,遍布全球的数据基础设施,因此奉行数据自由流动对X而言永远利大于弊。一方面,以TPP、CBPR为代表的多边数据自由流动体系,是X为其他国家制定的路线图,既强化数据同盟与国际合作,又促使这些国家跟随“X标准”对数据跨境流动进行管理。另一方面,以属人原则为主的长臂管辖模式,是在数据自由流动的前提下,确保但凡数据处于X数据服务者的控制下,X调取该数据的行为是合法正当的。至此,从数据技术霸权,到互联网霸权,再到制度霸权,在跨境数据全球流动的过程中,“X技术”“X规则”也走向世界。
2.欧盟:低技术能力、高制度能力
欧盟低技术能力的主要依据和具体表现为:由于欧盟的数字运营商缺乏竞争力,其数据大多存储在境外公司服务器上,且主要是X公司;为了捍卫数据主权,GDPR的主要规制对象为“境外数据控制者、处理者”(见表4-5)。
表4-5 欧盟:低技术能力
| 维度 | 主要依据(关键词) | 关键词的具体表现 |
| 数据技术和数据产业自主发展权 | 境外数据控制者、处理者 | 境内数字运营商缺乏竞争力 |
虽然欧盟工业互联网水平一流,但其民用互联网企业在规模和市场份额上处于相对弱势,始终生存在以Facebook、Apple、Google、Amazon等硅谷巨头为核心的X互联网体系之下。这与欧盟割裂的语言环境、碎片化的市场、福利国家政策和缺失计算机发展历史有直接关联。首先,互联网发展的基础之一是市场。欧洲从未形成过一个大一统的国家,始终在相对狭小的地域内分布着“小国寡民”,彼此间战乱不断,直到组成相对松散的邦联制欧盟。如下图4-1,人口超1000万的国家只有11个。欧盟27个成员国均为主权国家,各自语言、货币、税收体系互不相同且彼此独立。割裂的语言环境加剧了市场碎片化,成为欧盟民用互联网发展的天然障碍。其次,在完善的福利制度下,欧盟平均每周工作时长不超过40.2个小时,闲适的生活方式与互联网要求强大执行力的行业法则相悖。且高昂的人工费用成本也是发展互联网产业的一大阻碍。最后,欧洲缺乏从芯片到计算机再到互联网的发展历史。X计算机技术的突飞猛进得益于二战后大发军火横财,有足够资金投入科技研发。而战后的欧洲忙于重建,丧失了互联网产业的先发优势。先天不足加上以德国、瑞士为代表的欧盟国家具有崇尚工匠精神的传统,保守的、小而美的企业既无力抵挡诸如Facebook、谷歌等海外巨头的进军欧盟,又在与其争夺海外市场时缺乏竞争力,以上因素导致欧盟始终在互联网数据技术方面缺乏建树,甚至面临大量关系国计民生的个人数据流向提供互联网服务的X公司的威胁。
图4-1 欧盟人口超1000万成员国
欧盟高制度能力的主要依据和具体表现为:为弥补数据技术的缺陷,在制度建构上基于“人权”,以“充足保护认定”强化个人数据保护,同时保留相对自由的空间,允许通过“适当保障措施”进行充分性不足时的法律救济。(见表4-6)
表4-6 欧盟:高制度能力
| 维度 | 主要依据(关键词) | 关键词的具体表现 |
| 数据控制权;数据立法权 | 人权;充足保护认定,适当保障措施 | GDPR强调个人数据保护,严格监管数据跨境流动,但保留相对自由的空间 |
依托一体化的传统和基于个体主义的隐私文化,欧盟规制跨境数据流动的制度可以概括为:区域内实行自由流动体系和统一管辖体系、数字化单一市场战略,区域外实行“充分性”认定白名单制度、适当保障措施。GDPR作为全球个人数据保护的范本,其中蕴含的对个人隐私的尊重与保护、对X数据霸权的积极回应、对国际合作与互助的实际考量,顺应了国家捍卫数据主权意识的强化,建立起保护与平衡的新机制[36],既体现了欧盟高超的立法水准,又为其他国家提供了保护个人信息的泛欧制度模板。
3.中国:高技术能力、低制度能力
中国的高技术能力表现为:随着国内互联网产业、科技公司和数字平台蓬勃发展,已实现部分技术自主,强调通过发展“网络安全技术”保障网络安全。(见表4-7)
表4-7 中国:高技术能力
| 维度 | 主要依据(关键词) | 关键词的具体表现 |
| 数据技术和数据产业自主发展权 | 网络安全技术 | 互联网行业和数字平台发展,实现部分技术自主 |
互联网发展催生出大数据,互联网是数据最重要的来源和支撑,各类数据都在互联网发挥价值,因此一国数据技术水平的高低很大程度取决于该国的互联网水平。尽管就互联网历史来讲,中国和欧洲情况类似,甚至基础不如欧洲。但凭借最大单一国家用户群和政策支持,近年来中国的信息技术互联网行业有了突飞猛进的发展,实现了以5G电信网络为代表的部分技术自主。根据《2018年互联网趋势报告》,在全球20家互联网科技巨头中,中国公司共有9家上榜;按OEM厂商总部划分,全球智能手机市场份额中国排名第一;在互联网平台用户活跃数上,中国平台遥遥领先;在数字数据量上,中国规模显著且增长迅速。
中国的低制度能力表现为:《网络安全法》是针对“网络安全”、以“网络运营者”为责任主体的立法;中国目前尚无专门针对数据安全、以跨境数据供应商为责任主体的立法。(见表4-8)
表4-8 中国:低制度能力
| 维度 | 主要依据(关键词) | 关键词的具体表现 |
| 数据控制权;数据立法权 | 网络运营者,网络安全 | 《网络安全法》强调网络安全,规制对象是网络运营者而非数据服务运营商 |
首先,缺乏详尽可行的管理细则和实施办法。《网络安全法》第三十七条包含两种情境,一种是通常情况下坚持数据本地化,另一种是例外情况下允许因“业务需要”的数据出境。针对例外情况,《网络安全法》并未对业务需要的标准、程度,以及安全评估的流程作进一步说明。即使《网络安全法》只是对一般原则进行概括说明,那么《个人信息和重要数据出境安全评估办法》作为《网络安全法》的补充,既没有对业务需要、安全评估的内容和标准加以细化,也没有对数据出境目的地的保护水平进行类似欧盟“充分性”的评估,流程有待明晰,整体操作性不强。其次,在责任主体限定上,跨境数据流动规制中的相关责任主体应当是数据服务提供者和数据处理者,但《网络安全法》的责任主体是网络运营者,不能将二者混同。最后,我国跨境数据流动的专门立法缺位。《网络安全法》的定位是保障网络安全的基本法,《个人信息和重要数据出境安全评估办法》从效力位阶上看不能称之为保障数据安全的基本法。中国专门针对跨境数据安全的《数据安全法》尚处于草案的起步阶段,这势必会影响我国规制跨境数据流动时的制度规范性。此外,在多边合作与谈判中,中国缺乏应有的参与度。作为亚太经济合作组织重要成员国和新兴数据强国,中国理应积极参与跨境数据流动规制体系的制定事务。但从目前世界主要的规制体系(CBPR、GDPR)看,中国在数据规则制定上的国际参与显得被动。
(三)国家能力的类型划分
综合上文对技术能力和制度能力高低标准的界定和水平高低的具体分析,可以建立起图4-2的2×2的国家能力类型象限。
图4-2 国家能力的类型划分
即:类型研究根据国家规制跨境数据流动的技术能力和制度能力,划分出四种类型。
象限I表示技术能力水平低、制度能力水平高,以欧盟为代表。象限II表示技术能力水平和制度能力水平都高,以X为代表。象限III表示技术能力水平高、制度能力水平低,以中国为代表。象限IV表示技术能力水平和制度能力水平都低,此模式不在本文讨论范围内。
结论
跨境数据流动已经成为各国发展道路上无法回避的问题。由于数据本身的开放性、虚拟性特质,以及数据跨境流动过程中涉及到政治、经济、技术、历史、法律等诸多领域,传统的治理手段无法有效应对由跨境数据流动引发的多重风险与挑战。如何实现“保护个人数据隐私”、“数据自由流动”和“国家数据主权安全”的平衡?是推行“数据境内留存”还是“数据自由流动”?是实施“数据控制者标准”的属人管辖,还是“数据存储地原则”的属地管辖?
鉴于各国对数据主权的诉求不一,对以上问题的回答不同,从而形成了不同的规制路径:X致力于获取和管辖本国之外的其他国家更多数据资源,依托技术优势极力推行数据自由流动,实施长臂管辖;欧盟以打造单一数字市场为战略目标,积极构建柔性限制数据流动的规制框架;以中国为代表的后发国家着眼于保护本国数据资源不受侵犯、维护国家数据安全,奉行数据本地存储。
然而,对跨境数据流动的规制不单是一个国家国内的问题,跨境数据流动引发的新情况、新问题也绝非凭一个国家或地区的力量能够解决的。它是事关的全球治理的重大议题。现阶段,国际社会上并未形成权威性的规制体系,主要体现在,数据强国追求霸主地位采用的“进攻型”路径,与数据弱国奉行的“保守型”路径不相兼容,为在国际层面达成治理共识造成阻碍。
在跨境数据流动问题上,一国的数据技术能力和制度建构能力是该国数据主权思维和规制路径的决定因素,又集中表现在该国的规制路径当中。通过“概括制度文本→分析规制路径→总结路径差异→区分能力类型→统一比较维度→论证能力高低”,本文最终得出了国家能力类型的结论,即以技术能力和制度能力为标准,区分X、欧盟和中国规制路径的差异性。
有鉴于此,为了在全球数据资源争夺战中更好地捍卫主权,国家应当从技术和制度上双管齐下,既重视加强国家互联网、大数据能力建设,又加快完善跨境数据保护的制度体系步伐,制定国内法规与加入国际框架并重。
参考文献
[1] 黄宁,李杨.“三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报(哲学社会科学版),2017,32(05):172-182+199.
[2]陈少威,贾开.跨境数据流动的全球治理:历史变迁、制度困境与变革路径[J].经济社会体制比较,2020(02):120-128.
[3]李思羽.数据跨境流动规制的演进与对策[J].信息安全与通信保密,2016(01):97-102.
[4]叶开儒.数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察[J].法学评论,2020,38(01):106-117.
[5]李艳华.全球跨境数据流动的规制路径与中国抉择[J].时代法学,2019,17(05):106-116.
致谢
在本论文完成之际,谨向我的指导老师表示衷心感谢。从选题到设计,从多次修改到定稿,老师始终给予我很大的指导和帮助,严格把关,循循善诱,不断提出有价值的修改意见。老师严谨求实,思维逻辑严密,授人以鱼不如授人以渔,耳濡目染,潜移默化,使我不仅发现自身许多不足,领会到不同于以往的全新思想观念和思考方式,更常常让我产生“山重水复疑无路,柳暗花明又一村”的豁然开朗之感。
四年外出求学,我第一次离开父母的保护伞,父母始终在我背后给予无条件的支持和鼓励。感谢我的父母二十年来的悉心栽培与付出,只愿陪伴多一些。
感谢班主任老师、教务员老师和辅导员梁绰禧老师,给予了我在校的学习生活极大照顾和方便,以及公共管理学院所有的任课老师和行政老师,他们的教诲我将铭记在心。同时感谢我的挚友、舍友和好友,还有师兄师姐的陪伴与帮助,以及2017级行政管理2班所有一路同行的同学,这会是我人生中珍贵的回忆。
我不曾经历过大风大浪,也很少遭遇遍地挫折,四年转瞬即逝,我完成了一篇不是非常完美的论文,度过了有点忙碌的大学时光,但我相信这是一个大浪淘沙的过程,我已经体会到了坚持、决心和自我开解。完成论文、本科毕业不是终点,在接下来的求学、工作中,希望我可以成为保持虚心,乐观且勇于面对挑战与生活的人。
感谢平凡,感谢生活。来日方长,祝我们未来可期!
1、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“文章版权申述”(推荐),也可以打举报电话:18735597641(电话支持时间:9:00-18:30)。
2、网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
3、本站所有内容均由合作方或网友投稿,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务。
原创文章,作者:1158,如若转载,请注明出处:https://www.447766.cn/chachong/159588.html,
