大国战略互信与跨境数据流动管理新模式探索：以“数据主权”为核心推进网络安全战略建设1

（复旦大学）

姚旭（复旦发展研究院）

聚焦大国战略互信，推广“数据主权”这一核心概念，建设和完善国家网络安全战略体系，实践跨境数据流动管理新模式，促进兼顾有效使用和有序管辖的数据自由流动，是应对挑战和改善中国网络安全环境的关键所在。

1 跨境数据流动需要有效治理

网络时代，在全球网络空间形成之后，数据成为至关重要的资源，也成为治理的重点。尽管数据在网络空间以数字化的形式存在，但究其本质，数据是社会现实的映射。换言之，数据是由人创造的，虽然难以用传统方式触及，但并不是“虚拟”的。在移动互联的时代背景下，网络终端是数据资源的主要来源。通过海量分布的传感器（包括GPS、摄像头、麦克风），使用网络的不同行为体，持续不断地产生和记录大量的数据。这些数据，可以看作是物理世界中的行为体在数据世界中的投影。伴随着数据的累积，以及技术的进步，通过数据可以把真实的个人识别和还原出来。从这个意义上说，数据是蕴含着信息的资源或资产。从长远发展看，数据本身也是生产力的资源。进入创新经济时代，数据会变得像工业时代的石油一样，成为国家重要战略资源，如何积累数据、精炼数据以及加工和管控数据，将成为决定国家经济命脉的重要因素。

在经济全球化的当下，数据的流动不能从物理上进行切断，这会阻碍经济发展。那么，如果对数据没有全新的认识，继续从资产的角度上去看待，将会停留在原来的认知水平上，认为它是虚拟的，从这种出发点去制定网络管理、管控的法规、标准、技术手段，是难以应对现在我们面临的问题和挑战的。

网络安全是当下网络治理最重要的议题之一。互联网就像道路，用“疆界概念”区分实际上是对道路联通性的阻碍；而在路上跑的车就相当于数据，车是谁家的、归谁管，是可以区分的。因此，明确“数据主权”概念，就有了抓手，数据放在什么地方，放在哪个设备上，这个设备如何管理，谁可以使用，从某种意义上看，网络安全成败的关键，就在于能否管住这些方面。

跨境数据流动的议题在西方世界其实由来已久，从德国黑森州二十世纪七十年代相关规制的设立后，欧洲地区已经进行了一系列的针对数据保护、隐私保护和跨境数据流动的机制性探索。在面对跨境数据流动这一议题时，需要强调的是以“治理”的思路去看待，而非简单地管理或管控。如果只是以管理或者管控的思路去看待跨境数据流动这一议题，就很容易天然地陷入对于跨境数据流动的钳制当中，这与跨境数据流动本身的内在逻辑不相符合。跨境数据流动自身带有多元参与和共享共治的属性，需要最终在安全性和成长性中寻求平衡。只有相关参与方共同加入治理架构，才可以平衡跨境数据流动过程中对治理结果的需求。

2 大国战略互信是数据跨境流动治理有序实现的必要前提

大国是全球网络空间中至关重要的行为体，对基础设施的有效管辖，干涉数据全生命周期行为的强大能力，以及在建构数据跨境数据流动新模式方面的战略规划和政策执行能力，决定了其无法替代的特殊优势。

大国战略互信，是实现数据跨境流动有序的必要前提。缺乏信任的大国，会倾向于在网络空间采取限制性的行动，对数据流动形成事实上的壁垒，而且会出现竞争性的壁垒升级与政策复制。

现在世界上日渐形成了多种不同形式的跨境数据流动治理模式，其中欧盟、美国和中国都具有自身的独特性。

欧盟在长达半个世纪的时间里为建构全球跨境数据流动治理的框架提供了极具参考价值的蓝本与标准，并在后续以开放的姿态接纳了不同的规制体系。这中间无不体现出欧盟对维系基本权利价值的关注，但这种坚持在某种程度上也禁锢了欧盟在内政外交当中的选择，对于欧盟单一数字市场的有效推进形成了一定的阻碍，进而很可能引起更多的摩擦。

美国虽然在跨境数据流动治理领域没有欧盟那样完整的规制体系，但不意味着美国跨境数据流动治理的强度就是偏低的。美国在保证国内隐私保护的相关法案在国内民众所接受的基础之上，十分强调对跨境数据流动的控制。

中国在跨境数据流动治理及与之相关的数据保护、隐私保护的规制构建上，相对于欧盟是起步较晚地。就现状而言，中国对数据保护的规制体系还十分松散，由各个层面分别主导的、在多个维度上、针对不同的行为体设定的规制还没有形成统一性的框架。不过在业内人士的不断呼吁中，相关立法和规制构建的进程在近年来不断增速。也正是由于中国在跨境数据流动治理领域起步相对较晚，虽然在技术层面不断快速追赶国际先进水平，但总体思路还是以对外防御为主。其总体的核心是保证自身的网络主权与数据主权，在己方没有做好充足准备以应对其它网络强国时，用积极防御的策略和开放的态度来迎接挑战。

3 推广“数据主权”是中国承担大国责任的体现

网络安全领域的博弈，在当今的世界，本质上就是国家主权在网络空间的投影和互动博弈。

根据北约网络战指导文件《塔林文件》的表述，网络时代的“主权”，就是主权国家对位于本国领土上的网络设备和网络基础设施有排他性处分的权力。换言之，北约指出的“主权”，是一种跟着设备和设施走的“设备主权”，通过对“设备”的主权，国家获得了对存储在“设备”中的“数据”的处分权力，这种处置权力是主权派生出来的，因此，对内是至高的，对外是平等。但是，因为技术差距的存在，所以今天世界的基本现实是，发展中国家的用户是数据的主要提供者，发达国家的公司则是设备的主要提供者，而这些存储着发展中国家数据的设备又在客观上处于发达国家的地理疆界范围内。因此，发达国家强调“信息自由流动”，意味着鼓励信息，或者说，蕴含着信息的数据自由而不受限制地跨越发展中国家的边界，进入位于发达国家地理边界的设备里被存储起来。

应对这样的挑战，不能简单地通过阻断“数据自由流动”来进行，因为这违反了生产力发展的客观规律和趋势，并会因噎废食地失去信息技术发展带来的巨大收益。相关主权国家需要做的，是以“数据主权”保护者的身份出现，并强调以下三点：

第一，用户创造的数据进入存储设备的行为并不意味着数据所有权无条件让渡给设备拥有方。提供数据的合法用户拥有确保数据被妥善使用、不威胁自身利益的权益，对数据的处分享有最终的主权。任何对数据的处置应该得到用户的明确授权，特别是在对数据进行挖掘的时候。

第二，国家尤其是发展中国家，追求实现的目标不是阻断数据的自由流动，或者用主权壁垒分割全球网络空间，而是要保障所有国家，包括技术能力暂时处于弱势地位的国家，不会因为能力的差异而导致合法利益受到损害。主权国家追求的目标，是数据的使用能够促进数据初始提供者的利益，而非成为少数掌握了技术优势的行为体过度追求自身利益的工具。

第三，对国际社会来说，对数据的使用和处置，必须遵循人类共同财产原则，也就是尽可能让大多数的行为体都能从中获益。掌握技术优势的先进行为体，无论国家、公司亦或某种形式的联合体，都不应该不加节制地滥用自身的优势，威胁、挤压乃至剥夺弱势行为体的合法权益。

4 三管齐下推进国家网络安全战略建设

有了“数据主权”核心概念的支撑，推进中国国家网络安全战略建设，还需从战略、话语、技术方面三管齐下。

第一，从战略角度来看，中国应当构建统一的国家网络安全战略体系，遵循统筹全局的顶层设计，及时调整乃至变革中国网络安全管理的整体架构。依据维护“数据主权”的要求，目前以“封”、“堵”、“删”、“控”为主要手段的网络政策管理体系，需要系统的调整、变革和创新。中国应以更加自信的心态，迈入维护“数据主权”为主要任务的新时代。

第二，从话语角度来看，推进中国国家网络战略建设，需要向全世界广泛推进以“数据主权”为核心的话语体系，消解美国借助“互联网自由”构建起来的舆论优势。不掌握话语权，尤其是如果不掌握全球舆论空间的话语权，会使得中国无法推行国家网络安全战略，因为中国要推行的是开放式的网络安全战略。而与美国的相似之处在于：中国与美国一样，都需要依靠全球网络空间的数据自由流动才能从中获得自身发展所需要的经济、社会收益；主要的区别在于，中国无论是现在还是可见的将来，都无意在全球网络空间复制美国的霸权。不管是出于建设中国国家网络安全战略的需要，还是建设和维护良性的国际网络空间秩序，中国都必须将更加体现发展中国家以及弱势国家需求的“数据主权”概念推向全球，进而争取话语权领域的主动。

第三，从技术角度看，强化中国的基础研究能力和拓展行业技术研发能力，掌握从基础原理到商业应用的完整产业生态链，是从长期、根本上扭转中国的战略被动地位的关键所在。

从实践角度看，应对跨境数据流动必须明确总体治理的大框架，必须认识到跨境数据流动治理的水平应与时俱进不断提高，不论是对于相关从业者还是监管部门而言，都必须想办法找到监管与自由间的平衡点。不论是从哪种路径出发，最终的落脚点都是在可持续的共同治理机制的形成上。因此可以从跨区域或者次区域合作入手，确立最佳实践的案例，以自下而上和自上而下相结合的方式，促进和推动有序流动和有效管辖的跨境数据流动新模式早日实现。

5 综合型高校研究机构与智库应发挥更大作用

综合型高校相比而言有着研究交叉范围更广泛、学科建设布局更完备的优势。就网络安全与跨境数据流动治理领域而言，高校研究机构与智库应该更多围绕这一越来越迫切的国家重大战略需求，立足高校自身优势和特点，按照“总体设计、点面结合、突出重点”的原则，创新体制机制，建立形式多样、结构合理、内外兼顾的研究组织形式。

针对跨境数据流动治理与网络安全这一学科交叉性、理论实践性高度结合的议题，高校研究机构与智库理应在战略性、长期性、理论性和深入性的研究上做出更大的贡献，更多地组织前瞻性、储备性研究，回应国家和社会关切的重大理论和现实问题。在跨境数据流动治理这样一个典型的跨学科、跨类别的跨界研究领域，政治学、法学、信息科学、新闻传播学、社会学等多种学科范式必须进行更加深度的融合。高校研究机构与智库应该下功夫整合资源，将相关学科研能力和知识储备有机结合，在学术层次上推进跨境数据流动治理协调机制理论的成型。