数据主义视角下美国跨境数据政策演进及我国的应对

丁 玮

(哈尔滨工程大学 人文社会科学学院，黑龙江 哈尔滨 150001)

在全球信息化时代，海量数据的跨境存储、传输、分析处理，亦成为难以阻挡的发展趋势。在数据全球化的时代，数据跨境流动中的个人数据和信息保护，成为各国立法关注的重要问题。本文以数据主义为研究背景，分析数据主义时代的基本问题，溯源数据全球化下美国跨境数据政策的演进和影响，探讨我国应对数据主义时代跨境数据安全和个人信息保护的政策问题。

一、数据主义时代的问题

(一)数据中心主义

“数据”或更确切地说“大数据”已经定义了当今的社会。正如大卫·比尔(David Beer)在《数据凝视：资本主义、权力和感知力》[1]中所描述的，我们永远处于“数据凝视”(Data Gaze)之下，该“数据凝视”提取、分析和预测关键变量，这些变量被用来以越来越细化的方式定义我们的世界，直至个人。

无论批评、担心抑或歌颂，我们正身处在以数据为驱动的(data-driven)时代，也可以说是数据中心主义(data centrism)、数据资本主义(data capitalism)为特征的时代。本文采取了较为中性的概念——数据中心主义。数据本身可以使我们“成为更好的人，更健康，更高效，更擅长联系、互动和选择”，数据具有“塑造我们的绩效水平，我们的能力”的潜力。数据打造了信誉度，满足了我们作为客户的需求等等。显然，这种愿景无处不在，数据不仅改善了从个人生活方式到国民经济以及公共行政管理的每个方面，而且改善了人本身。比尔甚至用“信念”一词来形容对这一新兴技术的态度，即所有答案、解决方案乃至生命的最终含义都在于数据。而且，这种信念似乎也是自我强化的，积累的数据越多，寻找新的工作和解决新问题的压力就越大。

在新的数据秩序中，由数据驱动的公司实现了强大的人机结合，可进行快速的实时决策。没有专门知识的人可以通过访问数据就能够获得并运用相关领域的专门知识。超大体量和超多样性的全景式大数据分析能够提供具有启发意义的准确方案和见解，并具有预测未发生事件的潜力，从根本上改变了管理和决策的能力。在此，权力的真正拥有者是数据解释者。(1)参见网络书评Book Review: The Data Gaze: Capitalism, Power and Perception by David Beer，https://blogs.lse.ac.uk/impactofsocialsciences/2019/02/03/book-review-the-data-gaze-capitalism-power-and-perception-by-david-beer/。

数据分析师和数据工程师理清混乱的数据，解决问题，形成新的知识，分析社会状况，从而“将虚拟的数据转化为有形的东西”。因此，正是这些人才真正具有代理权，可以对数据进行分类和解释，即使自动化也正在渗透到他们的领域。而且，由于数据注视不仅是监视，而且是自我监视，因此即使这些活跃的代理人也无法在不断的“追求完美见解和越来越细化的数据社会”中逃脱其审查，因为数据注视分析一切可分析的事物，包括他们自身。[2]

几个世纪以来，价格一直是使市场运转的润滑剂，有助于克服人为的缺陷。尽管我们认识到无法同时处理多种信息来源，但价格和金钱使我们能够在复杂的市场中看清方向。可是，大数据以及通过分析和机器学习对其进行的智能应用已经破坏了明智的消费者的选择途径。当任何具有互联网访问权限的消费者可以使用智能工具将其需求和期望与合适的产品相匹配时，价格就不再那么重要，不再是主要的决定因素。数据是新的市场“最有价值球员”(MVP)。实际上，它远不只是“新的石油”。数据不是等待改进和使用的资源，而是将要改变我们的经济及其机构的未知要素。[3]从某种意义上说，像Facebook和Amazon这样的超级巨型公司的统治是工业革命以来最大的政治挑战。最终的悖论和机遇就在这里：超级巨型公司保存了大部分数据，而全世界收集的所有数据中有85%仍未被使用。权力和投资机会不仅存在于数据本身，而且最终取决于市场参与者如何明智地使用数据，从而重新定义资本和资本主义。

(二)数据帝国主义/殖民主义与数据保护主义的兴起

早在1978年，约翰·艾格(John M. Eger)就预言了“跨境数据流”问题。在彼时，计算机与通信技术结合在一起，是“跨境数据流”争议的核心。 计算机通常被称为信息时代的象征，就像更早时代的蒸汽机一样，这些发明不仅改变了工作的性质，而且改变了生活模式。[4](P.1055)数据流动是信息时代的基本特征。数据在国际范围内的自由传输对于跨国企业的业务交易和科学文化信息的共享是必不可少的。然而，颇具讽刺意味的是，各国以保护涉及隐私、安全和跨越国界信息的机密性为主要名义的政策和立法为数据跨境流动筑起堤防。(2)在20世纪70年代，已有18个国家制定了隐私权或“数据保护”法律。其他发达国家和发展中国家在安全方面也有类似的或者正考虑制定的数据保护法律。加拿大、法国、德国、挪威、瑞典、丹麦和美国制定了隐私法。奥地利和比利时的议会制定了隐私权立法。荷兰和西班牙也起草了类似的法律。芬兰、爱尔兰、意大利、日本、新西兰、瑞士和英国正在研究起草类似法律。转引自John M. Eger, “Emerging Restrictions on Transnational Data Flows: Privacy Protection or Non-Tariff Trade Barriers”, Law and Policy in International Business, 10(4), 1978, p. 1055。这些政策法律的适用、解释和执行可能实际上切断了数据流，对跨国经济、社会、文化活动以及“信息产品”的输入输出，带来深远的影响。

数据跨境流通的根本问题除了世界贸易之外，还包括技术转让、外国援助和其他与国内经济、社会和政治政策有关的重要问题。“数据帝国主义”是许多发展中或者欠发达国家关注的国家主权与生存问题。与此相关的另一个概念是“数据殖民主义”。(3)印度法律和IT部长Ravi Shankar Prasad表示，印度需要认真对待隐私，而信息隐私也是不可或缺的，这意味着一个人必须控制其数据及其商业用途，数据帝国主义将不被接受。参见Data Imperialism, https://www.jatinverma.org/data-imperialism。殖民主义是一种国家政策，其目的通常是在经济上占主导地位，以扩大或保留其对其他人民或领土的权力。帝国主义是一种政策或意识形态，通常是通过军事力量或获得对其他地区的政治和经济控制来实现国家对外国的统治。如果说殖民主义是指一个国家对另一个国家进行实际控制的过程，那么帝国主义是指政治上和货币上的统治，无论是正式的还是非正式的。因此，数据殖民主义被定义为国家和跨国公司对数据所有权的激烈竞争，这一过程不仅保留了我们的个人信息，还跟踪了我们的日常工作、习惯、行为和沟通。根据这些定义，在信息时代，我们不能仅凭其实际存在，如地理范围和人口等来定义国家。我们都生活在Facebook、Twitter、Instagram、Google、Airbnb、Uber和数百种其他移动应用程序构成的虚拟边界内。以Facebook为例，尽管它不是一个国家，但是这家美国公司拥有的数据包括每月超过20亿活跃用户的个人信息。从这个意义上讲，这个最受欢迎的社交网站拥有了世界范围内的为数众多的“殖民地”。与石油不同，数据不是自然界发现的物质，数据的使用必须适当。社会数据的收集和处理通过我们称为数据关系(data relations)的过程得以展开，该过程可确保将“自然”的日常生活转换为数据流，基于不断跟踪的新社会秩序，为社会歧视和行为影响提供了前所未有的新机会。殖民主义的历史有助于理解这一过程，数据关系形成了一种新的数据殖民主义形式，通过数据规制了对人类的剥削，就像历史上的殖民主义占领领土和资源并统治人类以牟取暴利一样，数据殖民主义为资本主义进入一个新的阶段铺平了道路。(4)这里的“殖民主义”不仅仅用作隐喻，也不是对领土殖民主义历史形式的呼应或简单延续，而是指一种21世纪独有的殖民主义新形式。Couldry和Mejias认为，数据殖民主义将殖民主义的掠夺性历史与抽象的计算方法相结合，理解大数据就意味着理解资本主义当前对这种新型连结的依赖。正如长期的历史殖民主义提供了工业资本主义出现的必要前提条件，随着时间的流逝，我们可以期待数据殖民主义将为资本主义进入新阶段提供前提。参见Nick Couldry, Ulises A. Mejias, “Data Colonialism: Rethinking Big Data’s Relation to the Contemporary Subject”, Television & New Media, Vol. 20(4),2019, pp. 336-349.

长期以来对美国在信息技术领域的领先地位感到沮丧的欧洲工业化国家，转向保护主义的新形式——制定和实施数据保护法。信息即是权力，存储和处理数据的能力赋予一国在政治和技术上相较于他国的优势，反过来可能会导致他国跨国数据流的国家主权的丧失。尽管并非其初衷，许多欧洲国家和地区正在以各种数据保护法努力保护“国家主权”免受这种威胁。第一个以隐私权名义限制信息流通的是瑞典，由于发现瑞典公民的资料被瑞典以外的2000多个数据系统存储和处理，瑞典于1973年颁布了数据法案(5)The Swedish Data Bank Statute (1973: 289) of May 11, 1973.。根据该法，任何传输到瑞典以外的数据文件和个人数据必须经过数据检查委员会批准。此后，德国、法国以及加拿大等国相继颁布了数据保护方面的法律法规。(6)The German Act of January 27, 1977, titled Law for the Protection of Personal Data Against Misuse in Data Processing, became effective in January 1978; The French Data Protection Law of 1978, Data Processing, Files and Freedom Act; Canadian Human Rights Act, 1976.以此为起点，经过40多年的发展，欧洲数据保护主义的路线图在《欧盟数据保护条例》(GDPR)上达到了一个新的高度。另一方面，发展中国家不甚关心作为商品或具有财富价值的数据。如前所述，他们的主要关注点是文化泛滥、外国媒体报道失衡以及发达国家不愿意分享其信息产品和技术的数据帝国主义/数据殖民主义忧虑。发展中国家除了施行数据保护的政策法律以外，高科技产业国有化也是其数据保护主义的一种方式。只要世界上还存在数据技术洼地(7)“洼地”相对于“高地”，是指近似封闭的比周围地面低洼的地形。本文用“数据技术洼地”指代在信息数据技术领域处于落后或劣势的国家或地区。，数据保护主义就会大行其道。即便像美国这样的信息和数据技术的领头羊，也存在类似的顾虑和隐忧。

二、美国跨境数据政策的演进

(一)早期美国跨境数据政策

20世纪70年代，美国的政策决策者和政治团体尚未充分认识到新兴的跨境数据壁垒的重要性及其对数据存储、传输、利用等的潜在影响。同样，美国也很少关注综合性的国家层面的信息政策需要。相反地，美国将该领域的政策下放给多个政府机构，而这些机构缺乏足够的协调与合作。尼克松政府时期成立的电信政策办公室(OTP)是早期的产物。国际信息政策的权限在国务院国际电信政策办公室和环境与科学事务(OES)办公室之间划分。这些问题的管理权力也可以由国家安全委员会、中情局、新成立的国际传播署(International Communications Agency)以及国务院、商务部、财政部和国防部共同行使。

作为计算机、互联网与信息技术的发源地，美国优先考虑将国家通讯和信息政策与国内自由市场竞争的经济政策相结合，其次要兼顾版权和隐私权保护。崇尚自由企业系统的资源分配，以及消费者与企业间的关系由市场力量主导。与非市场经济国家相比，美国依靠间接的而非直接干预的政策手段。该政策促进了科技企业的快速成长以及数据与信息的跨境自由流动。然而，该跨境数据政策的一个显著的负面后果是，美国以外的国家开始一个接着一个地制定政策和法律，试图控制数据的处理、存储，转移和使用。

作为美国跨境数据政策发展的重要步骤，1975年跨国企业咨询委员会和1978年国际数据处理小组委员会相继成立。众议院国内政策委员会制定了总统审查备忘录，涉及在美国和国外适用的隐私法，以及与关注国家安全的重要法律的关系。与欧洲的意识形态形成对比的，是美国的隐私保护方法的实用主义。 美国对于隐私保护的第一次努力是召开滥用信用信息的听证会，产生了《公平信用报告法》。(8)Fair Credit Reporting Act, 15 U.S.C. §§ 168 la-1 681t (1976).1974年《隐私法》(9)Privacy Act of 1974.仅适用于政府或公共部门。依据该法成立的隐私保护研究委员会，其目的是审查根据该法案提供保护的有效性，专门检查私营部门的记录保存方法，“以便确定有效的个人保护标准和程序信息”，并对适用于私营部门的原则或范围提出建议。

欧洲对数据保护采取更宽泛的看法，并寻求人们免受公共机构和私人的侵害。与大多数欧洲国家不同，美国不采用“综合”立法方法，而采取逐案检验的方法。美国承认个人、公共机构和私营部门的区别。特别是隐私保护研究委员会分析私营部门的特定利益，例如在消费者信贷、储蓄、保险和就业中，根据个人在每个类别中个人信息的相对能力而采取不同的处理方式。显然，美国在跨境数据限制和隐私保护政策方面落后于欧洲国家，其对隐私立法的态度已经使它容易受到新兴的跨境数据的影响。1974年的《隐私法》仅针对公共部门，不能保护个人免受私人公司的侵害。此外，该法律不适用于非美国公民的个人。某些欧洲国家禁止获取个人信息，不是因为相关法律禁止转让，而是因为美国没有保护外国国民信息的互惠立法。美国隐私保护立法的不足导致其面临着跨境数据流问题，美国私人实体实际上可能被数据壁垒包围，并被隔离在跨境数据流之外。[5](P.20)

(二)《存储通信法》(SCA)对第四修正案的扩展

The Stored Communications Act(SCA)(10)Stored Communication Act (SCA), codified at 18 USC Chapter 121§§2701-2712). 它是针对1986年《电子通信隐私法》(ECPA)的Title II制定的一项法律，涉及第三方互联网服务提供商(ISP)自愿和强制披露的“存储的有线和电子通信及交易记录”。颁布于1986年，该法案规范了两种类型的服务提供商电子通信服务(ECS)提供者和远程计算服务(RCS)提供者。强制ECS提供商披露超过180天的存储内容或强迫RCS提供商披露内容，政府可以采取三种强制措施：授权令、传票加通知书或第2703(d)条命令(“超级”搜查令)和通知。在这种要求下，SCA限制了政府强迫互联网服务提供商(ISP)披露客户信息的能力，以及ISP自愿向政府披露信息的能力。

美国宪法第四修正案保护个人免受“不合理的搜查和没收”。根据Katz V.UnitedState的说法(11)389 U.S. 347 (1967).，第四修正案适用于被社会承认的个人对“隐私实际的或主观的期待”。然而，法院在States V. Miller(12)425 U.S. 435 (1976).案中确立了今天仍然适用的第三方原则，即个人自愿将其拥有的信息透露给第三方，则不享有合理的隐私期待。SCA将电子记录的隐私保护扩展到类似于第四修正案规定的内容。微软爱尔兰公司正是基于SCA提出的对抗政府的隐私保护主张。

(三)United States v. Microsoft Corporation (Microsoft Ireland) (美国诉微软公司案)

2013年，纽约的执法人员根据《存储通信法案》(SCA)，要求微软披露一位被怀疑涉嫌贩毒的用户的电子邮件账户信息。微软遵守了该指令涉及的存储在美国的数据，但声明其余所请求的数据存储在爱尔兰，该数据未包括在指令的参数之内。微软随后申请撤销指令。地方法院法官驳回了撤销的动议。第二巡回法院推翻了地方法院的裁决，认为根据SCA的语言和目的，其调整的内容并未扩展到海外数据。美国政府上诉到最高法院，此即为United States v. Microsoft Corporation(Microsoft Ireland)(13)United States v. Microsoft Corp., 584 U.S., 138 S. Ct. 1186 (2018).(美国诉微软公司案)。微软取消搜查令的尝试，将一直困扰立法者和学者多年的问题推到了最前沿，即在当今时代SCA如何适用于国际化数据存储。

(四)CLOUD法案对SCA的修改

但是，今天大多数提供商都承担这两种功能。技术发展使SCA的实施变得复杂。就微软公司的爱尔兰诉讼而言，焦点问题是第2703(d)号命令是授权令、传票还是混合形式，最高法院可以根据不同法理和宪法解释作出关于域外适用的不同结论。为了解决美国对存储于境外的数据行使法律执行权，国会通过了The Clarifying Lawful Overseas Use of Data (CLOUD)Act(14)《澄清域外合法使用数据法》，The Clarifying Lawful Overseas Use of Data (CLOUD) Act, 该法案于2018年3月23日签署成为法律。，通过修改SCA并特别授权政府实体强迫美国的提供商移交存储在另一个国家的数据。

从2014年开始，参议员Orrin Hatch多次提议Law Enforcement Access to Data Stored Abroad(LEADS)法案，该法案以将SCA扩展到在国外存储的数据的方式解决美国诉微软一案中的问题。奥巴马政府在2016年提出了类似的立法。[6](PP.487-488)但是， 无论是LEADS法案还是其后继CLOUD法案(2018年2月提交众议院和参议院)，都没有能够在国会引起关注，或是召开听证会。然而，一旦微软案在最高法院进行口头辩论，SCA改革就无法停止了。为了解决微软案的问题，CLOUD法案修改了SCA，根据SCA的指令即可强制披露由美国公司所持有的海外数据。在政府和微软双方的同意下，最高法院根据该法提交了新的数据指令，使该案未决，并撤销了第二巡回法院的裁决。

三、CLOUD法案的争议及影响

(一)争议

美国国会于2018年3月通过的CLOUD法案包含两部分内容。首先，该法案授权美国与其他符合某些标准(例如尊重法治)的国家达成协议，解决法律冲突问题。为了调查严重犯罪，CLOUD法案协议可以用于取消每个国家/地区法律的限制。其次，CLOUD法案明确美国可以要求一个国家/地区的管辖范围内的公司提供其控制的数据，无论该数据在何时何处存储。

根据《法案白皮书》(15)“Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act”, White Paper, April 2019. www.justice.gov/CLOUDAct.的介绍和解释，CLOUD法案的目的是使外国和美国的调查人员获得服务提供商持有的电子信息的访问权，该电子信息对于各国调查恐怖主义、暴力犯罪、儿童性剥削和网络犯罪等严重犯罪至关重要。对于管辖权及法律冲突问题，CLOUD法案协议的任何合作伙伴都同意在某些情况下删除两国都认为合适的限制提供商遵守协议的法律规定。因而，签署了CLOUD法案协议的国家能够使用熟悉的国内法律程序授权访问数据，并确保另一方的法律不会成为遵守其合法秩序的障碍。根据协议提出的请求，必须相互尊重两国的利益。截至目前，美国分别与欧盟(16)“Joint US-EU Statement on Electronic Evidence Sharing Negotiation”, Department of Justice, Thursday, September 26, 2019. 从联合声明的标题、措辞与内容上看，美国与欧盟和澳大利亚的谈判存在较大差异，与欧盟的联合声明在标题上并未体现“ClOUD法案”或者“协议”字样，且声明内容简短。可见，美国与欧盟在CLOUD法案谈判中存在严重分歧，未来合作执行该法案难度较大。、澳大利亚(17)“Joint Statement Announcing on United State and Australian Negotiation of a CLOUD Act Agreement by U.S. Attorney General William Barr and Minister for Home Affairs Peter Dutton”, Department of Justice, Monday, October 7, 2019.进行了CLOUD法案谈判，并发表了联合声明。英国是第一个与美国正式签署《打击网络犯罪和恐怖分子跨界访问数据协议》(18)“U.S. and U.K. Sign Landmark Cross-Border Data Access Agreement to Combat Criminals and Terrorists Online”, Department of Justice, Thursday, October 3, 2019. 美国与英国实施CLOUD协议需要解决的新问题，包括可能达成区域协议、执行机制、管理模式、权力机构、人权标准以及问责制和审查等等。的国家。

美国国内对CLOUD法案的反应不一。[7](P.613)美国政府、许多美国科技公司(19)新的《澄清域外合法使用数据法》反映了越来越多的赞成保护全球互联网用户，并为跨境治理提供访问数据的逻辑解决方案。引入两党立法是朝着加强保护个人隐私权，减少国际法律冲突，使我们所有人向更加安全的方向前进。Joint letter from Apple, Facebook, Google, Microsoft and Oath.和一些法律学者表示支持法案。支持者认为这是现代刑事调查所必需的，对先前关于跨境数据可访问性的模糊标准问题做了很好的回答。随着行政协议的推进，所有有关方面将有机会审查提议的协议，并就该法案的隐私和人权要求是否得到满足提供意见。行政协议还为美国提供了一种评估外国人身份的新机制，并确保政府对数据的要求符合该法案的隐私保护标准。因此，该法案为正在进行的政府获取数据的权利标准的公开辩论奠定了基础。它提供了促进隐私与改善全球伙伴国家的人权实践的机会。[8]另一方面，公民自由团体和隐私提倡者认为该立法允许外国政府根据不符合美国法律的标准窃听美国本土；(20)“Allow foreign governments to wiretap on U.S. soil under standards that do not comply with U.S. law”.参见《关于CLOUD法案的联署信》(COALITION LETTER ON CLOUD ACT)，https://www.aclu.org/letter/coalition-letter-cloud-act。赋予行政部门在没有国会同意的情况下批准订立外国协议的权力；可能促进外国政府获取用于维护人权的信息，如虐待、酷刑等；允许外国政府获得可能不符合宪法标准的美国个人的信息。该法将过多的权力交到行政部门手中，而缺少防止滥用的机制。缺乏对在外国的美国人的言论自由和隐私保护，侵犯了基本人权。(21)COALITION LETTER ON CLOUD ACT, Advocacy for Principled Action in Government, American Civil Liberties Union, Amnesty International USA, Asian American Legal Defense and Education Fund (AALDEF), Campaign for Liberty Center for Democracy & Technology, Center Link: The Community of LGBT Centers, Constitutional Alliance Defending Rights & Dissent, Demand Progress Action, Electronic Frontier Foundation, Equality California, Free Press Action Fund, Government Accountability Project, Government Information Watch, Human Rights Watch Liberty Coalition, National Association of Criminal Defense Lawyers, National Black Justice Coalition, New America’s Open Technology Institute, OpenMedia, People For the American Way, Restore The Fourth. https://www.aclu.org/letter/coalition-letter-cloud-act.

(二)影响

CLOUD法案对国际社会产生了重大影响。如前文所述，澳大利亚政府支持该法案，并与美国签署了联合声明，称赞该法案保护个人的同时提高了数据执法的效率和能力。然而，澳大利亚的积极反应与国际社会的普遍反应并不一致，尤其是欧盟成员国因CLOUD法案缺乏与通用数据保护条例(GDPR)的兼容性而强烈反对该法案。欧盟司法专员将该法案描述为“快速程序缩小了欧盟和美国潜在的兼容解决方案的空间。[9]法案被视为“不可阻挡的武器”，令美国“统治世界”，美国科技公司持有的数据将不再是安全的。[7](P.613)欧盟《通用数据保护条例》(GDPR)在CLOUD法案通过两个月后正式生效，其宗旨是为欧盟成员国提供更加强大的个人数据隐私保护的法律框架。GDPR是一项具有约束力的法律，可在所有欧盟成员国中强制执行。与其他隐私法规相比，GDPR给予欧盟公民控制、删除其个人数据的权利，即使这些数据存储在其他国家/地区。GDPR的另一项重要规定是禁止将个人数据以任何不符合GDPR的方式转移至欧盟以外的国家/地区。GDPR框架下数据共享限制与CLOUD法案的要求之间存在潜在的法律冲突。

为了应对不受保障的外国监视和加强地方机构的执法活动，数据本地化的强制做法被合理化了。印度最近发布了一项指令，要求所有与在印度进行的金融交易有关的数据都必须存储在印度本地的服务器上。 此外，印度议会也正在考虑一项法案，该法案要求在印度收集、共享或处理的所有数据都必须物理存储在印度境内。(22)Personal Data Protection Act, ch. 2 § 8, Acts of Parliament, 2018 (India).越南《网络安全法》2019年1月1日生效，该法要求越南境内的数据本地化，适用于通过越南互联网提供服务的外国和国内企业，参与收集、分析和处理的个人数据，以及越南用户生成的数据。[10]

数据本地化的实际效果值得观察和研究。数据监视技术无需进行物理访问即可进行，对数据滥用的国际不法行为的惩治也难以奏效。然而，数据本地化却为本地执法机构滥用数据隐私打开了大门。复制数据会增加数据存储成本，并对国际贸易产生负面影响。此外，强制性的数据本地化与自由的互联网思想背道而驰，导致互联网的“巴尔干化”。亚洲国家强制数据本地化立法显示，CLOUD法案并没有实现访问境外数据的立法目标，外国仍然不愿允许美国自由访问其本地数据。(23)印度、越南、新加坡等国家纷纷制定数据和信息保护法，限制数据和信息的跨境传输。

四、CLOUD法案的主要问题

首先，法律冲突。服务提供商必须披露所有根据合法程序拥有、保管或控制的数据，无论数据的位置如何。《欧盟通用数据保护条例》(GDPR)对何时将欧盟持有的数据转移出欧盟设置了许多限制，包括响应非欧盟国家/地区法院发布的指令。(24)《通用数据保护条例》第 48 条规定：“未经欧盟授权的传输或者披露法院或法庭的任何判决以及第三国行政当局要求控制人或处理者转让或披露个人数据的任何决定，只有在以任何方式得到承认或强制执行时，才能基于请求国与欧盟或成员国之间生效的国际协定，如司法协助条约，而不影响根据本章转让的其他理由。”GDPR第48条规定，只有基于“没有偏见的国际协议，如司法互助条约，才允许数据的跨境转移”。(25)GDPR, art. 48.鉴于没有这样的国际协议授权提供商响应美国的要求转移欧盟持有的数据，他们需要根据欧盟数据法或者其他法理基础进行跨境数据转移。GDPR第49条中规定了两种例外情况：“一是重要的和必要的公共利益；二是合法的数据控制者的利益不会被数据主体的利益所取代。”(26)GDPR, art. 49.否则数据控制者或提供者跨境转移数据的行为即违反欧盟数据保护法。因此，法律冲突不可避免，只有美国与欧盟签署双边协议才能消除各自数据法律中的障碍。

其次，访问权限。法案的第二部分规定了外国政府访问美国数据的内容。SCA禁止美国的提供商向外国政府披露信息内容，即使是调查与外国犯罪有关的外国公民。吊诡的是，CLOUD法案协议仅授权外国政府访问位于美国境外的外国人的数据。如果外国政府要求访问美国公民、合法永久居民以及其他位于美国境内的人的数据，外国政府仍然必须继续采用MLAT程序。(27)Mutual Legal Assistance Treaty(MLAT)(《司法互助条约》)。解决此类法律冲突问题一般通过制定“共同法律”，启用”司法互助条约”或“协议”(“ MLAT”)。执法机构可以根据该条约或协议请求外国帮助获得数据。外国相关机构根据其国内法律标准审核要求，并可以请求国内法院依据司法程序作出裁决，外国执法机构依据法院裁决将获得的数据传送给提出要求的政府。具体取决于相关协议国家和要求的复杂性，此过程须经很多步骤和较长时间，对数据时代各国跨境司法互助和刑事调查提出了挑战。很显然，CLOUD法案对美国访问外国数据与外国访问美国数据设置了双重标准，这种差异是关键性的、也是不平等的。

第三，“合格“政府的审查。为了打击严重犯罪和恐怖主义，CLOUD法案加强了外国政府对跨境电子数据的有效访问。它提供了一种机制，让某些外国政府绕过司法互助协议系统，调查严重犯罪并直接要求美国服务商提供数据。然而，CLOUD法案是一个需要通过签署双边协议保障实施的法案。合格的外国政府仅限于那些与美国达成数据共享协议的政府。(28)外国的立法和法律实施是否符合法治原则和尊重权利，主要基于以下因素：诸如在《布达佩斯公约》(Budapest Convention)中列举的，充分的实质性和程序性的网络犯罪和电子证据法律；尊重法治和非歧视原则；遵守可适用的国际人权义务；规范收集、保留、使用和分享电子数据的明确法律授权和程序；关于收集和使用电子数据的问责制和透明度的机制；显示出对信息自由流通和全球互联网的承诺。参见“The Purpose and Impact of the CLOUD Act”, White Paper, April 2019, http://www.justice.gov/CLOUDAct。外国政府只有在以下情况下才有资格签订协议：总检察长与国务卿共同证明并附上解释，外国政府在有关数据收集活动方面“对隐私和公民自由提供强有力的实质性和程序性保护”。(29)CLOUD Act § 105(a) (to be codified at 18 U.S.C. § 2523(b)).CLOUD法案在拟签署的双边协议中设置了单方面的审查程序和标准，可能是阻碍推广CLOUD法案和签署双边协议的主要因素。

第四，正当程序。 CLOUD法案不仅涉及美国适用于海外数据的搜查指令，而且简化了外国执法部门访问存储在美国的数据的程序，允许服务提供商向与美国有“执行协议”的外国政府披露信息。此外，该法案还允许没有达到《窃听法》(30)Wiretap Act. 《窃听法》涉及对电子和有线通信的拦截，其中包括“通过使用设施借助电线、电缆或其他类似的连接来进行通信的全部或部分语音传输”。要求的外国政府实时拦截在美国内部的数据。这样的国际访问以前是通过国家间的双边司法互助条约(MLAT)，协助外国政府的刑事司法调查。 MLAT流程确保所有存储数据都是通过所在国家/地区的法律体系来获取，而不是由外国政府直接提供在私有实体上的存储数据。由于执行协议由美国商务部制定，行政部门拥有设定或限制域外数据访问的巨大权力，这将会引发程序正当性问题和价值冲突。

最后，国际数据立法。一方面，CLOUD法案代表了通过国内法规而非国际会议，制定新的标准和规则的一种国际立法形式。实质性的和程序性的数据隐私保护作为缔结双边协议的前提条件，普遍地提高了数据隐私保护标准。这种通过区域立法进行的国际立法并不新鲜，GDPR是另外一个例子。通过适用GDPR的隐私权标准和数据转移限制，GDPR将其义务适用于任何在欧盟市场或以其他方式由欧盟控制、甚至是欧盟范围以外的服务于欧盟客户的公司控制的数据。(31)GDPR, supra note 16, art. 3, § 2.另一方面，大型跨国公司的崛起对数据隐私、数据安全及跨境数据流动的国际规则制定带来了新的挑战。大型跨国公司控制和管理全球大部分数据业务，将导致规范趋同于这些大型跨国公司所采用的标准。面对上述压力，各国政府在应对跨境数据政策上，数据本地化可能是重新控制数据权力的一种手段。

五、我国的应对

为应对数据开发利用、数据跨境流转、境外执法协助等涉及国家安全及公民、法人合法权益保护的数据安全和国际法律冲突，我国采取分头立法的形式加快立法步伐，《数据安全法(草案)》《个人信息保护法(草案)》的快速出台恰逢其时，是对当前全球数据保护紧迫需要的必要回应。这里有一系列的问题需要仔细探讨。

首先，适用范围的域外效力。《数据安全法(草案)》明确了域外监管效力。(32)《数据安全法(草案)》第3条规定，“在中华人民共和国境内开展数据活动，适用本法”，“中华人民共和国境外组织、个人开展数据活动，损害中华人民共和国国家安全、公共利益或者公民、组织的合法权益的，依法追究法律责任”。这一规则是数据主权观念在法律条款中的基本体现。实际上，我国此前的多项立法已经对法律适用的域外效力有过探讨，例如《反垄断法》对于境外垄断行为，《网络安全法》对于境外主体危害境内关键信息基础设施承担法律责任的规定等。(33)参见《反垄断法》第2条：“中华人民共和国境内经济活动中的垄断行为，适用本法；中华人民共和国境外的垄断行为，对境内市场竞争产生排除、限制影响的，适用本法。”《网络安全法》第75条规定：“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”对于域外影响我国法律所保护的各类利益的行为进行管辖和约束，这从法理角度存在一定的合理性，而实践中如何有效实现针对域外危害行为的制裁，则有赖于与国际法层面的域外执行等规则进行衔接与配合。

《个人信息保护法(草案)》第3条境外处理中华人民共和国境内自然人个人信息的活动适用本法的情形：以向境内自然人提供产品或者服务为目的；为分析、评估境内自然人的行为；法律、行政法规规定的其他情形。《个人信息保护法(草案)》采取了地域范围与公民相结合的适用范围，赋予了必要的域外适用效力，能够更好地维护我国境内自然人的个人信息权益。对于在处理中国境内自然人个人信息，《个人信息保护法(草案)》第52条提出了在中国境内设立专门机构或指定代表处理个人信息保护相关事务的要求，此举有助于有效实现本条第2款的立法目的，切实达到对境外主体的效果。

其次，数据安全监管制度。《数据安全法(草案)》在第3章“数据安全制度”中规定了数据安全监管制度。其中，第20条集中规定了数据安全风险防范制度，具体包括数据安全风险的评估、报告、信息共享、监测预警机制；第21条规定了数据安全应急处置机制，包括职责部门的设立、应急预案的建立、采取具体应急措施以及向社会公众公布警示信息等内容。(34)参见《数据安全法(草案)》第20规定：“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，加强数据安全风险信息的获取、分析、研判、预警工作。”第21条规定：“国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。”开展数据活动应当加强数据安全风险监测、定期开展风险评估，及时处置数据安全事件，并履行相应的报告义务(35)参见《数据安全法(草案)》第27条规定：“开展数据活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全件时，应当按照规定及时告知用户并向有关主管部门报告。”第28条第1款规定：“重要数据的处理者应当按照规定对其数据活动定期开展风险评估，并向有关主管部门报送风险评估报告。”第28条第2款规定：“风险评估报告应当包括本组织掌握的重要数据的种类、数量，收集、存储、加工、使用数据的情况，面临的数据安全风险及其应对措施等。”。数据安全审查制度赋予国家对影响或者可能影响国家安全的数据活动进行审查的职责。出口管制机制，要求国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制(36)参见《数据安全法(草案)》第22条第1款规定：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据活动进行国家安全审查。”该条第2款规定：“依法作出的安全审查决定为最终决定。”《数据安全法(草案)》第23条规定：“国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。”，如果外国对我国的相关投资和贸易采取歧视性等不合理措施的做法，明确我国可以根据实际情况采取相应的措施。(37)参见《数据安全法(草案)》第24条规定：“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施。”境外执法机构调取境内数据阻断机制，当公安机关和国家安全机关因依法履行职责需要调取数据以及境外执法机构调取境内数据时，对有关组织和个人的相关义务做了规定。(38)参见《数据安全法(草案)》第33条规定：“境外执法机构要求调取存储于中华人民共和国境内的数据的，有关组织、个人应当向有关主管机关报告，获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的，依照其规定。”

第三，为个人信息跨境提供规则。《个人信息保护法(草案)》明确了个人信息跨境传输的评估与认证规则。这些规则包括(一)告知同意原则。一般情形下，适用“告知同意”原则。个人信息处理者因业务需要确实需要向境外传输个人信息的，需要具备安全评估、专业认证或者与境外接收方订立合同等至少一项条件。(39)参见《个人信息保护法(草案)》第38条规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件：(1)依照本法第四十条的规定通过国家网信部门组织的安全评估；(2)按照国家网信部门的规定经专业机构进行个人信息保护认证；(3)与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准。”尤其重要的是，个人信息处理者除了告知境外接收者的情况、处理方式、目的以及个人权利外，必须征得个人的同意，此即为“告知同意”原则。(40)参见《个人信息保护法(草案)》第39条规定：“个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。”(二)数据本地化。特殊情形下，适用数据本地化原则。数据本地化适用主体包括两类：一是关键信息基础设施运营者；二是处理个人信息达到国家网信部门规定数量的处理者。在确需向境外提供个人信息的情况下，上述两类主体应当将在境内收集和产生的个人信息存储在境内。该草案并没有完全禁止数据境外传输，即并未采取绝对数据本地化原则，而是采取相对数据本地化原则，对确实需要向境外传输个人信息的，需要通过国家网信部门组织的安全评估；而对于按照法律法规可以不经安全评估的，从其规定，不进行安全评估。(41)参见《个人信息保护法(草案)》第40条规定：“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。”《个人信息法(草案)》中的数据本地化原则是国际关注的重点内容，该条规定了三个层次的数据本地化原则，体现了立法的原则性和灵活性；数据本地化原则的三个层次指：一是数据本地化一般原则，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当数据本地化；二是数据本地化的例外原则，确需向境外提供的，应当通过国家网信部门组织的安全评估，评估允许向境外传输的，可以向境外传输；三是数据本地化例外原则的例外规定，确需向境外提供的，法律、行政法规和国家网信部门规定可以不进行安全评估的，可以按照相关规定不进行安全评估。(三)国际司法协助。在国际司法协助的适用情形上，《个人信息保护法(草案)》采取了严格的批准制。(42)参见《个人信息保护法(草案)》第41条规定：“因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。”“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的，从其规定。”(四)清单制度。草案还规定了类似黑名单、灰名单的清单制度，限制或禁止危害我国公民权益和国家利益的组织、个人接收信息。(43)参见张雅婷《个人信息保护法草案提请审议 互联网商业模式迎考》，《21世纪经济报道》，2020年10月14日；《个人信息保护法(草案)》第42条规定：“境外的组织、个人从事损害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。”(五)歧视性的对等反制措施。对任何国家或地区对中国在个人信息保护方面的歧视性做法，如限制、禁止或者其他类似做法，我国可以根据实际情况采取相应措施予以反制或报复。(44)参见《个人信息保护法(草案)》第43条规定：“ 任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。”

毫无疑问，《数据安全法(草案)》体现了鲜明的数据主权原则。第2条开宗明义的规定了该法的属地管辖原则，进而对境外组织、个人在开展数据活动时损害我国国家安全、公共利益或公民、组织合法权益时规定了保护性管辖原则。《数据安全法(草案)》明确了数据管辖的域外效力，这既是对《网络安全法》和《数据安全管理办法》的突破，也是对美国属人管辖原则和欧盟效果原则的积极回应。[11]然而，为应对境外执法的长臂管辖，如何合理设置数据跨境审查规则至关重要，对数据流动的限制所带来的损失可能比数据自由流动更大。(45)Nations are now at a crossroad where they must decide whether enforcing restrictions of data residency and commercial data flows as well as limiting the freedom of commercial operations within national borders are the most effective ways to protect sensitive information. See Jing de jong- Chen, “Data Sovereignty, Cyber security, and Challenges for Globalization”, Georgetown Journal of International Affairs, vol. 16, 2015, p. 112-122.以数据是否存储在我国境内为标准划定数据出境审批规则，有违数据分级分类制度设置初衷，影响我国数据产业开拓海外市场。(46)《数据安全法(草案)》第33条规定：“境外执法机构要求调取存储于中华人民共和国境内的数据的，有关组织、个人应当向有关主管机关报告，获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的，依照其规定。”因此，根据分级分类制度，数据跨境审批规则主要适用于重要数据和敏感数据的审批和限制措施，而对于一般数据应保护和促进跨境流动。[12]

六、结论

数据主义时代是数据驱动的数据中心主义时代，也是数据帝国主义/数据殖民主义和数据保护主义共生的时代。以跨境数据为代表的数据安全与保护政策实践已经在多国存在，数据安全立法演变为全球范围内的通过数据的扩张与抵制的法律冲突。美国的跨境数据政策从自由放任，到建立以美国为主导的数据跨境流动秩序和跨境调取数据的模式的演进，反映了数据帝国主义/数据殖民主义自身发展的内在逻辑。我国数据跨境的相关立法是对这一国际数据立法趋势和政策动态的回应。在数据主义时代，从个人层面来看，个人数据权利既要面对国家(本国和外国)公权力的数据监视，又要抵制大型跨国公司的数据垄断；从国家层面来看，数据帝国主义/数据殖民主义和数据保护主义形成的数据秩序，导致了新的不平等的社会秩序。整体来看，国际社会对数据主权原则的普遍共识尚未达成。如何在逆全球化时期，推动国际社会达成共识，在尊重数据主权的前提下，建立国际数据流动、公开与共享的机制和标准，让数据成为全人类共享的信息科技成果，是未来急需面对和解决的共同课题。