邓 崧 黄 岚 马步涛
(云南大学政府管理学院 昆明 650500)
2020年8月-10月,连续发生美国制裁中国TikTok、微信等公司,欧盟监管部门对Facebook将欧盟用户数据传回美国案开出28亿美元罚单、美国财政部长姆努钦明确反对欧盟继续推进“数字税”等数据主权博弈案例,国际数据跨境常态化下争端频发。一方面,数据作为新型战略资源对全球经济增长的贡献己超过传统跨国际贸易和投资[1],改变了全球化的动态发展进程,另一方面,数据的跨境流动不仅会削弱数据主体对自身数据的控制权, 国家关键数据资源的流失还会危及一国数据主权[2],潜藏了巨大的国家安全风险隐患。各国都在热议和研究一个既辩证又统一的问题:如何在数据跨境管理中平衡大数据自由流动和有效独立管治间的矛盾。
目前数据跨境管理尚未形成全球性统一的规制话语体系,呈现出以欧盟和美国两大单边独立法域先行主导,发展中国家迎头积极开展跨境数据治理,OECD、APEC、G20、WTO、CPTPP等多边机制为数据跨境管理重要参考依据的格局。既有学术研究多以美国和欧盟两大管理主体为研究对象,内容涉及各国数据跨境管理政策导向[3]、价值取向[4]、法案和条例[5-7]、“长臂管辖”[8-9]“本地化存储”[10]等,成果包含对我国个人信息保护[11]、跨境数据流动风险治理[12]、倡导推动各国数据跨境传输统一规则的构建[13]、为中国企业提供制度支持[14]等各方面的建议。
数据主权是一个国家对数据的运用能力,能使该国在国际政治上领先,也可使其因数据跨境流动而丧失主权[15]。在明确以数据主权为基础的前提下讨论数据跨境管理,是站在国家主权视角针对数据跨境行为的统一管理,如果抛开数据主权来谈数据跨境管理研究,就无法全面地审视与改进我国数据跨境管理模式。基于此,本文将聚焦欧盟与美国的数据主权理念以及数据跨进管理的经验和模式,结合当前国家发展战略和现实国情,梳理和对比分析我国数据跨境管理体系的不足之处,进而为我国数据跨境管理建设提出有效建议。
1.1数据主权“数据主权”这一理念伴随着国家在网络世界中博弈的产生而频繁出现在各国的法律政策的研制当中。美国实施的《澄清境外数据合法使用法案》(CLOUD法案)和欧盟颁布的《通用数据保护条例》(GDPR条例)显示了目前其对数据跨境管理的战略部署与数据主权态度。从我国互联网立法沿革从 2000年至今可分为三个时代,经历了由传统的电信立法到尝试专门立法再到目前基础性、全局性、综合性立法[16],《中华人民共和国网络安全法》首次提出“网络空间主权”概念,立意维护国家网络空间主权、安全和发展利益。所以,从数据主权理论及各国立法与实践来看,数据主权视角强调以国家为主体,研究国家主权在网络世界和数据治理领域中的映射、延伸与权力的实际运作,确保国家在国际上对本国数据拥有至高和排他的管辖权与控制权。
学界一般认为数据权包含数据权利与数据主权,是一个多维的权利、权力体系。从权属主体来看,数据权利是私法人主体与公民个人拥有的数据所有权、财产权、隐私权和获取数据的知情权等;数据主权的主体是国家以及政府,不仅包含境内的治理,也包含数据跨境管理,涉及到重要核心数据与个人数据两个关键部分。
图1 数据权的权力-权利-权属划分
1.2数据主权与数据跨境管理间的逻辑维护国家数据主权应是贯穿数据跨境管理的目的。数据跨境管理包含融合了国家保护人权隐私、维护国家主权安全、提升国家网络博弈能力等目的,综合而言即提升国家维护数据主权的综合能力。从个人隐私方面来说,经济合作与发展组织《关于保护隐私与个人数据跨境流动的指南》的序言中明确指出:“自动化数据处理的发展使得大量数据瞬间传遍各国,因此必须考虑与个人数据有关的隐私保护问题”[17];从维护国家安全方面来说,以公共安全大数据监控驱动社会稳定已成现实,各国通过对他国原生数据和派生数据的采集研判,以维护本国国家安全亦成趋势,同时国家开展跨境数据流管理以维护数据主权,可以由此明确数据所有权、管辖权、开发等收益权[18];从提升国家数据博弈攻防能力方面来说,数据主权视角下美西方等科技强国的数据跨境管理政策中都有形式不一的“长臂管辖”原则,特别是美国CLOUD法案允许其在未告知数据存储国的情况下,调取存储在境外的数据进行司法取证,严重侵犯数据存储国的司法主权,是对传统国际司法协助体系和国际法秩序的挑战[19],有可能引发国与国之间数据主权的冲突与博弈,不利于全球数据经济的发展[20]。
综合上述分析,数据主权视角下的数据跨境管理核心是平衡数据跨国流动和安全管治的矛盾,得以体现在各国家和地区的数据主权立法、具体制度安排及实际管理实践中。目前经济合作与发展组织《关于保护隐私与个人数据跨境流动的指南》、美国与欧盟的《安全港协议》和《隐私盾协议》、APEC《跨境隐私规则体系》基本都将管理对象锁定在个人数据[21],基于此,本文将研究对象限于数据主权态度下的个人数据跨境管辖,通过对比美国与欧盟在价值体系、战略规划、立法确权、机构设置、合作机制几个方面的异同,总结不同的数据跨境管理模式选择,在对中国目前跨境数据跨境模式的把握上提出相应的发展建议。
2.1数据主权下的价值体系美国数据跨境流动管理宗旨与其全球贸易战略和政策目标一致,即数据跨境流动管理的核心是维护美国在全球贸易中的主导地位,这体现在机构配置、规则导向、针对性限制三个方面。首先,美国数据跨境管理机构集中在国际贸易领域,具有强烈的“贸易”色彩,如商务部主要负责落实美国与欧盟、东盟等贸易伙伴签署的双边协议(如隐私盾协议、TPP协议等),联邦贸易委员会负责参制定并落实国际贸易领域相关的个人信息隐私保护相关法律法规。其次,美国从发展和维护数据主权出发主导建立“数据自由”国际贸易规制。《隐私框架》、自由贸易协定(FTA)谈判、《美韩自由贸易协定》《跨境隐私规则体系》《跨太平洋战略经济伙伴关系协定》都体现了“促进数据跨境自由流动”“自由市场”的宗旨。最后,美国所构建的数据出口限制规制特别针对俄罗斯、中国等“战略对手”,并且对“特别关注科技企业”也有强硬苛刻的数据跨境限制条件。表面上看,美国主张民主、开放的社会价值体系,但究其本质则是发展并巩固其全球贸易主导地位。
保护公民私权利是欧盟成员国共同的价值理念。在“数据主体权利”的思想指引下,欧盟接连出台了《关于个人数据自动化处理的个人保护公约》《个人数据保护指令》、GDPR条例等,不断提高个人数据保护标准,明确“个人的数据权利”,提出“充分保护原则”,即欧盟地域内的个人数据向外传输时,传输地必须达到欧盟认可的数据保护水平,以保护公民合法权利为介入点开展欧盟域内与域外的数据治理,强化对跨境个人数据的安全保护,实行严格的数据跨境流动规则,要求欧盟境外的数据接收方拥有一致的数据保护水平时数据才可跨境,力图将“欧盟标准”打造为“世界标准”。
2.2数据主权下战略规划美国以国家大数据战略为纲完善数据综合治理体系。在法律上,美国已密集出台了《隐私法》《信息自由法》《开放数据政策》《电子政务法》等多部涉及数据治理的法律政策。随着数据产业发展和数据的战略资源属性日益凸显,美国提出了“将数据作为战略资源开发”作为核心目标的《联邦数据战略与2020年行动计划》。相关机构根据本部门的政务需要制定了各领域内的数据跨境政策与法案,在联邦总体法律之外细化和完善了数据跨境管理的实际执法赋权。职能机构对机构辖内的数据进行分类分级管理,比如国防部及相关军工机构根据《国际军火交易条例》、医疗部门根据《健康保险携带和责任法案》、金融服务部门根据《格雷姆-里奇-比利雷法案》都对其领域辖内的个人隐私信息、科学技术数据、涉密敏感数据细致制定分级分类清单,判定核心、敏感数据并严格落实数据出口限制或本地化存储措施。
欧盟以大数据单一市场战略打造欧盟数字经济整体实力。欧盟构建联盟整体大数据综合治理规制和管理体系,秉持“对于公民权利的尊重”的价值主旨,整合成员国碎片化的数据规则,以欧盟统一规则来解决成员国数据主权冲突问题,实现区域内数据流动。此外,2020年欧盟密集出台了《塑造欧洲的数字未来》《人工智能白皮书》和《欧洲数据战略》三份规划,体现欧盟未来发展的“技术主权”理念。数据治理直接相关的《数据法案》、《数字服务法案》等正在筹备中。
图2 美国与欧盟数据治理法规对比
2.3数据主权下的单边立法确权美国以“自我赋权”延展自身全球范围的数据主权辖域。《澄清域外合法使用数据法案》(以下简称CLOUD法案)改变了美国数据存储地模式转为数据控制者模式,明确了美国整体的数据主权战略,认定美国政府调取境外存储的美国网络商控制的数据合法,其主要内容包括:第一,确立“数据控制者”标准。美国政府可以调查取证为目的,在不需要告知数据存储国政府的前提下,要求位于境外的美国云计算服务企业向美司法部门提供所掌握的个人隐私数据。第二,确立“适格外国政府”标准。美国信任的外国政府经过美国政府签批行政协议后可调取存储于美国境内的数据,但能调取数据范围十分狭窄,需“最小化”涉及美国公民信息。美国单边立法的CLOUD法案对长臂管辖权的解读事实上延伸了管辖范围,同时依仗着自身强大的信息技术能力、科研水平、数字产业市场规模和大数据核心设备占有量等优势,实现其数据跨境管理势力的全球扩张。
欧盟同样采用单边立法赋权的方式扩张其长臂管辖权。在数字经济综合实力基础上,欧盟以《通用数据保护条例》(以下简称GDPR条例)为纲,在“数据控制者标准”“数据存储地标准”之外开辟了“数据主体权利”(人权保护管辖)标准,“保护自然人的基本权利和自由,尤其是自然人的个人数据保护权”[22],扩张其全球性离岸连长臂管辖权。条例具体有三项原则:一是“影响主义原则”下,欧盟数据跨境管理的适用范围包含任何向欧盟成员国公民提供数据商品或云计算服务的企业,不论其是否位于欧盟境内或是否使用欧盟境内数据设备,都将受制于欧盟GDPR条例管辖[23],这实际上把“欧盟标准”打造成“全球标准”。二是“明确同意原则”强化了数据主体的权利和数据控制者、数据处理者对数据的保护义务,增强了数据主体在数据处理活动中的参与度与主观能动性。三是“充分保护原则”及其下的“白名单”制度强化了一定范围内的大数据资源同行闭环和贸易保护。三重原则下的跨境数据管理标准不仅让欧盟有能力保障个人信息和隐私安全,“权利赋能”放大长臂管辖权的实际权力与权限范围,而且也是一套对抗美国全球数据霸权的话语体系。
图3 美国与欧盟“长臂管辖权”比较
2.4数据主权下的管辖机构设置美国已形成了由联邦政府主导,通过数据治理专职机构向下辐射的多部门、跨行业紧密协作的大数据综合治理体系。《国家大数据战略》提出了联邦政府作为实施国家数据战略的主体责任,联邦政府管理与预算办公室(OMB)为数据机构体系核心,科技政策办公室、司法部信息政策办公室、国家档案和记录管理局(NARA)、商务部等机构充分支撑协作的数据综合治理机构体系,并成立联邦首席信息官委员会、联邦数据政策委员会,指导联邦数据的整合、利用与共享,并建立问责制度。在此体系下,美国将数据的运用开发赋能于政府和企业的单个雇员身上,营造了数据驱动经济发展的社会氛围。
欧盟整体的数据跨境管理机构体系呈金字塔形:顶层是欧盟数据保护委员会,由各国独立监管机构的负责人和欧盟数据保护监管专员(EDPS)组成,负责向欧盟委员会提出政策建议,促进和检查新的数据保护规则的执行,对欧盟各机构处理个人数据进行指导和监督。中层是各成员国自设的数据跨境独立监管机构(DPES),负责向自身国家权力机关报告年度工作总结,再由国家权力机关向欧盟委员会和欧洲数据保护委员会呈递本国数据跨境管理报告。底层是数据保护官(DPO),负责监督各单位对践行欧盟GDPR条例的情况,评估由本单位出口的数据安全风险。
2.5数据主权下的合作机制配置“棱镜门”事件导致欧盟撕毁《安全港协议》。然而美国已主导了全球数据产业体系,欧盟与美国再度就数据跨境管理签订《欧美隐私盾协议》(以下简称《隐私盾协议》)。在协议框架下,美国互联网企业从欧洲开展数据跨境传输时需履行的义务不断加重,欧洲自身的数据保护力度也不断加强。不论是《安全港协议》还是《隐私盾协议》,都可以看作是欧盟对全球大数据产业体系的妥协,也是欧盟与美国之间在数据主权博弈中的彼此妥协,双方也最大限度地保护了自己的主张。
图4 美国与欧盟数据治理模式比较
3.1工具-价值-能力三维比较研究框架三维政策分析框架多使用在政策量化分析或比较分析当中,但鲜有运用于数据跨境管理比较研究的分析中,框架维度随具体研究的不同而灵活改变,如研究公共信息资源开放构建的生命周期-政策工具-政策客体三维框架[24]、研究人工智能政策央地政策构建的外部结构-政策工具-政策主题特征三维分析框架[25]、分析技术创新政策构建的政策目标-政策工具-政策执行三维比较研究框架[26]等。根据上文既有各数据跨境管理主体的背景、模式特点、管理内容等,本文构建了战略价值导向-战略工具-管理主体能力的数据跨境管理比较分析三维框架(见图5)。
图5 战略价值导向-战略工具-管理主体能力三维框架
x纬度:战略工具。采用恰当的跨进数据管理方法是达成管理目标的重要因素。研究战略工具的部署可以直观分析数据跨境管理行为的异同和影响。
y纬度:战略价值导向。战略价值导向是国家或地区所有战略部署的宗旨,体现数据跨境管理的数据主权价值逻辑。集中归纳为经济利益、政治利益、社会利益、公民利益四种。
z纬度:管理主体能力。管理主体能力体现了国家或地区支撑数据跨境管理或数据发展战略的实力,不仅涉及主体自身的实力与组织机构建设,还与数据相关领域的发展息息相关。
3.2美国与欧洲数据跨境管理的差异基于上文的比较,欧盟与美国的数据跨境管理在x纬度和y纬度差异明显,具体体现在数据立法差异、跨境执法差异、价值取向差异三个方面:
从x纬度来看,双方在数据立法和跨境执法形式上有所不同。在立法差异上,美国各部门和各领域“分散”数据立法,带有“贸易色彩”,在数据分级分类上,由职能机构来划分本部门数据的敏感、保密、关键核心标准,能弥补数据本地化存储标准缺乏普适性的缺点;从欧盟整体立法来看,其数据立法基础源于保障公民的数据权利,具有连贯性和全面性,各成员国在统一欧盟规则下不仅带动了域内数据经济发展,而且扩大了欧盟整体的数据管理合力。在跨境执法形式差异上,美国通过赋予政府跨境执法权力的形式,在无需告知外国政府的前提下,可以向位于外国的美国企业索取数据,这对没有与美国建立便捷司法协助机制的国家带来困扰与隐患;欧盟在严格的数据准入准出标准之外注重数据跨境的监管,凡是涉及欧盟业务的数据控制着或处理者均需接受欧盟的监管,且以间接介入具体跨境场景的方式保护数据主体的数据权利[27]。
从y纬度来看,美国的价值取向是基于全球市场贸易战略的需要下的,体现出经济和商业利益优先的“效率”价值取向,鼓励跨境数据流动,提倡“数据自由”,宽松立法,强调行业自律[28],同时通信基础设备与技术优势、国际地位、经济实力极大支撑了其数据跨境管理。欧盟的价值取向延续了欧洲社会历史文化“人权至上”思想,以充分保护个人数据安全与隐私为基础,以严格的标准限制数据跨境流动。
3.3欧美共通经验
3.3.1 战略工具纬度(x)经验 美国与欧盟有效均有效进行了管理执行和规避管理冲突,具体体现在立法先行打造离岸长臂权、灵活使用“针对性”机制两方面。
在数据主权博弈的新常态下,美国和欧盟都极力打造自身离岸长臂管辖权。美国仰仗着数字技术和数据产业的绝对实力,通过“自我赋权”来实现全球范围内的长臂管辖能力,具体体现为美国CLOUD法案的内涵、外延及其现实运用;欧盟则相对美国而言比较柔和,采取“严以律己”式的数据出入境标准线,借助欧盟资本的吸引力使其他国家承认与遵守“充分保护原则”。可见,具备长臂管辖能力是开展全球数据主权博弈的必要手段,而长臂管辖权构建都源自自身在数字技术水平、数据产业规模等领域的全球优势。对比看来,中国的数字技术与全球大数据产业规模均在世界领先地位,打造合理合法的离岸长臂管辖权势在必行。
平衡数据自由流动和有效管治间的矛盾是全球共识,各国虽然开展数据跨境有效管理的方式方法各有特色,但究其本质都是通过“针对性”来解决。一方面是针对性地制造贸易壁垒。以美国为例,“适格政府”标准下签订的双边或多边协议,比如加拿大《促进跨境获取与加拿大刑事犯罪相关或由加拿大服务提供者掌握的数据的合理法律》、澳大利亚《电信和其他立法(协助与访问)修正案》等,构成了一圈以美国为中心的数据主权强国同盟体,强化彼此之间大数据跨境执法便利,加大对数据资源经济互利共享,不断边缘化互联网技术弱国和“非适格国家”的同时,又不断强化“长臂管辖权”。另一方面是有针对性的制定数据主权保护原则,欧美签订的《隐私盾》协议明确了欧、美间的数据主权疆界以及彼此对对方数据主权保护应尽的权力和义务,也促进了欧、美间的大数据流动效率和经济价值产生效率,诸如《跨太平洋战略经济伙伴关系协定》也都是数据大国主导形成的数据主权博弈规则。
3.3.2 战略价值导向(y)纬度经验 该纬度经验体现为价值导向要根治国家历史与国情。美国看似自由开放的模式其实必须建立在美国强大的综合国力和规则话语权上;欧盟虽一定程度上损失了数据宽松流动带来的巨大经济利益,但是延续历史上保障隐私权、数据权等公民权利的宗旨不仅在成员国中构建了一致认同和遵守的“欧盟标准”,而且保障了域内数据安全与隐私。对于中国而言,国家数据主权不应只考虑隐私安全、数据价值、人格权利等的单一取向,而是要以全社会数据共同利益为主,架构数据跨境管理体系。
除此之外,美国加州通过的《加利福尼亚隐私权法案》(CPRA)对《加利福尼亚消费者隐私法案》CCPA的有力补充,不仅借鉴了《通用数据保护条例》(GDPR)的综合性立法模式,而且更加符合《欧盟通用数据保护条例》(GDPR)数据权利保护的“充分认定”原则与严格标准。CCPA给予“个人信息”较为广泛的定义,在产业利益与保障消费者获得赔偿的权利上持折中态度,而CPRA则更鲜明地反应出对个人数据权利保障的坚决态度,显示了美国数据主权立法的新趋势:一是对个人数据权利的保护呈渐进加强。法案进一步扩大对个人信息尤其是敏感信息的保护范围,加强了对数据企业的规范,要求公司采取数据最小化和保留措施,限制敏感个人信息的使用和披露,为未成年人增加新的保护措施,赋予消费者实质性的隐私权。二是借鉴了欧盟的统一立法模式。与GDPR一样,CPRA的统一规则和框架适用数据管理全领域,强调数据主体权利,保障消费者对个人信息的控制,创建了更正权、访问权、删除权等数据权利,设立了类比欧盟标准的严厉处罚措施,这些在一定程度上体现了美国在个人数据权利保护立法上有与欧盟趋同的趋势。三是新建加州隐私保护机构(California Privacy Protection agency)来执行这项法律,通过严厉的监管控制企业收集和使用消费者个人数据的行为。可以看出,美国虽然数据跨境管理整体呈现“分散立法,行业自律”的特点,但是CPRA的通过体现出美国立法正尝试兼顾互联网产业发展、消费者个人数据权利保障、与“欧盟标准”保持一致三种目的。
3.3.3 管理主体能力(z)纬度经验 美国和欧盟的大数据战略不仅涵盖本国数据产业振兴内容,更重要的是都以该战略的为基础和引领,带动本国的大数据综合治理机构体系的完善。在解决了域内治理的问题之余,美国的数据跨境管理战略思维中还有着明显的数据主权进攻意识,目标明确地推动捍卫美国的全球贸易主导地位。欧盟则以大数据单一化市场战略为引领,构建了强金字塔形的数据跨境管理机构体系,统一立法有效打破欧盟内部壁垒,推动欧盟大数据产业的融合发展。
图6 数据主权下的数据跨境管理框架
4.1挑战与机遇美国的数据跨境模式是通过强势的数据跨境流动政策推动数据自由流动;欧盟基于数据权利保护主义下的“欧盟标准”建立了严格但可控的个人数据流动模式;目前,中国的数据跨境管理可归纳为维护数据主权安全目的的以数据本地化为主要路径的模式,《网络安全法》《数据安全法(草案)》《个人信息保护法(草案)》等均对数据的本地化存储做了明确的规定,但中国的数据主权战略配套建设并不符合中国数据主权发展的战略意图,数据跨境管理体系的完善程度仍与自身数字产业规模及经济体量不相匹配,结合三维框架,主要体现为X纬度的数据主权立法上的不足、Y纬度的数据主权思想意识和指向性不足、与Z纬度的数据主权配套机制上的不足三方面。
从数据主权立法上的不足来看,中国数据立法处于起步阶段,域外数据获取采用司法互助的传统路径,大数据立法工作以保护个人信息为核心。以《网络安全法》的相关规定为例,数据本地化存储的义务主体和实施对象定义宽泛且范围模糊,几乎是所有互联网服务行业和大数据产业都囊括在内,且数据的域内治理与出境都有十分高的限制标准。但这可能“适得其反”,因为众多小型互联网企业并没有能力搭建自己的数据中心,必须依托第三方进行数据本地化存储,在数据资源利益驱动下难免出现数据因脱离控制者而遭到盗用和泄露的风险。
从数据主权的思想意识和指向性不足来看,受中国大数据战略“苦练内功”的影响,我国的大数据发展战略更聚焦完善和发展数字产业,出台大量扶持数据产业发展和和助推数据产业转型升级的政策法规,数据跨境管理的政策不仅不多而且更关注“安全防御”。保护境内数据安全是中国目前的主要思路,这也是国家总体安全观下当前中国大数据战略发展的的阶段性需求,但绝不是长远需求。中国目前的大数据产业、电子商务、5G技术蓬勃发展,“一带一路”惠及沿线各国,“人类命运共同体”倡议下正积极构建“和平、安全、开放、合作的网络空间,多边、民主、透明的国际互联网治理体系”,随着中国的发展,国际话语权必会逐步加重,中国必须加快大数据战略的推进、转型、升级步伐,尽快形成与国际地位相匹配,能与主要大国相抗衡的数据主权攻防能力。
从数据主权配套机制上的不足来看,我国数据管理专职机构的集中统一建设不足。截至到2019年底,中国共有14家省级行政单位、超过70个地市级行政单位设立对大数据产业发展进行集中管理的大数据专职主管机构。然而政府组成部门、政府直属机构等机构设置重叠,发改委组建、政府办公厅组建、信息中心改组、公信部门组建、原机构增设处室等形式并存,大数据主管机构的职能任务也不全面,比如数据产业发展规划、大数据资源整合以及数据安全保护等职能并未涵盖全部机构。大数据主管部门应该是捍卫国家数据主权的战略性部门,而其未能强力统一,则不管数据是主动还是被动出境,我国对数据跨境管理的水平就难以提高。
4.2“中国模式”应在借鉴中创新中国的数据跨境管理模式不应完全照搬美国或欧盟,一方面,美国与欧盟基于其本身的国家或地区特色决定规划与战略的价值导向。另一方面,欧美的“长臂”数据跨境管理对他国国家主权及数据主权具有压迫性与侵略性,这些模式本身就存在赋权存疑、执法越轨、司法不公、歧视与壁垒等诸多缺陷和漏洞。同时,数据确权因确权技术欠缺、各国治理价值差异、标准不统一等原因还未成熟。所以中国不能盲目大改原有模式,数据流通与存储的充分隐私与安全保护仍是数据跨境管理的重点,还应基于产业格局、国际地位、战略部署、数据技术等方面进行综合考量,适当改变原有的数据治理模式,利用自身的比较优势,更为积极主动地介入国际数字经济和数据治理的大格局中,由此形成一种基于中国立场、积极有为、内外联动的规制模式[8]。
基于上文,数据主权下的中国数据跨境管理模式的建构必须在x纬度上完善数据全生命周期立法,在y纬度上秉持符合公共利益的发展与博弈价值观与权益确权,在z纬度上构建数据跨境管理合作机制,提升自身的组织管理能力与数据掌控利用能力。
图7 中国数据跨境管理模式三维分析
5.1x纬度策略:数据全生命周期立法与谋求区域合作数据生命周期模型涵盖数据获取→数据组织→数据保存→数据共享→数据安全几个阶段[29]。延伸到跨境数据管理当中来看,管理体系需包含数据跨境获取、数据跨境组织、数据跨境保存、数据跨境共享、跨境数据安全几个主要方面。美国立法分散且全面,欧盟立法统一且严密。从法律框架来看,中国目前以《网络安全法》《数据安全法(草案)》《个人信息保护法(草案)》三部综合性法律作为国家大数据治理体系的法理基础,对数据跨境管理中的“本地化存储”“数据出境评估”等给出了比较明确的具体规定,但上述法律在管辖规则的适用、执法机构获取域外数据的程序、法律独立性的具体实现等方面仍有较大的空白亟待补充[30],数据全生命周期的法律保障均不全面。此外,我国目前数据管理专职机构并未形成统一的组织架构和职能,缺乏国际数据管理合作机制,既有法律不能支撑国家数据战略的规范实施,也不利于数据跨境管理的执法授权与数据主权确权。因此,要采用分散立法模式,不仅在关键领域的法律中增加数据跨境保护条款,出台数据跨境管理专门法律,细化数据收集、分级分类标准、机构职责、安全与隐私、执法司法权能等管理依据,而且要构架双边及多边合作机制规避管辖冲突,加强区域性的数据管理合作,积极参与TDF国际规则的协商,依托现有“一带一路”建设、联合国、上海合作组织、金砖国家、东盟地区、中日韩三国论坛等现有的合作框架,加强与可信赖伙伴国家的数据跨境管理合作,提高区域间的数据互联互通效益与安全。
5.2y纬度策略:维护公共数据权益应成为中国数据跨境管理基点美国与欧盟的保护对象均为个人数据及其权益,美国个人数据保护法以数字经济市场贸易利益优先为价值导向,欧盟强调个人数据的人格属性,以平等、隐私、安全等人权保障为价值导向。但是,从数据本身来看,个人数据的边界在互联网及数据流通中愈加模糊,一方面个人数据主体不具备对数据的支配性权利,另一方面当上升到数据主权高度,公民个人数据权利虽是个体私益,但数据的汇集却关乎国家数据公益。在数据跨境治理领域,在对个人数据进行充分保护之外,中国应延续保卫社会共同利益的传统,不仅体现公民共同权益,还有区域性的、全球性的共同权益,应在利益导向和人权导向之外走一条公共权益导向的数据跨境的“中国模式”。具体来说,一是公共数据权益是数据财产权、隐私权、人格权等的综合权益,单独考虑某一项权利都有失偏颇;二是应在立法中体现“权益赋权”思想,明确执法及司法权能的来源。
5.3z纬度策略:强化数据掌控利用能力欧美之所以在全球数据主权博弈中可以有的放矢,最显著的原因是两方都具有强大的数据综合实力。美国占据绝大多数根服务器,拥有遍布全球的云计算服务商;欧盟数字市场一体化、数据资源一体化与数据跨境管理体系高度融合,“技术主权”理念下欧盟数字科技和产业综合质量更将提升。中国在国际场上要维护自身数据主权安全,除了足够体量的全球贸易和经济规模外,一是要有强大的数据产业作支撑,鼓励技术创新型互联网企业发展,吸引国际数据专业从业者。二是掌握全球大数据客户资源,把控数据生产的源头和终端,顾客导向会促使技术革新也将带动新的数据资源产生。三是要坚持发展大数据核心基础设施建设,数据资源归根结底要存储在核心设备上,核心技术的发展会减少对他国关键技术的依赖,加强中国定义规则的能力,不断推进国家大数据产业和技术的跃迁升级。中国的大数据产业不仅要重视扩大规模与产能,更要强调在互联网技术和大数据核心设备的创新、升级、跃迁,只有占据了全球大数据客户份额,并且拥有存储这些客户信息的核心设备,才能更好支撑国家数据主权。
a.数据主权逻辑下,中国应以社会公共利益为价值基点,构建数据跨境管理“权益赋权”立法、执法、司法体系,在数据本地化存储的基础上提升主动跨境管理能力。
b.全球流动常态化下,可以借助战略价值导向-战略工具-管理主体能力三维框架分析国内外的管理经验与不足。
c.中国数据跨境管理模式的建构应从社会公共利益出发,完善数据全生命周期立法,构建数据跨境管理合作机制,提升自身的组织管理能力与数据掌控利用能力。
d.大数据产业和技术实力是掌握数据跨境管理话语权的关键因素,必须在规划、客户、技术三方面稳步提升数据的保护与利用能力。