数据主权安全风险的国际治理体系与我国路径研究

黄海瑛　何梦婷　冉从敬

摘   要：数据主权与国家安全、综合国力紧密相关，当前数据主权面临多重风险，如何保障数据主权安全、抵御主权安全风险成为国家发展亟待回答的关键问题。文章从数据全生命周期视角综合厘定数据主权在生成与存储、跨境流转、利用与服务、外部环境四层维度的风险，明晰数据主权现实保障需求与关键问题。在风险明晰的基础上，充分调研针对以上四层维度风险的国际数据主权治理实践，发现在实践中通常将数据生成与存储、跨境流转风险两维度同步治理，同时将此两维度与数据利用与服务、外部环境区分治理。由此总结以数据分级分类、充分性认定、“长臂管辖”等为核心的数据生成与存储、跨境流转维度治理路径，以数据实体与技术管辖、场景理论与风险评估等为核心的数据利用与服务维度治理路径，以国际合作、数据发展的网络攻击与数据霸权治理维度路径，并结合我国国情提出发展建议，力图为我国数据主权风險应对与实践路径探讨提供借鉴。

关键词：数据主权;数据主权风险;数据治理;数据对策;安全风险;国家安全;长臂管辖;跨境流动

中图分类号：D922.16   文献标识码：A   DOI：10.11968/tsyqb.1003-6938.2021053

Research on the International Governance System of Data Sovereignty Security Risk and Its References

Abstract Data sovereignty is tightly related to national security and comprehensive national power. Currently， data sovereignty faces multiple risks， and how to safeguard data sovereignty and resist sovereignty security risks has become a key question in need of urgent answers for national development. This paper， from the perspective of the full life cycle of data， comprehensively identifies the risks to data sovereignty in four dimensions， namely， data generation and storage， cross-border flow， utilization and services， and external environment， and clarifies the realistic needs and key issues in data sovereignty protection. On the basis of the clarification of risks， the international data sovereignty governance practices in respect of the four abovementioned dimensions of risks are fully investigated， and it is found that in normal practices， the two dimensions，  data generation and storage and cross-border flow risks， are governed simultaneously， while governed separately from data utilization and services and the external environment. Thus， three governance routes are suggested： that of data generation and storage， and cross-border circulation centered on data classification， adequacy determination， "long arm jurisdiction"， etc; that of data utilization and service centered on entity and technology jurisdiction， scenario theory，  risk assessment， etc.; and that of cyber attack and data hegemony centered on international cooperation and data development. Meanwhile， some development suggestions are drawn according to Chinas national conditions， in an attempt to provide some references for  the  countermeasures and routes in respect of data sovereignty risk governance.

Key words data sovereignty; data sovereignty risk; data governance; data response; security risk; national security;long-arm jurisdiction; cross-border flow

1   引言

信息时代下，数据价值凸显并成为国家战略储备资源，深入影响国家和社会发展，数据主权兴起并与国家安全、综合国力紧密关联。国际数据主权博弈日趋激烈，国际网络空间尚处丛林规则时代，在政治、经济等多重因素交叉影响下，数据主权安全风险更为多变与隐蔽，治理难度极大提升。保障数据主权安全，是保证国家经济、社会正常运行的应有之义，是主权国家不可推卸的重要责任。

当前，我国数字经济与数字产业长足发展，产生海量的数据资源，全面应对我国数据主权风险、加快建设我国数据主权保障体系刻不容缓。2015年，我国《促进大数据发展行动纲要》首次从官方层面对数据主权作出表述，要求增强数据主权保护能力[1];2021年，我国发布《数据安全法》进一步凸显“数据主权”概念，要求重要数据，尤其是核心数据的出境要经过国家安全审查;2021年，我国外交部部长王毅在全球数字论坛研讨会上发起《全球数据安全倡议》（Global Initiative on Data Security），提出尊重他国主权、司法管辖权和数据管理权[2]。

愈发严峻的数据安全环境下，数据主权风险愈演愈烈，面向我国数据主权体系建设实际，亟待回答以下关键问题：数据主权所面临的安全风险及其治理需求是什么？如何保障数据主权安全，形成符合我国国情的数据主权保障进路？本文围绕以上关键问题，厘定在关键数据主权风险问题上的国际治理进路，针对我国国情提出发展思路，为保障我国数据主权安全提供借鉴。

2   研究现状

网络时代下地缘主权的概念被进一步延伸，国外针对国家数据主权及其安全保障已进行过诸多研究。各国学者均力图明晰数据主权概念与定义，如Peterson等[3]将数据主权定义为云存储中数据的真实性和地理位置的耦合;Obar等[4]则将其定义为基于一个实体（如州）或一组实体区分网络边界的权威性过程，并且在这些边界内行使主权意志和控制;Gourley[5]将“数据主权”定义为“网络主权”的子集，认为网络领域和地理领域都应受到主权权威的法律与司法管辖;梁坤[6]认为数据主权依托网络空间，应成为“网络主权”的下位概念。

近年来，世界各国围绕数据主权的竞争愈发激烈，由此引发的数据主权风险治理与规制方案成为学界关注的热点。如Reuben和Wright[7]调查金砖五国参与互联网管理论坛情况与数据主权保障需求，评估因数据主权理念差异、金砖五国集团强化而导致的如互联网巴尔干化等主权风险的可能;Faini和Palmirani[8]认为意大利开放政府建设是保护公民自由和数据主权安全的有效路径;Thakar和Parekh[9]提出了通过识别证据行为、日志收集和数字取证的僵尸网络逆向工程以防御僵尸网络事件、确保国家电子政务安全;Vila和Saguier[10]认为数字化过程改变了国家间主权关系，也促进了集“冲突”与“合作”于一体的数据治理形式的形成。

当前数据主权作为热点议题，相关研究整体数量有限，多从法理、概念上探讨数据主权，主要关切数据主权在数据跨境上的细分问题，但在集中关注理论缘起与细分理论的同时，忽略了数据主权治理的实际逻辑与实践进路。本文力图弥补现存研究不足，为相关研究提供参考。

3   数据主权演进与内涵定义

主权代表一个国家在其领域内所拥有的最高权力，随着互联网的渗透及信息技术的发展，国家主权不断动态发展，逐渐演化为网络主权、数据主权等新概念。数据主权经历媒介主权、网络主权再到数据主权的概念扩张[11]，并继续不断演化延伸，本文对上述主权概念予以厘定，明晰数据主权概念与近似概念间的差异，把握数据主权属性与内涵，明确数据主权治理理论的关键。

3.1    从媒介主权、网络主权到数据主权的嬗变

16世纪末Bodin和Jean[12]认为主权具有绝对性与永久性，《威斯特伐利亚和约》（Peace of Westphalia）形成的“国家主权”概念已基本受到国际法的广泛承认，主权由此成为对内最高、对外独立的绝对权。主权理论具有历久弥新的重要特征，从而在网络与数据时代，主权进一步演化出媒介主权、网络主权、数据主权等新功能。

媒介主权（Media Sovereignty）是盛行于传统媒体时代的主权概念，指一个国家对其境内媒介及其所传播的内容能够不加干涉行使的权力[13]。其主要包括：（1）对媒介本身的所有权，各国政府对媒介拥有者身份做出详细规定;（2）对媒介内容的保护，本国媒体传播内容的主体必须是本国媒体或制作公司所制作的内容;（3）对媒体通路的主权宣示，也即国家对传播渠道的控制。媒介主权围绕传统实体媒介对象展开，其对媒介自身、媒介内容及媒介通路的主权控制思想，为后续网络主权、数据主权等概念的定义与管辖体系划分有着重要借鉴意义。随着信息传播主客体及通路突破传统实体媒介，媒介主权无法覆盖网络空间新问题，“网络主权”在新的治理矛盾下应运而生。

网络主权（Cyberspace Sovereignty）指“一国基于国家主权对本国境内的网络设施、网络主体、网络行为及相关网络数据和信息等所享有的最高权和对外独立权”[14]，包括独立权、平等权、管辖权、防卫权等四项权能，国家既对一国领土内的网络基础设施和网络活动享有主权，也可以在国际范围内自由实施网络行动[15]，厘清数据主权需要从更广义的网络主权开始[16]。1996年，世界经济论坛发表的《网络空间独立宣言》（A Declaration of the Independence of Cyberspace），提出“我们不欢迎你们，我们聚集的地方，你们不享有主权”。网络空间（cyberspace）是依托现实信息基础设施构筑的虚拟空间，在没有既定秩序和有效规则的制约下，网络空间自治会逐渐异化，影响国家稳定安全和社会秩序。为应对现实挑战，国家主权溢出至网络空间中，适用于传统媒介的媒介主權延伸至新一代信息空间，“网络主权”由此兴起与发展。

网络空间可区分为“物理层”“逻辑层”和“数据层”[17]，对应网络主权也可按照这一逻辑分为3层次。在“物理层”，主要是对领土内支持网络活动的物理基础设施的主权，密切关联国家领土;在“逻辑层”，主要是国家对计算机代码的主权，核心在于国家能否控制域名系统（The Domain Name System，DNS）;在“数据层”，则因数据所有者、存储者与使用者在地理位置上的分离，极易产生针对如数据所有权、管辖权等的主权纷争。当前在物理、逻辑层上的数据主权规制已形成较全面、统一的治理规则，而在数据层，网络信息渠道造成了数据来源地与储存地的割裂、数据控制者与所有者的分离、以及数据管辖权与治理权的模糊[18]，各主权国家诉求不一，针对数据的主权风险治理尚未有完备方案，成为网络主权治理痛点所在。随着数据分析与挖掘技术发展，数据量井喷式增长背后的政治利益和商业价值提升，网络主权进一步强调取得对网络中的数据的占有和管辖的权利[19]，由此分化出数据主权[20]。

3.2    沿袭主权理念体系的数据主权定义

大数据时代，数据主权（Data Sovereignty）是网络主权的核心主张[21]和网络主权延伸到数据层面的必然结果[22]。数据成为战略资源，互联网改变了传统国际法中的地域性，虚化了主权国家地理意义上的边界。随着数据价值与传播的进一步提升，个人、社会、国家与数据关联进一步深化，数据主权应运而生。

数据主权指国家对其管辖地域内的数据享有的生成、传播、管理、控制、利用和保护的权力[23]。数据主权是国家主权在信息化、数字化和全球化发展趋势下新的表现形式，在性质上，数据主权属于国家主权的下属权力，继承了国家主权相应属性，因而各国均要求基于国际法赋予的平等地位，对自己国家“网络空间内部”的人、事和物实行独立自主的完全管理，充分适用属人属地原则。

数据主权的主体是国家以及政府，客体为数据，不仅包含境内治理，也包含跨境管理，涉及到重要核心数据和个人数据两个关键部分[24]。数据主权包括数据管理权和数据控制权。数据管理权是一国对本国数据的传出、传入和对数据的生成、处理、传播、利用、交易、储存等的管理权，以及就数据领域发生纠纷所享有的司法管辖权;数据控制权是指一国对本国数据采取保护措施，以免数据遭受被篡改、伪造、毁损、窃取、泄露等风险，从而保障数据的真实性、完整性和保密性[25]。

3.3    数据主权概念的不断延伸与拓展

数据主权治理实践不断发展，“技术主权”“数字主权”等新概念不断衍生，与数据主权概念协同演进，共同推进着主权视角下数据治理的新发展。2018年，欧盟委员会提出“数字主权”（Digital Sovereignty）概念[26]，2020年，欧洲议会智库发布《欧洲的数字主权》（Digital Sovereignty for Europe）研究报告，阐述欧盟提出的数字主权背景和加强欧盟在数字领域战略自主权的行政方针，并提出二十四项可能采取的措施;随后，欧洲对外关系委员会发布《欧洲的数字主权：中美对抗背景下从规则制定者到超级大国》（Europes digital sovereignty： From rulemaker to superpower in the age of US-China rivalry）报告，阐述了欧盟不能继续满足于通过加强监管来捍卫数字主权，应做規则制定者，并直接参与数字竞争，保证超级大国地位。欧盟数字主权涉及大数据、人工智能、5G、物联网以及云计算等内容，同时也强调大数据与个人隐私、信息基础设施关联，已对欧盟造成了潜在的安全风险，因此数字主权的核心仍为数据主权。

随着信息网络技术的不断发展和创新，大数据和人工智能等前沿技术的优势可能促进新战略平衡形成，全球科技技术竞争加剧，信息网络技术在网络空间的应用治理问题成为各国关切的重点，同时“技术主权”（Technological Sovereignty）也引发关注。2020年2月，欧盟连续发布《欧洲数据战略》（A European Strategy for Data）、《塑造欧洲的数字未来》（Shaping Europes Digital Future）及《人工智能白皮书——追求卓越和信任的欧洲方案》（White Paper： On Artificial Intelligence-A European Approach to Excellence and Trust）三份战略文件以明确提出“技术主权”概念。这一概念与数据主权密切相关，并在技术、规则和价值三方面大大拓宽了原有理论的外延[27]，“描述了欧洲必须具有的能力，即基于自己的价值观、遵守自己的规则、做出自己的选择能力”[28]。

由此可见，数据主权在稳定沿袭主权概念的同时，呈现不断演化的趋势。其延伸概念中，对于数据主权中所蕴含的数据实体、数据技术深度关切，概念延伸趋势为本文探讨数据主权风险所在提供了重要参考。

4   数据主权安全风险厘定

在政治经济学范式下，技术进步将深刻改变经济基础，作为上层建筑的法律制度也需作出回应[29]，数据主权应真正思考的是如何规制科技发展所带来的风险[16]。数据主权源自国家主权理论，本文借鉴斯蒂芬·D·克莱斯勒（Stephen D. Krasner）对“主权”的描述，厘定数据主权性质：（1）威斯特伐利亚主权（Westphalia Sovereignty），强调国家在领土范围内排除外来侵略与干涉;（2）国际法主权（International Legal Sovereignty），即一个政治体获得国际法和国际社会的正式承认，获得国际法共同体的成员资格;（3）相互依赖的主权（Interdependence Sovereignty），即在经济全球化的背景下，在相互联系的跨国语境中，管制人员、资源、信息和物品跨境流动的权力;（4）内部主权（Domestic Sovereignty）即一国政府对于境内活动的有效控制[30]。由此可见，数据主权承袭主权的性质与治理原则，因此，数据主权也具有主权的内、外双重维度;且受数据特征影响，数据主权与地理因素的关联弱化，呈现脱离“威斯特伐利亚主权”、转向“相互依赖的主权”的趋向，对于数据主权安全治理的思考必须要置于国际大环境与跨境流动实际来展开。

大数据时代，数据在多渠道和方式下形成流动更复杂、利用场景更多元、传统安全风险持续泛化的局面[31]，造成国家数据主权隐患。本文基于主权性质的划分，综合数据全生命周期，厘定从数据生成与存储、跨境、利用与服务、外部环境四维度的数据主权风险（见图1）。需明确的是，由于数据不是静态的，主权风险也同样无法以单一视角来定义，所以本文仅提供主权与信息融合的、符合数据治理实践的风险厘定思路，可能存在与权利理论矛盾之处，本文认为这一矛盾不影响对风险的厘定。

4.1    第一维度：数据生成与存储风险

海量数据持续生成，数据的采集与存储都可依托互联网，不断涌现的如云计算、区块链等数据处理与存储新方案使得数据“位置”与“归属”更模糊，治理与监管更困难，数据极易在采集与存储过程中被过度采集利用、泄露与窃取，数据主权安全隐患加剧。

（1）从数据对象来看，数据的过度采集与违规存储主要集中于个人数据、重要数据①等核心类别。个人数据与重要数据，蕴含着较高附加价值，并关联与国计民生相关的关键信息基础设施、关键行业领域，对其的合规采集、存储对主权安全意义重大。当前，伴随着数据获取与处理技术提升、数据使用频率与价值叠加，在主权保障体系尚未完备的情况下，对这类数据的过度采集与违规存储直接侵犯个人、群体乃至国家的利益，引发主权安全问题。同时，网络使得数据存储虚拟化，数据控制权、管理权也难以确定，“国内数据”（Domestic data）与“属地”原则愈发模糊，即使是明确存储地的数据也受到多国法律管制，由此产生治理重叠与真空，世界各国均积极强化重要数据的“本地化存儲”。

（2）从数据主体来看，跨国互联网及科技企业（以下简称跨国企业）成为新“数据主体”[32]，甚至拥有比肩主权国家的“数据权力”。当数据在价值链中处于核心地位时，此类企业常在没有征得用户或其他利益相关者同意的情况下，过度采集和滥用其信息，“不全面授权就不让用”的现象愈发普遍。同时，基于技术限制、网络效率、法律因素、经济成本的考虑[33]，跨国企业可能在过度采集数据时并未具备足够的数据保障能力和数据主权意识，从而导致在采集、存储中的数据安全隐患增加，并在数据跨境、服务等后续环节中进一步加剧。2014年，韩国三大信用卡公司的居民登记号、交易记录等一亿条数据被泄露;2018年，Facebook的千万用户信息被剑桥分析公司非法用于政治操纵[34];我国2021年7月通报“滴滴出行”APP存在严重违法违规收集使用个人信息问题并强制下架①，随后进一步对相关APP实施网络安全审查。

4.2    第二维度：数据跨境流入与流出风险

“数据跨境流动”指“在一国内生成电子化的信息记录被他国境内的私主体或公权力机关读取、存储、使用或加工合成‘处理”[35]，是数据主权产生的前提[23]。随着数据价值的提升，数据跨境风险成为数据主权面临的主要威胁，并“将国家置于危险境地”[36]。总的来说，（1）从数据入境“取”来看，表现为本国机关强制“长臂管辖”调取存储于国外的非公开数据。从印刷品海关检查到国际无线电通讯干扰，从卫星技术的禁令到互联网“防火墙”[37]，基于国家主权安全的数据入境控制已有长期发展。但当前数据价值的提升直接加剧国家间的数据争夺，“长臂管辖”“域外效力”等扩张本国“域外管辖”的制度相继出现，甚至立法授权本国公共部门拥有根据本国法律获取他国数据的权利，数据“入境”规则发生根本性颠覆，使得主权国家的域内数据存在丧失本国保护，并被他国随意调取、利用的可能;（2）从数据出境“防”来看，我国将数据出境定义为“将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续性活动”[38]。由此可见，数据出境包含两层风险：一是数据出境内容，侧重个人信息、重要数据此类能反映一国国民隐私、国家重要行业和关键领域的情况的高价值数据，此类数据在没有规制下的出境，将会泄露国家重要资源与情报，使他国更易分析和挖掘国家重要战略信息;二是数据出境的“境外”地点，数据流入地的数据隐私与安全保障水平，数据利用支持水平，数据犯罪司法水平不一，因地制宜的出境管制下形成了纷繁芜杂的管制模式，数据出境后极有可能受到二次泄露与侵害。

4.3    第三维度：数据利用与服务的数据风险

在数据主权范畴下，数据利用与服务环节愈发地呈现主体与客体上的颠覆性变化，跨国公司成为重要主体，数据技术成为重要客体，而涉及国计民生的关键信息基础设施与行业中的数据利用与服务成为风险管控的重中之重。

数据主权下，跨国公司成为数据处理与利用的核心主体，凭借其跨境数据市场、海量数据资源、领先数据技术，在数据采集、传输服务与争议应对上发挥重要影响，成为国家数据主权实施与意识形态推广的“排头兵”。相关公司实体在他国境内的数据利用与服务行为，均可能出于政治与经济目的出现数据泄露、窃取、贩卖等问题，从而引发数据主权风险，国际社会愈加关注跨国公司引发的主权风险。2018年，德国认为摩拜单车违反欧盟规定，对其展开了数据和隐私调查[39];美国国家安全局曾通过窃听日本三菱商事等重要企业的通话数据以获知当局政治立场、贸易谈判、产业发展等信息[40];2019年，法国认定谷歌在数据控制者的信息披露义务、有效获取数据主体明确同意等方面违反法律条款，对其处以天价罚款;2020年8月，美国以TikTok和WeChat涉嫌将美国用户信息未经许可便传输给中国政府，以可能损害美国国家安全为由，禁止两家公司在美运行[41]。

数据服务及产品由相应公司实体所提供，在服务开展与产品提供中无可避免地与跨境的国籍地域、政治法律、数据处理方式等因素时刻交织，数据技术进步使基于用户与机构“场景”的深度挖掘成为现实，使得在采用服务与产品过程中可能构成本国数据流失、情报泄露等主权威胁，而这一威胁在关键基础设施、关键信息行业中更显著。近年来，我国网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能导致的安全风险[42]，这明确表示了关键设施相关的数据服务与产品可能威胁国家网络安全与数据主权，同样的，欧盟、俄罗斯、印度等国家均积极培育本土技术公司，开发独立的重要数据库，在涉及政府等公共事业以及金融、健康、能源等关键行业中禁止使用他国设备，实现“数据自治”。

4.4    第四维度：网络攻击与数据霸权风险

国家数据主权存在数字资源稀缺下由网络攻击与数据霸权、黑客攻击关键基础设施所带来的安全风险，数据主权作为国家主权的延伸与扩展，承载着防御黑客攻击、捍卫国家安全的重要使命，暗含着对抗数据霸权主义、争抢国际话语权的大国博弈。

（1）“网络攻击”是通过网络或其他技术手段，利用信息系统缺陷或暴力实施攻击，并造成信息系统异常或潜在危害的信息安全事件，已被列入全球影响力最大的十大风险[43]。2013年，索尼的PSN平台遭受黑客攻击，导致七千七百万用户信息被窃取，其中220万受害者的隐私被黑客在PSX-Scene论坛上兜售[44];2017年，“WannaCry”勒索病毒事件波及150多个国家与地区，造成大量国家基础设施损坏。大数据时代下网络攻击技术不断升级，数据价值提升，攻击主体更加精细，在数据霸权国家支持下，网络犯罪目的趋于政治化，攻击对象聚焦公民个人数据、重要数据和国家秘密等，并向关键信息基础设施领域渗透，造成更大损失，同时攻击门槛持续降低，路径更复杂，隐蔽性更高，行为者溯源归因与追责更难，从而使得网络攻击成为需要全球共同面对和解决的难题。

（2）由网络空间“优势国家”所驱动的“数据霸权”（Data Hegemony）、“技术霸权”（Technology Hegemony）①[45]成为国家数据主权的核心外部威胁。相关国家试图依托其领先的大数据与科技手段，遍布全球的跨境企业与几近由其垄断的数据市场，以及国际网络空间领导地位，积极推行数据主权意识形态，推行以自身利益为诉求的国际攻守同盟，抢占他国数据资源、阻碍他国数据经济和社会健康发展，维持本国地位，实现数据霸权。如以美国为例，其正通过数据自由传输政策，巩固在全球网络空间中的霸权地位[46]，其网络空间战略和政策行动日渐激进，先后建立网络作战部队并大幅扩编网军，成立网络战司令部，发动网络战，积极展开“国家网络靶场”（National Cyber Range）项目、“网络风暴”（Cyber Storm）、“寂静地平线”（Silent Horizon）等演习。随着“主干道”（Mainway）、“码头”（Marina）、“核子”（Nucleon）等秘密项目逐步曝光，美国以“网络自由”为标语构建的全球网络监控体系也逐步显现[47]，美国已成为他国数据主权安全的首要风险源[49]。网络霸权影响下，国家间的不对称和不平等加剧，“数字鸿沟”进一步加深，网络空间优势国家能将企业甚至国家从全球网络中剔除[49]，如何防范数据霸权主义已成为全球数据治理面临的核心挑战。

5   国际数据主权安全治理实践与进路

数据主权时代，全球经历“百年未有之大变局”，国际格局与实力分配正在根本性颠覆与调整[50]。面向“内部”数据生成与存储、数据跨境、数据利用与服务，“外部”网络攻击与数据霸权的全生命周期风险，构建符合自身实力和利益诉求的数据治理规则是维护数据主权的核心方法。各国在治理上的不同选择使数据主权治理呈现不同模式与进路。

本文综合调研美国、欧盟、俄罗斯等国家的数据主权风险应对实践，剖析其面对数据主权风险的核心治理诉求与逻辑进路。本文的讨论只以实践与进路选择为线索，不做国家间对比，力图把握国际共通逻辑，剖析可供我国参考的治理路径。

5.1    数据生成与存储、跨境治理维度

主权视角下，数据的采集、存储与跨境密不可分，现有的国际治理方案对两环节进行同步治理。一方面，各主权国家均选择了严格的数据出境治理方案，内容上，均基于数据分类分级，明确对不同类型、不同级别数据采取不同采集、存储与出入境方案，对个人数据、重要数据等核心数据强调“本地化存储”。对象上，基于“充分性认定”“白名单制度”“适格外国政府”等方案，保障数据安全出境;另一方面，各主权国家积极拓展域外效力，“长臂管辖” 赋能国际数据资源获取，强化数据出境后的持续治理。

（1）基于数据分类分级与“本地化存储”的数据内容流出进路。个人数据与重要数据对公民、社会、国家发展影响进一步凸显，与主权安全息息相关，围绕此类数据的保障成为主权关键要义，对海量多源的大数据展开分级分类管理、厘定重要数据所在，成为数据存储、出入境治理的核心前提，保证数据主权治理有的放矢。

一方面，强化分级分类公私范畴与行业领域数据，分级分类方案不断细化。美国《出口管理条例》（U.S Export Administration Regulations，EAR）要求部分重要數据必须取得相关部门颁发的许可证才可出口;韩国《信息通信网络的利用促进与信息保护等相关法》（Act on Promotion of Information and Communications Network Utilization and Information Protection， etc.）规定，为防止国内重要数据泄露，政府可要求信息提供商或用户采取必要措施;澳大利亚发布《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》（Storage and Processing of South Australian Government Information in Outsourced or Offshore ICT Arrangements）将政府信息予以分级，按照保密数据、非保密数据进行安全风险评估。

另一方面，各主权国家强制重要数据的“本地化存储”，以抵御重要数据的泄露风险。欧盟在《跨大西洋贸易与投资伙伴关系协定》（Transatlantic Trade and Investment Partnership，TTIP）的谈判过程中始终坚持对数据的控制与监管[51]，在《加拿大—欧盟全面经济贸易协定》（Comprehensive Economic and Trade Agreement，CETA）中针对电子商务中的信任和隐私问题设定专门条款以继续满足其本地化存储要求[52];美国国防部及相关军工机构根据《国际武器贸易条例》（International Traffic in Arms Regulations，ITAR）、医疗部门根据《健康保险隐私及责任法案》（Comprehensive Economic and Trade Agreement，CETA）、金融服务部门根据《格雷姆—里奇—比利雷法案》（Gramm-Leach-Bliley Act，GLBA）对其领域内的各部门数据细致制定分级分类清单，判定核心、敏感数据并严格落实数据出口限制或本地化存储措施，2019年11月，美国参议员提议制定《2019年国家安全和个人数据保护法（草案）》（National Security and Personal Data Protection Act of 2019）以阻止美国个人敏感数据流向中国及其他威胁美国国家安全的国家;俄罗斯要求本国公民个人数据、相关数据和数据库必须存储在俄境内，公民个人数据的处理活动必须在境内进行。

（2）基于“充分性认定”“适格外国政府”的數据地点流出进路。以欧盟、俄罗斯为代表的国家，认可具有“同等水平”的数据保护力度是数据跨境流动的前提[53]，强调国家有权介入数据的跨境流动并有责任评估第三国的数据保护水平[54]。陆续发布如《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》（Data Protection Directive，DPD）、通用数据保护条例（General Data Protection Regulation，GDPR）等关联法律，以“充分性认定”为数据准出评估标准，包括是否加入欧委会《关于个人数据自动化处理的个人保护公约》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）、法治和基本人权保护程度、是否存在独立且有效运转的监管机构等，同时以有约束力的商业规则BCR、标准合同条款SCC、临时合同条款和国际协定为准出评估的补充工具，最终以“白名单”制度认定流出国家及地区的数据保护水平，允许境内个人信息传输至其他签署国，定期动态评估和修改名单，以保障本国数据的安全跨境传输和传输后的保护水平。

美国等国家将“互惠”原则迁移至数据跨境流转环节，基于《澄清域外合法使用数据法案》（Clarify Lawful Overseas Use of Data Act，CLOUD法案）确立“适格外国政府”标准，符合标准的外国政府取得美国许可后可调取存储于美国境内的数据，同时这类“适格外国政府”也授予美国获取本国数据的部分权限，基于互惠原则保护数据跨境流出。

（3）基于单方立法确权、赋能“长臂管辖”的数据流入进路。在严控本国数据流出的同时，美、欧等国家积极采取单边立法，确立“长臂管辖”、扩张本国法律域外效力为核心的“主权扩张”模式，积极抢占国际数据资源，获取国际数据权益，实施“宽进”“严出”的数据跨境治理模式。

相关国家积极以单方立法确立域外数据管辖权、控制权，赋能“长臂管辖”，吸引国际数据流入。美国通过CLOUD法案、《2018年加州消费者隐私法案》（California Consumer Privacy Act，CCPA）等规定“数据控制者”标准，将美国政府的管辖范围延伸到所有由美国公司控制的数据，建立了数据跨境中的“长臂管辖”，使美国可以调查取证为目的，在不需要告知数据存储国政府的前提下要求位于境外的美国企业向美政府提供个人隐私数据，同时结合自身强大的信息技术能力、科研水平、数字产业市场规模和大数据设备等优势，将数据主权从物理国境延伸到了技术国境，实现其数据管理的全球扩张。同样欧盟基于GDPR明确基于属地原则的“经营场所标准”和基于属人原则的“目标指向标准”，使得在欧盟境内的数据控制者和处理者的经营场所都将受到GDPR约束;另一方面，即使在欧盟境内没有实体，在境外从客观效果上构成对欧盟地区个人数据的处理，也同样受到管辖，从而形成了域内全面管控和域外“长臂管辖”严密体系，呈现“属地+属人+效果管辖”的严格模式，强化了对他国数据资源的获取能力，提升了数据主权效力。

同时，以美国为代表的网络空间优势国家以意识形态为辅助，不断引导国际网络发展方向，从而使自身获益最大化。美国积极推动“网络自由”原则与观念，认为网络空间构成“全球公域”，极力反对“本地化存储”。美国在TPP谈判中强调数据自由流动的必要性，要求缔约方不得强制要求企业将数据存储于本地，且应当减少干预数据跨境流动;《美国—墨西哥—加拿大协定》（United States-Mexico-Canada Agreement，USMCA）进一步直接禁止了一切将计算设施放置于一国境内或使用一国境内计算设施的本地化要求。这一进路下，此类优势国家，可借助数据“自由流动”、非“本地化存储”的环境，以跨国科技企业、数据市场与产品，进一步推动他国数据资源流入本国，从而抢占全球数据资源、保障数据竞争地位。

5.2    数据利用与服务治理维度

数据利用与服务环节上，跨国互联网与科技公司实体成为新兴主体，其复杂政治背景、强大数据分析能力引发了数据主权威胁，同时数据风险愈发与具体场景关联，呈现隐匿化、复杂化趋势，传统的刚性数据治理方案已无法满足数据主权治理需求。各国均偏重管制公司实体及关键技术，基于场景理论对数据挖掘和利用展开风险评估，对主权风险予以精细化管理。

（1）偏重跨国数据实体与关键技术管制的数据主体治理进路。如本文风险分析，跨国公司在数据环境下发挥着核心作用，掌控海量数据的科技公司在性质上已经成为一种新类型的“国家”，逐步成为现实中新主权者[55]。近年来，国际对本国数据利用与服务的风险治理开始逐步向科技企业这一新主体迈进，并关注对关键领域、关键基础设施的数据技术限制与保护，形成对数据主体与技术的侧重治理进路。

强化对数据实体的风险治理。欧盟于2020年提出“数字主权”，在其制度设计上，首先针对在其主权领域范畴内占据垄断地位的科技公司，其次才是针对数据科技公司实际控制者所在国家，力求规制在欧盟内的跨国科技巨头的数据行为，规避对本国的风险冲击;美国依据EAR严格限制外国高科技产业在境内的投资与发展，2020年2月，其投资审查法案正式生效，以“实体清单”严控对 AI 等关键技术和敏感个人数据领域的外商投资，防止尖端技术数据和敏感个人信息的外泄;2018-2019年间，俄联邦电信、信息技术和大众传媒监管局相继要求Twitter、Facebook及TikTok本地化存储俄罗斯用户数据，严控跨国企业在本国的数据处理与利用行为。

同时，重视在关键行业与领域中的数据技术、产品、服务的治理。美国在“多利益攸关方”模式下依托其网络技术上的绝对优势，长期掌握全球DNS管制权，在表面上将控制权交由非营利公司“互联网名称与数字地址分配公司”（The Internet Corporation for Assigned Names and Numbers，ICANN），实际仍由政府掌握实际控制权，实现在“表面共治”下的绝对主导[56]，并利用EAR等法案管制技术和软件的出口;德国为在2019年推出“盖亚X”项目，旨在为欧洲提供安全可靠的数据存储基础设施;俄罗斯于2010年开始研制具有自主知识产权的芯片与软件系统，并在2019年的国家网络战略提出将在国家政务系统、关键基础设施中提高国有产品比例，进一步严格监管与控制数据产品、服务及技术。

（2）基于场景理论的数据挖掘与利用的“风险评估”治理进路。数据跨境流转符合场景（情境）的感知及信息（服务）适配[57]，数据、算法的进步，使跨国企业、组织可基于对用户、组织所处传播场景对数据进行分析与挖掘，引发“场景风险”。通过场景适配挖掘数据风险早已被欧美等国所重视并被内化为其数据保护的重要评估方式。

基于场景的“隐私风险评估”规则成为衡量数据利用风险的有效工具，强调在相应场景中具体评估数据利用与服务的风险，根据风险等级采取相应管理措施，力求将数据挖掘与利用的风险控制在可接受的范围内。欧美都积极通过引入场景风险理论和风险评估来控制可能的数据主权风险。2015年，美国加入跨境隐私规则体系（Centre for Peacebuilding and Reconciliation，CPBR），将场景单独列出，明确基于场景的“隐私风险评估”，认为数据自身或该数据通过与其他数据比对会对用户造成精神压力、人身、财产或其他损害，风险随即发生，透明度、控制性规则等都必须依据具体场景要求进行适用。2018年，欧盟GDPR生效，采用场景检验具体规则的正当性和有效性的治理进路，其第35条要求在结合场景判断风险后进行数据保护影响评估，为“可能引发高风险的行为”规定了额外的增强性义务，強调在数据收集、存储和使用过程中，应告知数据主体作出并征得其同意。

5.3    网络攻击与数据霸权维度

网络攻击与数据霸权是数据主权的主要外部风险，对这两类外部风险的治理难以通过单个国家达成，向外积极寻求国际合作与司法协助，向内强化本国抵御外部攻击与霸权凌驾的数据能力，成为数据主权安全保障需求下的主流通路。

（1）向外深化国际合作与司法协助的外部风险治理进路。面对不断趋向复杂与隐匿的外部风险，主权国家之间通过国际合作、不断扩展攻守同盟的数据主权安全合作。首先，由各主权国家组成的国际组织牵头展开数据合作，有关网络犯罪的议题讨论不断深入，也为各国弥合分歧、加强协作，最终实现网络犯罪全球治理奠定了基础。北约于2008年建立网络防御快速反应中心;G20于2009年倡议加快构建惩治网络犯罪的国际合作机制，坚决取缔和惩治拒绝披露犯罪相关信息的“避风港”;联合国政府间专家组发布《网络犯罪问题综合研究报告（草案）》（Draft Comprehensive Study on Cybercrime）以指导打击网络攻击，并在2019年正式在联合国框架下开启打击网络犯罪全球性公约的谈判进程。

同时，在国际组织的引导下，各主权国家也积极建立以自身为核心的国际合作体系，共同塑造网络安全环境，构建协同数据治理政策。美国强化与日、澳、韩等国的国际合作，每年举行网络对话，共享数据安全情报与协调安全政策，形成基于同盟的集体网络防御体系;欧盟成立“欧洲打击网络犯罪中心”，并执行统一对外的“单套规制”以强化集体安全，成员国在应对网络犯罪时能及时交换信息情报，建立欧盟网络犯罪统一预警机制;2020年，我国发布《全球数据安全倡议》（Global Initiative on Data Security），并与阿拉伯国家集体发表《中阿数据安全合作倡议》（China-League of Arab States Cooperation Initiative on Data Security），力图实现在互联网和数字经济发展领域的合作与互鉴。

（2）向内发展数据实力与防御方案的外部风险治理进路。在不断强化外部合作以抵御共通问题的同时，主权国家均积极保障本国关键领域数据技术、设施与企业发展，以技术、司法、经济多重手段规避网络攻击与数据霸权风险。2013年，普京授权俄联邦安全局建立监测、防范和消除隐患的国家计算机信息安全机制，要求评估和提升国家关键信息基础设施抵抗外部网络攻击的防护水平[58]，随后2014年在其保障网络安全的优先事项中纳入发展国家网络攻击、防护和威胁预警系统[59];2015年4月，奥巴马签署《关于阻断从事重大恶意网络活动者的财产》（Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities），授权对构成显著威胁的个人和实体实施制裁。

数据霸权通常借助科技巨头实施，数据市场是外部风险发生的重要场所，发展本国数据市场及技术成为抵御外部风险的应有之义。欧盟加深区域内合作，以欧盟成员国为整体，发展域内“单一数字市场”，2015年发布的《数字化单一市场战略》（Digital Single Market Strategy，DSMS），其目的是消除欧盟内跨境电子商务障碍，形成内部通用规则、打破内部数据流通壁垒，共同应对数据风险与共建数据产业，强化抵御外部风险能力;为规避数据霸权下本国沦为“数据殖民地”，法国文化部自2010年以来持续强化数字服务税（Digital Services Tax），提升科技巨头合规成本，保障本国数据资源价值与利益。

6   我国数据主权安全风险应对与保障体系建设

面对国际秩序调整，我国如何应对愈发严峻的数据主权风险、完善国内数据主权保障体系，支撑我国综合国力竞争，成为发展的核心关切。本文结合我国实际，借鉴国际治理实践与进路，提出相应对策建议。

6.1    完善数据分级分类制度体系，以场景评估规避数据主权风险

大数据时代，数据爆发性增长、数据场景更复杂，数据主权保障压力与风险剧增，传统的侧重于静态数据安全保护的进路已无法满足数据主权保障需求，分级分类保护应当成为数据主权保障的基本思路[60]，并辅以场景的动态风险评估。

完善我国差异化、精细化管理的数据分级分类制度体系。根据数据利用对国家安全的不同影响和损害后果，参考欧美现行分级分类管制方法，结合我国国情对不同类别的数据分别采取不同监管与流动规则，并对不同级别的数据采取不同的授权和责任模式。其中，分级主要明确不同类型数据，以及同一类型数据在不同情景下的安全等级差异，并确立相应的管理强度;分类是对数据属性与类别予以区分，重点关切个人数据、公共事务数据、行业重要数据、国家秘密等欧美施以最高管制强度的数据类型，采取不同的安全规则。

以场景评估规避数据主权风险，实施精准化风险识别与应对方案。近年来， “场景风险”极大威胁国家数据主权安全。我国可借鉴欧美CLOUD法案、GDPR中场景治理导向，在我国数据主权保障中引入“场景风险管理”，基于数据具体使用目的与场景厘定数据合规使用边界，并采用“场景评估”对数据利用、跨境风险予以综合厘定，根据数据利用、流转等场景中的风险评估，对具体场景环节采取差异化治理措施，变刚性的完全限制或完全开放符合数据流动与利用实践的动态风险监管与控制，全面保障数据主权安全。

6.2    综合纳入数据实体与数据技术考量，合理扩展“长臂管辖”跨境规制

跨国科技企业成为重要数据主体，在数据技术与数据市场支撑下，全面渗透到各主权国家域内并掌握域内数据，引发国家数据主权风险。同时，适用于传统网络环境的事后救济方案弊端凸显，我国需将数据实体纳入数据主权治理的核心范畴，关切实体及其数据、技术、服务在出入境中的风险，合理拓展“长臂管辖”规则，实现“有为而治”。

在数据主权风险治理全环节，我国应纳入针对数据实体与数据技术的综合考量。跨国科技企业对数据主权的冲击已引发我国关注，如以滴滴为例，若在美国上市，须呈交以审计底稿、亦或是用户数据和城市地图为代表的部分数据，而这些都是关乎国家数据主权的核心数据，国家网信办对滴滴等海外上市企业启动网络安全审查将对我国企业数据伦理治理与数据安全监管产生深远的影响，具有标志性的变革意义[61]。

在准入上，我国可参考欧美的外国投资与网络安全审查机制，专设监管委员会，以相应的市场准入机制规范我国数据市场，完善我国在外资准入安全审查、网络安全产品认证、网络安全等级保护、政府采购等方面的规制[62]，持续监管可能存在风险的跨国企业。在准出上，对于我国跨国企业的出境投资与运行，强化企业出境前的安全评估与审批程序，并设置合理的境内长臂管辖规则与跨境数据监管，在现有《数据安全法》《证券法》《关于依法从严打击证券违法活动的意见》等制度基础上，针对相关跨国企业及重要数据的境外流动予以管辖，同时借鉴美国经验，始终将企业作为对内联合、对外扩展的重要主体，不断发挥跨国企业的“长臂”作用以扩展域外管辖和风险抵御能力，有为而治。

6.3    强化数据技术攻坚与数据市场发展，加强域内数据互联互通

相关优势国家逐步针对我国互联网与科技头部企业展开“实体清单”打击，并限制高尖端技术与服务出境至我国，以数据技术、数据市场对我国展开的遏制。面对这一风险，我国需强化数据技术，发展数据市场，强化国内数据互联互通，降低国内数据流通壁垒、发挥域内数据价值以支撑国家数据主权保障。

（1）突破他国对我国技术封锁，强化数据技术发展，奠定数据主权保障技术基础。近年来我国在核心技术层面受制于人，极大威胁数据主权安全，我国亟待加快建设网络基础设施，提升在关键基础设施研发、核心软件产品研发等方面的“硬实力”。我国应充分调研与数据主权关联的前沿技术领域，进一步强化发展5G、人工智能、区块链等核心技术，同时在国家关键基础设施、关键行业领域中采用具有自主知识产权的软硬件设备，完善主权保障的技术支撑体系。

（2）大力发展国内数据市场，加强域内数据互联互通。欧、美、俄等国家均在主权诉求下加强本国市场内部的数据互通与壁垒破除，最大化降低本国数据流通成本、提升数据挖掘价值。数据市场与国家安全关联愈发紧密，我国可借鉴国际发展路径，形成国内“统一市場”，一方面以政策、资金等手段推动我国互联网和通讯技术产业发展;另一方面降低域内数据流动壁垒与屏障，推动国内相关数据的统一治理、监管，从而进一步降低域内数据主权风险。

6.4    “网络命运共同体”下积极寻求国际合作，发挥我国网络空间大国责任

网络空间犯罪影响升级，国际数据主权博弈加剧，针对我国展开的“定向压制”趋向愈发凸显。数据主权外部风险下我国难以“独善其身”，“网络命运共同体”将是我国治理网络空间的根本准则。

（1）进一步立足“网络命运共同体”，开展网络犯罪、数据霸权下的国际协作。网络空间犯罪扩散使得网络空间风险问题需要各国的通力合作来完成，我国可首先加强现有如“一带一路”等多边关系下的国际合作，针对数据主权安全问题，加强国际执法和司法协同，形成技术先行、风控为重和多方参与的联合风险应对体系;同时，与美、欧等“竞争对手”求同存异，在共同性问题上协同探讨，共同应对重大网络风险，更有效地推进全球层面打击网络犯罪、抑制数据霸权。

（2）积极承担我国作为网络空间大国的责任，引导国际数据主权治理新规则的建设。数据霸权主义现象已开始威胁网络空间的安全性和正义性，我国要积极承担大国责任，塑造并彰显负责任网络大国的形象。一方面，以网络大国姿态积极参与国际、地区事务，兼顾“多利益攸关方”原则，平等、开放地展开国际对话与协作，不断提升我国在国际数据主权治理中的话语权与地位，增强我国在网络空间合作体系中的国际认同;另一方面，传统以欧美国家引导的国际数据治理体系已成为网络空间优势国家维持数据霸权、抢占国际数据资源的工具，我国需积极宣传“网络命运共同体”“网络主权”“数据主权”等治理原则与国际立场，积极引导在联合国框架下全新的、纳入更多主权国家诉求的网络空间治理体系，反对数据霸权，推动全球数据主权治理体系走向有序、规范和协调，共同创造更良好的国际数据治理环境。

7   结语

数据正以无法察觉或不显著的方式嵌入日常生活结构甚至推动社会变革[63]，数据主权成为大数据时代下国家主权概念的核心。本文从数据自身生命周期与信息环境视角来探讨数据主权风险，全面调研国际规制数据主权风险的实践进路，总结我国围绕数据主权发展逻辑的风险应对和保障体系建设，核心思路始终立足我国“网络命运共同体”“总体安全观”理念，在借鉴国际成熟风险治理与体系建设经验下，推动我国数据主权保障体系接轨国际，在保障国家数据主权安全的同时，更进一步地推动我国参与国际竞争，推动建设国际数据主权新体系。但本研究在分析中受限于信息视角，对数据主权风险不能遍历，将在后续研究中，进一步梳理各细分风险所在，进行深入挖掘与针对性探讨。

①根据《个人信息和重要数据出境安全评估办法（征求意见稿）》定义，个人数据是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等;重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。

①通告全文为：根据举报，经检测核实，“滴滴出行”APP存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”APP，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。

①技术霸权是技术垄断的一种特殊形式，技术垄断上升为国家意志便成为技术霸权，技术垄断在跨国界的竞争中演变成技术霸权并从而带有剥削和压迫的性质。

参考文献：

[1]  国务院关于印发促进大数据发展行动纲要的通知[EB/OL].[2021-07-01].http：//www.gov.cn/zhengce/content/2015-09/05/content_10137.htm.

[2]  中国发起数据安全倡议八点呼应美国疑虑[EB/OL].[2021-07-15].https：//www.dw.com/zh/%E4%B8%AD%E5%9B%BD%E5%8F%91%E8%B5%B7%E6%95%B0%E6%8D%AE%E5%AE%89%E5%85%A8%E5%80%A1%E8%AE%AE-%E5%85%AB%E7%82%B9%E5%91%BC%E5%BA%94%E7%BE%8E%E5%9B%BD%E7%96%91%E8%99%91/a-54847908.

[3]  Peterson Z N J，Gondree M，Beverly R.A position paper on data sovereignty：The importance of geolocating data in the cloud[J/OL].[2021-07-10].https：//www.usenix.org/legacy/events/hotcloud11/tech/final_files/Peterson.pdf.

[4]  Obar J A，Taylor G，Antoine D，et al.Mapping Digital Media：Canada[J].London：Open Society Foundation，2013.

[5]  Gourley S K.Cyber sovereignty[J].Conflict and Cooperation in Cyberspace：The Challenge to National Security，2016：277.

[6]  梁坤.基于数据主权的国家刑事取证管辖模式[J].法学研究，2019，41（2）：188-208.

[7]  Polatin-Reuben D，Wright J.An Internet with BRICS Characteristics：Data Sovereignty and the Balkanisation of the Internet[C].4th USENIX Workshop on Free and Open Communications on the Internet，2014.

[8]  Faini F，Palmirani M.Italian Open and Big Data Strategy[C].International Conference on Electronic Government and the Information Systems Perspective.Springer，Cham，2016：105-120.

[9]  Thakar B，Parekh C.Reverse Engineering of Botnet（APT）[C].International Conference on Information and Communication Technology for Intelligent Systems.Springer，Cham，2017：252-262.

[10]  Vila Seoane M，Saguier.Cyber politics，digitalization and international relations：acritical political economy approach[J].Relaciones Internacionales-Madrid，2019（40）：113-131.

[11]  冉从敬，陈贵容，王欢.欧美跨境数据流动管辖冲突表现形式及主要解决途径研究[J].图书与情报，2020（3）：77-85.

[12]  Bodin J，Jean B.Bodin：On Sovereignty[M].London：Cambridge University Press，1992：345.

[13]  沈国麟.大数据时代的数据主权和国家数据战略[J].南京社会科学，2014（6）：113-119.

[14]  網络主权：理论与实践（2.0版）[EB/OL].[2021-07-12].http：//www.cac.gov.cn/2020-11/25/c_1607869924931855.htm.

[15]  黄志雄.网络空间国际规则制定的新趋向——基于《塔林手册2.0版》的考察[J].厦门大学学报（哲学社会科学版），2018（1）：1-11.

[16]  冯硕.TikTok被禁中的数据博弈与法律回应[J].东方法学，2021（1）：74-89.

[17]  许可.数据主权视野中的 CLOUD 法案[J].中国信息安全，2018（4）：40-42.

[18]  邵怿.论域外数据执法管辖权的单方扩张[J].社会科学，2020（10）：119-129.

[19]  蒋洁.云数据跨境流动的法律调整机制[J].图书与情报，2012（6）：57-63.

[20]  Woods A K.Litigating data sovereignty[J].Yale LJ，2018，128：328.

[21]  劉金河，崔保国.数据本地化和数据防御主义的合理性与趋势[J].国际展望，2020，12（6）：89-107，149-150.

[22]  何傲翾.数据全球化与数据主权的对抗态势和中国应对——基于数据安全视角的分析[J].北京航空航天大学学报（社会科学版），2021，34（3）：18-26.

[23]  齐爱民，盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报（哲学社会科学版），2015，36（1）：64-70，191.

[24]  邓崧，黄岚，马步涛.基于数据主权的数据跨境管理比较研究[J].情报杂志，2021，40（6）：119-126.

[25]  肖冬梅，文禹衡.数据权谱系论纲[J].湘潭大学学报（哲学社会科学版），2015，39（6）：69-75.

[26]  鲁传颖，范郑杰.欧盟网络空间战略调整与中欧网络空间合作的机遇[J].当代世界，2020（8）：52-57.

[27]  刘天骄.数据主权与长臂管辖的理论分野与实践冲突[J].环球法律评论，2020，42（2）：180-192.

[28]  Ursula von der Leyen，Op-ed by Commission President von der Leyen[EB/OL].[2021-07-01].https：//ec.europa.eu/commission/presscorner/detail/en/ac_20_260.

[29]  吴汉东.科技，经济，法律协调机制中的知识产权法[J].法学研究，2001（6）：128-148.

[30]  Krasner S D.Sovereignty[M].Princeton：Princeton University Press，1999：3-4.

[31]  祝高峰.数据时代国家信息主权的确立及其立法建议[J].江西社会科学，2016（7）：191-197.

[32]  数据主权时代的治理新秩序[EB/OL].[2021-07-13].https：//www.huxiu.com/article/430689.html.

[33]  De Filippi P，McCarthy S.Cloud computing：Centralization and data sovereignty[J/OL].[2021-08-10].https：//papers.ssrn.com/sol3/Data_Integrity_Notice.cfm？abid=2167372.

[34]  The Guardian.Revealed：50million Facebook profiles harvested for Cambridge Analytica in major data breach[EB/OL].[2021-08-13].https：//www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election.

[35]  许可.自由与安全：数据跨境流动的中国方案[J].环球法律评论，2021，43（1）：22-37.

[36]  任孟山.全球化背景下的信息传播与国家主权[J].中国传媒报告，2007（3）：56.

[37]  （美）门罗·E.普莱斯.麻争旗，吕岩梅，徐杨.等译.媒介与主权：全球信息革命及其对国家权力的挑战[M].北京：中国传媒大学出版社，2008：6-13.

[38]  信息安全技术数据出境安全评估指南[EB/OL].[2021-07-10].https：//www.tc260.org.cn/ueditor/jsp/upload/20170527/87491495878030102.pdf.

[39]  因涉嫌违反GDPR，摩拜单车面临德国数据保护监管机构的调查[EB/OL].[2019-12-19].http：//www.sohu.com/a/281194922_733746.

[40]  日本政府及企业长期遭美国窃听[EB/OL].[2021-07-13].https：//world.huanqiu.com/article/9CaKrnJOf2l.

[41]  Executive Order on Addressing the Threat Posed by TikTok[EB/OL].[2021-07-13].https：//www.whitehouse.gov/presidential-actions/executive-order-addressing-threat-posed-tiktok/.

[42]  数据安全关乎国家安全[EB/OL].[2021-07-15].http：//www.npc.gov.cn/npc/c30834/202107/39abeb5d40744aeaa65e17794714c559.shtml.

[43]  跨境网络攻击治理及中国方案[EB/OL].[2021-07-10].https：//www.secrss.com/articles/16660.

[44]  索尼并处罚金250000英镑后，黑客获得了数以百万计的玩家的详细信息[EB/OL].[2019-12-13].https：//nakedsecurity.sophos.com/zh/2013/01/24/sony-fined-hac/.

[45]  蔡翠红.大变局时代的技术霸权与“超级权力”悖论[J].人民论坛·学术前沿，2019，4（14）：17-31.

[46]  余丽，张涛.美国数据有限性开放政策及其对全球网络安全的影响[J].郑州大学学报（哲学社会科学版），2019（5）：12-19.

[47]  冉从敬，何梦婷，宋凯.美国网络主权战略体系及实施范式研究[J].情报杂志，2021（2）：95-101.

[48]  肖冬梅，文禹衡.在全球数据洪流中捍卫国家数据主权安全[J].红旗文稿，2017，4（9）：34-36.

[49]  Farrell H，Newman A L.Weaponized interdependence：How global economic networks shape state coercion[J].International Security，2019，44（1）：42-79.

[50]  习近平.在深圳经济特区建立40周年庆祝大会上的讲话[J].人民日报，2020-10-15（2）.

[51]  Chase P，David-Wilp S，Ridout T.Transatlantic Digital Economy and Data Protection：State-of-Play and Future Implications for the EUs External Policies[J].Study for the European Parliaments Committee on Foreign Affairs.European Union.doi：https：//doi.org/10.2861/173823，2016.

[52]  Comprehensive Economic and Trade Agreement Between Canada of the One Part ，and the European Union and its Member States[EB/OL].[2021-07-11].https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A22017A0114%2801%29.

[53]  Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data 108[EB/OL].[2021-07-15].https：//www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108.

[54]  张继红.个人数据跨境传输限制及其解决方案[J].东方法学，2018，4（6）：37-48.

[55]  翟志勇.数据主权时代的治理新秩序[J].读书，2021（6）：95-102.

[56]  刘晗，叶开儒.网络主权的分层法律形态[J].华东政法大学学报，2020，23（4）：67-82.

[57]  彭兰.5G 时代 “物” 对传播的再塑造[J].探索与争鸣，2019，1（9）：54-57.

[58]  張志华，蔡蓉英，张凌轲.主要发达国家网络信息安全战略评析与启示[J].现代情报，2017，37（1）：172-177.

[59]  张孙旭.俄罗斯网络空间安全战略发展研究[J].情报杂志，2017，36（12）：5-9.

[60]  刘云：健全数据分级分类规则，完善网络数据安全立法[EB/OL].[2021-07-17].http：//www.cac.gov.cn/2020-09/28/c_1602854536494247.htm.

[61]  韩洪灵，陈帅弟，刘杰，等.数据伦理、国家安全与海外上市：基于滴滴的案例研究[J/OL].[2021-07-13].财会月刊[2021-08-06].https：//kns.cnki.net/kcms/detail/42.1290.F.20210713.1713.004.html.

[62]  司晓.数据要素市场呼唤数据治理新规则[J].图书与情报，2020（3）：7-8.

[63]  Barbara L.Data Governance：A Quality Imperative in the Era of Big Data，Open Data and Beyond[J].A Journal of Law and Policy，2015，10（3）：811.

作者简介：黄海瑛（1978-），女，武汉大学信息管理学院博士后，副教授，研究方向：数据治理、数字人文;何梦婷（1993-），女，武汉大学信息管理学院博士研究生，研究方向：信息政策、开放数据;冉从敬（1978-），男，武汉大学信息管理学院教授，博士生导师，研究方向：数据主权、数据治理。