数据主权及其在《数据安全法》的体现

朱雅妮

(广东工业大学 政法学院，广东 广州 510006)

大数据时代，数据成为较传统资源更为重要的生产资料。数据经济价值和战略地位的跃升令国家围绕其展开的竞争更为激烈。世界主要数据大国以规则为重心争相构建利于自身的数据法律图谱，近年来新兴诸国的数据立法和正在酝酿的国际数据规则亦成为此番博弈中的新力量。2015年8月，国务院《促进大数据发展行动纲要》首次将“数据主权”写入国务院文件。数据主权是处理数据安全的根本指针[1]。在数据规则激烈博弈之时，2021年6月《中华人民共和国数据安全法》(以下简称《数据安全法》)的出台恰逢其时，既是对当前错综复杂的数据形势的有效回应，又是数据安全发展的有力保障，更重要的是该法进一步确立了我国数据治理的理念、原则、机制等顶层设计。

国家围绕数据问题制定法律、达成条约的行为是国家调整数据关系的主权行为。然而，实践的不约而同并没有令“数据主权”成为统一的概念，国际社会对“数据主权”的理解远未达成共识。诸多理论模糊了人们对数据主权的理解，不同程度消解了数据主权的正当性。在《数据安全法》生效后对数据主权再解读，对于厘清数据主权本身的意涵，深入理解《数据安全法》的立法理念和价值取向，有效贯彻执行《数据安全法》和其他数据立法具有重要意义。

一、数据主权的证成

(一)“网络无界性”与威斯特伐利亚主权基础的表象冲突

并非所有人都认同数据主权的概念，正如他们不认同网络空间主权一样。大卫·波斯特(David Post)和劳伦斯·莱斯格(Larrence Lessing)早期也表达了“网络空间不应该被规制，同时也不能被规制的想法”[2]。对此，部分人提出的“数据例外论”，认为云存储的数据根本不符合现有的地域管辖限制。“多利益攸关方”“网络空间自主主权”“全球公域”“数据例外”等理论此消彼长。上述不同理论却都抓住了“互联网无国界”这一理由去否定国家主权存在于网络空间。企图通过强调互联网无边界的特点来瓦解领土界限概念，达到否定网络空间存在国家主权的目的，其结果也否定了国家对运行在网络中的数据拥有主权。那么，表面没有“边界”的网络空间是否存在国家主权的划分？毕竟，从威斯特伐利亚体系以来，边界、领土和主权是三个紧密联系又能彼此证明的概念。领土是主权实施的范围，而主权是维护领土的权力。

《威斯特伐利亚和约》是近代国际法诞生的标志，它明确规定了国家主权原则这一国际法赖以存在的基石。边界的概念是威斯特伐利亚体系得以建立、实现和延续的基础。回顾历史，会发现威斯特伐利亚主权的出现不是对政治秩序进行理性反思的产物，而是确保人类最基本需求——生存的一种必要手段。在三十年战争(1618—1648年)期间，宗派冲突消耗了欧洲近三分之一的人口。《威斯特伐利亚和约》为结束屠杀提供了一种方式，它重新组织了封建欧洲政治权力重叠管辖的复杂矩阵，使之成为主权国家制度。威斯特伐利亚的主权将政治权力巩固在特定的领域内，将外来者排除在国内权力结构之外。国家在其领域内的“终极”权威得以确立，国家主权对内对外的双重属性开始清晰。

只有划定边界，对内和对外主权才有了可理解的物理依托，主权权力或权利才有了得以存在和继以施展的空间。如果用威斯特伐利亚体系的边界和主权概念审视网络和数据，人们不禁要问：领土以边界的存在为前提，那么网络空间没有物理边界，网络空间的主权范围是否划分又如何划分？

(二)数据运行的物理依托与数据主权的疆域

网络空间是“由包括计算机、计算机系统、网络及其软件支持、计算机数据、内容数据、流量数据以及用户在内的所有要素或部分要素组成的物理或非物理领域”[3]。全球网络空间可以视为从下到上的层级结构：最基础的为“物理层”，即众多服务器、路由器、交换机、终端设备以及连接这些物理硬件的光缆或电缆；其次是“逻辑层”，即运行在“物理层”上的软件，这些软件构成并限定了最终用户使用网络的方式和限度；最后是“内容层”，即通过前两个层次传播的由互联网用户所创造的内容。该层当中内容的表现形式就是数据。从网络空间的三个层次可见，网络空间并非自然造物，而是技术支持下的人造物，切实需要物理结构作为支撑。没有物理载体，数据无法流动。网络空间的物质结构基于陆地，自然落在了主权国家的范围内[4]。即便是在“云”端储存的数据也要驻留在服务器(本质上是大型硬盘)上，无论这些服务器位于何处，它们都受制于地域管辖权。将虚拟空间附着于物理空间，相当于是将传统的适用于物理空间的地域管辖同等延伸至虚拟空间[5]。数据主权则是国家主权原则在数据领域的延伸。

那些认为网络空间和数据不受主权约束的观点，一方面刻意强化网络空间可以任意接入形成全球覆盖的特点，另一方面有意回避网络空间存在的物理基础，干扰了人们对网络边界的认识继而影响了对数据主权的判断。只要数据需要物质载体，只要物质载体会落入国家领土的管辖范围，国家便对其享有主权权力。

(三)主权概念的演化性及其对技术进步的包容

认为国家对数据享有主权的理由还在于主权本身是个发展的概念，能包容技术的进步。《威斯特伐利亚合约》指涉的领土范围与当时的技术条件相适应。陆地的边界以现实存在的有形界线为依据，但技术的进步使边界范围得以拓展。 “正是技术催生了‘领土’，从而延伸主权的疆域：技术的发展并未限缩、更未颠覆主权的概念，反而拓宽了主权的概念腹地。按照这样的逻辑，信息技术制造了虚拟世界，主权的概念也就相应延伸到了虚拟世界”[6]。从这个角度看，数据主权的边界性与威斯特伐利亚体系的疆域概念在发展逻辑上是一致的。

技术的进步还决定了数据能够被控制，国家针对数据的主权权力得以实现。其一，可以通过控制网络的接入来控制数据流动。对于互联网来说，为了让IP数据包进入特定的区域，必须存在特定的物理组件，通过控制互联网接入所需的物理组件，国家可以规范网络空间。其二，可以通过过滤来控制数据内容。互联网监管通常通过使用防火墙或全面的网络过滤系统来实现。防火墙系统的主要组成部分是数据包过滤路由器。此类路由器可以过滤来自或前往特定IP地址的数据包，进而阻止内部用户访问外部站点，反之亦然[7]。从技术上讲，各国政府可以对字节进行源标记，以确保可接受的数据流或应用程序入境同时阻止非法信息进入领土内。

无论网络世界如何相互联系，技术能够控制数据及其流动已是不争的事实。与此同时，国家对介入和调整网络空间事务表现出越来越多的“兴趣”，有人称其为网络空间的“再主权化”。研究者们开始放弃网络空间和数据不可规制的观点，转而承认网络空间主权和数据主权。莱斯格教授承认“当时的主流观点是互联网的无政府主义，即现实空间的种种规制不应该延伸到网络空间。近年来，上述观点已逐渐退出历史舞台，互联网无政府主义者的信心也随之瓦解”[8]。一个主权国家控制网络空间的时代已经到来。

二、数据主权的解析与立法实践

(一)数据主权的概念

2013年，第六十八届联合国大会《从国际安全的角度来看信息和电信领域发展政府专家组的报告》认为，由国家主权产生的国际准则和原则适用于国家开展与信息和通信技术有关的活动，以及国家在其领土内对信通技术基础设施的管辖权。可以说，数据主权源于国家主权的观点在联合国专家报告中获得肯定[9]。

然而，学界对数据主权概念并无一致认识。有学者认为，数据主权分为“广义”和“狭义”：前者包括国家数据主权和个人数据主权，后者仅指国家数据主权。西方学者谈及的数据主权很多情况是指个人数据主权[10]。更多的国内研究者强调国家数据主权，即认为数据主权的主体就是国家[11]。但对数据主权的具体理解也存在不同。还有研究者没有直接定义数据主权，但提出了理解数据主权的方法。例如从网络主权开始理解数据主权，网络空间主权又可分为“网络物理层主权”“网络逻辑层主权”和“网络数据层主权”(数据主权)[12]。这种理解实质上是将数据主权当作网络空间主权的下位概念。还有学者借鉴信息主权的概念来理解数据主权[13]。本研究认为，可以从以下几方面解读数据主权。

第一，数据主权的主体是国家，只有国家才能拥有数据主权。尽管数据主权的概念在不断发展和丰富，但从法国博丹的主权学说开始，主权是国家概念的核心，是国家的本质特征。个人数据主权将数据主权概念与数据权相混淆，个人数据主权的实质是个人的数据权。国家拥有数据主权并不否认个人对数据拥有权利，而是为了更好地保护国家领土范围内个人的数据权利。可以说，数据主权中凝聚着重大的国家利益以及国家保护下的个人权益。将个人数据权利上升到主权的高度，不仅模糊了两者的属性和实质，更有可能影响国家主权在数据领域的行使，削弱国家对数据管理的权力基础。

第二，数据主权和信息主权在内涵上并无本质区别，但数据主权的概念更能体现大数据时代国家对数据价值的关切。大数据时代数据和信息在概念上的互通性决定了数据主权和信息主权的实质相同。首先，作为信息数字化的形式，电子数据与电子信息具有共同意义，即信息通过数据形式生成、传输和储存，控制数据即掌握了信息，在这个意义上二者具有共生性和一致性[14]。其次，信息是数据的内容，数据是信息的形式。数据兼具信息本体和媒介的双重属性。在大数据时代，已无法将数据与信息加以分离而抽象地讨论数据上的权利。只有数据被信息化呈现，数据的资源稀缺性才会出现[15]。最后，各国理论和立法都出现了“信息”和“数据”交互使用的现象。

其实，不论是作为原始材料的数据，还是经过重新聚合、深入挖掘和分析的大数据，其资源稀缺性都基于凝结在数据中的信息价值。但因为数据是计算机和网络上流通的比特形式，数据一词如其概念，更加突出了信息与网络空间的互动关系，从而也区别于依托传统如纸质等媒体的信息表达，数据主权确实更能反映大数据时代国家的利益关注重心以及国家主权回归网络空间的现实。总体而言，数据主权正逐步取代了信息主权的概念。

(二)数据主权的内容

数据主权可以从内外两个维度理解，并可分为数据保护权、数据管理权和数据发展权。威斯特伐利亚体系以降，对内对外的双重属性已经成为国家主权概念的基本之义。作为国家主权延伸的数据主权，可以分为对内数据主权和对外数据主权两个面向。对内数据主权是指国家对管辖区域内的数据进行保护、管理和促进其发展的权利。对外数据主权指国家能独立决定本国的数据政策、战略和法律，平等开展数据治理与合作，平等协调并处理同他国的数据冲突。网络全球互联的特定决定了各国难以单独有效治理数据，加强国际合作成为共识。另外，数据流动引发的管辖权冲突更需要深化国家间的沟通与协调。具体而言，数据主权可以分为数据保护权、数据管理权和数据发展权。

数据保护权，即国家对管辖范围内的数据资源进行保护的权力。信息就是权力。正如约瑟夫·奈所认为的“权力正在发生从‘资本密集型’向‘信息密集型’的转移”，托夫勒权力三支柱——暴力、财富和知识中的的知识便可由数据凝练而得[16]。从某种程度来说，云时代下的数据就是国家权力的基础。主权国家对数据的保护，既保护本国公民的个人数据免受窃取和侵害，又保护国家敏感或重要数据免被他国获得和利用。

数据管理权，即国家对数据生成、收集、存储、传播、处理和使用等数据活动行为进行管理的权力。国家有权根据本国利益管理数据价值链上的各种活动。尤其是在数据跨境流动的问题上，主权国家有权禁止危害国家安全、损害公民基本权益的数据进入本国，也有权在第三国未能对数据提供有效保护或其他情况下禁止数据流出境外。

数据发展权，国家采取措施鼓励和保障数据发展的权力。自有国家以来，维护主权和统治是国家的主要任务，经济基础作为权力的后盾举足轻重。数字贸易时代，只有促进和保障数据产业的发展，充分挖掘数据的商业价值才能真正赢得数据主动权。事实上，不论是极力推动数据自由往来的国家政策还是限制数据流动的战略选择，其根本关切还是数据利益，只不过后者是在数据产业比较优势不足的情况下做出的选择。

(三)数据主权的立法实践

各国围绕数据主权展开的法律博弈近年来集中体现在数据立法中。如前所述，主权是一个具有强烈地域性的概念，许多国家都通过强化数据与地域之间的联系来强调本国对数据的管辖权，“数据本地化”措施就是这种强化的结果。“数据本地化”指公共政策努力要求把在某一司法管辖范围内收集的数据存储在该司法管辖范围内。俄罗斯是“数据本地化”的典型代表。俄罗斯《信息保护法》第十六条第四款中增加“信息拥有者、信息系统运营者有义务对俄罗斯联邦公民个人信息进行收集、记录、整理、保存、核对、提取的数据库存放在俄罗斯境内”的规定；《俄罗斯联邦个人数据法》第十八条第五款要求“收集个人数据时，运营商需要保证使用位于俄罗斯境内的数据库。”印度尼西亚、越南等国制定的法律也明确了数据本地化要求。其他国家如澳大利亚、德国、韩国和委内瑞拉也在某种程度上要求从其公民收集的某些金融、健康和医疗信息、在线发布和电信数据存储在本地服务器上。

当然，“数据本地化”措施并不是宣示数据主权的唯一方法，一些国家在数据立法中采用了其他措施，也能达到限制数据流动、控制数据的目的。例如欧盟要求接收方在信息转移到国外之前实施适当的隐私保护，否则将禁止个人数据的国际转移。数据移转出境的高标准不仅会使跨国界传输数据更加昂贵和耗时，在某些情况下会导致事实上的数据本地化。美国强烈抵制“数据本地化”，并且在立法中通过采用“数据控制者标准”去打破数据与地域紧密联系的“数据存储地标准”，继而实现跨越国境从他国获取数据的目的。《云法案》第103节(a)条规定：“电信或远程计算服务提供者应按照本章规定保存、备份、披露通信内容、记录或其他信息，只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制，无论该通信、记录或其他信息存储在美国境内或境外。”质言之，只要数据涉及美国公民并在美国公司的控制之下，无论其是否位于美国境内，网络服务提供者均应提供司法协助。

三、数据主权在《数据安全法》的体现

(一)总体国家安全观下的数据治理顶层设计

有人将世界数据治理理念分为三类：美国“市场话语”下的数据治理价值观、欧盟“权利话语”导向下的数据法律观以及中国“安全话语”导向下的数据治理观[17]。美国有明显的数据技术比较优势和较大的数据商业份额，强力推行数据自由流动，尽量减少数据跨境壁垒是美国数据法律的重点关切。欧盟的数据比较优势稍弱，但其数字市场潜力巨大。相应地，欧盟确立了内外有别的数字发展战略：对内尽力消除各国数据流动障碍，进一步激发数据活力，提升整体数字经济实力；对外则用“个人数据、隐私保护”之名，为数据出境设立高标准，限制数据流动，遏制竞争对手的同时为欧盟内部数字经济发展赢得主动权。

与美欧不同，我国是“安全话语”导向下的数据治理观，尤其强调将国家安全作为数据立法的核心价值。“国家安全话语”的数据治理理念既重视数据之于经济发展、社会变化的重要意义，更看重新科技下数据对于各方安全尤其是国家整体安全的影响。在总体国家安全观下，《数据安全法》中包含了数据管理权、数据保护权与数据发展权，并注重三者相互协调。第一条“为了规范数据处理活动、保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法”，其中“规范数据处理活动”体现数据管理权，“保障数据安全”强调数据保护权，“促进数据开发利用”侧重数据发展权。具体而言，第一章总则部分的第二条、第五条、第六条、第九条等条款明确了国家各机关的数据管理职责，是数据管理权的具体落实；第二章数据安全与发展、第三章数据安全制度、第四章数据安全保护义务的若干条款集中体现了数据保护权；第七条“鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展”、第十一条“国际积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动”是数据发展权的细节性展开。对数据进行管理是为了保障数据安全，只有确保数据安全才能真正实现数据的发展，因此数据管理权、数据保护权、数据发展权三者之间是有机统一的关系。

(二)确立数据域外管辖权

在《数据安全法》之前，我国的数据立法以领土原则为基础，重点考虑域内适用，几乎没有涉及域外适用性。例如《网络安全法》“在中华人民共和国境内建设、运营、维护和适用网络，以及网络安全的监督管理，适用本法”的规定决定了该法只指向境内的网络活动。这与世界上许多国家争相将本国数据法律效力扩大至域外的趋势有所差别。

随着网络技术的持续发展，数据企业在领土范围之外从事收集、处理、存储等数据活动已非难事，境外数据企业收集和处理本国数据也是常态。仅规定境内适用的数据立法将留下不少数据管辖空缺。事实上，将境外数据控制者的特定数据处理行为纳入法律适用范围已成普遍做法。欧盟、美国的最新数据法律都纷纷将本国数据法律的适用效力延扩至域外，在结果上会损害包括我国在内的许多国家的数据主权，引发数据管辖冲突。欧盟《通用数据保护条例》(General Data Protection Regulation，以下简称GDPR)第3条规定其适用范围，集中体现了欧盟数据管辖权的扩张。第3条第1款采用了“数据控制者”标准，只要是欧盟境内设立的数据控制者处理个人数据的行为，不论该行为发生在欧盟领域内或领域外都适用该法。欧盟数据法的扩张性还体现在对数据跨境传输的规定上，通过将源自欧盟境内的数据打上“欧盟籍”烙印，将欧盟的数据立法以及标准扩散到世界各国。美国通过出台并生效《澄清域外合法使用数据法案》(the Clarifying Lawful Overseas Use of Data Act，以下简称《云法案》)，明确了《存储通信法案》的域外适用性。前述《云法案》第103节(a)条便体现美国数据立法由“数据存储地”向“数据控制者”标准的变化，第103节(1)条强调，保管、控制或占有数据的通信服务提供商是指受美国管辖的通信服务商。表面上看该变化是为了适应云计算下数据流动性的特点，实际上是针对他国的数据本地化立法，将“云储存”的数据直接纳入美国国内法律规制范围。

为应对他国数据管辖权扩张性立法，扩大本国数据法律的域外效力，积极参与国际数据的全球治理，维护我国的数据主权，《数据安全法》第二条规定“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”该条明确了该法对中国境外开展的数据处理活动具有管辖权，实现了管辖权属地原则和效果原则的有机结合，拓展了我国数据立法的域外适用效力，为数据安全、有效地跨境流动增加了新的法律保障。类似做法还有欧盟，其GDPR第3条第2款“在欧盟境外设立的数据控制者或处理者同样适用本条例，只要他们处理的个人数据之数据主体位于欧盟境内，并与以下两种情形相关：(a)为位于欧盟境内的数据主体提供商品或服务，无论是否要求数据主体支付对价；或(b)对数据主体在欧盟境内的行为进行监控。”该条实质是“效果原则”，效果原则下不论主体是否位于国家领域内，只要其行为对该国领土产生实质性影响，都受该国管辖。

(三)明确非经批准的数据境外调取的阻断措施

按照美国《云法案》和欧盟GDPR的规定，美国和欧盟都有可能在一定条件下，将法律适用至我国境内。在《数据安全法》之前，我国数据立法还不足以应对此类管辖权扩张的做法。《数据安全法》的出台，为阻却《云法案》等法律域外调取数据证据的行为提供了防御机制。其三十六条规定，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。据此，我国将合理阻断外国司法或执法机构获取中国境内数据的不当要求，该条的阻断措施是阻断立法的一种。

所谓阻断法，是指直接规定禁止外国某些具有域外效力的法律在本国境内实施的法律规范，是一种针对外国法的反措施。世界范围内的阻断法主要有欧盟阻断模式和英国阻断模式两类典型做法。前者针对直接列举的被阻却的法律进行阻断立法，后者则是指向外国不特定法律进行阻断，并对本国经济主体的某类实体权利提供保护。不论哪种模式，一般都具备阻断立法的三项核心制度：一是阻断相关法律在本国境内的效力及执行；二是禁止相关主体遵守被阻断国特定法律；三是就被阻断国给相关主体带来的损害提供索赔机制。

当下，不少国内立法管辖权有所扩张，尤其是美国在面对国内治理困境和国际复杂局势双重压力的情形下，开始泛用域外管辖权巩固自身优势地位，维护本国及本国企业的利益，将“长臂管辖”范围拓展到多方面，数据领域更为明显。前述的《云法案》将调取证据的范围通过数据控制者这一主体延伸至他国。这一立法变化将有损很多国家数据本地化措施的立法初衷，也有可能对我国《网络安全法》第三十七条的数据本地化立法造成妨害，不利于数据安全。《数据安全法》第三十六条引入阻断措施，一方面将较好对抗具有域外适用性的外国法律调取数据的规定，在维护我国的数据秩序、保障数据安全流动、保护数据资源方面具有重要意义，进一步为捍卫中国数据主权提供制度保障；但另一方面该条的阻断措施较为简单，仅仅针对非经批准的数据境外调取这一单一行为，而从传统的阻断法来看，阻断法的三项核心制度能提供更多保护，未来的数据法律可以更为完善。

除了阻断措施，第三十六条也规定了合理、合法基础上的数据合作，在中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。

数字经济时代，新科学技术正在重塑人类生活方式和世界治理格局。数据作为全球变革的关键要素已不容忽视，能够控制、利用、保护数据的国家和主体将抢占未来发展的先机。数据也在创新和改革法律本身。既有基于物质属性和物理空间的法律已不能完全适应新科技时代，表现出解决非物质事项和处于模糊边界的问题时的捉襟见肘。时代情境下数据立法既成为一种必需、一种契机更是一场博弈。西方国家利用不同理论或否定国家对数据拥有主权权力，或弱化数据主权的治理基础，或消解主权在数据领域的重要性，但通过数据立法不断扩张其管辖权力范围的事实却恰恰反映了他们在数据主权问题上的争夺。美、日、欧等国试图共同打造专门规范数据流动的国际规则，但却将中国、俄罗斯等数据大国排除在外。面对复杂的国际局势，针对美国等国借助法律设计强化数据控制的新变化，我国建立起数据保护法律体系，开展了数据保护专项立法。这些法律体现了中国以国家安全为导向的数据价值核心。《数据安全法》是我国关于数据安全的专门立法，充分吸收了最新理论研究成果，尤其在对外领域，将法律的域外效力、阻断立法、反制措施等制度纳入到法律当中，对数据形成更为立体和完善的保护。它的实施将有助于进一步提高国家数据安全保障能力，在维护数据安全的前提下，进一步激发数据活力，实现数据赋能经济发展。不仅如此，《数据安全法》再次强调了中国与世界各国共同发展和保护数据的决心。数据的天然弱边界性意味着数据治理需要加强国际合作。中国应充分利用“一带一路”倡议的平台，在人类命运共同体思想的指导下参与并引领全球数据法律供给，真正实现中国在数据治理中的话语权和影响力。