李 柏 正
(西北政法大学 法治学院, 陕西 西安 710063)
伴随着大量传感器、射频识别技术、智联网等大数据和5G技术被广泛应用于生产和生活领域,人类进入了万物皆可数据化的大数据和5G时代[1]。数据化在改变世界的同时,也为既往的主权理论和国家主权安全带来了新的挑战。国家主权除了要面对来自传统领域的威胁外,还要面临数据跨境流动、数据霸权主义、数据技术落后、数据安全意识缺乏等原因导致的“数据领土”安全问题,国家的不可渗入性以及主权的最高性、独立性、权威性、领域性等属性不断受到大数据和5G等技术的损害。这种损害无论是在对国家内部影响的纵深程度上,还是国家在维护主权的感知能力、防范能力上都是前所未有的。那么,大数据和5G时代,国家对数据是否还享有主权?数据主权与传统主权相比有何种特征?我国应当如何维护自己的数据主权?
自人类进入全球化时代后,电子通信、互联网、大数据、5G等技术的发展,使得世界原有的交互模式不断被突破,国家对公民、商品、资本、信息的跨境流动从可控变得日益难以控制甚至不可控、失控,被喻为“权力集装箱”的国家主权被一轮又一轮的科技革命“撬开”。科技变革时代,国家对传统的公民和领土,以及新兴的大数据是否还一如既往地享有主权?国内外学者存在认识分歧,形成了数据主权放弃论、数据主权坚守论和数据主权折中论三种观点。大数据和5G时代下,选择何种理论是研究数据主权问题的关键。
(一)数据主权放弃论——主权“已死”
放弃者认为大数据和5G技术使得国家的边界变得可以渗透,甚至可以说在逐渐消失,人类逐渐处于一个“无主权”的世界[2]。大数据技术的数量、多样性、速度、价值及真实性等特点和5G技术的高速度、泛在化、低功耗、低时延、万物互联特点使得世界交流超越原有的模式[3],大规模的信息、资本、商品以数据为载体轻易跨越主权国家领土边界进行自由流通。政府组织、跨国公司、非政府组织和普通个人在大数据和5G时代形成更加密切的数据关系,形成了一个覆盖全球网络的数据社会。国家或国籍不再是公民唯一的身份标签,公民可能因在物理层面和虚拟空间归属不同的团体、组织而扮演多重角色。不同国籍的公民虽属于以领土为界限的不同国家,但是大数据和5G技术为他们提供了无数个加入同一组“数据集合”,同一个“数据社会”,甚至是同一个“数据国家”的机会,国家不得不认可它的公民所持的那些相互竞争的、交叉的忠诚,甚至包括对另一国家的忠诚。在放弃论者看来,在大数据和5G技术对世界的穿透性面前,数据主权理论已变得毫无意义,国家已丧失了对数据以及以数据为载体的物质世界的基本管辖。
放弃理论夸大了科学技术对主权的损害程度,没有看到数据主权仍然被民族国家牢牢掌握,且相关数据权力原本应归属于关联国家的应有立场。实际上,民族国家自产生以来,其主权就一直不断变化着,以适应不断改变的国际环境。大数据和5G技术的发展与维护主权并非必然冲突,大数据和5G技术在一定意义上限制甚至削弱了国家主权,但是国家可以将大数据和5G技术作为维护主权的科技手段。在大数据和5G时代,主权的内容、形式和行使方式发生了变化,但是国家并没有失去其应有的适应世界变化的能力。未来,全球治理的核心仍然是数据主权国家[4]。因此,放弃论这样“主权已死”的观点未免为时过早。
(二)数据主权坚守论——主权“僵死”
既然数据主权理论尚未终结,亦未过时,那么它是否仍然保持着固有的传统主权地位、权威不变?威斯特伐利亚体系是否动摇?数据主权坚守理论者认为,全球化时代和互联网技术并未动摇主权固有的作用和权威,数据主权理论仍然具有其原有的传统主权理论的活力和价值[5]。主权仍然是国家内部最高的政治权威,代表着对领土范围内的人和事务进行绝对治理的权力。数据主权则是国家在本国数据领域的最高权威,代表着国家对数据的绝对管辖和治理。在大数据和5G时代下,尽管存在数据技术和蜂窝通信技术落后国家的“数据领土”,受到了来自第五空间“领网”的侵蚀。但是这种侵蚀并没有威胁到国家主权在本国数据领域的中心位置。在数据主权坚守论者看来,国家对领土范围的数据仍然保持着充分的、足够的主权效力。
坚守论者试图拒绝对主权概念进行国内和国际两方面的理解,通过缩小主权所涵盖的内容,从而证明数据主权的地位根本不会被动摇,使得数据主权只是一个国内法的概念,而非国际法的概念。毋庸置疑,大数据和5G时代下的主权在国际政治关系中虽然仍然处于一个十分重要的地位,但这并不意味着国家的主权理论和主权权威的地位毫不动摇。大数据和5G技术深刻影响着主权的对内部分和对外部分。对内,国家需要利用大数据和5G技术提升国家治理能力;对外,国家需要进行“数据战”来抵制数据霸权,维护本国数据安全。这也正是数据主权的全部内涵和重要意义。数据主权坚守者正确地指出了主权的重要价值,但忽略了科学技术对主权理论及实践产生的影响。同时,过分强调国际社会中国家的中心地位,会对国际组织、非国际组织等非国家行为体的重要性缺乏清醒认识。因此,这种“主权僵死”的观点显得未免已经有失偏颇,至少没有“与时俱进”。
(三)数据主权折中论——“活”的主权
数据主权折中理论认为国家主权并不是一成不变的,更不是可以被随意否定的,国家主权会随着科学技术的发展而不断发展变化[6]。在人类没有通过科学技术征服天空和海洋之前,国家也不曾拥有“领海”“领空”之权。从全球化时代、互联网时代到大数据和5G时代,民族国家主权受到了不同程度的限制和削弱、替代,但是国家主权并未受到严重危害和致命打击。时代是变化的时代,主权是变化的主权。数据主权理论既不能在传统概念里故步自封,看不到新科学技术对主权的影响;也不能因为过分强调科学技术所带来的变化否定主权理论基本的价值。主权是一个内容和形式变化的、发展的和范围得到不断拓展的概念,从媒介主权到信息主权,再到数据主权。而数据主权理论是当下主权理论的最新体现。
数据主权折中论对于当下主权理论的认识,是立足于延续传统主权概念的基础上,将科学技术与主权理论紧密结合起来,发现主权理论的最新体现。在折中论者看来,数据主权理论使得传统主权充满生命力,数据主权实际上是一种“活”的主权:(1)主权是“一国至高无上、不可限制、不可分割的统治权力”[7],主权仍然是国家的重要组成部分,是当前国家进行内部治理和国际交流的基本准则;(2)在科学技术对主权的损害程度上保持着理性的认识,既不否定科学技术的影响,更不妖魔化这种影响,在科学技术的损害和威胁中发现“活”的主权,为未来主权理论的发展提供了理论支持。可见,折中论是一种对数据主权理论正确的认识。新兴的大数据和5G技术与主权理论结合下的“数据主权”,必将以一种新的主权理论对未来国际法和国际秩序的构建都产生深层次的影响[8]。
(一)数据主权的概念和提出背景
1.数据主权的概念
在数据主权的理论选择上,学界多数人选择数据主权折中论,认为数据主权在当下是一种“活”的主权。但具体到“数据主权”概念的认识,并未形成统一的意见,界定概念方法也大致分为三类:第一种是进行广义、狭义之分[9],第二种是与网络信息主权等同[10],第三种增加传统主权理论的“数据”内容[11]。三类概念有各自不同的关注层面和值得商榷之处。广义、狭义之分的方法强调数据主权主体的广泛,但其广义定义违背了传统主权的基本内涵。与网络信息主权等同论者从网络信息和数据的共性出发指出,认为维护网络信息主权本身就包含着对数据主权的维护,但其忽视了信息与数据的差异,导致数据主权的非虚拟范围不足。“添附”传统主权理论的做法更为注重在延续传统理论的基础上,体现一些“活”的特征,但是缺乏对数据技术、数据活动、“数据领土”深刻的认识。总体来说,三种方法各有利弊,但都明确了数据主权来源于国家主权,并发展了国家主权理论,是未来国家主权的必然延伸和核心内容。综合三种观点,数据主权是国家对存储在国内的数据、跨境流动的本国数据以及相关数据载体拥有的收集、存储、加工、使用、提供、交易、公开等权力,对内体现为国家最高的数据权力,对外体现为国家独立的数据权力。
2.数据主权的提出背景
数据主权作为一种“活”的主权。它产生的背景是,大数据、5G等技术的应用,使得海量数据高速率跨境流动。数据流动是一个非常复杂的过程,涉及数据所有者、接受者、使用者等多个主体,数据起源地、运输地、目的地、设施所在地、提供商国籍所在地等多个场景,使得数据跨境流动呈现“无国界”的状态。跨境流动的数据除了包含个人和企业的数据,还包含涉及关于国家主权的数据。数据各方为了各自利益和国家安全的考虑,主张完全的数据权益,加之国际尚未形成数据跨境流动的相关规则,使得数据权纠纷频发。面对这一情形,众多国家依托《大陆架公约》中“主权权利”理论,纷纷对境内外关联数据主张数据主权,并进行数据主权立法,为维护本国数据利益和安全提供理论和制度支持[12]。
(二)数据主权的法理基础
数据主权原则虽已成为维护国家数据安全利益的国际共识,但是数据主权作为一种新的权力形态,并非主权国家一经主张即便拥有。数据主权有着其自洽的法理基础和被国际广泛认可的理论依据。
1.国家拥有数据主权资格
传统主权理论认为,主权身份、主权权威、主权能力是衡量某一主权国家是否拥有主权的标准。其中,主权权威是一国最高的立法、行政、司法权力,主权能力是维护本国主权排他的能力[13]。数据主权作为国家主权的重要内容,同时也有着数据主权身份、主权权威和主权能力三个方面的衡量要求。
其一,国家的数据主权身份。数据主权身份是指,主权国家对自己所拥有的网络信息和数据治理的宪法性权力,表征着主权国家是数据的主权享有者。2013年“棱镜门”事件的爆发,虽然不同国家的数据安全独立受到了霸权国家的侵害,但是并未实质损害国家依据本国宪法维护自身数据主权安全的独立。国家一方面保障公民和企业的数据权与自由,一方面以“保护隐私”为着手,开始限制国家机关在数据领域的权力滥用,以及合理限制本国数据的跨境流动。
其二,国家的数据主权权威。国家的数据主权权威是指国家的数据立法权、数据行政权、数据司法权被社会实际认可和遵守,在国家内部享有最高权威。大数据的5V特征使得公民、企业、国家在享有大量数据资源价值、资产价值和资本价值的同时,还面临着数据化带来的个人隐私、商业机密、国家秘密泄露等诸多风险。公民、企业、国家三类数据主体中,只有国家有能力通过立法、行政、司法活动来保护整体的和具体的数据利益,并得到其他数据主体的认可与遵守。因此,国家的数据立法、行政、司法活动享有最高权威。
其三,国家的数据主权能力。数据主权能力与数据技术息息相关,是指国家有人力、物力、科技能力维护本国的网络信息和数据领域安全。依据数据技术的强弱可以将国家分为两类,弱数据主权能力国家和强数据主权能力国家。弱数据主权能力国家的利益易受到数据霸权的侵害,强数据主权能力国家有维护自身数据安全和利益的充足能力,甚至会出现滥用数据技术优势而成为数据霸权国家的现象。伴随着各国对发展大数据和5G等数据技术的重视,全球许多国家都具有相当的数据主权能力。
2.国家拥有虚拟物规制经验
大数据是指PB级以上的数据集合,由于信息量过大,传统的存储设备无法对之进行搜集、存储和处理,人们开始运用新兴技术对数据进行管理[14]。大数据作为电子形式的数据,是一种虚拟的、无形的物质,增加了法律对其的规制难度。例如,对公私数据财产归属的认定与划分,对利用伪基站进行电信数据诈骗犯罪的侦查等,都是当前法律理论和实践的难题。尽管如此,法律和司法机关仍然可以借鉴在处理股权、知识产权、姓名权等虚拟对象活动中所积累的丰富的理论和实践经验,实现对“无形”数据的合理规制[15]。例如,《民法典》对数据、网络等虚拟财产着手法律保护;“人脸识别第一案”中法院判决数据收集者删除数据产生者包括照片在内的面部特征信息。
3.国家拥有数据归属追溯能力
跨境流动数据形态多样,除了传统关系型的数据,还有结构化、半结构化和非结构化的数据,且半结构化和非结构化的数据正变得越来越多①。这些大量、高速流动的数据以虚拟形态向特定或不特定的数据接受者自由流动,为数据归属判断造成了困难。但是,国家仍然通过对虚拟数据具有真实性这一特点的把握,来判断出大多数流动数据的归属。数据的真实性是指虚拟的数据空间与现实世界平行存在、精准对应、密切关联。就数据本身而言,因其可被复制和多点储存,虽不具有国籍、领土等明确的标签属性,但数据活动过程中涉及的数据所有者、接受者、使用者等主体的国籍,以及数据起源地、运输地、目的地、设施所在地等所在的具体国家地理疆域,可以成为判断数据归属的依据。
(三)数据主权的核心特征
1.数据主权跨越了领土边界
在大数据和5G时代下,流动数据的规模在获取、存储、管理、分析等方面大大超出了传统数据库软件工作能力范围[16]。加之5G技术的发展和应用,促使数据高速流动的同时(5G的峰值速率在高速运行时为10GPS,低速运行时为50GPS,频谱效率是4G的10倍)也带动了数据爆炸式的增长。境内外大规模和高速率的数据活动,使得各国“数据领土”互相交融,部分交集甚至变得不可分或无法区分,国家对数据主权的行使范围远远超越了传统的领土边界。
(1)境内数据引起主权重叠。存储在国家内部的数据属于本国数据主权的管辖范围,而境内数据的存储形式主要以领土范围内社交网络、物联网、电子商务等领域的非结构化或半结构化数据为主,又被称为关系型数据。关系型数据的产生主要来源于人类活动,既包括本国企业和公民的境内数据活动,以及本国数据在跨境流动后与他国数据混同后再次入境的数据活动,还包括外国人在境内的数据活动。回归数据和外国人境内活动数据往往涉及他国的数据主权和数据安全,又是本国数据主权的重要范围,对境内数据行使管辖权往往会妨害他国的数据主权。
(2)云数据虚拟领土边界。云数据是经云技术虚拟计算、处理和储存的数据,属于一国数据主权的管辖范围。云数据服务商涉及全球众多公共云、私有云和混合云,用户分布在世界各地,数据在多个节点同步存储和传输。云数据主权将“数据领土”延伸至虚拟的“云”端系统,与一般大数据储存在物理设备中不同,可以依据国籍、领土等标识寻找数据的主权归属。云数据无论是在收集阶段,还是传输和存储阶段,都在虚拟空间中进行。云数据主权也将跨越领土界限,甚至超越物理世界。
(3)5G技术加速数据跨境流动。数据来源于机器生产、人类活动和互联网分享集中行为[17]。5G技术作为一种发达的蜂窝通信技术,其核心功能在于加速和活跃人们的数据创造、分享和传输活动。5G技术的三类典型应运场景,高速率、大容量通信,高可靠、低延时通信,大规模物联网通信,都建立在5G终端和基站在全球数据传输系统中普及的基础之上。伴随着5G技术在全球的发展,大量数据将在5G技术的应用场景和传输方式(5G采取C/U分离的方式进行数据传输,一种网络作业切片架构的方式)的推动下,数据的跨境流动无论是在容量上,还是在速率上和地域范围上,都将有所重大超越。5G技术的应用,使得一国数据主权域外范围快速向全球拓展。
2.数据主权涉及数据的资源价值、资产价值、资本价值
国际社会常常会因争夺一个“不毛之岛”而产生主权纠纷,除了涉及国家尊严和国防利益原因外,更为纠纷双方所看重的是“不毛之岛”背后蕴含的海洋利益。在大数据和5G时代提出“数据主权”概念,不仅是因为存储在国内和跨境流动的数据关乎国家安全利益,更为重要的是,数据本身蕴含着资源价值、资产价值、资本价值,会给主权国家带来的巨大利益诱惑。除此之外,与传统领土的价值相比,“数据领土”所带来的价值具有虚拟性和时代性,如果国家将主权利益仅仅锁定在传统的领土价值,而忽略“数据领土”价值,将会在新一轮的“数据战争”处于不利地位,损失大量数据资源、资产和资本,危及数据领域的国家利益。
(1)数据的资源价值。数据虽然是信息的原生态,但是数据比信息更具有价值[18]3。如果将数据比喻为矿产资源,将信息比喻为被采掘出来的原材料,那么数据主权就相当于国家对自然资源和领土的所有权。与传统的自然资源相比,数据资源具有可再生、获得和使用零污染和无限性使用的特征,已经成为新的生产要素,与石油、钢铁一样成为基础性和战略性的资源。在国际上,国家间的竞争的焦点也从对领土、领海上的传统资源和资本的争夺同步转向对数据资源的争夺。国家对数据资源的收集、分析和应用能力已成为一种综合国力的新标志。
(2)数据的资产价值。数据资产是被国家拥有或控制的,能给国家带来预期经济利益的数据资源。数据资产具有可控制、可量化和可变现的特征。数据的资产价值对国家、企业和个人具有重要的意义。国家可以通过挖掘和利用数据资产提升公共服务效益,制定发展战略;企业通过运营的服务平台、企业信息系统、数据库系统、文件系统中的数据资产,可以精准服务客户,扩大销售市场;个人可以将参与社会活动中产生的数据和个体生理维持过程中产生的数据视为私有财产,对数据的所有权等同于对物的所有权。
(3)数据的资本价值。数据资本化是将数据资产量化折算,并转化为可以实现数据经济价值的过程[19]。数据资本有着非竞争性、不可替代性和可流动性的特征。国家在履行社会管理和公共服务职能过程中,掌握了大量的原生数据和衍生数据。例如,气象数据、道路交通数据、司法数据、出入境数据等。这些数据如果被束之高阁,市场需求将无法满足。国家在保障数据安全的前提下,可以将主权范围内所掌控的数据资产投入国内、国际数据市场,不断提升国家数据的经济价值。
3.数据主权安全受制于数据技术
科学技术的发展能力越来成为一个国家主权能力的重要组成部分。在全球化初期,国家主权能力主要体现在依靠现代军事训练、精良尖端武备等方式来维持内部政治权威和抵御外来侵略。在互联网时代,发展网络技术来保障和维护虚拟空间秩序,是各国提升“网络主权”能力的关键所在。在大数据和5G时代,国家间的数据主权博弈更多体现在数据技术的强弱上。数据技术是指从各类数据中快速获得用于应用服务的有价值信息的技术,涵盖数据采集、传输、存储、分析、挖掘和应用全生命周期过程中所用到的所有技术及方法,关键的数据技术包括数据获取技术、传输技术、存储技术、处理技术和应用技术[20]53。数据关键技术涉及收集、存储、加工等整个数据活动,其中一环技术的落后,都会使国家无法获取完整的数据利益来维护本国的数据主权安全。
(一)我国数据主权面临的主要挑战
基于对数据主权理论和特征的正确认知下,构建符合我国国情的数据主权规则,利于发展我国未来在数据领域的国家利益。但构建和发展数据主权,也常常受到国内、国际数据安全形势和数据制度建设现状的影响。尤其是,近年来全球数据安全事件频发,如“斯诺登”事件、“海康威视监控漏洞”事件②、 “孟加拉国SWIFT系统”事件③、 “Min,GapRyong”事件④等。其中,2013年的“斯诺登”事件最为典型。“斯诺登”事件暴露了数据霸权国家滥用数据优势危害别国主权的行径,美国通过“棱镜计划”长期窃取和监控中国数据,甚至将目标瞄准盟友,利用本国Facebook、You Tube网络数据公司为产品安装后门的手段对韩国、德国实施数据渗透和破坏活动[21]。从众多数据安全事件的发生原因来看,当前我国数据主权安全面临的问题主要有:
1.数据安全立法滞后
美国通过“棱镜计划”长期监控他国核心数据,直到“斯诺登”事件爆发和升级,相关国家才后知后觉,开启本国的数据保护计划,进行数据安全立法。例如,欧盟于2016年颁布《一般数据保护条例》,法国于2016年颁布《数字共和国法案》,巴西于2018年颁布《通用数据保护法》,都旨在强化本国数据保护,打击侵害本国数据主权的行为。而我国在2020年7月3日才出台《数据安全法(草案)》,着手数据安全立法。反观美国,在全球谴责声中并未对其数据和网络政策进行实质性的调整,继续实施和执行其监控项目。就《数据安全法(草案)》而言,仍然存在概念探讨不清,制度规定不明等诸多问题,还不足以为我国数据主权建设起到更高层面的法律支撑作用。可见,数据安全保护立法的滞后,是我国数据主权遭受侵害的法律制度原因。
2.数据跨境流动导致数据泄露问题
随着全球化进程的加快,我国与域外国家间、企业间、个人间跨境交流将日益紧密。如生态领域构建“人类命运共同体”,推动全球行动;经济领域推动“一带一路”建设,倡导发展全球“数字经济”等。在大数据和5G时代,我国与世界的交流方式与以往相比也包含着更多的数据内容。这些数据的主体涉及分布在世界各地的公私数据主体,内容上包含着全球政治、经济、文化等多个领域面。数据跨境流动带来的管辖难题和技术困境,使得我国很难完全掌控整个数据跨境流动的过程,会导致许多重要数据在未经监管、评估的情况下流出本国,流入他国,如果再遭到对方恶意篡改、滥用,势必会严重威胁国家数据主权安全。
3.对域外数据缺乏有效管辖
随着我国数据产业的发展和跨域合作的不断深化,大量自由流通的数据被存储在跨国公司“云”系统、境外数据中心,是我国当前数据主权管辖方面所面临的新难题。数据出境与普通公民出境不同,它涉及更为复杂管辖权问题。对流入和储存在他国存储中心的本国数据,尤其是涉及国家安全的数据,采取传统管辖原则,很难实现对域外数据的有效管辖和监管。就目前我国对域外数据的管辖而言,尚未建立数据立法和执法的域外效力制度。我国的数据立法和执法活动,仍然坚持属地原则,将境内规定为法律适用范围。使得大量数据一旦离境后将脱离我国的控制范围,弱化了我国处理域外数据安全问题的能力。国家数据主权的地域限制性,使得境外流动数据缺乏国家的长臂管辖和保护。
4.数据技术落后导致的数据主权能力不足
近些年来,我国制定了“大数据发展”战略和诸多数据政策,都强调发展数据技术和基础设施,提升我国数据主权能力以保障我国数据安全。但我国也面临着数据技术落后,数据“心脏中枢”受制于人的困境。例如,在数据传输方面。数据运转和流动的渠道依赖互联网,而美国占据互联网领域的绝对控制权。全球共有13台互联网服务器,包括1台根服务器和12台辅根服务器。其中,美国境内就有1台根服务器和9台辅根服务器,其余几台分别设置在日本和欧洲,我国未掌握互联网服务器。我国互联网与其他国家网络“域名”之间进行数据传输,就要受到美国服务器的控制。理论上,只要在美国根服务器上屏蔽中国域名,就能让我国的国家顶级域名网站在网络上瞬间消失[22]。在数据活动的其他环节,我国也存在数据技术落后于发达国家,数据领域竞争力不足的难题。
(二)我国数据主权的维护之策
1.进一步完善我国数据安全立法
2020年7月3日,我国出台了《数据安全法(草案)》,这是继《国家安全法》《网络安全法》对网络与数据安全做了原则性规定后,国家又对数据本身安全进行了法律规制。《中华人民共和国数据安全法(草案)》以总体国家安全观为立法目标,注重保护我国数据安全和利益,提升国家数据主权能力,但是仍然存在许多不足和值得商榷的地方。例如,过分强调“数据安全原则”而未明确“数据主权原则”,“数据”和“大数据”定义存在不足,数据保护具有滞后性,分级分类制度缺乏细化和统一标准等问题。因此,未来我国数据安全立法应从以下几个方面完善:(1)用国家数据主权原则来补强数据安全原则;(2)重新定义数据,关注数据的动态表现,删除非电子形式的数据,确定“大数据”概念,并将“数据主权”“数据安全”指向对象定位在大数据上,定位在重点领域数据上而非所有领域数据;(3)建立统一灵活的分级分类标准,将数据分为一般数据、特殊数据、重要数据三个等级,公共数据、企业数据、个人数据三个类别。三个等级的数据可以在不同时间、不同组合进行重要性调整,互相转换。在数据流动利益明显大于保护利益时,应更倾向于实现数据的自由跨境流动。
2.对数据进行本地化存储,构建“数据领土”
数据本地化存储是指为了保障国家安全、企业利益、公民隐私和便利数据执法,在国家内部收集、处理和存储有关国家公民和居民的数据[23]。国家掌握数据的多少意味着“数据领土”的大小,对本国数据缺乏掌控则意味着“数据领土”的丧失。无“数据领土”,何谈数据主权,对数据进行本地化存储为行使数据主权的提供了可能。但是,过分强调数据的本地化存储,忽略数据天生具有自由流动的特点,势必会阻碍数据资源化、资本化、资产化的价值的实现,不利于经济发展。根据2016年欧洲国际政治经济中心的研究报告,由于数据流动壁垒致使巴西、中国、欧盟、韩国等国的GDP分别下降0.1%至0.6%不等[24]。因此,在强调数据本地化存储的同时,还要保障合理地数据跨境流动。
从国际上看,已有超过60个国家做了数据本地化存储的要求,主要分为四类存储模式。
(1)数据完全存储境模式。印度等国要求本国数据必须存储在国内存储设备上,外国公司要想进入市场,必须建立数据中心来存储关于本国的数据。对境内数据完全存储虽然有利于政府进行数据保护和监管,防止数据泄露事件发生,但是提升了企业成本,限制了企业数据资产规模。
(2)特定数据存储模式。俄罗斯、澳大利亚、比利时等国要求特定数据进行本地化存储,禁止出境。例如,俄罗斯禁止本国公民的电子通信设备和社交网络数据出境,澳大利亚禁止本国公民医疗信息出境,比利时禁止本国会计和税务信息出境[25]。这一模式与完全存储模式相比,虽然在存储形态上有所宽松,但是缺乏对特定数据进行风险等级分析,不利于相关领域的国际交流。
(3)数据有条件出境模式。欧盟、阿根廷、韩国等国规定本国数据只要满足风险评估、政府同意等法律规定的出境条件,就可以进行跨境自由流动。例如,欧盟的数据保护令规定,数据只有在受到法律保护和合同约束的条件下,才可以流向欧盟境外;阿根廷《数据保护法》规定,数据接收国必须具备足够的数据保护能力,才可以实现数据出境[26]。数据有条件出境模式有机结合了数据本地化存储和跨境流动的要求,在维护国家安全和符合法律规定的前提下,保障了数据利益的国际共享。
(4)数据备份出境模式。新西兰、德国、法国等国对产生在本国的数据,只要求在本国数据中心予以备份,即可允许自由跨境流动。例如,新西兰要求本国企业将关于跨境业务的数据在本地数据中心存储、备份,德国、法国致力于将本国数据中心逐渐向欧洲开放,用于存储境内外的数据。备份出境模式可以说是最为宽松的数据存储状态,注重在自由流动中实现数据的价值,但是不利于对跨境数据有效管理和维护数据安全。
我国应当选择“有条件出境模式”对数据进行本地化存储,实现数据的“静态”与“动态”的有机统一。这一模式符合我国的当前数据利益追求,如过分追求数据壁垒,会损害我国在全球的数字经济利益;如过分强调数据自由流动,又会提升我国维护数据主权的难度。只有平衡二者,才能实现我国数据利益的最大化。关于数据法律离境条件的设定上,在公共数据本地化存储方面,应当进行风险等级分析,对于符合国家安全等级的数据限制出境,其他数据予以备份后出境;在企业和公民私数据存储方面,应当以数据主体同意和备份后出境为原则,对可能涉及国家安全的私数据进行风险评估后方可出境。
3.采用“数据实际控制者”模式进行长臂管辖,维护和开拓“数据领土”
数据主权的管辖模式应与传统主权有所不同。传统主权的管辖模式主要是属人管辖和属地管辖,简单来讲,属人管辖是国家依据国籍来行使主权,属地管辖则是依据地理疆域来行使主权。数据主权若采用属人、属地管辖模式虽然仍具有其合理性,但是随着国籍和传统领土限制已被大规模的数据跨境交流活动不断突破,属人、属地理论和现实基础不断被削弱。美国《澄清域外合法使用数据法案》采用“数据实际控制者”模式,突破了传统的主权模式,实现了对自己域外数据利益的有效维护,为数据主权的管辖模式提供了新思路。该法案第103节规定,“无论通信、记录或其他信息是否存储在美国境内,电子通信服务和远距离计算服务提供者均应当按照本章所规定的义务要求,保存、备份或披露关于用户或客户的有线或电子通信内容、所有记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制。”[27]我国在数据主权的管辖范围上,可以适当借鉴“数据实际控制者”标准,使数据主权效力对象指向本国数据实际控制者,数据主权的行使可以超出传统的国籍与领土的限制,实现对本国数据的长臂管辖,提升对本国跨境数据的域外控制能力,强化数据主权,维护和开拓“数据领土”。
4.发展数据技术
发展数据技术,已成为维护国家数据主权的关键突破口。我国应当从以下几个方面提升数据技术:(1)在数据获取技术上,要朝着小型化、智能化的方向发展,开发新型传感技术,提升对敏感数据的感知能力、测试能力;(2)在数据传输技术上,在保证有线技术对电信号、光信号充足的传输能力上,大力发展超宽带、无线保真、蓝牙等无线数据传输技术,实现数据传输的安全、高效、低成本和低功率;(3)在数据存储技术上,面对PB、EB级以上的海量数据,必须更新现有的存储设备,发展新技术以保证数据查询、分析和计算。一是发展虚拟存储技术,简化基础设施的管理和提高IT资源的利用率。二是发展分布式存储技术,联结大量的存储节点集群,协调完成数据的存储和处理任务;(4)在数据处理技术上,要大力发展数据挖掘技术、机器自学技术、数据融化技术,突破数据可视化分析、挖掘算法、预测性分析、语义引擎、数据安全与管理五个难题,实现数据存储的准确和完备;(5)在数据应用技术上,以维护国家安全、企业利益、个人隐私为原则,进行数据应用技术的系统建模、趋势预测、综合评估,并不断开发数据应用的新领域[20]54-60。
发展数据技术离不开对数据人才的培养,我国还应通过高校教育、社会培训和大力引进专业人才的方式满足我国对高端数据人才的需求。在数据核心技术下开设具体的数据学习专业,如数据获取专业、数据处理专业、数据挖掘专业等,研发最新的数据技术。还要通过产学研相结合的方式,增加与全球数据企业的合作与交流,提升我国数据理论水平。
注释:
① 结构化数据是指可以用二维表结构来逻辑表达实现,先有结构后有数据,结构一般不变,处理起来比较方便;非结构化数据,相对于结构化数据而言,不方便使用数据库二维逻辑表来表现,非纯文本数据,没有标准格式。
② 2015年2月27日,江苏省公安厅特急通知称:江苏省各级公安机关使用的海康威视监控设备存在严安全隐患,其中部分设备被境外IP地址控制。海康威视于2月27日连夜发表声明称:江苏省互联网应急中心通过网络流量监控,发现部分海康威视设备因弱口令问题(包括使用产品初始密码和其他简单密码)被黑客攻击,导致视频数据泄露等。
③ 2016年2月5日,孟加拉国央行被黑客攻击导致8100万美元被窃取,攻击者通过网络攻击或者其他方式获得了孟加拉国央行SWIFT系统的操作权限,攻击者进一步向纽约联邦储备银行发送虚假的SWIFT转账指令。纽约联邦储备银行总共收到35笔,总价值9.51亿美元的转账要求,其中8100万美元被成功转走盗取,成为迄今为止规模最大的网络金融盗窃案。
④ 2019年3月13日,我国部分政府部门和医院等公立机构遭遇到国外黑客攻击。黑客组织利用勒索病毒对上述机构展开邮件攻击,这些邮件的发件者名为“Min,GapRyong”,这些邮件中无一例外都附有名为“03-11-19.rar”的压缩文件,一旦打开这些附件将会导致数据泄露。