法律视角下数据主权的理念解构与理性重构

陈曦笛

（清华大学法学院，北京市 100081）

目前，全球经济已逐步转向数字驱动模式，数据对国家治理和社会进步的重要价值得到了世界各国的广泛认可。一方面，正如联合国秘书长古特雷斯（Guterres）所指出的那样，数据是决策和善治的命脉。[1]获取所需数据对国家正确评估现状、确定最优治理方案至关重要。另一方面，数据已然与数字经济各环节紧密耦合，成为信息化社会不可或缺的生产要素。妥善利用数据被联合国视为实现2030年全球可持续发展目标的重要途径。[2]

鉴于数据资源的稀缺性和战略意义，数字大国围绕数据获取和利用而在科技、政治、法律等维度展开的全面竞争愈演愈烈，而数字跨境流动的自由及限度也因此成为各国论争的焦点。截至2021年，大多数国家都通过制定法律或出台政策，对数字跨境流动施加了不同形式和尺度的限制，这表现出国家想要掌控数据的强烈愿望[3]。在此背景下，数字主权的概念一经提出，便迅速被各国视为证成国家控制数据并拒绝数据跨境流动的重要理据，并时常成为影响数字地缘政治竞争的指挥棒[4]。

毋庸置疑，数字主权已经成为国家互动中政治话语的一部分，但在法律层面，各方对数字主权具体意涵的理解仍然存在较大差异。这些理念上的分歧会映射到构造数字主权的路径选择上，并进而影响各国在国际数据竞争中的地位。本研究将在归纳数据主权化国际趋势基础上，从理论和实证层面剖析数据主权作为法律话语所面临的困境，并基于我国的现实和需求，有针对性地提出适合的数据主权建构方案。

一、数据主权化的国际趋势

追求最大程度的数据自由一度被认为是具有吸引力的图景，但根植于个人权利至上观念的数据自治构想，在现实中却面临着复杂的挑战。数据自治是否有助于数据善治受到了广泛关注。与此同时，发展数字经济与保障国家安全的需求促使数据治理问题从单纯的私法议题上升为国家事务。越来越多的国家开始基于自身利益诉求，采取不同形式的单边、双边或多边措施，以管理数据的获取、保存、利用与跨境行为，尝试推动数据的主权化过程。

（一）数据自治构想及局限性

自1983年德国联邦宪法法院的人口普查案裁决以来，个人对自身所产生的信息拥有自我决定权逐步成为世界范围内具有主导性的观点[5]。就当前而言，私主体活动所产生的信息是具有经济价值之数据的最主要来源。因此，作为数据的产生者，私主体天然拥有对数据的自我决定权和自我控制权，且其广泛涵盖个人隐私权、私人财产数据保护、公民在国际社会中的数据保护等内容[6]。在此基础上，数据自治构想提出，私主体所产生的数据不必然受国家控制。与之相反，个体可以通过协商、谈判和投票，自由地将自己所享有的数据主权再集中，委托给企业或政府加以控制和管理，从而避免风险并产生经济效益[7]。然而，这一看似逻辑周延且高度尊重个体权利的构想在实践中却暴露出较大缺陷。

首先，数据自治构想对数据权属的确定方式过于单一，与数据产生的实际场景不相适应。在现代生产生活中，数据的产生往往并不仅仅基于单个主体的活动。比如，在汽车拼装过程中，个人可以操作企业所有机器对上游产品进行加工。此时，机器所搜集的生产数据既不属于操作者个人的数据，亦无法被认为完全归属于企业。可见，这种复杂的数据产生场景使得预想中的自我决定变得难以实现。

其次，数据自治构想过度简化了个体数据主权再集中的逻辑，忽视了受委托者潜在的优势地位。在技术黑箱不断涌现的信息化时代，私主体在委托行使数据权利之前，要真正理解该行为的收益与风险愈发困难。尽管各国都要求数字平台承担一系列说明义务，但事实上大多数人在点击“同意共享数据”按钮时，依然不能真正知晓自己究竟在对何种内容表示同意。由此，平台即可以不合理的对价获取大量有价值的数据，并在双方合意的外表下获取巨额利益，甚至以侵害用户权益的方式加以利用。

最后，数据自治构想极易导致国家间数据获取与利用能力上差距的扩大。毋庸讳言，由于数字产业发展程度不同，各国获取、存储、传输、利用数据的能力存在极大差距。数据自治构想没有给予数据产生国优先于他国的地位，而这很可能导致数据向有能力提供数据产品并将收益投入再生产的国家富集，从而进一步加深各国数字产业发展的鸿沟，导致不公平利益分配格局的形成。

由此可见，强调私主体权利的数据自治构想过度简化数据主权再集中的逻辑，轻视数字治理公域危机的威胁，不能圆满回应当前存在的现实挑战。在数据领域彻底抛弃“最高权威”的方案不能真正促进对个人权利的保障，反而有可能放大既已出现的治理危机。

（二）推动数据主权化的国家实践

由于数据自治构想具有局限性，相当一部分国家转而开始采取与自身利益相符的立法、司法与行政措施，意图强化国家主权对数据这一新兴资源的控制。尽管各国立法与监管政策不一而足，但推动数据主权化在国际数据治理实践中显然是主流。

美国作为数据跨境议题的主导者，正在数据自由的法律政策表征下悄然推动国家安全的泛化。美国国会2020年1月发布的一份研究报告显示，美国采取了一种市场驱动的方法，致力于建设开放、可交互、安全可靠的网络，促进网络数据自由流动。这种理念看似与数据主权背道而驰，却恰恰因为美国在全球数字产业中的特殊地位而产生了相反的效果[8]。一方面，美国的数据驱动型企业已经凭借自身先发优势渗透到了大多数市场中，并藉由数据的“门户开放”，得以不断巩固强权。当地市场数据获取门槛越低，这些企业越能获取更廉价数据，创造更领先数字产品，从而形成能够增强美国数据权力的正反馈循环（Positive Feedback Loop）。[9]另一方面，美国通过清洁网络计划、云法案以及针对华为、字节跳动等企业的定向“狙击”，在迫使他国开放数据的同时，大大拓展了国家安全在数据治理中的疆域。不难看出，美国正在有针对性地限制竞争对手国家及其企业对数据的获取，以进一步巩固自身对重要数据的有力控制。[10]

相比之下，欧盟国家基于区域防御者的自我定位，其推动数据主权化的态度更为清晰。鉴于自身数字产业与数字平台发展相较中美弱势的现实，欧盟针对数据跨境采取了较为强硬的因应措施。除了反复在政治宣言中提及欧盟数据主权外，[11]还在具有重要意义的欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）中以能否充分保护欧盟国家公民的个人数据权利为标准，划分了数据流动的两个区域[12]。在成员国以及有能力遵守欧盟制定的数据保护规则且共享相同价值观的国家范围内，欧盟决心摒除数据流动壁垒，最大程度地兑现数据自由所带来的经济价值[13]。这并非说明了欧盟数据主权立场的动摇，而是反映了欧盟以共同体方式构建数据主权的雄心。即使一家公司未在欧盟设立分支，只要其商业活动涉及对欧盟国家公民数据的获取或在欧盟国家境内提供数据产品，欧盟数据跨境规则就对其有效。总体而言，欧盟以保护个人权利为由，对数据向非共同体成员流动设置了极为严苛的条件，并通过欧盟规则的域外适用扩张数据管辖范围。

兼具数据资源大国和数据利用大国身份的中国，亦多次在国内国际场合强调数据主权对国际数据治理的重要价值。从2021年底公布的《网络数据安全管理条例（征求意见稿）》可以看出，我国在鼓励数字产业发展的整体战略下，尝试对数据利用和跨境建立与传统国际贸易分级监督和审查类似的机制，并明确了国家安全、公共利益相关数据主权化控制的必要性。俄罗斯近年来也陆续修订了《通信法》《信息、信息技术和信息保护法》等数据相关法律，致力于实现全面的数据本地化，以进行强有力的数据监控和数据跨境监管，却把促进数字经济发展置于相对次要的地位。[14]印度作为数字产业的后发国家，也选择了类似路径。印度颁布的《个人数据保护法案》和国家数字贸易政策表明，印度政府正在尝试通过强制性的数据本地化，将数据驱动型产业所产生的经济和社会效益尽可能地留存在国内，而非流向数字大国，以保护印度免受数据殖民主义影响。[15]

总体来看，只要有一部分国家严格控制数据跨境流动，其余国家就不得不采取类似方式因应，以避免他国数据驱动型产业占据不对等的优势。尽管数据主权化以往并未被视为数据国际治理的最优选择，但当前已成为各国制定数据政策时重要的理念支撑，深刻影响着数据竞争的现实图景。

二、数据主权化的理论祛魅

尽管数据主权作为政治话语已经在国家交往中被逐步接受，但数据主权在法律层面的实际意涵及其是否信息网络时代新的国家主权类型等问题仍待厘清。

（一）数据作为国家主权客体的适格性检视

在论证国家对网络数据享有主权时，相当多的研究强调国家对网络数据基础设施或公民及企业的实际控制力，以此说明建构数据主权的可行性[16]。诚然，数据对国家而言具有可管理性与可规制性，但存在一个经常被忽略的问题，即国家在国际法上所享有的数据权利能否被视为一种新的主权形式，抑或其仅仅是领土主权或网络空间主权的权利映现。

当前领土主权仍然是最主要的国家主权存在形式。通常认为，领土主权是一个国家对其领陆、领水及其底土和领空范围内人、事、物的最高权力。值得注意的是，这一概念实际上具有两个层次的含义：一是在国际法意义上，国家对上述四类领域享有完全权利（Rights），且除特殊情况外不允许存在与之竞争的他国权利；二是国家对主权领域之内的一切人、事、物，在国内法意义上享有最高权力（Power）。国际法上的主权理论自建立至今，始终无意探究国家对特定对象的权力，而是旨在总括式地承认一国在特定空间内的独占性权利，以排除他国可能提出的竞争性权利主张。概言之，国际法层面的领土主权所指向的适格客体是国家所领有的空间。

与之相似，仍处于发展之中的网络空间主权理论亦均遵此理。具体而言，网络空间主权的权利客体是虚拟的网络空间，而在此主权空间发生的网络活动，进一步成为包括国家立法、司法、执法管辖权在内的主权权利所指向的对象。国际法上创造网络空间主权，也是为了抵御他国对本国网络空间这一虚拟领域的管辖和干涉。可见，只有能够容纳现实或虚拟活动开展的领域，方能构成适格的国家主权客体。

具体到数据主权化的命题之上，数据是经过整理和分析的信息之集合，本质上仍属于宽泛意义上的物。数据与诸如矿藏或电力等的资源更为相似，难以构成能够容纳其他人、事、物的空间。有研究指出，在法律层面将数据加以主权化，是基于错误类比逻辑而提出的方案，就好比不把苹果与甜瓜相提并论，而将之与棒球帽相较[4]。国家对数据利用和数据跨境的管辖需要，完全可以通过领土主权或网络空间主权的延展得以实现。相较而言，具有同样重要性和可规制性的矿藏和电力，从未被认为有必要被冠以主权之谓。这正是因为，对矿藏或电力的开发利用活动已然落入领土主权的具体权能之下，没有必要在其上再构建一套新的主权形式。

尽管数据并非不受国家主权影响，但其本身无法被视为新型主权的客体，否则将冲击国际社会对国家主权既有的认识和界定逻辑。否定这一新型主权，不会影响国家获取必要数据与合理限制数据出境的需求。借助地域或国籍等国家管辖联结点，主权国家就能依靠领土主权和网络空间主权有效赋予数据管辖合法性。同时，侵犯他国对于数据的管辖权也可能构成对领土主权或网络空间主权项下主权权利的侵犯，从而被视为国际不法行为。

（二）数据主权化对主权概念的过度延展

应当承认，国际法上的国家主权概念并不是一成不变的，而是变动的和不断发展的（Plastic and Evolving）[17]。传统的领土主权被认为能够向网络空间延伸，进而形成具有不同权利取得方式和权能内容的网络空间主权。然而，与其他任何概念一样，国家主权概念也不能承受无限制的拉伸延展，否则将失去其作为逻辑工具的根本价值。

国家主权概念及相关法律规则植根于罗马法的所有与占有规则，领土主权获取规则更是直接承继自其中有关财产转移的规则[18]。创造国家主权概念最初的目的在于，避免不同国家因领域的权利归属和行使界限不明确而导致和平之破坏。国家主权能够设置相对清晰的法律疆界，遏制他国越界行权的不法行为。国家主权原则之所以长久地为各国所遵守，正是因为其能够明确国家权利的行使范围和权能内容，从而定分止争的实践价值。然而，国际法话语下的数据主权化却过度偏离了构造国家主权概念的根本意旨，不仅无法实质性地促进对国家数据权利的保障，而且可能使国家主权概念面临混乱。

一方面，数据主权的边界难以厘定。对于主权的经典论述是，在一个特定领域中，只有一个国家可以拥有主权（最高权力），其他国家没有权利在此领域未经其同意就实施统治行为（Governmental Acts）[19]。不难看出，一国之主权必须在特定领域中方能存在，一旦超出该领域的边界就会受到他国主权控制或归属国际公域，故相对确定的边界对于主权的存在和行使至关重要。尽管领土边界可能会因各种原因陷于不确定或产生移动，但争议领土与确定领土相比总是小得多，故领土主权能够在这些确定的空间中发挥效能，正是基于这些确定界限的存在，国家尊重他国主权方有现实的可能性。

当前，数据主权的疆域仍然太过模糊。鉴于数据在产生、利用、传输等过程中普遍会与多个主权国家产生不同类型的联结，国际社会关于何种数据应依照何种规则确定权利归属的讨论尚未形成基本共识。在这样的情况下，即便自产生起就一直存储于某国设备之上的数据，亦有可能仅因包含为数不多的另一国公民信息而受其“统治”。国家间不可能在疆界高度不确定的情况下相互尊重彼此的权利，国际法也不可能依据主权独立原则对他国的“统治行为”作出不法评价。应当说，高度不确定的边界使得数据主权概念的建构缺乏可行性与实际意义。

另一方面，数据主权的权能内容太过薄弱。借用罗马法的权利束理论不难发现，国家主权的本质是国家在特定领域中所享有法律权利的集合。同时，只有国家拥有对领土的完全权利，方能证明领土主权之存在，而一些因租赁、地役或其他形式而取得的次要权利来自主权权利，并不能证明权利人对该领土拥有主权。[20]简言之，并非主权国家对某一领域的任意管辖事实或管辖权都源自主权，只有拥有对特定领域最完全至少是最根本权利的国家才可能被称为主权者。以此为基础检视当下的数据主权化趋势，不难看出，国家对数据所能享有的权利与最低标准的“主权统治”亦相去甚远。

首先，在国际法层面上国家的独立性与主权密切相关，甚至两者被认为几乎具有相同的含义。主权国家的独立性主要表现为，国家在主权领域内的行权除受国际习惯法或条约限制外，不受任何外来干涉影响的自主性和独占性。[21]然而，在全球化背景下，数据的主要特征就是，一国无法不受他国制约地独占管辖，否则就可能会构成对他国主权或主权权利的侵犯。这种与既有主权类型截然不同的特征，可用分享主权或共同主权概念来解释。尽管如此，仍然存在一个难以回避的逻辑困境，即这种创新是否已经因为与国家主权基本特征的背反，而超出了主权所能覆盖的最大范围。

其次，战争与和平的思考贯穿国家主权概念形成的全过程。事实上，国家主权最终之所以能够在现代国际法体系中得以确立，正是因为各国间存在的反对战争、维护和平的基本共识与需要。为遏制和平被破坏，侵犯他国主权被明确认定为国际不法行为。受害国对此有权采取反制、对等报复以至自卫等措施，国际社会的所有成员都有责任不予协助并尽最大努力加以制止。有学者指出，对他国发起诸如入侵导弹控制系统或医疗系统的网络攻击，有可能会因造成等同于武力攻击的物理性后果而触发受害国的自卫权。[22]但很难想象，对他国数据的侵犯会引发如此严重的后果。所谓的数据主权难以被主权国家的自卫权所保护。由此，数据主权与战争与和平这一支撑国家主权概念根本价值的议题相分离，从必要性来看，数据主权似乎无法与既有的主权类型相提并论。

最后，主权平等理念在数据主权语境下将受到极大冲击。从当前的讨论来看，数据主权被认为不仅源于产生数据的各国公民及企业，亦来自数据存储和利用环节。如此，数字产业的先发国家较落后国家更有能力在数据驱动型产业中开疆扩土，谋取更多数据主权，而数据的富集性特点会促使这种差距不断扩大。尽管数据主权化被相当多的发展中国家视为对抗数字产业收益不平等的途径，但事实上很难期待数据主权能够在当前境况下被各国平等地享有或行使。建立在国际法话语之上的数据主权，反而更容易成为先发国家合法化和固化其优势地位的捷径。

由此可见，国际法层面的数据主权未能体现国家主权的基本特征和根本价值，缺乏实际意义，会过度撕裂主权概念的固有意涵，给既已趋于稳固的国际法规则带来失范风险。

（三）数据主权化的政治话语本质

随着数据的跨境流动因数字产业的飞速发展而愈发频繁，先发国家和大型跨国企业在数据获取与利用方面占据了前所未有的强势地位。各国政府和公民产生了失去对本地数据必要控制的担忧。在这样的背景下，旨在增强国家数据管辖能力的行动路线得到了广泛支持。

如前所述，数据的主权化想象已经被相当一部分国家所接受和推动，数据主权也迅速被用作拒绝数据跨境流动请求、禁止非本国企业获取和利用数据的便捷工具，甚至在某些事项上起到了一票否决的作用。可以说，数据主权化不仅成为各国加强对本地数据控制的有力宣誓，也成为合理化自身数据域外管辖的主要理据。

尽管如此，数据主权仍未完成从国家间政治话语向国际法话语的转换，其在国际法意义上还不能被视为一种新的主权形式。一方面，对数据作为国家主权客体的适格性存在疑问，对数据主权化的尝试，无论在行使范围还是在权能内容上，均超出了现有主权理论所能提供的最大弹性和灵活性，以至于可能会使主权概念失去有意义的边界；另一方面，国家对于数据控制的权利需求，无须以主权的形式在国际法层面加以固化，既有的国家主权权能就足以从实体层面到虚拟层面，完满地回应一国关于数据获取、利用和流动限制等方面的各类需求。

总体来看，旨在强化国家数据控制力的数据主权化理念已经成为国家间交往中被频繁使用的政治话语，指导着各国政府为之调整法律和监管工具。但从国际法理论角度观察，数据的主权化难以契合国家主权概念的基本特征和根本价值，且缺乏现实意义。

三、数据主权化的现实困境

国家主权体现了国际法对国家领域的承认与保护。作为积极侧面的承认关乎国家对所属领域专属管辖的合法性，[23]而作为消极侧面的保护则指一国必须尊重他国管辖且自身管辖亦受他国尊重[24]。可见，国家主权作为法律话语的现实意义，不仅在于宣示国家的独立性，更在于要将管辖事实与国际法权利和义务联结起来，从而将之纳入国际法治轨道。面对现实中的重重困境，试图以主权模式控制数据的做法无异于追寻蜃楼海市，缺乏现实意义。

（一）数据的多元权属、去权属与权属对抗

数据的特殊性造就了一国独立实施管辖时所面临的困境。若一国坚持采用主权化模式对数据实施管辖，就必须不断地处理与他国主权之间的紧张关系，且不得不面对国家主权与个人权利之间频发的冲突。数据的多元权属、去权属特性以及个人权利保障都是数据主权构建中难以回避的现实障碍。

第一，数据存在多国联结点的情况极为普遍。鉴于数字产业的高度全球化，数据在从生产、传输到利用的过程中与多个国家产生联结，已经成为一种常见的现象。相关国家均有可能援引国际法中得到广泛认可的管辖原则，对同一组数据主张管辖。以跨境电商场景为例，假设A国消费者在注册营业于B 国的网络购物平台向C 国商家购买商品，而B国平台将所搜集的原始信息交由D国数据处理企业分析，再把信息存储于设备在E国运营的F国云存储服务供应商。这种假设看似复杂，但在当前的跨国经贸往来中并不少见。苏格兰足球联盟就曾在英国高等法院起诉，指称一家瑞士企业盗用其数据，并将之分别储存到位于德国和奥地利的设备上。[25]根据数据主权化理念，上述各国均有权依据属地或属人管辖原则要求相应企业提交数据，并禁止其向他国传输数据。出现对抗管辖主张的国家要么通过协商机制解决此问题，要么任由实际控制力强的一方实施管辖。不难想象，在这样的争端解决模式下，有能力凭借所谓数据主权达到目的的一方，基本都是少数处于强势地位的数据大国，其他多数国家的主权只能停留于纸面。

第二，去中心化数据存储技术应用广泛。近年来，随着区块链技术从专用性和局限性逐步走向通用化和产品化，去中心化的数据存储模式已经不再存在显著的技术障碍。去中心化数据库架构不存在中心节点，每个节点都有读写功能并保持同步。鉴于这种技术特点，无论是数据来源地、数据存储地还是数据利用地所在国均无法对数据施加有效控制。随着去中心化数据存储技术得到广泛运用，其功能设计中体现出的超主权特性将对国家数据主权化愿景的实现构成阻碍。

第三，个人权利与国家主权对抗的场景多发。与纯粹的财产性权利不同，相当一部分数据因包含个人信息，不仅具有经济属性，而且具有人权价值。当国家因行使数据管辖权而涉及公民信息时，不仅可能受到国内立法的自我限制，还可能受到国际人权法规则的约束。这意味着，名义上的数据主权很可能难以在事实上成为一种最高权力，时常需要让位于个人权利。2015年，美国联邦调查局就曾经要求苹果公司协助提供已死亡的恐怖袭击嫌疑人的手机数据，但被苹果公司以保护个人权利为由拒绝，美国联邦调查局最终放弃了这项要求，转而通过其他技术途径去获取相关数据。[26]

可见，数据国家管辖的实现高度依赖于国家间的管辖合作，导致管辖的专属性反而成为一种例外规则，此时即便确立了数据主权，其在很大程度上也只能具备宣示意义。同时，数据存储技术变革对国家控制的排斥以及个人权利在数据治理问题上的强势地位，亦使得强调主权化模式的国家数据治理难以为继。

（二）数据跨境逃逸难以规制

在数据权属带来的困境之外，数据跨境流动的高度便利性也使得国家管辖显得力不从心，大型跨国企业为规避法律风险、降低合规成本而向弱监管地区迁移的趋势，也深刻影响着各国对监管强度的选择。国家之间以及国家与企业之间的复杂博弈，正在令数据的跨境转移变得难以规制。

其一，跨国数据转移难以被发现，规避监管的途径多样。一方面，数据跨境转移本身具有隐蔽性。传统货物需要经由海关出境，具有逐项核验的可能性。数据能够在网络空间直接被传输，或借助小型存储器在未被监测的情况下实现跨境。与此同时，对于一国网络使用者与外国网络服务提供商之间的数据收集转移协议与标准，该国根本无从知晓，在网络空间的协议层加以规制亦不现实。[27]另一方面，数据跨境转移方式极为灵活且数量极大，仰赖主动申报的国家监管很难应对。比如，我国的国家互联网信息办公室2021年10月公布的《数据出境安全评估办法（征求意见稿）》对数据出境规定了广泛适用的评估审查机制，但细察其具体内容不难发现，通过再出境再转移方式、企业合并方式以及企业控制权转移等迂回途径依然可以轻易地规避监管，实现原有目的。此外，数据产品往往不需要反映所用数据的来源，这也导致从产品端进行溯源监管的传统思路很难取得实效。

其二，国家管辖在很大程度上受企业经营需求制约。当下大量跨国企业已经逐渐摆脱了对特定国家及市场的依赖，而转向了全球市场和分散布局。这样的趋势意味着，企业可以相对自由地选择管辖国以规避过度监管。在此背景下，如果一国执意以主权模式控制数据及相关跨国企业，这些企业就可能倾向于向他国转移，以规避数据监管。一旦这种情况形成规模，该国的数字产业就不得不面对国际投资外逃、被国际市场孤立的囧境，甚至因此错过数字经济发展的窗口期。换言之，国家在制定数据管辖政策时，必须考量跨国企业对数据监管的接受程度，国家的政策性需求有时只得向企业的实际经营需求妥协。

其三，数据可复制与可重复利用的特点挑战本地化策略。数据的利用价值不会被一次耗尽，而是会在相当长的一段时间内持续保有经济或安全价值，这也为数据非法转移提供了持续的利益驱动。对此，数据主权化的主要应对方式就是数据本地化，比如前文提及的印度、俄罗斯等国的实践。然而，数据区别于一般有形物的可复制性，使得耗资颇巨、牵连甚广的数据本地化策略收效甚微。数据在储存的任一节点逃逸，都可能被大量复制和广泛传播，且难以被追回。进一步看，无论是现在还是将来，企业等私主体都是大部分数据的实际存储者，强制要求它们为数据提供极尽谨慎严密的安全保障，在事实上既不经济，亦不具有可行性。

（三）数据主权的建构性

早在20世纪早期，曾任国际常设法院院长的马克思·哈勃（Max Huber）法官就在帕马斯群岛仲裁案裁决中指出，与地球表面一部分相关的主权是该部分构成任何国家之领域的必要法律前提[23]。从国际法视角看，国家并非天然地对特定空间拥有主权，反而是拥有主权才使得特定空间成为国家的主权领域。换言之，一国对特定领域的实际管辖只有在不违反国际法的前提下达到了国际法构建主权的门槛，该特定领域才可能归属于该国，并成为其真正的主权领域。

对于何种强度的管辖足以建构主权，尚无法在既有规则中找到明确答案，不过各国仍能从国际司法判例与主流学说中一窥管辖事实的重要性。有效统治在20世纪以来领土争端中的活跃表现，就很好地说明了现代国际法体系中国家管辖事实与国家主权的紧密联系。国际法院在2007年尼加拉瓜诉洪都拉斯案和2012年尼加拉瓜诉哥伦比亚案中明确指出，在争议地区归属不明的情况下，主权归于实施更有力的立法、司法和执法管辖活动的一方，这构成了有效统治的核心意涵。[28]可见，在主权或主权权利确实存在竞争，且不存在与《联合国海洋法公约》类似的权利分配规则的情况下，决定主权建构的最重要的事项就是，证明本国存在具有优势的管辖事实。

鉴于数据主权化的国际趋势，数据权利在各国间的分配没有可适用的权利分配规则，处于多方竞争之中。各国试图通过既有规则在国际法上确证自己的权利是不现实的，当前最为可行的道路是尽可能地展示国家对数据的控制，创造管辖事实。换言之，国家对数据的国际法权利不是基于分配的，而是具备建构性的。与此同时，尽管管辖事实的重要性已经得到阐明，但如前所述，要在数据之上建立一种国际法意义上的主权仍然存在障碍，这正是各主要国家在雄心勃勃追求数据主权政治话语的同时，却表现出管辖上的谦抑性之原因[27]。事实上，国家没有必要执意追求以主权的方式控制数据，而是可以选择更为理性的建构路径，来充分满足自身在国家安全与经济发展方面的需求。

四、定疆以界：我国数据主权的建构路径

随着国家对失去对数据控制的最初恐慌逐渐消退，探索更为合理的数据治理路径开始受到重视。由于理论与现实层面存在重重困境，数据主权在国际法上缺乏实际意义和真实力量，在政治层面突出数据的战略自主目标可能才是更具可行性的替代选择[29]。数据安全始终是我国政府的重要关切，但与此同时，以数据驱动产业发展亦是实现数字大国愿景的必由之路。为平衡两个向度的利益诉求，我国在推动数据主权化的同时，有必要重视国家管辖的自我克制，区别处理安全利益与个人权益，实现数据国内规制与国际共治两个层次的协调。

（一）进取而克制的总体策略选择

在国家管辖方面，数据与领土存在较大不同。领土之上只能存在一国之主权，只要在领土边界以内，在绝大多数情况下他国管辖权的存在均要仰赖主权者的同意（Consent of the Sovereign）。但这一规则对数据而言显然并不适用，同一组数据之上很可能存在不同国家的管辖权，且发生冲突时这些管辖权孰优孰劣，尚无规则或先例可供遵循。因此，各国均能凭借本国与数据或紧密或疏远的联结点划定自身享有主权权利的疆域，即使自身疆域与他国重合，由于界定规则缺乏，亦不会被国际法消极评价为越界。

然而，这种有疆无界的状态在现实中极易引发国家间的抵牾乃至冲突。美国、欧盟等主要经济体围绕数据跨境流动已经产生了一系列分歧。在著名的棱镜门事件曝光后，欧洲法院于2020年7月，再次以美国未能有效保护欧盟公民数据权利为由，单方废止了双方此前共建的隐私盾数据跨境机制[30]。具体争议的解决往往由国家对数据的实际控制能力决定，这致使部分国家开始强调数据的本地化。但如前所述，数据的全球流动是任何国家都难以阻挡的必然趋势。真正的解决方案不在于徒劳地将数据收拢在国门之内，而是要在国际法上厘定对数据的国家管辖权分配规则，即划定数据管辖的国家边界，这也正是美欧数据谈判的实质性主题。

在明确了数据管辖从有疆无界向定疆以界发展的基本方向后，有必要进一步考量的是，何种管辖权分配规则是符合我国安全与发展利益的。一方面，我国在数据管辖问题上具有很强的进取动机。强化国家数据管辖既是出于防止重要数据泄漏的国家安全需要，也是提升我国维护本国公民和企业权益实际能力的主要途径。鉴于数据权利的建构性特征，我国应转变思路，从概括性的数据主权宣示迈向具体的管辖权获取。细言之，我国有必要以不穷尽列举的方式，首先在法律层面对我国切实能够管辖的数据类型加以固化。从目前来看，我国的管辖范围至少应当包括对本地化存储数据的管辖、对本国公民和企业以及向我国境内提供的数据产品的管辖。在此基础上，我国可以在可行的情况下，以立法、司法、执法同步推进的方式拓展我国在数据犯罪等特定事项上的管辖疆域。同时，我国亦可通过国家间的双多边协定，共同厘定管辖权的分配规则，取得排斥协定外国家管辖的效果。一个值得借鉴的样例就是《数字经济伙伴关系协定》（Digital Economy Partnership Agreement，DEPA）第4.4 条之规定，其在一定程度上承认了各国基于硬件设施所处位置而享有的受到限制的管辖优越性。

另一方面，我国在扩张数据管辖范围时，有必要保持自我克制。事实上，一国在推动数据管辖权分配规则建构时，不仅在创造对他国的约束，而且在以相同的方式约束自身。比如，若我国向国际社会阐明，自身对领土范围内存储器上的数据享有专属的管辖权。那么，不难想见，当他国以特定数据存储于其领土范围内为由，拒绝我国对这些数据加以管辖时，我国也只得遵循自身确定的规则而放弃管辖，否则就会遭到来自国际社会的道德谴责和基于国家平等理念的非难。此外，鉴于国际上的禁止反言规则，这种法律立场一旦表明，就无法轻易改变或撤回。由此可见，在数据议题上，国家在为他国划界的同时，亦是在为自己划界。因此，过分地扩张数据管辖范围，可能并非最明智的选择。

（二）安全利益与个人权益的二元架构

在进取而克制的数据管辖策略之下，真正的实践疑难在于，如何在具有不同影响的领域区别地处理管辖问题。在此意义上，安全利益与个人权益二分的管辖架构，或有助于理顺我国的数据治理逻辑。

首先，精确识别并坚决维护数据议题中的国家安全利益。国家安全是任何国家参与国际事务的底线，在数据管辖问题上也是如此。如果数据转移或利用可能损害我国国家安全利益，那么对其加以绝对禁止就是应有之意。即便对于那些形成或存储于领土之外的此类数据，我国亦应通过外交或司法协助等手段来减轻潜在的危害。正是因为国家安全红线不可触碰，精确识别其内涵对于构建理性的数据管辖更显重要。应当指出，国家安全问题在数据谈判乃至整个经贸领域始终极富争议。除我国外，不少主要国家均以担忧滥用为由，对将国家安全纳入经贸协定的提议表达了强烈反对。为减少他国抵制所造成的不利影响，一个可行的方案是，对影响国家安全的数据加以严格限定，判断数据是否有助于对我国发起武力攻击以及能否被用于颠覆我国政权。同时，可将诸如工业、电信、能源等领域的重要信息归入公共利益或商业秘密范畴，设置审查机制而非一概禁止，迂回地规避敏感的关于国家安全的讨论。

其次，全过程保障个人权益和公共利益。大数据作为大量个体信息的集合，不仅会关系到个人权益，而且很多时候会天然牵涉公共利益。在这个方面，我国可以借鉴欧盟有关权利保护的数据管辖思路，广泛地赋予私主体基于个人信息权利或商业利益的诉权，设置较高的惩罚性赔偿以激励维权，促进司法管辖在数据领域的延展。不仅如此，鉴于大型平台相较于使用者更具优势地位，我国应发挥公益诉讼和支持起诉的效能，采取行政调查执法措施，有针对性地矫正平台强制收集数据和滥用数据的行为。此外，当我国私主体因面临他国提交数据要求而陷入合规冲突之时，我国有必要构建支持机制，为我国企业与公民拒绝他国政府无理要求提供智识、法律或资金上的支持，并积极与他国有关部门沟通协调，对抗他国数据管辖的扩张。

最后，鼓励和推动对数据的合理利用，以数据驱动产业发展。尽管以数据驱动产业发展已经被认为是数字经济未来的核心，但当前其仍处于发展初期，需要相对宽松的创新空间和试错机会。我国应当在经济领域弱化法律话语层面的数据主权概念，以实现商业数据利用与数据转移的脱敏，在国家安全、公共利益、个人权益之外，预留足够的数据自由空间。针对一些较难界定的数据类型和数据利用方式，我国可引入监管沙盒机制促进创新，降低创新企业因政策不明而要承担的监管风险[31]。

（三）国内法规制与国际共治的协调

由于数据跨境流动需求的客观存在，国家数据管辖不仅与国内法相关，亦不可避免地会受到国际共治的影响。如果一国的数据管辖不能与国际规则发展趋势保持协调，就会陷入被边缘化、丧失话语权的境地。然而，国内法规制与国际共治的关系，不应被简单理解为对规则的跟从与合规。我国在关于数据管辖权分配的国际讨论中，不能仅仅满足于做规则的遵守者，更要争当规则的建构者。

一方面，我国应基于实践提出中国方案，积累国际数据治理经验。国家实践是推动国际法规则生成的重要动力，而法律提案是国家掌握规则制定话语权的最主要方式。我国尽管仍属于发展中国家，但已然成为数字产业的先发国家。当前我国数字经济的体量紧随美国，遥遥领先于世界其他经济体，且这种差距还在继续扩大[32]。在这样的背景下，我国对数据的管辖实践就成为国际法形成必须考量的因素，这天然赋予了我国以行动构建规则的地位。我国应在明确自身利益诉求的前提下，积极厘清国家数据权利范围及管辖规则，论证其合理性，推动国际规则同向发展。

不止于此，当下美欧因数据需求不同，陷入了选择高度自由还是主权限制的僵持局面。不过，在这个问题上，其余大多数国家仅着眼于增进本国中小企业的数字惠利，无意选边站队。我国有必要把握这一机遇，以务实的态度参与国际讨论与区域数字协定的制定。《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，RCEP）中关于国家安全与数据利用平衡的思想值得借鉴[33]。在互相尊重国家安全的前提下，我国完全可以为企业获取和利用数据提供互惠条件，以此争取中小国家对中国方案的支持。

另一方面，我国在接受规则后应恪守规则，确保管辖实践与之保持一致。条约必须遵守，这是国际法最根本的要求。当前，《区域全面经济伙伴关系协定》已陆续对签署国生效，其中就包含反对以数据本地化作为贸易前提和不得阻碍出于业务需求的数据跨境流动的内容。同时，我国正致力于加入《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP）及《数字经济伙伴关系协定》，这两个协定中也包含保障数据跨境流动与利用的内容。作为负责任的大国，我国在因条约或声明而负有国际法义务时，就应当尽可能地确保国内法及国家实践与之保持一致。这种遵守不仅是为了满足国际法的要求，亦会成为我国与他国之间各方面合作得以持续开展的重要信赖基础。

五、结语

随着数据自治构想在实践中暴露出越来越多的问题，数据主权化正在成为国际数据治理的主要发展趋势。数据的主权想象暗含着对他国权利的排斥，这加剧了围绕数据控制权的国家间竞争。无论是美欧等发达经济体，还是以中印为代表的发展中国家，均在致力于强化数据主权，尽管所采取的措施因自身战略定位不同而存在差异。毋庸置疑，数据主权已被国际社会视为比较成熟的政治话语，用以宣示各国对特定范围内数据相较于他国的优越性。

然而，数据的主权化与国际法上的国家主权概念并不吻合。对数字主权加以解构，我们只能看到各国相互交叠的疆域想象，却看不到法律上划定国家主权所需的最为重要的要素——有形或无形的疆界。数据因其作为“物”而非“领域”的本质，不适宜被作为国家主权的客体。在数据之上建构新型主权形式的设想，在欠缺现实意义的情况下过度延展了主权概念，与其作为逻辑工具的根本功能相背离。从现实层面考察，以主权模式控制数据存在现实困难。法律意义上的数据主权激化了数据多元权属、去权属与权属对抗所带来的挑战，难以在事实上解决数据跨境逃逸问题，无益于有效的实际管辖的形成。

对我国而言，在政治话语层面坚持数据主权，强调我国数据战略自主固然重要，但也应深刻认识到数据权利在法律层面的建构性。一味追求以主权模式控制数据缺乏现实意义，而依托领土主权或网络空间主权合理地建构我国数据管辖更具可行性。因此，一方面，我国应采取进取的策略，固化并拓展我国的数据管辖事实；另一方面，我国应保持必要克制，采取安全利益与个人权益的二元架构，尊重他国合理的数据管辖，处理好国内法规制与国际共治的互动关系。