冯硕
摘要: 数据霸权内嵌于美国的霸权体系之中,并沿着“制度—价值” 的框架展开建构。其既依托技术实力以控制者标准不断扩张数据主权,也借助对自由价值的输出推动数据的自由跨境,在维护本国数据安全的同时不断染指他国数据。对此,其他国家在同美国的合作与博弈中形成以防御为导向的法律工具,通过数据本地化和权利化维护利益。面对美国的数据霸权,中国应发挥国际法的规制功能,在强调数据主权的地域标准基础上综合利用国际硬法和软法,以人类命运共同体思想为指引,促进数据领域的合作共进。
关键词:数据霸权;数据主权;数据跨境;国际法治;经济制裁
中图分类号:D99 文献标识码:A 文章编号:1004-8049(2023)08-0045-14
2022 年9 月5 日,中国国家计算机病毒应急处理中心明确2022 年6 月22 日西北工业大学遭受的网络攻击系美国国家安全局(NationalSecurity Agency)“特定入侵行动办公室”发起。①2023 年7 月26 日,武汉市地震监测中心也疑似遭到美国情报机构的网络攻击被窃取数据。②这均揭露了美国长期窃取他国数据的行径,既严重威胁了我国国家安全,更引发国际社会对美国数据霸权的关注与担忧。党的二十大报告指出要健全国家安全体系,强化包括数据在内的各领域安全保障体系建设,健全反制裁、反干涉、反“长臂管辖”机制,完善国家安全力量布局,构建全域联动、立体高效的国家安全防护体系。③2022 年12 月2 日颁布的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》更明确强调要反对数据霸权。因此,本文首先在美国霸权体系框架下挖掘其建构数据霸权的原因与路径。同时,也聚焦其他国家对美国数据霸权所做出的法律应对,明确当前各国在数据治理法律体系构建中的差异与共识。在此基础上,笔者将试图从中国立场出发在国际法的层面探寻规制美国数据霸权的路径,实现国际法所倡导的合作共进。
一、美国数据霸权的建构理路:“制度—价值”体系的延伸
美国谋求数据霸权是维系霸权体系的逻辑延伸,符合其主导世界格局的利益诉求。美国数据霸权建构既基于其在网络空间领域的技术实力,也渗透着霸权体系建构中形成的价值理念,成就了一个制度与价值相互配合的权力体系。
1.1 数据霸权体系:美国维系霸权的逻辑延伸
冷战后美国成为唯一的超级大国,并建构起一套符合其利益的霸权体系。“霸权”一般被视为一种地位或状态,表现为一个强国控制或主导着体系中其他国家的状态,①其需要依靠一套体系保障国际秩序的稳定和利益格局的平衡。二战后美国便意图建构一个“核心—半边缘—边缘”的依附结构,其中半边缘与边缘国家的利益不均等地向核心国家输送,成就了美国的霸权地位。② 在该结构中,以国际法为主的规则体系成为支撑其存在和发展的工具,美国通过各类条约实现并维护着利益,借助条约义务与责任将他国捆绑于这套体系。美国霸权体系的形成既有赖于以自由为核心的价值理念输出,也仰仗于对各种政治、经济甚至军事手段使用中形成的制度。
在价值理念上,尽管美国以多元民族融合的移民国家为底色并倡导所谓的开放、多元和言论自由,但其从建国伊始便将反对公权介入和维护个体自由的理念奉为圭臬。即使在自由主义同保守主义的政治博弈中,该理念仍是不可撼动的价值底线。也恰是在以自由为核心的个人权利观驱使下,美国在参与国际事务中希冀于建构所谓的“自由世界”。③ 在制度上,美国在经济领域形成“贸易—科技—金融”相互支撑的世界体系,其依靠贸易推动科技发展,并将科技优势转化为贸易优势以拥有金融优势,而金融优势能不断巩固科技优势转过来又强化贸易优势。在政治领域美国则通过“暴力—盟友—规则”相互支撑的体系,构建以军事实力为后盾和政治盟友为联系的支配体系,压制威胁其霸权的不稳定因素。④
但美国建构和维系霸权的过程并非一帆风顺,1930 年代的经济大萧条一度阻碍了美国霸权体系的建构,1970 年代的布雷顿森林体系崩溃和2008 年金融危机更令其战后建立的霸权体系产生衰落迹象。在20 世纪的两次危机中,美国均凭借相对稳定的科技体制和富有活力的创新精神,迅速找到了新的力量增长点。故在21 世纪的霸权衰落中,美国便看中了数据在数字经济时代的基础性和重要性,意图通过综合利用政治、经济与科技等多领域优势增强对全球数据的控制和规则的主导,将之纳入美国霸权体系并通过法律加以固化。
特朗普(Donald Trump)政府时代高举“美国优先”的政策,对以中国为代表的新兴国家展开法律战,在数据领域的动作更趋于强悍和频繁。其率先在贸易与投资领域对以字节跳动为代表中国企业发难,以国家及公民数据安全为由禁止TikTok 在美运营。同时,美国执法与司法机构也频繁向脸书、谷歌等美国企业施压,要求其交出掌握的他国数据。该过程中美国按照资本的逻辑重塑市场预期,对高阶、低阶数据建构两种截然相反的价值规制体系,既严格限制技术数据的出境或按照市场原则征收高价许可费,又对于资源型的个人数据主张自由流动原则,限制他国政府对数据流动实施监管。
与经贸领域围绕数据展开的制裁手段相似,在金融领域美国更加大了有关数据的审查力度。战后美国建立以美元为国际货币的金融体系铸就了金融霸权,既依靠美国庞大的金融市场吸引各国企业赴美上市融资;也借助环球同业银行金融电讯协会管理的国际资金清算系统(Society for Worldwide Interbank Telecommuni?cations)等把控全球金融数据交换通道,令美国的金融法律产生全球效力。近年来,美国证券交易委员会( United States Securities andExchange Commission)日益关注上市企业在信息披露中的数据安全,借助金融监管手段不断染指别国企业的数据运营。① 这种带有定向制裁意图加强行政和司法对经贸和金融活动的干预,既控制了外国获取美国数据的通道,也加强了其对他国数据的搜集力度。
拜登(Joseph Robinette Biden, Jr)上台后继续维系数据霸权并与中国等新兴国家展开竞争,②借助立法、执法等方式重塑科技产业供应链体系并加强对竞争国家的联盟制裁,以维持美国科技产业的绝对优势。立法上,其以中国为靶向将诸如《迎接中国挑战法案》《无尽前沿法案》等涉及美国科技发展的法律议案合并为《美国创新与竞争法》,希冀扩大美国在科技领域的优势,强化在全球获取数据的技术实力。③
同时,拜登政府不断加强对信息与通信技术和服务供应链的安全审查。一方面,其以国家安全为名严格限制境外资本和实体进入美国科技市场,防范外国实体染指美国数据。另一方面,其明确将涉及包括中国在内的“外国对手”拥有、控制或受其管辖或指示的人设计、开发、制造或提供的APP 的交易纳入有关法规安全审查的范围,严格监管相关实体对数据的使用。这限制了外国实体进入美国科技市场并接触数据的可能,斩断了由其一手建立的全球科技产业供应链,在维系数据霸权的同时防止其他国家威胁美国的科技优势。另外,美国借民主之名维护科技霸权。打造“芯片联盟”“清洁网络”等科技“小圈子”,给高科技打上民主、人权的标签,将技术问题政治化、意识形态化,为技术封锁他国寻找借口。④
所以,在美国维系霸权的进程中,建构数据霸权已成为当前的重点,采取的相关措施中法律也成为重要的工具。其渗透着美国霸权体系在制度和价值两方面的意图,并集中体现在以数据控制标准扩张数据主权和以数据自由流动建构数据流通模式两方面。
1.2 数据控制标准:基于科技优势的主权扩张
主权是国际法的核心概念,美国霸权体系的建立绕不开对自身及他国主权的处理,对数据主权的界定也构成数据霸权体系的基础。尽管主权在概念上长期处于模糊状态并伴随时代发展呈现出不同样态,但其“对内最高”“对外独立”的属性却在国际法上被普遍认可,并逐步衍生出主权平等原则。⑤ 主权与霸权在理论上存在关联,主权是经由国际法确认的权力并主要以属地为界限,界限以内的国家活动往往能得到国际法的认可。超出界限的权力则会侵犯他国主权并可能构成霸权,这便会遭受他国及国际社会的批评与反对。
虽然国际法强调主权独立与平等,但随着全球化加速,主权的“对内最高”和“对外独立”似乎在某种程度上阻碍了全球化。在经济领域,如何以弱化主权的方式推动经贸一体化,成为这个时代国际法学者所探索的命题。约翰·杰克逊(John Jackson)就认为主权所涉及的真正问题是国家如何分配权力,根据不同的事项可以将主权分解为具体的权力,然后思考如何正确地分配,故主权会随着经济的全球化经由国家进行让渡。① 恰是基于该理论,美国凭借强大的经济实力开始通过缔结条约的方式促使各国让渡主权,进入到其所设计的国际体系中。这在某种程度上构成了对半边缘和边缘国家主权的侵蚀,使美国主权超越属地和传统国际法的束缚在全球无限扩张,为其各领域霸权的建构奠定基础。
随着网络空间的出现,美国依旧想要沿着现行制度的惯性,实现对包括数据在内的全球网络空间资源的掌控。故其需要明确一种符合美国利益的网络空间主权理论,这便包括对数据主权的界定。
数据主权强调的是国家对数据和与数据相关的技术、设备、服务商等的管辖和控制。② 作为互联网诞生地,美国长期在网络技术和设备方面占据优势,并形成了对全球互联网的控制。数据依靠网络传输,域名系统则是互联网运行的基础,其中,根服务器(Domain Name System)是整个域名系统的核心支撑点。互联网产生以来,支撑全球域名系统的共有13 台根服务器,其中主根服务器位于美国本土,其余12 台服务器有9 台位于美国,3 台位于美国盟友(英国、瑞典、日本)的境内。③ 同时,在域名分配上目前主要由“ 互联网名称与数字地址分配公司”( Internet Corporation for Assigned Names andNumbers)负责。虽然这是一家位于美国的私营机构,但实际上仍被美国政府主导,故美国控制着全球的数据传输通道。
在设备与服务层面,一国对互联网的控制力关键在于其是否掌握着以创造、控制及信息沟通为基础的电子和计算机资源,包括硬件基础设施、网络、软件及人类技能等。自互联网诞生以来,整个互联网技术几乎全部缔造于美国。无论是支撑计算机运行的芯片等硬件制造,还是以Windows、iOS 和Android 为主的操作系统,无不由美国公司创造并控制。所以,无论计算机设备位于全球何地,美国依旧对数据设备保持着控制。另外,以苹果、微软及谷歌为代表的美国互联网公司长期垄断互联网产业,并在全球不断开疆拓土,掌握着数以亿计的数据,成为美国建构并维护数据霸权的重要依托。
基于对数据终端和通道的绝对控制,美国始终想要打破现实层面以地域疆界为边界的主权范围,将网络空间打造成为一种“全球公域”强调其公共属性,为美国扩张主权提供可能。
在此基础上,美国进一步强调国家依旧对数据享有控制权,数据主权边界的划分则应以数据控制者为标准。即数据控制在哪国设备手中,该国便可对该数据行使主权。基于此,美国制定的《澄清域外合法使用数据法案》(简称“云法案”)就强调,无论数据存储于何地,只要数据由美国主体所控制则美国便有权获取,相关主体也有义务提供。在美国控制数据终端设备和传输通道并依托大型互联网公司覆盖全球的背景下,这无疑宣告了美国享有对全球数据的主权,否定了他国主权并成就了美国的数据霸权。因此,尽管主权崇尚“对外独立”,但现实却是大国凭借实力对他国进行主权侵蚀。战
战后美国始终以自由价值为遵循进行对外价值输出,①尤以经济领域倡导放松国家经济管制推动贸易与投资等自由化为典型。例如在经贸领域,美国借助比较优势理论倡导各国基于自身禀赋进行生产分工,通过合作建构全球产业链实现各自的利益。也正是在这套话语范式下,美国极力鼓吹自由贸易,说服他国沿着其设计的国际贸易体系调整产业,通过缔结多边条约的方式搭建起以世界贸易组织(WTO)为核心的国际经贸体系。②
在美国借助某些话语范式加速经济全球化的基础上,其也推动一种以“非国家化”“标准化”“趋同化” 和“一体化” 为特征的法律全球化,深刻影响着各国的法律制度构建。③ 尽管借助国际法向国内法渗透推动规则一体化的模式促进了各国的经济发展,但这种所谓的法律全球化却暗含着一种对美国利益与规则的贯彻,成就了一种美国法的全球化或各国法律的美国化,④成为美国维系霸权的重要支撑。
以倡导自由价值为核心形塑相关国际规则并促使其他国家缔结条约的方式,成就了美国在经济领域的霸权,故其仍想要在数据问题上沿用该路径。美国认为数据尽管会涉及到个人隐私及国家安全等,但作为数字经济时代的核心资源,它的商业价值更为凸显。故在美国的数据治理体系中,其倡导“小政府大市场”的自由主义经济模式。一方面,通过宪法和单行法不断限制行政权对数据的干预,为数据的全球流动消除公权障碍;另一方面,也尊重私法自治,推动各方基于自身利益诉求制定合理的数据流动规则,赋予私主体在保护个人权利和创造商业价值之间更大的选择权。⑤
秉持自由的价值理念,美国在与数据有关的条约中也强调对他国政府的限制,极力推动数据的自由跨境。一方面,美国始终强调数据作为一种经济要素涵摄于现行国际经贸规则中。尤其在WTO 等多边自由贸易体制下,各国都应秉持贸易与投资自由化的理念减少对数据跨境的限制,否则便可能成为一种数字贸易的保护主义而带有“非法性”。⑥ 另一方面,面对WTO 的停摆和美国愈发难以对其掌控的现实,美国另起炉灶开启了对新型双边及多边经贸条约的起草与谈判,贯彻着数据自由跨境的立场。2009 年美国加入《跨太平洋伙伴关系协定》(简称TPP)谈判,促使TPP 数据跨境规则走向自由化。TPP 要求缔约方不得强迫本国公司在计算服务中采取本地化策略,禁止要求公司向本国个人转让技术、生产流程或专有信息等。并且在数字贸易方面坚持非歧视原则并取消贸易壁垒,不得以超出协议的必要措施阻碍数据跨境传输。⑦ 尽管最终美国并未加入TPP,但作为TPP 继承者的《全面与进步跨太平洋伙伴关系协定》延续了数据自由跨境的立场,显现出美式数据跨境规则的影响力。在《美墨加协定》(USMCA)中,美国更直接禁止一切将计算设施放置于一国境内或使用一国境内计算设施的本地化要求,⑧保证北美经贸活动中数据跨境的充分自由。
数据自由跨境看似延续了美国自由经济模式,实则将美国在传统经济领域的霸权延伸至数据领域。如前所述,美国掌控着全球数据终端和传输通道,在数据获取和使用方面具有绝对优势。各国政府通过行政手段限制数据跨境会弱化美国获取全球数据的能力。故只要通过条约等工具要求缔约方允许数据自由跨境,便能够继续维护美国的利益并强化其数据霸权。
该理念内嵌于美国的数据霸权体系中,成为侵蚀他国数据主权并扩张本国主权的有力说辞,保障了数据霸权的建构。因此,美国数据霸权的建构内嵌于现有的霸权体系之中,并依托实力沿着“制度—价值”的方式持续推进。美国基于对数据终端设备和传输通道的绝对控制,以数据控制者为标准划定数据主权范畴,意欲突破主权的地域界限打造数据公域。在此基础上,美国更鼓吹数据自由跨境的价值理念,借助条约等极力限制他国对数据跨境的干预,保证其能够合法地获取全球数据。但在面对他国获取美国数据时,美国则借助贸易、科技与金融等领域的法律工具,强化对相关国家和企业的干预,以防他国染指本国数据而威胁其数据霸权,凸显双重标准。
二、应对数据霸权的法律措施:大国博弈中的数据策略
战后美国在各领域的霸权严重损害了其他国家的利益,更威胁着国际法倡导的公平与正义,阻碍了世界各国的共同发展和利益共享。①围绕霸权的博弈主要寓于大国之间,面对美国再度对数据领域的染指,包括欧盟、中国及俄罗斯在内的大国纷纷围绕数据展开规则构建,以期综合利用国际法和国内法应对美国的数据霸权并与之展开博弈,这也为其他国家提供了路径借鉴。
2.1 合作与博弈:以防御为导向的法律应对
长期以来,欧盟、俄罗斯和中国与美国之间存在竞争,也是美国维护霸权所必须关注的对象。面对美国的数据霸权嵌入到全球数字经济发展中,它们既需要基于经济利益与美国展开数据领域的合作,也不得不采取相关法律措施与美国进行博弈以防范数据霸权的侵蚀,呈现出合作与博弈交织的样态,并凸显出一种防御的姿态。
美欧作为长期的盟友,双方在各领域的利益交融并合作深入。但在欧盟数据规则的形塑中,其很早就将美国认定为数据保护不充分国家,这引发了美国政府及企业的不满。美国认为,数据的自由跨境是现代商业的常态,应在限制滥用的情况下鼓励跨境流动创造更大的商业价值,欧盟此举无疑是贸易保护主义的表现。②
对此,20 世纪末起美欧就对数据的跨境问题展开谈判,并于2000 年达成了以美国商业机构自愿加入并满足欧盟数据保护标准为内容的《安全港协议》。2013 年“棱镜门”事件爆发引发欧盟对美国数据窃取的再度反抗,故2015 年《安全港协议》被欧盟法院以无法达到欧盟数据保护标准为由判决失效。③ 此后,美欧双方通过进一步沟通再度达成《隐私盾协议》并重点限制了美国政府对数据的染指,防止其威胁欧盟的数据安全。但随着《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)出台后欧盟数据保护规则再度细化,2020 年欧盟法院再度以《隐私盾协议》不满足欧洲所强调的数据人权保护标准为由将其判定无效,又一次关闭了美欧的数据跨境通道。④ 此后美国一直希望与欧盟达成新的数据跨境协议,力图在符合欧盟标准的前提下保障美国的数据收集能力。2023 年7 月10 日,欧盟委员会通过了《欧盟—美国数据隐私框架的充分性决定》形成了新的数据传输通道。该框架设立数据保护审查法院等机制将美国情报机构对欧盟数据的访问限制在必要和适当的范围,美国公司在传输欧盟个人数据时应确保数据的可靠性、准确性与完整性并接受欧盟的定期审查。①
除了双边协议外,美欧既通过国内立法贯彻各自的数据治理目标而形成合作与博弈,也在其参与的多边国际条约的形塑中维护自身利益。在国内法上,《澄清域外合法使用数据法案》(即“云法案”)赋予了美国政府绕开互惠原则等直接获取他国数据的权力。② 对此欧盟直接强化了GDPR 的阻断效力,强调“云法案”并不能成为向美国转移个人数据的法律依据。因为GDPR 第48 条明确要求在不存在国际协议和无法证明对GDPR 没有损害的前提下,他国机构无权调取欧盟境内数据。③ 在相关国际条约的形塑中,欧盟也试图弱化美式数据自由跨境规则的影响。例如在《跨大西洋贸易与投资伙伴关系协定》(TTIP)的谈判中,欧盟始终立足人权保护立场强调数据跨境流动必须满足欧盟标准,且相关数据和具体行为必须受到欧盟的控制与监管。④ 美欧的互动充分反映出在美国数据霸权影响下双方合作又博弈的关系。其中美国始终希冀于借助条约强化数据获取能力,暴露出染指他国数据的意图,欧盟则主要以防御姿态应对美国的挑战。
反观新兴国家,长期以来俄罗斯深受以美国为首的西方的国家的经济制裁,在网络领域更频繁遭受美国的攻击。因此,2019 年俄罗斯主动采取断网演习,发现了大量威胁其国家安全的美国“暗桩”。在数据跨境上,俄罗斯要求企业必须通过其境内的数据处理器对公民数据进行存储、修改和删除,几乎关闭了美国合法获取俄罗斯数据的通道。⑤ 虽然中美存在利益分歧,但因经济合作的深入和各自的利益需求,双方依旧需要数据流动的国际通道。《中华人民共和国网络安全法》(以下简称《网络安全法》)和《中华人民共和国数据安全法》(以下简称《数据安全法》)都赋予行政机关对关键数据风险评估的权力。同时,境外主体调取中国境内数据应根据有关法律和中国缔结或者参加的国际条约、协定,或者按照平等互惠原则来进行。非经中国主管机关批准,境内组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。对于美国频繁对中国企业的制裁,中国则通过阻断法和行政处罚等方式禁止中国企业向美国交出数据。
所以,在美国数据霸权的建构中,包括欧盟、俄罗斯和中国在内的主要经济体均基于维护自身利益与之形成合作与博弈共存的状态。在美国数据霸权不断加强的背景下各国的防御姿态也更加明显,并在相关法律规则的构建中呈现出数据的本地化和权利化趋势。
2.2 数据本地化:以地域标准应对控制标准
主权作为一种抽象的表述,在现实规则层面则表现为一国对有关事项是否具有管辖权。自国际法诞生以来,地域标准便是一国确定管辖权的基本标准,其也成为确立主权范畴的基础,美国以控制者为标准确定数据主权无疑突破了该标准。
面对美国通过数据主权扩张建构霸权的事实,各国率先从主权概念入手展开应对。早在2003 年,联合国信息社会世界峰会达成的《日内瓦宣言》首次明确了与互联网有关的公共政策决策权是各国主权。⑥ 《塔林手册》作为近年来推动网络空间规则形塑的重要文本,在网络主权的规则制定上并未纠结于概念的辨析,而是通过强调一国具有对本国境内网络基础设施和相关行为的控制权来框定主权边界,尊重了主权的地域标准。① 2021 年世界互联网大会乌镇峰会上发布的《网络主权:理论与实践(3. 0版)》更将网络主权定义为“国家主权在网络空间的自然延伸,是一国基于国家主权对本国境内的网络设施、网络主体、网络行为及相关网络数据和信息等所享有的对内最高权和对外独立权”,明确了现行国际法规则在网络空间的适用性并强调了地域标准的基础性。
在数据领域,对以地域为标准的主权界限的落实则通过数据本地化实现。所谓数据本地化,主要指通过直接的法律限制或其他规定要求,将个人数据保留在其原始管辖范围内,并对数据的出境进行审查和适度限制。② 数据本地化首先需要明确“地”的范围,这构成了对数据主权范围的界定。欧盟无论是1995 年《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95 /46 / EC 号指令》(以下简称《指令》) 还是2018 年《通用数据保护条例》(GDPR),其都在适用范围内框定了数据的主权。《指令》第4 条第1 款规定所有数据控制者只要设立于欧盟境内或者使用了境内设备便受其规制,凸显了地域标准是确立欧盟数据主权的核心。GDPR 第3 条一方面仍将领土作为适用的基本范畴,沿用了《指令》对地域标准的坚持;另一方面,面对大数据和云计算等技术的发展,该条亦将向欧盟提供商品、服务或监测欧盟的数据运营者纳入规制范围,构成了一种以属地管辖为基础并结合住所地、市场地等标准的糅合性规则。③ 因此,从《指令》向GDPR 的演进中,尽管欧盟已显露出适度扩张管辖权的意图,但仍坚守以领土为标准的数据主权,维护对域内数据的控制力以应对美国的数据主权扩张。
在以地域标准划定数据主权范畴的基础上,数据本地化主要依靠数据的本地存储和跨境审查予以实现。在具体规则方面,GDPR 着重就数据出境审查作出规定,希冀于通过划定数据出境标准来打造欧盟的统一数据市场,并带动其他法域向欧盟数据保护标准靠拢。一方面,GDPR 通过确立“充分性保护规则”以白名单的方式划定企业数据传输的目标国,防止企业将欧盟数据在全球任意传输;另一方面,其也通过“适当保障传输规则” 和“约束性企业规则”,要求企业在域外的传输满足欧盟的标准,即使跨国企业内部的数据跨境也应符合GDPR。除了对行为的约束外,GDPR 同时要求企业通过设立数据保护专员专司数据合规,建立了企业与监管机构的沟通桥梁并时刻维护着GDPR 的规制效果。④
欧盟以外,中国、俄罗斯等也坚持数据的本地化,以应对美国的数据霸权。中国2017 年出台的《网络安全法》第3 章便针对网络安全运行强调国家对关键信息基础设施的控制权,要求相关数据应当存储于境内。针对数据出境问题,2021 年《数据安全法》第11 条确定了“数据跨境安全、自由流动”原则,实现数据安全和自由流动的平衡。次年国家网信办公布的《数据出境安全评估办法》明确了数据出境安全评估的范围、条件和程序。而2022 年8 月,为指导和帮助数据处理者规范、有序申报数据出境安全评估,国家网信办编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、流程、材料等要求作出具体指引,借鉴了欧盟数据分级分类为前提的协议化流动模式。
反观俄罗斯,不同于中国在适度控制下促进数据自由流动的主张,俄罗斯的政策则更为保守。早在2015 年其就要求国内外企业必须将所有俄罗斯用户的个人数据存储于本国境内,并将之解释为俄罗斯数据保护的首要准则。
近年来美国对俄罗斯的全面制裁更促使其强化数据的本地存储。俄罗斯也通过对谷歌、推特等互联网企业的监管,强调企业数据本地存储的义务, 呈现出一种“ 孤岛式” 的数据保护模式。①
数据本地化在主权层面是应对美国借助数据控制标准扩张主权的措施,但在更深层次上也显露着相关国家意欲沉淀数据以支持本国科技产业发展的目的。因为作为数字经济时代的基础性要素,数据以虚拟替代性、渗透性、易复制性、准公共物品性、规模经济性、要素互补性等独特的技术经济优势特征,融入传统产业,赋能制造业技术创新、生产变革和市场拓展,在促进产业升级等方面发挥关键作用。② 美国在全球网罗数据的做法便是通过积累数据助力本国科技产业的发展,中国等后发国家也在近年来加强了对数据的科技产业化,以期为本国科技发展积累资源。质言之,数据获取和控制能力直接关系到各国产业竞争与发展,因而美国坚持建构数据霸权而主要竞争国家则要对此作出应对。
2.3 数据权利化:以保障权利控制数据流动
对于美国倡导的数据自由跨境,主要大国均基于数据的特性试图从保障权利的角度予以应对。数据作为一种新兴的权利载体,既关涉个人的财产与人格权利,也涵摄于国家主权的范畴,成为应对美国主权扩张的话语基石。故在通过数据权利化应对美国数据霸权的策略中,主要大国一方面将数据上升为基本人权的高度,为控制数据流动提供话语正当性;另一方面,其也借助主权的对外独立性,与美国的数据主权扩张展开正面交锋。
从个人权利的视角出发,数据可以以是否具有“可识别性”(identifiable)为标准分为个人数据和非个人数据。凡是单独可以识别出特定自然人的数据或者与其他数据结合后能够识别出自然人的数据,都是个人数据,反之,则为非个人数据。③ 由于个人数据可以对自然人作出识别,故会与相关个人权利产生联系,尤其关涉以隐私权为核心的人格权。
欧洲诸国作为较早关注个人数据保护的国家,相关立法就将数据与人格权挂钩。颁布于1950 年的《欧洲人权公约》明确了“任何人享有私人,家庭生活及其住宅被尊重的权利”,被视为整个欧洲数据保护体系的渊源。欧洲多数国家认为,个人数据关乎每个人的隐私,映射着公约所维护的名誉与尊严。每个人都有权控制自己的个人数据以何种方式公开,从而控制自己在世人面前的形象以免于羞辱和窘迫。④ 基于对人权尤其是欧洲公民隐私权保护之目的,1981 年《有关个人数据自动化处理的个人保护公约》便将个人数据隐私权作为欧盟数据保护的重要目标。
1981 年《有关个人数据自动化处理的个人保护公约》通过后,欧洲很快意识到美国在数据领域对其造成的威胁,欧共体更指出只有将数据上升到人权高度而纳入人权公约的保护范畴,才能真正抵挡他国对欧洲数据的觊觎。⑤ 因此,《欧盟基本权利宪章》第8 条明确将个人数据保护纳入欧盟公民基本权利,赋予了公民相应的数据公开同意权、访问权及修改权,同时强调了成员国对保障该权利的责任。据此,欧盟委员会及其成员国的数据监管机构不用再依靠公众知情权而获得充分的执法权,任何个人数据的保护水平只要未满足保护基本人权的要求,监管机构都可以进行执法,法院也可以据此审查和修正行政机关的行为。① 由此,无论是1995 年《指令》还是2018 年《通用数据保护条例》(GDPR)都以维护公民人权为理据展开设计,并重点关注数据跨境问题。其要求数据出境地应当符合欧盟的数据保护标准,构成一种以守为攻推动规则产生域外效力的模式。
数据除了关涉隐私权等人权外同样关涉主权,国际法视域下强化数据的主权属性关系到各国权益的维护。早在2011 年中俄等国便向联合国大会提交《信息安全国际行为准则》,强调了网络主权的重要性,凸显了新兴国家的基本立场。习近平主席更指出《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,理应适用于网络空间,尊重网络主权更是推进全球互联网治理体系变革的首要原则。②
作为同样以数据本地化为立场的法域,之所以欧盟和新兴国家在应对美国数据霸权推动数据权利化上侧重点不同,主要还是基于各自的现实情况和发展目标。对于欧盟而言,作为欧洲国家的联合体,它的主权是一种经成员国让渡形成的集合主权,需要在特定事务中与成员国进行分享,③故对主权的运用更为谨慎。但在欧洲一体化中,以人权保护为依托创制的欧洲公民概念实际促使成员国让渡主权形成联盟。人权本身便在欧洲的法律体系中占据着核心地位,故数据权利化会侧重于人权属性。同时,欧盟在数据领域虽不及美国掌握绝对优势,但作为美国长期盟友其仍在美国构筑的国际秩序中获益,亦想在通过法律手段在保护己方数据的同时强化对域外数据的监管。故从《指令》向GDPR 的演进中展露出对地域标准和效果标准的复合,以期扩大欧盟数据规则的域外适用,防止过度强调主权而限制其自身利益。
反观新兴国家,在以美欧等西方世界主导的国际秩序与国际法体系下,长期遭受压迫使其对主权话题更为敏感。④ 以《联合国宪章》为基石的现代国际法至少在规范层面维护了各国主权,故在包括数据主权在内的相关新兴领域的国际法构建中,为防止重蹈覆辙其自然也会诉诸于主权的平等与独立,这也能占据道义高地以凸显西方霸权的非正义。另外,尽管新兴国家近年来信息技术发展迅速但仍难以与美欧比肩,故在数据政策上需要以维护本国数据安全为主。将现行国际法引入网络空间以地域为标准划定数据主权边界,凸显了对本国数据利益的坚守。
三、数据霸权的国际法规制:基于中国的立场
面对美国建构数据霸权的企图,虽然各国均作出了相应的法律应对,在国际法层面也需要选择可行的规制路径。尤其随着中国日益走近世界舞台中央,在促进国际法治并规制美国霸权上的作用不断凸显,中国更应基于自身立场借助国际法应对美国的数据霸权。
3.1 厘定规制基础:坚守国际法的公平正义
从威斯特伐利亚体系到凡尔赛—华盛顿体系再到雅尔塔体系,尽管每一阶段各国都希冀于以国际法维护自身利益,但国际法仍是大国权力平衡的产物。即使二战后联合国得以组建并形成以《联合国宪章》为基石的现代国际法,但大国一致模式仍根植于国际秩序的势力均衡和集体决策,美苏等大国的权力平衡更维系着国际社会的基本稳定。所以,彼时的国际法实际上依托于国际秩序的势力均衡,大国将意志贯彻于国际法而约束着其他势力,其他国家很大程度也忌惮于大国强权而不得不选择依国际法行事。
聚焦美国,其在过去百余年间始终未放弃维系霸权的初衷,冷战时期的美苏抗衡令超级大国的行为仍显忌惮,但苏联解体后美国作为唯一的超级大国行为却愈发肆意。其凭借强大的实力牢牢把控着国际经济的发展,并通过发动战争、制裁和封锁等方式侵蚀他国主权以维护霸权。此时美国便以“国际规则”之名扭曲国际法的意旨,意欲将之变为维护美国意志的霸权工具,他国则忌惮于美国强悍的实力多选择让步。但新世纪以来,新兴国家的快速崛起加速了国际力量对比的“东升西降”。面对国际秩序从权力单极世界向势力均衡的回潮,美国不得不作出反应以维系霸权,在规则层面则表现为守成大国与新兴大国就规则主导展开博弈。①一方面,美国通过大规模的“退约”和阻碍WTO运行等方式否定了多边合作机制,这种对国际法合则用不合则弃的态度令其丧失国际信誉。另一方面,美国通过资助建立小多边国际条约的方式维系对国际规则的主导权,保持其在各领域的霸权地位。②
面对美国对所谓“国际规则”的坚持和霸权的维系,以中国为代表的新兴国家需要基于实力的提升在国际法层面表明态度。强调以国际法为基础的国际秩序,坚守国际法的公平与正义便是最为理性的选择。③ 这既符合国际秩序向着势力均衡方向迈进的现实趋势,也能够占据国际法的道义高地以揭露美国的霸权目的。
对于数据霸权而言,尽管美国掌控着全球数据设备终端和传输通道,但数据仍产生于各国而要求国家基于人权或主权进行保护。针对美国数据主权的扩张,我们应认识到主权与霸权的内在关系。国际法下主权应有限度,在合法合理的区间内行使主权能够得到认可,超过限度的主权便构成了某种程度的“霸权”,威胁到国际法所倡导的各国主权独立与平等。在现行国际法下建构数据主权仍应遵循《联合国宪章》的宗旨与原则。宪章所倡导的主权独立与平等仍贯彻着势力均衡的理念,并凸显着主权的地域标准。故强调数据主权的地域标准,允许各国数据本地存储和出境审查,无论从利益上还是道义上都具有正当性。
面对美国强调的数据自由跨境的价值攻势,我们更应基于本国利益强调数据在保障人权和维护主权上的重要性。在国际社会中领导国的关系性权力也源于其因积极创建并自觉遵守国际规范、在国际社会树立和捍卫道义而对追随国产生的吸引力。如果领导国漠视并破坏国际法和国际规则,关系性权力实际上就转变为因果性权力,追随者会不再继续追随。④ 当前美国对多边规则体系的破坏已表明其长期倡导的所谓自由经济范式带有虚伪性,失去了国际法应有的道义。故各国应继续加强数据的权利化,强调数据的人权与主权利益并展开数据监管,从而矫正美式数据自由跨境的价值偏差,重塑话语权均势。
面对大变局时代国际力量对比趋于均衡的趋势,各国既要通过对《联合国宪章》的援引强调数据治理规则制定权的势力均衡,坚守以地域为标准的数据主权标准并将其化为国际法规则;也要以保障数据人权和主权为基石推动数据的权利化,从价值上揭露美式数据自由跨境的虚伪性,重塑国际法话语权的均势,维护国际法的公平与正义。
3.2 选择规制路径:重视国际法的“软硬结合”
对美国数据霸权的国际法规制,既要顺应当前国际秩序调整趋势形成更加公平的数据治理制度,也要选择适当的路径将设想转化为具体规则。国际法的规制路径并不限于以条约为代表的国际硬法,也包括原则上不具有法律约束力但可能产生实际效果的行为规则,国际组织、多边外交会议通过的包括决议、宣言、声明、指南或者行为守则等在内的,一些能产生重要法律效果的非条约协议等国际软法。⑤ 因此,在借助国际法规制美国数据霸权的过程中,应综合利用国际硬法和国际软法实现路径协调。
在国际条约等硬法的形塑中,近年来主要的国际经贸协定均涉及到数据。在美国推动数据自由流动的过程,从《跨太平洋伙伴关系协定》到《美墨加协定》均限制缔约方的数据本地存储和跨境审查,为实现数据霸权留下必要的国际通道。在《跨大西洋贸易与投资伙伴关系协定》中欧盟也通过强化本地主义立场,令其他缔约方也不得不作出特别规定,以满足欧盟数据保护标准。在美欧两大阵营外,新加坡、智利与新西兰也尝试探索新的路径并于2020 年达成了《数字经济伙伴关系协定》(DEPA)。其允许缔约方开展业务的企业更加自由地进行数据跨境,展现出全球主义的倾向。但同时也允许缔约方对与人权和主权有关联的敏感数据作出规制,希冀于通过透明度、目的规范、使用限制、收集限制、个人参与、数据质量和问责制等制度的构建,推动缔约方在国内建立一个与这些原则相匹配的框架,促进各国保护个人信息法律之间的兼容性和可操作性。① 但由于美国对数据霸权的追求和欧盟、俄罗斯及中国等大国对数据霸权的抵御,全球数据治理规则仍存在较大差异,相关条约也仅停留在特定阵营或小多边状态,全球性的多边数据条约恐一时难以形成,这便为软法提供了空间。
早在1980 年,经济合作组织(OECD)便发布《隐私保护和个人数据跨境流动指南》引领各国数据跨境规则的完善。1990 年联合国发布的《关于计算机化个人数据处理指南》更进一步强化了对数据治理的关注度。新世纪以来,面对欧盟等法域数据保护标准的不断提升和美欧之间展开的规则博弈,2004 年亚太经合组织就隐私保护达成共识并签署了《亚太经合组织隐私保护框架》。② 2013 年,OECD 也对指南进行修订,在保持原有框架基础上加入了隐私管理项目和国家政策战略等条款,以适应数字经济的发展并影响新兴国家的立法。所以,面对美国再次建构数据霸权的企图,包括中国在内的大国应充分利用软法对美国数据霸权展开规制。首先,应发挥软法的包容性,促进多元主体的规则协调。不同于国际硬法囿于国际法渊源的严格范畴和形式要求之中,软法无论是在内容上还是形式上都更具包容性,促进了国际法体系的丰富与发展。③ 中国要充分利用各类网络空间国际规则形塑的合作平台,通过参与和影响软法的制定来扩大国际合作基础。面对当前数据治理中美国与其他国家的立场分歧,各国也要在明确数据本地化和权利化的基础上,看到数据跨境流动的商业价值,倡导数据有序跨境,推动各方理念的融合。
其次,要充分发挥软法的前瞻性,就数据治理可能的演进方向作出预先规划和设计。一方面,要结合当前国际局势看到美国推动数据霸权可能的方向,在符合自身利益的同时率先凝聚共识提前作出应对,有效抑制美国的霸权企图。另一方面,也要看到互联网时代渐进式爆发的发展动向,④顺应并推动数据领域的技术与规则创新,防止软法规则成为互联网发展的障碍。
最后,要看到软法向硬法演进的客观规律,在凝聚共识的前提下尝试形成单一领域或事项的硬法,分步骤地织就数据治理的国际硬法体系。软法并不是法律的终局,而是一种演进的状态,并会随着时间的推移转化为硬法。⑤ 因此,在有关数据领域的国际规则形塑中,为规制美国数据霸权并维护本国利益,应采用分步骤的方式凝聚各方共识,率先形成双边或小多边的条约以表明态度并强化规则约束力,形成规制数据霸权的有力联盟。
3.3 明确规制理念:倡导国际法的合作共进
在更为宏观的视角下,数据领域的国际规则必将形成一个内嵌于现行国际法制度中的规则体系,故需重视整个体系建构的理念。无须讳言,相关规则形塑的重要目的是防范美国的数据霸权,推动国际规则朝着公平、合理、民主的方向发展。但基于国际法发展趋势和构建人类命运共同体的立场,规则的形塑更应以推动数据治理的国际合作和共进为根本目的,规制数据霸权也只是实现该目标的过程性目标。
战后国际法的发展以冷战为界碑。在冷战巅峰阶段,国际法表现为共存;在冷战缓和阶段,国际法呈现合作;在冷战结束后,国际法便显露出共进趋向。① 美国在冷战结束后形成的霸权体系尽管在一定程度上促进了国际合作与共进,但其仍是以自身为核心建立的利益分配秩序,改变了国际法所倡导的平等合作的初衷。故在包括数据领域的国际规则体系建构的过程中要摈弃美国中心主义,以新的理念推动国际合作和共进,这便为中国承担负责任大国角色并促进全球治理法治化提供了契机。
2013 年以来,习近平主席在多个外交场合提及“人类命运共同体”并引发国际关注。从国际法角度,人类命运共同体思想不仅蕴含人类社会的奋斗目标和先进的新型国际关系理念,还蕴含对世界各国有约束力的国际法基本原则和规则。② 秉持人类命运共同体理念,在数据治理国际规则的形塑中应将合作与共进落在实处,中国更应发挥作用。
首先,应阐明数据本地化和权利化的合理性,尊重并维护以地域标准为基础的数据主权。目前,强调数据的人权与主权利益已经成为包括中国在内的多数国家的共识。故应允许各国采取数据本地存储和出境审查,不能像美国一样以获取数据便利化为目的采用双重标准侵蚀他国数据主权。
其次,应兼顾数据的商业价值,推动数据有序流动。数据本地化和权利化并非禁止数据的流动,极端的数据保护政策也不利于数字经济发展。应尽快建立相应的数据存储和出境审查标准,带动相关国际规则形塑。从欧盟的实践看,采用“白名单”的方式划定数据出境地并进行动态审查的方式具有可操作性。在双边和小多边规则的基础上,也要利用“一带一路”等新型多边合作平台倡导数据治理的多边主义。这既能区别于美国霸权主义下采用的单边和小多边方式,也能在共商中凝聚共识,在共建中拓宽平台,在共享中实现福祉。
最后,应明确本国数据保护和跨境政策,为国际合作提供窗口并带动相关规则的形塑。从中国的实践看,《网络安全法》和《数据安全法》都对维护网络与数据主权并推动数据有序跨境作出规定。2019 年印发的《中国(上海)自由贸易试验区临港新片区总体方案》更明确提出“实施国际互联网数据跨境安全有序流动……试点开展数据跨境流动的安全评估,建立数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制”,这与欧盟所倡导的“白名单”模式形成呼应。该规定也在2021 年出台的《深圳经济特区数据条例》中有所体现。随着2022 年《数据出境安全评估办法》的实施,相关工作也逐步推开,部分跨国企业在通过评估后获得数据安全出境的资格。中国的实践既表明了其展开数据治理合作的态度和方式,也推动了相关领域国际规则的形塑,显现了国内法向国际法溢出的效果。
四、结 语
面对百年未有之大变局下国际力量对比的动态调整和国际数据治理规则体系的加速构建,尽管美国仍希冀通过扩张数据主权和强化数据自由跨境的方式建构以“制度—价值”为支撑的数据霸权,但欧盟、俄罗斯和中国等主要大国均以数据本地化和权利化的方式,在合作与博弈中弱化数据霸权的影响。
数据治理国际规则内嵌于国际法体系,中国在推动构建人类命运共同体的进程中更应重视借助国际法规制美国的数据霸权。首先,中国应继续坚守国际法的公平正义,捍卫以国际法为基础的国际秩序。通过引入《联合国宪章》的宗旨与原则,强化数据主权地域标准并坚持本地化存储,使之成为规制美国数据霸权的基石。同时,也要从保障人权和维护主权的角度应对美国数据自由跨境的价值鼓吹,占据国际法的公平与正义之高地。其次,应尊重各国在数据治理上的不同方式,既要积极参与相关软法规则的构建,将中国的数据治理理念和主张内化于国际规则中,推动国内规则的国际化;也要适时推动相关软法的硬法化,通过缔结贸易与投资条约等途径形成有拘束力的数据治理规则和流通通道,促进国内法与国际法的接轨。
最后,应看到防范美国数据霸权是实现数据治理规则朝着公正合理方向发展的过程性目标。中国应以人类命运共同体理念为指引,在具体规则体系形塑中尊重各国数据主权的平等与独立。通过缔结双边及多边条约和明确本国数据治理规则等方式,借助数据跨境评估审查和协议化的数据出境模式打造数据跨境的国内规则。在实践中提升国内规则的国际认可度,加强数据领域的国际合作并推动国际规则的趋同共进。
编辑 邓文科