网络安全视域下我国新时代加强数据主权机制建设论析

时 达

(齐鲁工业大学〈山东省科学院〉马克思主义学院,山东 济南 250353)

党的二十大报告提出:“推动构建人类命运共同体,坚定维护国际公平正义,倡导践行真正的多边主义,旗帜鲜明反对一切霸权主义和强权政治,毫不动摇反对任何单边主义、保护主义、霸凌行径。”[1]近年来,以美国为代表的数据“自由”主义和以欧盟为代表的数据国家主义深度干涉网络空间,迫使各国接受非平等数据流通协议与高标准“数据保护”协议,践踏国际数据流动平等性,破坏国际网络空间安全,侵害我国网络安全建设。2022年6月,西北工业大学遭受美国国家安全局(NSA)下属的“特定入侵行动办公室”入侵,致使大量数据泄露。此次攻击事件是美国数据霸权主义的鲜明体现,它敲响了我国数据主权保护警钟,暴露出我国数据主权机制建设不完善、算法核心技术受国外限制、跨国数据流动互信机制缺失等问题。新时代,我国网络安全构建应以中国式现代化为方向,着力加强数据主权机制建设,建成具有中国特色的现代化网络强国,助推网络空间命运共同体尽快形成。

1 数据主权的治理及其与网络安全的辩证关系

习近平提出:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”[2]要以“网络安全完整性、可控性、保密性、规范性方面的进步,保障网络安全建设水平全方位提升”[3]。网络安全是我国网络主权发展的前提条件。保护网络系统的硬件、软件及系统中的数据,避免遭受恶意更改、泄露和破坏;保障网络主权发展不受外界干扰,是维护我国网络环境安全的必要保证。数字时代数据作为构成关键信息的基础要素,已成为至关重要的国家性战略资源,在网络安全、数据主权建设中占据关键地位。其不仅作为网络安全建设的基本内容涵盖政治、经济、军事、文化等多个领域,而且作为数据主权建设的核心载体,承载个人、企业、国家之间的信息交换。伴随着数据全球化的加速发展,网络安全与数据主权联系日益紧密,相辅相成的态势在建设数字中国的背景下日趋显著。

1.1 数据主权的治理

数据主权(Data Sovereignty)源自于网络主权。网络主权作为主权国家主体主张的延续,将网络疆域中对客体数据进行管控的唯一行为主体规定为国家和政府,“是网络安全在主权领域的深度发展,是传统国家主权于大数据时代中的核心表现,是国家利益在对外交流合作中的严格保障。”[4]136-149大数据时代,网络疆域中主权国家地理边界虚化,重要核心数据和个人数据的价值持续提升,国家、社会、个人和数据的关联性进一步发展,数据主权应运而生。

数据主权的治理方式“聚焦于主权国家的权力与义务,包括生产、管辖、传输、利用和保护管辖地域内的数据”[5],具体表现为国家对本国数据的管理权、控制权。数据的管理权表现为对传入、传出本国数据的占有、归属权力,是国家对数据流动的途径、范围和内容的掌握,最终达到利用、交易、存储数据的目的。数据控制权聚焦数据安全保护,使数据在存储、传输时免受攻击,“规避数据受到更改、伪造、截取、外泄、毁坏的风险,保证数据真实可靠、完整无损、安全保密。”[6]

1.2 数据主权与网络安全的辩证关系

数据主权的价值彰显于重要核心数据和个人数据于境内治理的存储安全性、跨境管理的流通保障性之中,对建设中国式现代化网络安全制度具有支撑功效。习近平提出“加强维护网络安全,就要加快构建关键信息基础设施安全保障体系”[2],强调对关键信息基础设施的数据流通进行保护:以自主支配数据彰显数据主权的自主性,为网络安全提供 “充足底气”;以数据使用、处理免受他国的干涉彰显数据主权的排他性,为网络安全撑起 “坚实屏障”;以数字经济发展彰显数据主权的平等性,为网络安全奠定“经济基础”。

网络安全具有整体性、可控性、保密性与规范性等特点,这为数据主权提供保障作用。网络安全的整体性有助于数据主权的“顶层设计”规划。“没有网络安全就没有国家安全”[7],在国家总体安全观中,网络安全是十六个国家安全领域中的重要部分,其在宏观上为数据主权建设和“顶层设计”指明了发展方向。网络安全的可控性是数据主权的“坚强后盾”。网络安全是数据流动的保障,没有网络安全的有力“护航”,数据越流动,危害的可能性就越大,数据主权就更难以得到保护。网络安全的保密性铸造了数据主权的“重要基石”。数据主权在对外行使管辖权和控制权时,需要国家对数据进行严密管辖、严格控制,切实维护国家安全。网络安全的规范性为数据主权进行“守正锚定”。数据主权监管机构在对数据流动与本地存储进行监管时,必须严格执行网络安全有关法规和技术规定,严密监控和管理他国政府对数据的获取和使用权限,确保本国数据在本地存储与流动调取中得到有效管控。

2 美国、欧盟的数据主权保护及其对我国数据主权机制建设的启示

2.1 美国、欧盟的数据主权保护措施

2.1.1 数据霸权主义:基于互联网世界主义的美国主张

互联网世界主义是指认同全世界人类思维存在于同一个意识形态共同体中,以互联网空间的虚拟、开放、无边界性质,将网络空间诠释为独立于现实空间的“全球公域”。美国基于互联网世界主义提出“数据自由”论,表面上促进数据在各国间自由流动,实际上推行数据霸权主义,推动数据向美国单向流动。2018年美国通过的《澄清境外数据合法使用法(“CLOUD”)》(以下简称《云法案》),表现出强烈的单边主义倾向:一是明确了美国对于存储在美国本土之外、但属于美国的数据拥有绝对管辖权;二是外国政府若想访问调取位于国家本土境内、但是由美国控制的数据,必须允许美国对数据存储国自身控制的其他数据进行访问,且美国可以随时关闭数据交换通道;三是规定“他国政府获取美国数据时需要满足十一项条件,而美国获取他国数据只有三种限制”[8]。据此,《云法案》将美国置于数据单向流动的有利位置,并造成数据流动执法协作过程中的不平等,严重侵犯了他国数据主权,鲜明体现了美国的数据霸权主义。

2.1.2 数据国家主义:延续传统国家主权观念的欧盟做法

“国家主权于国内维度表现为最高性、领土性和排他性,于国外维度则表现为不受他国的国家主权操控,突出世界各国在国际法的指引下,协调独立平等的各主权国家间关系。”[9]数据主权基于国家主权概念,对内表现为国家对领土范围内数据拥有最高的、排他的控制支配和管辖权;对外则表现为各主权国家管理本国数据不受他国干涉。欧盟在数据主权方面坚持严格的数据监管方式,是延续传统主权观念的代表。2018年欧盟颁布了《通用数据保护条例(GDPR)》。作为史上最严格的数据保护条例,《通用数据保护条例》赋予了一般数据与个人信息数据极高的传输标准:一是规定数据只有满足约束性规定和数据保护条款,才能被允许传输到欧盟以外的国家和地区;二是“禁止企业将欧盟成员国数据传输给其他国家,否则将承担禁止进入欧盟市场的制裁及高额罚款”[4]136-149。欧盟借助自身对世界市场的影响力,提高数据传输标准,迫使诸多欧盟境外企业将数据传输标准提高至欧盟水平,形成布鲁塞尔效应,“以‘欧盟化’代替‘全球化’”[10],形成欧盟数据空间,排斥数据保护标准不达标的国家的数据流动,不利于全球数据流通发展。

2.2 美国、欧盟的数据主权保护对我国数据主权机制建设的启示

美国与欧盟的数据主权保护措施虽然侵犯了他国数据主权,但是在一定程度上对我国数据主权机制建设却有深刻的启示意义。一方面,欧盟的《通用数据保护条例》赋予了个人数据普遍的法律保护,对推动我国个人信息法的建立,加强我国对个人信息数据的保护具有启发意义。另一方面,美国的《云法案》启示我们在数据双向流动领域建立平等的域外数据调取机制,减少与他国的数据主权冲突;在数据单向流动领域镜鉴美国数据审核机制,保障我国数据单向流动安全性。

3 新时代我国加强数据主权机制建设的迫切性

当前,我国正处于世界百年未有之大变局,建成网络强国、数字中国,是在大变局中实现中华民族伟大复兴迈出的关键一步。建设网络强国和数字中国、最终实现我们中华民族伟大复兴的宏伟目标,迫切要求我们尽快加强新时代我国数据主权机制建设。

3.1 新挑战要求我国加强数据主权机制构建

当今世界正经历百年未有之大变局,网络空间作为人类社会活动的新场域,数据流动满盈其中。为争夺数据市场主动权、数据治理话语权,以美国和欧盟为首的数据主权国家和国际组织争相推出新政策,强国之间的数据主权博弈愈演愈烈。无论是强调私权保护的欧盟,还是通过公权力行使“长臂管辖”的美国,都凭借自身市场规模、技术优势扩大主权管辖范围。一方面,欧盟尤为重视公民个人数据处理的保护,无论是否位于欧盟成员国境内,只要涉及对欧盟公民的个人信息数据的处理,都会受制于《通用数据保护条例》。欧盟通过舍弃效率提升对私权的保护力度,使本属于欧盟内部的条例成为事实上的“世界性法律”。另一方面,美国的《云法案》明确授予美国政府“可以无视数据服务商的数据存储地是否位于美国领土内,对服务商掌握的数据进行监管、控制,并在必要情况下要求其披露”[11]的权力,将本应局限于本土内的数据管辖权通过发达的云服务网络和遍布世界的美国公司延伸到了全球范围。我国作为全球第二大经济体,网络市场规模庞大,若想于大国间数据主权博弈中立稳脚跟,就必须建立起自身的数据主权保护机制。

3.2 新机遇创造我国数据主权机制建设国际合作机会

数据主权全球性博弈给我国数据主权机制建设带来挑战的同时,也为我国数据主权机制建设加强国际合作、构建网络空间命运共同体带来了机遇。习近平提出的“构建网络空间命运共同体”[12]在国内和国际社会都受到高度重视。近年来,“中国不断增强国际社会规则制定中的话语权,积极推进数据流动监管跨境合作,促进网络空间命运共同体理念落地生根。”[13]首先,数据主权是构建网络空间命运共同体的基础,是国家间数据主权合作的基本前提。各国只有强化数据主权原则,于全球范围内达成共识,发挥数据价值、维护数字场域国家主权,方能建构网络命运共同体。其次,数据跨境流动机制建设是网络空间命运共同体的重要保障。加强数据跨境流动管理、保障机制建设,有助于增强国际间数据流动合作,在保障各国主权的基础上最大化实现数据流动带来的价值,为网络空间命运共同体构建提供安全保障。再次,合作共赢理念是网络空间命运共同体的方向指引。习近平强调:“各国应该深化务实合作,以共进为动力、以共赢为目标,走出一条互信共治之路,让网络空间命运共同体更具生机活力。”[14]面对复杂形势下的新挑战、新机遇,我国始终以各国人民的共同利益为根本出发点,主张世界各国人民命运休戚与共,以合作共赢理念引导网络空间命运共同体构建,推动构建“更加公平合理、开放包容、安全稳定、富有生机活力的网络空间”[15]。

3.3 新要求强化我国加强数据主权机制建设的使命感

党的二十大报告提出中国式现代化“在前进道路上,要必须牢牢把握以下重大原则:坚持和加强党的全面领导,坚持中国特色社会主义道路,坚持以人民为中心的发展思想,坚持深化改革开放,坚持发扬斗争精神”[1],这为新时代我国数据主权机制建设提出了新要求。第一,坚持和加强党对数据主权建设的全面领导,发挥“元治理”作用。党作为“元治理者”协调政府、市场、人民之间的关系,通过对数据主权治理网络的引导控制,为网络安全治理模式提供规则。第二,坚持以人民为中心的发展思想为导向,构建全民网络安全制度。人民是网络安全建设的基础,新时代建设网络安全制度,要以人民合法权益为出发点,将人民群众在网络空间中获得安全感作为评价标准,确保网络安全制度惠及全民。第三,以斗争精神推动数据主权发展,增强我国网络安全技术自主创新能力。习近平提出“加快推进网络信息技术自主创新”[16],“加速推动信息领域核心技术突破”[7]等新要求,我们应以斗争精神不断提高原创性数据安全防范技术供给能力,奋力跻身数据主权强国行列。

4 新时代我国加强数据主权机制建设的有效路径

4.1 以数据分类分级机制建构数据主权整体性

构建完善的数据分类分级机制,增强数据主权完整性。数据主权的完整性是指数据在未经授权的情况下无法更改的特性,其依托于数据来源的正确性和可信性,离不开科学精准的数据分类分级制度。面对急速膨胀的数据总量,我们无法保护到每一个数据,因此,要对数据进行分类分级,对不同程度重要的数据针对性建立数据主权保护机制。《中华人民共和国数据安全法》将数据分为核心数据、重要数据和属于管制物项数据。其中:核心数据占据最重要的地位,直接关系着我国国家安全,应建立严格的本地化存储机制,定时定期进行维护与排查,杜绝泄露风险。重要数据的保密程度仅次于核心数据,应建立严格的流动管理制度,构建重要数据流动追溯系统。属于管制物项的数据要注重流通性,通过建立开放流动的管理制度来弱化本地存储的限制,充分实现数据价值。

4.2 以数据跨境流动管理机制保障数据主权可控性

构建数据跨境流动管理机制,保障数据主权可控性。数据主权的可控性指人们对数据的传播途径、传输范围及传播内容所具有的控制能力。在全球化发展不可逆的今天,为保障数据健康流动,增强经济效益,推动国家发展,我国亟须建立一套以党的“元治理”牵头、“原则+灵活”并行的数据跨境流动管理机制。这种管理机制的主要特点:一是以发挥党的领导作用为根本,以加强数据跨境流动管理的规则构建为基础,以数据跨境流动全球市场管理为依托,以政府监督管理机制为保障,突出党对数据跨境流动“治理的治理”,以“元治理”的多元主体力量开拓中国数据出境的多元路径,构建元治理下数据跨境流动管理机制;二是构建“原则+灵活”的数据跨境流动管理机制,其在原则上彰显灵活,将原则性与灵活性结合起来,既坚持数据本地化政策,又在此基础上提升数据在跨境流动过程中相关协议的灵活性,允许数据在经过相关部门安全评估后向境外输出,助力数据主权可控性建设。

4.3 以数据风险防范机制增强数据主权保密性

构建数据风险防范机制,预防境外恶意攻击,增强数据主权保密性。数据主权保密性指流通于网络中的信息不被非授权主体获取和使用。其不仅包括国家机密,而且也包括企业和社会团体的商业秘密,还包括个人信息。数据风险防范机制主要包括对内数据存储安全防范机制、对外数据恶意入侵防范机制和意外数据泄漏防范机制。一是应当建立对内数据存储安全防范机制。内部网络安全威胁主要来自用户越权操作。这种数据存储安全防范机制规定用户在操作过程中应当严格按照权限大小进行数据处理,并有效防止用户错误操作和恶意破坏行为对数据主权带来损害。二是应当建立对外数据恶意入侵防范机制,其核心在于身份识别和限定。因外部网络用户身份存在不确定性,行为性质存在不可预测性,其在申请访问时应当对用户身份进行识别,对用户行为进行预测与备案;对于用户多次尝试破解数据风险防范机制的行为,管理者应以虚拟IP追查用户IP真实地址,封禁源IP地址的一切访问活动,从根本上维护我国数据主权。三是应当建立意外信息泄露防范机制。其依托数据分级分类制度,以独立于服务器运行的加密算法为不同等级的数据进行加密处理。四是要严格规范日志管理。日志是计算机在操作过程当中自动生成的操作痕迹。美国在针对我国网络进行的攻击中运用了许多隐蔽消痕类网络攻击武器,原理就是在数据劫持过程中抹除操作日志,以此来隐匿自身的行踪,使我们即便察觉到被攻击了也很难找到证据。因此,管理者应当对日志进行严格排查管理,在日志与用户操作之间加上一个时间戳,防止日志的替换与伪造,并定期对日志进行汇总分析,发现异常立即排查。

4.4 以数据跨境流动协同机制强化数据主权规范性

构建数据跨境流动协同机制,以强化数据主权规范性。数据主权规范性指对信息或资源的合法使用能力。数据跨境流动涉及不同国家之间数据的相互调取,规范各国政府的数据获取途径、使用规范至关重要。数据跨境流动协同机制的建立主要是针对国与国之间的数据跨境流动,我国应当在借鉴欧美数据主权立法的基础上,舍弃“长臂管辖”的糟粕部分,建立平等互信的数据跨境流动协作机制。一是建立平等的数据域外调取机制。我国应极力避免美国的单边数据霸权主义,建立双边、多边的数据调取协同机制,在双向数据获取中赋予各国平等权利,保障数据健康、安全流动。二是针对不同国家添加的例外条款,谋求与更多数据主权国家在数据流动过程方面达成一致,展现我国对网络安全平等性、开放性的追求。三是依托联合国大会、国际电信联盟、“一带一路”等平台,构建一个以我国为主的“数据跨境流动朋友圈”。我们通过建立数据主权弱势国家战略合作伙伴关系,打破美国和欧盟全球范围内的数据霸权主义,在全球范围内争取更强的数据话语权、主动权和管辖权,保障我国数据主权规范性建设。

5 结束语

在数据博弈白热化的当今时代,我国数据主权保护在立法层面日臻完善,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规相继落地,后续的有关实践措施逐步落实。但我们需要清醒地认识到,我国仍未和其他国家建立起数据互信机制,我国提出的一些数据主权建设措施的可实施性、可操作性亦有待验证。这些都必然会影响我国数据跨境流动的交换效率,进而制约我国在全球数据治理体系中的话语权和主动权,为我国数据主权机制建设带来不确定性因素。因此,我国加强数据主权机制建设应当以党的国家总体安全观为根本指引,以中国式现代化建设目标为导向,以主权独立、自主、平等为原则,积极借鉴域内外科学经验,进一步构建和完善具有中国特色的数据主权机制。