朱雅妮

摘要：數(shù)據(jù)的價值及其重要性引發(fā)了國家在數(shù)據(jù)管轄權(quán)問題上的激烈博弈，體現(xiàn)為以數(shù)據(jù)存儲地標準、數(shù)據(jù)控制者標準等相異標準下的數(shù)據(jù)立法，不同程度呈現(xiàn)出數(shù)據(jù)管轄權(quán)擴張的態(tài)勢。數(shù)據(jù)管轄權(quán)的博弈實質(zhì)是數(shù)據(jù)主權(quán)的爭奪。我國的數(shù)據(jù)立法日趨完善，在堅守國家安全價值取向下，應加強對數(shù)據(jù)域外管轄的立法并兼顧同國際規(guī)則的銜接與協(xié)調(diào)。

關(guān)鍵詞：數(shù)據(jù)主權(quán);數(shù)據(jù)管轄權(quán);數(shù)據(jù)跨境流動

中圖分類號：D9? ? ? 文獻標志碼：A? ? 文章編號：1009-3605（2021）06-0096-11

引 言

大數(shù)據(jù)時代，科學技術(shù)發(fā)展推動數(shù)據(jù)成為主權(quán)國家、其他利益主體競相治理的戰(zhàn)略性生產(chǎn)資料。[1]信息與數(shù)據(jù)正在成為我們當下和未來賴以生存和發(fā)展的，類似于土地、森林、水利資源同等重要甚至更為重要的資源。[2]數(shù)據(jù)引發(fā)的國家博弈在數(shù)據(jù)稀缺價值不斷被發(fā)掘的過程中逐漸激烈。不少國家以規(guī)則為切入點，布局有利于自身的數(shù)據(jù)治理格局。近年來，基于不同利益目標體現(xiàn)各自價值理念的數(shù)據(jù)立法、修法是數(shù)據(jù)競爭加劇的明證。美國2018年頒布的《澄清域外合法使用數(shù)據(jù)法案》（the Clarifying Lawful Overseas Use of Data Act，以下簡稱《云法案》）、俄羅斯2014年《關(guān)于信息、信息技術(shù)和信息保護法》（修正案）、中國2017年的《網(wǎng)絡安全法》等是數(shù)據(jù)國內(nèi)立法的成果;2018年生效的歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR）、《美國-墨西哥-加拿大協(xié)議》中的數(shù)據(jù)條款、《全面與進步跨太平洋伙伴關(guān)系協(xié)定》當中的數(shù)據(jù)議題則一定程度體現(xiàn)了當前數(shù)據(jù)管轄權(quán)立法博弈的加劇。

一、以“數(shù)據(jù)存儲地標準”為管轄依據(jù)的立法

云計算時代的數(shù)據(jù)盡管有邊界，但其迅速穿越國境的弱邊界性也是不爭的事實。到底何國能對數(shù)據(jù)行使管轄權(quán)是各國立法不得不考量的因素，傳統(tǒng)主權(quán)項下的管轄權(quán)分配被視為國際數(shù)據(jù)流通攻防策略的核心。[3]

立法管轄權(quán)指立法機關(guān)所擁有的立法權(quán)限范圍。[4]也可視為是國家制定法律的權(quán)能。[5]現(xiàn)代社會的立法管轄權(quán)主要存在“地”和“人”兩個基點，分別對應領(lǐng)土和居民這兩個主權(quán)國家要素，國家通過法律框架來達到對該兩要素的有效控制，屬地原則和屬人原則也就成為立法管轄權(quán)的兩個主要管轄依據(jù)。隨著理論和實踐的發(fā)展，對于國家間立法管轄權(quán)的分配，除了屬地原則、屬人原則（或稱國籍原則），國際法還確認了保護原則和普遍原則的合法性。[6]上述四原則之外，美國國內(nèi)法中有時采用效果原則作為管轄權(quán)依據(jù)。

投射在數(shù)據(jù)問題上，上述哪一個原則才是恰當?shù)墓茌牂?quán)分配依據(jù)？一種邏輯為：在一個廣泛的、相互連接的世界中，數(shù)據(jù)和應用程序是在服務器上運行。這些服務器雖然連接到一個無邊界的網(wǎng)，但它們都駐留在物理上的某個地方。相應地，數(shù)據(jù)存儲的服務器所在地點——數(shù)據(jù)存儲地——對數(shù)據(jù)擁有管轄權(quán)。固守數(shù)據(jù)于某地的思維很顯然受到威斯特伐利亞體系疆域觀點的影響，將領(lǐng)土性作為了數(shù)據(jù)立法管轄的主要依據(jù)。屬地原則是國家在國內(nèi)和國際立法、司法和執(zhí)法權(quán)力的基石。[7]它的優(yōu)勢在于引發(fā)的國際法爭議最少且引起的爭端最少。

在屬地原則的慣性思維下，國家和數(shù)據(jù)公司經(jīng)常將數(shù)據(jù)的位置視為管轄權(quán)的決定性因素。“數(shù)據(jù)存儲地”成為數(shù)據(jù)立法的重要管轄依據(jù)。雖然數(shù)據(jù)存儲中心的位置可能與許多操作和應用程序無關(guān)，但數(shù)據(jù)或信息的物理位置通常是決定哪個主權(quán)國家控制這些數(shù)據(jù)的關(guān)鍵。如果說信息就是力量，那么信息的位置可能決定誰在網(wǎng)絡空間行使權(quán)力。[8]同時，在缺乏有力的管轄權(quán)國際協(xié)調(diào)機制的情況下，數(shù)據(jù)管轄問題更有可能通過參考網(wǎng)絡的物理基礎(chǔ)設(shè)施來解決，服務器的位置和數(shù)據(jù)的存儲位置最終可能決定了誰的規(guī)則適用。有人將數(shù)據(jù)存儲地與管轄權(quán)的關(guān)系表述為“地理就是命運”。[9]一些國家要求互聯(lián)網(wǎng)公司在當?shù)卮鎯λ邢嚓P(guān)數(shù)據(jù)，并由此衍生出形式不同的“數(shù)據(jù)本地化”措施，包括：要求數(shù)據(jù)或數(shù)據(jù)備份存儲在本國境內(nèi)的服務器上;阻止數(shù)據(jù)跨境流動;數(shù)據(jù)移轉(zhuǎn)出境前必須征得數(shù)據(jù)主體同意或是對數(shù)據(jù)出口進行征稅等等。[10]這些措施堅守著屬地原則，強化了數(shù)據(jù)的有界性。

俄羅斯一直堅持數(shù)據(jù)屬地原則，是“數(shù)據(jù)本地化”立法的典型代表。自“棱鏡門”事件后，俄羅斯多次修改法律以強化對數(shù)據(jù)的控制。2014年俄羅斯先后通過聯(lián)邦第97號法令和聯(lián)邦第242號法令對《關(guān)于信息、信息技術(shù)和信息保護法》（2006）（以下簡稱《信息保護法》）和《俄羅斯聯(lián)邦個人數(shù)據(jù)法》（2006）進行修改。第一，根據(jù)第97號法令在《信息保護法》中增設(shè)信息留存要求，規(guī)定：電信服務商和在線信息發(fā)布組織者有義務在俄羅斯境內(nèi)存儲用戶的語音信息、短信、圖像、聲音、視頻和其他信息。從數(shù)據(jù)發(fā)送、接收或處理時起，留存期限為6個月。[11]第二，根據(jù)第242號法令在《信息保護法》第十六條第四款中增加：信息擁有者、信息系統(tǒng)運營者有義務對俄羅斯聯(lián)邦公民個信息進行收集、記錄、整理、保存、核對、提取的數(shù)據(jù)庫存放在俄羅斯境內(nèi)。[12]第三，第242號法令還修改了《俄羅斯聯(lián)邦個人數(shù)據(jù)法》，在第十八條中增加第五款：要求收集個人數(shù)據(jù)時，運營商需要保證使用位于俄羅斯境內(nèi)的數(shù)據(jù)庫。這其實是變相規(guī)定整個數(shù)據(jù)處理過程都應在俄羅斯進內(nèi)完成。由上可知，俄羅斯通過數(shù)據(jù)存儲在境內(nèi)、數(shù)據(jù)庫設(shè)置在境內(nèi)、數(shù)據(jù)處理過程等在境內(nèi)完成的具體規(guī)定，加固數(shù)據(jù)的地域藩籬，加強“數(shù)據(jù)本地化”立法以達到對數(shù)據(jù)的牢牢控制。

印度雖然也以“數(shù)據(jù)存儲地標準”為立法管轄依據(jù)，但印度對數(shù)據(jù)的控制不如俄羅斯嚴格。印度將數(shù)據(jù)區(qū)分為公共數(shù)據(jù)和個人數(shù)據(jù)分別予以規(guī)定。在個人數(shù)據(jù)方面，根據(jù)《隱私規(guī)則》，印度允許個人敏感數(shù)據(jù)在境內(nèi)和境外移轉(zhuǎn)，但必須符合法律規(guī)定的兩種情形：第一，移轉(zhuǎn)數(shù)據(jù)的主體與信息提供者之間合同的履行是必要的（necessary）;或者第二，信息提供者必須同意數(shù)據(jù)的移轉(zhuǎn)。在公共信息方面，1993年《公共記錄法》第4條禁止公共記錄移出印度領(lǐng)土，除非是為了“公共目的”。它規(guī)定“任何人未經(jīng)中央政府的事先批準，不應將任何公共記錄帶出印度;如果出于任何官方目的而獲取或發(fā)送任何公共記錄，不需要事先獲得這種批準?！?/p>

二、“數(shù)據(jù)控制者標準”的興起：原因及立法趨勢

（一）云時代數(shù)據(jù)的特征

以“數(shù)據(jù)存儲地”為代表的數(shù)據(jù)本地化立法很快受到了技術(shù)的挑戰(zhàn)。大數(shù)據(jù)、云計算時代數(shù)據(jù)有以下特點：第一，數(shù)據(jù)的迅捷流動性。數(shù)據(jù)瞬間穿梭多地，運動軌跡由互聯(lián)網(wǎng)的路由算法決定，用戶無法知曉給定時間的數(shù)據(jù)具體位置，給數(shù)據(jù)存儲地的確定帶來困難。第二，數(shù)據(jù)的離散存儲性。在云系統(tǒng)中，為了提高效率和便于管理，數(shù)據(jù)可能被拆分為多個數(shù)據(jù)包，每個數(shù)據(jù)數(shù)據(jù)包可能存儲在不同的地理位置上。當用戶訪問時，這些分散的數(shù)據(jù)包通過相應的程序又重新拼湊在一起。[13]例如病人的信息、醫(yī)療記錄、用藥歷史可能會作為不同的數(shù)據(jù)包存儲在不同的地方，當醫(yī)生調(diào)取病歷時才匯聚成原樣。第三，數(shù)據(jù)位置的獨立性。數(shù)據(jù)位置的獨立性是指數(shù)據(jù)的存儲可以獨立于數(shù)據(jù)用戶，其實質(zhì)是數(shù)據(jù)與用戶的相互分離。[14]互聯(lián)網(wǎng)誕生之時，數(shù)據(jù)和軟件都存儲在用戶電腦或手機上，用戶能自主掌握數(shù)據(jù)。而今，技術(shù)令數(shù)據(jù)能夠脫離原載體并存儲在遙遠的服務器上，“云服務”向用戶呈現(xiàn)了一種分散化的假象，實質(zhì)卻是數(shù)據(jù)資源正在從終端用戶向擁有巨大處理能力和存儲能力的系統(tǒng)集中。第四，數(shù)據(jù)的第三方掌控性。無論存儲在“云”中的數(shù)據(jù)的實際所有者是誰，數(shù)據(jù)都是控制在“云服務”提供者手中。這些控制數(shù)據(jù)的第三方包括互聯(lián)網(wǎng)服務提供商、云服務提供商，以及維護和運營構(gòu)成互聯(lián)網(wǎng)主干的光纖電纜的公司。第三方（而非用戶）對數(shù)據(jù)的傳輸路徑或存儲位置做出關(guān)鍵決策。[15]

云計算下的數(shù)據(jù)特征決定了一方面數(shù)據(jù)的真正控制者并非數(shù)據(jù)用戶，而是作為第三方的數(shù)據(jù)服務主體?！皵?shù)據(jù)控制者”所在的國家通過控制“數(shù)據(jù)控制者”掌握了較大的數(shù)據(jù)主動權(quán)。另一方面，“數(shù)據(jù)存儲地”很難再成為立法管轄權(quán)的核心標準，畢竟數(shù)據(jù)的位置較難確定或較難唯一地確定，給“數(shù)據(jù)存儲地標準”蒙上了不確定性，動搖了人們選擇它作為數(shù)據(jù)立法管轄權(quán)依據(jù)的信心。這種變化在美國和歐盟的新近數(shù)據(jù)立法中體現(xiàn)得尤為明顯。

（二）《云法案》與“數(shù)據(jù)控制者標準”的采用

“數(shù)據(jù)存儲地標準”將數(shù)據(jù)當做了傳統(tǒng)法律思維中的“物”，存儲地理位置的固定就能有效確定法律管轄。[16]然而，數(shù)據(jù)的特性無不顯示著它與傳統(tǒng)的物有諸多差異，正是數(shù)據(jù)不同于實體物的特征導致了基于有形邊界和有形物體的屬地原則在大數(shù)據(jù)時代備受挑戰(zhàn)。微軟案的出現(xiàn)集中暴露出“數(shù)據(jù)存儲地標準”與實踐的矛盾之處，直接引發(fā)了美國《云法案》的出臺。

各國政府會為了反恐、移民控制、犯罪調(diào)查等不同目的尋求合法獲取互聯(lián)網(wǎng)數(shù)據(jù)的途徑。但是由于管轄權(quán)沖突、法律限制、公司政策等各種原因，政府發(fā)現(xiàn)他們經(jīng)常無法合法地訪問云存儲的數(shù)據(jù)，特別是當數(shù)據(jù)由外國公司管理或存儲在外國服務器上時。2013年12月，美國聯(lián)邦執(zhí)法人員向美國地區(qū)法院申請一份搜查令，要求微軟協(xié)助一起毒品調(diào)查，將一名微軟用戶的電子郵件內(nèi)容和其他相關(guān)數(shù)據(jù)提交給美國政府。微軟拒絕交出這些郵件，并向該地區(qū)法院提出廢除該搜查令的動議，理由是：聯(lián)邦政府的搜查令只在美國境內(nèi)有效，但包括電子郵件在內(nèi)的相關(guān)數(shù)據(jù)位于愛爾蘭都柏林的一個數(shù)據(jù)存儲中心，不屬于美國管轄范圍，故而搜查令無效。地方法院駁回微軟廢除搜查令的動議，認為：問題的關(guān)鍵是誰控制了數(shù)據(jù)，而非數(shù)據(jù)位置。盡管數(shù)據(jù)的存儲地在愛爾蘭，但數(shù)據(jù)被美國境內(nèi)的微軟及其員工控制，搜查令符合屬地原則，是有效的。

微軟對聯(lián)邦地區(qū)法院的裁決不服，向美國第二巡回法院提起上訴。第二巡回法院認為本案所依據(jù)的《存儲通信法案》（Stored Communication Act， 以下簡稱SCA）沒有規(guī)定搜查令的域外適用性。該案搜查令要求微軟將存儲在都柏林的數(shù)據(jù)交給美國政府，微軟必然要對都柏林的數(shù)據(jù)中心做出遠程操作，這將構(gòu)成SCA的域外適用，超出了SCA的管轄范圍。[17]

第二巡回法院和聯(lián)邦地區(qū)法院的主要分歧在于數(shù)據(jù)域內(nèi)和域外的判斷。前者將“數(shù)據(jù)存儲地”當成了界分標準，數(shù)據(jù)存儲在美國境外則視為是境外操作，故超出SCA的適用范圍;后者將“數(shù)據(jù)控制者”所在地當成區(qū)分標準，數(shù)據(jù)控制者在美國境內(nèi)則視為是境內(nèi)操作，故落入了SCA的適用范圍。微軟案被上訴至美國聯(lián)邦最高法院，未待裁決，美國便出臺并生效了《云法案》，明確了SCA的域外適用性。依據(jù)新法，微軟公司則必須交出存于愛爾蘭數(shù)據(jù)中心的數(shù)據(jù)。

除了明確SCA的域外適用效力，《云法案》的重點變化還在于將“數(shù)據(jù)控制者標準”作為立法管轄權(quán)的依據(jù)，動搖了“數(shù)據(jù)存儲地標準”的中心地位?！对品ò浮芬?guī)定：“電信或遠程計算服務提供者應按照本章規(guī)定保存、備份、披露通信內(nèi)容、記錄或其他信息，只要上述通信內(nèi)容、記錄或其他信息為該服務提供者所擁有、監(jiān)管或控制，無論該通信、記錄或其他信息存儲在美國境內(nèi)或境外?！备鶕?jù)該法，這些保管、控制或占有數(shù)據(jù)的通信服務提供商指受美國管轄的通信服務商。當然，該法案還規(guī)定了網(wǎng)絡服務提供者可以免除披露數(shù)據(jù)義務的三個條件。[16]換言之，除非滿足調(diào)取數(shù)據(jù)的例外情形，只要數(shù)據(jù)涉及美國公民并在美國公司的控制之下，無論其是否位于美國境內(nèi)，網(wǎng)絡服務提供者均應提供司法協(xié)助。于此，“數(shù)據(jù)控制者標準”成為美國刑事取證中數(shù)據(jù)立法管轄的標準。

《云法案》所體現(xiàn)美國數(shù)據(jù)立法的變化，一方面契合了大數(shù)據(jù)、云計算下數(shù)據(jù)流動性的特點。如前分析，數(shù)據(jù)移動和存儲的不確定性導致了“數(shù)據(jù)存儲地”難于識別，依據(jù)動態(tài)的“數(shù)據(jù)存儲地”制定的法律將加劇國家間數(shù)據(jù)管轄權(quán)的沖突，它如何還能作為數(shù)據(jù)管轄的首要選擇呢？另一方面，《云法案》的出現(xiàn)也是為應對不斷出現(xiàn)的數(shù)據(jù)本地立法，將以云計算為基礎(chǔ)的數(shù)據(jù)全球化直接納入國內(nèi)法律規(guī)制范圍。[17]面對數(shù)據(jù)本地化立法潮流，“數(shù)據(jù)控制者標準”能越過他國主權(quán)邊界，在本國法的支持下控制更多的數(shù)據(jù)。立法管轄權(quán)是主權(quán)國家的重要屬性，一國在其領(lǐng)域之內(nèi)的立法，即使是產(chǎn)生了域外效力也不能視其違反國際法，相反，對于立法管轄權(quán)而言，“國際法并不禁止一國在其領(lǐng)土范圍之內(nèi)，對任何發(fā)生在國外的事情行使管轄權(quán)”。[4]對地、對人、對事的不同控制手段，決定著一個國家行使立法管轄權(quán)的方式。[18]

三、歐盟數(shù)據(jù)立法中的管轄權(quán)擴張

歐盟GDPR第3條規(guī)定了該條例的地域適用范圍。其中第1款規(guī)定，本法適用于歐盟境內(nèi)設(shè)立的數(shù)據(jù)控制者或處理者處理個人數(shù)據(jù)的行為，不論處理行為發(fā)生在歐盟境內(nèi)還是境外。該款實質(zhì)采用了“數(shù)據(jù)控制者標準”，沒有提及數(shù)據(jù)存儲地，同美國《云法案》非常相似。GDPR將數(shù)據(jù)控制者與歐盟境內(nèi)相聯(lián)系的做法仍然是對屬地原則的堅守，但放棄了“數(shù)據(jù)存儲地”這一連接點，轉(zhuǎn)而采用“數(shù)據(jù)控制者”作為屬地原則的新連接點，形成了“領(lǐng)土原則明顯擺脫地理限制的新特點，甚至可以視為適應云計算而對領(lǐng)土原則的重新建構(gòu)”。[17]

如果說第1款體現(xiàn)了歐盟堅持并創(chuàng)新屬地原則的數(shù)據(jù)立法思路，那么第2款則是在堅持屬地原則之上引入了效果原則。效果原則賦予了國家對人、實體或活動進行管轄的權(quán)利，只要這些人、實體或活動對該國領(lǐng)土產(chǎn)生了實質(zhì)性影響，即使他們位于國家領(lǐng)土之外。根據(jù)第2款，在歐盟境外設(shè)立的數(shù)據(jù)控制者或處理者同樣適用本條例，只要他們處理的個人數(shù)據(jù)之數(shù)據(jù)主體位于歐盟境內(nèi)，并與以下兩種情形相關(guān)：（a）為位于歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務，無論是否要求數(shù)據(jù)主體支付對價;或（b）對數(shù)據(jù)主體在歐盟境內(nèi)的行為進行監(jiān)控。在該款的邏輯中，數(shù)據(jù)控制者或加工者位于世界的何處便無關(guān)緊要，只要數(shù)據(jù)處理行為所涉的數(shù)據(jù)主體位于歐盟境內(nèi)就潛在具有影響歐盟利益的可能，根據(jù)效果原則應受到GDPR管轄。整個GDPR第3條其實確立了屬地原則為主、效果原則為輔的管轄原則，在它們的共同作用下，適用范圍遠遠超出了歐盟的地域邊界。[19]

除了第3條，GDPR在第五章中通過對數(shù)據(jù)跨境傳輸進行規(guī)定，將歐盟的數(shù)據(jù)立法以及標準擴散到世界各國。歐盟允許個人數(shù)據(jù)跨越邊境移送，但要滿足各種嚴苛的條件。首先要看是否達到“充分性決定”，也即第三國或國際組織是否能夠達到歐盟委員會實質(zhì)性評估的條件，評估通過后，歐盟將公布確認的國家或組織的名單，個人數(shù)據(jù)能夠傳送到相關(guān)國家。歐盟委員會的評估包括該國的法治、人權(quán)狀況等諸多評估因素。其次，如果不能滿足第45條的“充分性決定”，數(shù)據(jù)控制者或處理者也能向第三國或國際組織傳輸個人數(shù)據(jù)，但要對傳輸進行“適當保障”并且數(shù)據(jù)主體可獲得強制執(zhí)行的數(shù)據(jù)權(quán)利及有效的法律救濟。適當保障同樣包括諸多條件，例如歐盟委員會通過的標準數(shù)據(jù)保護條款等等。再次，跨國企業(yè)內(nèi)部的數(shù)據(jù)傳輸也要受到GDPR的調(diào)整，GDPR為其規(guī)定了非常具體的約束性規(guī)則。綜上觀之，歐盟將源自歐盟境內(nèi)的數(shù)據(jù)深深打上了受歐盟法律保護的烙印，這些保護措施不會隨著個人數(shù)據(jù)的流動而消失，恰恰相反，數(shù)據(jù)的跨境傳輸將附著在數(shù)據(jù)上的歐盟標準帶到各數(shù)據(jù)接受國或國際組織。

歐盟GDPR的影響無疑是深遠的：第一，歐盟可能迫使他國改變數(shù)據(jù)立法。歐盟用自己的標準去審視第三國或國際組織的數(shù)據(jù)保護情況，在第三國不能滿足條件但又不愿意放棄歐盟這一數(shù)字市場的情況下，該國可能通過改變立法來達到與歐盟同等的數(shù)據(jù)保護水平。第二，歐盟可能迫使數(shù)據(jù)服務提供者改變數(shù)據(jù)服務模式或自身結(jié)構(gòu)，以迎合歐盟標準。從某種程度來說，歐盟通過數(shù)據(jù)立法的域外效力將歐盟數(shù)據(jù)保護的基本理念和標準推向全球。盡管沒有絕對禁止數(shù)據(jù)跨境流動，但歐盟通過層層設(shè)限，事實上執(zhí)行著數(shù)據(jù)本地化措施。這與歐盟矛盾的數(shù)據(jù)心理有關(guān)：一方面，出于對促進數(shù)字經(jīng)濟增長的考慮，歐盟對跨邊境的數(shù)據(jù)流動有著強烈的訴求;另一方面，歐盟自身的數(shù)字產(chǎn)業(yè)不如美國發(fā)達，為了保護域內(nèi)產(chǎn)業(yè)，不得不對數(shù)據(jù)跨境施加限制，以扶持數(shù)字產(chǎn)業(yè)的競爭力。再一方面，歐盟的歷史傳統(tǒng)、文化慣性對個人隱私高度重視，而個人數(shù)據(jù)的完全自由流動伴隨著隱私風險。為了保護個人隱私，歐盟也需要對跨境數(shù)據(jù)流動加以控制。

四、中國的數(shù)據(jù)管轄權(quán)立法中的問題與應對

數(shù)據(jù)管轄權(quán)立法博弈的實質(zhì)上是數(shù)據(jù)主權(quán)問題。2015年8月，國務院《促進大數(shù)據(jù)發(fā)展行動綱要》首次將“數(shù)據(jù)主權(quán)”寫入國務院文件?！毒V要》指出，發(fā)展和釋放數(shù)據(jù)資源的潛在價值，有利于更好發(fā)揮數(shù)據(jù)資源的戰(zhàn)略作用，增強網(wǎng)絡空間數(shù)據(jù)主權(quán)保護能力，維護國家安全，有效提升國家競爭力。

（一）我國的數(shù)據(jù)立法現(xiàn)狀

在數(shù)據(jù)主權(quán)原則的基礎(chǔ)上，中國的數(shù)據(jù)立法陸續(xù)展開。2021年6月10日，歷經(jīng)三審的《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）正式通過并于今年9月1日起實施。它與2017年6月1日實施的《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）一并構(gòu)成《中華人民共和國國家安全法》框架下的核心版圖。

數(shù)據(jù)法律體現(xiàn)一定的中國數(shù)據(jù)價值取向和立法側(cè)重。我國將國家安全和社會公共利益作為數(shù)據(jù)立法的核心價值，是一種“國家安全話語”。國家安全和社會公共利益貫穿了三個法律文件的不同條文，它是數(shù)據(jù)出境評估的重點內(nèi)容;是報請行業(yè)主管或監(jiān)管部門組織安全評估的條件之一;是數(shù)據(jù)不得出境的一種情況;還是重要數(shù)據(jù)的劃分標準。“國家中心導向”的數(shù)據(jù)立法價值與中國的網(wǎng)絡現(xiàn)實不無關(guān)系。中國面臨的網(wǎng)絡安全威脅存在于三方面：一是政治穩(wěn)定與社會安定的威脅;二是關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡安全的威脅;三是數(shù)據(jù)安全與國際網(wǎng)絡安全博弈的威脅。[20]中國希望互聯(lián)網(wǎng)在推動國家發(fā)展的同時將負面影響降至最低。這與美國及歐盟的數(shù)據(jù)立法政策和思路均有不同。美國推行數(shù)據(jù)自由的理念，促進數(shù)據(jù)自由流動，減少數(shù)字貿(mào)易壁壘將是美國的長期關(guān)切，是一種“市場話語”下的數(shù)據(jù)治理價值觀。為了實現(xiàn)網(wǎng)絡空間與數(shù)據(jù)自由，美國在理論上強調(diào)互聯(lián)網(wǎng)的無邊界及其公共物品的屬性，在法律一邊利用國內(nèi)立法擴張數(shù)據(jù)管轄權(quán)，一邊依托國際條約限制數(shù)據(jù)本地化措施，打開他國的數(shù)據(jù)邊界。歐盟則將個人隱私權(quán)當成理論核心，以個人信息保護的私權(quán)角度作為規(guī)則設(shè)計的切入點，以私權(quán)保護之名拓展公權(quán)介入數(shù)據(jù)國際治理的空間。[3]私權(quán)保護成為限制數(shù)據(jù)流動的正當理由。這種價值定位和制度設(shè)計是一種“權(quán)利話語”。

關(guān)于數(shù)據(jù)本地存儲的要求。第37條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估;法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！钡?7條在一個條文中同時規(guī)定了數(shù)據(jù)本地化存儲和數(shù)據(jù)跨境流動兩項內(nèi)容?！毒W(wǎng)絡安全法》明確了有關(guān)數(shù)據(jù)必須存儲在中國境內(nèi)的要求，是典型的數(shù)據(jù)本地化措施。

關(guān)于數(shù)據(jù)跨境流動?！毒W(wǎng)絡安全法》第37條允許我國個人信息和重要數(shù)據(jù)流轉(zhuǎn)出境，但要滿足一定要求?！毒W(wǎng)絡安全法》并未具體規(guī)定我國數(shù)據(jù)跨境流動的條件，而是將相關(guān)事項留給《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（下簡稱《安全評估辦法》）處理。《安全評估辦法（征求意見稿）》從以下幾方面確立了數(shù)據(jù)出境規(guī)則：首先明確了數(shù)據(jù)出境安全評估的公正、客觀和有效原則。其次，數(shù)據(jù)出境安全評估的主體是網(wǎng)絡運營者，符合一定條件需報請行業(yè)主管或監(jiān)管部門組織安全評估。再次，明確規(guī)定數(shù)據(jù)不得出境的情形。另外，個人信息出境還必須征得信息主體的同意。《安全評估辦法（征求意見稿）》的出臺推動了我國數(shù)據(jù)跨境流動規(guī)則的細化。

關(guān)于數(shù)據(jù)安全的管理。《網(wǎng)絡安全法》整體基于網(wǎng)絡空間主權(quán)原則，以網(wǎng)絡事務為核心，重點關(guān)切關(guān)鍵信息基礎(chǔ)設(shè)施，將數(shù)據(jù)存儲及其出境安排都是放在關(guān)鍵信息基礎(chǔ)設(shè)施一節(jié)，但缺乏對數(shù)據(jù)本身的關(guān)注。隨著獨立于網(wǎng)絡空間主權(quán)的數(shù)據(jù)主權(quán)概念的提出，有關(guān)數(shù)據(jù)的單獨規(guī)定逐漸出臺

（二）我國數(shù)據(jù)立法中存在的問題和對策

1.數(shù)據(jù)法律的域外適用問題

我國的數(shù)據(jù)立法以領(lǐng)土原則為基礎(chǔ)，重點考慮域內(nèi)適用，幾乎沒有涉及域外適用性。《網(wǎng)絡安全法》規(guī)定，在中華人民共和國境內(nèi)建設(shè)、運營、維護和適用網(wǎng)絡，以及網(wǎng)絡安全的監(jiān)督管理，適用本法。這與世界上許多國家爭相將本國數(shù)據(jù)法律效力擴大至域外的趨勢有所差別。將境外的數(shù)據(jù)控制者的特定數(shù)據(jù)處理行為納入法律適用范圍成普遍做法。[19]我國應考慮在數(shù)據(jù)法律適用拓展至域外，其理由在于：

第一，是全面調(diào)整和規(guī)范數(shù)據(jù)關(guān)系的需要。隨著網(wǎng)絡技術(shù)的持續(xù)發(fā)展，數(shù)據(jù)企業(yè)在領(lǐng)土范圍之外從事收集、處理、存儲等數(shù)據(jù)活動已非難事，境外數(shù)據(jù)企業(yè)收集和處理本國數(shù)據(jù)也是常態(tài)。僅規(guī)定境內(nèi)適用的數(shù)據(jù)立法將留下不少數(shù)據(jù)管轄空缺。

第二，是應對其他國家數(shù)據(jù)管轄權(quán)擴張的需要。歐盟、美國的最新數(shù)據(jù)法律都紛紛將本國數(shù)據(jù)法律的適用效力延擴至域外，無疑會損害包括我國在內(nèi)的許多國家的數(shù)據(jù)主權(quán)。中國對境內(nèi)的數(shù)據(jù)主客體和數(shù)據(jù)活動具有管轄權(quán)是領(lǐng)土主權(quán)原則的應有之義。但按照《云法案》或是GDPR的規(guī)定，美國和歐盟都有可能在一定條件下，將法律適用至我國境內(nèi)，進而妨礙我國的數(shù)據(jù)管轄權(quán)，也在一定程度上加劇了各國數(shù)據(jù)管轄權(quán)的積極沖突，破壞了國際法的生成邏輯和運行環(huán)境。根據(jù)反制原理和對等原則，在我國的數(shù)據(jù)立法中，不能不考慮在國際法許可的范圍內(nèi)增加數(shù)據(jù)的域外適用條款。立法管轄權(quán)與司法管轄權(quán)相互依存。當法院地因與所涉及的人、利益、關(guān)系或者行為存在聯(lián)系而具有立法管轄權(quán)時，司法管轄權(quán)才被人接受。[6]質(zhì)言之，只有在具有域外適用性的數(shù)據(jù)法律的前提下，將來對相關(guān)數(shù)據(jù)糾紛的司法管轄權(quán)才得以確立。

本文建議，可以借鑒歐盟GDPR的經(jīng)驗，在相關(guān)立法中加入域外適用內(nèi)容。具體而言，可將第二條修改成為：（一）本法適用于中國境內(nèi)設(shè)立的數(shù)據(jù)控制者或處理者處理個人信息和重要數(shù)據(jù)的行為，不論處理行為發(fā)生在中國境內(nèi)或中國境外。（二）本法適用于在中國境外設(shè)立的數(shù)據(jù)控制者或處理者的行為，只要他們處理的個人信息的數(shù)據(jù)主體位于中國境內(nèi)或處理的是與中國國家安全和社會公共利益有關(guān)的重要數(shù)據(jù)。（三）本法適用于根據(jù)國際公法，在數(shù)據(jù)控制者所在地區(qū)適用中國法律的情形。

2.數(shù)據(jù)本地化措施與GATS條款的合規(guī)性

數(shù)據(jù)本地化措施可能引發(fā)WTO法的合規(guī)性問題。第一，數(shù)據(jù)本地化措施構(gòu)成了GATS第1.1條“影響服務貿(mào)易的措施”。[21]因為數(shù)據(jù)跨境流動與服務貿(mào)易中的跨境提供方式最為相似，除非成員特別排除，數(shù)據(jù)跨境流動屬于服務貿(mào)易的一種，[22]而法律要求數(shù)據(jù)在本國存儲的事實會增加數(shù)據(jù)服務提供者的財政負擔，進而影響數(shù)據(jù)跨境服務。相關(guān)措施構(gòu)成“服務貿(mào)易”并且會“影響”該服務貿(mào)易是上訴機構(gòu)在“加拿大——汽車案”中判斷一項措施是否構(gòu)成“影響服務措施”的主要依據(jù)，[23]數(shù)據(jù)本地化措施恰恰符合了該兩項判斷要素。第二，數(shù)據(jù)本地化措施極有可能違反了中國在GATS項下的具體承諾。當分析WTO成員國對跨境數(shù)據(jù)流動的限制措施是否違反了GATS項下的義務時，要看該跨境數(shù)據(jù)流動所涉及的貿(mào)易是否屬于服務貿(mào)易。確認之后，要考察成員對服務貿(mào)易所做的具體承諾以確定限制措施是否違反相關(guān)承諾。前面已經(jīng)分析了數(shù)據(jù)跨境流動屬于服務貿(mào)易的一種，那么接下來要分析中國在GATS下的具體承諾。在《中華人民共和國服務貿(mào)易具體減讓表》中的B項“計算機及其相關(guān)服務”中的（c）小項“數(shù)據(jù)處理服務”中，我國對跨境交付、境外消費和商業(yè)存在的市場準入和國民待遇均沒有限制。換言之，我國在GATS中承諾對數(shù)據(jù)跨境流動沒有限制，但事實上數(shù)據(jù)本地化措施相當于以“零配額”的形式對服務提供者和服務施加了數(shù)量限制，[21]違反了GATS 第16條的（a）項或（c）項。有研究者認為，諸如數(shù)據(jù)本地化等措施，一旦因涉及不當而違反國際條約義務，引發(fā)國際爭端會導致國家規(guī)則的“二次風險”。[24]

在數(shù)據(jù)立法過程中，針對數(shù)據(jù)本地化措施應考慮數(shù)據(jù)保護和數(shù)據(jù)發(fā)展之間的平衡問題。一方面，數(shù)據(jù)出境控制的國家遍布各洲，既包括加拿大、澳大利亞等發(fā)達國家，也包括俄羅斯、印度等發(fā)展中國家。必須承認，盡管許多國家都實施數(shù)據(jù)出境控制，但各國的具體措施和控制程度各有不同。對數(shù)據(jù)跨越邊境的限制出于不同考量，但保護數(shù)據(jù)應該是其中的重要因素。另一方面，過度的數(shù)據(jù)保護會對數(shù)字經(jīng)濟產(chǎn)生消極影響。例如歐盟對于個人數(shù)據(jù)保護的高標準將有損它的數(shù)字貿(mào)易，令其在與美國的數(shù)據(jù)競爭中處于劣勢。2013年，歐洲國際政治經(jīng)濟中心報告顯示，如果歐盟采取過嚴的保護規(guī)則，歐盟GDP增長率將降低0.8到1.3個百分點。[25]歐盟也清楚地認識到信息和通信技術(shù)已經(jīng)成為現(xiàn)代創(chuàng)新經(jīng)濟體系和社會的基礎(chǔ)，而數(shù)據(jù)是這些系統(tǒng)的核心并產(chǎn)生巨大價值。為提高自身的數(shù)據(jù)競爭力， 2018年10月4日歐盟出臺了《非個人數(shù)據(jù)自由流動條例》，明確指出成員國機關(guān)的數(shù)據(jù)本地化要求以及私營部門供應商的鎖閉實踐成為歐盟內(nèi)部數(shù)據(jù)經(jīng)濟發(fā)展的兩種阻礙。同理，過度拔高網(wǎng)絡安全的重要性，也會不可避免的損害中國數(shù)字經(jīng)濟競爭力。[21]

結(jié)論

數(shù)字貿(mào)易時代，國家間數(shù)據(jù)資源爭奪不斷加劇，數(shù)據(jù)保護有所升級，全球數(shù)據(jù)治理中相對穩(wěn)定數(shù)年的規(guī)則和制度不斷重建、更新，數(shù)據(jù)規(guī)則動蕩時期已然到來。新近出臺的數(shù)據(jù)國內(nèi)國際規(guī)則即為明證，同時也顯示出網(wǎng)絡威斯特伐利亞時代國家對數(shù)據(jù)介入和管理不斷深入的趨勢。西方國家一面借用不同理論虛化國家對數(shù)據(jù)擁有主權(quán)的事實，或鼓吹網(wǎng)絡空間是“全球公域”從而否定數(shù)據(jù)主權(quán)，或主張數(shù)據(jù)“多利益攸關(guān)方”的治理模式弱化數(shù)據(jù)主權(quán);一面抓住主權(quán)中的立法管轄權(quán)對數(shù)據(jù)進行控制。“長臂管轄原則”、法律域外效力等擴張數(shù)據(jù)管轄權(quán)的制度接連出現(xiàn)。美國以“數(shù)字自由主義”為名，行使“數(shù)字保護主義”之實。歐盟也以保護個人數(shù)據(jù)權(quán)利的私權(quán)角度切入數(shù)據(jù)治理的公權(quán)領(lǐng)域。美、日、歐等國正試圖共同制定跨國數(shù)據(jù)流動規(guī)則，打造“數(shù)據(jù)流動圈”，將中國、俄羅斯等國排除在數(shù)據(jù)共同體之外。2019年美英之間簽署了“史上首份”數(shù)據(jù)互通協(xié)議，以實現(xiàn)二者之間的數(shù)據(jù)獲取自由。上述行為都將對全球數(shù)據(jù)治理體系和國家數(shù)據(jù)主權(quán)產(chǎn)生深遠影響。面對美國的“數(shù)字霸權(quán)主義”及以少數(shù)西方國家為中心的數(shù)據(jù)政策和規(guī)則，我國一直基于國家主權(quán)的基本立場，強調(diào)數(shù)據(jù)主權(quán)原則，致力于在國際層面倡導并推動數(shù)據(jù)主權(quán)概念的發(fā)展。2015年中國和俄羅斯等六國向聯(lián)合國第六十九屆會議提交了《信息安全國際行為準則》①，為全球數(shù)據(jù)治理提供了中國方案。該準則重申與互聯(lián)網(wǎng)有關(guān)的公共政策問題的決策權(quán)是各國主權(quán)，并寫到：“所有自愿遵守該準則的國家應承諾遵守《聯(lián)合國憲章》和公認的國際關(guān)系基本原則與準則，包括尊重各國主權(quán)，領(lǐng)土完整和政治獨立?！笨梢哉f，《信息安全國際行為準則》中反映了中國政府對待網(wǎng)絡空間和信息事務上國家主權(quán)原則的基本立場。針對美國等國借助法律設(shè)計強化數(shù)據(jù)控制的新態(tài)勢，我國開始建立數(shù)據(jù)保護法律體系，開展了數(shù)據(jù)保護專項立法。這些法律體現(xiàn)了中國以國家安全為導向的數(shù)據(jù)價值核心。數(shù)據(jù)的天然弱邊界性意味著數(shù)據(jù)治理需要加強國際合作。即使當前無法形成較為統(tǒng)一的數(shù)據(jù)治理政策和規(guī)則，中國也可以考慮將符合本國數(shù)據(jù)優(yōu)勢的議題嵌入雙邊與多邊條約談判，充分利用“一帶一路”倡議的平臺，在完善國內(nèi)規(guī)則的基礎(chǔ)上，建立國際數(shù)據(jù)合作與協(xié)調(diào)機制。

參考文獻：

[1] 中央人民政府.中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要[EB/OL].（2016-03-17）[2020-04-03] http：//www.gov.cn/xinwen/2016-03/17/content_5054992.htm.

[2] 齊延平.論人工智能時代法律場景的變遷[J].法律科學（西北政法大學學報），2018（4）：37-46.

[3] 裴煒.歐盟GDPR：數(shù)據(jù)跨境流通國際攻防戰(zhàn)[J].中國信息安全，2018（7）：34-37.

[4] 江國青.國際法中的立法管轄權(quán)與司法管轄權(quán)[J].比較法研究，1989（1）：34-36.

[5] 黃進.論憲法與區(qū)際法律沖突[J].法學論壇，2003（3）：54-58.

[6] 肖永平.“長臂管轄權(quán)”的法理分析與對策研究[J].中國法學，2019（6）：39-65.

[7] Aust，Anthony.Handbook of International Law（2nd Edition）[M].Cambridge University Press，2010：103.

[8] Michael Chertoff.Data Sovereigntyin the Cloud： The issues for Government [EB/OL].（2011-11-01）[2020-04-03]http：//safegov.org/2011/11/1/data-sovereignty-in-the-cloud-the-issuesfor-government.

[9] Rosenzweig，Paul.The International Governance Framework for Cybersecurity[J].Canada-United States Law Journal，2012（2） ：422.

[10] Chander，Anupam&Le，Uyen P.Data Nationalism[J].Emory Law Journal，2015（3）：677.

[11] RGRU.On Amending the Federal Law On Information， Information Technologies and Protection of Information and Certain Legislative Acts of the Russian Federation on Streaming the Exchange of Information with the Use of Information-Telecommunications Networks， No.97[EB/OL].（2014-05-07）[2020-03-28]http：//www.rg.ru/ 2014/05/07/ informtech-dok.html.

[12] RGRU.On Amendments to CertainLegislative Acts of the Russian Federation Regarding the Clarification of the Processing of Personal Data in Information and Telecommunication Networks，No. 242[EB/OL].（2014-07-23）[2020-03-28]http：//www.rg.ru/2014/07/23/persdannye-dok.html.

[13] Walden，Lan.Accessing Data in the Cloud： The Long Arm of the Law Enforcement Agent[EB/OL].（2015-04-11）[2020-02-12] https：//papers.ssrn.com/sol3/papers.cfm？abstract_id=1781067.

[14] Andrews，Damon C& Newman，John M. Personal Jurisdiction and Choice ofLaw in the Cloud[J].Maryland Law Review，2013（1）：325-328.

[15] Woods，Andrew Keane. Against Data Exceptionalism[J].Stanford Law Review，2016（4）：761.

[16] 夏燕，沈天月.美國CLOUD法案的實踐及其啟示[J].中國社會科學院研究生院學報，2019（5）：105-114.

[17] 王志安.云計算和大數(shù)據(jù)時代的國家立法管轄權(quán)——數(shù)據(jù)本地化與數(shù)據(jù)全球化的大對抗？[J].交大法學，2019（1）：5-20.

[18] 楊利雅.立法管轄權(quán)對沖突法的影響[J].政法論壇，2010（2）：103-113.

[19] 張建文，張哲.個人信息保護法域外效力研究——以歐盟《一般數(shù)據(jù)保護條例》為視角[J].重慶郵電大學學報（社會科學版），2017（2）：36-43.

[20] 蔡翠紅.中美網(wǎng)絡空間戰(zhàn)略比較：目標、手段與模式[J].當代世界與社會主義，2019（1）：42-49.

[21] 彭岳.數(shù)據(jù)本地化措施的貿(mào)易規(guī)制問題研究[J].環(huán)球法律評論，2018（2）：178-192.

[22] Burri， Mira.The Governance of Data and Data Flows in Trade Agreements： The Pitfalls of Legal Adaptation[J].U.C.Davis Law Review，2017（1）：65-132.

[23] Appellate Body， Canada-Measures Affecting the Automotive Industry[R].Appellate Body，2000：151-155.

[24] 彭德雷.數(shù)字貿(mào)易的“風險二重性”與規(guī)制合作[J].比較法研究，2019（1）：172-186.

[25] 周念利，李玉昊.全球數(shù)字貿(mào)易治理體系構(gòu)建過程中的美歐分歧[J].理論視野，2017（9）：76-81.

責任編輯：楊 煉