【会刊精选】何波 | 数据主权的发展、挑战与应对

数据主权的发展、挑战与应对

何波

（中国政法大学国际法学院博士生）

【内容提要】数据主权是数字经济时代国家主权新的表现形式，主张并行使数据主权是实现后续管理目标的前提条件。越来越多的国家和地区围绕数据管理和控制，开始构建其数据主权相关制度，中国也开展了相关立法和政策探索。作为一个新的概念，数据主权仍有待成为国际社会普遍接受的习惯法规则，与此同时，数据霸权、跨境数据流动等问题也给国家数据主权的行使带来了挑战。中国应当充分利用数据体量优势，推动构建国际规则，发展壮大本国产业，加快完善国内相关法律法规，为维护国家数据主权和网络安全提供保障。

【关键词】数据主权管辖权跨境数据流动数据立法

数字经济时代，数据已成为国家基础性战略资源，正日益对经济运行机制、社会生活方式和国家治理能力产生重要影响。对数据的收集、存储、处理分析等一系列活动不仅产生了巨大的商业利益和价值，也对传统国家安全带来了影响，而任何主体对数据的非法干预都可能构成对一国核心利益的侵害。基于网络安全、公民隐私、政府执法以及产业发展等需要，依托于传统主权理论的“数据主权”概念应运而生，并成为各国关注的焦点。目前，与数据主权相关的法律问题和争端在实践中已经出现，如何强化数据主权，维护国家网络信息安全也成为当前数字经济时代各国需要思考的重要命题。

一数据主权的概念及价值功能

对于数据主权的概念，目前并没有统一的表述或界定。有学者认为，数据主权是指国家对其政权管辖地域内的数据享有的生成、传播、管理、控制、利用和保护的权力，它是国家主权在信息化、数字化和全球化发展趋势下新的表现形式。也有学者认为，数据主权是特定国家最高权力在本国数据领域的外化，其以独立性、自主性和排他性为根本特征。从传统国际法角度来看，主权是国际法理论和实践中的基本原则，被认为是“一国在其领土内的最高权威”。进入数字时代，数据主权的核心应当是传统国家主权理念中的各项基本价值追求在网络空间和数据领域的延伸、拓展，其目的是确保国家对本国数据享有管理和控制的最高权力。

虽然各方对数据主权的界定各有不同，但在数据主权性质的认定上基本没有分歧。目前的普遍共识认为，数据主权是大数据时代背景下国家主权新的表现形式，也是国家主权的重要组成部分。数据主权源于国家主权也在联合国相关报告中得到了体现。2013年，第六十八届联合国大会《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》指出：“由国家主权产生的国际准则和原则适用于国家开展与信息和通信技术有关的活动；各国必须就归咎于它们的国际不法行为履行国际义务。”2015年，第七十届联合国大会专家组报告再次重申：“国家主权和源自主权的国际规范和原则适用于国家进行的信息通信技术活动，以及国家在其领土内对信息通信技术基础设施的管辖权。各国对其领土内的信息通信技术基础设施拥有管辖权；各国在使用信通技术时，除其他国际法原则外，还必须遵守国家主权、主权平等、以和平手段解决争端和不干涉其他国家内政的原则。国际法规定的现有义务适用于国家使用信息通信技术。”

从主权概念的内涵来看，应当包括对内主权和对外主权两方面要素，正如法泰尔所说：“不论以什么方式进行自己治理而不从属于任何外国人的任何民族就是主权国家。完全自治构成国家主权的内侧，而独立则构成他的外侧。”所以，从这个角度理解，数据主权也应包含对内、对外两方面。对内数据主权可以理解为一国在遵守国际法义务的前提下，对其境内与数据相关的数据基础设施、数据活动以及人员等进行管理的权力，例如制定和实施数据相关法律法规，从而实现对本国数据的传出、传入及对数据的产生、收集、存储、传输和处理环节的管理。对外数据主权可以理解为一国在对外关系中可以独立自主地开展数据相关的活动，例如参与网络空间数据相关国际规则制定或加入有关国际条约和协定的独立权。

随着各国在经济发展、国家建设、社会稳定、安全保障等方面对数据资源的依赖越来越大，对数据的占有和利用成为国家间竞争和博弈的关键力量，数据主权的提出具有重要的现实意义和价值功能。在当前技术发展和安全风险尚不明确的情况下，主张并行使数据主权特别是制定数据本地化存储政策是实现后续管理目标的前提条件，也对维护国家安全、方便政府执法、保护公民隐私和促进本国产业发展方面具有重要的作用。中国《促进大数据发展行动纲要》也指出“要充分利用我国的数据规模优势，增强网络空间数据主权保护能力”。

二数据主权的发展现状

（一）国际社会数据主权动态

加强对数据资源的管理是行使数据主权的基础，对于数据资源的本地存储、利用、控制等应是数据主权的应有之义，因此，当前数据主权的实践活动主要围绕数据的管理和控制而展开。从国际社会来看，越来越多的国家和地区也基于这些考量，从法律政策上开始构建其数据主权相关制度。

1.对内数据主权方面

从对内的角度来看，国际社会关于数据主权法律政策的发展趋势主要体现在两个方面。一是对重要数据的出口严格管理，以维护本国数据安全。数据分级分类管理是国际社会的主要做法之一，韩国、美国等国家通过数据出口限制的方式对重要数据进行管理。韩国《信息通信网络的促进利用与信息保护法》第51条规定，政府可要求信息通信服务的提供商或用户采取必要手段防止任何有关工业、经济、科学、技术等的重要信息通过信息通信网络向国外流动，包括：国家安全与主要政策相关信息，以及国内开发的尖端技术或设备相关内容的信息。并规定政府可要求处理这些信息的信息通信服务提供者采取相应的措施确保数据安全。韩国《空间信息的建立和管理等相关法》也禁止将基本测量结果运出国外，并规定未经国土交通部批准，任何人不得将公共测量结果中地图等和为测量而制作的照片运出国外，但总统令规定的相关情形除外。《美国国际军火交易条例》（ITAR）规定了有关军火出口的数据信息限制要求，要求含有相关技术数据的服务器必须位于美国境内。ITAR管制的对象是那些与国防物品、国防服务相关的技术数据，相关条款定义了“技术数据”的范围、“出口”的定义、特征及行为界限等。依据这些重点条文，配合国防部的军事控制清单，美国国防贸易控制委员会负责向云计算服务提供商发放技术数据出口的许可证。

二是通过对个人数据本地化的立法调整，强化对数据的控制。据统计，目前有超过二十多个国家对数据本地存储提出了相关要求，俄罗斯、澳大利亚等越来越多的国家通过对立法的动态调整来强化对数据的控制。俄罗斯通过两次修改立法的活动确立了严格的数据本地化留存的制度。2014年5月7日，俄罗斯发布联邦97号法令对《关于信息、信息技术和信息保护法》进行了修改。在“互联网信息传播组织者的义务”中增加了境内留存的要求，规定“自网民接受、传递、发送和（或）处理语音信息、书面文字、图像、声音或者其他电子信息六个月内，互联网信息传播组织者必须在俄罗斯境内对上述信息及网民个人信息进行保存。”同年7月，总统普京签署联邦242号法令，要求信息拥有者、信息系统运营方有义务对俄罗斯联邦公民个人信息进行处理的数据库存放在俄罗斯境内，并规定在收集个人数据时，运营商需要保证使用位于俄罗斯境内的数据库。澳大利亚于2012年颁布了《个人信息电子健康记录控制法》，对医疗信息的存储做出了本地化的要求。该法第7条规定禁止将医疗信息记录转移至澳大利亚境外，要求系统运营商、已注册的资源库运营者、已注册的门户网站经营者或已注册的合同服务提供者，在个人电子健康记录管理系统中保存记录或访问与这些记录相关的信息时，不得在澳大利亚境外保存或持有记录；或在澳大利亚境外对与记录相关的信息进行加工或处理；或导致或允许他人在澳大利亚境外保存或持有记录，或在澳大利亚境外对与记录相关的信息进行加工或处理。

2.关于数据域外管辖权

在国际法的限制范围内，国家可对网络活动行使属地和域外管辖权，数据域外管辖是数据主权的重要内容之一。有专家认为，域外管辖权是一国对内主权的组成部分，但从实践中的情况来看，域外数据管辖更多涉及对外关系问题，应当是对外数据主权的内容之一。当前，随着数据重要性的日益提升，部分国家和地区已经在实践中主张对本国公民及法人在境外数据的管辖权，并呈扩展之势。例如，美国政府与微软公司关于爱尔兰数据中心数据索取权的争端。案件始于2013年12月，美国缉毒局（DEA）执法人员在调查一起毒品走私案件时发现了一些电子邮件，这些数据被存储在微软位于爱尔兰都柏林的数据中心。DEA依据《存储传播法案》向美国纽约南区联邦地区法院申请搜查令，要求微软公司协助将嫌疑人的电子邮件内容和其他账户信息等数据提交给检方。微软认为，搜查令只在美国境内有效，而存放用户数据的微软爱尔兰数据中心不在美国管辖范围内，搜查令的效力并不能延伸到域外，因此该搜查令是无效的。2016年7月14日，美国联邦第二巡回上诉法院做出裁决，本案中美国政府的搜查令不具域外效力，要获取境外数据需要通过双边司法协助条约等方式进行。微软案件中，美国政府向微软索取域外数据的做法，实质是试图行使域外执行管辖权。通常情况下，由于主权的排他属性，一国政府在境外是没有执行权限的，但国家之间可以通过条约或协定等方式获得域外执行或司法管辖权，这也是一国对外数据主权的应有之义。

数据领域的域外管辖权扩张趋势在立法管辖权方面体现更为明显。与域外执行管辖权受到的诸多限制相比，域外立法管辖权的行使存在多种依据，例如基于属人主义原则而具有对本国公民在境外活动的管辖权。因此，近年来美国、欧盟等国家和地区通过立法扩张域外立法管辖权。在上述微软案中，由于域外执行管辖权没有得到法院认可，美国政府另辟蹊径，开始寻求在立法方面的突破。2018年2月6日，美国4位参议员提交了一部立法草案《澄清域外合法使用数据法案》(简称CLOUD法案），美国总统特朗普在3月23日签名批准生效，法案快速获得通过。CLOUD法案的出台为美国政府索取域外数据提供了法律上的支持，其规定“无论通信、记录或其他信息是否存储在美国境内，电子通信服务和远距离计算服务提供者均应按照本章内容所规定的义务要求，保存、备份或披露关于用户或客户的有线或电子通信内容、所有记录或其他信息，只要上述通信内容、记录或其他信息为提供者所拥有、监管或控制.”欧盟也通过制定数据立法扩张域外管辖权，欧盟2016年通过的《通用数据保护条例》（简称GDPR）规定，即使数据控制者和处理者在欧盟境内没有设立机构，但其在跨境提供商品或服务的过程中收集处理欧盟公民数据或对数据主体发生在欧盟境内的行为进行数据监控，也应当适用欧盟数据保护法规。与欧盟1995年的《个人数据保护指令》相比，GDPR不仅规定了属地因素，还增加了属人因素。对于营业场所在欧盟境内的控制者或处理者来说，法律的管辖权范围并没有发生大的变化，但强调了无论数据处理的活动是否发生在欧盟境内，都统一遵循GDPR的相关要求。对于营业场所在欧盟以外的控制者或处理者来说，可以适用属人因素，只要其在提供产品或者服务的过程中处理了欧盟境内个体的个人数据或对其进行监控，将同样适用于GDPR。

（二）中国数据主权的演化与实践

1.数据主权的演化

网络背景下的主权概念在中国有一个演进的过程，数据主权来源于网络主权，从互联网主权到信息主权、网络空间主权，再到数据主权，在不同时期的立法和政策文件中都有所提及。2010年国务院新闻办公室发布的《中国互联网状况》白皮书中明确指出，“互联网是国家重要基础设施，中华人民共和国境内的互联网属于中国主权管辖范围，中国的互联网主权应受到尊重和维护”。2014年7月16日，国家主席习近平在巴西国会发表《弘扬传统友好共谱合作新篇》的演讲中指出，虽然互联网具有高度全球化的特征，但每一个国家在信息领域的主权权益都不应受到侵犯，互联网技术再发展也不能侵犯他国的信息主权。2015年7月通过的《国家安全法》首次提出网络空间主权概念，规定“加强网络管理，维护国家网络空间主权、安全和发展利益”。随着大数据的发展，“数据主权”首次出现在国务院文件中。2015年8月，国务院发布的《促进大数据发展行动纲要》进一步指出：“充分利用我国的数据规模优势，发掘和释放数据资源的潜在价值，有利于更好发挥数据资源的战略作用，增强网络空间数据主权保护能力，维护国家安全，有效提升国家竞争力。”近年来，紧跟国际立法趋势，中国坚持国家网络主权基本原则，围绕数据安全管理努力构建相关法律制度，积极维护国家数据主权。

2.对内数据主权的实践

在对内数据主权方面，中国通过国内相关立法活动，明确了跨境数据流动的一般规则和某些特定行业数据跨境流动的限制性要求，建立了国家网络安全审查制度。一是明确跨境数据流动一般规则，要求“关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据，应当在境内存储；因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。与此同时，为保障个人信息和重要数据安全，促进网络信息依法有序自由流动，国家网信部门起草了《个人信息和重要数据出境安全评估办法（征求意见稿）》，要求“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。”二是对某些特定行业的数据跨境流动做了限制性规定。例如，《保守国家秘密法》要求防止含有国家秘密的数据流出中国；《征信管理条例》规定征信机构对在中国境内采集的信息的整理、保存和加工，应当在中国境内进行；《地图管理条例》规定互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内。此外，中国人民银行对个人金融信息数据、国家卫生健康委员会对涉及人口健康信息数据以及网络出版、网络约车等领域的有关数据都要求在中国境内存储。三是建立网络安全审查制度，规定关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查；关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

3.对外数据主权的立场

从整体上来看，数据主权问题是国家对外网络安全政策的重要组成部分。一方面，中国在参与国家网络空间治理中明确提出坚持网络空间主权原则。中国在第二届乌镇世界互联网大会上提出，国际互联网治理应坚持以尊重“网络主权”为首的四项基本原则。2017年发布的《网络空间国际合作战略》再次重申了主权原则，提出“各国政府有权依法管网，对本国境内信息通信基础设施和资源、信息通信活动拥有管辖权，有权保护本国信息系统和信息资源免受威胁、干扰、攻击和破坏，保障公民在网络空间的合法权益。”另一方面，鉴于域外立法管辖权的行使具有国际法上的依据，中国也在积极行使域外立法管辖权。例如，《网络安全法》规定，国家采取措施，监测、防御、处置来源于境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。再如，国家网信部门和有关部门发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。

（三）小结

从国际社会数据主权法律政策发展动态和中国实践情况来看，虽然认识和立场略有差异，但基本体现了数据主权发展的总体趋势。首先，无论是否承认数据主权的存在，各国实际上都在积极行使本国的数据主权，并通过国内立法确立了相关具体制度。其次，从内容上来看，国内外关注的核心问题都是对数据的控制，并主要聚焦在个人数据保护、数据安全管理以及跨境数据流动限制等方面。再次，包括中国在内的多数国家都在逐渐扩展对外数据主权的范围，特别是域外数据管辖权，以实现本国利益最大化。

但与此同时，由于各国社会制度、产业和技术发展水平不同，其对于数据主权的具体认识也存在一定的差异。例如，中国认为要求某些特定的数据在中国境内存储是数据主权的应有之义，不会影响数据自由流动和限制国际贸易；但美国则认为有关数据跨境流动的限制性政策属于非关税壁垒，将会不可避免地阻碍跨境信息流动和破坏正常的商务运行。

三数据主权面临的挑战

数据主权的提出具有一定的理论基础和现实需求，但作为一个新的概念，数据主权仍有待成为国际社会普遍接受的习惯法规则。与此同时，数据霸权、跨境数据流动等问题也给国家数据主权的行使带来了挑战。

（一）数据主权国际共识尚未达成

虽然数据主权的立法政策实践已经在多国存在，但对于数据主权的概念和范围，目前国际社会还尚无定论。从不同国家观点来看，俄罗斯、欧盟、美国等国家和地区出于自身利益考量，对数据主权持有不同的态度。俄罗斯基于国家安全考虑积极主张行使数据主权；以欧盟及其成员国为代表的国家出于对公民个人数据的严格保护，在实践中也不断强化其数据主权，2018年生效实施的《通用数据保护条例》更是直接扩大了条例的适用范围。而以美国为代表的国家则更加注重大数据所带来的商业利益，虽然其通过CLOUD法案确立了域外数据索取权，但从整体来看，美国在不同场合积极倡导主张数据跨境自由流动。此外，数据主权对于数据控制能力不同的国家来说意义不同。相比而言，数据控制能力处于弱势的国家更加认可国家数据主权概念，希望通过国际沟通协作加强本国对于数据管理和利用的权力，例如，爱尔兰政府在微软案提交的“法庭之友”陈述中强调，爱尔兰的主权不应受到侵犯，并指出获取存储于爱尔兰境内数据的合适方式应该是通过国际条约和国际合作；而数据控制能力较为强势的国家本身并不担心数据被掠夺和利用，更加关注数据的使用权而不是所有权，例如美国白宫在《大数据：抓住机遇，保存价值》报告中鼓励使用数据以推动社会进步，是否强调主权概念对其并无太大意义。

（二）数据霸权危及国家利益

从国际来看，以美国为代表的发达国家建立了相对完善的数据管理法律体系，利用行业巨头先进的技术能力，形成了覆盖上中下游的产业布局，掌握了数据管理的关键节点，实际形成了对于他国的数据霸权。“棱镜门”事件中，美国利用国家安全局等情报部门直接获取微软、思科等行业巨头的庞大数据资源，严重侵害了其他国家的国家利益。大数据时代，通过海量数据的汇集，还可精确描绘出与国家、企业、个人相关的关键信息，当数据收集、存储、保存等措施不当时，可能加剧数据泄露风险。当前中国在关键信息基础设施安全保护、数据安全管理等方面的专门立法尚未出台实施，难以有效规制境外企业和组织机构的恶意行为。

（三）数据跨境流动带来网络信息安全隐患

伴随着全球数字贸易的发展，跨境数据的体量在不断增加，数据与国家网络信息安全的紧密程度也不断加深。从最初满足基本通信功能的邮件、语音、网络视频等业务，传递个人通话数据、文本数据、音视频数据等，到现在由消费互联网转向产业互联网，制造、医疗、农业、交通、运输、教育等产业的生产、交易、融资、流通等环节均互联网化，由此产生的行业经济运行数据、企业运营数据、交易数据、技术数据等，都可能在网络中跨境传输。云计算的发展驱动各个行业领域将内部的信息服务外包给云计算服务商，大量经济运行、社会服务乃至国家安全相关的信息和数据将会形成向主要云服务企业集中的趋势，对这些海量数据的深度挖掘和分析可能泄露国家政治生活、经济发展、社会民生的重要信息，带来安全风险和隐患。

（四）技术本身发展带来的挑战

从中国具体情况来看，数据主权也面临着技术本身发展带来的挑战。大数据时代，数据的利用和管理主要依托于云计算基础设施和服务的发展，但是云计算业务的模式，增加了跨境服务和交易的可能性，本身就跨越了主权的界限，这是技术的本质属性对数据主权的挑战。产业发展和自主技术是实现数据主权的关键保障，虽然目前中国数据产业发展取得了一定进展，但中国仍处于云计算发展的初级阶段，企业创新能力较弱，在信息通信产业渗透率较低，无论从体量还是技术来看，都与国外龙头企业存在不小差距。与此同时，数据存储、传输、分析等技术环节也存在受制于人的问题。数据存储层面，银行等重要行业的存储设备主要为IBM等国外厂商垄断；数据传输层面，美国思科公司设备占据中国骨干网络超过一半的市场份额；数据分析处理层面，美国甲骨文（Oracle）公司数据库全球占比接近一半。此外，在操作系统和芯片方面，中国通信设备自主能力相对不足，底层元器件的生产水平难以满足要求，而国外厂商早已在芯片、操作系统等领域掌握先机，微软、苹果、谷歌三家公司生产的移动智能终端操作系统早已平分天下，中国自主研发推广难度较大。

四 中国的应对启示

目前，中国是在网络规模、用户规模、应用规模方面都是全球第一网络大国，同时也是世界上最大的数据生产国。根据《第四十二次中国互联网络发展状况统计报告》，截至2018年6月，中国网民总数已经达到8.02亿，普及率为57.7%，超过全球平均水平。面对数据主权面临的问题和挑战，中国要充分利用数据体量优势，推动构建国际规则，发展壮大国内产业，加快完善数据主权相关法律法规，为维护国家数据主权和网络安全提供保障。

一是推动达成数据主权共识，构建数据保护国际规则。中国在2017年发布的《网络空间国际合作战略》中确立了国家在网络空间相关国际问题上的政策立场，系统阐释了开展网络领域对外工作的基本原则、战略目标和行动要点，并再次重申了主权原则。建议中国在参与国际互联网治理时，应当以《网络空间国际合作战略》为基础，推动将维护各国数据主权作为尊重国家网络主权的切入点。在联合国框架下，充分利用信息社会世界高峰会议（WSIS）、G20国际场合，促进国际社会达成数据主权普遍共识，对数据主权的概念、性质、范畴等做出统一阐释，并在数据保护相关国际标准中，体现尊重和维护数据主权的思想，努力使相关标准成为保护数据主权的有效手段和最佳实践。

二是提高国内技术水平和产业实力，积极应对网络数据安全风险。当今世界，网络信息技术日新月异，全面融入社会生产生活，深刻改变着全球经济格局、利益格局、安全格局，虽然中国网络信息技术和网络安全保障取得了不小成绩，但同世界先进水平相比还有很大差距。美国利用其行业巨头企业形成了覆盖上中下游的产业布局，为应对数据霸权带来的网络安全风险，建议中国进一步发展壮大本国信息通信产业，加快推进互联网数据中心等网络基础设施建设，抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术，加快推进国产自主可控替代计划，加大研发国产芯片、底层元器件的经费投入，支持自主标准的通信网络标准推广，构建安全可控的信息技术体系。

三是加快网络数据管理立法，完善跨境数据流动管理。国际社会上，俄罗斯、欧盟、巴西、澳大利亚、加拿大等经济体都已通过立法手段强化数据跨境流动管理，力图将本国公民数据限制在境内存储。顺应国际趋势，中国在《网络安全法》中规定了关键信息基础设施的运营者在国境内运营中收集和产生的个人信息和重要数据应当在境内存储，但具体操作实践规则仍有待细化。下一步，建议有关部门推动完善《网络安全法》配套法律法规，加快制定出台《数据安全法》《个人信息保护法》等已经列入十三届全国人大常委会立法规划的项目，建立数据分级分类管理、跨境数据流动管理、安全风险评估等法律制度，进一步完善中国数据安全管理规则。

四是强化关键信息基础设施保护，提高网络安全防护能力。关键信息基础设施是国家数据主权行使的关键物质载体，也是事关国家安全、国计民生、公共利益的重要领域。“保护国家关键基础设施，保护最重要的信息系统，使其免受网络威胁”，已经成为美国白宫网络安全战略的五个重点任务之首。建议立法部门加快研究制定《电信法》，提升国家信息通信基础设施管理和保护的立法层级；建议有关主管部门加快出台《关键信息基础设施安全保护条例》，以明确关键信息基础设施的具体范畴和管理要求，推动建立关键信息基础设施安全保护的制度体系。

责任编辑：孙南翔

中国法学会网络与信息法学研究会

【会刊精选】何波 | 数据主权的发展、挑战与应对