1. 引言
国家主权平等原则是国际法基本原则之一,不论是在《威斯特伐里亚和约》中被最早确定,还是在二战后在《联合国宪章》中以宪章七项原则之首出现,都体现出这一原则的重要性,而主权这一概念也是国际法不可绕开的基础性概念。随着时代的不断发展,尤其是近几十年来互联网技术的飞速发展,主权概念也不可避免被赋予了新的内涵。网络主权的理论由此衍生而成,并且在如今互联网进一步普及发展、各种数据不断实现跨境流动的时代下,更进一步地产生了数据主权这一概念。在这种情况下,首先需要阐明的是,这些概念绝对不会直接等同于传统的主权理论,因此有必要理清这一概念的具体内涵,并从理论与实践两方面入手,探讨数据主权在现代国际法的合理性。本文试图从这一概念的历史沿革入手,分析网络主权概念的具体内涵,以时代发展为脉络进一步分析数据主权与网络主权概念的关系,从而探讨数据主权在理论上的合理性;同时本文也希望通过引出数据主权对内、对外限度在实践中的现有问题,来对相关的政策制定提供一定方向性的启迪。
2. 从传统主权理论到网络主权
随着现代技术的不断发展,尤其是网络技术在近几十年来的飞跃,网络空间已经成为了除陆地、海洋、空气空间、外层空间之外,人类得以生存的“第五空间” [1] ,而且仍在以一种极快的速度不断扩展中。这一空间尤其奇特,因其并没有固定的界限,并无实际存在,与其他几种空间不同,处于一种非实体状态。
(一) 从历史沿革探析网络主权的内涵
要分析网络主权这一概念的内涵,可以先从其历史发展沿革入手。事实上互联网主权这一概念在最初是在二十世纪九十年代由互联网先锋人士提出,并且不同于当今对于这个概念的理解,这一概念最初代表了当时一些先锋人士对于网络世界独立于现实世界的渴望与野心,一时这种网络世界完全独立于现实世界的观点甚至得到了美国权威法律的支持,当然由于当时美国政府的政策选择,体现出了美国政府对于网络主权这一概念的取向——网络应当从属于国家,美国政府实际掌控着对于互联网的控制。 [2] 虽然对于传统主权的具体概念学界依旧有所分歧,但是基本都认同主权具有对内最高性、对外独立性的特点,并强调应在国际法规则下调整独立平等的主权国家间的关系,有观点认为“网络主权就是一国国家主权在网络空间中的自然延伸和表现。在内部表现为国家独立自主地发展和管理本国网络事务;对外则表现为防止本国网络遭受外部入侵和攻击” [3] ,显然这一观点与前文提及的最初提及的“互联网主权”应独立于国家存在的概念相反,而是将网络主权延伸于传统的主权概念,但同时也根据其特点阐明了网络主权的独特之处,由此可见,笔者认为,这一观点可以说较为简单地阐明了网络主权这一概念的内涵。
以上提及的两种现实的观点的核心冲突在于,主权原则是否能够适用于网络空间。这一争论一时被表现为网络自由主义与网络管制主义之争。从各国的实践来看,以中、俄为代表的国家始终一以贯之地坚持主张网络主权的概念,在2017年中国发布了《网络空间国际合作战略》,其中就明确提出维护主权和安全、构建国际规则体系的战略目标1;而俄罗斯在2019年也通过了《俄罗斯主权互联网法案》,还起草了“数字经济国家项目”法案,以利用俄罗斯主权网络来捍卫网络主权,以保护本国网络主权。而其他一些西方国家,对于网络主权的态度多有起伏,但是以美国、法国等作为代表来看,这些国家也都曾明确地提出过网络主权这一概念,并且表明要保护本国的网络主权,比如美国曾于2011年出台的《网络空间国际战略》中强调了国际法适用于网络空间的观点;法国新修订的《法国数据保护法》中以政府为中心的数据保护体系,毫无疑问是在保护以数据为核心的网络主权。 [4] 从以上实践中可见,更广泛地来说,各国尤其是发展中国家对于网络主权这一概念是持积极的态度的,并且努力地借由这个概念发挥各国所能来保护本国的网络安全。“网络社会也不可能完全排除国家权力的干预和管控,成为无需国家主权进行治理的领地。” [5]
(二) 传统主权视角出发的网络主权概念
而从传统主权的概念出发,也可以尝试着阐明主权原则是完全可以适用到网络空间的。这就要提及空间虚化现象这一概念,随着网络技术和信息技术的发展,空间也出现了虚化,空间和地点相分离的现象也愈来愈多——这种生活现实的结果就是在数字化的虚拟世界中,空间和时间可以被压缩、跨越或者伸延。 [6] 这一方面当然冲击了传统主权所强调的地域概念,但也正是因为这一空间概念的独特性,我们可以认识到,主权这一概念不仅可以及于我们传统所认为的固定的疆界,在互联网发展的今天,延续于传统主权的地域概念但明显有所区别的网络空间,确实也是一种空间存在,并且对于这一空间也不是完全没有办法对其边界进行规制——比如可以通过根域名来确定网络空间的主权归属 [2] 。加之因其对于国家安全性有相对的重要性,我们有理由认为,在这样的空间中,也完全有必要强调主权原则。
3. 数据主权理论的发展与其合理性分析
如今,互联网飞速发展带来的是一个崭新的“大数据时代”,人们的生活被各种数据充斥着,也就催生出了“数据主权”这一概念。在笔者看来,数据主权这一概念可以视为网络主权在数据化时代的进一步延伸,本章将通过探讨数据主权与网络主权的关系的方式来思考数据主权的内涵,并通过驳斥一些反方的观点从两个角度来分析数据主权理论的合理性。
(一) 数据主权与网络主权的关系
对于数据主权与网络主权的关系这一议题,学界大致有两方面的观点。一方主要认为数据主权与网络主权是两个平行的概念,在认同数据主体同网络主权同样反映于安全层面并且主体是国家的前提下,认为数据主权更多偏向于是一种经济主权,而网络主权更注重的是其主权的范围 [7] 。而另一方的观点在于数据主权是被包含在网络主权中的,有学者就提出网络主权可以被细分为三部分内容,其中就包括“网络数据层主权” [8] 。
前者的观点,在已经肯定了数据主权与网络主权同样是因为安全性注意而被国家重视、且以国家为主体的权力,又堂而皇之地认为两者的侧重点并不相同,前后是有所矛盾的。数据信息的来源也是从网络而来,从上一层概念的分类来看,倘若数据已经被认为是被包含在网络空间中的概念,那么数据主权的概念被认为是被包含在网络主权中的就显得更为理所当然了。此外,基于前述空间虚化的概念,网络本身可以被视为虚化的新兴空间,从而拥有主权,但是数据本身无法形成容纳他物的空间 [9] ,从时代的发展来看,从范围更大的网络主权到因数据膨胀而更为受到关注的数据主权,在逻辑上也更像是逐渐偏向于细节处的关系。因此,笔者认为就数据主权与网络主权两者的关系这一议题,应当认为数据主权就是包含在网络主权范围之内的。
(二) 数据主权的内涵
首先需要肯定的是,正如前一节提及的那样,正是与因为对于数据的流动性带来的安全性担忧,尤其在于数据的流动通常是自动化的这一特点,而有必要从国家安全层面来考虑对于数据控制的问题,从而产生了数据主权这样的概念 [10] 。结合上一节,我们可以理解为,网络主权在跨境数据治理领域体现为“数据主权”的主张。对于数据主权的概念,目前学界并没有统一的观点,但结合前文对于网络主权的理解,既然这两个新兴的概念都源于最传统的主权观点,那么基本可以认为,数据主权一定包含了国家的对外独立权、对内最高权,具体体现的范围应当在本国的数据领域。在延续传统主权概念的基础上,强调关于数据的治理仍然从属于国家主权。
(三) 数据主权的合理性分析
本章到目前为止,都是从正面来直接分析数据主权这一概念产生的前提、其内涵,而仍未探讨这一概念的合理性。从数据主权的特殊性而言,因为其边界并不像传统的主观理论那样有明显的疆域区分,因此势必对于传统的主权概念有所冲击,并且这种冲击集中在主权地域性、主权平等性、主权绝对性等三个方面 [5] ,在这样的情境下也催生了诸多相关的理论。
1) 否定数据主权论的代表性观点及其理论不足
关于跨境数据的治理上关于数据与主权的关系并非只有“数据主权”论这一种主张,与之相对应的其中之一观点就是“数据自由论”。两者的分歧在于,对于数据的管制,究竟应当遵从以国家为基础的数据主权从而严格管制数据的流动,还是应当尊重数据的自然流动而不加以管制,其核心在于数据与主权的何者更为重要。
在第一章提及过,“互联网主权”最初在二十世纪九十年代被提出时并不同于当今对于这个概念的理解,而是代表了当时一些先锋人士对于网络世界独立于现实世界的渴望与野心,认为其应当独立于现实空间,因此对于网络空间应当实行完全独立于国家的单独统治。相对应的,“数据自由论”的观点正源于20世纪60年代新左派和反文化运动的反体制与反国家主义冲动,这一思潮最重要的核心内容即在于网络空间要独立于政府和企业。 [11] 一些学者认为,数据自由论所要维护的是数据自由流动所带来的经济利益,例如一旦通过设置贸易壁垒的方式来阻断数据的自由流动,势必将影响原本的商业活动,自然会导致效率与经济利益的双重受挫,因此在网络空间这个环境之下,势必要完全排除国家权力的干预 [12] 。类似的观点都认为,国家对于数据自由流动的干预,一是会增加国家对于监管数据流动以及互联网活动的成本 [13] ,二是会减少原本应有的经济效益。这一观点显然只考虑了经济效益而完全无视了数据完全不受监管下所带来的安全性问题,尤其是涉及到国家安全层面的问题,从结果上来看,这毫无疑问是会被各国所强力避免的。此外,就“数据自由论”学说本身而言,一味只强调数据应当是自由于政府与企业的,实际上是在避免谈及如何分配关于权责分配、权利保障等问题,这就导致可能会出现各主体互相推诿责任并且最后无人承担责任的尴尬境地,这显然并不符合国际法内在的对于社会稳定性的要求。 [14] 从另一角度来看,也有学者认为不考虑各国在治理能力和手段的差异的前提下,来一味地强调所谓的数据自由,明显是有利于强者而不利于弱者的,实质是在维系一种不平等的发展格局,从而会实际压迫在数据网络领域正在发展中的国家,并实质维护已经在这一行业走在前列的国家的利益。 [11]
除去“数据自由论”,另外一种比较常见的反对数据主权论的观点在于数据的“公域说”。这种观点的理论基础在于,认为数据流通领域涉及的网络空间,类似于公海、两级等公共空间,是独立于国家之外的,不受国家主权控制。因为这些领域涉及到全人类的共同财产与资源,与人类集体利益相关,因此不得由单独的国家来加以管制。这一观点也得到了一些国家的明确支持,比如加拿大就提出网络空间是一个公域 [15] ,然而在其2010年发布的《加拿大网络安全战略》中却明确表达了整个网络空间对于该国的重要性以及因此而产生的对于网络攻击等问题的对应对策,对将来的网络攻击等问题表达了不安,并且直接阐明了要维护国家安全利益的观点2,这就表明了对这些国家而言,宣称的所谓的“公域说”与其实际所采取的行动根本就是自相矛盾的,由此可见这些国家之所以要表面上支持这一观点,根本就不是因为对于这一观点的支持,而只是为了隐藏其真正的目的——希望借此打击其他在网络等新兴领域仍未得到长足发展的国家,从而避免本国在该行业得到来自其他国家的竞争与冲击,表现出了对本国利益的偏向,倘若真的得以发展,对于各国于数据领域的协同发展必定有不利的影响。再回想“公域说”的起点,所提及的认为网络空间等公域是与全人类集体利益相关的观点,就与这种表现大相径庭。此外,与反驳“数据自由论”的观点相类似,如果认为数据为主要载体的网络空间是一个公域,那么权责分配的问题就得不到恰当的解决,虽然看似可以由以联合国为平台,由国际社会共同监管,但是很明显目前整个国际社会对于这个观点是有明显分歧的,尽管可以推测出这种分歧的原因很可能是由于更深层的政治因素等导致的,但从结果上来讲,要让各国在这一问题上协商一致并达成较为统一的共识从短期来看还是难以实现的,因此国际社会共同监管看似是一个合理的提议,但明显无法在当前得到实施,那么实际对于数据世界的管理就还是一片混乱,势必会造成国家层面的安全问题。
2) 数据主权论的合理性——以国家安全为核心视角
既然数据的“自由论”与“安全论”都有其内在的问题,也就代表不能放任数据不受管制的自然流动,也不能只寄希望于国际社会共同管制,那么就还是回到了本文最核心的“数据主权”论——现在终于可以从正面的角度来探讨数据主权这一观点的合理性了。
前文已多次提及,关于数据主权的一个核心要素在于安全性一词,笔者也绝对赞同国家安全在数据主权论的重要性,因此为了保证这一安全性,笔者认同数据主权论中必须要由国家为主体来管制数据流动,否则就很可能导致权责不明的问题。类似于网络主权,数据主权的最终确立,并不只是理论推导的结果,而是根据各国的利益驱使而最终实现的利益博弈 [16] 。然而,关于数据主权论,更需要关注的一点在于,不仅仅要强调由国家为主体来进行管制,而且更需要强调各国在数据主权上的平等性 [15] ,也就说在数据依托的网络空间,也必须遵守国家主权平等原则。从国际法的基本原则角度来看,国家主权平等原则作为基本原则之一,当然性地应当在国际法的各个领域被无条件地加以适用;从更加实践的角度来看,这也是为了构建人类命运共同体的必然要求。本节提到的一些国家对于网络主权以及数据主权所主张的否定论,其实质还是会涉及到大国博弈的因素,仔细研究这些国家的政策就会发现,或多或少所表达出的还是对于数据的主权控制,可见这些国家实际还是希望以此维持在这些新兴领域的控制权,保护自己的领先地位,打击其他发展中国家在这些行业的进步。我们也必须认识到,面对此类打击他国数据领域发展的观点,必须坚定地坚持在数据领域的国家主权平等原则,也是维护国际法权威的应有之义。因此,作为一个具有实践与法理基础的理论,数据主权原则毫无疑问具有其内在合理性。
4. 数据主权的限度
在探讨了数据主权在实践与法理基础的合理性之后,还有一个笔者想要稍加探讨的问题,这涉及到在行使数据主权的过程中的应有的限度。在探讨这个权限问题之前,有必要先以全局出发,盘点目前常见的数据主权的实践模式。
(一) 数据主权的实践模式
现在在各国较为常见的数据主权的实施路径大致可以分为两类,一类以欧盟的实践为代表,强调“以地理位置为基础”,要求对于数据流动的严格控制 [17] ;另一类则以要求在某些特殊领域的数据存储必须实现本地化,将数据严格控制在明确的领土范围内。
前者以欧盟为代表,强调个人权利优先并且立法严格,有学者认为这一举动体现了欧盟一贯的人权保护思想 [18] ,因其明确指出人权优于数据使用权的立场。欧盟1995年《个人数据处理和自由流动中个体权利保护指令》(以下简称“《指令》”)和2018年生效的《一般数据保护条例》(以下简称“《条例》”)先后对于调整跨境数据流动问题做出了相应的规定,并且《条例》也延续了《指令》中对于“充分保护”的要求,即明确规定成员国将个人数据转移至其他国家的条件是被转入数据的国家能提供“充分的保护水平” [17] 。
后者在实践中有许多国家加以实施,比如中国就是其中的一员。有学者将这两类模式分为成为国家间接参与模式与直接参与模式 [11] ,因为前面提到的欧盟采取的数据保护模式并不需要国家的全程参与,只需要判断数据接收方对于数据的保护能力是否能够达到欧盟制定的标准,而这一步并不需要在数据流动的过程中进行,因此国家只需要间接参与;而直接参与模式在于,一旦需要涉及到数据的流动,必须要有国家的审批,因此国家必须参与到整个数据流动的过程中,而这一模式比较直接的手段就是限定数据必须存储在本地,并且严格限制数据的跨境流动。中国的《网络安全法》第37条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”这一法条即规定了关键信息基础设施数据的本地化要求,也正因为此许多跨国公司在我国提供数据存储功能的服务器不得不转到我国境内,而美国苹果公司的iCloud数据转而存到位于贵州的数据中心正是源于此 [19] 。
不可避免的是,以上两种模式都面临着一个问题,即在保证了安全性的前提下,对于数据流动的控制确实会导致效率低下与经济效益降低的情形出现。虽然在上述关于数据主权论与数据主权的否定论的合理性批判过程中,笔者毫不犹豫地处于安全性的考量而选择了数据主权论,并且驳斥了诸如数据自由论中所说的必须以经济利益优先的观点,但是笔者也不得不承认,经济发展是一个绕不开的话题,正如俄罗斯因为对于数据本地化的严苛要求而导致诸多跨国公司选择离开该国市场反而导致本土的互联网公司失去了与一流跨国互联网公司学习竞争的机会而拖慢了行业进步的这个例子 [20] ,必须承认的是,在政策的取舍上如果过于死板严苛,很有可能反而得不偿失。
(二) 数据主权的域外延伸问题
上一节提及的内容实质涉及到了关于数据主权对内实践的限度问题,如果过于严苛可能导致经济的不利发展;那么同时,数据主权对外实践也有可能遇到一些问题,而较为有代表性的应当就是经济主权的域外延伸问题。
以欧盟与美国为例。前述提及的欧盟在《条例》明确了成员国将数据传输到第三方的一个必须要件是第三方必须能够提供充足的信息保护,而有学者认为这一规定使得欧盟能够在与第三方谈判时拥有重要筹码,实质上是通过这种方式增加自己在“数据市场的话语权”,是一种数据主权的域外延伸 [19] 。而美国的《澄清域外合法使用数据法案》能够更加明显地体现出当局者对于数据主权域外延伸的意图,这一法案实施后,一方面美国赋予本国权限从世界调取各种数据,另一方面也防止了数据轻易流入外国——美国人或在美国境内的个人数据,必须经过美国国内的司法程序才有可能被外国政府所调取 [21] ,可以说这个设计既保证了对于数据流动的控制,也更加赋予了美国获取他国数据的“合理”理由,无疑是直接表明了美国在数据领域占据控制地位的意图。
这自然是我们需要注意防范的问题,因此在制度设计上我们也更加需要防范外国对我国信息的获取,在这方面必须始终重视监管。但同时关于数据主权的域外适用也引发了笔者的一些思考,那就是在某些情形下可能不得不要求获取在他国的数据。比如关于国际税法中双重征税与逃避税等问题,如果不能实现对于他国数据的简单获取,那么积极缴税的跨境人士可能无法避免被多重征税,而有能力进行税收筹划的跨国公司则很有可能继续实现低税甚至是无税的悠哉生活,这一问题反映的其实就是在这数据重要性时代,当跨境活动愈发频繁,整个国际社会应当如何面对的问题。正如面对前述所提及的国际税法问题那样,OECD提出了解决方式——促进数据信息的自动交换——一样,笔者认为在面临需要获取或向第三方提供数据的情形,仍是需要推动数据的积极跨境流动的。当然,在此必须阐明的是,这种跨境数据的获取方式绝对不是像美国的《澄清域外合法使用数据法案》那般倡导的数据主权的域外延伸,而是应当以国际法所推崇的国际协商与合作,通过双边或多边协商或是组织的形式来实现数据的自动交换并实行有效管理,从长远来看,这需要各国的通力合作与积极响应。
5. 结语
总体而言,数据主权理论因其内在的合理性而成为在大数据时代主权理论的延伸,这一合理性既体现在实践上也体现在法理上。特别地,从各国在数据主权理论的实践上来看,尽管某些国家就对于数据主权论的观点的对外表达上表现出了否定的态度,但是这些国家的实践中都表明了数据主权内在所包含的对于数据流动安全性问题的担忧与策略安排,这一定情况下反映了这些国家在数据领域实现控制地位的实际想法,实质已经与政治考量相关。在这种态势下,中国应当始终积极寻求解决措施,以防范因数据主权域外延伸而导致我国公民的个人信息泄露问题,以及可能影响到国家层面的安全问题。与此同时,我国也应当积极推进必要的跨境数据交流,并思考如何在保证数据安全的情况下,通过国际协商与合作,实现必要数据的自动获取。不论是在防范风险还是在积极寻求合作的过程,对于我们来说始终都会是严峻的考验。
NOTES
1中华人民共和国国家互联网信息办公室:《网络空间国际合作战略》,网址:http://www.cac.gov.cn/2017-03/01/c_1120552617.htm. 最后访问日期:2023年8月4日。
2Public Safety Canada website, https://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/archive-cbr-scrt-strtgy/archive-cbr-scrt-strtgy-eng.pdf, last accessed on 22 June 2023.