设为首页  |  加入收藏
 首页 | j9·九游会游戏中国官方网站 | 教学工作 | 科学研究 | 党建工作 | 学团工作 | 招生就业 | 校友专区 | 知识产权 | 下载中心 
站内搜索:
 
  下载中心  
 
 教师管理规定 
 学生管理规定 
 法学资源库 
 法律案例库 
 
  法学资源库
当前位置: 首页 > 下载中心 > 法学资源库 > 正文
 
数据主权规则建设的模式与借鉴
2022年03月29日 19:47      浏览:



数据主权规则建设的模式与借鉴


———兼论中国数据主权的规则构建


张晓君

( 西南政法大 401120)


: 数据是大据时代重要的国家战略资数据主权是国家主权在网络空心表关系到数据安数字鸿个人隐是国家安全和发展的核心利益 年来欧盟与美国都在数据主权方面开展新的规则建欧盟以数据保护为核心出台  通用数据保护条例重新建立了与美国之间处理数据保护的规则框进一步强化  对数据主权的保护美国则澄清域外合法使用数据法确立以数据自由为  心的数据主权规则但实质是单边主义和霸权主义在数据主权问题上的延中国  欧盟和美国数据主权规则建设差异性基础之以主权平合作共治为原以网  命运共同体理念为指导构建符合我国数据要兼顾各国利益的数据主权规推动  球数字经济全面健康发展

关键词: 数据主权; 数据安全; 数据保护; 数据自由


随着互联网的深入发展网络运行过程中形成的数据体量日益庞大与数据存储相关的大数  ”“云计算等成为各国互联网发展进程中重点关注的领域数据的获取和利用关乎个人信息保 企业经营发展更关乎国家利益近年来各国之间的数据纠纷愈发激烈其核心在于对数据资 源的合理占有与有效利用国家是否对网络数据享有主权国家应该怎样合理地行使此类主权? 网络数据是指通过网络收集存储传输处理和产生的各种电子数据目前数据存储方式发生了


收稿日期: 2020 08 30

基金项目: 2019 年度教育部哲学社会科学研究重大课题攻关项目一带一路沿线国家投资风险监测预警体系研究( 19JZD053)

作者简介: 张晓君( 1969) ,云南永德人西南政法大学国际j9·九游会游戏中国官方网站教授法学博士

致谢: 感谢上海对外经贸大学董静然副教授对本文的协助

① 参见曹磊: 网络空间的数据权研究》,国际观察2013 年第 1 58

②  参见中华人民共和国网络安全法 76 条第 4 也有外国学者从三个方面界定数据的概念:  (  1) 数据是被用作推理讨论及计算基础的事实信息; ( 2) 数据是被相关设备传输出来的包括有用的信息和需要处理加工的无用信息; ( 3) 数据是数字形态的信息够被数字化传输和处理参见 Myra F DinData without Borders: esolving Extraterritorial Data Disputes26 Journal of Transnational 142 43( 2016)


较大变化数据存储从当地的存储器逐渐转变为全球数据库的远程存储甚至有大量的数据存储在

( cloud)

数据主权源于网络主权是国家主权在大数据时代的核心表现①    数据主权表现为国家对本国数据与本国国民数据的所有权控制权管辖权与使用权②    数据主权对内体现了国家对数据的最高管辖权对外体现了国家在网络数据上的独立自主权与合作权③    广义的数据主权包括国家的数据主权与个人的数据主权有学者认为全球化给国家主权以新的发展和启示: 在全球化背景下 国家主权表现了国家对其公民利益的关心这让公民的个人权利逐渐开始与国际社会产生互动

美国和欧盟在数据主权领域的规制措施呈现出了不同的特点2018 2 美国通过了澄清域外合法使用数据法案( Clarifying Lawful Overseas Use of Data Act) 该法案亦被称作云法案 ( Cloud Act) 2018 5 欧盟的通用数据保护条例( General Data Protection egulation) 正式生效实施⑧   这两项规制措施代表了美国与欧盟在数据主权领域不同的态度与选择本文以构建数据主权发展战略为命题比较分析美国与欧盟的数据主权规制措施进而提出符合中国发展要求  的数据主权规则


数据主权的法理基础与核心要素


在网络数据领域国家享有主权2017 我国外交部和国家互联网信息办公室发布网络空间国际合作战略》,明确了主权原则对网络空间的适用鉴于数据领域与网络空间的交叉与重合 为数据主权打下了良好基础网络空间具有可规制性因为用户的认证”、统一技术标准下的 ”、计算机与万维网之间的互联互通为网络空间的规制提供了可能性⑨   同样数据也存在可规制面对数据自由与数据保护两大核心要素不同国家有不同侧重

( ) 国家主权原则对数据主权的适用

国家主权赋予一国在其领土范围内完全的排他的权力在独立国家之间国家主权是国际关 系最为本质的基础瑏   数据是无形的但是数据具有一定的物理属性网络数据存储器和基础设施通常放置在一国境内存储器通常由国家或公司所有同时数据也需要国家电网和电缆等基础设










瑏

( 2013)

参见肖冬梅文禹衡: 数据权谱系论纲》,湘潭大学学报( 哲学社会科学版) 2015 年第 6 71 参见杜雁芸: 大数据时代国家数据主权问题研究》,国际观察2016 年第 3 7

参见孙南翔张晓君: 论数据主权———基于虚拟空间博弈与合作的考察》,太平洋学报2015 年第 2 64 参见蔡翠红: 云时代数据主权概念及其运用前景》,现代国际关系2013 年第 12 59

参见 Helen Stacyelational Sovereignty55 Stanford Law eview 20292044 2045( 2003)

参见 Clarifying Lawful Overseas Use of Data Actas part of the Consolidated Appropriations Act2018 Pub L 115 141

参见 Clarifying Lawful Overseas Use of Data ActSection 1 Short Title

参见 EU General Data Protection egulationArticle 84 2

参见张新宝许可: 网络空间主权的治理模式及其制度构建》,中国社会科学2016 年第 8 142

参见 Wolff Heintschel von HeineggTerritorial Sovereignty and Neutrality in Cyberspace89 International Law Studies 123123 124


137





施进行传输网络数据的全球治理并非对国家主权原则的放弃①   暂时的技术难题也不会真正阻止国家通过国家主权原则管理其境内的网络数据及基础设施其他国家也不应干涉他国境内的网 络数据基础设施②   国家主权原则在数据主权上的适用包括在一国领土范围内的数据存储设备据存储设备可以在一国的领水领陆领空范围内基于此若他国侵犯干涉非法获取不正当使 用在一国境内的数据及数据存储设备就将构成对该国主权的侵犯

国家对数据主权的管辖权应该理解为国家使用法定权力裁决某项行为是否构成对该国数据 的侵犯”。按照属人原则一国国民在该国领土范围之外侵犯该国数据主权的行为也在该国管辖 权范围之内如果某项侵犯数据主权的行为发生在一国领土之外就需要适用效果原则”( effects doctrine) 进行判断欧盟法院对此有过系统的阐释就某国对案件的管辖权基于领土而言有两个不同的原则: 其一主观领土原则即一国可以管辖源于其本国的行为即使其完成在国外; 其二观领土原则即一国可以管辖源于国外但是完成在其领土范围内的行为效果原则实际上承认国 家对没有发生在其领土范围内的行为行使管辖权③   国家有义务阻止发生在其领土范围内侵犯他国数据主权的行为具体而言国家的此项义务包括调查起诉侵犯数据主权的主体与数据主权 被侵害的主体相互合作等④   国家在其领土范围内更进一步的义务是尊重他国的数据主权维护网络数据的稳定性维护网络数据的安全性等网络数据的稳定性要求主权国家不应肆意干涉在其 领土内的网络数据基础设施与其他国家之间的互联互通维护网络数据的安全性要求国家保护网 络数据基础设施确保其免受攻击和滥用

( ) 云数据的可规制性

云计算和大数据给数据存储带来极大的变革由此带来最为突出的问题即是云数据的主权归属问题如果数据存储在诸如苹果公司的 iCloud 或者百度云盘该领域完全不同于传统领土数据的归属应该如何判断?  因为该领域并没有明确的地域界限并且数据能够迅速移动数据可能被拆分成不同的部分从而进入不同的司法管辖范围; 同时该数据还可能与其他数据有密切联系从而给判定其主权归属造成更大的困难⑤   但是即便是在上的数据也并非不可规制

首先数据的无形特点并非新问题数据的无形会增加规制难度无形的特征并非 数据独有法院已经对其他无形财产如股权债权知识产权等积累了丰富的司法实践经验⑥   商标权就是以其产生地或注册地作为判断其国籍属性的依据股权则以股东所在国为主判断其 国籍以方便该国在股权转让时收取税收美国对外关系法重述( 第三次) 认为无形资产根据



实现目标的不同会产生不同的地域属性在某些目标下存在没有地域属性的可能数据与无形资产有着许多相似性针对数据的无形特征法院有大量的经验来判断其地域归属或虚构地域归 或是忽视地域归属从而直接以其他理由进行司法管辖

其次数据的移动性不能阻止其地域归属的判断数据以极快的速度转移确实对地域归属判 断造成了困难但是移动性强也并非数据独有的特点例如金钱也可以从某一地点迅速转移到 另一地点法院依然可以判断其对金钱的司法管辖权虽然数据存在不同于金钱债权的特征 数据可以同一时间在多个地点进行存储和复制但这并不能改变数据归属或法院司法管辖权问题 分析的实质

最后数据的可分性与可替代性可以实现对其地域的判定用户的数据可能同时由不同地域 的服务者提供服务但是可分性特点同样也非网络数据所独有尽管数据具有可分性与可替代 但人们关心的只是数据所组合形成的表现形式如图片文稿音频视频等举例来说用户将 一百元存入银行后该用户并不会期待这一百元一直以固定的形式存在只关心能取回一百元的本 金及其产生的利息因为货币具有可替代性数据的规制亦然

综上数据的无形性移动性与可分性并不会对判断数据的地域归属形成实质性障碍

( ) 数据保护与数据自由两大核心要素

对于互联网技术发达数字贸易量巨大的美国而言数据的自由化更为重要美国需要获取世  界各国的各种数据为其政治经济安全等决策与制度设计提供支持欧盟及其他国家更强调数  据保护的重要意义以保障其数据保护措施的正当性当然数据保护并不等同于数据保护主义 数据保护是为了实现国家对数据流动的规制从而采取的合理限制措施; 数据保护主义则是否定数据自由流动拒绝国家之间数据的正常自由交流④    在美国的数据威胁背景下部分国家开始采取措施限制数据在全球范围内的自由流动例如金砖国家就曾希望建立一个区域内的网络体系 以阻止美国对互联网的干预

数据主权不仅包括国家数据主权还包括个人数据主权⑥   个人数据主权是公民因履行数据采集义务而获得的数据使用权包括用户对数据的自决权和自我控制权涵盖个人隐私权生命财产 的数据保护公民在国际社会中的数据保护等内容个人数据主权需要在国家数据主权框架和范 围内运行以获取有效保障国家数据主权是个人数据主权的前提和基础个人数据主权反过来支



139




撑和落实国家数据主权①   就个人的数据主权来说数据隐私权是其中较为重要的部分在隐私权方面欧盟与美国的法律呈现出不同的特点欧盟的隐私法更关注保护尊严”,而美国的隐私法更 强调保护自由”。《欧盟基本权利宪章指出: 每个公民的个人数据都有受到保护的权利并且每个公民都有权获取纠正其个人信息欧洲联盟运行条约规定: 每个人都有权保护其个人数美国的隐私更加强调对自由的保护尤其强调国家不应干涉个人的自由 欧盟与美国的个人数据主权理念同样呈现出数据保护与数据自由的差异

数据自由与数据保护两种理念的博弈类似于贸易自由与贸易安全的关系在数据主权领域 要平衡数据自由与数据保护之间的关系这两种要素没有孰优孰劣之分都是数据主权发展的核 心要素构建全球化数据主权规则本质上需要在这二者之间寻求平衡


数据主权的欧盟模式: 数据保护为核心


( ) 隐私护盾制度对安全港制度的升级

欧盟 1995 年的数据保护条例鼓励数据在得到当地法律或与外国公司合同安排的保护下以自由地传输到国外随后欧盟发现美国并没有为欧盟公民的个人数据隐私提供足够的保护 所以欧盟禁止个人数据传输到美国 考虑到与美国信息交换涉及的庞大体量2000 美国与欧盟同意建立数据的安全港制度: 在美国遵守数据保护标准并接受联邦贸易委员会监督的条件下欧盟允许数据传输到美国的公司⑦   该制度允许欧盟的个人数据在美国公司或组织满足通知安全数据完整性等方面要求的情况下传输到美国

2015 欧洲法院认为安全港制度缺乏对欧盟公民数据基本权利保护的法律补救措施由于美国确认安全港制度的遵守情形使得该制度缺乏合适的执行机制和问责机制所以欧盟开始寻求对数据保护制度的改革 随后欧盟数据保护机构( EU Data Protection Authorities) 不再依据安全港制度规制美国与欧盟之间的数据传输2016 欧盟委员会宣布隐私护盾( privacy shield) 制度将替代之前的安全港制度相比于安全港,“隐私护盾制度对透明度和规则遵守的监督有着更高的要求①   

 其一对公司的保护义务要求更趋严格该制度包含了有效的监管机制以确保公司遵守数据保护的相关义务  对美国政府获取数据的防御和透明度要求隐私护盾制度中美国政府首次书面承诺,“  何以国家安全为目的获取欧盟公共机构数据或个人数据都必须有清晰的限制防卫和监管机制”。同时美国承诺通过独立的监察专员机制( ombudsman mechanism) 为欧盟建立一个国家数据领域的救济机构其三构建了数据保护争议解决机制该制度要求数据保护争议应在 45 天之内解决同时当数据保护争议未得到合理有效解决时欧盟公民有权要求本国的数据保护机构与美国商务  部和联邦贸易委员会一起解决争议其四设置年度联合审查机制欧盟委员会将联合美国商务  部一起评估审核隐私护盾制度的执行情况②    隐私护盾制度的内容可以发现欧盟数据主权制度设计总体上是围绕着如何实现数据保护进行的尤其强调对欧盟个人数据主权的捍卫这也  体现了欧盟维护公民数据尊严的基本理念。“隐私护盾制度可以说是安全港制度在数据保  护基础上的升级进一步维护了欧盟数据主权强化了美国对欧盟数据主权的尊重

( ) 通用数据保护条例的特点

欧盟 2016 通用数据保护条例替代了 1995 数据保护条例》。《通用数据保护条例在满足一定约束性规定和数据保护条款基础之上才允许数据传输到欧盟之外的国家和地区 并禁止将欧盟数据传输给有权掌握欧盟个人数据的国家③   保护自然人的个人数据是每个公民的基本权利保护个人数据权利应该尊重公民的基本权利和自由通用数据保护条例在数据的  自由流动方面的规定主要是指在欧盟成员之间数据的自由流动⑤     与之前的数据保护条例相比,《通用数据保护条例主要存在以下几方面的差异:

首先适用范围更广适用于所有与欧盟公民相关的数据不论该数据是否实际上产生或运行 在欧盟范围内⑥   有观点认为,《通用数据保护条例规定的欧盟数据隐私法律域外适用将对国际数据流动产生重大影响并且将会事实上使通用数据保护条例成为一种全球标准⑦   通用数据保护条例为数据传输行为本身提出了系统的要求还规定任何第三国的法庭行政机构只能通过 国际协定或法律援助协定向欧盟提出公开数据的请求

其次拓宽了数据种类的范围这意味着公司想要获取相关数据需要在更为广泛的层面上获





参见 Morgan A CorleyThe Need for an Convention on Data Privacy: Taking a Cue from the CISG41 Brooklyn Journal of International

Law 721,721 723( 2016)

参见 European CommissionEU U S Privacy Shield: Frequently Asked QuestionsFeb 292016http: / / europa eu / rapid / press

release_MEMO 16 434_en htm

参见 egulation ( EU) 2016 /679 of the European Parliament and of the Council of 27 April 2016on the Protection of Natural Persons

with egard to the Processing of personal Data and on the Free Movement of Such Dataand epealing Directive 95 /46 / EC ( General Data Protection egulation) paras 42 43

参见 EU General Data Protection egulationPreamble para 2

参见 EU General Data Protection egulationArticle 1 3

参见 EU General Data Protection egulationArticle 3

参见 Allison Callahan SlaughterLipstick on a Pig: The Future of Transnational Data Flow between the EU and the United States25

Tulane Journal of International and Comparative Law 239249 253( 2016)


参见 EU General Data Protection egulationArticle 48


141



得数据主体的同意。《通用数据保护条例进一步要求这种同意必须是数据主体明确准确的表不能是暗示的表达 赋予个人一项新的权利即数据的被遗忘权( right to be forgotten) 也叫数据消除权( right to erasure) 被遗忘权是指数据主体在满足一定条件下有权从数据控制器或数据管理者处获得没有延迟的消除个人数据信息的权利被遗忘权以个人信息自治为基础 进一步拓宽了个人数据权利体现了较高水平的个人数据权利保护

再次细化了数据控制者与数据处理者的责任通用数据保护条例云服务提供者作为     数据控制者将被要求遵守一系列新的具体义务包括保留其处理数据活动中的文件实施适当的安      全标准执行例行的数据保护评价体系遵守国际数据传输规则等④          云服务提供者作为数据处理者需要遵守数据保护的规定同时数据处理者需要与数据控制者达成有约束力的合同如果数      据处理者没有依据数据控制者的说明和指令来处理数据该数据处理者将被视为数据控制者并承      数据控制者的相关责任在处理数据之前处理者有义务通知数据控制者等主体⑤          关于两个及两个以上数据控制者即联合控制者( joint controllers) 的责任分配问题无论数据联合控制者内部如何安排对外每个控制者都将就全部损害承担责任

最后确立违反数据保护规则的补偿及惩罚机制。《通用数据保护条例要求在欧盟成员之间 建立起违反规则后的对等惩罚机制( equivalent sanctions) 。例如西班牙数据保护机构 2013 年对Google 处罚 90 万欧元随后荷兰德国比利时法国意大利西班牙联合调查 Facebook 公司的数据保护遵守情况法国的数据保护机构———国家信息与自由委员会( National Commission on Informatics and Liberty) 2016 年对 Google 没有遵守数据移除规则的行为罚款 10 万欧元同年 Facebook 限期改变其搜集和使用数据新消息的方式并罚款 15 万欧元

( ) 通用数据保护条例对中国数据保护的启示

欧盟的数据主权重点在于数据的保护欧盟在通用数据保护条例中将之前的隐私权集中表 述为个人数据保护权这种做法一方面拓展了数据保护的范围给予个人数据普遍法律保护另一 方面提升了保护水平强调了事前主动防范

2017 年生效的中华人民共和国网络安全法( 以下简称网络安全法) 初步建立了用户信息保护制度要求网络运营者不得泄露篡改毁损个人信息确保个人信息的安全; 中华人民共和国数据安全法( 草案) ( 以下简称数据安全法( 草案) ) 从数据安全与发展数据安全保护义务政务









参见 EU General Data Protection egulationPreamble 32 and Article 9

参见 EU General Data Protection egulationArticle 17

参见刘文杰: 被遗忘权: 传统元素新语境与利益衡量》,法学研究2018 年第 2 24 40

参见 EU General Data Protection egulationArticle 30Article 32 and Article 35

参见 EU General Data Protection egulationArticle 28

参见 EU General Data Protection egulationArticle 26

参见 EU General Data Protection egulationPreamble para 11

 Samantha CutlerThe Face Off between Data Privacy and Discovery: Why U S Courts Should espect EU Data Privacy Law When

Considering the Production of Protected Information59 Boston College Law eview 15131521 1523( 2018)


142

参见刘泽刚: 欧盟个人数据保护的后隐私权变革》,华东政法大学学报2018 年第 4 59



数据安全与开放等方面保障数据安全①   相较于欧盟对于数据保护的相关规则中国的数据保护可从以下三个方面进行完善: 其一扩大数据保护的范围。《网络安全法更多以国内法的性质对数据保护进行规定并没有强调域外的数据保护也未涉及与第三国数据的合作与协调问题。《数据安 全法( 草案) 明确在中华人民共和国境内开展的数据活动予以适用境外的数据活动以损害中国国家安全公共利益或者公民组织的合法权益为条件因此可借鉴欧盟的域外数据保护措施扩大 数据保护范围并加强与第三国在数据保护领域的合作等其二适度强化个人对数据信息的控制 。《网络安全法对网络运营者处理使用个人信息进行了规范但是该法并没有从数据的所有 者即公民自身对数据信息的控制权进行规则设置,《数据安全法( 草案) 主要从国家层面强调数据保护欧盟的通用数据保护条例不仅强调数据主体还赋予数据主体数据被遗忘权”。中国的 数据主权规则有必要在该方面借鉴欧盟路径进一步延伸个人数据权利保护的维度其三明晰数 据主体的责任分配。《网络安全法主要将责任主体限定为网络运营者,《数据安全法( 草案) 更强调数据处理者的数据安全保护义务②   欧盟将责任主体细分为数据控制者与数据处理者并对多个数据控制者如何进行责任分配进行了详细规定这些做法都值得借鉴


数据主权的美国模式: 数据自由为核心


( ) 澄清域外合法使用数据法案对数据自由的支撑

2013 美国纽约南区地方法院签发搜查令搜查了微软公司电子邮件账户储存的数据该搜查令涉及的用户数据并没有储存在美国境内而是储存在位于爱尔兰的数据中心微软公司认为美国的存储通信法案( Stored Communication Act) 作为电子通信隐私法( Electronic Communications Privacy Act) 的一部分并没有域外适用的效力所以美国法院无权签发该搜查令2014 美国联邦地方法院支持了纽约南区地方法院的判决微软公司将此案上诉至联邦第二巡回上诉法院该法院支持了微软公司的主张认为存储通信法案并没有明确规定该法可以适用于 境外此案推动了美国修改存储通信法案电子通信隐私法的进程

2018 美国通过了澄清域外合法使用数据法案( Clarifying Lawful Overseas Use of Data Act以下简称云法案) 为解决美国政府诉微软公司案中所体现的获取域外数据合法性问题

云法案扩大了美国法律的适用范围。《云法案要求电子通信服务或远程计算服务的供应商遵守 本法关于保留备份公开电子通信内容记录以及其他与消费者相关的信息之规定无论该信息是 在美国境内还是美国境外云法案中也增加了让步性安排: 其一在外国的数据信息公开会违





①  参见中华人民共和国网络安全法 40 42

②  参见中华人民共和国网络安全法 61 61

参见 Andrew Keane WoodsAgainst Data Exceptionalism68 Stanford Law eview 729731( 2016)

参见 Clarifying Lawful Overseas Use of Data Actas part of the Consolidated Appropriations Act2018 Pub L 115 141

143



反该国法律; 其二基于整体的司法公正考虑; 其三用户不是美国公民且不居住在美国基于这三类情况美国法院应修改或撤销该法律程序。《云法案仅适用于美国的公司且主要针对电子通 信服务提供商和远程计算服务提供商②   但是由于前述这些所谓的让步性规定都是由美国法院予以适用实践中是否能切实尊重其他国家的数据主权仍然是不确定的美国这种单边的缺乏 与其他国家公平合作的数据安排也许难以实现真正的主权平等和数据主权规则的公正合理

云法案将外国政府调取存储在美国的相关数据也纳入调整范围③    一方面外国政府调取存储在美国的数据需要满足一定的条件: ( 1) 外国政府是否有足够的关于网络犯罪和电子证据的实体法和程序法是否加入了布达佩斯网络犯罪公约》,以及外国政府的国内法是否与云法案的第一  章和第二章规则相一致; ( 2) 外国政府是否尊重法律规则和非歧视原则; ( 3) 外国政府是否遵守国际人权义务和承诺; ( 4) 外国政府是否有清晰的法律强制和程序措施来规制其国内实体的数据搜集保留使用和分享活动并且对这些与数据相关的活动进行有效监管; ( 5) 外国政府是否有足够的机制来对电子数据的使用提供有责任的适当的透明度规则; ( 6) 外国政府是否对促进和保护信息的数据流动以及互联网开放分布互联互通的本质作出承诺; ( 7) 外国政府是否采取了合适的程序来最小化对美国人信息的获取保留和传播另一方面在外国政府满足前述条件之后要调取美  的数据送达行政命令还需要满足其他要求: ( 1) 外国政府不能有意地直接对美国人或位于美国境内的人发布行政命令而是要满足目标程序要求; ( 2) 如果外国政府以获得关于美国人和位于美国境内的人的信息为目的则不能直接对美国境外的非美国人发布调取数据的行政命令; ( 3) 外国政府不能以为美国政府或第三国政府获得信息为由发布行政命令也不能以与美国政府或第三  政府分享信息为由发布行政命令; ( 4) 外国政府发布调取数据的行政命令应该以获取与预防检测调查或起诉犯罪恐怖活动相关信息为目的外国政府的行政命令要基于可靠的事实情况接受  法院法官或其他独立机构的监督; ( 5) 外国政府发布的行政命令不得用于侵犯言论自由; ( 6) 外国政府应该及时审查搜集到的材料并且将未经审核的材料存入安全系统仅对专业人士开放; ( 7) 外国政府应该对数据信息给美国人带来的消极影响达到最小化尽最大努力; ( 8) 外国政府不应将获取的美国人的数据传输给美国政府除非该数据会威胁美国的国家安全经济安全或其他重要的国家  利益; ( 9) 外国政府应该提供互惠的数据准入权利; ( 10) 外国政府应定期审查遵守本法案的情况;

( 11) 对美国政府认为不恰当的外国政府行政命令美国政府保留不适用本法案的权利

云法案对美国调取域外数据与外国调取美国数据相比无论从规则的严苛程度还是




在判断司法公正性时,《云法案规定了礼让分析( comity analysis) 应当考虑的要素: ( 1) 美国的利益包括政府主体获取信息

公开的调查利益; ( 2) 具备主体资格的外国政府在禁止信息公开中所获得的利益; ( 3) 对数据服务提供者或其雇员不遵守法律采取处罚措施的可能性程度和实质; ( 4) 顾客所处的地点和国家以及顾客与美国的联系本质及程度; ( 5) 数据信息提供者与美国联系的本质与程; ( 6) 需要被公开的信息的重要性; ( 7) 产生较低消极影响而及时有效获取公开信息的方式参见 Clarifying Lawful Overseas Use of Data ActSection 3 Preservation of ecords; Comity Analysis of Legal Process § 2713

参见 Clarifying Lawful Overseas Use of Data ActSection 3 Preservation of ecords; Comity Analysis of Legal Process § 2713

参见 Clarifying Lawful Overseas Use of Data ActSection 5 Executive Agreements on Access to Data by Foreign Governments § 2523

这些尊重人权义务包括: 其一保护隐私免受肆意和非法干涉; 其二公平的审判权; 其三自由表达与和平集会权; 其四禁止武

断地逮捕和拘留; 其五禁止折磨残酷非人道的待遇和惩罚参见 Clarifying Lawful Overseas Use of Data ActSection 5 Executive Agreements on Access to Data by Foreign Governments § 2523

144




自由裁量权的程度等都存在着极大的差异:  一方面美国获取域外数据与外国获取美国数据在难易程度上存在差异。《云法案以美国获取域外数据为原则以限制美国获取域外数据为例外即仅有  三类情况可以限制美国获取域外数据但是外国想要获取美国数据要满足十一项条件任何国家  恐怕都很难同时满足如此繁复的条件并且外国想要调取美国的数据在对象上也有严格的限制 若想要调取美国人的数据更是十分困难另一方面无论是限制美国获取域外数据或是限制外  国获取美国数据,《云法案都授予了美国极大的自由裁量权这体现了对其他国家数据主权的不  尊重是单边主义和以美国为中心的表现

( ) 美国数据自由规则对中国的启示

尽管美国的数据保护规则以促进数据自由流动的理念为核心但是美国也并未置数据保护于  不顾相反美国是单方强调他国数据的自由流动对其本国的数据则采取严格的保护措施我国  不应采取这种单边和霸权的做法但是美国的数据保护措施以及与第三国之间数据自由流动的安排仍有一些经验和路径可供借鉴首先在数据自由流动方面中国需要建立起公平合理的域外数据调取机制。《云法案扩大了美国相关法律的适用范围无疑加剧了美国与数据存储地国家之间的数据主权冲突尽管有一系列的让步安排这些让步安排的条件是否满足最终是否能够否认美国对数据的司法管辖权其裁决权仍然在美国法院手中针对主权国家拒绝提供数据的情形,包括外国的数据信息公开是否违反该国法律是否有违司法公正等不应该由进行数据调取的国家来判断和决定由此中国可考虑建设双边或者多边数据调取裁决机构其次允许外国政府或个人请求调取存储在中国的数据中国对存储在国内的数据享有数据主权可以借鉴美国的审核机包括考察外国主体对数据信息的保护机制外国主体调取信息的目的我国与该国是否有调取信息的互惠合作安排等最后中国可以在平衡数据保护与数据自由的过程中采取基本原则加例外条款的模式例如美国以禁止数据本地化为原则但规定了例外情形这种模式更可能在各国之间达成一致意见有利于我国与其他国家开展数据主权方面的合作


中国方案: 数据主权规则的构建


( ) 数据主权规则构建的原则

中国数据主权的规则构建既要维护我国利益又要兼顾他国合理关切; 既要符合我国法律传又要遵守国际法基本原则具体而言数据主权规则的构建需要遵循以下原则:

第一坚持主权独立与平等主权原则适用于网络空间和数据领域已经获得较广范围的认同 但是数据保护与数据自由平衡的要求需要不断提升对数据主权的认知和适应能力数据领域的  虚拟性无界性开放性等特点决定了数据主权对传统主权绝对性不可分性的突破习近平主席  指出: “《联合国宪章确立的主权平等原则是当代国际关系的基本准则覆盖国与国交往各个领域



参见彭岳: 数据本地化措施的贸易规则问题研究》,环球法律评论2018 年第 2 186 189


145




其原则和精神也应该适用于网络空间国际社会应该尊重每个国家自主的数据主权发展战略每个国家平等地参与到数据主权国际规则构建的合作中来数据主权不仅需要重申主权独立 需要在主权平等的基础上倡导多边参与多方参与平等参与的共同治理模式②   根据权利义务相统一的基本逻辑大国在获得事实上所谓特权的同时理应承担要求更高的特殊义务③   平等地享有数据主权无关国家强弱和数据技术水平高低每个国家都可依法对其数据进行规制和安全 保护

美国的对外关系法重述( 第三次) 列举了一国管辖权确定的五个标准: 其一行为发生在该国境内; 其二人或物在该国境内; 其三域外行为在该国领域内产生了实质性影响; 其四该国国民的行为; 其五域外行为与该国的国家安全或国家利益发生直接冲突借鉴此标准在判断云数据管辖权问题上也有五个相关标准:  其一数据所在地尽管数据是无形的但数据存储器以及相关数据驱动器具有物理形态在某国境内的这些数据存储器及驱动器该国对其应享有主权⑥    其二与数据相关的损害情形发生地若外国主体在境外对本国的数据安全造成损害该国就有权对  损害行为相关的数据行使管辖权其三与数据相关的嫌疑人经常居住地或国籍所在地其四  数据相关的受害人经常居住地或受害人国籍所在地其五数据控制者经常居住地或国籍所在地 因此国家可以依据前述要素和标准来确定其对数据的司法管辖权总体而言国家在数据问题上  拥有较为宽泛的规制权只要数据或数据产生的影响发生在一国境内或者对该国( 该国公民) 产生实质影响国家就可以行使对数据的管辖权

第二遵循合作共治习近平主席在第二届世界互联网大会上提出构建网络空间命运共同体 的倡议指出网络空间命运共同体要以促进网络共同繁荣推动全球数字经济发展构建各方普遍 接受的网络空间国际规则为目标以坚持多边参与反映大多数国家意愿和利益为基础⑧   我国的数据主权发展战略和规则建设作为网络空间治理的重要组成部分需要坚持网络空间命运共同体 的基本理念和重要内涵以开放平等的姿态参与到国际社会共同治理中去对网络数据的规制更 需要多国的共同合作数据治理合作需要实现权利与义务相统一网络数据技术相对发达的国家可 以承担更多的责任和义务来完善数据的国际规制且有义务帮助数据水平落后的国家完善数据治 同时网络数据的安全性问题日益凸显数据安全关乎国家利益公共利益和公民利益网络数 据国际合作是各国的共同需求具有重要的意义⑨     人类命运共同体理念是对马克思主义共同体学



参见习近平在第二届世界互联网大会开幕式上的讲话》,载人民网 2015 12 16 http: / / cpc people com cn / n1 /2015 /

1216 / c64094 27937316 html


( 2000)

参见张新宝: 尊重网络主权 发扬伙伴精神》,人民日报2018 6 4 16 参见蔡从燕: 国际法上的大国问题》,法学研究2012 年第 6 193 205

参见张新宝许可: 网络空间主权的治理模式及其制度构建》,中国社会科学2016 年第 8 154 参见 estatement of the LawThirdForeign elations Law of the United States § 402

参见 Jack L GoldsmithAgainst Cyberanarchy65 The University of Chicago Law eview 11991216 1218( 1998)

参见 Jack GoldsmithUnilateral egulation of the Internet: A Modest Defence11 European Journal of International Law 135136 139


参见习近平出席第二届世界互联网大会开幕式并发表主旨演讲》,载人民网 2015 12 17 http: / / cpc people com cn / n1 /


2015 /1217 / c64094 27938940 html


146

参见张新宝: 论网络信息安全合作的国际规则制定》,中州学刊2013 年第 10 58




说的发展也是对国际法依赖的社会基础的再认识是将中国文化融入全球治理的重要举措①   据主权规则构建需要坚持以人类命运共同体理念为指导的合作共治

( ) 数据主权规则的构建之策

我国基本的数据主权规则最初体现在网络安全法 37 条中其核心内容包含两个方面: 其一关键信息基础设施的运营者在我国境内收集的个人信息重要数据应储存在我国境内;  其二数据向境外传输需要进行安全评估②  正在审议的数据安全法( 草案) 第三章数据安全制度也集中体现了我国的数据主权规则主要从分级分类保护数据安全风险评估报告信息共享监测  预警机制应急处置机制安全审查制度出口管制反制措施等方面进行制度建设但是我国数据  主权规则仍存在着一些亟待解决的问题如缺乏以个人数据和国家数据保护为类别的分类治理机  未对商业数据跨境传输进行高水平治理数据自由前提下的长臂管辖规制不足等为此 我国可以汲取欧盟与美国数据主权规则建设的经验完善符合我国国情及国家利益的数据主权  规则

第一构建个人数据和国家数据的分类治理规则数据分类治理的重点之一就是要根据数据 的不同特点和用途对个人数据与国家数据设置不同的治理模式虽然个人数据在大数据时代具有 明显的复合性个人数据在经过处理后可能用于国家层面的服务和应用但是这不意味着个人数据 等同于国家数据从个人权利保障角度和现实生活需求出发有必要对个人数据进行不同于国家 数据的制度安排③   当然大数据时代的个人数据存在不同于以往的特点传统民法理论中私人领域与公共领域的对立在这里逐渐模糊个人数据的物理边界和公私边界不再严格数据生产本身就 具有共享性这也直接影响了个人数据治理规则的完善个人数据治理从理念上需要从个人控制 转到社会控制个人数据在一定程度上是社会的共同资源所以国家需要承担起个人数据保护的责 先肯定社会控制个人数据的理念事后再进行司法救济即由法院裁判是否侵犯个人数据 效地平衡了个人利益与社会公益保护有利于中国的个人数据得到有效保护④   另外目前我国的个人数据保护亟须精细化管理尽管中华人民共和国民法典 4 编第 6 隐私权和个人信息保对于自然人个人信息的保护和处理列明了条件和情形规定了自然人的权利信息处理者以及 国家机关和工作人员的义务但仍缺乏系统化具体化制度设计同时还存在重责任追究轻综合治 理的问题需要尽快出台个人信息保护法予以弥补一方面我国需要强化个人数据保护的基本 价值观念鼓励各类主体积极主动维护个人数据安全; 另一方面需要建立起对个人数据保护的惩治威慑机制建立起公开透明的个人数据处理机制建立多层次高标准宽严相济的治理和处罚机 而非简单地将违反国家数据安全的处罚措施移植到侵犯个人数据安全的行为上

第二完善商业数据跨境流动的规则商业数据的跨境流动安全对商业主体本身有着重要意




参见张辉: 人类命运共同体: 国际法社会基础理论的当代发展》,中国社会科学2018 年第 5 55

参见中华人民共和国网络安全法 37

个人数据信息保护的规则既需要权利义务之间的平衡又需要个人数据保护的权利与其他权利之间的平衡参见张文亮:

人数据保护立法的要义与进路》,江西社会科学2018 年第 6 173

参见高富平: 个人信息保护: 从个人控制到社会控制》,法学研究2018 年第 3 97 100

参见洪延青: 以管理为基础的规制”———对网络运营者安全保护义务的重构》,环球法律评论2016 年第 4 20 40

147



同时部分商业数据与个人数据国家数据保护密切相关目前商业数据跨境流动的安全防范  在我国网络安全法数据安全法( 草案) 中较少涉及缺乏深入和系统的规制因此我国有必要尽快加强针对商业数据跨境流动的规制:  针对与个人数据国家数据安全相关的商业数据接纳入个人数据或国家数据保护规则范畴; 若商业数据跨境流动与个人数据和国家数据保护无关 则建立专门的安全评估规则

第三提前阻断数据自由名义下的长臂管辖无论是美国的云法案还是欧盟的通用数 据保护条例》,都存在借数据自由之名行长臂管辖之实将数据管辖权延伸至域外形成挑战他国 数据主权的长臂管辖欧美的长臂管辖没有充分的国际法基础又存在对公民隐私企业管理 家数据主权的潜在威胁和侵犯有必要通过立法对长臂管辖进行阻断一方面在立法理念上  存储地模式”,将虚拟空间附着于物理空间以传统属地原则确定管辖边界同时宜设定必要 的例外情形诸如数据存储位置不确定而导致的域外适用等也为他国侵犯我国的数据主权提供反 制空间另一方面从立法源头上否认欧美等国长臂管辖条款的效力并禁止中国企业和个人遵从 损害中国合法权益的裁判更进一步为由于长臂管辖受损失的企业提供救济渠道和途径

第四推动数据主权国际合作规则建设欧盟与美国在个人数据领域从安全港制度到隐私 护盾制度的变迁都体现了双边的数据规则安排其中不仅有共同监督审核数据保护制度执行 的体系也有数据保护的争端解决合作机制我国目前并没有对如何进行双边区域或多边数据合 作形成具体规则和方案但是构建网络空间命运共同体促进网络规则构建的开放合作是我国推 进全球互联网治理体系变革的基本原则②   因此我国可借鉴欧盟数据规则的合作模式完善符合我国特点的数据主权规则可以先从双边或区域着手构建数据主权规则的合作机制从而为数据 主权规则的多边建设提出中国方案在推动国际规则建设的过程中需要把握以下原则:  数据保护是数据自由的前提和基础数据保护体系为数据自由流动保驾护航; 数据自由流动是数据的价值所在和数据保护的目标



数据主权是国家主权在网络空间的核心表现数据主权主要包括数据管理权和数据控制权 随着云计算大数据等新兴技术的发展数据已经成为经济国防等领域国家重要的基础性战略资  各国在数据领域的竞争日趋激烈数据主权事关国家总体安全是国家的核心利益之一③    管数据存在无形性移动性分散性等特点但是并非不可规制欧盟以数据保护为核心制定其数  据主权规则尤其强调对个人数据主权的保护隐私护盾制度在美国与欧盟之间建立起了有效  的数据保护监管机制和联合审查机制强化了数据保护的透明度规则并且建立起了有效的数据保





参见曹博: 跨境数据传输的立法模式与完善路径———网络安全法 37 条切入》,西南民族大学学报( 人文社会科学

) 2018 年第 9 99

参见习近平四项原则”“五点主张成全球共识》,载中华人民共和国国家互联网信息办公室官网 2016 12 29 http: / /

www cac gov cn /2016 12 /29 / c_1120209665 htm

参见数字化时代亟须捍卫数据主权》,载中华人民共和国国防部官网 2018 3 1 http: / / www mod gov cn / jmsd /2018

03 /01 / content_4805627 htm

148




护争议解决机制。《通用数据保护条例赋予个人对数据使用的同意权被遗忘权”,进一步加 强了数据责任的分配为违反数据主权规则的主体责任承担提供了更为科学的依据

美国以数据自由为核心构建数据主权规则从实质来说是针对美国调取域外数据的数据自 但对域外国家调取美国数据仍然采取了较为严苛的数据保护规则。《云法案从原则上确认了 美国调取域外数据的合法性给其他国家的数据主权造成了严重威胁。《云法案对域外国家调取 美国数据设置了极为烦琐的条件及要求且给予美国法院过多自由裁量权客观上形成了不平等的 数据主权规则

中国的数据主权规则应以主权独立平等合作为指导无论国家强弱无论其网络数据技术水  平的差异都平等地享有数据主权同时中国的数据主权规则还需要以网络空间命运共同体理念  为指导以合作共治为原则促进全球数字经济发展构建各方普遍接受的数据主权国际合作规则 欧盟与美国的数据主权规则可以给予中国提供有益的借鉴中国应该积极发掘符合数据发展情况  和国家利益的内容提出具有中国特色的数据主权国际合作方案 ML







149


 

网站声明:转载或引用本文,须注明本文出处,违者必究

 

j9·九游会游戏中国官方网站官网 广西大学 四川大学 广西科技大学 武汉大学 中山大学 桂林理工大学 西大文学院 西大j9·九游会游戏中国官方网站 北大中文系
北京师范大学 南京师范大学 广西师范大学 玉林师范学院 梧州日报 西江在线 梧州法院 中国法院网 人民网

Copyright © J9·九游会「中国」官方网站  地址:梧州市万秀区富民三路82号