返回上一页 文章阅读 登录

沈伟 冯硕:全球主义抑或本地主义:全球数据治理规则的分歧、博弈与协调

更新时间:2022-11-07 21:40:42
作者: ​沈伟   冯硕  

  

   【摘要】围绕数据的存储和跨境展开的数据治理规则博弈已成为大变局时代的重要表现。当前,各国基于各自立场分别形成了倡导数据自由流动的全球主义,和以本地化存储、数据跨境审查为特征的本地主义,从而在数据的财产属性和隐私属性之间找寻平衡。在规则层面,美欧双方更通过影响数据跨境规则的构建来贯彻各自的理念,并以双边协调到多边合作再到单边制裁的方式展开博弈。随着新兴国家的崛起,以中国为代表的后发国家纷纷入场,使得全球数据治理格局更加复杂。从中国的立场出发,我们应坚定维护网络数据主权,在全球主义和本地主义的合流中,确立以数据本地化存储为基点的数据跨境适度审查模式,并依托软法促进相关国际规则的协调。

   【关键字】全球主义;本地主义;本地化存储;数据主权;数据隐私

  

   一、引言

   当今世界正经历百年未有之大变局,新一轮科技革命和产业变革带来的新陈代谢和激烈竞争前所未有,全球治理体系与国际形势变化的不适应、不对称前所未有。[1]在新一轮的科技革命与全球治理体系调整中,数据已成为促进全球经济社会发展的核心资源。[2]近年来,美国、欧盟、中国及印度等接连对TikTok、微信、滴滴打车以及Facebook等软件展开数据调查,无疑凸显出各国对数据安全的关注。

   在这场全球数据博弈中,各国重点关注数据的存储与跨境两方面,并在过去几十年间渐趋形成了以美国为代表的全球主义和以欧盟为代表的本地主义。所谓全球主义,主要指主权国家不强制要求数据存储于本国境内并鼓励数据的自由跨境。本地主义则突出表现为以国家主权边界为限要求相关数据必须存储于本国境内,且在数据跨境的过程中国家有权介入并作出限制。随着近年来全球化的退潮,世界各国政策呈现出明显的内生性,使得民族国家体系与全球化之间的张力正在脆弱平衡中发生位移并加剧逆全球化的发展。[3]在此次逆全球化中,新兴国家力量的崛起也深刻影响着网络空间规则的形成。尤其是2021年6月出台的《中华人民共和国数据安全法》(以下简称《数据安全法》)第36条所确立的以本地化存储为基点,以条约和互惠原则为方式进行数据跨境流通,再次凸显了中国在全球主义与本地主义之间的抉择与平衡。

   本文聚焦数据治理规则,首先在理论层面对全球主义和本地主义进行分析,以明确当前各方的立场分歧。在此基础上,进一步关注数据治理规则的博弈,从双边合作到多边规则形塑再到单边制裁回潮三个层面审视当前数据规则的对垒。最后,基于中国立场,探寻身处全球数据博弈中的中国应如何选择本国的数据存储及跨境规则,并推动相关国际规则的协调。

   二、全球数据治理规则分歧的理论缘由

   互联网自上世纪中后期走出美国的实验室后,率先在西方发达国家得以普及。在互联网诞生之初,美欧便开始关注网络空间规则的构建,并在二者的推动下促使网络空间规则走向阵营化,[4]直接导致数据层面形成了美国倡导的全球主义与欧洲倡导的本地主义的分歧。

   (一)数据治理的全球主义:全球化中数据流动的商业价值

   如果说从“蒸汽时代”到“电气时代”全球化的水平还止步于物理空间的聚合,那么信息技术的发展已经让人类活动的触角达至新的维度,改变了全球化的图景。从横向来看,互联网进一步扩大了全球化的影响范围,使得世界依托互联网高速便捷的数据传输变成真正的“地球村”。[5]人类依托互联网不断地扩展在全球获取资源的广度,促进了资源全球配置。全球配置资源业务既是经济增长和效益提高的主要驱动力,也是数字经济在逻辑上的延伸。新的商业模式和商业互动取决于跨境转移数据的能力,这也是完成企业必要运作的需要。[6]从纵向来看,互联网打通了社会阶层,个体崛起与话语权提升使得全球化的参与主体已经从过去以跨国企业、国际组织和国家等大组织为主逐步转变成为以个人为主。这让个体的身份也从过去的主权国家的国民,转变为兼具主权国家背景和世界公民色彩的双重身份。尽管各国政府和政府间国际组织在全球治理中仍将一如既往地起主导作用,但这种作用正在日益被全球公民社会所共享和消解。[7]

   正是由于互联网与全球化之间的密切联系,美国作为互联网“母国”率先举起全球主义大旗,强调数据的跨境自由流动是现代商业的常态,应当在限制滥用的情况下鼓励跨境流动创造更大的商业价值。[8]

   美国在数据保护上始终秉持宪法第四修正案的基本精神和判例法传统,将数据纳入隐私权保护范畴,并通过1974年《隐私法案》等成文法加以明确。在结构上,美国采用分散立法的方式形成了“两层三类”的数据立法体例。所谓“两层”是指在联邦和州两个层级进行各自的立法,以联邦立法为主、州立法为辅。“三类”则是指立法类型可以分为以下三种类型:一是在宪法和普通法下对信息隐私权的一般保护,其中以1974年《隐私法案》为典型。二是针对特定人群进行单独立法,例如针对儿童制定《儿童网上隐私保护法》,针对通信业制定《电子通信隐私法》等。三是《联邦贸易委员会法案》从反不正当竞争角度对个人信息进行商业保护。[9]在内容上,美国基于隐私权的保护范式,极力限制公权对数据流动的干预,强调私法和行业自律在数据利益平衡中的重要性,因而存在大量的行业性文件对数据隐私进行保护。在私主体的利益平衡上,美国高度关注数据的商业价值,通过确立“公平实践和保护原则”实现数据主体与数据控制者之间的利益平衡,防止交易任何一方的绝对垄断。[10]

   美国作为互联网的缔造者和全球第一大经济体,一方面,深刻认识到数据流动在全球化中的作用,通过宪法和单行法不断限制行政权对数据规制的干预,为数据的全球流动消除公权障碍;另一方面,也通过倡导私法自治理念,推动各方基于自身利益诉求制定合理的数据流动规则,赋予私主体在保护个人权利和创造商业价值之间更大的选择权。

   (二)数据治理的本地主义:基于人权与主权的数据保护

   互联网虽诞生于美国却服务于全球,美国所倡导的全球主义并非是唯一路径。无论是从上世纪中后期欧洲的主张还是新世纪以来新兴国家的诉求而言,本地主义日益得到各方的认可,所依凭的理论基础也恰是国际法所倡导的人权保护理念。

   早在1953年颁布的《欧洲人权公约》便确立了对隐私和家庭生活尊重权利的保护,数据与隐私天然的联系也使其构成了欧洲数据保护立法的重要渊源。[11]在欧洲人眼中,对隐私的保护也是对个人名誉和尊严的保护,每个人都有权控制个人数据以何种方式公开,从而控制自己在他人面前的形象,防止尊严的丧失。[12]因此对数据隐私的保护本质上是对基本人权的保护,而在欧洲的法律体系下自然也需要通过立法加以干预。[13]

   在欧陆国家立法中,虽然数据与隐私之间的联系得到认可,但二者也并非等同。相较于隐私权,数据更多地关乎公民的人格与尊严,这恰恰能够被涵盖进大陆法系人格权保护范畴。故而自1973年瑞典颁布全球首部个人数据保护法以来,以法德为代表的欧洲大陆法系国家便先后通过创设“信息自决权”等方式,以单一立法模式保护数据权利。[14]随着欧洲一体化的深入推进,加强成员国之间法律的协调性成为重要课题,也催生了1981年《有关个人数据自动化处理的个人保护公约》(以下简称《公约》)、1995年《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95 /46 /EC号指令》(以下简称《指令》)和2018年《通用数据保护条例》(General Data Protection Regulation, GDPR)。这三份文件无不将数据保护上升至人权层面,为数据流动设置条件,凸显了欧洲对数据存储和控制重要性的确认。

   《公约》明确指出数据保护的目的在于维护欧洲公民的权利和基本自由,对隐私权的保护尤为重要。基于该目标,《公约》所树立的数据质量、数据安全等原则倡导数据的完整、准确与及时,保障数据存储与传输的安全,带有保障公民政治权利、健康权利、隐私权等基本人权的色彩,力图在提高欧洲内部数据保护水平的同时打通成员国之间的流通障碍。

   《指令》的出台强化了《公约》相关规则的拘束力,尤其第32条规定的成员国必须在3年内将指令转化为国内法的要求,令成员国不得不启动对国内法的修订。在内容上,《指令》规定了更加宽泛的适用范围、更加具体的对象定义、更加严格的数据处理标准和全面的数据保护机制,反映了欧盟对数据隐私保护的重视程度。[15]同时,《指令》也首次提出了“第三国”的概念,强调在统一欧盟内部数据保护水平、打造欧盟单一数据市场的同时,限制成员方将数据转移至保护水平不足的第三国。

   在此基础上,GDPR在秉持人权保护的理念上,改变《指令》的间接效力为直接效力,并通过赋予数据主体的更正权、被遗忘权等新权利,强化数据处理者的保护义务。[16]2022年1月欧洲议会高票通过的《数字服务法》(Digital Services Act, DSA)进一步强化了在数字服务中对欧洲数据保护框架的贯彻,针对大型互联网企业提供在线服务做出更加明确和严格的规制,通过事前合规、事中监管和事后惩罚等监管全流程的规则构建,明确了大型互联网企业对用户数据保护的责任,以防止科技巨头差异化对待企业和消费者,造成不公平的竞争环境。[17]

   随着互联网的全球普及,以中国、印度与俄罗斯为代表的新兴国家在数字经济时代实现了崛起,积极参与全球数据治理的主张和诉求也深刻影响着规则的形成。相较于美欧的技术优势与规则主导权,新兴国家作为“后入场者”更需借助国际法的力量维护自身利益,“主权”恰恰为它们提供了有力的理论支持。

   自《威斯特伐利亚和约》开启现代国际法的塑造之路以来,主权便成为国际法的核心要素,并始终是民族国家头上的皇冠。[18]网络空间作为人类新兴的活动空间,经历了从自由放任到规则法治的发展历程,吸收了包括主权原则在内的相关国际法原则与规则。早在2003年,联合国信息社会世界峰会达成的《日内瓦宣言》就首次明确了与互联网有关的公共政策决策权是各国主权。[19]这既是国家主权平等原则在网络空间的延伸,也是对过去各国基于主权治理网络空间的确认。

尽管主权日渐成为新兴国家参与网络治理的核心主张和依据,但是网络主权本身在理论上便存在争议。从主权的本位概念出发,网络主权如同领土与领海一样,是一国在相关领域具有的对外独立、对内最高的权力。从网络空间的特性看,以美国和加拿大为代表的发达国家则将网络空间定位为“全球公域”,并突出强调其公共属性。[20]也正是由于概念的游离,使得如何将网络主权具象化成为难题。《塔林手册》作为近年来推动网络空间规则形成的重要文本,在网络主权的规则制定上并未纠结于概念的辨析,而是通过强调一国具有对本国网络基础设施和相关行为的控制权来框定主权边界。[21]例如,2017年出台的《中华人民共和国网络安全法》(以下简称《网安法》)第3章便针对网络安全运行强调国家对关键信息基础设施的控制权,要求相关数据应当存储于境内。而针对数据出境问题,《网安法》和《个人信息和重要数据出境安全评估办法》(以下简称《评估办法》)更是强调对相关数据的评估与审核。与此类似,早在2015年俄罗斯联邦通信监管局就要求国内外企业必须将所有俄罗斯用户的个人数据存储在该国境内,并将其解释为在俄罗斯数据保护的首要标准。随着美国近年来对俄罗斯实施全面制裁,更进一步促使俄罗斯强化数据的本地化存储,通过对谷歌、推特等互联网企业合规与处罚,强调企业数据本地化存储的义务,呈现出一种“孤岛式”的数据保护模式。[22]印度2019年出台的《个人数据保护法》也强调相关数据应通过境内的信息基础设施实现本地化存储,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:admin
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/137813.html
文章来源:《苏州大学学报(法学版)》2022年第3期
收藏