返回上一页 文章阅读 登录

杜雁芸:大数据时代国家数据主权问题研究

更新时间:2016-06-22 20:33:26
作者: 杜雁芸  
只有这样个人数据主权才能得到有效的保障。美国学者乔尔?荃齐曼(Joel Trachtman)曾指出,个人数据主权的实现需要以国家数据主权作为基础和前提,而国家数据主权的维护又基于个人数据主权的支撑和表达。

   从主权实施的主体看,数据权包括数据权利和数据主权两方面。2009年以来,美、英、澳等国纷纷开展“数据民主”运动,把政府之前专项的公共数据放在了政府数据门户网站上,英国首相卡梅伦正式提出“数据权利”(Right to Data)的概念,他认为这是信息社会一项基本的公民权利,承诺要继续在全社会推向深入。由此可以看出,数据权利等同于个人数据主权,是相对应公民数据采集义务而形成的对数据利用的权力,即用户对其数据的自决权和自我控制权。具体包括对个人隐私权、生命财产的数据保护、对企业资产的数据保护和本国公民和其他境内行为体在国际社会的数据保护等。而数据主权是指大数据时代的国家主权,很多欧美国家更多强调是网络空间中的国家主权。数据主权和数据权利共同构成了数据权,因此,数据权相当于广义数据主权的内容。

   从主权实施的方式看,有学者认为数据主权是数据所有者占有、使用和处分其数据的能力。也有学者提出这种界定没有体现主权国家的治权,即对本国领域内的数据进行管辖的权力。本文认为,一国公民在境外形成的数据也属于该国管辖范围。曹磊将数据主权概括为数据所有权和数据管辖权两方面。数据所有权指主权国家对于本国数据排他性占有的权利。数据管辖权是主权国家对其本国数据享有的管理和利用的权利。蔡翠红认为,数据主权意味着数据即使被传输到云端或远距离服务器上,仍然应受其主体控制,而不会被第三方所操纵。综合以上观点,本文认为数据主权应包括数据所有权、控制权、管辖权和使用权。

  

   (三)与信息主权、网络主权相比较进行界定

   随着互联网的兴起和发展,主权概念从实体空间蔓延到虚拟空间,人们开始热议信息主权和网络主权。而随着大数据时代到来,数据主权延展了国家主权的内涵。基于信息主权、网络主权和数据主权三者之间的关联性,可借鉴信息主权、网络主权等概念,通过对比分析,得出数据主权的独特性质。

   数据主权与信息主权一脉相承,均演化自国家主权的概念,是国家主权的重要组成部分,是一个国家对本国网络、数据中心、信息系统中数据进行自主管理的权力。但从本质上看,数据主权和信息主权区别很大。首先,两者产生的背景不同,“大数据时代”已代替了信息时代这一称谓。在当前世界数字化、信息化、网络化、全媒体化的背景下,作为信息技术发展产物的数据资源呈爆发式、快速且多样化的增长,其影响已经超过了信息技术本身。其次,数据主权体现更多的技术性,其在移动终端的普及、廉价存储设备、高速宽带、云计算和物联网等技术对传统信息通讯工具的变革中应运而生,涉及数据的生成、收集、存储、分析、应用等各环节。再次,数据和信息的界定有质的差别。数据和信息的区别在于数据是按一定规则排列组合的物理符号,表现形式为数字、文字、图像和计算机代码,而数据经过一定的工具加工整理成为信息( information) 。人们在生活中及互联网虚拟空间里留下了大量的数据,这是一种无意识的数据行为,而数据要经过加工和解读才成为被人们能使用的信息,这是一种有意识的信息行为。学者汪晓风认为:“如果把数据理解为矿产资源,信息就是采掘出来的原材料,进一步加工就成了产品,即知识。那么数据主权相当于国家对自然资源和领土的所有权。从这个意义上而言,数据主权比信息主权更有价值,因为国家可以对矿产资源拥有主权,但在市场体系中国家对于生产资料和产品只有分配权和收益权。可以看出,大数据时代的数据概念已不同于信息时代的信息,数据是信息的原生态,数据主权中数据所涵盖的范围要远远超出信息的范畴。

   网络技术的发展为国家主权赋予了新的内涵,由此诞生的网络主权就是一国国家主权在网络空间中的自然延伸和表现。对内,网络主权指的是国家独立自主地发展、监督、管理本国互联网事务;对外,网络主权指的是防止本国互联网受到外部入侵和攻击。数据主权与网络主权交叉融合比较多,一些欧美国家认为,数据主权是指网络空间中的国家主权。但数据主权不能简单的等同于网络主权,网络不能涵盖数据主权的行使区域。在大数据时代,网络空间无疑是当今数据主权行使的最重要场域,但信息的发送和接收不仅限于互联网,还可通过电报“遥感技术”卫星传播等路径实现。因此,单纯以网络空间界定数据主权的管辖范围显得过窄。另外,网络主权主要体现在国家对网络信息技术的监管上,包括网络物理设施运行安全的保障,以及采用技术手段对网络信息安全进行维护。这为数据主权的界定提供借鉴,无论是网络主权还是数据主权都体现出国家对信息及相关技术、设备等的管理权及控制权。换言之,在大数据时代,一国对数据的管辖范围不限于数据本身,还包括与数据相关的技术、设备,乃至提供技术服务的主体等。当前,网络主权意识逐步提升,在我国已提升到战略高度。与此同时,数据主权意识也应提高到与网络主权意识同等的高度。

   根据以上概念的对比分析,数据主权可以概括为,在大数据、云计算背景下,一国对本国的数据及本国国民跨境数据拥有所有权、控制权、管辖权和使用权,是国家数据主权和个人数据权利的总和,体现为对内的最高数据管控权和对外的数据处理权。

  

三、国家数据主权面临的威胁和挑战

  

   数据主权的提出是主权国家维护其权威和合法性的必然要求。但基于国家间数据主权博弈、数据跨境流动、大国数据霸权和数据处理的自身特征等因素使各国有效行使数据主权能力十分有限,其存储、管控数据能力有所弱化,主要体现为:

  

   (一)国家间数据主权的博弈争夺日益激烈

   为了争夺数据信息网络的主导权,各国之间的数据主权博弈日益加剧,世界各发达国家相继推出“数据治国”战略并制定相关发展战略,争取赢得先机。美国最早将大数据提升到国家战略层面,将大数据纳入重要的战略资产。2012年3月奥巴马政府公布了“大数据研究和发展倡议”。美国还确立了基于大数据的信息网络安全战略,其国家创新战略、国家安全战略、国家产业发展战略以及国家信息网络安全战略都以大数据为重要依托。可以看出,美国已将大数据研究上升到国家层面,成为国家意志,这是全世界首次将大数据写进国家政策。与此同时,欧洲国家也从战略层面重视大数据,并已积极进行战略布局。欧盟及其成员国已经制定大数据发展战略。欧盟的科学数据基础设施投资已超过1亿欧元,并将数据信息化基础设施作为Horizon2020计划的优先领域之一。

   随着大数据重要性日益凸显,各国的数据资源竞争愈发激烈,数据主权成为各方争夺的焦点。2000年12月美国商业部跟欧洲联盟签署了《安全港协议》(Safe Harbor),该协议规定美国公司从其欧盟附属公司传输数据时受到特定限制。安全港协议要求:收集个人数据的企业必须通知个人其数据被收集,并告知他们将对数据所进行的处理,企业必须得到允许才能把信息传递给第三方,必须允许个人访问被收集的数据,并保证数据的真实性和安全性以及采取措施保证这些条款得到遵从。“9•11”事件之后,为了防止恐怖主义,美国总统乔治•沃克•布什(George W. Bush)签署了《爱国者法案》(USA PATRIOT Act)。该法案增强美国联邦政府搜集和分析全球民众私人数据信息的权力,间接扩张了美国警察机关的权限,警察机关可以搜索电话、电子邮件通讯、医疗、财务和其他种类的记录等。美国情报机构还可以直接进入微软、雅虎、谷歌等互联网公司的服务器和数据库获取欧洲数据中心的数据。虽然《爱国者法案》和之前签署的《安全港协议》有较大的分歧和矛盾,但美国认为《安全港协议》不及《爱国者法案》的法律效力,因此美国并未受《安全港协议》束缚,仍然随意地调取9家互联网公司的数据信息。针对美国的行径,2012年欧盟委员会提出改革数据保护法规,试图对所有在欧盟境内的云服务提供者和社交网络产生直接影响。

   随着“棱镜门事件”的持续发酵,欧盟、俄罗斯等国不断强化数据法规政策的建设。德国总理默克尔表示,欧洲互联网公司应当将相关数据的流动情况告知欧洲,如果与美国情报部门分享数据,首先必须经过欧洲人的同意认可;德国本国公民数据的行为必须遵守德国的法律。 2014年3月欧盟议会高票通过《欧盟个人数据保护条例》(草案),促进形成欧盟数字统一市场。俄罗斯也通过立法限制数据流动范围来提升数据控制力,2014年7月俄罗斯议会通过了《个人数据法》,规定俄罗斯公民个人数据必须保存在俄罗斯境内服务器上。

   可以看出,欧洲国家处于数据控制弱势地位,其对数据的主权争夺的意愿更加强烈,而美国在网络空间和数据控制上占有总体优势,其控制数据的欲望不会减少,今后对数据的占有和利用成为大国间竞争和博弈的关键力量。

  

   (二)数据跨境流动对国家数据主权形成冲击

   数据主权提出的前提是数据的跨境流通。联合国跨国公司中心对跨境数据流动的界定是:跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索。一般来说,跨境数据流动可以分为两类:一种是数据跨越国界传输和处理;另一种是数据即使没有跨越国界,但被第三国的主体访问。基于数据跨境流动,数据主权的维护面临更多难题:

   第一,数据跨境流动形成不同的主体,各主体管辖权交叉重叠。在大数据时代,数据流动至少涉及信息创造者、接收者和使用者,信息的发送地、运送地及目的地,信息基础设施的所在地,信息服务提供商的国籍及经营所在地等。信息创造者、接收者和使用者在行使跨境数据行为时,均对自己有利的数据信息主张主权,这势必形成主权的交互重叠、甚至冲突。

   第二,云计算、云存储中的数据主权归属问题争议很大。当前数据处理和存储设备由固定的硬件系统转变为“云”,即由网络来为数据的计算和存储提供资源和服务。像跨国公司谷歌、亚马逊、苹果公司、IBM、英特尔公司,国内公司如阿里巴巴和百度都提供了云服务的产品。而在这些云计算、云存储之中的数据属于哪个公司,或是属于哪个国家,在国际上争议很大。同时,为满足客户需要和降低成本考虑,网络商经常将其提供的服务部分外包,因此,经常会出现这样的结果:不同的国家同时管控同一条数据。例如,A国采集的数据存储在B国C公司的数据中心,B国C公司又将数据服务外包给D国,该数据最终被E国的用户使用。那么,各国数据主权该如何主张?如果出现了纠纷,各国数据主权又该如何维护?依据哪个国家的法律进行维权呢?

   第三,在国际上并未制定相关的跨国数据流动规则,而根据储存者、占有者或传输者的不同,数据信息将受多个不同国家法律所管辖,各国的数据权保护法律又不尽相同,这就导致数据主权纠纷频发。当下,国际社会并未对各国的数据主权管控范围进行划定,数据主权在国际法的制定方面尚处空白。数据在无政府状态下运行,各国基于理性自保的需求,积极加强本国数据的管控和本国国民在他国数据的主权主张,这必然导致主权交叉重复的管辖状况。同时,在多重管辖权的情形下,将会出现服务提供商挑选法律的现象,会导致网络服务商通过信息转移逃避对数据保护的国内规制,从而加剧数据管控的复杂性。

  

(点击此处阅读下一页)

爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/100329.html
文章来源:《国际观察》2016年第3期
收藏