數(shù)據(jù)本地化立法的興起與反思

田 旭

(華東政法大學(xué) 國際法學(xué)院，上海 200063)

一、問題的提出

互聯(lián)網(wǎng)自興起之初就被認為是全球性和自發(fā)性的，自由被認為是互聯(lián)網(wǎng)的核心精神。早在20世紀90年代，互聯(lián)網(wǎng)的先驅(qū)就曾經(jīng)對互聯(lián)網(wǎng)世界的獨立性發(fā)聲，要求將互聯(lián)網(wǎng)世界獨立于現(xiàn)實世界，而不受政府組織的干預(yù)。[1]然而，隨著網(wǎng)絡(luò)時代的演進，大公司取代個人成為互聯(lián)網(wǎng)時代的主角，影響著民眾生活的各個層面，這種技術(shù)烏托邦主義由此與現(xiàn)實拉開距離。主權(quán)者作為社會秩序的維護者將法律的觸角伸向了嶄新的網(wǎng)絡(luò)領(lǐng)域，數(shù)據(jù)本地化立法與實施正是主權(quán)者針對網(wǎng)絡(luò)空間進行管轄的體現(xiàn)。另一方面，主權(quán)者關(guān)于這一問題的立法動因、傾向的權(quán)利客體以及限制的程度存在差異，這些差異將為數(shù)據(jù)跨境流通帶來障礙，為跨國企業(yè)的數(shù)據(jù)合規(guī)增加成本，甚至構(gòu)成所謂“本地化貿(mào)易壁壘(localization barriers to trade, LBTs)”[2]11。根據(jù)聯(lián)合國貿(mào)易法委員會報告所列數(shù)據(jù)，采取強制性數(shù)據(jù)本地化政策對企業(yè)計算成本相比于走出國境增加30%～60%。[3]反觀我國，立法中對數(shù)據(jù)保護所基于的權(quán)利基礎(chǔ)和屬性缺乏統(tǒng)一認識，甚至在學(xué)術(shù)層面也陷入混亂不堪的概念泥潭之中，至今我國法學(xué)界對數(shù)據(jù)所承載的權(quán)利稱謂尚不統(tǒng)一，數(shù)據(jù)隱私權(quán)、個人信息權(quán)或數(shù)據(jù)資料權(quán)、個人數(shù)據(jù)權(quán)各色稱謂不一而足。有學(xué)者坦言這些分歧大多基于學(xué)者們對我國當下個人信息權(quán)利的認識與其所參照的國外立法和理論的差別。[4]在這種情形下，制定數(shù)據(jù)本地化法律將因立法目的不明確導(dǎo)致法律內(nèi)部沖突的情形。因此梳理和探究數(shù)據(jù)保護所針對的核心法益，是規(guī)范數(shù)據(jù)本地化問題的首要準備。有學(xué)者總結(jié)，國家安全、本國市場保護、隱私權(quán)保護、防范監(jiān)管，是各國主權(quán)者們紛紛在網(wǎng)絡(luò)空間以國境筑起墻圍，將數(shù)據(jù)作為國家的私產(chǎn)封鎖在本地的服務(wù)器之中的主要原因。[5]然而事實真是如此嗎？

二、數(shù)據(jù)本地化立法邏輯差異的要因

筆者認為，數(shù)據(jù)本地化是指所有為限制數(shù)據(jù)出境之目的，對數(shù)據(jù)出境的條件、標準以及方式予以規(guī)范的做法。主權(quán)者對“數(shù)據(jù)權(quán)”的差異理解是造成數(shù)據(jù)本地化立法邏輯差異的要因。主權(quán)者通過制定數(shù)據(jù)本地化法對數(shù)據(jù)進行限制的行為本質(zhì)屬于國家行使自上而下的公權(quán)，然而這種限制的原因卻絕非純粹基于公益，而是錯綜復(fù)雜的。事實上，幾乎所有關(guān)于數(shù)據(jù)本地化的立法都不會放過個人隱私保護這個完美理由，然而隱私保護則更偏向私益的保護。《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)第1條之立法目的表明，立法者意識到數(shù)據(jù)保護存在公權(quán)與私權(quán)交織，但是該法尚未將數(shù)據(jù)信息所包含的公權(quán)與私權(quán)加以區(qū)分，導(dǎo)致《網(wǎng)絡(luò)安全法》針對不同權(quán)利屬性的數(shù)據(jù)，采用一致的立法路徑，從而造成私法利益被公法干預(yù)。相比之下，參見國外針對數(shù)據(jù)本地化的立法，無不基于統(tǒng)一的保護基礎(chǔ)進行管理權(quán)的創(chuàng)設(shè)，因而無須面對保護基礎(chǔ)缺失的尷尬局面。

三、對數(shù)據(jù)本地化含義的考察

自計算機技術(shù)普及以來，特別是在移動互聯(lián)、大數(shù)據(jù)、云計算等技術(shù)蓬勃發(fā)展的今天，“數(shù)據(jù)”一詞已經(jīng)隨處可見。然而，在理解一項法律概念時，語詞的含義常常決定于對其特定語境和說話背景的理解。[6]對數(shù)據(jù)一詞的理解尤為重要，它是理解整個數(shù)據(jù)本地化立法的關(guān)鍵問題。

(一)“數(shù)據(jù)”的一般文義

“數(shù)據(jù)”是一個事實概念而非法律概念，它來源于拉丁語(datum)，英國牛津詞典對此有兩重解釋：一指經(jīng)過試驗、統(tǒng)計而收集的事實或信息，主要以數(shù)值的形式所體現(xiàn)，其主要用途是用以說理、分析、立論或者計算；二是指由計算機存儲的信息。美國韋氏詞典中的解釋更加現(xiàn)代化，它將“以數(shù)字形式存儲和加工的信息”稱為數(shù)據(jù)，它的特點在于可以以數(shù)字形式被存儲和流通。從上述解釋可以看出，數(shù)據(jù)和信息的概念非常近似，但如果強行區(qū)分，可將數(shù)據(jù)比喻為一塊“生肉”，信息則是經(jīng)過加工的“熟肉”。肉由生到熟的過程需要屠夫、零售商和廚師等中介的介入，數(shù)據(jù)也是一樣，將其轉(zhuǎn)變?yōu)榈靡允褂玫男畔⒊藬?shù)據(jù)主體產(chǎn)生數(shù)據(jù)之外，仍然需要經(jīng)過數(shù)據(jù)收集者、經(jīng)營者、處理者的收集并加工，才能制成富有意義的信息。而在法律中，數(shù)據(jù)和信息的概念也常被交叉解釋，可以說數(shù)據(jù)和信息概念區(qū)分意義較小，個人數(shù)據(jù)的保護實際上就是個人數(shù)字化信息的保護，是個人信息保護的子集。在我國早期立法中，也曾多次提及數(shù)據(jù)，與詞典中的多重解釋一樣，數(shù)據(jù)在不同語境下也存在不同的文義。(1)例如1984年1月1日生效的《中華人民共和國統(tǒng)計法》第5條規(guī)定：“國家有計劃地加強統(tǒng)計計算和數(shù)據(jù)傳輸技術(shù)的現(xiàn)代化建設(shè)。”此處出現(xiàn)的“數(shù)據(jù)”仍然是指用以證明、計算或者說理的數(shù)據(jù)，而非本文所特指的數(shù)據(jù)。而1998年《國務(wù)院辦公廳秘書局關(guān)于向〈國務(wù)院公報〉提供選刊文件和做好訂閱工作的通知》中所稱的“電子數(shù)據(jù)”與本文所要討論的數(shù)據(jù)意思較為接近。在我國早期立法中對于數(shù)據(jù)的定義是采用字典以及科學(xué)教科書中的普遍定義，其對數(shù)據(jù)一詞的使用往往伴隨著試驗、科研或者統(tǒng)計等行為，它多指用于計算、論證、統(tǒng)計以及其他實證分析所利用的數(shù)據(jù)，常常表現(xiàn)為數(shù)值。數(shù)據(jù)的一般文義是一個中心的事實概念，不具有任何價值導(dǎo)向，而數(shù)據(jù)本地化中的數(shù)據(jù)概念是基于一般文義，對數(shù)據(jù)進行價值延生。依照延生的路徑不同，產(chǎn)生公法數(shù)據(jù)、私法數(shù)據(jù)以及公法與私法相互交織的數(shù)據(jù)類型。這些不同類型的數(shù)據(jù)不僅對應(yīng)不同的規(guī)范邏輯，并且也決定國家對數(shù)據(jù)的管轄權(quán)基礎(chǔ)。

(二)《網(wǎng)絡(luò)安全法》語境下的“數(shù)據(jù)本地化”

《網(wǎng)絡(luò)安全法》的首條宗旨就是保護國家安全和網(wǎng)絡(luò)空間的主權(quán)，它構(gòu)成了《網(wǎng)絡(luò)安全法》所需要代表的首要價值。這種表達也體現(xiàn)出《網(wǎng)絡(luò)安全法》中對數(shù)據(jù)本地化立法的基點是出于對數(shù)據(jù)安全和國家主權(quán)的保護，這是純粹的公法語境。《網(wǎng)絡(luò)安全法》進一步言明，這種公法性的價值包含國家經(jīng)濟利益、政治制度、反恐主義以及國計民生等全方位的國家利益(2)《網(wǎng)絡(luò)安全法》第12條和第31條。，體現(xiàn)出數(shù)據(jù)應(yīng)用已經(jīng)滲透到國家治理的各個層面。根據(jù)德國法學(xué)家考夫曼關(guān)于公法權(quán)力的定義，公法權(quán)是國家對個人的權(quán)力(如課稅權(quán))或個人對國家的權(quán)力。[7]而數(shù)據(jù)本地化就是政府對網(wǎng)絡(luò)所有者存儲在關(guān)鍵信息基礎(chǔ)設(shè)施上的重要數(shù)據(jù)限制出境的權(quán)力，也是一種公法權(quán)力。從這個角度看，數(shù)據(jù)本地化限制似乎完全是一個公法行為。我國《網(wǎng)絡(luò)安全法》將數(shù)據(jù)本地化限制規(guī)定在第四章“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”項下。其中，關(guān)鍵信息基礎(chǔ)設(shè)施(critical information infrastructure，簡稱CII)指那些關(guān)乎“國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”。由于這類基礎(chǔ)設(shè)施的破壞會對公益造成巨大損害，因此應(yīng)較一般設(shè)施采取更高的保護標準。筆者認為，對于CII的物理設(shè)施進行公法保護存在法理基礎(chǔ)。首先，CII屬于一般基礎(chǔ)設(shè)施的子概念，它是為社會生產(chǎn)和居民生活提供公共服務(wù)的物質(zhì)工程設(shè)施，是社會賴以生存發(fā)展的一般物質(zhì)條件，對其安全進行保護體現(xiàn)出很強的公益性；其次，CII一定是設(shè)置于境內(nèi)的計算機或者計算機系統(tǒng)，是物的概念，正如國家之于領(lǐng)土的管轄權(quán)也是來源于物法。然而值得玩味的是，《網(wǎng)絡(luò)安全法》第37條關(guān)于數(shù)據(jù)本地化是如是規(guī)定的，它針對的對象是存儲于CII中的重要數(shù)據(jù)和個人數(shù)據(jù)，而數(shù)據(jù)是無形的，那么對于有形的設(shè)施的保護是否能夠當然地擴大解釋到該設(shè)施內(nèi)部存儲的信息內(nèi)容呢？并且這些信息內(nèi)容還包括代表私人利益的個人數(shù)據(jù)。

針對CII的保護措施，有必要列舉國外立法加以比較。新加坡在2018年8月31日生效的《網(wǎng)絡(luò)安全法》第三部分對CII的保護進行了詳盡的規(guī)定，主要包括：(1)CII的識別(第7～10條)；(2)CII所有者從業(yè)守則和業(yè)績標準(第11條)；(3)專員對CII所有者業(yè)績和行為的監(jiān)督和管理(第12～15條)；(4)網(wǎng)絡(luò)安全演習(xí)(第16條)；(5)責(zé)任處理和救濟(第17～18條)(3)CYBERSECURITY ACT 2018 (No. 9 of 2018).。而對于存儲于CII中的數(shù)據(jù)，新加坡法律只字未提。可以看出，相比于我國較為剛性的立法模式，新加坡模式具有彈性，且對作為私主體的CII所有者提供了救濟機制，這一點與我國形成較為鮮明的對比。

歐盟負責(zé)網(wǎng)絡(luò)信息系統(tǒng)安全的主要職能部門是歐盟網(wǎng)絡(luò)與信息安全局(European Union Agency for Network and Information Security, ENISA)。2016年7月6日，歐洲議會和歐盟理事會頒布2016/1148號指令，以保護歐盟的網(wǎng)絡(luò)和信息系統(tǒng)。這個指令提出了數(shù)字服務(wù)提供者的概念，相當于我國《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)所有者概念。該指令“鑒于條款”第75條提出確保數(shù)字服務(wù)提供者營業(yè)自由，并且沒有提及對于數(shù)據(jù)跨境流動的限制措施。此外，該指令多處明確提出，凡是針對個人數(shù)據(jù)處理的，均應(yīng)當遵守95指令中的相關(guān)要求。(4)See Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, https://eur-lex.europa.eu/eli/dir/2016/1148/oj，2019(3).這部指令反映出歐盟對于CII的保護著重于官方保護機構(gòu)與數(shù)字服務(wù)提供者之間的合作以及一些必要的國際合作，并未采取直接限制數(shù)據(jù)出境的方式。此外，歐盟認識到，在絕大多數(shù)情形之下，數(shù)據(jù)安全與否并不取決于其所存儲的物理位置，而是決定于信息技術(shù)基礎(chǔ)設(shè)施以及加密程序使用強度。(5)See Commission Staff Working Document on the free flow of data and emerging issues of the European data economy: Accompanying the document Communication Building a European data economy, {COM (2017) 9 final}, Brussels, 10.1.2017, SWD (2017) 2 final: 7.

美國對于關(guān)鍵信息基礎(chǔ)設(shè)施的保護歷史則更為久遠，可以說美國是世界上最早針對關(guān)鍵信息基礎(chǔ)設(shè)施進行保護的國家，但是不同于立法模式，美國采用政策予以保護。1998年美國時任總統(tǒng)克林頓簽署了PDD-63號總統(tǒng)令，建立了“關(guān)鍵基礎(chǔ)設(shè)施(critical infrastructure protection)”保護計劃，而針對網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施的保護也涵蓋其中。2014年2月12日，美國國家標準技術(shù)研究所(NIST)發(fā)布網(wǎng)絡(luò)安全框架1.0版本，進一步深化對網(wǎng)絡(luò)信息系統(tǒng)的保護。這份框架性文件對于數(shù)據(jù)的保護重點在于對數(shù)據(jù)訪問的把控，而未提及對跨境傳輸上的限制。[8]

經(jīng)過簡單比較不難發(fā)現(xiàn)，在公法語境下的數(shù)據(jù)保護，國外通行做法似乎都不將數(shù)據(jù)本地化政策納入網(wǎng)絡(luò)安全范圍之中。這或許是由于國外政府傾向于認為網(wǎng)絡(luò)安全的重點在于對關(guān)鍵信息基礎(chǔ)設(shè)施訪問限制，而不是輸出限制。另外，《網(wǎng)絡(luò)安全法》應(yīng)對的是突發(fā)性的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)泄露事件，而針對CII中存儲的任何重要數(shù)據(jù)和個人信息采取限制性措施，想必會很大程度上擴大被限制信息的范圍。

(三)私權(quán)保護語境下的“數(shù)據(jù)本地化”

目前，對數(shù)據(jù)出境進行數(shù)據(jù)本地化限制的國家和地區(qū)大體上包括歐盟、俄羅斯、中國、文萊、印尼、尼日利亞、越南、白俄羅斯、印度、韓國、馬來西亞、阿根廷、巴西、哥倫比亞、秘魯、土耳其、委內(nèi)瑞拉等。筆者在參考上述各國關(guān)于數(shù)據(jù)本地化條文時發(fā)現(xiàn)，除中國外，上述所有國家對數(shù)據(jù)本地化立法中的數(shù)據(jù)均特指個人數(shù)據(jù)，數(shù)據(jù)本地化的主流又可以視為個人數(shù)據(jù)的本地化。對于個人數(shù)據(jù)的保護目前存在個人信息權(quán)保護和隱私權(quán)這兩種模式。我國學(xué)者主流觀點認為個人信息權(quán)源于人格權(quán)。[9]有學(xué)者歸納全球已經(jīng)有120個國家制定歐盟式的個人信息保護法專項法律，并且認為這種模式超越了私法和公法的二元對立。[10]雖然張新寶對個人信息保護法作為一個兼有公法性和私法性的綜合立法的未來憧憬萬分，[10]但是國外學(xué)界也不乏對歐盟數(shù)據(jù)保護法中的公私混合的擔(dān)憂和懷疑，認為或許采用公法和私法分立的方式更行得通。[11]另一方面，基于隱私保護的個人數(shù)據(jù)保護模式是美國法的一大特征。雖然《歐盟人權(quán)公約》和《歐盟基本權(quán)利憲章》中均提及了隱私權(quán)的概念(6)《歐盟人權(quán)公約》第8條和《歐盟基本權(quán)利憲章》第7條。，但是在針對數(shù)據(jù)信息進行保護過程中，主要依照的是人權(quán)憲章關(guān)于個人數(shù)據(jù)權(quán)利的條款進行保護。“個人數(shù)據(jù)獲取保護的權(quán)利(right to the protection of personal data)”在歐盟屬于一項基礎(chǔ)性權(quán)利(fundamental rights)(7)《歐盟基本權(quán)利憲章》第8條，《歐盟通用數(shù)據(jù)保護條例》“鑒于條款(Whereas)”第1條。，而歐盟政府作為人民的保護人有義務(wù)強化基礎(chǔ)性權(quán)利的保護(8)《歐盟基本權(quán)利憲章》前言第3段。。政府是個人信息的保護人，其可以通過立法促進個人信息的保障。

對比歐盟，美國則將個人隱私權(quán)視為個人自由。依照美國法傳統(tǒng)，對于自由范疇的權(quán)利政府采取被動保護的方針，即法無禁止即自由理念。美國是最主張數(shù)據(jù)自由流動的國家，而對于數(shù)據(jù)本地化采反對態(tài)度。實際上，除了少數(shù)數(shù)字經(jīng)濟活躍的州制定了專門的數(shù)據(jù)保護法律(9)例如加州，于2018年10月出臺了《加州消費者隱私法案》，該法案將于2020年正式實施。，大部分州缺乏個人數(shù)據(jù)保護的法律框架(10)O’CONNOR N. Reforming the US approach to data protection and privacy. Council on Foreign Relations, 2018: 30.。美國對個人數(shù)據(jù)保護的另一個特點在于，美國的聯(lián)邦貿(mào)易委員會(Federal Trade Commission, FTC)作為執(zhí)法部門發(fā)揮了極大的作用。FTC一則不斷制定和修改關(guān)于隱私政策監(jiān)管的標準，使這些標準越來越趨近于法律規(guī)范；二則其被賦予監(jiān)管企業(yè)不公平和欺詐的貿(mào)易行為的職權(quán)，在企業(yè)違反隱私承諾時可以采取包括處罰、代為訴訟等手段，予以保障個人隱私。這種保護實際上是全方位且強有力的，有學(xué)者認為這種保護甚至形成一套完善的普通法體系[12]。美國隱私權(quán)理論主要包含五種學(xué)說：(1)不受打擾的權(quán)利(the right to be let alone)；(2)有限接近自我說(the limited-access to the self)；(3)私密說；(4)資訊控制說；(5)私密關(guān)系說。[13-14]有學(xué)者將個人信息權(quán)與隱私權(quán)做出區(qū)分，并且認為私密性是隱私權(quán)不同于個人信息權(quán)的首要原因。[15]這種提法基于隱私權(quán)秘密說，其狹隘地理解了隱私概念，從空間角度認為隱私實際上被鎖定在一個固定的空間[16]，超過這個空間隱私權(quán)就是不存在且不受保護的。遠在羅馬法時代，純粹的公共空間和私人空間是存在的，然而在信息爆炸的當下，私人空間與公共空間的界限日漸模糊，秘密性要求已經(jīng)逐步被拋棄。比如某人發(fā)布于微信朋友圈的照片屬于私密信息，他只向朋友圈中的好友公開，未列于朋友圈中的他人無權(quán)且事實上無法獲取這條信息(11)《微信隱私保護指引》第1.3條，2018年12月21日發(fā)布并生效，參見文獻[17]。，那么這條信息恐怕就難以被認定具有私密性了。必須強調(diào)，無論是歐盟模式還是美國模式，對于數(shù)據(jù)本地化中數(shù)據(jù)權(quán)利的認識都是一種私權(quán)，只是應(yīng)對私權(quán)保護底層邏輯上的差異造成對數(shù)據(jù)本地化立法態(tài)度上的差異。

(四)“數(shù)據(jù)本地化”公法與私法交叉

一方面，如果完全基于公法原因?qū)?shù)據(jù)進行本地化限制，那么無法解釋為何代表私人權(quán)利的個人數(shù)據(jù)應(yīng)該受到限制這一事實；另一方面，如果數(shù)據(jù)本地化僅僅是出于保護私人權(quán)利的目的而做出，則無法厘清為何要采用公權(quán)介入的方式，而非通過合同或者侵權(quán)這種傳統(tǒng)的私權(quán)保護模式。兩方面的原因指向了問題的起點，就是當人們談?wù)摂?shù)據(jù)本地化時究竟是站在何種語境之下？此時不妨仔細探討數(shù)據(jù)本地化的執(zhí)行過程。數(shù)據(jù)本地化過程中涉及三方主體：實施本地化措施的政府、受到限制的企業(yè)以及作為數(shù)據(jù)主體的個人。當然，作為數(shù)據(jù)主體的個人不是特指某一個人，而是所被禁止或限制出境數(shù)據(jù)主體的集合，往往包含成千上萬的數(shù)據(jù)主體。此時不禁反思，數(shù)據(jù)為什么可以被限制？首先，可以清晰地看出，受到直接限制的一方系數(shù)據(jù)的控制人或持有人，按照《網(wǎng)絡(luò)安全法》中所稱的術(shù)語就是“網(wǎng)絡(luò)經(jīng)營者”。現(xiàn)實中的網(wǎng)絡(luò)經(jīng)營者往往是有能力掌握和控制大量數(shù)據(jù)的網(wǎng)絡(luò)平臺，是高科技企業(yè)，擁有強大的經(jīng)濟和技術(shù)實力，而數(shù)據(jù)主體常常就是這些網(wǎng)絡(luò)平臺的用戶。此時需要思考一下數(shù)據(jù)主體和數(shù)據(jù)平臺之間的具體關(guān)系。數(shù)據(jù)主體作為網(wǎng)絡(luò)平臺的用戶是數(shù)據(jù)平臺的消費者，雖然互聯(lián)網(wǎng)服務(wù)常常是免費的，但是這不妨礙互聯(lián)網(wǎng)平臺通過不斷吸引客戶以增加其收益的事實。這些收益可能是基于網(wǎng)絡(luò)流量的使用費、廣告收入等。然而，近年來，網(wǎng)絡(luò)資源使用費和廣告收入都成為細枝末節(jié)，而數(shù)據(jù)的收集成為廣大互聯(lián)網(wǎng)企業(yè)所倚仗的主要生產(chǎn)資料，數(shù)據(jù)被稱為數(shù)字經(jīng)濟的血液、貿(mào)易的血液、商業(yè)的血液甚至是資本主義的血液。有學(xué)者就曾指出，數(shù)據(jù)作為新經(jīng)濟生產(chǎn)資料的價值應(yīng)當為法律所承認。[18]在這一維度上，用戶作為數(shù)據(jù)的提供者也就是造血機，與平臺之間就不再是消費者和服務(wù)提供者的單純關(guān)系，而成為雇主和雇員的關(guān)系。無論是消費者與服務(wù)提供者抑或是雇主和雇員關(guān)系，都反映了數(shù)據(jù)主體和數(shù)據(jù)控制者關(guān)系的極大不平衡。這種不平衡直接造成數(shù)據(jù)主體通過單方努力尋求保護自身的隱私顯得非常不現(xiàn)實。此時政府對數(shù)據(jù)主體進行的保護就存在一定的合法性和合理性。

實際上，我國不無學(xué)者發(fā)現(xiàn)，美國在針對個人信息進行保護時與消費者保護法聯(lián)系密切，具有明顯的公法特征。美國的個人信息保護措施和相關(guān)立法帶有明顯的消費者法保護或公法規(guī)制的特征。由于并未賦予個人以針對不特定第三人的權(quán)利，對于普通民事主體收集與處理個人信息的行為，這些立法并不適用。[19]

綜上，筆者認為數(shù)據(jù)本地化立法從法律性質(zhì)上講屬于行政性法律，而通過觀察世界主流立法，其保護的權(quán)利是一種民事權(quán)利，簡單地講，它是通過公權(quán)力加強私權(quán)利保護的法律。筆者認為這種公權(quán)干預(yù)私權(quán)保護的緣由在于平衡大企業(yè)和私人在數(shù)據(jù)收集、處理、應(yīng)用、傳輸?shù)刃袨橹械膶嵙Σ痪猓哂泻軓姷纳鐣浴７从^我國，數(shù)據(jù)本地化的權(quán)利客體不僅限于私權(quán)，或者說其保護的主要是國家和公共利益，這不符合數(shù)據(jù)本地化的一般立法，容易引發(fā)我國數(shù)據(jù)本地化立法規(guī)范范圍過大的問題。

四、數(shù)據(jù)本地化規(guī)則興起的深層原因

從數(shù)據(jù)本地化立法的形式上看，這種立法方式比較類似一種防御性的立法。一方面立法者將外國數(shù)據(jù)保護機關(guān)默認為是無能的或者不作為的，另一方面出于對本國數(shù)據(jù)財產(chǎn)性的保護。現(xiàn)代國際法體系產(chǎn)生于美國前總統(tǒng)威爾遜的國際協(xié)調(diào)主義，而數(shù)據(jù)流動保護所展現(xiàn)的圖景則存在一些前現(xiàn)代的意味，它更具自發(fā)秩序的特征，回歸了國際法源于習(xí)慣這一本源。由于國家應(yīng)對數(shù)據(jù)問題都處于非常原始的階段，因此捍衛(wèi)眼前利益成為國家處理數(shù)據(jù)問題的首要傾向。筆者認為，國家主體采取本地化主義的原因有以下幾個方面。

(一)數(shù)據(jù)資產(chǎn)的巨大經(jīng)濟價值推動

中國共產(chǎn)黨第十九屆代表大會報告中指出：“加快建設(shè)制造強國、網(wǎng)絡(luò)強國，就要推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與工業(yè)、制造業(yè)深度融合。”阿里巴巴董事局主席馬云在其著作《未來已來》一書中提及，現(xiàn)在已經(jīng)從IT(信息技術(shù))時代向DT(數(shù)據(jù)技術(shù))時代轉(zhuǎn)移，并宣稱阿里巴巴就是一家數(shù)據(jù)企業(yè)。聯(lián)合國貿(mào)易發(fā)展組織《2017全球投資報告：投資和數(shù)字經(jīng)濟》指出:“絕大多數(shù)國家都在積極地推動數(shù)字經(jīng)濟，因為它們都意識到它所帶來的潛在利好。”(12)United Nations Conference on Trade and Development. World Investment Report 2017: Investment and the Digital Economy. UN, 2017:14.中國信通院和大數(shù)據(jù)技術(shù)標準委員會聯(lián)合發(fā)布的《數(shù)據(jù)資產(chǎn)管理實踐白皮書3.0版》中，直接稱“數(shù)據(jù)作為越來越重要的生產(chǎn)要素,將成為比土地、石油、煤礦等更為核心的生產(chǎn)資源”[20]。我國某些地方政府在出臺政策時，堂而皇之地將數(shù)據(jù)本地化明碼標價，展示出其捍衛(wèi)數(shù)據(jù)經(jīng)濟價值的決心。(13)2015年9月威海市政府發(fā)布的《威海市人民政府印發(fā)關(guān)于當前促投資穩(wěn)增長若干政策措施的通知(威政發(fā)〔2015〕18號)》第13條摘錄：“推動口岸數(shù)據(jù)本地化，2015年實現(xiàn)數(shù)據(jù)本地化10億美元。”2015年5月19日，國務(wù)院正式頒發(fā)《中國制造2025》，提出推進信息化與工業(yè)化深度融合，鼓勵大數(shù)據(jù)、云計算、工業(yè)互聯(lián)網(wǎng)等新技術(shù)在企業(yè)生產(chǎn)全流程中應(yīng)用。筆者認為，大數(shù)據(jù)的應(yīng)用構(gòu)成一種顛覆性創(chuàng)新(disruptive innovation)，它為社會釋放巨大的經(jīng)濟價值。顛覆性創(chuàng)新概念最早是由哈佛大學(xué)Clayton Christensen在其名著《創(chuàng)新者的解決方案》一書中首先提出，它是指通過向全新市場投放創(chuàng)新產(chǎn)品而逐步取代原來建立市場的一種創(chuàng)新。[21]顛覆性創(chuàng)新的顛覆性不止于擾亂原來的市場，它繼而將給社會的其他層面諸如政治、社會、經(jīng)濟以及文化帶來影響，最終引發(fā)法律的變革。此外，大數(shù)據(jù)具有數(shù)量龐大、時效性強以及價值密度低的特點，而單個數(shù)據(jù)不能實現(xiàn)社會應(yīng)用，因此數(shù)據(jù)的價值必須通過流通、數(shù)據(jù)共享的方式形成數(shù)據(jù)鏈條，再通過科技加工才能最大限度地發(fā)揮價值。[22]獲取本地數(shù)據(jù)以加強本國大數(shù)據(jù)技術(shù)發(fā)展的競爭力可能是諸多國家對于數(shù)據(jù)本地化有著明確或隱晦的限制措施(14)USITC, Digital Trade in the US and Global Economics, Part 1, Chapter 5, p5-2.的原因之一。

(二)逆全球化的時代背景

如果將數(shù)據(jù)資產(chǎn)視為一種生產(chǎn)資源，那么對數(shù)據(jù)的保護實際上是對本國優(yōu)勢資源的保護。這么看來，數(shù)據(jù)本地主義的思想背景實際上是傳統(tǒng)的貿(mào)易保護主義，即通過加高本國壁壘，以擴大本國數(shù)據(jù)產(chǎn)業(yè)優(yōu)勢。前面已經(jīng)論證，數(shù)據(jù)在當今時代已經(jīng)成為一項重要的生產(chǎn)資料，數(shù)據(jù)的流出實際上代表著生產(chǎn)資料的流出。然而，數(shù)據(jù)價值往往是通過傳輸實現(xiàn)的，跨境傳輸數(shù)據(jù)已成為數(shù)據(jù)產(chǎn)業(yè)發(fā)展的核心需求，那么過度嚴格的數(shù)據(jù)本地化措施是否符合互聯(lián)網(wǎng)企業(yè)的需求就值得商榷了。

(三)立法者對于新事物本能的懷疑

立法者屬于社會中最保守的群體，這來自于法學(xué)家群體天生的保守性格。他們習(xí)慣于捍衛(wèi)現(xiàn)有的秩序和價值，對于社會的全新發(fā)展傾向于被動地變革，而對新鮮事物表現(xiàn)出審慎的懷疑態(tài)度。大數(shù)據(jù)的應(yīng)用屬于顛覆性創(chuàng)新，它擾亂傳統(tǒng)的市場秩序、刻板的產(chǎn)業(yè)模式，甚至是普通人群的生活方式。相較于經(jīng)濟增長等宏觀概念，立法者關(guān)注更多的是突破性的規(guī)定對法域產(chǎn)生的消極影響，而相比于數(shù)據(jù)跨境的自由開放，數(shù)據(jù)出境限制顯得更加謹慎。筆者認為，在此階段采用數(shù)據(jù)本地主義的立法模式符合大部分立法者的思維傾向。

(四)互聯(lián)網(wǎng)技術(shù)發(fā)展的“理性”回歸

在互聯(lián)網(wǎng)技術(shù)剛剛興起的20世紀90年代初，無論從數(shù)量還是速度方面看，當時的數(shù)據(jù)傳輸與流通與今天不能在一個數(shù)量級上進行比較。當時的世界主流聲音認為，互聯(lián)網(wǎng)是自由的不設(shè)限制的，甚至互聯(lián)網(wǎng)被無政府主義者認為是打破政府行政壟斷的有力工具。但不可否認，正因為互聯(lián)網(wǎng)對人們的生活產(chǎn)生了巨大的便利，所以尊重互聯(lián)網(wǎng)自由似乎成為普遍的聲音。然而，任何事情都有利有弊，隨著人類對網(wǎng)絡(luò)的依賴逐步加深，人們也在無所顧忌地利用網(wǎng)絡(luò)這一載體傳播信息，交流思想，分享隱私。而保護公民的隱私權(quán)和個人信息權(quán)被很多政府視為政府的重要職責(zé)，將公民隱私數(shù)據(jù)進行本地化限制被認為是保護公民隱私的一種手段。其次，政府也逐漸認識到，網(wǎng)絡(luò)技術(shù)發(fā)展的不平衡導(dǎo)致網(wǎng)絡(luò)技術(shù)處于優(yōu)勢地位的國家可以通過網(wǎng)絡(luò)的鏈接對另一國的政府官員進行監(jiān)控，典型如2013年的斯諾登案。出于反監(jiān)控的目的要求數(shù)據(jù)本地化也是采納數(shù)據(jù)本地化的原因之一。

五、數(shù)據(jù)本地化措施的效果與影響

(一)網(wǎng)絡(luò)空間主權(quán)宣言

國內(nèi)有學(xué)者稱，對跨境數(shù)據(jù)流動進行管理是一國行使其數(shù)據(jù)主權(quán)的重要體現(xiàn)。[23]這一邏輯似乎成立，國家對于數(shù)據(jù)出入境的管控體現(xiàn)出國家主權(quán)，而這一主權(quán)概念又被稱為數(shù)據(jù)主權(quán)。但是稍做分析就會發(fā)現(xiàn)，這是主權(quán)概念被濫用的體現(xiàn)。國家主權(quán)原則是國際法的基本原則，然而這一主權(quán)原則實際上是指領(lǐng)土主權(quán)(territorial sovereignty)。領(lǐng)土主權(quán)原則的形成經(jīng)歷了漫長的發(fā)展過程，而對國家主權(quán)是否延生至網(wǎng)絡(luò)空間，并且這種延生是無限的還是有限的，沒有形成任何習(xí)慣法或條約，這一問題可以說是國際法領(lǐng)域亟待開墾的處女地。我國《網(wǎng)絡(luò)安全法》實際上是國家對網(wǎng)絡(luò)空間存在主權(quán)的一種單方面宣言，這種宣言本身更多地表現(xiàn)為國內(nèi)法意義。現(xiàn)代國際法理論一般認為，國家主權(quán)在經(jīng)濟領(lǐng)域和民事領(lǐng)域是可以通過條約的方式進行部分讓與的，而在公法領(lǐng)域，國家享有絕對的主權(quán)。由此筆者認為，國家主權(quán)的行使對內(nèi)體現(xiàn)為一種管轄，包括立法、行政和司法三重管轄，而對外則表現(xiàn)為一種消極對抗的權(quán)利。我國《網(wǎng)絡(luò)安全法》第37條一經(jīng)推出，毋寧于網(wǎng)絡(luò)空間主權(quán)又一次宣言，(15)《國家安全法》第二次草案審議稿中，網(wǎng)絡(luò)主權(quán)概念被正式寫入法律。它表明中國對于數(shù)據(jù)控制采用的是傳統(tǒng)屬地主義立場，即通過本地化手段加強本國數(shù)據(jù)的監(jiān)管和保護。

(二)管轄權(quán)之搶奪

針對跨境數(shù)據(jù)流動引發(fā)的管轄權(quán)之爭或許是數(shù)據(jù)本地化的重要原因之一。由于國際法還未能針對虛擬的網(wǎng)絡(luò)空間發(fā)展出國家管轄權(quán)之習(xí)慣法，屬地主義成為國家對網(wǎng)絡(luò)空間進行管轄的可靠依據(jù)。雖然網(wǎng)絡(luò)空間是虛擬的，但是數(shù)據(jù)所存儲的服務(wù)器仍然是實在的物。自達讓特萊提出“混合法”應(yīng)當被視為“物法”理論后，屬地原則就被上升到一個基本原則的高度，[24]成為管轄權(quán)理論的基本原則。此外，數(shù)據(jù)本身具有物權(quán)和人身權(quán)的雙重屬性，大數(shù)據(jù)是數(shù)據(jù)的集合，也就是物的集合。因此，對于數(shù)據(jù)跨境的限制仍然是基于傳統(tǒng)的物法，即以屬地管轄權(quán)為依據(jù)。

然而，2018年3月美國出臺的《澄清境外數(shù)據(jù)合法使用法案》(以下簡稱《云法案》)對這一原則發(fā)起了沖擊。《云法案》認為無論數(shù)據(jù)存儲于何地，只要設(shè)立于美國的企業(yè)對該數(shù)據(jù)具有控制權(quán)，美國法院簽發(fā)的令狀即有權(quán)對其進行搜查。這一理論采用了“數(shù)據(jù)控制者標準”[25]。《云法案》模式將數(shù)據(jù)管轄疆域等同于一國企業(yè)對數(shù)據(jù)的控制程度，取決于其數(shù)據(jù)控制者占全球市場份額的多寡。美國網(wǎng)絡(luò)技術(shù)全球首屈一指，《云法案》的基本做法與其技術(shù)實力相呼應(yīng)。因此數(shù)據(jù)本地化的普遍化理論實際上是技術(shù)處于相對弱勢的一方對本國在網(wǎng)絡(luò)空間管轄權(quán)的一種保護性手段。一般認為，一國不能在沒有獲得其他國家同意下在后者領(lǐng)土上通過采取措施執(zhí)行國內(nèi)法，這是國際法占主導(dǎo)地位的一項原則。[26]但是美國所采的“數(shù)據(jù)控制者”標準能否被解釋為域外執(zhí)法是不確定的。第一，根據(jù)《云法案》，雖然調(diào)取證據(jù)的指令是由美國政府發(fā)出的，但是實施這一調(diào)取行為的主體是企業(yè)而非政府，由于侵犯國家主權(quán)的主體也是國家，因此企業(yè)的行為僅僅能引發(fā)另一國國內(nèi)法中的責(zé)任，而不可能引發(fā)國家責(zé)任；第二，《云法案》為外國政府調(diào)取美國數(shù)據(jù)也設(shè)置了路徑，從這一角度來看，《云法案》是基于國家對等原則所做出的；最后，美國《云法案》中的調(diào)取行為完全在網(wǎng)絡(luò)空間展開，不會對另一國領(lǐng)土造成任何損害，侵害的結(jié)果難以認定。

需要指出，如果僅出于獲得針對數(shù)據(jù)的管轄權(quán)之目的，而這種管轄也并非排他性的，那么絕對的本地化是不必要的。俄羅斯聯(lián)邦97-FZ法案的目的就是針對在俄羅斯缺乏管轄權(quán)案件的調(diào)查而制定的，它并不要求數(shù)據(jù)僅存儲在俄羅斯境內(nèi)。而我國的立法模式是針對存儲于CII中的重要數(shù)據(jù)和個人信息原則上限制出境，如必須出境則需要進行評估。從管轄權(quán)爭奪角度來看，我國立法希望在數(shù)據(jù)領(lǐng)域獲得一種相對排他的管轄權(quán)。

(三)潛在的負面作用

本地化措施在國際貿(mào)易中被視為一種消極的貿(mào)易保護手段，常常被稱為本地化貿(mào)易壁壘，而成為貿(mào)易法律發(fā)展過程中亟須解決的新鮮問題。其中數(shù)據(jù)本地化被歸入為國家對信息和通信技術(shù)(ICT)采用的本地化舉措。這種措施受到了國際貿(mào)易法學(xué)者的普遍詬病，被稱為數(shù)據(jù)重商主義(Data Mercantilism)。它被認為阻礙了數(shù)據(jù)利用的最佳方式，并在其生產(chǎn)、存儲、處理過程中帶來了地理位置的限制。[27]18

正如前文所述，數(shù)據(jù)被視為國際經(jīng)濟甚至是現(xiàn)代資本主義的血液和命脈，血液的生命在于流動，而數(shù)據(jù)本地化措施違背了數(shù)據(jù)需要流動的天性，這或許會對經(jīng)濟造成負面影響。2014年歐洲國際政治和經(jīng)濟中心(ECIPE)基于GTAP8均衡模型分析了數(shù)據(jù)本地化政策對各國國內(nèi)生產(chǎn)總值、外商投資造成的負面影響，其中對中國經(jīng)濟影響的研究結(jié)果分別是GDP為-1.1%和外商投資為-1.8%。[28]另一方面，數(shù)據(jù)本地化可能造成跨境服務(wù)質(zhì)量下降，甚至引發(fā)糾紛，而這些糾紛的直接受害人可能是境內(nèi)的消費者。(16)參見《佳電(上海)管理有限公司與亞士創(chuàng)能科技(上海)股份有限公司買賣合同糾紛一審民事判決書》，上海市長寧區(qū)人民法院，(2018)滬0105民初9351號。最后，過于模糊的數(shù)據(jù)本地化范圍將會引發(fā)國際社會的不滿情緒，從而削弱我國立法的可接受度。我國《網(wǎng)絡(luò)安全法》第37條在送審稿階段，46個外國商業(yè)組織聯(lián)名向國務(wù)院抗議該草案，他們認為受限制傳輸?shù)臄?shù)據(jù)范圍過于全面且模糊(comprehensive but ambiguous)，并且他們認為這項立法將會傷害到中國與他們之間的貿(mào)易。[29]美國一向主張堅持數(shù)據(jù)的自由流動和反對數(shù)據(jù)本地化。2018年，美國貿(mào)易代表委員會在其撰寫的貿(mào)易狀況的評估報告中針對多國數(shù)據(jù)本地化政策表達不滿，并且對我國出臺的《網(wǎng)絡(luò)安全法》《國家安全法》以及《反對恐怖組織法》中涉及的數(shù)據(jù)本地化措施所采用的措辭最為強烈。其批評主要集中在中國的法律未能將安全性事項和一般性商業(yè)事項做出區(qū)分。[2]104-106另一方面，該報告也針對歐盟的數(shù)據(jù)本地化做法表明了自己的態(tài)度，但使用的詞語就中性許多，它對歐盟主導(dǎo)的數(shù)據(jù)本地化做法用了“不幸(unfortunately)”這個詞語，體現(xiàn)出美國對歐盟立法的一種無奈之感，這也反映出歐盟的數(shù)據(jù)本地化途徑更具接受度。

六、關(guān)于中國現(xiàn)有數(shù)據(jù)本地化立法的建議

(一)明確數(shù)據(jù)本地化的立法目的和保護客體

如前文所述，除我國以外，數(shù)據(jù)本地化立法均以個人數(shù)據(jù)權(quán)利為保護的客體，而我國對數(shù)據(jù)本地化的規(guī)制則以網(wǎng)絡(luò)安全為首要宗旨。國家安全固然是實施網(wǎng)絡(luò)保護措施的合理理由，然而是否一定需要通過本地化手段進行規(guī)制仍然值得商榷。對于關(guān)鍵信息基礎(chǔ)設(shè)施保護的國家針對網(wǎng)絡(luò)系統(tǒng)實施保護的對象，保護方式包括技術(shù)方式和法律方式。技術(shù)方面強調(diào)對本地CII進行加密保護，法律方式側(cè)重于對CII的營運者及其營運行為進行監(jiān)管，而不直接指向CII中所包含的數(shù)據(jù)信息。而我國《網(wǎng)絡(luò)安全法》觸及CII中所存儲的數(shù)據(jù)本身，這一規(guī)定實際上削弱了營運者的數(shù)據(jù)控制權(quán)，從而增加其數(shù)據(jù)跨境應(yīng)用的成本和跨境競爭的實力，對我國企業(yè)發(fā)展數(shù)字經(jīng)濟有所損害。筆者認為，《網(wǎng)絡(luò)安全法》中所規(guī)定的重要數(shù)據(jù)和個人信息所指向的保護客體對應(yīng)公共利益和私人利益，其保護的方式可以加以區(qū)分。比如涉及核設(shè)施、化學(xué)生物、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動、海洋環(huán)境以及敏感地理信息數(shù)據(jù)(17)參見《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》第9條。，筆者認為此類數(shù)據(jù)屬于與國家安全高度相關(guān)的數(shù)據(jù)，針對其保護在提高技術(shù)加密程度的同時，可在運營者的準入階段進行規(guī)制。另一方面，根據(jù)世界主要國家互聯(lián)網(wǎng)指數(shù)發(fā)展排名，我國互聯(lián)網(wǎng)發(fā)展指數(shù)位列全球第二位，[30]僅次于美國，因此我國在立法中應(yīng)當鼓勵擴大營運者的控制權(quán)，過度本地化將與這一趨勢相違背。

(二)加快個人數(shù)據(jù)民事權(quán)利的賦權(quán)

筆者認為，數(shù)據(jù)本地化的目的主要在于對本國數(shù)據(jù)主體信息權(quán)保護，它需要一套較為完善的個人數(shù)據(jù)保護法律體系相佐。我國民法學(xué)界也有很多學(xué)者呼吁針對個人數(shù)據(jù)保護制定相關(guān)的專項法律。2017年3月全國人大代表、全國人大常委、財經(jīng)委副主任委員吳曉靈，全國人大代表、中國人民銀行營業(yè)管理部主任周學(xué)東以及45位全國人大代表向兩會提交《關(guān)于制定〈中華人民共和國個人信息保護法〉的議案》，建議盡快制定《中華人民共和國個人信息保護法》，但該部法律仍未落地，這也可能是立法者率先借用公法對個人數(shù)據(jù)進行規(guī)制的主要原因。

(三)兼顧國家主權(quán)與國際融合

國際法不同于國內(nèi)法最大的特征是缺乏至高無上的權(quán)威。國際社會是多中心的，國家和國家之間的立法實踐相互獨立卻又相互影響，好的實踐不斷被后來者模仿使用，從而形成了習(xí)慣。至今，習(xí)慣法仍然是國際法最主要的淵源。世間本無國際法，引用主體多了，就形成了國際法，從這個意義上講，國際法產(chǎn)生的過程也就是規(guī)則競爭和篩選習(xí)慣的過程。任何空白領(lǐng)域都是富有習(xí)慣產(chǎn)生的肥沃土壤的，網(wǎng)絡(luò)空間中的秩序真空由于迫切的矛盾和沖突，勢必會引發(fā)一系列的法律實踐競爭。數(shù)據(jù)本地化正在向習(xí)慣的方向演進，然而過程中的諸多細節(jié)是我們需要發(fā)現(xiàn)和把控的。筆者認為，在應(yīng)對數(shù)據(jù)本地化這一問題時，我國應(yīng)當注重本國利益與國際潮流的融合，將個人信息作為數(shù)據(jù)本地化所規(guī)制的主要對象。這一方面可以促進我國本國個人信息權(quán)法律體系的建立；另一方面也可以樹立大國形象，加強我國立法在國際習(xí)慣法形成過程中的話語權(quán)。