數據主義視角下美國跨境數據政策演進及我國的應對

丁 瑋

(哈爾濱工程大學 人文社會科學學院，黑龍江 哈爾濱 150001)

在全球信息化時代，海量數據的跨境存儲、傳輸、分析處理，亦成為難以阻擋的發展趨勢。在數據全球化的時代，數據跨境流動中的個人數據和信息保護，成為各國立法關注的重要問題。本文以數據主義為研究背景，分析數據主義時代的基本問題，溯源數據全球化下美國跨境數據政策的演進和影響，探討我國應對數據主義時代跨境數據安全和個人信息保護的政策問題。

一、數據主義時代的問題

(一)數據中心主義

“數據”或更確切地說“大數據”已經定義了當今的社會。正如大衛·比爾(David Beer)在《數據凝視：資本主義、權力和感知力》[1]中所描述的，我們永遠處于“數據凝視”(Data Gaze)之下，該“數據凝視”提取、分析和預測關鍵變量，這些變量被用來以越來越細化的方式定義我們的世界，直至個人。

無論批評、擔心抑或歌頌，我們正身處在以數據為驅動的(data-driven)時代，也可以說是數據中心主義(data centrism)、數據資本主義(data capitalism)為特征的時代。本文采取了較為中性的概念——數據中心主義。數據本身可以使我們“成為更好的人，更健康，更高效，更擅長聯系、互動和選擇”，數據具有“塑造我們的績效水平，我們的能力”的潛力。數據打造了信譽度，滿足了我們作為客戶的需求等等。顯然，這種愿景無處不在，數據不僅改善了從個人生活方式到國民經濟以及公共行政管理的每個方面，而且改善了人本身。比爾甚至用“信念”一詞來形容對這一新興技術的態度，即所有答案、解決方案乃至生命的最終含義都在于數據。而且，這種信念似乎也是自我強化的，積累的數據越多，尋找新的工作和解決新問題的壓力就越大。

在新的數據秩序中，由數據驅動的公司實現了強大的人機結合，可進行快速的實時決策。沒有專門知識的人可以通過訪問數據就能夠獲得并運用相關領域的專門知識。超大體量和超多樣性的全景式大數據分析能夠提供具有啟發意義的準確方案和見解，并具有預測未發生事件的潛力，從根本上改變了管理和決策的能力。在此，權力的真正擁有者是數據解釋者。(1)參見網絡書評Book Review: The Data Gaze: Capitalism, Power and Perception by David Beer，https://blogs.lse.ac.uk/impactofsocialsciences/2019/02/03/book-review-the-data-gaze-capitalism-power-and-perception-by-david-beer/。

數據分析師和數據工程師理清混亂的數據，解決問題，形成新的知識，分析社會狀況，從而“將虛擬的數據轉化為有形的東西”。因此，正是這些人才真正具有代理權，可以對數據進行分類和解釋，即使自動化也正在滲透到他們的領域。而且，由于數據注視不僅是監視，而且是自我監視，因此即使這些活躍的代理人也無法在不斷的“追求完美見解和越來越細化的數據社會”中逃脫其審查，因為數據注視分析一切可分析的事物，包括他們自身。[2]

幾個世紀以來，價格一直是使市場運轉的潤滑劑，有助于克服人為的缺陷。盡管我們認識到無法同時處理多種信息來源，但價格和金錢使我們能夠在復雜的市場中看清方向。可是，大數據以及通過分析和機器學習對其進行的智能應用已經破壞了明智的消費者的選擇途徑。當任何具有互聯網訪問權限的消費者可以使用智能工具將其需求和期望與合適的產品相匹配時，價格就不再那么重要，不再是主要的決定因素。數據是新的市場“最有價值球員”(MVP)。實際上，它遠不只是“新的石油”。數據不是等待改進和使用的資源，而是將要改變我們的經濟及其機構的未知要素。[3]從某種意義上說，像Facebook和Amazon這樣的超級巨型公司的統治是工業革命以來最大的政治挑戰。最終的悖論和機遇就在這里：超級巨型公司保存了大部分數據，而全世界收集的所有數據中有85%仍未被使用。權力和投資機會不僅存在于數據本身，而且最終取決于市場參與者如何明智地使用數據，從而重新定義資本和資本主義。

(二)數據帝國主義/殖民主義與數據保護主義的興起

早在1978年，約翰·艾格(John M. Eger)就預言了“跨境數據流”問題。在彼時，計算機與通信技術結合在一起，是“跨境數據流”爭議的核心。 計算機通常被稱為信息時代的象征，就像更早時代的蒸汽機一樣，這些發明不僅改變了工作的性質，而且改變了生活模式。[4](P.1055)數據流動是信息時代的基本特征。數據在國際范圍內的自由傳輸對于跨國企業的業務交易和科學文化信息的共享是必不可少的。然而，頗具諷刺意味的是，各國以保護涉及隱私、安全和跨越國界信息的機密性為主要名義的政策和立法為數據跨境流動筑起堤防。(2)在20世紀70年代，已有18個國家制定了隱私權或“數據保護”法律。其他發達國家和發展中國家在安全方面也有類似的或者正考慮制定的數據保護法律。加拿大、法國、德國、挪威、瑞典、丹麥和美國制定了隱私法。奧地利和比利時的議會制定了隱私權立法。荷蘭和西班牙也起草了類似的法律。芬蘭、愛爾蘭、意大利、日本、新西蘭、瑞士和英國正在研究起草類似法律。轉引自John M. Eger, “Emerging Restrictions on Transnational Data Flows: Privacy Protection or Non-Tariff Trade Barriers”, Law and Policy in International Business, 10(4), 1978, p. 1055。這些政策法律的適用、解釋和執行可能實際上切斷了數據流，對跨國經濟、社會、文化活動以及“信息產品”的輸入輸出，帶來深遠的影響。

數據跨境流通的根本問題除了世界貿易之外，還包括技術轉讓、外國援助和其他與國內經濟、社會和政治政策有關的重要問題?！皵祿蹏髁x”是許多發展中或者欠發達國家關注的國家主權與生存問題。與此相關的另一個概念是“數據殖民主義”。(3)印度法律和IT部長Ravi Shankar Prasad表示，印度需要認真對待隱私，而信息隱私也是不可或缺的，這意味著一個人必須控制其數據及其商業用途，數據帝國主義將不被接受。參見Data Imperialism, https://www.jatinverma.org/data-imperialism。殖民主義是一種國家政策，其目的通常是在經濟上占主導地位，以擴大或保留其對其他人民或領土的權力。帝國主義是一種政策或意識形態，通常是通過軍事力量或獲得對其他地區的政治和經濟控制來實現國家對外國的統治。如果說殖民主義是指一個國家對另一個國家進行實際控制的過程，那么帝國主義是指政治上和貨幣上的統治，無論是正式的還是非正式的。因此，數據殖民主義被定義為國家和跨國公司對數據所有權的激烈競爭，這一過程不僅保留了我們的個人信息，還跟蹤了我們的日常工作、習慣、行為和溝通。根據這些定義，在信息時代，我們不能僅憑其實際存在，如地理范圍和人口等來定義國家。我們都生活在Facebook、Twitter、Instagram、Google、Airbnb、Uber和數百種其他移動應用程序構成的虛擬邊界內。以Facebook為例，盡管它不是一個國家，但是這家美國公司擁有的數據包括每月超過20億活躍用戶的個人信息。從這個意義上講，這個最受歡迎的社交網站擁有了世界范圍內的為數眾多的“殖民地”。與石油不同，數據不是自然界發現的物質，數據的使用必須適當。社會數據的收集和處理通過我們稱為數據關系(data relations)的過程得以展開，該過程可確保將“自然”的日常生活轉換為數據流，基于不斷跟蹤的新社會秩序，為社會歧視和行為影響提供了前所未有的新機會。殖民主義的歷史有助于理解這一過程，數據關系形成了一種新的數據殖民主義形式，通過數據規制了對人類的剝削，就像歷史上的殖民主義占領領土和資源并統治人類以牟取暴利一樣，數據殖民主義為資本主義進入一個新的階段鋪平了道路。(4)這里的“殖民主義”不僅僅用作隱喻，也不是對領土殖民主義歷史形式的呼應或簡單延續，而是指一種21世紀獨有的殖民主義新形式。Couldry和Mejias認為，數據殖民主義將殖民主義的掠奪性歷史與抽象的計算方法相結合，理解大數據就意味著理解資本主義當前對這種新型連結的依賴。正如長期的歷史殖民主義提供了工業資本主義出現的必要前提條件，隨著時間的流逝，我們可以期待數據殖民主義將為資本主義進入新階段提供前提。參見Nick Couldry, Ulises A. Mejias, “Data Colonialism: Rethinking Big Data’s Relation to the Contemporary Subject”, Television & New Media, Vol. 20(4),2019, pp. 336-349.

長期以來對美國在信息技術領域的領先地位感到沮喪的歐洲工業化國家，轉向保護主義的新形式——制定和實施數據保護法。信息即是權力，存儲和處理數據的能力賦予一國在政治和技術上相較于他國的優勢，反過來可能會導致他國跨國數據流的國家主權的喪失。盡管并非其初衷，許多歐洲國家和地區正在以各種數據保護法努力保護“國家主權”免受這種威脅。第一個以隱私權名義限制信息流通的是瑞典，由于發現瑞典公民的資料被瑞典以外的2000多個數據系統存儲和處理，瑞典于1973年頒布了數據法案(5)The Swedish Data Bank Statute (1973: 289) of May 11, 1973.。根據該法，任何傳輸到瑞典以外的數據文件和個人數據必須經過數據檢查委員會批準。此后，德國、法國以及加拿大等國相繼頒布了數據保護方面的法律法規。(6)The German Act of January 27, 1977, titled Law for the Protection of Personal Data Against Misuse in Data Processing, became effective in January 1978; The French Data Protection Law of 1978, Data Processing, Files and Freedom Act; Canadian Human Rights Act, 1976.以此為起點，經過40多年的發展，歐洲數據保護主義的路線圖在《歐盟數據保護條例》(GDPR)上達到了一個新的高度。另一方面，發展中國家不甚關心作為商品或具有財富價值的數據。如前所述，他們的主要關注點是文化泛濫、外國媒體報道失衡以及發達國家不愿意分享其信息產品和技術的數據帝國主義/數據殖民主義憂慮。發展中國家除了施行數據保護的政策法律以外，高科技產業國有化也是其數據保護主義的一種方式。只要世界上還存在數據技術洼地(7)“洼地”相對于“高地”，是指近似封閉的比周圍地面低洼的地形。本文用“數據技術洼地”指代在信息數據技術領域處于落后或劣勢的國家或地區。，數據保護主義就會大行其道。即便像美國這樣的信息和數據技術的領頭羊，也存在類似的顧慮和隱憂。

二、美國跨境數據政策的演進

(一)早期美國跨境數據政策

20世紀70年代，美國的政策決策者和政治團體尚未充分認識到新興的跨境數據壁壘的重要性及其對數據存儲、傳輸、利用等的潛在影響。同樣，美國也很少關注綜合性的國家層面的信息政策需要。相反地，美國將該領域的政策下放給多個政府機構，而這些機構缺乏足夠的協調與合作。尼克松政府時期成立的電信政策辦公室(OTP)是早期的產物。國際信息政策的權限在國務院國際電信政策辦公室和環境與科學事務(OES)辦公室之間劃分。這些問題的管理權力也可以由國家安全委員會、中情局、新成立的國際傳播署(International Communications Agency)以及國務院、商務部、財政部和國防部共同行使。

作為計算機、互聯網與信息技術的發源地，美國優先考慮將國家通訊和信息政策與國內自由市場競爭的經濟政策相結合，其次要兼顧版權和隱私權保護。崇尚自由企業系統的資源分配，以及消費者與企業間的關系由市場力量主導。與非市場經濟國家相比，美國依靠間接的而非直接干預的政策手段。該政策促進了科技企業的快速成長以及數據與信息的跨境自由流動。然而，該跨境數據政策的一個顯著的負面后果是，美國以外的國家開始一個接著一個地制定政策和法律，試圖控制數據的處理、存儲，轉移和使用。

作為美國跨境數據政策發展的重要步驟，1975年跨國企業咨詢委員會和1978年國際數據處理小組委員會相繼成立。眾議院國內政策委員會制定了總統審查備忘錄，涉及在美國和國外適用的隱私法，以及與關注國家安全的重要法律的關系。與歐洲的意識形態形成對比的，是美國的隱私保護方法的實用主義。 美國對于隱私保護的第一次努力是召開濫用信用信息的聽證會，產生了《公平信用報告法》。(8)Fair Credit Reporting Act, 15 U.S.C. §§ 168 la-1 681t (1976).1974年《隱私法》(9)Privacy Act of 1974.僅適用于政府或公共部門。依據該法成立的隱私保護研究委員會，其目的是審查根據該法案提供保護的有效性，專門檢查私營部門的記錄保存方法，“以便確定有效的個人保護標準和程序信息”，并對適用于私營部門的原則或范圍提出建議。

歐洲對數據保護采取更寬泛的看法，并尋求人們免受公共機構和私人的侵害。與大多數歐洲國家不同，美國不采用“綜合”立法方法，而采取逐案檢驗的方法。美國承認個人、公共機構和私營部門的區別。特別是隱私保護研究委員會分析私營部門的特定利益，例如在消費者信貸、儲蓄、保險和就業中，根據個人在每個類別中個人信息的相對能力而采取不同的處理方式。顯然，美國在跨境數據限制和隱私保護政策方面落后于歐洲國家，其對隱私立法的態度已經使它容易受到新興的跨境數據的影響。1974年的《隱私法》僅針對公共部門，不能保護個人免受私人公司的侵害。此外，該法律不適用于非美國公民的個人。某些歐洲國家禁止獲取個人信息，不是因為相關法律禁止轉讓，而是因為美國沒有保護外國國民信息的互惠立法。美國隱私保護立法的不足導致其面臨著跨境數據流問題，美國私人實體實際上可能被數據壁壘包圍，并被隔離在跨境數據流之外。[5](P.20)

(二)《存儲通信法》(SCA)對第四修正案的擴展

The Stored Communications Act(SCA)(10)Stored Communication Act (SCA), codified at 18 USC Chapter 121§§2701-2712). 它是針對1986年《電子通信隱私法》(ECPA)的Title II制定的一項法律，涉及第三方互聯網服務提供商(ISP)自愿和強制披露的“存儲的有線和電子通信及交易記錄”。頒布于1986年，該法案規范了兩種類型的服務提供商電子通信服務(ECS)提供者和遠程計算服務(RCS)提供者。強制ECS提供商披露超過180天的存儲內容或強迫RCS提供商披露內容，政府可以采取三種強制措施：授權令、傳票加通知書或第2703(d)條命令(“超級”搜查令)和通知。在這種要求下，SCA限制了政府強迫互聯網服務提供商(ISP)披露客戶信息的能力，以及ISP自愿向政府披露信息的能力。

美國憲法第四修正案保護個人免受“不合理的搜查和沒收”。根據Katz V.UnitedState的說法(11)389 U.S. 347 (1967).，第四修正案適用于被社會承認的個人對“隱私實際的或主觀的期待”。然而，法院在States V. Miller(12)425 U.S. 435 (1976).案中確立了今天仍然適用的第三方原則，即個人自愿將其擁有的信息透露給第三方，則不享有合理的隱私期待。SCA將電子記錄的隱私保護擴展到類似于第四修正案規定的內容。微軟愛爾蘭公司正是基于SCA提出的對抗政府的隱私保護主張。

(三)United States v. Microsoft Corporation (Microsoft Ireland) (美國訴微軟公司案)

2013年，紐約的執法人員根據《存儲通信法案》(SCA)，要求微軟披露一位被懷疑涉嫌販毒的用戶的電子郵件賬戶信息。微軟遵守了該指令涉及的存儲在美國的數據，但聲明其余所請求的數據存儲在愛爾蘭，該數據未包括在指令的參數之內。微軟隨后申請撤銷指令。地方法院法官駁回了撤銷的動議。第二巡回法院推翻了地方法院的裁決，認為根據SCA的語言和目的，其調整的內容并未擴展到海外數據。美國政府上訴到最高法院，此即為United States v. Microsoft Corporation(Microsoft Ireland)(13)United States v. Microsoft Corp., 584 U.S., 138 S. Ct. 1186 (2018).(美國訴微軟公司案)。微軟取消搜查令的嘗試，將一直困擾立法者和學者多年的問題推到了最前沿，即在當今時代SCA如何適用于國際化數據存儲。

(四)CLOUD法案對SCA的修改

但是，今天大多數提供商都承擔這兩種功能。技術發展使SCA的實施變得復雜。就微軟公司的愛爾蘭訴訟而言，焦點問題是第2703(d)號命令是授權令、傳票還是混合形式，最高法院可以根據不同法理和憲法解釋作出關于域外適用的不同結論。為了解決美國對存儲于境外的數據行使法律執行權，國會通過了The Clarifying Lawful Overseas Use of Data (CLOUD)Act(14)《澄清域外合法使用數據法》，The Clarifying Lawful Overseas Use of Data (CLOUD) Act, 該法案于2018年3月23日簽署成為法律。，通過修改SCA并特別授權政府實體強迫美國的提供商移交存儲在另一個國家的數據。

從2014年開始，參議員Orrin Hatch多次提議Law Enforcement Access to Data Stored Abroad(LEADS)法案，該法案以將SCA擴展到在國外存儲的數據的方式解決美國訴微軟一案中的問題。奧巴馬政府在2016年提出了類似的立法。[6](PP.487-488)但是， 無論是LEADS法案還是其后繼CLOUD法案(2018年2月提交眾議院和參議院)，都沒有能夠在國會引起關注，或是召開聽證會。然而，一旦微軟案在最高法院進行口頭辯論，SCA改革就無法停止了。為了解決微軟案的問題，CLOUD法案修改了SCA，根據SCA的指令即可強制披露由美國公司所持有的海外數據。在政府和微軟雙方的同意下，最高法院根據該法提交了新的數據指令，使該案未決，并撤銷了第二巡回法院的裁決。

三、CLOUD法案的爭議及影響

(一)爭議

美國國會于2018年3月通過的CLOUD法案包含兩部分內容。首先，該法案授權美國與其他符合某些標準(例如尊重法治)的國家達成協議，解決法律沖突問題。為了調查嚴重犯罪，CLOUD法案協議可以用于取消每個國家/地區法律的限制。其次，CLOUD法案明確美國可以要求一個國家/地區的管轄范圍內的公司提供其控制的數據，無論該數據在何時何處存儲。

根據《法案白皮書》(15)“Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act”, White Paper, April 2019. www.justice.gov/CLOUDAct.的介紹和解釋，CLOUD法案的目的是使外國和美國的調查人員獲得服務提供商持有的電子信息的訪問權，該電子信息對于各國調查恐怖主義、暴力犯罪、兒童性剝削和網絡犯罪等嚴重犯罪至關重要。對于管轄權及法律沖突問題，CLOUD法案協議的任何合作伙伴都同意在某些情況下刪除兩國都認為合適的限制提供商遵守協議的法律規定。因而，簽署了CLOUD法案協議的國家能夠使用熟悉的國內法律程序授權訪問數據，并確保另一方的法律不會成為遵守其合法秩序的障礙。根據協議提出的請求，必須相互尊重兩國的利益。截至目前，美國分別與歐盟(16)“Joint US-EU Statement on Electronic Evidence Sharing Negotiation”, Department of Justice, Thursday, September 26, 2019. 從聯合聲明的標題、措辭與內容上看，美國與歐盟和澳大利亞的談判存在較大差異，與歐盟的聯合聲明在標題上并未體現“ClOUD法案”或者“協議”字樣，且聲明內容簡短。可見，美國與歐盟在CLOUD法案談判中存在嚴重分歧，未來合作執行該法案難度較大。、澳大利亞(17)“Joint Statement Announcing on United State and Australian Negotiation of a CLOUD Act Agreement by U.S. Attorney General William Barr and Minister for Home Affairs Peter Dutton”, Department of Justice, Monday, October 7, 2019.進行了CLOUD法案談判，并發表了聯合聲明。英國是第一個與美國正式簽署《打擊網絡犯罪和恐怖分子跨界訪問數據協議》(18)“U.S. and U.K. Sign Landmark Cross-Border Data Access Agreement to Combat Criminals and Terrorists Online”, Department of Justice, Thursday, October 3, 2019. 美國與英國實施CLOUD協議需要解決的新問題，包括可能達成區域協議、執行機制、管理模式、權力機構、人權標準以及問責制和審查等等。的國家。

美國國內對CLOUD法案的反應不一。[7](P.613)美國政府、許多美國科技公司(19)新的《澄清域外合法使用數據法》反映了越來越多的贊成保護全球互聯網用戶，并為跨境治理提供訪問數據的邏輯解決方案。引入兩黨立法是朝著加強保護個人隱私權，減少國際法律沖突，使我們所有人向更加安全的方向前進。Joint letter from Apple, Facebook, Google, Microsoft and Oath.和一些法律學者表示支持法案。支持者認為這是現代刑事調查所必需的，對先前關于跨境數據可訪問性的模糊標準問題做了很好的回答。隨著行政協議的推進，所有有關方面將有機會審查提議的協議，并就該法案的隱私和人權要求是否得到滿足提供意見。行政協議還為美國提供了一種評估外國人身份的新機制，并確保政府對數據的要求符合該法案的隱私保護標準。因此，該法案為正在進行的政府獲取數據的權利標準的公開辯論奠定了基礎。它提供了促進隱私與改善全球伙伴國家的人權實踐的機會。[8]另一方面，公民自由團體和隱私提倡者認為該立法允許外國政府根據不符合美國法律的標準竊聽美國本土；(20)“Allow foreign governments to wiretap on U.S. soil under standards that do not comply with U.S. law”.參見《關于CLOUD法案的聯署信》(COALITION LETTER ON CLOUD ACT)，https://www.aclu.org/letter/coalition-letter-cloud-act。賦予行政部門在沒有國會同意的情況下批準訂立外國協議的權力；可能促進外國政府獲取用于維護人權的信息，如虐待、酷刑等；允許外國政府獲得可能不符合憲法標準的美國個人的信息。該法將過多的權力交到行政部門手中，而缺少防止濫用的機制。缺乏對在外國的美國人的言論自由和隱私保護，侵犯了基本人權。(21)COALITION LETTER ON CLOUD ACT, Advocacy for Principled Action in Government, American Civil Liberties Union, Amnesty International USA, Asian American Legal Defense and Education Fund (AALDEF), Campaign for Liberty Center for Democracy & Technology, Center Link: The Community of LGBT Centers, Constitutional Alliance Defending Rights & Dissent, Demand Progress Action, Electronic Frontier Foundation, Equality California, Free Press Action Fund, Government Accountability Project, Government Information Watch, Human Rights Watch Liberty Coalition, National Association of Criminal Defense Lawyers, National Black Justice Coalition, New America’s Open Technology Institute, OpenMedia, People For the American Way, Restore The Fourth. https://www.aclu.org/letter/coalition-letter-cloud-act.

(二)影響

CLOUD法案對國際社會產生了重大影響。如前文所述，澳大利亞政府支持該法案，并與美國簽署了聯合聲明，稱贊該法案保護個人的同時提高了數據執法的效率和能力。然而，澳大利亞的積極反應與國際社會的普遍反應并不一致，尤其是歐盟成員國因CLOUD法案缺乏與通用數據保護條例(GDPR)的兼容性而強烈反對該法案。歐盟司法專員將該法案描述為“快速程序縮小了歐盟和美國潛在的兼容解決方案的空間。[9]法案被視為“不可阻擋的武器”，令美國“統治世界”，美國科技公司持有的數據將不再是安全的。[7](P.613)歐盟《通用數據保護條例》(GDPR)在CLOUD法案通過兩個月后正式生效，其宗旨是為歐盟成員國提供更加強大的個人數據隱私保護的法律框架。GDPR是一項具有約束力的法律，可在所有歐盟成員國中強制執行。與其他隱私法規相比，GDPR給予歐盟公民控制、刪除其個人數據的權利，即使這些數據存儲在其他國家/地區。GDPR的另一項重要規定是禁止將個人數據以任何不符合GDPR的方式轉移至歐盟以外的國家/地區。GDPR框架下數據共享限制與CLOUD法案的要求之間存在潛在的法律沖突。

為了應對不受保障的外國監視和加強地方機構的執法活動，數據本地化的強制做法被合理化了。印度最近發布了一項指令，要求所有與在印度進行的金融交易有關的數據都必須存儲在印度本地的服務器上。 此外，印度議會也正在考慮一項法案，該法案要求在印度收集、共享或處理的所有數據都必須物理存儲在印度境內。(22)Personal Data Protection Act, ch. 2 § 8, Acts of Parliament, 2018 (India).越南《網絡安全法》2019年1月1日生效，該法要求越南境內的數據本地化，適用于通過越南互聯網提供服務的外國和國內企業，參與收集、分析和處理的個人數據，以及越南用戶生成的數據。[10]

數據本地化的實際效果值得觀察和研究。數據監視技術無需進行物理訪問即可進行，對數據濫用的國際不法行為的懲治也難以奏效。然而，數據本地化卻為本地執法機構濫用數據隱私打開了大門。復制數據會增加數據存儲成本，并對國際貿易產生負面影響。此外，強制性的數據本地化與自由的互聯網思想背道而馳，導致互聯網的“巴爾干化”。亞洲國家強制數據本地化立法顯示，CLOUD法案并沒有實現訪問境外數據的立法目標，外國仍然不愿允許美國自由訪問其本地數據。(23)印度、越南、新加坡等國家紛紛制定數據和信息保護法，限制數據和信息的跨境傳輸。

四、CLOUD法案的主要問題

首先，法律沖突。服務提供商必須披露所有根據合法程序擁有、保管或控制的數據，無論數據的位置如何?！稓W盟通用數據保護條例》(GDPR)對何時將歐盟持有的數據轉移出歐盟設置了許多限制，包括響應非歐盟國家/地區法院發布的指令。(24)《通用數據保護條例》第 48 條規定：“未經歐盟授權的傳輸或者披露法院或法庭的任何判決以及第三國行政當局要求控制人或處理者轉讓或披露個人數據的任何決定，只有在以任何方式得到承認或強制執行時，才能基于請求國與歐盟或成員國之間生效的國際協定，如司法協助條約，而不影響根據本章轉讓的其他理由。”GDPR第48條規定，只有基于“沒有偏見的國際協議，如司法互助條約，才允許數據的跨境轉移”。(25)GDPR, art. 48.鑒于沒有這樣的國際協議授權提供商響應美國的要求轉移歐盟持有的數據，他們需要根據歐盟數據法或者其他法理基礎進行跨境數據轉移。GDPR第49條中規定了兩種例外情況：“一是重要的和必要的公共利益；二是合法的數據控制者的利益不會被數據主體的利益所取代?！?26)GDPR, art. 49.否則數據控制者或提供者跨境轉移數據的行為即違反歐盟數據保護法。因此，法律沖突不可避免，只有美國與歐盟簽署雙邊協議才能消除各自數據法律中的障礙。

其次，訪問權限。法案的第二部分規定了外國政府訪問美國數據的內容。SCA禁止美國的提供商向外國政府披露信息內容，即使是調查與外國犯罪有關的外國公民。吊詭的是，CLOUD法案協議僅授權外國政府訪問位于美國境外的外國人的數據。如果外國政府要求訪問美國公民、合法永久居民以及其他位于美國境內的人的數據，外國政府仍然必須繼續采用MLAT程序。(27)Mutual Legal Assistance Treaty(MLAT)(《司法互助條約》)。解決此類法律沖突問題一般通過制定“共同法律”，啟用”司法互助條約”或“協議”(“ MLAT”)。執法機構可以根據該條約或協議請求外國幫助獲得數據。外國相關機構根據其國內法律標準審核要求，并可以請求國內法院依據司法程序作出裁決，外國執法機構依據法院裁決將獲得的數據傳送給提出要求的政府。具體取決于相關協議國家和要求的復雜性，此過程須經很多步驟和較長時間，對數據時代各國跨境司法互助和刑事調查提出了挑戰。很顯然，CLOUD法案對美國訪問外國數據與外國訪問美國數據設置了雙重標準，這種差異是關鍵性的、也是不平等的。

第三，“合格“政府的審查。為了打擊嚴重犯罪和恐怖主義，CLOUD法案加強了外國政府對跨境電子數據的有效訪問。它提供了一種機制，讓某些外國政府繞過司法互助協議系統，調查嚴重犯罪并直接要求美國服務商提供數據。然而，CLOUD法案是一個需要通過簽署雙邊協議保障實施的法案。合格的外國政府僅限于那些與美國達成數據共享協議的政府。(28)外國的立法和法律實施是否符合法治原則和尊重權利，主要基于以下因素：諸如在《布達佩斯公約》(Budapest Convention)中列舉的，充分的實質性和程序性的網絡犯罪和電子證據法律；尊重法治和非歧視原則；遵守可適用的國際人權義務；規范收集、保留、使用和分享電子數據的明確法律授權和程序；關于收集和使用電子數據的問責制和透明度的機制；顯示出對信息自由流通和全球互聯網的承諾。參見“The Purpose and Impact of the CLOUD Act”, White Paper, April 2019, http://www.justice.gov/CLOUDAct。外國政府只有在以下情況下才有資格簽訂協議：總檢察長與國務卿共同證明并附上解釋，外國政府在有關數據收集活動方面“對隱私和公民自由提供強有力的實質性和程序性保護”。(29)CLOUD Act § 105(a) (to be codified at 18 U.S.C. § 2523(b)).CLOUD法案在擬簽署的雙邊協議中設置了單方面的審查程序和標準，可能是阻礙推廣CLOUD法案和簽署雙邊協議的主要因素。

第四，正當程序。 CLOUD法案不僅涉及美國適用于海外數據的搜查指令，而且簡化了外國執法部門訪問存儲在美國的數據的程序，允許服務提供商向與美國有“執行協議”的外國政府披露信息。此外，該法案還允許沒有達到《竊聽法》(30)Wiretap Act. 《竊聽法》涉及對電子和有線通信的攔截，其中包括“通過使用設施借助電線、電纜或其他類似的連接來進行通信的全部或部分語音傳輸”。要求的外國政府實時攔截在美國內部的數據。這樣的國際訪問以前是通過國家間的雙邊司法互助條約(MLAT)，協助外國政府的刑事司法調查。 MLAT流程確保所有存儲數據都是通過所在國家/地區的法律體系來獲取，而不是由外國政府直接提供在私有實體上的存儲數據。由于執行協議由美國商務部制定，行政部門擁有設定或限制域外數據訪問的巨大權力，這將會引發程序正當性問題和價值沖突。

最后，國際數據立法。一方面，CLOUD法案代表了通過國內法規而非國際會議，制定新的標準和規則的一種國際立法形式。實質性的和程序性的數據隱私保護作為締結雙邊協議的前提條件，普遍地提高了數據隱私保護標準。這種通過區域立法進行的國際立法并不新鮮，GDPR是另外一個例子。通過適用GDPR的隱私權標準和數據轉移限制，GDPR將其義務適用于任何在歐盟市場或以其他方式由歐盟控制、甚至是歐盟范圍以外的服務于歐盟客戶的公司控制的數據。(31)GDPR, supra note 16, art. 3, § 2.另一方面，大型跨國公司的崛起對數據隱私、數據安全及跨境數據流動的國際規則制定帶來了新的挑戰。大型跨國公司控制和管理全球大部分數據業務，將導致規范趨同于這些大型跨國公司所采用的標準。面對上述壓力，各國政府在應對跨境數據政策上，數據本地化可能是重新控制數據權力的一種手段。

五、我國的應對

為應對數據開發利用、數據跨境流轉、境外執法協助等涉及國家安全及公民、法人合法權益保護的數據安全和國際法律沖突，我國采取分頭立法的形式加快立法步伐，《數據安全法(草案)》《個人信息保護法(草案)》的快速出臺恰逢其時，是對當前全球數據保護緊迫需要的必要回應。這里有一系列的問題需要仔細探討。

首先，適用范圍的域外效力?！稊祿踩?草案)》明確了域外監管效力。(32)《數據安全法(草案)》第3條規定，“在中華人民共和國境內開展數據活動，適用本法”，“中華人民共和國境外組織、個人開展數據活動，損害中華人民共和國國家安全、公共利益或者公民、組織的合法權益的，依法追究法律責任”。這一規則是數據主權觀念在法律條款中的基本體現。實際上，我國此前的多項立法已經對法律適用的域外效力有過探討，例如《反壟斷法》對于境外壟斷行為，《網絡安全法》對于境外主體危害境內關鍵信息基礎設施承擔法律責任的規定等。(33)參見《反壟斷法》第2條：“中華人民共和國境內經濟活動中的壟斷行為，適用本法；中華人民共和國境外的壟斷行為，對境內市場競爭產生排除、限制影響的，適用本法。”《網絡安全法》第75條規定：“境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動，造成嚴重后果的，依法追究法律責任；國務院公安部門和有關部門并可以決定對該機構、組織、個人采取凍結財產或者其他必要的制裁措施?！睂τ谟蛲庥绊懳覈伤Ｗo的各類利益的行為進行管轄和約束，這從法理角度存在一定的合理性，而實踐中如何有效實現針對域外危害行為的制裁，則有賴于與國際法層面的域外執行等規則進行銜接與配合。

《個人信息保護法(草案)》第3條境外處理中華人民共和國境內自然人個人信息的活動適用本法的情形：以向境內自然人提供產品或者服務為目的；為分析、評估境內自然人的行為；法律、行政法規規定的其他情形?！秱€人信息保護法(草案)》采取了地域范圍與公民相結合的適用范圍，賦予了必要的域外適用效力，能夠更好地維護我國境內自然人的個人信息權益。對于在處理中國境內自然人個人信息，《個人信息保護法(草案)》第52條提出了在中國境內設立專門機構或指定代表處理個人信息保護相關事務的要求，此舉有助于有效實現本條第2款的立法目的，切實達到對境外主體的效果。

其次，數據安全監管制度?！稊祿踩?草案)》在第3章“數據安全制度”中規定了數據安全監管制度。其中，第20條集中規定了數據安全風險防范制度，具體包括數據安全風險的評估、報告、信息共享、監測預警機制；第21條規定了數據安全應急處置機制，包括職責部門的設立、應急預案的建立、采取具體應急措施以及向社會公眾公布警示信息等內容。(34)參見《數據安全法(草案)》第20規定：“國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制，加強數據安全風險信息的獲取、分析、研判、預警工作?！钡?1條規定：“國家建立數據安全應急處置機制。發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，消除安全隱患，防止危害擴大，并及時向社會發布與公眾有關的警示信息?！遍_展數據活動應當加強數據安全風險監測、定期開展風險評估，及時處置數據安全事件，并履行相應的報告義務(35)參見《數據安全法(草案)》第27條規定：“開展數據活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全件時，應當按照規定及時告知用戶并向有關主管部門報告?！钡?8條第1款規定：“重要數據的處理者應當按照規定對其數據活動定期開展風險評估，并向有關主管部門報送風險評估報告?！钡?8條第2款規定：“風險評估報告應當包括本組織掌握的重要數據的種類、數量，收集、存儲、加工、使用數據的情況，面臨的數據安全風險及其應對措施等?！薄祿踩珜彶橹贫荣x予國家對影響或者可能影響國家安全的數據活動進行審查的職責。出口管制機制，要求國家對與履行國際義務和維護國家安全相關的屬于管制物項的數據依法實施出口管制(36)參見《數據安全法(草案)》第22條第1款規定：“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據活動進行國家安全審查?！痹摋l第2款規定：“依法作出的安全審查決定為最終決定?！薄稊祿踩?草案)》第23條規定：“國家對與履行國際義務和維護國家安全相關的屬于管制物項的數據依法實施出口管制?！?，如果外國對我國的相關投資和貿易采取歧視性等不合理措施的做法，明確我國可以根據實際情況采取相應的措施。(37)參見《數據安全法(草案)》第24條規定：“任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區采取相應的措施?！本惩鈭谭C構調取境內數據阻斷機制，當公安機關和國家安全機關因依法履行職責需要調取數據以及境外執法機構調取境內數據時，對有關組織和個人的相關義務做了規定。(38)參見《數據安全法(草案)》第33條規定：“境外執法機構要求調取存儲于中華人民共和國境內的數據的，有關組織、個人應當向有關主管機關報告，獲得批準后方可提供。中華人民共和國締結或者參加的國際條約、協定對外國執法機構調取境內數據有規定的，依照其規定?！?/p>

第三，為個人信息跨境提供規則?！秱€人信息保護法(草案)》明確了個人信息跨境傳輸的評估與認證規則。這些規則包括(一)告知同意原則。一般情形下，適用“告知同意”原則。個人信息處理者因業務需要確實需要向境外傳輸個人信息的，需要具備安全評估、專業認證或者與境外接收方訂立合同等至少一項條件。(39)參見《個人信息保護法(草案)》第38條規定：“個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當至少具備下列一項條件：(1)依照本法第四十條的規定通過國家網信部門組織的安全評估；(2)按照國家網信部門的規定經專業機構進行個人信息保護認證；(3)與境外接收方訂立合同，約定雙方的權利和義務，并監督其個人信息處理活動達到本法規定的個人信息保護標準?！庇绕渲匾氖牵瑐€人信息處理者除了告知境外接收者的情況、處理方式、目的以及個人權利外，必須征得個人的同意，此即為“告知同意”原則。(40)參見《個人信息保護法(草案)》第39條規定：“個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的身份、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式等事項,并取得個人的單獨同意?！?二)數據本地化。特殊情形下，適用數據本地化原則。數據本地化適用主體包括兩類：一是關鍵信息基礎設施運營者；二是處理個人信息達到國家網信部門規定數量的處理者。在確需向境外提供個人信息的情況下，上述兩類主體應當將在境內收集和產生的個人信息存儲在境內。該草案并沒有完全禁止數據境外傳輸，即并未采取絕對數據本地化原則，而是采取相對數據本地化原則，對確實需要向境外傳輸個人信息的，需要通過國家網信部門組織的安全評估；而對于按照法律法規可以不經安全評估的，從其規定，不進行安全評估。(41)參見《個人信息保護法(草案)》第40條規定：“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。”《個人信息法(草案)》中的數據本地化原則是國際關注的重點內容，該條規定了三個層次的數據本地化原則，體現了立法的原則性和靈活性；數據本地化原則的三個層次指：一是數據本地化一般原則，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當數據本地化；二是數據本地化的例外原則，確需向境外提供的，應當通過國家網信部門組織的安全評估，評估允許向境外傳輸的，可以向境外傳輸；三是數據本地化例外原則的例外規定，確需向境外提供的，法律、行政法規和國家網信部門規定可以不進行安全評估的，可以按照相關規定不進行安全評估。(三)國際司法協助。在國際司法協助的適用情形上，《個人信息保護法(草案)》采取了嚴格的批準制。(42)參見《個人信息保護法(草案)》第41條規定：“因國際司法協助或者行政執法協助,需要向中華人民共和國境外提供個人信息的,應當依法申請有關主管部門批準。”“中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息有規定的，從其規定?！?四)清單制度。草案還規定了類似黑名單、灰名單的清單制度，限制或禁止危害我國公民權益和國家利益的組織、個人接收信息。(43)參見張雅婷《個人信息保護法草案提請審議 互聯網商業模式迎考》，《21世紀經濟報道》，2020年10月14日；《個人信息保護法(草案)》第42條規定：“境外的組織、個人從事損害中華人民共和國公民的個人信息權益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施?！?五)歧視性的對等反制措施。對任何國家或地區對中國在個人信息保護方面的歧視性做法，如限制、禁止或者其他類似做法，我國可以根據實際情況采取相應措施予以反制或報復。(44)參見《個人信息保護法(草案)》第43條規定：“ 任何國家和地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者該地區采取相應措施?！?/p>

毫無疑問，《數據安全法(草案)》體現了鮮明的數據主權原則。第2條開宗明義的規定了該法的屬地管轄原則，進而對境外組織、個人在開展數據活動時損害我國國家安全、公共利益或公民、組織合法權益時規定了保護性管轄原則?！稊祿踩?草案)》明確了數據管轄的域外效力，這既是對《網絡安全法》和《數據安全管理辦法》的突破，也是對美國屬人管轄原則和歐盟效果原則的積極回應。[11]然而，為應對境外執法的長臂管轄，如何合理設置數據跨境審查規則至關重要，對數據流動的限制所帶來的損失可能比數據自由流動更大。(45)Nations are now at a crossroad where they must decide whether enforcing restrictions of data residency and commercial data flows as well as limiting the freedom of commercial operations within national borders are the most effective ways to protect sensitive information. See Jing de jong- Chen, “Data Sovereignty, Cyber security, and Challenges for Globalization”, Georgetown Journal of International Affairs, vol. 16, 2015, p. 112-122.以數據是否存儲在我國境內為標準劃定數據出境審批規則，有違數據分級分類制度設置初衷，影響我國數據產業開拓海外市場。(46)《數據安全法(草案)》第33條規定：“境外執法機構要求調取存儲于中華人民共和國境內的數據的，有關組織、個人應當向有關主管機關報告，獲得批準后方可提供。中華人民共和國締結或者參加的國際條約、協定對外國執法機構調取境內數據有規定的，依照其規定?！币虼?，根據分級分類制度，數據跨境審批規則主要適用于重要數據和敏感數據的審批和限制措施，而對于一般數據應保護和促進跨境流動。[12]

六、結論

數據主義時代是數據驅動的數據中心主義時代，也是數據帝國主義/數據殖民主義和數據保護主義共生的時代。以跨境數據為代表的數據安全與保護政策實踐已經在多國存在，數據安全立法演變為全球范圍內的通過數據的擴張與抵制的法律沖突。美國的跨境數據政策從自由放任，到建立以美國為主導的數據跨境流動秩序和跨境調取數據的模式的演進，反映了數據帝國主義/數據殖民主義自身發展的內在邏輯。我國數據跨境的相關立法是對這一國際數據立法趨勢和政策動態的回應。在數據主義時代，從個人層面來看，個人數據權利既要面對國家(本國和外國)公權力的數據監視，又要抵制大型跨國公司的數據壟斷；從國家層面來看，數據帝國主義/數據殖民主義和數據保護主義形成的數據秩序，導致了新的不平等的社會秩序。整體來看，國際社會對數據主權原則的普遍共識尚未達成。如何在逆全球化時期，推動國際社會達成共識，在尊重數據主權的前提下，建立國際數據流動、公開與共享的機制和標準，讓數據成為全人類共享的信息科技成果，是未來急需面對和解決的共同課題。