網絡主權與數據主權的確立與維護

徐 鳳

一、引言

主權是國家的本質特征和特殊屬性。傳統主權及于領土、領海、領空等物理空間，現代主權則及于網絡(領網)這一虛擬空間，更及于一國之領土、領海、領空、領網管轄下的數據，后二者即網絡空間主權(簡稱網絡主權)和數據主權。但以美國為首的互聯網發達國家，為了其本國的霸權利益，采取“雙重標準”，一方面否定網絡空間主權和數據主權，另一方面卻極力維護自身的網絡空間主權和數據主權，侵犯他國的網絡空間主權和數據主權。以中國、俄羅斯等為代表的國際社會，積極捍衛并最終在全世界范圍內確立了國家的網絡主權和數據主權。從網絡主權的確立，到數據主權的確立，并不是理論演繹的結果，而是經歷了一個國際博弈過程，并由特定的事件所驅動。

我國目前已經建立了以《網絡安全法》為基本框架的網絡主權維護制度，以《數據安全法》為基本框架的數據主權維護制度。這些制度有助于維護我國的國家安全利益。只有充分闡釋好我國《網絡安全法》和《數據安全法》的制度背景和制度理性，以及網絡安全與數據安全的關系，才能提高人們的理性認識，增強人們遵守《網絡安全法》和《數據安全法》的自覺性，處理好這兩部法律之間的關系，進而實施好這兩部法律。

但安全利益并不是國家的唯一訴求，發展利益也是國家的重要訴求。安全與發展，是對立統一的關系。安全是發展的條件，發展是安全的保證。我們既不能一味地為了安全而罔顧發展，也不能只求發展而忘記安全。我國既要維護網絡安全和數據安全，也要大力發展數字經濟。因此，我們應摒棄絕對安全觀，堅持相對安全觀。在充分認識到我國《網絡安全法》和《數據安全法》的制度背景和制度理性的基礎上，還要提防安全訴求過度從而損及發展利益的問題。

二、網絡主權及數據主權的確立

數據主權起始于網絡空間主權。無論是數據主權，還是網絡空間主權，對于互聯網后發國家來說，都不是與生俱來的，而是經過激烈的國際斗爭才爭取來的,是國際社會政治博弈的結果。

(一)網絡主權的確立

互聯網在20世紀問世后不久，1996年，互聯網的奠基人之一約翰·巴洛(John Perry Barlow)在瑞士達沃斯論壇上模仿《獨立宣言》發表的《網絡空間獨立宣言》宣稱：工業世界的政府和法律，不適用于網絡空間，國家對網絡不享有主權?！熬W絡空間不在你們的疆界之內?！彪m然這不過是技術人員的一種烏托邦迷思，但這一主張很快為美國政客所利用。

進入新世紀，各方對網絡主權的爭奪日益激烈。2003年12月10日至12日，聯合國信息社會世界峰會通過的《日內瓦原則宣言》強調，信息社會以《聯合國憲章》的宗旨和原則為前提，“我們致力于堅持所有國家主權平等的原則”。但這遭到了美國的反對。美國擺出了所謂的“全球公域”理論作為其網絡自由主張的理論基礎。美國認為，當前“全球公域安全問題”主要有海上安全、外太空安全、網絡安全和航空安全四類。顯然，這些領域是美國霸權戰略的優先方向，而非完整意義上的全球公域，比如其中并未包含地球生態環境系統。

中國及國際社會其他國家則呼吁確立網絡空間主權。2010年6月《中國互聯網狀況》白皮書提出了“互聯網主權”的概念。2011年9月，中俄等國在第66屆聯合國大會上提交了信息安全國際行為準則，該準則重申了與互聯網有關的公共政策問題的決策權是各國的主權。

法學理論的進步和法律制度的革新往往是為事件所驅動的。2013年，斯諾登披露美國非法監聽全世界，史稱“斯諾登事件”。“斯諾登事件”的影響及意義有：第一，暴露了美國所主張的網絡自由、反對互聯網主權的真正目的是監控全世界，并為其霸權服務；第二，國際社會(包括美國的盟友)對美國的信任不再，喚醒了各國的互聯網主權意識，加速了各國就互聯網主權斗爭達成共識，如巴西特別重視數據保護立法，2016年歐盟通過的《一般數據保護條例》(GDPR)也是這一背景的產物；第三，美國被迫做出妥協和讓步，并以所謂的民間組織——位于愛沙尼亞首都塔林的北約合作網絡防御卓越中心的名義，通過組織專家編纂出版《塔林手冊》，最終承認了網絡主權和數據主權。

在“斯諾登事件”的影響下，2013年6月24日，第六次聯合國大會通過了聯合國“從國際安全的角度看信息和電信領域發展政府專家組”所形成的決議，規定“國家主權和源自主權的國際規范和原則適用于國家進行的信息通信技術活動，以及國家在其領土內對信息通信技術基礎設施的管轄權”。這一條款實質上包含了對國家“網絡主權”的承認。

“斯諾登事件”對我國也有影響。2013年，我國在《從國際安全的角度看信息和電信領域的發展政府專家組報告》中提出了“國家主權可以延伸到本國的網絡空間中，依據國家網絡空間主權，可以對位于本國領土內的網絡設施以及網絡行為實施管轄權”的建議，該建議得到了俄羅斯、巴西、巴基斯坦、白俄羅斯等國的支持。由此，我國逐漸開始使用“網絡空間主權”的概念以取代“互聯網主權”概念，畢竟“網絡主權”的外延大于“互聯網主權”。在經過激烈的爭論之后，最終我國的上述觀點被納入聯合國文件中，成為國際共識。上述成果為我國提出網絡空間主權的理念奠定了國際法理基礎。2015年7月，我國修訂《國家安全法》，第25條首次正式提出“網絡空間主權”的概念。由此，“網絡空間主權”正式入法并得到法律的確認和保障。

2013年出版的《塔林手冊》將網絡主權的管轄范圍牢牢地限定在“一國領土內的網絡基礎設施及其相關行動”。2015年4月，在海牙召開的“塔林手冊2.0國際咨詢會”上，西方法律學者對網絡空間的法律屬性和主權領域范圍做了更深入的探討，提出：第一，國家主權延伸至網絡空間，主權是一國最高權威，對于一國領土上的網絡基礎設施及相關活動，一國有權行使主權；第二，網絡空間是實體和非實體構成的環境，具備使用計算機和電磁環境的特點，包括物理層、邏輯層和社會層三個部分，每個部分都與主權有關；第三，基于主權原則，國家有義務尊重他國處理國際事務的權利，依據“平等者之間無管轄權”而承認管轄豁免。

2017年，《塔林手冊2.0版》推出，第1條明確否定了網絡空間“全球公域說”。“位于一個特定國家領土上的網絡基礎設施連接到網絡空間，不能解釋為該國放棄其主權?！庇纱耍涍^激烈斗爭，“網絡主權”終于成為全球性概念并在國際法中得以確立。中國在這一國際博弈中，擔當了關鍵性角色，發揮了十分重要的作用。我國在網絡空間中的理念主張和實踐行為更表現出一個“領袖型國家”具備的特質：模范地遵守現存合法規則，幫助規劃或提煉一個真正美好的國際體系遠景，并努力將這一體系構建起來。

(二)數據主權的確立

盡管存有爭議，但主權者對數據行使主權卻是當今世界各國的普遍做法。數據立法國際博弈的實質是對數據主權的爭奪。例如，德國《電信法》(2004)規定，電信服務提供商需將元數據在法定時間內存儲在境內。加拿大不列顛哥倫比亞省《個人信息國際披露法》(2006)規定，公共部門，包括中學、大學、醫院、政府、公用事業部門和其他公共機構收集的任何個人數據，存儲和訪問只能在境內，除非信息主體確認并同意可在境外存儲和訪問。印度《信息技術(合理的安全實踐與程序和敏感個人數據或信息)規則》(2011)和《國家數據共享和存取性政策》(2012)規定，數據控制者將敏感個人數據轉移至境內境外第三方時，接收方應保證提供同等水平的保護，且該轉移是為了履行與數據主體合法契約所必需，并得到數據主體的同意。凡是用公共資金收集的信息，必須存儲在印度境內。美國《出口管理條例》(2014)規定，對部分重要數據的出口實行許可管制，只有取得相關部門頒發的許可證才可以出口。韓國《土地測量、航道測量、地籍檔案法》(2014)規定，禁止測量數據向境外轉移。美國《國防部云服務網絡入侵和承包條例》(2016)規定，為國防部服務的云計算服務提供商均應將政府云數據存儲在美國本土，除非得到例外批準。歐盟GDPR(2016)規定，歐盟公民的個人數據不得轉移到達不到與歐盟同等保護水平的國家，并通過“長臂管轄”和巨額罰款制度維護歐盟數據主權。

《塔林手冊2.0版》也一改《塔林手冊1.0版》的做法，承認了數據主權。《塔林手冊1.0版》僅認為“一國可對其主權領土內的網絡基礎設施與活動實行控制”，并沒有提到數據?！端质謨?.0版》解釋說：“在網絡空間內確定管轄權很困難，因為云或網絡的分布式系統，就像數據的復制、動態轉移和處理一樣，能夠跨越國界。由于數據能同時被放置在多個管轄區內，這給在特定的時間確定一個用戶的全部數據及其處理的位置帶來了挑戰。這些技術挑戰并不剝奪一國對位于其領土內的人和網絡基礎設施行使管轄權的法定權利?！薄端质謨?.0版》則確認了主權原則適用于數據。具體言之，《塔林手冊2.0版》雖然沒有提到數據主權這一詞，但確認了國家主權原則適用于一國境內數據?！端质謨?.0版》指出：“國家主權原則適用于網絡空間”，“網絡空間的各個方面以及一國的網絡行動沒有超越主權原則的范圍”?！端质謨?.0版》將網絡空間分為物理層、邏輯層和社會層。其中，邏輯層包括保障數據在物理層進行交換的應用、數據和協議?！端质謨?.0版》在談到屬地管轄權時強調，“屬地管轄權適用于一國境內從事網絡活動的自然人和法人，及其境內的網絡基礎設施和數據”，“數據所在國對于數據具有完全管轄權”?！端质謨?.0版》還強調：“在特定的情況下，國家可對位于其境外的數據行使立法管轄權。”雖然《塔林手冊2.0版》確認了主權原則適用于數據，但僅限于一國境內的數據。對于一國存儲在境外的數據，《塔林手冊2.0版》的多數專家認為，該國并不享有主權，“除非國際法上有明確規定，例如當數據存儲在位于其境外的軍艦等特定的對象上時”。

《塔林手冊2.0版》之后，國際上對數據主權的維護與爭奪更加激烈。2018年3月，美國更是通過了《澄清域外合法使用數據法案》，力圖通過該法案獲取他國數據，但又通過一定的方式阻礙他國獲取位于美國的數據，以維護美國的數據主權。一些西方學者還提出了“數據全球公域說”。這種觀點認為，對充分利用用戶生成數據的巨大社會價值的數據平臺應采取開放、協作和基于激勵的立場；數據應被視為“全球公域”，并應向廣泛的獨立利益相關者、研究機構、記者、公共當局和國際組織開放。這不過是前一階段“網絡全球公域說”的翻版，代表了美國的利益，是一種數據霸權的新表現。2020年7月，歐洲議會發布了《歐洲的數字主權》報告，提出了追求“數字主權”、實現“技術主權”的主要關切和采取的措施。

我國使用“數據主權”概念的最高級別的官方文件是2015年8月國務院發布的《促進大數據發展行動綱要》。該《綱要》指出：“增強網絡空間數據主權保護能力，維護國家安全，有效提升國家競爭力?！钡稊祿踩ā凡⑽闯霈F“數據主權”字樣。其實，《數據安全法》第1條關于“維護國家主權”的表述即宣告了我國對數據具有主權。此外，該法還有許多條款具體維護國家數據主權。在此前的有關法律中，其實也有一些數據主權條款。例如，2018年制定的《中華人民共和國國際刑事司法協助法》第4條第3款，就是國家主權原則在刑事案件調查、偵查、起訴、審判和執行等活動中的體現。2019年底修訂后的《證券法》第177條第2款，也是國家主權原則在證券跨境執法領域中的體現。對此，參與立法者也解釋說，這是基于主權原則。

三、數據主權與網絡空間主權的關系

不同地域、不同語境下的“數據主權”具有不同的涵義。在歐洲所談論的“數據主權”，與我國所談論的“數據主權”，其實不是一回事。歐洲人所談論的“數據主權”，主要是數據主體對數據的權利。由于歐盟GDPR是以個人數據自決權為立基點，因此將數據主體對數據的權利稱為“數據主權”。這種用法，類似于“消費者主權”，本質上是指以“數據自主”為重要內容的個人數據保護和數據主體權利體系規則。而我國的“數據主權”則是國家主權范疇下的數據主權問題，其主體是國家而不是個人。當然，西方越來越多的學者開始在此意義上使用“數據主權”。例如，有學者認為，“數據主權”意味著國家要對一國境內收集的所有數據實施控制，主要分為“數據本地化”即強制化的數據本地存儲，以及“數據保留”即強制化的數據交易記錄。關于數據主權與網絡空間主權的關系，我國既有的研究是不足的。這主要是由于人們對網絡空間主權、數據主權的涵義研究不多，共識較少。

(一)網絡空間主權的基本涵義

2017年我國發布《網絡空間國際合作戰略》，倡導將和平、主權、共治、普惠作為網絡空間國際交流與合作的基本原則。該戰略文件全面闡述了網絡空間主權原則的基本涵義。

第一，網絡空間主權具有對外主權和對內主權兩個方面的涵義。在對外主權方面，國家間應該相互尊重自主選擇網絡發展道路、網絡管理模式、互聯網公共政策和平等參與國際網絡空間治理的權利，不搞網絡霸權，不干涉他國內政，不從事、縱容或支持危害他國國家安全的網絡活動；各國政府有權制定本國互聯網公共政策和法律法規，不受任何外來干預；各國不得利用信息通信技術干涉別國內政，不得利用自身優勢損害別國信息通信技術產品和服務供應鏈安全。在對內主權方面，各國政府有權依法管網，對本國境內信息通信基礎設施和資源、信息通信活動擁有管轄權，有權保護本國信息系統和信息資源免受威脅、干擾、攻擊和破壞，保障公民在網絡空間的合法權益。

第二，網絡空間主權既是權力(權利)，也負有相應的義務。就權力(權利)而言，各國政府有權依法管網，對本國境內信息通信基礎設施和資源、信息通信活動擁有管轄權，有權保護本國信息系統和信息資源免受威脅、干擾、攻擊和破壞，保障公民在網絡空間的合法權益；各國政府有權制定本國互聯網公共政策和法律法規。就義務而言，國家間應該相互尊重自主選擇網絡發展道路、網絡管理模式、互聯網公共政策和平等參與國際網絡空間治理的權利，不搞網絡霸權，不干涉他國內政，不從事、縱容或支持危害他國國家安全的網絡活動；各國不得利用信息通信技術干涉別國內政，不得利用自身優勢損害別國信息通信技術產品和服務供應鏈安全。

第三，網絡空間主權還可以細分為以下四項基本權力：其一，平等權。主權平等原則是國際法的基本原則。網絡空間主權原則是主權原則的延伸，網絡空間主權自然也具有平等性。網絡空間平等權，指網絡之間的互聯互通是以平等協商的方式進行，不受管轄制約的權力。但由于各國的網絡技術水平不同，這種平等還僅僅是一種法律上的平等，而非事實上的平等。其二，獨立權，指本國的網絡可以獨立運行，無需受制于他國的權力。其三，防衛權，指國家為維護網絡空間完整和獨立，具有對外來網絡攻擊和威脅進行防衛的權力。其四，管轄權，指主權國家對本國的網絡可以實施管理的權力，包括國家在領網范圍內的立法管轄權、司法管轄權和行政管轄權。

(二)數據主權是網絡主權的子集

網絡空間主權針對的是網絡空間中的一切設施、數據及其相關活動，而數據主權針對的客體是數據，是網絡空間的一個要素。數據主權從廣義上來看是將數據作為一個領域，從狹義上來看是將數據作為一種事物。數據主權所涉及的數據實際上涵蓋所有信息種類，包括結構化、半結構化和非結構化的數據，幾乎包括任意行為體產生的任意信息或日常行為記錄。很顯然，網絡空間主權與數據主權屬于包含關系，數據主權是網絡空間主權的一個子集。

數據主權是網絡空間時代國家主權理論的新發展。數據具有重要的主權保護價值，數據是國家安全的戰略資源，數據是國家權利的基礎。大數據改變著社會生活的方方面面。廣泛存在于社會各方面的數據和信息必然會成為社會權利的重要來源，成為各國國力競爭的制高點。

國家的網絡主權既包括對其境內物理層面的網絡基礎設施的主權，也包括對邏輯層面的數據和內容層面的信息的主權(即“數據主權”“信息主權”)，二者缺一不可。如果說網絡基礎設施是網絡空間不可或缺的“軀殼”或“載體”，數據和網絡信息就是網絡空間的“靈魂”之所在；離開了“數據主權”“信息主權”的網絡主權，只能是喪失“靈魂”、殘缺不全的主權。

(三)數據主權的特征

認識到數據主權的特征，既有利于明確我國維護數據主權的工作重點，也有利于在此基礎上通過數據的跨境流動，促進數字經濟發展。

第一，相對性更強。傳統主權具有相對性，數據主權的相對性更強，絕對性更弱。數據流動起來才具有價值，包括跨境流動。在數據跨境流動過程中，一國的數據可能流動出去，別國的數據也可能流動進來。一個國家不能只要求境外數據流動進來而阻止境內數據流動出去。

第二，數據主權的相互依賴性。網絡時代和云時代的數據主權已經從獨立性發展為相互依賴性，一個國家在全球網絡空間中不可能完全獨立。一國一旦走上信息高速公路，就必然受國際信息流通規則的約束。信息和數據本身的特點決定了大數據時代各國必須適度合作。一個國家應在保證國家安全的前提下，參與大數據的國際合作，發揮數據所蘊藏的價值，便利本國國民，這就使得數據主權具有了相互依賴性和合作性。

第三，數據主權的平等性和事實上的不平等性。一般來說，數據主權的平等性是各國所爭取的最終訴求。但是，在現實世界，各國數據主權卻面臨著事實上的不平等。這種不平等性既源于一些國家對全球網絡空間的霸權，又源于各國網絡空間和數據技術水平的差異。我國要維護數據主權，既要反對數據霸權，也要提高自身的技術水平。

四、我國對網絡主權和數據主權的維護

(一)基本制度

2015年7月全國人大常委會修訂《國家安全法》，第25條首次提出網絡空間主權的概念和網絡安全的任務，第59條規定了國家建立國家安全審查制度。2016年11月全國人大常委會通過的《網絡安全法》則明確其立法宗旨是維護網絡空間主權和國家安全，并對網絡安全支持與促進、網絡運行安全、網絡信息安全等進行了全方位的規定。這部法律也涉及到數據問題。例如第37條規定了個人信息和重要數據的境內存儲制度。

但《網絡安全法》對數據安全的規定不夠系統，隨著黨的十九屆四中全會決定明確將數據作為新的生產要素，數據在數字經濟中的重要性凸顯，按照黨中央部署和貫徹落實總體國家安全觀的要求，制定一部數據安全領域的基礎性法律十分必要。2021年6月，全國人大常委會通過的《數據安全法》，是中國第一部全面的數據安全立法?！稊祿踩ā分荚谝幏杜c任何類型數據的收集、存儲、處理、使用、提供、交易和發布相關的廣泛問題，并成為自2017年6月1日起生效的《網絡安全法》的重要補充，對中國的數據處理活動和業務運營產生了深遠影響。

《數據安全法》為了維護數據主權，規定了域外管轄權、“對等措施”、重要數據的出境安全管理制度及境外司法執法機構數據調取的“封阻法令”制度。這都是《數據安全法》對數據主權維護的關鍵性制度。

國外學者認為，中國《數據安全法》的許多要求似乎與域外其他數據安全法律相當，特別是GDPR的要求，例如，二者通常都要求公司采取適當措施保障數據安全，在發生事故時通知用戶，并指定負責人員。但在許多方面，中國《數據安全法》的要求比GDPR的要求更為廣泛，例如，中國《數據安全法》不僅管理中國公民的個人數據，還管理與中國國家安全利益攸關的重要數據，并且它比GDPR有更嚴格的數據傳輸限制。

2021年8月通過的《個人信息保護法》也有很多維護我國數據主權的制度。比如，第2章規定了個人信息跨境提供的規則，尤其是第40條規定的個人信息境內存儲制度及跨境數據提供的安全評估制度，第42條規定的黑名單制度、第43條規定的“對等措施”。第66條第2款還借鑒GDPR，引入了巨額罰款制度?？梢哉f，一方面，我國的《個人信息保護法》在對個人信息的保護力度上，在對我國數據主權的維護上，絲毫不弱于歐盟?！爸袊秱€人信息保護法》在規則的嚴厲程度上基本對標歐盟GDPR?！绷硪环矫妫覈摹秱€人信息保護法》阻斷了美國的單邊“長臂管轄”。

(二)制度理性

總體而言，在中美博弈的背景下，我國的《國家安全法》《網絡安全法》《數據安全法》《個人信息保護法》強調維護網絡主權、數據主權，總體上處于守勢地位。為什么我國在這方面處于守勢地位，既沒有完全開放，也沒有轉為進攻態勢呢？這是因為，“世界各國之間秩序的形成與維持從來都不是依賴于道德和權利，其真正內核是權力法則”。雖然萬維網發明于1989年的瑞士日內瓦，但網絡使用方式卻由美國主導。大多數網絡基礎建設都由美國掌控，包括電纜、衛星、服務器與基地臺等。全球超過九成的網絡流量依賴的是美國政府與美國企業研發、擁有或控制的技術。除了網絡基建之外，美國主宰的領域還包括計算機軟件(微軟、谷歌與甲骨文)和硬件(惠普、蘋果與戴爾)。事實上，從芯片(英特爾與高通)、路由器、調制解調器(思科與瞻博網絡)，一直到提供電子郵件、社交功能與云端儲存的平臺與服務(谷歌、臉書與亞馬遜)，美國都遙遙領先于其他國家。美國獨霸全球，掌握著所有人進行網絡連線的總開關。20多年來，我國互聯網發展取得了顯著的成就，包括不少新技術。但與此同時，“我們也要看到，同世界先進水平相比，同建設網絡強國戰略目標相比，我們在很多方面還有不小差距，特別是在互聯網創新能力、基礎設施建設、信息資源共享、產業實力等方面，其中最大的差距在核心技術上?；ヂ摼W核心技術是我們最大的‘命門’，核心技術受制于人是我們最大的隱患”。中國有九億網民，是名副其實的“互聯網大國”或“網絡大國”，但還不是“網絡強國”。我們正在從“網絡大國”向“網絡強國”奮進，正在解決“缺芯少魂”的問題，但在此過程中，我們也應當清醒地認識到：“在缺乏數據科技實力、沒有相應制度保障數據安全的情況下，盲目地開放和共享本國的數據資源，有可能將數據大國的優勢異化為威脅總體國家安全的風險。”因此，《網絡安全法》第37條規定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲”。

維護我國的數據主權，離不開法律，但也不能僅僅依靠法律。在法律這一上層建筑之下，則是科技、軍事、經濟等基礎。只有等這些基礎更牢固了，我們的法律才能更加開放。法律不能單兵突進，必須和科技、軍事、經濟等基礎相匹配。當下，我們不僅僅要研究法律、完善法律，更要發展、提升科技、軍事、經濟等基礎。

五、我國維護網絡主權與數據主權相關制度存在的問題及其完善舉措

(一)我國維護網絡主權與數據主權相關制度存在的問題

在《數據安全法》《個人信息保護法》制定之前，公安部網絡安全保衛局等部門制定的供互聯網服務單位在個人信息保護工作中參考借鑒的《互聯網個人信息安全保護指南》就提出，在我國境內運營中收集和產生的個人信息應在境內存儲，如需出境，應遵循國家相關規定。這一境內存儲的規定適用范圍廣泛，遠遠超過了后來制定的《網絡安全法》和《個人信息保護法》。

除了《網絡安全法》《數據安全法》《個人信息保護法》之外，在某些領域，相關規章也規定了數據的本地化存儲。例如，《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》規定，在我國境內收集的個人金融信息的儲存、處理和分析，應當在我國境內進行。此外，《汽車數據安全管理若干規定(試行)》《工業和信息化部關于加強智能網聯汽車生產企業及產品準入管理的意見》《關于鼓勵和規范互聯網租賃自行車發展的指導意見》《郵件快件實名收寄管理辦法》《國家郵政局關于印發〈郵政企業、快遞企業安全生產主體責任落實規范〉的通知》也都規定了數據的本地存儲制度。此外，一些行政法規和規章還提出了“服務器設在境內”的要求，比如，《地圖管理條例》《關于鼓勵和規范互聯網租賃自行車發展的指導意見》等。還有規章要求在境內設立數據中心。這些要求都是為了維護國家網絡主權和數據主權，但有的缺乏必要性論證，導致某些領域的數據本地化要求過于隨意，與《網絡安全法》《數據安全法》《個人信息保護法》的規定不符，從而導致數據本地化要求過寬。

《個人信息保護法》第3章規定了個人信息跨境提供規則，第38條第1款規定了個人信息處理者向中華人民共和國境外提供個人信息的規則，《個人信息保護法》卻較少考慮中國的數字企業(信息處理者)如何才能從境外獲取更多的境外個人信息。

歐盟的做法恰恰相反，其一方面區分盟內(歐盟境內)流動與盟外(歐盟境外)流動。在盟內，禁止成員國借數據保護之名，行限制個人信息自由流動之實。在盟外，則對數據流動施加了較為嚴格的限制。另一方面，歐盟區分個人數據和非個人數據，為落實歐盟的“單一數字市場”戰略，歐盟于2018年制定了《非個人數據自由流動條例》，意在促進非個人數據在歐盟境內的自由流動，消除歐盟成員國的數據本地化限制。

因此，即便不是在《個人信息保護法》的框架內考慮我國數字企業的境外獲取數據問題，也應該在其他法律之中考慮這一問題。美國的數字企業一出生就具有國際基因和世界格局，全球都是它的市場，全球數據都在美國法律的考慮范圍之內。中國目前在數字經濟規模和數字巨頭的數量方面僅次于美國，但如果我們長期處于一種反對數字巨頭的氛圍之中，忽視中國數字企業的利益，中國的數字經濟規模方面和數字巨頭的數量就會下降得很快，從而讓美國、日本、加拿大、歐洲和澳大利亞的數字企業有更多的可乘之機，中國在全球數字經濟博弈版圖中的地位和話語權就會受到削弱，這不利于中國實現中華民族偉大復興。

2020年9月8日，我國提出了《全球數據安全倡議》，表達我國在數據安全領域的八點主張。我國已經加入《區域全面經濟伙伴關系協定》，并已申請加入《全面與進步跨太平洋伙伴關系協定》及《數字經濟伙伴關系協定》，但尚未與美國、歐盟等大的經濟體簽訂明確的、可執行的數據跨境流動方面的國際協議。相較于美國、歐盟等大的經濟體，我國作為數據大國，目前尚缺乏清晰明確的數據跨境國際戰略，這不利于我國參與全球數字治理的國際規則的制定，樹立我國在全球數字治理的國際規則制定中的主導權。

在數字全球化時代，各國關于數據本地化和數據跨境流動之間的沖突的協調，秉持簡單的單邊主義顯然已不能適應數字時代的需求。我國維護數據主權的做法具有正當性，同時應考慮到國際合作的必要性。

多邊國際規則是各國推行本國利益訴求、尋求國際共識的重要渠道。包括世界貿易組織的《服務貿易總協定》、經合組織的《關于隱私保護與個人數據跨境流動的指南》、亞太經濟合作組織的《跨境隱私規則體系》及《跨太平洋伙伴關系協定》規則等在內的多邊國際規則，都是規范數據跨境流動的重要規制。盡管各國存在分歧，但加強國際合作，促進數據有序跨境流動，已然成為各國基本共識。各國應在數據本地化的基礎上推行數據跨境流動，或者說在推行數據跨境流動前提下實行有限的數據本地化。

美國在數據跨境流動方面，也通過雙邊、多邊協議推進其數據流動政策。自2002年以來，美國已與多個國家簽訂了雙邊自由貿易協定，推行數據貿易自由化。在美國與歐盟的關系上，無論是2000年的《安全港協議》，還是2016年《隱私盾協議》，都是美國推動數據跨境流動的雙邊措施。美國還通過亞太經濟合作組織，積極推進《跨境隱私規則體系》，以及通過推進“數據日內瓦公約”，推行美國的數據自由流動政策。

我國《個人信息保護法》第38條第1款前3項提供的數據跨境流動機制對數據跨境國際合作的體現不足，與歐盟的充分性認定機制也存在著較大差異。歐盟的充分性認定機制實際上是國際數據流動雙邊協議，歐盟意圖通過這一機制構建歐盟的“數據跨境流動朋友圈”。我國《個人信息保護法》對此考慮不足。與歐美相比，我國尚未抓住數據跨境流動方面的國際規則制定的主動權，尚未利用有利的國際關系，形成以我國為主的“數據跨境流動朋友圈”。歐美“數據跨境流動朋友圈”的不斷擴張，難免會給我國未來開展數字貿易帶來更大阻礙。

(二)我國維護數據主權相關制度的完善舉措

我國《網絡安全法》《數據安全法》和《個人信息保護法》已經規定了諸多數據境內存儲制度。由于數據本地化限制數據流動所具有的負面效應和可能引起的國際反對，我國各地各部門的法規規章應與這三部法律保持一致，不宜層層加碼，不宜超過這三部法律的要求另外尋求數據本地化或變相的數據本地化。如果確需數據本地化的，至少需要通過行政法規予以規定，部委規章和地方性法規不宜規定數據本地化或類似要求。

歐盟的充分性認定機制是以歐盟作為一方與其他國家或地區進行談判，以一個超主權組織的力量與對方進行博弈。但我國《個人信息保護法》第38條第一款的前三項數據跨境流動路徑，并未顯示出我國以主權國家的身份與其他國家或地區進行談判、博弈。在大國博弈中，數字企業的力量畢竟是有限的，因此，建議我國利用《個人信息保護法》第38條第一款前四項的兜底條款，適時引入充分性機制或類似機制，以主權國家的身份直接與其他國家和地區進行“一對一”談判，為中國數字企業獲取境外數據提供國家支持，助推中國數字企業海外運營。

跨境數據流動在促進經濟增長、加速創新、推動全球化等方面發揮了積極作用，推動數據跨境自由流動能夠實現保障用戶權利和提升全社會經濟總體效用。我國應加強國際合作，通過多邊和雙邊機制，積極主導、參與數據跨境流動的國際規則制定。一是依托聯合國大會、國際電信聯盟、亞太電信組織、二十國集團、上海合作組織、金磚國家峰會、中國—歐盟領導人會晤機制、中非合作論壇、“一帶一路”等，加強國際數據治理和數據跨境流動規則的研究，提出中國方案，逐步構建一個以我國為主的“數據跨境流動朋友圈”。二是建立數據跨境流動規則的雙邊對話機制，積極同友好國家和地區達成數據跨境流動的雙邊協議，助推中國數字企業“走出去”。