美國數據霸權的建構與法律應對
2023-04-29 18:47:23馮碩
太平洋學報 2023年8期
馮碩
摘要: 數據霸權內嵌于美國的霸權體系之中,并沿著“制度—價值” 的框架展開建構。其既依托技術實力以控制者標準不斷擴張數據主權,也借助對自由價值的輸出推動數據的自由跨境,在維護本國數據安全的同時不斷染指他國數據。對此,其他國家在同美國的合作與博弈中形成以防御為導向的法律工具,通過數據本地化和權利化維護利益。面對美國的數據霸權,中國應發揮國際法的規制功能,在強調數據主權的地域標準基礎上綜合利用國際硬法和軟法,以人類命運共同體思想為指引,促進數據領域的合作共進。
關鍵詞:數據霸權;數據主權;數據跨境;國際法治;經濟制裁
中圖分類號:D99 文獻標識碼:A 文章編號:1004-8049(2023)08-0045-14
2022 年9 月5 日,中國國家計算機病毒應急處理中心明確2022 年6 月22 日西北工業大學遭受的網絡攻擊系美國國家安全局(NationalSecurity Agency)“特定入侵行動辦公室”發起。①2023 年7 月26 日,武漢市地震監測中心也疑似遭到美國情報機構的網絡攻擊被竊取數據。②這均揭露了美國長期竊取他國數據的行徑,既嚴重威脅了我國國家安全,更引發國際社會對美國數據霸權的關注與擔憂。黨的二十大報告指出要健全國家安全體系,強化包括數據在內的各領域安全保障體系建設,健全反制裁、反干涉、反“長臂管轄”機制,完善國家安全力量布局,構建全域聯動、立體高效的國家安全防護體系。③2022 年12 月2 日頒布的《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》更明確強調要反對數據霸權。因此,本文首先在美國霸權體系框架下挖掘其建構數據霸權的原因與路徑。同時,也聚焦其他國家對美國數據霸權所做出的法律應對,明確當前各國在數據治理法律體系構建中的差異與共識。在此基礎上,筆者將試圖從中國立場出發在國際法的層面探尋規制美國數據霸權的路徑,實現國際法所倡導的合作共進。
一、美國數據霸權的建構理路:“制度—價值”體系的延伸
美國謀求數據霸權是維系霸權體系的邏輯延伸,符合其主導世界格局的利益訴求。美國數據霸權建構既基于其在網絡空間領域的技術實力,也滲透著霸權體系建構中形成的價值理念,成就了一個制度與價值相互配合的權力體系。
1.1 數據霸權體系:美國維系霸權的邏輯延伸
冷戰后美國成為唯一的超級大國,并建構起一套符合其利益的霸權體系。“霸權”一般被視為一種地位或狀態,表現為一個強國控制或主導著體系中其他國家的狀態,①其需要依靠一套體系保障國際秩序的穩定和利益格局的平衡。二戰后美國便意圖建構一個“核心—半邊緣—邊緣”的依附結構,其中半邊緣與邊緣國家的利益不均等地向核心國家輸送,成就了美國的霸權地位。② 在該結構中,以國際法為主的規則體系成為支撐其存在和發展的工具,美國通過各類條約實現并維護著利益,借助條約義務與責任將他國捆綁于這套體系。美國霸權體系的形成既有賴于以自由為核心的價值理念輸出,也仰仗于對各種政治、經濟甚至軍事手段使用中形成的制度。
在價值理念上,盡管美國以多元民族融合的移民國家為底色并倡導所謂的開放、多元和言論自由,但其從建國伊始便將反對公權介入和維護個體自由的理念奉為圭臬。即使在自由主義同保守主義的政治博弈中,該理念仍是不可撼動的價值底線。也恰是在以自由為核心的個人權利觀驅使下,美國在參與國際事務中希冀于建構所謂的“自由世界”。③ 在制度上,美國在經濟領域形成“貿易—科技—金融”相互支撐的世界體系,其依靠貿易推動科技發展,并將科技優勢轉化為貿易優勢以擁有金融優勢,而金融優勢能不斷鞏固科技優勢轉過來又強化貿易優勢。在政治領域美國則通過“暴力—盟友—規則”相互支撐的體系,構建以軍事實力為后盾和政治盟友為聯系的支配體系,壓制威脅其霸權的不穩定因素。④
但美國建構和維系霸權的過程并非一帆風順,1930 年代的經濟大蕭條一度阻礙了美國霸權體系的建構,1970 年代的布雷頓森林體系崩潰和2008 年金融危機更令其戰后建立的霸權體系產生衰落跡象。在20 世紀的兩次危機中,美國均憑借相對穩定的科技體制和富有活力的創新精神,迅速找到了新的力量增長點。故在21 世紀的霸權衰落中,美國便看中了數據在數字經濟時代的基礎性和重要性,意圖通過綜合利用政治、經濟與科技等多領域優勢增強對全球數據的控制和規則的主導,將之納入美國霸權體系并通過法律加以固化。
特朗普(Donald Trump)政府時代高舉“美國優先”的政策,對以中國為代表的新興國家展開法律戰,在數據領域的動作更趨于強悍和頻繁。其率先在貿易與投資領域對以字節跳動為代表中國企業發難,以國家及公民數據安全為由禁止TikTok 在美運營。同時,美國執法與司法機構也頻繁向臉書、谷歌等美國企業施壓,要求其交出掌握的他國數據。該過程中美國按照資本的邏輯重塑市場預期,對高階、低階數據建構兩種截然相反的價值規制體系,既嚴格限制技術數據的出境或按照市場原則征收高價許可費,又對于資源型的個人數據主張自由流動原則,限制他國政府對數據流動實施監管。
與經貿領域圍繞數據展開的制裁手段相似,在金融領域美國更加大了有關數據的審查力度。戰后美國建立以美元為國際貨幣的金融體系鑄就了金融霸權,既依靠美國龐大的金融市場吸引各國企業赴美上市融資;也借助環球同業銀行金融電訊協會管理的國際資金清算系統(Society for Worldwide Interbank Telecommuni?cations)等把控全球金融數據交換通道,令美國的金融法律產生全球效力。近年來,美國證券交易委員會( United States Securities andExchange Commission)日益關注上市企業在信息披露中的數據安全,借助金融監管手段不斷染指別國企業的數據運營。① 這種帶有定向制裁意圖加強行政和司法對經貿和金融活動的干預,既控制了外國獲取美國數據的通道,也加強了其對他國數據的搜集力度。
拜登(Joseph Robinette Biden, Jr)上臺后繼續維系數據霸權并與中國等新興國家展開競爭,②借助立法、執法等方式重塑科技產業供應鏈體系并加強對競爭國家的聯盟制裁,以維持美國科技產業的絕對優勢。立法上,其以中國為靶向將諸如《迎接中國挑戰法案》《無盡前沿法案》等涉及美國科技發展的法律議案合并為《美國創新與競爭法》,希冀擴大美國在科技領域的優勢,強化在全球獲取數據的技術實力。③
同時,拜登政府不斷加強對信息與通信技術和服務供應鏈的安全審查。一方面,其以國家安全為名嚴格限制境外資本和實體進入美國科技市場,防范外國實體染指美國數據。另一方面,其明確將涉及包括中國在內的“外國對手”擁有、控制或受其管轄或指示的人設計、開發、制造或提供的APP 的交易納入有關法規安全審查的范圍,嚴格監管相關實體對數據的使用。這限制了外國實體進入美國科技市場并接觸數據的可能,斬斷了由其一手建立的全球科技產業供應鏈,在維系數據霸權的同時防止其他國家威脅美國的科技優勢。另外,美國借民主之名維護科技霸權。打造“芯片聯盟”“清潔網絡”等科技“小圈子”,給高科技打上民主、人權的標簽,將技術問題政治化、意識形態化,為技術封鎖他國尋找借口。④
所以,在美國維系霸權的進程中,建構數據霸權已成為當前的重點,采取的相關措施中法律也成為重要的工具。其滲透著美國霸權體系在制度和價值兩方面的意圖,并集中體現在以數據控制標準擴張數據主權和以數據自由流動建構數據流通模式兩方面。
1.2 數據控制標準:基于科技優勢的主權擴張
主權是國際法的核心概念,美國霸權體系的建立繞不開對自身及他國主權的處理,對數據主權的界定也構成數據霸權體系的基礎。盡管主權在概念上長期處于模糊狀態并伴隨時代發展呈現出不同樣態,但其“對內最高”“對外獨立”的屬性卻在國際法上被普遍認可,并逐步衍生出主權平等原則。⑤ 主權與霸權在理論上存在關聯,主權是經由國際法確認的權力并主要以屬地為界限,界限以內的國家活動往往能得到國際法的認可。超出界限的權力則會侵犯他國主權并可能構成霸權,這便會遭受他國及國際社會的批評與反對。
雖然國際法強調主權獨立與平等,但隨著全球化加速,主權的“對內最高”和“對外獨立”似乎在某種程度上阻礙了全球化。在經濟領域,如何以弱化主權的方式推動經貿一體化,成為這個時代國際法學者所探索的命題。約翰·杰克遜(John Jackson)就認為主權所涉及的真正問題是國家如何分配權力,根據不同的事項可以將主權分解為具體的權力,然后思考如何正確地分配,故主權會隨著經濟的全球化經由國家進行讓渡。① 恰是基于該理論,美國憑借強大的經濟實力開始通過締結條約的方式促使各國讓渡主權,進入到其所設計的國際體系中。這在某種程度上構成了對半邊緣和邊緣國家主權的侵蝕,使美國主權超越屬地和傳統國際法的束縛在全球無限擴張,為其各領域霸權的建構奠定基礎。
隨著網絡空間的出現,美國依舊想要沿著現行制度的慣性,實現對包括數據在內的全球網絡空間資源的掌控。故其需要明確一種符合美國利益的網絡空間主權理論,這便包括對數據主權的界定。
數據主權強調的是國家對數據和與數據相關的技術、設備、服務商等的管轄和控制。② 作為互聯網誕生地,美國長期在網絡技術和設備方面占據優勢,并形成了對全球互聯網的控制。數據依靠網絡傳輸,域名系統則是互聯網運行的基礎,其中,根服務器(Domain Name System)是整個域名系統的核心支撐點。互聯網產生以來,支撐全球域名系統的共有13 臺根服務器,其中主根服務器位于美國本土,其余12 臺服務器有9 臺位于美國,3 臺位于美國盟友(英國、瑞典、日本)的境內。③ 同時,在域名分配上目前主要由“ 互聯網名稱與數字地址分配公司”( Internet Corporation for Assigned Names andNumbers)負責。雖然這是一家位于美國的私營機構,但實際上仍被美國政府主導,故美國控制著全球的數據傳輸通道。
在設備與服務層面,一國對互聯網的控制力關鍵在于其是否掌握著以創造、控制及信息溝通為基礎的電子和計算機資源,包括硬件基礎設施、網絡、軟件及人類技能等。自互聯網誕生以來,整個互聯網技術幾乎全部締造于美國。無論是支撐計算機運行的芯片等硬件制造,還是以Windows、iOS 和Android 為主的操作系統,無不由美國公司創造并控制。所以,無論計算機設備位于全球何地,美國依舊對數據設備保持著控制。另外,以蘋果、微軟及谷歌為代表的美國互聯網公司長期壟斷互聯網產業,并在全球不斷開疆拓土,掌握著數以億計的數據,成為美國建構并維護數據霸權的重要依托。
基于對數據終端和通道的絕對控制,美國始終想要打破現實層面以地域疆界為邊界的主權范圍,將網絡空間打造成為一種“全球公域”強調其公共屬性,為美國擴張主權提供可能。
在此基礎上,美國進一步強調國家依舊對數據享有控制權,數據主權邊界的劃分則應以數據控制者為標準。即數據控制在哪國設備手中,該國便可對該數據行使主權。基于此,美國制定的《澄清域外合法使用數據法案》(簡稱“云法案”)就強調,無論數據存儲于何地,只要數據由美國主體所控制則美國便有權獲取,相關主體也有義務提供。在美國控制數據終端設備和傳輸通道并依托大型互聯網公司覆蓋全球的背景下,這無疑宣告了美國享有對全球數據的主權,否定了他國主權并成就了美國的數據霸權。因此,盡管主權崇尚“對外獨立”,但現實卻是大國憑借實力對他國進行主權侵蝕。戰
戰后美國始終以自由價值為遵循進行對外價值輸出,①尤以經濟領域倡導放松國家經濟管制推動貿易與投資等自由化為典型。例如在經貿領域,美國借助比較優勢理論倡導各國基于自身稟賦進行生產分工,通過合作建構全球產業鏈實現各自的利益。也正是在這套話語范式下,美國極力鼓吹自由貿易,說服他國沿著其設計的國際貿易體系調整產業,通過締結多邊條約的方式搭建起以世界貿易組織(WTO)為核心的國際經貿體系。②
在美國借助某些話語范式加速經濟全球化的基礎上,其也推動一種以“非國家化”“標準化”“趨同化” 和“一體化” 為特征的法律全球化,深刻影響著各國的法律制度構建。③ 盡管借助國際法向國內法滲透推動規則一體化的模式促進了各國的經濟發展,但這種所謂的法律全球化卻暗含著一種對美國利益與規則的貫徹,成就了一種美國法的全球化或各國法律的美國化,④成為美國維系霸權的重要支撐。
以倡導自由價值為核心形塑相關國際規則并促使其他國家締結條約的方式,成就了美國在經濟領域的霸權,故其仍想要在數據問題上沿用該路徑。美國認為數據盡管會涉及到個人隱私及國家安全等,但作為數字經濟時代的核心資源,它的商業價值更為凸顯。故在美國的數據治理體系中,其倡導“小政府大市場”的自由主義經濟模式。一方面,通過憲法和單行法不斷限制行政權對數據的干預,為數據的全球流動消除公權障礙;另一方面,也尊重私法自治,推動各方基于自身利益訴求制定合理的數據流動規則,賦予私主體在保護個人權利和創造商業價值之間更大的選擇權。⑤
秉持自由的價值理念,美國在與數據有關的條約中也強調對他國政府的限制,極力推動數據的自由跨境。一方面,美國始終強調數據作為一種經濟要素涵攝于現行國際經貿規則中。尤其在WTO 等多邊自由貿易體制下,各國都應秉持貿易與投資自由化的理念減少對數據跨境的限制,否則便可能成為一種數字貿易的保護主義而帶有“非法性”。⑥ 另一方面,面對WTO 的停擺和美國愈發難以對其掌控的現實,美國另起爐灶開啟了對新型雙邊及多邊經貿條約的起草與談判,貫徹著數據自由跨境的立場。2009 年美國加入《跨太平洋伙伴關系協定》(簡稱TPP)談判,促使TPP 數據跨境規則走向自由化。TPP 要求締約方不得強迫本國公司在計算服務中采取本地化策略,禁止要求公司向本國個人轉讓技術、生產流程或專有信息等。并且在數字貿易方面堅持非歧視原則并取消貿易壁壘,不得以超出協議的必要措施阻礙數據跨境傳輸。⑦ 盡管最終美國并未加入TPP,但作為TPP 繼承者的《全面與進步跨太平洋伙伴關系協定》延續了數據自由跨境的立場,顯現出美式數據跨境規則的影響力。在《美墨加協定》(USMCA)中,美國更直接禁止一切將計算設施放置于一國境內或使用一國境內計算設施的本地化要求,⑧保證北美經貿活動中數據跨境的充分自由。
數據自由跨境看似延續了美國自由經濟模式,實則將美國在傳統經濟領域的霸權延伸至數據領域。如前所述,美國掌控著全球數據終端和傳輸通道,在數據獲取和使用方面具有絕對優勢。各國政府通過行政手段限制數據跨境會弱化美國獲取全球數據的能力。故只要通過條約等工具要求締約方允許數據自由跨境,便能夠繼續維護美國的利益并強化其數據霸權。
該理念內嵌于美國的數據霸權體系中,成為侵蝕他國數據主權并擴張本國主權的有力說辭,保障了數據霸權的建構。因此,美國數據霸權的建構內嵌于現有的霸權體系之中,并依托實力沿著“制度—價值”的方式持續推進。美國基于對數據終端設備和傳輸通道的絕對控制,以數據控制者為標準劃定數據主權范疇,意欲突破主權的地域界限打造數據公域。在此基礎上,美國更鼓吹數據自由跨境的價值理念,借助條約等極力限制他國對數據跨境的干預,保證其能夠合法地獲取全球數據。但在面對他國獲取美國數據時,美國則借助貿易、科技與金融等領域的法律工具,強化對相關國家和企業的干預,以防他國染指本國數據而威脅其數據霸權,凸顯雙重標準。
二、應對數據霸權的法律措施:大國博弈中的數據策略
戰后美國在各領域的霸權嚴重損害了其他國家的利益,更威脅著國際法倡導的公平與正義,阻礙了世界各國的共同發展和利益共享。①圍繞霸權的博弈主要寓于大國之間,面對美國再度對數據領域的染指,包括歐盟、中國及俄羅斯在內的大國紛紛圍繞數據展開規則構建,以期綜合利用國際法和國內法應對美國的數據霸權并與之展開博弈,這也為其他國家提供了路徑借鑒。
2.1 合作與博弈:以防御為導向的法律應對
長期以來,歐盟、俄羅斯和中國與美國之間存在競爭,也是美國維護霸權所必須關注的對象。面對美國的數據霸權嵌入到全球數字經濟發展中,它們既需要基于經濟利益與美國展開數據領域的合作,也不得不采取相關法律措施與美國進行博弈以防范數據霸權的侵蝕,呈現出合作與博弈交織的樣態,并凸顯出一種防御的姿態。
美歐作為長期的盟友,雙方在各領域的利益交融并合作深入。但在歐盟數據規則的形塑中,其很早就將美國認定為數據保護不充分國家,這引發了美國政府及企業的不滿。美國認為,數據的自由跨境是現代商業的常態,應在限制濫用的情況下鼓勵跨境流動創造更大的商業價值,歐盟此舉無疑是貿易保護主義的表現。②
對此,20 世紀末起美歐就對數據的跨境問題展開談判,并于2000 年達成了以美國商業機構自愿加入并滿足歐盟數據保護標準為內容的《安全港協議》。2013 年“棱鏡門”事件爆發引發歐盟對美國數據竊取的再度反抗,故2015 年《安全港協議》被歐盟法院以無法達到歐盟數據保護標準為由判決失效。③ 此后,美歐雙方通過進一步溝通再度達成《隱私盾協議》并重點限制了美國政府對數據的染指,防止其威脅歐盟的數據安全。但隨著《通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR)出臺后歐盟數據保護規則再度細化,2020 年歐盟法院再度以《隱私盾協議》不滿足歐洲所強調的數據人權保護標準為由將其判定無效,又一次關閉了美歐的數據跨境通道。④ 此后美國一直希望與歐盟達成新的數據跨境協議,力圖在符合歐盟標準的前提下保障美國的數據收集能力。2023 年7 月10 日,歐盟委員會通過了《歐盟—美國數據隱私框架的充分性決定》形成了新的數據傳輸通道。該框架設立數據保護審查法院等機制將美國情報機構對歐盟數據的訪問限制在必要和適當的范圍,美國公司在傳輸歐盟個人數據時應確保數據的可靠性、準確性與完整性并接受歐盟的定期審查。①
除了雙邊協議外,美歐既通過國內立法貫徹各自的數據治理目標而形成合作與博弈,也在其參與的多邊國際條約的形塑中維護自身利益。在國內法上,《澄清域外合法使用數據法案》(即“云法案”)賦予了美國政府繞開互惠原則等直接獲取他國數據的權力。② 對此歐盟直接強化了GDPR 的阻斷效力,強調“云法案”并不能成為向美國轉移個人數據的法律依據。因為GDPR 第48 條明確要求在不存在國際協議和無法證明對GDPR 沒有損害的前提下,他國機構無權調取歐盟境內數據。③ 在相關國際條約的形塑中,歐盟也試圖弱化美式數據自由跨境規則的影響。例如在《跨大西洋貿易與投資伙伴關系協定》(TTIP)的談判中,歐盟始終立足人權保護立場強調數據跨境流動必須滿足歐盟標準,且相關數據和具體行為必須受到歐盟的控制與監管。④ 美歐的互動充分反映出在美國數據霸權影響下雙方合作又博弈的關系。其中美國始終希冀于借助條約強化數據獲取能力,暴露出染指他國數據的意圖,歐盟則主要以防御姿態應對美國的挑戰。
反觀新興國家,長期以來俄羅斯深受以美國為首的西方的國家的經濟制裁,在網絡領域更頻繁遭受美國的攻擊。因此,2019 年俄羅斯主動采取斷網演習,發現了大量威脅其國家安全的美國“暗樁”。在數據跨境上,俄羅斯要求企業必須通過其境內的數據處理器對公民數據進行存儲、修改和刪除,幾乎關閉了美國合法獲取俄羅斯數據的通道。⑤ 雖然中美存在利益分歧,但因經濟合作的深入和各自的利益需求,雙方依舊需要數據流動的國際通道。《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)和《中華人民共和國數據安全法》(以下簡稱《數據安全法》)都賦予行政機關對關鍵數據風險評估的權力。同時,境外主體調取中國境內數據應根據有關法律和中國締結或者參加的國際條約、協定,或者按照平等互惠原則來進行。非經中國主管機關批準,境內組織、個人不得向外國司法或者執法機構提供存儲于中國境內的數據。對于美國頻繁對中國企業的制裁,中國則通過阻斷法和行政處罰等方式禁止中國企業向美國交出數據。
所以,在美國數據霸權的建構中,包括歐盟、俄羅斯和中國在內的主要經濟體均基于維護自身利益與之形成合作與博弈共存的狀態。在美國數據霸權不斷加強的背景下各國的防御姿態也更加明顯,并在相關法律規則的構建中呈現出數據的本地化和權利化趨勢。
2.2 數據本地化:以地域標準應對控制標準
主權作為一種抽象的表述,在現實規則層面則表現為一國對有關事項是否具有管轄權。自國際法誕生以來,地域標準便是一國確定管轄權的基本標準,其也成為確立主權范疇的基礎,美國以控制者為標準確定數據主權無疑突破了該標準。
面對美國通過數據主權擴張建構霸權的事實,各國率先從主權概念入手展開應對。早在2003 年,聯合國信息社會世界峰會達成的《日內瓦宣言》首次明確了與互聯網有關的公共政策決策權是各國主權。⑥ 《塔林手冊》作為近年來推動網絡空間規則形塑的重要文本,在網絡主權的規則制定上并未糾結于概念的辨析,而是通過強調一國具有對本國境內網絡基礎設施和相關行為的控制權來框定主權邊界,尊重了主權的地域標準。① 2021 年世界互聯網大會烏鎮峰會上發布的《網絡主權:理論與實踐(3. 0版)》更將網絡主權定義為“國家主權在網絡空間的自然延伸,是一國基于國家主權對本國境內的網絡設施、網絡主體、網絡行為及相關網絡數據和信息等所享有的對內最高權和對外獨立權”,明確了現行國際法規則在網絡空間的適用性并強調了地域標準的基礎性。
在數據領域,對以地域為標準的主權界限的落實則通過數據本地化實現。所謂數據本地化,主要指通過直接的法律限制或其他規定要求,將個人數據保留在其原始管轄范圍內,并對數據的出境進行審查和適度限制。② 數據本地化首先需要明確“地”的范圍,這構成了對數據主權范圍的界定。歐盟無論是1995 年《關于涉及個人數據處理的個人保護以及此類數據自由流動的第95 /46 / EC 號指令》(以下簡稱《指令》) 還是2018 年《通用數據保護條例》(GDPR),其都在適用范圍內框定了數據的主權。《指令》第4 條第1 款規定所有數據控制者只要設立于歐盟境內或者使用了境內設備便受其規制,凸顯了地域標準是確立歐盟數據主權的核心。GDPR 第3 條一方面仍將領土作為適用的基本范疇,沿用了《指令》對地域標準的堅持;另一方面,面對大數據和云計算等技術的發展,該條亦將向歐盟提供商品、服務或監測歐盟的數據運營者納入規制范圍,構成了一種以屬地管轄為基礎并結合住所地、市場地等標準的糅合性規則。③ 因此,從《指令》向GDPR 的演進中,盡管歐盟已顯露出適度擴張管轄權的意圖,但仍堅守以領土為標準的數據主權,維護對域內數據的控制力以應對美國的數據主權擴張。
在以地域標準劃定數據主權范疇的基礎上,數據本地化主要依靠數據的本地存儲和跨境審查予以實現。在具體規則方面,GDPR 著重就數據出境審查作出規定,希冀于通過劃定數據出境標準來打造歐盟的統一數據市場,并帶動其他法域向歐盟數據保護標準靠攏。一方面,GDPR 通過確立“充分性保護規則”以白名單的方式劃定企業數據傳輸的目標國,防止企業將歐盟數據在全球任意傳輸;另一方面,其也通過“適當保障傳輸規則” 和“約束性企業規則”,要求企業在域外的傳輸滿足歐盟的標準,即使跨國企業內部的數據跨境也應符合GDPR。除了對行為的約束外,GDPR 同時要求企業通過設立數據保護專員專司數據合規,建立了企業與監管機構的溝通橋梁并時刻維護著GDPR 的規制效果。④
歐盟以外,中國、俄羅斯等也堅持數據的本地化,以應對美國的數據霸權。中國2017 年出臺的《網絡安全法》第3 章便針對網絡安全運行強調國家對關鍵信息基礎設施的控制權,要求相關數據應當存儲于境內。針對數據出境問題,2021 年《數據安全法》第11 條確定了“數據跨境安全、自由流動”原則,實現數據安全和自由流動的平衡。次年國家網信辦公布的《數據出境安全評估辦法》明確了數據出境安全評估的范圍、條件和程序。而2022 年8 月,為指導和幫助數據處理者規范、有序申報數據出境安全評估,國家網信辦編制了《數據出境安全評估申報指南(第一版)》,對數據出境安全評估申報方式、流程、材料等要求作出具體指引,借鑒了歐盟數據分級分類為前提的協議化流動模式。
反觀俄羅斯,不同于中國在適度控制下促進數據自由流動的主張,俄羅斯的政策則更為保守。早在2015 年其就要求國內外企業必須將所有俄羅斯用戶的個人數據存儲于本國境內,并將之解釋為俄羅斯數據保護的首要準則。
近年來美國對俄羅斯的全面制裁更促使其強化數據的本地存儲。俄羅斯也通過對谷歌、推特等互聯網企業的監管,強調企業數據本地存儲的義務, 呈現出一種“ 孤島式” 的數據保護模式。①
數據本地化在主權層面是應對美國借助數據控制標準擴張主權的措施,但在更深層次上也顯露著相關國家意欲沉淀數據以支持本國科技產業發展的目的。因為作為數字經濟時代的基礎性要素,數據以虛擬替代性、滲透性、易復制性、準公共物品性、規模經濟性、要素互補性等獨特的技術經濟優勢特征,融入傳統產業,賦能制造業技術創新、生產變革和市場拓展,在促進產業升級等方面發揮關鍵作用。② 美國在全球網羅數據的做法便是通過積累數據助力本國科技產業的發展,中國等后發國家也在近年來加強了對數據的科技產業化,以期為本國科技發展積累資源。質言之,數據獲取和控制能力直接關系到各國產業競爭與發展,因而美國堅持建構數據霸權而主要競爭國家則要對此作出應對。
2.3 數據權利化:以保障權利控制數據流動
對于美國倡導的數據自由跨境,主要大國均基于數據的特性試圖從保障權利的角度予以應對。數據作為一種新興的權利載體,既關涉個人的財產與人格權利,也涵攝于國家主權的范疇,成為應對美國主權擴張的話語基石。故在通過數據權利化應對美國數據霸權的策略中,主要大國一方面將數據上升為基本人權的高度,為控制數據流動提供話語正當性;另一方面,其也借助主權的對外獨立性,與美國的數據主權擴張展開正面交鋒。
從個人權利的視角出發,數據可以以是否具有“可識別性”(identifiable)為標準分為個人數據和非個人數據。凡是單獨可以識別出特定自然人的數據或者與其他數據結合后能夠識別出自然人的數據,都是個人數據,反之,則為非個人數據。③ 由于個人數據可以對自然人作出識別,故會與相關個人權利產生聯系,尤其關涉以隱私權為核心的人格權。
歐洲諸國作為較早關注個人數據保護的國家,相關立法就將數據與人格權掛鉤。頒布于1950 年的《歐洲人權公約》明確了“任何人享有私人,家庭生活及其住宅被尊重的權利”,被視為整個歐洲數據保護體系的淵源。歐洲多數國家認為,個人數據關乎每個人的隱私,映射著公約所維護的名譽與尊嚴。每個人都有權控制自己的個人數據以何種方式公開,從而控制自己在世人面前的形象以免于羞辱和窘迫。④ 基于對人權尤其是歐洲公民隱私權保護之目的,1981 年《有關個人數據自動化處理的個人保護公約》便將個人數據隱私權作為歐盟數據保護的重要目標。
1981 年《有關個人數據自動化處理的個人保護公約》通過后,歐洲很快意識到美國在數據領域對其造成的威脅,歐共體更指出只有將數據上升到人權高度而納入人權公約的保護范疇,才能真正抵擋他國對歐洲數據的覬覦。⑤ 因此,《歐盟基本權利憲章》第8 條明確將個人數據保護納入歐盟公民基本權利,賦予了公民相應的數據公開同意權、訪問權及修改權,同時強調了成員國對保障該權利的責任。據此,歐盟委員會及其成員國的數據監管機構不用再依靠公眾知情權而獲得充分的執法權,任何個人數據的保護水平只要未滿足保護基本人權的要求,監管機構都可以進行執法,法院也可以據此審查和修正行政機關的行為。① 由此,無論是1995 年《指令》還是2018 年《通用數據保護條例》(GDPR)都以維護公民人權為理據展開設計,并重點關注數據跨境問題。其要求數據出境地應當符合歐盟的數據保護標準,構成一種以守為攻推動規則產生域外效力的模式。
數據除了關涉隱私權等人權外同樣關涉主權,國際法視域下強化數據的主權屬性關系到各國權益的維護。早在2011 年中俄等國便向聯合國大會提交《信息安全國際行為準則》,強調了網絡主權的重要性,凸顯了新興國家的基本立場。習近平主席更指出《聯合國憲章》確立的主權平等原則是當代國際關系的基本準則,理應適用于網絡空間,尊重網絡主權更是推進全球互聯網治理體系變革的首要原則。②
作為同樣以數據本地化為立場的法域,之所以歐盟和新興國家在應對美國數據霸權推動數據權利化上側重點不同,主要還是基于各自的現實情況和發展目標。對于歐盟而言,作為歐洲國家的聯合體,它的主權是一種經成員國讓渡形成的集合主權,需要在特定事務中與成員國進行分享,③故對主權的運用更為謹慎。但在歐洲一體化中,以人權保護為依托創制的歐洲公民概念實際促使成員國讓渡主權形成聯盟。人權本身便在歐洲的法律體系中占據著核心地位,故數據權利化會側重于人權屬性。同時,歐盟在數據領域雖不及美國掌握絕對優勢,但作為美國長期盟友其仍在美國構筑的國際秩序中獲益,亦想在通過法律手段在保護己方數據的同時強化對域外數據的監管。故從《指令》向GDPR 的演進中展露出對地域標準和效果標準的復合,以期擴大歐盟數據規則的域外適用,防止過度強調主權而限制其自身利益。
反觀新興國家,在以美歐等西方世界主導的國際秩序與國際法體系下,長期遭受壓迫使其對主權話題更為敏感。④ 以《聯合國憲章》為基石的現代國際法至少在規范層面維護了各國主權,故在包括數據主權在內的相關新興領域的國際法構建中,為防止重蹈覆轍其自然也會訴諸于主權的平等與獨立,這也能占據道義高地以凸顯西方霸權的非正義。另外,盡管新興國家近年來信息技術發展迅速但仍難以與美歐比肩,故在數據政策上需要以維護本國數據安全為主。將現行國際法引入網絡空間以地域為標準劃定數據主權邊界,凸顯了對本國數據利益的堅守。
三、數據霸權的國際法規制:基于中國的立場
面對美國建構數據霸權的企圖,雖然各國均作出了相應的法律應對,在國際法層面也需要選擇可行的規制路徑。尤其隨著中國日益走近世界舞臺中央,在促進國際法治并規制美國霸權上的作用不斷凸顯,中國更應基于自身立場借助國際法應對美國的數據霸權。
3.1 厘定規制基礎:堅守國際法的公平正義
從威斯特伐利亞體系到凡爾賽—華盛頓體系再到雅爾塔體系,盡管每一階段各國都希冀于以國際法維護自身利益,但國際法仍是大國權力平衡的產物。即使二戰后聯合國得以組建并形成以《聯合國憲章》為基石的現代國際法,但大國一致模式仍根植于國際秩序的勢力均衡和集體決策,美蘇等大國的權力平衡更維系著國際社會的基本穩定。所以,彼時的國際法實際上依托于國際秩序的勢力均衡,大國將意志貫徹于國際法而約束著其他勢力,其他國家很大程度也忌憚于大國強權而不得不選擇依國際法行事。
聚焦美國,其在過去百余年間始終未放棄維系霸權的初衷,冷戰時期的美蘇抗衡令超級大國的行為仍顯忌憚,但蘇聯解體后美國作為唯一的超級大國行為卻愈發肆意。其憑借強大的實力牢牢把控著國際經濟的發展,并通過發動戰爭、制裁和封鎖等方式侵蝕他國主權以維護霸權。此時美國便以“國際規則”之名扭曲國際法的意旨,意欲將之變為維護美國意志的霸權工具,他國則忌憚于美國強悍的實力多選擇讓步。但新世紀以來,新興國家的快速崛起加速了國際力量對比的“東升西降”。面對國際秩序從權力單極世界向勢力均衡的回潮,美國不得不作出反應以維系霸權,在規則層面則表現為守成大國與新興大國就規則主導展開博弈。①一方面,美國通過大規模的“退約”和阻礙WTO運行等方式否定了多邊合作機制,這種對國際法合則用不合則棄的態度令其喪失國際信譽。另一方面,美國通過資助建立小多邊國際條約的方式維系對國際規則的主導權,保持其在各領域的霸權地位。②
面對美國對所謂“國際規則”的堅持和霸權的維系,以中國為代表的新興國家需要基于實力的提升在國際法層面表明態度。強調以國際法為基礎的國際秩序,堅守國際法的公平與正義便是最為理性的選擇。③ 這既符合國際秩序向著勢力均衡方向邁進的現實趨勢,也能夠占據國際法的道義高地以揭露美國的霸權目的。
對于數據霸權而言,盡管美國掌控著全球數據設備終端和傳輸通道,但數據仍產生于各國而要求國家基于人權或主權進行保護。針對美國數據主權的擴張,我們應認識到主權與霸權的內在關系。國際法下主權應有限度,在合法合理的區間內行使主權能夠得到認可,超過限度的主權便構成了某種程度的“霸權”,威脅到國際法所倡導的各國主權獨立與平等。在現行國際法下建構數據主權仍應遵循《聯合國憲章》的宗旨與原則。憲章所倡導的主權獨立與平等仍貫徹著勢力均衡的理念,并凸顯著主權的地域標準。故強調數據主權的地域標準,允許各國數據本地存儲和出境審查,無論從利益上還是道義上都具有正當性。
面對美國強調的數據自由跨境的價值攻勢,我們更應基于本國利益強調數據在保障人權和維護主權上的重要性。在國際社會中領導國的關系性權力也源于其因積極創建并自覺遵守國際規范、在國際社會樹立和捍衛道義而對追隨國產生的吸引力。如果領導國漠視并破壞國際法和國際規則,關系性權力實際上就轉變為因果性權力,追隨者會不再繼續追隨。④ 當前美國對多邊規則體系的破壞已表明其長期倡導的所謂自由經濟范式帶有虛偽性,失去了國際法應有的道義。故各國應繼續加強數據的權利化,強調數據的人權與主權利益并展開數據監管,從而矯正美式數據自由跨境的價值偏差,重塑話語權均勢。
面對大變局時代國際力量對比趨于均衡的趨勢,各國既要通過對《聯合國憲章》的援引強調數據治理規則制定權的勢力均衡,堅守以地域為標準的數據主權標準并將其化為國際法規則;也要以保障數據人權和主權為基石推動數據的權利化,從價值上揭露美式數據自由跨境的虛偽性,重塑國際法話語權的均勢,維護國際法的公平與正義。
3.2 選擇規制路徑:重視國際法的“軟硬結合”
對美國數據霸權的國際法規制,既要順應當前國際秩序調整趨勢形成更加公平的數據治理制度,也要選擇適當的路徑將設想轉化為具體規則。國際法的規制路徑并不限于以條約為代表的國際硬法,也包括原則上不具有法律約束力但可能產生實際效果的行為規則,國際組織、多邊外交會議通過的包括決議、宣言、聲明、指南或者行為守則等在內的,一些能產生重要法律效果的非條約協議等國際軟法。⑤ 因此,在借助國際法規制美國數據霸權的過程中,應綜合利用國際硬法和國際軟法實現路徑協調。
在國際條約等硬法的形塑中,近年來主要的國際經貿協定均涉及到數據。在美國推動數據自由流動的過程,從《跨太平洋伙伴關系協定》到《美墨加協定》均限制締約方的數據本地存儲和跨境審查,為實現數據霸權留下必要的國際通道。在《跨大西洋貿易與投資伙伴關系協定》中歐盟也通過強化本地主義立場,令其他締約方也不得不作出特別規定,以滿足歐盟數據保護標準。在美歐兩大陣營外,新加坡、智利與新西蘭也嘗試探索新的路徑并于2020 年達成了《數字經濟伙伴關系協定》(DEPA)。其允許締約方開展業務的企業更加自由地進行數據跨境,展現出全球主義的傾向。但同時也允許締約方對與人權和主權有關聯的敏感數據作出規制,希冀于通過透明度、目的規范、使用限制、收集限制、個人參與、數據質量和問責制等制度的構建,推動締約方在國內建立一個與這些原則相匹配的框架,促進各國保護個人信息法律之間的兼容性和可操作性。① 但由于美國對數據霸權的追求和歐盟、俄羅斯及中國等大國對數據霸權的抵御,全球數據治理規則仍存在較大差異,相關條約也僅停留在特定陣營或小多邊狀態,全球性的多邊數據條約恐一時難以形成,這便為軟法提供了空間。
早在1980 年,經濟合作組織(OECD)便發布《隱私保護和個人數據跨境流動指南》引領各國數據跨境規則的完善。1990 年聯合國發布的《關于計算機化個人數據處理指南》更進一步強化了對數據治理的關注度。新世紀以來,面對歐盟等法域數據保護標準的不斷提升和美歐之間展開的規則博弈,2004 年亞太經合組織就隱私保護達成共識并簽署了《亞太經合組織隱私保護框架》。② 2013 年,OECD 也對指南進行修訂,在保持原有框架基礎上加入了隱私管理項目和國家政策戰略等條款,以適應數字經濟的發展并影響新興國家的立法。所以,面對美國再次建構數據霸權的企圖,包括中國在內的大國應充分利用軟法對美國數據霸權展開規制。首先,應發揮軟法的包容性,促進多元主體的規則協調。不同于國際硬法囿于國際法淵源的嚴格范疇和形式要求之中,軟法無論是在內容上還是形式上都更具包容性,促進了國際法體系的豐富與發展。③ 中國要充分利用各類網絡空間國際規則形塑的合作平臺,通過參與和影響軟法的制定來擴大國際合作基礎。面對當前數據治理中美國與其他國家的立場分歧,各國也要在明確數據本地化和權利化的基礎上,看到數據跨境流動的商業價值,倡導數據有序跨境,推動各方理念的融合。
其次,要充分發揮軟法的前瞻性,就數據治理可能的演進方向作出預先規劃和設計。一方面,要結合當前國際局勢看到美國推動數據霸權可能的方向,在符合自身利益的同時率先凝聚共識提前作出應對,有效抑制美國的霸權企圖。另一方面,也要看到互聯網時代漸進式爆發的發展動向,④順應并推動數據領域的技術與規則創新,防止軟法規則成為互聯網發展的障礙。
最后,要看到軟法向硬法演進的客觀規律,在凝聚共識的前提下嘗試形成單一領域或事項的硬法,分步驟地織就數據治理的國際硬法體系。軟法并不是法律的終局,而是一種演進的狀態,并會隨著時間的推移轉化為硬法。⑤ 因此,在有關數據領域的國際規則形塑中,為規制美國數據霸權并維護本國利益,應采用分步驟的方式凝聚各方共識,率先形成雙邊或小多邊的條約以表明態度并強化規則約束力,形成規制數據霸權的有力聯盟。
3.3 明確規制理念:倡導國際法的合作共進
在更為宏觀的視角下,數據領域的國際規則必將形成一個內嵌于現行國際法制度中的規則體系,故需重視整個體系建構的理念。無須諱言,相關規則形塑的重要目的是防范美國的數據霸權,推動國際規則朝著公平、合理、民主的方向發展。但基于國際法發展趨勢和構建人類命運共同體的立場,規則的形塑更應以推動數據治理的國際合作和共進為根本目的,規制數據霸權也只是實現該目標的過程性目標。
戰后國際法的發展以冷戰為界碑。在冷戰巔峰階段,國際法表現為共存;在冷戰緩和階段,國際法呈現合作;在冷戰結束后,國際法便顯露出共進趨向。① 美國在冷戰結束后形成的霸權體系盡管在一定程度上促進了國際合作與共進,但其仍是以自身為核心建立的利益分配秩序,改變了國際法所倡導的平等合作的初衷。故在包括數據領域的國際規則體系建構的過程中要擯棄美國中心主義,以新的理念推動國際合作和共進,這便為中國承擔負責任大國角色并促進全球治理法治化提供了契機。
2013 年以來,習近平主席在多個外交場合提及“人類命運共同體”并引發國際關注。從國際法角度,人類命運共同體思想不僅蘊含人類社會的奮斗目標和先進的新型國際關系理念,還蘊含對世界各國有約束力的國際法基本原則和規則。② 秉持人類命運共同體理念,在數據治理國際規則的形塑中應將合作與共進落在實處,中國更應發揮作用。
首先,應闡明數據本地化和權利化的合理性,尊重并維護以地域標準為基礎的數據主權。目前,強調數據的人權與主權利益已經成為包括中國在內的多數國家的共識。故應允許各國采取數據本地存儲和出境審查,不能像美國一樣以獲取數據便利化為目的采用雙重標準侵蝕他國數據主權。
其次,應兼顧數據的商業價值,推動數據有序流動。數據本地化和權利化并非禁止數據的流動,極端的數據保護政策也不利于數字經濟發展。應盡快建立相應的數據存儲和出境審查標準,帶動相關國際規則形塑。從歐盟的實踐看,采用“白名單”的方式劃定數據出境地并進行動態審查的方式具有可操作性。在雙邊和小多邊規則的基礎上,也要利用“一帶一路”等新型多邊合作平臺倡導數據治理的多邊主義。這既能區別于美國霸權主義下采用的單邊和小多邊方式,也能在共商中凝聚共識,在共建中拓寬平臺,在共享中實現福祉。
最后,應明確本國數據保護和跨境政策,為國際合作提供窗口并帶動相關規則的形塑。從中國的實踐看,《網絡安全法》和《數據安全法》都對維護網絡與數據主權并推動數據有序跨境作出規定。2019 年印發的《中國(上海)自由貿易試驗區臨港新片區總體方案》更明確提出“實施國際互聯網數據跨境安全有序流動……試點開展數據跨境流動的安全評估,建立數據保護能力認證、數據流通備份審查、跨境數據流通和交易風險評估等數據安全管理機制”,這與歐盟所倡導的“白名單”模式形成呼應。該規定也在2021 年出臺的《深圳經濟特區數據條例》中有所體現。隨著2022 年《數據出境安全評估辦法》的實施,相關工作也逐步推開,部分跨國企業在通過評估后獲得數據安全出境的資格。中國的實踐既表明了其展開數據治理合作的態度和方式,也推動了相關領域國際規則的形塑,顯現了國內法向國際法溢出的效果。
四、結 語
面對百年未有之大變局下國際力量對比的動態調整和國際數據治理規則體系的加速構建,盡管美國仍希冀通過擴張數據主權和強化數據自由跨境的方式建構以“制度—價值”為支撐的數據霸權,但歐盟、俄羅斯和中國等主要大國均以數據本地化和權利化的方式,在合作與博弈中弱化數據霸權的影響。
數據治理國際規則內嵌于國際法體系,中國在推動構建人類命運共同體的進程中更應重視借助國際法規制美國的數據霸權。首先,中國應繼續堅守國際法的公平正義,捍衛以國際法為基礎的國際秩序。通過引入《聯合國憲章》的宗旨與原則,強化數據主權地域標準并堅持本地化存儲,使之成為規制美國數據霸權的基石。同時,也要從保障人權和維護主權的角度應對美國數據自由跨境的價值鼓吹,占據國際法的公平與正義之高地。其次,應尊重各國在數據治理上的不同方式,既要積極參與相關軟法規則的構建,將中國的數據治理理念和主張內化于國際規則中,推動國內規則的國際化;也要適時推動相關軟法的硬法化,通過締結貿易與投資條約等途徑形成有拘束力的數據治理規則和流通通道,促進國內法與國際法的接軌。
最后,應看到防范美國數據霸權是實現數據治理規則朝著公正合理方向發展的過程性目標。中國應以人類命運共同體理念為指引,在具體規則體系形塑中尊重各國數據主權的平等與獨立。通過締結雙邊及多邊條約和明確本國數據治理規則等方式,借助數據跨境評估審查和協議化的數據出境模式打造數據跨境的國內規則。在實踐中提升國內規則的國際認可度,加強數據領域的國際合作并推動國際規則的趨同共進。
編輯 鄧文科
