翟志勇

北京航空航天大學(xué)法學(xué)院副教授

一、“棱鏡門”引發(fā)數(shù)據(jù)主權(quán)之爭(zhēng)

2013年6月，曾為美國中央情報(bào)局工作的愛德華·斯諾登向《衛(wèi)報(bào)》和《華盛頓郵報(bào)》披露，美國國家安全局（NSA）和聯(lián)邦調(diào)查局（FBI）于2007年啟動(dòng)了一個(gè)代號(hào)為“棱鏡”的秘密監(jiān)控項(xiàng)目，直接進(jìn)入美國網(wǎng)際網(wǎng)路公司的中心服務(wù)器里挖掘數(shù)據(jù)、收集情報(bào)，包括微軟、雅虎、谷歌、蘋果等在內(nèi)的9家國際網(wǎng)絡(luò)巨頭皆參與其中。消息發(fā)布后，全球輿論嘩然，無論是美國民眾還是美國盟友，都抨擊美國政府的秘密監(jiān)控行為嚴(yán)重侵犯了個(gè)人的隱私權(quán)和相關(guān)國家的數(shù)據(jù)主權(quán)，但美國政府堅(jiān)持認(rèn)為秘密監(jiān)控是為了反恐，并且得到國會(huì)授權(quán)，因此具有正當(dāng)性。

“棱鏡門”事件的重要后果之一是各國和地區(qū)紛紛加快數(shù)據(jù)立法，比如歐盟、中國、俄羅斯、澳大利亞、巴西、加拿大、印度、韓國等紛紛出臺(tái)有關(guān)數(shù)據(jù)保護(hù)的法律，強(qiáng)化個(gè)人隱私和數(shù)據(jù)權(quán)利保護(hù)，推動(dòng)數(shù)據(jù)本地化，加強(qiáng)對(duì)數(shù)據(jù)跨境流通的限制，捍衛(wèi)數(shù)據(jù)主權(quán)，以至于有學(xué)者稱其為“數(shù)據(jù)民族主義”。1Anupam Chander，Uyên P. Lê, "Data Nationalism", Emory Law Journal, Vol. 64, 2015, pp. 677-737.在這場(chǎng)數(shù)據(jù)立法大潮中，對(duì)于個(gè)人數(shù)據(jù)權(quán)利的關(guān)注空前高漲，無論是繼續(xù)從隱私權(quán)的角度探討數(shù)據(jù)權(quán)利，還是將數(shù)據(jù)權(quán)利作為一種新型財(cái)產(chǎn)權(quán)利，各種研究層出不窮，2龍衛(wèi)球：《數(shù)據(jù)新型財(cái)產(chǎn)權(quán)構(gòu)建及其體系研究》，載《政法論壇》2017年第4期。但對(duì)于數(shù)據(jù)主權(quán)的研究卻寥寥無幾。對(duì)于何為數(shù)據(jù)主權(quán)，也有不同的理解，代表性的解釋有兩種。

一種理論認(rèn)為數(shù)據(jù)主權(quán)是網(wǎng)絡(luò)主權(quán)的一個(gè)子項(xiàng)，是領(lǐng)土主權(quán)的一種延伸?！熬W(wǎng)絡(luò)主權(quán)還應(yīng)根據(jù)網(wǎng)絡(luò)空間的技術(shù)特征，進(jìn)一步切分為‘網(wǎng)絡(luò)物理層主權(quán)’、‘網(wǎng)絡(luò)邏輯層主權(quán)’、‘網(wǎng)絡(luò)數(shù)據(jù)層主權(quán)’?！?許可：《數(shù)據(jù)主權(quán)視野中的CLOUD法案》，載《中國信息安全》2018年第4期。網(wǎng)絡(luò)物理層主權(quán)涉及國家對(duì)計(jì)算機(jī)、服務(wù)器、移動(dòng)設(shè)備、光纖、交換機(jī)等網(wǎng)絡(luò)設(shè)備的主權(quán)，這一主權(quán)已經(jīng)得到國際社會(huì)一致認(rèn)可，屬于領(lǐng)土國家的管轄權(quán)。網(wǎng)絡(luò)邏輯層主權(quán)涉及國家對(duì)計(jì)算機(jī)代碼特別是負(fù)責(zé)網(wǎng)絡(luò)互聯(lián)和傳輸?shù)耐ㄓ崊f(xié)議軟件的主權(quán)，此類主權(quán)主要由ICANN、RIRs、ISOC等國際組織掌控，從單純的國家主權(quán)轉(zhuǎn)向“多利益攸關(guān)方的共同治理”。網(wǎng)絡(luò)數(shù)據(jù)層主權(quán)更為復(fù)雜，涉及不同國家對(duì)于海量大數(shù)據(jù)的控制、處理、流通等問題的爭(zhēng)奪，目前尚未形成普遍接受的數(shù)據(jù)主權(quán)模式。

另外一種完全不同的理論則用數(shù)據(jù)主權(quán)“描述互聯(lián)網(wǎng)信息巨頭們對(duì)海量數(shù)據(jù)的占有和使用，以區(qū)別于依托傳統(tǒng)主權(quán)理論而衍生出的‘互聯(lián)網(wǎng)主權(quán)’、‘信息主權(quán)’（information sovereignty）等概念。如果說后者仍然帶有傳統(tǒng)國家安全的政治意味，數(shù)據(jù)主權(quán)則伴隨著云計(jì)算和大數(shù)據(jù)挖掘而進(jìn)入決策者和研究者的視野。它涉及數(shù)據(jù)的收集、聚合、存儲(chǔ)、分析、使用等一系列流程，背后反映了新經(jīng)濟(jì)的價(jià)值鏈，反映了數(shù)據(jù)的商業(yè)價(jià)值”。4胡凌：《什么是數(shù)據(jù)主權(quán)？》，載https://www.guancha.cn/HuLing/2016_09_03_373298.shtml，2018年10月20日訪問。這種數(shù)據(jù)主權(quán)理論并不認(rèn)為數(shù)據(jù)主權(quán)是傳統(tǒng)領(lǐng)土主權(quán)在數(shù)據(jù)領(lǐng)域的延伸，而是回到主權(quán)理論的原初，將數(shù)據(jù)主權(quán)視為對(duì)數(shù)據(jù)的占有和使用，因此數(shù)據(jù)主權(quán)的享有者未必是國家，因?yàn)榇罅康臄?shù)據(jù)被跨國互聯(lián)網(wǎng)信息巨頭實(shí)際占有和使用。

本文試圖通過對(duì)歐盟和美國有關(guān)數(shù)據(jù)主權(quán)的立法，來分析數(shù)據(jù)主權(quán)問題在法律層面的呈現(xiàn)方式，以及透過數(shù)據(jù)主權(quán)的法律面向，思考數(shù)據(jù)主權(quán)在何種意義上獨(dú)立于領(lǐng)土主權(quán)以及數(shù)據(jù)主權(quán)和領(lǐng)土主權(quán)的關(guān)系問題，并進(jìn)一步從數(shù)據(jù)主權(quán)的角度思考傳統(tǒng)主權(quán)理論面臨的新挑戰(zhàn)。

二、歐盟《一般數(shù)據(jù)保護(hù)條例》中的數(shù)據(jù)主權(quán)

2016年4月14日，歐洲議會(huì)通過史上最嚴(yán)格個(gè)人數(shù)據(jù)保護(hù)條例——《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）。GDPR于2016年5月24日生效，自生效之日起有兩年的過渡期，這期間歐盟成員國將該條例轉(zhuǎn)化為本國法，2018年5月25日GDPR將直接適用于歐盟全體成員國。GDPR非常的復(fù)雜，且很多規(guī)定語義不明，需要在日后的實(shí)踐中逐步明確。雖然GDPR第1條規(guī)定“針對(duì)個(gè)人數(shù)據(jù)處理中的自然人保護(hù)及個(gè)人數(shù)據(jù)的自由流動(dòng)制定本條例”，“本條例保護(hù)自然人的基本權(quán)利和自由，尤其是自然人的個(gè)人數(shù)據(jù)保護(hù)權(quán)”，但GDPR在保護(hù)個(gè)人數(shù)據(jù)權(quán)利的同時(shí)，實(shí)際上宣誓了歐盟的數(shù)據(jù)主權(quán)，也就是說將數(shù)據(jù)主權(quán)的理論基礎(chǔ)建立在對(duì)個(gè)人權(quán)利的保護(hù)之上。GDPR中有關(guān)數(shù)據(jù)主權(quán)的規(guī)定，主要體現(xiàn)在第3條“地域范圍”和第五章“向第三國或國際組織傳輸個(gè)人數(shù)據(jù)”中。5本文有關(guān)GDPR的引述，均引自瑞栢律師事務(wù)所譯：《歐盟〈一般數(shù)據(jù)保護(hù)條例〉GDPR》，法律出版社2018年版。

第3條分為3款，分別規(guī)定了三種情形的地域適用范圍：第一種情況是，“本條例適用于在歐盟境內(nèi)的控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，無論其處理行為是否發(fā)生在歐盟境內(nèi)”。所謂“在歐盟境內(nèi)”不僅指在歐盟境內(nèi)設(shè)立子公司或分公司，而且包括其他形式的在歐盟境內(nèi)“有效且真實(shí)地開展活動(dòng)”的主體。所謂“處理行為”，是指“對(duì)個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集合的任何單一或一系列的自動(dòng)化或非自動(dòng)化操作，例如對(duì)其的收集、記錄、組織、建構(gòu)、存儲(chǔ)、適配或修改、檢索、咨詢、使用、披露、傳播或其他的利用、排列或組合、限制、刪除或銷毀”。［第4條第（2）款］這個(gè)對(duì)“處理行為”的界定是非常寬泛的，幾乎有關(guān)數(shù)據(jù)的一切行為，都可以視為處理行為。更為關(guān)鍵的是，“無論其處理行為是否發(fā)生在歐盟境內(nèi)”均適用GDPR。

第二種情況是，對(duì)于設(shè)立在歐盟境外的控制者和處理者對(duì)歐盟境內(nèi)數(shù)據(jù)主體的個(gè)人數(shù)據(jù)進(jìn)行處理，如果涉及下列情況，同樣適用GDPR：（1）向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體向其支付對(duì)價(jià)。比如歐盟成員國公民使用微信或淘寶，他們?cè)谖⑿呕蛱詫毶袭a(chǎn)生數(shù)據(jù)，就可能涉及微信或淘寶對(duì)其數(shù)據(jù)的處理。（2）對(duì)數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為進(jìn)行監(jiān)控。比如為了做出有關(guān)個(gè)人的興趣偏好的預(yù)測(cè)而跟蹤這個(gè)人的網(wǎng)絡(luò)行為，最常見的就是定向廣告推送。這兩種情況同樣非常寬泛，在某種意義上，只要?dú)W盟境內(nèi)的數(shù)據(jù)主體使用了境外的網(wǎng)絡(luò)服務(wù)，絕大多數(shù)都可以落入這兩種情況之中，具體的邊界需要日后通過個(gè)案進(jìn)一步明確。

第三種情況是，設(shè)立在歐盟境外的控制者，如果其設(shè)立地依據(jù)國際公法而要適用歐盟成員國法律的，其對(duì)個(gè)人數(shù)據(jù)的處理同樣適用GDPR，比如設(shè)立在成員國海外領(lǐng)地或使館內(nèi)的數(shù)據(jù)控制者的處理行為。6張建文、張哲：《個(gè)人信息保護(hù)法域外效力研究——以歐盟〈一般數(shù)據(jù)保護(hù)條例〉為視角》，載《重慶郵電大學(xué)學(xué)報(bào)》（社會(huì)科學(xué)版）2017年第2期。

從以上的三種情況來看，雖然第3條的標(biāo)題是地域范圍，但實(shí)際上GDPR的管轄權(quán)遠(yuǎn)不是依據(jù)屬地原則確立的，除了屬地原則，還采用了“效果原則”。所謂的效果原則，最初是美國法院在國際商業(yè)領(lǐng)域通過判例確立的，境外的公司行為對(duì)境內(nèi)的經(jīng)濟(jì)產(chǎn)生了某種“效果”，即影響，法院對(duì)此就享有管轄權(quán)。如谷歌在歐盟的“被遺忘權(quán)”案件中，法院適用的就是“效果原則”，認(rèn)定谷歌公司搜索引擎的搜索行為與谷歌西班牙公司的銷售廣告行為有“無可擺脫的關(guān)系”，因此歐盟法院對(duì)谷歌公司享有管轄權(quán)。7Google Spain SL, Google Inc. v. Agencia Espa?ola de Protección de Datos (AEPD), Mario Costeja González, JUDGMENT OF THE COURT (Grand Chamber), 13 May 2014.

除了第3條“地域范圍”之外，GDPR第五章“向第三國或國際組織傳輸個(gè)人數(shù)據(jù)”同樣涉及數(shù)據(jù)主權(quán)問題。GDPR并未采取嚴(yán)格的數(shù)據(jù)本地化政策，在開頭的“鑒于”條款中明確，“技術(shù)改變了經(jīng)濟(jì)和社會(huì)生活，應(yīng)在確保高度保護(hù)個(gè)人數(shù)據(jù)的同時(shí)，進(jìn)一步推進(jìn)個(gè)人數(shù)據(jù)在歐盟內(nèi)部的自由流通，以及向第三方國家和國際組織的傳輸”。但將數(shù)據(jù)傳輸?shù)降谌龂驀H組織進(jìn)行處理，必須符合特定條件，第五章規(guī)定了三種情況。

第一種情況是“基于充分性決議傳輸數(shù)據(jù)”。如果歐盟委員會(huì)確認(rèn)第三國、第三國境內(nèi)的地區(qū)或一個(gè)或多個(gè)特定行業(yè)、國際組織能夠充分地保護(hù)數(shù)據(jù)安全，那么可以向其傳輸個(gè)人數(shù)據(jù)。歐盟在評(píng)估是否保護(hù)充分時(shí)，應(yīng)考慮該國的法治、人權(quán)和基本自由狀況，與數(shù)據(jù)相關(guān)的立法和司法救濟(jì)情況，是否有獨(dú)立的監(jiān)管機(jī)構(gòu)以及監(jiān)管機(jī)構(gòu)是否有效運(yùn)行，以及有關(guān)數(shù)據(jù)保護(hù)的國際承諾或義務(wù)等。評(píng)估通過后，在歐盟官方公報(bào)上公布得到確認(rèn)的國際、地區(qū)或國際組織名單。歐盟委員會(huì)的評(píng)估是實(shí)質(zhì)性評(píng)估，而非僅僅是形式審查，這就為歐盟跟其他國家談判留下了政策空間和博弈的籌碼，也增加了不確定性。

第二種情況是“須采取適當(dāng)保障的傳輸”。如果沒有上述“基于充分性決議傳輸數(shù)據(jù)”，那么數(shù)據(jù)控制者或處理者必須提供適當(dāng)保障，并且在數(shù)據(jù)主體可獲得可強(qiáng)制執(zhí)行的數(shù)據(jù)主體權(quán)利和有效法律救濟(jì)的條件下，才可以向第三國或國際組織傳輸個(gè)人數(shù)據(jù)。如何提供“適當(dāng)保障”呢？包括政府機(jī)關(guān)或機(jī)構(gòu)之間具有法律約束力、可強(qiáng)制執(zhí)行的文件，歐盟委員會(huì)通過的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款，依據(jù)歐盟相關(guān)機(jī)構(gòu)批準(zhǔn)的行為準(zhǔn)則或認(rèn)證機(jī)制以及第三國境內(nèi)的控制者或處理者所作的適當(dāng)保障并具有約束力和強(qiáng)制執(zhí)行力的承諾。也就是說，如果數(shù)據(jù)控制者或處理者所在的國家、地區(qū)或國際組織未通過歐盟委員會(huì)的充分性評(píng)估，則只能靠自身提供符合歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的“適當(dāng)保障”來獲得向第三國或國際組織傳輸個(gè)人數(shù)據(jù)的許可。

第三種情況是“約束性企業(yè)規(guī)則”，主要是針對(duì)跨國集團(tuán)企業(yè)內(nèi)部數(shù)據(jù)的傳輸，比如歐盟的跨國公司在世界各地有分支機(jī)構(gòu)，企業(yè)集團(tuán)內(nèi)部的數(shù)據(jù)傳輸實(shí)際上就是向第三國傳輸個(gè)人數(shù)據(jù)，在這種情況下，企業(yè)集團(tuán)可以按照GDPR的相關(guān)規(guī)定制定適用于企業(yè)集團(tuán)或從事共同經(jīng)濟(jì)行為的企業(yè)團(tuán)體內(nèi)每個(gè)有關(guān)成員并被其執(zhí)行的具有法律約束力的企業(yè)規(guī)則，并明確授予數(shù)據(jù)主體與其個(gè)人數(shù)據(jù)處理相關(guān)的可強(qiáng)制執(zhí)行的權(quán)利。對(duì)于約束性企業(yè)規(guī)則的具體內(nèi)容，GDPR做了非常詳細(xì)的規(guī)定。約束性企業(yè)規(guī)則一旦獲得歐盟監(jiān)管機(jī)構(gòu)的批準(zhǔn)，在企業(yè)集團(tuán)內(nèi)部就建立了數(shù)據(jù)安全港，可以合法地傳輸數(shù)據(jù)。8金晶：《歐盟〈一般數(shù)據(jù)保護(hù)條例〉：演進(jìn)、要點(diǎn)與疑義》，載《歐洲研究》2018年第4期。

綜上所述，數(shù)據(jù)控制者或處理者如果想要向第三國或國際組織傳輸數(shù)據(jù)，對(duì)于數(shù)據(jù)的保護(hù)必須達(dá)到歐盟的標(biāo)準(zhǔn)或歐盟認(rèn)可的標(biāo)準(zhǔn)，這使歐盟在與第三國、國際組織或企業(yè)進(jìn)行數(shù)據(jù)保護(hù)談判時(shí)，有重要的法律籌碼，在本質(zhì)上是歐盟數(shù)據(jù)主權(quán)的域外延伸。歐盟的企業(yè)在全球數(shù)據(jù)經(jīng)濟(jì)中不占優(yōu)勢(shì)，這促使歐盟以守為攻，以保護(hù)個(gè)人數(shù)據(jù)權(quán)利為正當(dāng)理由，規(guī)定非常高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)要求，以增加歐盟在數(shù)據(jù)市場(chǎng)上的話語權(quán)。

三、美國CLOUD法中的數(shù)據(jù)主權(quán)

2013年美國司法部為了調(diào)查一樁毒品走私案，向紐約南區(qū)聯(lián)邦地方法院申請(qǐng)搜查令，要求微軟公司提供犯罪嫌疑人的電子郵件賬戶的通信信息，但微軟認(rèn)為微軟電子郵件通訊信息存儲(chǔ)在位于愛爾蘭都柏林的服務(wù)器中，美國法官無權(quán)對(duì)存儲(chǔ)在愛爾蘭的數(shù)據(jù)核發(fā)搜查令，檢察官必須前往愛爾蘭并經(jīng)愛爾蘭法院許可才能拿到該數(shù)據(jù)，因此拒絕向司法部提供相關(guān)信息。2014年法院駁回微軟的抗辯，法官認(rèn)為郵件通信信息雖然存儲(chǔ)在位于都柏林的服務(wù)器中，但微軟公司是服務(wù)器的所有者和數(shù)據(jù)的控制者，微軟公司有能力在美國提供司法部所需要的信息，因此要求微軟公司必須提供。微軟公司上訴到聯(lián)邦第二巡回法院，法院在2016年推翻聯(lián)邦地方法院的判決，認(rèn)為微軟無需提供相關(guān)信息，理由是無論就立法的原意還是文意的解釋，搜查令所依據(jù)的《存儲(chǔ)通訊法》并未明確該法具有域外效力，搜查的范圍僅限于存儲(chǔ)在美國境內(nèi)的數(shù)據(jù)，如果強(qiáng)行要求微軟提供存儲(chǔ)在愛爾蘭都柏林服務(wù)器上的數(shù)據(jù)，將侵害愛爾蘭的主權(quán)。9Microsoft Corp. v. United States,Docket No. 14-2985,2016.

聯(lián)邦地方法院和第二巡回法院的分歧在于，《存儲(chǔ)通訊法》所確立的搜查標(biāo)準(zhǔn)是數(shù)據(jù)存儲(chǔ)地標(biāo)準(zhǔn)還是數(shù)據(jù)控制者標(biāo)準(zhǔn)，地方法院堅(jiān)持?jǐn)?shù)據(jù)控制者標(biāo)準(zhǔn)，微軟是數(shù)據(jù)的控制者，微軟是位于美國的公司，因此應(yīng)該適用《存儲(chǔ)通訊法》。但第二巡回法院堅(jiān)持?jǐn)?shù)據(jù)存儲(chǔ)地標(biāo)準(zhǔn)，雖然微軟是位于美國的公司并且是數(shù)據(jù)的控制者，但數(shù)據(jù)事實(shí)上存儲(chǔ)在美國境外，而《存儲(chǔ)通訊法》又未明確該法具有域外效力，因此不能依據(jù)該法調(diào)取位于愛爾蘭的數(shù)據(jù)。

美國政府不服，上訴至聯(lián)邦最高法院，最高法院2017年簽發(fā)了調(diào)卷令，但就在最高法院審理過程中，2018年3月23日美國國會(huì)通過了《澄清境外合法使用數(shù)據(jù)法》（Clarifying Lawful Overseas Use of Data Act，以下簡(jiǎn)稱CLOUD法）。CLOUD法所謂的“境外合法使用數(shù)據(jù)”既包括美國政府調(diào)取存儲(chǔ)在美國之外的數(shù)據(jù)，也包括合格外國政府調(diào)取存儲(chǔ)在美國境內(nèi)的數(shù)據(jù)，兩種情況的標(biāo)準(zhǔn)是不一樣的。

對(duì)于前一種情況，CLOUD法第三部分規(guī)定，“無論通信、記錄或其他信息是否存儲(chǔ)在美國境內(nèi)，服務(wù)提供者均應(yīng)當(dāng)按照本章所規(guī)定的義務(wù)要求，保存、備份、披露通信內(nèi)容、記錄或其他信息，只要上述通信內(nèi)容、記錄或其他信息為該服務(wù)提供者所擁有（possession）、監(jiān)護(hù)（custody）或控制（control）”，但如果服務(wù)提供者認(rèn)為存在以下兩種情況，則可以要求撤銷或修正法律程序：第一，消費(fèi)者或者用戶不是美國人且不居住在美國；第二，服務(wù)提供者提供信息可能實(shí)質(zhì)性地違反合格外國政府的法律。對(duì)于服務(wù)提供者的抗辯，法院要考慮如下三個(gè)因素：第一，披露義務(wù)是否將會(huì)導(dǎo)致服務(wù)提供者實(shí)質(zhì)性地違反“合格外國政府”的立法；第二，綜合案件的所有情況，公正的利益是否要求撤銷或修正法律程序；第三，消費(fèi)者或用戶確實(shí)不是“美國人”且不居住在美國。其中法院在考慮第二個(gè)因素時(shí)，要綜合考量與之相關(guān)的各種因素，進(jìn)行禮讓分析，也就是說對(duì)外國政府的相關(guān)法律政策給予必要的尊重，如外國政府的相關(guān)法律及處罰、消費(fèi)者與美國關(guān)系的性質(zhì)和程度、強(qiáng)制要求披露信息可能帶來的消極影響等。但這實(shí)際上意味著賦予美國法院巨大的裁量權(quán)。

對(duì)于后一種情況，CLOUD法第五部分做了非常詳細(xì)的規(guī)定，總結(jié)起來大概包括三方面：第一，是否是“合格外國政府”由美國國會(huì)認(rèn)定，參考的標(biāo)準(zhǔn)包括該外國政府在數(shù)據(jù)保護(hù)方面是否有完善的立法，是否尊重法治和平等原則，是否尊重人權(quán)，等等；第二，被認(rèn)定為“合格外國政府”之后，還要跟美國簽署雙邊的數(shù)據(jù)協(xié)議；第三，真正調(diào)取美國數(shù)據(jù)時(shí)，對(duì)于調(diào)取行為又有非常嚴(yán)苛的要求，比如“外國政府發(fā)出的調(diào)取數(shù)據(jù)命令，應(yīng)是與預(yù)防、偵破、調(diào)查、起訴嚴(yán)重犯罪（包括恐怖主義）相關(guān)的；調(diào)取命令應(yīng)限定于特定的個(gè)人、賬號(hào)、住址、個(gè)人設(shè)備等；外國政府要求服務(wù)提供者提供數(shù)據(jù)應(yīng)具備國內(nèi)法的明確授權(quán)，且具備合理事由（如基于可信、可描述的事實(shí)，特別是調(diào)查所針對(duì)行為的違法性、嚴(yán)重性）；調(diào)取命令應(yīng)受本國法院、法官、治安法官，或其他獨(dú)立機(jī)構(gòu)的審核和監(jiān)督；當(dāng)調(diào)取命令涉及攔截監(jiān)聽實(shí)時(shí)通信或延長(zhǎng)監(jiān)聽時(shí)限時(shí)，則監(jiān)聽?wèi)?yīng)有固定的期限且不得超過完成命令所合理必需的時(shí)間，同時(shí)必須是使用其他入侵性更少的方式無法合理地取得同樣的數(shù)據(jù)”。10洪延青：《美國快速通過CLOUD法案，清晰明確數(shù)據(jù)主權(quán)戰(zhàn)略》，載《中國信息安全》2018年第4期?？傊?，外國政府能否調(diào)取美國境內(nèi)的數(shù)據(jù)，最終需要經(jīng)過美國政府的嚴(yán)格審查。

綜合兩種情況的規(guī)定，在數(shù)據(jù)主權(quán)問題上，美國嚴(yán)格保護(hù)位于美國的數(shù)據(jù)的境外調(diào)取，但卻可以合理地調(diào)取美國境外的數(shù)據(jù)，美國可以這樣做，前提條件當(dāng)然是美國的互聯(lián)網(wǎng)公司控制著全球大量的數(shù)據(jù)。CLOUD法通過之后，美國最高法院就撤銷了前述的微軟案，11United States, Petitioner v. Microsoft Corporation, on Writ of Certiorari to the United States Court of Appeals for the Second Circrit, April 17, 2018.美國政府實(shí)際上通過推動(dòng)國會(huì)立法的方式，避開了美國最高法院的判決。

四、數(shù)據(jù)主權(quán)中的法律與技術(shù)

以上對(duì)于GDPR和CLOUD法中的有關(guān)數(shù)據(jù)主權(quán)的梳理，粗略地展示了有代表性的數(shù)據(jù)主權(quán)立法的核心內(nèi)容。除此之外，有關(guān)數(shù)據(jù)主權(quán)的立法還涉及數(shù)據(jù)本地化問題，比如我國《網(wǎng)絡(luò)安全法》第37條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！边@被視為中國的數(shù)據(jù)本地化法律，為此蘋果公司不得不將中國大陸用戶的iCloud數(shù)據(jù)存儲(chǔ)在位于貴州的數(shù)據(jù)中心。再如俄羅斯《個(gè)人數(shù)據(jù)保護(hù)法》規(guī)定：俄羅斯公民的個(gè)人信息數(shù)據(jù)只能存于俄境內(nèi)的服務(wù)器中，以實(shí)現(xiàn)數(shù)據(jù)本地化；任何收集俄羅斯公民個(gè)人信息的本國或者外國公司在處理與個(gè)人信息相關(guān)的數(shù)據(jù)，包括采集、積累和存儲(chǔ)時(shí)，必須使用俄羅斯境內(nèi)的服務(wù)器。澳大利亞、巴西、加拿大、印度、韓國等國家也制定了類似的法律。12對(duì)于這些國家數(shù)據(jù)本地化立法的詳盡分析，參見Anupam Chander，Uyên P. Lê, "Data Nationalism", Emory Law Journal,Vol.64,pp.677-737,2015。

在這些有關(guān)數(shù)據(jù)主權(quán)的立法中，可以看到各國通過立法進(jìn)行的數(shù)據(jù)主權(quán)博弈，博弈不僅發(fā)生在主權(quán)國家之間，還發(fā)生在主權(quán)國家與大數(shù)據(jù)公司之間。比如，印度的數(shù)據(jù)本地化立法就遭到亞馬遜、臉書（Facebook）、微軟等跨國互聯(lián)網(wǎng)公司的聯(lián)合抵制和批評(píng)。法律戰(zhàn)才剛剛開始，未來在數(shù)據(jù)主權(quán)立法方面各國之間以及主權(quán)國家與大數(shù)據(jù)公司之間仍然會(huì)有激烈的沖突，相信最終會(huì)達(dá)成法律上某種妥協(xié)。但數(shù)據(jù)主權(quán)不僅只有法律的面向，因?yàn)橹鳈?quán)問題從來就不只是法律問題，主權(quán)問題首先是個(gè)事實(shí)問題。因此在數(shù)據(jù)主權(quán)的法律面向背后，我們必須看到其事實(shí)的面向。

主權(quán)理論的產(chǎn)生與現(xiàn)代領(lǐng)土國家的誕生是同步的，博丹的主權(quán)理論實(shí)際上為現(xiàn)代領(lǐng)土國家的誕生提供了理論支撐，因此我們慣常理解的主權(quán)實(shí)際上是領(lǐng)土主權(quán)，也即是說主權(quán)是建立在對(duì)領(lǐng)土的實(shí)際占取之上的，施米特的《大地的法》對(duì)此做了深入的分析。13［德］卡爾·施米特：《大地的法》，劉毅、張陳果譯，上海人民出版社2017年版。主權(quán)與對(duì)土地的實(shí)際占取緊密相關(guān)，這可以解釋為什么海洋和太空無法進(jìn)行主權(quán)主張，因?yàn)楝F(xiàn)代國家對(duì)海洋和太空無法實(shí)行有效地占取，現(xiàn)代國家對(duì)海洋和太空的有限權(quán)力，實(shí)際上是基于領(lǐng)土主權(quán)的某種延伸，比如領(lǐng)海和領(lǐng)空權(quán)。

互聯(lián)網(wǎng)的誕生在大地、海洋和太空之外創(chuàng)造出第三種空間，通常稱之為賽博空間，對(duì)這個(gè)空間的占取催生出網(wǎng)絡(luò)主權(quán)。14劉晗：《域名系統(tǒng)、網(wǎng)絡(luò)主權(quán)與互聯(lián)網(wǎng)治理：歷史反思及其當(dāng)代啟示》，載《中外法學(xué)》2016年第2期。最近幾年，隨著云計(jì)算和大數(shù)據(jù)的發(fā)展，又進(jìn)一步催生出數(shù)據(jù)主權(quán)，但無論是網(wǎng)絡(luò)主權(quán)還是數(shù)據(jù)主權(quán)，都是建立在對(duì)網(wǎng)絡(luò)和數(shù)據(jù)的實(shí)際占取或者是控制之上的，背后的核心因素實(shí)際上是技術(shù)。因此在網(wǎng)絡(luò)主權(quán)和數(shù)據(jù)主權(quán)領(lǐng)域，都不存在平等問題。對(duì)于那些網(wǎng)絡(luò)和數(shù)據(jù)技術(shù)不發(fā)達(dá)的小國家，事實(shí)上沒有網(wǎng)絡(luò)和數(shù)據(jù)主權(quán)。在一個(gè)大數(shù)據(jù)時(shí)代，由于數(shù)據(jù)的非領(lǐng)土性及其流動(dòng)性、可復(fù)制可分割性等獨(dú)特屬性，使基于對(duì)數(shù)據(jù)的占取而產(chǎn)生的主權(quán)權(quán)力具有突破領(lǐng)土的現(xiàn)實(shí)性。

僅就數(shù)據(jù)主權(quán)而言，其本意是指對(duì)數(shù)據(jù)的有效占有、控制和處理，而數(shù)據(jù)產(chǎn)業(yè)發(fā)展的結(jié)果是，大量的數(shù)據(jù)實(shí)際上不是被主權(quán)國家占有和控制，而是被跨國的互聯(lián)網(wǎng)公司占有和控制。這些大數(shù)據(jù)公司憑借強(qiáng)大的技術(shù)能力和經(jīng)濟(jì)影響力，在數(shù)據(jù)主權(quán)問題上享有巨大的權(quán)力和影響力，與主權(quán)國家存在合作和競(jìng)爭(zhēng)的關(guān)系。在棱鏡項(xiàng)目中，美國的大互聯(lián)網(wǎng)公司均與政府合作，參與其中。而美國CLOUD法的出臺(tái)背景，又是因?yàn)槲④浘芙^為美國司法部門調(diào)取位于愛爾蘭的數(shù)據(jù)，歐盟的GDPR制定背景也與美國互聯(lián)網(wǎng)公司對(duì)歐洲的全面占領(lǐng)密切相關(guān)。

我們有必要區(qū)分兩種數(shù)據(jù)主權(quán)：第一種數(shù)據(jù)主權(quán)是領(lǐng)土主權(quán)在數(shù)據(jù)領(lǐng)域的體現(xiàn)，領(lǐng)土主權(quán)試圖在領(lǐng)土范圍內(nèi)對(duì)數(shù)據(jù)進(jìn)行有效的管控，但由于數(shù)據(jù)本身天然的跨境性，這種數(shù)據(jù)主權(quán)往往會(huì)主張突破領(lǐng)土范圍的管轄權(quán)，各國的數(shù)據(jù)本地化立法、歐盟的GDPR以及美國的CLOUD法中的數(shù)據(jù)主權(quán)都屬于此種數(shù)據(jù)主權(quán)。這種數(shù)據(jù)主權(quán)實(shí)際上是某種稍作修正的領(lǐng)土主權(quán)，但由于其主張超越領(lǐng)土范圍的管轄權(quán)，會(huì)引發(fā)主權(quán)國家之間的法律沖突。15齊愛民、祝高峰：《論國家數(shù)據(jù)主權(quán)制度的確立與完善》，載《蘇州大學(xué)學(xué)報(bào)》（哲學(xué)社會(huì)科學(xué)版）2016年第1期。第二種數(shù)據(jù)主權(quán)是完全從對(duì)數(shù)據(jù)的實(shí)際占取來界定的數(shù)據(jù)主權(quán)，在這種數(shù)據(jù)主權(quán)中，參與競(jìng)爭(zhēng)的主權(quán)者不僅包含主權(quán)國家，還有跨國互聯(lián)網(wǎng)公司，甚至可以說，跨國互聯(lián)網(wǎng)公司憑借強(qiáng)大的技術(shù)能力，在此競(jìng)爭(zhēng)中占據(jù)優(yōu)勢(shì)。如果我們僅從賽博空間或數(shù)據(jù)世界來看數(shù)據(jù)主權(quán)，這些大數(shù)據(jù)公司才是真正的主權(quán)者，他們?cè)谑聦?shí)上主宰著整個(gè)數(shù)據(jù)世界。因此主權(quán)國家與大數(shù)據(jù)公司的數(shù)據(jù)主權(quán)之爭(zhēng)，實(shí)際上是上述兩種不同的數(shù)據(jù)主權(quán)之爭(zhēng)，或者說是領(lǐng)土主權(quán)與數(shù)據(jù)主權(quán)之爭(zhēng)。法律是主權(quán)國家的武器，技術(shù)是大數(shù)據(jù)公司的武器。當(dāng)然，數(shù)據(jù)主權(quán)之爭(zhēng)事實(shí)上更為復(fù)雜，因?yàn)榇嬖谥鳈?quán)國家之間、大數(shù)據(jù)公司之間、主權(quán)國家聯(lián)合大數(shù)據(jù)公司與其他主權(quán)國家和/或大數(shù)據(jù)公司之間的競(jìng)爭(zhēng)，在這場(chǎng)數(shù)據(jù)主權(quán)混戰(zhàn)中，法律和技術(shù)都是合適的武器，除此之外人權(quán)、市場(chǎng)等也是博弈的籌碼。

因此，數(shù)據(jù)主權(quán)實(shí)際上具有雙重的屬性，既可以視為領(lǐng)土主權(quán)在數(shù)據(jù)領(lǐng)域的延伸，也可以視為數(shù)據(jù)世界的獨(dú)立主權(quán)。但無論是哪種屬性的數(shù)據(jù)主權(quán)，在這場(chǎng)數(shù)據(jù)主權(quán)的大混戰(zhàn)中，超領(lǐng)土的主權(quán)是最明顯的趨向，傳統(tǒng)的以領(lǐng)土為基礎(chǔ)的主權(quán)理論面臨著新的挑戰(zhàn)。這需要我們進(jìn)一步思考傳統(tǒng)主權(quán)理論所主張的絕對(duì)性、最高性和不可分割性如何應(yīng)對(duì)大數(shù)據(jù)的挑戰(zhàn)，并作出相應(yīng)的理論回應(yīng)。

除了理論上的回應(yīng)，中國的數(shù)據(jù)主權(quán)政策必須同時(shí)考慮數(shù)據(jù)主權(quán)的雙重屬性。第一，在對(duì)數(shù)據(jù)跨境流動(dòng)的管控上，必須考慮到數(shù)據(jù)跨境流動(dòng)是互聯(lián)網(wǎng)和大數(shù)據(jù)發(fā)展的必然要求，不能一味地追求數(shù)據(jù)本地化政策。從各國的數(shù)據(jù)立法來看，嚴(yán)格追求數(shù)據(jù)本地化政策的國家大多是互聯(lián)網(wǎng)和數(shù)據(jù)技術(shù)不發(fā)達(dá)的國家，數(shù)據(jù)本地化政策是一種防守性政策，可以作為這些國家與其他國家和互聯(lián)網(wǎng)公司談判的籌碼，但這種政策的效果如何目前尚不明朗，但可以預(yù)見到的是，各種嚴(yán)格的數(shù)據(jù)本地化政策不利于全球互聯(lián)網(wǎng)和大數(shù)據(jù)的發(fā)展，而中國在這個(gè)方面處于優(yōu)勢(shì)地位，中國應(yīng)該采取更開放的政策，鼓勵(lì)數(shù)據(jù)在做出特定保護(hù)后的自由流通，這樣才有助于中國的互聯(lián)網(wǎng)企業(yè)和大數(shù)據(jù)公司參與全球化的競(jìng)爭(zhēng)。第二，就各種互聯(lián)網(wǎng)企業(yè)和大數(shù)據(jù)公司對(duì)于海量個(gè)人數(shù)據(jù)的占有和使用而言，中國的數(shù)據(jù)主權(quán)政策應(yīng)該進(jìn)一步加強(qiáng)對(duì)個(gè)人數(shù)據(jù)權(quán)的保護(hù)，強(qiáng)化對(duì)互聯(lián)網(wǎng)企業(yè)和大數(shù)據(jù)公司合規(guī)經(jīng)營的監(jiān)管，以應(yīng)對(duì)數(shù)據(jù)技術(shù)對(duì)個(gè)人隱私的侵犯，防范數(shù)據(jù)技術(shù)對(duì)個(gè)人自主性的操控。同時(shí)考慮到歐盟及其他國家在數(shù)據(jù)跨境流動(dòng)方面往往要求流入國有非常完善的個(gè)人數(shù)據(jù)保護(hù)法律和機(jī)制，中國強(qiáng)化個(gè)人數(shù)據(jù)權(quán)的保護(hù)，也有助于中國在各種數(shù)據(jù)跨境流動(dòng)的雙邊和多邊談判中達(dá)到高標(biāo)準(zhǔn)的個(gè)人數(shù)據(jù)保護(hù)要求，與其他國家達(dá)成數(shù)據(jù)跨境流通的雙邊或多邊協(xié)議，以利于中國互聯(lián)網(wǎng)企業(yè)和大數(shù)據(jù)公司的全球發(fā)展，實(shí)現(xiàn)中國大數(shù)據(jù)國家戰(zhàn)略。