摘 要：數(shù)據(jù)是大數(shù)據(jù)時代重要的國家戰(zhàn)略資源。數(shù)據(jù)主權(quán)是國家主權(quán)在網(wǎng)絡(luò)空間的核心表現(xiàn)，關(guān)系到數(shù)據(jù)安全、數(shù)字鴻溝、個人隱私，是國家安全和發(fā)展的核心利益所在。近年來，歐盟與美國都在數(shù)據(jù)主權(quán)方面開展新的規(guī)則建設(shè)。歐盟以數(shù)據(jù)保護為核心出臺的《通用數(shù)據(jù)保護條例》，重新建立了與美國之間處理數(shù)據(jù)保護的規(guī)則框架，進一步強化了對數(shù)據(jù)主權(quán)的保護。美國則以《澄清域外合法使用數(shù)據(jù)法案》為代表，確立以數(shù)據(jù)自由為核心的數(shù)據(jù)主權(quán)規(guī)則，但實質(zhì)是單邊主義和霸權(quán)主義在數(shù)據(jù)主權(quán)問題上的延伸。中國宜在歐盟和美國數(shù)據(jù)主權(quán)規(guī)則建設(shè)差異性基礎(chǔ)之上，以主權(quán)平等、合作共治為原則，以網(wǎng)絡(luò)命運共同體理念為指導(dǎo)，構(gòu)建符合我國數(shù)據(jù)要求，兼顧各國利益的數(shù)據(jù)主權(quán)規(guī)則，推動全球數(shù)字經(jīng)濟全面健康發(fā)展。

關(guān)鍵詞：數(shù)據(jù)主權(quán);數(shù)據(jù)安全;數(shù)據(jù)保護;數(shù)據(jù)自由

中圖分類號：DF92? 文獻標志碼：A

DOI：10.3969/j.issn.1001-2397.2020.06.10

隨著互聯(lián)網(wǎng)的深入發(fā)展，網(wǎng)絡(luò)運行過程中形成的數(shù)據(jù)體量日益龐大。與數(shù)據(jù)存儲相關(guān)的“大數(shù)據(jù)”“云計算”等成為各國互聯(lián)網(wǎng)發(fā)展進程中重點關(guān)注的領(lǐng)域。數(shù)據(jù)的獲取和利用關(guān)乎個人信息保護、企業(yè)經(jīng)營發(fā)展，更關(guān)乎國家利益。近年來，各國之間的數(shù)據(jù)糾紛愈發(fā)激烈，其核心在于對數(shù)據(jù)資源的合理占有與有效利用。①國家是否對網(wǎng)絡(luò)數(shù)據(jù)享有主權(quán)，國家應(yīng)該怎樣合理地行使此類主權(quán)？網(wǎng)絡(luò)數(shù)據(jù)是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。②

目前數(shù)據(jù)存儲方式發(fā)生了較大變化，數(shù)據(jù)存儲從當?shù)氐拇鎯ζ髦饾u轉(zhuǎn)變?yōu)槿驍?shù)據(jù)庫的遠程存儲，甚至有大量的數(shù)據(jù)存儲在“云”（cloud）上。

數(shù)據(jù)主權(quán)源于網(wǎng)絡(luò)主權(quán)，是國家主權(quán)在大數(shù)據(jù)時代的核心表現(xiàn)。[ 參見肖冬梅、文禹衡：《數(shù)據(jù)權(quán)譜系論綱》，載《湘潭大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2015年第6期，第71頁。]數(shù)據(jù)主權(quán)表現(xiàn)為國家對本國數(shù)據(jù)與本國國民數(shù)據(jù)的所有權(quán)、控制權(quán)、管轄權(quán)與使用權(quán)。[ 參見杜雁蕓：《大數(shù)據(jù)時代國家數(shù)據(jù)主權(quán)問題研究》，載《國際觀察》2016年第3期，第7頁。]數(shù)據(jù)主權(quán)對內(nèi)體現(xiàn)了國家對數(shù)據(jù)的最高管轄權(quán)，對外體現(xiàn)了國家在網(wǎng)絡(luò)數(shù)據(jù)上的獨立自主權(quán)與合作權(quán)。[ 參見孫南翔、張曉君：《論數(shù)據(jù)主權(quán)——基于虛擬空間博弈與合作的考察》，載《太平洋學(xué)報》2015年第2期，第64頁。]廣義的數(shù)據(jù)主權(quán)包括國家的數(shù)據(jù)主權(quán)與個人的數(shù)據(jù)主權(quán)。[ 參見蔡翠紅：《云時代數(shù)據(jù)主權(quán)概念及其運用前景》，載《現(xiàn)代國際關(guān)系》2013年第12期，第59頁。]有學(xué)者認為，全球化給國家主權(quán)以新的發(fā)展和啟示：在全球化背景下，國家主權(quán)表現(xiàn)了國家對其公民利益的關(guān)心，這讓公民的個人權(quán)利逐漸開始與國際社會產(chǎn)生互動。[ 參見Helen Stacy， Relational Sovereignty， 55 Stanford Law Review 2029， 2044-2045（2003）.]

美國和歐盟在數(shù)據(jù)主權(quán)領(lǐng)域的規(guī)制措施呈現(xiàn)出了不同的特點。2018年2月，美國通過了《澄清域外合法使用數(shù)據(jù)法案》（Clarifying Lawful Overseas Use of Data Act），[參見Clarifying Lawful Overseas Use of Data Act， as part of the Consolidated Appropriations Act， 2018 Pub. L. 115-141.]該法案亦被稱作《云法案》（Cloud Act）。[ 參見 Clarifying Lawful Overseas Use of Data Act， Section 1. Short Title.]2018年5月，歐盟的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation）正式生效實施。[ 參見 EU General Data Protection Regulation， Article 84.2.]這兩項規(guī)制措施代表了美國與歐盟在數(shù)據(jù)主權(quán)領(lǐng)域不同的態(tài)度與選擇。本文以構(gòu)建數(shù)據(jù)主權(quán)發(fā)展戰(zhàn)略為命題，比較分析美國與歐盟的數(shù)據(jù)主權(quán)規(guī)制措施，進而提出符合中國發(fā)展要求的數(shù)據(jù)主權(quán)規(guī)則。

一、數(shù)據(jù)主權(quán)的法理基礎(chǔ)與核心要素

在網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域，國家享有主權(quán)。2017年，我國外交部和國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》，明確了主權(quán)原則對網(wǎng)絡(luò)空間的適用，鑒于數(shù)據(jù)領(lǐng)域與網(wǎng)絡(luò)空間的交叉與重合，這為數(shù)據(jù)主權(quán)打下了良好基礎(chǔ)。網(wǎng)絡(luò)空間具有可規(guī)制性，因為用戶的“認證”、統(tǒng)一技術(shù)標準下的“兼容”、計算機與萬維網(wǎng)之間的互聯(lián)互通為網(wǎng)絡(luò)空間的規(guī)制提供了可能性。[ 參見張新寶、許可：《網(wǎng)絡(luò)空間主權(quán)的治理模式及其制度構(gòu)建》，載《中國社會科學(xué)》2016年第8期，第142頁。]同樣，數(shù)據(jù)也存在可規(guī)制性。面對數(shù)據(jù)自由與數(shù)據(jù)保護兩大核心要素，不同國家有不同側(cè)重。

（一）國家主權(quán)原則對數(shù)據(jù)主權(quán)的適用

國家主權(quán)賦予一國在其領(lǐng)土范圍內(nèi)完全的、排他的權(quán)力。在獨立國家之間，國家主權(quán)是國際關(guān)系最為本質(zhì)的基礎(chǔ)。[參見Wolff Heintschel von Heinegg， Territorial Sovereignty and Neutrality in Cyberspace， 89 International Law Studies 123， 123-124（2013）. ]數(shù)據(jù)是無形的，但是數(shù)據(jù)具有一定的物理屬性。網(wǎng)絡(luò)數(shù)據(jù)存儲器和基礎(chǔ)設(shè)施通常放置在一國境內(nèi)，存儲器通常由國家或公司所有。同時，數(shù)據(jù)也需要國家電網(wǎng)和電纜等基礎(chǔ)設(shè)施進行傳輸。網(wǎng)絡(luò)數(shù)據(jù)的全球治理并非對國家主權(quán)原則的放棄。[參見 Joshua E. Kastenberg， Non-Intervention and Neutrality in Cyberspace： An Emerging Principle in the National Practice of International Law， 64 Air Force Law Review 43， 62-64（2009）.]暫時的技術(shù)難題也不會真正阻止國家通過國家主權(quán)原則管理其境內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)及基礎(chǔ)設(shè)施，其他國家也不應(yīng)干涉他國境內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)基礎(chǔ)設(shè)施。[ 參見 Patrick W. Franzese， Sovereignty in Cyberspace： Can it Exist？， 64 Air Force Law Review 1， 23-36（2009）.]國家主權(quán)原則在數(shù)據(jù)主權(quán)上的適用包括在一國領(lǐng)土范圍內(nèi)的數(shù)據(jù)存儲設(shè)備，數(shù)據(jù)存儲設(shè)備可以在一國的領(lǐng)水、領(lǐng)陸、領(lǐng)空范圍內(nèi)。基于此，若他國侵犯、干涉、非法獲取、不正當使用在一國境內(nèi)的數(shù)據(jù)及數(shù)據(jù)存儲設(shè)備，就將構(gòu)成對該國主權(quán)的侵犯。

國家對數(shù)據(jù)主權(quán)的管轄權(quán)應(yīng)該理解為“國家使用法定權(quán)力裁決某項行為是否構(gòu)成對該國數(shù)據(jù)的侵犯”。按照屬人原則，一國國民在該國領(lǐng)土范圍之外侵犯該國數(shù)據(jù)主權(quán)的行為，也在該國管轄權(quán)范圍之內(nèi)。如果某項侵犯數(shù)據(jù)主權(quán)的行為發(fā)生在一國領(lǐng)土之外，就需要適用“效果原則”（effects doctrine）進行判斷。歐盟法院對此有過系統(tǒng)的闡釋，就某國對案件的管轄權(quán)基于領(lǐng)土而言，有兩個不同的原則：其一，主觀領(lǐng)土原則，即一國可以管轄源于其本國的行為，即使其完成在國外;其二，客觀領(lǐng)土原則，即一國可以管轄源于國外但是完成在其領(lǐng)土范圍內(nèi)的行為。效果原則實際上承認國家對沒有發(fā)生在其領(lǐng)土范圍內(nèi)的行為行使管轄權(quán)。[參見Wolff Heintschel von Heinegg， Territorial Sovereignty and Neutrality in Cyberspace， 89 International Law Studies 123，133-134（2013）.]國家有義務(wù)阻止發(fā)生在其領(lǐng)土范圍內(nèi)侵犯他國數(shù)據(jù)主權(quán)的行為。具體而言，國家的此項義務(wù)包括調(diào)查、起訴侵犯數(shù)據(jù)主權(quán)的主體、與數(shù)據(jù)主權(quán)被侵害的主體相互合作等。[ 參見 Matthew J. Sklerov， Solving the Dilemma of Sate Responses to Cyberattacks： A Justification for the Use of Active Defenses against States Who Neglect Their Duty to Prevent， 201 Military Law Review 1， 61-63（2009）.]國家在其領(lǐng)土范圍內(nèi)更進一步的義務(wù)是尊重他國的數(shù)據(jù)主權(quán)、維護網(wǎng)絡(luò)數(shù)據(jù)的穩(wěn)定性、維護網(wǎng)絡(luò)數(shù)據(jù)的安全性等。網(wǎng)絡(luò)數(shù)據(jù)的穩(wěn)定性要求主權(quán)國家不應(yīng)肆意干涉在其領(lǐng)土內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)基礎(chǔ)設(shè)施與其他國家之間的互聯(lián)互通。維護網(wǎng)絡(luò)數(shù)據(jù)的安全性要求國家保護網(wǎng)絡(luò)數(shù)據(jù)基礎(chǔ)設(shè)施，確保其免受攻擊和濫用。

（二）“云數(shù)據(jù)”的可規(guī)制性

云計算和大數(shù)據(jù)給數(shù)據(jù)存儲帶來極大的變革，由此帶來最為突出的問題即是“云數(shù)據(jù)”的主權(quán)歸屬問題。如果數(shù)據(jù)存儲在“云”上，諸如蘋果公司的iCloud或者百度云盤，該領(lǐng)域完全不同于傳統(tǒng)領(lǐng)土，數(shù)據(jù)的歸屬應(yīng)該如何判斷？因為該領(lǐng)域并沒有明確的地域界限，并且數(shù)據(jù)能夠迅速移動，數(shù)據(jù)可能被拆分成不同的部分，從而進入不同的司法管轄范圍;同時，該數(shù)據(jù)還可能與其他數(shù)據(jù)有密切聯(lián)系，從而給判定其主權(quán)歸屬造成更大的困難。[ 參見 Andrew Keane Woods， Against Data Exceptionalism， 68 Stanford Law Review 729， 755-756（2016）.]但是，即便是在“云”上的數(shù)據(jù)，也并非不可規(guī)制。

首先，數(shù)據(jù)的“無形”特點并非新問題。數(shù)據(jù)的“無形”會增加規(guī)制難度，但“無形”的特征并非數(shù)據(jù)獨有，法院已經(jīng)對其他“無形”財產(chǎn)如股權(quán)、債權(quán)、知識產(chǎn)權(quán)等積累了豐富的司法實踐經(jīng)驗。[ 參見 Aaron D. Simowitz， Siting Intangibles， 48 New York University Journal of International Law and Politics 259， 260-262（2015）.]例如，商標權(quán)就是以其產(chǎn)生地或注冊地作為判斷其國籍屬性的依據(jù)，股權(quán)則以股東所在國為主判斷其國籍，以方便該國在股權(quán)轉(zhuǎn)讓時收取稅收。美國《對外關(guān)系法重述（第三次）》認為，“無形資產(chǎn)根據(jù)實現(xiàn)目標的不同，會產(chǎn)生不同的地域?qū)傩裕谀承┠繕讼麓嬖跊]有地域?qū)傩缘目赡??！盵參見Restatement of the Law， Third， Foreign Relations Law of the United States note 2.]數(shù)據(jù)與無形資產(chǎn)有著許多相似性，針對數(shù)據(jù)的“無形”特征，法院有大量的經(jīng)驗來判斷其地域歸屬或虛構(gòu)地域歸屬，或是忽視地域歸屬從而直接以其他理由進行司法管轄。

其次，數(shù)據(jù)的移動性不能阻止其地域歸屬的判斷。數(shù)據(jù)以極快的速度轉(zhuǎn)移確實對地域歸屬判斷造成了困難，但是，移動性強也并非數(shù)據(jù)獨有的特點。例如，金錢也可以從某一地點迅速轉(zhuǎn)移到另一地點，法院依然可以判斷其對金錢的司法管轄權(quán)。雖然數(shù)據(jù)存在不同于金錢、債權(quán)的特征，即數(shù)據(jù)可以同一時間在多個地點進行存儲和復(fù)制，但這并不能改變數(shù)據(jù)歸屬或法院司法管轄權(quán)問題分析的實質(zhì)。[ 參見 Andrew Keane Woods， Against Data Exceptionalism， 68 Stanford Law Review 729， 756-760（2016）.]

最后，數(shù)據(jù)的可分性與可替代性可以實現(xiàn)對其地域的判定。用戶的數(shù)據(jù)可能同時由不同地域的服務(wù)者提供服務(wù)，但是，“可分性”特點同樣也非網(wǎng)絡(luò)數(shù)據(jù)所獨有。盡管數(shù)據(jù)具有可分性與可替代性，但人們關(guān)心的只是數(shù)據(jù)所組合形成的表現(xiàn)形式，如圖片、文稿、音頻、視頻等。舉例來說，用戶將一百元存入銀行后，該用戶并不會期待這一百元一直以固定的形式存在，只關(guān)心能取回一百元的本金及其產(chǎn)生的利息，因為貨幣具有可替代性。[參見Jack Goldsmith， Unilateral Regulation of the Internet： A Modest Defence， 11 European Journal of International Law 135， 135-139（2000）.]數(shù)據(jù)的規(guī)制亦然。

綜上，數(shù)據(jù)的無形性、移動性與可分性并不會對判斷數(shù)據(jù)的地域歸屬形成實質(zhì)性障礙。

（三）數(shù)據(jù)保護與數(shù)據(jù)自由兩大核心要素

對于互聯(lián)網(wǎng)技術(shù)發(fā)達、數(shù)字貿(mào)易量巨大的美國而言，數(shù)據(jù)的自由化更為重要。美國需要獲取世界各國的各種數(shù)據(jù)，為其政治、經(jīng)濟、安全等決策與制度設(shè)計提供支持。歐盟及其他國家更強調(diào)數(shù)據(jù)保護的重要意義，以保障其數(shù)據(jù)保護措施的正當性。當然，數(shù)據(jù)保護并不等同于數(shù)據(jù)保護主義。數(shù)據(jù)保護是為了實現(xiàn)國家對數(shù)據(jù)流動的規(guī)制，從而采取的合理限制措施;數(shù)據(jù)保護主義則是否定數(shù)據(jù)自由流動，拒絕國家之間數(shù)據(jù)的正常自由交流。[ 參見 Anupam Chander & Uyen P. Le， Data Nationalism， 64 Emory Law Journal 677， 738-739（2015）.]在美國的數(shù)據(jù)威脅背景下，部分國家開始采取措施限制數(shù)據(jù)在全球范圍內(nèi)的自由流動。例如，“金磚國家”就曾希望建立一個區(qū)域內(nèi)的網(wǎng)絡(luò)體系，以阻止美國對互聯(lián)網(wǎng)的干預(yù)。[參見Paul Joseph Watson， BRICS Countries Build New Internet to Avoid NSA Spying， Oct. 24， 2013， https：//www.mendeley.com/research-papers/brics-countries-build-new-internet-avoid-nsa-spying/.]

數(shù)據(jù)主權(quán)不僅包括國家數(shù)據(jù)主權(quán)，還包括個人數(shù)據(jù)主權(quán)。[ 參見王永剛：《完善立法，明確網(wǎng)絡(luò)主權(quán)、控制數(shù)據(jù)主權(quán)》，載人民網(wǎng)2015年2月5日，http：//opinion.people.com.cn/n/2015/0205/c1003-26511363.html。該文作者將數(shù)據(jù)主權(quán)按照數(shù)據(jù)的歸屬分為三類。]個人數(shù)據(jù)主權(quán)是公民因履行數(shù)據(jù)采集義務(wù)而獲得的數(shù)據(jù)使用權(quán)，包括用戶對數(shù)據(jù)的自決權(quán)和自我控制權(quán)，涵蓋個人隱私權(quán)、生命財產(chǎn)的數(shù)據(jù)保護、公民在國際社會中的數(shù)據(jù)保護等內(nèi)容。個人數(shù)據(jù)主權(quán)需要在國家數(shù)據(jù)主權(quán)框架和范圍內(nèi)運行以獲取有效保障。[ 參見杜雁蕓：《大數(shù)據(jù)時代國家數(shù)據(jù)主權(quán)問題研究》，載《國際觀察》2016年第3期，第6頁。]國家數(shù)據(jù)主權(quán)是個人數(shù)據(jù)主權(quán)的前提和基礎(chǔ)，個人數(shù)據(jù)主權(quán)反過來支撐和落實國家數(shù)據(jù)主權(quán)。[ 參見 Joel Trachtman， Cyberspace， Sovereignty， Jurisdiction， and Modernism， 5 Indiana Journals of Global Legal Studies 561， 566（1998）.]就個人的數(shù)據(jù)主權(quán)來說，數(shù)據(jù)隱私權(quán)是其中較為重要的部分。在隱私權(quán)方面，歐盟與美國的法律呈現(xiàn)出不同的特點。歐盟的隱私法更關(guān)注保護“尊嚴”，而美國的隱私法更強調(diào)保護“自由”?！稓W盟基本權(quán)利憲章》指出：“每個公民的個人數(shù)據(jù)都有受到保護的權(quán)利，并且每個公民都有權(quán)獲取、糾正其個人信息?！盵 Charter of Fundamental Rights of the European Union Article 8.]《歐洲聯(lián)盟運行條約》規(guī)定：“每個人都有權(quán)保護其個人數(shù)據(jù)。”[ Treaty on the Functioning of the EU Article 16.]美國的隱私更加強調(diào)對自由的保護，尤其強調(diào)國家不應(yīng)干涉?zhèn)€人的自由。[參見James Q. Whitman， The Two Western Cultures of Privacy： Dignity versus Liberty， 113 Yale Law Journal 1151， 1151-1155（2004）.]歐盟與美國的個人數(shù)據(jù)主權(quán)理念同樣呈現(xiàn)出數(shù)據(jù)保護與數(shù)據(jù)自由的差異。

數(shù)據(jù)自由與數(shù)據(jù)保護兩種理念的博弈類似于貿(mào)易自由與貿(mào)易安全的關(guān)系，在數(shù)據(jù)主權(quán)領(lǐng)域，需要平衡數(shù)據(jù)自由與數(shù)據(jù)保護之間的關(guān)系。這兩種要素沒有孰優(yōu)孰劣之分，都是數(shù)據(jù)主權(quán)發(fā)展的核心要素，構(gòu)建全球化數(shù)據(jù)主權(quán)規(guī)則本質(zhì)上需要在這二者之間尋求平衡。

二、數(shù)據(jù)主權(quán)的歐盟模式：數(shù)據(jù)保護為核心

（一）“隱私護盾”制度對“安全港”制度的升級

歐盟1995年的《數(shù)據(jù)保護條例》鼓勵數(shù)據(jù)在得到當?shù)胤苫蚺c外國公司合同安排的保護下，可以自由地傳輸?shù)絿狻 參見 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data， paras. 45-46.]隨后，歐盟發(fā)現(xiàn)美國并沒有為歐盟公民的個人數(shù)據(jù)隱私提供足夠的保護，所以歐盟禁止個人數(shù)據(jù)傳輸?shù)矫绹 參見 Steven C. Bennett， EU Privacy Shield： Practical Implications for U.S. Litigation， 62 Practical Law 60， 60（2016）.]考慮到與美國信息交換涉及的龐大體量，2000年，美國與歐盟同意建立數(shù)據(jù)的“安全港”制度：在美國遵守數(shù)據(jù)保護標準，并接受聯(lián)邦貿(mào)易委員會監(jiān)督的條件下，歐盟允許數(shù)據(jù)傳輸?shù)矫绹墓?。[參見 Anupam Chander & Uyen P. Le， Data Nationalism， 64 Emory Law Journal 677， 688-689（2015）.]該制度允許歐盟的個人數(shù)據(jù)在美國公司或組織滿足通知、安全、數(shù)據(jù)完整性等方面要求

的情況下傳輸?shù)矫绹?/p>

2015年，歐洲法院認為“安全港”制度缺乏對歐盟公民數(shù)據(jù)基本權(quán)利保護的法律補救措施。同時，由于美國確認“安全港”制度的遵守情形，使得該制度缺乏合適的執(zhí)行機制和問責機制，所以歐盟開始尋求對數(shù)據(jù)保護制度的改革。[參見Christopher Wolf， EU VP Reding Uses PRISM AS Lever to Push Enactment of Regulation and Questions EU-US Safe Harbor， Chronicle of Data Protection， Jul. 19， 2013， https：//www.hldataprotection.com/2013/07/articles/international-eu-privacy/eu-vp-reding-uses-prism-as-lever-to-push-enactment-of-regulation-and-questions-eu-us-safe-harbor/.]隨后，歐盟數(shù)據(jù)保護機構(gòu)（EU Data Protection Authorities）宣布，不再依據(jù)“安全港”制度規(guī)制美國與歐盟之間的數(shù)據(jù)傳輸。[ 參見 Steven C. Bennett， EU Privacy Shield： Practical Implications for U.S. Litigation， 62 Practical Law 60， 60（2016）.]

2016年，歐盟委員會宣布“隱私護盾”（privacy shield）制度將替代之前的“安全港”制度，相比于“安全港”制度，“隱私護盾”制度對透明度和規(guī)則遵守的監(jiān)督有著更高的要求。[ 參見 Morgan A. Corley， The Need for an Convention on Data Privacy： Taking a Cue from the CISG， 41 Brooklyn Journal of International Law 721， 721-723（2016）.]其一，對公司的保護義務(wù)要求更趨嚴格。該制度包含了有效的監(jiān)管機制，以確保公司遵守數(shù)據(jù)保護的相關(guān)義務(wù)。其二，對美國政府獲取數(shù)據(jù)的防御和透明度要求。在“隱私護盾”制度中，美國政府首次書面承諾，“任何以國家安全為目的獲取歐盟公共機構(gòu)數(shù)據(jù)或個人數(shù)據(jù)都必須有清晰的限制、防衛(wèi)和監(jiān)管機制”。同時，美國承諾通過獨立的監(jiān)察專員機制（ombudsman mechanism）為歐盟建立一個國家數(shù)據(jù)領(lǐng)域的救濟機構(gòu)。其三，構(gòu)建了數(shù)據(jù)保護爭議解決機制。該制度要求數(shù)據(jù)保護爭議應(yīng)在45天之內(nèi)解決。同時，當數(shù)據(jù)保護爭議未得到合理有效解決時，歐盟公民有權(quán)要求本國的數(shù)據(jù)保護機構(gòu)與美國商務(wù)部和聯(lián)邦貿(mào)易委員會一起解決爭議。其四，設(shè)置年度聯(lián)合審查機制。歐盟委員會將聯(lián)合美國商務(wù)部一起評估審核“隱私護盾”制度的執(zhí)行情況。[ 參見 European Commission， EU-U.S. Privacy Shield： Frequently Asked Questions，F(xiàn)eb.29， 2016， http：//europa.eu/rapid/press-release_MEMO-16-434_en.htm.]從“隱私護盾”制度的內(nèi)容可以發(fā)現(xiàn)，歐盟數(shù)據(jù)主權(quán)制度設(shè)計總體上是圍繞著如何實現(xiàn)數(shù)據(jù)保護進行的，尤其強調(diào)對歐盟個人數(shù)據(jù)主權(quán)的捍衛(wèi)，這也體現(xiàn)了歐盟維護公民數(shù)據(jù)“尊嚴”的基本理念?！半[私護盾”制度可以說是“安全港”制度在數(shù)據(jù)保護基礎(chǔ)上的升級，進一步維護了歐盟數(shù)據(jù)主權(quán)，強化了美國對歐盟數(shù)據(jù)主權(quán)的尊重。

（二）《通用數(shù)據(jù)保護條例》的特點

歐盟2016年《通用數(shù)據(jù)保護條例》替代了1995年《數(shù)據(jù)保護條例》?！锻ㄓ脭?shù)據(jù)保護條例》規(guī)定，在滿足一定約束性規(guī)定和數(shù)據(jù)保護條款基礎(chǔ)之上，才允許數(shù)據(jù)傳輸?shù)綒W盟之外的國家和地區(qū)，并禁止將歐盟數(shù)據(jù)傳輸給有權(quán)掌握歐盟個人數(shù)據(jù)的國家。[ 參見 Regulation （EU） 2016/679 of the European Parliament and of the Council of 27 April 2016， on the Protection of Natural Persons with Regard to the Processing of personal Data and on the Free Movement of Such Data， and Repealing Directive 95/46/EC （General Data Protection Regulation）， paras 42-43.]“保護自然人的個人數(shù)據(jù)是每個公民的基本權(quán)利。保護個人數(shù)據(jù)權(quán)利應(yīng)該尊重公民的基本權(quán)利和自由?！盵 參見 EU General Data Protection Regulation， Preamble para. 2.]《通用數(shù)據(jù)保護條例》在數(shù)據(jù)的自由流動方面的規(guī)定，主要是指在歐盟成員之間數(shù)據(jù)的自由流動。[ 參見 EU General Data Protection Regulation， Article 1.3.]

與之前的《數(shù)據(jù)保護條例》相比較，《通用數(shù)據(jù)保護條例》主要存在以下幾方面的差異：

首先，適用范圍更廣。適用于所有與歐盟公民相關(guān)的數(shù)據(jù)，不論該數(shù)據(jù)是否實際上產(chǎn)生或運行在歐盟范圍內(nèi)。[ 參見 EU General Data Protection Regulation， Article 3.]有觀點認為，《通用數(shù)據(jù)保護條例》規(guī)定的歐盟數(shù)據(jù)隱私法律域外適用，將對國際數(shù)據(jù)流動產(chǎn)生重大影響，并且將會事實上使《通用數(shù)據(jù)保護條例》成為一種全球標準。[ 參見 Allison Callahan Slaughter， Lipstick on a Pig： The Future of Transnational Data Flow between the EU and the United States， 25 Tulane Journal of International and Comparative Law 239， 249-253（2016）.]《通用數(shù)據(jù)保護條例》為數(shù)據(jù)傳輸行為本身提出了系統(tǒng)的要求，還規(guī)定任何第三國的法庭、行政機構(gòu)只能通過國際協(xié)定或法律援助協(xié)定向歐盟提出公開數(shù)據(jù)的請求。[ 參見 EU General Data Protection Regulation， Article 48.]

其次，拓寬了數(shù)據(jù)種類的范圍。這意味著公司想要獲取相關(guān)數(shù)據(jù)，需要在更為廣泛的層面上獲得數(shù)據(jù)主體的同意?！锻ㄓ脭?shù)據(jù)保護條例》進一步要求這種“同意”必須是數(shù)據(jù)主體明確、準確的表達，不能是暗示的表達。[ 參見 EU General Data Protection Regulation， Preamble 32 and Article 9.]賦予個人一項新的權(quán)利，即數(shù)據(jù)的“被遺忘權(quán)”（right to be forgotten），也叫數(shù)據(jù)的“消除權(quán)”（right to erasure）。被遺忘權(quán)是指數(shù)據(jù)主體在滿足一定條件下，有權(quán)從數(shù)據(jù)控制器或數(shù)據(jù)管理者處獲得沒有延遲的、消除個人數(shù)據(jù)信息的權(quán)利。[ 參見 EU General Data Protection Regulation， Article 17.]被遺忘權(quán)以個人信息自治為基礎(chǔ)，進一步拓寬了個人數(shù)據(jù)權(quán)利，體現(xiàn)了較高水平的個人數(shù)據(jù)權(quán)利保護。[ 參見劉文杰：《被遺忘權(quán)：傳統(tǒng)元素、新語境與利益衡量》，載《法學(xué)研究》2018年第2期，第24-40頁。]

再次，細化了數(shù)據(jù)控制者與數(shù)據(jù)處理者的責任。在《通用數(shù)據(jù)保護條例》中，云服務(wù)提供者作為數(shù)據(jù)控制者將被要求遵守一系列新的具體義務(wù)，包括保留其處理數(shù)據(jù)活動中的文件、實施適當?shù)陌踩珮藴?、?zhí)行例行的數(shù)據(jù)保護評價體系、遵守國際數(shù)據(jù)傳輸規(guī)則等。[ 參見 EU General Data Protection Regulation， Article 30， Article 32 and Article 35.]云服務(wù)提供者作為數(shù)據(jù)處理者，需要遵守數(shù)據(jù)保護的規(guī)定。同時，數(shù)據(jù)處理者需要與數(shù)據(jù)控制者達成有約束力的合同。如果數(shù)據(jù)處理者沒有依據(jù)數(shù)據(jù)控制者的說明和指令來處理數(shù)據(jù)，該數(shù)據(jù)處理者將被視為數(shù)據(jù)控制者，并承擔數(shù)據(jù)控制者的相關(guān)責任。在處理數(shù)據(jù)之前，處理者有義務(wù)通知數(shù)據(jù)控制者等主體。[ 參見 EU General Data Protection Regulation， Article 28.]關(guān)于兩個及兩個以上數(shù)據(jù)控制者即聯(lián)合控制者（joint controllers）的責任分配問題，無論數(shù)據(jù)聯(lián)合控制者內(nèi)部如何安排，對外每個控制者都將就全部損害承擔責任。[ 參見 EU General Data Protection Regulation， Article 26.]

最后，確立違反數(shù)據(jù)保護規(guī)則的補償及懲罰機制?！锻ㄓ脭?shù)據(jù)保護條例》要求在歐盟成員之間建立起違反規(guī)則后的對等懲罰機制（equivalent sanctions）。[ 參見 EU General Data Protection Regulation， Preamble para. 11.]例如，西班牙數(shù)據(jù)保護機構(gòu)2013年對Google處罰90萬歐元。隨后，荷蘭、德國、比利時、法國、意大利、西班牙聯(lián)合調(diào)查Facebook公司的數(shù)據(jù)保護遵守情況。法國的數(shù)據(jù)保護機構(gòu)——國家信息與自由委員會（National Commission on Informatics and Liberty），在2016年對Google沒有遵守數(shù)據(jù)移除規(guī)則的行為罰款10萬歐元，同年，要求Facebook限期改變其搜集和使用數(shù)據(jù)新消息的方式，并罰款15萬歐元。[ Samantha Cutler， The Face-Off between Data Privacy and Discovery： Why U.S. Courts Should Respect EU Data Privacy Law When Considering the Production of Protected Information， 59 Boston College Law Review 1513， 1521-1523（2018）.]

（三）《通用數(shù)據(jù)保護條例》對中國數(shù)據(jù)保護的啟示

歐盟的數(shù)據(jù)主權(quán)重點在于數(shù)據(jù)的保護。歐盟在《通用數(shù)據(jù)保護條例》中將之前的隱私權(quán)集中表述為個人數(shù)據(jù)保護權(quán)，這種做法一方面拓展了數(shù)據(jù)保護的范圍，給予個人數(shù)據(jù)普遍法律保護，另一方面提升了保護水平，強調(diào)了事前主動防范。[ 參見劉澤剛：《歐盟個人數(shù)據(jù)保護的“后隱私權(quán)”變革》，載《華東政法大學(xué)學(xué)報》2018年第4期，第59頁。]

2017年生效的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）初步建立了用戶信息保護制度，要求網(wǎng)絡(luò)運營者不得泄露、篡改、毀損個人信息，確保個人信息的安全;《中華人民共和國數(shù)據(jù)安全法（草案）》（以下簡稱《數(shù)據(jù)安全法（草案）》）從數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放等方面保障數(shù)據(jù)安全。[ 參見《中華人民共和國網(wǎng)絡(luò)安全法》第40條、第42條。]相較于歐盟對于數(shù)據(jù)保護的相關(guān)規(guī)則，中國的數(shù)據(jù)保護可從以下三個方面進行完善：其一，擴大數(shù)據(jù)保護的范圍?！毒W(wǎng)絡(luò)安全法》更多以國內(nèi)法的性質(zhì)對數(shù)據(jù)保護進行規(guī)定，并沒有強調(diào)域外的數(shù)據(jù)保護，也未涉及與第三國數(shù)據(jù)的合作與協(xié)調(diào)問題?！稊?shù)據(jù)安全法（草案）》明確在中華人民共和國境內(nèi)開展的數(shù)據(jù)活動予以適用，境外的數(shù)據(jù)活動以損害中國國家安全、公共利益或者公民、組織的合法權(quán)益為條件。因此，可借鑒歐盟的域外數(shù)據(jù)保護措施，擴大數(shù)據(jù)保護范圍并加強與第三國在數(shù)據(jù)保護領(lǐng)域的合作等。其二，適度強化個人對數(shù)據(jù)信息的控制權(quán)?！毒W(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)運營者處理、使用個人信息進行了規(guī)范，但是，該法并沒有從數(shù)據(jù)的所有者即公民自身對數(shù)據(jù)信息的控制權(quán)進行規(guī)則設(shè)置，《數(shù)據(jù)安全法（草案）》主要從國家層面強調(diào)數(shù)據(jù)保護。歐盟的《通用數(shù)據(jù)保護條例》不僅強調(diào)數(shù)據(jù)主體，還賦予數(shù)據(jù)主體數(shù)據(jù)“被遺忘權(quán)”。中國的數(shù)據(jù)主權(quán)規(guī)則有必要在該方面借鑒歐盟路徑，進一步延伸個人數(shù)據(jù)權(quán)利保護的維度。其三，明晰數(shù)據(jù)主體的責任分配?！毒W(wǎng)絡(luò)安全法》主要將責任主體限定為網(wǎng)絡(luò)運營者，《數(shù)據(jù)安全法（草案）》更強調(diào)數(shù)據(jù)處理者的數(shù)據(jù)安全保護義務(wù)。[ 參見《中華人民共和國網(wǎng)絡(luò)安全法》第61條、第61條。]歐盟將責任主體細分為數(shù)據(jù)控制者與數(shù)據(jù)處理者，并對多個數(shù)據(jù)控制者如何進行責任分配進行了詳細規(guī)定，這些做法都值得借鑒。

三、數(shù)據(jù)主權(quán)的美國模式：數(shù)據(jù)自由為核心

（一）《澄清域外合法使用數(shù)據(jù)法案》對數(shù)據(jù)自由的支撐

2013年，美國紐約南區(qū)地方法院簽發(fā)搜查令，搜查了微軟公司電子郵件賬戶儲存的數(shù)據(jù)。但是，該搜查令涉及的用戶數(shù)據(jù)并沒有儲存在美國境內(nèi)，而是儲存在位于愛爾蘭的數(shù)據(jù)中心。微軟公司認為，美國的《存儲通信法案》（Stored Communication Act）作為《電子通信隱私法》（Electronic Communications Privacy Act）的一部分，并沒有域外適用的效力，所以美國法院無權(quán)簽發(fā)該搜查令。[ 參見 Andrew Keane Woods， Against Data Exceptionalism， 68 Stanford Law Review 729， 731（2016）.]2014年，美國聯(lián)邦地方法院支持了紐約南區(qū)地方法院的判決。微軟公司將此案上訴至聯(lián)邦第二巡回上訴法院，該法院支持了微軟公司的主張，認為《存儲通信法案》并沒有明確規(guī)定該法可以適用于境外。此案推動了美國修改《存儲通信法案》和《電子通信隱私法》的進程。

2018年，美國通過了《澄清域外合法使用數(shù)據(jù)法案》（Clarifying Lawful Overseas Use of Data Act，以下簡稱《云法案》）。[參見Clarifying Lawful Overseas Use of Data Act， as part of the Consolidated Appropriations Act， 2018 Pub. L. 115-141.]為解決“美國政府訴微軟公司案”中所體現(xiàn)的獲取域外數(shù)據(jù)合法性問題，《云法案》擴大了美國法律的適用范圍?！对品ò浮芬箅娮油ㄐ欧?wù)或遠程計算服務(wù)的供應(yīng)商遵守本法關(guān)于保留、備份、公開電子通信內(nèi)容、記錄以及其他與消費者相關(guān)的信息之規(guī)定，無論該信息是在美國境內(nèi)還是美國境外。在《云法案》中也增加了讓步性安排：其一，在外國的數(shù)據(jù)信息公開會違反該國法律;其二，基于整體的司法公正考慮;[ 在判斷司法公正性時，《云法案》規(guī)定了“禮讓分析”（comity analysis）應(yīng)當考慮的要素：（1）美國的利益，包括政府主體獲取信息公開的調(diào)查利益;（2）具備主體資格的外國政府在禁止信息公開中所獲得的利益;（3）對數(shù)據(jù)服務(wù)提供者或其雇員不遵守法律采取處罰措施的可能性、程度和實質(zhì);（4）顧客所處的地點和國家，以及顧客與美國的聯(lián)系本質(zhì)及程度;（5）數(shù)據(jù)信息提供者與美國聯(lián)系的本質(zhì)與程度;（6）需要被公開的信息的重要性;（7）產(chǎn)生較低消極影響而及時有效獲取公開信息的方式。參見 Clarifying Lawful Overseas Use of Data Act， Section 3. Preservation of Records; Comity Analysis of Legal Process §2713.]其三，用戶不是美國公民且不居住在美國。基于這三類情況，美國法院應(yīng)修改或撤銷該法律程序?！对品ò浮穬H適用于美國的公司，且主要針對電子通信服務(wù)提供商和遠程計算服務(wù)提供商。[ 參見 Clarifying Lawful Overseas Use of Data Act， Section 3. Preservation of Records; Comity Analysis of Legal Process §2713.]但是，由于前述這些所謂的“讓步性”規(guī)定都是由美國法院予以適用，實踐中是否能切實尊重其他國家的數(shù)據(jù)主權(quán)，仍然是不確定的。美國這種單邊的、缺乏與其他國家公平合作的數(shù)據(jù)安排，也許難以實現(xiàn)真正的主權(quán)平等和數(shù)據(jù)主權(quán)規(guī)則的公正合理。

《云法案》將外國政府調(diào)取存儲在美國的相關(guān)數(shù)據(jù)也納入調(diào)整范圍。[ 參見 Clarifying Lawful Overseas Use of Data Act， Section 5. Executive Agreements on Access to Data by Foreign Governments§2523.]一方面，外國政府調(diào)取存儲在美國的數(shù)據(jù)需要滿足一定的條件：（1）外國政府是否有足夠的關(guān)于網(wǎng)絡(luò)犯罪和電子證據(jù)的實體法和程序法，是否加入了《布達佩斯網(wǎng)絡(luò)犯罪公約》，以及外國政府的國內(nèi)法是否與《云法案》的第一章和第二章規(guī)則相一致;（2）外國政府是否尊重法律規(guī)則和非歧視原則;（3）外國政府是否遵守國際人權(quán)義務(wù)和承諾;[ 這些尊重人權(quán)義務(wù)包括：其一，保護隱私免受肆意和非法干涉;其二，公平的審判權(quán);其三，自由表達與和平集會權(quán);其四，禁止武斷地逮捕和拘留;其五，禁止折磨、殘酷非人道的待遇和懲罰。參見 Clarifying Lawful Overseas Use of Data Act， Section 5. Executive Agreements on Access to Data by Foreign Governments§2523.]（4）外國政府是否有清晰的法律強制和程序措施來規(guī)制其國內(nèi)實體的數(shù)據(jù)搜集、保留、使用和分享活動，并且對這些與數(shù)據(jù)相關(guān)的活動進行有效監(jiān)管;（5）外國政府是否有足夠的機制來對電子數(shù)據(jù)的使用提供有責任的、適當?shù)耐该鞫纫?guī)則;（6）外國政府是否對促進和保護信息的數(shù)據(jù)流動，以及互聯(lián)網(wǎng)開放、分布、互聯(lián)互通的本質(zhì)作出承諾;（7）外國政府是否采取了合適的程序來最小化對美國人信息的獲取、保留和傳播。另一方面，在外國政府滿足前述條件之后，要調(diào)取美國的數(shù)據(jù)，送達行政命令還需要滿足其他要求：（1）外國政府不能有意地直接對美國人或位于美國境內(nèi)的人發(fā)布行政命令，而是要滿足“目標程序”要求;（2）如果外國政府以獲得關(guān)于美國人和位于美國境內(nèi)的人的信息為目的，則不能直接對美國境外的非美國人發(fā)布調(diào)取數(shù)據(jù)的行政命令;（3）外國政府不能以為美國政府或第三國政府獲得信息為由發(fā)布行政命令，也不能以與美國政府或第三國政府分享信息為由發(fā)布行政命令;（4）外國政府發(fā)布調(diào)取數(shù)據(jù)的行政命令應(yīng)該以獲取與預(yù)防、檢測、調(diào)查或起訴犯罪、恐怖活動相關(guān)信息為目的，外國政府的行政命令要基于可靠的事實情況，接受法院、法官或其他獨立機構(gòu)的監(jiān)督;（5）外國政府發(fā)布的行政命令不得用于侵犯言論自由;（6）外國政府應(yīng)該及時審查搜集到的材料，并且將未經(jīng)審核的材料存入安全系統(tǒng)，僅對專業(yè)人士開放;（7）外國政府應(yīng)該對數(shù)據(jù)信息給美國人帶來的消極影響達到最小化盡最大努力;（8）外國政府不應(yīng)將獲取的美國人的數(shù)據(jù)傳輸給美國政府，除非該數(shù)據(jù)會威脅美國的國家安全、經(jīng)濟安全或其他重要的國家利益;（9）外國政府應(yīng)該提供互惠的數(shù)據(jù)準入權(quán)利;（10）外國政府應(yīng)定期審查遵守本法案的情況;（11）對美國政府認為不恰當?shù)耐鈬姓睿绹Ａ舨贿m用本法案的權(quán)利。

在《云法案》中，對美國調(diào)取域外數(shù)據(jù)與外國調(diào)取美國數(shù)據(jù)相比，無論從規(guī)則的嚴苛程度，還是自由裁量權(quán)的程度等都存在著極大的差異：一方面，美國獲取域外數(shù)據(jù)與外國獲取美國數(shù)據(jù)在難易程度上存在差異?！对品ò浮芬悦绹@取域外數(shù)據(jù)為原則，以限制美國獲取域外數(shù)據(jù)為例外，即僅有三類情況可以限制美國獲取域外數(shù)據(jù)。但是，外國想要獲取美國數(shù)據(jù)要滿足十一項條件，任何國家恐怕都很難同時滿足如此繁復(fù)的條件。并且，外國想要調(diào)取美國的數(shù)據(jù)在對象上也有嚴格的限制，若想要調(diào)取美國人的數(shù)據(jù)，更是十分困難。另一方面，無論是限制美國獲取域外數(shù)據(jù)，或是限制外國獲取美國數(shù)據(jù)，《云法案》都授予了美國極大的自由裁量權(quán)。這體現(xiàn)了對其他國家數(shù)據(jù)主權(quán)的不尊重，是單邊主義和以美國為中心的表現(xiàn)。

（二）美國數(shù)據(jù)自由規(guī)則對中國的啟示

盡管美國的數(shù)據(jù)保護規(guī)則以促進數(shù)據(jù)自由流動的理念為核心，但是美國也并未置數(shù)據(jù)保護于不顧。相反，美國是單方強調(diào)他國數(shù)據(jù)的自由流動，對其本國的數(shù)據(jù)則采取嚴格的保護措施。我國不應(yīng)采取這種單邊和霸權(quán)的做法。但是，美國的數(shù)據(jù)保護措施以及與第三國之間數(shù)據(jù)自由流動的安排，仍有一些經(jīng)驗和路徑可供借鑒。首先，在數(shù)據(jù)自由流動方面，中國需要建立起公平合理的域外數(shù)據(jù)調(diào)取機制。《云法案》擴大了美國相關(guān)法律的適用范圍，無疑加劇了美國與數(shù)據(jù)存儲地國家之間的數(shù)據(jù)主權(quán)沖突。盡管有一系列的讓步安排，這些讓步安排的條件是否滿足、最終是否能夠否認美國對數(shù)據(jù)的司法管轄權(quán)，其裁決權(quán)仍然在美國法院手中。針對主權(quán)國家拒絕提供數(shù)據(jù)的情形，包括外國的數(shù)據(jù)信息公開是否違反該國法律、是否有違司法公正等，不應(yīng)該由進行數(shù)據(jù)調(diào)取的國家來判斷和決定。由此，中國可考慮建設(shè)雙邊或者多邊數(shù)據(jù)調(diào)取裁決機構(gòu)。其次，允許外國政府或個人請求調(diào)取存儲在中國的數(shù)據(jù)。中國對存儲在國內(nèi)的數(shù)據(jù)享有數(shù)據(jù)主權(quán)?？梢越梃b美國的審核機制，包括考察外國主體對數(shù)據(jù)信息的保護機制、外國主體調(diào)取信息的目的、我國與該國是否有調(diào)取信息的互惠合作安排等。最后，中國可以在平衡數(shù)據(jù)保護與數(shù)據(jù)自由的過程中，采取基本原則加例外條款的模式。例如，美國以禁止數(shù)據(jù)本地化為原則，但規(guī)定了例外情形，這種模式更可能在各國之間達成一致意見，有利于我國與其他國家開展數(shù)據(jù)主權(quán)方面的合作。[ 參見彭岳：《數(shù)據(jù)本地化措施的貿(mào)易規(guī)則問題研究》，載《環(huán)球法律評論》2018年第2期，第186-189頁。]

四、中國方案：數(shù)據(jù)主權(quán)規(guī)則的構(gòu)建

（一）數(shù)據(jù)主權(quán)規(guī)則構(gòu)建的原則

中國數(shù)據(jù)主權(quán)的規(guī)則構(gòu)建既要維護我國利益，又要兼顧他國合理關(guān)切;既要符合我國法律傳統(tǒng)，又要遵守國際法基本原則。具體而言，數(shù)據(jù)主權(quán)規(guī)則的構(gòu)建需要遵循以下原則：

第一，堅持主權(quán)獨立與平等。主權(quán)原則適用于網(wǎng)絡(luò)空間和數(shù)據(jù)領(lǐng)域已經(jīng)獲得較廣范圍的認同，但是數(shù)據(jù)保護與數(shù)據(jù)自由平衡的要求，需要不斷提升對數(shù)據(jù)主權(quán)的認知和適應(yīng)能力。數(shù)據(jù)領(lǐng)域的虛擬性、無界性、開放性等特點，決定了數(shù)據(jù)主權(quán)對傳統(tǒng)主權(quán)絕對性、不可分性的突破。習(xí)近平主席指出：“《聯(lián)合國憲章》確立的主權(quán)平等原則是當代國際關(guān)系的基本準則，覆蓋國與國交往各個領(lǐng)域，其原則和精神也應(yīng)該適用于網(wǎng)絡(luò)空間。”[ 參見《習(xí)近平在第二屆世界互聯(lián)網(wǎng)大會開幕式上的講話》，載人民網(wǎng)2015年12月16日，http：//cpc.people.com.cn/n1/2015/1216/c64094-27937316.html。]國際社會應(yīng)該尊重每個國家自主的數(shù)據(jù)主權(quán)發(fā)展戰(zhàn)略，讓每個國家平等地參與到數(shù)據(jù)主權(quán)國際規(guī)則構(gòu)建的合作中來。數(shù)據(jù)主權(quán)不僅需要重申主權(quán)獨立，更需要在主權(quán)平等的基礎(chǔ)上倡導(dǎo)多邊參與、多方參與、平等參與的共同治理模式。[ 參見張新寶：《尊重網(wǎng)絡(luò)主權(quán) 發(fā)揚伙伴精神》，載《人民日報》2018年6月4日，第16版。]根據(jù)權(quán)利義務(wù)相統(tǒng)一的基本邏輯，大國在獲得事實上所謂“特權(quán)”的同時，理應(yīng)承擔要求更高的“特殊”義務(wù)。[ 參見蔡從燕：《國際法上的大國問題》，載《法學(xué)研究》2012年第6期，第193-205頁。]平等地享有數(shù)據(jù)主權(quán)無關(guān)國家強弱和數(shù)據(jù)技術(shù)水平高低，每個國家都可依法對其數(shù)據(jù)進行規(guī)制和安全保護。[ 參見張新寶、許可：《網(wǎng)絡(luò)空間主權(quán)的治理模式及其制度構(gòu)建》，載《中國社會科學(xué)》2016年第8期，第154頁。]

美國的《對外關(guān)系法重述（第三次）》列舉了一國管轄權(quán)確定的五個標準：其一，行為發(fā)生在該國境內(nèi);其二，人或物在該國境內(nèi);其三，域外行為在該國領(lǐng)域內(nèi)產(chǎn)生了實質(zhì)性影響;其四，該國國民的行為;其五，域外行為與該國的國家安全或國家利益發(fā)生直接沖突。[參見Restatement of the Law， Third， Foreign Relations Law of the United States§402.]借鑒此標準，在判斷“云數(shù)據(jù)”管轄權(quán)問題上也有五個相關(guān)標準：其一，數(shù)據(jù)所在地。盡管數(shù)據(jù)是無形的，但數(shù)據(jù)存儲器以及相關(guān)數(shù)據(jù)驅(qū)動器具有物理形態(tài)。在某國境內(nèi)的這些數(shù)據(jù)存儲器及驅(qū)動器，該國對其應(yīng)享有主權(quán)。[參見Jack L. Goldsmith， Against Cyberanarchy， 65 The University of Chicago Law Review 1199， 1216-1218（1998）.]其二，與數(shù)據(jù)相關(guān)的損害情形發(fā)生地。若外國主體在境外對本國的數(shù)據(jù)安全造成損害，

該國就有權(quán)對損害行為相關(guān)的數(shù)據(jù)行使管轄權(quán)。其三，與數(shù)據(jù)相關(guān)的嫌疑人經(jīng)常居住地或國籍所在地。其四，與數(shù)據(jù)相關(guān)的受害人經(jīng)常居住地或受害人國籍所在地。其五，數(shù)據(jù)控制者經(jīng)常居住地或國籍所在地。因此，國家可以依據(jù)前述要素和標準來確定其對數(shù)據(jù)的司法管轄權(quán)。總體而言，國家在數(shù)據(jù)問題上擁有較為寬泛的規(guī)制權(quán)，只要數(shù)據(jù)或數(shù)據(jù)產(chǎn)生的影響發(fā)生在一國境內(nèi)，或者對該國（該國公民）產(chǎn)生實質(zhì)影響，國家就可以行使對數(shù)據(jù)的管轄權(quán)。[參見Jack Goldsmith， Unilateral Regulation of the Internet： A Modest Defence， 11 European Journal of International Law 135， 136-139（2000）.]

第二， 遵循合作共治。習(xí)近平主席在第二屆世界互聯(lián)網(wǎng)大會上提出構(gòu)建網(wǎng)絡(luò)空間命運共同體的倡議，指出網(wǎng)絡(luò)空間命運共同體要以促進網(wǎng)絡(luò)共同繁榮、推動全球數(shù)字經(jīng)濟發(fā)展、構(gòu)建各方普遍接受的網(wǎng)絡(luò)空間國際規(guī)則為目標，以堅持多邊參與、反映大多數(shù)國家意愿和利益為基礎(chǔ)。[ 參見《習(xí)近平出席第二屆世界互聯(lián)網(wǎng)大會開幕式并發(fā)表主旨演講》，載人民網(wǎng)2015年12月17日，http：//cpc.people.com.cn/n1/2015/1217/c64094-27938940.html。]我國的數(shù)據(jù)主權(quán)發(fā)展戰(zhàn)略和規(guī)則建設(shè)，作為網(wǎng)絡(luò)空間治理的重要組成部分，需要堅持網(wǎng)絡(luò)空間命運共同體的基本理念和重要內(nèi)涵，以開放平等的姿態(tài)參與到國際社會共同治理中去。對網(wǎng)絡(luò)數(shù)據(jù)的規(guī)制更需要多國的共同合作，數(shù)據(jù)治理合作需要實現(xiàn)權(quán)利與義務(wù)相統(tǒng)一，網(wǎng)絡(luò)數(shù)據(jù)技術(shù)相對發(fā)達的國家可以承擔更多的責任和義務(wù)來完善數(shù)據(jù)的國際規(guī)制，且有義務(wù)幫助數(shù)據(jù)水平落后的國家完善數(shù)據(jù)治理。同時，網(wǎng)絡(luò)數(shù)據(jù)的安全性問題日益凸顯，數(shù)據(jù)安全關(guān)乎國家利益、公共利益和公民利益，網(wǎng)絡(luò)數(shù)據(jù)國際合作是各國的共同需求，具有重要的意義。[ 參見張新寶：《論網(wǎng)絡(luò)信息安全合作的國際規(guī)則制定》，載《中州學(xué)刊》2013年第10期，第58頁。]人類命運共同體理念是對馬克思主義共同體學(xué)說的發(fā)展，也是對國際法依賴的社會基礎(chǔ)的再認識，是將中國文化融入全球治理的重要舉措。[ 參見張輝：《人類命運共同體：國際法社會基礎(chǔ)理論的當代發(fā)展》，載《中國社會科學(xué)》2018年第5期，第55頁。]數(shù)據(jù)主權(quán)規(guī)則構(gòu)建需要堅持以人類命運共同體理念為指導(dǎo)的合作共治。

（二）數(shù)據(jù)主權(quán)規(guī)則的構(gòu)建之策

我國基本的數(shù)據(jù)主權(quán)規(guī)則最初體現(xiàn)在《網(wǎng)絡(luò)安全法》第37條中，其核心內(nèi)容包含兩個方面：其一，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在我國境內(nèi)收集的個人信息、重要數(shù)據(jù)應(yīng)儲存在我國境內(nèi);其二，數(shù)據(jù)向境外傳輸，需要進行安全評估。[ 參見《中華人民共和國網(wǎng)絡(luò)安全法》第37條。]正在審議的《數(shù)據(jù)安全法（草案）》第三章“數(shù)據(jù)安全制度”也集中體現(xiàn)了我國的數(shù)據(jù)主權(quán)規(guī)則，主要從分級分類保護、數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預(yù)警機制、應(yīng)急處置機制、安全審查制度、出口管制、反制措施等方面進行制度建設(shè)。但是我國數(shù)據(jù)主權(quán)規(guī)則仍存在著一些亟待解決的問題，如缺乏以個人數(shù)據(jù)和國家數(shù)據(jù)保護為類別的分類治理機制，未對商業(yè)數(shù)據(jù)跨境傳輸進行高水平治理，對“數(shù)據(jù)自由”前提下的長臂管轄規(guī)制不足等。為此，我國可以汲取歐盟與美國數(shù)據(jù)主權(quán)規(guī)則建設(shè)的經(jīng)驗，完善符合我國國情及國家利益的數(shù)據(jù)主權(quán)規(guī)則。

第一，構(gòu)建個人數(shù)據(jù)和國家數(shù)據(jù)的分類治理規(guī)則。數(shù)據(jù)分類治理的重點之一，就是要根據(jù)數(shù)據(jù)的不同特點和用途對個人數(shù)據(jù)與國家數(shù)據(jù)設(shè)置不同的治理模式。雖然個人數(shù)據(jù)在大數(shù)據(jù)時代具有明顯的復(fù)合性，個人數(shù)據(jù)在經(jīng)過處理后可能用于國家層面的服務(wù)和應(yīng)用，但是這不意味著個人數(shù)據(jù)等同于國家數(shù)據(jù)。從個人權(quán)利保障角度和現(xiàn)實生活需求出發(fā)，有必要對個人數(shù)據(jù)進行不同于國家數(shù)據(jù)的制度安排。[ 個人數(shù)據(jù)信息保護的規(guī)則既需要權(quán)利義務(wù)之間的平衡，又需要個人數(shù)據(jù)保護的權(quán)利與其他權(quán)利之間的平衡。參見張文亮：《個人數(shù)據(jù)保護立法的要義與進路》，載《江西社會科學(xué)》2018年第6期，第173頁。]當然，大數(shù)據(jù)時代的個人數(shù)據(jù)存在不同于以往的特點，傳統(tǒng)民法理論中私人領(lǐng)域與公共領(lǐng)域的對立在這里逐漸模糊，個人數(shù)據(jù)的物理邊界和公私邊界不再嚴格，數(shù)據(jù)生產(chǎn)本身就具有共享性，這也直接影響了個人數(shù)據(jù)治理規(guī)則的完善。個人數(shù)據(jù)治理從理念上需要從個人控制轉(zhuǎn)到社會控制，個人數(shù)據(jù)在一定程度上是社會的共同資源，所以國家需要承擔起個人數(shù)據(jù)保護的責任。先肯定社會控制個人數(shù)據(jù)的理念，事后再進行司法救濟，即由法院裁判是否侵犯個人數(shù)據(jù)，有效地平衡了個人利益與社會公益保護，有利于中國的個人數(shù)據(jù)得到有效保護。[ 參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學(xué)研究》2018年第3期，第97-100頁。]另外，目前我國的個人數(shù)據(jù)保護亟須精細化管理，盡管《中華人民共和國民法典》第4編第6章“隱私權(quán)和個人信息保護”對于自然人個人信息的保護和處理列明了條件和情形，規(guī)定了自然人的權(quán)利、信息處理者以及國家機關(guān)和工作人員的義務(wù)，但仍缺乏系統(tǒng)化、具體化制度設(shè)計，同時還存在重責任追究輕綜合治理的問題，需要盡快出臺《個人信息保護法》予以彌補。一方面，我國需要強化個人數(shù)據(jù)保護的基本價值觀念，鼓勵各類主體積極主動維護個人數(shù)據(jù)安全;另一方面，需要建立起對個人數(shù)據(jù)保護的懲治威懾機制，建立起公開透明的個人數(shù)據(jù)處理機制，建立多層次、高標準、寬嚴相濟的治理和處罰機制，而非簡單地將違反國家數(shù)據(jù)安全的處罰措施移植到侵犯個人數(shù)據(jù)安全的行為上。[ 參見洪延青：《“以管理為基礎(chǔ)的規(guī)制”——對網(wǎng)絡(luò)運營者安全保護義務(wù)的重構(gòu)》，載《環(huán)球法律評論》2016年第4期，第20-40頁。]

第二，完善商業(yè)數(shù)據(jù)跨境流動的規(guī)則。商業(yè)數(shù)據(jù)的跨境流動安全對商業(yè)主體本身有著重要意義，同時，部分商業(yè)數(shù)據(jù)與個人數(shù)據(jù)、國家數(shù)據(jù)保護密切相關(guān)。目前，商業(yè)數(shù)據(jù)跨境流動的安全防范在我國《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法（草案）》中較少涉及，缺乏深入和系統(tǒng)的規(guī)制。因此，我國有必要盡快加強針對商業(yè)數(shù)據(jù)跨境流動的規(guī)制：針對與個人數(shù)據(jù)、國家數(shù)據(jù)安全相關(guān)的商業(yè)數(shù)據(jù)，直接納入個人數(shù)據(jù)或國家數(shù)據(jù)保護規(guī)則范疇;若商業(yè)數(shù)據(jù)跨境流動與個人數(shù)據(jù)和國家數(shù)據(jù)保護無關(guān)，則建立專門的安全評估規(guī)則。[ 參見曹博：《跨境數(shù)據(jù)傳輸?shù)牧⒎Ｊ脚c完善路徑——從〈網(wǎng)絡(luò)安全法〉第37條切入》，載《西南民族大學(xué)學(xué)報（人文社會科學(xué)版）》2018年第9期，第99頁。]

第三，提前阻斷“數(shù)據(jù)自由”名義下的長臂管轄。無論是美國的《云法案》還是歐盟的《通用數(shù)據(jù)保護條例》，都存在借“數(shù)據(jù)自由”之名行長臂管轄之實，將數(shù)據(jù)管轄權(quán)延伸至域外，形成挑戰(zhàn)他國數(shù)據(jù)主權(quán)的長臂管轄。歐美的長臂管轄沒有充分的國際法基礎(chǔ)，又存在對公民隱私、企業(yè)管理、國家數(shù)據(jù)主權(quán)的潛在威脅和侵犯，有必要通過立法對長臂管轄進行阻斷。一方面，在立法理念上，堅持“存儲地模式”，將虛擬空間附著于物理空間，以傳統(tǒng)屬地原則確定管轄邊界。同時，宜設(shè)定必要的例外情形，諸如數(shù)據(jù)存儲位置不確定而導(dǎo)致的域外適用等，也為他國侵犯我國的數(shù)據(jù)主權(quán)提供反制空間。另一方面，從立法源頭上否認歐美等國長臂管轄條款的效力，并禁止中國企業(yè)和個人遵從損害中國合法權(quán)益的裁判，更進一步為由于長臂管轄受損失的企業(yè)提供救濟渠道和途徑。

第四，推動數(shù)據(jù)主權(quán)國際合作規(guī)則建設(shè)。歐盟與美國在個人數(shù)據(jù)領(lǐng)域從“安全港”制度到“隱私護盾”制度的變遷，都體現(xiàn)了雙邊的數(shù)據(jù)規(guī)則安排。其中，不僅有共同監(jiān)督、審核數(shù)據(jù)保護制度執(zhí)行的體系，也有數(shù)據(jù)保護的爭端解決合作機制。我國目前并沒有對如何進行雙邊、區(qū)域或多邊數(shù)據(jù)合作形成具體規(guī)則和方案，但是，構(gòu)建網(wǎng)絡(luò)空間命運共同體、促進網(wǎng)絡(luò)規(guī)則構(gòu)建的開放合作，是我國推進全球互聯(lián)網(wǎng)治理體系變革的基本原則。[ 參見《習(xí)近平“四項原則”“五點主張”成全球共識》，載中華人民共和國國家互聯(lián)網(wǎng)信息辦公室官網(wǎng)2016年12月29日，http：//www.cac.gov.cn/2016-12/29/c_1120209665.htm。]因此，我國可借鑒歐盟數(shù)據(jù)規(guī)則的合作模式，完善符合我國特點的數(shù)據(jù)主權(quán)規(guī)則?？梢韵葟碾p邊或區(qū)域著手，構(gòu)建數(shù)據(jù)主權(quán)規(guī)則的合作機制，從而為數(shù)據(jù)主權(quán)規(guī)則的多邊建設(shè)提出中國方案。在推動國際規(guī)則建設(shè)的過程中，需要把握以下原則：數(shù)據(jù)保護是數(shù)據(jù)自由的前提和基礎(chǔ)，數(shù)據(jù)保護體系為數(shù)據(jù)自由流動保駕護航;數(shù)據(jù)自由流動是數(shù)據(jù)的價值所在和數(shù)據(jù)保護的目標。

結(jié) 語

數(shù)據(jù)主權(quán)是國家主權(quán)在網(wǎng)絡(luò)空間的核心表現(xiàn)，數(shù)據(jù)主權(quán)主要包括數(shù)據(jù)管理權(quán)和數(shù)據(jù)控制權(quán)。隨著云計算、大數(shù)據(jù)等新興技術(shù)的發(fā)展，數(shù)據(jù)已經(jīng)成為經(jīng)濟、國防等領(lǐng)域國家重要的基礎(chǔ)性戰(zhàn)略資源。各國在數(shù)據(jù)領(lǐng)域的競爭日趨激烈。數(shù)據(jù)主權(quán)事關(guān)國家總體安全，是國家的核心利益之一。[ 參見《數(shù)字化時代，亟須捍衛(wèi)數(shù)據(jù)主權(quán)》，載中華人民共和國國防部官網(wǎng)2018年3月1日，http：//www.mod.gov.cn/jmsd/2018-03/01/content_4805627.htm。]盡管數(shù)據(jù)存在無形性、移動性、分散性等特點，但是并非不可規(guī)制。歐盟以數(shù)據(jù)保護為核心制定其數(shù)據(jù)主權(quán)規(guī)則，尤其強調(diào)對個人數(shù)據(jù)主權(quán)的保護?！半[私護盾”制度在美國與歐盟之間建立起了有效的數(shù)據(jù)保護監(jiān)管機制和聯(lián)合審查機制，強化了數(shù)據(jù)保護的透明度規(guī)則，并且建立起了有效的數(shù)據(jù)保護爭議解決機制?！锻ㄓ脭?shù)據(jù)保護條例》賦予個人對數(shù)據(jù)使用的“同意權(quán)”和“被遺忘權(quán)”，進一步加強了數(shù)據(jù)責任的分配，為違反數(shù)據(jù)主權(quán)規(guī)則的主體責任承擔提供了更為科學(xué)的依據(jù)。

美國以數(shù)據(jù)自由為核心構(gòu)建數(shù)據(jù)主權(quán)規(guī)則。從實質(zhì)來說，是針對美國調(diào)取域外數(shù)據(jù)的數(shù)據(jù)自由，但對域外國家調(diào)取美國數(shù)據(jù)仍然采取了較為嚴苛的數(shù)據(jù)保護規(guī)則。《云法案》從原則上確認了美國調(diào)取域外數(shù)據(jù)的合法性，給其他國家的數(shù)據(jù)主權(quán)造成了嚴重威脅?！对品ò浮穼τ蛲鈬艺{(diào)取美國數(shù)據(jù)設(shè)置了極為煩瑣的條件及要求，且給予美國法院過多自由裁量權(quán)，客觀上形成了不平等的數(shù)據(jù)主權(quán)規(guī)則。

中國的數(shù)據(jù)主權(quán)規(guī)則應(yīng)以主權(quán)獨立、平等、合作為指導(dǎo)，無論國家強弱，無論其網(wǎng)絡(luò)數(shù)據(jù)技術(shù)水平的差異，都平等地享有數(shù)據(jù)主權(quán)。同時，中國的數(shù)據(jù)主權(quán)規(guī)則還需要以網(wǎng)絡(luò)空間命運共同體理念為指導(dǎo)，以合作共治為原則，促進全球數(shù)字經(jīng)濟發(fā)展，構(gòu)建各方普遍接受的數(shù)據(jù)主權(quán)國際合作規(guī)則。歐盟與美國的數(shù)據(jù)主權(quán)規(guī)則可以給予中國提供有益的借鑒。中國應(yīng)該積極發(fā)掘符合數(shù)據(jù)發(fā)展情況和國家利益的內(nèi)容，提出具有中國特色的數(shù)據(jù)主權(quán)國際合作方案。

The Building Models of Data Sovereignty Rules and the Enlightment：

On the Rule Building of Chinas Data Sovereignty

ZHANG Xiao-jun

（Southwest University of Political Science and Law， Chongqing 401120， China）

Abstract：

Data is an important national strategic resource in the era of big data. Data sovereignty is the core manifestation of national sovereignty in cyberspace. It is related to data security， digital divide and personal privacy. It is where national security and development interests lie. In recent years， the European Union and the United States have continued to build rules on data sovereignty. With data protection at its core， the European Union has issued the "General Data Protection Regulations" to re-establish the rules and framework for handling data protection with the United States and further strengthen the protection of data sovereignty. The United States， represented by the "Clarifying Lawful Overseas Use of Data Act"， established data sovereignty rules with free flow of data as the core， but the essence is an extension of unilateralism and hegemonism on the issue of data sovereignty. Based on the differences in data sovereignty rules between the European Union and the United States， China should follow the principles of sovereign independence， equality， cooperation and co-governance， take the concept of a community of shared future in cyberspace as the guide to building data sovereignty rules that meet Chinas development requirements， and take into account the interests of all countries， as well as promote the comprehensive and healthy development of the global digital economy.

Key Words：? data sovereignty; data security; data protection; free flow of data

本文責任編輯：邵 海