摘要:数字主权是国家主权在数字领域的自然延伸,同传统主权一样表现为国家在数字领域的对内最高管辖权和对外独立自主权。数字主权大体包括网络主权和数据主权两个方面。就网络主权而言,应当坚持网络空间的“和平”和“日常”属性,强调一国基于国家主权所享有的管辖权、管理权和规制权;就数据主权而言,应当探索平衡、适度的跨境数据流动监管路径和方法,在维护数据主权与发展数字经济之间求得最优解。数字主权的恰当诠释和应用有望推动全球数字治理正向发展,对其的异化和滥用则可能诱发监管过度扩张、加速西方国家对华“数字脱钩”。作为因应,中国在国内层面应当坚持数字主权的国家属性和“防御”属性,探索更加平衡、适度的监管方法和路径;在双边层面应当对“等效监管”要求作出更加灵活有效的应对,包括考虑主动进行“逆向”充分性认定;在多边层面应当探索确立以主权平等为基础的全球数字治理模式,并充分利用有关区域性机制。
关键词:数字主权;网络主权;数据主权;全球数字治理;网络空间命运共同体;
自2020年欧洲议会发布《欧洲数字主权》报告以来,[1]“数字主权”日益成为数字治理领域相关讨论中的高频词汇。尽管关于其确切内涵和外延尚无定论,但“数字”和“主权”这两个在任何意义上都堪称当今世界“关键词”的词语的结合,使得这一概念的重要性无论如何都不应被低估。在我国加强数字化发展治理、推进数字中国建设、推动构建网络空间命运共同体的背景下,梳理“数字主权”试图被赋予的含义,分析这一术语应当具有的含义,在此基础上探讨对全球数字治理的潜在影响及其因应,具有重要的现实意义。
一、数字主权的界定
(一)欧盟语境下的“数字主权”
主权是国家的专有属性,是威斯特伐利亚体系下民族国家的标志性特征。但欧盟在外交、经贸尤其是监管领域高度一体化,成员国自愿将原属国家主权范畴内的部分事务和权限让渡给欧盟,使得欧盟作为一个整体,在很多方面具有了“超国家”的独立性和自主权,在享有和行使特定权力方面可以类比于主权国家。正是在此意义上,《欧洲数字主权》报告将“主权”一词应用于联盟层面。也正因为是在类比的意义上使用,该报告并未对“数字主权”给出确切定义,而只是作了相对简单的描述,即数字主权是指“欧洲在数字世界独立行动的能力,应当从能够培育数字创新的保护性机制和进攻性工具两个方面来理解”,其旨在促进和突显“欧洲在数字领域的领导地位和战略自主”。[2]究其实质,数字主权是欧盟晚近以来强调的“战略主权”的一个方面,是所谓“欧洲主权”在数字领域的体现。[3]从报告内容看,数字主权相关讨论的基本出发点和着眼点是“非欧盟技术公司的经济和社会影响危及欧盟公民对其个人数据的控制,制约欧盟高科技公司的成长以及欧盟及其成员国规则制定者的执法能力”,最终目的是提升欧盟的“技术自主”。[4]惟其如此,《欧洲数字主权》报告将“数字主权”与“技术主权”作为同一概念使用。
“数字主权”因《欧洲数字主权》报告而成为热词,但这一术语本身早在21世纪初就已出现。在其出现之初,数字主权并不是在国家主权的意义上使用,而是对利益攸关方在数字领域的自主权、控制权的一种形象化描述,“追求数字主权是公司、公共当局以及互联网用户、公民和消费者的共同目标”。[5]这一点与“网络空间主权”这一邻近概念的情况相似:后者在1997年被美国学者首次提出时,指向的并非“国家在网络空间所享有的主权”这个我们今天通常的理解,而是恰恰相反,是用来表示“网络空间自身的主权”,即网络空间免受政府规制的自主权。[6]但无论如何,就其实质而言,数字主权意味着对数据、软件(如人工智能)、标准和规程(如、域名)、程序(如云计算)、硬件(如移动电话)、服务(如社交媒体、电子商务)以及基础设施(如电缆、卫星、智慧城市)等“数字”的控制,[7]而这些又都同国家安全和国民经济息息相关。[8]一国采取的数字主权措施通常意图达到两个主要效果:一是出于一系列国家利益考虑,加强对“主权数据”(即属于一国公民、企业或政府机构的数据)的主权控制和权力;二是扶持信息技术以及数字产品和服务部门的国内产业,后者在相关领域具有潜在的经济和战略溢出效应。[9]
(二)数字主权的应有内涵
欧盟作为一个自成一体、在诸多方面带有主权国家色彩的政治实体,强调自身的“数字主权”,意味着在地缘政治和经济、技术竞争背景下,传统主权概念在西方国家素来推崇“自由”的网络和数字领域的“回归”,是要以此为依据确立欧盟在数字治理中的权威性、自主性和有效性,寻求数据的安全发展与数字技术的自主可控。[10]这势必对全球数字治理的格局和发展产生深远影响。抛开此举背后的利益诉求和意识形态等因素不论,仅就“主权原则同样适用于网络/数字领域”这一意涵而言,数字主权的表述同我国在网络、信息等领域的一贯立场是一致的。远在这一议题引起西方世界关注之前,中国在进入互联网时代之初就强调对数字技术的主权,并制定了相应的政策和规章。研究显示,在1994年互联网进入中国到2005年信息社会世界峰会(WSIS)通过《信息社会突尼斯议程》的10余年间,网络主权、信息主权等概念在国内学术文献中已经开始出现;尽管没有使用“数字主权”这一术语,但相关讨论涉及类似问题,可谓当下关于数字主权论争的先声。[11]2010年《中国互联网报告》白皮书首次在官方层面提出“互联网主权”的概念。2013年开始,伴随参与联合国“关于从国际安全的角度看信息和电信领域的发展政府专家组”的相关工作,中国逐渐使用“网络空间主权”概念取代“互联网主权”概念,相关观点和主张也被纳入联合国文件而成为国际共识。[12]2015年7月1日颁行的《国家安全法》首次以法律形式明确提出“网络空间主权”(第25条),2017年6月1日起施行的《网络安全法》也开宗明义地强调“维护网络空间主权”(第1条)。2022年《携手构建网络空间命运共同体》白皮书转而使用“网络主权”这一表述,并被最新的2023年《新时代的中国网络法治建设》白皮书所沿用。
综上,立足国际态势和中国现实,本文对“数字主权”作“广义兼狭义”的理解,在此基础上展开相关讨论。广义是就客体而言,即大体包括网络(空间)主权和数据主权两个方面,前者偏重于载体,后者偏重于内容。[13]狭义则是就主体而言,即在传统的国家主权的意义上使用“主权”这一概念,也涵盖欧盟这样具有特殊性的“超国家”实体,而不涉及所谓“企业数字主权”或者“个人数字主权”;后者本质上谈的是企业和个人在国家规制框架内的(相对)自主权。
二、“国家回归”态势下的网络主权
(一)网络主权与国际法的全面平衡适用
从互联网的发明到20世纪90年代中后期,居于主导地位的观念是将网络空间视为一个自由放任的“自主体系”,倡导网络空间“自我规制”,反对将现实世界的各种政府管制延伸到网络空间。[14]但从20世纪90年代后期开始,网络空间“国家回归”的态势日益明显,国家越来越多地通过制定各种国内立法和政策参与网络空间治理。[15]美国等西方国家较早提出国际法在网络空间的适用问题,并主要强调现有国际法在网络空间的适用。美国2011年《网络空间国际战略》提出:“发展国家在网络空间的行为规范不需要重新创设习惯国际法,也不会使现有国际法规范过时。长期存在的在和平和战争时期指导国家行为的国际规范也适用于网络空间。”[16]2012年9月,时任美国国务院法律顾问高洪柱(HaroldHongjuKoh)发表题为《网络空间的国际法》的演讲,表示尽管网络空间提出了许多极为复杂的新法律问题,但现有国际法原则无疑适用于网络空间。[17]
迄今为止,西方国家主要强调国际人权法以及关于使用武力的国际法规则的适用,这反映了这些国家对于如何构建网络空间国际秩序、特别是如何实现自由与安全之间的适当平衡的态度。西方国家历来大力鼓吹“互联网自由”,主张国际人权法特别是有关保护言论自由的规定在网络空间的适用。倡导关于使用武力的国际法规则的适用,则顺应了西方国家凭借其强大的政治、经济和军事实力(包括在网络技术军事化方面的领先优势),日益重视通过单边军事行动来应对外部网络威胁、维护本国网络安全的政策倾向。为此目的,这些国家在规制“网络战”的旗号下,一方面利用诉诸武力权特别是《联合国宪章》所规定的自卫权作为其单边军事行动的法律依据,另一方面利用国际人道法对本国可能受到的外部网络攻击加以约束。应当承认,现有国际法在网络空间的适用,具有某种必然性和合理性。尽管如此,西方国家突出强调国际人权法和使用武力法律制度在网络空间的适用,仍存在片面性和虚伪性。其对“互联网自由”的鼓吹和强调国际人权法在网络空间的适用,更多是着眼于限制其他国家(包括中国)根据本国法对相关网络活动进行管理。过度渲染“网络战”威胁、不断树立假想敌并借此强调诉诸武力权和战时法规的适用,则在客观上推动了网络空间军事化和网络军备竞赛的加剧,实际上加大了网络空间的不安全。这一点,从拜登政府2023年3月最新发布的《国家网络安全战略》中对中国“网络威胁”的渲染和攻击可见一斑。[18]
事实上,国际法在网络空间的适用应当是全面和平衡的。特别是,随着各国越来越多参与网络空间治理,国家主权原则在网络空间的广泛适用势在必行,网络主权应当是国家主权的题中应有之义。2015年在联合国大会第70届会议上发布的《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》明确指出:“国家主权和源自主权的国际规范和原则适用于国家进行的信通技术活动,以及国家在其领土内对信通技术基础设施的管辖权。”[19]作为主权事项,国家有权根据自身意愿和能力来发展其网络能力。一国既可以选择广泛发展其网络能力并让其公民广泛获取这些能力,也可以选择关闭网络边界以免受外界影响。与此相应,各国有义务承认这一权利,不干涉其他国家的国内网络决策。例如,除非国际法另有规定,否则一国不得对另一国发展网络能力施加限制;各国可以通过双边或多边安排,自愿同意就网络活动进行合作或者对发展网络能力施加特定限制。[20]
(二)“全球公域”抑或主权延伸
在讨论网络(空间)主权时必须明确的一点是,在国际法意义上,网络空间与公海、极地、外空等特殊地理领域在性质上存在本质区别,并非所谓“全球公域”(globalcommons)。[21]按照当前公认的标准,要构成所谓“全球公域”,需要满足两个条件:首先,相关区域应为全人类所有,即“公域”,国家不得按照传统主权原则主张势力范围;其次,这些区域内所附自愿或衍生物品亦属全人类共有,即“公共物品”,国家不享有排他权利和独断管辖。由此,全球公域的特征可以概括为:作为“公共物品”在经济学意义上的非排他性,以及作为“公域”在国际政治和法律意义上的去主权化。而网络空间并不具备上述特征。换言之,网络空间不是国家主权之外的场域,它虽然拓展了疆域的范围和“疆域”概念的内涵,但并没有改变“疆域”的本质属性,仍然处于国家主权管辖之下。[22]进而言之,网络空间很大程度上是被网络中心国家所掌控。当前,全球总计13台根服务器中有10台位于美国本土,并实际处于美国控制之下。[23]“棱镜门”事件清楚表明,美国一直具备并在持续完善对网络空间实施有效监控的能力。就此而言,“全球公域说”不过是方便其维持特殊地位和网络霸权的说辞而已。
事实上,网络空间与其说是“空间”,不如说是一系列设施、主体、行为和关系的集合。“全球公域说”显然忽视了网络活动中那些涉及主权原则的地域属性。网络活动通常发生在一国领土内、涉及有形物体并且是由特定个人或实体所实施,国家因此可以对这些活动行使主权权利。网络活动诚然可能跨越国界,或者发生在公海、国际空域或者外层空间,但仍然是由受一国或多国管辖的个人或实体来实施。特别需要指出的是,位于特定国家领土上的网络基础设施接入互联网,不能解释为该国放弃其主权,因为一国在遵守相关条约或习惯国际法的前提下,有权将其领土上的全部或部分网络基础设施与互联网断开连接。网络主权所涵盖的范围或者说所触及的对象,大致包括网络(基础)设施、网络主体(包括个人和机构)和网络行为(网络活动)这三个方面。[24]明确一国网络主权的上述外延,在国际法上具有两方面的意义:首先,一国可以颁布和实施相关法律法规,相关网络基础设施和活动受这些法律法规约束;其次,一国的领土主权赋予该国国际法上的权利来保护位于其境内的网络基础设施以及在其境内发生的网络活动。就此而言,无论相关网络设施属于公共还是私人、从事相关网络活动的是国家机关还是个人或其他实体,在国际法上并无影响;一国的主权权利也不受网络设施的用途或其所有者国籍的影响。
循此思路,网络主权是国家主权在网络空间的自然延伸和表现,是国家主权的重要组成部分,主权平等原则同样适用于网络空间。正如《携手构建网络空间命运共同体》白皮书明确指出的:“网络主权是国家主权在网络空间的自然延伸,应尊重各国自主选择网络发展道路、治理模式和平等参与网络空间国际治理的权利。各国有权根据本国国情,借鉴国际经验,制定有关网络空间的公共政策和法律法规。任何国家都不搞网络霸权,不利用网络干涉他国内政,不从事、纵容或支持危害他国国家安全的网络活动,不侵害他国关键信息基础设施。”就此而言,网络主权与传统主权的精神实质是高度一致的。而美西方国家则将网络空间首先视为一个开放的全球平台,由所谓“多利益攸关方”共同治理,国家在其中并不当然居于优先和主导地位。与此相应,相关国家刻意淡化主权原则在和平时期的日常网络事务中的地位和应用,而将重点放在与“网络战”有关的使用武力和武装攻击等非常态行为,以及与此相关的武装冲突法规则和国家责任制度,从而希图达到既无需牺牲或放弃其在网络空间事实上的霸权地位,又能够“合法”应对经由网络空间的攻击和威胁的目的。
可见,尽管主权原则——至少在一定程度上——适用于网络空间已经成为共识,但由于各国特别是网络大国对主权原则本身的内涵、重要性以及在网络空间的具体体现有着不同理解和认识,网络主权依然面临诸多挑战和不确定性,尤其体现在网络主权/安全与网络人权/自由的关系问题,以及网络空间“侵犯主权”的判定和网络空间管辖权的行使问题。例如,由于美国在网络空间的垄断地位和技术优势使其与大部分其他国家相比处于不对称的地位,其可以相对容易地通过低烈度网络行动实现自身目的,从而倾向于限缩网络空间侵犯主权不法行为的范围,以便给自己留下更多行动空间。[25]这无疑构成对网络主权的一大挑战。对此,应当继续坚持网络主权是国家主权在网络空间的自然延伸和表现这一基本定位,坚持依据《联合国宪章》和得到普遍接受的国际法原则和规则来理解和阐释网络主权的内涵。特别是,要坚持网络空间的“和平”和“日常”属性,强调一国基于国家主权所享有的管辖权、管理权和规制权,反驳和抵制相关国家借口网络自由、信息自由来质疑、模糊、侵蚀主权国家网络管辖权的主张和行为。
三、数据主权与监管博弈
(一)作为国家主权的数据主权
数字时代,数据为王。在互联网、大数据时代,数据已成为人类社会一切经济活动、社会活动的基础。[26]根据《网络安全法》的定义,(网络)数据是指“通过网络收集、存储、传输、处理和产生的各种电子数据”。[27]数据主权源于网络主权,是国家主权在大数据时代的核心表现。[28]国家主权对内表现为最高权,对外表现为独立权。与此相应,数据主权对内体现为国家对相关数据的最高管辖权,对外体现为国家在数据领域的独立自主权与合作权。[29]从形式上看,数据主权主要表现为国家对本国数据及本国国民(包括个人和机构)数据的所有权、控制权、使用权和管辖权。[30]有观点认为,广义的数据主权包括国家数据主权与个人数据主权,前者以国家为主体,后者以个人为主体,指向用户对其数据的自决权和自我控制权。[31]这种观点系受美国学者乔尔·特拉赫曼(JoelTrachtman)影响。该学者在论及网络空间的主权问题时,将主权区分为国家主权和个人主权,认为国家主权源自并依赖于对个人“主权”的表达这一功能,而网络带来的信息传输的便利化使得个人能够更加充分地提供相关信息来反映其对于政府的偏好,使得政府行动因更加植根于公民的偏好而具有正当性,从而强化国家主权。[32]
本文不赞同“个人数据主权”的提法。首先,如前所述,主权有其严格的特定内涵,是国家的专有属性,个人不可能享有“主权”。所谓“个人数据主权”,或者说数据主体对数据的相关权利,只是一个形象化的说法,类似于“消费者主权”,本质上涉及的是“数据自主”理念下的数据/隐私保护和数据主体权利。[33]其次,相关法律法规或者监管条例赋予个人相对于数据控制者、数据处理者(如平台企业)等的特有权利和保护,恰恰是基于并体现国家主权(管辖权、监管权),即数据必须受数据收集地和处理地的法律法规管辖。[34]此外,鉴于主权与人权的关系本就是一个复杂敏感的问题,使用“个人数据主权”这样似是而非的表述,不仅易于造成不必要的混淆,还可能导致相关讨论偏离轨道。因此,本文将数据主权严格限定为国家对数据享有的相关权利和权力,个人的数据权利尽管与数据主权息息相关,但绝不可混为一谈。
(二)数据主权与跨境数据传输监管
国家主权在互联网、大数据时代的“回归”,使得数据主权之争日趋激烈,很大程度上成为体现国家核心竞争力的场域。据统计,迄今为止全球已有近60个国家和地区出台了数据主权相关法律或战略。[35]其中,以美国和欧盟的相关法律规则最具代表性和影响力。2018年,美国通过《澄清海外合法使用数据法》(ClarifyingLawfulOverseasUseofDataAct,以下简称《云法》),确立了以数据自由为核心的数据主权规则;同年,欧盟《通用数据保护条例》(GeneralDataProtectionRegulation)正式生效实施(2016年通过),确立了以数据保护为核心的数据主权规则,并据此重塑与美国之间关于数据保护的规则框架,进一步强化对其数据主权的维护。[36]
概言之,《云法》要求美国企业,主要是电子通信服务提供商和远程计算服务提供商,遵守该法关于保留、备份、公开电子通信内容、记录以及其他与消费者相关之信息的规定,无论该信息是位于美国境内还是境外。换言之,即便所涉信息/数据产生、存储在美国境外,相关企业也有义务应要求向美国有关当局提供,除非依法获得豁免。《通用数据保护条例》的所涉范围更为广泛,就与《云法》密切相关的跨境数据传输而言,其针锋相对地要求欧盟内的数据控制者和数据处理者必须采取符合该法要求的适当保障措施,[37]才能将其控制和处理的个人数据传输到欧盟以外的国家或地区(无论数据处理行为是否发生在欧盟内),除非欧盟委员会认定该第三国(地区)能够确保对相关数据予以充分保护。换言之,要么在获得充分性认定后得以自由传输,要么额外采取相应保障措施方可传输。
美国与欧盟围绕跨境数据传输的规则之争由来已久,其间折射出立基于“数据自由”与“数据保护”的两种数据主权观的碰撞。[38]美国拥有全球最先进的数字技术、最强大的数字经济、最多最大的大型数字平台,同时又有法律域外适用和司法“长臂管辖”的长久传统和充足“工具箱”,因此着力构建以数据自由流动为核心的跨境数据传输规则,以最大化本土互联网巨头利益并尽量延伸本国数据主权。[39]相较之下,欧盟虽是数字经济的“幼儿”,却是数据监管的“巨匠”,其身处数字经济边缘,几无大型数字平台,仅占全球70个大型数字平台市值的4%(中美占90%),却在为全球数据立法“定规矩”:统计显示,在欧盟以外的120个国家中,有67个国家遵循了《通用数据保护条例》的框架,后者俨然成为个人信息保护的全球范式。[40]所谓“布鲁塞尔效应”,即欧盟的单方监管规则借助欧盟市场的力量、经由众多国家遵守和效仿而成为全球性标准,于此展露无遗。同时,欧洲重视个体人权的传统,使得人权保护成为欧盟规制跨境数据流动的重要法理基础。[41]
两个Schrems案见证了欧盟与美国在跨境数据传输领域竞争与合作的起起落落。为适应《通用数据保护条例》的前身即欧盟1995年《数据保护指令》的监管要求,美国与欧盟于2000年达成“安全港框架”(SafeHarborFramework),在框架下允许遵守隐私和安全原则的美国企业从欧洲传输数据。但2013年“棱镜门”事件后,欧洲法院2015年在SchremsI案中认定,美国政府对欧盟居民的权利保护不足,“安全港框架”无效。经紧急磋商,美国与欧盟于2016年达成新的双边机制,即“隐私盾协议”(PrivacyShield),对个人数据/隐私保护设定更为严格的标准,不仅规定美国情报机构以国家安全为由从欧盟采集个人数据时必须受到约束和限制,还新增了年度联合审查机制,以防止美国政府和企业不履行协议。[42]但欧洲法院2020年在SchremsII案中再次认定“隐私盾协议”未能达到欧盟个人数据保护水平,并宣告其无效。法院特别指出,美国相关立法和行政令使得美国政府可以对欧盟公民的个人数据进行监视,从而对欧盟公民的基本权利构成重大威胁。[43]
SchremsII案后,欧盟与美国经过谈判,达成新的“欧盟—美国数据隐私框架”。这一新框架建立在自愿认证基础之上:加入该框架的美国企业以自我认证(self-certify)的方式向美国商务部承诺遵守由后者发布的一套隐私保护原则,即“欧盟—美国数据隐私框架原则”,并同意受制于美国联邦贸易委员会和交通部在该框架下的调查和执法权力;上述原则于认证之时即刻适用,且相关企业需每年向美国商务部重新认证。美国商务部负责制作和公布向其进行了自我认证、宣布承诺遵守“欧盟—美国数据隐私框架原则”的美国企业的名单,即“数据隐私框架名单”。在此基础上,欧盟委员会于2023年7月10日通过《关于“欧盟—美国数据隐私框架”的充分性决定》,认定美国能够对从欧盟向数据隐私框架名单上的美国企业传输的个人数据给予充分保护。[44]根据该决定,个人数据可以从欧盟向参加该框架的美国企业自由传输,而无需额外采取保障措施。欧盟委员会将对该框架及其充分性决定进行定期审查,首次审查将在决定生效后1年内进行。[45]上述框架和决定的基础是欧盟委员会主席冯德莱恩和美国总统拜登于2022年3月达成的原则协议,以及拜登同年10月发布的“加强美国信号情报活动保障措施”行政令;后者回应了欧洲法院在SchremsII案中的关切,一定程度上体现了美国对欧盟数据主权的让步。但与此同时,“欧盟—美国数据隐私框架”由美国商务部负责管理和监督、美国联邦贸易委员会和交通部负责执法,在操作层面完全处于美国掌控之下,[46]可以说也体现了欧盟方面的妥协。
四、数字主权对全球数字治理的潜在影响
当前,全球数字治理已成为全球治理的前沿与关键内容,也是全球治理转型与升级的迫切任务。[47]数字主权作为当下数字治理领域的热议话题和高频词汇,其诠释和应用对于全球数字治理势必产生深远影响。这种潜在影响既有积极面,也有消极面。
(一)潜在的积极影响
迄今为止,在数字治理领域全球尚未形成统一的国际规则和各国相互协调的治理体系,各国从维护自身利益出发选择了不同的数字治理模式,全球数字治理呈现碎片化、分裂化的特点。[48]美国和欧盟各自主导了全球最主要的两大数字治理体系,其治理重点有所不同,但均致力于将其治理模式推广成为全球标准和规则。即以近年来大力主张“欧洲数字主权”的欧盟而论,其强化“数字主权”和构建数字规则一方面是对美国单边主义的回应,旨在制约美国科技巨头的垄断行为,反制美国数字霸权;另一方面是要将自身价值理念和原则融入网络安全、数据保护等领域,引领数字治理变革,致力于成为全球数字规则的领导者,在全球数字技术与数字经济发展中更好维护欧盟利益。[49]与此同时,一个不容回避的客观事实是,新兴市场和发展中国家在数字权利保护能力、数字技术创新能力、数字经济发展能力等方面同发达国家之间存在较大差距,对于数字治理有自身的理解和关注重点。例如,俄罗斯高度重视“主权互联网”问题,是当前全球范围内坚持在数字空间内贯彻主权原则最为坚决和彻底的国家之一。[50]
在现代国家理论中,主权表现出绝对性、永久性、不可让渡性和不受侵犯性的特征,数字主权是国家主权的自然延伸,即将国家主权延伸至传统疆域之外的数字领域,对数字领域的活动及其结果行使权力。[51]正如习近平深刻指出的:“虽然互联网具有高度全球化的特征,但每一个国家在信息领域的主权权益都不应受到侵犯,互联网技术再发展也不能侵犯他国的信息主权。”[52]就此而言,数字主权可以成为各国维护本国数字领域主权、安全、发展利益,反对网络空间“全球公域说”和数据无序流动,抵制单方监管扩张和滥用“长臂管辖”的依据和后盾。在此基础上,通过加强双边与多边层面的沟通与协调,特别是提升新兴市场和发展中国家在相关治理领域的代表性和发言权,推动全球数字治理正向发展。
(二)潜在的消极影响
如上所述,当前各国对于数字主权具体内涵及其实现路径的理解和关注重点不尽相同,一些国家存在将其工具化、“武器化”的倾向。而若遭到异化和滥用,“数字主权”有可能诱发监管扩张,加速“数字脱钩”。
数字主权本应作为一国捍卫自身数字领域主权、安全、发展利益的依据,但当主要国家(经济体)“进攻性”地主张和应用数字主权,借以争夺数字治理主导权时,“数字主权”就可能异化为数字霸权的托辞和单向度监管扩张的手段。美国凭借其垄断性的数字技术优势和单边主义的“长臂管辖”传统、欧盟借助其在监管领域的“布鲁塞尔效应”,在数字治理领域本就居于主导地位,其强调自身数字主权的相关规则和措施可能会强化这种优势地位,进一步突出美国的数字霸权及/或推动欧盟监管的全球扩张。进而言之,数据监管模式的全球扩张可能暗含“价值提取”逻辑(extractivelogic),使得数据技术和数字经济欠发达的国家和地区面临“数据殖民主义”(datacolonialism)风险。[53]从前述美国和欧盟的数据主权相关立法看,前者重在促成数据从境外向美国自由流动,而非相反;后者则旨在限制个人数据从欧盟内向欧盟外流动,而不限制其在欧盟内部自由流动或者从欧盟外向欧盟内流动。这有可能导致相关数据向美国和欧盟的单向流动和过度集中,加深“数字资源鸿沟”。
此外,当前美欧数字主权相关主张和实践中隐含的地缘政治和意识形态因素,还可能使其成为对华“数字脱钩”的加速器。正如有论者指出的,对数字主权的需求受到主要经济体之间有关技术主导权、传统贸易纠纷和地缘政治对抗的激烈竞争的显著影响,其结果是数字主权愈加强调政府对数字信息及通讯的内容和程序的控制以及数字市场上的公平竞争,并导致对自主技术选择、安全供应链以及部署战略数字能力和有韧性基础设施的需求。尽管这种分裂不只存在于西方和中国之间,也存在于美国与欧盟之间,但西方与中国之间的地缘政治对抗和贸易紧张关系导致数字主权需求严重政治化,滑向保护主义和狭隘的民族主义。54]如前所述,数字主权与国家安全息息相关。此前,美国和欧盟已经通过强化外商投资国家安全审查限制中国企业投资关键技术领域,[55]并以国家安全为由禁止或限制使用中国龙头企业的通信设备;[56]拜登更是于2023年8月签署行政令,史无前例地限制在半导体、量子计算和人工智能等敏感技术领域的对华新增投资,并要求美国企业就其他科技领域的在华投资情况向美国政府进行通报。[57]在此背景下,“数字主权”完全可能成为美西方国家拉帮结派加速对华“数字脱钩”的新说辞。对此必须高度警惕和妥善应对。
五、中国的因应策略
针对西方国家晚近以来对数字主权的主张和应用及其对全球数字治理的潜在影响,我国可以从国内、双边和多边层面予以因应。
(一)贯彻正确数字主权观
在国内层面,应当贯彻正确的数字主权观。一是坚持数字主权的国家属性,反对个人数字主权等似是而非的表述,特别是避免其被用于在数字领域刻意制造“人权”与“主权”的对立。
二是突出数字主权的“防御”属性,将之主要作为维护本国数字领域主权、安全、发展利益,抵制数字霸权和“长臂管辖”的依据,而不是在“数字主权”的名义下争夺监管空间或强推监管规则。“和平、和睦、和谐是中华民族5000多年来一直追求和传承的理念,中华民族的血液中没有侵略他人、称王称霸的基因。”[58]我国具备贯彻此种数字主权观的思想基础。
三是探索更加平衡、适度的监管路径和方法。纵观我国目前涉及数据主权的主要的“三法一条例”,即《网络安全法》、《数据安全法》、《个人信息保护法》和《关键信息基础设施安全保护条例》,采取的是类似于欧盟的“强监管”模式,不同程度上移植了《通用数据保护条例》的核心概念和典型制度;国家互联网信息办公室2022年出台的《数据出境安全评估办法》、2023年出台的《个人信息出境标准合同办法》及其附件《个人信息出境标准合同》,亦是以欧盟的“数据保护影响评估”和“标准合同条款”为“底版”。[59]与此同时,我国基于总体国家安全观,从数据安全的角度来构建跨境数据流动相关规则,也体现了我国在数据主权领域的特色和创新。例如,《数据出境安全评估办法》以“一定数量”作为个人信息出境评估的前提,[60]说明相关评估是以总体风险而非欧式个体人权为理论基础[61]应当说,这契合我国当前对于国家安全和数据主权的强调和追求。与此同时,有两点需要引起注意:一是相较于欧盟,我国数字经济更为发达、平台企业更为突出,对于数据自由流动有着相应需求,为此要尤为警惕相关规则的“双刃剑”效果;二是欧盟的强监管模式及其“布鲁塞尔效应”高度依赖欧盟市场的全球影响力,我国当下尚不完全具备这种影响力以及与之相应的标准设定权。就此而言,有必要进一步探索更加平衡、适度的跨境数据流动监管路径和方法,在维护数据主权与发展数字经济之间求得最优解。
(二)加强双边沟通与协调
在双边层面,应当加强同相关经济体的沟通与协调,同时积极主动推进高水平对外开放。毋庸讳言,当前美欧与中国的关系处在困难时期,且在“科技战”方面是美欧占据主动,中国处于被动。但越是如此,越是需要加强沟通协调,避免简单地针锋相对,从而更加平衡、有效地维护和实现本国主权、安全、发展利益。例如,欧盟《通用数据保护条例》下的“充分性认定”机制,本质上是欧盟传统的“等效监管”理念的体现,即欧盟经过评估,单方面认定其他国家的相关监管达到欧盟水平或者说同欧盟监管“等效”。诚然,由于种种原因特别是意识形态因素,我国要通过其充分性认定并进入跨境数据传输“白名单”短期内并不现实,[62]但这并不妨碍我国就此同欧盟方面开展务实磋商,乃至考虑主动进行“逆向”充分性认定以展现诚意。同样地,如前所述,“布鲁塞尔效应”有赖于欧盟市场的全球影响力,而这种全球影响力又来自欧盟市场的广度、深度和开放度。就此而言,我国要想在数字主权和数字治理竞争中占据先机,就必须更加积极主动地推进高水平对外开放,吸引更多跨国公司进入,加深其对我国数字市场的依赖程度。例如,在《中欧全面投资协定》陷入僵局的情况下,不妨考虑单方面实施我国在该协定下的部分承诺,实质性提升对外开放水平,有效应对“脱钩断链”。近期我国对部分国家实施的单方面免签入境政策,就是一个很好的实例。
(三)推动构建网络空间命运共同体
在多边层面,[63]应当致力于探索确立以主权平等为基础的全球数字治理模式,推动构建网络空间命运共同体。一方面,必须坚持主权国家在全球数字治理中的基础性地位,对将国家与非国家行为体等量齐观的所谓“多利益攸关方”模式保持审慎。根据主权原则,各国在全球数字治理中不论贫富强弱,均享有平等的参与权和决策权,这正是中国一贯强调在联合国框架下、以主权国家参与和主权平等原则为基础构建全球数字治理规则的道理所在。另一方面,在主权国家发挥基础性作用的前提下,并不排斥其他主体参与其中和发挥作用。正如习近平指出的,“国际网络空间治理,应当坚持多边参与、多方参与,由大家商量着办,发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等各个主体作用”。[64]在探索这种适当治理模式的过程中,应当在多边场合积极发表中国主张、提供中国方案。习近平在第二届世界互联网大会上提出的推进全球互联网治理体系变革的“四项原则”、构建网络空间命运共同体的“五点主张”,我国在2020年《全球数据安全倡议》中提出有关维护和实现数据安全的八点倡议,都是成功范例。
此外,还应当充分利用有关区域性机制。例如,上海合作组织在网络主权和安全方面的区域合作已经初见成效,有关成员国于2011年和2015年两度向联合国大会提交“信息安全国际行为准则”,尽管未能形成大会决议,但向国际社会充分传达了我方立场,提供了有别于西方主流话语的网络治理方案。后续可以考虑在全球发展倡议和全球安全倡议框架下,进一步整合和深化相关表达,探索形成更具接受度和操作性的规则。
【注释】
[1]EuropeanParliamentaryResearchService,“DigitalSovereigntyforEuropean”,July2020,https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/651992/EPRS_BRI(2020)651992_EN.pdf,最后访问时间:2024年2月17日。
[2]EuropeanParliamentaryResearchService,“DigitalSovereigntyforEuropean”,p.1.
[3]“战略主权”是欧盟在既有的“战略自主”(strategicautonomy)和>“欧洲主权”(Europeansovereignty)概念基础上的新提法,大体是指欧盟在地缘政治竞争背景下,在关键战略领域依靠自身资源并在必要时与伙伴进行合作的自主行动能力,目的在于重新界定欧盟在地缘政治竞争中的地位,增强其维护和践行自身价值观的能力。SeeMarkLeonard&JeremyShapiro,“EnpoweringEUMembersStateswithStrategicSovereignty”,https://ecfr.eu/wp-content/uploads/1_Empowering_EU_member_states_with_strategic_sovereignty.pdf,最后访问时间:2024年2月17日。
[4]EuropeanParliamentaryResearchService,“DigitalSovereigntyforEuropean”,pp.1,8.
[5]SeeFaridGueham,“DigitalSovereignty-stepstowardsanewsystemofinternetgovernance”,January2017,https://www.fondapol.org/en/study/digital-sovereignty-steps-towards-a-new-system-of-internet-governance/,最后访问时间:2024年2月17日。
[6]SeeTimothyWu,“CyberspaceSovereignty?-TheInternetandtheInternationalSystem”,HarvardJournalofLaw&Technology,Vol.10,No.3,1997,pp.647-666.
[7]SeeLucianoFloridi,“TheFightforDigitalSovereignty:WhatItIs,andWhyItMatters,EspeciallyfortheEU”,Philosophy&Technology,Vol.33,No.3,2020,pp.370-371.
[8]SeeWanshuCongandJohannesThumfart,“AChinesePrecursortotheDigitalSovereigntyDebate:DigitalAnti-ColonialismandAuthoritarianismfromthePost–ColdWarEratotheTunisAgenda”,GlobalStudiesQuarterly,No.2,2022,p.1.
[9]SeeAndrewD.MitchellandTheodoreSamlidis,“CloudServicesandGovernmentDigitalSovereigntyinAustraliaandbeyond”,InternationalJournalofLawandInformationTechnology,Vol.29,2021,p.366.
[10]参见宫云牧:《数字时代主权概念的回归与欧盟数字治理》,《欧洲研究》2022年第3期。
[11]SeeWanshuCongandJohannesThumfart,“AChinesePrecursortotheDigitalSovereigntyDebate:DigitalAnti-ColonialismandAuthoritarianismfromthePost–ColdWarEratotheTunisAgenda”,pp.1-2.
[12]参见徐凤:《网络主权与数据主权的确立与维护》,《北京社会科学》2022年第7期。
[13]这一分类主要是为了相关分析和讨论的方便,实际上两者之间存在诸多交叉和重叠。
[14]美国网络活动家约翰·巴洛1996年发表的《网络空间独立宣言》就是这一观念的突出表现。该宣言以网民代言人的姿态向世界各国政府声称:“你们在我们中间不受欢迎。你们在我们居住的地方没有主权。……你们没有道义上的权利来统治我们,你们也不拥有我们确实需要害怕的执行手段。……网络空间不存在于你们的边境之内。”JohnBarlow,“ADeclarationoftheIndependenceofCyberspace”,February8,1996,https://www.eff.org/cyberspace-independence,最后访问时间:2024年2月17日。
[15]参见黄志雄:《筑牢网络空间治理的主权基石》,《中国信息安全》2021年第11期。
[16]TheWhiteHouse,“InternationalStrategyforCyberspace”,May2011,p.9,https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf,最后访问时间:2024年2月17日。
[17]HaroldHongjuGao,InternationalLawinCyberspace,YaleLawSchoolFacultyScholarshipSeriesPaper4854,2012.
[18]美国《国家网络安全战略》公然宣称:“中国……日益利用先进的网络能力来追求与我国利益和普遍接受的国际准则背道而驰的目标,其在网络空间罔顾法治和人权的行为正在危及美国的国家安全和经济繁荣。中国当前对政府和私人部门网络构成最广泛、最主动、最持久的威胁,是唯一一个既有意愿又日益具备经济、外交、军事和技术实力来重塑国际秩序的国家。……中国成功控制了互联网,使之成为其监控型国家和影响力的支柱,进而输出其数字威权主义愿景,试图按照自身形象塑造全球互联网并在其边境之外危及人权。”TheWhiteHouse,“NationalCybersecurityStrategy”,March2023,p.3,https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf,最后访问时间:2024年2月17日。
[19]《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》,A/70/174,2015年7月22日,第27段。
[20]SeeEricTalbotJensen,“CyberSovereignty:TheWayAhead”,TexasInternationalLawJournal,Vol.50,No.2,2015,pp.287-288.
[21]参见杨剑:《美国“网络空间全球公域说”的语境矛盾及其本质》,《国际观察》2013年第1期。美国学者的相反观点参见MiltonL.Mueller,“AgainstSovereigntyinCyberspace”,InternationalStudiesReview,Vol.22,2020,pp.779-801(主张基于全球公域概念的网络治理模式)。
[22]参见黄其松:《数字时代的国家理论》,《中国社会科学》2022年第10期。
[23]参见沈逸:《全球网络空间治理原则之争与中国的战略选择》,《外交评论》2015年第2期。
[24]参见赵云:《网络空间命运共同体与网络主权理念的辩证统一》,《中国信息安全》2021年第11期。
[25]SeeSeanWattsandTheodoreRichard,“BaselineTerritorialSovereigntyandCyberspace”,Lewis&ClarkLawReview,Vol.22,No.2,2018,pp.837-840.
[26]参见屈晨:《数字经济时代,数据权属与安全难题何解?》,《瞭望》2021年第17期。
[27]《中华人民共和国网络安全法》第76条第4项。
[28]参见肖冬梅,文禹衡:《数据权谱系论纲》,《湘潭大学学报(哲学社会科学版)》2015年第6期。
[29]参见孙南翔,张晓君《论数据主权——基于虚拟空间博弈与合作的考察》,《太平洋学报》2015年第2期。
[30]参见杜雁芸:《大数据时代国家数据主权问题研究》,《国际观察》2016年第3期。
[31]参见蔡翠红:《云时代数据主权概念及其运用前景》,《现代国际关系》2013年第12期。
[32]SeeJoelTrachtman,“Cyberspace,Sovereignty,Jurisdiction,andModernism”,IndianaJournalofGlobalLegalStudies,Vol.5,Issue2,1998,p.566.
[33]参见李晓楠:《“数据抗疫”中个人信息利用的法律因应》,《财经法学》2020年第4期。
[34]有论者认为,数据主权是指以符合数据所在国法律、惯例和习俗的方式管理数据,也指国家采取一系列方法控制在本国互联网基础设施中生成或通过本国互联网基础设施生成的数据,并将数据流置于国家管辖范围内。笔者赞同这一定义方式。参见冉从敬:《数据主权治理的全球态势与中国应对》,《人民论坛》2022年第4期。
[35]参见胡海波,耿骞:《在全球数字经济浪潮中捍卫国家数据主权》,《中国社会科学报》2022年11月2日,第7版。
[36]参见张晓君:《数据主权规则建设的模式与借鉴——兼论中国数据主权的规则构建》,《现代法学》2020年第6期。
[37]典型如欧盟委员会制定的“标准合同条款”(StandardContractClauses,SCCs)。
[38]参见王文君:《论数据主权的管辖权与控制权》,《南京理工大学学报(社会科学版)》2023年第3期。
[39]据估计,数据流动使得美国国内生产总值增加了3.4至4.8个百分点,创造了240万个就业岗位。不仅如此,互联网巨头在美国的大量存在使得数据自由流动的实质是全球数据流向美国,令其自然成为全球数据霸主。参见高艳东:《跨境数据流动,须坚持主权至上》,《环球时报》2023年7月18日,第15版。
[40]参见金晶《欧盟的规则,全球的标准?数据跨境流动监管的“逐顶竞争”》,《中外法学》2023年第1期。
[41]参见吴玄:《数据主权视野下个人信息跨境规则的建构》,《清华法学》2021年第3期。
[42]参见黄志雄,韦欣妤:《美欧跨境数据流动规则博弈及中国因应:以<隐私盾协议>无效判决为视角》,《同济大学学报(社会科学版)》2021年第2期。
[43]参见丁晓东:《数据跨境流动的法理反思与制度重构——兼评<数据出境安全评估办法>》,《行政法学研究》2023年第1期。
[44]EuropeanCommission,“AdequacydecisionfortheEU-USDataPrivacyFramework”,10July2023,https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en,最后访问时间:2024年2月17日。
[45]EuropeanCommission,“DataProtection:EuropeanCommissionadoptsnewadequacydecisionforsafeandtrustedEU-USdataflows”,PressRelease,10July2023,https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721,最后访问时间:2024年2月17日。
[46]SeeEuropeanCommission,“AdequacydecisionfortheEU-USDataPrivacyFramework”,Recitals47-52.
[47]参见戚凯,周祉含:《全球数字治理:发展、困境与中国角色》,《国际问题研究》2022年第6期。
[48]参见张茉楠:《全球数字治理:分歧、挑战及中国对策》,《开放导报》2021年第6期。
[49]参见袁伟华,耿文建:《全球数字治理挑战、制度竞争与中国方案》,《贵州省党校学报》2023年第1期。
[50]参见封帅:《主权原则及其竞争者:数字空间的秩序建构与演化逻辑》,《俄罗斯东欧中亚研究》2022年第4期。
[51]参见黄其松:《数字时代的国家理论》,《中国社会科学》2022年第10期。
[52]习近平《弘扬传统友好共谱合作新篇——在巴西国会的演讲》(2014年7月16日),《人民日报》2014年7月18日,第3版。
[53]当一国原始数据流向境外,发达国家具有将之加工为数字智能(数据产品)并获取数据价值的技术能力,发达国家由此具有从发展中国家采集原始数据,并通过数据处理来创造价值的经济动机。倘若发展中国家需要进口先进的算法等数据产品来支持本国发展,数据原产地国在某种程度上就依赖于提取、控制数据的国家,而数据监管模式的全球化,从而引发全球价值链中的不平等交换。数据监管模式全球扩张的市场逻辑正在于通过扩张本国监管模式、制定全球标准,尽可能使自身从数据中获益。在这种“价值提取式”的监管竞赛中,成熟的数字经济体可能因其市场规模和技术实力成为赢家,大多数中小型数字经济体则将失去提升本国数字竞争力的机会。参见金晶:《欧盟的规则,全球的标准?数据跨境流动监管的“逐顶竞争”》,《中外法学》2023年第1期。
[54]SeeThorstenJelinek,TheDigitalSovereigntyTrap:AvoidingtheReturnofSilosandaDividedWorld,Springer,2023,pp.21-23.
[55]参见廖凡:《欧盟外资安全审查制度的新发展及我国的应对》,《法商研究》2019年第4期。
[56]2021年11月,拜登签署《安全设备法》,禁止美国联邦通讯委员会对华为、中兴等中国公司颁发新的设备牌照。2023年6月,欧盟委员会宣布不再采购依赖华为和中兴设备的连接服务,并呼吁成员国和电信公司不在其网络中使用这两家制造商的设备。
[57]参见“拜登签署对华投资限制令中方回应”,2023年8月10日,http://henan.china.com.cn/news/2023-08/10/content_42477989.htm,最后访问时间:2024年2月17日。
[58]习近平:《在庆祝中国共产党成立100周年大会上的讲话》,人民出版社2021年版,第16页。
[59]参见金晶:《欧盟的规则,全球的标准?数据跨境流动监管的“逐顶竞争”》,《中外法学》2023年第1期。
[60]《数据出境安全评估办法》第4条规定:“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:……(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息……”
[61]参见丁晓东:《数据跨境流动的法理反思与制度重构——兼评<数据出境安全评估办法>》,《行政法学研究》2023年第1期。
[62]截至目前,只有15个国家或地区通过了欧盟的充分性认定,进入到“白名单”,即安道尔公国、阿根廷、加拿大(限于商业组织)、法兰群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭、美国(限于参加“欧盟—美国数据隐私框架”的商业组织)。
[63]这里所称的“多边”是广义的多边,包括区域性安排。参见廖凡:《多边主义与国际法治》,《中国社会科学》2023年第8期。
[64]习近平:《在第二届世界互联网大会开幕式上的讲话》(2015年12月16日),《人民日报》2015年12月17日,第2版。
作者:廖凡,中国社会科学院国际合作局副局长、研究员,中国社会科学院大学法学院教授、博士生导师。
来源:《暨南学报(哲学社会科学版)》2024年第7期。