21世纪以来,随着互联网、云计算、物联网等通信和网络技术的发展,网络空间成了人类生存的第五空间(fifth dimension),跨境数据流动和存储逐渐日常化和便捷化,同时对国家数据安全形成严峻的威胁。由此,数据主权成为各国对数据及相关设施进行管辖的理论基础。下文以通信和网络技术的发展为出发点,结合国际法的主权理论,厘清数据主权的内涵,探索虚拟空间无秩序状态的根源,并探讨国家间主权合作的可行性。
自16世纪“国家”和“主权”概念分别由马基雅维利和布丹提出以来,“国家”与“主权”便紧密相连。国家就被视为能够在其领土界线内实施管辖权的具有主权属性的空间实体(sovereign spatial entities)。 [77] 主权概念的历史发展可以从两个维度进行追溯,一是主权国家的实践发展。具体体现在1648年《威斯特法利亚合约》之中,并通过马基雅维利、卢瑟(Luther)、布丹和霍布斯等学者的著述,使主权观念深入至国内和国际政治体系之中;二是欧洲一体化进程、人权保护法律和实践的发展,形成了经由主权的让渡进行国际合作的观念和实践,主要的理论思想反映在茹弗内尔(Bertrand de Jouvenel)和马里顿(Jacques Maritain)的著述中。 [78]
随着客观实践的发展,主权概念不断更新其内涵与架构。20世纪 90 年代以来,技术创新改变了传统的信息沟通渠道。 [79] 一国的信息开始自由地进行跨境传播,信息成为新的生产力,信息主权的提法开始时兴。21世纪以来,信息储存和传送的形态发生巨大变化,任何信息都可转化成数据,并通过数据便捷地传送至世界各地。与此同时,互联网的普及和壮大,使得海量数据能够随时随地被分享。有学者因此提出,人类社会已经步入“大数据时代”。 [80] 大数据时代下,已有的信息主权无法适应国家管控海量数据传送和集聚的现象和行为,取而代之的数据主权(data sovereignty)便应运而生。遗憾的是,迄今为止数据主权的内涵与外延不甚清晰,甚至数据主权概念仍存异议,亟待澄清。
目前有关数据主权的界定主要存在三种观点。一种观点认为数据主权是在云计算背景下的主权,将其定义为数据受其创造和存储地的法律管辖的理念, [81] 或直接主张数据主权是指网络空间中的国家主权。 [82] 该种观点不能涵盖数据主权行使区域。在大数据时代,网络空间无疑是当今数据主权行使的最重要场域。但信息的发送和接收不仅限于互联网,还可通过电报、遥感技术、卫星传播等路径实现。 [83] 因此,单纯以网络空间作为界定数据主权的管辖范围显得过窄。另一种观点认为数据主权是一国独立自主对本国数据进行管理和利用的权利。 [84] 该种观点沿袭传统主权的概念,也存在诸多不足。如数据的传播还涉及相关通信或网络技术、数据基础设施和相关运营商,而不仅是管理和利用数据本身。此外,强调主权的独立自主权而忽视合作性,可能引发国际社会的无秩序状态。还有一种观点主张数据主权是数据所有者占有、使用和处分其数据的权利。 [85] 但该概念混淆了主权和所有权的关系,主权通过行使国家治权而体现,是及于一国领域内的人、物及其国内事务管辖权。明显不同于数据创造者、接收者或使用者的所有权。 [86]
对数据主权的界定仍应回归主权的应有之义上。主权的主体是国家,体现的是独立自主的权力。从类型上划分,主权可分为两种形态:一是内部主权(internal sovereignty),指的是在域内统治者的最高权力;二是外部主权(external sovereignty),主要指对外处理国家利益的权力。 [87] 相应的,对数据主权界定应亦分解为对内控制权和对外独立性两个层次。当然,对数据主权的界定不能不考虑其领域的特殊性。因此,应借鉴有关信息主权、网络主权等概念。前者指的是国家对信息必然享有的保护、管理和控制的权力。 [88] 后者则主要体现在国家对网络信息技术的监管上,包括网络物理设施运行安全的保障,以及采用技术手段对网络信息安全进行维护。 [89] 两者都体现出国家对信息及信息相关的技术、设备等的管理权及控制权。换言之,在大数据时代,一国对数据的管辖范围不限于数据本身,还包括与数据相关的技术、设备,乃至提供技术服务的主体等。
某种程度上,数据主权与信息主权具有重合性。但是,从本质上分析,数据主权是为应对通信与网络技术发展而产生的,有别于信息主权的相关概念。就是说,数据主权更体现出数据及其云计算、物联网等技术对传统信息通信工具的变革。大数据时代、数据时代等称谓已代替了信息时代的称谓。综述而言,数据主权是指国家对数据和与数据相关的技术、设备和服务商等的管辖权及控制权,体现域内的最高管辖权和对外的独立自主权和参与国际事务合作权。
随着客观实践的发展,主权的概念也随之丰富多样。现代通信和网络技术的迅速发展,一国已不能独占地、专有地控制与领土、居民等相关的所有数据。由此带来的挑战是数据安全的问题,数据主权应运而生,数据主权概念的提出有其现实意义和理论价值。
第一,数据的跨境储存与流动是数据主权产生的前提。网络科技的变革显著地降低了企业和政府的运营成本,也使得更多私人能够获得相应信息,从而创造出无边界的国家和世界。 [90] 互联网技术实现了通过外包降低投资资本,增强服务功能,极大地推动商业发展。对消费者而言,互联网技术使其能够便捷化使用多种设备。 [91] 数据跨境流动对国家数据安全形成威胁,数据主权赋予国家监管数据的合法性。
第二,权力、利益与观念是数据主权产生的现实基础。国际秩序是国际社会中主要行为体的权力分配、利益分配和观念分配的结果。 [92] 在边界模糊的虚拟空间,数据主权的提出是对大国滥用权力的有效限制,也是国际安全利益的重要体现,更是对和平共处观念的反映。因此,虚拟空间中的国际秩序应以数据主权为基石。
第三,主权及其自保权是数据主权产生的法理基础。 《联合国宪章》明确自保权是国家的“自然权利”。同时,国家体系仍处于国际体系的核心地位,国家在其领土内具有不可分割和不容拘束地制定和执行法律的权力,未通过国家认可的信息跨境流动是对特定国家事务和自决权的非法干预。 [93] 因此,国家主权及派生的自保权是数据主权产生的法理基础。
此外,数据主权概念的提出丰富了主权的内涵和外延,使国家主权理论更好地适应时代的发展,为各国提供应运时代发展的新秩序构建的理论基础。总而观之,数据主权主要基于国家数据安全的考虑,其概念具有鲜明的时代价值。实践中,围绕相关数据安全问题,以数据主权为基础,各国已经开展对数据及相关技术、设备的管理和控制。
通信和网络技术的发展变化,导致了传统观念面临挑战。大数据时代下,基于地域性的限制,传统主权理论已不能解决所有与国内相关数据的管辖权,过度强调数据主权的独立性将加剧虚拟空间的“无秩序状态”。换言之,虚拟空间的无秩序状态主要源于对数据的多重管辖冲突以及国家数据安全的困境。
早在2000年,美国和欧盟之间就缔结了《安全港协议》(Safe Harbor Agreement),该协议规定美国公司从其欧盟附属公司传输数据时受到特定限制,其具体限制为七项隐私原则:通知、个人选择权(choice)、第三方保护水平一致(onward transfer)、个人可获得(access)、安全性、数据完整性和实施要求。 [94] 随后,为保障国家安全的需要,美国颁布并执行了《爱国者法案》(USA PATRIOT Act)。依《爱国者法案》规定,美国机构能自动获得与反恐相关的所有数据,而无需履行程序规定。 [95] 该法案随即在欧盟引起轩然大波。有大量欧盟客户的微软和谷歌等美籍网络运营商在接受调查时承认,即使是收集、存储和取得数据行为都排他性地发生在美国之外,在法定条件下其仍有义务向美国机构提供欧盟客户的相关信息。申言之,由于在《爱国者法案》的效力高于《安全港协议》,因此通过《爱国者法案》的授权,美方能够自主地获取美籍运营商储存在云上的信息。 [96] 显而易见,这一规定与《安全港协议》和《欧盟数据保护指令》 (EU Data Protection Directive 95/46/EC)存在冲突。针对跨境信息流动,欧盟通过《欧盟数据保护指令》禁止个人信息向没有达到足够数据保护水平的第三国传送。 [97] 同时,欧盟指令要求若公司向外提供私人信息时,其负有通知客户的义务,而《爱国者法案》则无规定此义务。 [98] 欧盟随后启动了数据保护立法工作,该立法旨在对所有在欧盟境内的云服务提供者和社交网络产生直接影响。 [99]
加拿大政府也颁布了应对《爱国者法案》的政策。为保护加拿大公民的个人数据安全,加拿大采取保护个人信息的风险导向(riskbased)政策,其要求所有涉及个人数据的外包业务均应在加拿大境内完成,同时,在涉及加拿大公民数据情形下,加拿大政府必须选择国内的云服务。 [100]
大数据时代对国际法提出了多重的挑战,其中最深刻的影响是根据储存、占有或传输地的不同,网络信息将受多个不同国家法律所管辖。 [101] 同时,为满足客户需要和降低成本考虑,网络商经常将其提供的服务部分地外包,因此,同一条数据极有可能受到不同国家的多重管辖, [102] 特别是各国尚未对数据主权的管辖范围进行界定。国家都是以完全理性地方式在国际社会上行使权利,在未形成国际统一制度或协调机制之前,为保证国家的绝对安全和实施监控的目的,各国均对所有能够监管的信息主张数据主权,而这也必然导致对部分域外数据进行监控,进而引发多重管辖的情形。总而言之,目前以强调主权独立为基础的实践导致国际社会在数据管辖下呈现出“无政府状态”。
通信和网络技术的发展对国家安全产生了严重的威胁。以云计算为例,云计算(cloud computing)突破对传统电脑主机和服务器的需要,直接将客户数据等信息存储在“云”中,该模式无须信息技术硬件支持。 [103] 大量数据储存在国家边界之外支持云系统的信息基础设施上,这无疑影响了国家管辖权有效行使,即国家对国内数据(domestic data)的控制权。 [104] 与发达国家相比较,发展中国家和最不发达国家对数据控制能力明显不足,体现在以下层面:第一,信息革命削弱了国家机构控制信息流动的能力,国家不允许出版发行的印刷品及相关信息轻易通过网络或卫星通信而获得;第二,信息革命实现了在国家境内建立起(虚拟的)平行社区(parallel communities),虚拟社区几乎不受该国的管辖,这与传统领土观念相冲突;第三,信息革命使国家权威和安全受到威胁,同时也导致非政府机构的大量涌现, [105] 恐怖集团、黑客组织能够借由网络科技手段在国外对一国实施网络攻击行为。即使拥有独立的数据主权,众多发展中国家和最不发达国家囿于科技水平有限,不能够有效保障本国的数据安全和国家利益。
信息技术变革使得网络大国利用其技术优势,滥用数据主权威胁到其他国家的数据安全。如美国,不仅通过国内立法实现其对域外的数据控制权,还通过国家安全部门的系列项目,收集并分析完全由他国所管辖的数据。“棱镜门”事件无疑是洞察美国安全部门窃听外国信息的典型事例。2013年,斯诺登向媒体披露美政府通过棱镜项目直接从微软、谷歌、雅虎等9个公司服务器收集信息,收集的信息覆盖电子邮件、通信信息、网络搜索等。而近期又曝光的美国国安局与加密技术公司RSA签署协议在全球移动终端广泛使用的加密技术放置后门,该加密技术后门意味着美国情报部门能够自主地获得加密的个人数据。 [106] 德国《明镜周刊》曝光美国国家安全局存取了对包括苹果手机在内的所有主流智能手机的用户数据,涉及用户联系人、通话记录等个人信息。 [107] 同时,美国通过卫星监控各国政治首脑的通信行为的报道也屡见不鲜。类似事件频繁地曝光反映出作为网络大国的美国对其他国家数据安全所造成的严重威胁。
数据主权的自发博弈使得国家的数据安全难以得到有效的保护。一方面,网络数据的跨境流动和存储削弱了国家对数据及相关设备的有效管辖能力,形成了安全漏洞。同时,借由先进的科学技术,网络大国可通过隐蔽的手段对其他国家的数据进行收集和监测,侵犯他国的数据主权。因此,强调数据主权的独立性将形成国家间对抗的秩序,导致网络大国在虚拟空间中肆意地实施单边主义。
毋庸置疑,数据在虚拟空间储存与流动已突破了传统主权绝对独立性理论。独立权是一种绝对自由的权利,其极端表现可体现为国家之间的对抗和竞争。数据主权的独立性与多重管辖冲突、与国家数据安全困境存在着关联性,形成数据主权的自发博弈的对抗秩序。
首先,强调数据主权的绝对独立性将产生多重管辖权冲突。在大数据时代,数据流动至少涉及信息创造者、接收者和使用者,信息的发送地、运送地及目的地,信息基础设施(information infrastructure)的所在地,信息服务提供商的国籍及经营所在地等。 [108] 由于数据的完整性和不可分割性特征,任何层面跨境数据行为都会产生国家管辖权的重叠,并产生数据主权的冲突。同时,在多重管辖权情形下,服务提供商将会产生挑选法律(forum-shopping)的现象,会导致网络服务商通过信息转移,逃避对数据保护的国内规制, [109] 进而影响到一国的数据安全。
其次,基于数据安全考量,理性的国家将以数据主权独立性为由,对信息及相关技术实施绝对的单边控制。最为典型的是对数据中心的选址施加法律限制,要求数据中心设置在国家控制范围。这实际上禁止潜在的国外云服务商向客户提供既有服务,使云计算有了边界,间而也摧毁了网络科技赖以发展的基础——成本优势。 [110] 在某种程度上,该措施也侵犯了公民的知情权、数据权和贸易自由权。
最后,网络大国以数据主权为由,通过侵犯他国数据主权,以此获得敏感信息。以美国为例,美国垄断着全球互联网的战略资源,全球互联网根服务器有13台,唯一的主根服务器在美国,其余12台辅根服务器中有9台在美国。 [111] 同时,美国还拥有大量全球最具影响力的网络运营商和通信服务商。正是基于网络大国地位,美国能够方便地窃取其他国家的隐秘信息,对全球的数据安全造成威胁。
由上,在通信和网络技术发展背景下,基于数据跨境流动和存储的日常化和便捷化,各国对数据的管辖权进行不同界定,特别是基于数据主权的独立性,各国不断对域外数据主张管辖权。与此同时,大数据时代削弱了一国对与本国相关数据的控制力,在数据主权对抗局面下,小国将无法保证本国的数据安全,不通过国际协调机制,无法有效行使数据主权。而大国却能通过先进技术有效行使数据主权,甚至危害他国数据主权安全。由是观之,数据主权的绝对独立性形成多重管辖冲突现象和国家数据安全困境,自发博弈对抗最终导致国际社会在虚拟空间的“无秩序状态”。因此,破解当前“无秩序状态”应考虑基于数据主权的合作性构建相应的国际协调机制。
传统国际法针对的是各国“共存”(co-existence)于国际社会的这一事实,现代国际法更侧重于“合作”(co-operation),而跨境国家的相互依赖与合作在某种程度上限制了主权。 [112] 从数据的特质出发,主权的博弈对抗形成了囚徒困境的结局。因此,对数据主权的重新审视应结合实践的需要,重视主权体现在国际事务中的合作特性和权利。
如前所述,数据主权是国家对数据和与数据相关技术、设备及服务商等的管辖权及控制权,体现域内的最高管辖权和对外的独立自主权和国际事务的参与决策权。由此定义引申出数据主权可划分为内部和外部两种类型。所谓内部数据主权,主要是基于保护国家安全和公共秩序,特定国家机关依据法律规定要求第三方公开其掌握的域内隐私和保密信息。 [113] 该主权的行使已成为各国通例,例如,美国《爱国者法案》规定在法院令状许可下,美国联邦调查局可以强制要求美国互联网服务提供商提供所有储存在其服务器的记录。 [114] 我国《国家安全法》第11条规定国家安全机关为维护国家安全的需要,可以查验组织和个人电子通信工具、器材等设备、设施。换言之,各国对位于本国境内的数据及相关设施均有完全的域内管辖权。然而,单纯依靠内部主权并不能解决数据安全的问题。在大数据时代下,信息技术削弱了政府管理在其领土内对其公民产生影响的信息的能力。即使国家能够管理信息流动,该管理措施经常会对其他国家产生负面影响。 [115] 因此,内部主权的行使能够影响基于外部主权的国家对抗或合作。
外部主权主要包括独立自主权和国际事务参与合作权。根据主权的历史发展,第二次世界大战前国际社会更多强调的是基于民族自决的独立自主权;“二战”后,随着联合国、世界贸易组织等国际机制的建立,我们生活在一个相互依赖的时代, [116] 国家间博弈与合作要求国家重视外部主权。当前国际结构的本质和核心不是相互对抗,而是以国家交流与合作为目标。申言之,基于国家主权的最重要的外部权利不应是独立于所有外部干预,而是积极参与国际性事务的权利。 [117] 同理,在外部数据主权上,其核心体现为处理国际性、区域性和跨国性数据传输等事务的参与权和决策权。在独立享有主权的基础上,各国均有相互合作、参与国际规则的制定和决策的权利。
由于缺失对数据管辖应开展的国际合作,多重管辖权冲突频发,国家数据安全困境凸显,进而导致了虚拟网络空间中的“无秩序状态”。鉴于此,破解安全困境与管辖权冲突应当建立在国家数据主权的合作性基础上。
在无边界的数据空间,一国对数据信息进行的有效监管和控制应当通过与其他国家合作加以实现。国际法上的主权是国家的固有属性,基于主权的合作应体现国际法的价值与理念。
数据主权的合作前提是各国拥有对国际事务参与决策权。就国际社会而言,开展合作维护共同安全和利益既是国家的义务也是责任。同时,合作也是数据主权行使的重要途径。如前所述,数据主权的对外权利体现在独立性和参与决策权之上。各国均应充分承认他国具有主权管制域内的数据及相关设施、服务人员,但是片面强调主权的独立性也将可能导致国家对抗的困境。解决跨境问题还应回归到数据主权的概念中,即重视国际事务的参与决策权。不论贫富强弱,各国都有参与和决策国际事务的权利,这是数据主权合作的前提。 [118] 同时,任何国家都无法单边地解决所有国际事务,因此,唯有主权的合作才能实现管理共有物的目标,主权合作是数据主权行使的必然途径。
数据主权合作应坚持公平互利的国际法基本原则。国家主权平等是《联合国宪章》的基本原则。主权平等是合作的基础,而公平才是构建国际新秩序重要内容。特别是当前网络大国利用技术优势对数据、信息等单边控制损害其他国家的利益,导致数据安全困境。因此,基于数据主权的合作最重要的是防止在虚拟空间形成权力导向的格局。合作的目的在于有效管控和自用共同的数据空间,其应体现国家间的互利性,不能以牺牲他国利益为代价提高本国的国家利益。基于公平目标,国际社会也应为发展中国家和最不发达国家提供技术支持,提升其管辖和控制国内数据的能力,防范外来的网络恐怖行为等数据安全威胁。因此,在数据主权的合作上应坚持公平互利等国际法基本的原则。
1.合理界定管辖权
数据空间的开放性和虚拟性导致了数据能够便捷地进行跨境传送,而不受到实体海关的监管。数据的特质本身是多重管辖权产生的根本内因。因此,数据主权博弈的无序首先要解决就是管辖权的冲突问题。
对管辖权行使的约束和平衡是数据主权合作的重要内容,其主要思路应是合理界定管辖权的范围。界定管辖权的范围仍应建立在主权治权基础上,并合理界定属人管辖和属地管辖原则。现代国家产生以来,国家就被视为能够在其领土界线内实施管辖权的具有主权属性的空间实体(sovereign spatial entities)。 [119] 以传统的国际法视野出发,国家被视为是不可分割的整体,其对领土内的所有个体负责,或至少为他们的行为负责。 [120] 相应的,决定适用法的管辖权框架及其主体的权利和义务都是基于人所在地( in personam , jurisdiction)或者是物所在地( in rem , jurisdiction)。 [121] 数据主权与治权密切关系,一国不可能对其不能够掌握的人或物实施管辖权。但是,由于数据的特性,传统管辖权无法处理虚拟空间的无国界性问题,因此,应在传统管辖权基础上,辅以效果管辖原则(effects doctrine)。 [122] 即,如果一国行使数据管辖权的效果延伸到另一国的人及地域,或者说,对另一国的数据安全和利益产生影响,则另一国有权行使数据管辖权要求他国约束过分膨胀的管辖权力。总而言之,虚拟空间中确立的国家管辖权是国家能够依国籍对信息创造者、接收者和使用者及其信息服务提供商进行属人管辖,也能依据信息发送地、运送地和目的地及信息基础设施所在地进行属地管辖。因此,辅以效果原则的属人管辖和属地管辖是各国行使数据主权的基本方式。
2.共管虚拟空间共有物
由于支持通信和网络技术的信息基础设施、数据交换中心多落户于网络大国,大国对数据不正当使用将会造成对他国数据安全的威胁和利益的损害。解决国家数据安全困境应通过国家间的合作和协调途径达致,而国家的合作理论前提是由互联网的特性使然。
数据存储、运输的场域——互联网被认为是与公海、外太空等属性相似的“全球共有物” (global common),抑或是被称为“共有财产”(res communis omnium)。 [123] 在大数据时代,没有任何国家能够占有互联网,支撑互联网运作的信息基础设施、数据交换中心等应视为是“全球共有物”。互联网的开放性质自然要求各国在统一的国际框架中维护国家利益。因此,若要完全实现各国的数据主权,就必须通过部分数据主权的让渡,由共有的机制或机构享有并行使让渡主权,实现对共有物的管理。 [124] 当前冲突的实质是网络大国对人类共有的互联网的单边管辖以谋求本国利益和安全。虚拟空间作为人类共有物,从某种程度上,支持虚拟空间的构建和运行的重要基础设施不应为某个国家所有,而应当采取一种全球共管的模式。例如,根服务器、数据交换中心等基础设施应基于国家主权进行全球共管。
在组织架构方面,初期可由联合国或其下属机构对营运互联网的非政府机构、信息基础设施和数据交换中心进行监管或控制,由非政府组织负责技术工作,而联合国等安全部门保证非政府组织的公正性和独立性; [125] 随着互联网的扩大与全球普及,非政府机构不能满足实践发展前提下,可由联合国安全部门专门负责互联网的运营,在运营之上建立起由主权国家参与的互联网管理委员会,该委员会负责监督工作。
3.应对虚拟空间恐怖主义的集体行动
由于数据空间的虚拟性、无边界性,发展中国家和最不发达国家的通信和网络技术水平有限,其不能有效管辖域内和域外数据,以应对虚拟空间犯罪(cybercrime)行为,特别是恐怖主义犯罪。破解此类数据安全困境的方式应从数据主权出发,在国际社会上探寻集体合作安全机制。
打击虚拟空间犯罪行为的国际合作制度相对较为成熟。联合国安理会和联合国大会通过了多份涉及恐怖主义或网络恐怖主义的决议;西方八国集团最高政治领导层的议题经常包括网络安全;俄罗斯建议在联合国框架下制定互联网空间的行为规范;多数发达国家和少数发展中国家在联合国之外签署了《网络犯罪公约》。 [126] 然而,上述成果的法律拘束力较弱。由美国、欧盟主导的《网络犯罪公约》更多的是体现网络大国的利益,缺少民主性、公平性,偏离主权合作的互利原则。因此,应对虚拟空间犯罪的集体行动亟须完善和机制化。
虚拟空间犯罪涉及网络安全和各国利益,多数重大犯罪行为与恐怖主义相关,直接威胁到人类社会的安全。基于此,建立虚拟空间集体安全机制实属必要。那种任由少数发达国家制定规则或强制推行的做法与主权合作的理念相悖。以主权让渡为基础而形成的合作应在联合国及其安全理事会框架之下,建立起完整的虚拟空间行为规范,在面临国际恐怖主义情形下,甚至可考虑以集体自卫权为基础进行跨国惩治。同时,应为发展中国家和最不发达国家提供技术支持和资金援助,提升维护国家数据安全的能力,这亦是全人类的福祉所在。