国家数据主权问题研究

摘 要 随着全球化的进程，国家主权面临着新的挑战，传统的国家主权范围受到冲击，从领陆、领海、领空、太空扩展到网络空间，传统的主权理念已无法适应国家对数据的管理与控制，数据主权便应运而生。本文通过对数据主权的概念辨析，从国家角度进一步厘定数据主权的概念，鉴于数据跨境流动对数据主权的冲击、数据霸权国家变相侵犯他国数据主权、数据特征导致数据主权维护的弱化这三个方面来分析数据主权面临的挑战。在此格局下提出我国的应对路径。

关键词 数据主权 国家主权 数据主权维护

作者简介：朱清清，桂林电子科技大学法学院，硕士研究生。

中图分类号：D60                                                               文献标识码：A                       DOI：10.19387/j.cnki.1009-0592.2019.07.295

一、数据主权的概念与特征

（一）数据主权的概念

数据主权的概念目前并没有统一的定义，结合国内外目前的观点对数据主权的概念概括如下：吴沈恬（2015）认为数据主权是一国数据在域外的享有国家最高权力的表现，具有独立性、排他性以及自主性。齐爱民、盘佳认为数据主权是一国对其管辖权领域内的数据享有生成、管理、控制、传播以及利用的权力。赵刚、王帅、王碰认为数据主权是一国对国内数据和跨境流动数据享有所有权、控制权、管辖权和使用权，是国家数据主权和个人数据主权的集合，表现为对内控制权对外处理权。综上，基于研究的需要及国情，笔者采用狭义的数据主权概念，即仅指国家数据主权，是一国主权在数据领域的呈现，是对传统管辖领域的延伸，其内容包括数据管理权和数据控制权。

（二）数据主权的特点

第一，相互依赖与合作性。数据主权在发展中蕴含了一组相互矛盾的国家使命，即全球化和政治特殊性。数据的全球化必然面临国家安全、利益等问题，但政治特殊性是国家安全与利益的保障，全球化必然使各国利益牵制，在国家安全的前提下从经济角度出发，域内域外的数据具有相互依赖与合作性。

第二，相对性与可分割性。首先，数据主權的实现必然要求其具有相对性，这体现在数据主权的概念和制约因素上，对于数据主权的概念在认识上还存在分歧，对于数据主权的行使必然要受到国际法、他国法等限制。其次，数据主权也是一种复合型的权力，是可以分开使用的，比如单独对内的最高管辖权，对外又可与其他国家共享一般管辖权。

第三，理论上的平等与事实上的不平等。数据主权的平等体现在对外主权上，理论上来说这是相互独立的国家之间承认各国数据主权的平等性，否则国家之间不产生权力与义务。但实际上因网络霸权等问题造成数据主权实际上并不平等。

二、数据主权面临的威胁和挑战

（一）数据跨境流动对数据主权的冲击

1.主体管辖权重叠、数据归属不明

在数据跨境流动中涉及到的主体众多，如数据接收者、使用者、创者者;涉及到的地域有基础设施所在地、发送地、接收地等。当数据跨境流动中涉及的主体不同且均主张对该数据有数据主权时势必会造成管辖权的交互重叠。此外数据在无政府状态下运行，基于各种需求对本国数据的控制和对本国国民在域外数据的主张也会导致主权交叉重叠的管辖状况。

2.数据跨境流动无统一的法律规制

目前各国已高度关注数据跨境流动所带来的价值以及如何规制，大体上形成了三种模式：一是以俄罗斯为代表的刚性禁止模式，此模式禁止数据跨境，特别是针对敏感、重要的数据进行控制;二是以欧盟为代表的柔性禁止模式，即有条件的解除对数据跨境的限制;三是以印度为代表的本地备份流动模式，试图达到数据流动带来的价值与国家安全的双重获利。而在国际上对于各国数据主权的管控范围并未划定，国际法的空白使数据主权纠纷时无统一的适用规则。而目前为止具有国际组织性质的欧盟2016年通过的《通用数据保护条例》（GDRP）是最严格、保护水平最高的数据保护规则，更强调的是对个人数据主权的保护。此外，关于数据跨境流动在总体上而言，目前尚且没有统一的数据跨境流动分类分级的管理制度。

（二）数据霸权国家变相侵犯他国数据主权

数据主权是理论上的平等实际上的不平等，在信息全球化的背景下，数据强国与数据弱国之间的权力是不对等的，数据强国会通过这些不对等来谋求数据霸权，以实现数据的经济价值与政治价值。数据霸权是类似美等数据强国假借“信息自由”的名义来实现霸权领导地位的合法性，号召网络空间无政府主义以达到目的。人工智能的出现使数据的处理、分析、提纯变得更加容易，将海量数据背后的价值变现，核心数据成为各国竞争抢夺的资源。但这隐藏的内在动力同样容易促使霸权主义国家不留余地的继续推行数据霸权政策，另一方面也是因为关键技术的寡头垄断为其实施数据霸权提供了技术契机。如“棱镜门”事件就是数据霸权国家凭借数据存储的特点和技术加持对他国进行监控，导致国家核心数据被盗用以及给各国安全带来威胁。

（三）数据特征导致数据主权维护的弱化

因数据量庞大这一因素导致数据跨境流动或境内流动中被泄露、盗取早就屡见不鲜。对数据主权的承认则要承认一国对本国的数据有完全的掌控能力，否则等于对不完全主权的承认。对于大量的数据如何保护，各国采取的大多是数据本地化存储制度，上文中提到的三种模式是该制度的具体表现。我国现行法明确了关键基础设施运营者本地化存储义务，但并没有对存储的具体内容进行细致说明。

此外，数据也为黑客攻击提供了隐蔽的技术环境，数据的存在形式使黑客可以悄无声息的远程跨越国界攻击关键基础设施，从而获得重要的、机密的文件或者导致基础关键设施停运使社会发生混乱。与传统的犯罪相比，黑客攻击基础设施的成本较低、犯罪收益较大，但犯罪者在域外或者技术上难以找出对方IP地址，就会出现难以主张数据主权的局面。

三、维护我国数据主权的建议

（一）数据跨境流动的规则设计

1.厘定数据主权的管辖范围

与他国进行数据共享要以厘定数据主权的管辖范围为前提，应在当前国家主权范围内，结合效果管辖 的基本原则来界定数据主权管辖的基本范围。数据在流动过程中如果仅以传统的管辖权理念来规制数据无国界自由流通是不现实的，因此，笔者建议可以在传统的管辖权基础上对数据跨境流动所涉及的影响加以适用效果原则，也就是说任何国家行使数据管辖权的效果涉及到我国公民、组织或者影响我国的数据安全、利益等，此时我国则可主张数据主权管辖权。总的来说我国数据跨境流通应建立起属人管辖、属地管辖以及效果管辖。

2.设定数据跨境流动法律规制

首先，国际间应构建数据分类分级的相关准则，形成统一，并且针对数据设置评估和执法机构。数据在上述分类中可能或出现重复、交叉的现象，从不同角度可以分析得出不同的信息，数据的重要性也因此会有所偏向，存在差异，所以对数据可从政府、行业、以及个人三个角度进行分类。其次，完善我国数据的分级分类制度，目前现有《网路安全法》涉及的分类为个人信息和重要数据，这两大类数据并不矛冲突，但在一定条件时会交叉出现。因此，数据分类并不应该以分类为目的，而是以分级为目的，分级除了考虑数据类型以外，还需要考虑数据的敏感度、数据量、技术难度等其他因素。最后，实行数据跨境流动安全风险评估，不同等级的数据在跨境流动中可能造成的风险大小并不一样，可以通过第三方机构建立对数据跨境流动的风险评估机制，作为对其他企业的参考。

（二）数据霸权消解的策略

数据霸权是国与国数据资源分配不平等形成的结果，数据霸权主要表现问霸权国家核心技术的寡头垄断及限制其他国家平等参与，因此不仅需要从防御的角度防止霸权国家对本国的数据资源、国家安全造成威胁，还需要积极参与的角度通过协作治理重构数据主权的新局面。

首先，在国家战略层面，应围绕价值加强数据主权的顶层设计。笔者认为应以国家总体安全观为指导，关注全球规制动态，加强数据主权前瞻性研研究;以数据的可控性、可用性、完整性、保密性四个基本价值建立数据主权理论基础和框架， 在此基础上制定系统的战略规划。

其次，在国际合作层面，国家应该积极参加国与国之间的交流，最终使数据主权能够达成国际上的共识，统一数据主权的内涵，通过对数据跨境流动的现状、需求建立多边的司法制度。对他国侵犯我国数据主权时要利用现有国内法和国际法进行应对，加强数据主权原则的理性认知。

（三）推动国家竞争力的强化

随着信息技术的发展，核心、关键技术成为各国数据竞争的强有力的保障，数据主权作为一种权利，但实施这种权力必须要有能力，这种能力首先体现在国家竞争力上，也就是大数据的技术创新。中国政府应从国家层面规划、整合创新资源，突破关键技术，出台相关的法律法规和政策推动技术的发展，使中国信息技术水平整体性提高。

并不是说所有的数据都需要本地化存储，应根据数据的级别分类讨论是否属于应被本地存储的范围。除了对数据的本地化存储之外，还需要对某些行业服务设施的建设位置或运营主体进行详细规定，可通过事先审查、事后批准相结合的方式进行规定，并且明确该基础设施的保密等级和安全防護等级，避免基础设施受到黑客的攻击。此外，可加强关键基础设施保护技术手段研究，建立关键基础设施安全监控平台，提高数据安全防御能力。

四、总结

由棱镜门等暴露出来的威胁国家安全与主权的事件作为契机，使各国在数据主权方面的研究不断深化，相关的法律保障也受到国家或者企业的大力推动，数据主权成为国家主权中新的内容。整体上而言国际对数据主权的共识还未统一，在主张数据主权行使的过程中存在大量问题，各主权国家更应加强国际交流，推动数据主权达成共识，构建数据主权国际规则。不仅如此，我国要在自身环境与发展状态下，借鉴他国对数据主权的经验;加快网络数据管理立法，完善数据跨境流动管理制度;强化对基础设施的保护，提高网络防御能力等。

注释：

效果原则，它是指当公司在国外行为对国内产生“效果”时，就对其行使管辖权。效果原则是美国法院在1948 年的“美国铝公司”案中提出的。

参考文献：

[1]齐爱民，盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报（哲学社会科学版），2015（1）：68.

[2]吴沈恬.数据跨境流动与数据主权研究[J].新疆师范大学学报（哲学社会科学版），2016（5）：113.

[3][法]让·博丹.主权论[M].北京：北京大学出版社，2008：25.

[4]沈国麟.大数据时代的数据主权和国家数据战略[J].南京社会科学，2014（6）：114-115.

[5]何波.数据主权法律实践与对策建议研究[J].信息安全与通信保密，2017（5）：8-9.

[6]肖冬梅，文禹衡.数据权谱系论纲[J].湘潭大学学报（哲学社会科学版），2015（6）：70.

[7]赵刚，王帅，王碰.面向数据主权的大数据治理技术方案探究[J].网络空间安全，2017：37.

[8]Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data， Strasbourg， 1981.