<nobr id="nv5jj"></nobr>

<cite id="nv5jj"><strike id="nv5jj"></strike></cite>

        <track id="nv5jj"><progress id="nv5jj"></progress></track>
        <span id="nv5jj"><meter id="nv5jj"><form id="nv5jj"></form></meter></span>

          <noframes id="nv5jj">

            <big id="nv5jj"></big>

            跨境數據流動的規制路徑比較 和國家能力分析

            摘 要

            跨境數據流動既創造價值,又引發風險和挑戰。如何有效規制跨境數據流動被迫切地提上各國議程。該議題涵蓋個人隱私、主權安全、管轄適用、國家競合等多重復雜的政策因素。由于缺乏統一的國際規制框架,各國出于地緣政治、產業水平、歷史傳統、國家安全等諸多因素之考量,形成了多種規制模式。利益的復雜性、規則的差異性加上規則本身存在不同程度的弊端,導致各規制模式間摩擦不斷。

            國家規制跨境數據流動的最終目的在于捍衛國家數據主權不受侵犯,甚至盡可能獲取本國之外數據資源的處理與管轄權。國家的配套規制措施本質上是該國國家能力的映射。因此,跨境數據流動規制和國家能力的關系可以概括為:一國國家能力決定該國形成和實施何種規制路徑;規制路徑可以體現該國的國家能力。

            本文以美國、歐盟和中國的跨境數據流動規制路徑為研究對象,以其代表性制度文本為基本依據,考察美國、歐盟和中國路徑。再以路徑差異為切入點,通過研究跨境數據流動規制體現的國家技術能力和制度能力的高低之別,嘗試劃分美國、歐盟、中國的國家能力類型。

             關鍵詞:跨境數據流動;數據主權;規制路徑;國家能力

             一、緒論

             ?。ㄒ唬┭芯勘尘凹耙饬x

              1.研究背景

            隨著物聯網、云計算、人工智能等技術廣泛運用于經濟社會、國防軍事等領域,海量的數據產生與流轉成為常態,國家間的競爭焦點正從人口、土地、資本轉向作為基礎性生產要素的數據。根據麥肯錫全球研究院發布的報告,2008年以來,數據流動對世界經濟增長的貢獻已經超過傳統的跨國貿易和投資,成為推動世界經濟發展的重要力量。

            在復雜的數據跨境流動和存儲環境下,各國政府在執法過程中調取數據存在管轄權上的爭議,可能對個人隱私、產業發展甚至國家主權與安全造成嚴重損害。在尚未形成通行有效的跨境數據流動規則的形勢下,各國出于對數據資源重要性的考量和對跨境數據流動風險的規避,紛紛加快建立和完善國內數據空間頂層制度的步伐,謀求對數據資源的管理與控制,“數據主權”作為熱點問題甚至核心議題迅速成為國家博弈的新領地。然而,由于各國在政治、經濟、文化等國情上存在較大差異,面對跨境數據流動產生的價值與風險間的沖突,不同國家形成了不同政策主張:美國《國家網絡戰略》、《云幕法案》,歐盟《通用數據保護條例》,中國《網絡安全法》,俄羅斯《個人數據保護法》,韓國《個人信息保護法》……

            以上國家構建和捍衛數據主權的做法,本質上是國家能力的映射。也就是:一國國家能力既決定該國在跨境數據流動問題上的制度設計和立法實踐,又體現在該國的制度設計和立法實踐當中??傮w而言,數據產業競爭力較強的國家是技術設備和服務的主要提供者,支持數據自由流動;數據產業競爭力較弱的國家是數據的主要提供者,支持數據本地留存。本文將區分美國、歐盟和中國在跨境數據流動規制路徑上的差異,嘗試對其規制路徑體現出的國家能力進行類型學劃分。

             2.研究意義

            (1)理論意義

            跨境數據流動挑戰國家主權概念,衍生出數據主權。數據主權作為現實世界國家主權在虛擬空間的自然延伸,已經超出傳統國家主權理論的范疇。盡管數據的流動、傳輸可以跨越國界,但數據本身是有疆界的。面對數據主權對傳統國家主權理論提出的挑戰,研究數據主權的緣起與界定,能夠在一定程度上完善和發展國家主權理論的內涵和外延。

            同時,美國、歐盟和中國是最具代表性的主要經濟體。本文關注國家能力中的技術變量和制度變量,將國家能力區分為技術能力和制度能力,根據美國、歐盟、中國技術能力和制度能力的高低差異,將其劃分為三種不同的類型,力求提供研究國家在跨境數據流動規制領域博弈的新視角。

            (2)現實意義

            大數據時代已經到來,大規模的跨境數據流動價值與風險并存。由于缺乏健全的全球性跨境數據流動規范與機制,部分國家以擴張的姿態對域外國家數據行使管轄權、使用權。最典型的例子是2013年的“棱鏡門”事件,美國對美國以外地區居民的通話資料、電子郵件等秘密資料進行監聽,引發各國對個人隱私、經濟發展乃至國家安全的擔憂,直接導致歐盟與美國間長達15年的《安全港協議》無效。面對這種依托于技術和市場優勢的單方擴張對國家安全和數據主權的侵犯,越來越多的國家開始加大對跨境數據流動的限制。然而,圍繞主權國家應當如何應對跨境數據流動帶來的風險、捍衛數據主權這一問題,各國存在分歧且難以在短期內消除。國家的規制路徑既是一國在數據主權問題上立場的直接體現,也是該國國家能力的具體反映。有鑒于此,本研究分析美國、歐盟、中國的具體規制路徑,對于厘清大數據時代國家數據主權與國家能力問題,具有現實意義。

            ?。ǘ┪墨I綜述

              1.國外研究現狀

            國外對跨境數據流動的關注較早,研究內容豐富,涵蓋了法律、經濟、政治、單邊、多邊、區域等不同角度。戴維·R·本德(DR Bender)[1]回顧TDF(Trans-border Data Flow,跨境數據流動)的歷史以及經合組織提出的原則,討論與TDF有關的國家主權問題。G·羅素(G. Russell)[2]同樣研究TDF的演變,提出TDF是當下代表“國際信息政策”的術語,認為TDF既包含技術性特征,如內容和傳輸問題,又包含非技術特征。吉塞拉·穆漢(Gisela Moohan)等人[3]考察TDF的四個方面:隱私和數據保護、歐洲經濟共同體的作用、東歐國家和西方國家之間的TDF以及第三世界對工業化國家主導TDF的反應??琢罱埽↘ong Lingjie)[4]認為數據保護是全球數據自由流動規定障礙,通過指出歐盟數據保護的標準合同模式和公司法模式的不足,呼吁國際社會建立通行有效的全球法律框架。雪莉·沃威克(Shelly Warwick)等人[5]研究美國、加拿大和墨西哥規制TDF的法律和政策,以及這些法律政策對信息在三國間傳播和獲取的影響。麗塔·沃爾丘奇(Rita Walczuch)等人[6]發現各國頒布法律禁止計算機可讀數據自由流動的主要動機是保護公民隱私,因此他們研究TDFL(Trans-border Data Flow Legislation,跨境數據流動立法)的文化決定因素,以及文化與隱私保護間的關系。

            2.國內研究現狀

            以“跨境數據流動”和“跨境數據流動規制”為主題分別在CNKI數據庫中檢索,得到表1-1中的結果。

            表1-1 CNKI數據庫檢索記錄(1998—2021.3)

            主題 數量(單位:篇) 主題 數量(單位:篇)
            跨境數據流動 470 跨境數據流動規制 165

            通過梳理國內文獻可發現,以“跨境數據流動”為源起、緊扣“跨境數據流動規制”的學術研究,主要集中在跨境數據流動規制的類型研究上,即先區分不同的跨境數據流動規制類型,再對這些不同類型的規制進行具體分析。

            有學者以經濟發展程度和信息技術水平為標準區分不同的規制體系。黃寧、李楊[7]將跨境數據流動規制分為主導體系和單邊規制。主導體系包括歐盟體系和美國體系,單邊規制由主導體系外的國家組成,如俄羅斯、巴西、印度等后發國家。

            有學者基于時間序列作出區分。陳少威、賈開[8]從“全球治理”的角度回溯跨境數據流動規制體系,將其分為制度差異、走向共識、治理沖突三個階段,每個階段分別對應主權國家間相互合作、以歐美《安全港協議》為代表的公私合作和后斯諾登時代爭奪數據主權的規制進路。

            有學者依據數據主體的不同提出相應的規制措施。根據數據承載內容的不同,李思羽[9]、葉開儒[10]等學者將數據分為個人數據、商業數據和公共數據,將規制的重點分別放在個人數據和隱私權保護、產業政策和知識產權、公共安全和國家利益上。

            也有學者以價值理念作為區分不同規制差異的標準。李艷華[11]認為國家最終形成何種規制范式取決于對“數據保護”、“數據自由流動”和“國家數據自主權”三者關系的組建。當以良好的數據保護和國家自主權作為優先價值目標時,形成了以俄羅斯為代表的本地存儲規制路徑和以歐盟為代表的充分性規制路徑;當以保障數據自由流動和國家自主權作為優先考慮時,形成了以美國為代表的問責制規制路徑;當既追求良好的數據保護,又要確保數據自由流動時,形成了以澳大利亞為代表的利益均衡型規制路徑。胡煒[12]也強調價值取向的重要性,認為價值沖突是導致跨境數據流動問題難以達成國際共識的主要原因,并將價值沖突總結為個人隱私與商業利益、網絡開放性與網絡安全性、寬松標準與嚴格標準、本國習慣與國際習慣。

            此外,還有學者提出,國家對跨境數據流動的規制往往出于多重因素之考量,導致規制差異的原因需要回溯到各國政治、經濟、歷史傳統、法律基礎、文化認同的差異之中[8],[13],[14]。

             3.綜述

            綜合以上學者觀點,目前學界對跨境數據流動規制的分類標準大致可分為縱橫兩大類??v向上,基于時間序列研究某個國家的規制對策演進,或在全球占據主導地位的規制體系演進;橫向上,一是依據經濟發展和信息技術水平,二是依據數據主體的分類,三是根據價值取向,或對諸多價值目標的選擇。本文認為:以上分類標準確實在一定程度體現出不同國別、歷史時序下的規制路徑差異,但都各有其不妥之處。

            在對規制模式的縱向區分中,基于時間序列無從劃分現階段的多種規制模式。在對規制模式的橫向區分中,一是從全球數字經濟發展格局和產業競爭態勢來看,無論是總規模還是增長率,中國已超過美國、歐盟居世界第一,俄羅斯、印度、巴西等后發國家也表現出強勁勢頭,且這些后發國家普遍執行限制數據出口、捍衛國家數據主權的規制對策。單邊規制現象越來越突出,便無法將諸多單邊規制排除在世界主導體系之外。即,依據經濟發展程度和信息技術水平,將規制模式分為以歐美為代表的主導體系和由后發國家組成的體系外的單邊規制,這樣的分類已不適應實際情況,有失偏頗。以中國、俄羅斯為代表的后發國家對跨境數據的規制也應當自成一大體系。二是個人數據規制、商業數據規制和公共數據規制,三者絕非完全相互獨立的關系,而是彼此相交。貿易往來繞不開對個人隱私數據的傳輸,維護公共安全也必然涉及到個人與企業。三是當以價值取向的不同區分各國規制差異時,得到的分類結果并不單一。譬如,歐盟和中國都遵循保護個人數據權利和國家數據主權的價值取向,形成的規制路徑卻大相徑庭。

            “國家主義”或“以國家為中心”的理論是研究政策決定因素的一大范式。在對公共政策以國家為中心的研究中,不少學者以“國家能力”概念作為解釋要素,即一國的政策選擇與執行很大程度上受制于既有國家能力。彼得·霍爾[15]完善該線索,指出在考慮國家的政策行為時,應當關注國家能力中的具體變量,如制度性能力;且國家差異的結論要從具體政策的比較中得來。

            本文借助該理論思路,將國家能力視為解釋不同國家規制差異的核心要素,以此為前提,建構起國家能力與跨境數據流動規制路徑的關系:國家能力決定規制路徑,規制路徑體現國家能力。以三個最具代表性的經濟體——美國、歐盟、中國的跨境數據流動規制路徑為研究對象,由此派生出兩個研究問題:第一,美歐中的規制路徑差異體現了何種國家能力差異?第二,這種國家能力差異是如何體現的以及國家能力的高低之別。本文通過案例分析比較,關注國家能力中的技術變量和制度變量,將國家能力區分為技術能力和制度能力,給出了第一個問題的答案。再通過比較美歐中的跨境數據規制在技術和制度上的具體規定,構建國家能力高低的類型劃分,試圖回答第二個問題。

            本文的核心脈絡是:當把跨境數據流動規制體現的國家能力區分為技術能力和制度能力時,國家是如何實現技術能力和制度能力的?理清此邏輯過程后,再一般化技術能力與制度能力共同的功能——數據主權,抽象出數據主權的內涵維度,在同一維度下比較美國、歐盟、中國的能力差異。本文的定位和意義在于:希望通過對美國、歐盟、中國的案例研究,在跨境數據流動規制中進一步理解國家能力,從國家能力差異區分規制路徑差異。文章不僅關注國家能力中的制度性因素,還考慮到國家能力與企業技術的互動關系,將技術能力也納入國家能力范疇。最后的研究結果顯示了國家能力的類型劃分,可對認識跨境數據流動議題中復雜的國家主權、競合、差異等問題提供啟示;同時表明,提升本國跨境數據治理水平、強化跨境數據流動規制的根本舉措在于不斷加強國家能力建設,持續增強數據技術能力,完善數據制度體系。

            ?。ǘ┭芯績热?/strong>

            本論文的研究內容主要包括三個部分:

            第一部分是說明背景和建構研究問題。首先從現狀闡明規制跨境數據流動的重要性:跨境數據流動給傳統國家主權帶來挑戰,會引發各類風險問題,為各國規制跨境數據流動提供現實依據。再引入數據主權,確定數據主權的概念、內涵和重要意義,作為規制跨境數據流動的理論依據。最后提出文章的研究問題:跨境數據流動的規制路徑體現何種國家能力,以及何以體現該國家能力?

            第二部分是案例比較。選取世界范圍內具有代表性的三種模式——美國、歐盟和中國規制路徑,概括美國、歐盟、中國規制跨境數據流動的代表性制度文本,建立路徑差異的分析框架,通過對美國、歐盟、中國規制路徑的具體論述來進一步驗證該分析框架。

            第三部分在第二部分的基礎上,將國家能力分為技術能力和制度能力,首先,界定區分能力高低差異的標準;其次,抽象比較能力高低差異的維度;再次,分析技術能力和制度能力在各維度的具體差異表現。最后,以國家技術能力水平和制度能力水平為軸線建立維度,對三個國家(地區)進行類型的劃分,以直觀的分類展示美國、歐盟和中國的國家能力差異。第二、三部分“國家的跨境數據流動規制與能力類型”的主體框架如表1-2所示。

            表1-2“國家的跨境數據流動規制與能力類型”主體框架

            國家 代表性立法 基本立場 具體實踐 國家能力類型
            美國 《云幕法案》 商業利益

            霸權主義

            數據控制者標準高技術、高制度
            歐盟《通用數據管理條例》數據主權

            人權主義

            充分性原則低技術、高制度

            表1-2“國家的跨境數據流動規制與能力類型”分析框架(續)

            國家 代表性立法 基本立場 具體實踐 國家能力類型
            中國 《網絡安全法》&

            《數據安全法》(草案)

            數據主權

            國家安全

            本地化存儲高技術、低制度

            (三)研究方法

            本文主要采用文獻分析、比較分析、法律解釋和跨學科研究的研究方法。

            廣泛搜集、整理和閱讀國內外學者的文獻,美國、歐盟和中國的法律法規、政府文件和新聞報道,進一步了解國內外學者在跨境數據流動和數據主權議題上的看法,以此作為總結三個國家(地區)跨境數據流動規制路徑特點和劃分國家能力類型的基礎。通過對具有代表性的美國、歐盟和中國對待跨境數據流動的基本立場和采取的配套規制措施進行比較研究,作出恰當的規制路徑比較和國家能力分類。對不同制度文本的相關法條(如《通用數據保護條例》對充分性原則和適當保障措施的規定,《網絡安全法》第三十七條)采用文義解釋的方法,剖析法條內涵,為總結規制路徑差異提供依據。同時,跨境數據流動的國際規制涉及政治、經濟、法學等多學科的知識,因此本文將采用跨學科研究方法,對美國、歐盟和中國的規制路徑和國家能力進行分析論證。

             二、跨境數據流動規制的一般概念

             ?。ㄒ唬┛缇硵祿鲃拥娘L險與挑戰

            跨境數據流動是指數據跨越國界的流動和處理,以及數據雖然沒有跨越國界仍可以被第三國主體訪問[16]。數據的自由跨境流動在促進經濟增長、技術創新、全球化等方面的價值不言而喻,但隨著數據規模的迅速膨脹和流動速度的日益加快,不僅我們的工作生活內容、思維方式發生巨大變化,而且傳統安全和非傳統安全間的界限被進一步模糊,引發了各類數據安全問題。

             1.跨境數據流動與個人數據權利保護

            由于人們與網絡的聯系越來越密切,無論是日常出行和消費,還是學習、工作、交通、醫療、投資理財,都會在各種各樣的數據系統中留下“數據腳印”。個人數據的重要性決定了其被高概率地覬覦:2018年11月,萬豪國際酒店旗下的喜達屋酒店被曝泄露約5億客人的信息,覆蓋31個國家地區;2020年3月,萬豪再爆泄露510萬客戶信息。據IBM2019年度調研發現,引發數據泄露事件的最根本原因是惡意網絡攻擊,在所有數據泄露事件中,因惡意攻擊而引發的數據泄露在過去六年從42%上升至51%。離境數據被惡意泄露和買賣事件頻發,全球數據黑色產業鏈成熟,一些接收方的數據保護意識和管理能力不足,已對個人隱私、財產甚至人身安全造成極大威脅。

             2.跨境數據流動與本國數字產業發展

            數據是重要的戰略資源。一方面,數據不受限制地外流將會導致數據資源向少數具備優勢產業和先進管理的國家集中,損害本國企業開發利用數據資源的發展機會,尤其對于數字產業能力不強的國家而言,放任數據流向境外將直接影響本國數字經濟競爭力的提升。另一方面,資本的運作離不開對大量數據資源的掌控,以美國為首的先發國家始終掌握著世界資本市場的主動權。當一國的經濟、金融數據能夠任由別國大量獲取和深入分析,或者一國對另一國在經濟上形成過度依賴,則該國經濟的正常運作將會極大地受此另一國掣肘。

             3.跨境數據流動與國家主權安全

            一是跨境流動的數據難免涉及到國家情報安全領域,這意味著外國政府可以通過跨境流動的數據實現情報監控,獲取敏感數據[17]。二是數據離境增加執法成本和不確定性。一方面,數據大量流向海外會導致執法機關提取、甄別有效證據需要耗費更多的人力物力和時間。另一方面,域外取證過程中,執法機關由于管轄權不足而始終處于被動地位。三是從長遠來看,“棱鏡門”事件的發生,數據安全與國家主權安全的關系被剖析在世人面前。數據本身是生產力資源,也是支撐國家安全和發展的重要戰略資源,涉及意識形態、科技、國防、能源的數據極易成為黑客的攻擊目標。

            綜上所述,隨著跨境數據與個人隱私、產業發展、國家安全的聯系不斷緊密,與之相對應的國家數據管控能力水平參差不齊,跨境數據流動孕育著風險與挑戰。維護數據主體權利和促進數據自由流動在一定程度上存在對立。維護數據主體權利,即保證數據主體對數據的排他控制,這必然會限制數據自由流動,一旦保護過度有損公民福利和發展機遇;不設限制的數據流動會引發安全威脅,給國家主權的完整性帶來嚴峻挑戰。針對該問題有多種選擇的排列組合,各國既為了在數據資源競爭中搶占優勢地位,又為了維護國家數據與主權安全,制定出不同的跨境數據治理方案,形成了側重不一的規制路徑。

            ?。ㄈ┛缇硵祿鲃右幹频睦碚撘罁?/strong>

              1.從跨境數據流動與數據主權

            主權概念是伴隨著國家產生而形成的,經歷了博丹的對內主權、格勞秀斯的對外主權以及盧梭的人民主權的概念演變后,隨著時代不斷演進,主權被賦予新的內涵。21世紀,海量數據蘊含的價值逐漸被挖掘,主權不再局限于領土、領空、領海等具體表現形式,虛擬空間中的一系列信息、數據也被納入國家主權的范疇。然而,由于國際規則尚未統一,數據流動的跨境性往往引發各國對數據管轄權的爭議。數據主權作為大數據時代國家主權的組成部分,是隨著主權國家對跨境數據的合法權威不斷受到威脅和挑戰而提出的。任何國家的跨境數據流動治理體系都是圍繞數據主權,建立符合自身國情和利益的制度,以保護本國數據資源不受侵犯,甚至盡可能獲得本國之外更多數據資源的處理和管轄權??梢哉f,數據主權概念的提出是國家對跨境數據流動進行有效管控的必然要求,并且數據主權正在成為新的熱點,受到各國重視和爭奪。

            2.數據主權的概念與意義

            對“數據主權”這一概念的定義,國內學者眾說紛紜。有的學者沿襲傳統國家主權的界定。傳統國家主權指一個國家獨立自主地處理自己內外事務,管理自己國家的權力,表現為對內最高、對外獨立。吳沈括[18]將數據主權界定為特定國家的最高權力在本國數據領域的外化,以獨立性、自主性和排他性為根本特征。有的學者根據數據主權的權力內容做出概念界定。齊愛民、盤佳[19]提出數據主權是一國獨立自主地占有、管理、控制、利用和保護本國數據的權力。也有學者通過將數據主權分為個人數據、商業數據和公共數據三種類型,來區分數據主權的概念[10]。還有學者通過論述數據主權與媒介主權、信息主權、網絡主權等相關概念的區別來進行界定[20],[21]。

            針對以上側重點不同的界定,本文認為對數據主權的界定應當回歸主權的本質意義,即數據主權具備主權的兩大特征:一是對內的最高控制權,二是對外的獨立自主平等權。此外,數據主權的主體應當包括國家和個人。個人數據主權是指公民對個人數據的自決權。本文認為,國家只對國家層面的數據安全進行完整性保護,而不保證國家主權范圍內的全體個人數據不被侵犯是遠遠不夠的,數據主權主體須是國家數據和個人數據的總和。從以上角度理解,數據主權應為:數據主權是國家主權在數據領域的自然延伸,指國家對其疆域范圍內產生的和其公民產出的數據享有最高權力,對內表現為對數據及其技術、責任主體、設備設施的排他管控權力,對外表現為不受他國和其他組織的干預,能夠獨立、平等、自主地參與國際數據領域事務的權力。

            數據主權作為一種理論工具,其核心在于為國家的跨境數據流動治理的合法性和權威性提供依據,調和數據跨境流動的現實發展需要與出于應對國家安全威脅而進行管控之間的矛盾。由此邏輯出發,數據主權對于國家跨境數據流動規制具有重要意義。

            (四)跨境數據流動規制中的國家能力

            綜上所述,數據的跨境流動既創造價值,又孕育風險。如何在沒有硝煙的數據資源爭奪戰中實現個人隱私保障、經濟發展和國家安全的協調?這要求國家運用國家能力對數據跨境流動采取系列管理措施進行有效規制。這里涉及到兩個變量——“國家能力”和“跨境數據流動規制”。國家對跨境數據流動的規制與國家能力的關系可以概括為:一國國家能力決定該國實施何種跨境數據流動規制路徑;一國對跨境數據流動的規制路徑體現出該國的國家能力水平。從該變量關系建構中可以派生出兩個問題:以特定國家為研究對象時,第一,這些國家的規制路徑差異體現了國家能力的何種差異?第二,這種國家能力差異是如何體現出來的?

            本文討論國家能力中的兩種類型:技術能力和制度能力。技術能力是指生產、收集、獲取、控制和處理跨境數據的能力,主要表現為計算機和互聯網水平。制度能力是指制定、實施、動態調整相關法律、法規、政策的能力,主要表現為跨境數據流動規制體系的完備程度和國際參與度。下文將對美國、歐盟、中國的規制路徑,和技術、制度能力在規制路徑中的具體表現展開具體分析和充分論證。

             三、跨境數據流動的多元規制路徑

            一國規制跨境數據流動的正式制度,必然是以法律、法案、法令、條例等形式化、規范化的文本形式呈現的。美國《澄清域外數據的合法使用法案》(Clarifying Lawful Overseas Use of Data Act,下文簡稱“CLOUD法案”)、歐盟《通用數據保護條例》(General Data Protection Regulation,下文簡稱“GDPR”)和《網絡安全法》是美國、歐盟和中國規制跨境數據流動最具代表性的綱領性法案。通過概括CLOUD法案、GDPR和《網絡安全法》的主要內容,形成了如表3-1所示的關鍵詞一覽表和表3-2所示的差異一覽表。本章將在表3-2的分析框架中論述美國、歐盟和中國規制跨境數據流動的路徑差異。

            表3-1 CLOUD法案、GDPR、《網絡安全法》關鍵詞一覽表

            國別 關鍵詞
            美國 1.電子通信服務供應商和遠程計算服務提供者

            2. 披露義務,實質性和程序性保護,國際承諾

            3.法治,人權

            4.訪問能力

            5.信息的全球自由流動

            歐盟1.數據控制者、處理者

            2.充足保護認定;國際承諾;適當保障措施,法律救濟措施,有約束力公司規則,具有約束力和執行力的承諾;合規性;國際合作機制

            3.法治,人權,自由;壓倒性的正當利益,公共利益

            4.個人數據保護,保護數據主體權利

            中國1.網絡運營者

            2.信息化發展;關鍵信息基礎設施;網絡技術研發,網絡安全技術,網絡安全技術產業和項目,網絡安全技術創新項目;技術措施

            3.網絡安全等級保護制度;用戶信息保護制度;安全評估;信息通報制度;應急工作機制

            4.網絡安全,網絡空間主權,國家安全,社會公共利益

            5.個人信息保護

            表3-2 美歐中跨境數據流動規制的差異一覽表

            國別 核心關鍵詞 主體 基本立場

            (數據主權戰略)

            依據主要內容
            美國訪問能力美國的電子通信服務供應商和遠程計算服務提供者數據的全球自由流動互聯網的開放性數據信息披露義務
            歐盟數據保護境外數據控制者、處理者保護數據主體權利人權資格認定規則
            中國網絡安全中國網絡運營者保護個人信息國家安全網絡安全技術

            ?。ㄒ唬┟绹目缇硵祿鲃右幹坡窂?/strong>

              1.商業驅動下的數據自由流動

            美國的數字經濟和通信產業水平領先全球,為了確保對全球數據的訪問能力,維護競爭優勢,美國倡導較為開放自由的促進數據自由流動的政策。

            在數據自由流動的法律政策方面,美國主要通過國際談判和監管合作與其他國家、地區簽訂雙邊或多邊協議,以達到跨境數據“自由”流向美國的目的。具體來說,2007年,亞太經濟合作組織(下文簡稱“APEC”)電子商務指導組下設的數據隱私分組構建起跨境隱私規則體系(下文簡稱“CBPR”)。CBPR是規范成員經濟體企業個人信息跨境傳輸活動的多邊數據隱私保護計劃,于2012年正式啟動[22]。一方面,CBPR類似行業自律體系,企業可以自由選擇是否加入CBPR認證。通過認證的企業即被認為符合APEC隱私保護標準,可以在APEC地區內自由傳輸數據。另一方面,CBPR設計了隱私執法機構和問責代理機構,在自愿認證體系之上覆蓋了一層法律保障。隱私執法機構的職責是對違反CBPR且經過認證的企業采取相應的處罰措施;問責代理機構的職責是審核申請加入CBPR的企業,并對通過審核的企業進行后續監督,以及處理各種投訴。

            2012年正式生效的美韓自貿協定(下文簡稱“美韓FTA”)是國際上首個對數據自由流動作出規定的自貿協定。美韓FTA第15.8條提出:雙方成員應當避免對跨境電子信息流設置或維持不必要的障礙[23]。2016年在美國主導下簽訂了《跨太平洋伙伴關系協定》(下文簡稱“TPP”)。在跨境數據流動上,TPP規定允許各締約方對跨境傳輸的信息進行電子監管,但也應當允許協議涵蓋的人員出于執行商業業務的需要而進行跨境數據傳輸;同時,允許各締約方“為實現合法的公共政策目標”而采取一定措施,但采取的措施不能構成任意歧視和對貿易的變相限制[24]。盡管隨后美國退出TPP,但TPP中關于跨境數據流動監管的內在框架已成為許多國家進行電子商務協定的范本。

            2018年,美國、加拿大和墨西哥簽訂《美墨加貿易協定》(下文簡稱“USMCA”)。USMCA代替《北美自由貿易協定》,再次確定了美國在北美區域商品貿易、金融服務、知識產權、信息數據中的主導地位。尤其是新增的第19.12條,明確禁止任何締約方將使用或存儲其境內的計算機設施作為在該國開展經營業務的前提條件[25]。這樣規定的出發點是阻止締約國以數據本地化存儲為由妨礙數據自由流動。

            但與倡導境外數據自由流入相反,美國對境內數據流出持嚴格限制的態度,這主要體現在限制關鍵技術和特殊領域的數據出口。如《商業管制清單》將需要管制的物項分為十大類,其中包括通信及信息安全、計算機和電子設備,并規定這些技術數據到達非美國服務器,必須先獲得出口許可[26]。

             2.基于霸權的長臂管轄原則

            長臂管轄原則在跨境數據流動中的適用是由CLOUD法案確定的??缇硵祿鲃又械拈L臂管轄指,賦予美國調取處于美國境外、但由美國的數據服務商控制的數據的權力。CLOUD法案的制定可追溯至“微軟訴美國”一案。2013年美國紐約法院要求微軟公司提供存儲于愛爾蘭數據中心的一名犯罪嫌疑人的電子郵件信息,但微軟公司以美國單方面索取信息的行為會嚴重侵犯個人隱私和愛爾蘭國家主權、不符合國際司法協助制度為由拒絕提供。微軟公司先后兩次向法院起訴,提出廢除搜查令的動議,并于2016年贏得訴訟。[27]該案件的困境在于數據存儲地和數據控制者的割裂。為便利國家跨境調取數據,2018年美國推出CLOUD法案,將數據主權由物理層邊界延伸到技術層的“控制邊界”[28],標志著美國新數據主權戰略的實施。

            CLOUD法案主要圍繞兩大問題展開:“數據控制者標準”和“適格外國政府”的認定?!皵祿刂普邩藴省笔侵?,只要數據是由美國數據服務者擁有、監管或者控制,則無論數據存儲的地理位置是否位于美國境內,美國都對這些數據享有合法的管轄權。這意味著,首先,屬人管轄成為優先適用的沖突規則,數據控制者而非來源地或存儲地成為確定管轄權的優先適用標準。其次,形成了從數據到數據控制者再到數據控制者所屬國的管轄聯系體系[29]。CLOUD法案的出臺充分體現出美國的長臂管轄原則,實質是屬人管轄權在全球范圍內的擴張,利用其他國家數據服務產業的空白,以自身的基礎優勢搶占對海外數據的擁有、監管和控制?!斑m格外國政府”是指,符合資格的外國政府只有在與美國政府達成行政協議后,才擁有向美國境內服務提供者直接調取數據的權力[30],且“適格外國政府”的審查條件十分嚴格,包括美國設定的法治、人權和數據全球自由流動標準。 通過設定“數據控制者標準”和“適格外國政府”,達到的客觀效果是:1)對于在美國數據服務者控制下的數據,無論存儲在何地,美國政府都可以直接調??;外國想要調取,則必須給予美國對等待遇。2)對于美國境內和美國人的數據,無論存儲在何地,外國政府想要調取必須遵循美國國內司法程序。由于缺乏健全的全球跨境數據流動治理機制,這種依托于市場優勢的單方擴張往往建立在對他國主權安全的侵害之上。

            (二)歐盟的跨境數據流動規制路徑

              1.外緊內松的限制數據流動

            歐盟是全球第二大經濟實體,內部涵蓋的27個主權國家不斷通過政治、經濟、法制的交匯,形成相似的文化和追求目標。為實現單一化數字市場,歐盟積極將自己打造成為數據保護的標準制定者:2015年6月,歐盟提出實施《數字化單一市場戰略》,用以消除成員國間的管制壁壘。2019年,歐盟推行《網絡安全法案》,實施歐洲統一框架下的網絡安全技術和服務認證標準。2018年,歐盟通過《非個人數據在歐盟境內自由流動框架條例》,致力于消除各成員國本地化存儲的要求,保障專業用戶可以在歐盟境內自由遷徙非個人數據。

            2019年10月,德、法共同宣布了名為“GAIA-X”的歐盟云計劃,旨在減少歐盟對亞馬遜、微軟、阿里云等國外云廠商的依賴,建立起屬于安全的歐盟數據基礎框架。該計劃具體做法是將西門子公司、法國電信、德國電信等二十多家供應商集合在一起進行數據共享和服務。為了調整競爭和監管規則,歐盟推出“數字稅”計劃,使歐盟技術能力和數字工業能適應激烈的市場環境。2018年3月,歐盟委員會提出兩項數字稅立法提案:一是對在歐盟范圍內沒有實體存在卻獲取利潤的三類數字企業征收3%的數字稅,二是對全球收入總額超7.5億歐元且來源于的歐盟收入超700萬歐元的互聯網公司征收3%的數字稅[31]。盡管“GAIA-X”計劃還未正式上線,“數字稅”計劃進程緩慢,不可否認的是,這些對外嚴格對內寬松的歐盟規則和計劃體現了歐盟期望消除境內數據自由流動障礙、強化對數字領域監管、增強數字時代戰略自主權的決心。

             2.基于隱私文化的充分性保護原則

            保護人權、尊重個人隱私是歐洲的傳統?!稓W盟基本權利憲章》第8條“個人信息之保護”為保護個人隱私信息提供了直接依據。因此一直以來歐盟將數據權視為一種基本人權而基于主張高水平的保護。2018年5月25日,GDPR正式生效,成為歐盟成員國制定本國個人數據法的基本依據。

            GDPR共10章99條,第5章對個人數據轉移到第三國或國際組織作出具體規定,其中最重要的是“充分性保護原則”。達到“充分性”條件,是歐盟個人數據跨境流轉的先決條件?!俺浞中浴笔侵钢挥挟數谌龂鴮€人數據的保護水平達到歐盟的要求,才能將歐盟成員國的個人數據傳輸至該國,不必采取其他保護措施,即采用白名單的方法確定允許個人數據跨境自由流動的國家和地區。歐盟委員會對“充分性”的考察因素主要有:是否尊重法治和人權,是否存在獨立監管機構,是否已經許下國際性承諾。在GDPR中,“充分性”的認定并非一勞永逸,考慮到第三國所有的發展變化,至少每四年要進行一次重新評估。

            GDPR關于“充分性”的新規定之一在于增加了適當保障措施。在缺乏歐盟“充分性”認定的情況下,GDPR為企業提供符合適當保障條件下的轉移機制:企業約束規則(BindingCorporateRules,下文簡稱“BCR”)和標準數據保護條款(StandardContractClauses,下文簡稱“SCC”)[32]。BCR是指,跨國企業認為其公司規則符合歐盟的“充分性”條件,該企業可以自行向具有資質的監管機關(歐盟數據管理機構)提出申請,再由數據管理機構處理申請、進行核查,審核通過后,該跨國企業即可在企業內部進行個人數據的跨境傳輸。SCC是指,經歐盟委員會批準(或成員國監管機構批準且歐盟委員會承認)的一個不可協商的格式合同文本。企業必須無條件地采用該格式合同文本,只要企業簽訂該合同,便可以實現數據跨境自由流動。BCR和SCC均在保護個人數據權利的前提下,為企業收集、處理、傳輸個人數據提供多樣化的選擇。

            至此,歐盟的數據主權戰略可概括為:推動歐盟單一數字市場建設,以歐洲規則引領國際數據流動規則。盡管GDPR在保護個人隱私、捍衛國家主權上值得借鑒,但其弊端不容忽視。一方面,GDPR對合規成本、基礎設施成本、運營成本要求過高,限制了中小型企業和產業技術的發展。另一方面,GDPR缺乏技術標準、實施細則等細節,為歐盟委員會留有較大余地,而對其他國家近乎嚴苛的規則有“歧視”嫌疑,極有可能成為歐盟對各國進行牽制的新型政策工具[33]。

            (三)中國的跨境數據流動規制路徑

              1.基于主權原則的本地化存儲

            中國對跨境數據流動規制的認識相較美國、歐盟而言起步較晚,法律制度正處于制定、出臺和完善過程中。2017年出臺的《網絡安全法》作為指導中國網絡治理的全局性方針,開宗明義地申明該法主旨在于維護國家、社會、公民安全和網絡空間主權。中國最基本的跨境數據流動規則集中體現在第三十七條和第四十至第四十二條當中。第三十七條明文規定了重要數據本地存儲原則和數據出境評估規則:在中國境內產生或收集的數據和信息存儲在中國境內,關鍵信息基礎設施數據出境必須通過安全評估。第四十至第四十二條初步建立起用戶信息保護:網絡運營者收集和處理個人信息應遵循合法、正當、必要原則,不得泄露、篡改、損毀個人信息。為落實上述規定,同年國家網信辦公布《個人信息和重要數據出境安全評估辦法》,再次明確限定了數據出境安全評估的責任主體、評估對象、評估內容等內容,正式建立起我國數據出境安全管理框架。

             2.兼顧境內外效力的管轄原則

            《網絡安全法》的重點在于規范網絡空間安全管理問題。雖然數據主權與網絡主權概念相近,但這絕不意味著數據主權等同于網絡主權。網絡是數據流動重要的場所但不是唯一的,數據的接收和發送還可以通過遙感技術、衛星傳播等方式實現[21],因此網絡主權無法囊括行使數據主權的全部范圍,單純以《網絡安全法》作為中國構建跨境數據流動規則、實施數據主權戰略的代表并不妥當。2020年7月,全國人大常委會審議并公布《中華人民共和國數據安全法(草案)》(下文簡稱“《數據安全法》”)。盡管《數據安全法》尚處于草案的初級階段,但它意味著國家數據安全領域一部統一的基礎性法律即將到來。與《網絡安全法》相比,《數據安全法》對跨境數據流動規則的完善主要體現在擴大了數據保護的范圍?!毒W絡安全法》立足于保護國內個人數據和重要信息,沒有對域外數據作出規定,其管轄范圍僅限于境內數據活動?!稊祿踩ā返诙l第一款規定在中國境內開展數據活動的都適用于該法,體現屬地管理的管轄原則;第二條第二款強調在中國境外開展數據活動損害國家、公共、公民安全和合法權益的,要追究法律責任,明確了屬地管理管轄原則的域外效力。境內管轄和域外效力雙管齊下,積極回應了以美國為代表的長臂管轄原則。此外,《數據安全法》在第三章“數據安全制度”中,對分級分類保護、應急處置機制、安全風險評估、安全審查制度、安全出口管制等方面作出整體規定。

            (四)從規制路徑差異到國家能力差異

            美國以強大的綜合國力為后盾,主導了跨境數據流動的規則制定,既限制國內關鍵技術數據的出口,又促進境外貿易數據自由流動機制的建立。歐盟對境外數據控制者、處理者的約束機制較為完備,涵蓋了“充分性認定”規則和缺乏“充分性認定”時的救濟規則。中國強調網絡安全技術,包括發展網絡安全技術和運用技術措施抵御危害網絡安全的行為。

            綜上所述,本文發現:美歐中的跨境數據流動規制,主要是圍繞對技術的規定和對制度(機制、規則)的規定展開的,也就是說,三個國家和地區跨境數據流動規制措施的區別,主要體現在對數據技術規定和數據制度規定的差異上。根據前文建構的國家能力與跨境數據流動規制路徑的關系:一國國家能力決定該國采用何種規制路徑,該國規制路徑體現其國家能力水平。美國、歐盟、中國規制路徑的差異主要體現在對數據技術規定和數據制度規定的差異上。由此可以推出:美國、歐盟、中國跨境數據流動的規制路徑差異體現出各自國家能力的差異,也就是國家數據技術能力和制度能力的差異。

             四、多元規制路徑中的國家能力差異

             ?。ㄒ唬﹪夷芰Σ町惖臉藴逝c維度

              1.國家能力差異的界定標準

            結合前文對制度文本關鍵詞的歸納和對具體規制路徑的差異分析,本文對跨境數據流動規制中國家技術能力和制度能力內容、高低標準、實現路徑的界定如下(如下表4-1):

            表4-1 技術能力、制度能力的評判標準

            國家能力類型 評判標準
            抽象關鍵詞 具體標準
            技術能力 主體

            美:服務供應商、提供者

            歐:數據控制者、處理者

            中:網絡運營者

            一國/地區的計算機技術水平、互聯網產業水平、數字運營商水平
            制度能力核心立場

            美:訪問能力

            歐:個人數據保護

            中:網絡安全

            一國/地區構建捍衛數據主權的規制體系的能力
            代表法案

            美:TPP,CBPR,USMCA

            歐:GDPR

            中:《網絡安全法》

            一國/地區參與國際合作、國際規則制定的程度

            “技術能力”包括數據保護技術、數據利用技術、研發和創新技術、技術產業和項目,其高低之別體現為計算機技術、互聯網產業和數字運營商水平,也即該國的互聯網企業水平。技術能力涉及兩個主體:互聯網企業和國家。在“企業技術如何轉化為國家能力”問題上,一國企業,尤其是擁有前沿技術的企業,在很大程度上滿足了提升國家競爭力的需要。而國家擁有合法的強制權力,可以通過立法、出臺政策來扶植、監管和調控企業行為,實現將企業技術能力轉化為國家技術能力。在此企業和國家相互需要的關系下,企業技術可以視為國家能力。

            “制度能力”包括信息保護制度、安全評估制度、等級保護制度、應急制度、國際合作機制,其高低之別體現為,一是各國/地區構建的規制體系捍衛其數據主權的程度,二是各國/地區參與相關國際規則制定的程度,或發揮重要作用的能力。與技術能力不同,國家對于制度而言具有獨一無二的主體地位,是最大的權威主體和制度供給主體[34]。在“制度與國家能力的關系”問題上,制度因素一直被視為研究國家能力的核心變量[35]。制度依靠國家確立和實施,尤其是諸如法律法規、政策的正式制度,國家借助制度實現其治理功能與目標。因此在國家規制本國跨境數據流動過程中,國家制度能力就是國家自身主導制定、實施有效規則和政策的能力。

             2.國家能力差異的比較維度

            作為跨境數據流動規制的理論依據,數據主權代表國家規制跨境數據流動的正當性和權威性,是各國共同追求的目標,各國都不會輕易放棄。國家運用國家能力規制跨境數據流動正是為了完成在數據領域捍衛和爭奪主權。因此,本文將技術能力和制度能力的本質功能抽象概括為國家數據主權,即國家的技術能力和制度能力均服務于數據主權。

            就數據主權的內涵而言,結合前文數據主權的概念界定,可以從以下四個方面理解:第一,數據是寶貴的戰略資源,跨境數據流動是復雜的地緣政治經濟議題,是這是國家爭奪數據主權的最主要原因。第二,倘若國家對數據缺乏控制,便會在對數據資源和數據主權的爭奪中喪失話語權。國家控制權表現為國家排除他國干預,對本國數據占有、使用、管理、處理的最高權力。第三,在不違反國際法前提下,制定怎樣的數據法律和怎樣制定數據法律是一國內部事務,即數據立法權。數據立法權指為了保護數據主權與安全,國家制定、修改、廢除數據領域配套法律法規的權力。第四,除國家的數據控制權和數據立法權外,數據主權的實現方式還表現為數據技術產業的自主發展權。這是保護數據主權的基礎,因為國家只有自主發展數據技術、建立數據產業,才能實現有效的國家數據控制。

            以上四點,第一點是解釋數據主權的重要性,第二、三、四點是數據主權的具體內涵。將此三項內涵分別視為比較能力差異的三個維度,當以數據主權作為技術能力和制度能力的抽象功能時,技術能力和制度能力的差異就體現在數據控制權、數據立法權、數據技術和數據產業發展自主權上。表4-2呈現了這三個維度分別對應的能力類型,以及能力類型對應的具體表現。

            表4-2 比較維度、能力類型與能力具體表現一覽表

            維度 能力類型 具體表現
            數據技術和數據產業自主發展權 技術能力 ①計算機和互聯網基礎;②計算機和互聯網水平
            數據控制權 制度能力 ①管轄模式;②跨境數據流動體系;③代表性立法;④國際參與度
            數據立法權

            ?。ǘ﹪夷芰Σ町惖木唧w分析

              1.美國:高技術能力、高制度能力

            美國高技術能力的主要依據和具體表現為:“電子通信供應和遠程計算機服務”水平全球領先,是計算機研發與創新技術、互聯網科技和產業的發明者、創立者和先行者。(見表4-3)

            表4-3 美國:高技術能力

            維度 主要依據(關鍵詞) 關鍵詞的具體表現
            數據技術和數據產業自主發展權 電子通信服務供應商和遠程計算服務提供者 計算機技術和互聯網產業水平領先

            一是世界上第一臺計算機和因特網分別于1946年和1969年誕生于美國。二是在全球僅有的13臺根域名服務器中,主根服務器僅1臺,位于美國本土,輔根服務器12臺,其中9臺分布在美國本土。三是在互聯網科技上,美國制造商壟斷了網絡核心技術,如因特爾壟斷芯片,Windows、IOS、安卓操作系統壟斷PC和智能手機。四是在互聯網產業上,美國共有12家公司躋身全球20大互聯網公司,蘋果、亞馬遜、Alphabet 、微軟、Facebook分別占據榜單前5。前文提到的“微軟訴美國”一案,犯罪嫌疑人的信息即存儲在位于愛爾蘭的微軟數據服務器上。

            美國高制度能力的主要依據和具體表現是:為提高其對跨境存儲數據的“訪問能力”,主導了很大一部分跨境數據流動國際制度體系。(見表4-4)

            表4-4 美國:高制度能力

            維度 主要依據(關鍵詞) 關鍵詞的具體表現
            數據控制權;數據立法權 訪問能力,數據的全球自由流動 主導跨境數據流動國際制度體系

            互聯網技術和信息資源上的先發優勢為美國主導制定規則提供了便利。美國擁有強勢的經濟、科技地位,雄厚的自由市場基礎,寬松的產業政策,獨占鰲頭的互聯網產業發展,遍布全球的數據基礎設施,因此奉行數據自由流動對美國而言永遠利大于弊。一方面,以TPP、CBPR為代表的多邊數據自由流動體系,是美國為其他國家制定的路線圖,既強化數據同盟與國際合作,又促使這些國家跟隨“美國標準”對數據跨境流動進行管理。另一方面,以屬人原則為主的長臂管轄模式,是在數據自由流動的前提下,確保但凡數據處于美國數據服務者的控制下,美國調取該數據的行為是合法正當的。至此,從數據技術霸權,到互聯網霸權,再到制度霸權,在跨境數據全球流動的過程中,“美國技術”“美國規則”也走向世界。

             2.歐盟:低技術能力、高制度能力

            歐盟低技術能力的主要依據和具體表現為:由于歐盟的數字運營商缺乏競爭力,其數據大多存儲在境外公司服務器上,且主要是美國公司;為了捍衛數據主權,GDPR的主要規制對象為“境外數據控制者、處理者”(見表4-5)。

            表4-5 歐盟:低技術能力

            維度 主要依據(關鍵詞) 關鍵詞的具體表現
            數據技術和數據產業自主發展權 境外數據控制者、處理者 境內數字運營商缺乏競爭力

            雖然歐盟工業互聯網水平一流,但其民用互聯網企業在規模和市場份額上處于相對弱勢,始終生存在以Facebook、Apple、Google、Amazon等硅谷巨頭為核心的美國互聯網體系之下。這與歐盟割裂的語言環境、碎片化的市場、福利國家政策和缺失計算機發展歷史有直接關聯。首先,互聯網發展的基礎之一是市場。歐洲從未形成過一個大一統的國家,始終在相對狹小的地域內分布著“小國寡民”,彼此間戰亂不斷,直到組成相對松散的邦聯制歐盟。如下圖4-1,人口超1000萬的國家只有11個。歐盟27個成員國均為主權國家,各自語言、貨幣、稅收體系互不相同且彼此獨立。割裂的語言環境加劇了市場碎片化,成為歐盟民用互聯網發展的天然障礙。其次,在完善的福利制度下,歐盟平均每周工作時長不超過40.2個小時,閑適的生活方式與互聯網要求強大執行力的行業法則相悖。且高昂的人工費用成本也是發展互聯網產業的一大阻礙。最后,歐洲缺乏從芯片到計算機再到互聯網的發展歷史。美國計算機技術的突飛猛進得益于二戰后大發軍火橫財,有足夠資金投入科技研發。而戰后的歐洲忙于重建,喪失了互聯網產業的先發優勢。先天不足加上以德國、瑞士為代表的歐盟國家具有崇尚工匠精神的傳統,保守的、小而美的企業既無力抵擋諸如Facebook、谷歌等海外巨頭的進軍歐盟,又在與其爭奪海外市場時缺乏競爭力,以上因素導致歐盟始終在互聯網數據技術方面缺乏建樹,甚至面臨大量關系國計民生的個人數據流向提供互聯網服務的美國公司的威脅。

            圖4-1 歐盟人口超1000萬成員國

            6bcd9a9ee0bf10eb90c207d0dfe81e63  歐盟高制度能力的主要依據和具體表現為:為彌補數據技術的缺陷,在制度建構上基于“人權”,以“充足保護認定”強化個人數據保護,同時保留相對自由的空間,允許通過“適當保障措施”進行充分性不足時的法律救濟。(見表4-6)

            表4-6 歐盟:高制度能力

            維度 主要依據(關鍵詞) 關鍵詞的具體表現
            數據控制權;數據立法權 人權;充足保護認定,適當保障措施 GDPR強調個人數據保護,嚴格監管數據跨境流動,但保留相對自由的空間

            依托一體化的傳統和基于個體主義的隱私文化,歐盟規制跨境數據流動的制度可以概括為:區域內實行自由流動體系和統一管轄體系、數字化單一市場戰略,區域外實行“充分性”認定白名單制度、適當保障措施。GDPR作為全球個人數據保護的范本,其中蘊含的對個人隱私的尊重與保護、對美國數據霸權的積極回應、對國際合作與互助的實際考量,順應了國家捍衛數據主權意識的強化,建立起保護與平衡的新機制[36],既體現了歐盟高超的立法水準,又為其他國家提供了保護個人信息的泛歐制度模板。

             3.中國:高技術能力、低制度能力

            中國的高技術能力表現為:隨著國內互聯網產業、科技公司和數字平臺蓬勃發展,已實現部分技術自主,強調通過發展“網絡安全技術”保障網絡安全。(見表4-7)

            表4-7 中國:高技術能力

            維度 主要依據(關鍵詞) 關鍵詞的具體表現
            數據技術和數據產業自主發展權 網絡安全技術 互聯網行業和數字平臺發展,實現部分技術自主

            互聯網發展催生出大數據,互聯網是數據最重要的來源和支撐,各類數據都在互聯網發揮價值,因此一國數據技術水平的高低很大程度取決于該國的互聯網水平。盡管就互聯網歷史來講,中國和歐洲情況類似,甚至基礎不如歐洲。但憑借最大單一國家用戶群和政策支持,近年來中國的信息技術互聯網行業有了突飛猛進的發展,實現了以5G電信網絡為代表的部分技術自主。根據《2018年互聯網趨勢報告》,在全球20家互聯網科技巨頭中,中國公司共有9家上榜;按OEM廠商總部劃分,全球智能手機市場份額中國排名第一;在互聯網平臺用戶活躍數上,中國平臺遙遙領先;在數字數據量上,中國規模顯著且增長迅速。

            中國的低制度能力表現為:《網絡安全法》是針對“網絡安全”、以“網絡運營者”為責任主體的立法;中國目前尚無專門針對數據安全、以跨境數據供應商為責任主體的立法。(見表4-8)

            表4-8 中國:低制度能力

            維度 主要依據(關鍵詞) 關鍵詞的具體表現
            數據控制權;數據立法權 網絡運營者,網絡安全 《網絡安全法》強調網絡安全,規制對象是網絡運營者而非數據服務運營商

            首先,缺乏詳盡可行的管理細則和實施辦法?!毒W絡安全法》第三十七條包含兩種情境,一種是通常情況下堅持數據本地化,另一種是例外情況下允許因“業務需要”的數據出境。針對例外情況,《網絡安全法》并未對業務需要的標準、程度,以及安全評估的流程作進一步說明。即使《網絡安全法》只是對一般原則進行概括說明,那么《個人信息和重要數據出境安全評估辦法》作為《網絡安全法》的補充,既沒有對業務需要、安全評估的內容和標準加以細化,也沒有對數據出境目的地的保護水平進行類似歐盟“充分性”的評估,流程有待明晰,整體操作性不強。其次,在責任主體限定上,跨境數據流動規制中的相關責任主體應當是數據服務提供者和數據處理者,但《網絡安全法》的責任主體是網絡運營者,不能將二者混同。最后,我國跨境數據流動的專門立法缺位?!毒W絡安全法》的定位是保障網絡安全的基本法,《個人信息和重要數據出境安全評估辦法》從效力位階上看不能稱之為保障數據安全的基本法。中國專門針對跨境數據安全的《數據安全法》尚處于草案的起步階段,這勢必會影響我國規制跨境數據流動時的制度規范性。此外,在多邊合作與談判中,中國缺乏應有的參與度。作為亞太經濟合作組織重要成員國和新興數據強國,中國理應積極參與跨境數據流動規制體系的制定事務。但從目前世界主要的規制體系(CBPR、GDPR)看,中國在數據規則制定上的國際參與顯得被動。

            ?。ㄈ﹪夷芰Φ念愋蛣澐?/strong>

            綜合上文對技術能力和制度能力高低標準的界定和水平高低的具體分析,可以建立起圖4-2的2×2的國家能力類型象限。

            圖4-2 國家能力的類型劃分

            f1a5120a668e040c7f9f586535bbd8f5  即:類型研究根據國家規制跨境數據流動的技術能力和制度能力,劃分出四種類型。

            象限I表示技術能力水平低、制度能力水平高,以歐盟為代表。象限II表示技術能力水平和制度能力水平都高,以美國為代表。象限III表示技術能力水平高、制度能力水平低,以中國為代表。象限IV表示技術能力水平和制度能力水平都低,此模式不在本文討論范圍內。

             結論

            跨境數據流動已經成為各國發展道路上無法回避的問題。由于數據本身的開放性、虛擬性特質,以及數據跨境流動過程中涉及到政治、經濟、技術、歷史、法律等諸多領域,傳統的治理手段無法有效應對由跨境數據流動引發的多重風險與挑戰。如何實現“保護個人數據隱私”、“數據自由流動”和“國家數據主權安全”的平衡?是推行“數據境內留存”還是“數據自由流動”?是實施“數據控制者標準”的屬人管轄,還是“數據存儲地原則”的屬地管轄?

            鑒于各國對數據主權的訴求不一,對以上問題的回答不同,從而形成了不同的規制路徑:美國致力于獲取和管轄本國之外的其他國家更多數據資源,依托技術優勢極力推行數據自由流動,實施長臂管轄;歐盟以打造單一數字市場為戰略目標,積極構建柔性限制數據流動的規制框架;以中國為代表的后發國家著眼于保護本國數據資源不受侵犯、維護國家數據安全,奉行數據本地存儲。

            然而,對跨境數據流動的規制不單是一個國家國內的問題,跨境數據流動引發的新情況、新問題也絕非憑一個國家或地區的力量能夠解決的。它是事關的全球治理的重大議題?,F階段,國際社會上并未形成權威性的規制體系,主要體現在,數據強國追求霸主地位采用的“進攻型”路徑,與數據弱國奉行的“保守型”路徑不相兼容,為在國際層面達成治理共識造成阻礙。

            在跨境數據流動問題上,一國的數據技術能力和制度建構能力是該國數據主權思維和規制路徑的決定因素,又集中表現在該國的規制路徑當中。通過“概括制度文本→分析規制路徑→總結路徑差異→區分能力類型→統一比較維度→論證能力高低”,本文最終得出了國家能力類型的結論,即以技術能力和制度能力為標準,區分美國、歐盟和中國規制路徑的差異性。

            有鑒于此,為了在全球數據資源爭奪戰中更好地捍衛主權,國家應當從技術和制度上雙管齊下,既重視加強國家互聯網、大數據能力建設,又加快完善跨境數據保護的制度體系步伐,制定國內法規與加入國際框架并重。

             參考文獻

            [1] 黃寧,李楊.“三難選擇”下跨境數據流動規制的演進與成因[J].清華大學學報(哲學社會科學版),2017,32(05):172-182+199.

            [2]陳少威,賈開.跨境數據流動的全球治理:歷史變遷、制度困境與變革路徑[J].經濟社會體制比較,2020(02):120-128.

            [3]李思羽.數據跨境流動規制的演進與對策[J].信息安全與通信保密,2016(01):97-102.

            [4]葉開儒.數據跨境流動規制中的“長臂管轄”——對歐盟GDPR的原旨主義考察[J].法學評論,2020,38(01):106-117.

            [5]李艷華.全球跨境數據流動的規制路徑與中國抉擇[J].時代法學,2019,17(05):106-116.

              致謝

            在本論文完成之際,謹向我的指導老師表示衷心感謝。從選題到設計,從多次修改到定稿,老師始終給予我很大的指導和幫助,嚴格把關,循循善誘,不斷提出有價值的修改意見。老師嚴謹求實,思維邏輯嚴密,授人以魚不如授人以漁,耳濡目染,潛移默化,使我不僅發現自身許多不足,領會到不同于以往的全新思想觀念和思考方式,更常常讓我產生“山重水復疑無路,柳暗花明又一村”的豁然開朗之感。

            四年外出求學,我第一次離開父母的保護傘,父母始終在我背后給予無條件的支持和鼓勵。感謝我的父母二十年來的悉心栽培與付出,只愿陪伴多一些。

            感謝班主任老師、教務員老師和輔導員梁綽禧老師,給予了我在校的學習生活極大照顧和方便,以及公共管理學院所有的任課老師和行政老師,他們的教誨我將銘記在心。同時感謝我的摯友、舍友和好友,還有師兄師姐的陪伴與幫助,以及2017級行政管理2班所有一路同行的同學,這會是我人生中珍貴的回憶。

            我不曾經歷過大風大浪,也很少遭遇遍地挫折,四年轉瞬即逝,我完成了一篇不是非常完美的論文,度過了有點忙碌的大學時光,但我相信這是一個大浪淘沙的過程,我已經體會到了堅持、決心和自我開解。完成論文、本科畢業不是終點,在接下來的求學、工作中,希望我可以成為保持虛心,樂觀且勇于面對挑戰與生活的人。

            感謝平凡,感謝生活。來日方長,祝我們未來可期!

            跨境數據流動的規制路徑比較 和國家能力分析

            跨境數據流動的規制路徑比較 和國家能力分析

            VIP月卡免費
            VIP年會員免費
            價格 ¥9.90 發布時間 2023年8月10日
            已付費?登錄刷新
            下載提示:

            1、如文檔侵犯商業秘密、侵犯著作權、侵犯人身權等,請點擊“文章版權申述”(推薦),也可以打舉報電話:18735597641(電話支持時間:9:00-18:30)。

            2、網站文檔一經付費(服務費),不意味著購買了該文檔的版權,僅供個人/單位學習、研究之用,不得用于商業用途,未經授權,嚴禁復制、發行、匯編、翻譯或者網絡傳播等,侵權必究。

            3、本站所有內容均由合作方或網友投稿,本站不對文檔的完整性、權威性及其觀點立場正確性做任何保證或承諾!文檔內容僅供研究參考,付費前請自行鑒別。如您付費,意味著您自己接受本站規則且自行承擔風險,本站不退款、不進行額外附加服務。

            原創文章,作者:1158,如若轉載,請注明出處:http://www.twofishesartistry.com/chachong/159588.html,

            (0)
            上一篇 2023年8月10日
            下一篇 2023年8月10日

            相關推薦

            My title page contents 亚洲天堂伊人,国产精品一区二区久久,久久亚洲人成国产精品,亚洲精品98久久久久久中文字幕
            <nobr id="nv5jj"></nobr>

            <cite id="nv5jj"><strike id="nv5jj"></strike></cite>

                  <track id="nv5jj"><progress id="nv5jj"></progress></track>
                  <span id="nv5jj"><meter id="nv5jj"><form id="nv5jj"></form></meter></span>

                    <noframes id="nv5jj">

                      <big id="nv5jj"></big>
                      ? ? ?