【数据主权法律保护的国外经验借鉴综述6200字】

数据主权法律保护的国外经验借鉴综述目录TOC\o"1-2"\h\u7201数据主权法律保护的国外经验借鉴综述 1230641.1美国数据主权的法律保护 1218731.1.1外松内严的双重标准数据主权制度 1279931.1.2美国模式对中国的启示 4191271.2欧盟数据主权的法律保护 4149921.2.1外严内松的欧盟数据主权制度 5116741.2.2欧盟模式对中国的启示 61.1美国数据主权的法律保护作为在信息科技领域具有先发优势的国家，美国清楚并重视数据作为一种战略资源的重要地位，其对数据的政策布局主要集中在以数据安全为价值本位的网络空间治理、境内重要数据或涉及国家安全数据的保密与管控，以及以数据自由为价值本位的跨境数据调取与自由流动等领域。由此颁布了诸如《网络空间国际战略》、《国家安全法》、《存储通信法案》（后称SCA）、《澄清域外合法使用数据法案》（后称云法案）等一系列立法。通观美国数据主权制度建设历史，无论美国官方是否承认数据主权概念的存在和实践，都无法否认美国在以立法先行、立法带动执法的理念支撑下搭建起了较为完善的、美国优先的数据主权制度框架[15]。尽管近年来美国在双边、多边协定中不断提出“跨境数据自由流动”的理念和要求，如在TPP、USMCA、APEC的跨境隐私规则体系（CBPR）中加入了“数据自由流动”或“本地化措施”等条款。但结合美国近年来国内数字措施的收紧，这一要求的实质是对他国强调数据自由流动，从而便利美国自由调取境外数据，而对本国强调数据安全保护，对国内数据“严防死守”，无疑体现了以“美国优先”为特征的双重标准的数据主权制度。作为史上最快通过、出台的立法之一——云法案的颁布既有美国联邦调查局与微软关于调取境外数据争议的叙事铺垫，又恰逢新一轮数字贸易发展与技术革命背景结合下，美国意图扩展数据管辖权的野心膨胀之际，云法案中的不少制度设计都恰如其分的体现了美国双重标准的数据主权制度，印证了美国进一步扩张的数据管辖权。1.1.1外松内严的双重标准数据主权制度对互联网技术发达、数字贸易量巨大的美国来说，提倡跨境数据自由流动对其掌握各国发展动向更为重要，但美国构建的数据主权制度实质上是一种“外松内严”的双重标准制度，即对外倡导跨境数据自由流动，对内强化数据安全——美国政府希望通过实现跨境传输、存储、备份的自由化从而获得他国在数字贸易中产生的跨境数据，而针对本国数据，则通过立法、执法等多重方式严格防控本地数据“离境”。基于产业发展需要，美国需要获取世界各国的各种数据，为其政治、经济、安全等决策与制度设计提供支持。“棱镜门”事件的曝光使美国被迫将地下监控活动转到明面，从而可以为美国近年来大力推动区域、多边协议中数据自由流动政策的落实提供一种解释。近年来，美国推行的协议和立法都试图促进跨境数据自由流动与共享，体现这一立场的最新法律是2018年3月颁布的《澄清海外合法使用数据法》即《云法案》，该项立法针对《存储通信法案》即SCA做出了改革。当SCA在1986年创建时，几乎所有的数据都存储在国内，美国对这些数据拥有不可否认的管辖权[16]。然而，SCA起草者并未预想也无法预料到跨境数据的流动性增加了数据管理的复杂性，在立法时没有规定数据存储在外国时美国政府调取数据需要满足的实体和程序条件，已无法满足当今美国政府的实际需要，因此推出更契合美国具体发展要求的立法势在必行，于是《云法案》横空出世。具体来说，其对微软和FBI之间的主要争议焦点提出了解决方案，同时旨在通过允许执法部门收集存储在外国的数据来协助刑事调查，其背后折射出美国意图扩张数据管辖权的野心，确立了对内、对外不同的数据管辖标准，并通过两个主要功能实现这一目的。首先，《云法案》使美国公司迫于压力必须遵守国内授权令交出数据，无论数据是物理上存储在美国还是在境外。作为这一功能的说明，美国联邦调查局与微软公司关于爱尔兰数据调取的争端可以做出注解。作为调查的一部分，美国执法部门希望获得保存在微软账户上但“实际”储存地位于爱尔兰服务器上的电子邮件，《云法案》允许执法部门通过美国授权令获取此类数据，无需考虑爱尔兰法律，事实上确立起了境外数据管辖的“控制者标准”，即只要数据是为美国数据服务提供者所拥有、监管或控制的，无论该数据是否存储于美国境内，政府均有权要求数据服务提供者向其披露该数据。[17]与长久以来通过国际法规则和惯例确立起来的“存储地管辖”标准形成对峙，事实上确立了一种具有长臂管辖性质的新标准，通过对美国在全球具有影响力的数字企业建立一套新标准的执行惩治体系从而扩大新标准的受众范围。《云法案》一方面确立了境外数据管辖的“控制者标准”，另一方面又保留了美国对其境内数据的属地管辖。也就是说，对于存储于美国境内却受外国企业控制的数据，法案并未同等地适用“控制者标准”，他国若要获取美国的境内数据，仍须经美国同意，这涉及到《云法案》的第二个特点或功能。《云法案》的第二个功能是使美国行政部门可以在排除司法机构权力干涉下享有与外国政府签订数据共享行政协议的权力。目前在美国法律体系下调取跨境数据证据主要通过调查委托书(LettersRogatory，简称LB，由法院之间转递、处理请求)和司法互助协定(MutualLegalAssistanceTreaties，简称MLATs，由各国政府经认可、批准后签订并执行)两种途径实现[18]。而《云法案》确立的数据共享行政协议方式可以较有效地避免LB、MLATs的调取效率低下问题。数据共享行政协议方式通过对在外国调取数据与外国在美国调取数据的程序、条件对比，直接体现了美国“双重标准”的数据主权制度，也是美国国内法律扩展效力至域外的例证。对于外国调取美国国内数据而言，达成行政协议拥有较为复杂的实质性和程序性要求。只有在美国司法部长和国务卿都以书面形式证明并附带说明外国“为隐私和公民自由提供强有力的实质性和程序性保护”后，才能签订数据共享行政协议。该外国还必须同意给予美国对该外国持有的数据的对等访问权。[19]此外，行政部门必须每五年审查和更新一次行政协议，以确保这些要求继续得到充分满足。由于该过程中完全排除了司法机构的参与，只允许由行政机关决定是否授权，同时对外国隐私、公民自由保护情况的评估具有很强的主观性，因此对于外国调取美国数据的规定可谓严苛。另外，即使达成数据共享行政协议，仍不允许外国政府访问美国公民的数据，该协议只能用于收集美国境外的外国人的数据，希望访问美国境内个人的数据的外国必须采用MLATs程序。而美国国内调取外国数据，不仅可以通过《云法案》所赋予的“控制者标准”直接获得，也可以通过与外国达成的数据共享行政协议所享有的对外国持有数据的对等访问权途径实现目的。对于面临“合规困境”的数字企业，《云法案》提出了“礼让分析”作为适用“控制者标准”的例外。就“礼让分析”的适用条件而言，《云法案》规定有两个条件:第一，适用对象不适格，数据指向的用户并非美国公民且不在美国居住;第二，产生立法冲突，即服务提供者披露数据会违反“合格外国政府”的立法。只有在案件同时满足以上两个条件时，法官才能结合《云法案》列举的七项因素进行“礼让分析”，而其中对于“合格外国政府”的界定又涉及到是否签订双边取证行政协议与是否为数字企业提供了充足法律保障，这其中每个条件又可再细分为多项要求[20]，可谓“一环扣一环”，要想满足所有适用条件从而适用“礼让分析”几乎是不可能，在理论和实践上阻断了数字企业意图排除适用美国“控制者标准”的可能性。可以得见，美国以《云法案》为核心推行“双重标准”的数据主权制度，以践行“美国优先”理念，维护其数字大国身份优势为主旨，构建起了一套完备的数据跨境流动与限制机制。1.1.2美国模式对中国的启示美国“双重标准”的数据主权制度单方面强调他国数据的自由流动、调取，而对本国数据更加注重数据安全，在立法中体现为调取数据的程序化差异和域外管辖权的行使，我国不应该采取这种单边和霸权的做法。尽管美国对于国内的数据保护措施与其在国外的数据自由流动主张并不统一，但其中的安排，仍有一些经验和路径值得借鉴。第一，我国的数据主权规则构建既要维护我国利益，又要兼顾他国合理关切。鉴于数据领域隶属于国家主权范围已获得较多国家的认同，因此在数据领域同样应坚持主权独立与平等，尊重他国数据主权。第二，在确定立法理念的基础上构建、完善系统化的我国数据主权保护制度。针对数据保护与数据自由两种价值理念的选择，考验的是我国政府的战略选边。在数据主权领域，需要平衡数据自由与数据保护之间的关系，尽管目前国际社会就这一议题短期内难以达成共识，但我国政府应尽早确立自身立场，在立法中贯彻理念，形成“中国主张”并确定适用例外，既明确了我国立场，又有利于我国与其他国家开展数据主权方面的合作[21]。第三，面对不利的外部环境，我国应协同推进国内立法、国外管辖权反制的建设。美国的霸权主义体现在《云法案》中规定美国是否能调取境外数据以及外国是否能调取美国数据中的程序化、实体化条件差异，美国行政机关在诸多条件如外国隐私、公民自由保护情况等决定中具有极大的自由裁量权，量及当前我国面临的严峻外部环境，可以推测我国无法在隐私、公民自由保护建设情况方面获得美方认可，由此无法适用“礼让分析”，对于我国公民储存在境外数字企业的数据保护极为不利，我国应警惕美国数据管辖的双重标准，在对内完善数据保护立法和对外扩张数据管辖权及反制方面做出相应努力。由于《云法案》在性质上来说更倾向于属于实体法，缺少相应的程序法作保障，对于数据调取的时限、类型、范围等内容缺乏细化规定，启示我国在完善数据立法中既要“多管齐下”，也要关注细节性规定。第四，在美欧数字模板争相输出背景下，我国应主动联合多方，形成有影响力的自身数据主张。美国提倡的“控制者标准”在全球数据管辖标准中独树一帜，与多国国内数据立法产生冲突，我国应积极在双边、多边场合中加强磋商，争取与他国就数据管辖问题达成共识，避免陷入被动。1.2欧盟数据主权的法律保护欧盟在国际社会中享有近似于主权国家的地位和权利，其在数字治理方面也保持了高度一致，因此对欧盟仍然可采用“主权”一词来讨论其数据主权制度的构建。由于欧盟在第一轮数字竞争中未能占据有利地位，被美国、中国在内的国家赶超，因此欧盟构建数据主权制度主要以构筑单一数字市场建设，乃至推动全球数字市场建设、引领数据规则体系建设为战略目标。为此，欧盟一直致力于推动成员内部的数据自由流动，希望整合成员内部力量发展单一数字市场，即“内松”政策[22]；而与之相对，欧盟对他国获取欧盟数据进行严格管控并设有较多条件，从最初“安全港”制度中的数据保护标准到“隐私护盾”制度中的升级，再到《通用数据保护条例》（后称GDPR）中更强化的约束性规定，体现了欧盟对其内部公民个人隐私和数据主权的捍卫，即“外严”政策。美国《云法案》的通过正值欧盟致力于更强有力的数据个人隐私保护之际，法案签署成为法律两个月后，欧盟颁布了GDPR，其赋予欧盟公民对个人数据的控制权，并规定公民有权要求删除其个人数据，即使这些数据存储在不同的国家。与美国采纳“控制者标准”具有异曲同工之处的是，GDPR通过第3条第2款确立起了“效果原则”，体现了欧盟在数据管辖领域的长臂管辖。1.2.1外严内松的欧盟数据主权制度由于欧盟被视为一个类联邦实体而享有主权国家地位，其对内也构建起了统一的数据主权制度，与欧盟对外执行的严格数据管控政策相对的是欧盟内部数据的自由流动，不仅因为多项严苛的程序要求和制度设计仅被用来针对外国调取欧盟数据，甚至在立法上GDPR更是明确规定了本法中关于数据自由流动的规定只适用于欧盟成员之间数据的自由流动。欧盟的数据主权理念非常注重公民的个人数据及隐私保护。为此，在对外这一问题上，从1995年的《数据保护条例》伊始至2000年的数据“安全港”制度至2016年的“隐私护盾”制度再至《数据保护条例》的高阶替代版GDPR，每一次变更都是对数据保护制度的升级。《数据保护条例》规定数据在得到当地法律或与外国公司合同安排的保护下即可以自由传输，远远没有以后规定的那么严苛和周密，在欧盟发现美国对欧盟公民的个人数据保护不足时，随即叫停了这一安排，并在2000年与美国协商建立了数据的“安全港”制度。该制度允许美国公司或组织在遵守数据保护标准等要求后获得欧盟的个人数据，但因缺乏合适的执行机制和问责机制，同样导致对欧盟个人数据保护不力，因而被欧盟宣布以“隐私护盾”制度替代“安全港”制度。隐私护盾制度的升级之处在于对透明度和规则遵守的监督方面提出了更高的要求[23]，对美国政府获取数据的防御和透明度要求变高，构建了有效的监管机制、独立的监察专员机制以及数据保护争议解决机制和年度联合审查机制，一系列更高的要求和配套制度的细化落实了数据保护制度，也在欧盟强硬的态度中捍卫了其数据主权。尽管欧盟在第一轮数字竞争中丧失了一定优势，但其意图通过在数字规则领域形成自身模板，从而扩大影响、引领全球数字规则体系建设，因此在数字治理领域采用了和美国一样的“进攻型”战略，强化长臂管辖，使其国内法事实上成为一种“全球规则”，GDPR的出台即是最佳例证。具体而言，GDPR第3条第2款确立了欧盟数据管辖“效果原则”——即无论外国数字企业是否在欧盟境内设立机构或存储设施，只要是向欧盟境内用户提供了数据服务，或者监控了欧盟境内的个人行为，那么欧盟对于其间所产生的数据，将依据“效果原则”主张管辖权。相较于1995年的《数据保护条例》，变更后的版本适用范围扩展至所有和欧盟公民相关的数据，而不论该数据是否实际产生或存储在欧盟范围内，实质上将欧盟数据法律域外适用范围扩大，将事实上使该规则变成一种全球标准。可以看出，欧盟数据主权制度的演变对外主要围绕着数据保护展开，逐步升级并严格收紧获取欧盟数据的条件，强化了欧盟内部的数据主权。1.2.2欧盟模式对中国的启示面对美欧等大国利用国内法和自身倡议数字规则强化国际数字规则主导权的新态势，我国应继续维护现阶段数字竞争优势，着力开展相关制度建构和顶层设计，探索适合我国