《国际数字贸易中我国数据主权法律保护研究》20000字（论文）

第一章绪论第三章国际数字贸易中我国数据主权法律保护的现状第三章国际数字贸易中我国数据主权法律保护的现状3.1国际数字贸易与数据主权的关系3.1.1数据跨境流动与数据主权间的动态平衡国际数字贸易的发展领域涉及到境外社交媒介、搜索引擎等平台，其背后承载了海量数据的跨境流动，而携带信息属性的数据引发了诸如个人隐私、国家安全等讨论，数据的跨境流动使得数据在多个国家和地区都“雁过留痕”，不利于数据来源国独一、排他的控制本国数据，也造成了数据管辖混乱的局面。数据自由流动与国家数据主权的冲突由于数据的无界性被放大，使国家司法管辖权遭遇困境。一国对网络领域的治理可能造成管辖效果的外溢[25]。跨境数据往往会流经数据来源国、数据存储国、数据接收国等多个司法辖区，从而使一个数据传输行为可能受到重重管辖。而各国为了避免携带本国敏感信息的数据被他国所掌握，往往争相行使管辖权，由此产生了数据管辖权冲突。目前为了维护本国数据主权，一些国家实施了数据本地化、数据流量限制以及公开源代码和加密密钥等措施，这些措施也被称为新型数字贸易壁垒[26]，不利于数据的自由流动，给从事国际数字贸易的企业带来了风险。数据跨境流动的自由与国家捍卫数据主权的力度间不是此消彼长的关系，二者的尺度衡量考验的是国家的战略思维和对不同价值的关切，总的来说，只有保持二者间的动态平衡，才能在维护国家数据主权的同时促进数字贸易的发展。3.1.2数据跨境流动影响数据立法权行使国际数字贸易的繁荣使各国认识到了数据“蓝海”的战略重要性，各国纷纷开展数据、网络立法，目前主要形成了几种不同的数据流动规制模式，即刚性禁止流动、柔性禁止流动和本地备份流动模式[26]。三种模式背后折射的是对数据安全与数据自由流动价值理念的动态趋向。而在国际层面，现阶段在WTO框架内数字贸易规则缺位的背景下，全球尚未形成统一的规则体系，以美欧各自为首的“自由派”“保守派”以实现本国诉求为目标采用了各异的数据管辖、监管制度。尽管分属不同阵营，美欧都不约而同选择了采取“进攻型”战略，对本国立法中有关国际数字贸易与数据主权的规则赋予长臂管辖权，扩张了其数据管辖权，使这些制度事实上具有了域外效力，同时通过大量双边、多边自由贸易协议的输出而拥有了“治外法权”[27]，极大地影响、重塑了全球数据领域的发展生态，一定程度上损害了他国的数据主权。由于长期以来在WTO框架内缺位，而与之相对，数字贸易的发展如日中天，数字贸易规则无疑成为了全球新一轮经贸谈判的重点。各国均已认识到数字贸易对于拉动新一轮经济增长的重要意义，纷纷出台了自身的数字贸易战略计划和目标。美欧产生了典型的“美式模板”和“欧式模板”，通过在双边、多边自由贸易协议中嵌入自身所倡导的数字贸易规则体系从而输出自身模板，影响甚至引领着全球数字贸易规则发展走向[28]。以跨境数据流动为例，数据本地化措施被视为限制手段，被欧盟、中国、俄罗斯等国家出于国家安全、个人隐私等原因而实施，而美国注重数据的自由流动，认为本地化是阻碍数据自由的最大因素，影响了数字贸易的发展。因此美国政府从TPP、TTIP、TISA出发，三个层次推进领域规则谈判，同时促进区域和次多边数字贸易规则构建[29]。在规则谈判中，大力推行、输出自身的“数据自由”主张，如2012年落成的《美国与韩国自由贸易协定》中指出应尽力避免对跨境数据流动实施非必要阻碍[30]。美国凭借这种方式在USMCA、TPP、TTIP等多个区域自由贸易协定中占据优势，并意图逐步以区域化态势包围他国，使WTO框架下全球数字贸易规则无限趋同于“美国规则”，最终他国本土立法中关于数据保护的本地化措施因与该规则冲突而不得不废弃，严重损害了其他主权国家的数据立法权。3.2我国现行立法中的数据主权保护制度数据主权体现在我国不同时期的立法中分别表现为互联网主权、信息主权、网络空间主权，2015年7月《国家安全法》通过，并首次提出了网络空间主权的概念，同年8月，“数据主权”作为全新的术语首次出现在国务院文件中[31]。然而，截至目前，我国尚未建立起完善、配套的数据主权制度，现行立法也基本以治理网络空间，捍卫网络空间主权等规则为主。尽管尚未在立法中明确提出并建立数据主权制度，以《网络安全法》为核心的新时期立法却在对网络空间主权、数据立法权、数据控制权、数据本地化储存和个人信息保护等法律制度的描绘中勾勒了我国数据主权保护制度的雏形。《网络安全法》确定了网络空间主权原则，开篇即确定了“维护网络空间主权”为本法的立法宗旨，尽管名义不同，但“网络空间主权”与“数据主权”内核大致相同，维护网络空间主权的宗旨体现了在大数据时代与国际数字贸易发展的双重背景下，国家对本国数据进行保护、管理、控制的决心。《网络安全法》的颁布同时表明我国作为主权国家独立行使数据立法权，在结合我国国情和自身发展道路的基础上对美欧先进制度加以完善形成了有中国特色的新制度，突出了我国的数据主权保护，也便于在执法中真正使《网络安全法》得以贯彻落实。如《网络安全法》中第三十七条规定了跨境数据转移应采取了原则上境内存储，例外安全评估的方式。首先，该条中“安全评估”为明确用语，但其实并未具体阐明含义，究竟是“国家安全”、“产业安全”抑或是“个人数据安全”，还是三者综合考虑不得而知；且安全评估方法是视网信部门和国务院相关部门具体制定情况而采纳的。看似模糊的用语背后体现了平衡用户个人利益、产业利益和国家安全利益的思想，在国际数字贸易与数据主权规则不断变化的国际形势下为我国提供了监管跨境数据流动的灵活法律依据，符合我国现阶段的实际情况，也为未来立法留有充分余地[32]。数据立法权的行使还体现在我国首次在该法中以立法的形式明确了国家主权范围内的关键信息基础设施,第三十一条划定了其范围，第三十七条对个人信息和重要数据本地化存储立法,首次在我国立法中确立了关于境外获取我国国内数据的要求及限制、程序，我国对关键信息基础设施重要数据的储存要求及安全评估制度体现了我国在数据管辖中坚持“属地管辖”即存储地管辖原则[33]，是国家在主权的合理延伸下对“数据主权”的行使，由此建立起了关键信息基础设施数据安全保护法律机制，加强了对数据跨境流动的控制和管辖。根据本文数据主权定义，数据主权包含了数据立法权与数据控制权。国家不仅有权对其境内的重要数据、关键信息基础设施等行使排他的管理、控制权，也可依法对境外个人或组织非法调取我国境内重要数据以及构成网络犯罪的行为行使司法管辖权，即具有数据控制权。《网络安全法》第七十五条指出对境外个人或者组织危害我国境内关键信息基础设施的行为进行惩戒，厘清了我国享有的司法管辖权，维护了我国数据主权。《网络安全法》的亮点之一在于其对公民个人信息保护法律制度的完善，该法总结了以前零散出现在法律法规或部门规章中有关个人数据保护的规定，事实上，尽管在此以前我国已从法律层面初步建立起了个人数据保护机制，但具体规则仍不够全面，不具有可操作性，且未对数据跨境流动（包括个人重要数据跨境流动）做出过规制。因此，该法在总结以往对个人数据国内保护规定外，完善了个人信息保护规则，确立了合法、正当、必要原则等[34]，在借鉴欧盟“被遗忘权”基础上确立了个人对信息的删除权和更正权制度，同时对个人重要数据的跨境流动也予以相应限制，体现出我国注重保护公民个人隐私与数据安全保护的价值趋向，在向欧盟数据主权立法模式靠拢的同时保留了我国特色。《网络安全法》的出台以基本法的形式对数据立法相关问题做出了初步统领性规定，而在我国多个其他领域及行业的法律法规、管理条例、规定中则对具体领域涉及的数据存储、传输等问题明确了细化要求。如《国土资源数据管理暂行办法》第十条、二十一条分别明确了数据的汇交制度、备份制度。《征信业管理条例》第二十四条指出征信数据的存储、加工，都应在我国境内进行，对数据备份进行了严格规定。《网络出版服务管理规定》更是直接针对“数据本地化”中的“设备本地化”做出规定，体现了我国数据主权保护的严格管控。3.3我国数据主权法律保护的主要问题尽管以《网络安全法》为主的法律法规初步构建起了一系列数据主权规则，也推进了数据安全制度建设，但目前我国数据主权保护方面还存在一些亟待解决的问题，如我国数据主权在规则总体设计方面没有形成清晰的规制思路和构建起完整的规制框架、立法体系中的缺位与规则、概念的模糊化、对长臂管辖规制不足等。为此，我国应汲取美国、欧盟的先进经验，不断完善数据主权规则，构建符合我国国情和发展利益的数据主权制度。3.3.1立法不够健全首先，在规则顶层设计层面，没有形成清晰完整的规制思路，导致中国数据主权在立法中的缺位。在《网络安全法》中规定了网络空间主权制度，在《数据安全法（草案）》中更是直接提出了“数据安全”概念，但暂时还没有在立法文件中明确提出“数据主权”的概念。《网络安全法》中主要提出构建中国网络空间主权制度，且该法目前只细化了关键信息基础设施的规定，对数据的产生、传输行为以及数据控制者并没有明确规定，表明现在网络边界尚未明晰，因此数据主权的范围也并未厘清，处于我国法律的“真空”地带。除了“数据主权”地位和概念不明外，对国家数据和个人数据的监管规则不同，差异化保护国家数据而忽视个人数据也是《网络安全法》和《数据安全法（草案）》所暴露出的问题。《网络安全法》中只明确了“关键信息基础设施”的范围，《数据安全法（草案）》为保护国家重要数据而建立分级分类制度、数据安全风险评估、报告、信息共享、监测预警机制和数据安全审查制度。从“关键信息基础设施”的规则适用范围来看，其覆盖面非常广泛，且都是公共领域，并未将商业领域包含在内，对于商业领域内的个人数据被非法泄露和收集、传播至境外，则缺乏规制手段，因此商业主体存储的个人数据难以获得有效保护[35]。对该法中提出的限制我国数据流向境外的措施即安全评估制度，目前配套的《个人信息和重要数据出境安全评估办法》一直在征求意见稿阶段，对于安全评估制度的设计和实施具有不确定性，总体上缺乏数据跨境流动的安全评估机制安排。3.3.2长臂管辖尚未建立无论是美国的《云法案》还是欧盟的《通用数据保护条例》都存在扩张本国数据管辖权之嫌疑，意图将国内法效力扩展至域外，使国内规则实际上成为“全球规则”。长臂管辖在允许一国跨越地域上的国界限制获取境外数据的同时，也将该国的法律效力扩展至了域外，极有可能引发不同法律间的冲突，不仅为从事国际数字贸易的企业带来“合规困境”，必然面临一方的违规与法律上的惩戒，同时也会造成与他国关于数据管辖权和执法权的冲突，有损于他国的数据主权[36]。如美国通过《云法案》确立的“控制者标准”，由于美国在全球数字领域拥有众多巨头，其掌握着全球多个国家和地区海量数据，其中不乏公民个人重要数据和涉及国家安全的重要数据，若美国执意以“控制者标准”要求美国数字企业，则该部分企业极有可能迫于美国强大的制裁和高额罚金压力从而交出其掌握的境外数据，该行为不仅威胁国家安全，同时可能与他国立法中明确的“本地化措施”如我国《网络安全法》所确立的“存储地主义＋安全评估制度”相严重冲突，尽管可以利用法律对相应行为进行处罚，但对法律的权威性与主权国家数据主权的维护都会造成极大损害。由于我国长期以来奉行“防守型”的数据主权战略，在立法中尊重他国数据主权，只注重对本国数据主权的维护，甚至在《网络安全法》中只对在我国境内产生、流动的数据加以管控，而对在外国存储的我国数据缺乏监管，这种情况不利于全面保护我国的数据安全，因此亟需通过立法形式改变一直缺乏的对长臂管辖的阻断，同时我国也应在适当场景中扩大本国立法的适用范围，适度扩张数据管辖权。3.3.3国际合作和互信机制缺乏在数据主权方面，目前我国尚未建立起完善的国际合作机制和互信机制，也没有在数字领域利用自身竞争优势和“一带一路”红利推动建立我国数据主权制度的新规则，导致在目前美欧模板竞相输出的背景下我国处于被动局面，不得不接受美欧提出的规则。在双边、多边自由贸易协定中，其中涉及到电子商务、数据保护等内容的少之又少，仅有的与韩国、澳大利亚之间的自由贸易协定也因规定过于笼统化、原则化而缺乏实际操作性，各方对跨境数据流动的问题更是未能达成共识。与之相对比的是，近年来越来越多国家在双边谈判中有意识地嵌入自身关于跨境数据流动问题的主张，如美欧之间达成的《安全港协议》、《隐私护盾协议》，以及欧盟与智利、韩国、加拿大等国在达成的自由贸易协定中对数据保护和数据流动设置专章予以规制。而在国际合作方面我国也与他国缺乏互信合作机制[37]，不仅缺乏与重要贸易伙伴国关于跨境数据流通的认证标准、协定，在个人数据保护等问题上更是与欧盟等存在较大差距，削弱了实现相互认证的基础，未能为我国从事数字贸易的企业拓展业务范围提供有力支持。第四章国际数字贸易中我国数据主权保护的立法构建4.1系统化构建数据主权制度在数据保护和数据主权立法成为普遍趋势的背景下，我国应加快专门性的数据保护立法进程，单独出台《数据保护法》或《数据主权法》。现阶段我国数据主权法制建设处于起步阶段，制度框架虽初步构建，但仍有较多可完善之处，如可以从理论入手，区分数据主权、信息主权等概念差异，明确跨境数据流动的边界和数据流动过程中的义务主体及每个阶段的责任后果，明确不同法的适用关系，结合数据和数据主权的内涵来实现。同时由于现阶段我国关于数据领域的立法呈现分散化状态，位阶较低，而数量较多，因此应在制定、出台新法的过程中注意与旧法之间的衔接，避免造成法律规则之间的冲突。同时，在下一步立法中应当明确专门的数据保护监管机构和安全评估审查机构，现有的《网络安全法》、《数据安全法（草案）》中指出应建立配套的数据保护监管机构和安全评估审查机构，但目前在组织机构方面，尚未明确相关部门机构权责划分，对于机构的运行程序、评估标准更是模糊化处理。美国的商务部和联邦贸易委员会作为数据保护机构对跨境数据流动进行监管，欧盟委员会负责第三国数据保护标准的评估、审查，我国也可以在借鉴这些经验的基础上设置专门的数据监管机构，明确、完善我国的数据评估标准，从而系统化地构建我国数据主权制度。尽管美国采用了双重标准的数据保护制度，但其通过立法实现数据主权保护制度的完备性值得我国借鉴，其中数据分类制度即是例证。现阶段我国虽对数据的管辖、调取进行了初步规定，但在强调数据保护的同时却忽视了用户隐私的保护价值，我国立法并未对数据的隐私属性和重要程度进行相应分类，直接导致执法层面的无序与混乱，执法机关假借“维护数据主权”之名行“侵犯用户隐私”之实。在立法中明确境内数据分类，既使从事国际数字贸易的企业拥有了法律的确定“背书”，也促使执法机关效率提升，从而更有效管控境内重要数据，实现维护国家数据主权的目的。4.2建立健全长臂管辖制度欧盟和美国的长臂管辖对我国的管辖权、执法权造成威胁，损害了我国数据主权，因此在后续立法和执法中有必要阻断欧美的长臂管辖。一方面，在立法理念上，坚持“存储地模式”，将虚拟空间附着于物理空间，以传统属地原则确定管辖边界，可以有力的约束他国的域外管辖权。同时，可以借鉴“原则+例外”模式，设置一定例外情况如数据存储在外国而为了公共利益必须由该国管控等。另一方面，由于日前《阻断外国法律与措施不当域外适用办法》已发布，作为我国的“反长臂管辖法”而言，该法的立法目的主要在于为我国搭建应对外国滥用经济制裁的法律框架制度，其中第二条界定了适用范围，根据该法规定的适用范围可以推知，当美国或欧盟不当阻滞其公民、法人或其他组织与我国数字贸易企业进行正常经贸往来时，我国企业可以凭借该法予以“反制”，阻断其长臂管辖。目前，我国针对数据境内存储的要求主要集中于地图数据、征信数据、个人金融信息数据、人口健康信息数据等[38]，对于境内重要数据和境外存储的我国数据的管控、保护程度有待加强。在未来，我国可以在尊重他国数据主权的基础上根据具体场景适当扩大“长臂管辖”的适用范围，制定更为系统化的数据主权框架，为重要数据合法出境及域外重要数据管控完善政策环境，构建完善跨境数据流动的管辖体系，如在现阶段我国相关机构要求境内存储的数据种类上进行适度扩张，效仿欧盟GDPR“效果原则”立法路径，如以“向我国境内用户提供数据服务”，或者“监控我国境内的个人行为”作为管辖标准。4.3推动数据主权国际合作治理尽管美欧目前事实上主导了国际数字领域规则体系的构建，但由于美欧之间关于跨境数据流动规则的态度存在差异，双方的数据管辖权扩张后存在明显冲突，短期内无法达成共识，无法形成相互协调的数据主权规则体系。同时在中美关系恶化的背景下，我国几无可能成为《云法案》中可以满足美国要求的“隐私和人权制度建设情况”的国家，从而无法与美国达成互信、互认、互通，基于我国数字贸易发展现状及我国面临的国际环境恶化等因素，我国应积极利用其他双边、多边自由贸易协定和其他谈判场合与他国达成合作，促进互信机制的建成。因此，我国应抓住契机，积极提出自身主张，以双边、区域、多边自由贸易协定为主，利用谈判机会将我国提案嵌入协定中，以获得有关国家支持，从而提升我国数字治理领域的影响力。考虑到现阶段“一带一路”沿线国家间“软联通”往来密切，我国应积极利用并推动一带一路合作框架下数字议题的讨论与合作，促进数字互联互通和数据主权领域的互信，共同构筑数字空间命运共同体。同时，WTO仍是全球规则的制定者、引领者，由于WTO框架下数字治理有关议题缺位，各国都在积极提交自身议案，我国应利用自身在数字经济中的规模优势特别是在电子商务领域的优势，明确在“数据自由”与“数据保护”中的价值选边，抓住WTO启动电子商务议题谈判的契机，提交符合我国国情和发展道路的提案[39]，适时展线“中国主张”，积极参与有关电子商务、跨境数据流动与数字贸易等相关议题国际规则的共商共建，为全球规则体系的建成与完善贡献中国智慧。第五章结论电子科技大学学士学位论文第五章结论数字贸易是以数据为标的，提供数字化服务或内容的新兴商业模式，数字贸易中大规模数据的流动催生了国家层面对数据流动以及数据归属的重视，因此数据主权问题成为数字贸易中不得不面对的话题。数据主权是大数据时代以及数字贸易蓬勃发展背景下的产物，国家主权因为数据的流动性而突破了传统领域的范畴，进一步拓展至“领网”，因而产生了数据主权的概念，这体现出了国家主权在新时代下的新发展。由于被赋予了“主权”性质，数据主权的战略重要性不言而喻，尽管没有直接以“数据主权”命名的法律文件出现，多个国家和地区都对其所涉问题进行了专门立法，如美国颁布了《云法案》，欧盟颁布了《通用数据保护条例》，同时，与数据跨境流动规制、数据本地化措施、数据管辖权等相关的数字规则在双边、多边自由贸易协议中被反复提及，但由于涉及各国主权领域，国际社会难以在短时间内达成共识。我国也将数据主权视为“重要战略资源”，通过《网络安全法》等立法加以保护，然而由于我国数字贸易发展起步较晚，我国对应法制体系发展较为滞后等问题，在法制制度方面，我国仍未建立健全完整的法制体系，尚未建成基础性的数据主权法律保护制度。但我国作为数字贸易发展大国，正面临着数据流动性增强、外国数据管辖权日渐扩张等难题。因此，我国更应当把握机遇顺应时代潮流，加速推动关于数据主权的制度建构历程。一方面，我国应当完善制度体系，制定基本法律制度，并在已经制定的《网络安全法》、《数据安全法（草案）》中具有模糊性的规则部分进行灵活解释，或在后续立法中突出数据主权的内容；另一方面关于落成相关实施、监督机制的工作也应稳步推进。基于数据的流动属性，数据主权问题不再只是一个单一的主权国家范围内的问题，而演变成了“全球问题”，只有进一步加强国际合作，协调互信机制，才能使数据主权相关问题的解决更有效，且避免多国的“无效管辖”，才能不使我国面临世界数字强国的包围态势。未来，我国在网络信息领域将面临着诸多数据强国的竞争和挑战，在未来的博弈中，如何有效保护本国数据主权，进而维持本国在全球数据领域地位，是将学术研究、有关立法转化为本国数字战略的出发点和重心，学界还需对这些问题进行更深入的探讨。参考文献齐爱民.信息法原论——信息法的产生于体系化[M].武汉：武汉大学出版社,2010.LeeAB,JonB.Internetgovernance:InfrastructureandInstitutions[M].NewYork:OxfordUniversityPress.2009KristinaIrion.EULawonCross-BorderFlowsofPersonalDatainaGlobalPerspective[J].JournalofLaw&EconomicRagulation,2018,11(2)Franzese,PatrickW.SOVEREIGNTYINCYBERSPACE:CANITEXIST?[J].TheAirForceLawReview,2009,64程卫东.跨境数据流动对国家主权的影响与对策[J].法学杂志,1998(02):23-24杨泽伟.国际法上的国家主权与国际干涉[J].法学研究,2001(04):144-153孔笑微.全球化进程中的信息主权[J].国际论坛,2000(05):13-17齐爱民,盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报(哲学社会科学版),2015,36(01):64-70+191张晓君.数据主权规则建设的模式与借鉴——兼论中国数据主权的规则构建[J].现代法学,2020,42(06):136-149李忠民,周维颖,田仲他.数字贸易:发展态势、影响及对策[J].国际经济评论,2014(06):131-144+8伊万·沙拉法诺夫,白树强.WTO视角下数字产品贸易合作机制研究——基于数字贸易发展现状及壁垒研究[J].国际贸易问题,2018(02):149-163周念利,陈寰琦,黄建伟.全球数字贸易规制体系构建的中美博弈分析[J].亚太经济,2017(04):37-45+173-174章成.国家主权的概念建构与行使实效经纬:张力下的发展与创新[J].西北工业大学学报(社会科学版),2014,34(01):27-32任明艳.互联网背景下国家信息主权问题研究[J].河北法学,2007(06):71-74+94汪映天.国家数据主权的法律研究[D].辽宁大学,2019周梦迪.美国CLOUD法案:全球数据管辖新“铁幕”[J].国际经济法学刊,2021(01):14-24洪延青.美国快速通过CLOUD法案明确数据主权战略[J].中国信息安全,2018(04):33-35郑琳.美国《澄清海外合法使用数据法》及其影响与启示[J].现代情报,2021,41(01):130-136黄海瑛,何梦婷.基于CLOUD法案的美国数据主权战略解读[J].信息资源管理学报,2019,9(02):34-45UnitedStatesCongress.H.R.4943-CLOUDAct[EB/OL]./bill/115th-congres