美欧俄数据主权交锋：全球化vs本地化

5月20日，全国政协十三届三次会议新闻发布会上，大会新闻发言人郭卫民指出，大数据、人工智能、5G技术在抗击疫情中发挥了重要作用，为复工复产提供了有力支撑。5月18日，中国通信学会副理事长张延川在“推进大数据发展高级别研讨会”中提出，数据已经成为各国的基础性战略资源，并建议从数据市场化交易、数据安全保护、数据技术创新三个方面推动通信大数据发展。可见，在大数据时代，数据不仅是经济发展的推动力，更是衡量国家治理能力的标杆，成为了各国战略博弈的新焦点。在数据主权交锋日益激烈的今天，我国应坚定保护国家数据主权，并推动国际协商与合作，引领大数据朝向更安全、更高效、更公平的方向发展。

一、数据主权是国家主权的最新演化，相对主权而言更受对象国限制。

主权是一个国家最基本的合法性来源。随着大数据时代的到来，网络空间成为了继陆地、海洋、天空、外太空之后人类活动的“第五空间”，国家主权的范围也延伸到这一领域，其中最核心的部分就是数据主权。数据本身蕴含着丰富的资源，世界各国在互联网时代都需要从全球范围内自由流动的数据中获取经济、政治、社会等方面的收益。然而，各国也都共同面临着数据安全和隐私保护的问题，同时还存在着国家在技术能力上的不平衡现象，因此采取了不同的数据主权保护方式。

数据主权通过国家主权进一步演化而来，却更加受对象国限制。数据主权指的是在一国范围内产生的数据，其跨境传输、加工和消除的全过程均按照该国的法律法规进行。因此，即使数据在境外的服务器或云端中，仍然不会被任意存储和使用。这就意味着，数据主权不可能由一个国家独立实现，必须依赖国家之间的协商与合作，确保数据跨境流动在相关各方都同意的某种规制下进行。就目前而言，最关键的问题在于各国之间对于数据主权的定义和标准要求不一，具体体现为各国对跨境数据流动的管制不同。关于跨境数据的管制，大体形成了两种趋势：以美国为代表的“全球化”趋势，主张尽可能减少数据流动在全球范围内的壁垒；以欧盟、俄罗斯等为代表的“本地化”趋势，则要求数据在不同程度上归属于本地区的管辖范围。

二、美国一直提倡数据在全球范围内自由流动，旨在在网络空间获取更大利益以维持先发优势。

美国是互联网的诞生地，其经济科技实力也处于世界领先地位，谷歌、微软、脸书、推特、苹果、亚马逊等等大型跨国公司基本已经覆盖到全球的数据流动。对于美国企业而言，数据就意味着利润，在全球范围内获取尽可能多的数据已经是现代跨国企业，特别是互联网企业，获利的重要手段。因此，消除数据跨境流动的壁垒会为美国带来显著的商业利益。但值得注意的是，在涉及到国家安全的网络空间领域，美国对本国政府和外国政府的规定则体现出明显的“双重标准”。根据2001年颁布的《美国爱国者法案（USA PATRIOT ACT）》，美国的远程电子服务和信息通讯服务提供商可以直接获取国内外的通讯记录，包括语言和文字，并将其披露给美国政府。而对于外国的信息搜集机构，则以“防范恐怖主义”为由设置了种种限制。2018年美国国会通过了《澄清境外合法使用数据法（Clarifying Lawful Overseas Use of Data Act，简称CLOUD）》，对从国外调取美国数据的情况做了十分严苛的规定，要求外国政府在国内法的基础上，对调取数据的行为作出合理解释，同时要经过美国法院的审查，才能以最小化原则处理数据，之后还要定期审查。而对于美国政府调取境外数据的规定则宽松许多，允许美国在境外的通信服务供应商按照该法案披露电子通讯数据。同时还赋予了美国法院巨大的裁量权，其中明确提出，若收到外国政府的起诉，法院也要保护本国的通信服务商，不能向国外政府提供相关的信息。但对于本国的国防部，则要求法院在“善意信任”的基础上行事。

不难看出，美国鼓吹的数据流动“全球化”实质是霸权扩张在网络空间的体现。所谓的“全球化”不过是借助“自由”这一价值大旗占领道德高地，让全球的数据都流动到美国境内，在全球范围内尽可能攫取利益，为美国政府所用，推动本国的数据产业发展，然后再凭借其强大的跨国企业和通讯技术进一步获取全球数据，如此反复循环。

三、俄罗斯强烈推行数据主权“本地化”，典型表现就是对于跨境数据做出了严格的本地化存储规制。

自2006年，俄罗斯就着手建立数据保护制度，颁布了《关于信息、信息技术和信息保护法》和《联邦个人数据法》两部重要的法律，要求其公民的数据存储、更新和使用只能在俄罗斯境内的数据资源中心进行。2013年“棱镜门”事件披露后，俄罗斯开始进一步加强对跨境数据流动的治理。2014年修改了《关于信息、信息技术和信息保护法》，要求互联网信息传播运营者需要在产生、传播和处理的数据6个月内，将相关数据和主体信息存储到俄罗斯境内，包括文字、语音、图像等信息。同年还出台了《个人信息保护法》，并于2016年生效，规定了本国或外国公司在处理有关俄罗斯公民个人信息相关的数据时，其收集、处理存储过程必须在俄罗斯境内的服务器上进行。

在通信世界网的统计中，俄罗斯多次成为全球网络安全风险最高的国家，总统办公厅、国家杜马、联邦委员会等网站长期遭受大量的网络攻击。这也导致俄罗斯对于网络安全极度重视，再加之俄罗斯对美国全球监控计划的强烈担忧，因而对国家数据主权的保护意识非常强烈，本地化存储成为俄罗斯数据管辖的一大显著特征。

四、对于欧盟而言，数据主权主要体现为对个人数据权利保护。

欧洲在个人数据的保护方面处于世界前列，目前已经形成较为完善的数据治理体系，同样显示出“本地化”管制倾向。早在1980年9月经济合作与发展组织（OECD）就出台了《经济合作与发展组织关于隐私保护与个人数据跨境流动的指导方针（OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）》，是全球范围内第一个关于隐私规制和数据流动的国际性框架。目前欧盟在数据管辖方面主要以2018年颁布的《通用数据保护条例（General Data Protection Regulation, 简称GDPR）》为基准。该法案将个人信息保护看作一项基本权利，以合法性、公平性、透明性处理个人数据，同时要征得数据主体同意，赋予数据主体访问权、更正权、被遗忘权、限制处理权、反对权、拒绝权等权利。

与俄罗斯强调数据的存储本地化有所不同，欧盟跨境数据治理的特点在于管辖的本地化，主要体现在其“充分性认定”和“充分性保障”两大机制上。欧盟委员会根据国家个人信息保护程度等因素，来确认第三国及其相关的行业能否充分保护数据安全。只有通过了欧盟判定的“白名单”，才能获准相关数据的跨境流动。若没有获取上述“充分性认定”，则必须提供“适当保障”才可以向第三国或国际组织传输个人数据。这些“适当保障”包括政府间制定的有法律约束力的文件、数据处理者做出的有强制执行力的承诺等。

围绕数据主权，美国以“全球化”为特征的网络霸权扩张，和以欧盟、俄罗斯为代表的其他国家的“本地化”保护形成对抗交锋。即便是同一阵营中的国家，各国对于数据主权的理解也不一而足，保护的方式和标准各有千秋。然而，数据的流动路径十分复杂，往往在不经意中便会途经若干个国家。要想真正实现对数据主权的保护，各国必须共同探寻能够被普遍认同和接受的数据规制模式。对于我国而言，坚持数据主权第一要务是维护国家安全。“棱镜门”等事件揭示了霸权国家任意窃取他国数据的行径，网络空间中各国的国家安全和公民权利仍面临较大的威胁。因此，我国应推动各国之间的交流合作，对于数据主权的内涵和外延达成国际共识，同时尝试开发数据“本地化”的合作治理模式，共同应对网络霸权威胁。

（作者：高瑜，复旦大学国际关系与公共事务学院硕士研究生。本文仅代表作者个人观点，与北京大学区域与国别研究院立场无关，文责自负。引用、转载请标明作者信息及文章出处。）