3.4       数据主权 

 

主权即国家主权，是一个国家对其管辖区域所拥有的至高无上的、排他性的*，是国家最主要、最基本的权利。主权作为国家的固有权利，表现为3个方面：对内的最高权、对外的独立权和防止侵略的自卫权。领土主权是指国家在其领土范围内享有的最高的、排他的权利，包含所有权和管辖权两方面的内容。其中管辖权是指国家对在其领土范围内的一切人、物（包括领土本身）和发生的事件进行管辖的权力。

数据是人、物和发生的事件在网络空间中的记录，理应受领土主权的管辖权管理。因此，数据主权是领土主权的组成部分，是国家主权的一种呈现。数据主权一般指在一国范围内产生的数据，其跨境传输、加工和消除的全过程均按照该国的法律法规进行。

 

3.4.1         国家数据安全

 

数据和土地、能源一样具有很高的价值，是一个国家的新型基础性资源。数据的运用对经济发展、社会治理、人民生活都产生了重大而深刻的影响，这意味着任何主体对数据的非法干预都可能构成对国家核心利益的侵害。数据安全已成为事关国家安全与经济社会发展的重大问题，制定数据安全法被列入了第十三届全国人民代表大会常务委员会的立法规划和年度立法工作计划中。

《*数据安全法（草案）》2020年 6月 28日提请十三届全国人民代表大会常务委员会第二十次会议初次审议。草案主要内容包括以下几方面。

•  一是，按照总体国家安全观的要求，确立数据安全保护管理各项基本制度，提升国家数据安全保障能力，有效应对数据这一非传统领域的国家安全风险与挑战，切实维护国家主权、安全和发展利益。

•  二是，坚持安全与发展并重，规定支持、促进数据安全与发展的措施，提升数据安全治理和数据开发利用的水平，促进以数据为关键要素的数字经济的发展。

•  三是，立足数据安全工作实际，着力解决数据安全领域的突出问题，落实数据活动主体的安全保护义务与责任，切实维护公民、组织的合法权益。

•  四是，适应电子政务发展的需要，建立政务数据安全管理制度和开放利用规则，大力推进政务数据资源开放和开发利用。

从草案内容可以看到，国家数据安全与切实维护国家主权、安全和发展利益密切相关。 

事实上，各个国家都面临着数据安全问题，由于国家之间在技术能力上的差异，不同国家采取了不同的数据主权保护方式。

北约网络战指导文件《塔林文件》指出：网络时代的“主权”就是主权国家对位于本国领土上的网络设备和网络基础设施有排他性处分的权力，对于设备行使主权，并由此获得对存储在“设备”中的“数据”的处分权力，从而实现“数据主权”。

显然，这个规制有利于技术先进的国家。于是出现了“数据越来越向发达国家集中”的状况：发展中国家的用户是数据的主要提供者，发达国家的公司则是设备的主要提供者，而这些存储着发展中国家数据的设备又在客观上处于发达国家的地理疆界范围内。这也是美国强调“信息*流动”的原因之一。试想一下，如果一个国家的经济社会活动的各类数据被存储在他国、受他国管辖，这个国家将没有安全可言。因此，保卫国家数据安全是保卫国家安全的重要组成部分，推广“数据主权”不仅是在保护中国，也是在保护所有发展中国家。

 

3.4.2         数据跨境流动

 

数据跨境是指数据跨越一个国家的地理边境，包括：通过数据的物理载体（便携式电脑、移动硬盘、U盘等）将数据携带出境/入境；通过互联网直接将数据传输出境/入境；通过专门的通信卫星将数据传输出境/入境。

跨境的数据有两大类。

•  第一类数据跨境是国家之间的各种跨境业务行为导致的数据跨境，包括个人旅游或访问、健康医疗活动、银行支付、物流、金融市场、跨国公司日常运营、科学研究活动、全球变化应对等。这类数据跨境的特点一般是日常性的、小规模的，在互联网出现之前就存在了，例如，始于 20 世纪 60 年代末的电子数据交换（EDI），互联网出现以后，这类数据跨境随着全球交流和全球产业链的发展而迅速发展。截断这类数据的跨境流动会严重阻碍经济发展。

•  第二类数据跨境是不涉及跨境交流行为的纯粹的数据跨境，即一个数据集的出境/入境，包括跨国企业数据中心迁移、中立国数据备份、商业数据资源交易交换、跨国数据采集、携带物理设备出境。这类数据跨境是非经常性的、大规模的，可以考虑在边境进行审查。需要注意的是，技术上这类数据跨境可以伪装成第一类数据跨境。

 

在全球化的大趋势下，从国界上物理硬性截断数据流动是一个逆全球化的行为，显然是不合适的。简单看一下 EDI系统下产业链的运行，如果经贸活动是跨境的，那么其数据交换就是跨境的。在EDI体系中，A国家的一个工厂通过计算机通信网络收到来自B国家用户的一笔 EDI订货单，工厂的 EDI系统随即检查订货单，并决定接收订货，然后向用户回送确认信息。工厂的 EDI系统根据订货单的要求安排生产，同时向K个国家的零部件和配套设备厂商发出 EDI订货单；向铁路、海运、航空等部门预订车辆、舱位和集装箱；以 EDI方式与保险公司和海关联系，申请保险手续和办理出口手续；向用户开 EDI发票；同银行以 EDI方式结算账目；等等。全部过程都由计算机自动完成。特别提醒一下，在互联网出现之前，EDI系统就在全球产业链上运行了，EDI也是跨国公司运行的基础支撑。

不难看到，产业链上的任何一个国家如果截断了 EDI数据交换，这条产业链就不能运行了。跨境数据流动问题在 EDI体系运行以来就存在了，差不多有 50年历史了。从德国黑森州 20 世纪 70 年代相关规制设立后，欧洲地区已经进行了一系列的针对数据保护、隐私保护和跨境数据流动的机制性探索。欧盟为构建全球数据跨境治理的框架提供了极具参考价值的蓝本与标准。美国虽然强调数据*跨境，但不意味着美国对数据跨境完全放任。事实上，美国十分强调对跨境数据流动的控制，例如，美国现在实施的在出入境闸口审查笔记本电脑和手机的规定就是对跨境数据的管控。中国在跨境数据流动治理方面起步相对较晚，对数据保护的规制体系还比较松散，总体思路和做法都是以对外防御为主，希望保护自身的数据主权。对于数据跨境，在战略上必须要有主权意识，在战术上则需要根据经济社会和技术的发展状况灵活把握。