当今人类正在经历向以网络、大数据、人工智能为代表的新信息时代的转型。数据成为新信息时代的核心要素,也成为国家治理中最为重要的基础之一。在此背景下,基于数据的治理是作为国家治理现代化的核心基础。同时数据主权与数据跨境流通之间的冲突也是当今时代需要面对的重大问题。
一、数据治理
(一)数据治理的定位
法学意义上数据治理定义并不十分清晰。有学者将数据治理分为两种,一种是对数字的治理(governance of data),一种是基于数字的治理 (governance based on data)。前者指的是实现对全社会越来越庞大的数据的有效管理与组织,后者则是利用数字实现全社会有效的组织与运行。(何哲,2019)
1.第一种定位:对数字的治理(governance of data)
提升数据治理能力将有助于提高我国数据开放水平,两者相辅相成相互促进。(张彬、彭书桢、金知烨、隋雨佳、谷宁,2019)数据是创新的催化剂,而数据治理是保证数据质量的关键,而数据价值则来自得到有效管理、高质量的数据。也就是说,数据治理是最大化数据的衍生价值的基础,是科技创新、社会经济发展的关键。取得相关、实时、一致、可靠和准确的数据是实现数据治理的必然要素。狭义来说,数据治理是一个对角色、功能和程序进行了制式化,可以很好地管理组织数据并将其作为战略资产的框架。(Barbara L. Cohn,2015)
2.第二种定位:基于数字的治理 (governance based on data)
与传统公共治理模式对公民需求不敏锐、决策效率低下等特点相比,大数据治理带来了前所未有的机遇。越来越充分的社会数据促使政府决策重心得以下沉,有更多机会和渠道真正了解公民的需求。(付宇程,2019)
(二)数据治理的原则
此处的数据治理实际上是前述第一种定位,即对数字的治理(governance of data)。国内外与数据治理相关的法学论文甚少,可能主要因为数据治理是较为笼统的概念。数据的治理方式取决于数据种类和重要程度。国家数据(政府数据)、企业数据和个人数据,在不同程度重叠交错,对于大数据的管理研究大多集中在技术层面。以下分国家数据、企业数据与个人数据三类进行综述。
1.国家数据治理
在国家数据治理层面,则需要构建新的宏观架构,既能统筹管理运作国家所有重要数据,同时也要避免形成新的权力超级部门,避免阻碍数据的安全性、可靠性并支持实际治理机构的运作。(何哲,2019)
2.企业数据治理
企业数据治理应当从法律、管理、技术三个角度,建立起一套全面的、以法律为依据、以管理为核心、以技术为支撑的数据安全合规治理体系。(黄道丽、胡文华、大阿来,2018)数据治理应流程化和协议制度化,相关组织可以利用这些流程和协议来挖掘其数据的价值,进而推进业务目标。因此,流程和协议在支持组织作出决策过程中的重要性不可低估。(Barbara L.Cohn,2015)
3.个人数据治理
数据治理,尤其是个人数据的治理结构,必须考虑实施环节的激励相容机制实现问题,使实施部门对立法目的和基本制度构造有非常清晰的整体认识,并处理好不同维度之间的关系。(周汉华,2017)
二、数据主权
信息技术和互联网的发展冲击了传统的主权观念,随着信息流动加速和网络安全风险的不断凸显,以及云计算和大数据的发展,进一步催生“网络主权”完成至“数据主权”的嬗变。各主权国家对数据资源的价值与意义已经形成共识,新一轮的大国竞争焦点已转向了通过大数据资源增强对世界局势的影响力和主导权,国家间围绕数据所有权和利用的博弈愈演愈烈,各国的数据主权治理实践也越来越凸显出其重要性。
(一)数据主权的定位
学术界尚未对“数据主权”提出统一的定义。(黄海瑛、何梦婷,2019)齐爱民与祝高峰认为国家数据主权指的是一个国家对本国数据享有的最高排他权利,即独立自主占有、处理和管理本国数据并排除他国和其他组织干预的国家最高权力。数据与国家存亡关系密切,是国家的一部分,构成形成国家的必要条件,国家对本国数据行使主权显示出国家的独立性和自主性。(齐爱民、祝高峰,2016)吴沈括主张数据主权是特定国家最高权力在本国数据领域的外化,以独立性、自主性和排他性为根本特征。(吴沈括,2016)数据主权的主体是国家,是一个国家独立自主地对本国数据进行管理和利用的权利。(冉从敬、肖兰、黄海瑛,2016)一般来说,数据主权是指国家具有对互联网进行主权控制的能力,而互联网治理的关键问题是国家如何施加主权控制。(Andrew Keane Woods,2019)对于政府而言,对国家数据主权的担忧将持续存在。国家数据主权、政府执政能力是以对公共部门信息的绝对控制为前提,是提供公共服务和公共物品以及确保国家完整性所必需。换言之,国家主权取决于充分的数据主权,特别是在信息通信技术发展的时候,这将从根本上破坏传统上确保专有权的领土范式。(Irion,2012)
大数据背景下,国家主权的内涵将更加丰富,信息主权得以确立,国家主权的外延从物理空间扩大到了虚拟空间。(祝高峰,2016)数据主权是国家主权在网络空间的核心表现, 数据权力可分为数据管理权和数据控制权。前者是对本国数据的传出、传入和数据的生成、处理、传播、利用、交易、储存等的管理权,以及就数据领域发生纠纷所享有的司法管辖权。后者是指主权国家对本国数据采取保护措施,使本国数据免遭被监视、篡改、伪造、损毁、窃取、泄露等危险的权力,其目标是保障数据的安全性、真实性、完整性和保密性。(肖冬梅、文禹衡,2107)也有学者将数据主权分了三个方面,第一,数据控制权;第二,数据产业技术的自主发展权;第三,数据立法权。(齐爱民、祝高峰,2016)
(二)数据主权与跨境数据流动
国家数据主权与跨境数据流动存在一定冲突。一方面,数据跨境流动和本国数据产业发展之间存在冲突情形;另一方面,跨国流转数据的需要与国家安全利益有效管控诉求之间的矛盾。(吴沈括,2016)
1.第一种意见:数据主权与数据跨境流动之间的冲突不可调和
有学者表示,使用任何一种技术都无法解决数据主权问题,而要建构一整套工具来检测和阻止恶意行为,从而实现数据主权。(Peterson, Zachary N J,Gondree, Mark,Beverly, Robert,2011)跨境数据流动极大地冲击了领土、领海、领空在物理空间所构建的安全区域,主权国家在大数据技术相对薄弱的情况下,无法有效通过行使传统主权来防御“网络霸权”入侵。(肖冬梅、文禹衡,2107)不同国家法规的冲突状况阻碍了跨国云服务的广泛采用。其中的法律风险将云托管中的信息暴露给外国司法管辖区和法律规制之中,从而使服务提供商的商业协议无法实现。因此Irion, K.认为从合理的风险管理角度来看,关键的政府信息资产最好限制在本国领土内,以排除外国管辖权。(Irion, K.,2012)
2.第二种意见:数据主权与数据跨境流动之间的冲突可以调和
在全球网络环境下保护国家数据主权利益和个人信息,同时满足数据流动、经济增长的需求已成为所有国家的重大挑战。各国必须认识到,过分强调网络空间主权无法使其公民和企业在互联网的生产性使用中受益,互联网的使用取决于突破性的创新,以及全球服务和数据交换。(Jing dejong- Chen,2015)有学者认为应从宏观层面加强数据主权的顶层设计,在国际方面加强协作治理网络空间和国际数据管辖的平等合作,并结合实际考量在新的信息环境下探索国家数据主权的各类模式。(黄海瑛、何梦婷,2019)同时,积极参与制定全球共同适用的数据规则体系,反对数据干涉和数据霸权,维护国家数据主权安全。(齐爱民、祝高峰,2016)加强我国对数据主权的保护及数据取证的跨境协调。(程昊,2019)原则上在面对跨境数据流动对国家主权的挑战时,我国法律法规必须在商业利益与网络隐私、网络安全性与网络流动性、严格标准与宽松标准、本国特色与国际习惯之间作出价值选择。需要确立数据主权优先、个人信息保护与经济发展并重的法律原则。(胡炜,2018)如果找不到解决全球云计算活动的合法主权实现的方法,则各国通常通过对本地数据进行物理控制来维护自身国家主权利益。这会带来巨大成本和公民隐私问题。有学者认为当国家在其管辖范围内根据当地法律采取行动时,可以通过相互承认来适应其他国家主权利益的互联网事前监管,从而允许其他国家通过法律来监管互联网。(Andrew Keane Woods,2019)
责任编辑:郑通