反对数据霸权 提升数据安全治理能力
【洞察】
作者:田力男(中国人民公安大学法学院院长助理、副教授)
信息时代,在数据作为重要生产要素、社会财富和战略资源的背景下,以美国为首的一些西方国家却奉行“数据霸权”,充当全世界的“数据警察”,在数据开放流动与保护封锁中大搞双重标准、唯我独尊。我们应坚持总体国家安全观,警惕数据霸权主义,不断提升数据安全治理能力,捍卫数据主权,推进涉外法治。
一
2018年,美国通过了《澄清境外合法使用数据法案》(后简称“云法案”),该法案直接目的是解决“美国诉微软公司案”中跨境调取数据问题,赋权美国政府要求电子通信和远程计算服务提供商披露所掌控的用户境内外数据;深层目的则是扩大美国对数据的司法管辖权范围,拓展美国对境外数据的获取权。此种获取权表面上是双向的,如2019年、2021年,美国分别与英国、澳大利亚签署“云法案”协议。但此种双向性受到极其严苛的限制。美国可按“云法案”强制要求其企业提供在任何国家境内采集和存储的数据,但其他国家如欲调取美国境内数据,则将受到“云法案”层层加码的限制。其不仅要满足“适格的外国政府”的十余项苛刻条件,还必须通过美国的多轮审查并最终由其单边决定;即使签署了协议,从美国调取数据的程序也极为复杂和漫长,随时有被否决的风险。可见,在数据资源获取上,美国对他国数据实行“长臂管辖”;在数据主权上,美国实行双重标准;在“数据外交”上,美国奉行数据霸权主义。
事实上,美国的“数据霸权主义”早已不是新闻,“数据警察”的前身是“数据窃盗”。至少从2007年起,美国国家安全局就开始实施绝密电子监听计划“棱镜计划”,为总统每日简报提供数据。2013年被曝光后,各国纷纷谴责美国窃取他国数据、侵蚀他国主权,但美国仍不放弃“数据霸权”。一方面,美国极力促进数据流入本国,如2020年签署的《美墨加三国协议》,表面上确保数据跨境自由传输,实际上便于数据流向美国;美国的《健康保险流通与责任法案》《金融服务现代化法案》《家庭教育权利和隐私法案》等立法,对相应数据都赋予了域外执法权。另一方面,美国极力阻止数据流出,如2020年,美国采取所谓“清洁网络计划”,在数据软硬件“去中国化”的同时进一步通过国家安全例外限制数据被境外、“非美国人”访问。此外,“美国制造”的商品在输送各国的同时伴随用户及环境数据采集,其是否会向美国政府提供也不无疑问。
二
数据霸权主义往往披着平等、合作、自由、民主、法治、安全等外衣,具有一定的迷惑性。警惕数据霸权,对数据霸权说不,必须认清其本质、形式和危害。
美国数据霸权的本质是“美国优先”和数据殖民主义。继政治霸权、军事霸权、经济霸权、文化霸权、舆论霸权、科技霸权后,美国开始推行数据霸权。数据霸权是综合诸多前者基础上的新兴形态,且尤为注重和科技霸权的结合应用。对数据深度分析将衍生远超数据本身的价值,甚至能发挥极大的操控作用。支配数据的权力不仅涉及主导大数据、人工智能、5G、物联网以及云计算等科技发展,还包括对个人隐私、社会动态甚至国家机要信息等的综合利用。这些被一国垄断后将产生对他国财富的攫取、意识形态的控制,甚至政权的颠覆、民族的奴役。
数据霸权除了表现为长臂管辖式立法、双边或多方协议,还有单方或联合制裁、恶意管制等形式。美国及其盟友大打“数据安全”牌,抹黑中国某些科技产品有窃取数据之嫌。如皆以威胁国家安全为由,将华为及其70个关联企业列入美方“实体清单”禁令;之后又称中国制造的无人机存在数据风险,对中国设备发出“威胁警告”。其实,在针对中国5G技术和人工智能等产业方面,美国表现出来的与其说是科技或数据霸权,不如说是仅允许“一家独大”的科技或数据恐慌。
数据霸权阻碍各国实现数据利益和分享科技进步红利,甚至危害国家主权,造成世界多元、稳定秩序的倒退。“先占者主权”“排他式占有”等数据霸权无关国际公义,仅为服务美国私利;无关全球共同发展,仅为维护美国霸权。美国把自己设定的数据标准强加于人、打压别国、“顺昌逆亡”,将限制和剥夺各国数据主权、网络主权,甚至是国家主权。特别是广大发展中国家将丧失发展数字经济和利用后发优势的机会,世界的不均衡发展将加剧。
三
中国不当“数据霸权国”,但也绝不能成为“数据附庸国”。反对数据霸权,捍卫数据主权,应秉持数据主权平等、数据安全流动、脱敏数据共享共治的数据观,探索出能赢得最广泛国家认可的数据治理规则。
树立数据安全观。习近平总书记指出,“没有网络安全就没有国家安全”,“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力”。数据安全是网络空间安全的基础,不仅涉及个体信息权、财产权,还涉及群体利益和国家安全。2020年中国政府发起《全球数据安全倡议》,以尊重网络空间主权平等原则为基础,从构建人类命运共同体理念出发,推动制定全球数据治理规则。中国所言的数据安全,不同于数据霸权的“防范数据风险”,后者往往无端指责,有针对性地进行所谓封锁和制裁。中国的数据安全观坚持总体国家安全观,旨在建立健全数据安全治理体系,提高数据安全保障能力。
树立数据主权观。习近平总书记指出,“《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间”。数据主权作为网络主权的特别类型,理应被同样确立。中国一直是网络主权的坚定主张者和支持者,反对数据长臂管辖,因其属于无国际法根据的扩张性管辖,且无视一国的司法或执法主权,甚至干涉别国主权。2015年国务院印发的《促进大数据发展行动纲要》首次从官方层面表述“数据主权”,要求增强网络空间数据主权保护能力,维护国家安全。
保护本地数据,规范数据跨境流动,实现二者平衡。我们反对数据霸权,同时通过数据分级分类管理、部分数据本地化、部分数据出境安全审查等方式兼顾数据安全与自由流动。2022年2月15日起施行的《网络安全审查办法》,增加对数据处理活动和掌握大量个人信息网络平台运营者赴国外上市进行数据安全审查的规定,防止中国用户的数据成为他国分析、监视中国的工具。这既是对数据主权的彰显,也有利于最大限度保障数据安全流动,同时有助于配套数据安全法、网络安全法、个人信息保护法等,构筑完善数据安全治理体系。
推进数据涉外法治。习近平总书记指出,“全球治理体系正处于调整变革的关键时期,我们要积极参与国际规则制定,做全球治理变革进程的参与者、推动者、引领者”。目前在处理数据跨境流动时,发达国家是占绝对优势的规则制定者。应加快数据涉外法治工作战略布局,以我国根本利益以及多数国家共同利益为基本出发点,同时考虑与发达国家规则的结合点,积极影响、参与乃至主导形成数据规则的国际治理框架,达致平等、互惠的数据治理格局。同时,主动促成数据双边协议、多边条约的制定,以更多的区域规则带动向全球合作治理模式转型。