按照傳統國家主權理論,主權是國家與生俱來的對內最高統治權力和對外獨立的權力。國家主權延展至數據空間,主要表現為兩個方面:一是對數據的管轄權,即國家對本國數據的治理;二是當國家遭受外部數據竊取、監控或攻擊時進行防御的權利。隨著通信及網絡技術的發展,數據已經成為一國的基礎性戰略資源,由于其所承載的信息還關涉文化、價值、意識形態等內容,各國都積極主張對本國數據的生產、開發和利用等權利。加之,一個國家不可能獨占性地控制與其領土、企業以及公民等的所有數據,數據的跨境存儲、利用及傳輸往往會涉及多個國家及地區,數據控制者、使用者、處理者在地理位置上也存在事實上的分離甚至是跨國界,這也引發國家之間數據主權的深層次沖突。
數據管轄權作為國家主權的重要表現形式,是指一國對其數據生成、存儲和傳輸的物理設備以及相關服務等享有維護、管理和利用的權利。國家對數據管轄權的行使也遵循傳統的國家管轄權原則,即屬地管轄、屬人管轄、保護性管轄和普遍性管轄等原則。我國《數據安全法》第2條則遵循了屬地管轄、屬人管轄和保護性管轄原則。即,只要在中國境內開展數據處理活動及其安全監管,無論是中國境內的組織、個人還是中國境外的組織、個人,都適用本法。如果境外的組織或個人雖然沒有在我國境內開展數據處理活動,但是其內容或性質會損害我國的國家安全、公共利益或其他公民、組織的合法權益,執法機構仍有權依據數據安全法追究上述主體的法律責任。
從目前數據領域的立法規范看,我國基本采用了較為謹慎的“被動型防御”策略,即強調對重要數據的出境管控,而并不積極主張數據的跨境調取。對于來自外國司法或者執法機構的調取數據請求,我國遵循的是“條約優先、平等互惠”原則,采取逐一報送主管機構批準的控制機制。為了使報告義務真正落地實施,《數據安全法》還規定了法律責任條款(第48條第2款)。同時,為規范重要數據出境活動,《數據安全法》第31條采用“二分法”的方式,對于關鍵信息基礎設施的運營者在境內運營中收集和產生的重要數據出境,適用《網絡安全法》的規定;其他數據處理者的重要數據出境,則由國家網信部門會同國務院有關部門制定。為了細化《網絡安全法》第37條規定,國家網信辦分別于2017年和2019年出臺兩版有關信息數據出境安全評估辦法〔《個人信息和重要數據出境安全評估辦法(征求意見稿)》與《個人信息出境安全評估辦法(征求意見稿)》〕,這也從側面反映出個人信息出境與重要數據出境在安全評估原則及規則內容等方面存在重大差異,宜采取單獨立法的模式。
與之形成鮮明對比的是,以美國和英國為代表的西方國家積極謀求跨境數據管轄權,在跨境數據調取方面采取“主動獲取”策略,并明確賦予執法機構向其海外企業調取數據的法定權力,為其跨境數據的訪問和獲取掃清障礙。
早在2001年恐怖襲擊之后,為了切斷基地組織及其他恐怖組織的資金流,根據《國際緊急經濟權利法案》美國政府啟動了恐怖分子資金追蹤計劃(Terrorist Finance Tracking Program,TFTP),秘密地從國際銀行間轉賬的環球銀行金融電信協會(SWIFT)獲取金融數據。而最終促使美國擴大執法機構的境外數據獲取權的直接原因,就是始于2013年微軟與美國司法部之間的重大隱私權案。當時負責調查一起毒品走私案的檢察官們獲得了一份搜查令,要求微軟提供保存在都柏林的微軟服務器上的、該案嫌疑人的相關電子郵件。微軟質疑美國政府簽發的搜查令是否涵蓋了存儲于愛爾蘭服務器上的郵件數據。司法部則認為,由于微軟總部設在美國,所以檢察官們有權獲得這些數據。在聯邦最高法院對該案做出裁決之前,美國國會在短時間內便通過了《澄清境外數據合法使用法案》(CLOUD法案),并于2018年3月23日由特朗普總統正式簽署。
CLOUD法案賦予美國政府調取存儲于他國境內數據的合法權利,即在數據主權判斷標準這一問題上,法案適用了“數據控制者標準”,不管數據是否在美國境內存儲,只要該數據控制者屬于美國企業,即便是在海外的美國機構,其執法機構也可以單方面向其主張獲取該數據。但對于“適格外國政府”調取存儲在美國境內的數據,CLOUD 法案第五部分做了規定,包括三方面:一是由美國國會來認定“適格外國政府”,評判的標準和要求具有較強的主觀色彩,如該外國政府是否有完善的個人隱私或數據保護法制,是否尊重人權等;如果被認定為“適格外國政府”后,還需要與美國簽署雙邊協定;二是如果“適格外國政府”調取位于美國境內的數據時,該法案提出了比較苛刻的條件,如該外國政府的調取行為,應與嚴重犯罪行為密切相關,需提供確定的賬號、住址等;三是調取令須有國內法的合法依據,并受本國司法機關或其他監督機構的審查監督等。事實上,能夠成為“適格外國政府”要求就不低,即便符合條件可以向美國政府申請調取數據,該行為還受到重重約束和限制,其所遵循的差異性標準可見一斑。
顯而易見,在數據主權問題上,美國采取對內對外“雙重標準”:一方面嚴格限制其他國家對存儲于美國數據的獲取,另一方面美國執法機構卻可以合法地調取存儲于美國境外的數據。CLOUD法案最顯著的變化,就是以“數據控制者標準”取代地域邊界,實質上抵銷了其他國家試圖通過數據本地化以保護自身數據安全的努力,而美國則可以通過其遍及全球的互聯網巨頭公司牢牢地將數據主權控制在自己手中。
雖然英國在境外數據獲取方面也采取主動策略,但相比美國激進的“雙重標準”,英國則采取了更加溫和的合作態度。2018年,英國審議了《犯罪(境外提交令)法案2018》。該法案授予了英國執法機構依據英國法庭命令,在與英國簽訂相關國際協議的國家或地區直接獲取境外數據的權力。該法案通過建立“境外提交令”機制,賦予英國執法機構向英國法官申請該命令,以直接要求企業提交境外數據的權力。需要注意的是,根據該法案的規定,“境外提交令”僅在與英國簽訂了相關國際協議的國家或地區才有效。應該說,該法案為英國通過雙邊或多邊國際合作協議模式開展執法機構境外數據獲取確立了基本框架。
與此同時,司法機關域外管轄權擴張的情形也不少見,如加拿大公司Equustek Solutions Inc.(以下簡稱ESI)訴谷歌公司案。該案件源于ESI要求谷歌刪除侵權的網站鏈接,但谷歌只刪除了在加拿大領域內的鏈接,其他國家領域內的鏈接依然存在,ESI公司認為僅僅這樣是遠遠不夠的,因此向加拿大法院起訴要求谷歌公司刪除在全球領域內的所有鏈接。加拿大法院支持了ESI的訴請,在全球范圍內發布禁令,開創了法院域外管轄權的先例,但這也引發了數據主權沖突風險。
因此,合理界定數據管轄權行使的范圍是數據主權合作的重要前提。我國《數據安全法》在其管轄效力問題上,不僅要管住重要數據出境這一關,明確相應的數據出境限制措施及制度安排。更重要的是,面對來自境外的數據調取要求,出于國家安全的考量,理應作出相應的規范,以約束他國過分膨脹的公權機構的數據獲取要求,亦需在法律層面明確涉及跨境數據調取相關主體的義務與責任。同時,還應特別強調,即便是在境外的數據活動,只要是危害到我國的國家安全、公共利益、企業和公民權益的,都應在我國法律的管轄范圍內。對于數據恐怖主義等影響國際社會穩定和秩序的國際犯罪行為,則可遵循普遍性管轄原則。鑒于廣大發展中國家的數據技術水平有限,無法通過自身力量管轄域內外數據來應對上述行為,就需要在國際社會上尋求集體合作的安全機制,在集體自衛權基礎上實施跨國懲治。
浙公網安備 33010502006954號 
