张茉楠

当前，国家间数据资源争夺和保护不断升级，“长臂管辖”原则、法律“域外效力”等扩张数据管辖权的制度一再出现，全球跨境数据流动近20年相对稳定的国际规则制度被不断推倒重建，进入了新的动荡变革时期。近期，美英签署“史上首份”双边数据互通共享协议，这将对中国乃至全球数据治理体系及国家数据主权产生广泛而深远的影响，中国应采取战略措施加强数据管辖，积极维护国家数据主权。

一、美英签署“史上首份”数据互通协议

10月3日，美国司法部长Bill Barr与英国内政大臣Priti Patel簽署了一项新协议。该协议将消除法律障碍，允许两国执法机构直接获取对方科技公司比如脸书、谷歌、推特等的用户、通信数据，以便更迅速地调查恐怖主义及其他严重的刑事罪行。

新协议是根据美国2018年设立的《云法案》迈出的第一步。尽管协议尚未包含禁止科技企业加密数据的权力，比如端对端加密，即仅有通信的两方能够看到数据的加密功能，但根据协议条款，在获得适当的法院授权之下，执法部门可通过“长臂管辖”直接向对方国家的科技公司请求存取电子数据，将时间缩短至几周或几天，不必再通过可能耗时数年的政府流程。而此前两国只能通过政府层面的“共同法律援助”（MLA）机制为本国执法部门申请数据，往往需要花费半年至两年时间。这份双边协议如同样本，美国将可广泛同各国签署。

二、赋予美国数据“长臂管辖权”的《云法案》

2013年“斯诺登事件”推动了美国将数据跨境流动纳入政治议题，与国家安全、网络安全、隐私保护等政策紧密挂钩，加剧了各国政府间在网络空间的战略博弈与数据资源争夺。美国一方面在国际上大力推行跨境数据自由流动政策，主张数据本地化是一种贸易壁垒和不正当竞争行为，通过制定相关法律法规为合法调取并存储他国境内数据提供制度保障;另一方面，通过“长臂管辖”扩大国内法域外适用的范围，以满足新形势下跨境调取数据的需要。《云法案》正是加强美国政府获取海外存储数据权力的体现。2018年3月，美国总统特朗普签署了加强跨境数据流动的政府监管的《澄清境外数据的合法使用法案》，即《云法案》。该法案对1986年出台的《存储通信法》（SCA）进行了重新修正，将使联邦执法部门能够强制位于美国的电子通信或远程计算服务提供商披露其拥有、保管或控制的要求数据，无论数据是否存储在美国或外国都赋予美国政府调取存储于他国境内数据的合法权力，为获取他国数据扫清制度性障碍，建立了一个可以绕过数据所在国监管机构的数据调取机制，将美国执法机构的执法效力实质性地扩展至数据所在国，这也在很大程度上改变了全球数据主权的游戏规则。

该法案有几大显著特点：一是美国政府可以根据数据的重要性和影响程度不同，对一些重要行业、重点领域或安全敏感的数据实施禁止或限制出境管理;二是该法案采取的是“数据控制者”标准，打破了“服务器标准”，允许调取不在美国境内的电信服务或远程计算机服务的提供者控制、监管的数据;三是法案对数据调取行为的抗辩设置严格的条件，仅包括目标对象不是“美国人”且不在美国居住，披露内容的法律义务将给服务提供者带来违反外国法律的实质性风险。为此，《云法案》精妙地设计了一套打破各国数据本地化政策屏障的框架。

第一类：数据核心区。美国国内数据或者涉及到“美国人”的数据属于核心区，严格掌握在美国法管辖之下，并受到隐私权保护，其他任何国家都不能单方面获取该数据。

第二类：数据合作区。法案提出美国与“合格外国政府”基于“礼让”进行数据信息交换，允许这些国家的执法机关获得美国公司的境外数据，以换取美国获得该国公司境外数据的权力。同时，当美国政府在这些国家获取信息时，信息提供者可以向美国法院提出撤销或修改动议，以违反该国家的相关法律为由拒绝提供该信息或数据。

第三类：数据自由区。即“非合格外国政府”的信息和数据，只要与美国产生“最底限度联系”，就完全处于美国的司法管辖之下。美国政府可以随心所欲获取相关信息，该国法律对这些信息的保护无法成为信息提供者拒绝提供信息的司法抗辩理由。

由此可见，《云法案》抛开了传统的双边或多边司法协助条约，单方面赋予美国政府对全球绝大多数互联网数据的“长臂管辖权”，该做法不仅损害了数据所在国对其境内数据的管辖权，加剧了当前国家间与数据有关的司法主权冲突，也对于强调“隐私保护”乃至“数字主权”的国家构成了极大挑战。其他国家要调取存储在美国的数据，则必须通过美国“合格外国政府”审查，需满足美国所设定的人权、法治和数据自由流动标准。从法案设置的一系列条件来看，可能将对中国数据主权造成较大冲击。

三、推动建立以美国为核心的全球数据霸权体系

一直以来，美国都是“以数字自由主义”为名，行使“数字保护主义”甚至“数字霸权主义”之实。随着中美在高科技领域的竞争演化趋势，地缘政治因素对跨境数据流动政策的影响将进一步加大，以“国家安全”关切为核心的“重要敏感数据”也成为跨境流动限制重心。当前，为进一步扩展在全球的数据霸权，美国正加紧与其领导的多国情报联盟“五眼联盟”构筑“数据同盟体系”，强化以“国家安全”为主要考量的数据跨境流动政策的价值取向。

此外，美、欧、日正联手试图着手制定跨国数据流通规则，构建基于“共同理念”的“数据流通圈”。今年二十国集团（G20）大阪峰会期间，日本商议与美国商务部、美国贸易代表办公室和欧洲委员会等机构从2019年开始启动制度设计，具体议题包括允许个人和产业数据的相互转移;严格限制向个人信息保护体制不完善的国家转移数据;对违反要求的企业处以罚款，进而打造美、日、欧互认的数据共同体，建立以西方为中心的跨境数据流动规则框架，数据同盟可以意识形态和政治制度划线，形成明确指向中国、俄罗斯等国的排他性体系，并可能将在美国及其全球性同盟安全网络中发挥重要作用。

四、维护中国数据主权与国家安全的路径与建议

面对美国等主要大国借助数据战略尤其是法律制度设计强化数据治理、数据资源控制的新态势，我国应立足于维护数据主权的立场，全面加强国家整体数据安全治理能力，打造全球数据安全高地，以掌握数据跨境流动合作的话语权和主动权。为此，应统筹处理好三大关系：一是数据的“出”与“入”，二是跨境数据流动管理的“宽”与“严”，三是数据治理中的“集中”与“分散”。加快形成以法律形式明确重要数据的认定标准、基本范围、保护措施、管理体制和主体责任等战略管理体系。

首先，建立完善数据保护法律体系。深入贯彻落实《网络安全法》，加快开展《数据安全法》《跨境数据流动管理办法》等专项法律法规和政策的制修订，明确国家各部委监管职权范围。加强数据泄露威胁情报共享与溯源能力，打造龙头企业与政府机构之间的快速生态协同系統，对国家安全构成重大威胁的数据泄露事件，综合利用外交、信息、军事、经济、情报以及执法等力量，对其进行威慑和打击，惩罚恶意网络行为者。

其次，建立健全行业数据分级分类制度。国家对数据建立区分机制，制定完善行业数据跨境流动分级分类的指导目录、等级保护条例和管理细则，与现有网络安全和数据安全管理体系做好衔接。针对不同类型的数据实施不同强度的治理管辖，将重要敏感数据纳入到基础设施保护范畴。加强在能源、电力、制造、交通、通信、金融等涉及关键基础设施以及重要工业装备领域，制定数据分类管理制度、跨境数据流动合同监管制度、安全风险评估制度。同时，在保护自身数据主权基础上，也可以寻求对数据本地化原则进行一定突破，如在反恐、跨国走私犯罪、金融犯罪等领域，提供较为便利的可获得本地数据的途径，适当允许部分非敏感数据的非本地化。

第三，将跨境数据流动嵌入贸易投资协定中。当前考虑到短期内各国无法形成相互协调的数据流动政策体系，因此，可以把跨境数据流动政策嵌入双、多边的贸易投资谈判之中。在国与国之间、区域与区域之间体现出多样性、灵活性，形成不同解决方案。我国应当充分利用“一带一路”国际合作倡议等契机，在完善国内规则基础上，由国家网信部门负责牵头，统筹外交部、商务部等相关部门以及主要龙头科技企业，启动跨境数据流动对外合作工作推进机制。在当前各种双边、多边贸易谈判中，增加数据跨境流动的谈判内容，在加强统筹前提下，实现数据跨境流动规则的统一。

第四，探索构建数据港、数据海关等特殊功能区。通过经济、法律、技术、管理、国际规则等多种手段，建立健全数据跨境取证、域外管辖等的国际协调机制。可考虑利用特定区域，如上海自贸区、海南自贸区、深圳中国特色社会主义先行示范区等制度创新优势，探索建立开放、透明且可操作的跨境数据流动监管体系，通过在特定区域建立数据跨境流动自由区，吸引涉及数据跨境业务的一批企业入驻，从技术和政策等方面完善跨境数据流动的解决方案，推动建设全球数据港。

最后，推动制定跨境数据流动的国际治理框架。在各国纷纷主张数据主权情况下，特别是美国欧盟等实施“长臂管辖”对传统国际执法协作体系构成冲击的大背景下，应设计符合国家利益和中国企业全球化战略的执法数据调取方案，积极与各国建立双边-多边的数据执法调取协议，推动建立国际执法协作条件和框架，解决数据管辖冲突。◆

（作者为中国国际经济交流中心美欧所首席研究员）