田 旭

(华东政法大学 国际法学院，上海 200063)

一、问题的提出

互联网自兴起之初就被认为是全球性和自发性的，自由被认为是互联网的核心精神。早在20世纪90年代，互联网的先驱就曾经对互联网世界的独立性发声，要求将互联网世界独立于现实世界，而不受政府组织的干预。[1]然而，随着网络时代的演进，大公司取代个人成为互联网时代的主角，影响着民众生活的各个层面，这种技术乌托邦主义由此与现实拉开距离。主权者作为社会秩序的维护者将法律的触角伸向了崭新的网络领域，数据本地化立法与实施正是主权者针对网络空间进行管辖的体现。另一方面，主权者关于这一问题的立法动因、倾向的权利客体以及限制的程度存在差异，这些差异将为数据跨境流通带来障碍，为跨国企业的数据合规增加成本，甚至构成所谓“本地化贸易壁垒(localization barriers to trade, LBTs)”[2]11。根据联合国贸易法委员会报告所列数据，采取强制性数据本地化政策对企业计算成本相比于走出国境增加30%～60%。[3]反观我国，立法中对数据保护所基于的权利基础和属性缺乏统一认识，甚至在学术层面也陷入混乱不堪的概念泥潭之中，至今我国法学界对数据所承载的权利称谓尚不统一，数据隐私权、个人信息权或数据资料权、个人数据权各色称谓不一而足。有学者坦言这些分歧大多基于学者们对我国当下个人信息权利的认识与其所参照的国外立法和理论的差别。[4]在这种情形下，制定数据本地化法律将因立法目的不明确导致法律内部冲突的情形。因此梳理和探究数据保护所针对的核心法益，是规范数据本地化问题的首要准备。有学者总结，国家安全、本国市场保护、隐私权保护、防范监管，是各国主权者们纷纷在网络空间以国境筑起墙围，将数据作为国家的私产封锁在本地的服务器之中的主要原因。[5]然而事实真是如此吗？

二、数据本地化立法逻辑差异的要因

笔者认为，数据本地化是指所有为限制数据出境之目的，对数据出境的条件、标准以及方式予以规范的做法。主权者对“数据权”的差异理解是造成数据本地化立法逻辑差异的要因。主权者通过制定数据本地化法对数据进行限制的行为本质属于国家行使自上而下的公权，然而这种限制的原因却绝非纯粹基于公益，而是错综复杂的。事实上，几乎所有关于数据本地化的立法都不会放过个人隐私保护这个完美理由，然而隐私保护则更偏向私益的保护。《中华人民共和国网络安全法》(以下简称《网络安全法》)第1条之立法目的表明，立法者意识到数据保护存在公权与私权交织，但是该法尚未将数据信息所包含的公权与私权加以区分，导致《网络安全法》针对不同权利属性的数据，采用一致的立法路径，从而造成私法利益被公法干预。相比之下，参见国外针对数据本地化的立法，无不基于统一的保护基础进行管理权的创设，因而无须面对保护基础缺失的尴尬局面。

三、对数据本地化含义的考察

自计算机技术普及以来，特别是在移动互联、大数据、云计算等技术蓬勃发展的今天，“数据”一词已经随处可见。然而，在理解一项法律概念时，语词的含义常常决定于对其特定语境和说话背景的理解。[6]对数据一词的理解尤为重要，它是理解整个数据本地化立法的关键问题。

(一)“数据”的一般文义

“数据”是一个事实概念而非法律概念，它来源于拉丁语(datum)，英国牛津词典对此有两重解释：一指经过试验、统计而收集的事实或信息，主要以数值的形式所体现，其主要用途是用以说理、分析、立论或者计算；二是指由计算机存储的信息。美国韦氏词典中的解释更加现代化，它将“以数字形式存储和加工的信息”称为数据，它的特点在于可以以数字形式被存储和流通。从上述解释可以看出，数据和信息的概念非常近似，但如果强行区分，可将数据比喻为一块“生肉”，信息则是经过加工的“熟肉”。肉由生到熟的过程需要屠夫、零售商和厨师等中介的介入，数据也是一样，将其转变为得以使用的信息除了数据主体产生数据之外，仍然需要经过数据收集者、经营者、处理者的收集并加工，才能制成富有意义的信息。而在法律中，数据和信息的概念也常被交叉解释，可以说数据和信息概念区分意义较小，个人数据的保护实际上就是个人数字化信息的保护，是个人信息保护的子集。在我国早期立法中，也曾多次提及数据，与词典中的多重解释一样，数据在不同语境下也存在不同的文义。(1)例如1984年1月1日生效的《中华人民共和国统计法》第5条规定：“国家有计划地加强统计计算和数据传输技术的现代化建设。”此处出现的“数据”仍然是指用以证明、计算或者说理的数据，而非本文所特指的数据。而1998年《国务院办公厅秘书局关于向〈国务院公报〉提供选刊文件和做好订阅工作的通知》中所称的“电子数据”与本文所要讨论的数据意思较为接近。在我国早期立法中对于数据的定义是采用字典以及科学教科书中的普遍定义，其对数据一词的使用往往伴随着试验、科研或者统计等行为，它多指用于计算、论证、统计以及其他实证分析所利用的数据，常常表现为数值。数据的一般文义是一个中心的事实概念，不具有任何价值导向，而数据本地化中的数据概念是基于一般文义，对数据进行价值延生。依照延生的路径不同，产生公法数据、私法数据以及公法与私法相互交织的数据类型。这些不同类型的数据不仅对应不同的规范逻辑，并且也决定国家对数据的管辖权基础。

(二)《网络安全法》语境下的“数据本地化”

《网络安全法》的首条宗旨就是保护国家安全和网络空间的主权，它构成了《网络安全法》所需要代表的首要价值。这种表达也体现出《网络安全法》中对数据本地化立法的基点是出于对数据安全和国家主权的保护，这是纯粹的公法语境。《网络安全法》进一步言明，这种公法性的价值包含国家经济利益、政治制度、反恐主义以及国计民生等全方位的国家利益(2)《网络安全法》第12条和第31条。，体现出数据应用已经渗透到国家治理的各个层面。根据德国法学家考夫曼关于公法权力的定义，公法权是国家对个人的权力(如课税权)或个人对国家的权力。[7]而数据本地化就是政府对网络所有者存储在关键信息基础设施上的重要数据限制出境的权力，也是一种公法权力。从这个角度看，数据本地化限制似乎完全是一个公法行为。我国《网络安全法》将数据本地化限制规定在第四章“关键信息基础设施的运行安全”项下。其中，关键信息基础设施(critical information infrastructure，简称CII)指那些关乎“国家安全、国计民生、公共利益的关键信息基础设施”。由于这类基础设施的破坏会对公益造成巨大损害，因此应较一般设施采取更高的保护标准。笔者认为，对于CII的物理设施进行公法保护存在法理基础。首先，CII属于一般基础设施的子概念，它是为社会生产和居民生活提供公共服务的物质工程设施，是社会赖以生存发展的一般物质条件，对其安全进行保护体现出很强的公益性；其次，CII一定是设置于境内的计算机或者计算机系统，是物的概念，正如国家之于领土的管辖权也是来源于物法。然而值得玩味的是，《网络安全法》第37条关于数据本地化是如是规定的，它针对的对象是存储于CII中的重要数据和个人数据，而数据是无形的，那么对于有形的设施的保护是否能够当然地扩大解释到该设施内部存储的信息内容呢？并且这些信息内容还包括代表私人利益的个人数据。

针对CII的保护措施，有必要列举国外立法加以比较。新加坡在2018年8月31日生效的《网络安全法》第三部分对CII的保护进行了详尽的规定，主要包括：(1)CII的识别(第7～10条)；(2)CII所有者从业守则和业绩标准(第11条)；(3)专员对CII所有者业绩和行为的监督和管理(第12～15条)；(4)网络安全演习(第16条)；(5)责任处理和救济(第17～18条)(3)CYBERSECURITY ACT 2018 (No. 9 of 2018).。而对于存储于CII中的数据，新加坡法律只字未提。可以看出，相比于我国较为刚性的立法模式，新加坡模式具有弹性，且对作为私主体的CII所有者提供了救济机制，这一点与我国形成较为鲜明的对比。

欧盟负责网络信息系统安全的主要职能部门是欧盟网络与信息安全局(European Union Agency for Network and Information Security, ENISA)。2016年7月6日，欧洲议会和欧盟理事会颁布2016/1148号指令，以保护欧盟的网络和信息系统。这个指令提出了数字服务提供者的概念，相当于我国《网络安全法》中的网络所有者概念。该指令“鉴于条款”第75条提出确保数字服务提供者营业自由，并且没有提及对于数据跨境流动的限制措施。此外，该指令多处明确提出，凡是针对个人数据处理的，均应当遵守95指令中的相关要求。(4)See Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, https://eur-lex.europa.eu/eli/dir/2016/1148/oj，2019(3).这部指令反映出欧盟对于CII的保护着重于官方保护机构与数字服务提供者之间的合作以及一些必要的国际合作，并未采取直接限制数据出境的方式。此外，欧盟认识到，在绝大多数情形之下，数据安全与否并不取决于其所存储的物理位置，而是决定于信息技术基础设施以及加密程序使用强度。(5)See Commission Staff Working Document on the free flow of data and emerging issues of the European data economy: Accompanying the document Communication Building a European data economy, {COM (2017) 9 final}, Brussels, 10.1.2017, SWD (2017) 2 final: 7.

美国对于关键信息基础设施的保护历史则更为久远，可以说美国是世界上最早针对关键信息基础设施进行保护的国家，但是不同于立法模式，美国采用政策予以保护。1998年美国时任总统克林顿签署了PDD-63号总统令，建立了“关键基础设施(critical infrastructure protection)”保护计划，而针对网络信息基础设施的保护也涵盖其中。2014年2月12日，美国国家标准技术研究所(NIST)发布网络安全框架1.0版本，进一步深化对网络信息系统的保护。这份框架性文件对于数据的保护重点在于对数据访问的把控，而未提及对跨境传输上的限制。[8]

经过简单比较不难发现，在公法语境下的数据保护，国外通行做法似乎都不将数据本地化政策纳入网络安全范围之中。这或许是由于国外政府倾向于认为网络安全的重点在于对关键信息基础设施访问限制，而不是输出限制。另外，《网络安全法》应对的是突发性的网络攻击和网络泄露事件，而针对CII中存储的任何重要数据和个人信息采取限制性措施，想必会很大程度上扩大被限制信息的范围。

(三)私权保护语境下的“数据本地化”

目前，对数据出境进行数据本地化限制的国家和地区大体上包括欧盟、俄罗斯、中国、文莱、印尼、尼日利亚、越南、白俄罗斯、印度、韩国、马来西亚、阿根廷、巴西、哥伦比亚、秘鲁、土耳其、委内瑞拉等。笔者在参考上述各国关于数据本地化条文时发现，除中国外，上述所有国家对数据本地化立法中的数据均特指个人数据，数据本地化的主流又可以视为个人数据的本地化。对于个人数据的保护目前存在个人信息权保护和隐私权这两种模式。我国学者主流观点认为个人信息权源于人格权。[9]有学者归纳全球已经有120个国家制定欧盟式的个人信息保护法专项法律，并且认为这种模式超越了私法和公法的二元对立。[10]虽然张新宝对个人信息保护法作为一个兼有公法性和私法性的综合立法的未来憧憬万分，[10]但是国外学界也不乏对欧盟数据保护法中的公私混合的担忧和怀疑，认为或许采用公法和私法分立的方式更行得通。[11]另一方面，基于隐私保护的个人数据保护模式是美国法的一大特征。虽然《欧盟人权公约》和《欧盟基本权利宪章》中均提及了隐私权的概念(6)《欧盟人权公约》第8条和《欧盟基本权利宪章》第7条。，但是在针对数据信息进行保护过程中，主要依照的是人权宪章关于个人数据权利的条款进行保护。“个人数据获取保护的权利(right to the protection of personal data)”在欧盟属于一项基础性权利(fundamental rights)(7)《欧盟基本权利宪章》第8条，《欧盟通用数据保护条例》“鉴于条款(Whereas)”第1条。，而欧盟政府作为人民的保护人有义务强化基础性权利的保护(8)《欧盟基本权利宪章》前言第3段。。政府是个人信息的保护人，其可以通过立法促进个人信息的保障。

对比欧盟，美国则将个人隐私权视为个人自由。依照美国法传统，对于自由范畴的权利政府采取被动保护的方针，即法无禁止即自由理念。美国是最主张数据自由流动的国家，而对于数据本地化采反对态度。实际上，除了少数数字经济活跃的州制定了专门的数据保护法律(9)例如加州，于2018年10月出台了《加州消费者隐私法案》，该法案将于2020年正式实施。，大部分州缺乏个人数据保护的法律框架(10)O’CONNOR N. Reforming the US approach to data protection and privacy. Council on Foreign Relations, 2018: 30.。美国对个人数据保护的另一个特点在于，美国的联邦贸易委员会(Federal Trade Commission, FTC)作为执法部门发挥了极大的作用。FTC一则不断制定和修改关于隐私政策监管的标准，使这些标准越来越趋近于法律规范；二则其被赋予监管企业不公平和欺诈的贸易行为的职权，在企业违反隐私承诺时可以采取包括处罚、代为诉讼等手段，予以保障个人隐私。这种保护实际上是全方位且强有力的，有学者认为这种保护甚至形成一套完善的普通法体系[12]。美国隐私权理论主要包含五种学说：(1)不受打扰的权利(the right to be let alone)；(2)有限接近自我说(the limited-access to the self)；(3)私密说；(4)资讯控制说；(5)私密关系说。[13-14]有学者将个人信息权与隐私权做出区分，并且认为私密性是隐私权不同于个人信息权的首要原因。[15]这种提法基于隐私权秘密说，其狭隘地理解了隐私概念，从空间角度认为隐私实际上被锁定在一个固定的空间[16]，超过这个空间隐私权就是不存在且不受保护的。远在罗马法时代，纯粹的公共空间和私人空间是存在的，然而在信息爆炸的当下，私人空间与公共空间的界限日渐模糊，秘密性要求已经逐步被抛弃。比如某人发布于微信朋友圈的照片属于私密信息，他只向朋友圈中的好友公开，未列于朋友圈中的他人无权且事实上无法获取这条信息(11)《微信隐私保护指引》第1.3条，2018年12月21日发布并生效，参见文献[17]。，那么这条信息恐怕就难以被认定具有私密性了。必须强调，无论是欧盟模式还是美国模式，对于数据本地化中数据权利的认识都是一种私权，只是应对私权保护底层逻辑上的差异造成对数据本地化立法态度上的差异。

(四)“数据本地化”公法与私法交叉

一方面，如果完全基于公法原因对数据进行本地化限制，那么无法解释为何代表私人权利的个人数据应该受到限制这一事实；另一方面，如果数据本地化仅仅是出于保护私人权利的目的而做出，则无法厘清为何要采用公权介入的方式，而非通过合同或者侵权这种传统的私权保护模式。两方面的原因指向了问题的起点，就是当人们谈论数据本地化时究竟是站在何种语境之下？此时不妨仔细探讨数据本地化的执行过程。数据本地化过程中涉及三方主体：实施本地化措施的政府、受到限制的企业以及作为数据主体的个人。当然，作为数据主体的个人不是特指某一个人，而是所被禁止或限制出境数据主体的集合，往往包含成千上万的数据主体。此时不禁反思，数据为什么可以被限制？首先，可以清晰地看出，受到直接限制的一方系数据的控制人或持有人，按照《网络安全法》中所称的术语就是“网络经营者”。现实中的网络经营者往往是有能力掌握和控制大量数据的网络平台，是高科技企业，拥有强大的经济和技术实力，而数据主体常常就是这些网络平台的用户。此时需要思考一下数据主体和数据平台之间的具体关系。数据主体作为网络平台的用户是数据平台的消费者，虽然互联网服务常常是免费的，但是这不妨碍互联网平台通过不断吸引客户以增加其收益的事实。这些收益可能是基于网络流量的使用费、广告收入等。然而，近年来，网络资源使用费和广告收入都成为细枝末节，而数据的收集成为广大互联网企业所倚仗的主要生产资料，数据被称为数字经济的血液、贸易的血液、商业的血液甚至是资本主义的血液。有学者就曾指出，数据作为新经济生产资料的价值应当为法律所承认。[18]在这一维度上，用户作为数据的提供者也就是造血机，与平台之间就不再是消费者和服务提供者的单纯关系，而成为雇主和雇员的关系。无论是消费者与服务提供者抑或是雇主和雇员关系，都反映了数据主体和数据控制者关系的极大不平衡。这种不平衡直接造成数据主体通过单方努力寻求保护自身的隐私显得非常不现实。此时政府对数据主体进行的保护就存在一定的合法性和合理性。

实际上，我国不无学者发现，美国在针对个人信息进行保护时与消费者保护法联系密切，具有明显的公法特征。美国的个人信息保护措施和相关立法带有明显的消费者法保护或公法规制的特征。由于并未赋予个人以针对不特定第三人的权利，对于普通民事主体收集与处理个人信息的行为，这些立法并不适用。[19]

综上，笔者认为数据本地化立法从法律性质上讲属于行政性法律，而通过观察世界主流立法，其保护的权利是一种民事权利，简单地讲，它是通过公权力加强私权利保护的法律。笔者认为这种公权干预私权保护的缘由在于平衡大企业和私人在数据收集、处理、应用、传输等行为中的实力不均衡，具有很强的社会性。反观我国，数据本地化的权利客体不仅限于私权，或者说其保护的主要是国家和公共利益，这不符合数据本地化的一般立法，容易引发我国数据本地化立法规范范围过大的问题。

四、数据本地化规则兴起的深层原因

从数据本地化立法的形式上看，这种立法方式比较类似一种防御性的立法。一方面立法者将外国数据保护机关默认为是无能的或者不作为的，另一方面出于对本国数据财产性的保护。现代国际法体系产生于美国前总统威尔逊的国际协调主义，而数据流动保护所展现的图景则存在一些前现代的意味，它更具自发秩序的特征，回归了国际法源于习惯这一本源。由于国家应对数据问题都处于非常原始的阶段，因此捍卫眼前利益成为国家处理数据问题的首要倾向。笔者认为，国家主体采取本地化主义的原因有以下几个方面。

(一)数据资产的巨大经济价值推动

中国共产党第十九届代表大会报告中指出：“加快建设制造强国、网络强国，就要推动互联网、大数据、人工智能等新一代信息技术与工业、制造业深度融合。”阿里巴巴董事局主席马云在其著作《未来已来》一书中提及，现在已经从IT(信息技术)时代向DT(数据技术)时代转移，并宣称阿里巴巴就是一家数据企业。联合国贸易发展组织《2017全球投资报告：投资和数字经济》指出:“绝大多数国家都在积极地推动数字经济，因为它们都意识到它所带来的潜在利好。”(12)United Nations Conference on Trade and Development. World Investment Report 2017: Investment and the Digital Economy. UN, 2017:14.中国信通院和大数据技术标准委员会联合发布的《数据资产管理实践白皮书3.0版》中，直接称“数据作为越来越重要的生产要素,将成为比土地、石油、煤矿等更为核心的生产资源”[20]。我国某些地方政府在出台政策时，堂而皇之地将数据本地化明码标价，展示出其捍卫数据经济价值的决心。(13)2015年9月威海市政府发布的《威海市人民政府印发关于当前促投资稳增长若干政策措施的通知(威政发〔2015〕18号)》第13条摘录：“推动口岸数据本地化，2015年实现数据本地化10亿美元。”2015年5月19日，国务院正式颁发《中国制造2025》，提出推进信息化与工业化深度融合，鼓励大数据、云计算、工业互联网等新技术在企业生产全流程中应用。笔者认为，大数据的应用构成一种颠覆性创新(disruptive innovation)，它为社会释放巨大的经济价值。颠覆性创新概念最早是由哈佛大学Clayton Christensen在其名著《创新者的解决方案》一书中首先提出，它是指通过向全新市场投放创新产品而逐步取代原来建立市场的一种创新。[21]颠覆性创新的颠覆性不止于扰乱原来的市场，它继而将给社会的其他层面诸如政治、社会、经济以及文化带来影响，最终引发法律的变革。此外，大数据具有数量庞大、时效性强以及价值密度低的特点，而单个数据不能实现社会应用，因此数据的价值必须通过流通、数据共享的方式形成数据链条，再通过科技加工才能最大限度地发挥价值。[22]获取本地数据以加强本国大数据技术发展的竞争力可能是诸多国家对于数据本地化有着明确或隐晦的限制措施(14)USITC, Digital Trade in the US and Global Economics, Part 1, Chapter 5, p5-2.的原因之一。

(二)逆全球化的时代背景

如果将数据资产视为一种生产资源，那么对数据的保护实际上是对本国优势资源的保护。这么看来，数据本地主义的思想背景实际上是传统的贸易保护主义，即通过加高本国壁垒，以扩大本国数据产业优势。前面已经论证，数据在当今时代已经成为一项重要的生产资料，数据的流出实际上代表着生产资料的流出。然而，数据价值往往是通过传输实现的，跨境传输数据已成为数据产业发展的核心需求，那么过度严格的数据本地化措施是否符合互联网企业的需求就值得商榷了。

(三)立法者对于新事物本能的怀疑

立法者属于社会中最保守的群体，这来自于法学家群体天生的保守性格。他们习惯于捍卫现有的秩序和价值，对于社会的全新发展倾向于被动地变革，而对新鲜事物表现出审慎的怀疑态度。大数据的应用属于颠覆性创新，它扰乱传统的市场秩序、刻板的产业模式，甚至是普通人群的生活方式。相较于经济增长等宏观概念，立法者关注更多的是突破性的规定对法域产生的消极影响，而相比于数据跨境的自由开放，数据出境限制显得更加谨慎。笔者认为，在此阶段采用数据本地主义的立法模式符合大部分立法者的思维倾向。

(四)互联网技术发展的“理性”回归

在互联网技术刚刚兴起的20世纪90年代初，无论从数量还是速度方面看，当时的数据传输与流通与今天不能在一个数量级上进行比较。当时的世界主流声音认为，互联网是自由的不设限制的，甚至互联网被无政府主义者认为是打破政府行政垄断的有力工具。但不可否认，正因为互联网对人们的生活产生了巨大的便利，所以尊重互联网自由似乎成为普遍的声音。然而，任何事情都有利有弊，随着人类对网络的依赖逐步加深，人们也在无所顾忌地利用网络这一载体传播信息，交流思想，分享隐私。而保护公民的隐私权和个人信息权被很多政府视为政府的重要职责，将公民隐私数据进行本地化限制被认为是保护公民隐私的一种手段。其次，政府也逐渐认识到，网络技术发展的不平衡导致网络技术处于优势地位的国家可以通过网络的链接对另一国的政府官员进行监控，典型如2013年的斯诺登案。出于反监控的目的要求数据本地化也是采纳数据本地化的原因之一。

五、数据本地化措施的效果与影响

(一)网络空间主权宣言

国内有学者称，对跨境数据流动进行管理是一国行使其数据主权的重要体现。[23]这一逻辑似乎成立，国家对于数据出入境的管控体现出国家主权，而这一主权概念又被称为数据主权。但是稍做分析就会发现，这是主权概念被滥用的体现。国家主权原则是国际法的基本原则，然而这一主权原则实际上是指领土主权(territorial sovereignty)。领土主权原则的形成经历了漫长的发展过程，而对国家主权是否延生至网络空间，并且这种延生是无限的还是有限的，没有形成任何习惯法或条约，这一问题可以说是国际法领域亟待开垦的处女地。我国《网络安全法》实际上是国家对网络空间存在主权的一种单方面宣言，这种宣言本身更多地表现为国内法意义。现代国际法理论一般认为，国家主权在经济领域和民事领域是可以通过条约的方式进行部分让与的，而在公法领域，国家享有绝对的主权。由此笔者认为，国家主权的行使对内体现为一种管辖，包括立法、行政和司法三重管辖，而对外则表现为一种消极对抗的权利。我国《网络安全法》第37条一经推出，毋宁于网络空间主权又一次宣言，(15)《国家安全法》第二次草案审议稿中，网络主权概念被正式写入法律。它表明中国对于数据控制采用的是传统属地主义立场，即通过本地化手段加强本国数据的监管和保护。

(二)管辖权之抢夺

针对跨境数据流动引发的管辖权之争或许是数据本地化的重要原因之一。由于国际法还未能针对虚拟的网络空间发展出国家管辖权之习惯法，属地主义成为国家对网络空间进行管辖的可靠依据。虽然网络空间是虚拟的，但是数据所存储的服务器仍然是实在的物。自达让特莱提出“混合法”应当被视为“物法”理论后，属地原则就被上升到一个基本原则的高度，[24]成为管辖权理论的基本原则。此外，数据本身具有物权和人身权的双重属性，大数据是数据的集合，也就是物的集合。因此，对于数据跨境的限制仍然是基于传统的物法，即以属地管辖权为依据。

然而，2018年3月美国出台的《澄清境外数据合法使用法案》(以下简称《云法案》)对这一原则发起了冲击。《云法案》认为无论数据存储于何地，只要设立于美国的企业对该数据具有控制权，美国法院签发的令状即有权对其进行搜查。这一理论采用了“数据控制者标准”[25]。《云法案》模式将数据管辖疆域等同于一国企业对数据的控制程度，取决于其数据控制者占全球市场份额的多寡。美国网络技术全球首屈一指，《云法案》的基本做法与其技术实力相呼应。因此数据本地化的普遍化理论实际上是技术处于相对弱势的一方对本国在网络空间管辖权的一种保护性手段。一般认为，一国不能在没有获得其他国家同意下在后者领土上通过采取措施执行国内法，这是国际法占主导地位的一项原则。[26]但是美国所采的“数据控制者”标准能否被解释为域外执法是不确定的。第一，根据《云法案》，虽然调取证据的指令是由美国政府发出的，但是实施这一调取行为的主体是企业而非政府，由于侵犯国家主权的主体也是国家，因此企业的行为仅仅能引发另一国国内法中的责任，而不可能引发国家责任；第二，《云法案》为外国政府调取美国数据也设置了路径，从这一角度来看，《云法案》是基于国家对等原则所做出的；最后，美国《云法案》中的调取行为完全在网络空间展开，不会对另一国领土造成任何损害，侵害的结果难以认定。

需要指出，如果仅出于获得针对数据的管辖权之目的，而这种管辖也并非排他性的，那么绝对的本地化是不必要的。俄罗斯联邦97-FZ法案的目的就是针对在俄罗斯缺乏管辖权案件的调查而制定的，它并不要求数据仅存储在俄罗斯境内。而我国的立法模式是针对存储于CII中的重要数据和个人信息原则上限制出境，如必须出境则需要进行评估。从管辖权争夺角度来看，我国立法希望在数据领域获得一种相对排他的管辖权。

(三)潜在的负面作用

本地化措施在国际贸易中被视为一种消极的贸易保护手段，常常被称为本地化贸易壁垒，而成为贸易法律发展过程中亟须解决的新鲜问题。其中数据本地化被归入为国家对信息和通信技术(ICT)采用的本地化举措。这种措施受到了国际贸易法学者的普遍诟病，被称为数据重商主义(Data Mercantilism)。它被认为阻碍了数据利用的最佳方式，并在其生产、存储、处理过程中带来了地理位置的限制。[27]18

正如前文所述，数据被视为国际经济甚至是现代资本主义的血液和命脉，血液的生命在于流动，而数据本地化措施违背了数据需要流动的天性，这或许会对经济造成负面影响。2014年欧洲国际政治和经济中心(ECIPE)基于GTAP8均衡模型分析了数据本地化政策对各国国内生产总值、外商投资造成的负面影响，其中对中国经济影响的研究结果分别是GDP为-1.1%和外商投资为-1.8%。[28]另一方面，数据本地化可能造成跨境服务质量下降，甚至引发纠纷，而这些纠纷的直接受害人可能是境内的消费者。(16)参见《佳电(上海)管理有限公司与亚士创能科技(上海)股份有限公司买卖合同纠纷一审民事判决书》，上海市长宁区人民法院，(2018)沪0105民初9351号。最后，过于模糊的数据本地化范围将会引发国际社会的不满情绪，从而削弱我国立法的可接受度。我国《网络安全法》第37条在送审稿阶段，46个外国商业组织联名向国务院抗议该草案，他们认为受限制传输的数据范围过于全面且模糊(comprehensive but ambiguous)，并且他们认为这项立法将会伤害到中国与他们之间的贸易。[29]美国一向主张坚持数据的自由流动和反对数据本地化。2018年，美国贸易代表委员会在其撰写的贸易状况的评估报告中针对多国数据本地化政策表达不满，并且对我国出台的《网络安全法》《国家安全法》以及《反对恐怖组织法》中涉及的数据本地化措施所采用的措辞最为强烈。其批评主要集中在中国的法律未能将安全性事项和一般性商业事项做出区分。[2]104-106另一方面，该报告也针对欧盟的数据本地化做法表明了自己的态度，但使用的词语就中性许多，它对欧盟主导的数据本地化做法用了“不幸(unfortunately)”这个词语，体现出美国对欧盟立法的一种无奈之感，这也反映出欧盟的数据本地化途径更具接受度。

六、关于中国现有数据本地化立法的建议

(一)明确数据本地化的立法目的和保护客体

如前文所述，除我国以外，数据本地化立法均以个人数据权利为保护的客体，而我国对数据本地化的规制则以网络安全为首要宗旨。国家安全固然是实施网络保护措施的合理理由，然而是否一定需要通过本地化手段进行规制仍然值得商榷。对于关键信息基础设施保护的国家针对网络系统实施保护的对象，保护方式包括技术方式和法律方式。技术方面强调对本地CII进行加密保护，法律方式侧重于对CII的营运者及其营运行为进行监管，而不直接指向CII中所包含的数据信息。而我国《网络安全法》触及CII中所存储的数据本身，这一规定实际上削弱了营运者的数据控制权，从而增加其数据跨境应用的成本和跨境竞争的实力，对我国企业发展数字经济有所损害。笔者认为，《网络安全法》中所规定的重要数据和个人信息所指向的保护客体对应公共利益和私人利益，其保护的方式可以加以区分。比如涉及核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据(17)参见《个人信息和重要数据出境安全评估办法(征求意见稿)》第9条。，笔者认为此类数据属于与国家安全高度相关的数据，针对其保护在提高技术加密程度的同时，可在运营者的准入阶段进行规制。另一方面，根据世界主要国家互联网指数发展排名，我国互联网发展指数位列全球第二位，[30]仅次于美国，因此我国在立法中应当鼓励扩大营运者的控制权，过度本地化将与这一趋势相违背。

(二)加快个人数据民事权利的赋权

笔者认为，数据本地化的目的主要在于对本国数据主体信息权保护，它需要一套较为完善的个人数据保护法律体系相佐。我国民法学界也有很多学者呼吁针对个人数据保护制定相关的专项法律。2017年3月全国人大代表、全国人大常委、财经委副主任委员吴晓灵，全国人大代表、中国人民银行营业管理部主任周学东以及45位全国人大代表向两会提交《关于制定〈中华人民共和国个人信息保护法〉的议案》，建议尽快制定《中华人民共和国个人信息保护法》，但该部法律仍未落地，这也可能是立法者率先借用公法对个人数据进行规制的主要原因。

(三)兼顾国家主权与国际融合

国际法不同于国内法最大的特征是缺乏至高无上的权威。国际社会是多中心的，国家和国家之间的立法实践相互独立却又相互影响，好的实践不断被后来者模仿使用，从而形成了习惯。至今，习惯法仍然是国际法最主要的渊源。世间本无国际法，引用主体多了，就形成了国际法，从这个意义上讲，国际法产生的过程也就是规则竞争和筛选习惯的过程。任何空白领域都是富有习惯产生的肥沃土壤的，网络空间中的秩序真空由于迫切的矛盾和冲突，势必会引发一系列的法律实践竞争。数据本地化正在向习惯的方向演进，然而过程中的诸多细节是我们需要发现和把控的。笔者认为，在应对数据本地化这一问题时，我国应当注重本国利益与国际潮流的融合，将个人信息作为数据本地化所规制的主要对象。这一方面可以促进我国本国个人信息权法律体系的建立；另一方面也可以树立大国形象，加强我国立法在国际习惯法形成过程中的话语权。