赵宏瑞，李树明（哈尔滨工业大学 人文社科与法学学院，黑龙江 哈尔滨 150001）

一、引言

2020年9月8日，中国国务院国务委员、外交部部长王毅在全球数字治理研讨会上发表讲话，发起《全球数据安全倡议》，提出全球数字治理应遵循“秉持多边主义、兼顾安全发展、坚守公平正义”[1]三原则以及八项具体主张。这一倡议受到国际关注并被认可。意大利佛罗伦萨大学网络安全领域专家马尔蒂诺在接受中央广播电视总台采访时表示，中国提出的倡议为加强全球数字治理和开展国际合作提供了契机。英国广播公司报道援引科技和通信领域律师卡罗琳·比格的话说：中国提出的倡议是保护消费者和阻止数据滥用的一个“务实方式”。中国—东盟关系协调国菲律宾外长洛钦代表东盟表示，中国倡议反映了各国共同关切，东盟各国高度重视。俄罗斯《移动电信》杂志总编辑、信息安全专家列昂季·布克施泰因接受新华社记者采访时说：中国的倡议对于其他国家来说具有吸引力，因为中方主张妥当并且不限制任何一方的发展。

二、网络主权在网络全球化下的态势

随着互联网技术的飞速发展，网络空间不断外延，网络全球化、互联网去中心化相继呈现，网络数据呈井喷趋势，“全球移动互联网用户已达到35亿，数字经济规模占全球GDP比重已超过15%。全球数据爆发增长、海量集聚，如同新的‘石油’，正在成为各国经济发展和产业革新的动力源泉。与此同时，数据安全风险与日俱增，攸关国家安全、公共利益和个人权利，对全球数字治理构成新的挑战。”[1]在网络全球趋势下，数据安全愈发重要，网络安全法治化是维护数据安全的必要途径，而在网络空间里如何界定网络法治空间的边界和如何实施网络法治成为网络空间治理的一个难题，围绕网络主权讨论网络安全成为焦点问题，有些国家直接搬出网络主权，有些国家回避网络主权，有些国家变相使用网络主权，有些国家面对网络主权根本就是望洋兴叹。

（一）网络主权的现状

近20年来，联合国基于互联网的国际合作与网络治理开始讨论网络主权，然而因不同区域和国家处于网络技术发展的不同阶段，联合国196个成员国和地区基于自身利益发出不同呼声。联合国在《联合国宪章》中确立，主权平等原则是当代国际关系的基本准则，这个原则也适用于主权国家的网络空间，每一个平等主权国家在彼此之间都被赋予了国际自卫权、国际自主权、国际平等权。主权国家的网络主权，具有领土主权、人民主权、政治主权这些对外特征。联合国第68届联合国大会A/68/98文件《关于从国际安全的角度看信息和电信领域发展的政府专家组报告》第20条（第70届联合国大会A/70/174号文件第27条）：“国家主权和源自主权的国际规范和原则适用于国家进行的信通技术活动，以及国家和其领土内对信通技术基础设施的管辖权。”美国哈佛大学教授劳伦斯·莱斯格很早就提出过“网络超主权”“网络全球主权”的网络主权理论，而美国政府为了实现网络霸权，故意规避网络主权，提出“多利益攸关方”。欧盟根据隐私安全细化数据保护条例，通过颁布《通用数据保护条例》和一系列维护网络信息安全的国别法对抗网络霸权，变相行使网络主权。2017年我国颁布施行了《网络安全法》，其中提出“保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益”。2019年俄罗斯出台《主权互联网法》并进行了断网测试，主张通过“域名自主、定期演习、平台管控、主动断网、技术统筹”建立“自主可控”的网络主权[2]。一些网络基础设施和技术不发达的国家，或采取多边合作，或通过《联合国宪章》和国际法及内部防火墙等一些基础技术手段来维护国家的网络主权。

（二）网络主权的内涵

网络主权又称网络空间主权，是客观而真实的存在。在2003年，信息社会世界峰会第一阶段会议通过的《日内瓦原则宣言》和2005年第二阶段会议通过的《信息社会突尼斯日程》中，就有“网络主权已经成为国际社会真实而客观的实践”的表述。网络主权是国家主权在网络空间中的自然延伸，天然具有“主权三特性”，即“领土性、人民性、政权性”[3]75。在行使过程中又具有网络独立性、平等性、自卫性和主权国家管辖权的延展性。对内表现为主权国家对本国领土范围内所有互联网事务具有最高管辖权，包括领网主权、网民主权、治网主权；对外则为主权国家参与到全球化网络治理“非自治领土主权”[3]76。

网络主权与领土主权具有天然合一性，“网络主权中的数据主权无论作为本国资源还是本国资产，同样与该国的领土主权具有天然合一性。”[3]75-76网络主权维护人民主权，网络主权与该国的人民主权具有天然的合一性，“人民在网络空间中的一切活动都受该国网络主权的保护。”[3]76各国政府是各主权国的法治代表者和执行者，各主权国具有治网主权，是国家网络主权的行使者、治理者、维护者、代表者。非自治领土，是国际公认的“未充分进化主权”，各主权国参与全球化网络治理体现在联合国鼓励主权国家参与到“非自治领土主权”尊重未自治领域开发，反对霸权的态度。

除此之外网络主权还具有独立性、平等性、自卫性、延展性。网络主权独立性体现在网络空间的独立权，“网络空间独立权是指各国的网络可以独立运行，不因受他国的干预而停止服务和独立制定本国互联网政策的权力。”[4]网络主权平等性体现在平等权，平等权是指各国享有平等资格和身份参与国际关系，同时平等享有国际法权利和平等承担国际法义务；网络主权自卫性体现在网络空间自卫权，自卫权指国家在遭受武装攻击时，在联合国安全理事会采取必要办法以维护国际和平及安全之前，该国单独或与其他国家共同抵抗攻击的权利；网络主权延展性体现在网络主权的管辖权，管辖权指国家通过立法、司法或行政手段对本国领土范围之内或之外的一定人、事、物进行支配和处理的权利。

（三）从网络主权到数据安全

在网络全球化的背景下，面对肆意的网络攻击和网络窃密，网络安全已经上升到国家安全层面，网络数据作为信息传递的主要载体一旦涉及国家安全数据泄漏，网络安全即变得脆弱不堪，网络数据安全成为网络安全的核心，在网络主权内提升数据安全成为各主权国维护国家安全的必然。

美国棱镜门事件给全世界网络信息安全敲响警钟，美国鉴于世界各国对其网络监管的信任缺失和国际压力，将ICANN（互联网名称与地址分配机构）提交到“全球互联网社群”并提出“全球利益攸关”方案。从ICANN的内部构成和法治管辖范围看，其依旧在美国的掌控中，ICANN中具有代表性的IT产业几乎被美国垄断，从硬件基础设施到系统开发，诸如微软、英特尔、思科、脸书、谷歌等互联网巨头，且ICANN在美国境内的加利福尼亚州依旧受到美国本土法律的制约和管辖。世界各国的网络数据安全依旧存在潜在的威胁，美国有意回避网络主权，阻挠国际网络共治，提倡网络自由，而其又在不断完善自身的网络安全法治体系，这不得不让人担忧。网络全球化下许多国家在网络空间软硬件配置上无法实现网络主权，所以，围绕《联合国宪章》网络空间治理原则制定数据安全国别法已成为一种趋势。

三、不同网络主权下数据安全法治的区别

世界各国网络基础设施技术发展阶段不同，基于这种客观条件就形成了不同的网络主权观，不同的网络主权观形成了不同的网络空间数据安全法治体系。欧盟《通用数据保护条例》堪称最严格的数据保护法，欧盟27个成员国将其转化为本国法律，通过数据隐私权保护实现其网络空间内的数据安全，可以说是网络主权的变相表达。美国出台《海外数据合法使用权明确法案》（以下简称《云法案》）直接避开网络主权，通过长臂管辖延伸其数据主权。俄罗斯是网络主权到数据主权的极端保护者，其维护网络主权比较直白，其制定《主权互联网法》进行断网测试，划定网络主权边界，在境内互联网上实现网络安全和数据安全。一些网络技术发展整体安全还不完备的国家，则寄希望于国际合作和国际法，保障其网络的完整性和可靠性，其中又有两种不同的观点，一种是趋向于网络主权开放以合作的态势保障主权国的数据安全，如加拿大、德国、荷兰、葡萄牙、西班牙等；另一种是趋向于网络主权的保守采取防御的姿态保障主权国的数据安全，如古巴、萨尔瓦多、格鲁吉亚、巴拿马、秘鲁等。

中国网络安全的基本理念是，尊重网络主权、不搞网络霸权，网络安全不应该有双重标准，应该以开放合作、相互尊重的基础上合力打造网络安全的良好秩序。在此基础上中国出台了《网络安全法》《数据安全法》用以维护国家数据安全。2015年1月9日上海合作组织六国常驻联合国代表（以下称上合组织）提交了《信息安全国际行为准则》，该准则强调“鼓励民用信息技术”“国家主权决策网络政策”助推全球信息安全弥合数据技术鸿沟。中国作为上合组织的主要成员国之一，其中就隐含着中国数据安全立场。

（一）《通用数据保护条例》（以下简称GDPR）

《通用数据保护条例》前身是欧盟在1995年制定的《计算机数据保护法》，GDPR堪称是史上最严格的数据保护法条例，注重个人信息保护，引入全新的被遗忘权和数据可携带权概念，其管辖范围甚广，涉及主体类别甚多，“欧盟《一般数据保护条例》规制了40种网络主体”[3]141罚款力度之严让人瞠目结舌，违反者可达2000万欧元或百分之四的上一财年的全球收入的罚金（两者以最高的为准），任何收集、传输、保留或处理涉及欧盟所有成员国内的个人信息的机构组织均受该条例的约束，包括一些在欧盟境内服务或采集信息且不属于欧盟成员国的公司，依旧受到其管辖，且GDRP适用于欧盟各个成员国。谷歌因在法国违反GDRP，被法国国家数据保护委员会处以5000万欧元的巨额罚款。欧盟数据保护随着GDPR管辖范围的增大而不断扩大和细化，一些位于欧盟境外跨国企业和组织随着GDPR的实施而不得不相应地采取整改措施，以免碰触GDPR数据红线。

除了GDPR，欧盟一些各成员国也保留着各自的数据安全法，如德国的《数据保护法案》、瑞典的《瑞典数据法案》、意大利《个人数据保护法典》、西班牙《个人数据保护法》等，其他西方国家也有自己的数据保护法，如澳大利亚的《隐私权法案》、英国的《数据保护法案》、日本的《个人信息保护法》等，这些国家通过数据法的形式来维护网络安全，实现网络权益。

通过信息保护法案或者数据保护法案来守护国家数据安全已成为国际上流行的一种趋势。这里有优点也有缺陷，优点在于主权国家可以暂时忽略网络基础设施并不发达的实际情况，通过立法来维护国家网络数据安全，进而实现国家网络安全。国家数据方案延伸范围很广，具有外延性，甚至跨越网络主权。缺点在于其维护国家网络安全具有局限性，其仅作为网络七层架构的数据应用层和通信层，而没有真正触及物理层，缺少网络主权边界，容易与其他国家的数据法案产生冲突，如GDPR与美国《云法案》数据监管的内在冲突。

（二）美国《云法案》

美国作为网络发展强国，其一直有意回避网络空间定义的官方立场，对网络主权问题更是不表态，但其对网络数据安全、数据主权却是立场坚定。有学者称，美国数据安全立法体现为“分散立法模式”[5]，其数据安全和个人信息保护隐含在不同的法里，如《联邦贸易委员会法》通过保护消费者权益来规范贸易的欺诈行为，实现规范隐私和消费者数据安全；《金融服务现代化法》规定金融信息的收集、使用和披露，来保障个人信息安全，《健康保险流通与责任法》《公平信用报告法》《电子通信隐私法》《儿童在线隐私保护法案》等法案有对个人数据安全的保护。“美国多个州开始推进个人信息保护立法，美国《加州消费者隐私法案》（CCPA）将于2020年正式生效，CCPA规定了新的消费者权利，涉及企业收集的个人信息的访问、删除和共享，旨在加强消费者隐私权和数据安全保护；美国华盛顿州参议院通过了《华盛顿隐私法案》，犹他州议会通过了全美第一个保护存储于第三方的私人电子数据法案。”[6]其中尤为引人关注的是美国国会于2018年3月23日通过了《云法案》，提出跨境调取数据，美国司法部于2019年4月又发布的《云法案》白皮书——《云法案的目的和影响》，主张各国接受美国《云法案》数据跨境流动监管秩序。

美国《云法案》一出，即引起全球争鸣，根据法案要求，任何在美国经营或者在美国为客户提供服务的公司，都受到云法案的约束，其云上存储数据在特定情况下需转交给美国政府，无论是公司位于美国境内其数据存储在境外的企业，还是受美国管辖在境外的企业，都必须遵守云法案的要求。欧盟反响尤为强烈，因为欧盟有着极为严格的个人隐私保护法GDPR，美国《云法案》要求美国云计算服务商在接到美国要求时，必须将其云存储端的数据交予政府协助其开展调查，无论这些数据存储在境内或者境外，从这个法案可以看出美国的数据主权延伸到了他国的网络主权，具有长臂管辖的效用。欧洲议会荷兰议员Sophie in't Veld表示，美国《云法案》规定了治外法权，这显然违背了欧盟法律，如果欧盟制定了类似的法案，美国当然也不会同意。

从网络全球化下网络安全的数据保护层面看，美国《云法案》有合理的部分，也有其不合理的部分。其合理成分是美国加强自身数据安全保护，通过数据安全法治化打击网络犯罪和全球恐怖活动，强化个人信息安全，规范数据控制者和使用者的权利和义务，提升国家网络数据安全。不合理成分在于，美国《云法案》中隐含着网络霸权的实质，美国采取所谓的“数据控制者标准”，其实质是只要美国境外公司在经营活动中与美国有足够的联系，就足以触发美国《云法案》的管辖，无论这个公司是在中国或欧盟注册成立。而针对外国政府发出的调取美国数据方面，其设置了一系列制约条件，这种协议完全按照自身利益的导向将美国数据获取最小化。

（三）《信息安全国际行为准则》和中、俄数据安全法案

为确保网络空间的信息安全，上合组织向联合国大会提交的《信息安全国际行为准则》（2015）提出鼓励民用的信息科学和技术、适用主权和国际法、转让信息技术弥合数字鸿沟、不威胁和平不干涉内政、在线离线同权保障民权与道德、公平分配资源平等发挥作用、政府与“利益攸关方”充分合作、和平解决争端推动联合国制定信息安全国际法“八主张”，以求建立一个和平、安全、开放、合作的信息空间。该准则涵盖政治、经济、文化、技术等多个方面，提出网络空间信息运用的正当性、网络空间中各主权国家的权利和责任、尊重各国网络空间治权，合作打击网络犯罪等。中国和俄罗斯作为上合组织成员国，其各自的网络安全法治体系极具代表性。2017年6月中国开始实施《网络安全法》，中国强调网络主权的完整性，通过《网络安全法》统筹网络安全，数据安全作为网络安全中的一项，其法治体系开始不断完善。中国先后出台《电签法》《电子商务法》《密码法》《数据安全法》《个人信息保护法》。其中，《数据安全法》体现了中国特色的数据安全观，中国主张尊重网络主权，从总体国家安全观出发建立数据安全治理体系，中国数据安全本着和平、安全、开放、合作的原则开展数据领域国际交流与合作，以国际数据安全标准和规则促进数据跨境安全、自由流动。

俄罗斯很早就确定了其数据安全保护，1995年1月25日即颁布了《俄罗斯联邦信息、信息化和信息保护法》，2006年颁布《个人数据法》。但是，“一直以来，俄罗斯面临大量网络攻击，根据俄联邦安全局的统计数据，俄罗斯的总统办公厅、国家杜马、联邦委员会网站每天遭受黑客攻击就达1万余次，俄罗斯已成为全球网络安全风险最高的国家。”[2]为进一步巩固数据安全，俄罗斯修订《个人数据法》，该项法律规定俄罗斯公民的个人信息数据只能存于俄境内的服务器，以实现数据本地化。该法在数据本地化方面为俄罗斯后期出台的《主权互联网法》做了铺垫。2019年俄罗斯针对美国网络霸权提出了极端的网络主权保护，出台了《主权互联网法》，从五个方面立法打造网络主权：域名自主、定期演习“断网测试”、平台管控、主动断网、技术统筹，其间接实现了数据本地化的管控和保护。

中国、俄罗斯均强调在尊重网络主权的情境下，按照国际行为准则实施数据安全，但俄罗斯在数据安全方面似乎走得更远一些，特别是数据本地化，有待中国借鉴和参考。

（四）发展中国家寻求联合国支持和内部协防的数据安全

2015年第七十届联合国大会在《关于从国家安全的角度看信息和电信领域的发展政府专家组报告》（A/70/174）中强调《联合国宪章》主权原则适用于网络空间。其强调国家主权和国际法对信息通信技术和通信基础设施的适用性，提出国家主权和源自主权的国际规范和原则适用于国家进行的信通技术活动，以及国家在其领土内对信通技术基础设施的管辖权，并提出五项原则：开放、安全、无障碍、和平。

一些发展中国家无法依据自身力量实现网络主权和数据安全，其基础网络设施和信息技术都依赖于其他网络强国，为防止网络攻击和信息资源的缺失，特别是涉及军事领域的数据安全，大多数都依托于国际法结合自身客观条件采取积极的数据防守策略。例如古巴，古巴成立计算机和网络安全理事会，直接受国家最高机关指导，主张应根据《联合国宪章》和国际法，和平利用信息和通信技术，强烈反对违背国际法的信息犯罪，并以此来反对美国政府的无线电攻击。萨尔瓦多为加强信息和电信安全，对公共网络独立音频、视频和数据通信实行统一管理，组建并设置了周边信息安全工作队[3]63。巴拿马政府建立了基于内部防火墙的基础设施，利用防火墙的数据会话，确保信息的保密性和保护。秘鲁通过国家警察技术平台和警察信息系统，组织各种不同系统安全政策来管制数据网络。卡塔尔提倡国际社会应努力制定一份具有约束力、保障信息安全的国际文书，从而促进信息安全。

信息安全标准化分技术委员会（ISO/IECJTC1/SC27）也在不断完善网络数据安全体系，成立“数据安全”研究组，提升数据安全标准。“目前SC27已发布12项数据安全和隐私保护相关国际标准，正在制定11项标准和4个研究项目。其中，WG4安全控制和服务工作组已发布3项数据安全相关标准，正在制定4项国际标准；WG5身份管理和隐私保护技术工作组，主要负责隐私保护标准研制，目前已发布9项隐私保护标准、1项技术研究报告，正在制定7项标准，开展3个项目研究工作。”[6]

四、我国数据安全的法治思考

近些年，我国不断加强网络安全与网络信息监管方面的法治建设，出台了一系列涉及互联网法治建设的条款。其中，《数据安全法》已然成为我国应对网络全球化协同《国家安全法》《网络安全法》维护我国数据安全的法治保障。但是，科技法治差速空间依然存在，网络空间国际治理依然错综复杂，特别是涉及到数据跨境等敏感问题。

（一）数据安全应是多法统筹的“一盘棋”

多法统筹可以巩固我国网络主权，提升我国数据安全的话语权，有利于我国境内外数据安全的把控，提升我国数据开发利用的规范性，有利于对外约束，维护我国国家数据安全和公民、组织的合法权益，有利于积极应对国际数据跨境交流。我国数据安全立法在于维护国家数据安全，保护公民、组织的合法权益，维护国家主权、安全和发展利益，以总体国家安全观为主导，以数据安全和发展为目标，由中央国家安全领导机构负责统筹协调的“一盘棋”。

我国数据安全法应是多法统筹下的数据安全，从《数据安全法》总体架构来看，数据安全是《国家安全法》统筹下的数据安全，其坚持总体国家安全观，从数据定义来看，在数据记录、收集、存储、加工等方面涉及《网络安全法》和《密码法》，从数据分级分类保护方面来看涉及《反间谍法》，从开展数据领域国际交流与合作、参与数据安全相关国际规则和标准的制定来看，其遵循国际法和国际信息安全标准、国际条约和协定，从数据保密方面来看，涉及《保守国家秘密法》，从刑罚来看，其涉及《刑法》，从军事数据安全方面来看，其又涉及其他军事法规和条例。我国数据安全法治体系应是多部门、多组织协同参与，全社会共同维护的“一盘棋”，其可以与GDPR、《云法案》等国外法律互动，为保障数字丝绸之路建设、联合国“数字世界现状和数字合作路线图”实施等提供中国法治力量。

（二）国家数据安全应由被动变主动

我国数据安全应由被动变为主动，国家数据监察在面对境内数据外延的情况，应掌握更多的主动权和话语权。从《数据安全法》来看，我国数据安全注重数据分级保护，这是数据安全法治治理的一大创新，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，对数据实行分类分级保护，门制定重要数据目录，加强对重要数据的保护。我国数据分级保护，厘清了数据保护的主次轻重，避免了资源浪费，杜绝眉毛胡子一把抓，针对重点数据保护，强调风险评估和国家安全审查，对可能影响国家安全的数据活动进行安全审查。《数据安全法》为我国数据跨境、自由流动提供了制度保障，提出了数据出口管制，在涉及国家安全和犯罪调查取证方面，强调组织、个人予以配合。特别是针对我国境内数据的境外执法，必须先获得中国批准，然后才能按照国际条约、协定或双边缔结协议进行数据调取。《数据安全法》作为数据安全相关法律的上位法，提升了国家治理能力，影响深远。但目前可实际操作落地的具体化规定不足，如何划分重要数据权属边界、数据交易如何进行等还有待进一步落实[7]。

（三）数据安全主体权责应与刑罚对称

《数据安全法》第三条对数据、数据活动和数据安全进行了清晰的定义。数据本体定义清晰，法治主体就容易确定，从《数据安全法》来看，中央国家安全领导机构负责国家数据安全的战略决策，各地区各部门负责辖区法治主体的落地实施和监管，行业主管部门负责行业规范和安全监管，公安机关和国家安全机关负责数据安全监管与执法实施，各行业组织、企业、个人协同参与共同维护。从数据安全的法治主体划分来看，我国数据法治主体权责一目了然，有利于落地实施，但在数据安全刑罚具体方面，我国应进一步加强国内法的惩戒力度，积极参与到双边或多边的国际刑事司法合作中，在维护我国网络主权和数据安全的情况下，制定我国跨境传输数据的安全评估标准及程序，与其他国家签订数据共享合作协议，定期进行数据安全评估，在国际合作机制下加大刑罚与追责力度。

（四）数据安全法治建设应秉承宽严相济

宽严相济，宽严相济是我国构建社会主义和谐社会提出的一项重要政策，也是我国的基本刑事政策之一。在数据安全法治建设方面，抓得过紧会阻碍产业发展，管得太松又不利于维护国家和人民的权益。所以，要继续采取宽严相济的刑罚措施，特别是涉及国家安全、行业发展、个人隐私方面，要在现有监管框架的范围内进一步明确细则，扫除监管盲区，罚当其罪，一针见血。在促进数据产业发展的框架内，要保持司法解释的灵活性，在数据分级分类管理和审查方面，厘清主次，设置缓冲区域，引导数据产业的健康发展。

宽严相济有利于数据安全扶植产业，助力中国数据产业发展，有利于培育综合型人才，实现在物理技术层面补充法治建设的不足，有利于统筹规划与数据行业与相关产业，建立健全国内数据安全标准体系。宽严相济有利于数据安全优化市场，全球数字化转型已成为共识，云计算、人工智能、区块链、5G等新一代信息技术突飞猛进，网络全球化下数据流通已成必然，大数据有其独特的发展特色，我国应以宽严相济为立法原则不间断完善数据安全法治体系建设，弥合技术发展与法治建设的差速空间，优化国内与国外两个市场，严把境内外数据跨界关口，放宽各类技术创新的入门条件和行业规制。

五、结语

各个国家成为网络空间不可分割的主体，数据已然成为国家发展的战略资源。各个主权国家为了维护网络空间下的主权利益，在网络技术处于被动的情况下，只能加紧推进数据安全的法治体系建设，通过法治手段与网络霸权进行博弈。目前，已经有140多个国家制定了相关数据保护规则，但数据安全问题仍是一个突出的问题，网络法治与网络技术存在差速空间，全球数据资源仍存在丛林法则现象，网络空间国际治理任重道远。