賈開
伴隨著大數據的興起和雲計算時代的到來,數據的使用和保護成為越來越重要和緊迫的議題。“斯諾登事件”的爆發,一方面宣告了長久以來以市場自規制模式為主導的全球數據治理模式的失效,另一方面也凸顯了以美國為代表的先發國家對於他國數據權利的漠視。自此之后,數據主權的理念被越來越多的提及,並逐漸開始落實到政策層面。2015年10月歐盟中斷運行長達15年之久的歐美數據貿易協議(即“安全港協議”)便是典型例証。但不可忽視的是,數據主權的治理原則與建設互聯互通的全球互聯網仍然存在一定沖突,因此有必要對此做出更深入的探討和更清晰的解釋。
首先,為什麼需要重視數據主權?從概念上講,數據主權是指存在於本國的數據要受到本國法律的約束。盡管這一原則在物理世界理所應當,但在互聯網的虛擬世界中卻並非那麼顯而易見。一方面,是因為數據本身的流動性、分散性、碎片化特征使得難以將其約束在地理空間的范圍內﹔另一方面,長久以來網絡空間的自規制傳統使得全球數據治理體系排斥主權政府的涉入,倡導國際組織、企業、技術團體、民間機構平等參與的利益相關者模式佔據著主導地位。不過2013年的“斯諾登事件”卻表明了后者的失效。美國政府雖然在對美國公民的數據審查方面做出了較嚴格的約束,但卻以國家安全為名長時間放任了對於他國政府及公民數據的大規模、一般性審查。即使在“斯諾登事件”后受到了來自各方壓力,美國政府也並沒有做出實質上的改變。例如:在與歐盟重新談判數據貿易協議的過程中,仍然沒有承諾放棄大規模網絡審查﹔而美國司法部要求微軟提供后者存放在愛爾蘭的數據則更是凸顯了其固執的一面,因前者認為其有權要求總部位於美國境內的任何公司提供任何數據。利益相關者模式並不能對美國政府這樣的強勢主體進行有效約束。也正因為此,強調政府涉入和國家保護的數據主權原則才再次被提上日程。
其次,應該如何落實數據主權原則?就當前各國實踐來看,禁止數據向國外傳輸、要求數據本地化存儲、數據傳輸前必須征得數據所有者同意、向數據傳輸征稅等措施是較為常見的做法。但在政策落實過程中,仍然必須要考慮數據主權原則與其他政策的協調與平衡,而這又主要體現在數據貿易和數據隱私保護這兩方面。數據貿易日益成為新的經濟增長點,雲計算的興起更是要求數據的跨境自由流動。數據主權原則將不僅限制外國企業對本國數據的獲取和利用,同時也會限制本國企業走出去戰略的實施。因此,如何通過國際協定實現“互聯互通、共享共治”是數據主權原則落實過程中的要義之一。
◆鏈 接
“安全港協議”:“安全港協議(Safe Har bor Agreement)”是美國與歐盟在2000年簽署的數據交換協議,旨在解決美歐雙方在數據隱私保護方面的監管沖突。
歐洲強調公民數據隱私的充分保護,並於1995年通過了《個人數據採集和傳輸行為保護指令》,明確禁止向尚未建立充分的數據隱私權保護法律的國家傳輸數據。相比之下,美國的保護程度要薄弱不少,數據隱私的監管權力分散於若干政府機構之中,且缺乏綜合性規制的法律體系。為調和歐美監管制度沖突,“安全港協議”規定,即使美國國內監管制度不做任何調整,隻要美國企業承諾簽署該協議,並接受歐盟的隱私保護條款,歐洲數據即可在歐美間自由流動。至此之后的15年裡,包括Google、Facebook、Mi crosoft在內的超過4500家美國企業都依賴“安全港協議”以進行跨境數據流動業務。
2013年“斯諾登事件”曝光后,奧地利人Max Schrems向愛爾蘭數據監管機構提起訴訟,指控Facebook向美國政府提供數據,因而証明“安全港協議”未能有效約束美國公司保護歐洲公民的數據隱私。隨后該案轉至歐盟最高法院,並於2015年10月做出判決:“安全港協議”被裁定無效並予以撤銷。
2016年2月,經過新的艱苦談判,歐盟與美國宣布達成新的數據跨境流動協議(即“隱私保護協議”)。新協議雖然對美國公司施加了更多的數據隱私保護責任,並對美國政府施加了更多的監管責任,但有評論認為其並沒有解決歐美跨境數據流動的核心沖突,即美國仍然將國家安全置於首要位置且沒有承諾停止大規模網絡審查。新協議的有效性仍然需要等待歐盟最高法院的最終裁定。
