贾开
伴随着大数据的兴起和云计算时代的到来,数据的使用和保护成为越来越重要和紧迫的议题。“斯诺登事件”的爆发,一方面宣告了长久以来以市场自规制模式为主导的全球数据治理模式的失效,另一方面也凸显了以美国为代表的先发国家对于他国数据权利的漠视。自此之后,数据主权的理念被越来越多的提及,并逐渐开始落实到政策层面。2015年10月欧盟中断运行长达15年之久的欧美数据贸易协议(即“安全港协议”)便是典型例证。但不可忽视的是,数据主权的治理原则与建设互联互通的全球互联网仍然存在一定冲突,因此有必要对此做出更深入的探讨和更清晰的解释。
首先,为什么需要重视数据主权?从概念上讲,数据主权是指存在于本国的数据要受到本国法律的约束。尽管这一原则在物理世界理所应当,但在互联网的虚拟世界中却并非那么显而易见。一方面,是因为数据本身的流动性、分散性、碎片化特征使得难以将其约束在地理空间的范围内;另一方面,长久以来网络空间的自规制传统使得全球数据治理体系排斥主权政府的涉入,倡导国际组织、企业、技术团体、民间机构平等参与的利益相关者模式占据着主导地位。不过2013年的“斯诺登事件”却表明了后者的失效。美国政府虽然在对美国公民的数据审查方面做出了较严格的约束,但却以国家安全为名长时间放任了对于他国政府及公民数据的大规模、一般性审查。即使在“斯诺登事件”后受到了来自各方压力,美国政府也并没有做出实质上的改变。例如:在与欧盟重新谈判数据贸易协议的过程中,仍然没有承诺放弃大规模网络审查;而美国司法部要求微软提供后者存放在爱尔兰的数据则更是凸显了其固执的一面,因前者认为其有权要求总部位于美国境内的任何公司提供任何数据。利益相关者模式并不能对美国政府这样的强势主体进行有效约束。也正因为此,强调政府涉入和国家保护的数据主权原则才再次被提上日程。
其次,应该如何落实数据主权原则?就当前各国实践来看,禁止数据向国外传输、要求数据本地化存储、数据传输前必须征得数据所有者同意、向数据传输征税等措施是较为常见的做法。但在政策落实过程中,仍然必须要考虑数据主权原则与其他政策的协调与平衡,而这又主要体现在数据贸易和数据隐私保护这两方面。数据贸易日益成为新的经济增长点,云计算的兴起更是要求数据的跨境自由流动。数据主权原则将不仅限制外国企业对本国数据的获取和利用,同时也会限制本国企业走出去战略的实施。因此,如何通过国际协定实现“互联互通、共享共治”是数据主权原则落实过程中的要义之一。
◆链 接
“安全港协议”:“安全港协议(Safe Har bor Agreement)”是美国与欧盟在2000年签署的数据交换协议,旨在解决美欧双方在数据隐私保护方面的监管冲突。
欧洲强调公民数据隐私的充分保护,并于1995年通过了《个人数据采集和传输行为保护指令》,明确禁止向尚未建立充分的数据隐私权保护法律的国家传输数据。相比之下,美国的保护程度要薄弱不少,数据隐私的监管权力分散于若干政府机构之中,且缺乏综合性规制的法律体系。为调和欧美监管制度冲突,“安全港协议”规定,即使美国国内监管制度不做任何调整,只要美国企业承诺签署该协议,并接受欧盟的隐私保护条款,欧洲数据即可在欧美间自由流动。至此之后的15年里,包括Google、Facebook、Mi crosoft在内的超过4500家美国企业都依赖“安全港协议”以进行跨境数据流动业务。
2013年“斯诺登事件”曝光后,奥地利人Max Schrems向爱尔兰数据监管机构提起诉讼,指控Facebook向美国政府提供数据,因而证明“安全港协议”未能有效约束美国公司保护欧洲公民的数据隐私。随后该案转至欧盟最高法院,并于2015年10月做出判决:“安全港协议”被裁定无效并予以撤销。
2016年2月,经过新的艰苦谈判,欧盟与美国宣布达成新的数据跨境流动协议(即“隐私保护协议”)。新协议虽然对美国公司施加了更多的数据隐私保护责任,并对美国政府施加了更多的监管责任,但有评论认为其并没有解决欧美跨境数据流动的核心冲突,即美国仍然将国家安全置于首要位置且没有承诺停止大规模网络审查。新协议的有效性仍然需要等待欧盟最高法院的最终裁定。
