1、第 36 卷第 3 期2023 年 6 月南京理工大学学报(社会科学版)Journal of Nanjing University of Science and Technology(Social Sciences)Vol 36 No 3Jun 2023收稿日期:2023 03 20作者简介:王文君(1982),女,河北沧州人,中国社会科学院信息情报研究院助理研究员;研究方向:司法改革,国际经济法。基金项目:中国社会科学院国家高端智库 2021 年度智库基础研究项目“欧盟跨境数据流动法律问题研究”本文引文格式:王文君 论数据主权的管辖权和控制权 J 南京理工大学学报(社会科学版),2023(3
2、):51 58 EU General Data Protection Regulation,Article 12 to Article22DOI 编码:10 19847/j ISSN1008 2646202303 007论数据主权的管辖权和控制权王文君(中国社会科学院 信息情报研究院,北京 100027)摘要:当前,数据日益成为国家的战略资源,围绕网络空间展开的数据资源争夺愈演愈烈,传统主权概念由此延伸至网络空间,“数据主权”顺势而生。管辖权和控制权是数据主权的核心内容。当前,国际社会尚没有就数据主权的控制权与管辖权构建相关国际规则。各国基于国家利益自主制定的数据主权管辖规则极力追求自我利益最
3、大化,导致各国规则界限冲突,有走向恶性竞争循环的风险。数据主权规则竞争则加剧了司法管辖权和数据控制权争议协调难度。目前美欧在极力抗争的同时更加意识到合作共赢的必要性,如何处理数据管辖权和控制权问题,事关国家安全与发展,为了更好维护我国数据主权,亟需发展完善数据主权法律制度。关键词:数据主权;跨境流动;司法管辖;数据控制中图分类号:D93/97文献标志码:A文章编号:1008 2646(2023)03 0051 08一、问题的提出大数据时代下,数据日益成为国家重要战略资源,围绕网络空间展开的数据资源争夺愈演愈烈,传统主权概念由此延伸至网络空间,“数据主权”应运而生。数据主权是指一国对其管辖范围内
4、的组织和个人产生的数据拥有的最高权力,1 主要包括对数据的管理权和控制权,体现为一国对其境内产生的数据有权占有、管理、控制、利用和保护,并且享有管辖数据对外的独立权,如果他国对本国的数据权益产生威胁或侵害了本国的数据权益,本国可以采取必要的措施加以保护。2 当前,国际社会尚没有就数据主权的控制权与管辖权构建相关国际规则。美国和欧盟基于主导构建跨境数据国际规则话语权和国家安全利益等因素考虑,正在紧锣密鼓构建对自身利益最大化的国内规则制度,诱发同一数据法律关系的法律性质不同,导致跨境数据管辖权和控制权属争议频发,阻碍跨境数据正常流动,影响数字经济繁荣、可持续发展。因此,如何处理数据管辖权和控制权问
5、题,事关国家安全与发展。二、美欧规制数据管辖权和控制权的进展1 司法管辖权问题大数据时代,越来越多的数字平台开展跨国服务,数字服务总部、数据存储地和处理地时常不在同一国家和地区。这引起了不同国家执法机构调取数据的管辖权争议,具体表现为发生管辖权争议时适用哪国的法律以及如何解决法律冲突。国际司法实践中,国家司法管辖权主要包括15属人管辖和属地管辖两种基本类型,在这两种基本类型之外因国际刑事管辖的需要出现了保护主义管辖权(实践中也称长臂管辖),指一国基于某项活动对本国利益产生或即将产生重大影响这一事实所行使的管辖权,管辖不以行为人国籍和行为人所在地和行为发生地为考虑要素,只以行为效果是否及于本国为
6、考虑要素。在刑事犯罪管辖方面,多数国家将外国人在国外所从事的危害本国利益的犯罪置于本国法律管辖下,并未引发激烈国际冲突,但将长臂管辖权引入国际经济领域,则会更容易引起政府管控的冲突。3(1)立法进展。在司法管辖权领域,美国奉行“长臂管辖”原则,通过澄清境外合法使用数据法案(CLOUD 法案)实现数据领域的“长臂管辖权”,扩大美国执法机构调取境外数据的权力。CLOUD 法案规定,对于危害美国国家安全的犯罪、严重的刑事犯罪等重大案件,美国行政执法机构可不经司法程序,根据该法案调取相关证据。这意味着美国行政执法机构在认为可能存在危害美国国家安全的情况下,可以要求跨国企业将存储在他国境内服务器中的与调
7、查事件或案件相关的数据传输至美国政府机构。在对敌贸易法反海外腐败法 爱国者法案 等法律中也包含长臂制裁条款。欧盟各国受美国长臂管辖侵害已久,不断完善国内反制长臂管辖法律体系,早在 1996 年,欧盟理事会通过“1996 年阻断条例”,与其他系列相关文件构成“阻断法令”。2018 年更新了“阻断法令”,降低美长臂管辖对欧盟贸易的影响。通用数据保护条例 提高了美国法院获取个人数据信息的成本,一定程度上起到反制“长臂管辖”的作用。而 通用数据保护条例 最具特色的内容莫过于长臂管辖,该条例将数据管辖原则扩展为“影响主义”原则,规定数据控制者或者处理者即使没有在欧盟境内设立实体机构,只要其对数据主体的个
8、人数据做出处理行为,也适用该条例。2022 年 2 月,欧盟委员会公布的数据法案草案用专章对非个人数据的跨境流动问题做出规定,规定云服务提供商必须采取必要措施防止任何违反欧盟或成员国法律的国际访问或欧盟持有的非个人数据的传输,这弥补了通用数据保护条例 针对个人数据规定的空白。近年来,美欧为抢占网络空间国际规则的话语权,积极推进软法生成进度,将自身关切的诉求预先以软法的形式公诸于国际社会。例如,2017年 2 月,由北约智库“网络合作防御卓越中心”发起完成的 网络行动国际法塔林手册 2 0 版(简称 塔林手册 2 0 版)正式出版,规定了和平时期“低烈度”网络行动的国际法规则,涉及主权、管辖权等
9、领域,初步构建了一个相对完备的网络空间国际规则体系。4 但是,该手册以西方国家在网络空间的利益和关切为出发点,关于长臂管辖,在手册制定过程中,专家组成员并未形成一致观点。(2)司法实践。目前美国行使长臂管辖常见的方式是联邦政府动用长臂管辖权对境外机构或个人发起司法调查和起诉。在涉他国司法程序时,美国经常绕过国家间正常的司法执法合作渠道,采取单边强制措施进行域外取证,例如要求他国在美国设立的分支机构或企业向其提供在美境外的数据等证据。面对外国的交涉,往往以“正常司法协助或执法合作效率低下”等说辞予以搪塞。为更好实施长臂管辖,美国形成了长臂管辖制裁决策主体、执行部门分工协作、联手行动的全政府长臂管
10、辖运作模式,总统及国会与美财政部外国资产控制办公室等执行部门互相配合,达到制裁目标国的目的。美国长臂管辖已涉及中俄英法德日等多个国家,加剧了国家间的紧张关系,对和平稳定的国际秩序造成冲击。根据 通用数据保护条例 的规定,全球任何向欧盟居民提供商品或服务的企业均受制于通用数据保护条例,不管该企业是否在欧盟境内,甚至是否使用欧盟境内设备。由于欧盟在全球电子商务相关行业的巨大市场需求,各国在与其贸易往来中不得不遵守该规定,通用数据保护条25欧盟 通用数据保护条例 第一章第 3 条规定,条例不仅“适用于设立在欧盟内的(数据)控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内”“适用于对欧盟
11、内数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,但只要其处理行为”满足一定的条件,还“适用于设立在欧盟之外,但控制者所在地依据国际公法适用欧盟成员国法律的控制者进行的个人数据处理”。美国滥施“长臂管辖”及其危害 报告,新华社,2023 02例 成为几乎适用于全球范围的法律。对于美国的管辖扩张,欧盟通过对个人数据与非个人数据的严格保护,制约美国数据长臂管辖权,维护数据主权。实践中,对于长臂管辖行为只能以个案为基础进行分析,大多数情况下通过单边制裁或境内制裁等方式对行为人予以惩罚。跨境数据流动的司法管辖问题亟需在全球范围内形成统一的数据保护规范。2 数据控制权问题数据是监测国内外形势
12、、制定政治经济战略、控制人口的关键资源。当前,全球数据领域大国都在强化对本国数据的排他性控制权。(1)立法进展。美国政府先后出台澄清境外合法使用数据法案 出口管理条例 等政策法规对跨境数据流动进行管制,制裁他国企业。尤其是 2020 年 8 月美国国务卿蓬佩奥提出“清洁网络”计划,拉拢巴西等近 50 个国家加入。所谓的“清洁网络”计划是从五项工作出发,致力于保护美国关键的电信和技术基础设施,保护公民隐私和经济敏感信息免受中国“恶意入侵”,五项工作包括:清洁运营商,确保不受信任的中国运营商不与美国电信网络连接;清理应用商店:从美国移动应用商店中删除不受信任的应用程序,确保美国人最敏感的个人和商业
13、信息在手机上得到保护,以免被中国入侵;清洁应用程序:防止不受信任的中国智能手机制造商在其应用商店中预装或以其他方式提供下载应用程序;清洁云:防止美国公民最敏感的个人信息和企业最有价值的知识产权在基于云的系统上存储和处理;清洁电缆:确保连接美国与全球互联网的海底电缆不被中国破坏,阻止中国进行大规模情报收集。美国还与三十多个国家和地区合作,加入成员均承诺在其清洁网络中专门使用受信任的供应商,确保世界各地的海底电缆不会受到类似的损害。欧盟为扭转其在数字化时代所处的被动地位,保护欧洲网络和数字空间自由,继实施通用数据保护条例 后,德法开始主张“欧洲数字主权”,于 2020 年 共 同 主 导 欧 洲
14、云 计 算 平 台“GAIA X”数据空间项目,该项目由德国和法国联合牵头策划,欧盟 27 国参与,旨在在欧洲建立一个安全的数据基础架构,减少欧洲对国外云厂商的依赖,实现欧洲数字主权。5(2)司法实践及其他行动。“清洁网络计划”是在中国互联网产业对美国数字霸权形成挑战的形势下,美国基于对中国互联网产业长期研究提出的精准打击策略。根据美国“清洁网络计划”,包括 TikTok、微信在内的“不受信任”中国 APP 在美国应用商店里被禁止使用,中国云服务商在美国的收集、存储、处理数据的能力也被进一步限制。华为、中兴等美国宣称“不可信任的电信供应商”的设备也被禁止使用于加入“清洁网络计划”的所有成员。美
15、国数字科技巨头在欧洲占有极大市场份额,欧洲公民日常多使用美国科技公司提供的数字服务,使用过程中产生的数据即存储于美国,美国 CLOUD 法案和 外国情报监视法 规定允许美国司法和情报机构访问美国公司保管的境外数据。据 2021 年 11 月统计,亚马逊、微软、谷歌的云服务占据了欧盟云服务市场的 69%之多,德国电信作为欧洲最大的云服务提供商仅占该市场2%的份额,欧洲大多数数据被美国所控制。在此背景下设立的“GAIA X”项目现已拥有数百名来自欧盟和世界各国的成员,谷歌、微软、阿里巴巴、华为等都在其内。面对外国成员的加入,“GAIA X”项目坚持优先支持欧盟的云计算和数字主权。此外,该项目得到欧
16、盟委员会竞争部门的支持和欧盟委员会复苏基金的资金支持。在“GAIA X”项目之外,欧盟还致力于在成员国和主要利益相关者之间制定系列联合倡议,例如 2020 年 10 月,27 个欧盟成员国签署了关于在欧洲建设下一代云的联合声明。2021 年成员国和“欧洲工业数据和云联盟”合作启动,推动云科技进步。法国和德国启动了各自的“可信云”建设,旨在通过技术和法律手段保障本国数据不受域外法律影响。法国和德国还支持可信云的混合模式建设,两国均与谷歌合作,采用谷歌技术建立因循欧盟标准,保留对数据主权控制的技术公司。通过“GAIA X”项目、欧盟层面的联合倡议35ODER in the United States District Court Northern District of Texas,United States of America v ZTE Corporation,NO 3:17 CR 0120 K和国家层面的举措,欧盟希望能通过云计算能力的提高缓解数据安全问题,达成欧盟“共同数据空间”的目标。三、数据主权规则与数据管控争议解决当前国际上关于数据主权所聚焦的司法管辖权和数据控制权问题本质
