红包分享
钱包管理
0- 0
- 0
来源:Cismag 信息安全与通信保密杂志社
摘 要:技术治理与地缘政治是数据跨境规则演进的重要动力。一方面,技术治理的逻辑在于如何正确认识生产力与生产关系的辩证关系,数字技术发展所带来的生产力变革必然需要新的规则体系与之适配。另一方面,地缘政治的逻辑聚焦于数据资源与权力分配的关系,特别是传统的国际政治博弈对规则演进的影响。在技术治理与地缘政治的双重互动下,当前热议的数据跨境规则“自由化”与“本地化”之争,最终会朝“趋同演化”的方向演进。
内容目录:
1 数据跨境规则演化的表征
1.1 数据本地化的发展趋势
1.2 贸易中对数据自由流动的需求
2 技术治理的逻辑
2.1 技术进步是讨论的前提
2.2 科林格里奇困境
2.3 以企业为代表的非国家行为体对技术治理越来越重要
3 地缘政治的逻辑
3.1 基于安全逻辑
3.2 基于威胁逻辑
3.3 基于控制逻辑
4 结 语
当前数据跨境规则呈现了一对看似相互矛盾的演化趋势。一方面,在国家安全层面,“数据本地化”渐成趋势,收紧数据跨境限制的国家越来越多。另一方面,在贸易领域,随着各类数字协定的增加,鼓励数据自由流动,反对设置流动壁垒的国家也在变多。本文即以此矛盾的演化趋势为议题,重点分析其背后的生成机制。本文认为,技术变革与地缘政治是形成上述规则演化的最主要的两个因素。以往的研究主要注重地缘政治或技术治理,通常用单一视角的分析框架研究规则的演化进程,然而数据跨境规则有其特殊性。首先,它是技术进步的产物,技术变革能够决定规则演进的方向。其次,国家依旧是国际规则制定的最主要的行为体,长期在数据资源的生产和分配中占据主导地位。因此,如何理解这两个逻辑的关系以及两者间的互动机制对数据跨境规则演进,以及在数据领域达成国际共识并建立信任机制都具有重要意义。
1
数据跨境规则演化的表征
当前数据本地化与数据流动的自由化正齐头并进,不遑多让。一方面,数据本地化被越来越多的国家认可;另一方面,随着数字贸易的发展,要求数据自由流动的需求也在增加。
1.1 数据本地化的发展趋势
当前,数据本地化政策正在全球范围内快速普及,主动实施数据本地化政策的国家越来越多。根据美国信息技术与创新基金会(Information Technology and Innovation Foundation,ITIF)的统计,截至 2021 年制定数据本地化政策的国家数量几乎翻了一番,从 2017 年的 35 个增加到2021 年的 62 个,各类限制数据自由流动的政策工具由 2017 年的 67 个增加到 2021 年的 144 个,还有几十项类似政策正计划实施。而到 2022 年,启动数据本地化政策的国家达到了 71 个。故而有评论认为,数据边界开放的时代已经结束。值得注意的是,即便是一直倡导数据自由流动的美国,近年来也在不断以国家安全的名义限制数据流动。其中,最明显的案例便是美国以国家安全的名义对 Tik Tok(抖音海外版)数据流动的打压。Tik Tok 为了维持在美国的正常运营,启动了“得州计划”,即将美国运营的数据存储在得克萨斯州的数据库,数据库的内容监管交由甲骨文(Oracle)来执行,这本身就是一种数据本地化的体现。
在大西洋彼岸,本就对数据跨境态度审慎的欧盟,也通过《通用数据保护条例》(General Data Protection Regulation,GDPR)中的“充分性认定”等限制性机制来管理数据跨境的流量。2019 年后,欧盟为加强自身数字经济的发展,开始着眼于云计算服务,希望数据尽可能地存储在欧盟本地的数据中心,由法德等国联合推出的 Gaia-X 计划就是欧盟云存储服务的核心项目。而且,在 2020 年初,由欧盟委员会发布的《欧洲数据战略》(A European Strategy for Data)中,也提出要将更多的数据优先存储在欧盟境内的服务器上,从而为欧盟的人工智能、物联网产业的发展保护好至关重要的数据资源,避免欧盟的数据肆意流向美国科技公司,为美国企业“做嫁衣”。
一些发展中国家如印度、沙特等也纷纷采取了基于强监管的“数据本地化”政策。印度于2022 年效仿欧盟 GDPR 制定了本国的《个人数据保护法草案》(Digital Personal Data Protection Bill 2022,DPDP)和《国家数据治理框架政策》(National Data Governance Framework Policy,NDGFP),而且印度一直顶着美国的压力推进本国的数据本地化政策。2018 年,美国参议员约翰·科宁(John Cornyn)和马克·华纳(Mark Warner)曾致信印度总理莫迪,反对印度政府的数据本地化政策。美方认为,印度数据法治建设中的数据本地化进程,不仅不会提高印度民众的数据安全性,而且会对跨国公司在印度的业务带来负面影响,进而破坏莫迪政府制定的经济目标 。然而,印度不为所动,继续坚持本国的既定策略,这进一步导致美国在推动“印太经济框架”(Indo-Pacific Economic Framework for Prosperity,IPEF)时,印度延续其对数据本地化政策,对加入 IPEF 及接入“美式模板”的数字贸易体系持谨慎态度。因此,目前印度在IPEF 的贸易议题中还是“观察员”的身份,不直接参与谈判,坚持要等到最终协议出台后才选择是否加入。
在多边层面,以印度为代表的部分发展中国家也没有站在美欧等发达经济体一边,而是强调基于自身发展权的数据流动政策。在 2019 年6 月 G20 大阪峰会期间,印度、印尼与南非的领导人拒绝在《大阪数字经济联合宣言》上签字,对 G20 数字经济特别会议上所提出的“可信数据自由流动倡议”(Data Free Flow with Trust,DFFT)持怀疑态度。在 2022 年印度尼西亚举行的 G20 巴厘岛峰会上,尽管 G20 成员大多承认了透明、公平和互惠等原则对数据跨境流动的重要意义,但是印尼官员依旧强调管理与控制数据流动对印尼掌握自身发展优势尤为必要。事实上,印尼的主张点出了很多发展中国家的“心声”。因为,一旦放开全面的数据自由流动,致使本国数据门户大开,则易让发达国家的先进数字企业垄断发展中国家的国内市场,进而倾销其数据产品,挤压发展中国家企业的发展空间,进而等同于让发展中国家将数字经济的发展权拱手让人。
由 此 可 见, 对 于 很 多 发 展 中 国 家 而 言,“可控”比“可信”的优先级更高。在数字经济时代,数据作为发展中国家少数能够掌控的关键资源,也是发展中国家抗衡发达国家数据产品倾销的重要筹码,唯有掌控好本国的数据资源,才能掌控其发展权。因此,这也让更多的发展中国家将数据本地化作为其首要的政策偏好。
1.2 贸易中对数据自由流动的需求
当前数字贸易协定鼓励数据在国际贸易活动中进行不受本地化限制的流动。从数字贸易协定的发展历程来看,数据要素化的占比越来越高。有学者认为,21 世纪后的数字贸易协定经历了 3 个发展阶段:第一阶段是将数字贸易视为电子商务(1998—2012 年),第二阶段是将数字贸易视为数字产品和服务贸易(2013 年),第三阶段是将数字贸易视为实体货物及数字产品和服务贸易(2014 年至今)。由此可见,随着贸易活动数字化水平的提升,数字贸易的概念与内涵都随之扩大。与之相伴而生的,便是数据跨境流动规则在数字贸易中的价值不断提升。早在 2007 年的《美韩自由贸易协定》中,缔约方就开始重视数据跨境流动的问题,然而在当时的历史条件下还未形成强制性的约束条款。此后,“全面与进步跨太平洋伙伴关系协定 ”(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)条款中开始明确针对数据跨境规则开展制度性要求。在TPP 的电子商务章节中,明确要求缔约方促进“数据跨境的自由流动”,并提出了“原则 + 例外”的规则模式,即各方以促进数据跨境的自由流动为原则,以合法公共政策目标与缔约方监管为例外。为摆脱 CPTPP 中数据跨境规则“例外”条款的模糊性,“美墨加贸易协定”(United States-Mexico-Canada Agreement,USMCA) 中直接删除了原 TPP 数据跨境条款中有关“监管需求”与“公共政策目标”的例外规定,该删除进一步强化了“跨境数据自由流动”条款的约束力并提升了其执行力和可信度 。
由美国模式下的数字贸易协定的发展进程可以看出,美式模板针对数据跨境规则旨在增强其“开放性”和“互操作性”。客观而言,这种发展趋势在很大程度上影响了其他国家和地区的自由贸易协定。例如,在《区域全面经济伙伴关 系 协 定》(Regional Comprehensive Economic Partnership,RCEP)的数据跨境规则中,也采用了“原则 + 例外”模式来促进数据跨境流动,在限制数据本地化政策的同时,提出了“国家安全、公共政策与国家监管”的例外。在《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,DEPA)中,DEPA 的数据跨境流动相关规则沿用了美式模板,但加强了个人数据保护的部分。
总体而言,无论是美式模板下的 CPTPP、USMCA,还是 RCEP 或 DEPA,在设计数据跨境流动规则时,都旨在限制过度的数据本地化,鼓励数据自由流动。今后,随着物理空间与数字空间融合程度持续提升,数据要素流动的需求也将进一步增强,未来包括数据跨境流动议题在内的国际数字贸易规则谈判,必然要在议题深度和广度上不断扩展,最终形成更高的规则标准、更高的开放水平 。也正因如此,在贸易领域中,要在规则框架内允许数据自由流动,才能在市场机制下更加有效地配置数据要素,进而增加经济发展活力。这已经成为部分国家和地区的共识。
2
技术治理的逻辑
技术治理的核心诉求是实现技术进步与社会发展的和谐互进。对于数据跨境规则而言,技术治理的基本逻辑大致呈现 3 点主张:一是数据跨境问题源于技术,也应靠技术解决;二是技术治理始终受“科林格里奇困境”的制约,与其强行突破,不如顺其自然;三是技术进步颠覆传统治理模式,以企业为代表的非国家行为体在技术治理中的重要性越来越明显。
2.1 技术进步是讨论的前提
从历史的演进来看,数据跨境流动事实上自人类有跨境交往的需求以来就一直存在,当前的数据多以电子形式存在,而历史上的数据则多为文档交换。在全球化的演进过程中,跨境的数据交互是不同区域间贸易往来理所当然之事,而数据跨境规则成为一项单独的国际议程,这是数据处理技术进步使然。21 世纪以来,随着数字技术的发展,生产、服务、商品的数字化对数据高纬度分析的需求越来越大,让数据在产生、分配、聚合、流动等“全生命周期”中的价值不断攀升,特别是数据作为数字经济发展的基础性作用不断凸显。因此,我国将数据增长列为生产要素的原因,就在于它对推动生产力发展已显现突出的价值 。
值得注意的是,当前数据要素价值的边际效应正处在上升期,最突出的体现便是人工智能发展与数据的关系。数据是人工智能发展的“原油”,数据的多寡与质量的优劣决定了人工智能的发展前景。因此,随着以 ChatGPT 为代表的内容生成式人工智能(以下简称“AIGC 技术”)的发展,数据在推动科技创新中的基础性作用进一步提升,同时数据作为经济发展要素的作用也愈发凸显。长期来看,AIGC 技术将颠覆现有国际数据制度竞争的逻辑。原本数据制度竞争的主要目标之一,是优先保护本国数据,同时促进他国数据流入。但是,AIGC 技术改变了数据生成的既有模式。AIGC 技术需要消耗数据资源用于算法迭代和内容输出,而且 AIGC 技术在输出内容的同时也意味着新的数据被创造出来,即实现了数据的“再生产”。据全球最大信息技术咨询公司 Gartner 预测,人工智能所创造的数据将在 2025 年占到人类已生产数据总和的 10%;届时 30% 的企业将采用内容生成的营销数据,而这一比例在 2022 年仅为 2%。如果依照这样的增长速率,那么人工智能数据“再生产”所生成的数据量将超过现有人类社会自身运行所产生的数据量的总和。这便引发了“量变到质变”“先进生产力变革生产关系”的过程。当人工智能可以利用自身生产的数据实现“自我进化”时,必将减少对其他数据的依赖,进而国家数据本地化政策的效益会降低,现有的数据治理中的技术与经济逻辑就会失效,现有的国际数据认证、数字贸易中的数据规则等制度都将迎来新的变革。
2.2 科林格里奇困境
从 治 理 的 角 度 来 看, 技 术 治 理 首 先 要 面对 的 就 是“ 科 林 格 里 奇 困 境”(Collingridge Dilemma)。该困境由英国学者大卫·科林格里奇提出,意在阐明新兴技术的发展与社会认知的变迁并不同步,甚至相互背离。当技术的社会危害较轻时,没有人可以认识到修正技术路径的必要性;但是,当技术的危害变得广为人知时,再想要去控制技术,则变得异常困难且代价高昂 。简言之,人的认知不可能超越技术发展的实践,因而国家对技术的治理也很难实现所谓的“预防性治理”,“先发展,后治理”的模式往往成为决策者不得不面对的现实。正如交通规则的出现,本身就是当汽车取代马车被大规模使用后,出现了一系列马车时代所不曾有过的新问题,需要新的社会规则来规范新的技术后果。同样,数据技术的发展与应用也面临同样的问题。由于受“科林格里奇困境”的制约,数据技术的发展到底会产生什么后果,没有人能够给出确切的回答,任何一项技术都是“双刃剑”,数据技术的发展也不例外。大数据在给人们生产生活带来便利的同时,也形成了大面积的“数据黑产”;当个人信息交互形成平台经济的大繁荣时,针对个人信息聚合与处理的定向广告已经可以直接被用来操纵选举,如剑桥分析,这一点也是在数据被利用之前无人注意到的问题。由于认知必然落后于实践,因此很多情况下对监管层来说只能走一步看一步,发现问题后再解决问题。于是,一种名为“敏捷治理”(Agile Governance)的技术治理范式渐为各国所重视。“敏捷治理”源自软件开发过程中的“敏捷开发”概念,意在不断根据用户反馈来迭代产品,通过不断更新换代来把产品做好,而不是一开始就设计一款最好的产品。新兴技术的发展不断冲击传统的治理体系。“敏捷”的概念受到越来越多学者及决策者的关注。在 2018 年的世界经济论坛上,“敏捷治理”作为一种新的技术治理范式被正式提出,并向各国推广。“敏捷治理”的核心要义在于转变决策者的治理思维,从基于计划的决策方式转变为根据实际反馈在治理的过程中不断完善施政的手段,从而快速响应、灵活且有包容性地进行决策过程。在数据治理的实践中,日本的《个人信息保护法》就规定日本的数据制度须每三年修订一次。由此可见,为克服技术影响的未知性,从而把技术影响可能造成的危害降到最低,各国都在选择进行动态的治理,从而让决策者可以降低技术发展的负面后果。
2.3 以企业为代表的非国家行为体对技术治理越来越重要
在传统的国际规则制定中,国家是最主要的行为体。但是,在数字经济时代则截然不同,非国家行为体对国际规则产生了越来越重要的影响,其中一个较为重要的国际实践是基于“多利益攸关方”模式而管理的互联网名称与数字地址分配机构,即通过各方合意,自我评议,类似私人企业的运营模式来管理的。与之类似,在数据跨境规则的形成过程中,企业既是被规制的主体,也是推动规则形成的重要力量,这体现在以下两个方面。
一是企业与政府的博弈是数据跨境规则形成的重要推动力量。其中,最为突出的案例是《澄清境外数据合法使用法案》(以下简称《云法案》)出台背后的微软与美国司法部门的博弈。2013 年12 月,美国纽约南区联邦地区法院签发搜查令,要求微软协助调查,调用其用户账户中的电子邮件内容等信息。但是,微软认为调用存储在爱尔兰数据中心的相关数据需要得到爱尔兰政府批准,因此拒绝了美国司法部门的要求。于是针对这一问题,美国司法部门认为微软的做法妨碍刑事侦查,故而将案件提交至美国最高法院审议。2018 年 2 月,微软和美国司法部在美国最高法院就此问题展开辩论,最后直接推动了《云法案》的出台。在《云法案》出台后,美国司法部门获得了可要求微软调取位于境外服务器数据的权力。事实上,微软与美国政府博弈的结果还不仅限于此,其对全球数据跨境的外溢影响也逐渐凸显。《云法案》的出台,推动了国际执法数据跨境调取直接进入“新阶段”。2022 年 8 月,美国与英国签署《数据访问协议》,这是全球首部跨境数据取证的双边国际协议。由此,《云法案》正随着美国霸权走向“国际化”,也推动了国际数据跨境规则的发展。
二是企业主动增强对立法、外交等国家决策层的影响力。随着数字技术的发展,企业的影响力不断提升,特别是主流的数字企业开始运用其权势,通过政治游说等方式影响政府决策,出台对其有利的政策。根据美国响应政治中心的数据,科技巨头 Meta 和亚马逊在 2021 年分别花费 2 007 万美元、1 932 万美元用于国会游说,超过了传统的军工科技巨头洛克希德的1 440 万美元 。另据彭博社报道,2021 年第一季度,谷歌在联邦游说上花费了 270 万美元,比2020 年同期增长了 49%。亚马逊将其联邦游说的支出增加了 11%,总计 480 万美元。除通过国会层面外,科技企业也在通过美国智库间接助力其游说工作。根据《金融时报》的追踪调查,谷歌、亚马逊、脸书和苹果公司不断增加对美国 国 际 战 略 研 究 中 心(Center for Strategic and International Studies,CSIS)、新美国安全中心(Center for a New American Security,CNAS)、布 鲁 金 斯 学 会(Brookings) 和 哈 德 逊 研 究 所(Hudson)的游说经费,4 家智库受科技公司的资助金额已从 2017 年度的 62 万美元上涨至2019 年度的约 270 万美元。哈德森研究所的员工在接受采访时表示:“脸书一直支持我们分析中国崛起对美国的威胁状况,尤其是在数据和研发的国际竞争力方面。” 随着资金投入的不断提升,美国的数字企业对美国外交,特别是“二轨对话”的掌控力正在增强,进而更容易通过智库游说的方式让美国国会通过对企业发展有利的政策法案。
3
地缘政治的逻辑
地缘政治理论源自 19 世纪末西方帝国主义竞争最激烈的时代,最初该理论利用地理要素来解释国家间的政治行为,而后历经学界的不断探索,又发展出了海权论、心脏地带论、边缘地带论、空权论以及当代兴起的“网络地缘论”“数字技术地缘论”等一系列基于边疆拓展与国家权力的学说。但是,无论地缘政治学说的边疆范围如何变化,其内核都离不开“安全”“威胁”与“控制”。这一点在国家参与跨境数据规则的形成中也是如此。
3.1 基于安全逻辑
传统地缘政治的安全竞争对数据跨境规则的影响无远弗届,通常情况下数据规则的制定需要服务于国家的总体安全,其最主要的表现是各种类型的国家安全“例外”。其中,表现最多的是数字贸易领域中的“安全例外”。近年来,尽管美式模板的安全例外呈现“安全”定义更加明确、“例外”范围逐步收窄的趋势,但是在双边领域,以跨境数据涉及国家安全为借口,并将此作为政策工具的倾向愈发明显。特别是美国正不断地以“国家安全”为借口来打压中资企业,其中以美国打压 Tik Tok 最为典型。无论是美国前总统特朗普执政时期,还是当前拜登政府,美国政府都在泛化国家安全的概念,借口所谓“国家安全威胁”来限制 TikTok 在美国的运营。美国对 Tik Tok 的“打压方案”主要有两个:一是彻底禁止 Tik Tok;二是要求Tik Tok 剥离与字节跳动的联系,并出台行政令予以打压。Tik Tok 曾一度与拜登政府达成协议,启动了名为“得克萨斯计划”的《数据本地化方案》。该方案的核心在于,成立一个新的子公司 USDS(Tik Tok U.S. Data Security Inc.),然后承诺将在美运营的数据放在得克萨斯州,并由美国企业甲骨文代为托管。同时,Tik Tok 还鼓励开放监管,欢迎美方监管机构随时随地就相关数据安全问题进行审查,以确保 Tik Tok 的数据运营不会对美国国家安全造成风险。尽管 Tik Tok 做了一系列的努力,竭力迎合美方的数据合规要求,但是依旧无法扭转美国政府针对 Tik Tok 出台歧视性政策。
从数据跨境规则的角度来看,美国政府与Tik Tok 的博弈,在客观上推动了美国本土的“数据本地化”政策。由此可见,不管美国如何宣传所谓的“互联网中立”,鼓励“数据跨境自由流动”,然而一旦涉及美国国家安全时,美国也会优先选择“数据本地化”政策来规制数据的跨境流动。
3.2 基于威胁逻辑
因共同威胁而结成联盟是地缘政治中“阵营化”发展的重要动因。在这一逻辑的衍生下,由国家主导的数据跨境规则进程,一旦遇到安全威胁也会倾向于结成“阵营”。这一点在乌克兰危机中表现得淋漓尽致。
自 2020 年 8 月,欧洲法院判决美欧数据跨境流动的《隐私盾协议》(Privacy Shield)无效后,美欧双方一直就建立新的数据跨境流动机制进行磋商,欧盟方面希望签署一个有利于欧盟数字企业且能够切实保护欧洲民众个人信息的新协定。然而,由于美欧在实施电子监听的尺度与个人信息保护力度等方面有不同看法,进而导致美欧双方的谈判一度陷入僵局,迟迟未能就新的数据跨境机制达成共识。2022 年乌克兰危机的爆发,促使欧盟转变了对美强硬的立场,欧盟意识到俄罗斯的安全威胁比美国的经济竞争更直接,因此欧盟寄希望于在数据跨境规则上的让步来换取美国在军事上的安全支撑。在乌克兰危机爆发的一个月后,欧盟就同美国在数据跨境问题上达成框架性协议——《跨大西洋数据隐私框架》。针对这一协议,欧盟显然受到了两方面的影响:一是乌克兰危机后,出于政治与安全的逻辑,欧盟委员会将美欧的外交关系置于欧洲人权之上 ;二是出于情报传输方面的考虑,由于美国情报机构的能力远超欧洲同行,欧盟需要美国情报机构向其提供实时的情报,而不能让信息传输受制于“不合时宜”的制度。此外,由于美国科技公司在乌克兰危机中对保障乌克兰与欧盟的数据安全起到了支撑作用,正如谷歌的欧洲负责人马特·布里廷(Matt Brittin)所表示的那样,跨大西洋数据流动对于保护乌克兰在内的国家网络安全,免受网络攻击至关重要。因此,美国的企业家也有很强的动力去推动新的美欧框架性协议的建立。
美国科技公司在乌克兰危机中的作用主要表现在两个方面:一是面对俄罗斯的网络攻击,乌克兰当局即撤销数据本地化的规定,并将数据迁移到境外的云服务器上,特别是美国的云服务器上,从而保护数据资源不被俄罗斯破坏,并保障己方数据处理的能力。二是乌克兰当局借助星链系统来进行数据传输,同时乌克兰军方也得益于星链系统,让其能利用卫星网络来监视和协调对俄罗斯的军事打击。因此,美国星链公司被视为能够帮助乌克兰与外部保持联系并进行网络中心战的重要因素。它展示了他国的民用卫星如何通过共享数据来保护国家安全。由此可以推断,受乌克兰危机的“前车之鉴”,欧洲国家为了应对俄罗斯的威胁,其对美国的数据监控容忍度将不断上升,同时为了保证“战时”的数据安全,欧盟成员国将更加积极地向美国数字企业,如亚马逊云服务、星链系统等寻求备份,从而保证己方的数据存储与通信不被敌方攻击而破坏。但是,这反而促进了美欧在数据领域更加团结,也加剧了全球数据跨境规则中的“阵营化”。
3.3 基于控制逻辑
当前,围绕数据控制权的争夺日趋激烈,数据作为国家间竞争的战略资源属性愈发凸显。与许多关键矿产资源的政治博弈类似,数据作为一种战略资源,国家在其生产和分配的过程中占据主导地位。然而,与传统的资源政治不同,传统的资源竞争强调对生产侧与供给侧的占据,而国家在争夺数据资源的过程中,核心任务是争夺对数据的控制权。在数据治理中所谓的“控制”是指,基于数据作为国家基础性战略资源的视角,从维护国家主权、安全和发展利益的角度,明确国家能够对一定范围内数据的收集、使用、流动、删除、销毁等环节提出自主控制和支配的强制性要求 [23]。从国际上的实践来看,为增强对数据的控制权,各国都在把数据纳入主权的范畴之内,无论是中国提倡的“数据主权”,还是欧盟提出的“技术主权”都在此列。与此同时,各国也在不断延伸其对数据的域外管辖能力。在这方面,美国无疑是走得最早、最远的一个。2018 年 3 月,美国国会通过了《云法案》。根据《云法案》确立了“数据控制者”的标准,并赋予美国司法机关以国家安全或执法需要为由调查数字企业全球数据的能力。因此,该法案表面上是对美国政府调取境外数据设置条件,实际上却是将这一权力合法化。事实上,在美国增强自身权力的同时,欧盟于 2018 年正式实施 GDPR,该架构摒弃了原先数据在司法上“最低限度联系”标准的使用,转而以“全球共管”模式指导管辖规则的设计,赋予本国法院对起诉时与管辖区域有联系的非居民被告的管辖权 。中国的《数据安全法》也确立了维护数据安全工作的域外管辖权。由此可见,各主要国家和地区都在通过确立“属地”加“保护性管辖”的原则,把数据的管辖纳入主权的范畴,从而更好地应对全球数据竞争。
值得注意的是,数据控制权争夺的背后是各国对数字发展权的考量,以及对垄断的恐惧。在当前的数字技术发展进程中,已经呈现出较为明显的“中心—边缘”结构。由于美国在数字技术领域占据明显的先发优势,相较于其他国家而言居于“中心”地位,而其他国家相对处在“边缘”地带。而且,美国还正利用全球的地缘政治形势,不断加强其“中心地位”。最为典型的案例莫过于“全球数据跨境隐私规则”(Cross-Border Privacy Rules,CBPR)的提出。CBPR 原本仅限于亚太地区,是美国于 2011 年起向“亚太经合组织”成员国力推的一项数据跨境机制。2022 年 4 月,美国宣布将原本仅局限于亚太地区的“亚太跨境隐私规则”升级为“全球跨境隐私规则”,即 CBPR 由地区性机制转变为全球机制。同时,美国拟在现有的 CBPR的基础上开发一个新的国际数据认证系统,以适应各类不同标准的数据保护制度。显而易见,美国正在推动新 CBPR,将全球大多数国家的数据合规体系纳入其中,进而让美国能够掌握全球数据规则的制定权,并让美国科技企业能用最低的成本吸引海外数据向美国流动,巩固其数字经济和技术在全球的中心地位。与此同时,美国在数字技术上的研发与产业化的优势,也在巩固其“中心”地位。特别是近期随着以ChatGPT 为代表的内容生成式人工智能技术的快速兴起,会进一步增强美国科技企业对全球数据的吸引力。因为优质的技术产品本身就有利于吸引数据向其流动,而后科技企业又可以通过对数据的处理、算法的迭代,进一步发展、生产更优化的产品,形成数据赋能产品开发的正循环,有利于美国垄断全球数据跨境规则。
鉴于此,为抵制美国今后可能在数据跨境领域形成的垄断地位,欧盟、中国都提出了基于主权的数据技术与数字经济发展规划,以避免美国随意获取全球数据。例如,欧盟为了发展自身数字市场,先后颁布 GDPR、《数字市场法》等法案,以限制美国科技企业对其本地用户的蚕食和垄断,为欧洲本地企业留下发展空间。与之类似,世界其他国家在美国垄断趋势的背景下,为了保护本土的发展权,避免数据被轻易“拿走”,也纷纷推出符合自身利益的数据保护制度,调整数据本地化政策,以应对美国对全球数据的垄断局面。
4
结 语
当前,数据跨境规则正在经历一对看似矛盾且方向相反的演化进程。一边是采用“数据本地化”政策的国家越来越多;另一边是在贸易领域,反对设置数据流动壁垒,支持数据自由流动的国家也在变多。即数据跨境规则演进正向“自由化”与“本地化”两个极端发展。这种看似矛盾的演化方向正是马克思主义“矛盾”哲学的体现,同时从规则形成机制的层面考量,看似矛盾的背后是技术治理与地缘政治双重互动所造成的结果,进而产生以下 4 种机制来影响数据跨境规则的演化进程:
一是多层嵌套性(Multilevel Embeddedness)。数据跨境规则在演进的过程中,技术治理与地缘政治并非独立运作,而是相互纠缠、相互嵌套在一起,并共同向对方施加作用力。技术进步为国家在处理地缘政治事务时提供了更多的选择,同时地缘政治博弈也为技术治理带来了更多的场景。如前文所述,在乌克兰危机中,乌克兰政府利用美国星链系统传输数据一事,即地缘政治与技术治理相互作用的案例。一方面,地缘政治危机的爆发打破了原有的数据本地化政策;另一方面,科技企业基于新兴技术的进步,发挥超越国家间传统机制的新作用。
二是多主体互动。技术治理与地缘政治逻辑在互动的过程中,极大地丰富了各个层级的行为体的作用。除传统的国家作为主要行为体外,企业、非政府组织乃至个人都在不断地互动中,而不同层级、不同类型的行为体的互动结果会相互传导。例如,在《云法案》的案例中,美国司法部门与科技公司微软在执法数据跨境调取问题上的互动,最终通过确立美国司法部门拥有“长臂管辖权”这一结果,并将数据规则中的“长臂管辖”效应向全世界辐射,引来其他国家和地区纷纷效仿。值得注意的是,这种互动与传递的过程并非线性的,而往往要经历“刺激—学习—选择”机制。例如,东盟在数据跨境规则形成过程中就受到了美欧中等外部数据制度的刺激,而后东盟政治精英在学习与借鉴他者制度的基础上,选择了符合东盟自身禀赋的规则框架并加以修改后,出台了东盟《数据管理框架》与《跨境数据流动标准合同条款》,从而建立了东盟数据跨境规则的基本框架。
三是负反馈机制。从规则与环境的角度而言,技术治理与地缘政治两种逻辑的互动实质上形成了一个“负反馈机制”,给予了数据跨境规则一个稳定发展的环境。假如在技术治理或地缘政治的单一逻辑的路径发展下,那么当前所呈现的数据本地化与贸易领域的自由化趋势只会在“正反馈”和报酬递增规律下进一步增强,“自由化”可能逐步演变为散漫无序,数据本地化则会走向更加封闭。因此,需要对正反馈系统施加一个外力,加以制衡,形成一个“负反馈”,才能避免一个无限的正反馈引发失序。由此可见,技术治理与地缘政治不仅是一个互动的过程,也是一个相互向对方施加“负反馈”的过程,从而保证跨境数据规则在演进的过程中不会偏向任何一个极端,而是在“本地化”与“自由化”的摇摆中前进。
四是趋同演化是大势所趋。当前的数据处于“本地化”或“自由化”之争,在技术治理与地缘政治博弈的相互作用下会走向形式与内核的统一,两者的辩论与政策冲突也会逐渐落下帷幕。最终,数据“本地化”与“自由化”的发展形态,将由目前看似一组相互独立的“平行线”转变为议题相互融合、规则互相渗透的DNA“双螺旋”结构。因此,从研究的角度来看,对于数据跨境规则的研究不应局限在“自由化”还是“本地化”哪一种是正确的,或者哪一个才是未来趋势之类的讨论,而是应重视数据跨境背后的数据要素化,特别是如何挖掘数据要素资源,进而解放和发展社会生产力,并设计符合生产力发展的生产关系与制度,这才是今后着重探讨的研究方向。
引用格式:蒋旭栋 . 数据跨境规则演进的双重逻辑:技术治理与地缘政治 [J]. 信息安全与通信保密 ,2023(11):2-14.
作者简介 >>>
蒋旭栋,男,博士,助理研究员,主要研究方向为跨境数据治理。
选自《信息安全与通信保密》2023年第11期(为便于排版,已省去原文参考文献)
