数据治理的数据安全(数据安全数据主权)
数据治理的数据安全(数据安全数据主权)第一个角度是根据国家主权的相关概念,对数据主权做出界定。有人从国家主权的“对内最高统治权”属性出发,认为数据主权的主体是国家,是一个国家独立自主对本国数据进行管理和利用的权利。有学者对其进行了补充完善,认为除了对内的管控权以外,数据主权还应包含对外的独立性。而且,在定义数据主权时,数据所在领域的特殊性也是必须考虑的因素。于是,有学者将数据主权界定为国家对数据以及与数据相关的技术、设备甚至提供技术服务的主体等的管辖权和控制权,体现域内的最高管辖权和对外的独立自主权。对此,又有学者指出,在强调数据主权的独立性时也不应忽视其合作性。美国学者阿德诺· 阿迪斯认为,数据主权包括“全球化”与“政治特殊性”这两种相互矛盾的国家使命。其中,全球化代表了全球各国联系的不断增强、利益的相互牵制,是当今世界发展的重要趋势。在全球化的背景下,没有哪一个国家能做到在国际网络空间中完全独立自主地掌控本国数据。各类国际
国际上对数据主权的界定主要有三个角度:从国家主权角度来看,数据主权具有独立性与合作性;从数据主权的内容角度来看,数据主权包括数据管辖权与数据所有权;从数据主权的权责内涵角度来看,数据主权不只是权利,还代表了对本国数据应尽的义务。
对于当前各界对数据主权的界定,国内存在赞成和不赞成两种声音。赞成者认为数据主权关乎国家利益,强调数据主权有利于推动全球网络新秩序;不赞成者则认为过分强调数据主权不利于数字经济的发展。当前,以云计算为突出代表的新技术的应用对数据主权产生了深远的影响,如分离了数据所有权与控制权、给数据主权的界定带来挑战、引发国家之间的争端等。
与此同时,各国对待数据跨境流动的态度也有所不同。美国推行数据跨境自由流动,欧盟各国在充分保护个人数据的前提下推动数据跨境流动,俄罗斯则限制数据跨境流动。而且,很多国家开始推行数据本地化政策。不过,数据本地化存储并不能百分之百地保证数据安全,反而还可能影响企业的创新能力,加大国家的经济损失。
1576年,让·博丹首次提出了“国家主权”的概念。这位近代主权学说的创始人在《国家六论》一书中这样写道:“国家主权是一个国家的固有属性,是一种以国家为范围的对内最高统治权和对外独立权。国家主权以国家的地理疆界为界限,不可转让、不可分割、不受限制。”
之后,随着计算机的诞生与普及,人类迈入信息时代。报纸、邮件、电视等传统的信息传播渠道被打破,一个国家的信息可以借助互联网这个虚拟空间自由地跨境流动,人们坐在家里刷刷微博、看看网页就可以了解世界各地发生的新闻。信息时代,互联网作为信息传播的新媒介,其发展与管理水平影响着一个国家对本国信息的控制权。美国依靠其先进的互联网技术和管理方法,掌握着全球绝大部分互联网的控制权。例如,全球13台用来管理互联网主目录的“根服务器”中,美国独占10台;负责分配互联网协议(IP)地址、管理国家和地区顶级域名(ccTLD)系统的互联网名称与数字地址分配机构(ICANN),就是由美国商务部建立并控制的。美国在信息领域的霸主地位使其他国家感受到了本国国家安全与国家主权所面临的威胁。于是,“信息主权”应运而生。“信息主权”由“国家主权”演化而来,是指一个国家对本国的信息传播系统和传播数据内容进行自主管理的权利,主要包括三个方面的内容:第一,对本国信息资源进行保护、开发和利用的权利;第二,不受外部干涉,自主确立本国的信息生产、加工、储存、流通和传播体制的权利;第三,对本国信息的输出及外国信息的输入进行管理和监控的权利。
2011年5月,全球领先的管理咨询公司麦肯锡发表报告《大数据:创新、竞争和生产力的下一个前沿》,昭示了大数据时代的到来。与经过加工而形成的信息相比,数据更像是一块未经雕琢的璞玉,是人们在互联网中无意识地产生的一段文字、一幅图像、一个数字,甚至是一串计算机代码。随着互联网和信息行业的蓬勃发展,数据已经逐渐渗透到每一个行业、每一个领域,成为重要的生产因素。2012年3月29日,奥巴马政府发布了《大数据研究和发展倡议》(Big Data Research and Development Initiative),将数据定义为“未来的新石油”,并表示一个国家拥有数据的规模、活性及解释运用的能力将成为综合国力的重要组成部分,未来对数据的占有和控制甚至将成为陆权、海权、空权之外的另一种国家核心资产。IBM执行总裁罗睿兰也指出:“数据将成为一切行业当中决定胜负的根本因素,最终数据将成为人类至关重要的自然资源。”
与此同时,随着移动互联网、物联网、云服务等网络技术的快速发展,数据的流动性也不断增强,跨境的数据流量不断增长。到2020年,全球IP流量达到2.3ZB。面对如此海量的数据,一个国家已无法仅凭现有的信息主权来监管控制其跨境流动,各国越来越关注数据的使用权、归属权问题。尤其棱镜门事件的揭露,更是成了数据权属讨论的催化剂。2013年6月,前中情局(CIA)职员爱德华·斯诺登向媒体爆料,谷歌、苹果、微软、雅虎等九大网络巨头涉嫌向美国国家安全局和联邦调查局开放其服务器,使美国政府能轻而易举地收集、监控甚至使用全球上百万网民的电子邮件、聊天记录、照片及视频等隐私数据。美国是否有权收集和利用这些通过美国公司得到的他国公民数据?谁才有权决定这些数据的处理和调用?美国这种做法会对他国国家安全带来怎样的威胁?伴随这一系列问题的提出,“数据主权”(Data Sovereignty)的说法开始兴起。
迄今为止,关于数据主权的概念与内涵仍是众说纷纭,各国并未形成统一的意见。目前,对数据主权的界定主要从三个角度入手。
第一个角度是根据国家主权的相关概念,对数据主权做出界定。有人从国家主权的“对内最高统治权”属性出发,认为数据主权的主体是国家,是一个国家独立自主对本国数据进行管理和利用的权利。有学者对其进行了补充完善,认为除了对内的管控权以外,数据主权还应包含对外的独立性。而且,在定义数据主权时,数据所在领域的特殊性也是必须考虑的因素。于是,有学者将数据主权界定为国家对数据以及与数据相关的技术、设备甚至提供技术服务的主体等的管辖权和控制权,体现域内的最高管辖权和对外的独立自主权。对此,又有学者指出,在强调数据主权的独立性时也不应忽视其合作性。美国学者阿德诺· 阿迪斯认为,数据主权包括“全球化”与“政治特殊性”这两种相互矛盾的国家使命。其中,全球化代表了全球各国联系的不断增强、利益的相互牵制,是当今世界发展的重要趋势。在全球化的背景下,没有哪一个国家能做到在国际网络空间中完全独立自主地掌控本国数据。各类国际组织的管辖,再加上经各国商议后形成的法律条约,才能保障数据主权的有效实现。
第二个角度是从数据主权的内容入手,对数据主权做出界定。美国塔夫茨大学教授乔尔·荃齐曼提出,数据主权有个人数据主权和国家数据主权之分。其中,后者是前者得以实现的基础和前提,而前者又为后者的维护提供有力的支持。个人数据主权是数据来源者对其自身数据的权利,如访问权、更正权等;而国家数据主权则是一个国家对本国数据的使用权、监管权等,也是我们在本章中探讨的“数据主权”。有学者认为,数据主权包括数据所有权和数据管辖权两部分。其中,数据所有权指主权国家对本国数据排他性占有的权利,而数据管辖权指主权国家对本国数据享有的管理和利用权利。值得注意的是这里的“本国数据”并不是指存放在一国境内的数据,而是指由该国公民或境内主体产生的数据。也就是说,即使一国公民的数据经跨境流动后被存储在境外的云服务器上,根据数据主权的规定,这些数据的控制权与管理权也应归该公民所在的国家所有,第三方不能对其进行使用或监控。
第三个角度是从数据主权的权责内涵进行分析而做出的界定。这种观点认为数据主权并不只是一种权利,它还代表一个国家对本国数据应尽的义务。对本国数据的支配权、使用权、所有权等是数据主权所带来的权利,而对本国数据进行安全保护以防信息泄露,对本国公民数据行为进行监管以防侵犯他国数据主权,则是主体国家在行使数据主权时应尽的义务。
在我国,部分学者围绕数据主权提出了看法。赞成数据主权提法的观点中,有人从数据主权与国家主权的关系上分析,认为数据主权是国家主权的一部分,对网络空间中数据的保护和利用是涉及国家主权及利益的一项重要内容;有人从数据主权的来源思考,认为数据主权是伴随云计算和大数据技术的发展而来的,涉及数据的生成、收集、存储、分析、应用等各个环节,大数据的爆发式增长很有可能对国家安全和个人隐私带来潜在的危害,因此必须明确数据主权并构建相关法律制度;有人从国际视野出发,指出中国需要以“数据主权”核心诉求,推动建立“共享共治、自有安全”的全球网络新秩序。不赞成数据主权提法的观点,主要是认为单纯强调数据主权可能会导致国与国之间形成对抗状态,不利于数字经济的发展,因此主张弱化数据主权概念,提出保障数据安全的核心是提升数据掌控和分析能力。我国不同视角下的数据主权对比如表1所示。
表1 我国不同视角下的数据主权