全球“数字硅幕”正在落下?
■张茉楠
数字经济时代,数据不仅是重要的资源和生产要素,更成为国家基础性战略资产。在当前网络空间治理政策中,没有哪类议题能够像跨境数据流动一样,包含如此之复杂的讨论面向:数据主权、隐私保护、法律适用与管辖,乃至国际贸易规则。美国同英国签署历史性网络公司数据互通协议,赋予两国政府“长臂管辖权”。
一、美英签署“史上首份”数据互通协议
2019年10月3日,美国司法部长Bill Barr与英国内政大臣Priti Patel签署了一项新协议。该协议将消除法律障碍,允许两国执法机构直接获取对方的科技公司比如脸书、谷歌、推特等的用户、通信数据,以便更迅速地调查恐怖主义及其他严重的刑事罪行。
新协议是根据美国2018年设立的《云法案》迈出的第一步。尽管协议尚未包含禁止科技企业加密数据的权力,但根据协议条款,在获得适当的法院授权之下,执法部门可通过“长臂管辖”直接向对方国家的科技公司请求存取电子数据,将时间缩短至几周或几天,不必再透过可能耗时数年的政府流程。而此前两国只能通过政府层面的“共同法律援助”(MLA)机制为本国执法部门申请数据,往往需要花费半年至两年时间。这份双边协议如同样本,美国将可广泛同各国签署。
二、数字主权争夺拉开全球“数字硅幕”
近年来,全球网络空间和数字领域的大国博弈愈发激烈,也引起了国际社会对“数字硅幕”已经落下的担忧。当前,通过限制重要技术数据出口和特定数据领域的外国投资,遏制战略竞争对手发展,确保美国在科技领域的全球领导地位,美国形成了一套较为完整的制度设计。自特朗普政府大力推行“美国优先”的贸易保护主义政策以来,美国积极使用这类管制措施作为遏制中国等战略竞争对手的重要手段,甚至将数据跨境政策与贸易投资政策深度捆绑。美国的出口管制并不限于硬件的出口,还包括具体的技术数据,即受管制的技术数据“传输”到位于美国境外的服务器保存或处理,需要取得商务部产业与安全局(BIS)出口许可。在外国投资审查方面,改革后的《外国投资风险审查现代化法案》扩大了“涵盖交易”的范围,将涉及所谓“关键技术”、“关键基础设施”的公司以及外国人对保存或收集美国公民敏感个人数据的公司进行非控制性、非被动性投资都纳入其审查范围。而如何加强行政和司法“长臂管辖”也成为美国的重要政策选项。
三、推动建立以美国为核心的全球数据霸权体系
一直以来,美国都是“以数字自由主义”为名,行使“数字保护主义”抑或“数字霸权主义”之实。随着中国美国在高科技领域的竞争演化为科技冷战的趋势,地缘政治因素对跨境数据流动政策的影响将进一步加大,以“国家安全”关切为核心的“重要敏感数据”也成为跨境流动限制重心。特别是特朗普上台后,美国在前沿和基础技术领域对我国实施管控,限制大量技术数据和敏感个人数据的跨境转移,并通过长臂管辖及强大的情报和执法能力加以落实。与此同时,美国在此领域的强势主张势必影响其战略盟友对中国的技术转移和数据跨境流动策略,强化了以国家安全为主要考量的数据跨境流动政策的价值取向,这将进一步破坏既有的商业和贸易规则,阻碍数字贸易的全球化发展。
为进一步扩展在全球的数据霸权,当前美国正加紧与其领导的多国情报联盟“五眼联盟”(Five Eyes)构筑“数据同盟体系”,强化以“国家安全”为主要考量的数据跨境流动政策的价值取向。2019年7月30日,“五眼联盟”在一份声明中就表示,科技公司应该在其加密产品和服务中纳入新机制,允许政府有适当的合法权限,能够以可读和可用的格式获取数据。
此外,美欧日正联手试图着手制定跨国数据流通规则,构建基于“共同理念”的“数据流通圈”。2019年G20大阪峰会期间,日本商议与美国商务部、美国贸易代表办公室和欧洲委员会等机构从2019年开始启动制度设计,具体议题包括:允许个人和产业数据的相互转移;严格限制向个人信息保护体制不完善的国家转移数据;对违反要求的企业处以罚款,进而打造美日欧互认的数据共同体,建立以西方为中心的跨境数据流动规则框架,数据同盟可以完全以意识形态和政治制度划线,形成明确指向中国、俄罗斯等国的排他性体系,并将在美国及其全球性同盟安全网络中发挥重要作用。
四、维护中国数据主权与国家安全的路径与建议
当前,面对新态势,我国应立足于维护数据主权,兼顾数据保护和数据流动的平衡的立场,全面加强国家整体数据安全治理能力,打造全球数据安全高地,以掌握数据跨境流动合作的话语权和主动权。
首先,建立完善数据保护法律体系。深入贯彻落实《网络安全法》,加快开展《数据安全法》《跨境数据流动管理办法》等专项法律法规和政策的制修订,明确国家各部委监管职权范围。加强数据泄露威胁情报共享与溯源能力,打造龙头企业、安全机构与政府机构之间的快速生态协同系统,对国家安全构成重大威胁的数据泄露事件,综合利用外交、信息、军事、经济、情报以及执法等力量,对其进行威慑和打击,惩罚恶意网络行为者。
第二,完善数字治理的长臂管辖原则。我国《网络安全法》采取有限的域外管辖的原则,有权管辖涉及危害关键信息基础设施的境外的机构、组织、个人。由于数据跨境流动活动本身具有长臂效应,欧盟、美国等数据出境监管法规都具有一定域外效力,因此我国可以根据国情适当增加长臂管辖的范围。
第三,将跨境数据流动嵌入贸易投资协定中。当前考虑到短期内各国无法形成相互协调的数据流动政策体系,因此,跨境数据流动政策将深度嵌入双、多边的贸易投资谈判之中。在国与国之间、区域与区域之间体现出多样性、灵活性,形成不同解决方案。我国应当充分利用“一带一路”国际合作倡议等契机,在完善国内规则的基础上,由国家网信部门负责牵头,统筹外交部、商务部等相关部门以及主要龙头科技企业,启动跨境数据流动对外合作工作推进机制。在当前各种双边、多边贸易谈判中,增加数据跨境流动的谈判内容,在加强统筹的前提下,实现数据跨境流动规则的统一。
最后,推动制定跨境数据流动的国际治理框架。在各国纷纷主张数据主权的情况下,特别是美国欧盟等实施长臂管辖对传统国际执法协作体系构成冲击的大背景下,应设计符合国家利益和中国企业全球化战略的执法数据调取方案,积极与各国建立双边—多边的数据执法调取协议,推动建立国际执法协作条件和框架,解决数据管辖冲突。
(作者为中国国际经济交流中心美欧所首席研究员)