李謙:數據流動與留存:商業實踐與法律迷思

一、引言

2016年新年伊始,歐盟與美國之間備受關注的數據跨境流動(Transborder Data Flows,“TDR”或“Cross-border Data Flow”)新框架協議談判取得了重大突破,雙方推出全新的“隱私盾協議”(EU-U.S Privacy Shield),原有的“安全港”框架協議告別歷史舞臺。[[1]]按照新協議,美國的互聯網巨頭谷歌、臉書和亞馬遜等公司將不再受到歐盟個人數據保護條例的限制,可以便捷地跨越大洋傳輸互聯網用戶個人數據信息回至美國。這一堪稱互聯網發展史的重要事件是持續深化的歐盟數據治理改革一環節,在此前后,延宕多年的歐盟數據法律框架改革得到實質性推進,在積極反思傳統數據法律理論與實踐的基礎上,結合當前互聯網經濟的發展趨勢,歐盟大刀闊斧地改革數據法律框架和更新數據治理政策。一方面,對1995年起施行的歐洲《數據保護指令》屢屢查漏補缺,尤其增補了《隱私與電子通訊指令》(Directive on privacy and electronic communications,Directive 2002/58/EC)、《歐洲Cookie指令》(EU Cookie Directive,DIRECTIVE 2009/136/EC),切實應對互聯網經濟崛起所引致的新型用戶數據隱私問題。然而,互聯網經濟興起之后,數據治理演化復雜,傳統《數據保護指令》法律框架幾經增刪依然不足敷用。積二十年區域性數據法律實踐的教訓,2015年 12月15日,審讀已達三年之久的《一般數據保護條例》(General Data Protection Regulation,簡稱GDPR)終于獲得重大的立法突破,歐洲議會與歐盟理事會就《一般數據保護條例》文本達成協議,以期確定新型的個人數據的保護原則和監管方式,全面替代傳統的《數據保護指令》。另一方面,不可遺忘的是,歐盟的數據法律框架——廣義而言包括數據庫保護和個人數據保護——有一個非常明確的政策目的:全力維護并大力發展歐洲的數據經濟。因此,歐盟的公共政策一向積極配合數據法律框架的實踐,希望能夠在統一法令之下建構統一的數據市場,這亦是1995年《數據保護指令》的當然主旨。[[2]]然而,事與愿違,互聯網產業崛起,數字經濟形勢劇變,北美與東亞成為世界比肩的兩大互聯網產業發達地區,兩大地區的數字經濟嚴重沖擊了歐洲傳統數據治理政策,尤其是美國互聯網產業巨頭對于歐洲互聯網服務的壟斷地位嚴重影響了歐盟寄予厚望的歐洲數據統一市場戰略。面對巨變形勢,歐盟調整公共政策,不再簡單配合傳統數據法律框架,而是重新擬定明確的數據經濟戰略,以“頂層設計”的形式全面規劃。這就是2015年5月6日,歐盟委員會所公布的歐洲“統一數字市場”(Digital Single Market)戰略規劃,這一戰略大致包括三大內容:為個人和企業提供更好的數字產品和服務,創造有利于數字網絡和服務繁榮發展的環境,以及最大化地實現數字經濟的增長潛力。[[3]]時至今日,歐盟依然在持續地不斷擴大“統一市場”,2019年初,作為歐盟與日本經濟伙伴關系協定的補充協議,世界上第一份以互認為基礎的個人數據跨境傳輸充分性框架在歐盟與日本之間正式生效施行。

數據跨境流動是一種新興的商業復雜現象——數據隱私、數據安全、數據主權、數據管理和數據財產都集中于此,美國與歐洲的數據流動現象最為突出,雙方的法律交涉最為頻繁,其他國家日益喧囂的數據本地留存爭論及其法律治理也是由其引出。與過去相仿,美歐之間數據流動協議依然是兩國內部數據法律與數據政策的衍生物,“安全港”協議原本就是歐盟數據法律框架中一個無可奈何的例外。當歐盟另起爐灶,謀求新的數據法律框架和數據政策來挽救相對弱勢的歐洲數字經濟,放棄“安全港”協議也是情勢必然。通過考察這一演進過程,將能促進我們反思中國語境中的數據商業和數據法律。

本文第一部分首先總結梳理歐洲數據流動法律制度框架,簡要分析美歐數據跨境流動“安全港”協議的得失,并指出其對于中國語境中相關問題的鑒戒意味。借此引出第二部分仔細討論中國語境中的數據流動和數據留存爭論,并評述其他國家的現象相似、本質不同的數據問題。在前面兩節的基礎上,第三部分將綜合借用多學科知識深入探討中國語境中數據流動和留存的實質內涵,揭示數據流動和留存之法律治理所面臨的真正困境,提出可能的政法應對之策。最后是簡要總結。

二、回顧與反思:歐盟數據流動法律框架與“安全港”協議

數據跨境流動并無一個相對權威的穩定界定和法律內涵,大家要么從廣義角度將其理解為包括個人數據在內的各種信息數據以任何方式在國與國之間的流通,要么狹義地界定其為僅指個人數據在國與國之間的流通。[[4]]本文依循一種技術性的界定,將數據跨境流動理解為“跨越國界對存儲在計算機中的機器可讀數據進行處理、存儲和檢索”,[[5]]而對一般的數據流動則理解為不同數據主體對存儲在計算機中的機器可讀數據進行處理、存儲和檢索的過程。本文的分析視角是希望借助大數據技術與產業發展來更加切實地理解數據現象與法律治理的實質:數據能力與政法制度的互動關系。在大數據和人工智能背景下,“機器可讀數據”這一組復合概念非常重要,是互聯網大數據經濟區別于過去數據經濟的核心概念,第四部分將作初步討論。

比較考察諸國法律制度,大體而言,數據跨境流動的管理手段有五種方式:數據跨境流動預先審查;要求網絡服務商采取措施防止重要數據向境外流動;標準格式合同管理;簽訂安全協議限制數據流動;數據跨境安全風險評估。[[6]]當年歐盟率先立法創制的諸多管理手段確有垂范之功,以上五種制度手段都受其影響,或者移植襲用,或者變體改用。從根本上來說,歐盟的數據經濟與數據立法相互協調,彼此支撐,其興衰更替的歷史進程同樣寄寓在數據流動的立法創制之中。

(一)歐盟數據流動法律框架的構造邏輯

歐盟數據流動法律框架的直接法源是1995年歐洲《數據保護指令》的第25條和第26條。第25條規定:“對于數據向第三國傳輸的情形,只有當該第三國在個人數據隱私的保護方面達到了足夠的保護水平,始能許可個人數據通過運行向該第三國傳輸。保護水平是否充分應當依照圍繞整個傳輸操作過程的條件來評判,尤其應當考慮數據的性質,運行操作的目的和期間,來源國和目的國,一般和特別領域的生效的法治情況,以及該國的執業規則和安全措施等等?!盵[7]]指令第26條則是針對上述條款的例外規定,在滿足數據主體明確無誤地同意轉移、出于履行合同的必要、保護數據主體利益或公共利益、傳輸數據來自法定登記,該登記旨在為公眾提供信息等法定條件下,可以突破第25條的相關規定。

由此可見,《數據保護指令》所確定的數據流動法律框架強調對等原則,是以對等的充分數據保護(Adequate Data Protection)為本,輔以特例排除適用該原則為末的一套內外有別的法律制度。其基本要義是,除了法律規定,數據只能在具有歐盟同等且適當數據保護水準的國家之間自由流動。[[8]]而且,更重要的是,按照25條的規定內容,對于第三國是否具有歐盟同等且適當的數據保護水平,歐盟采取的是個案審查方式,以數據流動的具體情形來加以評定,這一點比之過去的《數據保護指令》對于歐盟內部諸國的直接干預要求似乎更高,因為《數據保護指令》主要要求歐盟各國完成數據保護法令統一,形式審查和實質審查并重,并沒有深入到如此微觀的具體操作層面。

在此制度基礎之上,隨著實踐中問題積累,歐盟相繼創制出其他應對手段來補充該制度。第一,標準合同條款模式,第26條的文義中即已包含運用適當的文本合同來確定授權某些特殊的數據流動情形,為了確保數據保護的充分適當,歐盟主動公布了一組三套標準化的合同文本,并賦予其相應的法律效力,只要合同雙方遵循此標準合同條款即應被視為到達了歐盟數據保護水平,這顯然有利于數據流動的商業行為。不過,仔細比對歐盟所公布的標準合同條款內容,其內容中的數據保護具體標準、雙方的義務與責任分擔、第三方受益性條款、執行保障和違約救濟等實質內容相當嚴苛,不亞于《數據保護指令》的實體條款,甚至可以說“標準合同條款成了歐盟擴大《資料保護指令》適用范圍的工具”。[[9]]第二,由于數據跨境流動的主體多是橫亙世界各國的跨國大公司,針對于此,歐盟《數據保護指令》第29條工作組陸續發布了一些用以解決公司內數據保護問題的約束性企業規則(Binding Corporate Rules,BCR)說明文件。簡單來說,BCR就是專門授權并指導公司內部各主體進行數據跨境流動的具有法律效力的公司規則,其法律效力來源于歐盟內部數據保護機構的批準認可,在此具有法律效力的規則之下,該公司集團內部的數據跨境流動被視為合乎歐盟數據保護水平的合法傳輸。按照歐盟的指導文件相關規定,BCR的實體內容可以說《數據保護指令》相關條款的翻版,數據保護標準和執行保障機制都面面俱到,十分具體。[[10]]

綜上所述,歐盟所制定的數據跨境流動法律框架無論從實體內容還是規則形式上來看,都是1995年《數據保護指令》的衍生物。換言之,歐盟以本地區域內的數據法律和數據政策來設定其與其他國家的數據互動關系框架,具有極其明顯的單邊性質。無論是以個案審查形式評估他國的數據保護水平,還是作為例外補充的標準合同條款模式和約束性企業規則,萬變不離其宗,其根本準則都是《數據保護指令》的實體規則和執行機制。眾所周知,《數據保護指令》樹立了相當高的數據隱私保護標準和制定了非常具體的數據保護執行機制,然而,數據隱私本質上是文化觀念的人為建構產物,數據保護執行機制又往往取決于各國不同的法律歷史傳統和社會經濟現狀,其都是內生于各種語境性極強的社會基礎條件之上。歐盟以數據主體的個人權利價值內涵為最高價值,形成法律,并化諸手段,通過規制數據流動的商業行為蔓延至其他國家或行為體的規則體系里,自然激起強烈批評,被認為是文化帝國主義的產物。[[11]]價值分歧之外,更重要的是,歐盟的數據流動法律制度嚴重缺乏實操性,其本是區域內數據法律與政策的制度延伸,但既缺乏主權權力的強制力來保障,又沒有高效精干的執行機構來妥善協調,這種略顯空洞、實踐貧乏的法律框架制度只能削弱數據保護的普遍遵守,最終造成大多數的數據流動主體往往是無視規則地向不具備充分數據保護水平的第三國傳輸流動各種數據。[[12]]

放大、激化以上問題的恰恰是與歐洲各國意識形態相近、經濟生態相似的美國。美國與歐盟同屬數據信息進口國——數據產品出口國(data importing-information products exporting country)[[13]],兩者不僅存在尖銳的數字經濟競爭,彼此秉持的數據法律傳統亦大相徑庭。[[14]]不過,數字經濟的未來前景和當下利益依然牢固黏合著兩者的數據流動商業行為,使得雙方最終妥協催生出雙邊談判性質的“安全港”協議。對于歐盟而言,這實在是一個無可奈何的選擇。

(二)“安全港”協議的困境

早在1998年,美國商務部就發布了《美國國際安全港隱私保護原則》(Safe Harbor Privacy Principles)法律文件,抓住隱私保護原則這一關鍵,積極打造與歐盟的數據隱私共識,以此為基礎謀求協商數據流動“安全港”協議的談判空間。2000年,美國相繼制定并發布了《安全港協議》(Safe-harbor Agreement),協議主要由七項內容構成,涵蓋“通知、選擇、傳輸、安全、個人數據完整性、渠道和執行”等方方面面,該協議遵循美國傳統的行業自律基本模式,建立經營者承諾-政府評估監督的運行機制,以此間接獲得歐盟所認定的數據流動法律保護水平,這一協議同年獲得歐洲議會通過。[[15]]

一般認為,“安全港”協議是美國謀求準入歐洲數據市場而做出的必要妥協。美國的國內數據保護法律制度自成體系,對于數據隱私和行業自治的文化理解也有別于歐洲國家,明顯不符合歐盟所設定的對等保護原則及其例外,嚴格按照歐盟的數據流動法律框架,美國將會被排除出歐洲數據市場。由于歐盟數據流動法律框架的單邊立場,美歐雙邊談判的“安全港”協議主要圍繞著歐盟區域內數據法律政策的基本原則和主要規則展開,并借此作為中介點,銜接美國國內數據保護行業自治慣例。但是,恰因如此,“安全港”協議的雙邊性正是以歐盟數據流動法律框架的單邊性削弱為前提的。歐盟意識到既有數據流動法律框架的單邊性質和嚴苛規則并不能確保數據流動受到嚴格監控,反之要從對等談判出發,與數據流動的其他主體方密切合作,彼此協調,借助具有實際執行能力的他國主體權力才能完成數據流動的法律監管??梢姅底纸洕偁幍膲毫κ请p向的,既逼使美國必須尋求某種特殊法律形式接榫歐盟數據法律體系,也迫使歐盟被動改造其頑強堅守的數據流動法律框架。美歐之間的數據市場涵蓋了全球第一經濟總量地區,多達近三十個國家和八億人口,經濟體量與技術優勢都超越其他國家,雙方達成的“安全港”協議自然在事實上替代了歐盟創制的其他數據流動法律制度,成為占據主要地位的數據流動基本法律制度。那么,“安全港”協議是否真的是一場雙贏呢?

“安全港”協議為美國與歐洲的數字經濟和數據保護都作出了重大貢獻。對于歐盟國家,其念茲在茲的個人數據隱私保護必須受到美國企業的尊重,參與歐洲數據市場的企業以承諾參加“安全港”的形式獲得歐盟認可,被認為提供了充分的隱私保護;如果企業違反相關數據保護法律,歐盟公民可以在美國起訴,獲得救濟。而對于美國而言,美國公司自愿加入“安全港”協議,遵守并執行數據隱私原則,即可享受“安全港”協議帶來的一系列法律許可,其中最重要的即是允許企業在美國境內收集、存儲歐盟公民的個人數據。在Anupam Chander教授看來,“安全港”協議和美國國內的數據隱私低水平保護形成合力,創造了一種有利于互聯網數據經濟發展的“法治補貼”狀態,相比歐盟的互聯網數據經濟之疲軟,這是美國硅谷互聯網產業崛起的重要法律制度因素。[[16]]

互聯網大數據經濟的迅猛發展暴露了“安全港”協議的諸多隱患,自2010年以來,面對美歐互聯網產業的強弱對比,歐盟內部議論不斷,明面上不斷質疑“安全港”的實際作用和管理流程是否能夠保障數據隱私及數據安全,暗地里也不斷反思“安全港”協議和歐盟數據法律框架為何沒有如愿催生出發達的歐洲數據經濟,法律與政策目的全然落空。[[17]]2013年斯諾登事件爆發,這種質疑聲逐步壯大,最終演變成要求廢止“安全港”協議的法律挑戰,這種挑戰既有直接的,也有間接的。

首先,直接挑戰即是已經引起廣泛關注的“Maximillian Schrems v. 數據保護委員會,C-362/14”案例。斯諾登事件之后,歐盟國家對美國數據隱私保護的懷疑加重,Schrems案即是發酵產物。Maximillian Schrems是一名奧地利公民,長期使用臉書(Facebook)社交媒體,他認為美國國家安全局NSA的大規模監聽計劃侵犯了他的數據隱私權利。為此,他向臉書的歐洲總部所在地愛爾蘭的數據保護委員會提出申訴,要求該機構禁止臉書分公司將他的個人數據轉移到美國。愛爾蘭數據保護委員會否決了他的申訴,因為根據歐盟相關機構的“2000/520號歐盟決定”(Safe Harbor Decision),“安全港”協議已能保障個人數據安全。Schrems不服決定,繼而向愛爾蘭高等法院提起了訴訟,該法院認可Schrems的訴請。但是,由于該案涉及到了“2000/520號歐盟決定”的效力問題,故愛爾蘭高等法院提請歐盟法院對此法律文件相關問題做出初步裁決。最終,2015年10月,歐盟法院判定“2000/520號歐盟決定”無效,“安全港”協議因此喪失法律基礎,遭到架空。[[18]] Daniel J. Solove教授認為此案意義重大,內涵復雜,基本可以斷定美歐之間“安全港”協議立足存在的社會條件和法律基礎蕩然無存。而且,Solove教授著重指出,盡管Schrems案判決的基本要旨被渲染為公民數據隱私權利,其實深具濃厚的政治意味,因為歐盟在互聯網數據監控方面不遑美國,兩者競爭態勢明顯,只不過其做法更加隱蔽而已。[[19]]

其次,Schrems案之前,就已存在針對“安全港”協議的法律挑戰,只是間接隱晦而已,如依據《歐洲cookies指令》所實質性推進開展的Cookies清掃行動,不過最為重要的應該是歐盟倡導的個人數據被遺忘權(right to be forgotten)。[[20]]短短幾年之間,被遺忘權由理論探討逐步深入發展為法律條文(GDPR第17條)和司法判例(Google Spain SL & Google Inc v Agencia Espa ola de Protección de Datos & Costeja González,即Gonzalez案),證明至少其在歐洲國家已有較為堅實的社會基礎。毫無疑問,首先受到被遺忘權沖擊的即是從事美歐之間數據跨境流動的美國各大互聯網公司,被遺忘權極有力地擴容互聯網時代的個人數據權利權能,釜底抽薪地加重了“安全港”協議里美國企業的法律責任和商業負擔。[[21]]更重要的是,被遺忘權的構造邏輯非常尖銳地直接消解了數據跨境流動的正當基礎和日常流程,當主體可隨時請求刪除有關個人的數據信息,各大互聯網公司現存的數據商業模式勢必難以持續下去。

(三)小結

歐洲現有的數據跨境流動法律框架可謂始于經濟競爭,終于政法博弈。尤其令人扼腕的是,與歐盟另一部數據法律即《歐盟數據庫指令》(Directive 96/9/EC)的遭遇相似,歐盟數據跨境流動法律框架最終也未達成其預定的法律與政策目標?;ヂ摼W大數據經濟的復雜形勢使得美歐之間的數據經濟態勢強弱立判,“隱私盾協議”也勢必艱難存續在美國互聯網巨頭的強勢陰影之下。故此,歐盟數據法律制度的教訓得失彌足珍貴,政法制度與經濟發展的互動關系遠非想象中的簡單線性關系,積極主動的法律建構應該同時具備前瞻的戰略謀劃和切實的實踐操作,尤其是要充分考慮到數據作為抽象物的形態特性、抽象物商業化相比實體物商業化的諸多特殊形態、數據技術的復雜演化和數據的政治屬性等具體而微的問題,努力協調數據之上的各種價值沖突和利益重疊。

三、中國語境中的數據流動和留存

僅以法律形式淵源來看,中國目前還沒有完整的數據跨境流動法律框架,歐盟數據跨境流動法律框架是其本區域內數據法律及政策的衍生物,按此邏輯,中國國內暫無系統的數據法律,民法體系內的個人隱私法例也較為孱弱,數據跨境流動的法律監管自然是無源之水。[[22]]很多學者認為,中國必須趕上這一波數據經濟的崛起勢頭,參照學習歐盟的數據法律制度,積極營造有利于數據經濟的制度環境,首當其沖即是制定完善的個人數據保護法律,然后由內推外,接軌其他國家或地區的數據流動法律制度,以此確保中國的數據經濟不因制度障礙而陷入維谷。[[23]]不過,這樣的論述于理可通,與事相反,中國的互聯網產業在經濟體量上早已超越歐洲,從2000年到2014年十年之間中國互聯網領先企業資本體量從10億美元到1000億美元,到2300億美元,呈幾何倍增。[[24]]截止目前,中國的阿里巴巴、騰訊一直穩居全球市值最高的10家互聯網公司之中,其余皆是美國企業,歐洲企業則并未有突出表現。[[25]]中國互聯網經濟無時無刻不在發生著數據商業行為,數據采集、存儲、傳輸和挖掘是支撐互聯網服務的底層要素,龐雜的互聯網數據商業現象中難道不存在數據流動?缺失所謂數據流動法律制度的情況下,數據流動的現實規制又是什么樣的狀態呢?

(一)中國語境中的數據流動規制

中國語境中的數據流動規制被分解為兩個彼此獨立、內涵不一、目標相近的法律規制領域,即產業保護的外資準入管理和重要信息的數據留存管理。這兩個法律領域似乎迥然相異,兩者直接的管理目標都不是歐美數據法律意義上的數據流動現象,而且在各自法域立法規制之初,立法者及執行者可能也沒有清晰認識到運用本法可以管理規制數據流動。但是路徑依賴和非意料的后果相互糾纏、共同演化,卻殊途同歸地在法律效果上起到了規制數據流動的意外后果??梢源_定的是,兩者都是一個立法目的的產物,即基于國家戰略安全的考慮而分別對經濟安全和信息安全予以單門類的垂直管理。

首先,產業保護的外資準入管理中與數據商業直接相關的產業主要是指基礎電信業、增值電信業、新聞媒體業、金融業等,而本文所關切的互聯網數據經濟則是重疊交錯在前述各類管制產業之中的新興產業形態,按照我國目前法規《中華人民共和國電信條例》、《電信業務分類目錄》規定,其歸屬為增值電信業。[[26]]數據跨境流動是指跨越國界對存儲在計算機中的機器可讀數據進行處理、存儲和檢索,其前提是存在著合乎數據流動各方法律規定的商業交往行為,如果法律規定禁止或者限制數據流動所依托的商業交往行為,“皮之不存、毛將焉附”,數據流動自然以產業規制的形式加以阻斷了。以2017年修訂版出臺的《外商投資行業指導目錄》為例,《目錄》明確列示了限制外商投資和禁止外商投資的行業種類。例如,限于WTO承諾開放的業務,增值電信業務(外資比例不超過50%,電子商務除外),基礎電信業務等行業被列為限制外商投資行業,要求必須由中方控股。例如,互聯網新聞信息服務、網絡出版服務、網絡視聽節目服務、互聯網公眾發布信息服務等行業被列為禁止外商投資行業。具體到互聯網產業,國家部委還規定辦理電信與信息服務業務經營許可證、互聯網出版許可證、網絡文化經營許可證、網絡傳播視聽節目許可證等都要求中資企業資格。[[27]]

當然,加入世界貿易組織之后,中國電信和互聯網行業相對來說越來越開放,不過由于戰略安全的長遠考慮,其始終處于審慎監控的局面,允許外資準入的細分行業里,依然嚴格控制外資比例。通過法律禁止或者限制的形式,互聯網數據經濟的數據流動現象被釜底抽薪地部分消解了。相比歐洲互聯網市場上美國企業壟斷服務的格局,中國企業完全充分地提供了基本滿足本土社會大眾需求的互聯網服務,尤其是與生活息息相關的網絡即時通訊、網絡社交媒體和網絡電子商務。此外,中國相對特殊的互聯網“防火墻”機制同樣起到了阻斷數據流動的作用,但是其并沒有涵蓋絕大多數的網絡日常服務,對外資準入管理起到了補充作用。

因此,嚴格意義上,中國并沒有歐盟語境中的數據跨境流動問題,而是另一個極其吊詭的棘手問題,這一問題使得上述的外資準入管理制度產生了嚴重扭曲,某種中國歷史上慣見的正式制度與非正式制度共存現象在“名與實”的隱秘轉化中出現了,[[28]]這就是中國互聯網公司股權結構中的VIE(Variable Interest Entity,即可變利益實體)協議控制問題。產業保護的外資準入制度原本是控制外資流入,確保本國資本控制重要產業,但是,中國的互聯網產業乃至整個TMT(Telecommunication,Media,Technology)產業卻直接受惠于龐大的外國資本,VIE協議控制就是其中關鍵。所謂VIE協議控制,是指境外注冊的上市實體與境內的業務運營實體相分離,境外的上市實體通過協議的方式控制境內的業務實體,業務實體就是上市實體的VIEs(可變利益實體),[[29]]VIE協議控制是中國互聯網產業股權融資規避外資準入監管的突破性創舉,始于2000年門戶網站新浪網赴美上市,經過了新浪網和信息產業部的直接溝通,最終放行。至此,這一模式成為在境外上市中國TMT產業公司的一種常見合規性安排,目前幾乎所有重要的中國互聯網公司股權結構都存在VIE協議控制問題。[[30]]限于主題,本文無意深入分析VIE協議控制問題的是非曲折,而是希望引申出其對于數據安全及其跨境流動的復雜影響。表面上,中國的數據跨境流動現象受到某種程度的消解,網絡安全和數據隱私掌握在中國境內企業手中,實質上,因為更加復雜的VIE協議控制問題,數據流動內化為資本控制,控股權和經營權之間矛盾潛伏其中,盡管沒有數據流動的表象,但是數據隱私、數據安全、數據主權、數據管理和數據財產等等這些數據跨境流動監管所顧慮的數據問題以“借尸還魂”的奇特方式潛伏在中國實踐中。而且,必須指出的是,這樣的奇特方式并非所謂落后現象,相反,中國語境的特殊情狀顯露出數據經濟中更深層次的政治經濟學問題,互聯網平臺模式賴以維系的數據兼并與壟斷將數據和資本的某種同構性暴露出來,“數據的金融化和金融的數據化”(Frank Pasquale《黑箱社會》中文版序言的點睛之語)以復雜的商業實踐吸納了單一維度的數據統一市場和數據隱私等問題。由此看出,數據治理的國家戰略著眼點不是一成不變的單一面貌,不同國家地區的具體政治經濟結構與之緊密耦合,在中國是VIE協議控制之下的數據問題,其它國家則是基于不同價值目的考慮而轉向數據留存管理。

其次,重要信息的數據留存管理制度在中國同樣有著實際的數據流動管理功能。數字信息技術興起之前,關于國家機密和個人隱私信息的數據留存管理就普遍存在于各種部門管理的單一法例之中。例如,我國曾長期依賴國家和個人檔案管理制度管理國家重要信息的存儲和流動,國家檔案管理局出臺的《檔案法實施辦法》第19條規定:“各級國家檔案館館藏的一級檔案嚴禁出境。各級國家檔案館館藏的二級檔案需要出境的,必須經國家檔案局審查批準。各級國家檔案館館藏的三級檔案、各級國家檔案館館藏的一、二、三級檔案以外的屬于國家所有的檔案和屬于集體所有、個人所有以及其他不屬于國家所有的對國家和社會具有保存價值的或者應當保密的檔案及其復制件,各級國家檔案館以及機關、團體、企業事業單位、其他組織和個人需要攜帶、運輸或者郵寄出境的,必須經省、自治區、直轄市人民政府檔案行政管理部門審核批準。海關憑批準文件查驗放行?!蔽覈墩餍艠I管理條例》、《電信條例》、《信息服務管理辦法》、《計算機信息網絡國際聯網管理暫行規定實施辦法》等法例中同樣存在類似的“數據流動”監管辦法。隨著互聯網信息傳播技術的迅猛發展,世界各國立法活動都相對遲滯,但是中國的因應措施卻相時而動,尤其是針對事關國家戰略安全的各類行業數據、云計算存儲政府數據和互聯網個人數據,分別出臺《中國人民銀行有關銀行業金融機構做好個人金融信息保護工作的通知》、《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》、《銀行業信息技術資產分類目錄和安全可控指標》、《電信和互聯網用戶個人信息保護規定》和《關于加強黨政部門云計算服務網絡安全管理的意見》等法規。

現實往往是歷史的投影。中國數據經濟的形態受制于在先的政法制度,外資準入制度和重要信息的數據留存辦法間接地決定了中國并不存在近似歐盟的數據流動現象。同時,非正式制度與正式制度的現實博弈為中國的數據經濟迅猛發展留下來足夠空間,數據流動現象也因此潛伏在更復雜的問題之中。因此,中國的數據流動規制表現為相當寬泛的產業規制政策和數據留存制度。

(二)數據留存之辨

自斯諾登事件之后,不論是主要發達國家還是發展中國家都開始重新積極反思本國網絡數據與國家戰略安全的現實狀況,某種相對收縮的保守法律政策正在逐步蔓延各國,不同制度形態和政策面貌的數據留存監管正是政策主線。例如,在發達國家,澳大利亞提出個人健康數據信息應當留存國內的法例,[[31]]法國官方提出“數據主權”和“數據稅”的法律政策,非??粗卦朴嬎愕戎匾畔⒒A實施的本國化。德國官方提出類似的數據政策和法律建議,希望通過發展本國數據經濟,降低外國數據監控風險。不少發展中國家,俄羅斯、印度、韓國、越南、印度尼西亞和馬來西亞也都從數據隱私、數據安全和數據經濟發展等方面提出數據留存的具體法律政策。[[32]]

考諸各國,數據留存法律政策的立法要旨和政策目的主要有三。第一,從個人權利本位出發,保障數據隱私,維護人格尊嚴,提升個人福利。[[33]]第二,從社會發展本位出發,創造環境吸引外部資金,刺激本國信息產業,維護良好有序的數據經濟秩序,培育高度發達的數據經濟市場。[[34]]第三,從國家戰略安全出發,控制重要信息的數據流動,強化國家數據認證能力,提高國家綜合治理能力。[[35]]表面上看,數據留存似乎是數據流動監管的進一步細化,是各國數據流動實踐總結的反思之策。其實不然,兩者的立法要旨和法律技術都有本質差異。第一,從立法旨意來看,數據流動的法律監管制度預設數據自由流動的自然正當性,只要符合雙方對等原則的情況下數據信息皆可自由流動,貿易自由和思想自由是其正當性基礎。數據留存制度則預設數據信息并非價值無涉的自然物,而是有著強烈的社會屬性和政治屬性的構造物,有必要針對不同情勢而分類分級區別管理,關鍵信息的數據禁止跨境流動。第二,從法律技術來看,數據流動的法律監管本質是數據跨境商業行為的法律監管,國際法特征明顯,面臨不同主權國家的法律協調與沖突,其法律強制力無法與國內法相提并論。數據作為抽象物,監管難度遠甚于物質性實體物的一般貨物,此外,互聯網數據流動也非一般的貨物商品貿易,兼具服務貿易和技術要素的多重屬性,監管者很難深入商業流程中積極監管,其實操性大打折扣。數據留存的法律監管則無需面對復雜的國際法沖突,實際的法律執行手段也相對簡易,毋需深入到動態變化的商業實踐之中。

從法律內部視角出發,數據留存制度將重新塑造數據流動的法律監管,一些國家嚴格的網絡數據留存制度甚至禁止數據流動,這勢必將對全球當下的互聯網格局產生深刻影響,故此,很多國家的相關政策尚在醞釀之中就激起了廣泛爭議。Anupam Chander教授是抨擊數據留存制度最為激烈的學者之一,其將所有數據本地化的留存政策都被打上“數據民族主義”的意識形態標簽,從價值主張和實際功用角度細致批判各國數據留存制度的立法目的和現實作用。[[36]]Anupam Chander教授認為,要求數據本地化的留存制度本質是一種具有民族主義訴求的經濟保護主義,完全違背了當今世界主要國家奉行的全球化自由貿易政策。不僅如此,數據留存政策潛存的政策意涵非常危險,極易滑向所謂國家信息控制。[[37]]同時,數據留存制度的現實作用也極為可疑,第一,一味推行數據本地化的很多國家并無良好的信息基礎實施條件,既無低廉建造數據中心的成本優勢,也無數據安全的人才和技術積累。相反,數據中心過度集中,更易成為黑客攻擊對象,國外監控的危險性更大。第二,阻斷數據流動最終會嚴重影響本地的信息產業發展和普通網民的網絡服務日常需求,相反,只有全球商業競爭才會提升數據安全和網民福利。第三,僵化的數據留存制度并不能防止國外監控,卻反而能促進本國的數據監控加強,會嚴重危害到本國網民的數據隱私權利和思想言論自由。[[38]]總而言之,Chander教授認為在全球化經濟貿易與網絡互聯世界的深度融合之下,只有秉持自由貿易政策,“電子絲綢之路”暢通無阻,才能保障長遠的數據安全和經濟發展。[[39]]

正如Christopher Kuner教授一針見血地指出那樣,數據留存并非曇花一現的簡單現象,它是經濟全球化和民族國家經濟發展之間長期矛盾的一種新表現,應該將其回歸到相對較長的歷史時段中來考察。數據留存的目的與功能確可商榷,但是,Chander的批判同樣兼具強烈的意識形態特征和單一的分析視角缺陷,事實上,數據流動的法律經濟學視角亦難以壓倒數據留存的其它價值主張,無論是隱私理解還是戰略考慮。[[40]]Anupam Chander和Uyên P. Lê的論文開創性地比較研究了十多個國家與地區的數據留存法律現象,但是其各國研究止于簡單的法律和政策羅列,并未深入地經驗考察不同國家數據留存的政法考量,這才引來Kuner批評其只是單一的法律經濟學視角?,F實觀察,地區大國與小國在數據留存方面的基礎條件和戰略考量顯然并非一致,簡要來說,德法等地區大國在歐盟數據流動法律框架之下,更加側重于國家戰略安全與經濟競爭的考慮,非歐盟國家的俄羅斯、巴西和韓國等地區大國則并重看待數據隱私和戰略安全,而其它地區小國則更加側重于本國公民數據隱私和信息經濟發展。如果,再考慮到全球互聯網格局“割據形勢”,美國互聯網巨頭的市場優勢、技術優勢和監控遏制給各個國家的壓力并不相同,大國之間、大國與小國之間國際關系的此起彼伏是數據跨境流動的基礎,那么,不同國家與美國之間的關系變遷也會是其數據流動和留存的基本著眼點。

因此,應該將數據之上不同疊加利益的戰略考慮復合,才能具體地理解、細致地批判不同國家的數據流動和留存的正當價值和制度利弊。事實上,歷史經驗告訴我們,大國與小國的政法制度,常常因國際關系、地理疆域、人口民族、文化多樣和經濟體量的個體差異而必須承擔各自不同的某種規定性。[[41]]數據留存的復雜價值不可以自由貿易簡單化約,“數據民族主義”的標簽太過輕飄,反而掩蓋了扎根于下的復雜的政治經濟結構。相較于價值正當,數據留存制度的現實功用是否未如理想預期,甚至造成南轅北轍的作用,同樣需要具體分析。本文謹慎同意Chander教授的綜合分析,由于不同國家之間的差異基礎,數據留存在某些國家確實作用難測,例如云計算,對能源資源和地理條件有著相當高的成本要求,強行建造數據中心反而得不償失。但是,本文的分析另有關切,數據技術日益發展,大數據與數據留存的互動關系正在浮現更加詭譎的政治法律問題。

四、大數據與數據法律政策

(一)大數據視野之中的數據流動和留存

數據流動和留存的監管對象并非現實的物質實體物,而是觀念中的信息抽象物,只是由于特殊原因,才將監管對象設定為信息物質載體。這個特殊原因就是人的信息認知心理直接受制于信息抽象物的物理性質。第一,即內容與載體的一體性是信息抽象物的基本物理特征,故信息內容和信息載體的監控管理也是互為一致的,承載關鍵信息內容的物理載體可以通過限制流動,留存境內而防止信息傳播。所以,無論是個人隱私信息,還是商業機密信息抑或國家戰略安全的關鍵信息,都可以通過嚴控主體接觸媒介的載體控制到達內容控制,信息內容只能依靠人的認知而傳播。大體而言,這一認識在互聯網大數據出現之前是正確的,然而,信息數字技術使得海量的信息內容不再需要巨量的物質載體來表現,直接動搖了通過載體監控而控制信息內容的重要作用。第二,一般情況下,內容-表達-載體形成媒介認知,人通過認知信息抽象物的具體表達而直接獲知信息內容,因此,具體表達所呈現的直接內容往往是信息控制的主要對象。與此相反,直接內容之外,具體表達所可能潛存的間接意涵并不是信息控制的目標,法律的穩定預期特征不會干預逃逸清晰認知之外的不確定性的可能意涵。[[42]]

因此,信息內容控制的基本著眼點是以控制媒介載體的手段,進而控制干預載體中具體表達所呈現的直接內容。如果以上分析不錯,這就是數據流動和留存制度的構造邏輯之起點。然而,大數據及其塑造的數據商業則重新改變這一起點。

本文所理解的數據跨境流動是“跨越國界對存儲在計算機中的機器可讀數據進行處理、存儲和檢索”。這是一個相對技術化的理解,突出一組復合概念:機器可讀數據,數據流動與留存的現實差異表現為是否限制不同主體進行機器可讀數據的處理、存儲和檢索。機器可讀數據,按照目前理解,這是把握大數據核心觀念的關鍵詞,更是當前人工智能的核心技術之一。首先,大數據意義上的數據不僅是指數據的龐大,而是特指來源多樣、類型多樣、大而復雜的數據,與常規的結構化的、靜態的、易于處理的數據集相比,它具有非結構化的、動態的、不易處理的特點。[[43]]其次,正因如此,大數據所意欲呈現的信息意涵,個人很難直接認知,只能機器可讀,通過借助復雜的數據分析算法進行模式識別,當需要提供給人直接認知時,再以數據可視化技術加以轉化表達。換言之,大數據不以數據呈現的直接內容為目標,而是追求數據整合之后的深層次洞察。[[44]]

互聯網大數據的特質改變了數據的商業模式和基本架構,傳統以貨物貿易與服務貿易的交替并存為特征的數據商業形態遭到重構,演變為筑基在互聯網之上的平臺經濟,數據商業基本特征呈現為貨物貿易與服務貿易的交融并存。[[45]]新形態中,信息數據沉淀為基礎設施和主要渠道,在基礎支撐的技術架構和前臺交易的應用供需上保障平臺經濟的穩定運行,而完成這一切的并非數據承載的直接內容,而是數據意涵的深層洞察。作為全球電子商務網站巨頭,我國互聯網公司阿里巴巴集團的云計算和大數據被業界公認為世界前沿,阿里巴巴公司的未來前景和戰略構想是一套所謂IT(Information Technology,信息技術)轉向DT(Data Technology,數據技術)的技術及商業想象,通過數字信息技術的廣泛應用和信息基礎設施的普遍安裝,結合政策、制度創新,促進各類信息(數據)最大限度的傳播、流動、分享、創造性使用,從而提升經濟社會運行效率,故此阿里巴巴公司自認是一家數據驅動的科技企業。[[46]]循此邏輯,可以發現,數據壟斷是互聯網大數據的行業壁壘,而數據算法能力則是競爭核心。

這樣的巨變對于數據流動和留存的法律制度有什么意義呢?一言以蔽之,在大數據面前,數據流動和留存法律制度的監管弱化、目標失焦。寄希望以控制媒介載體的手段,進而控制干預載體中具體表達所呈現的直接內容,已經無法妥善保障重要信息的安全性。例如,互聯網上用戶的某些網絡行為可能并不屬于隱私,而是自愿披露的公開信息,比如發表博客文章,更新微博、商品點評和參與論壇發言,但是,網絡行為數據長久積累,再與其它非結構化數據整合挖掘,能夠清晰地勾勒用戶畫像,分析出大量行為隱私,甚至挖掘出用戶無意識的潛在欲望和可能需求。當然,既是規避法律,也是技術要求,數據挖掘是在封閉的算法識別程序中進行機器學習,需要時才進行數據可視化,對應人的認知。例如,電子商務的商業流程中會積累大量的貨物數據、交易數據和物流數據,如果只是單一數據集,其并不是能夠透視國家經濟狀況的重要經濟信息,但是,如果通過大數據整合算法挖掘之后,其數據意涵的戰略意義就不容小覷。

除了外資準入的法律制度是以行為禁止的形式直接杜絕不適格主體接觸任何法定的數據信息,其它形式的數據留存制度其實都是以控制信息載體留存境內的間接形式防止重要的信息內容擴散出境。然而,如前所述,大數據及其商業模式的出現可能已經破壞了數據留存制度所預設的管理前提,靜態的數據載體控制難以應對局面,而動態的數據能力競爭與監控才是問題的重點。數據流動和留存法律制度的真正疑難不再是簡單化約的物質實體物,幽靈般的抽象物重回法律視野?;仡^本文開頭,仔細辨析歐美之間“隱私盾協議”,淡化規則約束的剛性權力——事實上,歐盟也無法監管美國企業是否履行規則承諾,更何況還有大量數字技術問題需要厘清——強化國家權力的動態監管。由此可見,面對事關國家戰略意義的數據安全,在經濟態勢和政治盟約的強弱對比之下,歐盟其實已經變相選擇了權力委托、共同治理的數據政策和法律。當然,互聯網大數據經濟還在持續演化發展,技術與經濟的格局拐點可能還會出現。但是,考慮信息產業所特有的網絡效應和規模效應,以及大數據與其它產業的深度融合趨勢,自然壟斷一時難以逆轉,可能在相當長一段時間內,這是無可奈何的選擇。

(二)中國數據法律與政策的選擇

那么,中國應該做出什么樣的選擇呢?

首先,產業保護的外資準入制度和數據留存法律對中國互聯網大數據經濟有著深刻的塑造作用,并且遺留下非常特殊的VIE協議控制問題。既有的法律政策充分證明我國將互聯網產業及數據經濟視為事關國家戰略安全的戰略性產業,這并非是中國的特殊政策,東亞諸國在經濟后發戰略中長期奉行德國歷史學派經濟學說,尤其遵循戰略性貿易政策(strategic trade policy),對于本國的幼稚產業和戰略產業進行政策保護。[[47]]而且,而且政策保護還表現為某種形態的“個案審查”,華為公司進入美國市場屢屢受挫,這何嘗不是一種禁止數據跨境流動“個案審查”。當然,保護政策與開放政策都是取決于具體時勢,從互聯網大數據經濟的發展趨勢來看,數據流動與開放是數據經濟發展的動力之一,封閉保守不是長久之計,更何況中國已經步入“互聯網出海時代”。

當前,我國的數據流動勢態正在發生變化。法律政策方面,自2014年起,工信部公布了《關于中國(上海)自由貿易試驗區進一步對外開放增值電信業務的意見》,開始在我國上海自貿區嘗試放寬電信業務領域的外資股比限制,其中包括在線數據處理和交易業務處理。在此基礎上,2015年工信部公布《關于放開在線數據處理與交易處理業務(經營類電子商務)外資股比限制的通告》,決定在全國范圍內放開在線數據處理與交易處理業務的外資股比限制,外資持股比例可至100%。這說明更加靈活開放的數據政策可能已經到了適宜的時機。數據經濟發展方面,我國信息產業和互聯網產業處于良好起步勢態,部分企業早已揚帆出海,例如華為公司已是全球最大的電信設備供應商,[[48]]騰訊公司微信即時通訊服務在東南亞和中東地區也有一定的市場占有率,[[49]]國產移動手機在印度和非洲國家都有相當不俗的銷售成績。[[50]]當然,相比美國互聯網企業,中國互聯網大數據經濟的國際化程度還很低,適當的數據流動法律框架將有利于我國信息產業跨國企業的海外競爭力,發展出更富生態活力的數據經濟。

更關鍵的是,數據留存制度難以保障大數據意義下的數據安全,徹底斷絕數據流動也是因噎廢食的盲目之舉,強化數據經濟的戰略導向,注重數據能力的國際競爭,提升數據流動的動態監管,尤其加強準入之后數據戰略安全評估方面數據治理能力,會比單一的數據留存更加切中時弊。政策創新和技術進步必須合二為一,扭結合力??偠灾?,應當在國家治理能力戰略框架里統籌管理數據安全與數據經濟。

其次,在具體的制度建設方面要注重內外協調。第一,構筑匹配中國國情的個人隱私和網絡數據法律體系,目前國內的《網絡安全法》、民法體系內的隱私權法律和各地正在試行的數據交易規則可算初啼試聲,斟酌損益美歐的立法得失,立足中國經驗。[[51]]第二,總結數據留存法律制度的得失,明確數據類型,實施分類分級的數據管理制度。[[52]]第三,借鑒美歐之間雙邊談判的數據流動法律框架經驗,側重雙邊談判或者多邊談判的框架性功能,務求靈活態度處理數據跨境流動問題。第四,《跨太平洋伙伴關系協定》(TPP協定)的核心要素是知識產權和數據流動,TPP協定要求締約國在保護個人數據隱私的前提下,確保全球信息和數據自由流動,以驅動互聯網和數字經濟。毫無疑問,中國亦應以適當的方式參與國際數據規則的建立,確保一個有利于我的外部規則環境。

五、結語

本文希冀說明并論證的是,數據跨境流動并非是一個法律規范性論證的單一問題,盡管至今大部分“政治正確”的理解,都將數據跨境流動與個人隱私權利掛鉤。反之,我們希望切入數據流動這一商業現象,厘清歐盟的法律演變邏輯,梳理中國的具體問題,并力圖將這些分析融入正在發生的技術巨變之中,揭示出新近的技術變遷將對法律政策產生扭曲,著重指明作為問題背景的國際關系和作為基礎問題的技術演變才是理解數據跨境流動的關鍵切入點?;诖?,本文既批判了數據留存法律制度的現實作用,也肯定了數據留存法律制度的價值意涵。最后指出,僅論中國語境中的數據問題,“數據金融化和金融數據化”的挑戰非常嚴峻,不僅是外資控制,數據壟斷與資本壟斷的利益同構性可能會形成新的控制和壓迫,這會警醒我們更加嚴肅地看待數據流動規制中隱含的政治意義,數據能力競爭和數據動態監管可能已迫在眉睫。

*本文原載《錢塘法律評論》2019年第01卷。

[[1]] “EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield” 歐盟網站:http://europa.eu/rapid/press-release_IP-16-216_en.htm,最后訪問時間2019年3月25日。

[[2]] 齊愛民:《個人資料保護原理及其跨國流通法律問題研究》,武漢大學出版社2004年版,主要參見第一章內容。

[[3]] 詳見歐盟網站介紹:“Digital Single Market”,https://ec.europa.eu/digital-agenda/en/digital-single-market,最后訪問時間2019年3月25日。

[[4]] 齊愛民等:《大數據時代個人信息保護法國際比較研究》,法律出版社2015年版,第297頁。

[[5]] 石月:《數字經濟環境下的跨境數據流通管理》,載《信息安全與通信保密》2015年第10期,第101頁。

[[6]] 同注[5]引文,第102頁。

[[7]] 同注[4]引書,第302頁,引文譯文略有改動。另見《個人數據保護:歐盟指令及成員國法律.經合組織指導方針》(中英文對照),陳飛譯,法律出版社2006版,參見該書第一部分主要內容。

[[8]] 孔令杰:《個人資料隱私的法律保護》,武漢大學出版社2009年版,第268-271頁。2019年初剛審議通過的歐日數據跨境流動框架則是最新典范法例。

[[9]] 同注[8]引書,第276-288頁。

[[10]] 同注[8]引書,第289-292頁。

[[11]] Martin E. Abrams:《新興數字經濟時代的隱私、安全和經濟增長》,溫珍奎譯,載周漢華主編:《個人信息保護前沿問題研究》,法律出版社2006年版,第4-9頁。

[[12]] [德]Christopher Kuner:《歐洲數據保護法——公司遵守與管制》,曠野、楊會永等譯,法律出版社2008年版,135頁。

[[13]] 齊愛民等:《大數據時代個人信息開放利用法律制度研究》,法律出版社2015年版,第100頁。

[[14]] 郭瑜:《個人數據保護法研究》,北京大學出版社2012年版,主要參見第三章第45-73頁、第八章第227-245頁。

[[15]] 簡榮宗:《網路上資訊隱私權保障問題之研究》,轉引自注[4]書,第303頁。

[[16]] 參見Anupam Chander:“How Law Made Silicon Valley”,63 Emory L.J,639(2014)。

[[17]] Ernst-Oliver Wilhelm:“A Brief History of Safe Harbor“,https://iapp.org/resources/article/a-brief-history-of-safe-harbor/,最后訪問時間2016年2月15日。

[[18]] 參見Maximillian Schrems v. Data Protection Commissioner (Court of Justice of the European Union, C-362/14, 6 October 2015),http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf,最后訪問時間2019年3月15日。

[[19]] Daniel Solve:“Sunken Safe Harbor: 5 Implications of Schrems and US-EU Data Transfer”,https://www.teachprivacy.com/sunken-safe-harbor-5-implications-of-schrems-and-us-eu-data-transfer/,最后訪問時間2019年3月15日。

[[20]] 蔡雄山:《網絡世界里如何被遺忘——歐盟網絡環境下個人數據保護最新進展及對網規的啟示》,載《網絡法律評論》2012年第2期,第68-75頁;邵國松:《“被遺忘的權利”個人信息保護的新問題及對策》,載《南京社會科學》,2013年第2期,第104-109頁;彭支援:《被遺忘權初探》,載《中北大學學報(社會科學版)》2014年第1期,第36-40頁。

[[21]] 張立翹:《被遺忘權制度框架及引入中國的可行性》,載《互聯網金融與法律》2015年第2期,第1-8頁。

[[22]] 《中華人民共和國網絡安全法》第三十七條現在被理解為“數據跨境流動”中國具體法源,但是其規定的“應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”至今還未具體落實,2017年8月公開的《數據出境安全評估指南(征求意見稿)》也還暫無下文。

[[23]] 齊愛民:《私法視野下的信息》,重慶大學出版社2012年版,參見第二編主要內容。

[[24]] 方興東、胡智鋒:《媒介融合與網絡強國:互聯網改變中國》,載《現代傳播》2015年第1期,第1-12頁。

[[25]] 新浪網財經頻道:“全球互聯網巨頭市值排名大洗牌 但前五大還是FAAM”,http://finance.sina.com.cn/stock/usstock/c/2019-02-03/doc-ihrfqzka3393155.shtml,最后訪問時間2019年3月15日。

[[26]] 參見工業和信息化部《中華人民共和國電信條例》(2016修訂)第二章第八條、《電信業務分類目錄(2015年版)》B類業務界定。

[[27]] 參見《電信業務經營許可證管理辦法》、《互聯網出版管理暫行規定》、《關于文化領域引進外資的若干意見》、《互聯網信息服務管理辦法》、《互聯網視聽節目服務管理規定》。

[[28]] 周雪光:《從‘黃宗羲定律’到帝國的邏輯:中國國家治理邏輯的歷史線索》,載《開放時代》2014年第4期,第108-132頁。見本文第三部分對于中國歷史上正式與非正式制度的名實轉化的精彩論述。

[[29]] 梁芳:《VIE模式產生的原因、風險及對策分析》,載《中國經貿》2013年第18期,第92頁。

[[30]] 監管者與公眾輿論對此始終保持高度關切。2006 年信息產業部出臺的《關于加強外商投資經營增值電信業務管理的通知》,密切關注對互聯網公司VIE結構問題。2011年,阿里巴巴集團“暴力拆除”支付寶VIE結構更是引起廣泛的社會爭議。2015年,工業與信息化部發布《關于放開在線數據處理與交易處理業務(經營類電子商務)外資股比限制的通告》,決定在國內放開在線數據處理與交易處理業務的外資股比限制,外資持股比例可至100%,終于打破了長久以來的曖昧的監管態度。

[[31]] Personally Controlled Electronic Health Records Act 2012 (Cth) s 77 (Austl.),參見https://www.comlaw.gov.au/Details/C2012A00063,最后訪問時間2019年3月15日。

[[32]] Anupam Chander,Uyên P. Lê,Data Nationalism,64 Emory Law Journal,708-714(2015).本文對十幾個國家與地區的相關法律政策作了清晰梳理。

[[33]] [德] Christopher Kuner:《歐洲數據保護法——公司遵守與管制》,曠野、楊會永等譯,法律出版社2008年版,第一章。

[[34]] 同注[11]引書,第4-9頁。

[[35]] 歐樹軍:《國家基礎能力的基礎》,北京:中國社會科學出版社2013年版,第一部分第3-44頁。

[[36]] 同注[32]引文,第735頁.

[[37]] 同注[32]引文,第735頁.

[[38]] 同注[32]引文,第714-739頁.

[[39]] Anupam Chander:The Electronic Silk Road:How the Web Binds the World Togethe. (Yale University .Press2013)

[[40]] Christopher Kuner:“Data Nationalism and Its Discontents“,Emory Law Journal, Vol. 64, No. 3, 2015.

[[41]] 蘇力:《政治精英與政治參與》,載《中國法學》2013年第5期,第77-92頁。

[[42]] 人與媒介的認知及文化關系,請參見[美]林文剛:《媒介環境學》,何道寬譯,北京大學出版社2007年版。[加]麥克盧漢:《理解媒介:論人的延伸》,何道寬譯,譯林出版社2011年版。

[[43]] 朱揚勇等:《大數據是數據、技術,還是應用》,載《大數據》2015年第1期,第7頁。李國杰:《對大數據的再認識》,載《大數據》2015年第1期,第2頁。

[[44]] 整合數據、挖掘數據一直是學界和產業界追求的目標,參見鄭毅:《證析:大數據與基于證據的決策》,華夏出版社2012年版,特別是第三章、第四章。

[[45]] 李謙:《人格、隱私與數據:商業實踐及其限度——兼評中國cookie隱私權糾紛第一案》,載《中國法律評論》2017年第2期,第122-138頁。

[[46]] 阿里研究院:《互聯網+:從IT到DT》,機械工業出版社2015年版,參見第三章、第四章主要內容。

[[47]] 日本的半導體產業就是典型事例,其因政策保護而迅猛發展,參見[美]米魯斯·博魯斯等:“創造優勢:政府政策如何影響半導體產業的國際貿易》,載保羅·克魯格曼主編《戰略性貿易政策與新國際經濟學》,中國人民大學出版社2000版,第83頁。中國戰略性工業化的歷史分析,請參見嚴鵬:《戰略性工業化的曲折展開:中國機械工業的演化(1900-1957)》,上海人民出版社2015年版。

[[48]] 參見騰訊網騰訊科技頻道:“華為掀翻愛立信 成2017年全球最大電信設備商”,http://tech.qq.com/a/20180316/024406.htm,最后訪問時間2019年4月21日。

[[49]] 參見鳳凰網科技頻道:“微信,騰訊的國際化夢想?“,http://tech.ifeng.com/internet/special/tencentintel/,最后訪問時間2019年3月5日。

[[50]] 謝麗容等:《中國智能手機行業重劃版圖:淪為巨頭間的游戲》,原載《財經》2015年12月刊,參見http://it.sohu.com/20151222/n432189666.shtml,最后訪問時間2019年4月21日。

[[51]] 洪延青:《在發展與安全的平衡中構建數據跨境流動安全評估框架》,載《信息安全與通信保密》2017年第2期,第36-62頁。

[[52]] 石月:《數字經濟環境下的跨境數據流動管理》,載《信息安全與通信保密》2015年第10期,第101-103頁。

發表評論