內容提要:全球數據治理已成為當前全球治理的重要內容,其主要面臨兩方面挑戰:一是主權國家間在數據權屬、數據跨境流動等數據治理議題上的主張相異,並競相提出了各自的數據發展戰略;二是個人、企業與主權國家間數據權益存在失衡,亟需有效機制進行協調。為有效應對這些挑戰,推動全球數據治理體系走向有序、規範和協調,一方面,全球數據治理應當採取數據主權、數據保護與數字經濟發展相統一的數據治理主張,鼓勵各主權國家或區域組織參與全球數據治理並構建全球數據治理規則;另一方面,為協調個人、企業和主權國家之間的數據利益,全球數據治理應當構建數據協調治理機制,具體包括「人格權先行」數據協調治理機制、「財產化市場交易」數據協調治理機制和「匿名化戰略利用」數據協調治理機制。
關鍵詞:全球治理、全球數據治理、數據主權、數據協調治理機制
作者簡介:蔡翠紅,復旦大學美國研究中心教授、博導;王遠志,復旦大學法學院研究助理。
基金項目:本文為國家社會科學基金項目「構建全球網際網路治理體系研究」(項目批准號∶18BGJO22)的階段性成果。
當代社會,全球範圍內的數據無處不在,正以無法察覺或不顯著的方式嵌入日常生活結構甚至推動社會變革。人們渴望利用數據來解決問題,改善福祉,促進經濟繁榮。數據逐漸成為當代社會重要的潛在資源之一,數據治理正成為全球治理的重要議題。但綜觀當前的全球數據治理,其不僅面臨主權國家間數據治理不同主張的衝突,還面臨個人、企業與主權國家間數據權益失衡等多重挑戰。如何應對這些挑戰並推動全球數據治理進程向前發展,已是學界和實務界亟待研究的重要問題。
一、全球數據治理的內涵與重要性
隨著全球化的推進,治理已逐漸從局部的、領域的市場治理、地方治理、城市治理,走向全面的、綜合的政府治理、國家治理;從國內治理走向全球治理。作為全球治理的細分治理領域之一,全球數據治理具有其獨特內涵和意義。
全球數據治理指的是在全球範圍內,各治理主體依一定的規則對全球數據的產生、收集、存儲、流動等各個環節以及與之相關的各行為體的利益進行規範和協調的過程。例如,在各行為體參與全球數據治理的交往中,對數據權屬的明確、對數據安全的保障、對數據交易的監管和對數據跨境流動的法律規制等等,都屬於全球數據治理的範疇。
關於全球數據治理的具體內涵,有三點需要進一步釐清。其一,數據是全球數據治理的直接治理對象。廣義的數據治理還包括「依靠數據的治理」,利用數據創新社會治理思路,將數據治理與社會治理總體變革相聯繫。
隨著數據資源在社會生活中重要性的增加,以及其對傳統社會治理模式變革的極大推動作用,「依靠數據的治理」也日益成為數據治理的重要內容。但由於要實現「依靠數據的治理」首先需解決「針對數據的治理」,且當前全球數據治理的主要問題仍集中於「針對數據的治理」,因此目前全球數據治理的內涵仍應限縮在狹義範圍內,即「針對全球數據的治理」。
其二,全球數據治理是在大數據時代的背景下展開的,但「大數據」的概念與「數據」並不相同,不容混淆。一般而言,「數據」是指伴隨人類生產、生活等各種行為產生並以某種方式記錄下來的原始記錄。而「大數據」指的是大規模數據的集合形成的一種數據形態。根據著名諮詢機構麥肯錫(McKinsey)的定義,「大數據」為容量超出傳統資料庫軟體獲取、存儲、管理和分析能力的數據集合。此外,「大數據時代」則指的是一個時間階段,其時代特徵表現為大數據的產生和應用十分廣泛。因此,三者屬不同概念,「數據」才是當前全球數據治理的直接治理對象。
其三,全球數據治理是對數據進行全局性、綜合性的治理,所要達成的是一種整體善治的目標。早期數據治理被視為一種管理行為,強調對數據資產的決策制定和職責劃分。但這種定義並未能體現「治理」的應有之義,因而其概念逐漸被界定為一個規劃了特定組織中數據的角色、功能和程序以實現數據的妥善管理並作為一種戰略資產使用的框架,認為其為組織內人員、流程、技術等的協作提供了一種模式。因此,全球數據治理也應當並不局限於對數據的「管理」,而應以全局性的觀念看待全球數據的價值,並嘗試探索出一套相對全面和完善的全球數據治理規則。推行全球數據治理,一方面是回應全球數據發展之關切,另一方面更是因為推行全球數據治理本身具有重要的意義和極大的優越性。主要體現在以下四個方面:
第一,有助於促進數據跨境流動的規範化和有序化,進一步推進全球數據保護,防範全球性數據安全風險。全球經貿交易、技術交流、資源分享、共同打擊數據犯罪都會帶來跨境數據流動。然而,數據的跨境傳輸、存儲和應用環節存在著各種安全風險,不僅可能被截獲、篡改、偽造、洩露,而且不同國家或區域組織制定的不同的數據政策和法律的差異還可能導致數據所有者和使用者權限模糊,從而產生數據被濫用和數據合規等問題。全球數據治理的推進將進一步深化各國在全球數據安全保護方面的共識,增強全球性數據安全風險的應對能力,加快形成全球範圍內的跨境數據流動規則,促進全球數據資源的合作利用和開放共享。
第二,有助於促進全球數字經濟的發展,為全球數據交往提供指引。《全球數字經濟新圖景(2019年)》(國際數字經濟白皮書)顯示,2018年全球47個國家數字經濟總規模超過30.2萬億美元,佔GDP總量的比重高達40.3%,其中有38個國家數字經濟增速顯著高於同期GDP增速。在全球數字經濟發展已呈蓬勃之勢的背景下,全球數據治理可以通過構建相應的全球數據貿易規則為人們提供較為明確的預期,有助於打通各國間的數據貿易壁壘,從而有利於進一步掃除數字經濟發展的障礙,促進信息化產品和服務跨境運營和商業拓展,推動信息網絡技術、產品和服務的創新發展。
第三,有助於促進全球治理體系的完善,推動全球善治的形成。數據作為第四次工業革命中最為活躍的技術創新要素,正在全面重構全球生產、流通、分配、消費等領域,對全球競爭、經濟發展、產業轉型、社會生活等方面產生全面深刻影響。數據治理已成為全球治理的重點領域。全球治理能力的提高有賴於全球各個領域尤其是重點領域的高效治理,全球治理體系的完善有賴於全球各個領域尤其是重點領域治理機制的統籌協調。因此,在全球層面對數據這一重點領域進行治理,將切實推動全球治理體系的完善。
第四,有助於促進協同治理,幫助發展中國家推進和完善國內數據治理。全球治理與國家治理互動融合的「整體性治理」正隨著人類知識的發展和治理實踐能力的提高而成為一種趨勢。推動全球治理與國家治理的雙向有效正逐漸成為共識,而全球數據治理能促進這種互動作用。一方面,發展中國家的國內數據治理在全球數據治理背景下展開,全球數據治理的部分規則會內化為國家數據治理。全球數據治理推進過程中所形成的相對成熟的理機制、治理思路等可為發展中國家提供借鑑,用以完善國內數據治理。另一方面,當前部分發達國家和地區已經在國家數據治理上先試先行,並積累了一定的實踐經驗。而其中相對成熟的經驗,可以在全球數據治理中予以推廣、借鑑和移植。數據的國別式治理經驗的形成和推廣,將有效推進全球數據治理的進程,實現「國家治理的世界秩序意義」。
二、全球數據治理面臨的挑戰
認清當前全球數據治理的現狀及所面臨的挑戰,是推行全球數據治理的第一步。綜觀當前的全球數據治理,作為治理對象的「數據」體量已十分龐大,與之相伴的消費者隱私和數據安全方面的風險正在進一步加大,同全球範圍內的數據洩露愈發普遍,所造成的損失也日益加劇。同時,現有的全球數據治理機制仍不完善,存在碎片化、滯後化等諸多現實困境,既缺乏專門的全球性數據治理機構,也未能在現有零碎治理機制之間達成協調,並引發了諸多具體的挑戰。
具體而言,由於政府、私營部門和市民社會是網絡空間全球治理的重要主體,相互間存在著不同的利益主張,導致了在治理機制構建進程中的多層次衝突。因此,在全球數據治理中,圍繞個人、企業和主權國家這三大至關重要的主體,產生了諸多問題,從而使當前全球數據治理面臨兩方面挑戰:一方面是個人與個人、企業與企業、主權國家與主權國家等同一主體之間的數據權益或主張衝突;另一方面則是個人、企業與主權國家等不同主體之間圍繞數據權益產生的衝突。
個人與個人、企業與企業的數據權益衝突是現實生活中較為常見的數據治理議題,但其並非全球數據治理的重點問題。因此,本文在探討同一主體間數據權益或主張衝突問題上,僅著重探討不同主權國家間的數據治理主張衝突以及由此帶來的挑戰。
(一)主權國家間數據治理的不同主張及衝突
隨著數據的跨區域流動日益頻繁,主權國家謀求數據資源管理和控制的主張愈發強烈,「數據主權」(Data Sovereignty)這一概念因而逐漸興起,也日益成為各主權國家提出數據治理主張的理論基礎。本文對數據主權概念採用狹義理解,即數據主權僅指國家數據主權,為以國家為中心的公權力對本國數據進行控制、管理和利用的權力。在國家數據主權的理論支撐下,各主權國家紛紛依據各自不同的國情和利益訴求提出了自身的數據治理主張。因而,在全球層面就產生了數據治理主張的碰撞與衝突,進而為全球數據治理的推進帶來了一系列挑戰。
第一,各國對個人數據的權屬認識不統一,導致全球數據治理中對個人數據採用何種保護路徑爭論不休。用詞上,歐洲國家傾向於採用「數據保護」(Data Protection)一詞,而歐洲以外國家往往採用「隱私保護」(Protection of Privacy)、「數據隱私」(Data Privacy)或「信息隱私」(Information Privacy)等詞,但都是用來指代與個人數據相關的數據處理上的規制。措詞上的差異反映出不同國家在數據保護路徑上的差異。即歐盟國家將個人數據視作公民的基本權利,具有憲法意義,因此在立法上確立了較為嚴格的個人信息保護模式,並在一體化進程中不斷推進個人數據保護立法。而美國等其他國家則傾向於將個人數據信息納入隱私權保護框架內,試圖通過隱私權的寬鬆解釋解決個人數據保護問題,並在司法實踐中逐步確立相應規則。在中國,個人信息權早期被納入一般人格權保護,並獲司法實踐支持。同隨後個人信息權又被界定為一種具體人格權,意圖通過構建人格權屬保護體系以增強個人數據保護。同隨著《中華人民共和國民法典》(以下簡稱「《民法典》」)的頒布,人格權編獨立成編,個人信息保護正式被立法納入人權保護的範疇,標誌著中國對個人數據的保護仍主要採人格權保護路徑。由此可見,不同主權國家對個人數據所採取的不同觀點,導致了其保護個人數據路徑的差異。
第二,各國所秉持的數據跨境流動規制理念與主張不同,導致全球範圍內的數據跨境流動受限,數字經濟活力難以充分發揮。2016年歐盟通過了《一般數據保護條例》(General Data Protection Regulation,以下簡稱「GDPR」,並於2018年5月正式實施,其中將個人數據權利視作基本人權。GDPR對數據的跨境流動做出了嚴格的限制,如第五章「向第三國或國際組織傳輸個人數據"的第四十五條所規定的"充分保護原則」,要求數據接收國/地區確保達到充分水平的保護標準,才允許數據進行跨境流動。這種「人權與隱私優先、自由流動保障居其次」的一般數據跨境流動規制思路,也成為了歐盟規制各類具體數據跨境流動的基礎。更是歐盟在全球數據治理中所秉持的數據跨境治理主張。而與之不同的是,美國政府不希望採取諸如GDPR如此嚴格的措施,減損或擾亂美國與其他國家之間正常的貿易合作甚至製造貿易壁壘。立足於自身的信息優勢地位並受自由經濟觀念的影響,在數據跨境流動的規制問題上,美國秉持在安全可控前提下最大程度促進數據自由流動的治理主張,並力求通過籤訂雙邊或多邊協議形成自身的數據跨境流動規制體系,以充分促進數字經濟的發展。例如,在美國與韓國達成的《美韓自由貿易協定》(KORUS FTA)以及美國與墨西哥、加拿大最新達成的《美墨加協定》(USMCA)中,美國均在其中主導加入了數據跨境自由流動的相關條款。
為緩和在數據跨境流動問題上的分歧及促進雙邊經貿發展,在《安全港協定》實質失效後,美歐於2016年7月就數據傳輸重新達成《隱私盾協議》,從而實現了從《安全港協定》到《隱私盾協議》的轉變。2020年7月,實施近四年的《隱私盾協議》再次被歐盟法院裁決無效,美歐之間的數據跨境傳輸再度出現重大挑戰,雙方不得不重啟談判。從《安全港協定》和《隱私盾協議》的談判歷程和內容來看,兩者都是美歐互相妥協的結果,其在數據跨境流動治理問題上的分歧並未消失。除美歐之外的其他主權國家,在數據跨境流動問題上也各有不同主張,如俄羅斯高度強調數據主權優先並通過要求數據本地存儲的方式來限制數據跨境流動,澳大利亞採取分類管理、分級標識、強制性指南與推薦性指南相結合的折中措施來規制數據跨境流動。可見,不同主權國家在數據跨境流動主張上的分歧,為全球數據治理的協調統一帶來了極大的困難。
第三,各國為謀求數據的戰略價值,爭相制定數據發展戰略,從而導致全球數據開發競爭加劇,國家間不對稱和不平等的權力結構進一步凸顯。網絡空間的數據已經、正在而且還將持續轉變成為一種戰略資源。在歐巴馬政府時期,美國就將數據定義為「未來的新石油」,並將大數據發展提升到戰略高度。2012年3月,歐巴馬政府提出《大數據研究和發展計劃》(Big Data Research and Development Initiative),宣布投入超過2億美元以大幅改進數據訪問、收集和匯總所需的工具和技術,旨在加快美國科學和工程領域發展的步伐,並加強國家安全。川普政府亦致力於穩步推進數據挖掘和利用。2018年5月,白宮行政管理和預算局聯合開放數據中心共同主辦了一場關於將數據用作戰略資產的圓桌會議,意在制定改善聯邦政府服務、為美國經濟創造價值和就業機會的數據戰略。為了提升大數據信息挖掘和獲取能力,英國政府2010年上線政府數據網站(Data.gov.uk),並在此基礎上於 2013年發布了新的政府數位化戰略。2015年,英國政府承諾將開放部分核心公共資料庫,並將投資建立世界上首個「開放數據研究所」。澳大利亞政府信息管理辦公室(AGIMO)成立了「大數據工作組」,並於2013年8月發布了《公共服務大數據戰略》,在國家層面提出了六條大數據指導原則。日本於2013年提出新的信息通信技術(ICT)發展戰略,以創造新的高附加值企業、解決社會問題、提高和增強ICT基礎設施,並逐漸形成智慧日本ICT戰略整體布局。在2019年6月舉行的二十國集團(G20)峰會上,日本首相安倍晉三再次表示將致力於推進數據流通,並與世界貿易組織(WTO)合作制定全球數據流通規則。繼發布GDPR對一般數據保護作出整體規制後,歐盟又於2020年2月發布《歐洲數據戰略》(A European Strategy for Jata),指出要創建一個真正的數據單一市場且面向世界開放,並利用數據促進經濟增長、創造價值。可見,世界範圍內的主要科技強國都在謀劃布局相應的數據發展戰略,並造成了全球範圍內數據規制政策的差異,進而加劇了各國家或地區之間有關數據治理政策的衝突,為全球數據治理的統一和有序化帶來了一定的挑戰。
更深層次的挑戰在於,世界已經進入網絡政治的新階段,世界各國陸續作出反應並逐漸形成「武器化的相互依存」狀態。經濟互動使得國家間處於相互依存的狀態,並產生了新的權力結構。這種新的權力結構的表現是國家間的不對稱和不平等加劇,佔據網絡等相關優勢的國家能夠將企業乃至整個國家從全球網絡中剔除,從而產生深遠的後果。從全球數據治理的角度而言,全球範圍內就數據流通、數據共享所導致的國家間相互依存的狀態將越來越緊密,同時隨著主要發達國家和技術強國持續推行數據發展戰略,如何防範部分主權國家被剔除出全球數據網絡、平衡各國的數據發展戰略和國家利益,已經成為全球數據治理進程中所面臨的巨大挑戰,也是未來全球數據治理亟待解決的重點問題。
(二)個人、企業與主權國家間數據權益的失衡
全球數據治理中,個人享有個人數據權利,並尋求多種路徑實現權利保護企業對經過企業再加工的數據享有權利,以最大程度發揮數據的經濟價值,謀求企業發展;主權國家獲得了享有數據主權的應然狀態,已經或者正在制定相應的數據發展戰略,以維護國家安全並最大化國家利益。但三者的訴求存在失衡,甚至在實踐中存在一定的衝突。
第一,個人數據權利易受不正當企業數據權利侵犯。個人與企業數據權利界限不明,導致企業侵犯個人數據權利的行為層出不窮。某些個人用戶雖然意識到企業正在收集自身信息,但他們並不清楚自己的信息是否會被進一步處理,也不清楚這些信息將以何種方式被處理,最終流向何處。部分跨國公司在個人不知情的情況下採集了相關個人數據,並依託自身的信息優勢對其進行跨境轉移,它們極有可能對數據進行濫用,以謀求不正當的企業利益。全球範圍內,部分商業巨頭違規使用個人數據而遭受監管部門處罰的案例屢見不鮮。2019年1月,法國國家信息與自由委員會便以違反數據隱私保護相關規定為由對美國谷歌公司開出了一張5000萬歐元的罰單,其認為谷歌公司在處理個人用戶數據時存在缺乏透明度、用戶獲知信息不便、廣告訂製缺乏有效的自願原則等問題。2020年6月,德國最高法院作出裁定,要求Facebook必須遵守德國反壟斷監管機構頒布的一項限制收集用戶數據的命令,即在沒有特別許可的情況下,停止自動收集 WhatsApp 或 Instagram 等應用程式使用者的數據。這些侵犯公民隱私的企業行為層出不窮的原因,實際上是當前的全球數據治理中缺乏對企業使用個人數據體系化的規制。各主權國家對個人數據的保護路徑意見不一,個人和企業數據權利未能實現利益協調與合理規範,導致全球數據治理進程中亂象不斷,既不利於數據隱私的保護,也不利於數字經濟的發展。
第二,主權國家與企業數據資源不對稱,數據主權的實現困難重重,依託數據主權實現高效數據治理仍存在現實障礙。一方面,大量的數據被跨國網際網路信息巨頭實際佔有和使用,主權國家對部分關鍵甚至具有戰略價值的重要數據缺少實際控制,無法在國家治理層面直接應用企業數據。另一方面,主權國家在不直接掌握部分重要數據的現實困境下,缺乏與企業就數據權利互動溝通的有效機制,從而一定程度上延緩了各主權國家數據戰略目標的實現,也阻礙了全球數字經濟的充分發展和繁榮。國際數據公司(IDC)2019年1月發布的白皮書顯示,到2025年中國將擁有全球最大的數據圈,其中企業級數據圈將從2015年佔中國數據圈的49%增長到2025年的69%。以可見,企業數據在整體數據中佔據大部分比例。而這一資源不對稱的現狀,將使得主權國家在全球數據治理進程中無法切實掌握數據資源並對其展開有效治理。
第三,國家數據主權與個人數據權利不相協調,甚至產生衝突。個人數據權利依賴國家法律法規、政策和相關配套措施的保障,而國家基於保護人權和隱私的目的承擔公民個人數據保護的國家責任。然而,國家在治理過程中需要使用大量數據,其中不乏眾多個人數據。而個人數據中又含有大量隱私信息,國家調取、查閱個人數據的過程可能造成個人數據信息的頻繁流動甚至帶來洩露的風險,而且這種獲取的過程極有可能是秘密的、信息不對稱的,存在侵犯個人數據權利的風險。再如,國家在特定的緊急情況下,為服務公共利益的需要,強制且未經同意地獲取特定個人的數據信息,也極易造成國家數據主權與個人數據權利的對立。甚至實踐中存在為保護一國的國家安全或重要利益,獲取他國國民數據信息的行為。如美國在「9·11」事件之後頒布的《愛國者法案》中就規定,無需數據主體的事先同意,美國政府可以獲取任何存儲於美國數據中心的信息或者是美國公司所存儲的信息。該法案下,政府獲取相關信息後,數據主體極可能並不知情。2013年曝光的「稜鏡門」事件更是反映了以美國為首的部分國家非法侵佔他國個人數據、破壞個人隱私的事實。總之,當前全球數據治理中,國家數據主權的權力邊界仍有待釐清,其與個人數據權利的關係仍有待協調。
三、推動全球數據治理的路徑
面對全球數據治理的種種挑戰,國際社會尚未形成成熟的治理機制。全球數據治理不僅在主體上呈現多元化,而且沒有專門的全球性數據治理機構,已有的治理機制之間也缺乏明確的職能分配和統籌協調安排。有關數據治理的討論大多被置於全球多邊合作的框架之下,因此在探討數據治理議題時可能會與其他相關議題穿插進行,從而導致有關數據治理的對話與合作趨於泛化,大大降低了全球數據治理的有效性。當前,有關全球數據治理的主張散見於與數據有關的各個具體領域,其中最為突出也最受關注的便是各主權國家在數據跨境流動治理主張上的差異。全球統一的數據跨境治理規則迄今未見雛形。因此,從整體上對全球數據治理體系進行建構,以應對全球數據治理的多重挑戰,已十分迫切。具體而言,可以從以下兩方面進行應對:
(一)加強整體治理,推動建立全球數據治理規則
未來全球數據治理機制的形成,一定程度上取決於對全球數據治理路徑和主張的選擇。數字時代,算法和數字平臺塑造並約束著相關主體的行為,既成的法律往往難以執行,決策者對治理路徑的選擇將在一定程度上影響數據發展的走向,引導整體治理機制的形成。在借鑑和吸收已有的相對成熟的數據治理措施的基礎上,面對全球數據治理中的不同主張,各主權國家應當充分結合自身國情,形成並完善自身的數據治理主張,以實現數據主權、數據保護與數字經濟發展相統一。此外,各主權國家還可以通過積極參與全球數據治理,將自身數據治理主張推向全球並謀求完善,進而推動全球性數據治理規則的形成。
1.妥善協調各主權國家的數據發展戰略,實現數據價值的共享在全球數據治理的實踐中,不同主權國家或地區業已根據自身利益訴求,制定了相應的數據發展戰略,以謀求實現對數據的戰略利用,並進一步發揮數據的戰略價值,由此導致國家間的不對稱和不平等不斷加劇。如何防範部分主權國家被剔除出全球數據網絡、平衡各國的數據發展戰略和國家利益,日益成為全球數據治理層面亟待解決的問題。而反觀現實,目前零散的、未成體系化的治理機制並不能發揮協調各方、互助合作和實現價值共享的作用,因而需要重新構建。
具體而言,應推進將聯合國及各區域組織作為全球數據治理的重要平臺,由其妥善協調組織內各主權國家或地區的數據發展戰略,化解各國在數據發展戰略上的衝突,促進各方在互利合作的基礎上實現戰略數據的共享。其中,以聯合國為首的全球性數據治理平臺,可以更多關注全球各國、各地區數據戰略的平衡發展,組織全球數據治理領域的多邊洽談並構建相關洽談和磋商機制,協調各國、各地區的數據利益,力爭使數據經濟價值為全球所共享。在聯合國整體治理框架下,各區域組織可以發揮其區域內緊密合作的優勢,打造更加精細化、具體化的數據治理實施方案。
2.加快形成全球數據治理整體框架,完善數據保護法律法規
由於藉助網際網路而獲得不斷發展的商業活動和國際市場的極大擴張,企業正在收集和傳輸比以往更多的跨境數據。其結果便是,全球各國政府都在積極地制定或完善法律法規以更好地保護公民的個人數據,無論這些數據是私人擁有還是政府擁有,是本地的還是境外的。自1980年經濟合作與發展組織(OECD)率先出臺《隱私保護與個人數據跨境流動準則》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,以下簡稱 OECD準則)這一首份有關信息化背景下隱私保護和數據跨境流動的法律文件以來,無論在國際交往還是國內治理層面,均已產生眾多與數據治理有關的法律法規。其中,最具影響力的立法當屬歐盟GDPR的頒布,其對數據保護採取的強有力規制,為世界範圍內的數據保護立法提供了範本和借鑑思路。
但是,當前全球數據治理的規則機制大部分仍局限於國內或區域層面,全球數據治理的整體框架還未形成,全球層面統一的數據保護法規體系更是未見雛形。這不僅給數據跨境流動造成了障礙,更為全球範圍內有關數據糾紛的法律適用帶來了困惑。因此,為有效推進全球數據治理,各國除了應當在已有立法的基礎上,不斷健全和完善國內數據保護相關的法律法規之外,還應通過國際交流、對話和談判的方式加快形成全球數據治理的整體框架,並發展出相對完善和健全的國際數據保護條約或相關適用機制,從而構建-個合理、協調、高效的全球數據治理體系。
3.加強數據跨境治理交流與合作,推動全球數據治理規則的完善數據跨境治理是全球數據治理中的重要內容,妥善處理數據跨境流動問題,既是捍衛數據主權和保護國民數據權利的要求,又是推動全球數據貿易和數字經濟發展的關鍵所在。早在2004年,亞太經濟合作組織(APEC)就通過了一項試圖構建成員國數據與隱私保護的框架,隨後逐漸構建形成了APEC跨境隱私規則體系(The APEC Cross Border Privacy Rules),這在一定程度上推動了亞太地區數據治理的進程。目前,聯合國層面已有的關於數據治理的討論仍散見於不同的重大議題中,比如數字經濟、可持續發展、人權與平等、人道主義行動等,凹但是集中的、體系化的數據跨境治理機制尚未形成,全球範圍內的數據跨境治理交流與合作仍存在障礙。
不過,在全球數據治理規則的構建上,國際合作和磋商已初步展開。2019年6月,在日本大阪舉行的G20峰會發布了「大阪數字經濟宣言」,標誌著國際數字經濟正式進入「大阪軌道」。在領導人數字經濟特別會議上,日本首相安倍晉三提出應在數據自由流通可信規則DFFT(Data Free Flow with Trust)的基礎上,建立允許數據跨境自由流動的「數據流通圈」,意在強調推動建立全球數據流通的相應規則。
在現有的數據跨境合作方式和全球數據治理規則建構雛形的基礎上,全球數據治理應當繼續深化和完善。就數據跨境治理而言,一方面,各主權國家或區域組織可以進一步籤訂專門性的雙邊或多邊協議、條約等,對各方的數據跨境流動問題進行規制;另一方面,各主權國家或區域組織也可以嘗試在與其他主權國家或區域組織籤訂的雙邊或多邊貿易協定中,加入相應的數據跨境流動條款,以規制雙方經貿往來中所涉數據跨境流動問題。聯合國等治理平臺應充分關注數據跨境流動問題,積極引導和形成數據跨境流動國際合作機制。與此同時,隨著全球數據領域的相關違法犯罪行為日益猖獗,增強數據跨境治理的交流與合作在一定程度上也是跨境打擊數據犯罪、維護全球數據治理秩序的切實需要。就全球數據治理規則建構而言,當前已有的國際磋商與合作仍多局限於科技發達國家或數據強國,眾多不發達國家仍未能參與其中甚至遭到排斥,既無法合理表達其對全球數據治理規則的意見,也無法脫離既定規則的影響。因此,下一步應繼續拓寬各主權國家和區域組織深層次參與全球數據治理規則制定的渠道,平衡保障各國的數據權益。
(二)創新治理思路,構建多元主體數據協調治理機制
全球數據治理的推進,既要關注主權國家間數據交往矛盾的調和,也必須關注全球層面個人、企業和主權國家三者數據權益的協調,找到一條合理高效的數據協調治理路徑。綜合考慮當前全球數據治理的現狀和挑戰,全球數據治理的推進可以考慮採用以下三種具體的數據協調治理機制:
1.「人格權先行」數據協調治理機制
全球數據治理推進過程中,無論是企業的數據利用,還是國家層面主張的數據主權,都應當充分尊重個人對數據享有的人格權益,並將此作為全球數據治理的基本原則。這種協調治理主張在當前歐盟以GDPR為首的規範中得到了廣泛認同,並可以衍生出一系列的數據協調治理規範。第一,主權國家對個人和企業的一般數據使用均應採取「知情同意」原則。這裡的一般數據指的是除對一國的國家安全存在實質威脅或不立即強制獲取將對社會公共利益造成重大損害外的所有數據。就知情同意的內涵,應理解為:主權國家基於行政管理職能、社會保障需要及其他現代國家機器運行所必須收集的公民個人數據信息,應視為已獲得「知情同意」。這是因為,若這些數據被視作未經「知情同意」而導致無法被主權國家第一時間使用,那麼現代國家的組織管理職能將舉步維艱。
但是,對於原本被各類企業收集、存儲於一定載體之上且未經企業自主加工的數據,主權國家並不自然享有使用這些特定個人數據的權利,除非個人已經明示或者默示地同意其他主體對該等數據的使用。美國在「9·11」事件之後頒布的《愛國者法案》就實質性違反了上述「知情同意」原則,其結果是對個人數據隱私造成了重大的威脅。
第二,若存在對一國的國家安全產生實質威脅或不立即強制獲取將對社會公共利益造成重大損害的特定數據,應當認可主權國家有權獲取該等數據並作出處理。這是因為,當公共利益與個人利益發生衝突時,為了實現公共利益,在滿足比例原則、利益補償原則及正當程序原則的基礎上,對個人權利進行一定的限制具有正當性。因此在這種情況下,人格權和數據隱私需要暫時、有條件地讓位於國家「數據主權」的行使,以保障國家整體安全。
2.「財產化市場交易」數據協調治理機制
全球數據治理應通過建構具體可行的數據市場化交易機制,以推動全球數字經濟的發展。在充分尊重人格權和保障公民個人數據隱私的基礎上,全球數據治理應注重數據的財產屬性,正視數據所蘊含的經濟價值,允許一般數據在市場上自由流動和交易,形成「財產化市場交易」數據協調治理機制。由於數據具有一定的經濟價值,企業可以通過國際市場進行數據交易,獲取企業生產、經營過程中所需要的數據;數據再加工型企業可以更加便利地利用原始數據進行數據分析,企業數字經濟的活力將大大提升;主權國家在非緊急狀態下使用個人或企業數據,也同等適用該協調機制,即通過市場化交易的形式獲取和使用數據,個人或企業將其對數據享有的權益讓渡給主權國家使用。
這種「財產化市場交易」協調治理機制的優勢體現為三點。第一,在尊重個人和企業數據隱私的同時,它彌合了國家數據主權與個人及企業數據權利的鴻溝,並充分發揮了數據的經濟價值,將有效推動數據流動,促進全球數字經濟發展。第二,「財產化市場交易」數據協調治理機制為緩解當前企業與主權國家掌握的數據資源不對稱的現實困境提供了重要思路。通過數據的市場化交易,企業所掌握的大量重要數據能夠為主權國家所使用,後者利用這些數據能夠更好地推進國家治理和全球治理,構建更加完善的公共服務體系。第三,從全球數據治理體系而言,全球範圍內的數據交易將被市場化、規範化、透明化,有利於推動全球數據市場的形成和完善。並且從實踐來看,在確保安全和不侵犯隱私前提下的數據市場化交易已經得到發展。WTO於2019年初首次推動制定數據貿易規則,也正是為了規範當前市場化的數據交易。
3.「匿名化戰略利用」數據協調治理機制
在信息化時代,戰略優勢將屬於那些在信息的生產、傳輸、加工、存儲和使用環節中佔據主導地位的政府和行為體。由於主權國家的數據發展戰略需要強大的數據資源支撐,全球數據治理應當正視主權國家對數據資源的戰略需求,並通過構建一項對主權國家獲取相應戰略數據的豁免機制——「匿名化戰略利用」數據協調治理機制,以協調各主權國家數據主權與個人數據權利的矛盾。具體而言,主權國家可因特定戰略需要,向個人和企業收集和使用匿名化的數據信息,組成統一數據以實現優化公共管理、統籌戰略部署等目標。
所謂匿名化,指的是被主權國家所徵用的數據必須是「去標識化」的,既不能通過單一數據信息精準定位到個人,也不能通過所徵用的多種數據信息識別出特定個人。而且,在匿名化處理的過程中,若產生了相應的數據處理成本,應當由主權國家負擔而不能轉嫁於企業,否則將會不合理地增加企業運行成本。從實踐上來看,個人數據的「匿名化」已經被多個國家和地區納入數據治理體系內,並被賦予相應的標準,具有一定的實踐基礎。這種「匿名化戰略利用」數據協調治理機制的優勢在於,其既能有效保護公民的個人隱私,又充分發揮集合數據的戰略價值,為主權國家提供了戰略上的參考,能夠一定程度上消解個人與主權國家在數據治理議題上的矛盾。