在全球数据洪流中@@捍卫国家数据主权@@安全@@@@

 

　　随着@@国家数据主权@@安全@@的风险来源@@日趋多样@@、程度加剧@@，国家数据主权@@安全@@制度保障体系的构建已变得不可或缺@@。如果说在全球数据洪流中@@筑牢数据边界是一@@种被动的自卫措施@@，那么构建制度保障体系捍卫国家数据主权@@安全@@更是一@@种主动的应对@@。

 

 

　　随着@@网络技术的发展@@、网民队伍的增加和网络应用的拓宽@@，网络已经逐渐超越媒介的功能和定位@@，成为广大网民的主要社交方式和生活空间@@@@，并造就了一@@种新型的社会结构形态@@。在这个场域中@@@@，数据权力不再由国家独有@@，国家要和数据控制者@@、犯罪集团@@、恐怖组织@@以@@及个人等网络行为体共同分享@@权力@@。这便是国家数据主权@@安全@@风险来源@@多样化的原因@@。

 

　　1.美国@@已成他国数据主权@@安全的首要风险源@@。

 

　　美国@@无疑是网络空间@@唯一@@的超级数据霸主国@@。事实上@@，美国@@借@@“网络自由@@”之名而行@@“网络霸权@@”之实由来已久@@，其利用@@数字技术和网络产业优势@@，通过监控全球数据流来监视特定对象@@，通过输出意识形态带偏他国社会思潮@@。美国@@所主张的多利益攸关方网络治理模式@@，实际上@@反映了其不愿意改变当前@@有利于己的格局@@，从而为延续其对网络的控制及未来发展争取更多@@机会@@，但因此@@可能给他国的主权@@安全带来威胁@@，尤其是@@“棱镜门@@”事件披露后@@，美国@@以@@外的国家这种担忧尤甚@@。因此@@，不少国家视美国@@为威胁其数据主权@@安全的主要风险源@@，希望互联网@@的治理能够纳入到政府@@间组织和国际法范畴@@。

 

　　2.制定权力法则的数据寡头是数据主权@@安全的新型威胁@@。

 

　　科技力量成就了诸如谷歌@@、微软等一@@大批超国家实体@@，它们具有国际化视野@@、国家量级或超国家量级经济@@实力和足够多的用户@@，尤其在高新科技和海量用户数据方面有强大的支配力@@，成为数据寡头@@。支撑网络的基础物理设施和技术规范被私营部门掌控@@，网民的个人身份信息@@、在线活动@@、社交网络行为等数据都控制在少数数据寡头手里@@。其权力往往通过设定用户格式条款得以@@实现@@，实践中@@居于弱势的用户事实上@@完全没有讨价还价的余地@@。

 

　　世界各国之间秩序的形成与维持从来都不是依赖于道德和权利@@，其真正内核是权力法则@@。在数字科技权力法则的左右下@@，主权@@国家不仅要应对来自于其他国家的安全挑战@@，还必须面对源于数据寡头的风险@@。显而易见@@，在并未形成有效秩序的网络空间@@中@@@@，数据寡头居于数字科技权力法则的顶端@@，这意味着@@在数据权利@@、数据权力未被法定化之前@@@@，至少存在两重威胁@@：其一@@@@，传统私权利已形成的个体安全感锐减@@，即当前@@法律所保护的传统私权利在网络空间@@几乎失去了作用@@，我们无法有效通过行使传统的隐私权@@、财产权@@、人格权等来提升与自身相关数据的控制能力@@，海量个人数据的集成直接威胁到国家数据主权@@安全@@@@；其二@@@@，传统主权@@所维护的国家安全感锐减@@，即跨境数据流动极大地冲击了领土@@、领海@@、领空在物理空间@@所构建的安全区域@@，主权@@国家在大数据技术相对@@薄弱的情况下@@，无法有效通过行使传统主权@@来防御@@“网络霸权@@”入侵@@。

 

　　此外@@，尚处丛林规则时代的网络空间@@正成为犯罪集团@@@@、恐怖组织@@、诈骗者@@、偷窃者和恶意攻击者的新乐园@@，数据正成为他们的利器@@，行恶与遁逃都悄无声息@@。其中@@尤以@@犯罪集团@@@@、恐怖组织@@对国家主权@@的威胁为大@@。网络犯罪集团@@及恐怖主义已是各国政府@@面对的共同问题@@，严厉打击网络恐怖主义成为国际社会的共识@@。双边或多边国际合作机制的完善@@，对共同防范与应对国家数据主权@@安全@@风险十分重要@@。

 

 

　　德国学者乌尔里希@@·贝克在上个世纪@@80年@@代就曾指出@@@@：随着@@人类技术能力的增长@@，技术发展的后果变得难以@@测算@@，导致了全球性的技术性风险和制度性风险@@。

 

　　国家数据主权@@安全@@所面临的技术性风险主要体现在基础技术难以@@自主可控@@。在国家层面@@，美国@@政府@@主导了全球互联网@@的基础技术@@。互联网@@协议@@地址的空间@@分配@@、协议@@标识符@@、域名系统@@、根服务器系统@@。目前@@，由互联网@@名称与数字地址分配机构@@（ICANN）集中@@管理@@作为互联网@@核心的@@TCP/IP 协议@@，具体实施对@@IP 地址的空间@@和标识符分配以@@及域名和根服务等管理@@@@。在成立@@ICANN之前@@，此类管理@@职能最初由美国@@@@NSI公司和互联网@@号码分配当局@@（IANA）管理@@，而后由美国@@商务部接管@@，虽然美国@@政府@@于@@2016年@@10月@@1日将@@互联网@@域名管理@@权移交@@ICANN，但并不意味着@@ICANN真正摆脱了美国@@政府@@的实际控制@@，毕竟互联网@@是典型的技术产物@@，控制技术才是关键@@。在企业层面@@，美国@@企业占据了我国互联网@@的产品市场@@。我们虽然摆脱了谷歌的搜索@@引擎@@、Facebook的社交工具等软件应用@@，但依然严重依赖思科的路由器@@、IBM的服务器@@、微软的操作系统等软硬件技术@@。数据作为技术的产物@@，控制技术便相当于控制了数据@@，数据被控制就必然面临潜在的风险@@。大数据的透明化悖论折射的数据被秘密采集的风险@@，身份悖论透视的数据主体@@身份被识别的风险@@，权力悖论警示的权力倾向数据控制者的风险@@，无一@@不是以@@技术为控制要素@@。数据资源存储@@和分配及其基础技术由少数超级公司直接控制或由外国政府@@间接控制@@，将@@会因过度集中@@而形成强大的支配力@@，足以@@威胁到国家数据主权@@安全@@@@。

 

　　制度性风险主要发生在政治@@、经济@@、文化@@、法律等领域@@。通过武力战争造成的制度性风险往往来源@@于特定的地域范围@@，而且很容易被国民所抵触和反抗@@，而通过影响社会思潮所带来的制度性风险却不容易被感知@@，况且在全球的任何地方都可以@@通过网络实现操控@@。深度调查报告@@《数据颠倒世界@@》指出@@，英国脱欧@@、特朗普获选都与运用基于数据画像的心理测量密切相关@@，其折射了如何影响选区的主流思潮@@。例如@@，为了让选民拥护持枪政策倡导者@@，而针对不同类型的选民分别提供不同的政治讯息@@：将@@“抢劫者一@@只砸窗户的手@@”这一@@画面展现给神经质型和严谨型选民@@，突出入室抢劫的威胁@@，暗示政策应该保证公民持枪@@；将@@“类似大人带着孩子站在夕阳下举枪打野鸭@@”的场景个性化地推送给亲和型观众@@，凸显枪支在营造亲情氛围方面的重要性@@。通过心理测量后@@，进行个性化诱导@@，实现对个体行为的引导@@，进而影响社会的主流思潮@@。这种运用选民个人数据而进行的精准引导和@@“政治营销@@”必须基于样本齐全的数据@@，样本越全@@，引导效果越好@@，这意味着@@，倘若不能提供相应的安全保障@@，数据越开放@@，国家安全所面临的潜在风险越高@@。实际上@@，近年@@来在各国政府@@推动下@@，全球数据开放运动蓬勃兴起@@，美国@@以@@及一@@些超国家实体因大数据收集@@、处理@@和分析挖掘等方面的优势而成为其中@@最大的受益者@@。当然@@，发展大数据产业有赖于数据尤其是@@政府@@数据的开放共享@@，但数据安全@@问题同样不可忽略@@，尤其是@@中@@国作为一@@个大数据技术的后发国家@@，更有必要高度警惕数据开放背后所蕴含的国家主权@@安全风险@@。

 

 

　　1.功能定位@@：维护总体国家安全@@。

 

　　国家数据主权@@安全@@不同于传统的领土@@、领海@@、领空主权@@所指向的传统安全@@，数据主权@@指向的是非传统安全@@，其特殊之处在于没有物理空间@@边界@@，在数字社会中@@所涉及@@的诸多领域无一@@不需要数据支撑与表达@@，这些领域的安全业已被总体国家安全观所统摄@@。因而@@，有必要从主权@@高度构建一@@套能够保护总体国家安全的规则制度体系@@，即构建@@“总体国家安全观下的国家数据主权@@@@”，其主要功能是在新风险社会中@@维护总体国家安全@@@@。

 

　　2.治理原则@@：以@@相对@@主权@@@@为尺度@@。

 

　　绝对和专属主权@@的时代@@已经过去@@。与传统主权@@的保护思路不同@@，数据主权@@更适宜从绝对的竞争走向一@@定程度的合作@@，由于数据本身的无形性与流动的全球性@@，单个国家已经无法凭借一@@己之力来实现对数据的绝对控制@@，构建绝对的数据主权@@实乃@@“空中@@楼阁@@”，以@@“相对@@主权@@@@理论@@”作为制度构建的理论指导更符合数据领域的实际情况@@。为了防范权力的天然扩张性@@，应当将@@@@“相对@@主权@@@@”作为保障数据主权@@制度的基本原则@@。在相对@@主权@@@@理论@@下@@，法治思维在实现@@“相对@@”中@@的作用就显得愈发重要@@。在国内@@，法治要求主权@@的@@“绝对权威@@”不得凌驾于整体国民之上@@；在国际上@@，“法律治理@@”的共识和国际合作的实践已然让国家通过双边或多边条约让渡一@@部分主权@@@@。反过来@@，法治作为国家和全球的一@@个有效治理模式@@，能够将@@@@“主权@@”从政治范畴纳入到法治轨道@@。

 

　　3.权能体系@@：数据管理@@权与数据控制权@@。

 

　　数据主权@@是国家主权@@在网络空间@@的核心表现@@，数据权力可分为数据管理@@权和数据控制权@@。前者是对本国数据的传出@@、传入和数据的生成@@、处理@@、传播@@、利用@@、交易@@、储存等的管理@@权@@，以@@及就数据领域发生纠纷所享有的司法管辖权@@。后者是指主权@@国家对本国数据采取保护措施@@，使本国数据免遭被监视@@、篡改@@、伪造@@、损毁@@、窃取@@、泄露等危险的权力@@，其目标是保障数据的安全性@@、真实性@@、完整性和保密性@@。

 

　　在美国@@学者诺顿@@·朗曾看来@@，行政领域中@@最可悲的状况莫过于机构或项目小组有合法地位@@、主管同意@@、法院承认@@，但却没有权力@@，处于瘫痪状态@@。如果不赋予国家@@（政府@@）相应的权能@@，将@@无法解决在国内@@治理数据的合法性@@，对国际管理@@数据的可控性@@。数据权能设定应至少考虑两个维度@@：在本国之内@@，主要是通过制定相应的社会规则@@（行业规则@@）、法律规则来对本国疆域内的数据领域加以@@治理@@；在本国之外@@，主要是通过协定方式获取法外治权来管理@@涉及@@本国利益的数据@@。因而@@，至少应当在数据主权@@之下设置数据管理@@权和数据控制权@@，以@@保证数据安全@@@@。

 

　　4.规则内核@@：管制规则@@兼采禁易规则@@@@。

 

　　在数据保护的@@“规则菜单@@”中@@，支撑数据主权@@的有两类规则@@：一@@是@@“数据禁易规则@@@@”，即涉及@@国防军事@@、政党机要@@、人体基因等危害总体国家安全@@、人类生命安全的数据@@，任何人不得实施采集@@、存储@@、处理@@、使用和交易@@等数据行为@@；二@@是@@“数据管制规则@@@@”，即实施采集@@、存储@@、处理@@和使用等数据行为必须符合国家相关技术标准或其他法律规定@@。相应地@@，支撑数据控制权的是禁易规则@@@@，无论数据法益由谁拥有@@，涉及@@“数据禁易规则@@@@”所涵盖的数据类型均被禁止移转@@；支撑数据管理@@权的是管制规则@@@@，无论数据法益由谁拥有@@，其数据行为均须符合@@“数据管制规则@@@@”。

 

　　欧盟在@@“关于个人数据的处理@@与保护@@”中@@规定了就业领域处理@@数据的最低标准@@——“以@@基因检测和分析为目的的数据采集应被禁止@@，且应作为一@@项原则@@”，这是适用@@“禁易规则@@”的典型@@；俄罗斯@@《个人数据保护法@@》规定了俄罗斯@@公民个人信息须本地化存储@@@@，便是适用@@“管制规则@@”的典型@@。考虑到尽可能消除@@“数据孤岛@@”，在数据主权@@制度的规则内核@@中@@@@，应该以@@管制规则@@为主@@、禁易规则@@为辅@@。

 

 

　　当前@@，发展数据经济@@与保障数据安全@@同等重要@@。以@@美国@@为首的数据强国@@，以@@美国@@公司谷歌@@、思科等为代表的科技新贵们已经占据了控制数据的制高点@@，因而@@美国@@并不倡导数据主权@@和数据权利@@，反而呼吁网络自由@@@@、数据开放和共享@@。在复杂的国际形势下@@，随着@@“数据驱动发展@@”理念的全球化@@，我国将@@大数据的研究和产业化提升到国家战略高度@@。然而@@，我国在不断推进大数据开放共享的同时@@，应该清醒地认识到@@：在缺乏数据科技实力@@、没有相应制度保障数据安全@@的情况下@@，盲目地开放和共享本国的数据资源@@，有可能将@@数据大国的优势异化为威胁总体国家安全的风险@@。在发展大数据产业和依法治国的进程中@@@@，更应理性正视大数据时代的数据主权@@安全风险@@，构建维护总体国家安全@@的数据主权@@安全的制度保障体系@@。