(本文系国家社科基金重点项目“云计算知识产权问题与对策研究”[11AZD113]、“云环境下数字学术资源信息安全的法律保障研究”[14AZD076]的阶段性成果)
(作 者:肖冬梅 文禹衡)
(作者单位:1331银河网站登录入口网址)
当前,人类已置身于一个“全面监控”的时代,全球化的数据洪流给国家之间原本封闭的疆界和国家安全带来前所未有的冲击,国家主权面临诸多新型威胁与挑战。从各主权国家相互指责黑客攻击,到美国“棱镜门”事件披露而在全球引发的蝴蝶效应,都说明了目前网络空间的紧张关系。而这种紧张关系在一定程度上反映了网络空间国家主权的激烈博弈和较量。如何保障网络主权安全,是主权国家不可推卸的责任,因为安全是国家主权的底线。
随着国家数据主权安全的风险来源日趋多样、程度加剧,国家数据主权安全制度保障体系的构建已变得不可或缺。如果说在全球数据洪流中筑牢数据边界是一种被动的自卫措施,那么构建制度保障体系捍卫国家数据主权安全更是一种主动的应对。
一、国家数据主权安全的风险来源日趋多样化
随着网络技术的发展、网民队伍的增加和网络应用的拓宽,网络已经逐渐超越媒介的功能和定位,成为广大网民的主要社交方式和生活空间,并造就了一种新型的社会结构形态。在这个场域中,数据权力不再由国家独有,国家要和数据控制者、犯罪集团、恐怖组织以及个人等网络行为体共同分享权力。这便是国家数据主权安全风险来源多样化的原因。
1.美国已成他国数据主权安全的首要风险源。
美国无疑是网络空间唯一的超级数据霸主国。事实上,美国借“网络自由”之名而行“网络霸权”之实由来已久,其利用数字技术和网络产业优势,通过监控全球数据流来监视特定对象,通过输出意识形态带偏他国社会思潮。美国所主张的多利益攸关方网络治理模式,实际上反映了其不愿意改变当前有利于己的格局,从而为延续其对网络的控制及未来发展争取更多机会,但因此可能给他国的主权安全带来威胁,尤其是“棱镜门”事件披露后,美国以外的国家这种担忧尤甚。因此,不少国家视美国为威胁其数据主权安全的主要风险源,希望互联网的治理能够纳入到政府间组织和国际法范畴。
2.制定权力法则的数据寡头是数据主权安全的新型威胁。
科技力量成就了诸如谷歌、微软等一大批超国家实体,它们具有国际化视野、国家量级或超国家量级经济实力和足够多的用户,尤其在高新科技和海量用户数据方面有强大的支配力,成为数据寡头。支撑网络的基础物理设施和技术规范被私营部门掌控,网民的个人身份信息、在线活动、社交网络行为等数据都控制在少数数据寡头手里。其权力往往通过设定用户格式条款得以实现,实践中居于弱势的用户事实上完全没有讨价还价的余地。
世界各国之间秩序的形成与维持从来都不是依赖于道德和权利,其真正内核是权力法则。在数字科技权力法则的左右下,主权国家不仅要应对来自于其他国家的安全挑战,还必须面对源于数据寡头的风险。显而易见,在并未形成有效秩序的网络空间中,数据寡头居于数字科技权力法则的顶端,这意味着在数据权利、数据权力未被法定化之前,至少存在两重威胁:其一,传统私权利已形成的个体安全感锐减,即当前法律所保护的传统私权利在网络空间几乎失去了作用,我们无法有效通过行使传统的隐私权、财产权、人格权等来提升与自身相关数据的控制能力,海量个人数据的集成直接威胁到国家数据主权安全;其二,传统主权所维护的国家安全感锐减,即跨境数据流动极大地冲击了领土、领海、领空在物理空间所构建的安全区域,主权国家在大数据技术相对薄弱的情况下,无法有效通过行使传统主权来防御“网络霸权”入侵。
此外,尚处丛林规则时代的网络空间正成为犯罪集团、恐怖组织、****者、偷窃者和恶意攻击者的新乐园,数据正成为他们的利器,行恶与遁逃都悄无声息。其中尤以犯罪集团、恐怖组织对国家主权的威胁为大。网络犯罪集团及恐怖主义已是各国政府面对的共同问题,严厉打击网络恐怖主义成为国际社会的共识。双边或多边国际合作机制的完善,对共同防范与应对国家数据主权安全风险十分重要。
二、国家数据主权安全的风险类型
德国学者乌尔里希·贝克在上个世纪80年代就曾指出:随着人类技术能力的增长,技术发展的后果变得难以测算,导致了全球性的技术性风险和制度性风险。
国家数据主权安全所面临的技术性风险主要体现在基础技术难以自主可控。在国家层面,美国政府主导了全球互联网的基础技术。互联网协议地址的空间分配、协议标识符、域名系统、根服务器系统。目前,由互联网名称与数字地址分配机构(ICANN)集中管理作为互联网核心的TCP/IP 协议,具体实施对IP 地址的空间和标识符分配以及域名和根服务等管理。在成立ICANN之前,此类管理职能最初由美国NSI公司和互联网号码分配当局(IANA)管理,而后由美国商务部接管,虽然美国政府于2016年10月1日将互联网域名管理权移交ICANN,但并不意味着ICANN真正摆脱了美国政府的实际控制,毕竟互联网是典型的技术产物,控制技术才是关键。在企业层面,美国企业占据了我国互联网的产品市场。我们虽然摆脱了谷歌的搜索引擎、Facebook的社交工具等软件应用,但依然严重依赖思科的路由器、IBM的服务器、微软的操作系统等软硬件技术。数据作为技术的产物,控制技术便相当于控制了数据,数据被控制就必然面临潜在的风险。大数据的透明化悖论折射的数据被秘密采集的风险,身份悖论透视的数据主体身份被识别的风险,权力悖论警示的权力倾向数据控制者的风险,无一不是以技术为控制要素。数据资源存储和分配及其基础技术由少数超级公司直接控制或由外国政府间接控制,将会因过度集中而形成强大的支配力,足以威胁到国家数据主权安全。
制度性风险主要发生在政治、经济、文化、法律等领域。通过武力战争造成的制度性风险往往来源于特定的地域范围,而且很容易被国民所抵触和反抗,而通过影响社会思潮所带来的制度性风险却不容易被感知,况且在全球的任何地方都可以通过网络实现操控。深度调查报告《数据颠倒世界》指出,英国脱欧、特朗普获选都与运用基于数据画像的心理测量密切相关,其折射了如何影响选区的主流思潮。例如,为了让选民拥护持枪政策倡导者,而针对不同类型的选民分别提供不同的政治讯息:将“抢劫者一只砸窗户的手”这一画面展现给神经质型和严谨型选民,突出入室抢劫的威胁,暗示政策应该保证公民持枪;将“类似大人带着孩子站在夕阳下举枪打野鸭”的场景个性化地推送给亲和型观众,凸显枪支在营造亲情氛围方面的重要性。通过心理测量后,进行个性化诱导,实现对个体行为的引导,进而影响社会的主流思潮。这种运用选民个人数据而进行的精准引导和“政治营销”必须基于样本齐全的数据,样本越全,引导效果越好,这意味着,倘若不能提供相应的安全保障,数据越开放,国家安全所面临的潜在风险越高。实际上,近年来在各国政府推动下,全球数据开放运动蓬勃兴起,美国以及一些超国家实体因大数据收集、处理和分析挖掘等方面的优势而成为其中最大的受益者。当然,发展大数据产业有赖于数据尤其是政府数据的开放共享,但数据安全问题同样不可忽略,尤其是中国作为一个大数据技术的后发国家,更有必要高度警惕数据开放背后所蕴含的国家主权安全风险。
三、构建国家数据主权安全的制度保障体系
1.功能定位:维护总体国家安全。
国家数据主权安全不同于传统的领土、领海、领空主权所指向的传统安全,数据主权指向的是非传统安全,其特殊之处在于没有物理空间边界,在数字社会中所涉及的诸多领域无一不需要数据支撑与表达,这些领域的安全业已被总体国家安全观所统摄。因而,有必要从主权高度构建一套能够保护总体国家安全的规则制度体系,即构建“总体国家安全观下的国家数据主权”,其主要功能是在新风险社会中维护总体国家安全。
2.治理原则:以相对主权为尺度。
绝对和专属主权的时代已经过去。与传统主权的保护思路不同,数据主权更适宜从绝对的竞争走向一定程度的合作,由于数据本身的无形性与流动的全球性,单个国家已经无法凭借一己之力来实现对数据的绝对控制,构建绝对的数据主权实乃“空中楼阁”,以“相对主权理论”作为制度构建的理论指导更符合数据领域的实际情况。为了防范权力的天然扩张性,应当将“相对主权”作为保障数据主权制度的基本原则。在相对主权理论下,法治思维在实现“相对”中的作用就显得愈发重要。在国内,法治要求主权的“绝对权威”不得凌驾于整体国民之上;在国际上,“法律治理”的共识和国际合作的实践已然让国家通过双边或多边条约让渡一部分主权。反过来,法治作为国家和全球的一个有效治理模式,能够将“主权”从政治范畴纳入到法治轨道。
3.权能体系:数据管理权与数据控制权。
数据主权是国家主权在网络空间的核心表现,数据权力可分为数据管理权和数据控制权。前者是对本国数据的传出、传入和数据的生成、处理、传播、利用、交易、储存等的管理权,以及就数据领域发生纠纷所享有的司法管辖权。后者是指主权国家对本国数据采取保护措施,使本国数据免遭被监视、篡改、伪造、损毁、窃取、泄露等危险的权力,其目标是保障数据的安全性、真实性、完整性和保密性。
在美国学者诺顿·朗曾看来,行政领域中最可悲的状况莫过于机构或项目小组有合法地位、主管同意、法院承认,但却没有权力,处于瘫痪状态。如果不赋予国家(政府)相应的权能,将无法解决在国内治理数据的合法性,对国际管理数据的可控性。数据权能设定应至少考虑两个维度:在本国之内,主要是通过制定相应的社会规则(行业规则)、法律规则来对本国疆域内的数据领域加以治理;在本国之外,主要是通过协定方式获取法外治权来管理涉及本国利益的数据。因而,至少应当在数据主权之下设置数据管理权和数据控制权,以保证数据安全。
4.规则内核:管制规则兼采禁易规则。
在数据保护的“规则菜单”中,支撑数据主权的有两类规则:一是“数据禁易规则”,即涉及国防军事、政党机要、人体基因等危害总体国家安全、人类生命安全的数据,任何人不得实施采集、存储、处理、使用和交易等数据行为;二是“数据管制规则”,即实施采集、存储、处理和使用等数据行为必须符合国家相关技术标准或其他法律规定。相应地,支撑数据控制权的是禁易规则,无论数据法益由谁拥有,涉及“数据禁易规则”所涵盖的数据类型均被禁止移转;支撑数据管理权的是管制规则,无论数据法益由谁拥有,其数据行为均须符合“数据管制规则”。
欧盟在“关于个人数据的处理与保护”中规定了就业领域处理数据的最低标准——“以基因检测和分析为目的的数据采集应被禁止,且应作为一项原则”,这是适用“禁易规则”的典型;俄罗斯《个人数据保护法》规定了俄罗斯公民个人信息须本地化存储,便是适用“管制规则”的典型。考虑到尽可能消除“数据孤岛”,在数据主权制度的规则内核中,应该以管制规则为主、禁易规则为辅。
结语
当前,发展数据经济与保障数据安全同等重要。以美国为首的数据强国,以美国公司谷歌、思科等为代表的科技新贵们已经占据了控制数据的制高点,因而美国并不倡导数据主权和数据权利,反而呼吁网络自由、数据开放和共享。在复杂的国际形势下,随着“数据驱动发展”理念的全球化,我国将大数据的研究和产业化提升到国家战略高度。然而,我国在不断推进大数据开放共享的同时,应该清醒地认识到:在缺乏数据科技实力、没有相应制度保障数据安全的情况下,盲目地开放和共享本国的数据资源,有可能将数据大国的优势异化为威胁总体国家安全的风险。在发展大数据产业和依法治国的进程中,更应理性正视大数据时代的数据主权安全风险,构建维护总体国家安全的数据主权安全的制度保障体系。
——转 http://www.qstheory.cn/dukan/hqwg/2017-05/10/c_1120946917.htm