帶你讀《資料自治》第三章資料權3.4資料主權（二）

3.4.1         資料本地化

資料跨境是不可避免的，但資料主權是一定要行使的。如何在允許資料跨境的情況下保護資料安全和實作資料主權呢？目前的做法是實施資料本地化。目前全球範圍内基本形成了 3種規制模式[13]。

•  剛性禁止流動模式：以俄羅斯、澳洲為代表，該模式注重禁止資料離境，強力保護資料安全，尤其是對核心資料、敏感資料的控制。俄羅斯要求實作資訊資料的強制本地化，其國家通訊委員會的操作規則要求電子通信和網絡提供商配備資料留存裝置來實作資料的收集操作，并且在伺服器上保留12小時以上。而澳洲則專門針對個人醫療資料做出了禁止出境的立法規定，其 2012年《個人控制電子健康記錄法案》明文規定不得将個人電子健康記錄移至澳洲境外，也不得在境外加工或處理這些記錄。

•  柔性禁止流動模式：以歐盟、南韓為代表。相較于前一模式，這些地區和國家主張在特定情形下解除對資料流動的禁止。例如，以一系列指令和條例為規範主體的歐盟強調，資料目的國應當具備充分的資料保護水準，注重引入安全評估機制，以在資料跨境傳輸之前開展一定意義上的事先稽核。而南韓則通過其 2011年《個人資訊保護法》進一步規定必須獲得資料主體的同意，其依賴的是權利人自決機制。

•  本地備份流動模式：以印度、印度尼西亞為代表的一些國家則試圖實作流轉與安全等各種價值訴求的折中處理。在制度安排上，更多地倚重國内資料中心的建設機制；在原則上，在開放資料跨境流通的同時，要求各當事主體必須事先在位于境内的特定資料中心完成資料備份等操作，最大限度地實作資料本地化處理。如印度尼西亞 2012年的《電子系統與交易操作政府條例》明文規定：提供公共服務的電子系統營運者應當把資料中心設定在印度尼西亞境内。

對于第一類資料跨境問題，其資料主權界定是一個難點。例如，資料是A國家的跨國公司在 B國家的業務活動而生産的，如果這個資料屬于 B國家，那麼資料将脫離生産主體，這會帶來一系列問題，例如商業秘密洩露；如果這個資料屬于A國家，那麼B國家的資料安全将受到嚴重威脅。是以，可能的選擇是雙方共有，即要求跨國公司完整地将資料副本留一份在B國家，B國家可以審查資料的國家安全性問題，但負有保守資料秘密的責任。資料與領土、領空、領海差異很大，資料主權要求獨立自主地處理資料，但資料是國際交往、經貿往來的記錄，在資料跨境流動中，難以實作獨立自主地處理資料，需要通過協商談判解決。

3.4.2         資料主權的發展趨勢

從表面上看，資料自由流動對實力強國有利，這也是美國倡導資料自由流動的原因。美國通過管轄企業和機構來管轄資料，實作資料的跨國管轄，進而将資料邊境無限延伸到他國境内；資料本地化對實力弱國有利：資料本地化至少讓該國知曉資料的狀況，實作資料的知情權。事實上，資料自由跨境和資料本地化是由不同國家根據自身利益提出來的，歸根結底都是想盡可能地在獲得别國資料的同時，最大限度地保護本國資料。從保護本國資料這個立場來看，各國都是想行使資料主權，隻是有些國家隻做不說，有些國家說了卻難以做到。

相關主權國家需要做的是以“資料主權”保護者的身份出現，沈逸等人[14]的建議有以下 3點。

•  使用者創造的資料進入儲存設備的行為并不意味着将資料所有權無條件讓渡給裝置擁有方。提供資料的合法使用者擁有確定資料被妥善使用、不威脅自身利益的權益，對資料的處分享有最終的主權。任何對資料的處置都應該得到使用者的明确授權，特别是在對資料進行挖掘的時候。

•  各個國家尤其是開發中國家，追求的目标不是阻斷資料的自由流動，或者用主權壁壘分割全球網絡空間，而是要保障所有國家，包括技術能力暫時處于弱勢地位的國家，不會因為能力的差異而導緻合法利益受到損害。主權國家追求的目标是資料的使用促進資料初始提供者的利益，而非成為少數掌握了技術優勢的行為體過度追求自身利益的工具。

•  對國際社會來說，對資料的使用和處置必須遵循人類共同财産原則，也就是盡可能讓大多數的行為體從中獲益。掌握技術優勢的先進行為體，無論是國家、企業，還是某種形式的聯合體，都不應該不加節制地濫用自身的優勢，威脅、擠壓乃至剝奪弱勢行為體的合法權益。

沈逸等人[15]還指出，從主權國家的視角看，有效地管理資料資源已經成為國家主權在大資料時代最重要和關鍵的延伸。就具體實踐模式而言，從全球看，開放政府在有效管制的基礎上推動資料整合運用，鼓勵安全有效監管下的資料跨境流動和商業應用，已經成為各方共同聚焦、努力探索的重要問題。換言之，未來資料自治将在事實上成為實作國家資料主權的一種有效方式。從已有的探索看，在相關領域發展相對成熟的歐美已經形成了一套有鮮明特色的治理體系。