李谦:数据流动与留存:商业实践与法律迷思

一、引言

2016年新年伊始,欧盟与美国之间备受关注的数据跨境流动(Transborder Data Flows,“TDR”或“Cross-border Data Flow”)新框架协议谈判取得了重大突破,双方推出全新的“隐私盾协议”(EU-U.S Privacy Shield),原有的“安全港”框架协议告别历史舞台。[[1]]按照新协议,美国的互联网巨头谷歌、脸书和亚马逊等公司将不再受到欧盟个人数据保护条例的限制,可以便捷地跨越大洋传输互联网用户个人数据信息回至美国。这一堪称互联网发展史的重要事件是持续深化的欧盟数据治理改革一环节,在此前后,延宕多年的欧盟数据法律框架改革得到实质性推进,在积极反思传统数据法律理论与实践的基础上,结合当前互联网经济的发展趋势,欧盟大刀阔斧地改革数据法律框架和更新数据治理政策。一方面,对1995年起施行的欧洲《数据保护指令》屡屡查漏补缺,尤其增补了《隐私与电子通讯指令》(Directive on privacy and electronic communications,Directive 2002/58/EC)、《欧洲Cookie指令》(EU Cookie Directive,DIRECTIVE 2009/136/EC),切实应对互联网经济崛起所引致的新型用户数据隐私问题。然而,互联网经济兴起之后,数据治理演化复杂,传统《数据保护指令》法律框架几经增删依然不足敷用。积二十年区域性数据法律实践的教训,2015年 12月15日,审读已达三年之久的《一般数据保护条例》(General Data Protection Regulation,简称GDPR)终于获得重大的立法突破,欧洲议会与欧盟理事会就《一般数据保护条例》文本达成协议,以期确定新型的个人数据的保护原则和监管方式,全面替代传统的《数据保护指令》。另一方面,不可遗忘的是,欧盟的数据法律框架——广义而言包括数据库保护和个人数据保护——有一个非常明确的政策目的:全力维护并大力发展欧洲的数据经济。因此,欧盟的公共政策一向积极配合数据法律框架的实践,希望能够在统一法令之下建构统一的数据市场,这亦是1995年《数据保护指令》的当然主旨。[[2]]然而,事与愿违,互联网产业崛起,数字经济形势剧变,北美与东亚成为世界比肩的两大互联网产业发达地区,两大地区的数字经济严重冲击了欧洲传统数据治理政策,尤其是美国互联网产业巨头对于欧洲互联网服务的垄断地位严重影响了欧盟寄予厚望的欧洲数据统一市场战略。面对巨变形势,欧盟调整公共政策,不再简单配合传统数据法律框架,而是重新拟定明确的数据经济战略,以“顶层设计”的形式全面规划。这就是2015年5月6日,欧盟委员会所公布的欧洲“统一数字市场”(Digital Single Market)战略规划,这一战略大致包括三大内容:为个人和企业提供更好的数字产品和服务,创造有利于数字网络和服务繁荣发展的环境,以及最大化地实现数字经济的增长潜力。[[3]]时至今日,欧盟依然在持续地不断扩大“统一市场”,2019年初,作为欧盟与日本经济伙伴关系协定的补充协议,世界上第一份以互认为基础的个人数据跨境传输充分性框架在欧盟与日本之间正式生效施行。

数据跨境流动是一种新兴的商业复杂现象——数据隐私、数据安全、数据主权、数据管理和数据财产都集中于此,美国与欧洲的数据流动现象最为突出,双方的法律交涉最为频繁,其他国家日益喧嚣的数据本地留存争论及其法律治理也是由其引出。与过去相仿,美欧之间数据流动协议依然是两国内部数据法律与数据政策的衍生物,“安全港”协议原本就是欧盟数据法律框架中一个无可奈何的例外。当欧盟另起炉灶,谋求新的数据法律框架和数据政策来挽救相对弱势的欧洲数字经济,放弃“安全港”协议也是情势必然。通过考察这一演进过程,将能促进我们反思中国语境中的数据商业和数据法律。

本文第一部分首先总结梳理欧洲数据流动法律制度框架,简要分析美欧数据跨境流动“安全港”协议的得失,并指出其对于中国语境中相关问题的鉴戒意味。借此引出第二部分仔细讨论中国语境中的数据流动和数据留存争论,并评述其他国家的现象相似、本质不同的数据问题。在前面两节的基础上,第三部分将综合借用多学科知识深入探讨中国语境中数据流动和留存的实质内涵,揭示数据流动和留存之法律治理所面临的真正困境,提出可能的政法应对之策。最后是简要总结。

二、回顾与反思:欧盟数据流动法律框架与“安全港”协议

数据跨境流动并无一个相对权威的稳定界定和法律内涵,大家要么从广义角度将其理解为包括个人数据在内的各种信息数据以任何方式在国与国之间的流通,要么狭义地界定其为仅指个人数据在国与国之间的流通。[[4]]本文依循一种技术性的界定,将数据跨境流动理解为“跨越国界对存储在计算机中的机器可读数据进行处理、存储和检索”,[[5]]而对一般的数据流动则理解为不同数据主体对存储在计算机中的机器可读数据进行处理、存储和检索的过程。本文的分析视角是希望借助大数据技术与产业发展来更加切实地理解数据现象与法律治理的实质:数据能力与政法制度的互动关系。在大数据和人工智能背景下,“机器可读数据”这一组复合概念非常重要,是互联网大数据经济区别于过去数据经济的核心概念,第四部分将作初步讨论。

比较考察诸国法律制度,大体而言,数据跨境流动的管理手段有五种方式:数据跨境流动预先审查;要求网络服务商采取措施防止重要数据向境外流动;标准格式合同管理;签订安全协议限制数据流动;数据跨境安全风险评估。[[6]]当年欧盟率先立法创制的诸多管理手段确有垂范之功,以上五种制度手段都受其影响,或者移植袭用,或者变体改用。从根本上来说,欧盟的数据经济与数据立法相互协调,彼此支撑,其兴衰更替的历史进程同样寄寓在数据流动的立法创制之中。

(一)欧盟数据流动法律框架的构造逻辑

欧盟数据流动法律框架的直接法源是1995年欧洲《数据保护指令》的第25条和第26条。第25条规定:“对于数据向第三国传输的情形,只有当该第三国在个人数据隐私的保护方面达到了足够的保护水平,始能许可个人数据通过运行向该第三国传输。保护水平是否充分应当依照围绕整个传输操作过程的条件来评判,尤其应当考虑数据的性质,运行操作的目的和期间,来源国和目的国,一般和特别领域的生效的法治情况,以及该国的执业规则和安全措施等等。”[[7]]指令第26条则是针对上述条款的例外规定,在满足数据主体明确无误地同意转移、出于履行合同的必要、保护数据主体利益或公共利益、传输数据来自法定登记,该登记旨在为公众提供信息等法定条件下,可以突破第25条的相关规定。

由此可见,《数据保护指令》所确定的数据流动法律框架强调对等原则,是以对等的充分数据保护(Adequate Data Protection)为本,辅以特例排除适用该原则为末的一套内外有别的法律制度。其基本要义是,除了法律规定,数据只能在具有欧盟同等且适当数据保护水准的国家之间自由流动。[[8]]而且,更重要的是,按照25条的规定内容,对于第三国是否具有欧盟同等且适当的数据保护水平,欧盟采取的是个案审查方式,以数据流动的具体情形来加以评定,这一点比之过去的《数据保护指令》对于欧盟内部诸国的直接干预要求似乎更高,因为《数据保护指令》主要要求欧盟各国完成数据保护法令统一,形式审查和实质审查并重,并没有深入到如此微观的具体操作层面。

在此制度基础之上,随着实践中问题积累,欧盟相继创制出其他应对手段来补充该制度。第一,标准合同条款模式,第26条的文义中即已包含运用适当的文本合同来确定授权某些特殊的数据流动情形,为了确保数据保护的充分适当,欧盟主动公布了一组三套标准化的合同文本,并赋予其相应的法律效力,只要合同双方遵循此标准合同条款即应被视为到达了欧盟数据保护水平,这显然有利于数据流动的商业行为。不过,仔细比对欧盟所公布的标准合同条款内容,其内容中的数据保护具体标准、双方的义务与责任分担、第三方受益性条款、执行保障和违约救济等实质内容相当严苛,不亚于《数据保护指令》的实体条款,甚至可以说“标准合同条款成了欧盟扩大《资料保护指令》适用范围的工具”。[[9]]第二,由于数据跨境流动的主体多是横亘世界各国的跨国大公司,针对于此,欧盟《数据保护指令》第29条工作组陆续发布了一些用以解决公司内数据保护问题的约束性企业规则(Binding Corporate Rules,BCR)说明文件。简单来说,BCR就是专门授权并指导公司内部各主体进行数据跨境流动的具有法律效力的公司规则,其法律效力来源于欧盟内部数据保护机构的批准认可,在此具有法律效力的规则之下,该公司集团内部的数据跨境流动被视为合乎欧盟数据保护水平的合法传输。按照欧盟的指导文件相关规定,BCR的实体内容可以说《数据保护指令》相关条款的翻版,数据保护标准和执行保障机制都面面俱到,十分具体。[[10]]

综上所述,欧盟所制定的数据跨境流动法律框架无论从实体内容还是规则形式上来看,都是1995年《数据保护指令》的衍生物。换言之,欧盟以本地区域内的数据法律和数据政策来设定其与其他国家的数据互动关系框架,具有极其明显的单边性质。无论是以个案审查形式评估他国的数据保护水平,还是作为例外补充的标准合同条款模式和约束性企业规则,万变不离其宗,其根本准则都是《数据保护指令》的实体规则和执行机制。众所周知,《数据保护指令》树立了相当高的数据隐私保护标准和制定了非常具体的数据保护执行机制,然而,数据隐私本质上是文化观念的人为建构产物,数据保护执行机制又往往取决于各国不同的法律历史传统和社会经济现状,其都是内生于各种语境性极强的社会基础条件之上。欧盟以数据主体的个人权利价值内涵为最高价值,形成法律,并化诸手段,通过规制数据流动的商业行为蔓延至其他国家或行为体的规则体系里,自然激起强烈批评,被认为是文化帝国主义的产物。[[11]]价值分歧之外,更重要的是,欧盟的数据流动法律制度严重缺乏实操性,其本是区域内数据法律与政策的制度延伸,但既缺乏主权权力的强制力来保障,又没有高效精干的执行机构来妥善协调,这种略显空洞、实践贫乏的法律框架制度只能削弱数据保护的普遍遵守,最终造成大多数的数据流动主体往往是无视规则地向不具备充分数据保护水平的第三国传输流动各种数据。[[12]]

放大、激化以上问题的恰恰是与欧洲各国意识形态相近、经济生态相似的美国。美国与欧盟同属数据信息进口国——数据产品出口国(data importing-information products exporting country)[[13]],两者不仅存在尖锐的数字经济竞争,彼此秉持的数据法律传统亦大相径庭。[[14]]不过,数字经济的未来前景和当下利益依然牢固黏合着两者的数据流动商业行为,使得双方最终妥协催生出双边谈判性质的“安全港”协议。对于欧盟而言,这实在是一个无可奈何的选择。

(二)“安全港”协议的困境

早在1998年,美国商务部就发布了《美国国际安全港隐私保护原则》(Safe Harbor Privacy Principles)法律文件,抓住隐私保护原则这一关键,积极打造与欧盟的数据隐私共识,以此为基础谋求协商数据流动“安全港”协议的谈判空间。2000年,美国相继制定并发布了《安全港协议》(Safe-harbor Agreement),协议主要由七项内容构成,涵盖“通知、选择、传输、安全、个人数据完整性、渠道和执行”等方方面面,该协议遵循美国传统的行业自律基本模式,建立经营者承诺-政府评估监督的运行机制,以此间接获得欧盟所认定的数据流动法律保护水平,这一协议同年获得欧洲议会通过。[[15]]

一般认为,“安全港”协议是美国谋求准入欧洲数据市场而做出的必要妥协。美国的国内数据保护法律制度自成体系,对于数据隐私和行业自治的文化理解也有别于欧洲国家,明显不符合欧盟所设定的对等保护原则及其例外,严格按照欧盟的数据流动法律框架,美国将会被排除出欧洲数据市场。由于欧盟数据流动法律框架的单边立场,美欧双边谈判的“安全港”协议主要围绕着欧盟区域内数据法律政策的基本原则和主要规则展开,并借此作为中介点,衔接美国国内数据保护行业自治惯例。但是,恰因如此,“安全港”协议的双边性正是以欧盟数据流动法律框架的单边性削弱为前提的。欧盟意识到既有数据流动法律框架的单边性质和严苛规则并不能确保数据流动受到严格监控,反之要从对等谈判出发,与数据流动的其他主体方密切合作,彼此协调,借助具有实际执行能力的他国主体权力才能完成数据流动的法律监管。可见数字经济竞争的压力是双向的,既逼使美国必须寻求某种特殊法律形式接榫欧盟数据法律体系,也迫使欧盟被动改造其顽强坚守的数据流动法律框架。美欧之间的数据市场涵盖了全球第一经济总量地区,多达近三十个国家和八亿人口,经济体量与技术优势都超越其他国家,双方达成的“安全港”协议自然在事实上替代了欧盟创制的其他数据流动法律制度,成为占据主要地位的数据流动基本法律制度。那么,“安全港”协议是否真的是一场双赢呢?

“安全港”协议为美国与欧洲的数字经济和数据保护都作出了重大贡献。对于欧盟国家,其念兹在兹的个人数据隐私保护必须受到美国企业的尊重,参与欧洲数据市场的企业以承诺参加“安全港”的形式获得欧盟认可,被认为提供了充分的隐私保护;如果企业违反相关数据保护法律,欧盟公民可以在美国起诉,获得救济。而对于美国而言,美国公司自愿加入“安全港”协议,遵守并执行数据隐私原则,即可享受“安全港”协议带来的一系列法律许可,其中最重要的即是允许企业在美国境内收集、存储欧盟公民的个人数据。在Anupam Chander教授看来,“安全港”协议和美国国内的数据隐私低水平保护形成合力,创造了一种有利于互联网数据经济发展的“法治补贴”状态,相比欧盟的互联网数据经济之疲软,这是美国硅谷互联网产业崛起的重要法律制度因素。[[16]]

互联网大数据经济的迅猛发展暴露了“安全港”协议的诸多隐患,自2010年以来,面对美欧互联网产业的强弱对比,欧盟内部议论不断,明面上不断质疑“安全港”的实际作用和管理流程是否能够保障数据隐私及数据安全,暗地里也不断反思“安全港”协议和欧盟数据法律框架为何没有如愿催生出发达的欧洲数据经济,法律与政策目的全然落空。[[17]]2013年斯诺登事件爆发,这种质疑声逐步壮大,最终演变成要求废止“安全港”协议的法律挑战,这种挑战既有直接的,也有间接的。

首先,直接挑战即是已经引起广泛关注的“Maximillian Schrems v. 数据保护委员会,C-362/14”案例。斯诺登事件之后,欧盟国家对美国数据隐私保护的怀疑加重,Schrems案即是发酵产物。Maximillian Schrems是一名奥地利公民,长期使用脸书(Facebook)社交媒体,他认为美国国家安全局NSA的大规模监听计划侵犯了他的数据隐私权利。为此,他向脸书的欧洲总部所在地爱尔兰的数据保护委员会提出申诉,要求该机构禁止脸书分公司将他的个人数据转移到美国。爱尔兰数据保护委员会否决了他的申诉,因为根据欧盟相关机构的“2000/520号欧盟决定”(Safe Harbor Decision),“安全港”协议已能保障个人数据安全。Schrems不服决定,继而向爱尔兰高等法院提起了诉讼,该法院认可Schrems的诉请。但是,由于该案涉及到了“2000/520号欧盟决定”的效力问题,故爱尔兰高等法院提请欧盟法院对此法律文件相关问题做出初步裁决。最终,2015年10月,欧盟法院判定“2000/520号欧盟决定”无效,“安全港”协议因此丧失法律基础,遭到架空。[[18]] Daniel J. Solove教授认为此案意义重大,内涵复杂,基本可以断定美欧之间“安全港”协议立足存在的社会条件和法律基础荡然无存。而且,Solove教授着重指出,尽管Schrems案判决的基本要旨被渲染为公民数据隐私权利,其实深具浓厚的政治意味,因为欧盟在互联网数据监控方面不遑美国,两者竞争态势明显,只不过其做法更加隐蔽而已。[[19]]

其次,Schrems案之前,就已存在针对“安全港”协议的法律挑战,只是间接隐晦而已,如依据《欧洲cookies指令》所实质性推进开展的Cookies清扫行动,不过最为重要的应该是欧盟倡导的个人数据被遗忘权(right to be forgotten)。[[20]]短短几年之间,被遗忘权由理论探讨逐步深入发展为法律条文(GDPR第17条)和司法判例(Google Spain SL & Google Inc v Agencia Espa ola de Protección de Datos & Costeja González,即Gonzalez案),证明至少其在欧洲国家已有较为坚实的社会基础。毫无疑问,首先受到被遗忘权冲击的即是从事美欧之间数据跨境流动的美国各大互联网公司,被遗忘权极有力地扩容互联网时代的个人数据权利权能,釜底抽薪地加重了“安全港”协议里美国企业的法律责任和商业负担。[[21]]更重要的是,被遗忘权的构造逻辑非常尖锐地直接消解了数据跨境流动的正当基础和日常流程,当主体可随时请求删除有关个人的数据信息,各大互联网公司现存的数据商业模式势必难以持续下去。

(三)小结

欧洲现有的数据跨境流动法律框架可谓始于经济竞争,终于政法博弈。尤其令人扼腕的是,与欧盟另一部数据法律即《欧盟数据库指令》(Directive 96/9/EC)的遭遇相似,欧盟数据跨境流动法律框架最终也未达成其预定的法律与政策目标。互联网大数据经济的复杂形势使得美欧之间的数据经济态势强弱立判,“隐私盾协议”也势必艰难存续在美国互联网巨头的强势阴影之下。故此,欧盟数据法律制度的教训得失弥足珍贵,政法制度与经济发展的互动关系远非想象中的简单线性关系,积极主动的法律建构应该同时具备前瞻的战略谋划和切实的实践操作,尤其是要充分考虑到数据作为抽象物的形态特性、抽象物商业化相比实体物商业化的诸多特殊形态、数据技术的复杂演化和数据的政治属性等具体而微的问题,努力协调数据之上的各种价值冲突和利益重叠。

三、中国语境中的数据流动和留存

仅以法律形式渊源来看,中国目前还没有完整的数据跨境流动法律框架,欧盟数据跨境流动法律框架是其本区域内数据法律及政策的衍生物,按此逻辑,中国国内暂无系统的数据法律,民法体系内的个人隐私法例也较为孱弱,数据跨境流动的法律监管自然是无源之水。[[22]]很多学者认为,中国必须赶上这一波数据经济的崛起势头,参照学习欧盟的数据法律制度,积极营造有利于数据经济的制度环境,首当其冲即是制定完善的个人数据保护法律,然后由内推外,接轨其他国家或地区的数据流动法律制度,以此确保中国的数据经济不因制度障碍而陷入维谷。[[23]]不过,这样的论述于理可通,与事相反,中国的互联网产业在经济体量上早已超越欧洲,从2000年到2014年十年之间中国互联网领先企业资本体量从10亿美元到1000亿美元,到2300亿美元,呈几何倍增。[[24]]截止目前,中国的阿里巴巴、腾讯一直稳居全球市值最高的10家互联网公司之中,其余皆是美国企业,欧洲企业则并未有突出表现。[[25]]中国互联网经济无时无刻不在发生着数据商业行为,数据采集、存储、传输和挖掘是支撑互联网服务的底层要素,庞杂的互联网数据商业现象中难道不存在数据流动?缺失所谓数据流动法律制度的情况下,数据流动的现实规制又是什么样的状态呢?

(一)中国语境中的数据流动规制

中国语境中的数据流动规制被分解为两个彼此独立、内涵不一、目标相近的法律规制领域,即产业保护的外资准入管理和重要信息的数据留存管理。这两个法律领域似乎迥然相异,两者直接的管理目标都不是欧美数据法律意义上的数据流动现象,而且在各自法域立法规制之初,立法者及执行者可能也没有清晰认识到运用本法可以管理规制数据流动。但是路径依赖和非意料的后果相互纠缠、共同演化,却殊途同归地在法律效果上起到了规制数据流动的意外后果。可以确定的是,两者都是一个立法目的的产物,即基于国家战略安全的考虑而分别对经济安全和信息安全予以单门类的垂直管理。

首先,产业保护的外资准入管理中与数据商业直接相关的产业主要是指基础电信业、增值电信业、新闻媒体业、金融业等,而本文所关切的互联网数据经济则是重叠交错在前述各类管制产业之中的新兴产业形态,按照我国目前法规《中华人民共和国电信条例》、《电信业务分类目录》规定,其归属为增值电信业。[[26]]数据跨境流动是指跨越国界对存储在计算机中的机器可读数据进行处理、存储和检索,其前提是存在着合乎数据流动各方法律规定的商业交往行为,如果法律规定禁止或者限制数据流动所依托的商业交往行为,“皮之不存、毛将焉附”,数据流动自然以产业规制的形式加以阻断了。以2017年修订版出台的《外商投资行业指导目录》为例,《目录》明确列示了限制外商投资和禁止外商投资的行业种类。例如,限于WTO承诺开放的业务,增值电信业务(外资比例不超过50%,电子商务除外),基础电信业务等行业被列为限制外商投资行业,要求必须由中方控股。例如,互联网新闻信息服务、网络出版服务、网络视听节目服务、互联网公众发布信息服务等行业被列为禁止外商投资行业。具体到互联网产业,国家部委还规定办理电信与信息服务业务经营许可证、互联网出版许可证、网络文化经营许可证、网络传播视听节目许可证等都要求中资企业资格。[[27]]

当然,加入世界贸易组织之后,中国电信和互联网行业相对来说越来越开放,不过由于战略安全的长远考虑,其始终处于审慎监控的局面,允许外资准入的细分行业里,依然严格控制外资比例。通过法律禁止或者限制的形式,互联网数据经济的数据流动现象被釜底抽薪地部分消解了。相比欧洲互联网市场上美国企业垄断服务的格局,中国企业完全充分地提供了基本满足本土社会大众需求的互联网服务,尤其是与生活息息相关的网络即时通讯、网络社交媒体和网络电子商务。此外,中国相对特殊的互联网“防火墙”机制同样起到了阻断数据流动的作用,但是其并没有涵盖绝大多数的网络日常服务,对外资准入管理起到了补充作用。

因此,严格意义上,中国并没有欧盟语境中的数据跨境流动问题,而是另一个极其吊诡的棘手问题,这一问题使得上述的外资准入管理制度产生了严重扭曲,某种中国历史上惯见的正式制度与非正式制度共存现象在“名与实”的隐秘转化中出现了,[[28]]这就是中国互联网公司股权结构中的VIE(Variable Interest Entity,即可变利益实体)协议控制问题。产业保护的外资准入制度原本是控制外资流入,确保本国资本控制重要产业,但是,中国的互联网产业乃至整个TMT(Telecommunication,Media,Technology)产业却直接受惠于庞大的外国资本,VIE协议控制就是其中关键。所谓VIE协议控制,是指境外注册的上市实体与境内的业务运营实体相分离,境外的上市实体通过协议的方式控制境内的业务实体,业务实体就是上市实体的VIEs(可变利益实体),[[29]]VIE协议控制是中国互联网产业股权融资规避外资准入监管的突破性创举,始于2000年门户网站新浪网赴美上市,经过了新浪网和信息产业部的直接沟通,最终放行。至此,这一模式成为在境外上市中国TMT产业公司的一种常见合规性安排,目前几乎所有重要的中国互联网公司股权结构都存在VIE协议控制问题。[[30]]限于主题,本文无意深入分析VIE协议控制问题的是非曲折,而是希望引申出其对于数据安全及其跨境流动的复杂影响。表面上,中国的数据跨境流动现象受到某种程度的消解,网络安全和数据隐私掌握在中国境内企业手中,实质上,因为更加复杂的VIE协议控制问题,数据流动内化为资本控制,控股权和经营权之间矛盾潜伏其中,尽管没有数据流动的表象,但是数据隐私、数据安全、数据主权、数据管理和数据财产等等这些数据跨境流动监管所顾虑的数据问题以“借尸还魂”的奇特方式潜伏在中国实践中。而且,必须指出的是,这样的奇特方式并非所谓落后现象,相反,中国语境的特殊情状显露出数据经济中更深层次的政治经济学问题,互联网平台模式赖以维系的数据兼并与垄断将数据和资本的某种同构性暴露出来,“数据的金融化和金融的数据化”(Frank Pasquale《黑箱社会》中文版序言的点睛之语)以复杂的商业实践吸纳了单一维度的数据统一市场和数据隐私等问题。由此看出,数据治理的国家战略着眼点不是一成不变的单一面貌,不同国家地区的具体政治经济结构与之紧密耦合,在中国是VIE协议控制之下的数据问题,其它国家则是基于不同价值目的考虑而转向数据留存管理。

其次,重要信息的数据留存管理制度在中国同样有着实际的数据流动管理功能。数字信息技术兴起之前,关于国家机密和个人隐私信息的数据留存管理就普遍存在于各种部门管理的单一法例之中。例如,我国曾长期依赖国家和个人档案管理制度管理国家重要信息的存储和流动,国家档案管理局出台的《档案法实施办法》第19条规定:“各级国家档案馆馆藏的一级档案严禁出境。各级国家档案馆馆藏的二级档案需要出境的,必须经国家档案局审查批准。各级国家档案馆馆藏的三级档案、各级国家档案馆馆藏的一、二、三级档案以外的属于国家所有的档案和属于集体所有、个人所有以及其他不属于国家所有的对国家和社会具有保存价值的或者应当保密的档案及其复制件,各级国家档案馆以及机关、团体、企业事业单位、其他组织和个人需要携带、运输或者邮寄出境的,必须经省、自治区、直辖市人民政府档案行政管理部门审核批准。海关凭批准文件查验放行。”我国《征信业管理条例》、《电信条例》、《信息服务管理办法》、《计算机信息网络国际联网管理暂行规定实施办法》等法例中同样存在类似的“数据流动”监管办法。随着互联网信息传播技术的迅猛发展,世界各国立法活动都相对迟滞,但是中国的因应措施却相时而动,尤其是针对事关国家战略安全的各类行业数据、云计算存储政府数据和互联网个人数据,分别出台《中国人民银行有关银行业金融机构做好个人金融信息保护工作的通知》、《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》、《银行业信息技术资产分类目录和安全可控指标》、《电信和互联网用户个人信息保护规定》和《关于加强党政部门云计算服务网络安全管理的意见》等法规。

现实往往是历史的投影。中国数据经济的形态受制于在先的政法制度,外资准入制度和重要信息的数据留存办法间接地决定了中国并不存在近似欧盟的数据流动现象。同时,非正式制度与正式制度的现实博弈为中国的数据经济迅猛发展留下来足够空间,数据流动现象也因此潜伏在更复杂的问题之中。因此,中国的数据流动规制表现为相当宽泛的产业规制政策和数据留存制度。

(二)数据留存之辨

自斯诺登事件之后,不论是主要发达国家还是发展中国家都开始重新积极反思本国网络数据与国家战略安全的现实状况,某种相对收缩的保守法律政策正在逐步蔓延各国,不同制度形态和政策面貌的数据留存监管正是政策主线。例如,在发达国家,澳大利亚提出个人健康数据信息应当留存国内的法例,[[31]]法国官方提出“数据主权”和“数据税”的法律政策,非常看重云计算等重要信息基础实施的本国化。德国官方提出类似的数据政策和法律建议,希望通过发展本国数据经济,降低外国数据监控风险。不少发展中国家,俄罗斯、印度、韩国、越南、印度尼西亚和马来西亚也都从数据隐私、数据安全和数据经济发展等方面提出数据留存的具体法律政策。[[32]]

考诸各国,数据留存法律政策的立法要旨和政策目的主要有三。第一,从个人权利本位出发,保障数据隐私,维护人格尊严,提升个人福利。[[33]]第二,从社会发展本位出发,创造环境吸引外部资金,刺激本国信息产业,维护良好有序的数据经济秩序,培育高度发达的数据经济市场。[[34]]第三,从国家战略安全出发,控制重要信息的数据流动,强化国家数据认证能力,提高国家综合治理能力。[[35]]表面上看,数据留存似乎是数据流动监管的进一步细化,是各国数据流动实践总结的反思之策。其实不然,两者的立法要旨和法律技术都有本质差异。第一,从立法旨意来看,数据流动的法律监管制度预设数据自由流动的自然正当性,只要符合双方对等原则的情况下数据信息皆可自由流动,贸易自由和思想自由是其正当性基础。数据留存制度则预设数据信息并非价值无涉的自然物,而是有着强烈的社会属性和政治属性的构造物,有必要针对不同情势而分类分级区别管理,关键信息的数据禁止跨境流动。第二,从法律技术来看,数据流动的法律监管本质是数据跨境商业行为的法律监管,国际法特征明显,面临不同主权国家的法律协调与冲突,其法律强制力无法与国内法相提并论。数据作为抽象物,监管难度远甚于物质性实体物的一般货物,此外,互联网数据流动也非一般的货物商品贸易,兼具服务贸易和技术要素的多重属性,监管者很难深入商业流程中积极监管,其实操性大打折扣。数据留存的法律监管则无需面对复杂的国际法冲突,实际的法律执行手段也相对简易,毋需深入到动态变化的商业实践之中。

从法律内部视角出发,数据留存制度将重新塑造数据流动的法律监管,一些国家严格的网络数据留存制度甚至禁止数据流动,这势必将对全球当下的互联网格局产生深刻影响,故此,很多国家的相关政策尚在酝酿之中就激起了广泛争议。Anupam Chander教授是抨击数据留存制度最为激烈的学者之一,其将所有数据本地化的留存政策都被打上“数据民族主义”的意识形态标签,从价值主张和实际功用角度细致批判各国数据留存制度的立法目的和现实作用。[[36]]Anupam Chander教授认为,要求数据本地化的留存制度本质是一种具有民族主义诉求的经济保护主义,完全违背了当今世界主要国家奉行的全球化自由贸易政策。不仅如此,数据留存政策潜存的政策意涵非常危险,极易滑向所谓国家信息控制。[[37]]同时,数据留存制度的现实作用也极为可疑,第一,一味推行数据本地化的很多国家并无良好的信息基础实施条件,既无低廉建造数据中心的成本优势,也无数据安全的人才和技术积累。相反,数据中心过度集中,更易成为黑客攻击对象,国外监控的危险性更大。第二,阻断数据流动最终会严重影响本地的信息产业发展和普通网民的网络服务日常需求,相反,只有全球商业竞争才会提升数据安全和网民福利。第三,僵化的数据留存制度并不能防止国外监控,却反而能促进本国的数据监控加强,会严重危害到本国网民的数据隐私权利和思想言论自由。[[38]]总而言之,Chander教授认为在全球化经济贸易与网络互联世界的深度融合之下,只有秉持自由贸易政策,“电子丝绸之路”畅通无阻,才能保障长远的数据安全和经济发展。[[39]]

正如Christopher Kuner教授一针见血地指出那样,数据留存并非昙花一现的简单现象,它是经济全球化和民族国家经济发展之间长期矛盾的一种新表现,应该将其回归到相对较长的历史时段中来考察。数据留存的目的与功能确可商榷,但是,Chander的批判同样兼具强烈的意识形态特征和单一的分析视角缺陷,事实上,数据流动的法律经济学视角亦难以压倒数据留存的其它价值主张,无论是隐私理解还是战略考虑。[[40]]Anupam Chander和Uyên P. Lê的论文开创性地比较研究了十多个国家与地区的数据留存法律现象,但是其各国研究止于简单的法律和政策罗列,并未深入地经验考察不同国家数据留存的政法考量,这才引来Kuner批评其只是单一的法律经济学视角。现实观察,地区大国与小国在数据留存方面的基础条件和战略考量显然并非一致,简要来说,德法等地区大国在欧盟数据流动法律框架之下,更加侧重于国家战略安全与经济竞争的考虑,非欧盟国家的俄罗斯、巴西和韩国等地区大国则并重看待数据隐私和战略安全,而其它地区小国则更加侧重于本国公民数据隐私和信息经济发展。如果,再考虑到全球互联网格局“割据形势”,美国互联网巨头的市场优势、技术优势和监控遏制给各个国家的压力并不相同,大国之间、大国与小国之间国际关系的此起彼伏是数据跨境流动的基础,那么,不同国家与美国之间的关系变迁也会是其数据流动和留存的基本着眼点。

因此,应该将数据之上不同叠加利益的战略考虑复合,才能具体地理解、细致地批判不同国家的数据流动和留存的正当价值和制度利弊。事实上,历史经验告诉我们,大国与小国的政法制度,常常因国际关系、地理疆域、人口民族、文化多样和经济体量的个体差异而必须承担各自不同的某种规定性。[[41]]数据留存的复杂价值不可以自由贸易简单化约,“数据民族主义”的标签太过轻飘,反而掩盖了扎根于下的复杂的政治经济结构。相较于价值正当,数据留存制度的现实功用是否未如理想预期,甚至造成南辕北辙的作用,同样需要具体分析。本文谨慎同意Chander教授的综合分析,由于不同国家之间的差异基础,数据留存在某些国家确实作用难测,例如云计算,对能源资源和地理条件有着相当高的成本要求,强行建造数据中心反而得不偿失。但是,本文的分析另有关切,数据技术日益发展,大数据与数据留存的互动关系正在浮现更加诡谲的政治法律问题。

四、大数据与数据法律政策

(一)大数据视野之中的数据流动和留存

数据流动和留存的监管对象并非现实的物质实体物,而是观念中的信息抽象物,只是由于特殊原因,才将监管对象设定为信息物质载体。这个特殊原因就是人的信息认知心理直接受制于信息抽象物的物理性质。第一,即内容与载体的一体性是信息抽象物的基本物理特征,故信息内容和信息载体的监控管理也是互为一致的,承载关键信息内容的物理载体可以通过限制流动,留存境内而防止信息传播。所以,无论是个人隐私信息,还是商业机密信息抑或国家战略安全的关键信息,都可以通过严控主体接触媒介的载体控制到达内容控制,信息内容只能依靠人的认知而传播。大体而言,这一认识在互联网大数据出现之前是正确的,然而,信息数字技术使得海量的信息内容不再需要巨量的物质载体来表现,直接动摇了通过载体监控而控制信息内容的重要作用。第二,一般情况下,内容-表达-载体形成媒介认知,人通过认知信息抽象物的具体表达而直接获知信息内容,因此,具体表达所呈现的直接内容往往是信息控制的主要对象。与此相反,直接内容之外,具体表达所可能潜存的间接意涵并不是信息控制的目标,法律的稳定预期特征不会干预逃逸清晰认知之外的不确定性的可能意涵。[[42]]

因此,信息内容控制的基本着眼点是以控制媒介载体的手段,进而控制干预载体中具体表达所呈现的直接内容。如果以上分析不错,这就是数据流动和留存制度的构造逻辑之起点。然而,大数据及其塑造的数据商业则重新改变这一起点。

本文所理解的数据跨境流动是“跨越国界对存储在计算机中的机器可读数据进行处理、存储和检索”。这是一个相对技术化的理解,突出一组复合概念:机器可读数据,数据流动与留存的现实差异表现为是否限制不同主体进行机器可读数据的处理、存储和检索。机器可读数据,按照目前理解,这是把握大数据核心观念的关键词,更是当前人工智能的核心技术之一。首先,大数据意义上的数据不仅是指数据的庞大,而是特指来源多样、类型多样、大而复杂的数据,与常规的结构化的、静态的、易于处理的数据集相比,它具有非结构化的、动态的、不易处理的特点。[[43]]其次,正因如此,大数据所意欲呈现的信息意涵,个人很难直接认知,只能机器可读,通过借助复杂的数据分析算法进行模式识别,当需要提供给人直接认知时,再以数据可视化技术加以转化表达。换言之,大数据不以数据呈现的直接内容为目标,而是追求数据整合之后的深层次洞察。[[44]]

互联网大数据的特质改变了数据的商业模式和基本架构,传统以货物贸易与服务贸易的交替并存为特征的数据商业形态遭到重构,演变为筑基在互联网之上的平台经济,数据商业基本特征呈现为货物贸易与服务贸易的交融并存。[[45]]新形态中,信息数据沉淀为基础设施和主要渠道,在基础支撑的技术架构和前台交易的应用供需上保障平台经济的稳定运行,而完成这一切的并非数据承载的直接内容,而是数据意涵的深层洞察。作为全球电子商务网站巨头,我国互联网公司阿里巴巴集团的云计算和大数据被业界公认为世界前沿,阿里巴巴公司的未来前景和战略构想是一套所谓IT(Information Technology,信息技术)转向DT(Data Technology,数据技术)的技术及商业想象,通过数字信息技术的广泛应用和信息基础设施的普遍安装,结合政策、制度创新,促进各类信息(数据)最大限度的传播、流动、分享、创造性使用,从而提升经济社会运行效率,故此阿里巴巴公司自认是一家数据驱动的科技企业。[[46]]循此逻辑,可以发现,数据垄断是互联网大数据的行业壁垒,而数据算法能力则是竞争核心。

这样的巨变对于数据流动和留存的法律制度有什么意义呢?一言以蔽之,在大数据面前,数据流动和留存法律制度的监管弱化、目标失焦。寄希望以控制媒介载体的手段,进而控制干预载体中具体表达所呈现的直接内容,已经无法妥善保障重要信息的安全性。例如,互联网上用户的某些网络行为可能并不属于隐私,而是自愿披露的公开信息,比如发表博客文章,更新微博、商品点评和参与论坛发言,但是,网络行为数据长久积累,再与其它非结构化数据整合挖掘,能够清晰地勾勒用户画像,分析出大量行为隐私,甚至挖掘出用户无意识的潜在欲望和可能需求。当然,既是规避法律,也是技术要求,数据挖掘是在封闭的算法识别程序中进行机器学习,需要时才进行数据可视化,对应人的认知。例如,电子商务的商业流程中会积累大量的货物数据、交易数据和物流数据,如果只是单一数据集,其并不是能够透视国家经济状况的重要经济信息,但是,如果通过大数据整合算法挖掘之后,其数据意涵的战略意义就不容小觑。

除了外资准入的法律制度是以行为禁止的形式直接杜绝不适格主体接触任何法定的数据信息,其它形式的数据留存制度其实都是以控制信息载体留存境内的间接形式防止重要的信息内容扩散出境。然而,如前所述,大数据及其商业模式的出现可能已经破坏了数据留存制度所预设的管理前提,静态的数据载体控制难以应对局面,而动态的数据能力竞争与监控才是问题的重点。数据流动和留存法律制度的真正疑难不再是简单化约的物质实体物,幽灵般的抽象物重回法律视野。回头本文开头,仔细辨析欧美之间“隐私盾协议”,淡化规则约束的刚性权力——事实上,欧盟也无法监管美国企业是否履行规则承诺,更何况还有大量数字技术问题需要厘清——强化国家权力的动态监管。由此可见,面对事关国家战略意义的数据安全,在经济态势和政治盟约的强弱对比之下,欧盟其实已经变相选择了权力委托、共同治理的数据政策和法律。当然,互联网大数据经济还在持续演化发展,技术与经济的格局拐点可能还会出现。但是,考虑信息产业所特有的网络效应和规模效应,以及大数据与其它产业的深度融合趋势,自然垄断一时难以逆转,可能在相当长一段时间内,这是无可奈何的选择。

(二)中国数据法律与政策的选择

那么,中国应该做出什么样的选择呢?

首先,产业保护的外资准入制度和数据留存法律对中国互联网大数据经济有着深刻的塑造作用,并且遗留下非常特殊的VIE协议控制问题。既有的法律政策充分证明我国将互联网产业及数据经济视为事关国家战略安全的战略性产业,这并非是中国的特殊政策,东亚诸国在经济后发战略中长期奉行德国历史学派经济学说,尤其遵循战略性贸易政策(strategic trade policy),对于本国的幼稚产业和战略产业进行政策保护。[[47]]而且,而且政策保护还表现为某种形态的“个案审查”,华为公司进入美国市场屡屡受挫,这何尝不是一种禁止数据跨境流动“个案审查”。当然,保护政策与开放政策都是取决于具体时势,从互联网大数据经济的发展趋势来看,数据流动与开放是数据经济发展的动力之一,封闭保守不是长久之计,更何况中国已经步入“互联网出海时代”。

当前,我国的数据流动势态正在发生变化。法律政策方面,自2014年起,工信部公布了《关于中国(上海)自由贸易试验区进一步对外开放增值电信业务的意见》,开始在我国上海自贸区尝试放宽电信业务领域的外资股比限制,其中包括在线数据处理和交易业务处理。在此基础上,2015年工信部公布《关于放开在线数据处理与交易处理业务(经营类电子商务)外资股比限制的通告》,决定在全国范围内放开在线数据处理与交易处理业务的外资股比限制,外资持股比例可至100%。这说明更加灵活开放的数据政策可能已经到了适宜的时机。数据经济发展方面,我国信息产业和互联网产业处于良好起步势态,部分企业早已扬帆出海,例如华为公司已是全球最大的电信设备供应商,[[48]]腾讯公司微信即时通讯服务在东南亚和中东地区也有一定的市场占有率,[[49]]国产移动手机在印度和非洲国家都有相当不俗的销售成绩。[[50]]当然,相比美国互联网企业,中国互联网大数据经济的国际化程度还很低,适当的数据流动法律框架将有利于我国信息产业跨国企业的海外竞争力,发展出更富生态活力的数据经济。

更关键的是,数据留存制度难以保障大数据意义下的数据安全,彻底断绝数据流动也是因噎废食的盲目之举,强化数据经济的战略导向,注重数据能力的国际竞争,提升数据流动的动态监管,尤其加强准入之后数据战略安全评估方面数据治理能力,会比单一的数据留存更加切中时弊。政策创新和技术进步必须合二为一,扭结合力。总而言之,应当在国家治理能力战略框架里统筹管理数据安全与数据经济。

其次,在具体的制度建设方面要注重内外协调。第一,构筑匹配中国国情的个人隐私和网络数据法律体系,目前国内的《网络安全法》、民法体系内的隐私权法律和各地正在试行的数据交易规则可算初啼试声,斟酌损益美欧的立法得失,立足中国经验。[[51]]第二,总结数据留存法律制度的得失,明确数据类型,实施分类分级的数据管理制度。[[52]]第三,借鉴美欧之间双边谈判的数据流动法律框架经验,侧重双边谈判或者多边谈判的框架性功能,务求灵活态度处理数据跨境流动问题。第四,《跨太平洋伙伴关系协定》(TPP协定)的核心要素是知识产权和数据流动,TPP协定要求缔约国在保护个人数据隐私的前提下,确保全球信息和数据自由流动,以驱动互联网和数字经济。毫无疑问,中国亦应以适当的方式参与国际数据规则的建立,确保一个有利于我的外部规则环境。

五、结语

本文希冀说明并论证的是,数据跨境流动并非是一个法律规范性论证的单一问题,尽管至今大部分“政治正确”的理解,都将数据跨境流动与个人隐私权利挂钩。反之,我们希望切入数据流动这一商业现象,厘清欧盟的法律演变逻辑,梳理中国的具体问题,并力图将这些分析融入正在发生的技术巨变之中,揭示出新近的技术变迁将对法律政策产生扭曲,着重指明作为问题背景的国际关系和作为基础问题的技术演变才是理解数据跨境流动的关键切入点。基于此,本文既批判了数据留存法律制度的现实作用,也肯定了数据留存法律制度的价值意涵。最后指出,仅论中国语境中的数据问题,“数据金融化和金融数据化”的挑战非常严峻,不仅是外资控制,数据垄断与资本垄断的利益同构性可能会形成新的控制和压迫,这会警醒我们更加严肃地看待数据流动规制中隐含的政治意义,数据能力竞争和数据动态监管可能已迫在眉睫。

*本文原载《钱塘法律评论》2019年第01卷。

[[1]] “EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield” 欧盟网站:http://europa.eu/rapid/press-release_IP-16-216_en.htm,最后访问时间2019年3月25日。

[[2]] 齐爱民:《个人资料保护原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,主要参见第一章内容。

[[3]] 详见欧盟网站介绍:“Digital Single Market”,https://ec.europa.eu/digital-agenda/en/digital-single-market,最后访问时间2019年3月25日。

[[4]] 齐爱民等:《大数据时代个人信息保护法国际比较研究》,法律出版社2015年版,第297页。

[[5]] 石月:《数字经济环境下的跨境数据流通管理》,载《信息安全与通信保密》2015年第10期,第101页。

[[6]] 同注[5]引文,第102页。

[[7]] 同注[4]引书,第302页,引文译文略有改动。另见《个人数据保护:欧盟指令及成员国法律.经合组织指导方针》(中英文对照),陈飞译,法律出版社2006版,参见该书第一部分主要内容。

[[8]] 孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第268-271页。2019年初刚审议通过的欧日数据跨境流动框架则是最新典范法例。

[[9]] 同注[8]引书,第276-288页。

[[10]] 同注[8]引书,第289-292页。

[[11]] Martin E. Abrams:《新兴数字经济时代的隐私、安全和经济增长》,温珍奎译,载周汉华主编:《个人信息保护前沿问题研究》,法律出版社2006年版,第4-9页。

[[12]] [德]Christopher Kuner:《欧洲数据保护法——公司遵守与管制》,旷野、杨会永等译,法律出版社2008年版,135页。

[[13]] 齐爱民等:《大数据时代个人信息开放利用法律制度研究》,法律出版社2015年版,第100页。

[[14]] 郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,主要参见第三章第45-73页、第八章第227-245页。

[[15]] 简荣宗:《网路上资讯隐私权保障问题之研究》,转引自注[4]书,第303页。

[[16]] 参见Anupam Chander:“How Law Made Silicon Valley”,63 Emory L.J,639(2014)。

[[17]] Ernst-Oliver Wilhelm:“A Brief History of Safe Harbor“,https://iapp.org/resources/article/a-brief-history-of-safe-harbor/,最后访问时间2016年2月15日。

[[18]] 参见Maximillian Schrems v. Data Protection Commissioner (Court of Justice of the European Union, C-362/14, 6 October 2015),http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf,最后访问时间2019年3月15日。

[[19]] Daniel Solve:“Sunken Safe Harbor: 5 Implications of Schrems and US-EU Data Transfer”,https://www.teachprivacy.com/sunken-safe-harbor-5-implications-of-schrems-and-us-eu-data-transfer/,最后访问时间2019年3月15日。

[[20]] 蔡雄山:《网络世界里如何被遗忘——欧盟网络环境下个人数据保护最新进展及对网规的启示》,载《网络法律评论》2012年第2期,第68-75页;邵国松:《“被遗忘的权利”个人信息保护的新问题及对策》,载《南京社会科学》,2013年第2期,第104-109页;彭支援:《被遗忘权初探》,载《中北大学学报(社会科学版)》2014年第1期,第36-40页。

[[21]] 张立翘:《被遗忘权制度框架及引入中国的可行性》,载《互联网金融与法律》2015年第2期,第1-8页。

[[22]] 《中华人民共和国网络安全法》第三十七条现在被理解为“数据跨境流动”中国具体法源,但是其规定的“应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”至今还未具体落实,2017年8月公开的《数据出境安全评估指南(征求意见稿)》也还暂无下文。

[[23]] 齐爱民:《私法视野下的信息》,重庆大学出版社2012年版,参见第二编主要内容。

[[24]] 方兴东、胡智锋:《媒介融合与网络强国:互联网改变中国》,载《现代传播》2015年第1期,第1-12页。

[[25]] 新浪网财经频道:“全球互联网巨头市值排名大洗牌 但前五大还是FAAM”,http://finance.sina.com.cn/stock/usstock/c/2019-02-03/doc-ihrfqzka3393155.shtml,最后访问时间2019年3月15日。

[[26]] 参见工业和信息化部《中华人民共和国电信条例》(2016修订)第二章第八条、《电信业务分类目录(2015年版)》B类业务界定。

[[27]] 参见《电信业务经营许可证管理办法》、《互联网出版管理暂行规定》、《关于文化领域引进外资的若干意见》、《互联网信息服务管理办法》、《互联网视听节目服务管理规定》。

[[28]] 周雪光:《从‘黄宗羲定律’到帝国的逻辑:中国国家治理逻辑的历史线索》,载《开放时代》2014年第4期,第108-132页。见本文第三部分对于中国历史上正式与非正式制度的名实转化的精彩论述。

[[29]] 梁芳:《VIE模式产生的原因、风险及对策分析》,载《中国经贸》2013年第18期,第92页。

[[30]] 监管者与公众舆论对此始终保持高度关切。2006 年信息产业部出台的《关于加强外商投资经营增值电信业务管理的通知》,密切关注对互联网公司VIE结构问题。2011年,阿里巴巴集团“暴力拆除”支付宝VIE结构更是引起广泛的社会争议。2015年,工业与信息化部发布《关于放开在线数据处理与交易处理业务(经营类电子商务)外资股比限制的通告》,决定在国内放开在线数据处理与交易处理业务的外资股比限制,外资持股比例可至100%,终于打破了长久以来的暧昧的监管态度。

[[31]] Personally Controlled Electronic Health Records Act 2012 (Cth) s 77 (Austl.),参见https://www.comlaw.gov.au/Details/C2012A00063,最后访问时间2019年3月15日。

[[32]] Anupam Chander,Uyên P. Lê,Data Nationalism,64 Emory Law Journal,708-714(2015).本文对十几个国家与地区的相关法律政策作了清晰梳理。

[[33]] [德] Christopher Kuner:《欧洲数据保护法——公司遵守与管制》,旷野、杨会永等译,法律出版社2008年版,第一章。

[[34]] 同注[11]引书,第4-9页。

[[35]] 欧树军:《国家基础能力的基础》,北京:中国社会科学出版社2013年版,第一部分第3-44页。

[[36]] 同注[32]引文,第735页.

[[37]] 同注[32]引文,第735页.

[[38]] 同注[32]引文,第714-739页.

[[39]] Anupam Chander:The Electronic Silk Road:How the Web Binds the World Togethe. (Yale University .Press2013)

[[40]] Christopher Kuner:“Data Nationalism and Its Discontents“,Emory Law Journal, Vol. 64, No. 3, 2015.

[[41]] 苏力:《政治精英与政治参与》,载《中国法学》2013年第5期,第77-92页。

[[42]] 人与媒介的认知及文化关系,请参见[美]林文刚:《媒介环境学》,何道宽译,北京大学出版社2007年版。[加]麦克卢汉:《理解媒介:论人的延伸》,何道宽译,译林出版社2011年版。

[[43]] 朱扬勇等:《大数据是数据、技术,还是应用》,载《大数据》2015年第1期,第7页。李国杰:《对大数据的再认识》,载《大数据》2015年第1期,第2页。

[[44]] 整合数据、挖掘数据一直是学界和产业界追求的目标,参见郑毅:《证析:大数据与基于证据的决策》,华夏出版社2012年版,特别是第三章、第四章。

[[45]] 李谦:《人格、隐私与数据:商业实践及其限度——兼评中国cookie隐私权纠纷第一案》,载《中国法律评论》2017年第2期,第122-138页。

[[46]] 阿里研究院:《互联网+:从IT到DT》,机械工业出版社2015年版,参见第三章、第四章主要内容。

[[47]] 日本的半导体产业就是典型事例,其因政策保护而迅猛发展,参见[美]米鲁斯·博鲁斯等:“创造优势:政府政策如何影响半导体产业的国际贸易》,载保罗·克鲁格曼主编《战略性贸易政策与新国际经济学》,中国人民大学出版社2000版,第83页。中国战略性工业化的历史分析,请参见严鹏:《战略性工业化的曲折展开:中国机械工业的演化(1900-1957)》,上海人民出版社2015年版。

[[48]] 参见腾讯网腾讯科技频道:“华为掀翻爱立信 成2017年全球最大电信设备商”,http://tech.qq.com/a/20180316/024406.htm,最后访问时间2019年4月21日。

[[49]] 参见凤凰网科技频道:“微信,腾讯的国际化梦想?“,http://tech.ifeng.com/internet/special/tencentintel/,最后访问时间2019年3月5日。

[[50]] 谢丽容等:《中国智能手机行业重划版图:沦为巨头间的游戏》,原载《财经》2015年12月刊,参见http://it.sohu.com/20151222/n432189666.shtml,最后访问时间2019年4月21日。

[[51]] 洪延青:《在发展与安全的平衡中构建数据跨境流动安全评估框架》,载《信息安全与通信保密》2017年第2期,第36-62页。

[[52]] 石月:《数字经济环境下的跨境数据流动管理》,载《信息安全与通信保密》2015年第10期,第101-103页。

发表评论