蔡翠红 王远志：全球数据治理：挑战与应对

　　 内容提要：全球数据治理已成为当前全球治理的重要内容，其主要面临两方面挑战：一是主权国家间在数据权属、数据跨境流动等数据治理议题上的主张相异，并竞相提出了各自的数据发展战略；二是个人、企业与主权国家间数据权益存在失衡，亟需有效机制进行协调。为有效应对这些挑战，推动全球数据治理体系走向有序、规范和协调，一方面，全球数据治理应当采取数据主权、数据保护与数字经济发展相统一的数据治理主张，鼓励各主权国家或区域组织参与全球数据治理并构建全球数据治理规则；另一方面，为协调个人、企业和主权国家之间的数据利益，全球数据治理应当构建数据协调治理机制，具体包括“人格权先行”数据协调治理机制、“财产化市场交易”数据协调治理机制和“匿名化战略利用”数据协调治理机制。

　　 关键词：全球治理、全球数据治理、数据主权、数据协调治理机制

　　 作者简介：蔡翠红，复旦大学美国研究中心教授、博导；王远志，复旦大学法学院研究助理。

　　 基金项目：本文为国家社会科学基金项目“构建全球互联网治理体系研究”（项目批准号∶18BGJO22）的阶段性成果。

　　 当代社会，全球范围内的数据无处不在，正以无法察觉或不显著的方式嵌入日常生活结构甚至推动社会变革。人们渴望利用数据来解决问题，改善福祉，促进经济繁荣。数据逐渐成为当代社会重要的潜在资源之一，数据治理正成为全球治理的重要议题。但综观当前的全球数据治理，其不仅面临主权国家间数据治理不同主张的冲突，还面临个人、企业与主权国家间数据权益失衡等多重挑战。如何应对这些挑战并推动全球数据治理进程向前发展，已是学界和实务界亟待研究的重要问题。

　　 一、全球数据治理的内涵与重要性

　　 随着全球化的推进，治理已逐渐从局部的、领域的市场治理、地方治理、城市治理，走向全面的、综合的政府治理、国家治理；从国内治理走向全球治理。作为全球治理的细分治理领域之一，全球数据治理具有其独特内涵和意义。

　　 全球数据治理指的是在全球范围内，各治理主体依一定的规则对全球数据的产生、收集、存储、流动等各个环节以及与之相关的各行为体的利益进行规范和协调的过程。例如，在各行为体参与全球数据治理的交往中，对数据权属的明确、对数据安全的保障、对数据交易的监管和对数据跨境流动的法律规制等等，都属于全球数据治理的范畴。

　　 关于全球数据治理的具体内涵，有三点需要进一步厘清。其一，数据是全球数据治理的直接治理对象。广义的数据治理还包括“依靠数据的治理”，利用数据创新社会治理思路，将数据治理与社会治理总体变革相联系。

　　 随着数据资源在社会生活中重要性的增加，以及其对传统社会治理模式变革的极大推动作用，“依靠数据的治理”也日益成为数据治理的重要内容。但由于要实现“依靠数据的治理”首先需解决“针对数据的治理”，且当前全球数据治理的主要问题仍集中于“针对数据的治理”，因此目前全球数据治理的内涵仍应限缩在狭义范围内，即“针对全球数据的治理”。

　　 其二，全球数据治理是在大数据时代的背景下展开的，但“大数据”的概念与“数据”并不相同，不容混淆。一般而言，“数据”是指伴随人类生产、生活等各种行为产生并以某种方式记录下来的原始记录。而“大数据”指的是大规模数据的集合形成的一种数据形态。根据著名咨询机构麦肯锡（McKinsey）的定义，“大数据”为容量超出传统数据库软件获取、存储、管理和分析能力的数据集合。此外，“大数据时代”则指的是一个时间阶段，其时代特征表现为大数据的产生和应用十分广泛。因此，三者属不同概念，“数据”才是当前全球数据治理的直接治理对象。

　　 其三，全球数据治理是对数据进行全局性、综合性的治理，所要达成的是一种整体善治的目标。早期数据治理被视为一种管理行为，强调对数据资产的决策制定和职责划分。但这种定义并未能体现“治理”的应有之义，因而其概念逐渐被界定为一个规划了特定组织中数据的角色、功能和程序以实现数据的妥善管理并作为一种战略资产使用的框架，认为其为组织内人员、流程、技术等的协作提供了一种模式。因此，全球数据治理也应当并不局限于对数据的“管理”，而应以全局性的观念看待全球数据的价值，并尝试探索出一套相对全面和完善的全球数据治理规则。推行全球数据治理，一方面是回应全球数据发展之关切，另一方面更是因为推行全球数据治理本身具有重要的意义和极大的优越性。主要体现在以下四个方面：

　　 第一，有助于促进数据跨境流动的规范化和有序化，进一步推进全球数据保护，防范全球性数据安全风险。全球经贸交易、技术交流、资源分享、共同打击数据犯罪都会带来跨境数据流动。然而，数据的跨境传输、存储和应用环节存在着各种安全风险，不仅可能被截获、篡改、伪造、泄露，而且不同国家或区域组织制定的不同的数据政策和法律的差异还可能导致数据所有者和使用者权限模糊，从而产生数据被滥用和数据合规等问题。全球数据治理的推进将进一步深化各国在全球数据安全保护方面的共识，增强全球性数据安全风险的应对能力，加快形成全球范围内的跨境数据流动规则，促进全球数据资源的合作利用和开放共享。

　　 第二，有助于促进全球数字经济的发展，为全球数据交往提供指引。《全球数字经济新图景（2019年）》（国际数字经济白皮书）显示，2018年全球47个国家数字经济总规模超过30.2万亿美元，占GDP总量的比重高达40.3%，其中有38个国家数字经济增速显著高于同期GDP增速。在全球数字经济发展已呈蓬勃之势的背景下，全球数据治理可以通过构建相应的全球数据贸易规则为人们提供较为明确的预期，有助于打通各国间的数据贸易壁垒，从而有利于进一步扫除数字经济发展的障碍，促进信息化产品和服务跨境运营和商业拓展，推动信息网络技术、产品和服务的创新发展。

　　 第三，有助于促进全球治理体系的完善，推动全球善治的形成。数据作为第四次工业革命中最为活跃的技术创新要素，正在全面重构全球生产、流通、分配、消费等领域，对全球竞争、经济发展、产业转型、社会生活等方面产生全面深刻影响。数据治理已成为全球治理的重点领域。全球治理能力的提高有赖于全球各个领域尤其是重点领域的高效治理，全球治理体系的完善有赖于全球各个领域尤其是重点领域治理机制的统筹协调。因此，在全球层面对数据这一重点领域进行治理，将切实推动全球治理体系的完善。

　　 第四，有助于促进协同治理，帮助发展中国家推进和完善国内数据治理。全球治理与国家治理互动融合的“整体性治理”正随着人类知识的发展和治理实践能力的提高而成为一种趋势。推动全球治理与国家治理的双向有效正逐渐成为共识，而全球数据治理能促进这种互动作用。一方面，发展中国家的国内数据治理在全球数据治理背景下展开，全球数据治理的部分规则会内化为国家数据治理。全球数据治理推进过程中所形成的相对成熟的理机制、治理思路等可为发展中国家提供借鉴，用以完善国内数据治理。另一方面，当前部分发达国家和地区已经在国家数据治理上先试先行，并积累了一定的实践经验。而其中相对成熟的经验，可以在全球数据治理中予以推广、借鉴和移植。数据的国别式治理经验的形成和推广，将有效推进全球数据治理的进程，实现“国家治理的世界秩序意义”。

　　 二、全球数据治理面临的挑战

　　 认清当前全球数据治理的现状及所面临的挑战，是推行全球数据治理的第一步。综观当前的全球数据治理，作为治理对象的“数据”体量已十分庞大，与之相伴的消费者隐私和数据安全方面的风险正在进一步加大，同全球范围内的数据泄露愈发普遍，所造成的损失也日益加剧。同时，现有的全球数据治理机制仍不完善，存在碎片化、滞后化等诸多现实困境，既缺乏专门的全球性数据治理机构，也未能在现有零碎治理机制之间达成协调，并引发了诸多具体的挑战。

　　 具体而言，由于政府、私营部门和市民社会是网络空间全球治理的重要主体，相互间存在着不同的利益主张，导致了在治理机制构建进程中的多层次冲突。因此，在全球数据治理中，围绕个人、企业和主权国家这三大至关重要的主体，产生了诸多问题，从而使当前全球数据治理面临两方面挑战：一方面是个人与个人、企业与企业、主权国家与主权国家等同一主体之间的数据权益或主张冲突；另一方面则是个人、企业与主权国家等不同主体之间围绕数据权益产生的冲突。

　　 个人与个人、企业与企业的数据权益冲突是现实生活中较为常见的数据治理议题，但其并非全球数据治理的重点问题。因此，本文在探讨同一主体间数据权益或主张冲突问题上，仅着重探讨不同主权国家间的数据治理主张冲突以及由此带来的挑战。

　　 （一）主权国家间数据治理的不同主张及冲突

　　 随着数据的跨区域流动日益频繁，主权国家谋求数据资源管理和控制的主张愈发强烈，“数据主权”（Data Sovereignty）这一概念因而逐渐兴起，也日益成为各主权国家提出数据治理主张的理论基础。本文对数据主权概念采用狭义理解，即数据主权仅指国家数据主权，为以国家为中心的公权力对本国数据进行控制、管理和利用的权力。在国家数据主权的理论支撑下，各主权国家纷纷依据各自不同的国情和利益诉求提出了自身的数据治理主张。因而，在全球层面就产生了数据治理主张的碰撞与冲突，进而为全球数据治理的推进带来了一系列挑战。

　　 第一，各国对个人数据的权属认识不统一，导致全球数据治理中对个人数据采用何种保护路径争论不休。用词上，欧洲国家倾向于采用“数据保护”（Data Protection）一词，而欧洲以外国家往往采用“隐私保护”（Protection of Privacy）、“数据隐私”（Data Privacy）或“信息隐私”（Information Privacy）等词，但都是用来指代与个人数据相关的数据处理上的规制。措词上的差异反映出不同国家在数据保护路径上的差异。即欧盟国家将个人数据视作公民的基本权利，具有宪法意义，因此在立法上确立了较为严格的个人信息保护模式，并在一体化进程中不断推进个人数据保护立法。而美国等其他国家则倾向于将个人数据信息纳入隐私权保护框架内，试图通过隐私权的宽松解释解决个人数据保护问题，并在司法实践中逐步确立相应规则。在中国，个人信息权早期被纳入一般人格权保护，并获司法实践支持。同随后个人信息权又被界定为一种具体人格权，意图通过构建人格权属保护体系以增强个人数据保护。同随着《中华人民共和国民法典》（以下简称“《民法典》”）的颁布，人格权编独立成编，个人信息保护正式被立法纳入人权保护的范畴，标志着中国对个人数据的保护仍主要采人格权保护路径。由此可见，不同主权国家对个人数据所采取的不同观点，导致了其保护个人数据路径的差异。

第二，各国所秉持的数据跨境流动规制理念与主张不同，导致全球范围内的数据跨境流动受限，数字经济活力难以充分发挥。2016年欧盟通过了《一般数据保护条例》（General Data Protection Regulation，以下简称“GDPR”，并于2018年5月正式实施，其中将个人数据权利视作基本人权。GDPR对数据的跨境流动做出了严格的限制，如第五章“向第三国或国际组织传输个人数据"的第四十五条所规定的"充分保护原则”，要求数据接收国/地区确保达到充分水平的保护标准，才允许数据进行跨境流动。这种“人权与隐私优先、自由流动保障居其次”的一般数据跨境流动规制思路，也成为了欧盟规制各类具体数据跨境流动的基础。更是欧盟在全球数据治理中所秉持的数据跨境治理主张。而与之不同的是，美国政府不希望采取诸如GDPR如此严格的措施，减损或扰乱美国与其他国家之间正常的贸易合作甚至制造贸易壁垒。立足于自身的信息优势地位并受自由经济观念的影响，

*免责声明：本站文章图文版权归原作者及原出处所有 ，文章内容为作者个人观点，并不代表本网站。如果您发现网站上有侵犯您的知识产权的作品，请与我们取得联系，我们会及时修改或删除。