← 返回 · ← 首页 · ← 返回列表

[EAI评论] <全球数字治理的应对策略> 中美数据规范竞争与韩国:欧盟的“数据主权论”所蕴含的启示

分类
评论与议题简报
发布日期
2020年6月5日
相关项目
数字经济时代与韩国的经济外交
金相培_中美数据规范竞争与韩国-欧盟的数据主权论所蕴含的启示.pdf
金相培_中美数据规范竞争与韩国-欧盟的数据主权论所蕴含的启示.pdf

编者按

本篇评论是“数字全球治理与外交战略”特别评论系列的第二份报告,由首尔大学金相培教授撰写,旨在探讨中美数据规范竞争背景下的“数据主权论”。作者在本篇评论中指出,美国追求保障数据跨境流通的国际规范,而中国则为保护本国数据市场而追求数据“国家主权论”,两者在此竞争。在此背景下,有必要深入思考“数据主权”这一概念本身。本篇评论以“作为观念的主权”的视角,关注欧洲联盟处理数据问题的方式,并质疑在21世纪网络空间的数据流通问题上,19世纪的地缘政治主权概念是否依然适用。作者通过分析欧盟的案例,预测未来各国的数据应对策略将围绕中美两国不同的数据话语体系展开竞争,并在此过程中,各国将结合自身实际情况,重新调整数据利用环境,并探索相关法律制度的制定。在此展望下,作者建议韩国应基于“复合主权”(complex sovereignty)的概念来构建其数据主权论。该概念应以个体或集体国民的权利为基础,而非国家,同时要促进企业利用数据,并体现国家在保障数据公共性方面的作用。


中美竞争的“数据回合”与韩国

中美贸易战的硝烟弥漫。从高科技产业的态势来看,这已不仅仅是贸易和经济问题,而是上升到国家安全层面的激烈争夺。在这场争夺的背后,是技术竞争力和技术安全这两个关键因素。特别是美国,以技术安全为由,打出了限制高科技产业进出口的牌。在这场事态发展中,中国通信设备企业华为成为了焦点。在过去一年多的时间里,美国以华为通信设备产品的网络安全问题为借口,在经济和外交等多个方面向中国施压。所谓“华为事件”引发了关于中美技术霸权竞争的讨论。然而,剥开中美竞争的这层外壳,其内部隐藏着数据安全问题。

美国担忧的是,通过华为产品的后门泄露的数据可能引发的国家安全问题。2019年6月,大阪G20峰会显示出中美技术霸权竞争的重心正从“华为回合”转向“数据回合”。日本在G20峰会上提出的“大阪轨道”(Osaka Track)反映了包括美国在内的西方阵营针对中国数字保护主义和数据本地化政策的意图。中国也反击美国的攻势,以“数据主权”为由,对进入中国市场的美国企业实施监管。在华为问题上,美国以安全为借口挥舞贸易保护主义的大棒,但在数据流通方面,却倡导保障跨境自由流通的贸易环境。

事态的演变预计将对韩国产生影响。最近的华为事件已不再是单纯的技术选择问题,而是上升为同盟外交问题。2019年6月,美国驻韩大使公开要求韩国加入对华为的制裁。同样,数据跨境流动问题也可能在未来加剧韩美关系的紧张。2016年,韩国政府以国家安全为由,拒绝了谷歌提出的出口1:5000比例尺的国内地图数据的请求。2018年10月,在国会有人提议立法要求谷歌、亚马逊等美国互联网企业在韩国设立数据中心服务器时,美国驻韩大使曾要求“避免采取阻碍云计算优势的数据本地化措施”。

韩国是数据生产大国,位居世界第五,但国内云市场约70%被亚马逊网络服务(AWS)、微软、谷歌等美国企业占据。谷歌看好韩国数据市场的潜力,已宣布将于明年初在韩国设立数据中心,微软已在建设第三个数据中心。甲骨文(Oracle)在5月开设数据中心后,计划一年内再建一个。AWS和IBM早在2016年就已在韩国设立数据中心开展云计算业务。在韩国本土企业云计算业务停滞不前的情况下,过度依赖美国云企业可能导致大量韩国国内产生的数据流失海外,令人担忧。

重新思考“数据主权论”

为应对这些变化,近期韩国国内以数据主权论为基础的论调逐渐获得支持。例如,最近中小企业风险部以维护数据主权为名,积极支持由韩国企业主导的数据基础设施建设。同时,对近期显示出建设第二数据中心动向的韩国互联网企业Naver的关注度也在增加。此外,还有提议由政府出面为无法自行建设数据基础设施的中小企业营造亲韩环境。其构想是建立一个面向中小企业的国民平台式数据中心。支撑这些举措的论调便是数据主权论。

我们一方面欢迎认识到数据重要性并采取这些举措,但同时也希望这些举措不要过于偏向过时的“数据主权论”。即使打着数据主权的旗号,像中国那样由国家主导控制数据流动的做法也是不合时宜的。我们还需要考虑,韩国的数据主权论将如何定位与以美国为代表的西方阵营“大阪轨道”所倡导的自由数据流通论之间的关系。在中美竞争战线已扩展至数据领域的情况下,有必要密切关注其火花何时以及如何波及韩美或韩中关系。正如近期中美竞争正朝着复杂化的方向演变一样,夹在中间的我们的困境也日益加深。

特别是,有必要深入思考“数据主权”这一概念本身。随着数据作为战略资源的战略重要性日益增加,关于数据主权的讨论也随之出现,但对于“主权”究竟意味着什么,却缺乏深入的思考。通常,“主权”一词会让人联想到近代意义上的“国家主权”(state sovereignty)概念。然而,在跨国数据流通的时代,将以领土国家概念为前提形成的近代主权概念应用于当前是否合适?在讨论21世纪网络空间的数据流通时,回到19世纪地缘政治空间观念下孕育出的主权概念是否正确?

基于上述问题意识,本文旨在聚焦于中美霸权竞争的新动向,探讨数据规范竞争。特别是,本文将阐明中美两国数据战略所依据的数据主权论的概念特征,分析这些论调如何体现在两国的数据相关法律制度中,以及它们将如何反映在未来的国际规范形成过程中。当然,本文的最终目的是要探讨韩国在应对这种“结构性变革”时应追求的数据战略方向。为此,我们将关注欧盟近期在数据领域提出的“数据主权论”所蕴含的启示。

美国:数据跨境流通论

美国的立场可以概括为,除涉及隐私的敏感领域外,应允许数据跨境自由流动。即,在保障跨境数据自由转移的同时,若发生个人信息泄露、滥用等问题,则由相关企业承担责任。美国主要侧重于保护医疗、金融、信息通信等特定领域的数据,并主要通过州或企业的法律框架来应对,而非国家层面的政策。这种立场最终导向了这样一个逻辑:无法完全控制数据跨境流动,且这样做也不可取,即便以国家主权的名义。

这种数据跨境流通论基于国家主权正在弱化的认识,这里所设想的主权概念是指政府层面的“政策主权”,即超越领土国家界限控制活动的国家能力。这种政策主权因全球化的推进而日益减弱,数据领域也是如此。美国的这种数据论调,代表了美国跨国企业希望通过跨境流通最大化数据在全球价值的逻辑和利益。因此,随着数字经济的发展,主张数据自由流通并寻求保障其的国际规范的美国举措,预计将进一步加强。

事实上,自2018年中后期以来,美国和日本一直在就个人信息保护和大数据国际流通规则的制定进行讨论。在此背景下,“大阪轨道”是一个值得关注的事件。大阪轨道不仅将讨论国际数据流通规则的标准化,还将讨论个人信息和知识产权保护、网络安全强化,以及制定美国互联网企业的税收标准。特别是,在就所谓的“谷歌税”——数字税的标准达成一致,并计划于2020年制定出来后,视频、游戏等各种流媒体/云服务税预计将增加。G20提出的这些问题,预计将在双边、多边和地区层面的谈判过程中以相似的模式重演和扩大。

美国的这种论调,近期已与反恐战略的执行相结合,并以安全为逻辑,跨越国界扩展。例如,2018年3月,美国发布了《云法》(Cloud Act),即《非法定数据利用法》,该法授权美国调查机构可以查阅谷歌、微软、亚马逊、苹果等美国互联网企业存储在海外服务器上的邮件、文件及其他通信资料。该法一旦实施,即使没有美国法院的搜查令,也可以进行监听,并且无论数据存储在哪里,都可以收集所需的个人信息相关数据。这种举措意味着以数据安全观念为基础的某种“帝国主权”的投射,预计将与相关国家发生摩擦。

中国:数据国家主权论

中国原则上限制数据跨境流动的立场。斯诺登事件后,对美国数据监控的担忧也加剧了中国的这一立场。在中国运营的所有企业必须在中国境内存储在中国收集的数据,并且在将数据转移到境外之前,必须获得中国当局的许可,并经过中国规定的安全评估程序。此外,中国政府要求提供数据解密信息,拒绝则将对企业处以停业和罚款。2017年6月实施的中国《网络安全法》包含了这些内容。

中国限制数据跨境流动所援引的主权概念是国家层面的权威,即“法政国家主权(國權)”。这与领土国家的控制权问题有关。如果问谁有权监管跨国数据流通,那么,以公共性和国家安全为名义,现有的国家行为者就应该出面。中国所主张的数据主权或网络主权的概念,就是援引这种主权概念的典型案例。审查和控制危害公共利益的数据,并监管中国收集的数据不外流,是主权国家的当然权利。这种作为国家主权的主权,与近代领土国家主权概念所设定的“不干涉内政原则”相吻合。

《网络安全法》包含了对关键基础设施的安全审查和安全评估、引入在线实名制、强制在中国境内存储关键基础设施相关个人信息、明确政府部门的审查和干预、规定运营商的非法信息拦截和传递义务、以及对网络产品或服务进行监管等内容。特别是数据本地化和网络安全审查相关的条款是争议点。如果被指定为更高级别的“关键信息基础设施运营者”,则必须在中国设立数据服务器,并且只能使用中国政府指定网络设备和服务。中国政府还可以持续检查和监控安全水平。

《网络安全法》表面上以保护个人信息和国家及国民安全为目标,但实际上被认为旨在保护本国产业和加强对网络内容的控制与审查。事实上,《网络安全法》对美国跨国企业施加了压力。亚马逊网络服务(AWS)于2017年11月出售了其中国业务部门的资产。2018年初,微软和亚马逊也将其各自的数据转移到了北京和宁夏的数据中心。此外,《网络安全法》实施后不久,苹果将其在中国的所有用户个人信息和管理权都移交给了中国贵州省政府,并于2018年2月宣布计划在中国内蒙古自治区建设第二个数据中心。

欧盟:数据公民主权论

在寻求保障数据跨境流通的国际规范的动向,以及为保护本国数据市场而采取数据主权措施的动向相互竞争的背景下,欧盟近期的举措备受关注。历史上,欧盟在签署《安全港协议》、使其失效并引入《隐私盾》等一系列举措后,于2018年5月实施了《通用数据保护条例》(GDPR)。在此过程中,除了数据跨境转移和本地化问题外,数据有效利用和个人信息保护问题、以非所有权概念承认个人数据权利的问题、以及所谓的“谷歌税”的征收问题等都成为讨论的焦点。

欧盟举措中体现的主权概念,是以国民(nation)为载体,承载主权行使的集体认同,即“观念上的主权”。这种主权概念与国民的权利,即民权(民權)的概念相通,更具体地说,是在个体“公民”权利的基础上,作为集体“国民”的权利,是一种“公民主权”。将这种主权概念应用于数据领域,就表现为保护包含国民敏感信息的个人数据,或作为个体用户国民的个人信息的权利概念。这是从构成国家的个人权利的集体理解角度提出的主权概念。

欧盟公民主权论的典型代表是GDPR。GDPR不仅适用于欧盟成员国,也适用于在欧盟境内设有营业场所或通过在线服务向欧盟提供商品或服务的全球性企业。违规企业将面临相当于其全球总营业额4%或最高2000万欧元的罚款。GDPR规定了删除权(被遗忘权)、数据可携权、拒绝自动决策权等,以及传统的访问权、更正权等。此外,通过法律规定对匿名化信息的使用,提高了用户对数据利用和相关服务的信任度。即使其数据转移到海外服务器受到侵犯,用户也可以随时提起诉讼。

关于跨境数据转移的规定,GDPR规定,只有在证明其拥有与欧盟同等水平的个人信息保护体系的“充分性评估”(adequacy or equivalence decision)通过后,才能实现数据的自由转移。然而,即使数据保护水平不符合标准,如果获得数据主体的同意,或为履行合同,或在法律合作需要的情况下,数据转移也是可能的。从欧盟的案例可以看出,其寻找保护数据的权利概念的依据不是在国家层面,而是个人层面,并提供了保障这些权利的国家(欧盟)层面的法律制度模型。

韩国:探索“复合主权”(complex sovereignty)?

如上文欧盟案例所示,未来各国的数据应对策略,将在美国和中国两大阵营各自不同的数据论调相互竞争的背景下,朝着结合自身实际情况调整数据利用环境和制定数据相关法律制度的方向发展。在此过程中,各国将努力形成反映各自利益的双边、多边和地区层面的数据国际规范。这正是前文提到的“数据回合”的到来。那么,面对这些变化,韩国应寻求何种“数据主权”的论调、战略和制度呢?有趣的是,目前韩国已显露出上述三种数据论调的端倪。

第一,2018年6月,政府公布了推进“我的数据”(MyData)试点项目的计划,这是一种以信息主体为中心的数据利用体系。“我的数据”是一种数据利用方式,允许信息主体直接从机构获取并利用和共享自己的数据。MyData的实施让人联想到美国的数据论调,其意义在于,它是在韩国《个人信息保护法》和《信息通信网络法》中未明确规定个人数据可携权的情况下提出的。该项目可以在不修改法律的情况下实施,并有望克服因非识别化措施导致数据价值下降的局限性。其目的是从国民能直接受益的医疗(健康管理)、金融(资产管理)、通信(套餐推荐)等领域开始推进服务器业务并吸引参与。

第二,2018年9月,国会提出了《信息通信网络利用促进及信息保护法修正案》,要求一定规模以上的IT企业在韩国设立服务器。该修正案规定了为保障稳定服务利用而采取的技术措施,并对违反者处以不超过其营业额3%的罚款。特别是,该修正案旨在通过强制全球互联网企业在韩国设立数据服务器来获得税收依据。其意图是纠正韩国互联网产业的“不公平竞争环境”。根据该修正案,一定规模以上的信息通信服务提供者必须在韩国设立服务器,以确保用户的稳定服务利用。其目的是加强数据主权。

最后,2019年7月,中小企业风险部公布了构建中小企业可自由利用的数据中心等国家基础设施平台的中期路线图。该计划旨在实现中小企业的云基础人工智能制造创新。基于对韩国在云计算产业投资方面过于懈怠的评价,政府计划为中小企业构建一个平台,以降低其在数据分析和存储方面的成本。这可以被视为一种基于国民主权概念的构想。这种构想提出了对过度依赖跨国企业存储国内数据可能引发的数据主权侵犯的担忧。如果所有国内数据都存储在亚马逊、谷歌等公司,数据将变得依赖于某个地方,因此,目标是围绕国内云计算企业建立竞争力。

目前韩国讨论的数据论调,既有满足作为数据主体的用户个人需求的,也有保护国家和企业(特别是中小企业)层面的数据市场并促进相关产业发展的概念。这些方面可能显得有些矛盾,有时也反映了主管数据管理的政府部门之间的 접근方式差异,或政府与国会之间的认识差异。然而,反过来说,考虑到数据领域的复杂性,无法仅依靠其中一种论调来解决问题,因此,未来能否找到它们的结合点,可能成为有利的条件。毕竟,在解决跨国数据问题时,主权概念已无法像过去那样仅依赖于单一的领土国家主权概念。

从这个角度来看,我们未来应追求的数据主权论,应基于以下三点:①以保护隐私的个人层面的权利保护概念为基础;②承认旨在最大化作为全球公共产品的数据价值的企业权利;③同时体现国家保障数据公共性的权利。换言之,在讨论“主权”时,不应将国家作为数据权利的主体,而应以个体或集体国民的权利为基础,同时促进利用这些数据的企业活动,并承认国家在服务于公共利益方面的作用。这就是所谓的“复合主权”(complex sovereignty)概念。■

■作者:金相培_首尔大学政治外交学系教授。毕业于首尔大学外交学系,并获得美国印第安纳大学政治学博士学位。主要研究领域为国际关系中的信息、通信、网络等。主要著作包括《虚拟之窗与网络之盾:网络安全的国际政治与韩国》(2018)、《阿拉克涅的国际政治学:网络世界政治理论的挑战》(2014)、《信息革命与权力转换:网络政治学的视角》(2010)、《信息时代的标准竞争:微软主义与日本计算机产业》(2007)等。

■ 负责及编辑:尹俊日 EAI研究员

咨询:02 2277 1683 (分机 203) I junilyoon@eai.or.kr


《EAI简报》旨在为国内外重要议题提供一个讨论平台,让各领域专家通过深入分析发表意见并提出政策建议。引用时请务必注明出处。EAI是与任何政党利益无关的独立研究机构。EAI发布的报告、期刊和书籍中所包含的观点和意见仅代表作者个人,与EAI无关。

*本文为使用 AI 从韩语原文翻译而来,部分译文或语感可能存在偏差。

← 返回 · ← 首页 · ← 返回列表