论数据安全单边治理及我国应对

[中图分类号］D996 [文献标识码]A

[文章编号]1673-0186（2025）004-0161-019

[DOI编码]10.19631/j.cnki.css.2025.004.010

数据作为新型生产要素，与土地、劳动、资本和技术共同推动国家经济的发展，是数字时代保持经济竞争的基础性资源[1]。然而，数据作为信息的载体，大规模的数据跨境收集、处理、存储及流动隐藏着泄露国家情报、商业秘密及公民个人隐私的风险，具有威胁国家安全和公共安全的可能性。美国基于经济发展和数据安全的双重考量，以国家安全之名先后通过了《出口管制改革法》（ECRA）及其实施细则《出口管制条例》（EAR）、《外国投资风险评估现代化法案》（FIRRMA）、《关于防范外国对手侵犯美国敏感数据的行政命令》（PASDFA，以下简称《第14034号行政命令》）、《关于防范受关注国家获取美国敏感数据和美国政府相关数据的行政命令》（PAAPGD，以下简称《第14117号行政命令》）及其实施细则《美国司法部将发布拟议规制预先通知的情况说明》（ANPRM）和美国参议院2024年审议的《保护美国数据免受外国对手作者简介：杨银，澳门科技大学法学院博士研究生，研究方向：国际法、数字法学。

侵害法案》（PADFA）等法律法规，持续升级数据安全单边治理措施，不断限制受关注国家（主要包括中国、俄罗斯、朝鲜、伊朗、古巴和委内瑞拉）获取美国敏感数据（主要包括个人敏感数据和政府相关数据），形成了美国数据安全单边治理的新模式。然而，美国数据安全单边治理不仅引起了国际规则的冲突，还对各国数字技术、数字产业和数字经济的发展造成了冲击，中国如何应对数据安全单边治理措施亦成为一个热点问题。通过厘清数据安全单边治理的基本逻辑，检视数据单边治理的法律表达，评析数据单边治理的国际法冲突，讨论数据单边治理对中国的影响及应对之道，构建合作共赢的数据安全治理新格局，以高水平的数据安全治理体系为实现中国式现代化持续注入强劲动能。

一、数据安全单边治理的基本逻辑

随着数字化转型的深入推进，维护数字安全已成为大国战略竞争的新疆域，数据安全治理正从技术议题上升为关乎国家安全发展的核心战略命题。近年来，美国以“国家安全”为旗号，通过《出口管制改革法》《外商投资风险评估现代化法案》《保护美国数据免受外国对手侵害法案》《第14034号行政命令》和《第14117号行政命令》等法律法规构建数据安全单边治理框架，将数据支配权与科技霸权和经济优势深度绑定，形成了“国家主权一国家安全一经济霸权”三位一体的数据安全单边治理逻辑。

（一）数据安全是国家主权的新基石

伴随着数字科技的发展，以边疆地域为核心的领土主权竞争延伸到以网络空间为重点的数据主权竞争。数据主权是国家主权在数字领域的延伸和发展，主要强调国家对数据及其相关设备、服务和技术的管辖和控制[2]。但是数据主权不同于传统的国家主权，以边疆地域为界的传统国家主权具有物理性、封闭性和排他性的特征，以网络空间、移动硬盘和便携式电脑等基础网络设施为载体的数据主权突破了边疆地域的限制具有虚拟性、开放性和无界性的特征。鉴于网络空间的无界性，美国《国家安全战略》将网络空间阐释为一个独立于现实空间的公共领域，试图打破以边疆地域为界的传统国家主权理论，把数据主权视为“网络空间行动自由权”，强调数据主权以控制者为边界[3]，为维护数据安全提供理论基础。例如，美国《澄清境外合法使用数据法案》（CLOUDAct）以数据主权的控制者理论和最低联系原则为基础确定了数据管辖权，即无论是否涉及数据安全，美国政府对美国主体控制的境内或境外与美国生产经营具有联系的数据享有管辖权，相关主体均有义务向美国政府提供美国主体控制的数据[4]。然而，美国数据管辖权的域外扩张忽略了“对内最高，对外平等"的国际主权原则，存在损害他国数据主权的风险，是美国霸权主义在数字领域的延展。而且，为了维护数据安全，数据主权的竞争不仅表现在数据管辖权的域外扩张，也体现在国内数据支配权的强化。国内的数据安全强调数据主权对领土范围内数据的存储、收集、处理和流动享有支配权，直接体现在限制或禁止他国获取本国数据。例如，《保护美国数据免受外国对手侵害法案》《第14034号行政命令》《第14117 号行政命令》限制受关注国家获取美国敏感数据，充分展现数据支配权维护数据安全的重要作用。为此，国家对数据拥有域外管辖权和国内支配权是维系数据安全的有效措施，保障数据安全亦是维护国家主权的重要基石。

（二）数据安全是国家安全的新象征

国家安全从单一的国防安全演变为国防安全和经济安全，再嬉递为国防、国土、经济和科技等多元安全构成的全新国家安全观，导致现有的国家安全范围已经泛化到政治、经济、文化和科技等领域[5]，产生国家安全泛化的现象。而且，各国在经历摩根银行数据泄露事件和棱镜门事件后，对数据安全问题的思考范畴已经超越个人隐私保护和网络安全保护。各国担忧他国利用人工智能、大数据算法等先进技术对收集的敏感数据进行分析，实现匿名数据的再识别，用于提升从事间谍活动、网络恶意活动等非法活动的能力，并且利用收集的个人敏感数据恐吓政治反对派和压制公民言论自由、集会自由和结社自由实现非法目的，或者利用个人敏感数据影响政府决策者的决策偏好从而损害国家安全利益，遂将数据安全上升为国家安全的关键议程[6]。而且美国表示，受关注国家利用先进技术操控获取的敏感数据与民主国家的数据行为方式形成鲜明的对比，不符合民主、隐私保护、人权和自由的价值观，会直接威胁美国国家安全[7];同时，数据安全演化成为国家安全的重要组成部分之后，如果数据安全遭到破坏时国家安全也将遭遇严重威胁，导致数据从商业竞争演变为国家安全防范。于是美国通过数据安全单边治理措施限制受关注国家通过数据经纪商合同、第三方供应商合同、劳动合同和投资合同等合法途径获取美国敏感数据，并将受关注国家获取美国敏感数据的行为纳入侵犯国家安全的范畴，体现了数据安全优先于数据自由流动的政策导向，也表明保障数据安全是维护国家安全的新象征。

（三）数据安全是经济发展的新保障

数据作为新型生产要素在人工智能、量子计算和芯片等领域产生的经济效益已经超过传统的跨境贸易与投资，维护数据安全是促进经济安全发展的关键环节，也是数字经济发展的制度保障[8]。一方面，维护数据安全能为数据的商业应用打造良好的信用基础，提升数据使用的可信性和可用性。为此，美国通过数据安全单边治理实施“清洁网络计划”避免敏感数据被受关注国家非法获取和非法利用，将受关注国家排斥在美国数据供应链之外，让受关注国家成为“数字孤岛”，保障数据使用环境的安全;同时，与英国、新西兰、日本和韩国等具有相同数据安全治理观念的盟友国家签订数据伙伴协定，构建“可信数字生态圈”，通过伙伴协议倡导数据跨境自由流动打破数据边界，完成盟友国家之间数据自由流动的闭环，并且承诺盟友国家之间的数据可以自由访问，保障盟友国家之间数据的可操作性和协调性，提升数据的使用效率和经济价值[9]。另一方面，数据安全是争抢数据资源的法律工具和政策手段，用以维持本国数据竞争的优势地位。数据作为新型生产要素成为“新型战略资源”后，大国博弈之间的数据资源争抢将不可避免[10]。美国通过数据安全单边治理切断受关注国家的数据供应链，保持本国对敏感数据的垄断地位，并利用敏感数据提升本国的数字技术和保障数字产业的活力。例如，《出口管制改革法》通过限制出口或加征关税的方式对受关注国家的数据技术、数据服务和数据产品实施出口管制，切断受关注国家获取敏感数据的数字供应链;《外商投资风险评估现代化法案》将对敏感数据、关键技术和关键基础设施的投资实施外商投资安全审查，防止受关注国家通过投资获得美国敏感数据。显然，美国以数据安全治理之名实施“数据双轨制"的本质是利用其工业革命时期掌握的资本优势和技术优势垄断数据技术和数据标准，再利用数字技术和数字标准的垄断地位虹吸全球数据自由流人美国，形成以美国为核心的全球数据中心。让数据权利的掌控模式呈现“马太效应"的趋势[]，最终运用数据资源优势和数字技术优势享有的话语权间接束缚受关注国家数字技术、数字产业和数字经济的发展，是维护本国数字经济发展的新保障。

二、数据安全单边治理的法律表达

美国基于国家主权、国家安全和经济发展的考量，将数据安全问题嵌人《出口管制改革法》《外商投资风险评估现代化法案》《保护美国数据免受外国对手侵害法案》《第14034号行政命令》和《第14117号行政命令》等法律法规之中，通过扩大规制主体的范围、阻遏数据的获取源头、阻断数据的传输方式和阻截数据的居间交易等数据安全单边治理措施限制受关注国家获取美国敏感数据，形成了美国数据安全单边治理的法律表达体系，反映了国际数据安全新格局的深层变革。

（一）泛化核心概念，扩大数据防范的主体范围

美国利用法案和行政命令联动的方式，系统地将中国、俄罗斯、伊朗和朝鲜等少数国家分类为“外国敌手"“外国对手”“敌对国家"或“受关注国家”。其中，在数字领域为了缓解紧张的国际关系避免冲突升级，美国数据安全单边治理措施仅将中国等少数国家称为受关注国家，而未采用外国敌手、外国对手或敌对国家的称谓。例如，《外商投资风险评估现代化法案》将中国、俄罗斯、伊朗和朝鲜列为“特别受关注国家”，“特别受关注国家"的个人或实体（法人或非法人组织）在美国投资时将受到美国外商投资委员会（CFIUS）严格的安全审查，尤其涉及个人敏感数据、关键技术和关键基础设施等领域的投资交易。《第14034号行政命令》和《第14117号行政命令》发布后，《美国司法部将发布拟议规制预先通知的情况说明》将中国、俄罗斯、朝鲜、伊朗、古巴和委内瑞拉确定为“受关注国家”，禁止或限制美国与受关注国家之间开展美国敏感数据的交易。同时，美国参议院在2024年审议的《保护美国数据免受外国对手侵害法案》援引《美国法典》第10章第4872节（d）（2）款关于禁止美国国防部从“非盟友国家"中国、俄罗斯、朝鲜或伊朗购买或销售关键金属敏感材料的规定，将中国、俄罗斯、朝鲜和伊朗定义为外国对手，禁止数据经纪商向外国对手传递敏感数据①。目前，美国实施的系列数据安全单边治理措施一般将中国、俄罗斯、朝鲜和伊朗重复性地列为“受关注国家”，再偶尔将古巴或委内瑞拉也列为“受关注国家”，具有极强的针对性和单一性。

虽然美国数据安全单边治理措施规制的“受关注国家"数量较少，但是将“受关注国家”的个人和实体作为规制对象的范围却越来越宽泛，不仅认为受关注国家的行政机构获取敏感数据会威胁国家安全，还认为受关注国家拥有、控制、指示或受管辖的个人或实体获取敏感数据也会损害美国国家安全[12]。同时，美国数据安全单边治理措施将规制主体从受关注国家扩充至受关注国家拥有、控制、指示或受管辖的个人或实体的核心逻辑是，美国政府忧虑受关注国家拥有、控制、指示或受管辖的个人或实体会受到本国的国家情报法、国家安全法、数据安全法和个人信息保护法等法律法规的约束。受关注国家的个人或实体必须依据本国法律法规向本国政府提供情报协助或提交收集的美国敏感数据，尤其是涉及美国政府官员和军事人员的敏感数据。而且，美国政府认为，受关注国家的政府会利用先进的算法模型对收集的敏感数据进行处理分析，以获取美国政府官员和军事人员的地理位置、家庭情况、个人健康信息或个人财务信息等个人隐私信息，通过利用个人隐私信息对美国政府官员或军事人员及其亲属的生命安全、财产安全、荣誉或名誉实施威胁的方式胁迫政府官员或军事人员从事危害美国国家安全的行为[6]。因此，美国数据安全单边治理措施限制获取敏感数据的规制对象从受关注国家的行政机构扩充至受关注国家拥有、控制、指示或受管辖的个人和实体。

同时，由于个人和实体获取信息的能力在人员数量、资金援助和技术支持等方面存在巨大的差距，美国数据安全单边治理措施对个人和实体的界定范围也存在明显差异。其中，受关注国家控制或指挥的个人的范围比较明确，主要包括：受关注国家或相关实体的雇员或承包商的任何非美国人、主要居住在受关注国家领土管辖权范围内的任何非美国人和美国司法部部长指定为受关注国家所有或受管辖或控制的任何人。但是，美国数据安全单边治理措施中“受关注国家拥有、控制、指示或管辖的实体"的构成要件就存在明确的不确定性。其中，“实体"的界定呈现宽泛化特征，主要涵盖包括集团、公司、子公司、合伙企业、合资企业、协会或其他实体。“其他实体”作为兜底性描述可以涵盖美国意图限制的任何企业，具有概念泛化的倾向，而且“拥有、控制、受指示或受管辖"的概念也缺乏统一的规范解释，具有扩大数据安全治理范围的趋势。需要特别指明，“拥有、控制、受指示或受管辖"存在概念界定分歧并非是数据安全单边治理领域的新型立法现象，从《有关商业及对外贸易的规定》《基础设施投资和就业法》到《削减通胀法》等法律法规对“受关注国家拥有、控制、受指示或受管辖的实体”都没有统一的界定标准。例如，《削减通胀法》采取严格主义，要求受关注国家直接或间接持有目标实体 5 0 % 以上的投票权、董事会席位或股权才能被认定为“受关注国家拥有、控制、受指示或受管辖的实体”。