制度性风险主要发生在政治、经济、文化、法律等领域。通过武力战争造成的制度性风险往往来源于特定的地域范围，而且很容易被国民所抵触和反抗，而通过影响社会思潮所带来的制度性风险却不容易被感知，况且在全球的任何地方都可以通过网络实现操控。深度调查报告《数据颠倒世界》指出，英国脱欧、特朗普获选都与运用基于数据画像的心理测量密切相关，其折射了如何影响选区的主流思潮。例如，为了让选民拥护持枪政策倡导者，而针对不同类型的选民分别提供不同的政治讯息：将“抢劫者一只砸窗户的手”这一画面展现给神经质型和严谨型选民，突出入室抢劫的威胁，暗示政策应该保证公民持枪；将“类似大人带着孩子站在夕阳下举枪打野鸭”的场景个性化地推送给亲和型观众，凸显枪支在营造亲情氛围方面的重要性。通过心理测量后，进行个性化诱导，实现对个体行为的引导，进而影响社会的主流思潮。这种运用选民个人数据而进行的精准引导和“政治营销”必须基于样本齐全的数据，样本越全，引导效果越好，这意味着，倘若不能提供相应的安全保障，数据越开放，国家安全所面临的潜在风险越高。实际上，近年来在各国政府推动下，全球数据开放运动蓬勃兴起，美国以及一些超国家实体因大数据收集、处理和分析挖掘等方面的优势而成为其中最大的受益者。当然，发展大数据产业有赖于数据尤其是政府数据的开放共享，但数据安全问题同样不可忽略，尤其是中国作为一个大数据技术的后发国家，更有必要高度警惕数据开放背后所蕴含的国家主权安全风险。

　　三、构建国家数据主权安全的制度保障体系

　　1.功能定位：维护总体国家安全。

　　国家数据主权安全不同于传统的领土、领海、领空主权所指向的传统安全，数据主权指向的是非传统安全，其特殊之处在于没有物理空间边界，在数字社会中所涉及的诸多领域无一不需要数据支撑与表达，这些领域的安全业已被总体国家安全观所统摄。因而，有必要从主权高度构建一套能够保护总体国家安全的规则制度体系，即构建“总体国家安全观下的国家数据主权”，其主要功能是在新风险社会中维护总体国家安全。

　　2.治理原则：以相对主权为尺度。

　　绝对和专属主权的时代已经过去。与传统主权的保护思路不同，数据主权更适宜从绝对的竞争走向一定程度的合作，由于数据本身的无形性与流动的全球性，单个国家已经无法凭借一己之力来实现对数据的绝对控制，构建绝对的数据主权实乃“空中楼阁”，以“相对主权理论”作为制度构建的理论指导更符合数据领域的实际情况。为了防范权力的天然扩张性，应当将“相对主权”作为保障数据主权制度的基本原则。在相对主权理论下，法治思维在实现“相对”中的作用就显得愈发重要。在国内，法治要求主权的“绝对权威”不得凌驾于整体国民之上；在国际上，“法律治理”的共识和国际合作的实践已然让国家通过双边或多边条约让渡一部分主权。反过来，法治作为国家和全球的一个有效治理模式，能够将“主权”从政治范畴纳入到法治轨道。

　　3.权能体系：数据管理权与数据控制权。

　　数据主权是国家主权在网络空间的核心表现，数据权力可分为数据管理权和数据控制权。前者是对本国数据的传出、传入和数据的生成、处理、传播、利用、交易、储存等的管理权，以及就数据领域发生纠纷所享有的司法管辖权。后者是指主权国家对本国数据采取保护措施，使本国数据免遭被监视、篡改、伪造、损毁、窃取、泄露等危险的权力，其目标是保障数据的安全性、真实性、完整性和保密性。

　　在美国学者诺顿·朗曾看来，行政领域中最可悲的状况莫过于机构或项目小组有合法地位、主管同意、法院承认，但却没有权力，处于瘫痪状态。如果不赋予国家（政府）相应的权能，将无法解决在国内治理数据的合法性，对国际管理数据的可控性。数据权能设定应至少考虑两个维度：在本国之内，主要是通过制定相应的社会规则（行业规则）、法律规则来对本国疆域内的数据领域加以治理；在本国之外，主要是通过协定方式获取法外治权来管理涉及本国利益的数据。因而，至少应当在数据主权之下设置数据管理权和数据控制权，以保证数据安全。

　　4.规则内核：管制规则兼采禁易规则。

　　在数据保护的“规则菜单”中，支撑数据主权的有两类规则：一是“数据禁易规则”，即涉及国防军事、政党机要、人体基因等危害总体国家安全、人类生命安全的数据，任何人不得实施采集、存储、处理、使用和交易等数据行为；二是“数据管制规则”，即实施采集、存储、处理和使用等数据行为必须符合国家相关技术标准或其他法律规定。相应地，支撑数据控制权的是禁易规则，无论数据法益由谁拥有，涉及“数据禁易规则”所涵盖的数据类型均被禁止移转；支撑数据管理权的是管制规则，无论数据法益由谁拥有，其数据行为均须符合“数据管制规则”。

　　欧盟在“关于个人数据的处理与保护”中规定了就业领域处理数据的最低标准——“以基因检测和分析为目的的数据采集应被禁止，且应作为一项原则”，这是适用“禁易规则”的典型；俄罗斯《个人数据保护法》规定了俄罗斯公民个人信息须本地化存储，便是适用“管制规则”的典型。考虑到尽可能消除“数据孤岛”，在数据主权制度的规则内核中，应该以管制规则为主、禁易规则为辅。

　　结语

　　当前，发展数据经济与保障数据安全同等重要。以美国为首的数据强国，以美国公司谷歌、思科等为代表的科技新贵们已经占据了控制数据的制高点，因而美国并不倡导数据主权和数据权利，反而呼吁网络自由、数据开放和共享。在复杂的国际形势下，随着“数据驱动发展”理念的全球化，我国将大数据的研究和产业化提升到国家战略高度。然而，我国在不断推进大数据开放共享的同时，应该清醒地认识到：在缺乏数据科技实力、没有相应制度保障数据安全的情况下，盲目地开放和共享本国的数据资源，有可能将数据大国的优势异化为威胁总体国家安全的风险。在发展大数据产业和依法治国的进程中，更应理性正视大数据时代的数据主权安全风险，构建维护总体国家安全的数据主权安全的制度保障体系。

　　（本文系国家社科基金重点项目“云计算知识产权问题与对策研究”[11AZD113]、“云环境下数字学术资源信息安全的法律保障研究”[14AZD076]的阶段性成果）（作者：肖冬梅 文禹衡 湘潭大学法学院）

【纠错】

责任编辑： 李洁琼