IPP评论是国家高端智库华南理工大学公共政策研究院(IPP)官方微信平台。
导语:
近日,美国当选总统特朗普向美国最高法院提出请求,要求暂停执行TikTok的强制出售令。虽然此次强制出售令的暂停可能暂时缓解TikTok面临的法律压力,但其背后一系列围绕数据跨域流动和国家安全的争议并未得到解决,甚至呈现出进一步复杂化的趋势。
TikTok的危机并非孤例。许多跨国科技公司在数据处理和业务运营中不得不面临复杂的法律环境。特别是当东道国的政策和法律存在冲突时,企业往往处于两难境地。
2024年中旬,上海交通大学凯原法学院郑戈教授在”IPP明远讲坛“中指出,数据跨域流动与治理存在复杂性。科技企业的涉外实践,不仅反映了国家间在数字经济领域的角力,也牵涉到了数据主权等深层次法律和政策议题。目前,全球数字经济争端不断涌现,解决之道不应囿于国际法或国内法的范围,而应积极从涉外法治的视角寻找思路。
*以下内容根据嘉宾演讲整理而成,略有删减:
何为国际法和涉外法治?
涉外法治和数据安全都是近来备受关注的议题,实际上两者之间的关联也非常紧密,因为数字科技的一大特点就是跨国境的全球流动。但在此之前我们要区分两个概念:国际法和涉外法治。
什么是国际法?
国际法假设有一个世界性的秩序,追求所谓的普世性。但 时至今日,实力因素仍然是国际关系领域的基本法则。国际组织虽然是国际法的实施者和监督者,但现在的全球性国际组织都面临各自的正当性和时效性危机。真正在国际关系中发挥作用的是区域性的多边协议还有国与国之间的双边协议。
什么是涉外法治?
涉外法治强调国家的主体性,它从本国的国家利益和立场出发,可以视作是国内法的一部分,是一个国家对自己的对外关系的原则的法律表述,和国际法有根本上的区别。
从互联网公司的案例
看涉外法治与数据安全的复杂关系
Google为何退出中国市场?
我们可以通过两个故事来观察涉外法治和数据安全的关联,一个关于Google,另一个是关于TikTok。
Google曾经在中国设有业务,2000年9月,Google开始提供中文简体和繁体版的搜索引擎服务。2006年,Google进入中国市场,推出了cn域名的本地化搜索引擎(google.cn),遵守中国相关法规对搜索结果进行内容过滤。
2010年1月,谷歌发布声明,称其遭到网络攻击。谷歌认为这些攻击来自中国,并表示其企业价值观不允许其继续对搜索结果进行审查。这 意味着中国境内的公民可以搜索到任何全球的有害信息。
2010年3月30日,Google的所有语言搜索服务在中国内地被全面禁止。Google退出中国市场背后的法律原因就在于,我国的法律要求互联网领域企业自律,要求平台完善内部言论审核机制,而Google无法做到。
2010年3月,谷歌关闭了在中国的搜索引擎服务,并将其流量重定向至位于香港的google.com.hk。
Tiktok为何被群攻?
另外一个例子就是TikTok。 在分享TikTok例子之前,我想先谈谈国际上出现的新现象——“数据民族主义”。
世界各国的数据法里面都有数据本地化的规则,只有一个例外就是美国。因为别的国家的数据本地化立法都是在针对美国的,美国拥有全世界最强的数字科技,有实力来获取全世界的数据,所以说他没有必要制定数据本地化的立法。
数据本地化的立法被称为是“后斯诺登时代”全世界除了美国以外的其他国家和地区的普遍选择。我们会发现,在这个领域有大量的研究都是在讲APP的“国籍”问题,或者说是“数据的国界”问题。现在APP的使用十分广泛,对于普通用户来讲,我们都是通过APP所提供的用户界面来接入互联网,所以有大量的数据流通。
再来看Tiktok事件。如果我们抛开它背后的政治经济因素来单独的看TikTok涉及的法律问题,其实没有什么讨论的意义,因为美国的TikTok法案根本不符合我们所理解的任何法律的原理,甚至违反了美国宪法。
美国国会通过TikTok法案的一个很重要的原因就是:TikTok发展过快。2022年,两大APP分发平台——Apple Store和Google Play下载前十位的APP,第一名就是TikTok;到了2023年,下载前五位的APP里面有四个都是中国的,字节跳动旗下就有两个是前五位。这也是美国在论证有中国背景的数字服务平台全面侵入了美国和欧洲的市场的例子。TikTok在美国有1.3亿的用户,除了娱乐用途外,大量的美国人借助TikTok谋生存。虽然在表面上看,美国是以国家安全来制裁TikTok,但背后也不乏产业政策的考量。
TikTok法案通过之后,在2024年的5月7号,TikTok及其中国母公司字节跳动上诉,称《保护美国人免受外国对手控制的应用法案》中有多处违反美国宪法。
美国当选总统特朗普近日向美国最高法院提出请求,要求暂停执行TikTok强制出售令。图源:新华社
这里面存在四个争论点。
宪法层面。宪法一方是公共利益,另一方是公民个人权利。因而在TikTok案里面,美国的立法机关在论证自己为什么要制定TikTok法案的时候,会主张公共利益,也就是国家安全。
技术与业务层面。要令Tiktok和母公司剥离是不现实的。美国想直接购买相关算法,但是我国也有相应的法律禁止数字科技公司把核心算法卖给美国企业。
TikTok数据保护措施层面。TikTok曾投入了超过20亿美元的经费来增强美国境内业务所涉及到的数据安全问题,并在美国的德克萨斯州建造数据中心,将采集的美国用户数据全部存储在里面。如果理性考虑,TikTok显然对美国的国家安全已经没有构成威胁,甚至在美国本身没有数据本地化立法的情况下,主动采取了数据本地化的措施。
法案过度的宽泛,且具有歧视性。直至今日,并无实质性的证据说明TikTok把采集的美国的数据传输到了中国。在美国议员看来,TikTok的原罪就是:它一家中国背景的企业。
因此,我们研究涉外法治的时候,如果只看纸面规则,实际上分析不了任何问题。所以我也主张,中国涉外法制的研究内容,应当包括美国宪法和比较宪法。
目前中国的法学界关注欧洲立法,实际上单从数量上面来看,中国数据安全领域的立法是最多的。卡内基基金2023年发布的报告题目叫“ China's AI Regulations and How They Get Made”, 里面就提到“中国正在领导AI规制领域的道路或者方向”。
我们国家在人工智能的各个领域都有立法,单单是针对技术类型而制定的部门规章,就包括《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理办法》。 生成式人工智能刚刚成为热点的时候,网信办就积极制定了专门针对生成式人工智能的服务管理办法。
但在我看来,这个领域的立法太快太密了,可能会限制中国在这个领域的技术和商业模式的发展,有外国学者提及过“布鲁塞尔效应”、“北京效应”,认为可能对市场和相关行业的发展产生一些限制。
阿里云事件
下面我们再来探讨一个例子——阿里云事件。这一事件涉及到很多关于涉外法治和数字科技立法的复杂内容。
在我们国家的数字经济领域,我们的基础设施几乎完全依赖于私企,包括智慧政务、智慧法院以及智慧公安等,这些背后都是数字科技。
政府的这些数字化方案背后的技术支持全部都是由私企提供,例如阿里云,它是中国政府依赖的最大云服务提供商之一,实际上是政府采购这些企业提供的数字科技服务。疫情期间的健康码,就是基于阿里巴巴的支付宝平台生成的。
支付宝拥有全面的数据和稳健的数据安全技术,但这就带来了一个问题,因为认证服务是国家基础能力的基础,一旦这些基础由私企掌握,就可能导致治理混乱。
当谈论到我们这个时代的基础设施时,数字基础设施显然是最基础的。但是,它与传统的公路、铁路等物理基础设施完全不同。目前在中国,大部分数字基础设施实际上都是由私企控制的。了解了这些背景后,我们再回到阿里云事件,就会发现其实际意义非常重大。
2021年12月17日,工业和信息化部网络安全管理局发布声明称,阿里云服务是中国政府严重依赖的云基础服务,但是阿里云的架构中有一个基本的日志组件存在严重漏洞,这种漏洞使得黑客攻击变得非常简单。 在这一事件中,阿里云计算有限公司发现该组件存在远程代码执行的漏洞,并将这一情况告知了阿帕奇软件基金会。
阿帕奇是零部件供应商,发现零部件有缺陷,向供应商报告这一情况本身并无不妥。但除此之外,这件事还涉及到一个公法义务的问题。这在中国相关的部门规章中,这一点也规定得非常清楚:当网络服务提供者发现安全漏洞后,应该在发现后两天内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。但阿里云并没有履行这一义务,因此随后受到了相应处罚。
从这一事件中可以看出,数据安全是一个非常复杂的问题,数字科技领域的所有问题都具有其系统性和复杂性。
这一事件首先反映了供应链全球化问题——云服务的算法架构中包含无数个组件,不可能均由阿里自己设计的,需要使用大量的美国公司和像阿帕奇这样的开源基金会所提供的服务。
此外,这个领域涉及企业的法务问题。数字企业通常有自己的法务部门。但是,法务部门的传统业务是帮助企业规避法律风险,在交易环节,通过设计合同、参与谈判来预防企业可能遭遇的法律风险,提供事后的诉讼法律服务。
但在数字科技企业中,违法违规可能发生在算法的设计层面,所以需要法务人员和算法设计者坐在一起讨论问题,才能完成所谓的全链条全环节的合法合规。
例如,用户界面是否涉嫌过度获取用户信息。比如弹窗请求麦克风或照相机权限,这种请求如果没有必要,就可能涉嫌违法,但这种问题只有在设计阶段介入才能避免,而不是事后再介入。
在我看来,阿里云是按照一家传统私企的思路在运营,没有将国家关于数据安全方面的法律法规当回事,至少没有将其整合到整个算法设计过程中,当问题发生后也没有去完成相关的备案。
这个情况实际上完全可以在设计环节来解决。也就是说,在数字科技及其商业模式背后,如果我们将法律纳入设计环节,很多事情是可以自动化的。
企业难以做到两全
数据安全和我们传统的法律思维是不一样的。尽管在这个领域,我国现在有非常完备的法律——从《网络安全法》到《数据安全法》,再到下面的行政法规和部门规章,也包括数据出境方面的实施细则以及标准体系,已经是一个非常严密的体系了。
也就是说,数据安全本身已经成了一个非常专门的领域,中国数字科技企业都面临着双重的夹击。一方面,他们要服从中国法律,这是毫无疑问的——不管是不是中国企业,只要在中国境内运营的企业,都要服从中国法;但是另一方面,他们又面对着美国法的夹击。也就是说,你要做到中国法层面的合法合规,你就可能违反美国法。
比如说,这个阿里云事件又牵扯到美国的一个对应法律。在2022年6月初,美国商务部工业和安全局发布新规,要求美国实体在与中国政府相关的组织和个人进行合作时,如果发现安全漏洞,不能直接告知中方合作者,而要先经过商务部的审核。这完全违反了司法自治的原则。
这时候,冲突就非常明显了:阿帕奇知道漏洞也不能告诉阿里云;阿里云知道后又没优先跟政府说;以至于,中国的政府部门到最后才知道漏洞的存在。
我们今天已经全面进入了数字社会,这一点是毫无疑问的。到今天,我们已经很难想象任何领域和数字科技毫无关系,就连农业的数字科技运用也是非常普遍的。
所以说,数字社会、数字经济并不只是概念,它已经是对现实的描述。一旦我们承认我们已经全面的进入了数字化的时代,我们就会知道,所有的数字科技都涉及到数据的跨境流动问题。
万物互联时代的数据安全
当前是一个“万物互联”的时代。自动化武器是涉外法治和国际法领域非常重要的讨论话题,它模糊了国际法中战争与和平的边界。此外,我们使用的智能水表、电表等设备,所有的东西都是智能化的,而智能化意味着联网,联网则可能带来远程控制的风险。
正因如此,网络安全和数据安全的重要性凸显。从技术层面看,这样的可能性已经是存在的:无需动用一兵一卒,仅通过黑客手段和远程操控,某些个人或组织就能瘫痪一个国家的电力系统、制造业和能源体系。
这一情况直接导致难以预料的风险。例如,美国早已深入研究“网络战争”(Cyber war)问题,并取得了较为成熟的成果。相比之下,我国在这一领域的研究起步相对较晚,且法律界、政策界和军事界尚未实现整合,各领域仍处于各自为政的状态。
据报道,美国网络司令部执行主任摩根·亚当斯基近日表示,美国网络国家任务部队(CNMF)正在全球范围内执行同步活动,削弱外国的网络行动。图源:新华社
美国在这方面的整合度就比较高,有不同领域的专家来共同进行研究,为美国的国家政策提供相应的建议。
美国在人工智能与国家安全方面,除了传统的安全机制以外,又新成立了一个专门的“人工智能与国家安全委员会”(NSCAI)。它在2017年发布了一份人工智能与国家安全的报告,其中,就人工智能技术发展的全球分布,对美国的军事优势、信息优势和经济优势构成的潜在威胁进行了系统分析。
整份报告将中国作为美国最大的竞争对手,提出要借助知识产权保护、核心技术保密和人才流动控制等措施,来遏制中国在人工智能方面的发展。因此,我们可以看出,美国人眼中的国家安全不是防卫性的,而是先发制人的,任何可能影响它优势地位的竞争,都被视为是对其国家安全的挑战。
报告当中还引用了美国信息安全权威专家布鲁斯·施奈尔(Bruce Schneier)的观点。他指出,美国在信息安全技术方面仍然是毫无争议的世界领先者。这主要体现在以下几个方面:
第一,美国政府的情报预算远超其他国家同类预算的总和。有了情报的支撑,国家安全才能得到更好的维护。
第二,由于互联网起源于美国,其基础架构决定了全世界的数据流都会经由美国。即使是两个其他国家之间的数据流动,也可能通过美国的网络基础设施进行。此外,像Gmail或Hotmail等由美国公司提供的服务,邮件传输同样受到美国法律的约束。
第三,其他国家的智能产品普遍使用美国制造的芯片、操作系统和网络服务,因此受到美国法律的制约。美国通过法律维护国家安全的方式非常高效,其法学教育和法律体系在这方面展现出高度的清晰性和成熟度。
文稿整理|周浩锴
校对|刘深
审定|刘佳
【嘉宾简介】
主讲人:郑戈
现为上海交通大学凯原法学院教授,上海高校“东方学者”特聘教授。15岁进入四川大学法律系学习,1991年大学毕业,之后在四川省自贡市公安局工作两年。1993年赴北京大学法律学系攻读研究生,1996年获法学硕士学位,1998年获法学博士学位。此后留校任教。2000年7月开始游学北美,先后访学于密歇根大学、多伦多大学、杜克大学和哥伦比亚大学。2004年1月起任教于香港大学法律学院 。2014年离开港大,就职于上海交通大学凯原法学院。主要研究领域是中国宪法、比较宪法和法理学。
关于“IPP明远讲坛"
“雅量弘高,达见明远”,明远讲坛旨在打造IPP的学术经典品牌,将邀请经济社会人文政治各领域有影响力的专家和学者、围绕当前发展话题或学术前沿展开分享和交流,提升IPP在公共政策研究领域的学术影响力。
法国智库主席:中欧经济联系的真正威胁
廖凯:净评估方法及其在大国竞争中的运用
马必胜(Mark Beeson):中美澳三边关系前景
关于IPP
华南理工大学公共政策研究院(IPP)是一个独立、非营利性的知识创新与公共政策研究平台。IPP围绕中国的体制改革、社会政策、中国话语权与国际关系等开展一系列的研究工作,并在此基础上形成知识创新和政策咨询协调发展的良好格局。IPP的愿景是打造开放式的知识创新和政策研究平台,成为领先世界的中国智库。