2018年3月23日，美国国会通过了《澄清境外合法使用数据法》（“CLOUD 法案”），并经总统特朗普签署正式成为法律。

CLOUD 法案首先确认，根据美国《电子通信隐私法案》而向受管辖的科技公司发出的法律命令，政府机构可以取得该公司所拥有、保管或控制的数据，无论数据存储于何处。

该法案一经出台，就在世界范围内掀起了轩然大波，而论争的实质就在于：这些数据究竟归属于谁？在学理上，我们将这一问题称为“数据主权之争”。

一、何为数据主权？

要理解数据主权，必须从更广义的概念——网络主权开始。2015年7月1日生效的《中华人民共和国国家安全法》首次将“网络空间主权”以法律形式予以明确。

2015年12月16日，中国国家主席习近平在第二届世界互联网大会的主旨演讲中，进一步将“尊重网络主权”列为全球互联网治理体系四项原则的核心。

2016年11月7日，《中华人民共和国网络安全法》公布，第一条便开宗明义地申明“维护网络空间主权”的立法主旨。2017年3月1日，中国政府发布《网络空间国际合作战略》，全面分析了网络空间的机遇和挑战，明确“和平、主权、共治、普惠”作为网络空间国际合作的基本原则。

作为中国处理对内对外网络事务的根本指针，网络主权首先可以依据对内和对外主权的传统分类，细化为“对内网络主权”和“对外网络主权”：前者意味着国家对网络空间的立法权、行政权和司法管辖权；后者意味着国家有权维护网络空间安全，并就涉及其重大利益的网络空间事项，所享有的平等参与、善意合作以及公平利用的权利。

不过，考虑到网络空间作为虚拟空间的性质，在传统的主权分类外，网络主权还应根据网络空间的技术特征，进一步切分为“网络物理层主权”“网络逻辑层主权”和“网络数据层主权”。^[1]

“网络物理层主权”，即国家对计算机、服务器、移动设备、路由器、光纤、交换机、移动设备的主权，这一主权已经得到国际社会一致认可。例如，时任美国国务卿顾问的高洪礼（Harold Hongju Koh）在2012年网络部队（US Cyber Command）会议上表示：支持互联网和网络活动的物理基础设施受制于领土国家的管辖权。^[2]“网络逻辑层主权”，即国家对计算机代码，特别是负责网络互联和传输的通讯协议软件的主权。

目前，ICANN、RIRs、ISOC、IAB、IETF、IRTE、ISO、W3C、INOG等国际组织为互联网的稳定运行提供着技术支持，它们掌控的域名、号码、标准、监管构成并最终限定了用户使用网络的方式和限度，从而使得国家主权在逻辑层不得不转向“多利益攸关方的共同治理”。

区别于物理层和逻辑层，围绕网络空间数据层的主权是各国论战的主要舞台。

这是因为，作为人类数字化生存的空间，在未来，现实事物均将被尽其所能地转化成网络空间中海量的二进制代码，世界的一切亦将被测量、记录、分析、分享和预测，信息和数据必将成为和能量、物质同等重要的基础资源。不惟如是，网络信息还关涉到不同国家、地区、民族的文化、特性、价值观和意识形态，因此产生的深层次冲突难以轻易弥合。

恰如2000年雅虎纳粹物品网络拍卖案所显示的：关于网络上的纳粹符号是否受到国家管制这一议题，德国和美国有着不同的传统和立场。^[3]

除了抽象的价值之争，信息所有者、使用者、存储者在地理位置上的分离以及所引发的跨境流动、主体识别和权力行使是国家主权所面临的具体困难。^[4]

一方面，鉴于网络空间依托于但不局限于领土的特质，国家难以判断在网络空间中传输的信息是否已跨越了国境。另一方面，网络信息的即时性和巨量性也让国家不可能完成监控有害信息进入和自身信息泄露的任务。正是出于上述原因，数据主权成为各国最为棘手的问题，而这正是CLOUD法案聚讼纷纷的根源。

二、Cloud法案之前美国数据主权的边界

2016年美国政府诉微软（United States v. Microsoft Corp）一案凸显出数据主权边界的模糊性。

该案的基本案情是：美国司法部为调查某毒品走私犯罪，向纽约南区联邦地方法院请求核发搜查令（warrant），要求微软提供某电子邮件帐户使用者的通讯信息，但因该通讯信息的服务器存放地为爱尔兰都柏林，微软拒绝提供，主张美国法官无权对境外存储的数据核发搜查令。

2014年5月，联邦地方法院判定，因微软对境外数据拥有控制权，因此有能力遵守该搜查令。随后，微软公司上诉至美国联邦法院第二巡回法院。

该法院于2016年7月14日作出判决，推翻了下级法院的判决。其理由是：核发搜查令的依据——美国《储存通讯法》（Stored Communication Act，SCA）第2703条，并未允许法院以搜查令的方式，要求境内网络服务提供商提交存于境外服务器上的数据。

法院在判决意见中阐明，根据2010年MORRISON ET AL. v. NATIONAL AUSTRALIA BANK LTD. ET AL.一案，如立法时认为某法规可能或必须有域外效力，应以明文定之，而就国会制定SCA时的立法意旨及SCA文义观察，SCA条文中并无任何规定写明该法可适用于境外。

同时，在本案中，因用户通讯内容的数据储存地在爱尔兰，微软必须自爱尔兰数据中心取出数据并“进口”至美国境内，这一存取行为将带来侵害他国主权之危险。综合上述两方面的考虑，法院最后认定：尽管不予颁发搜查令将严重影响执法效率，但就SCA立法意旨及文义观察，SCA第2703条所确定的搜查范围仅限于储存于美国境内的数据。

两级法院的不同态度体现出“数据存储地标准”和“数据控制者标准”的对立，而从最终的判决结果看，美国法院仍固守传统，将物理层主权边界等同于数据层主权边界。

三、CLOUD法案对数据主权边界的重新界定

CLOUD法案改变了《存储通信法》的模糊规定，旗帜鲜明地采取了“数据控制者标准”，将数据主权从物理层边界延伸到技术上的“控制边界”。考虑到这一边界的不确定性，CLOUD 法案将如下因素作为锚点：

（一）主体锚点

CLOUD 法案仅仅适用于总部在美国或者在美国注册的公司。就在美国证券交易所上市的公司而言，如果它们只是发行和交易证券，而没有真正的商业存在，则一般认为不在美国管辖权范围之内，不会直接受到CLOUD法案的约束。

另外，由于该法主要针对数据公司，因此将适用对象限定在两类科技公司上，分别是：

（1）电子通信服务（ECS）提供商，即“为用户提供发送或接受电子邮件、电话和其他电子通讯服务的科技公司；

（2）远程计算服务（RCS）提供商，即远程计算服务（RCS）提供商。除此以外的其他公司并不会受到 CLOUD法案影响。

（二）行为锚点

CLOUD 法案将科技公司拥有（possession）、保管（custody）或控制（control）数据作为要件。这里的“拥有、保管或控制”数据既包括公司享有取得数据的合法权利，也包括公司在技术上可以实际获得数据。一旦被认定，则尽管数据存储在美国境外，执法机关亦可通过相应的法律程序要求其提供数据。

四、CLOUD法案对数据主权的影响

关于数据主权边界的分歧由来已久。在《网络活动适用国际法塔林手册2.0》的起草过程中，有人主张，在没有国际法明确限制的前提下，国家能够对存储或传输至境外的政府数据和公民个人数据行使包括管辖权在内的主权，但多数专家认为，数据一旦存储或传输至境外，便脱离了国内的网络基础设施、公民和网络活动，因此国家对该等数据不得行使主权。CLOUD法案出台，表明美国已经选择了前一种立场，而这无疑将增大与数据存储地国家的主权冲突。

美国对此洞若观火。为此，CLOUD法案在正反两方面提出了补救。从反面观察，其增加了数据主权的自我限制，即在下述条件均满足的条件下，可以撤销或修正：

从正面观察，其向他国让渡了部分数据主权，允许“适格外国政府”（qualifying foreign governments）向美国境内的组织直接发出调取数据的命令。

尽管CLOUD法案已经考虑了数据主权的冲突问题，但不论是正面“适格外国政府”的认定，还是反面的礼让分析（comity analysis），均由美国单边自由决定，并未尊重他国合作治理网络空间的“共治权利”。而正如美国学者罗伯特•基欧汉和小约瑟夫•奈所言，“信息革命极大地扩展了社会联系渠道，使国际体系更接近于复合相互依赖”。^[5]

在数据主权中，这一相互依赖的国际体系进一步发展成网络空间命运共同体，Facebook的信息泄露事件充分说明，网络空间的一体化是如此彻底，以至于离开了各国的共同参与，任何一国都不可能完成与数据保护的重任。

就此而言，一个国家固然可以将数据主权的边界向外拓展，但只有经由不同国家之间的公平互动，建构和遵守国际准则，求同存异、相互谅解，才能实现主权的目的。

[1] 这里综合了Stephen K. Gourley和劳伦斯·莱斯格对网络空间的定义，参见Panayotis Ynakogeorgos, ‎Adam Lowther, Conflicict and Cooperation in Cyberspace, pp.278-279；劳伦斯·莱斯格：《思想的未来》，李旭译，袁泳审校，中信出版社，2004年，第23页。

[2] Harold Hongju Koh, International Law in Cyberspace, Harvard International Law Journal, Volume 54, (Dec 2012).

[3] 在该案中，针对雅虎公司在网站上拍卖纳粹物的行为，法院认为法国用户接近、访问包含有纳粹物品的网站违犯了法国法律，因此判令雅虎关闭法国用户进入网页的途径。随后，雅虎将案件起诉到美国圣何塞（San Jose）的地区法院，主张该判决违犯了美国宪法第一修正案“言论自由”的规定。Stephen J. Kobrin, “Territoriality and the Governance of Cyberspace”, Journal of International Business Studies, vol. 32, no. 4, 2001, pp671-672.

[4] Zachary Peterson, Mark Gondree and Robert Beverly, “A Position Paper on Data Sovereignty: The Importance of Geolocating Data in the Cloud”, Proceedings of the 8th USENIX conference on networked systems design and implementation, 2011, https://www.usenix.org/legacy/event/hotcloud11/tech/final_files/Peterson.pdf, 2016年1月2日。

[5] Robert O. Keohane; Joseph Nye Jr, “Power and Interdependence in the Information Age”, Foreign Affairs, vol. 77, no. 5, 1998, p.82.