數據主權的興起及其雙重屬性＊

翟志勇

北京航空航天大學法學院副教授

一、“棱鏡門”引發(fā)數據主權之爭

2013年6月，曾為美國中央情報局工作的愛德華·斯諾登向《衛(wèi)報》和《華盛頓郵報》披露，美國國家安全局（NSA）和聯邦調查局（FBI）于2007年啟動了一個代號為“棱鏡”的秘密監(jiān)控項目，直接進入美國網際網路公司的中心服務器里挖掘數據、收集情報，包括微軟、雅虎、谷歌、蘋果等在內的9家國際網絡巨頭皆參與其中。消息發(fā)布后，全球輿論嘩然，無論是美國民眾還是美國盟友，都抨擊美國政府的秘密監(jiān)控行為嚴重侵犯了個人的隱私權和相關國家的數據主權，但美國政府堅持認為秘密監(jiān)控是為了反恐，并且得到國會授權，因此具有正當性。

“棱鏡門”事件的重要后果之一是各國和地區(qū)紛紛加快數據立法，比如歐盟、中國、俄羅斯、澳大利亞、巴西、加拿大、印度、韓國等紛紛出臺有關數據保護的法律，強化個人隱私和數據權利保護，推動數據本地化，加強對數據跨境流通的限制，捍衛(wèi)數據主權，以至于有學者稱其為“數據民族主義”。1Anupam Chander，Uyên P. Lê, "Data Nationalism", Emory Law Journal, Vol. 64, 2015, pp. 677-737.在這場數據立法大潮中，對于個人數據權利的關注空前高漲，無論是繼續(xù)從隱私權的角度探討數據權利，還是將數據權利作為一種新型財產權利，各種研究層出不窮，2龍衛(wèi)球：《數據新型財產權構建及其體系研究》，載《政法論壇》2017年第4期。但對于數據主權的研究卻寥寥無幾。對于何為數據主權，也有不同的理解，代表性的解釋有兩種。

一種理論認為數據主權是網絡主權的一個子項，是領土主權的一種延伸?！熬W絡主權還應根據網絡空間的技術特征，進一步切分為‘網絡物理層主權’、‘網絡邏輯層主權’、‘網絡數據層主權’?！?許可：《數據主權視野中的CLOUD法案》，載《中國信息安全》2018年第4期。網絡物理層主權涉及國家對計算機、服務器、移動設備、光纖、交換機等網絡設備的主權，這一主權已經得到國際社會一致認可，屬于領土國家的管轄權。網絡邏輯層主權涉及國家對計算機代碼特別是負責網絡互聯和傳輸的通訊協(xié)議軟件的主權，此類主權主要由ICANN、RIRs、ISOC等國際組織掌控，從單純的國家主權轉向“多利益攸關方的共同治理”。網絡數據層主權更為復雜，涉及不同國家對于海量大數據的控制、處理、流通等問題的爭奪，目前尚未形成普遍接受的數據主權模式。

另外一種完全不同的理論則用數據主權“描述互聯網信息巨頭們對海量數據的占有和使用，以區(qū)別于依托傳統(tǒng)主權理論而衍生出的‘互聯網主權’、‘信息主權’（information sovereignty）等概念。如果說后者仍然帶有傳統(tǒng)國家安全的政治意味，數據主權則伴隨著云計算和大數據挖掘而進入決策者和研究者的視野。它涉及數據的收集、聚合、存儲、分析、使用等一系列流程，背后反映了新經濟的價值鏈，反映了數據的商業(yè)價值”。4胡凌：《什么是數據主權？》，載https://www.guancha.cn/HuLing/2016_09_03_373298.shtml，2018年10月20日訪問。這種數據主權理論并不認為數據主權是傳統(tǒng)領土主權在數據領域的延伸，而是回到主權理論的原初，將數據主權視為對數據的占有和使用，因此數據主權的享有者未必是國家，因為大量的數據被跨國互聯網信息巨頭實際占有和使用。

本文試圖通過對歐盟和美國有關數據主權的立法，來分析數據主權問題在法律層面的呈現方式，以及透過數據主權的法律面向，思考數據主權在何種意義上獨立于領土主權以及數據主權和領土主權的關系問題，并進一步從數據主權的角度思考傳統(tǒng)主權理論面臨的新挑戰(zhàn)。

二、歐盟《一般數據保護條例》中的數據主權

2016年4月14日，歐洲議會通過史上最嚴格個人數據保護條例——《一般數據保護條例》（General Data Protection Regulation，GDPR）。GDPR于2016年5月24日生效，自生效之日起有兩年的過渡期，這期間歐盟成員國將該條例轉化為本國法，2018年5月25日GDPR將直接適用于歐盟全體成員國。GDPR非常的復雜，且很多規(guī)定語義不明，需要在日后的實踐中逐步明確。雖然GDPR第1條規(guī)定“針對個人數據處理中的自然人保護及個人數據的自由流動制定本條例”，“本條例保護自然人的基本權利和自由，尤其是自然人的個人數據保護權”，但GDPR在保護個人數據權利的同時，實際上宣誓了歐盟的數據主權，也就是說將數據主權的理論基礎建立在對個人權利的保護之上。GDPR中有關數據主權的規(guī)定，主要體現在第3條“地域范圍”和第五章“向第三國或國際組織傳輸個人數據”中。5本文有關GDPR的引述，均引自瑞栢律師事務所譯：《歐盟〈一般數據保護條例〉GDPR》，法律出版社2018年版。

第3條分為3款，分別規(guī)定了三種情形的地域適用范圍：第一種情況是，“本條例適用于在歐盟境內的控制者或處理者對個人數據的處理，無論其處理行為是否發(fā)生在歐盟境內”。所謂“在歐盟境內”不僅指在歐盟境內設立子公司或分公司，而且包括其他形式的在歐盟境內“有效且真實地開展活動”的主體。所謂“處理行為”，是指“對個人數據或個人數據集合的任何單一或一系列的自動化或非自動化操作，例如對其的收集、記錄、組織、建構、存儲、適配或修改、檢索、咨詢、使用、披露、傳播或其他的利用、排列或組合、限制、刪除或銷毀”。［第4條第（2）款］這個對“處理行為”的界定是非常寬泛的，幾乎有關數據的一切行為，都可以視為處理行為。更為關鍵的是，“無論其處理行為是否發(fā)生在歐盟境內”均適用GDPR。

第二種情況是，對于設立在歐盟境外的控制者和處理者對歐盟境內數據主體的個人數據進行處理，如果涉及下列情況，同樣適用GDPR：（1）向歐盟境內的數據主體提供商品或服務，無論此項商品或服務是否需要數據主體向其支付對價。比如歐盟成員國公民使用微信或淘寶，他們在微信或淘寶上產生數據，就可能涉及微信或淘寶對其數據的處理。（2）對數據主體發(fā)生在歐盟境內的行為進行監(jiān)控。比如為了做出有關個人的興趣偏好的預測而跟蹤這個人的網絡行為，最常見的就是定向廣告推送。這兩種情況同樣非常寬泛，在某種意義上，只要歐盟境內的數據主體使用了境外的網絡服務，絕大多數都可以落入這兩種情況之中，具體的邊界需要日后通過個案進一步明確。

第三種情況是，設立在歐盟境外的控制者，如果其設立地依據國際公法而要適用歐盟成員國法律的，其對個人數據的處理同樣適用GDPR，比如設立在成員國海外領地或使館內的數據控制者的處理行為。6張建文、張哲：《個人信息保護法域外效力研究——以歐盟〈一般數據保護條例〉為視角》，載《重慶郵電大學學報》（社會科學版）2017年第2期。

從以上的三種情況來看，雖然第3條的標題是地域范圍，但實際上GDPR的管轄權遠不是依據屬地原則確立的，除了屬地原則，還采用了“效果原則”。所謂的效果原則，最初是美國法院在國際商業(yè)領域通過判例確立的，境外的公司行為對境內的經濟產生了某種“效果”，即影響，法院對此就享有管轄權。如谷歌在歐盟的“被遺忘權”案件中，法院適用的就是“效果原則”，認定谷歌公司搜索引擎的搜索行為與谷歌西班牙公司的銷售廣告行為有“無可擺脫的關系”，因此歐盟法院對谷歌公司享有管轄權。7Google Spain SL, Google Inc. v. Agencia Espa?ola de Protección de Datos (AEPD), Mario Costeja González, JUDGMENT OF THE COURT (Grand Chamber), 13 May 2014.

除了第3條“地域范圍”之外，GDPR第五章“向第三國或國際組織傳輸個人數據”同樣涉及數據主權問題。GDPR并未采取嚴格的數據本地化政策，在開頭的“鑒于”條款中明確，“技術改變了經濟和社會生活，應在確保高度保護個人數據的同時，進一步推進個人數據在歐盟內部的自由流通，以及向第三方國家和國際組織的傳輸”。但將數據傳輸到第三國或國際組織進行處理，必須符合特定條件，第五章規(guī)定了三種情況。

第一種情況是“基于充分性決議傳輸數據”。如果歐盟委員會確認第三國、第三國境內的地區(qū)或一個或多個特定行業(yè)、國際組織能夠充分地保護數據安全，那么可以向其傳輸個人數據。歐盟在評估是否保護充分時，應考慮該國的法治、人權和基本自由狀況，與數據相關的立法和司法救濟情況，是否有獨立的監(jiān)管機構以及監(jiān)管機構是否有效運行，以及有關數據保護的國際承諾或義務等。評估通過后，在歐盟官方公報上公布得到確認的國際、地區(qū)或國際組織名單。歐盟委員會的評估是實質性評估，而非僅僅是形式審查，這就為歐盟跟其他國家談判留下了政策空間和博弈的籌碼，也增加了不確定性。

第二種情況是“須采取適當保障的傳輸”。如果沒有上述“基于充分性決議傳輸數據”，那么數據控制者或處理者必須提供適當保障，并且在數據主體可獲得可強制執(zhí)行的數據主體權利和有效法律救濟的條件下，才可以向第三國或國際組織傳輸個人數據。如何提供“適當保障”呢？包括政府機關或機構之間具有法律約束力、可強制執(zhí)行的文件，歐盟委員會通過的標準數據保護條款，依據歐盟相關機構批準的行為準則或認證機制以及第三國境內的控制者或處理者所作的適當保障并具有約束力和強制執(zhí)行力的承諾。也就是說，如果數據控制者或處理者所在的國家、地區(qū)或國際組織未通過歐盟委員會的充分性評估，則只能靠自身提供符合歐盟數據保護標準的“適當保障”來獲得向第三國或國際組織傳輸個人數據的許可。

第三種情況是“約束性企業(yè)規(guī)則”，主要是針對跨國集團企業(yè)內部數據的傳輸，比如歐盟的跨國公司在世界各地有分支機構，企業(yè)集團內部的數據傳輸實際上就是向第三國傳輸個人數據，在這種情況下，企業(yè)集團可以按照GDPR的相關規(guī)定制定適用于企業(yè)集團或從事共同經濟行為的企業(yè)團體內每個有關成員并被其執(zhí)行的具有法律約束力的企業(yè)規(guī)則，并明確授予數據主體與其個人數據處理相關的可強制執(zhí)行的權利。對于約束性企業(yè)規(guī)則的具體內容，GDPR做了非常詳細的規(guī)定。約束性企業(yè)規(guī)則一旦獲得歐盟監(jiān)管機構的批準，在企業(yè)集團內部就建立了數據安全港，可以合法地傳輸數據。8金晶：《歐盟〈一般數據保護條例〉：演進、要點與疑義》，載《歐洲研究》2018年第4期。

綜上所述，數據控制者或處理者如果想要向第三國或國際組織傳輸數據，對于數據的保護必須達到歐盟的標準或歐盟認可的標準，這使歐盟在與第三國、國際組織或企業(yè)進行數據保護談判時，有重要的法律籌碼，在本質上是歐盟數據主權的域外延伸。歐盟的企業(yè)在全球數據經濟中不占優(yōu)勢，這促使歐盟以守為攻，以保護個人數據權利為正當理由，規(guī)定非常高標準的數據保護要求，以增加歐盟在數據市場上的話語權。

三、美國CLOUD法中的數據主權

2013年美國司法部為了調查一樁毒品走私案，向紐約南區(qū)聯邦地方法院申請搜查令，要求微軟公司提供犯罪嫌疑人的電子郵件賬戶的通信信息，但微軟認為微軟電子郵件通訊信息存儲在位于愛爾蘭都柏林的服務器中，美國法官無權對存儲在愛爾蘭的數據核發(fā)搜查令，檢察官必須前往愛爾蘭并經愛爾蘭法院許可才能拿到該數據，因此拒絕向司法部提供相關信息。2014年法院駁回微軟的抗辯，法官認為郵件通信信息雖然存儲在位于都柏林的服務器中，但微軟公司是服務器的所有者和數據的控制者，微軟公司有能力在美國提供司法部所需要的信息，因此要求微軟公司必須提供。微軟公司上訴到聯邦第二巡回法院，法院在2016年推翻聯邦地方法院的判決，認為微軟無需提供相關信息，理由是無論就立法的原意還是文意的解釋，搜查令所依據的《存儲通訊法》并未明確該法具有域外效力，搜查的范圍僅限于存儲在美國境內的數據，如果強行要求微軟提供存儲在愛爾蘭都柏林服務器上的數據，將侵害愛爾蘭的主權。9Microsoft Corp. v. United States,Docket No. 14-2985,2016.

聯邦地方法院和第二巡回法院的分歧在于，《存儲通訊法》所確立的搜查標準是數據存儲地標準還是數據控制者標準，地方法院堅持數據控制者標準，微軟是數據的控制者，微軟是位于美國的公司，因此應該適用《存儲通訊法》。但第二巡回法院堅持數據存儲地標準，雖然微軟是位于美國的公司并且是數據的控制者，但數據事實上存儲在美國境外，而《存儲通訊法》又未明確該法具有域外效力，因此不能依據該法調取位于愛爾蘭的數據。

美國政府不服，上訴至聯邦最高法院，最高法院2017年簽發(fā)了調卷令，但就在最高法院審理過程中，2018年3月23日美國國會通過了《澄清境外合法使用數據法》（Clarifying Lawful Overseas Use of Data Act，以下簡稱CLOUD法）。CLOUD法所謂的“境外合法使用數據”既包括美國政府調取存儲在美國之外的數據，也包括合格外國政府調取存儲在美國境內的數據，兩種情況的標準是不一樣的。

對于前一種情況，CLOUD法第三部分規(guī)定，“無論通信、記錄或其他信息是否存儲在美國境內，服務提供者均應當按照本章所規(guī)定的義務要求，保存、備份、披露通信內容、記錄或其他信息，只要上述通信內容、記錄或其他信息為該服務提供者所擁有（possession）、監(jiān)護（custody）或控制（control）”，但如果服務提供者認為存在以下兩種情況，則可以要求撤銷或修正法律程序：第一，消費者或者用戶不是美國人且不居住在美國；第二，服務提供者提供信息可能實質性地違反合格外國政府的法律。對于服務提供者的抗辯，法院要考慮如下三個因素：第一，披露義務是否將會導致服務提供者實質性地違反“合格外國政府”的立法；第二，綜合案件的所有情況，公正的利益是否要求撤銷或修正法律程序；第三，消費者或用戶確實不是“美國人”且不居住在美國。其中法院在考慮第二個因素時，要綜合考量與之相關的各種因素，進行禮讓分析，也就是說對外國政府的相關法律政策給予必要的尊重，如外國政府的相關法律及處罰、消費者與美國關系的性質和程度、強制要求披露信息可能帶來的消極影響等。但這實際上意味著賦予美國法院巨大的裁量權。

對于后一種情況，CLOUD法第五部分做了非常詳細的規(guī)定，總結起來大概包括三方面：第一，是否是“合格外國政府”由美國國會認定，參考的標準包括該外國政府在數據保護方面是否有完善的立法，是否尊重法治和平等原則，是否尊重人權，等等；第二，被認定為“合格外國政府”之后，還要跟美國簽署雙邊的數據協(xié)議；第三，真正調取美國數據時，對于調取行為又有非常嚴苛的要求，比如“外國政府發(fā)出的調取數據命令，應是與預防、偵破、調查、起訴嚴重犯罪（包括恐怖主義）相關的；調取命令應限定于特定的個人、賬號、住址、個人設備等；外國政府要求服務提供者提供數據應具備國內法的明確授權，且具備合理事由（如基于可信、可描述的事實，特別是調查所針對行為的違法性、嚴重性）；調取命令應受本國法院、法官、治安法官，或其他獨立機構的審核和監(jiān)督；當調取命令涉及攔截監(jiān)聽實時通信或延長監(jiān)聽時限時，則監(jiān)聽應有固定的期限且不得超過完成命令所合理必需的時間，同時必須是使用其他入侵性更少的方式無法合理地取得同樣的數據”。10洪延青：《美國快速通過CLOUD法案，清晰明確數據主權戰(zhàn)略》，載《中國信息安全》2018年第4期?？傊?，外國政府能否調取美國境內的數據，最終需要經過美國政府的嚴格審查。

綜合兩種情況的規(guī)定，在數據主權問題上，美國嚴格保護位于美國的數據的境外調取，但卻可以合理地調取美國境外的數據，美國可以這樣做，前提條件當然是美國的互聯網公司控制著全球大量的數據。CLOUD法通過之后，美國最高法院就撤銷了前述的微軟案，11United States, Petitioner v. Microsoft Corporation, on Writ of Certiorari to the United States Court of Appeals for the Second Circrit, April 17, 2018.美國政府實際上通過推動國會立法的方式，避開了美國最高法院的判決。

四、數據主權中的法律與技術

以上對于GDPR和CLOUD法中的有關數據主權的梳理，粗略地展示了有代表性的數據主權立法的核心內容。除此之外，有關數據主權的立法還涉及數據本地化問題，比如我國《網絡安全法》第37條規(guī)定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！边@被視為中國的數據本地化法律，為此蘋果公司不得不將中國大陸用戶的iCloud數據存儲在位于貴州的數據中心。再如俄羅斯《個人數據保護法》規(guī)定：俄羅斯公民的個人信息數據只能存于俄境內的服務器中，以實現數據本地化；任何收集俄羅斯公民個人信息的本國或者外國公司在處理與個人信息相關的數據，包括采集、積累和存儲時，必須使用俄羅斯境內的服務器。澳大利亞、巴西、加拿大、印度、韓國等國家也制定了類似的法律。12對于這些國家數據本地化立法的詳盡分析，參見Anupam Chander，Uyên P. Lê, "Data Nationalism", Emory Law Journal,Vol.64,pp.677-737,2015。

在這些有關數據主權的立法中，可以看到各國通過立法進行的數據主權博弈，博弈不僅發(fā)生在主權國家之間，還發(fā)生在主權國家與大數據公司之間。比如，印度的數據本地化立法就遭到亞馬遜、臉書（Facebook）、微軟等跨國互聯網公司的聯合抵制和批評。法律戰(zhàn)才剛剛開始，未來在數據主權立法方面各國之間以及主權國家與大數據公司之間仍然會有激烈的沖突，相信最終會達成法律上某種妥協(xié)。但數據主權不僅只有法律的面向，因為主權問題從來就不只是法律問題，主權問題首先是個事實問題。因此在數據主權的法律面向背后，我們必須看到其事實的面向。

主權理論的產生與現代領土國家的誕生是同步的，博丹的主權理論實際上為現代領土國家的誕生提供了理論支撐，因此我們慣常理解的主權實際上是領土主權，也即是說主權是建立在對領土的實際占取之上的，施米特的《大地的法》對此做了深入的分析。13［德］卡爾·施米特：《大地的法》，劉毅、張陳果譯，上海人民出版社2017年版。主權與對土地的實際占取緊密相關，這可以解釋為什么海洋和太空無法進行主權主張，因為現代國家對海洋和太空無法實行有效地占取，現代國家對海洋和太空的有限權力，實際上是基于領土主權的某種延伸，比如領海和領空權。

互聯網的誕生在大地、海洋和太空之外創(chuàng)造出第三種空間，通常稱之為賽博空間，對這個空間的占取催生出網絡主權。14劉晗：《域名系統(tǒng)、網絡主權與互聯網治理：歷史反思及其當代啟示》，載《中外法學》2016年第2期。最近幾年，隨著云計算和大數據的發(fā)展，又進一步催生出數據主權，但無論是網絡主權還是數據主權，都是建立在對網絡和數據的實際占取或者是控制之上的，背后的核心因素實際上是技術。因此在網絡主權和數據主權領域，都不存在平等問題。對于那些網絡和數據技術不發(fā)達的小國家，事實上沒有網絡和數據主權。在一個大數據時代，由于數據的非領土性及其流動性、可復制可分割性等獨特屬性，使基于對數據的占取而產生的主權權力具有突破領土的現實性。

僅就數據主權而言，其本意是指對數據的有效占有、控制和處理，而數據產業(yè)發(fā)展的結果是，大量的數據實際上不是被主權國家占有和控制，而是被跨國的互聯網公司占有和控制。這些大數據公司憑借強大的技術能力和經濟影響力，在數據主權問題上享有巨大的權力和影響力，與主權國家存在合作和競爭的關系。在棱鏡項目中，美國的大互聯網公司均與政府合作，參與其中。而美國CLOUD法的出臺背景，又是因為微軟拒絕為美國司法部門調取位于愛爾蘭的數據，歐盟的GDPR制定背景也與美國互聯網公司對歐洲的全面占領密切相關。

我們有必要區(qū)分兩種數據主權：第一種數據主權是領土主權在數據領域的體現，領土主權試圖在領土范圍內對數據進行有效的管控，但由于數據本身天然的跨境性，這種數據主權往往會主張突破領土范圍的管轄權，各國的數據本地化立法、歐盟的GDPR以及美國的CLOUD法中的數據主權都屬于此種數據主權。這種數據主權實際上是某種稍作修正的領土主權，但由于其主張超越領土范圍的管轄權，會引發(fā)主權國家之間的法律沖突。15齊愛民、祝高峰：《論國家數據主權制度的確立與完善》，載《蘇州大學學報》（哲學社會科學版）2016年第1期。第二種數據主權是完全從對數據的實際占取來界定的數據主權，在這種數據主權中，參與競爭的主權者不僅包含主權國家，還有跨國互聯網公司，甚至可以說，跨國互聯網公司憑借強大的技術能力，在此競爭中占據優(yōu)勢。如果我們僅從賽博空間或數據世界來看數據主權，這些大數據公司才是真正的主權者，他們在事實上主宰著整個數據世界。因此主權國家與大數據公司的數據主權之爭，實際上是上述兩種不同的數據主權之爭，或者說是領土主權與數據主權之爭。法律是主權國家的武器，技術是大數據公司的武器。當然，數據主權之爭事實上更為復雜，因為存在著主權國家之間、大數據公司之間、主權國家聯合大數據公司與其他主權國家和/或大數據公司之間的競爭，在這場數據主權混戰(zhàn)中，法律和技術都是合適的武器，除此之外人權、市場等也是博弈的籌碼。

因此，數據主權實際上具有雙重的屬性，既可以視為領土主權在數據領域的延伸，也可以視為數據世界的獨立主權。但無論是哪種屬性的數據主權，在這場數據主權的大混戰(zhàn)中，超領土的主權是最明顯的趨向，傳統(tǒng)的以領土為基礎的主權理論面臨著新的挑戰(zhàn)。這需要我們進一步思考傳統(tǒng)主權理論所主張的絕對性、最高性和不可分割性如何應對大數據的挑戰(zhàn)，并作出相應的理論回應。

除了理論上的回應，中國的數據主權政策必須同時考慮數據主權的雙重屬性。第一，在對數據跨境流動的管控上，必須考慮到數據跨境流動是互聯網和大數據發(fā)展的必然要求，不能一味地追求數據本地化政策。從各國的數據立法來看，嚴格追求數據本地化政策的國家大多是互聯網和數據技術不發(fā)達的國家，數據本地化政策是一種防守性政策，可以作為這些國家與其他國家和互聯網公司談判的籌碼，但這種政策的效果如何目前尚不明朗，但可以預見到的是，各種嚴格的數據本地化政策不利于全球互聯網和大數據的發(fā)展，而中國在這個方面處于優(yōu)勢地位，中國應該采取更開放的政策，鼓勵數據在做出特定保護后的自由流通，這樣才有助于中國的互聯網企業(yè)和大數據公司參與全球化的競爭。第二，就各種互聯網企業(yè)和大數據公司對于海量個人數據的占有和使用而言，中國的數據主權政策應該進一步加強對個人數據權的保護，強化對互聯網企業(yè)和大數據公司合規(guī)經營的監(jiān)管，以應對數據技術對個人隱私的侵犯，防范數據技術對個人自主性的操控。同時考慮到歐盟及其他國家在數據跨境流動方面往往要求流入國有非常完善的個人數據保護法律和機制，中國強化個人數據權的保護，也有助于中國在各種數據跨境流動的雙邊和多邊談判中達到高標準的個人數據保護要求，與其他國家達成數據跨境流通的雙邊或多邊協(xié)議，以利于中國互聯網企業(yè)和大數據公司的全球發(fā)展，實現中國大數據國家戰(zhàn)略。