一、数据主权正日益为大数据时代的焦点议题

数据已成为国家基础性战略资源，也对人民生产生活、社会经济发展和政府管理等方面产生越来越重要的影响。因此，任何主体对数据的非法干预都可能构成对一国核心利益的侵害。基于国家安全、公民隐私、政府执法和产业发展的需要，数据主权原则应运而生，并且成为各国关注的焦点。近年以来，紧跟国际立法趋势，我国坚持国家网络主权基本原则，围绕数据安全管理努力构建相关法律制度，积极维护我国数据主权。2016年11月全国人大常委会通过的《网络安全法》再次明确了“维护网络空间主权”原则，同时确立了关键信息基础设施数据跨境流动的一般规则，进一步完善了我国数据主权制度。目前，与数据主权相关的法律问题在实践中已经出现[1]，如何落实《网络安全法》的相关要求，维护我国数据主权，也成为当前大数据时代我国需要思考的重要命题。

对于数据主权的概念，目前并没有统一的表述或界定。有学者认为，数据主权是指国家对其政权管辖地域内的数据享有的生成、传播、管理、控制、利用和保护的权力，它是国家主权在信息化、数字化和全球化发展趋势下新的表现形式。[2]也有学者认为，数据主权是一国最高权力在本国数据领域的外化，其以独立性、自主性和排他性为根本特征。[3]虽然对数据主权的界定各有不同，但在数据主权性质的认定上基本没有分歧。目前的普遍共识认为，数据主权是大数据时代背景下国家主权新的表现形式，也是国家主权的重要组成部分。[4]

数据主权源于国家主权也得到了联合国的认可。第七十届联合国大会《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》指出，国家主权和源自主权的国际规范和原则适用于国家进行的信息通信技术活动，以及国家在其领土内对信息通信技术基础设施的管辖权。各国对其领土内的信通技术基础设施拥有管辖权；各国在使用信通技术时，除其他国际法原则外，还必须遵守国家主权、主权平等、以和平手段解决争端和不干涉其他国家内政的原则。国际法规定的现有义务适用于国家使用信通技术。[5]

在当前技术发展和安全风险尚不明确的情况下，主张并行使数据主权是实现后续管理目标的前提条件，也对维护国家安全、方便政府执法、保护公民隐私和促进本国产业发展方面具有重要的作用。[6]随着全球数据经济的快速发展，各国围绕全球数据资源的竞争更加激烈，数据主权的提出具有现实意义。我国《促进大数据发展行动纲要》也指出，要充分利用我国的数据规模优势，增强网络空间数据主权保护能力。[7]

二、数据主权的国际立法趋势和政策动向

对于数据资源的本地存储、利用、控制、管辖等应是数据主权的应有之意，因此，当前数据主权的立法政策主要围绕数据的管理和控制而展开，而各国在数据主权方面的主张和实践集中表现在其对跨境数据流动管理的诉求。从国际上来看，越来越多的国家和地区围绕数据管理，从法律上开始构建其数据主权相关制度，并呈现出三种发展趋势。

趋势一：对重要数据的跨境出口施加限制，以维护本国数据安全

数据分级分类管理是国际社会的主要做法之一，美国、韩国等国家通过数据出口限制的方式对对重要数据进行管理。美国《出口管理条例》（The ExportAdministrative Regulations，简称EAR）和《美国国际军火交易条例》（US International Trafficin Arms Regulations，简称ITAR）对部分重要数据的出口进行许可管制，要求必须取得相关部门颁发的许可证才可以出口。其中，《出口管理条例》是对非军用物品的出口进行管制，由商务部产业安全署负责实施。《出口管理条例》可适用于云计算服务中对软件和技术数据的转移，云计算使用者将受管制的技术数据在一个位于美国境外的服务器保存或处理，应当取得出口许可；任何从美国本土出口的技术数据，包括以电子方式，如传真、国际电话、邮件等，出口到非美国的服务器，也需要许可证。《美国国际军火交易条例》规定了有关军火出口的数据信息限制要求，要求含有相关技术数据的服务器必须位于美国境内。ITAR管制的对象是那些与国防物品、国防服务相关的技术数据，相关条款定义了“技术数据”的范围、“出口”的定义、特征及行为界限等。依据这些重点条文，配合国防部的军事控制清单，美国国防贸易控制委员会负责向云计算服务提供商发放技术数据出口的许可证。[8]

此外，韩国《信息通信网络的促进利用与信息保护法》第51条规定，政府可要求信息通信服务的提供商或用户采取必要手段防止任何有关工业、经济、科学、技术等的重要信息通过信息通信网络向国外流动。[9]澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》也规定，为政府部门开发的云服务，要求属于安全分类的数据不能储存在任何离岸公共云数据库中,应存储在拥有较高级别安全协议的私有云或社区云的数据库中。[10]

趋势二：通过对个人数据本地化存储的立法调整，强化对数据的控制

据统计，目前有超过二十多个国家对数据本地存储提出了相关要求，俄罗斯、澳大利亚等越来越多的国家通过对立法的动态调整来强化对数据的控制。[11]

俄罗斯作为强行实施数据留存本地化的典型代表，通过两次修改立法的活动确立了严格的数据本地化留存的制度。俄罗斯数据管理的法律框架主要由《关于信息、信息技术和信息保护法》（第149号法令）[12]和《俄罗斯联邦个人数据法》（第152号法令）[13]构成。2014年5月7日，俄罗斯联发布联邦97号法令[14]对《关于信息、信息技术和信息保护法》进行了修改。在“互联网信息传播组织者的义务”中增加了境内留存的要求，规定“自网民接受、传递、发送和（或）处理语音信息、书面文字、图像、声音或者其他电子信息六个月内，互联网信息传播组织者必须在俄罗斯境内对上述信息及网民个人信息进行保存。”[15]同年7月，总统普京签署联邦242号法令[16]，对两部数据管理法律同时做了修改。在《关于信息、信息技术和信息保护法》第十六条第四款中增加一项，要求信息拥有者、信息系统运营方有义务对俄罗斯联邦公民个人信息进行收集、记录、整理、保存、核对（更新、变动）、提取的数据库存放在俄罗斯境内。在《俄罗斯联邦个人数据法》第十八条增加第五款，要求收集个人数据（包括使用互联网手段）时，运营商需要保证使用位于俄罗斯境内的数据库，对俄罗斯公民的个人数据进行搜集、记录、整理、保存、核对（更新、变动）和提取。[17]通过两次修法，俄罗斯以立法的形式规定了互联网信息服务组织传播者、信息拥有者以及运营商等主体的义务，同时也确立了数据本地存储的基本规则。[18]

澳大利亚于2012年颁布了《个人信息电子健康记录控制法》[19]，对医疗信息的存储做出了本地化的要求。该法第77条规定禁止将医疗信息记录转移至澳大利亚境外，要求系统运营商、已注册的资源库运营者、已注册的门户网站经营者、或已注册的合同服务提供者，在个人电子健康记录管理系统中保存记录或访问与这些记录相关的信息时，不得:(a) 在澳大利亚境外保存或持有记录；或(b)在澳大利亚境外对与记录相关的信息进行加工或处理；或(c)导致或允许他人：(i)在澳大利亚境外保存或持有记录；或(ii)在澳大利亚境外对与记录相关的信息进行加工或处理。[20]

趋势三：延伸对数据的域外管辖权

当前，部分国家和地区已经在司法和立法实践中主张对本国公民及法人在境外数据的管辖权。例如，本文引言部分所介绍的美国政府向微软索取域外数据的案件，美国试图将国内立法对数据的管辖权延伸到域外适用。在“9.11事件”之后美国出台《爱国者法案》，其第215条曾规定，为从事情报活动和打击国际恐怖主义，即使没有嫌疑，政府部门也可以要求网络和电信服务商、图书馆、银行等机构按要求提供用户信息，同时禁止他们向用户透露其信息已经被调查和搜集。[21]根据该条款，无论是不是美国公民，只要在美国互联网公司提供的“云”中存储数据，那么美国政府就有权对该数据进搜集和处理。[22]虽然2015年6月1日《爱国者法案》第215条正式失效，但随后出台的《美国自由法案》规定，如果出于“保障国家安全”和“打击恐怖主义”两个目的，国家安全局、中央情报局、联邦调查局等机构在向联邦司法部下属的外国情报监控法庭（FISC）申请对嫌疑人进行监控并得到允许之后，仍可以实施电话监控、搜集和留存。[23]

再如，欧盟《一般数据保护条例》（General Data ProtectionRegulation ，简称GDPR）最新规定，即使数据控制者在欧盟境内没有设立机构，但其在跨境提供商品或服务的过程中收集处理欧盟公民数据，则也应当适用欧盟数据保护法规。[24]根据条例本身的要求，GDPR的适用范围从过去的属地主义扩大到属人主义，扩展了其域外适用的范围。1995通过的《数据保护指令》，其适用范围主要是考虑属地因素，而新的GDPR不仅考虑属地因素，还增加了属人因素。对于成立地在欧盟以外的机构来说，只要其在提供产品或者服务的过程中（不论是否收费）处理了欧盟境内个体的个人数据，将同样适用于GDPR。[25]

三、我国数据主权的基本立场与实践

（一）我国数据主权的演化过程

网络背景下的主权概念在我国有一个演化的过程，从互联网主权到信息主权再到网络空间主权，再到数据主权，在不同时期的立法和政策文件中都有所提及。2010年国务院新闻办公室发布的《中国互联网状况》白皮书中明确指出，“互联网是国家重要基础设施，中华人民共和国境内的互联网属于中国主权管辖范围，中国的互联网主权应受到尊重和维护”。[26]2014年7月16日，国家主席习近平在巴西国会发表《弘扬传统友好共谱合作新篇》的演讲指出，虽然互联网具有高度全球化的特征，但每一个国家在信息领域的主权权益都不应受到侵犯，互联网技术再发展也不能侵犯他国的信息主权。[27]

随着大数据的发展，“数据主权”首次出现在国务院文件中。2015年8月，国务院发布的《促进大数据发展行动纲要》进一步指出：“在全球信息化快速发展的大背景下，大数据已成为国家重要的基础性战略资源，正引领新一轮科技创新。充分利用我国的数据规模优势，实现数据规模、质量和应用水平同步提升，发掘和释放数据资源的潜在价值，有利于更好发挥数据资源的战略作用，增强网络空间数据主权保护能力，维护国家安全，有效提升国家竞争力。”[28]

（二）我国立法围绕数据安全管理开展了有益探索

    近年以来，紧跟国际立法趋势，我国坚持国家网络主权基本原则，围绕数据安全管理努力构建相关法律制度，积极维护我国数据主权。

首先，我国立法提出了国家网络空间主权原则。2015年7月通过的《国家安全法》首次提出网络空间主权概念，其第二十五条规定“加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益”，2016年11月通过的《网络安全法》再次明确了“维护网络空间主权”[29]。业内专家认为，这表明我国坚定主张网络空间活动应受主权原则支配，我国将坚定不移地在主权范围内管控好网络和信息安全。这一立场宣示为我国处理网络空间事务确立了根本原则,要求我国各领域开展网络空间活动、处理网络空间事务时,尊重他国主权,并且反对任何国家在网络空间侵害别国主权。[30]

其次，我国立法明确了国家在网络信息领域的域外管辖。《网络安全法》在重申国家网络空间主权外，也确立了域外管辖适用的情况。主要体现在三个方面：一是国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。[31]二是国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现来源于中华人民共和国境外的法律、行政法规禁止发布或者传输的信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。[32]三是境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。[33]

第三，我国明确了跨境数据流动的一般规则和国家网络安全审查制度。为应对日益严峻的国际跨境数据流动风险，我国《网络安全法》对关键信息基础设施的运行安全做了严格规定。一方面，法律规定关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。[34]另一方面，要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储；因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。[35]

第四，我国对某些特定行业和领域内的数据跨境流动做了限制性规定。例如，《保守国家秘密法》要求防止含有国家秘密的数据流出中国；《征信管理条例》规定征信机构对在中国境内采集的信息的整理、保存和加工，应当在中国境内进行；《地图管理条例》规定互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内，并制定互联网地图数据安全管理制度和保障措施。此外，中国人民银行对个人金融信息数据[36]、国家卫计委对涉及人口健康信息数据[37]以及网络出版[38]、网络约车[39]等都要求在中国境内存储。

最后，我国在相关政策标准中提出过基础设施本地化的管理要求。《关于大力推进信息化发展和切实保障信息安全的若干意见》中规定，为政府机关提供服务的数据中心、云计算服务平台等要设在境内。[40]《信息安全技术云计算服务安全能力要求》（GB/T）中提出，云服务商应确保云计算服务器及运行关键业务和数据的物理设备位于中国境内。

（三）数据主权行使面临的问题和挑战

目前，数据主权的立法政策实践已经在多国存在，但整体来看，国际社会对数据主权原则的普遍共识还尚未达成。一方面，从不同国家观点来看，俄罗斯、欧盟、美国出于国家利益考量，对数据主权概念也持不同的看法。俄罗斯出于国家安全的考虑积极主张行使数据主权；以欧盟及其成员国为代表的国家出于对公民个人数据的严格保护，对数据主权概念也相对推崇，在新通过的《一般数据保护条例》更是扩大了条例的使用范围。但以美国为代表的国家则更加注重大数据所带来的商业利益，倡导数据跨境自由流动。[41]另一方面，数据主权的概念对于数据控制了不同的国家来说意义不同。相比而言，数据控制能力处于弱势的国家更加认可国家数据主权概念，希望通过国际沟通协作加强本国对于数据管理和利用的权利；而数据控制能力较为强势的国家本身并不担心数据被掠夺和利用，是否强调主权概念并无太大意义。

与此同时，数据主权作为一项新的国家权利，目前也面临着数据霸权、数据安全等方面的挑战。以美国为代表的发达国家建立了相对完善的数据管理法律体系，利用行业巨头先进的技术能力，形成了覆盖上中下游的产业布局，掌握了数据管理的关键节点，实际形成了对于他国的数据霸权。“棱镜门”事件中，美国利用国家安全局等情报部门直接获取微软、思科等行业巨头的庞大数据资源，严重侵害了其他国家的国家利益。[42]

随着云计算的发展驱动各个行业领域将内部的信息服务外包给云计算服务商，大量经济运行、社会服务乃至国家安全相关的信息和数据将会形成向主要云服务企业集中的趋势，对这些海量数据的深度挖掘和分析可能泄露我国经济社会发展的重要信息，危害国家安全、经济安全。当前，美国在全球云计算市场的领导地位进一步巩固。作为云计算的“先行者”，北美地区仍占据市场主导地位，2015年美国云计算市场占据全球 56.5%的市场份额，增速达19.4%，预计未来几年仍以超过15%的速度快速增长。从服务商来看，亚马逊AWS 2015年收入近 79 亿美元，增速超过 50%，服务规模超过全球IaaS领域第二到第十五名厂商总和的十倍，数据中心布局美国、欧洲、巴西、新加坡、日本和澳大利亚等地，服务全球190个国家和地区。[43]

四、构建数据主权法律制度，保障国家数据主权行使

目前，我国无论是网络规模、用户规模，还是应用规模都是全球第一网络大国，同时也是世界上最大的数据生产国。我国拥有7亿网民，移动电话用户规模已经突破13亿，双双位居世界第一。2015年移动互联网用户月均接入流量达到390M，同比增长90%；手机上网流量达到37.6亿G，同比增长110%。[44]要充分利用我国数据体量优势，推动构建国际规则，加快完善数据主权相关法律法规，为我国数据主权的行使提供有力支持和保障。

注：本文发表于《信息安全与通信保密》2017年第五期。

作者简介：何波，中国信息通信研究院互联网法律研究中心研究员，主要从事信息通信、互联网等相关法律政策以及国际贸易规则相关方面的研究。

[1]例如微软诉美国政府关于爱尔兰数据中心一案，美国联邦政府执法人员依据《存储传播法案》向美国纽约南区联邦地区法院申请了一张搜查令，要求微软公司协助一起毒品案件的调查，将其一名用户的电子邮件内容和其他账户信息等数据提交给美国政府，但该用户的数据被存储在微软位于爱尔兰都柏林的数据中心。微软认为，联邦政府的搜查令只在美国境内有效，而存放用户数据的微软爱尔兰数据中心不在美国政府管辖范围内，搜查令的效力并不能延伸到域外的爱尔兰，因此该搜查令是无效的。爱尔兰政府也强调，爱尔兰的主权不应受到侵犯，外国法庭应该充分尊重爱尔兰的国家主权，并指出：如果要获取存储于爱尔兰境内的数据，需要通过国际条约或国际合作等适当的方式来进行。See Jennifer Daskal. TheUn-Territoriality of Data[J]. THE YALE LAW JOURNAL, 2015,125(2):326-599.

[2]齐爱民，盘佳：数据权、数据主权的确立与大数据保护的基本原则[J]. 苏州大学学报. 2015(1):64-70.

[3]吴沈括：数据跨境流动与数据主权研究[J].新疆师范大学学报.2016,37(5):112-119.

[4]关于数据主权性质的表述，可参见果园，马可：《跨境数据流动的主权分析》，载《信息安全研究》2016年第9期；曹磊：《网络空间的数据权研究》，载《国际观察》2013年第1期；沈国麟：《大数据时代的数据主权和国家战略》，载《南京社会科学》2014年第6期；蔡翠红：《云时代数据主权概念及其运用场景》，载《现代国际关系》2013年第12期；齐爱民，盘佳：《数据权、数据主权的确立与大数据保护的基本原则》，载《苏州大学学报.》2015年第1期；以及吴沈括：《数据跨境流动与数据主权研究》，载《新疆师范大学学报》2016年第5期等。

[5]SeeUnited Nations. Group of Governmental Experts on Developments in the Field ofInformation and Telecommunications in the Context of International Security(A/70/172) [EB/OL]. [2016-11-13]. http://www.un.org/ga/search/view_doc.asp?symbol=A/70/172

[6]参见李海英.数据本地化立法与数字贸易的国际规则[J]. 信息安全研究,2016,09:781-786.

[7]参见《国务院关于印发促进大数据发展行动纲要的通知》（国发〔2015〕50 号）[EB/OL]. [2016-11-13] http://www.gov.cn/zhengce/content/2015-09/05/content_10137.htm.

[8]参见沈玲. 美国数据出口规则面临重大调整[N]. 人民邮电报，2013-05-15（007）.

[9]参见石月. 新形势下的跨境数据流动管理[J]. 电信网技术,2016(04):48-50.

[10]参见石月. 数字经济环境下的跨境数据流动管理[J]. 信息安全与通信保密,2015，10:101-103.

[11]SeeChander Anupam and Le, Uyen P. Data Nationalism [J]. Emory Law Journal, 2015，64（3）:677-740.

[12]《关于信息、信息技术和信息保护法》于2006年由俄罗斯联邦议会通过，用以取代包括1995年《关于信息、信息化和信息保护法》在内的多部联邦法律。该法主要调整相关主体在进行寻找、获得、传递、生产和传播信息以及使用信息技术和进行信息保护时产生的法律关系。 See WIPO. FederalLaw No. 149-FZ of July 27, 2006, on Information, Information Technologies andthe Protection of Information (as amended up to Federal Law No. 222-FZ of July21,2014 [EB/OL].[2016-11-13]. http://www.wipo.int/wipolex/en/text.jsp?file_id=371639

[13]《俄罗斯联邦个人数据法》同样确立于2006年，该法旨在保障公民个人数据处理中的权利和自由，并对个人数据的跨境转交提出了同等保护的要求。See FederalLaw of the Russian Federation on Personal Data, ROSSIISKAIA GAZETA [ROS. GAZ.]July 27, 2006, No. 152[EB/OL]. [2016-11-13]. https://rg.ru/2006/07/29/personaljnye-dannye-dok.html, translation availableat < https://iapp.org/media/pdf/knowledge_center/Russian_Federal_Law_on_Personal_Data.pdf .

[14]即《俄罗斯联邦<关于信息、信息技术和信息保护法>修正案及个别互联网信息交流规范的修正案》（Federal Law “On Amending theFederal Law ‘On Information, Information Technologies and Protection of Information’and Certain Legislative Acts of the Russian Federation on Streaming theExchange of Information with the Use of Information-TelecommunicationsNetworks”.）

[15]中央网络安全和信息化领导小组办公室,国家互联网信息办公室政策法规局.外国网络法选编.第一辑[M].北京：中国法制出版社，2015：408.

[16]即 《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》（Federal Law of theRussian Federation “On Amendments to Certain Legislative Acts of the RussianFederation Regarding the Clarification of the Processing of Personal Data inInformation and Telecommunication Networks”）.

[17]中央网络安全和信息化领导小组办公室，国家互联网信息办公室政策法规局.外国网络法选编.第一辑[M].北京：中国法制出版社，2015：420.

[18]参见何波. 俄罗斯跨境数据流动立法规则与执法实践[J].大数据,2016,(06)：129-134.

[19] See Australia Personal Controlled Electronic HealthRecords Act 2012[EB/OL]. [2016-11-14]. https://www.legislation.gov.au/Details/C2012A00063

[20]参见王玥.试论网络数据本地化立法的正当性[J]. 西安交通大学学报. 2016, 36(1):54-61.

[21] See Emma Roller. This Is What Section 215 of the Patriot ActDoes[EB/OL]. [2016-11-14]. http://www.slate.com/blogs/weigel/2013/06/07/nsa_prism_scandal_what_patriot_act_section_215_does.html

[22]参见杜雁芸. 大数据时代国家数据主权问题研究[J]. 国际观察，2016（3）：1-14.

[23] See USA FREEDOM Act of 2015[EB/OL]. [2016-11-14]. https://www.congress.gov/bill/114th-congress/house-bill/2048

[24]SeeEuropean Union. Regulation (EU) 2016/679 of the European Parliament and of theCouncil of 27 April 2016 on the protection of natural persons with regard tothe processing of personal data and on the free movement of such data, andrepealing Directive 95/46/EC (General Data Protection Regulation)[J]. OfficialJournal of the European Union, 2016, 59.

[25]参见王融. 欧盟数据保护通用条例[J]. 大数据，2016（04）：93-101.

[26]中华人民共和国国务院新闻办公室.中国互联网状况[EB/OL]. [2016-11-14]. http://law1.law-star.com/law?fn=gwp001s009.txt&truetag=1&titles=&contents=

[27]习近平. 弘扬传统友好共谱合作新篇[N].人民日报，2014-07-18（03）.

[28]国务院.关于印发促进大数据发展行动纲要的通知（国发〔2015〕50 号）[EB/OL]. [2016-11-13] http://www.gov.cn/zhengce/content/2015-09/05/content_10137.htm

[29]参见《网络安全法》第一条：为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

[30]参见张媛. 国家安全法首次提出网络空间主权概念专家指出：网络空间活动须受主权原则支配[N]. 法制日报.2015-07-23.

[31]参见《网络安全法》第五条。

[32]参见《网络安全法》第五十条。

[33]参见《网络安全法》第七十五条。

[34]参见《网络安全法》第三十五条。

[35]参加《网络安全法》第三十七条。

[36]参见《关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）。

[37]参见《人口健康信息管理办法（试行）》（国卫规划发〔2014〕24号）。

[38]参见《网络出版服务管理规定》第八条。

[39]参见《网络预约出租汽车经营服务管理暂行办法》第二十七条。

[40]国务院.关于大力推进信息化发展和切实保障信息安全的若干意见（国发[2012]23号）[EB/OL].[2016-11-14]. http://www.gov.cn/zwgk/2012-07/17/content_2184979.htm

[41]以美国主导的TPP协定为例，TPP分别针对服务本地化、数据本地化和设施本地化进行了规定。在服务本地化方面，TPP10.6条规定：任何缔约方不得要求另一缔约方的服务提供者在其领土内设立或维持办事处或任何形式的企业或成为居民，作为跨境提供服务的条件。在设施本地化方面，14.13 计算设施的位置规定缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或将设施置于其领土之内作为在其领土内从事经营的条件。最受关注的是TPP的14.11条“通过电子方式跨境传输信息”，其规定当通过电子方式跨境传输信息是为涵盖的人执行其业务时，缔约方应允许此跨境传输，包括个人信息。SeeOffice of the United States Trade Representative. Trans-Pacific PartnershipAgreement [EB/OL]. [2016-11-14]. https://ustr.gov/trade-agreements/free-trade-agreements/trans-pacific-partnership/tpp-full-text

[42]参见杜雁芸. 大数据时代国家数据主权问题研究[J]. 国际观察，2016（3）：1-14.

[43]参见中国信息通信研究院. 云计算白皮书（2016年）[R].北京：中国信息通信研究院，2016年9月：1-2.

[44]参见鲁春丛. 实施大数据战略，推动经济社会创新发展[N]. 人民邮电 .2016-06-21 (007).