中心研究│何波：數據主權法律政策與實踐

一、數據主權正日益為大數據時代的焦點議題

數據已成為國家基礎性戰略資源，也對人民生產生活、社會經濟發展和政府管理等方面產生越來越重要的影響。因此，任何主體對數據的非法干預都可能構成對一國核心利益的侵害。基於國家安全、公民隱私、政府執法和產業發展的需要，數據主權原則應運而生，並且成為各國關注的焦點。近年以來，緊跟國際立法趨勢，堅持國家網路主權基本原則，圍繞數據安全管理努力構建相關法律制度，積極維護數據主權。2016年11月全國人大常委會通過的《網路安全法》再次明確了「維護網路空間主權」原則，同時確立了關鍵信息基礎設施數據跨境流動的一般規則，進一步完善了數據主權制度。目前，與數據主權相關的法律問題在實踐中已經出現[1]，如何落實《網路安全法》的相關要求，維護數據主權，也成為當前大數據時代需要思考的重要命題。

對於數據主權的概念，目前並沒有統一的表述或界定。有學者認為，數據主權是指國家對其政權管轄地域內的數據享有的生成、傳播、管理、控制、利用和保護的權力，它是國家主權在信息化、數字化和全球化發展趨勢下新的表現形式。[2]也有學者認為，數據主權是一國最高權力在本國數據領域的外化，其以獨立性、自主性和排他性為根本特徵。[3]雖然對數據主權的界定各有不同，但在數據主權性質的認定上基本沒有分歧。目前的普遍共識認為，數據主權是大數據時代背景下國家主權新的表現形式，也是國家主權的重要組成部分。[4]

數據主權源於國家主權也得到了聯合國的認可。第七十屆聯合國大會《關於從國際安全的角度看信息和電信領域的發展政府專家組的報告》指出，國家主權和源自主權的國際規範和原則適用於國家進行的信息通信技術活動，以及國家在其領土內對信息通信技術基礎設施的管轄權。各國對其領土內的信通技術基礎設施擁有管轄權；各國在使用信通技術時，除其他國際法原則外，還必須遵守國家主權、主權平等、以和平手段解決爭端和不干涉其他國家內政的原則。國際法規定的現有義務適用於國家使用信通技術。[5]

在當前技術發展和安全風險尚不明確的情況下，主張并行使數據主權是實現後續管理目標的前提條件，也對維護國家安全、方便政府執法、保護公民隱私和促進本國產業發展方面具有重要的作用。[6]隨著全球數據經濟的快速發展，各國圍繞全球數據資源的競爭更加激烈，數據主權的提出具有現實意義。《促進大數據發展行動綱要》也指出，要充分利用的數據規模優勢，增強網路空間數據主權保護能力。[7]

對於數據資源的本地存儲、利用、控制、管轄等應是數據主權的應有之意，因此，當前數據主權的立法政策主要圍繞數據的管理和控制而展開，而各國在數據主權方面的主張和實踐集中表現在其對跨境數據流動管理的訴求。從國際上來看，越來越多的國家和地區圍繞數據管理，從法律上開始構建其數據主權相關制度，並呈現出三種發展趨勢。

數據分級分類管理是國際社會的主要做法之一，美國、韓國等國家通過數據出口限制的方式對對重要數據進行管理。美國《出口管理條例》（The ExportAdministrative Regulations，簡稱EAR）和《美國國際軍火交易條例》（US International Trafficin Arms Regulations，簡稱ITAR）對部分重要數據的出口進行許可管制，要求必須取得相關部門頒發的許可證才可以出口。其中，《出口管理條例》是對非軍用物品的出口進行管制，由商務部產業安全署負責實施。《出口管理條例》可適用於雲計算服務中對軟體和技術數據的轉移，雲計算使用者將受管制的技術數據在一個位於美國境外的伺服器保存或處理，應當取得出口許可；任何從美國本土出口的技術數據，包括以電子方式，如傳真、國際電話、郵件等，出口到非美國的伺服器，也需要許可證。《美國國際軍火交易條例》規定了有關軍火出口的數據信息限制要求，要求含有相關技術數據的伺服器必須位於美國境內。ITAR管制的對象是那些與國防物品、國防服務相關的技術數據，相關條款定義了「技術數據」的範圍、「出口」的定義、特徵及行為界限等。依據這些重點條文，配合國防部的軍事控制清單，美國國防貿易控制委員會負責向雲計算服務提供商發放技術數據出口的許可證。[8]

此外，韓國《信息通信網路的促進利用與信息保護法》第51條規定，政府可要求信息通信服務的提供商或用戶採取必要手段防止任何有關工業、經濟、科學、技術等的重要信息通過信息通信網路向國外流動。[9]澳大利亞《政府信息外包、離岸存儲和處理ICT安排政策與風險管理指南》也規定，為政府部門開發的雲服務，要求屬於安全分類的數據不能儲存在任何離岸公共雲資料庫中,應存儲在擁有較高級別安全協議的私有雲或社區雲的資料庫中。[10]

據統計，目前有超過二十多個國家對數據本地存儲提出了相關要求，俄羅斯、澳大利亞等越來越多的國家通過對立法的動態調整來強化對數據的控制。[11]

俄羅斯作為強行實施數據留存本地化的典型代表，通過兩次修改立法的活動確立了嚴格的數據本地化留存的制度。俄羅斯數據管理的法律框架主要由《關於信息、信息技術和信息保護法》（第149號法令）[12]和《俄羅斯聯邦個人數據法》（第152號法令）[13]構成。2014年5月7日，俄羅斯聯發布聯邦97號法令[14]對《關於信息、信息技術和信息保護法》進行了修改。在「互聯網信息傳播組織者的義務」中增加了境內留存的要求，規定「自網民接受、傳遞、發送和（或）處理語音信息、書面文字、圖像、聲音或者其他電子信息六個月內，互聯網信息傳播組織者必須在俄羅斯境內對上述信息及網民個人信息進行保存。」[15]同年7月，總統普京簽署聯邦242號法令[16]，對兩部數據管理法律同時做了修改。在《關於信息、信息技術和信息保護法》第十六條第四款中增加一項，要求信息擁有者、信息系統運營方有義務對俄羅斯聯邦公民個人信息進行收集、記錄、整理、保存、核對（更新、變動）、提取的資料庫存放在俄羅斯境內。在《俄羅斯聯邦個人數據法》第十八條增加第五款，要求收集個人數據（包括使用互聯網手段）時，運營商需要保證使用位於俄羅斯境內的資料庫，對俄羅斯公民的個人數據進行搜集、記錄、整理、保存、核對（更新、變動）和提取。[17]通過兩次修法，俄羅斯以立法的形式規定了互聯網信息服務組織傳播者、信息擁有者以及運營商等主體的義務，同時也確立了數據本地存儲的基本規則。[18]

澳大利亞於2012年頒布了《個人信息電子健康記錄控制法》[19]，對醫療信息的存儲做出了本地化的要求。該法第77條規定禁止將醫療信息記錄轉移至澳大利亞境外，要求系統運營商、已註冊的資源庫運營者、已註冊的門戶網站經營者、或已註冊的合同服務提供者，在個人電子健康記錄管理系統中保存記錄或訪問與這些記錄相關的信息時，不得:(a) 在澳大利亞境外保存或持有記錄；或(b)在澳大利亞境外對與記錄相關的信息進行加工或處理；或(c)導致或允許他人：(i)在澳大利亞境外保存或持有記錄；或(ii)在澳大利亞境外對與記錄相關的信息進行加工或處理。[20]

當前，部分國家和地區已經在司法和立法實踐中主張對本國公民及法人在境外數據的管轄權。例如，本文引言部分所介紹的美國政府向微軟索取域外數據的案件，美國試圖將國內立法對數據的管轄權延伸到域外適用。在「9.11事件」之後美國出台《愛國者法案》，其第215條曾規定，為從事情報活動和打擊國際恐怖主義，即使沒有嫌疑，政府部門也可以要求網路和電信服務商、圖書館、銀行等機構按要求提供用戶信息，同時禁止他們向用戶透露其信息已經被調查和搜集。[21]根據該條款，無論是不是美國公民，只要在美國互聯網公司提供的「雲」中存儲數據，那麼美國政府就有權對該數據進搜集和處理。[22]雖然2015年6月1日《愛國者法案》第215條正式失效，但隨後出台的《美國自由法案》規定，如果出於「保障國家安全」和「打擊恐怖主義」兩個目的，國家安全局、中央情報局、聯邦調查局等機構在向聯邦司法部下屬的外國情報監控法庭（FISC）申請對嫌疑人進行監控並得到允許之後，仍可以實施電話監控、搜集和留存。[23]

再如，歐盟《一般數據保護條例》（General Data ProtectionRegulation ，簡稱GDPR）最新規定，即使數據控制者在歐盟境內沒有設立機構，但其在跨境提供商品或服務的過程中收集處理歐盟公民數據，則也應當適用歐盟數據保護法規。[24]根據條例本身的要求，GDPR的適用範圍從過去的屬地主義擴大到屬人主義，擴展了其域外適用的範圍。1995通過的《數據保護指令》，其適用範圍主要是考慮屬地因素，而新的GDPR不僅考慮屬地因素，還增加了屬人因素。對於成立地在歐盟以外的機構來說，只要其在提供產品或者服務的過程中（不論是否收費）處理了歐盟境內個體的個人數據，將同樣適用於GDPR。[25]

網路背景下的主權概念在有一個演化的過程，從互聯網主權到信息主權再到網路空間主權，再到數據主權，在不同時期的立法和政策文件中都有所提及。2010年國務院新聞辦公室發布的《互聯網狀況》白皮書中明確指出，「互聯網是國家重要基礎設施，中華人民共和國境內的互聯網屬於主權管轄範圍，的互聯網主權應受到尊重和維護」。[26]2014年7月16日，國家主席習近平在巴西國會發表《弘揚傳統友好共譜合作新篇》的演講指出，雖然互聯網具有高度全球化的特徵，但每一個國家在信息領域的主權權益都不應受到侵犯，互聯網技術再發展也不能侵犯他國的信息主權。[27]

隨著大數據的發展，「數據主權」首次出現在國務院文件中。2015年8月，國務院發布的《促進大數據發展行動綱要》進一步指出：「在全球信息化快速發展的大背景下，大數據已成為國家重要的基礎性戰略資源，正引領新一輪科技創新。充分利用的數據規模優勢，實現數據規模、質量和應用水平同步提升，發掘和釋放數據資源的潛在價值，有利於更好發揮數據資源的戰略作用，增強網路空間數據主權保護能力，維護國家安全，有效提升國家競爭力。」[28]

近年以來，緊跟國際立法趨勢，堅持國家網路主權基本原則，圍繞數據安全管理努力構建相關法律制度，積極維護數據主權。

首先，立法提出了國家網路空間主權原則。2015年7月通過的《國家安全法》首次提出網路空間主權概念，其第二十五條規定「加強網路管理,防範、制止和依法懲治網路攻擊、網路入侵、網路竊密、散布違法有害信息等網路違法犯罪行為,維護國家網路空間主權、安全和發展利益」，2016年11月通過的《網路安全法》再次明確了「維護網路空間主權」[29]。業內專家認為，這表明堅定主張網路空間活動應受主權原則支配，將堅定不移地在主權範圍內管控好網路和信息安全。這一立場宣示為處理網路空間事務確立了根本原則,要求各領域開展網路空間活動、處理網路空間事務時,尊重他國主權,並且反對任何國家在網路空間侵害別國主權。[30]

其次，立法明確了國家在網路信息領域的域外管轄。《網路安全法》在重申國家網路空間主權外，也確立了域外管轄適用的情況。主要體現在三個方面：一是國家採取措施，監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網路違法犯罪活動，維護網路空間安全和秩序。[31]二是國家網信部門和有關部門依法履行網路信息安全監督管理職責，發現來源於中華人民共和國境外的法律、行政法規禁止發布或者傳輸的信息，應當通知有關機構採取技術措施和其他必要措施阻斷傳播。[32]三是境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動，造成嚴重後果的，依法追究法律責任；國務院公安部門和有關部門並可以決定對該機構、組織、個人採取凍結財產或者其他必要的制裁措施。[33]

第三，明確了跨境數據流動的一般規則和國家網路安全審查制度。為應對日益嚴峻的國際跨境數據流動風險，《網路安全法》對關鍵信息基礎設施的運行安全做了嚴格規定。一方面，法律規定關鍵信息基礎設施的運營者採購網路產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。[34]另一方面，要求關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據，應當在境內存儲；因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。[35]

第四，對某些特定行業和領域內的數據跨境流動做了限制性規定。例如，《保守國家秘密法》要求防止含有國家秘密的數據流出；《徵信管理條例》規定徵信機構對在境內採集的信息的整理、保存和加工，應當在境內進行；《地圖管理條例》規定互聯網地圖服務單位應當將存放地圖數據的伺服器設在中華人民共和國境內，並制定互聯網地圖數據安全管理制度和保障措施。此外，人民銀行對個人金融信息數據[36]、國家衛計委對涉及人口健康信息數據[37]以及網路出版[38]、網路約車[39]等都要求在境內存儲。

最後，在相關政策標準中提出過基礎設施本地化的管理要求。《關於大力推進信息化發展和切實保障信息安全的若干意見》中規定，為政府機關提供服務的數據中心、雲計算服務平台等要設在境內。[40]《信息安全技術雲計算服務安全能力要求》（GB/T）中提出，雲服務商應確保雲計算伺服器及運行關鍵業務和數據的物理設備位於境內。

目前，數據主權的立法政策實踐已經在多國存在，但整體來看，國際社會對數據主權原則的普遍共識還尚未達成。一方面，從不同國家觀點來看，俄羅斯、歐盟、美國出於國家利益考量，對數據主權概念也持不同的看法。俄羅斯出於國家安全的考慮積極主張行使數據主權；以歐盟及其成員國為代表的國家出於對公民個人數據的嚴格保護，對數據主權概念也相對推崇，在新通過的《一般數據保護條例》更是擴大了條例的使用範圍。但以美國為代表的國家則更加註重大數據所帶來的商業利益，倡導數據跨境自由流動。[41]另一方面，數據主權的概念對於數據控制了不同的國家來說意義不同。相比而言，數據控制能力處於弱勢的國家更加認可國家數據主權概念，希望通過國際溝通協作加強本國對於數據管理和利用的權利；而數據控制能力較為強勢的國家本身並不擔心數據被掠奪和利用，是否強調主權概念並無太大意義。

與此同時，數據主權作為一項新的國家權利，目前也面臨著數據霸權、數據安全等方面的挑戰。以美國為代表的發達國家建立了相對完善的數據管理法律體系，利用行業巨頭先進的技術能力，形成了覆蓋上中下游的產業布局，掌握了數據管理的關鍵節點，實際形成了對於他國的數據霸權。「稜鏡門」事件中，美國利用國家安全局等情報部門直接獲取微軟、思科等行業巨頭的龐大數據資源，嚴重侵害了其他國家的國家利益。[42]

隨著雲計算的發展驅動各個行業領域將內部的信息服務外包給雲計算服務商，大量經濟運行、社會服務乃至國家安全相關的信息和數據將會形成向主要雲服務企業集中的趨勢，對這些海量數據的深度挖掘和分析可能泄露經濟社會發展的重要信息，危害國家安全、經濟安全。當前，美國在全球雲計算市場的領導地位進一步鞏固。作為雲計算的「先行者」，北美地區仍佔據市場主導地位，2015年美國雲計算市場佔據全球 56.5%的市場份額，增速達19.4%，預計未來幾年仍以超過15%的速度快速增長。從服務商來看，亞馬遜AWS 2015年收入近 79 億美元，增速超過 50%，服務規模超過全球IaaS領域第二到第十五名廠商總和的十倍，數據中心布局美國、歐洲、巴西、新加坡、日本和澳大利亞等地，服務全球190個國家和地區。[43]

目前，無論是網路規模、用戶規模，還是應用規模都是全球第一網路大國，同時也是世界上最大的數據生產國。擁有7億網民，行動電話用戶規模已經突破13億，雙雙位居世界第一。2015年移動互聯網用戶月均接入流量達到390M，同比增長90%；手機上網流量達到37.6億G，同比增長110%。[44]要充分利用數據體量優勢，推動構建國際規則，加快完善數據主權相關法律法規，為數據主權的行使提供有力支持和保障。

註：本文發表於《信息安全與通信保密》2017年第五期。

作者簡介：何波，信息通信研究院互聯網法律研究中心研究員，主要從事信息通信、互聯網等相關法律政策以及國際貿易規則相關方面的研究。

[1]例如微軟訴美國政府關於愛爾蘭數據中心一案，美國聯邦政府執法人員依據《存儲傳播法案》向美國紐約南區聯邦地區法院申請了一張搜查令，要求微軟公司協助一起毒品案件的調查，將其一名用戶的電子郵件內容和其他賬戶信息等數據提交給美國政府，但該用戶的數據被存儲在微軟位於愛爾蘭都柏林的數據中心。微軟認為，聯邦政府的搜查令只在美國境內有效，而存放用戶數據的微軟愛爾蘭數據中心不在美國政府管轄範圍內，搜查令的效力並不能延伸到域外的愛爾蘭，因此該搜查令是無效的。愛爾蘭政府也強調，愛爾蘭的主權不應受到侵犯，外國法庭應該充分尊重愛爾蘭的國家主權，並指出：如果要獲取存儲於愛爾蘭境內的數據，需要通過國際條約或國際合作等適當的方式來進行。See Jennifer Daskal. TheUn-Territoriality of Data[J]. THE YALE LAW JOURNAL, 2015,125(2):326-599.

[2]齊愛民，盤佳：數據權、數據主權的確立與大數據保護的基本原則[J]. 蘇州大學學報. 2015(1):64-70.

[3]吳沈括：數據跨境流動與數據主權研究[J].新疆師範大學學報.2016,37(5):112-119.

[4]關於數據主權性質的表述，可參見果園，馬可：《跨境數據流動的主權分析》，載《信息安全研究》2016年第9期；曹磊：《網路空間的數據權研究》，載《國際觀察》2013年第1期；沈國麟：《大數據時代的數據主權和國家戰略》，載《南京社會科學》2014年第6期；蔡翠紅：《雲時代數據主權概念及其運用場景》，載《現代國際關係》2013年第12期；齊愛民，盤佳：《數據權、數據主權的確立與大數據保護的基本原則》，載《蘇州大學學報.》2015年第1期；以及吳沈括：《數據跨境流動與數據主權研究》，載《新疆師範大學學報》2016年第5期等。

[5]SeeUnited Nations. Group of Governmental Experts on Developments in the Field ofInformation and Telecommunications in the Context of International Security(A/70/172) [EB/OL]. [2016-11-13]. http://www.un.org/ga/search/view_doc.asp?symbol=A/70/172

[6]參見李海英.數據本地化立法與數字貿易的國際規則[J]. 信息安全研究,2016,09:781-786.

[7]參見《國務院關於印發促進大數據發展行動綱要的通知》（國發〔2015〕50 號）[EB/OL]. [2016-11-13] .

[8]參見沈玲. 美國數據出口規則面臨重大調整[N]. 人民郵電報，2013-05-15（007）.

[9]參見石月. 新形勢下的跨境數據流動管理[J]. 電信網技術,2016(04):48-50.

[10]參見石月. 數字經濟環境下的跨境數據流動管理[J]. 信息安全與通信保密,2015，10:101-103.

[11]SeeChander Anupam and Le, Uyen P. Data Nationalism [J]. Emory Law Journal, 2015，64（3）:677-740.

[12]《關於信息、信息技術和信息保護法》於2006年由俄羅斯聯邦議會通過，用以取代包括1995年《關於信息、信息化和信息保護法》在內的多部聯邦法律。該法主要調整相關主體在進行尋找、獲得、傳遞、生產和傳播信息以及使用信息技術和進行信息保護時產生的法律關係。 See WIPO. FederalLaw No. 149-FZ of July 27, 2006, on Information, Information Technologies andthe Protection of Information (as amended up to Federal Law No. 222-FZ of July21,2014 [EB/OL].[2016-11-13]. http://www.wipo.int/wipolex/en/text.jsp?file_id=371639

[13]《俄羅斯聯邦個人數據法》同樣確立於2006年，該法旨在保障公民個人數據處理中的權利和自由，並對個人數據的跨境轉交提出了同等保護的要求。See FederalLaw of the Russian Federation on Personal Data, ROSSIISKAIA GAZETA [ROS. GAZ.]July 27, 2006, No. 152[EB/OL]. [2016-11-13]. , translation availableat < .

[14]即《俄羅斯聯邦<關於信息、信息技術和信息保護法>修正案及個別互聯網信息交流規範的修正案》（Federal Law 「On Amending theFederal Law 『On Information, Information Technologies and Protection of Information』and Certain Legislative Acts of the Russian Federation on Streaming theExchange of Information with the Use of Information-TelecommunicationsNetworks」.）

[15]中央網路安全和信息化領導小組辦公室,國家互聯網信息辦公室政策法規局.外國網路法選編.第一輯[M].北京：法制出版社，2015：408.

[16]即 《就「進一步明確互聯網個人數據處理規範」對俄羅斯聯邦系列法律的修正案》（Federal Law of theRussian Federation 「On Amendments to Certain Legislative Acts of the RussianFederation Regarding the Clarification of the Processing of Personal Data inInformation and Telecommunication Networks」）.

[17]中央網路安全和信息化領導小組辦公室，國家互聯網信息辦公室政策法規局.外國網路法選編.第一輯[M].北京：法制出版社，2015：420.

[18]參見何波. 俄羅斯跨境數據流動立法規則與執法實踐[J].大數據,2016,(06)：129-134.

[19] See Australia Personal Controlled Electronic HealthRecords Act 2012[EB/OL]. [2016-11-14].

[20]參見王玥.試論網路數據本地化立法的正當性[J]. 西安交通大學學報. 2016, 36(1):54-61.

[21] See Emma Roller. This Is What Section 215 of the Patriot ActDoes[EB/OL]. [2016-11-14].

[22]參見杜雁芸. 大數據時代國家數據主權問題研究[J]. 國際觀察，2016（3）：1-14.

[23] See USA FREEDOM Act of 2015[EB/OL]. [2016-11-14].

[24]SeeEuropean Union. Regulation (EU) 2016/679 of the European Parliament and of theCouncil of 27 April 2016 on the protection of natural persons with regard tothe processing of personal data and on the free movement of such data, andrepealing Directive 95/46/EC (General Data Protection Regulation)[J]. OfficialJournal of the European Union, 2016, 59.

[25]參見王融. 歐盟數據保護通用條例[J]. 大數據，2016（04）：93-101.

[26]中華人民共和國國務院新聞辦公室.互聯網狀況[EB/OL]. [2016-11-14]. http://law1.law-star.com/law?fn=gwp001s009.txt&truetag=1&titles=&contents=

[27]習近平. 弘揚傳統友好共譜合作新篇[N].人民日報，2014-07-18（03）.

[28]國務院.關於印發促進大數據發展行動綱要的通知（國發〔2015〕50 號）[EB/OL]. [2016-11-13]

[29]參見《網路安全法》第一條：為了保障網路安全，維護網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。

[30]參見張媛. 國家安全法首次提出網路空間主權概念專家指出：網路空間活動須受主權原則支配[N]. 法制日報.2015-07-23.

[31]參見《網路安全法》第五條。

[32]參見《網路安全法》第五十條。

[33]參見《網路安全法》第七十五條。

[34]參見《網路安全法》第三十五條。

[35]參加《網路安全法》第三十七條。

[36]參見《關於銀行業金融機構做好個人金融信息保護工作的通知》（銀髮〔2011〕17號）。

[37]參見《人口健康信息管理辦法（試行）》（國衛規劃發〔2014〕24號）。

[38]參見《網路出版服務管理規定》第八條。

[39]參見《網路預約出租汽車經營服務管理暫行辦法》第二十七條。

[40]國務院.關於大力推進信息化發展和切實保障信息安全的若干意見（國發[2012]23號）[EB/OL].[2016-11-14].

[41]以美國主導的TPP協定為例，TPP分別針對服務本地化、數據本地化和設施本地化進行了規定。在服務本地化方面，TPP10.6條規定：任何締約方不得要求另一締約方的服務提供者在其領土內設立或維持辦事處或任何形式的企業或成為居民，作為跨境提供服務的條件。在設施本地化方面，14.13 計算設施的位置規定締約方不得將要求涵蓋的人使用該締約方領土內的計算設施或將設施置於其領土之內作為在其領土內從事經營的條件。最受關注的是TPP的14.11條「通過電子方式跨境傳輸信息」，其規定當通過電子方式跨境傳輸信息是為涵蓋的人執行其業務時，締約方應允許此跨境傳輸，包括個人信息。SeeOffice of the United States Trade Representative. Trans-Pacific PartnershipAgreement [EB/OL]. [2016-11-14].

[42]參見杜雁芸. 大數據時代國家數據主權問題研究[J]. 國際觀察，2016（3）：1-14.

[43]參見信息通信研究院. 雲計算白皮書（2016年）[R].北京：信息通信研究院，2016年9月：1-2.

[44]參見魯春叢. 實施大數據戰略，推動經濟社會創新發展[N]. 人民郵電 .2016-06-21 (007).