2013 年 10 月 23 日晚间,柏林。Der Spiegel 通过其网站发出一篇基于 Snowden 文件的报道——美国国家安全局自 2002 年起监听德国总理安格拉·默克尔的私人手机1

这个时间点的算术很简单但很重要。2002 年默克尔还是德国基民盟(CDU)的反对党党主席。她在 2005 年 11 月当选总理,2009 年连任,2013 年 9 月刚刚第三次连任。如果监听从 2002 年开始持续到 2013 年报道公开,意味着 NSA 监听了默克尔从反对党领袖到欧洲最有权力的政治人物全程——加起来约 11 年。这其中包含了金融危机、希腊债务危机、欧盟内部权力博弈、利比亚战争、叙利亚战争、伊朗核谈判、几乎所有重大跨大西洋外交事件。NSA 知道默克尔在每一场谈判中的真实立场、底线、内部分歧、私下交易——这些通常是德国外交部内部的最高机密。

默克尔在 10 月 23 日晚间获悉这一消息后,做了她在任内为数不多的几次直接发火之一。她立即致电奥巴马。这通电话的具体内容从未被公开,但默克尔事后向德国媒体说的一句话被反复引用——这句话用德语原文是 “Ausspähen unter Freunden, das geht gar nicht”,翻译成英语就是 “Monitoring friends is not done”——监听朋友是不应该的2

奥巴马的回应在公开层面极其谨慎。白宫发言人 Jay Carney 在 10 月 24 日的简报中表示,“总统已向默克尔总理保证,美国不在监听、也不会监听她的通信。”这句话的措辞被欧洲媒体仔细拆解:用的是现在时与将来时——“is not”和“will not”——但避开了“has not”。换句话说,白宫拒绝就过去的行为做任何承诺。这是一个由律师斟酌过的拒绝3

德国的反应在那个 10 月的几周内迅速展开。德国外交部召见美国大使 John Emerson,要求“立即澄清”。德国情报机构 BND 与国内情报机构 BfV 一度暂停部分与 NSA 的合作。联邦议院(Bundestag)很快通过决议,成立“NSA 调查委员会”(NSA Untersuchungsausschuss)——这是德国战后历史上为数不多的几次针对外国监控的国会调查之一4

但默克尔的反应也带着她典型的克制。她在公开层面没有要求美国正式道歉。她没有取消任何与美国的高层访问。她没有支持联邦议院左翼党与绿党推动的“给斯诺登政治庇护”提案——理由是“无法保证 Snowden 在德国境内的人身安全”,但更深层的理由是,给斯诺登庇护将立即触发美国引渡请求,把德美关系推入一场不可挽回的法律危机。

默克尔的处理方式后来在德国政界被反复评估。她的支持者认为她“成熟地维护了跨大西洋关系”;她的批评者认为她“过软”——一个真正以德国主权为本位的总理,应该走得更远。但默克尔本人在 2014 年初的一次访谈中给出了她的逻辑:“我们需要美国的情报合作来对抗恐怖主义。无论我对监听这件事有多愤怒,我们不能让情报合作中断。”

这是德国对 PRISM 的第一层反应——愤怒、召见大使、调查委员会、但保持框架不破。然而在更深的层面上,2013 年 10 月那个晚上启动了一连串政治进程,让德国与欧盟在接下来的十年里——通过 GDPR、通过 Schrems 案、通过 BND 法修订、通过欧洲法院的反复裁决——把“反抗美国主导的数据流”从一句外交辞令变成了一套完整的法律基础设施。

而这套基础设施在更深的层面上,与中国《网络安全法》、俄罗斯《数据本地化法》、印度 IT Rules 2021 共享同一个动机——尽管它们的政治哲学完全相反。

要理解欧洲的反应有多深,需要先回到 2013 年 9 月那个早一些的时刻——巴西。

2013 年 7 月,Glenn Greenwald 通过他在巴西居住的关系,与巴西媒体 O Globo 合作披露了 NSA 对巴西的监控规模。文件显示 NSA 不仅监听巴西总统迪尔玛·罗塞夫(Dilma Rousseff)本人的通信,还渗透了巴西国有石油公司 Petrobras 的网络、窃听了巴西外交部5

Petrobras 部分的披露尤其震撼。NSA 在过去十年里一直坚持的官方立场是“美国情报机构不为美国公司的商业利益做间谍活动”——这是冷战后美国与欧盟、日本、其他盟友的一个核心承诺。Petrobras 的案例直接推翻了这个承诺:NSA 当时渗透 Petrobras 的时间点,恰好是 Petrobras 正在拍卖巨型 Libra 海上油田(2013 年 10 月)。巴西情报机构很快得出结论——NSA 把它在 Petrobras 网络上获取的信息传递给了美国石油公司,让美国公司在 Libra 拍卖中获得了不公平的信息优势6

罗塞夫的反应比默克尔更快、更激烈。2013 年 9 月 17 日,她做出一个罕见的决定——取消原定 10 月对华盛顿的国事访问(那本会是 1995 年以来巴西总统首次对美国事访问)。这是奥巴马就职以来第一位主动取消国事访问的外国元首。白宫得知后试图通过电话与罗塞夫协调,但她拒绝。

然后是 2013 年 9 月 24 日。

按照联合国大会的传统惯例,巴西总统作为大会开幕式的第一位发言人——这是一项可以追溯到 1955 年的惯例,因为当年没有国家愿意第一个发言,巴西自愿打头阵,此后便成为传统。第二位发言的是美国总统。这意味着罗塞夫将在奥巴马面前——以及全球电视直播——讲话7

她使用了这个机会。

罗塞夫的演讲长约 14 分钟,但其中关于 NSA 监控的部分占了一大半。她用的语言之直接,是联合国大会近年罕见的:

“Tampering in such a manner in the affairs of other countries is a breach of international law and, as such, it is an affront to the principles that should otherwise govern relations among countries, especially among friendly nations.”

“以这种方式干预他国事务违反国际法,是对应该指导国家间——尤其是友好国家间——关系的原则的冒犯。”

她把 NSA 监控定义为:

  • “严重违反人权与公民自由的案件”
  • “对国家主权的不尊重”
  • “违反国际法”
  • “对商业活动机密信息的入侵与捕获”

她否定 NSA 用“反恐”作为借口的可行性,称这种解释 “站不住脚”(untenable)。她呼吁建立“互联网治理的多边国际框架”——也就是把全球互联网治理从美国主导的 ICANN 体系中重新分配出来8

奥巴马紧接着上台讲话。他对罗塞夫的演讲只用了一句模糊的回应——“We’ve begun to review the way that we gather intelligence”(我们已开始审视我们收集情报的方式)。然后他迅速转入叙利亚、伊朗、中东和平进程等其他话题。整个回应的语气如同对一场尴尬家庭聚会的处理——避免直视,迅速翻篇。

罗塞夫 UN 演讲的政治意义远超巴西本身。在那之前,“反对美国主导的数据流”是一个只有学者、活动家、少数政治反对派会用的语言。罗塞夫让这种语言进入了最高级别的国际政治平台。在那之后,每一个国家——德国、法国、印度尼西亚、印度、墨西哥——都获得了一种新的政治语言来推进自己的数据本地化、互联网主权、平台监管议程。

巴西的具体政策反应也展开得很快。2014 年 4 月 23 日,巴西国会通过《互联网公民框架法》(Marco Civil da Internet)——全球第一部以“互联网权利法案”形式立法的国家级法律。它把网络中立性、隐私保护、表达自由写入法律,比 GDPR 早了整整 4 年9。法律的最初版本包含一项强制性数据本地化条款——要求互联网公司在巴西境内存储巴西用户数据——但在 Facebook、Google 的激烈游说下,这一条款在最终版本中被删除。

但数据本地化的概念在 Marco Civil 之后并未消失——它被印度、俄罗斯、中国、土耳其、印度尼西亚后续采纳。罗塞夫还提出了 BRICS 海底光缆项目——建设连接巴西-南非-印度-新加坡的跨洲光缆,避开美国节点。这个项目后来因资金问题搁置,但作为“绕开美国”的网络基础设施构想,它影响了后续多个国家的网络主权讨论。

罗塞夫本人的后续命运成为这个故事的一个讽刺脚注。2016 年她因“修改财政账目”被弹劾下台。一些分析者——包括 Greenwald 本人在他后来发表的“Vaza Jato”调查中——指出,CIA 与巴西“Lava Jato”反腐行动检察官之间的非正式合作可能在弹劾过程中起了作用10。这种说法没有得到直接证据支持,但巴西左翼长期以来把 NSA 监控视为对巴西政治介入的开端。罗塞夫被推下台后,巴西的左翼政府转为右翼政府,BRICS 海底光缆项目最终搁浅,巴西的“互联网主权”议程在 2016 年之后明显放缓。

但 Marco Civil 留下来了。罗塞夫的 UN 演讲留下来了。在 2013 年 9 月那个 14 分钟的时刻之后,“反对美国主导的数据流”作为一个合法的国际政治立场,已经被永久写入了 21 世纪互联网治理的辞典。

如果说默克尔与罗塞夫代表的是政治领导人层面的反应,那么真正在法律层面把美国监控推上欧洲法院被告席的,是另一个完全不同类型的人——一个 1987 年出生的奥地利法学生。

Maximilian Schrems 出生于 1987 年 10 月,萨尔茨堡。他在维也纳大学读法律。2011 年他在加州 Santa Clara University 法学院做交换学生时,参加了 Facebook 一位首席隐私律师 Ed Palmieri 的讲座。Palmieri 在讲座中提到:“欧洲数据保护法不会影响 Facebook 的业务”——理由是欧美之间存在一份叫 Safe Harbor(安全港)的协议,让美国公司只要“自我声明”遵守欧盟数据保护原则,就被欧盟视为“充分保护”的对象11

Schrems 后来回忆,当时他坐在讲座现场感到困惑——他在维也纳学到的欧洲数据保护法,与 Palmieri 描述的“实际上欧洲法管不到 Facebook”的现实有巨大落差。讲座结束后,他决定测试这件事。

他做的第一件事很简单。2011 年 6 月,他向 Facebook 的欧洲总部(位于爱尔兰都柏林)提交了一份依据欧盟数据保护法第 12 条的“数据访问请求”——要求 Facebook 提供 Facebook 持有的关于 Schrems 个人的全部数据。

Facebook 大约一个月后给他寄来了答复——一份 1,222 页的 PDF 文档。文档包含:

  • 他在 Facebook 上的全部帖子,包括他自己已经删除的帖子
  • 他点击过的全部“赞”
  • 他发送或接收的全部好友请求,包括被他自己拒绝的请求
  • 他的搜索历史
  • 他登录 Facebook 的全部 IP 地址
  • 他点击过的全部广告
  • 他被标记在哪些其他用户的照片中
  • 他与朋友的聊天记录,包括已被删除的对话11

这 1,222 页让 Schrems 意识到一个简单的事实:Facebook 实际持有的数据,远多于它对欧洲用户声称的范围。他向爱尔兰数据保护专员办公室(Irish Data Protection Commissioner,DPC)提交了 22 项独立投诉——每一项都针对 Facebook 数据处理实践的一个具体方面。

Schrems 的投诉在 2011-2013 年期间被爱尔兰 DPC 系统性地以各种理由拖延或驳回。爱尔兰是 Facebook 的欧洲总部所在地,也因此是 Facebook 在欧洲的“数据保护主管机关”——按照欧盟法律的“一站式监管”原则,所有针对 Facebook 的投诉都要由爱尔兰 DPC 处理。爱尔兰 DPC 长期以来被欧洲隐私倡导者批评为“对硅谷过于友好”——爱尔兰的低税政策与亲企业立场让它成为大型科技公司在欧盟的法律避风港。

然后 2013 年 6 月,Snowden 披露 PRISM。

Schrems 立即调整了他的法律策略。他在 2013 年 6 月 25 日向爱尔兰 DPC 重新提交投诉,把 Snowden 文件作为新证据加入:Facebook 把欧洲用户数据传输到美国 → 美国 NSA 通过 PRISM 项目访问这些数据 → 欧盟数据保护权被系统性违反。这是一个简单的三段论。它的力量在于它的每一步都有公开文件支持。

爱尔兰 DPC 再次拒绝调查——理由是 Safe Harbor 协议已经认证美国数据保护“充分”,因此 Facebook 把欧洲数据传到美国不构成违反。

Schrems 把爱尔兰 DPC 告上爱尔兰法院。爱尔兰法院在 2014 年 6 月把案件提交给欧洲法院(Court of Justice of the European Union,CJEU)作“初步裁决”(preliminary ruling)——也就是请求 CJEU 就一个具体的欧盟法律问题做出权威解释。

这就是 Schrems I 案——案号 Case C-362/14。

CJEU 在 2015 年 10 月 6 日做出判决12

判决在欧洲数据保护史上是一个分水岭。CJEU 的核心结论是:

Safe Harbor 协议无效

CJEU 的论证有三层。第一层:欧盟基本权利宪章第 7 条与第 8 条(私生活权与个人数据保护权)是欧盟法律的最高层级。任何让欧盟居民的个人数据流向第三国的安排,必须保证那个第三国提供“基本等同于”欧盟的保护水平。

第二层:根据 Snowden 文件披露的事实,美国情报机构通过 PRISM 等项目对欧盟居民数据的访问构成 “对基本权利的大规模、不区分的干涉”——而美国没有提供任何“有效的司法救济”让欧盟居民对这种干涉提出申诉。

第三层:因此,Safe Harbor 协议——作为欧盟委员会 2000 年通过的“充分性决定”,授权欧盟数据自由流向美国——不再满足欧盟基本权利宪章的要求。Safe Harbor 协议自判决之日起无效。

这是 PRISM 曝光后第一次有最高级别法院在法律层面把 NSA 监控判定为违反欧盟基本权利。CJEU 没有直接说“NSA 在违法”——它管不了 NSA。它说的是 “凡是把欧盟居民数据传到允许 NSA 这样做的国家的安排,都违法”。这是一个绕过 NSA 的精确法律打击——它不要求美国改变 NSA,但要求欧洲企业承担“把数据传到美国就违法”的成本。

判决的直接后果是即时的。Safe Harbor 死亡的当天,全球至少 4,000 家美国公司——所有依赖 Safe Harbor 把欧洲用户数据传到美国的公司——突然失去了法律基础。Facebook、Google、Microsoft、Amazon、Apple、Twitter、LinkedIn——所有美国主要互联网公司都在那一天的下午开会讨论应急方案13

欧盟委员会与美国商务部紧急谈判一份替代协议。Privacy Shield(隐私盾)协议在 2016 年 7 月签署生效。它的核心机制与 Safe Harbor 类似——美国公司“自我声明”遵守一组数据保护原则就被欧盟视为“充分”——但加了几项新要素:

  • 美国政府承诺对欧盟居民数据“批量收集”的限制
  • 设立“监察专员”(Ombudsperson)让欧盟居民可以对美国情报机构的访问提出申诉
  • 强化美国联邦贸易委员会(FTC)的执法权

Schrems 在 Privacy Shield 签署的当天就公开批评它“不够充分”。他在媒体采访中说:“这是同一只猪,戴了不同的口红。”

他重新提起诉讼。这就是 Schrems II 案——案号 Case C-311/18。

CJEU 在 2020 年 7 月 16 日做出 Schrems II 判决14

判决在结构上几乎是 Schrems I 的镜像。CJEU 的核心结论:

Privacy Shield 无效

理由几乎一字不差地重复了 Schrems I 的逻辑——美国情报访问对欧盟居民数据的“大规模、不区分的干涉”仍然存在;Privacy Shield 设立的“监察专员”机制不构成“有效司法救济”;因此 Privacy Shield 不满足欧盟基本权利宪章的要求。

但 Schrems II 比 Schrems I 走得更远。它同时收紧了 Standard Contractual Clauses(SCC,标准合同条款) 的使用——这是 Safe Harbor / Privacy Shield 之外,欧美之间数据传输的另一种法律基础。在 Schrems I 之后,许多美国公司转用 SCC 作为应急方案。Schrems II 判决说:使用 SCC 不再是无条件可行的。出口数据的欧洲企业必须逐案评估目标国(包括美国)的法律环境——如果目标国法律允许情报机构访问数据,那么仅靠 SCC 不构成充分保护,企业必须采取“补充措施”(如加密、伪名化、本地化)。

Schrems II 的实际意义是把跨大西洋数据传输打入“持续法律不确定”的状态。每一家把欧洲用户数据传到美国的企业——从 Facebook 到一个 10 人的德国 SaaS 创业公司——理论上都必须做这种“补充措施评估”。在实践中,这意味着:

  • Facebook、Google、Microsoft 等开始大规模投资爱尔兰、德国、荷兰本地数据中心
  • 欧美多家中型公司被迫停止某些数据传输,或重组业务架构
  • 美国情报改革成为欧美贸易谈判的前提议题——任何新的“数据传输框架”都必须先解决 Schrems II 提出的问题15

欧盟委员会与美国商务部再次谈判。EU-US Data Privacy Framework(数据隐私框架,DPF)在 2023 年 7 月生效——这是 Safe Harbor 死后的第三代欧美数据传输协议。它包含拜登政府 2022 年 10 月通过的第 14086 号行政命令——建立一个 Data Protection Review Court(DPRC,数据保护审查法院) 来处理欧盟居民对美国情报访问的申诉16

Schrems 在 DPF 生效的当天宣布——他将再次起诉。“Schrems III”已经在准备中。他的论点是 DPRC 不构成真正意义上的“法庭”——它是行政分支内部的一个评审机构,不具备司法独立性。同时,Section 702 的“对美国人查询”问题仍然存在,每年扩大的 702 目标人数(详见第 12 章)让 DPF 与 Schrems II 提出的要求之间的距离实际上在扩大,不是在缩小。

一个奥地利法学生用 14 年的时间——从 2011 年那 1,222 页 PDF 到 2025 年的“Schrems III”准备——把欧美数据传输的法律地基反复推翻。这是 PRISM 公开后欧洲对美国监控最具体、最有效、最持久的回应。它不是一场战役,是一场持续的法律消耗战。每一次美国与欧盟匆忙签署新协议,Schrems 都立即开始准备下一次起诉。每一次新协议存活的时间——Safe Harbor 15 年、Privacy Shield 4 年、DPF 预计 2-4 年——都在缩短。

Schrems 案的法律层面之外,欧盟还启动了一个更长期的工程——General Data Protection Regulation(GDPR,通用数据保护条例)

GDPR 的立法工作其实在 Snowden 之前就已开始——2012 年 1 月,欧盟委员会就提出了初版草案。GDPR 的目的是替代 1995 年的《数据保护指令》——这部 1995 年的指令是欧盟数据保护法的基础,但因为它是“指令”(directive)而非“条例”(regulation),需要 28 个成员国各自转化为国内法,结果造成欧盟内部数据保护标准的不统一。GDPR 作为“条例”,在所有成员国直接生效,无需国内立法。

但 Snowden 披露让 GDPR 的政治势头发生了根本变化。在 PRISM 公开前,GDPR 的立法过程进展缓慢——美国与欧洲商业团体大量游说弱化条款,欧盟内部多数成员国(包括德国)对“过严”的版本持保留态度。PRISM 公开后,欧洲议会迅速强化立场——把 GDPR 的执行力大幅加强、把“被遗忘权”等条款写入正式文本、把罚款上限从最初草案的“营业额 2%”提高到 4%。

GDPR 在 2016 年 4 月 27 日通过,2018 年 5 月 25 日正式生效。它的几项关键创新已被全球反复引用17

域外效力(Extraterritoriality):凡是处理欧盟居民个人数据的实体,无论该实体在世界何处,都受 GDPR 约束。这一条款一举把 GDPR 从“欧盟法”变成“事实上的全球标准”——任何想做欧盟生意的公司,都必须满足 GDPR。

天价罚款:最高可达全球营业额 4% 或 2,000 万欧元,取高者。这种罚款规模相比之前的欧盟数据保护法是革命性的。1995 年指令下的罚款多在几万到几十万欧元,2015 年 Google 因为“被遗忘权”问题被法国 CNIL 罚 10 万欧元——这种规模的处罚对一个万亿美元市值的公司几乎没有意义。GDPR 的 4% 营业额罚款让 Google、Meta、Amazon 等首次面临“如果不合规会真的损失大笔现金”的处境。

被遗忘权(Right to Erasure):用户有权要求企业删除关于自己的个人数据。这一权利在 2014 年 Google Spain 案中已被 CJEU 确立,GDPR 把它写入正式法律。

数据可携权(Right to Data Portability):用户有权要求企业以“结构化、常用、机器可读”格式提供其个人数据,并将其传输给另一服务提供者。这一权利的政治意图是降低用户在平台之间迁移的成本——也就是削弱大型平台对用户数据的锁定效应。

数据保护官(DPO)强制:达到一定规模的组织必须设立独立的数据保护官——一个有专业资质、向最高管理层报告、不被其他职能干预的角色。

隐私默认(Privacy by Default & by Design):产品在设计阶段必须考虑隐私保护,默认设置必须是最隐私友好的。

72 小时通报:发生数据泄露的实体必须在 72 小时内通报监管机构。

GDPR 生效后的几年里,欧盟数据保护机构开始陆续开出大额罚单。2021 年 7 月:Amazon 被卢森堡数据保护机构罚 7.46 亿欧元(涉及广告定向同意问题)。2022 年 9 月:Instagram 被爱尔兰 DPC 罚 4.05 亿欧元(儿童数据处理)。2023 年 5 月:Meta 被爱尔兰 DPC 罚 12 亿欧元——这是 GDPR 历史上最高罚款,理由是 Meta 在 Schrems II 判决后仍然把欧洲用户数据传输到美国18

但 GDPR 真正的影响不在具体罚款,而在它催生了一个全球数据保护法律范式

GDPR 通过后的几年里,几乎每个主要经济体都通过了它的“本国版本”。

加州 CCPA(California Consumer Privacy Act,2018 年通过、2020 年生效):美国第一部全面数据保护法,明显参考 GDPR 的“用户访问权”“删除权”“不歧视条款”等设计。后续扩展为 CPRA(2020 年通过、2023 年生效),进一步靠近 GDPR19

巴西 LGPD(Lei Geral de Proteção de Dados,2018 年通过、2020 年生效):在结构与术语上几乎是 GDPR 的葡语翻译版。

印度 DPDP Act(Digital Personal Data Protection Act,2023 年通过):印度争论了五年的数据保护法终于通过——基本框架参考 GDPR,但加入了印度政府对数据处理的更广泛例外权20

中国《个人信息保护法》(PIPL,2021 年 8 月通过、2021 年 11 月生效):在数据主体权利、数据处理原则、跨境传输管制等多方面明显参考 GDPR。

日本《个人信息保护法》(APPI):在 2017 与 2020 年的修订中向 GDPR 靠拢,最终在 2019 年获得欧盟“充分性”认定,成为日欧数据自由流动的法律基础。

韩国《个人信息保护法》(PIPA):2020 年大幅修订,2023 年获得欧盟“充分性”认定。

越南、印度尼西亚、泰国、马来西亚、阿联酋、沙特、土耳其、南非——几乎每个主要新兴经济体在 2019-2024 年都通过或大幅修订了自己的数据保护法,大多以 GDPR 为参考框架。

到 2026 年,全球大约 170 个国家有某种形式的数据保护立法,其中至少 80 个明显受 GDPR 影响。这是欧洲监管在 21 世纪发挥的最深远的全球影响力——比欧元、比申根、比任何欧盟外交政策都更深地渗透到全球法律体系。

但 GDPR 的全球扩散并不意味着各国的实际目的相同。这就到了这一章最微妙的部分。

中国《网络安全法》在 2017 年 6 月 1 日生效——比 GDPR 早 11 个月21

它的关键条款是第 37 条:

“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”

这是中国第一次以国家法律层面规定数据本地化——所有“关键信息基础设施”运营者在中国境内收集的个人信息与重要数据,必须在中国境内存储。如果需要出境,必须做“安全评估”。

随后的几项配套立法把这个框架制度化:

  • 2021 年 6 月《数据安全法》:把“数据”作为国家安全的一部分系统化处理
  • 2021 年 8 月《个人信息保护法》(PIPL):在数据主体权利与处理原则上明显参考 GDPR
  • 2022 年《数据出境安全评估办法》:把跨境数据传输纳入预先审批22

中国的官方解释是这套法律体系基于“网络主权”原则——这个概念由习近平在 2014 年首届“乌镇世界互联网大会”上正式提出。“网络主权”主张:互联网不是一个无国界的全球公地,而是各国主权在网络空间的延伸;每个国家有权管理在其境内的网络活动;不存在一个超越国家主权的“全球互联网”。

如果把欧盟 GDPR 与中国《网安法》放在一起,会出现一个让欧洲法学家不太愿意承认的事实:两者在政策结构上有惊人的相似性

  • 两者都要求数据本地化(GDPR 通过 Schrems II 实际上等同要求;中国《网安法》第 37 条直接要求)
  • 两者都建立预先审批的跨境数据传输机制(欧盟通过“充分性决定”+ SCC + 补充措施评估;中国通过“安全评估”)
  • 两者都赋予政府强大的数据访问权(欧盟的“国家安全例外”在 GDPR 第 23 条;中国的“安全审查”权在《网安法》《数据安全法》多处)
  • 两者都建立域外效力(GDPR 适用于全球所有处理欧盟居民数据的实体;中国《数据安全法》第 2 条把“境外组织、个人开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的”也纳入管辖)
  • 两者都通过罚款机制强制合规(GDPR 4% 营业额;中国《个保法》5% 营业额)

差异在政治哲学层面是巨大的——GDPR 的核心叙事是“基本权利”(fundamental rights),把数据保护建立在《欧盟基本权利宪章》的私生活权与个人数据保护权之上;中国《网安法》的核心叙事是“网络主权”,把数据管制建立在国家主权与国家安全之上。GDPR 设计的最终保护对象是个人,中国《网安法》设计的最终保护对象是国家

但在政策实施层面,两者的实际效果在某些方面趋同:

  • 两者都让 Facebook、Google、Microsoft、Amazon 等美国互联网公司必须在欧洲 / 中国境内建立本地数据中心
  • 两者都建立了让美国公司的全球统一数据架构不再可行的制度环境
  • 两者都让本国互联网企业(欧洲:Spotify、SAP、ASML;中国:阿里、腾讯、字节、华为)获得相对竞争优势——因为合规成本对外国企业更高
  • 两者都形成了“我们的公民数据由我们管”的事实主权

这就是这一章核心命题的具体证明:GDPR 与中国《网安法》表面对立,深层动机相同——拒绝美国主导的数据流。GDPR 用“基本权利”语言推进数据本地化;《网安法》用“网络主权”语言推进数据本地化。两者的政治哲学截然不同,但它们做的是同一件事——在自己的国境上建立数据墙,让本国公民的数据不再默认流向美国。

这一观察不是要在 GDPR 与《网安法》之间画等号——两者在保护个人对抗政府权力的能力上有根本性的差异。GDPR 让欧盟居民可以告 Meta、可以告 Google、最终可以推翻欧美数据传输协议。《网安法》给中国公民的相应救济渠道极其有限。这种差异是真实的,不应该被相对化。

但在国际政治经济学的层面上,欧盟与中国是 PRISM 之后最积极推进数据本地化的两个主要权力中心。它们的法律工具不同,但它们在全球互联网生态中起的结构性作用是趋同的——它们共同终结了“美国云作为全球默认”的时代。

俄罗斯的路径与中国相似但走得更早。

2014 年 7 月,俄罗斯通过《关于在收集个人数据时澄清个人数据处理的若干法律修订法》——通常被简称为《数据本地化法》或“242-FZ”。法律 2015 年 9 月 1 日生效,要求所有处理俄罗斯公民个人数据的实体必须在俄罗斯境内存储这些数据23

执行的力度远超中国《网安法》。

2016 年 11 月:LinkedIn 因不合规被俄罗斯通信、信息技术与大众传媒监督局(Roskomnadzor)封锁。LinkedIn 至今未在俄罗斯境内运营。

2018 年 4 月:Roskomnadzor 试图封锁 Telegram——理由是 Telegram 拒绝向俄罗斯联邦安全局(FSB)提交加密密钥。封锁过程中 Roskomnadzor 错误封锁了大量 Amazon、Google Cloud 的 IP 段,导致俄罗斯境内多家无关公司服务中断。Telegram 在 2020 年与俄方达成妥协,封锁解除。

Facebook、Twitter 因不合规被多次罚款——多到俄罗斯通讯监督机构最终把“持续不合规”的罚款金额与营业额挂钩。

然后是 2019 年 11 月 通过的 “主权 RuNet 法”(Suverennyy RuNet)。这部法律赋予俄罗斯政府切断俄罗斯互联网与全球互联网连接的法律权力——通过强制 ISP 部署“深度包检测”(Deep Packet Inspection,DPI)设备,俄罗斯政府可以在边界节点拦截、过滤或完全阻断特定流量。法律的官方理由是“应对外部网络威胁”,但俄罗斯互联网自由倡导者立即指出:这部法律为“必要时切断俄罗斯互联网”提供了法律基础24

2022 年 2 月俄罗斯入侵乌克兰之后,这部法律的实际能力被使用。Facebook、Instagram、Twitter 在 2022 年 3 月被全面封锁——这是俄罗斯第一次大规模封锁西方主流社交平台。同时,Roskomnadzor 大幅扩大了对 VPN 的打击——多家主流 VPN 服务在俄罗斯境内被封。

俄罗斯走的路径与中国类似但更激烈——中国从来没有正式封锁过 Facebook、Twitter、YouTube(它们从 2009 年左右就因独立的政治事件被封,但从未有过明确的法律文件说明此事;俄罗斯则用一部专门的法律明确给政府赋予“必要时切断网络”的权力)。

俄罗斯的另一个特殊点是它与 Snowden 个人的纠葛。Snowden 从 2013 年起就在俄罗斯——先是临时庇护,然后居留许可,然后 2022 年 9 月接受俄罗斯国籍。普京政权在国际层面反复利用 Snowden 案件:每当美国指责俄罗斯进行网络攻击或政治干预,俄罗斯外交部就会反引“美国自己监控全世界、Snowden 是被迫流亡到我们这里的”。这种反指控逻辑在 2014 年克里米亚危机、2016 年美国大选、2022 年乌克兰战争的国际舆论战中被反复使用。

中俄两国还在联合国层面合作推动一套“国际信息安全规则”,与美国主导的“互联网自由”框架对抗。2011 年,中俄向联合国提交“信息安全国际行为准则”草案;2024 年 12 月 联合国通过《打击网络犯罪公约》草案——这是俄罗斯主推、被西方民权组织批评为“赋予各国互相分享公民数据”的国际公约25。中俄共同的目标是把全球互联网治理从“以基本权利为基础”的范式(西方推动)转向“以国家主权为基础”的范式(中俄推动)。

这是 PRISM 之后地缘政治图景的核心矛盾——它把美国推到了一个尴尬位置。美国一方面继续推进“互联网自由”作为外交辞令;另一方面,它的 NSA 监控让“美国主导的数据自由流”在国际层面失去了道德权威。每当美国国务院发表年度“互联网自由报告”指责中国、俄罗斯、伊朗,中俄都会用 Snowden 文件作为反击工具。这种道德权威的损失,是 Snowden 在 2013 年公开 PRISM 时未必预料到、但却是最深远的国际政治后果之一。

印度走的是第三条路径。

印度长期是“全球南方”互联网政治中最复杂的国家——拥有 8 亿网民、世界第二大互联网用户群、最大的英语互联网市场之一,但同时民主体制相对脆弱、政府对平台监管的胃口逐步扩大。

印度在 PRISM 之后的反应可以分为几个阶段。

2013-2017 年:相对低调。印度政府对 Snowden 案件保持外交距离,没有像巴西那样公开取消访问。但印度信息技术部内部启动了对“数据主权”问题的研究。

2017-2019 年:印度最高法院在 Justice K.S. Puttaswamy v. Union of India 案中确立了“隐私权是宪法基本权利”的判例。这一判决(2017 年 8 月)是印度宪法史上的分水岭——9 位法官全票同意,把隐私权写入印度宪法第 21 条(生命权与人身自由权)的内涵26

2021 年:印度发布 Information Technology (Intermediary Guidelines and Digital Media Ethics Code) Rules 2021——简称 IT Rules 2021。这部新规则要求:

  • 大型社交平台(用户超过 500 万)必须设立印度本地的“申诉官”“合规官”“节点联络官”
  • 大型即时通讯平台(如 WhatsApp)必须实现“消息可追溯性”——也就是当政府要求时,必须能告知特定消息的“原始发送者”是谁
  • 必须在 24-72 小时内移除被政府认定为“非法”的内容27

WhatsApp 在 IT Rules 2021 生效当天(2021 年 5 月 26 日)向德里高等法院起诉印度政府——核心论点是“消息可追溯性要求”违反端到端加密原则,违反 Puttaswamy 案确立的隐私权。这场诉讼在 2026 年仍未解决。

2023 年:印度通过 Digital Personal Data Protection Act(DPDPA)——印度第一部全面数据保护法。法律在结构上参考 GDPR,但加入了大量印度政府对数据处理的“豁免权”——包括以“国家安全”“公共秩序”“与外国政府关系”等理由豁免合规要求。印度公民社会批评 DPDPA 是“GDPR 的形式 + 监控国家的实质”。

印度的特殊性在于它同时进行两个相反的方向。在 Schrems / 欧盟方向,它通过 Puttaswamy 案 + DPDPA 建立基本权利框架。在中俄方向,它通过 IT Rules 2021 + 强大的政府访问权扩展国家监控能力。这种“两面下注”的策略让印度在国际互联网治理中保持了独特位置——既不完全倒向“基本权利”阵营,也不完全倒向“网络主权”阵营。

但印度的实际操作显示出向“网络主权”阵营倾斜的趋势。2020 年印度封锁 TikTok、UC Browser、WeChat 等 200 多个中国应用——理由是国家安全。2021 年起印度多次以“国家安全”理由对 Twitter / X 发出内容删除指令——X 在 Elon Musk 接手后多次被印度政府要求删除特定账号、限制特定话题。Pegasus Project 2021 年披露的印度受害者名单(包括反对党领袖 Rahul Gandhi、记者、活动家、最高法院前法官)显示印度政府对 NSO Pegasus 的使用规模可能远超公开承认28

印度的路径展示了一个让欧美隐私倡导者困扰的事实:形式上的 GDPR 式立法不能保证基本权利的实质保护。一个国家可以同时拥有“看起来像 GDPR”的数据保护法与一个高度监控的政府实践。法律文本与执法现实之间可以存在巨大鸿沟。

十一

把所有这些放在一起看——德国、巴西、欧盟、中国、俄罗斯、印度——会形成一幅 PRISM 之后全球互联网政治图景的轮廓。

这幅图景最显著的特征是:全球互联网不再是一个整体

学者用各种术语描述这一现象。Bruce Schneier 在 2013 年 10 月就警告“互联网正在分裂”。Tim Wu 用“splinternet”(碎片化互联网)这个术语。法学家 Anu Bradford 在 2023 年出版的《Digital Empires: The Global Battle to Regulate Technology》中提出“三种数字帝国”的分析框架——美国市场驱动模式欧洲权利驱动模式中国国家驱动模式——这三种模式互相竞争、互相吸收、互相规制29

到 2026 年,全球互联网在功能上已经被切成至少几个相互不完全连通的区域块:

西方互联网:美国 + 欧盟 + 加拿大 + 澳大利亚 + 新西兰 + 日韩 + 大部分拉美 + 部分东南亚。共享主要平台(Google、Meta、Microsoft、Amazon、Apple、X),但被 GDPR / DSA / DMA / 加州 CCPA 等法律分层。欧美之间的数据传输被 Schrems 系列判决永久不稳定化。

中国互联网:长城防火墙之内,自己的搜索(百度)、社交(微信、微博、抖音)、电商(阿里、京东、拼多多)、云生态(阿里云、腾讯云、华为云)、操作系统(鸿蒙、UOS)、CPU(华为麒麟、龙芯、申威)。与西方互联网的连接仅通过受控的国际节点。

俄罗斯互联网:2022 年战争后加速隔离。Facebook、Instagram、Twitter 被全面封锁。VK 取代 Facebook,Yandex 取代 Google。RuNet 法律为“必要时彻底切断”提供了基础设施。但俄罗斯互联网在硬件与基础设施层面仍远不如中国独立——它仍依赖美国 / 中国制造的网络设备。

伊朗互联网:长期高度封闭。但本地基础设施远不如中俄。Tor 与 VPN 仍是主要绕过手段。

数据流分裂区:印度、巴西、土耳其、越南、印度尼西亚——这些国家本地化要求逐步加强,但仍部分接入全球平台。它们的位置是动态的——可能随政治变化向哪个方向倾斜。

这种“互联网巴尔干化”的结果是商业的、政治的、技术的同时分裂。

商业层面:一家美国云服务公司在 2026 年要服务全球客户,需要在欧盟、中国、俄罗斯、印度、巴西、印尼分别建立本地实体、本地数据中心、本地合规团队。AWS 在中国通过 Sinnet(北京)与 NWCD(宁夏)合资运营;Microsoft Azure 通过世纪互联在中国运营。这种合资结构是 PRISM 之前不存在的——它是 PRISM 之后中国《网安法》的直接产物。“跨境数据流的合规成本”一些估算高达全球每年 1,000 亿美元30

政治层面:每一个主要权力中心都试图把自己的监管模式输出为全球标准——GDPR 通过域外效力实现欧洲标准的全球扩散;中国通过“一带一路数字丝绸之路”输出网络治理模式;美国通过《云法》(CLOUD Act 2018)反向要求美国公司向美国执法部门交付存储在境外的数据。三种标准互相冲突——一家公司在中国合规可能违反 GDPR,在 GDPR 下合规可能违反 CLOUD Act,在 CLOUD Act 下合规可能违反中国《数据安全法》31

技术层面:互联网底层协议本身开始出现“分叉”压力。中国曾在 2020 年向国际电信联盟(ITU)提交“New IP”提案——一种“重新设计互联网”的协议草案,加入更强的中央控制能力。提案遭欧美强烈反对,但它显示了一种可能性——长期看,连 TCP/IP 协议族这种最底层的“全球公地”也可能被国家主权切割。

PRISM 在 2013 年公开时,TCP/IP 协议族、ICANN、IETF 这些建立“全球互联网”的机构与标准本身没有被直接挑战。十三年之后,这些机构与标准本身正在被各国主权框架重塑。这不是 Snowden 在 2013 年想要的结果——他在 2013 年的视频访谈中明确说过他相信“自由的互联网是民主社会的基础”——但这是他启动的连环效应在结构层面的实际后果。

十二

把这一章的图景做最后的总结。

默克尔的怒气让“美国是盟友还是监控对象”成为德国政界一个反复触及的问题。罗塞夫的 UN 演讲让“反对美国主导的数据流”成为联合国大会层面的合法政治立场。Schrems 的 14 年法律消耗战让欧美数据传输的法律基础反复被推翻——Safe Harbor 死了、Privacy Shield 死了、DPF 正在被起诉,Schrems III 在路上。GDPR 的全球扩散让“数据保护”从一个欧洲特色变成全球范式——170 个国家有数据保护立法,80 个以上明显受 GDPR 影响。中国《网安法》、俄罗斯《数据本地化法》、印度 IT Rules 2021 在不同的政治哲学下做了同一件事——在国境上建立数据墙,让本国公民数据不再默认流向美国。

如果说有一个清晰的结论可以从这十三年的全球反应中提炼出来,那是这样的:

PRISM 之后,“互联网”作为一个全球性公地的政治可行性消失了。 这不是因为某个特定国家的政策选择,而是因为所有主要国家——欧盟成员国、巴西、中国、俄罗斯、印度、土耳其、印度尼西亚、越南——在 Snowden 披露后都做出了同一类决定:不再把本国公民数据默认交给美国

这种决定有不同的法律包装(基本权利 / 网络主权 / 国家安全)、不同的执行力度(GDPR 罚款 / 中国封锁 / 俄罗斯切网)、不同的国际叙事(保护用户 / 网络主权 / 反美霸权)。但它们的实质效果是趋同的——美国互联网公司在 2013 年享有的“全球默认”地位,已经在过去十三年里被系统性地拆解

讽刺的是,这种拆解的最大受益者不是 Snowden 在 2013 年公开 PRISM 时想要保护的“普通公民”。普通公民在 2026 年面对的是一个比 2013 年更多监控、更多审查、更多本地化要求、更多“数据保护合规弹窗”的世界。真正的受益者是各国政府本身——它们获得了过去无法获得的对本国互联网的控制权。

GDPR 给欧盟政府提供了管制硅谷的法律工具;中国《网安法》给中国政府提供了在本国互联网上拒绝美国情报访问的法律基础;俄罗斯 RuNet 法给普京政府提供了在战时切断网络的开关;印度 IT Rules 2021 给印度政府提供了对全球平台的内容管制权。

每一项立法的明面理由都是“保护公民”。但每一项立法的实际效果都是“扩大国家对本国互联网的主权”。基本权利、网络主权、国家安全——三套不同的语言,相同的方向。

这就是 PRISM 公开后世界做出的最深选择——用国家主权的扩张,回应 NSA 监控的越界。这种选择的代价是全球互联网作为一个连接性公地的死亡;这种选择的收益是各国公民数据不再单向流向华盛顿。

是否值得?在 2026 年这是一个没有简单答案的问题。Snowden 在 2013 年想要保护的“基本权利”在欧盟得到了一种法律保护——但代价是欧盟内部的监管复杂度爆炸;他想要约束的 NSA 监控在过去十年里反而扩大(详见第 12 章)——但 NSA 在欧盟、巴西、印度的影响力受到了真实约束;他想要保护的“自由互联网”在 2026 年比 2013 年更碎片化——但碎片化本身在某些意义上也是对单一霸权的抵抗。

这是 PRISM 之后世界的复杂遗产——没有清晰的赢家,没有清晰的输家,只有一个不再单极的、永远拉锯的、由相互不信任的区域块构成的新互联网。

而启动这一切的,是 2013 年 6 月那 48 小时之后几个不同地方的不同反应——柏林的一个愤怒电话、布拉西利亚的一次国事访问取消、维也纳的一个法学生开始填写投诉表格、上海乌镇一个新概念被提出、莫斯科一个未来 13 年的庇护决定。这些看似分散的反应,构成了一场全球性的、没有总指挥的、目的相同但语言相反的反击。

互联网从来不是它的发明者想象的那种全球公地。但它一度接近过。2013 年 6 月之前,它在结构上还接近一个全球公地——尽管这个公地在事实上由美国主导。2013 年 6 月之后,它逐渐变成了一个由相互不信任的国家主权切割成的多极系统。

这是欧洲反击的最大成就,也是它的最大代价。

References

  1. “NSA tapped Merkel’s mobile phone since 2002, report claims.” Der Spiegel English Edition, October 27, 2013. https://www.spiegel.de/international/germany/cover-story-how-nsa-spied-on-merkel-cell-phone-from-berlin-embassy-a-930205.html

  2. “Merkel: ‘Spying among friends is not done.’” Deutsche Welle, October 24, 2013. https://www.dw.com/en/merkel-spying-among-friends-is-not-done/a-17181591

  3. “White House Statements on Merkel Phone.” Press Briefing by Jay Carney, October 24, 2013. https://obamawhitehouse.archives.gov/the-press-office/2013/10/24/press-briefing-press-secretary-jay-carney

  4. “The NSA wiretapping scandal on German-American relations.” OSW Commentary, January 14, 2014. https://www.osw.waw.pl/en/publikacje/osw-commentary/2014-01-14/nsa-impact-wiretapping-scandal-german-american-relations

  5. Greenwald, Glenn et al. “NSA spied on Brazilian oil company Petrobras.” O Globo / The Guardian, September 8, 2013. https://www.theguardian.com/world/2013/sep/09/nsa-spying-brazil-oil-petrobras

  6. “NSA Documents Show United States Spied Brazilian Oil Giant.” Fantástico / O Globo English summary, September 2013. https://g1.globo.com/fantastico/noticia/2013/09/nsa-documents-show-united-states-spied-brazilian-oil-giant.html

  7. “Brazil’s Rousseff at UN General Assembly: Full Speech Video and Transcript.” Democracy Now, September 24, 2013. https://www.democracynow.org/2013/9/24/video_at_un_brazilian_president_dilma

  8. “Brazil’s president condemns NSA spying at UN General Assembly.” The Washington Post, September 24, 2013. https://www.washingtonpost.com/world/national-security/brazils-president-condemns-nsa-spying/2013/09/24/fe1f78ee-2525-11e3-b75d-5b7f66349852_story.html

  9. “Marco Civil da Internet.” Wikipedia. https://en.wikipedia.org/wiki/Brazilian_Civil_Rights_Framework_for_the_Internet

  10. “Vaza Jato: Telegram leaks that rocked Brazil’s Lava Jato operation.” The Intercept Brasil, June 2019 onwards. https://theintercept.com/series/secret-brazil-archive/

  11. “Max Schrems.” Wikipedia. https://en.wikipedia.org/wiki/Max_Schrems

  12. “Judgment of the Court (Grand Chamber) of 6 October 2015 - Case C-362/14.” Court of Justice of the European Union. https://curia.europa.eu/juris/liste.jsf?num=C-362/14

  13. “Safe Harbor: U.S. tech companies are scrambling to comply.” Reuters, October 7, 2015. https://www.reuters.com/article/idUSKCN0S12N220151007/

  14. “Judgment of the Court (Grand Chamber) of 16 July 2020 - Case C-311/18 (Schrems II).” Court of Justice of the European Union. https://curia.europa.eu/juris/liste.jsf?num=C-311/18

  15. “How Schrems II Changed Privacy Law.” TrustArc. https://trustarc.com/resource/schrems-ii-decision-changed-privacy-law/

  16. “EU-US Data Privacy Framework: A Brief History.” OneTrust. https://www.onetrust.com/blog/eu-us-data-privacy-framework-a-brief-history/

  17. “General Data Protection Regulation.” Wikipedia. https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

  18. “Meta fined record €1.2bn over EU-US data transfers.” BBC News, May 22, 2023. https://www.bbc.com/news/technology-65669839

  19. “California Consumer Privacy Act (CCPA).” State of California, Department of Justice. https://oag.ca.gov/privacy/ccpa

  20. “Digital Personal Data Protection Act, 2023.” Ministry of Electronics and Information Technology, India. https://www.meity.gov.in/data-protection-framework

  21. “Cybersecurity Law of the People’s Republic of China.” Wikipedia. https://en.wikipedia.org/wiki/Cybersecurity_Law_of_the_People%27s_Republic_of_China

  22. “China’s Data Localization Law: Comprehensive but Ambiguous.” Henry Jackson School / University of Washington JSIS. https://jsis.washington.edu/news/chinese-data-localization-law-comprehensive-ambiguous/

  23. “Russian Data Localization Law (242-FZ).” Library of Congress Law. https://www.loc.gov/item/global-legal-monitor/2015-09-21/russia-data-localization-law-becomes-effective/

  24. “Sovereign internet law (Russia).” Wikipedia. https://en.wikipedia.org/wiki/Sovereign_internet_law

  25. “UN cybercrime treaty raises human rights concerns.” Human Rights Watch, December 2024. https://www.hrw.org/news/2024/12/24/un-cybercrime-treaty-raises-human-rights-concerns

  26. “Justice K.S. Puttaswamy (Retd.) v. Union of India.” Supreme Court of India, August 24, 2017. https://main.sci.gov.in/judgment/judis/45102.pdf

  27. “Information Technology Rules 2021 (India).” Ministry of Electronics and Information Technology. https://www.meity.gov.in/content/notification-dated-25th-february-2021-gsr-139e-information-technology-intermediary

  28. “The Pegasus Project: India.” Forbidden Stories / Amnesty International, July 2021 onwards. https://forbiddenstories.org/pegasus-project-india/

  29. Bradford, Anu. Digital Empires: The Global Battle to Regulate Technology. Oxford University Press, 2023.

  30. “The cost of data localization: Friendly fire on economic recovery.” European Centre for International Political Economy (ECIPE), 2014 (with subsequent updates). https://ecipe.org/publications/dataloc/

  31. “CLOUD Act.” U.S. Department of Justice. https://www.justice.gov/criminal/criminal-oia/cloud-act

  32. “Why China’s New Data Security Law Is a Warning for the Future of Data Governance.” Foreign Policy, January 28, 2022. https://foreignpolicy.com/2022/01/28/china-data-governance-security-law-privacy/

  33. “Personal Information Protection Law of China (PIPL).” China Briefing / Dezan Shira & Associates. https://www.china-briefing.com/news/the-prc-personal-information-protection-law-final-a-full-translation/

  34. Schneier, Bruce. “Will the Internet Become Balkanized?” Schneier on Security blog, October 2013. https://www.schneier.com/blog/archives/2013/10/

  35. “Gaia-X: A federated and secure data infrastructure for Europe.” European Commission. https://gaia-x.eu/

  36. “The NetMundial Multistakeholder Statement.” NETmundial Initiative, São Paulo, April 24, 2014. https://netmundial.br/