当我们谈论数据主权时我们在谈论什么？
——从文献综述出发

刘妍

1 引言

近年来，百年变局与世纪疫情交织，全球政治格局动荡不安，创造了一个普遍的风险社会，其中包括了各种经济脆弱性和数字风险[1]。各国纷纷加强国家数据治理的前瞻性布局，采用多种方式应对数字社会的全新挑战。在这之中，数据主权作为一种法律工具被广泛运用于数据安全治理实践，为国家行为体提供了应对数字空间多种难题的崭新方式。

然而，由于数据主权并非一个既定的法律概念，因此学界对它的理解有很大差异[2]，映射到实践中，这种理解偏差演变成了对数据主权的误解与滥用。譬如，一些国家将数据主权与数据本地化画上等号，批判主张数据主权的国家是在践行“数据保护主义”[3]或“数据民族主义”[4]，称这些国家妨碍了数据的自由流动，在这种误解下首当其冲的便是俄罗斯和中国。然而，数据本地化也好、数据跨境流动也罢，二者是国家基于数据主权原则对本国数据的管辖方式，皆为数据主权的实践体现，将数据主权仅仅等同于数据本地化是狭隘的。也有一些国家忽视《联合国宪章》确立的主权平等原则，过度泛化管辖范围，导致国内数据治理规则溢出，形成长臂管辖的事实。相应的，这些国家往往被冠以“数据霸权主义”[5]或“数据殖民主义”[6]之名。误解不仅仅发生在国家主体间，企业、个人也在或积极或保守地主张数据主权，权且不论数据主权的行使主体到底是谁，这种对数据主权的不当主张已引起各类主体的数据权益冲突。凡此数据主权困惑，皆为概念之迷失。要消解数据主权原则下的多重利益矛盾，首先需要了解的是，数据主权这一概念到底指向的是什么？政界、学界提此概念的目的与侧重是什么？梳理现有研究可以发现，对数据主权的差异解释，背后有着迥乎不同的逻辑与价值观。

国内外近5年的研究已有2篇综述类文章探讨了数据主权的定义问题，其中张晶的研究以我国102篇文献为样本，梳理了数据主权的基本内涵、保护缘由、保护模式和保护路径，在一定程度上展示了我国数据主权议题的阶段性研究进展，但并未深入揭示数据主权本身的深刻内涵[7]。Patrik等人的研究为了解国外学者对数据主权的理解提供了极具启发性的梳理，借其所分析的341份外文文献，我们能够了解国外学者谈论数据主权的语境，以及行使数据主权时面临的困境及出路[8]。诚如两位作者所言，数据主权本身是一个复杂的话题，还需要更多研究的系统性分析。事实上，如果考虑到数据主权本身兼具的国内法与国际法双重关涉[9]，则需要综合考察数据主权在国内与国际上的不同语境和工具价值。换言之，必须统筹国内外研究，对数据主权的定义做更为深入的讨论，需要明确当国内外政企学研都在谈论数据主权时到底是在谈论什么，以使数据主权在政治使用和学术研究中达到一贯理解。本文将开展这项工作。

2 研究设计

在付熙雯等人综述研究的框架指导下[10-11]，本文采用内容分析法对数据主权相关中英文文献进行收集、整合与评价。首先，制定了如下检索策略：中文文献数据来源为中国知网（CNKI）数据库，以TKA=（‘数据主权’+‘数字主权’+ ‘网络主权’+‘信息主权’+‘互联网主权’）为检索式，为确保文章的质量，将来源类别限定于CSSCI；外文文献数据来源为Web of Science（WoS）数据库，以TS=（＂data sovereignty＂ OR ＂digital sovereignty＂ OR ＂cyber sovereignty＂ OR ＂information sovereignty＂）为检索式。检索得到1998-2023年间中文文献340篇、1986-2023年间外文文献489篇，通过粗略阅读标题与摘要，初步剔除重复发表或与本文研究内容不相关的中文文献65篇、外文文献107篇；为了保证研究的直接相关性，继续概览全文，如果文献提到与数据有关的主权概念，如数字技术、信息基础设施等，则被纳入本文研究范围，基于此剔除与数据主权不直接相关的中文文献183篇、外文文献261篇，最终选取了与本研究最为密切的中文文献92篇、外文文献121篇，共计213篇文献作为研究样本，研究文献集的检索时间截点为2023年5月11日。文献检索与筛选策略如图1所示。

其次，在Patrik等人的段落分析指导下[8]，构建本研究的内容分析框架。在文献分析过程中，发现对数据主权的理解一般从概念演进、内涵、工具价值、行使主体、具体权能、应用展开，针对这6项内容学者们存在相似或迥然相异的见解。基于此本文构建了如表1所示与数据主权定义相关的内容分析框架。

表1 数据主权定义的内容分析框架Table 1 Content Analysis Framework for the Definition of Data Sovereignty

3 结果分析

3.1 数据主权概念的演进

早期，国家通过分疆划界主张领土主权，国家主权主要在物理空间体现。信息技术的快速发展将人类带入信息时代，引发了国家关系的大变革，也激发了许多学者对网络空间国家管辖能力的思考，国家主权的外延从物理空间延伸至网络空间，出现了诸如互联网主权[12]、信息主权[13]、网络主权[14-15]等新的主权理论。进入大数据时代，既有主权理论难以适应国家管辖海量数据的现象[16]，学者们迫切地将数据主权意识提高到与网络主权意识同等甚至更高的程度，以便于国家在网络空间和任何包含数据的领域主张主权利益，国家主权由此发展到以数据主权为核心的阶段。

有关数据主权与网络主权的关系，存在截然相反的两种观点。一种观点认为数据主权是网络主权的一个子项，是针对网络中的数据流的主权[2]；另一种观点则认为数据主权更能涵盖大数据时代的国家利益需求，更具形成国际、国内共识的现实性[17]，不论从实体概念还是空间范畴上来讲都广泛于网络主权[9,18]。

3.2 数据主权的基本内涵

现有研究对于如何定义数据主权远没有形成统一见解，在国内外学者对数据主权内涵进行解释的尝试中，可以看到基于多种不同因素的考量，如表2所示。

表2 数据主权内涵的解读维度Table 2 Interpretive Dimensions of the Connotation of Data Sovereignty

从法律维度来看，一方面，数据主权往往与数据的控制和/或管辖相关。一是国家对数据的控制与管辖，有观点指出，由于数据的跨境分布式存储为各国政府执法机构的数据调取带来管辖权上的争议，因此国家使用强制力控制、管辖数据就是数据主权的体现[19-21]；二是企业对数据的控制，有学者认为现下企业的数据收集、存储和处理能力非常强，并将这一能力视作企业的数据主权[26]；三是个人对数据的控制，有研究认为个人数据已经遭到了广泛披露，泄露后的个人数据很难再界定为其个人所有，因此应更加关注个人对自身数据主权的主观体验[22]。另一方面，数据主权也与数据存储位置紧密联系，如一些学者认为数据主权是一国将数据置于本国管辖范围内的尝试[27]，绝对的数据主权意味着能够在任何时候重新决定数据是否存储或如何存储[28]。

从技术维度来看，一些学者将数据主权与软硬件技术自主等量齐观，认为通过建造专用海底电缆、数据路由、国家加密邮件系统、领土本地数据存储以及云服务，可以实现更大的自给自足，进而实现主权[23]。也有学者将数据主权与算法联系起来，把数据主权视作是将数据放置在特定民族国家边界内的一种技术手段，其关键问题在于开发数据存储成本最低的技术对数据进行定位[24]。

从贸易维度来看，数据主权是对数据贸易的最高独立权力，主要运用于制定数据跨境流动和数据本地化规则[25]。

3.3 数据主权的工具价值

各国缘何提出程度不一的数据主权诉求？或者说数据主权有何工具价值令国际社会趋之若鹜？综合国内外研究，可以总结为以下几点。

第一，利用数据主权保障国家数据安全。2013年“棱镜门”事件令全球各国对美国产生信任危机，数据主权被认为是保障国家数据安全、免受他国数据监控的法律手段。具体而言，在数字空间的主权框架下，一国的网络监控行为需要合法性证明才能实施[29]，这能够有效保障他国免遭非法不知情的情报收集或数据监控。还有学者指出，网络空间的持续武器化显著增加了国际冲突的风险，已上升到网络战的水平，加强数据主权安全建设能够完善网络空间的治理[30]。

第二，利用数据主权对抗美国数据霸权。美国拥有全球最强的数字技术实力，拥有最多的数据巨头企业，许多国家在网络基础设施和关键核心技术方面受制于美国[6]。因此，在一些国家，数据主权被认为是对抗美国数据巨头、在数字经济市场获得本国发展权利的一种手段[31]。譬如，西班牙一些公司对过度依赖美国的数据巨头企业表达了高度担忧，认为美国的数据霸权地位已构成一种“新殖民主义”[32]。

第三，利用数据主权协调网络空间的法律冲突。在国界模糊的网络空间中，以美国为代表的一些国家依据单边管辖安排实施域外规治[33-34]，如跨境调取位于他国的数据或要求他国披露数据，最典型的如“Microsoft-Ireland Case”（即微软爱尔兰案）[35]。这种情况下某个管辖区的数据治理规则可能与其他管辖区的规则相冲突，法国经济、财政及工业、数字主权部长布鲁诺·勒梅尔称，要能够“完全隔绝”美国依据其国内法跨境获取法国数据的风险，维护法国的数字主权[36]。

第四，利用数据主权巩固国家在数字空间的权威。在数据赋能的权力结构变迁中，市场权力向占有大量数据资源的网络平台流动，受资本裹挟孪生出的侵蚀公权力根基的平台权力影响了国家权威[37]，一些数据巨头企业意图接管甚至开始接管被视为与主权息息相关的政府职能[38]。因此，数据主权的适当主张被许多国家视作为一种合法性工具，用以对抗平台权力、保证国家对数据流的控制，进而巩固国家的主权权威。譬如，针对Facebook发行加密货币Libra的尝试，美国政府在2022年6月出台的《美国数据隐私和保护法案（草案）》（American Data Privacy and Protection Act，ADPPA）中，采取了限制大型科技公司的数据货币化的措施用以维护国家主权[39]。

第五，利用数据主权争取或维持国家在数据领域的竞争优势。欧洲政策研究中心（Centre for European Policy Studies，CEPS）估计，目前西方世界 92% 的数据存储在美国[40]。因此，对许多其他国家来说，数据主权的重要价值在于避开美国、争取让本国在数据竞争中拥有一席之地。当前，欧盟委员会已将欧洲数据主权列为优先事项，在《塑造欧洲的数字未来》《欧洲的数字主权》等多份法律文件中强调数据主权的重要意义，目的是弥补过去几十年因软件和硬件开发不足而造成的竞争劣势[28]。美国则采取诸多措施来维持其数据竞争优势，如严格限制外国企业获取美国数据，将他国具有竞争力的高科技公司列入制裁实体名单，禁止这些公司与美国开展业务[39]。2023年4月，美国蒙大拿州国会通过全面禁止短视频分享平台TikTok的法案，作为其主张数据主权的一部分。

3.4 数据主权的行使主体

数据主权到底是谁的权利/力？现有研究中有三类数据主权的行使主体，即国家、个人和企业，如表3所示。其一，大部分学者主张数据主权是国家主权在网络空间的自然延伸，因此数据主权的主体理应是国家[9,17,41-44]。其二，也有一些学者基于以人为本的自治，认为数据主权是个人对个人数据及其使用方式的“命运”的掌控[45]，主张每个数据主体对其数据拥有主权[46]，将数据主权视作是支持个人表达隐私意愿的法律概念。其三，数字企业则由于其强大的数字技术能力，对数据的实质控制、支配乃至垄断能力[47]，以及在数字市场发展中具有的准立法权、准行政权和准司法权[48]，也被视作数据主权的拥有者。

表3 现有研究中数据主权的三类行使主体Table 3 Three Types of Subjects Exercising Data Sovereignty in Existing Studies

3.5 数据主权的具体权能

沿袭对传统主权的理解，国外许多学者将数据主权分为对内主权和对外主权[49-50]，国内学者则更进一步，在以国家为主权行使主体的研究中，对内形成了以管辖、控制为核心的权利束，对外形成了以平等、独立为诉求的权利束，如表4所示。

表4 数据主权的具体权能Table 4 Specific Competencies for Data Sovereignty

第一，对内以管辖控制为核心的权利束。数据主权对内是一种支配性力量，强调一个国家对于本国内部互联网的绝对控制力[56]，在国内而言主要包含数据控制权、所有权、管辖权、立法权和行政权等。其中，多数学者赞同，数据主权视野下的控制权是指国家对数据内容和利用方式的有效控制能力；管理权是对本国数据输入输出的管理；管辖权是国家对本国网络设施、数据、数据主体的管辖；立法权是制定数据相关法律法规的权利。

第二，对外以平等独立为诉求的权利束。数据主权对外以平等权为核心诉求，主要有平等权、独立权、防卫权、共享权、合作权和自主发展权等。其中，平等权一般和独立权共生共存，是指不存在除国家之外的外部权威来决定主权国家的内部事务，各国主权彼此平等，独立地管理国内事务；防卫权是指国家具有对外来网络攻击和威胁进行防卫的权力；共享权是指在国际合作的基础上，实现全球信息资源共享；合作权是指在独立享有主权的基础上，各国均有相互合作、参与国际规则的制定和决策的权利。

3.6 数据主权的应用

从数据主权实践的主要场景、实践中面临的挑战及学界给出的相应对策，能够清楚地了解数据主权的具体应用情况和前景。

3.6.1 数据主权实践的场景

数据的跨境流动是国家数据主权关系体现的主要场景，也是2016年之后国内外学者讨论数据主权实践问题时的研究重点。我国学者对当前全球数据跨境流动的规制模式做了比较全面的解读，如吴沈括将全球数据跨境流动政策归纳为三种模式，分别是以俄罗斯和澳大利亚为代表的刚性禁止流动模式，特点是禁止数据出境，高度重视数据安全；以欧盟和韩国为代表的柔性禁止流动模式，特点是数据可在特定情形下自由流动；以及以印度和印尼为代表的本地备份流动模式，特点是数据在流动的同时要在本国特定数据中心进行备份[42]。该研究比较清晰地归纳了各国数据流动政策的侧重点。胡炜做了一定补充，将美国模式称之为商业利益优先理念下的宽松立法，以行业自律为主，数据流动政策相对宽泛自由[57]。至于在国家数据主权观念或政策的对比中，中美关系是最为引发关切的内容[58-59]。

3.6.2 数据主权面临的挑战

学者们对数据主权行使过程中面临的风险、挑战展开了激烈辩论，大体可总结为主体挑战、价值挑战和规则挑战三类，如图2所示。

图2 数据主权面临的挑战Fig.2 Challenges to Data Sovereignty

第一，主体挑战，体现为国家网络安全受到多元主体削弱。学者们讨论了三个维度的问题，一是由少数网络发达国家带来的网络空间发展不对称挑战，如一些“信息富国”为了占领网络空间的发展要地，通过信息位势差挤压“信息贫国”的发展空间，导致事实上的“信息侵略”[4]；二是多元化的非国家组织带来的挑战，如“准国家”“超国家”“跨国家”等组织机构的涌现挤压了国家在网络空间行使主权的活动空间[60]；三是大量个体化的网民也可能产生危害国家主权的效果，除去那些训练有素、蓄意破坏的专业人员之外[61]，网络意见人士[62]也有可能通过其作为意见领袖的主体地位影响意识形态安全。

第二，价值挑战，体现为国家政治经济文化价值受到侵蚀。有学者从政治、经济、文化角度论证了数据主权遭到侵蚀的具体表现[37]，网络空间的开放性使政府处于公众或其他国家的监管之下，全球舆论的迅速形成也给政府带来无形的外部压力，使其决策和行为受到约束，从而在一定程度上改变了主权政府的政治结果[63]。网络空间的开放性同时也导致国家难以控制网上舆论，其中产生的“新政治媒体”通过发声和主张可能形成一股网络政治力量，削弱国家政治权威[64]。

第三，规则挑战，体现为国家管辖规则规制效力受到减损。从国内层面来看，一是数据的跨境流动与存储本身就已经削弱了国家的管辖能力[16]；二是由于网络空间无法与物理空间一一对应，传统司法管辖中的属人原则或属地原则等难以适用。从国际视角来看，一些网络大国具有互联网规则和行业标准制定上的优势地位，这使得其他国家进入互联网必须要接受这些网络大国制定的网络规则[60]。

3.6.3 数据主权的保障路径

纵览现有研究，学界对治理数据主权风险、捍卫网络空间安全和发展利益的建议，无外乎考虑法律规制、技术革新、人才培养、文化引导等方面，有的是兼论之，有的是专其一而阐述。如图3所示。

图3 数据主权的捍卫与治理Fig.3 Defense and Governance of Data Sovereignty

第一，法律层面，完善国内管制，加强国际合作。绝大多数学者呼吁国家应当健全网络空间数据政策，如严格规制国内的网络传播[65]，强化内容管理[66]，调整和建立数据存储、流动和利用的相关法律[67]。一些学者提倡严格的法律风险管理，认为关键的政府信息资产最好限制在本国领土内，以排除外国管辖权[43]。当然，数据主权问题具有国际性，国家间的适度合作是必要[17,68-69]，学者建议国家应当积极参与全球网络规则的共同制定与治理[66]，将数据主权视作全球公共产品[70]，积极参与制定全球共同适用的数据规则体系[54]。

第二，技术层面，加强技术创新，促进网络发展。与全球经济的其他要素相比，数据与权力更紧密地交织在一起[71]，数据主权能力与数字技术实力几乎成正比关系[6]。各国学者都十分强调建设本国关键信息基础设施[72]、攻克关键核心技术[73]及拥有根域名服务器[74]的重要性。

第三，人才层面，培养专业人才，应对网络风险。我国学者提出需要培养一批网络空间国际法专业人才，通过人才扶持政策发出中国声音，争夺网络空间立法的话语权，走出以网络强势国家为中心的困境[75]。人才培养环境也十分重要，成熟的市场环境和产业体系是网络强国构建的重要基础[73]。国外学者同样重视人才储备对于数字技术创新的重要性[60]。

第四，文化层面，宣传主流意识，维护国家形象。网络空间的文化也具有巨大的竞争性，内容建设是网络空间软实力培育极其重要的一个环节[76]，需强化网络组织建设，维持政府在网络社会的正面形象[77]。

4 讨论

4.1 研究评述

由以上分析可见，数据主权是一个跨学科的知识，涉及法律、科技、贸易、文化与政治等经济社会发展的方方面面，因此定义数据主权是一项充满挑战的工作。基于现有研究所揭示的内容，可以对数据主权做一个粗略的共同理解：数据主权往往与控制、管辖数据流相关，与传统主权类似，对内体现为最高权威，对外体现为独立自主，常常在国内数据治理、平台治理、数据跨境流动、国际管辖权冲突协商的场景中被使用，在维护国家数据安全、抵抗他国数据霸权、协调网络空间法律冲突、保障本国主权权威和维持竞争优势方面具有工具价值。然而，要明确数据主权的内涵与外延还有很长一段路要走，尤其现有研究尚存不少局限。

4.1.1 主权意识强烈，但理论支撑贫瘠

第一，数据主权的行使主体尚未达成共信。有学者认为数据主权是基于国家管辖、国家安全、发展利益而产生，有的认为是个人保护其隐私或者知情同意等数据权利的概念，还有的认为是数据巨头企业基于其强大的数据分析处理能力而获得的主权。这既体现了学界关于数据主权概念的界定不够严谨，也体现了对数据主权的认识尚不深刻，才呈现出多重行使主体的问题。研究该主题的学者主要集中在国际关系、信息资源管理、法学和计算机等领域，对主体的认识模糊可能源自学科壁垒，需要在历史和法理的维度予以阐清。

第二，数据主权的主要内容并未形成共识。现有研究对数据主权的权能划分其实并不明晰，有的是相互包含着的，有的并非是公法意义上的，这也体现了对数据主权性质的认知模糊。主要不足体现在两方面，一是管理权和管辖权概念不分，有的认为管理权包含了管辖权，有的又认为管理权在管辖权之下。事实上，管理权一般用作企业和个人主体层面，国家一般用管辖权来彰显权威，国家对内的主权权能用管辖权来表称应更为恰当，且管辖权本身包括立法管辖、司法管辖和执法管辖，用立法权与管辖权并列来表达对内的数据主权也是不严谨的。二是所有权源于民法概念，是一种物权性质的私权，国家是公权力机关，主权是公权，我们惯用的“国家所有权”的本质是“公共法人所有权”，其并非严谨的法律概念[78]，部分学者所称的数据主权的所有权仍不外乎是国家的管辖权。可见，廓清数据主权的性质也是研究其主要内容的重要前提。

第三，各国数据主权的边界厘清缺乏有效协商。国家在行使数据主权维护本国安全利益时，应当受到什么样的限制？各国处于主权竞争与博弈状态时，数据主权的边界是什么？这也正是明确国家间行为准则的问题，令人遗憾的是，网络空间国际规则在这方面仍缺乏建树。明确国家间的数据主权限制规则或例外规则，都是推动网络空间立法的基本内容，也是各国在网络空间开展友好合作的关键步骤，但通过国家间友好协商推进前述限制性规则的制定难度较大，毕竟若想通过国际法对国家产生强制力，要么能征得当事国的同意，即自愿限制，要么能产生国际强行法，而既得利益方受自愿限制的可能性微乎其微[79]。因此，制定一个平等协商、福利共享、责任共担的数据主权国际条约便值得深入探讨。

4.1.2 风险感知敏锐，但归因探讨匮乏

风险与治理是数据主权研究的重点之一，近20余年学者们产出了丰硕的成果，从主体、行为和规则的各个角度总结、预警了数据主权存在的风险挑战，提供了很好的风险研究图景，为网络安全与国家安全敲响了警钟，但仍有改进之处。

第一，风险探讨未能把握网络空间特有特征。现有研究所提出的数据主权风险与全球化时代跨国公司对民族国家造成的冲击是十分类似的，都是超越了威斯特伐利亚条约所确定的国家领土边界，冲击了传统国家主权权威。但是，网络空间具有全然不同的特征，是人类实践活动的新空间、新领域，其寄身于物理空间但自成虚拟空间，与全球化时代跨国公司在物理空间的跨越截然不同。因此，研究数据主权风险，或者研究网络技术对传统主权的冲击，需要深刻把握网络空间的特质，才能分析出数据主权受到的质变性风险。

第二，风险的研究面向和研究方法较为单一。学者对数据主权风险的现有判断，主要来自于文献分析，着重理论层面的讨论，缺乏实践问题的结合。事实上，数据主权问题并非单纯是学术问题，更是国际竞争与合作、国家战略与发展问题，中美贸易战、科技战应当是不可忽视的研究面向。同时，网络空间安全问题也并非知识法律问题，同时与技术交叉，尤其是网络战在俄乌冲突中已经成为了近在眼前的风险，因此对数据主权风险的探讨也需要在技术层面来考量。需要运用统计学、数据科学等其他学科的知识来调研、判断风险来源，丰富数据主权风险识别、风险评估、风险归因和风险治理的方法。

4.1.3 安全高度重视，但对策落地艰难

如何真正实现数据主权，许多学者都站在国家安全、网络安全的角度建言献策，体现了对安全问题的高度重视，但是建议是否能够得到实行还有待商榷。

第一，各国立法长足进步，但立法目的难以达成。当前各国的做法以关注本国安全为主，忽视了与他国的共同安全。虽然学者们强调国际合作，但是各国做法却是回避了网络空间的国际性，往往是以一国单方行为强调国家在网络空间的主权，虽然强化了国家对其的管辖和控制，但是无法从根本上推动网络空间的有效治理。网络空间的主权问题是国内国际的双重关切，如果没有国内法的严格保护，那么本国的数据主权安全与利益皆会受到损害，但同时如果不遵从国际法或者不考虑其他国家，强硬的国内法只会成为侵犯他国数据主权的霸权行径。

第二，安全建议流于表面，欠缺可落地的指导。如何维护网络空间安全、如何捍卫数据主权，学者们提出了诸多建议，谋之有方的尚且只有构建相关原则的论述。然而，学者们所倡导的独立与平等原则、合作共治原则等是我国在全球性事务治理中一直强调的原则，放之任何国际性议题皆准。即便有少数学者对数据跨境流动的分级分类规则和其他国家长臂管辖的阻断规则有的探讨一定深入，但也仅仅停留在说理的应然层面，缺乏对各国法律、战略和司法举措的实然考察。尤其是学者们反复提及的域外合作、全球治理，几乎是在原地踏步，近年来几乎没有太多强有力的举措在国际层面推进网络空间治理的有效磋商。

4.2 未来展望

本文仅仅是将现有研究情况如实描绘，但并非代表笔者完全认可一些观点。譬如，现有研究将数据主权分为国家数据主权、企业数据主权和个人数据主权三大类，但笔者认为数据主权的行使主体有且仅有一个，即国家。这一论断的展开笔者在另一文中有所论述[9]，当然也值得后续研究给予更为深入的解释。另外，当前对数据主权权能划分的方法乃沿袭威斯特伐利亚体系而来，该体系下的国家主权基于具有明确界限的地理疆域。然而网络已模糊了地理边界，因此对数据主权权能的划分需要有新的标准和原则，当然已有学者作出了初步探索，如忽视地理因素，将数据主权分为强数据主权与弱数据主权[27]或硬数据主权与软数据主权[9]。未来需要更多的学者来关注主权从物理空间到网络空间的变化。

4.2.1 深化数据主权理论的法理探讨

霸权国家、数据巨头企业、网络意见人士等多元主体带来的主体挑战，从根本上讲是国家对网络空间行使主权的合法性、合理性和正当性问题没有得到恰当解决。未来研究第一应当从主权历史溯源，确定国家作为数据主权行使主体的唯一性和对网络空间进行治理的必然性，从理论与实践的角度阐明为何企业或者个人不是主权主体；第二，厘清新的数据法律秩序与旧秩序的关系，确定新规则是对旧制度的继承性发展还是否定性重构，进而明确数据主权的制度内容，并在国际法层面寻求共识，找到各国数据主权政策的合理连接点；第三，确定数据主权的权力行使范围，明确数据主权能做什么、不能做什么，更进一步地，要讨论数据主权责任问题，每一个国家不能单方面主张数据主权从而获得利益，还应当承担相应的主权责任，网络空间需要新的“和平共处五项原则”。

4.2.2 深究数据主权风险的内在逻辑

如前所述，数据主权的风险研究面临的问题是未能结合网络空间特征进行归因，且研究方向、研究方法较为单一的问题。未来研究可以进一步解构网络空间的结构，分析每一层结构中所遇的风险，结合网络空间在大数据时代蕴含的战略价值，分析国家在价值争夺中的博弈重点和风险所在，深究数据主权风险的内在逻辑。同时，拓宽研究视野，采用法学、国际关系、数据科学、经济学、管理学等多重学科领域的研究方法和研究框架来理解风险内容、风险成因，并从制度与技术的视角提供维护国家数据主权安全的方案。

4.2.3 深研数据主权建设的方案对策

霸道的单边立法在网络空间是行不通的，站在我国的角度，我国数据主权的政策应当既维护我国利益，又兼顾他国合理诉求，既符合我国本土传统，又遵守国际法基本要求。如何实现以该目标为准则的立法安排或战略主张，应当是未来研究的重点内容。从国际视野来看，国家间各种合作协议的生效一定是建立在互信协商的基础之上，因此，大国之间在处理数据主权问题时应当首先建立数据互信机制，在此基础上针对各国的数据执法权力进行协商，确定国家数据政策的交汇区间，进而构建国际数据主权合作条约或标准。我国于2021年9月申请加入《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP），未来研究可围绕CPTPP本身价值、加入条件以及我国应当做的调整展开深入论述。与此同时，应将对策的题眼放小，围绕一个关键对策展开论述，以解决现实问题为最终目标。