接着上篇。在国际磋商中，总存在两个对立观点:

一方振振有词，认为互联网、数据经济天然就应该坚持数据自由流动，计算和存储设施本地化要求不仅是对效率、效益的违背，更是与互联网开放、自由的精神背道而驰。这些过分的要求将会分裂互联网！

另一方则认为数据在自由流动时还应该保障流动是安全的，否则数据越流动，可能造成的危害就越大。前段时间沸沸扬扬的针对银行间SWIFT系统的网络犯罪就是一个明显的例证。犯罪分子入侵孟加拉国家银行的SWIFT终端，伪造挪款指令发送至美国纽约州联邦银行，美国的银行员工因信任SWIFT系统，于是执行了该指令，最终造成8100万美元的损失。看，在没有安全的前提下，一串不安全的指令（其实也就是数据）自由地从亚洲流到美国，能造成多大的危害。而数据本地化要求是为实现数据安全的一种措施而已。

一、数据本地化——无奈之举

其实，许多情况下一个国家施加基于国别的要求（nationality-based requirements），无论是数据本地化留存，还是计算和存储设施本地化要求，本质上是一种规制手段跟不上的无奈之举。

在监管者看来，现在ICT产品的供应链是如此复杂，参与供应链的各个实体是如此地多样化、如此地全球化，威胁和漏洞有可能在任何环节入侵或植入产品中。一方面面对巨大的风险和未知，另一方面承担着保障安全的压力，监管者很自然会认为在国境内的生产、国内的企业和人员相对可控，因为监管者有一系列的法律、行政等方面的手段可对其施加影响。

二、越来越普遍的数据本地化

实际上，世界上不少国家在立法中都明确设立了数据本地化的要求，只不过范围有大有小而已。请大家看下图：

首先，颜色比灰色深的国家，都或多或少设立了数据本地化的要求。其次，颜色越深，数据本地化要求的范围或程度就越强。下面这张图是说明。

看，欧盟位居第二梯队。无论是95年的指令，还是新近通过的《通用数据保护条例》（GDPR）都对个人数据流出欧盟做了原则性限制。

GDPR第44条规定，“向第三国或国际组织传输个人数据，以及个人数据的后续传输必须遵守的前提是，数据控制者、数据处理者遵循本章节的有关规定，以及符合《条例》其他条款规定。本章节所有条款应全部适用，以保障《条例》对自然人的保护水平不会降低。” （Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to theother provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.）

换句话说，如果第三国或国际组织无法提供与欧盟相称的数据保护水平，那欧盟的个人数据就不应当流向该第三国或国际组织。

三、美国“搬起石头砸了自己的脚”

美国当然是数据不应本地化存储的最大倡导者，无论是在TPP协定，还是G20、OECD等平台上，美国的声音最大，或者把一些国家推到前台，自己躲在后面，然后在必要的时候，或者谈判陷入僵局时再跳出来。

但“棱镜门”事件曝光出，美国“老大哥”（big brother）一直在利用自己的技术和产业优势，肆无忌惮监控全球互联网上的数据流。很自然，不少国家会想到利用“主权”（sovereignty）这个法律盾牌，抵挡美国监控黑手。这也是为什么在斯诺登泄密之后，欧洲有不少政治家提出建立“欧洲云”的设想。

回到上篇公号文章中描述的微软与美国政府的争端中，如果美法院最终判定FBI搜查令成立，那从其他国家的角度来看，美国互联网企业就可以类比成美国领土在自己境内的延伸。这样的话，仅仅要求“数据存储本地化”已经不够，下一步还得靠产品和服务的完全本土化，才能挡住美国的窥探。

有趣的是，微软可能已经提前在为此做准备了。2015年12月，微软和德国电信下属的公司T-Systems合作，在德国设立云计算中心。此项合作的精妙之处在于，按照德国法律的规定，T-systems是此项合作安排中的“数据托管者”（data trustee）；微软能否访问数据，最终由这个数据托管者说了算。因此即便最终美国法院支持了FBI的“跨境”搜查令，如果T-systems没有给予授权，微软也无法向美国政府提供数据。

上篇公号文章中美国纽约南区联邦地区法院首席法官洛蕾塔·普瑞斯卡（Loretta Preska）提出这样的观点：“案件问题的关键在于‘谁控制这些信息，而非信息所在位置’”。微软与德国电信的这项合作，显然是为应对这个观点的“未雨绸缪”。这下微软可以对美国政府说，看，“不仅数据不在美国，而且也不在我的控制之下，真的没法给你”。

首先，美国不应当利用自己的技术优势侵害各国的主权。当然，这就话说了没什么用，但还是要让美国人知道，只要你的监控措施还是无所顾忌，那别的国家提数据本地化要求，你就没什么理由说三道四。

其次，主要大国或者国际社会共同探讨在ICT供应链全球化趋势不可逆的情况下，什么样的机制和标准可以保障供应链的安全，进而保障最终的产品和服务的安全可信。拿出双方都认可的标准和机制，不仅能让企业受益（如中兴、华为在美国，思科、因特尔在中国等），对全世界来说，也是巨大的贡献。