查看原文
其他

TikTok过堂,美国国会到底几个意思?

法嘉LAWPLUS
2024-09-05

以下文章来源于小贝说安全 ,作者securityfact


#1

前言

开局即高潮,这是人们评价一部博人眼球电影的常用语。北京时间3月23日夜里,大洋彼岸的美国国会召开了一场针对TikTok的听证会,正适用这句话。剑拔弩张也好,刀光剑影也罢,国会议员们洒向人间都是怨,中资背景企业在美国面临空前危机。如果真是一部电影,开局的高潮之后或悬疑片,或动作片,或战争片,或恐怖片。那么,TikTok是部什么片呢?


北京时间3月23日深夜,美国国会举行了针对TikTok的听证会。这场听证会称得上史无前例,美国媒体铺天盖地报道,很多中国人也经历了不眠之夜。对这场听证会,我们从以下一些角度进行评论:


 1 

 这场听证会是怎么来的?

历史脉络是什么? 


自特朗普政府时起,美国政商两界、媒体和智库一些人持续污蔑TikTok将海外收集的数据交给中国政府,威胁美国公民隐私和国家安全。 



2019年11月,CFIUS(美国外国投资委员会)启动对中国字节跳动公司收购Musical.ly音乐短视频应用的审查。2019年11月至2020年7月间,美国参议院召开针对中国的听证会,拟推动立法封禁TikTok。2020年7月,参议院国土安全和政府事务委员会讨论并投票通过《禁止在政府设备上使用TikTok应用法案》。同期,美国众议院投票通过将“在政府设备中禁用TikTok”条款纳入2021财年《国防授权法案》修正案。2020年8月,时任总统特朗普签署2份行政命令,要求限制TikTok在美国境内的下载、更新和运营,并要求字节跳动在90天内剥离TikTok。此禁令一直未生效,但CFIUS随后对TikTok展开国家安全审查。


2021年6月9日,拜登政府发布行政令,撤回特朗普时期的TikTok、微信禁令,但维持了CFIUS审查。其并非放松管制,而是要求针对“外国敌手”开发的软件应用出台一揽子限制措施,打击力度超过特朗普执政时期。此后,美国商务部出台信息通信技术和服务交易(ICT交易)的暂行最终规则,审查美国企业和中国企业的ICT相关交易是否会导致美国个人敏感数据面临“不当或不可接受的风险”。美国司法部开始酝酿推动出台新法律,以阻止TikTok等中国背景应用程序收集和访问美国公民敏感数据。 


2022年6月17日,美国新闻聚合平台BuzzFeed报道称,在其获得的80余次TikTok内部会议音频显示,字节跳动的中国员工在2021年9月至2022年1月期间“不断访问”美国TikTok用户的非公开数据。该报道认为TikTok高管在国会作了虚假陈述,隐瞒了中国政府可以获取美国数据的事实。 此报道一石激起千层浪。6月23日,以科顿为首的数名共和党参议员致函财政部部长耶伦,要求在7月22日前,就特朗普TikTok行政令的执行情况以及拜登政府针对TikTok进行的国家安全审查进展回答一系列问题。


6月24日,美国联邦通信委员会共和党籍委员卡尔致函苹果和谷歌CEO,称因为“北京可以不受限制地访问敏感的美国用户数据”,TikTok没有遵守苹果和谷歌的规则,要求苹果、谷歌应用商店下架TikTok。弗罗里达州参议员斯科特随即在推特上发文表示支持。6月27日,布莱克本等9名美国国会参议员致函TikTok首席执行官周受资,要求其于7月18日前对BuzzFeed报道所涉相关问题进行澄清。对此,TikTok进行了较为妥善的应对,以公开信形式回复了9名参议员的提问。


7月5日,美国国会参院情报委员会主席华纳和副主席卢比奥联名以委员会名义致函联邦贸易委员会(FTC),引用BuzzFeed报道,指控“TikTok在其数据安全、数据处理和公司治理实践方面一再做出虚假陈述”,并要求开展调查。仅一个月内,便有超过20多民美国议员对TikTok发难,TikTok事件彻底引爆,震荡至今,直到美国召开此次听证会。



 2 

  这场听证会反映了美方何种战略意图?          

一是,数据安全与国家安全的关系进一步紧密,其重要性不断上升,美试图确保绝对控制力。有过棱镜项目经验的美国极为清楚数据安全是国家安全的重要组成部分。剑桥分析事件更显示出社交平台对政权稳定和国家平稳运行可能产生的巨大影响。因此,被美国视为主要竞争对手的中国企业旗下应用成为比肩脸谱、推特的重要数据平台,其在美国受欢迎程度无疑引发了美国政界和智库的恐慌和担忧,美不允许这样的平台“失控”,更不允许其掌握在中国手中。 


二是,以数据为核心的数字经济已经成为经济发展的新引擎,国际贸易实质上是数据跨境流动。在此趋势下,数据安全成为国际规则核心议题,将重塑国际政治经济格局。为维持其霸主地位,美国力图掌控规则制定权。TikTok进入美国市场后,其迅速扩张的市场份额与日益庞大的社会受众,引起美国部分政客与企业领袖的严重不满,试图通过污蔑、打压TikTok制造中国负面形象,以此削弱中国在全球数据规则制定中的话语权和影响力。 


三是,网络安全议题始终是美对华遏制优先选项。通过炒作数据安全问题,对中国企业进行制裁、封禁,是美国进一步扩散对华恐慌情绪,打压中国科技竞争力、维护其全球科技领导地位的升级版遏制手段。从美国前国务卿蓬佩奥的“清洁网络计划”起,美国长期炮制中国数据安全威胁论,将经贸问题政治化,试图在IT领域彻底清除中国元素。 


四是,网信企业全球影响力是国家竞争软实力的重要组成部分,国家利益到哪里,信息化就覆盖到哪里。网信企业的良性发展,既关乎企业自身的良好运行,也关乎社会科学技术的发展与综合国力的提升。因此,中国科技企业的海外发展必然受到美国的持续打压,数据安全只是借口。 


五是,封杀外国应用程序有助于保护本国市场。TikTok的成功,冲击了美国老牌社交媒体的市场地位,严重影响其营收。


因此,部分企业采取游说政府制裁TikTok和公开抨击等举措,意图促进美国当局对TikTok进行打压,最终目的是将TikTok驱逐出美国市场。 


 3 

西方国家对中国数据安全“怨念”

有何来由?


不仅仅是美国国会和美国政府对中国的数据安全持敌视态度。事实上,在美国的影响下,整个西方社会对中国的数据安全有很深的怨念。这种怨念直接指向了中国的三部法律:《国家情报法》《数据安全法》和《密码法》。 


美国政府和国会声称,是“中国法律迫使所有中国公司和实体向政府移交在国内外收集的数据”,理由是中国《国家情报法》第7条规定:“任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。”


事实上,该条是对公民维护国家安全义务的原则性阐述,且《国家情报法》随后第8条还规定:“国家情报工作应当依法进行,尊重和保障人权,维护个人和组织的合法权益。”但西方社会有意忽略了第8条,并由第7条演绎出了骇人听闻的结论。 不仅如此,美西方国家还指,《国家情报法》可能迫使中国公司在国外销售的设备和软件中制造后门和其他安全漏洞,以便中国政府能够很容易地访问不受中国公司控制的数据;《数据安全法》意味着中国的态度发生了更大的转变,不再把保护中国数据系统作为一种防御机制,而是把收集数据作为一种攻击性行为;《密码法》要求,任何被“批准”在中国使用的加密系统,或由处理中国数据的公司使用的加密系统,都必须向中国政府提供其加密密钥。这些描述很容易引起恐慌,但完全是无中生有。 美西方国家将这种制造恐慌的手法用到了极致。例如,拿《国家情报法》的奖惩制度大做文章,着力渲染一种“给数据受奖,不给数据受迫害”的恐怖气氛。在网络安全事件处置中加强信息共享以提升共同应对能力,这是美国几十年来的实践,但美政府却将《数据安全法》的相关表述解释为“中国将建立一个集中的程序来监测和评估风险,与中国相关机构共享数据”。不仅如此,还将风马牛不相及的信息共享与国家安全审查相关联,进一步为数据安全风险评估和监测预警机制蒙上了一层神秘面纱,有意诱导读者向“阴谋论”方向联想。



《密码法》第31条要求建立商用密码监督管理信息平台,这个平台主要是对行业监督管理信息进行发布和查询,但却被美国政府描述成“使国家密码管理局得以访问商业密码系统,包括访问这些系统保护的数据。其结果是国家密码管理局可以完全获得解密密钥、口令以及访问商业加密服务器上的数据所需的任何其他信息。因此,寻求在中国做生意的美国技术公司必须交出知识产权和技术。” 


在外交场合,我们可以用“一派胡言”来驳斥美西方国家,无需多言。但是,如果西方社会的民众长期生活在这种舆论环境下,后果可想而知。从这一意义上说,听证会只是一个形式,美西方国家对中国数据安全的敌视,绝不可能通过什么听证会得到缓解。 


 4 

    如何总体评价这场听证会的效果? 


一是,不必对听证会上美国政客的表演大惊小怪。初次观看国会听证会现场视频的人可能会奇怪,甚至会义愤填膺。这些议员为何蛮不讲理?为何歇斯底里?


事实上,不这样当不了议员,不这样成不了国会,这是他们的“职业”。即使美国总统到国会过堂,也是这样的“待遇”。这场听证会当然是针对中国的,且怀有对中国的深深敌意,但就听证会的风格而言,一直都是这样,美国互联网企业的大佬们到了听证会上,结果也好不到哪里去。还要看到,这次听证会上提的议题非常之广,与其说是针对TikTok,不如说是针对中国的IT政策、互联网政策、网络安全政策。美国议员积怨已深,TikTok被当成了出气筒而已,议员们提出任何奇葩问题都不奇怪。 


二是,不能指望听证会解决什么问题,对听证会的结果本就应该有预判。这就回到中美博弈的本质了。从历史上看,美国政客对中国的敌意是没有哪次通过听证会解决的。此次听证会后,有人总结说“场面极其难看”“彻底失败”,一些美国议员也发帖抱怨听证会“效果极差”“一场灾难”。但这要反过来看,是否存在着不出现这些结果的其他可能性呢?答案是,没有,绝不可能有。因此,对于听证会的结果评价,我们应该放平心态。这并不是说要对结果不当回事,而是要认识到,任何结果都不是因为听证会上TikTok的表现造成的。 


三是,功夫在诗外,TikTok为应对危机还可做更多努力。明知山有虎,偏向虎山行,那是一种勇气,但依然希望险中取胜。但当你走进考场时,考官已经在你的成绩单上打了59,你还要不要考试呢?当然要考,你有证明自己实力、打脸考官的机会为什么不去展现?但问题是,在这种场合下,这已经由一方对另一方的考试演变成了两方的斗争。必须有这种斗争意识。


长期以来,中国企业在美经营遇到国家安全挑战时,都希望在商业轨道内进行解决。例如,你说我不透明,那我全给你看;你说我不安全,那我交给你管。其结果是,所有举措都是无用功。人家根本就不是从商业逻辑来看待问题的,他谈的是国家安全问题,是对抗属性的,你怎么能够靠商业思维解决呢?有人认为,TikTok在听证会上应对乏力,显然准备不足,其CEO周受资也表现不好。这显然是小瞧TikTok了,事实上TikTok做了大量功课。之所以出现昨晚的局面,这是策略选择的问题。现阶段,TikTok还主要是以商业规则来应对,也是中国企业的第一选择,但显然这还不够。 


 5 

    如何评价这场听证会的重大影响? 


另一场可以类比此次听证会的,是当年华为、中兴参加的美国国会听证会。后果已经摆在眼前,其直接按下了持续至今的美国对华高科技封锁按钮,是引发飓风的那只亚马逊丛林中的蝴蝶。 但此次事件的影响,可能还要远远超出当年华为参加的听证会。


互联网服务、数据安全关切,这两个关键词揭示了事件的影响范围将扩展至所有场景、所有活动,中美网络空间博弈将进入以数据安全为核心的新阶段,这也将对中美外交经贸关系产生巨大冲击。 具体而言,如美国阴谋得逞,此事可能在国际上引发以下后果: 


一是,在全球制造舆论,继续抹黑中国政府形象,进一步恶化我国际生存环境。根据2021年商业媒体Business insider开展的民调,接近一半的美国人仍相信TikTok会根据中国政府要求把美国人的数据交给中国。BuzzFeed报道更是在美国掀起了新一轮对中国数据安全的普遍质疑。而此次听证会前后,虽然TikTok在美国已经有了坚实的用户基础,但很多民众仍或多或少受到了影响,相关民调并不利于TikTok。 


二是,美国将借此构建所谓的“可信数据流通圈”,将中国排除在世界经济体系之外。美国正通过未来互联网联盟、全球跨境隐私论坛等机制,以数据安全为由构建排除中国的小圈子。如,在美国蛊惑下,多名英国议员曾炒作中国政府“强迫某中资企业全球分享其用户数据”,反对该企业进入英国。长此以往,美西方国家将在经济上彻底孤立中国,从而达到全面绞杀中国的目的。 


三是,中美“脱钩”可能加剧。美国当局一直希望解决供应链问题,以减少对中国的依赖。本次事件使得美国政界、社会对中国企业的不信任进一步加剧,可能造成中美科技“脱钩”深化。特别是,数据是当前经济活动中的基础要素,以数据为由可以打任何牌,议题可以是任何领域,这将使中美经贸纠纷的影响范围进一步扩大。 


四是,中企的国际化发展面临严重困难,“双循环”格局部署受到影响。近年来,随着中美战略竞争态势不断加剧,美国在对华技术转让、关键技术出口控制等方面的遏压力度不断加码,同时积极运用经济调查乃至制裁等手段,扼制中国企业海外业务正常开展,我国企业国际化之路十分困难。


此次事件进一步恶化了中企的国际化发展环境,所有相关企业都应密切关注事件动态,并做好应对预案。因为在数据安全问题上,中国企业面临的海外挑战是一样的,没有本质区别,甚至与是否为互联网企业没有关系。 


 6 

   对我们有何启示? 


“如果美国看到美国正在对美国做的事情,美国一定会入侵美国,并从美国暴政下解放美国。” 这句话入木三分,值得深入思考。美国有国家安全诉求,我们就没有吗?美国关注数据安全,我们就不关注吗?这些年来,美国对我们做了什么?我们应该怎么反制?在技术和业务层面上,美国做得了初一,我们能不能做得了十五? 


至少,在国家数据安全顶层设计中,美国针对TikTok建立了以下制度: 


一是对数据进行分类,提出“受保护数据”概念。美国议员在向财政部部长、联邦贸易委员会致函时,都要求国家数据安全保护体系中增加“受保护数据”类。其目的是,通过提出新的数据分类概念,强调商业领域普通用户的数据安全对于国家安全的重要性,要求中国高科技公司重点保护美国敏感个人信息如电话、出生年月等的安全,以便加强对中国互联网公司的数据安全监管。对于“受保护数据”的范围,目前还没有确定。美国议员们认为,TikTok现有的隐私政策和保护力度不足以保护美国“受保护数据”,美国用户的数据处于暴露之中。 



二是要求TikTok建立“管用分离”的用户数据储存模式,以防美国用户数据流入中国。对于“受保护数据”如用户生日、电话号码等,美方要求TikTok公司与甲骨文云服务商合作,把搜集到的美国用户信息存储在德克萨斯数据中心,而不能存储在位于中国的总公司字节跳动。此前存储在新加坡的数据,将在与甲骨文达成合作协议这项工作完成后,全部被删除,完全转向位于美国的甲骨文云服务器。对于这些“受保护数据”的访问权限,只能授权特定的美国员工,而不是中国员工。该方案的实质是与美国第三方公司合作的用户数据储存模式,建立一个低风险的境外企业数据存储系统。 


三是,启动由CFIUS负责的国家安全审查,组建第三方专业技术团队对TikTok数据安全技术措施进行评估。在2019年起,CFIUS牵头开始负责对TikTok的数据安全问题进行审查。在德克萨斯项目当中,CFIUS专门负责TikTok与甲骨文数据存储的协议推进和内容进行监管,并且数据访问协议的内容将由甲骨文和CFIUS合作协定,TikTok无参与权,以此来保证两家企业在政府机关的监管下展开合作。


在TikTok数据安全审查事件当中,多次提到“美国USTS数据团队(United States Techical Services team)”。美国要求建立一支由美国人组成的第三方专业数据安全团队,评估TIkTok公司的数据案技术措施。对于存储在甲骨文云服务器的“受保护数据”,仅授权USTS的某些人员查看。而USTS之外的任何人访问美国用户数据,都应当受到强大的数据访问协议的限制。 本次事件虽是美国对单独一家中资背景企业发难,但显示出其围绕数据安全议题全面制华的态度。美方变本加厉,炒作数据安全议题愈演愈烈,此风不可长,应如何总体谋划、从战略层面进行反制?特别是,美对中资背景企业高度警惕,相较之下,面对美企对我提供大量基础网络服务、大量获取我数据情况,应如何防范?特别是,即使数据在美国“本地化存储”,依然不能化解美国担心,要求必须“管用分离”,我们对美国企业是怎么要求的?今后我们应如何制定“本地化存储”政策?


现在到了必须举一反三的时候了,有必要对以下问题深入思考:


 第一,我国数据分类分级制度该如何发展?我国《数据安全法》提出建立数据分类分级制度,即一般、重要和核心三级。为此,我国先后开展了《重要数据识别指南》《网络数据分类分级指南》等国家标准的制定工作。但在制定过程中,有很多声音认为我国标准规定过严,甚至质疑标准编制组将“国家安全”扩大解释。但从美国“受保护数据”概念的提出看,其对国家安全与数据安全作了更为紧密的关联,甚至如用户出生年月、电话号码等都被赋予了国家安全内涵。从俄乌冲突中西方社交媒体精准定位俄罗斯士兵身份等一系列事件看,个人信息以及商业领域的很多其他类型信息有了越来越突出的国家安全属性。而我国《个人信息保护法》的立法思想只是从民事权益保护出发去考虑问题,这样做是否足够?《个人信息保护法》是否应当修订? 


第二,如何进一步完善网络安全审查制度,特别是明确建立外资机构在华运营的数据安全审查机制?我国《网络安全法》最初提出网络安全审查制度时,主要规范的是关键信息基础设施运营者采购网络产品和服务的行为。此后《数据安全法》设立了数据安全审查制度,为此国家互联网信息办对《网络安全审查办法》作了修订,将网络数据安全审查要求纳入网络安全审查之中。虽然修订后的办法明确,对可能影响国家安全的数据处理活动进行审查,但主要规定的场景是中国企业赴国外上市。即,符合条件的中国企业赴国外上市前,应主动申报审查。其他情况下的网络安全审查,则由国家网络安全审查办公室主动发起,无需申报。但“其他条件”是哪些,实践中并无具体规定。CFIUS的外国投资国家安全审查向来被视为中国网络安全审查制度的重要借鉴。CFIUS对TikTok出手,充分说明了对外资企业处理中国数据进行常态化审查的必要性。即,在《网络安全审查办法》中明确将其列为必须审查的场景。不仅如此,CFIUS的具体审查措施,如关注数据协议、合作方式、数据访问模式等都可拿来为我所用。 


第三,如何健全数据本地化存储制度?美国政府要求TikTok公司与美国云服务商合作,将”受保护数据“全部储存在甲骨文控制的德克萨斯数据中心。我国的做法与之相比远远滞后。《网络安全法》曾提出,关键信息基础设施运营者收集产生的重要数据、个人信息应在境内存储。但实践中,我国监管部门的精力主要放在了数据出境安全管理上,并未对数据本地化存储政策作进一步研究。而且,《网络安全法》只是规范了我国企业的数据出境行为,并未涉及国外企业在我国境内收集处理数据的活动。现在看来,要求境内、境外一些企业实施本地化存储,这只能算作基本要求。更重要的,是要确保数据只能存储在中国政府信任且可控的境内数据中心,且数据访问者应当严格限定为中方人员。


由此看来,此前一些国外企业(如苹果、特斯拉等)仅仅是将中国用户数据存在中国境内而已,这种力度的措施被美国政府认为太弱,从国家安全角度完全不可接受,而我国一些人却认为这是我们在监管手段上的重大进步。两相比较,差距明显。为此,当前我国应在数据本地化存储制度框架下,抓紧细化制度具体内容,明确提出“管用”分离要求。重点是,在我国境内开展业务时收集到的中国用户数据,必须托管给中国企业,且签订的数据安全合作协议应由政府部门审查通过,外资企业不得留存、备份数据。当然,这种托管针对的不是所有外资企业和所有数据,而应严格限定在国家安全领域。


来源:小贝说安全




热门课程


卓越法务与合规精英班招生中

法务必修的争议解决实务工作坊火热招募中!

企业VIP法商内训定制服务

IAPP隐私保护人员认证培训


热门文章


当“窗口指导”不期而至——中国法律合规部与总部针对特定项目或事务的协作

【实务导师谈形势】新形势下跨境并购关注要点解析

总法嘉谈|ChatGPT能通过中国的司法考试吗?


继续滑动看下一个
法嘉LAWPLUS
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存