許皖秀，左曉棟

(中國科學技術大學 公共事務學院，安徽 合肥 230026)

0 引言

近年來，隨著中美戰(zhàn)略競爭態(tài)勢加強[1]，美國以國家安全為借口對中國高科技企業(yè)的壓制愈演愈烈[2]。從嚴格封控對華技術轉讓、關鍵技術出口，再到對華為[3]、中興等中資企業(yè)施加單方面的貿易制裁，美國對中國高科技企業(yè)的發(fā)展虎視眈眈。2022年8月，特朗普政府以“維護美國國家安全”為由，要求各大應用商店封禁字節(jié)跳動公司旗下的TikTok短視頻軟件，這一事件在美國引發(fā)一片嘩然。這一行為在經(jīng)歷數(shù)月的各方博弈后，以拜登政府2021年6月9日簽署的撤銷行政令宣告終結[4]，但美國政府對TikTok的敵視并沒有因此結束。此次美國媒體BuzzFeed與國會議員對TikTok的攻擊卷土重來，甚至遠遠超過特朗普政府時期的打擊強度。美國政府所謂的TikTok威脅數(shù)據(jù)安全的依據(jù)是什么？下一步將要采取哪些措施來遏制中資背景企業(yè)的發(fā)展？美國的政策對我國的數(shù)據(jù)安全監(jiān)管有哪些啟示與借鑒，這是值得研究的重大問題。

1 美國審查TikTok事件回顧

1.1 BuzzFeed報道

2022年6月17日，美國新聞聚合平臺BuzzFeed報道稱，在其獲得的80余次TikTok內部會議音頻顯示，字節(jié)跳動的中國員工在2021年9月至2022年1月期間“不斷訪問”美國TikTok用戶的非公開數(shù)據(jù)。該報道認為TikTok高管在國會作了虛假陳述，隱瞞了中國政府可以獲取美國數(shù)據(jù)的事實。具體而言，其抨擊點聚焦四個方面：

一是受保護數(shù)據(jù)范圍過窄。TikTok擬將所有受保護的美國用戶數(shù)據(jù)轉移存儲到甲骨文公司位于得克薩斯州的云服務器上，而TikTok公司本身不再留存數(shù)據(jù)。由于“受保護信息”的具體范圍由TikTok與美國外國投資委員會(CFIUS)談判確定，而該保護范圍一直懸而未決，當前擬定范圍不包括用戶的公開評論、IP屬地等非敏感用戶信息，存在保護范圍過窄的情況。

二是數(shù)據(jù)能夠被中國國內訪問。該報道提出，雖然TikTok正在與甲骨文達成協(xié)議，將美國用戶數(shù)據(jù)的物理存儲位置從新加坡遷移至美國，由此來確保這些數(shù)據(jù)不受中國法律約束，但根據(jù)該報道的調查和TikTok公司內部工作人員的透露，TikTok母公司字節(jié)跳動的中國員工仍能訪問美國用戶數(shù)據(jù)，數(shù)據(jù)轉移至美國并不會消除“數(shù)據(jù)最終仍會落入中國情報機構手中”的顧慮。

三是TikTok可能會從推薦算法入手，煽動美國民眾并進行社會動員。該報道基于所有中國企業(yè)都會受控于中國政府操控的不實指控，擔憂中國政府有較大可能性通過軟權力指揮字節(jié)跳動，要求字節(jié)跳動總公司指示TikTok調整視頻推薦算法，散播不實言論影響美國民眾認知，從而實現(xiàn)對美國的輿論引導和社會動員。

四是試圖影響美國政策制定，為中國企業(yè)大開方便之門。該報道指出，TikTok希望能借助此次與CFIUS談判契機，影響拜登政府正在制定的海外APP數(shù)據(jù)安全監(jiān)管法規(guī)，為其他中國公司在美國開展業(yè)務創(chuàng)造便利條件，從而擠壓美國國內企業(yè)，達到通過企業(yè)輸入影響美國國家安全的目的。

1.2 TikTok在美數(shù)據(jù)安全問題的歷史脈絡

自特朗普政府時期起，美國政商兩界、媒體和智庫一些人員持續(xù)污蔑TikTok將海外收集的美國用戶數(shù)據(jù)交給中國政府，威脅美國公民隱私和國家安全[5]。

2019年11月，CFIUS啟動對中國字節(jié)跳動公司收購Musical.ly音樂短視頻應用的審查。2019年11月至2020年7月間，美國參議院召開針對中國的聽證會，擬推動立法封禁TikTok。2020年7月，參議院國土安全和政府事務委員會討論并投票通過《禁止在政府設備上使用TikTok應用法案》。同期，美國眾議院投票通過將“在政府設備中禁用TikTok”條款納入2021財年《國防授權法案》修正案。2020年8月，時任總統(tǒng)特朗普簽署2份行政命令，要求限制TikTok在美國境內的下載、更新和運營，并要求字節(jié)跳動在90天內剝離TikTok[6]。此禁令一直未生效，但CFIUS隨后對TikTok展開國家安全審查。

2021年6月9日，拜登政府發(fā)布行政令，撤回特朗普時期的TikTok、微信禁令，但維持了CFIUS審查。其并非放松管制，而是要求針對“外國敵手”開發(fā)的軟件應用出臺一攬子限制措施，打擊力度超過特朗普執(zhí)政時期。

目前，美國商務部已出臺信息通信技術和服務(ICTS)交易的暫行最終規(guī)則，審查美國企業(yè)和中國企業(yè)的ICT相關交易是否會導致美國個人敏感數(shù)據(jù)面臨“不當或不可接受的風險”。據(jù)報道，美國司法部也在醞釀新的法律，以阻止TikTok等中國背景應用程序收集和訪問美國公民敏感數(shù)據(jù)。

1.3 TikTok德克薩斯項目

為回應美國政府對數(shù)據(jù)安全的關切，TikTok與拜登政府達成了一項“充分保障用戶數(shù)據(jù)安全和美國國家安全利益”的最終協(xié)議，即德克薩斯項目。

該協(xié)議的實質是，TikTok采用“數(shù)據(jù)托管加第三方審計”的模式與甲骨文公司合作，將美國用戶的受保護數(shù)據(jù)存儲在位于德克薩斯州的甲骨文數(shù)據(jù)中心，并且授權甲骨文作為“看門人”審計和監(jiān)督數(shù)據(jù)的流動和訪問。所有美國用戶流量均被路由至甲骨文云基礎設施。TikTok后續(xù)擬刪除美國和新加坡數(shù)據(jù)中心的備份。

2 TikTok審查事件最新進展

在過去的一個月內，TikTok審查事件的關注度再度陡增，超過20多名美國國會議員相繼對TikTok發(fā)難，對TikTok威脅美國用戶數(shù)據(jù)安全提出質疑。

6月23日，以科頓為首的數(shù)名共和黨參議員致函財政部部長耶倫，要求在7月22日前，就特朗普TikTok行政令的執(zhí)行情況以及拜登政府針對TikTok進行的國家安全審查進展回答一系列問題。

6月24日，美國聯(lián)邦通信委員會共和黨籍委員卡爾致函蘋果和谷歌CEO，稱因為“北京可以不受限制地訪問敏感的美國用戶數(shù)據(jù)”，TikTok沒有遵守蘋果和谷歌的規(guī)則，要求蘋果、谷歌應用商店下架TikTok。弗羅里達州參議員斯科特隨即在推特上發(fā)文表示支持。

6月27日，布萊克本等9名美國國會參議員致函TikTok首席執(zhí)行官周受資，要求其于7月18日前對BuzzFeed報道所涉相關問題進行澄清。對此，TikTok進行了較為妥善的應對，以公開信形式回復了9名參議員的提問。

7月5日，美國國會參院情報委員會主席華納和副主席盧比奧聯(lián)名以委員會名義致函聯(lián)邦貿易委員會(FTC)，引用BuzzFeed報道，指控“TikTok在其數(shù)據(jù)安全、數(shù)據(jù)處理和公司治理實踐方面一再作出虛假陳述”，并要求開展調查。

7月22日，民主黨議員喬希·戈特海默和共和黨議員布萊恩·菲茨帕特里克聯(lián)合提出一項新法案——《打擊社交媒體有害行為法案》(簡稱“CHATS”)，將矛頭直指TikTok與其他“可能危害年輕用戶”的應用。這項新的法案將包括舉報犯罪行為及與其關聯(lián)的社交媒體平臺，并將修改聯(lián)邦調查局過去一成不變的犯罪行為舉報制度。同時，這兩位議員也向TikTok首席執(zhí)政官周受資致信，要求其在12月1號之前，就TikTok如何保護青少年隱私、向海外分享美國用戶數(shù)據(jù)等問題予以回復。

可以預見，近期一系列的事件僅是美國政客制裁TikTok“車輪戰(zhàn)”的開始，美國政府對TikTok的審查將延續(xù)并進一步趨嚴，TikTok與CFIUS就國家安全的協(xié)議談判將更為困難。而拜登政府正在制定的海外APP的監(jiān)管法規(guī)也可能迫于壓力提出更為嚴苛的要求?；诖?，有必要對美國政府針對TikTok數(shù)據(jù)安全監(jiān)管措施進行具體分析。

3 美國針對TikTok數(shù)據(jù)安全監(jiān)管措施

3.1 美國關注數(shù)據(jù)安全監(jiān)管的原因

第一，數(shù)據(jù)安全與國家安全的關系進一步緊密[7]，美國試圖確保數(shù)據(jù)安全領域內的絕對控制力。有過“棱鏡”項目經(jīng)驗的美國極為清楚，數(shù)據(jù)安全是國家安全的重要組成部分，類似“劍橋分析”事件更顯示出社交平臺對政權穩(wěn)定和國家平穩(wěn)運行可能產(chǎn)生的巨大影響。因此，中國企業(yè)旗下社交應用在美國成為比肩臉譜、推特的重要數(shù)據(jù)平臺，無疑引發(fā)了美國政界和智庫對數(shù)據(jù)安全的恐慌和擔憂。在科頓致函財政部部長耶倫的信中，強調“TikTok當前方案無法解決特朗普行政令中指出的國家安全風險”，因為“隱患不僅存在于數(shù)據(jù)領域，更關乎一家中國企業(yè)對美國社交媒體的所有權”，強調拜登政府不能只關注數(shù)據(jù)存儲問題。

第二，維系美國在全球數(shù)據(jù)規(guī)則制定中的話語權和影響力。以數(shù)據(jù)為核心的數(shù)字經(jīng)濟已經(jīng)成為經(jīng)濟發(fā)展的新引擎，國際貿易實質上是數(shù)據(jù)跨境流動[8]。數(shù)據(jù)安全已成為國際規(guī)則制定的核心議題，美國為維持其在國際政治經(jīng)濟格局中的霸主地位，正力圖掌控數(shù)據(jù)規(guī)則制定權。TikTok進入美國市場后，其迅速擴張的市場份額與日益龐大的社會受眾，觸動了美國部分政客與互聯(lián)網(wǎng)企業(yè)的既得利益，通過打壓TikTok等企業(yè)，意圖削弱中國在全球數(shù)據(jù)規(guī)則制定中的話語權和影響力。

第三，網(wǎng)信企業(yè)全球影響力是國家競爭軟實力的重要組成部分，網(wǎng)絡安全議題始終是美對華遏制的優(yōu)先選項。通過對中國網(wǎng)信企業(yè)進行制裁、封禁[9]，美國進一步擴散對華恐慌情緒，打壓中國科技競爭力、維護其全球科技領導地位。從“清潔網(wǎng)絡計劃”開始，美國長期炮制中國數(shù)據(jù)安全威脅論，將經(jīng)貿問題政治化，試圖在IT領域對華進行升級遏制，徹底清除所謂“中國元素”。

第四，封殺外國應用程序有助于保護本國市場。國家利益到哪里，信息化就覆蓋到哪里。網(wǎng)信企業(yè)的良性發(fā)展，既關乎企業(yè)自身的良好運行，也關乎國家科學技術的發(fā)展與綜合國力的提升[10]。對美國而言，TikTok的成功，沖擊了美國老牌社交媒體的市場地位(如表1所示)。因此，部分企業(yè)采取游說政府和公開抨擊等舉措，意圖促使美國當局對Tik-Tok進行打壓，最終目的必然是將TikTok驅逐出美國市場，維系其自身利益。

表1 2021年度TikTok與其他社交軟件用戶數(shù)據(jù)對比

考慮到美國在數(shù)據(jù)安全角度不斷遏制中國高科技企業(yè)發(fā)展，有必要針對此次TikTok事件，具體分析美國的數(shù)據(jù)安全監(jiān)管措施。

3.2 美國數(shù)據(jù)安全監(jiān)管措施

一是將數(shù)據(jù)安全升級到國家安全角度，并以此為由對中資高科技企業(yè)進行安全審查。從對華為進行芯片斷供、封禁5G產(chǎn)品，再到以泄漏美國用戶數(shù)據(jù)為由，要求TikTok退出美國市場，實質上是將商業(yè)競爭升級到國家安全層面來進行。數(shù)據(jù)安全是中美博弈背景下壓制中國科技企業(yè)的最新手段。在TikTok事件中，美國通過新聞媒體報道渲染，不斷地針對中資企業(yè)進行所有權和政治背景調查，煽動美國內群眾情緒和認知，企圖以這種方式封殺外國尤其是中國互聯(lián)網(wǎng)公司，從而保護本國的應用市場。

二是對用戶數(shù)據(jù)進行分類，提出“受保護數(shù)據(jù)”概念。美國議員在向財政部部長、聯(lián)邦貿易委員會致函時，都提出了“受保護數(shù)據(jù)”概念，并認為TikTok現(xiàn)有的隱私政策和保護力度不足以保護數(shù)據(jù)安全。通過提出新的數(shù)據(jù)分類概念，強調數(shù)據(jù)安全對于國家安全的重要性，要求中國高科技公司重點保護美國敏感個人信息(如電話、出生年月等)的安全，以便加強對中國互聯(lián)網(wǎng)公司的數(shù)據(jù)安全監(jiān)管。“受保護數(shù)據(jù)”的范圍目前還沒有確定，現(xiàn)有記錄表示不會包括公共評論、用戶公開的個人資料等，但目前甲骨文公司與CFIUS對此拒絕予以置評。

三是要求TikTok建立“管用分離”的用戶數(shù)據(jù)存儲模式，以防美國用戶數(shù)據(jù)流入中國。該方案的用戶數(shù)據(jù)存儲模式是與美國第三方公司合作，建立一個低風險的境外企業(yè)數(shù)據(jù)存儲系統(tǒng)。對于“受保護數(shù)據(jù)”，美方要求TikTok公司與甲骨文云服務商合作，把搜集到的美國用戶信息存儲在德克薩斯數(shù)據(jù)中心，而不能存儲在位于中國的總公司字節(jié)跳動。此前存儲在新加坡的數(shù)據(jù)，將在與甲骨文達成合作協(xié)議工作完成后，全部予以刪除。對于“受保護數(shù)據(jù)”的訪問權限，只能授權特定的美國員工，而不能是中國員工。

四是啟動由CFIUS負責的國家安全審查，組建第三方專業(yè)技術團隊對TikTok數(shù)據(jù)安全技術措施進行評估。在2019年起，CFIUS牽頭開始負責對TikTok的數(shù)據(jù)安全問題進行審查。在德克薩斯項目當中，CFIUS專門負責TikTok與甲骨文數(shù)據(jù)存儲的協(xié)議推進和內容進行監(jiān)管，并且數(shù)據(jù)訪問協(xié)議的內容將由甲骨文和CFIUS合作協(xié)定，TikTok無參與權，以此來保證兩家企業(yè)在政府機關的監(jiān)管下展開合作。在TikTok審查事件當中，美國要求建立一支由美國人組成的第三方專業(yè)數(shù)據(jù)安全團隊，評估TikTok公司的數(shù)據(jù)案技術措施，即多次提到的“美國USTS數(shù)據(jù)團隊(United States Techical Services team)”。對于存儲在甲骨文云服務器上的“受保護數(shù)據(jù)”，僅授權給USTS的特定人員查看。而USTS之外的任何人訪問美國用戶數(shù)據(jù)，都應當受到強大的數(shù)據(jù)訪問協(xié)議的限制。

五是利用法律手段監(jiān)管數(shù)據(jù)安全。除了在政府層面制定一系列的數(shù)據(jù)安全監(jiān)管措施外，美國還加快了針對數(shù)據(jù)安全法律責任的立法工作。民主黨議員喬?！じ晏睾Ｄ凸埠忘h議員布萊恩·菲茨帕特里克共同提出《打擊社交媒體有害行為法案》，擬調整美國聯(lián)邦調查局原有的犯罪舉報制度，將社交媒體平臺納入舉報對象，以此增加TikTok在數(shù)據(jù)合規(guī)、青少年隱私保護方面的法律責任，形成美國全社會層面的監(jiān)督監(jiān)管。

同時，美國最新提出兩份數(shù)據(jù)安全法案，開始加強對“數(shù)據(jù)經(jīng)紀生態(tài)系統(tǒng)”的監(jiān)管。第一部法案是6月15日提出的《健康和位置數(shù)據(jù)保護法》，加強了對美國公民位置與健康兩類數(shù)據(jù)的特別保護，在執(zhí)法層面授予相關部門與受害者兩類人群的訴訟權利。該法案旨在禁止數(shù)據(jù)經(jīng)紀人出售或傳輸美國人的位置與健康數(shù)據(jù)。第二部法案是6月23日提出的《2022保護美國人數(shù)據(jù)免受外國監(jiān)視法案》，開展對數(shù)據(jù)的分類和跨部門合作，對于敏感個人數(shù)據(jù)(如位置和健康數(shù)據(jù))采取禁止出售或傳輸?shù)墓芾硪?guī)定，對于易被利用的數(shù)據(jù)采取建立黑白清單的方式來保護國家安全。制定黑白清單的考慮因素包括該國的數(shù)據(jù)保護水平、強迫公民提供數(shù)據(jù)的情況以及與美國是否開展過敵對的情報行動等。

4 我國可借鑒的數(shù)據(jù)安全監(jiān)管措施

美國政府在數(shù)據(jù)安全監(jiān)管層面對華動作不斷，應該如何應對？其中有哪些值得借鑒？今后，我國在數(shù)據(jù)安全監(jiān)管中可以考慮采用以下措施：

一是從國家安全層面進一步深化對重要數(shù)據(jù)和個人信息的認識，完善數(shù)據(jù)分類分級管理制度。我國《數(shù)據(jù)安全法》提出建立數(shù)據(jù)分類分級制度，目前已經(jīng)確定為一般、重要和核心三級。此外，我國《個人信息保護法》確立了個人信息保護制度。在此基礎上，我國《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》提出，國家對個人信息、重要數(shù)據(jù)和核心數(shù)據(jù)均進行重點保護。為此，我國先后開展了《重要數(shù)據(jù)識別指南》《網(wǎng)絡數(shù)據(jù)分類分級指南》等國家標準的制定工作。在制定過程中，有很多聲音認為我國標準規(guī)定過嚴，甚至質疑標準編制組將“國家安全”概念擴大解釋。但從美國“受保護數(shù)據(jù)”概念的提出來看，其對國家安全與數(shù)據(jù)安全作了更為緊密的關聯(lián)，甚至如用戶出生年月、電話號碼等都被賦予了國家安全內涵。從俄烏沖突中西方社交媒體精準定位俄羅斯士兵身份等一系列事件看，個人信息以及商業(yè)領域信息越來越具有了國家安全屬性。下一步有必要借鑒“他山之石”，對重要數(shù)據(jù)的范圍作出更科學和更符合國家安全需求的界定，并從防范國外情報威脅角度完善我國個人信息保護的相關規(guī)定。

二是細化網(wǎng)絡安全審查制度，明確建立外資機構在華運營的數(shù)據(jù)安全審查機制。我國《網(wǎng)絡安全法》最初提出網(wǎng)絡安全審查制度時，主要規(guī)范的是關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務的行為。《數(shù)據(jù)安全法》設立了數(shù)據(jù)安全審查制度，為此國家互聯(lián)網(wǎng)信息辦對《網(wǎng)絡安全審查辦法》作了相應修訂，將數(shù)據(jù)安全審查要求納入網(wǎng)絡安全審查之中，明確對可能影響國家安全的數(shù)據(jù)處理活動進行審查，其主要場景是中國企業(yè)赴國外上市前應主動申報，接受審查。其他情況下的網(wǎng)絡安全審查，則由國家網(wǎng)絡安全審查辦公室主動發(fā)起，無需申報。CFIUS的外國投資國家安全審查向來被視為中國網(wǎng)絡安全審查制度的重要借鑒。此次CFIUS對TikTok的審查，從側面說明了對外資企業(yè)處理中國數(shù)據(jù)進行常態(tài)化審查存在合理性和必要性。CFIUS的具體審查措施，如關注數(shù)據(jù)協(xié)議、合作方式、數(shù)據(jù)訪問模式等，均提供了借鑒。

三是健全數(shù)據(jù)本地化存儲制度，提出數(shù)據(jù)“管用分離”的監(jiān)管要求。美國政府要求TikTok公司與美國云服務商合作，將“受保護數(shù)據(jù)”全部儲存在甲骨文控制的德克薩斯數(shù)據(jù)中心，體現(xiàn)了對數(shù)據(jù)安全的絕對追求。與之相較，我國《網(wǎng)絡安全法》雖然提出關鍵信息基礎設施運營者收集產(chǎn)生的重要數(shù)據(jù)、個人信息應在境內存儲，但在實踐中，監(jiān)管部門的精力仍主要在數(shù)據(jù)出境安全管理上，尚未對數(shù)據(jù)本地化存儲政策作進一步研究。而且，《網(wǎng)絡安全法》并未涉及國外企業(yè)在我國境內收集處理數(shù)據(jù)的活動。與要求境內、境外一些企業(yè)實施本地化存儲的基本要求相比較，更為嚴格的措施是要確保數(shù)據(jù)只能存儲在我國政府信任且可控的境內數(shù)據(jù)中心，且數(shù)據(jù)訪問者應當嚴格限定為中方人員。僅僅將中國用戶數(shù)據(jù)存儲在中國境內，從國家安全角度來看，保護力度仍然不夠。為此，我國應在數(shù)據(jù)本地化存儲制度框架下，明確“管用”分離要求。即企業(yè)在我國境內開展業(yè)務時收集到的中國用戶數(shù)據(jù)必須托管給中國企業(yè)，且簽訂的數(shù)據(jù)安全合作協(xié)議應由政府部門審查通過。外資企業(yè)不得留存、備份數(shù)據(jù)。要注意的是，此舉針對的不是所有外資企業(yè)和所有數(shù)據(jù)，而應嚴格限定在國家安全領域。

四是對境外企業(yè)的數(shù)據(jù)處理活動開展算法、源代碼的透明審查。TikTok公司最近發(fā)布公告，宣布將建立一個數(shù)據(jù)透明中心，接受美國政府對其算法、源代碼的審查。當年，華為、中興等企業(yè)為了自證清白，也向美國國會提出了審查請求。華為公司為了在英國開展業(yè)務，還與英國政府合作建立了網(wǎng)絡安全中心，主要目的是開放源代碼供英國安全機構審查。美國微軟公司也曾在中國建立源代碼開放實驗室，在嚴格條件下向特定中國企事業(yè)機構開放源代碼瀏覽權限。但總體而言，類似的透明審查能否奏效？如何實施？如何保障各方合法權益？這些問題尚沒有定論。隨著人工智能的迅速發(fā)展，關于算法的審查也提上了議事日程，形勢發(fā)展顯示，一個國家應當建立對源代碼和算法的安全審查設施，并提出源代碼和算法開放制度要求。我國至少應形成這方面的對等反制能力。要注意的是，這項制度也不是針對所有的外國企業(yè)產(chǎn)品，而是聚焦于重要敏感數(shù)據(jù)的處理方面。

5 結論

本文深入研究了美國政府遏制TikTok事件，特別是分析了美國政府的數(shù)據(jù)安全舉措，目的是完善我國的數(shù)據(jù)安全政策措施。事實上，政策制定是一個復雜過程，不但要勇于創(chuàng)新，還要聚焦政策可行性及其對貿易的影響。TikTok審查事件為我國開展數(shù)據(jù)治理提供了可資借鑒的范例，側面證明確有必要從國家安全需求出發(fā)構建數(shù)據(jù)安全監(jiān)管制度，特別是在數(shù)據(jù)分類分級、“管用分離”要求、網(wǎng)絡安全審查等方面。