美國審查Tik Tok數據安全帶來的啟示與思考*

許皖秀，左曉棟

(中國科學技術大學 公共事務學院，安徽 合肥 230026)

0 引言

近年來，隨著中美戰略競爭態勢加強[1]，美國以國家安全為借口對中國高科技企業的壓制愈演愈烈[2]。從嚴格封控對華技術轉讓、關鍵技術出口，再到對華為[3]、中興等中資企業施加單方面的貿易制裁，美國對中國高科技企業的發展虎視眈眈。2022年8月，特朗普政府以“維護美國國家安全”為由，要求各大應用商店封禁字節跳動公司旗下的TikTok短視頻軟件，這一事件在美國引發一片嘩然。這一行為在經歷數月的各方博弈后，以拜登政府2021年6月9日簽署的撤銷行政令宣告終結[4]，但美國政府對TikTok的敵視并沒有因此結束。此次美國媒體BuzzFeed與國會議員對TikTok的攻擊卷土重來，甚至遠遠超過特朗普政府時期的打擊強度。美國政府所謂的TikTok威脅數據安全的依據是什么？下一步將要采取哪些措施來遏制中資背景企業的發展？美國的政策對我國的數據安全監管有哪些啟示與借鑒，這是值得研究的重大問題。

1 美國審查TikTok事件回顧

1.1 BuzzFeed報道

2022年6月17日，美國新聞聚合平臺BuzzFeed報道稱，在其獲得的80余次TikTok內部會議音頻顯示，字節跳動的中國員工在2021年9月至2022年1月期間“不斷訪問”美國TikTok用戶的非公開數據。該報道認為TikTok高管在國會作了虛假陳述，隱瞞了中國政府可以獲取美國數據的事實。具體而言，其抨擊點聚焦四個方面：

一是受保護數據范圍過窄。TikTok擬將所有受保護的美國用戶數據轉移存儲到甲骨文公司位于得克薩斯州的云服務器上，而TikTok公司本身不再留存數據。由于“受保護信息”的具體范圍由TikTok與美國外國投資委員會(CFIUS)談判確定，而該保護范圍一直懸而未決，當前擬定范圍不包括用戶的公開評論、IP屬地等非敏感用戶信息，存在保護范圍過窄的情況。

二是數據能夠被中國國內訪問。該報道提出，雖然TikTok正在與甲骨文達成協議，將美國用戶數據的物理存儲位置從新加坡遷移至美國，由此來確保這些數據不受中國法律約束，但根據該報道的調查和TikTok公司內部工作人員的透露，TikTok母公司字節跳動的中國員工仍能訪問美國用戶數據，數據轉移至美國并不會消除“數據最終仍會落入中國情報機構手中”的顧慮。

三是TikTok可能會從推薦算法入手，煽動美國民眾并進行社會動員。該報道基于所有中國企業都會受控于中國政府操控的不實指控，擔憂中國政府有較大可能性通過軟權力指揮字節跳動，要求字節跳動總公司指示TikTok調整視頻推薦算法，散播不實言論影響美國民眾認知，從而實現對美國的輿論引導和社會動員。

四是試圖影響美國政策制定，為中國企業大開方便之門。該報道指出，TikTok希望能借助此次與CFIUS談判契機，影響拜登政府正在制定的海外APP數據安全監管法規，為其他中國公司在美國開展業務創造便利條件，從而擠壓美國國內企業，達到通過企業輸入影響美國國家安全的目的。

1.2 TikTok在美數據安全問題的歷史脈絡

自特朗普政府時期起，美國政商兩界、媒體和智庫一些人員持續污蔑TikTok將海外收集的美國用戶數據交給中國政府，威脅美國公民隱私和國家安全[5]。

2019年11月，CFIUS啟動對中國字節跳動公司收購Musical.ly音樂短視頻應用的審查。2019年11月至2020年7月間，美國參議院召開針對中國的聽證會，擬推動立法封禁TikTok。2020年7月，參議院國土安全和政府事務委員會討論并投票通過《禁止在政府設備上使用TikTok應用法案》。同期，美國眾議院投票通過將“在政府設備中禁用TikTok”條款納入2021財年《國防授權法案》修正案。2020年8月，時任總統特朗普簽署2份行政命令，要求限制TikTok在美國境內的下載、更新和運營，并要求字節跳動在90天內剝離TikTok[6]。此禁令一直未生效，但CFIUS隨后對TikTok展開國家安全審查。

2021年6月9日，拜登政府發布行政令，撤回特朗普時期的TikTok、微信禁令，但維持了CFIUS審查。其并非放松管制，而是要求針對“外國敵手”開發的軟件應用出臺一攬子限制措施，打擊力度超過特朗普執政時期。

目前，美國商務部已出臺信息通信技術和服務(ICTS)交易的暫行最終規則，審查美國企業和中國企業的ICT相關交易是否會導致美國個人敏感數據面臨“不當或不可接受的風險”。據報道，美國司法部也在醞釀新的法律，以阻止TikTok等中國背景應用程序收集和訪問美國公民敏感數據。

1.3 TikTok德克薩斯項目

為回應美國政府對數據安全的關切，TikTok與拜登政府達成了一項“充分保障用戶數據安全和美國國家安全利益”的最終協議，即德克薩斯項目。

該協議的實質是，TikTok采用“數據托管加第三方審計”的模式與甲骨文公司合作，將美國用戶的受保護數據存儲在位于德克薩斯州的甲骨文數據中心，并且授權甲骨文作為“看門人”審計和監督數據的流動和訪問。所有美國用戶流量均被路由至甲骨文云基礎設施。TikTok后續擬刪除美國和新加坡數據中心的備份。

2 TikTok審查事件最新進展

在過去的一個月內，TikTok審查事件的關注度再度陡增，超過20多名美國國會議員相繼對TikTok發難，對TikTok威脅美國用戶數據安全提出質疑。

6月23日，以科頓為首的數名共和黨參議員致函財政部部長耶倫，要求在7月22日前，就特朗普TikTok行政令的執行情況以及拜登政府針對TikTok進行的國家安全審查進展回答一系列問題。

6月24日，美國聯邦通信委員會共和黨籍委員卡爾致函蘋果和谷歌CEO，稱因為“北京可以不受限制地訪問敏感的美國用戶數據”，TikTok沒有遵守蘋果和谷歌的規則，要求蘋果、谷歌應用商店下架TikTok。弗羅里達州參議員斯科特隨即在推特上發文表示支持。

6月27日，布萊克本等9名美國國會參議員致函TikTok首席執行官周受資，要求其于7月18日前對BuzzFeed報道所涉相關問題進行澄清。對此，TikTok進行了較為妥善的應對，以公開信形式回復了9名參議員的提問。

7月5日，美國國會參院情報委員會主席華納和副主席盧比奧聯名以委員會名義致函聯邦貿易委員會(FTC)，引用BuzzFeed報道，指控“TikTok在其數據安全、數據處理和公司治理實踐方面一再作出虛假陳述”，并要求開展調查。

7月22日，民主黨議員喬希·戈特海默和共和黨議員布萊恩·菲茨帕特里克聯合提出一項新法案——《打擊社交媒體有害行為法案》(簡稱“CHATS”)，將矛頭直指TikTok與其他“可能危害年輕用戶”的應用。這項新的法案將包括舉報犯罪行為及與其關聯的社交媒體平臺，并將修改聯邦調查局過去一成不變的犯罪行為舉報制度。同時，這兩位議員也向TikTok首席執政官周受資致信，要求其在12月1號之前，就TikTok如何保護青少年隱私、向海外分享美國用戶數據等問題予以回復。

可以預見，近期一系列的事件僅是美國政客制裁TikTok“車輪戰”的開始，美國政府對TikTok的審查將延續并進一步趨嚴，TikTok與CFIUS就國家安全的協議談判將更為困難。而拜登政府正在制定的海外APP的監管法規也可能迫于壓力提出更為嚴苛的要求。基于此，有必要對美國政府針對TikTok數據安全監管措施進行具體分析。

3 美國針對TikTok數據安全監管措施

3.1 美國關注數據安全監管的原因

第一，數據安全與國家安全的關系進一步緊密[7]，美國試圖確保數據安全領域內的絕對控制力。有過“棱鏡”項目經驗的美國極為清楚，數據安全是國家安全的重要組成部分，類似“劍橋分析”事件更顯示出社交平臺對政權穩定和國家平穩運行可能產生的巨大影響。因此，中國企業旗下社交應用在美國成為比肩臉譜、推特的重要數據平臺，無疑引發了美國政界和智庫對數據安全的恐慌和擔憂。在科頓致函財政部部長耶倫的信中，強調“TikTok當前方案無法解決特朗普行政令中指出的國家安全風險”，因為“隱患不僅存在于數據領域，更關乎一家中國企業對美國社交媒體的所有權”，強調拜登政府不能只關注數據存儲問題。

第二，維系美國在全球數據規則制定中的話語權和影響力。以數據為核心的數字經濟已經成為經濟發展的新引擎，國際貿易實質上是數據跨境流動[8]。數據安全已成為國際規則制定的核心議題，美國為維持其在國際政治經濟格局中的霸主地位，正力圖掌控數據規則制定權。TikTok進入美國市場后，其迅速擴張的市場份額與日益龐大的社會受眾，觸動了美國部分政客與互聯網企業的既得利益，通過打壓TikTok等企業，意圖削弱中國在全球數據規則制定中的話語權和影響力。

第三，網信企業全球影響力是國家競爭軟實力的重要組成部分，網絡安全議題始終是美對華遏制的優先選項。通過對中國網信企業進行制裁、封禁[9]，美國進一步擴散對華恐慌情緒，打壓中國科技競爭力、維護其全球科技領導地位。從“清潔網絡計劃”開始，美國長期炮制中國數據安全威脅論，將經貿問題政治化，試圖在IT領域對華進行升級遏制，徹底清除所謂“中國元素”。

第四，封殺外國應用程序有助于保護本國市場。國家利益到哪里，信息化就覆蓋到哪里。網信企業的良性發展，既關乎企業自身的良好運行，也關乎國家科學技術的發展與綜合國力的提升[10]。對美國而言，TikTok的成功，沖擊了美國老牌社交媒體的市場地位(如表1所示)。因此，部分企業采取游說政府和公開抨擊等舉措，意圖促使美國當局對Tik-Tok進行打壓，最終目的必然是將TikTok驅逐出美國市場，維系其自身利益。

表1 2021年度TikTok與其他社交軟件用戶數據對比

考慮到美國在數據安全角度不斷遏制中國高科技企業發展，有必要針對此次TikTok事件，具體分析美國的數據安全監管措施。

3.2 美國數據安全監管措施

一是將數據安全升級到國家安全角度，并以此為由對中資高科技企業進行安全審查。從對華為進行芯片斷供、封禁5G產品，再到以泄漏美國用戶數據為由，要求TikTok退出美國市場，實質上是將商業競爭升級到國家安全層面來進行。數據安全是中美博弈背景下壓制中國科技企業的最新手段。在TikTok事件中，美國通過新聞媒體報道渲染，不斷地針對中資企業進行所有權和政治背景調查，煽動美國內群眾情緒和認知，企圖以這種方式封殺外國尤其是中國互聯網公司，從而保護本國的應用市場。

二是對用戶數據進行分類，提出“受保護數據”概念。美國議員在向財政部部長、聯邦貿易委員會致函時，都提出了“受保護數據”概念，并認為TikTok現有的隱私政策和保護力度不足以保護數據安全。通過提出新的數據分類概念，強調數據安全對于國家安全的重要性，要求中國高科技公司重點保護美國敏感個人信息(如電話、出生年月等)的安全，以便加強對中國互聯網公司的數據安全監管。“受保護數據”的范圍目前還沒有確定，現有記錄表示不會包括公共評論、用戶公開的個人資料等，但目前甲骨文公司與CFIUS對此拒絕予以置評。

三是要求TikTok建立“管用分離”的用戶數據存儲模式，以防美國用戶數據流入中國。該方案的用戶數據存儲模式是與美國第三方公司合作，建立一個低風險的境外企業數據存儲系統。對于“受保護數據”，美方要求TikTok公司與甲骨文云服務商合作，把搜集到的美國用戶信息存儲在德克薩斯數據中心，而不能存儲在位于中國的總公司字節跳動。此前存儲在新加坡的數據，將在與甲骨文達成合作協議工作完成后，全部予以刪除。對于“受保護數據”的訪問權限，只能授權特定的美國員工，而不能是中國員工。

四是啟動由CFIUS負責的國家安全審查，組建第三方專業技術團隊對TikTok數據安全技術措施進行評估。在2019年起，CFIUS牽頭開始負責對TikTok的數據安全問題進行審查。在德克薩斯項目當中，CFIUS專門負責TikTok與甲骨文數據存儲的協議推進和內容進行監管，并且數據訪問協議的內容將由甲骨文和CFIUS合作協定，TikTok無參與權，以此來保證兩家企業在政府機關的監管下展開合作。在TikTok審查事件當中，美國要求建立一支由美國人組成的第三方專業數據安全團隊，評估TikTok公司的數據案技術措施，即多次提到的“美國USTS數據團隊(United States Techical Services team)”。對于存儲在甲骨文云服務器上的“受保護數據”，僅授權給USTS的特定人員查看。而USTS之外的任何人訪問美國用戶數據，都應當受到強大的數據訪問協議的限制。

五是利用法律手段監管數據安全。除了在政府層面制定一系列的數據安全監管措施外，美國還加快了針對數據安全法律責任的立法工作。民主黨議員喬希·戈特海默和共和黨議員布萊恩·菲茨帕特里克共同提出《打擊社交媒體有害行為法案》，擬調整美國聯邦調查局原有的犯罪舉報制度，將社交媒體平臺納入舉報對象，以此增加TikTok在數據合規、青少年隱私保護方面的法律責任，形成美國全社會層面的監督監管。

同時，美國最新提出兩份數據安全法案，開始加強對“數據經紀生態系統”的監管。第一部法案是6月15日提出的《健康和位置數據保護法》，加強了對美國公民位置與健康兩類數據的特別保護，在執法層面授予相關部門與受害者兩類人群的訴訟權利。該法案旨在禁止數據經紀人出售或傳輸美國人的位置與健康數據。第二部法案是6月23日提出的《2022保護美國人數據免受外國監視法案》，開展對數據的分類和跨部門合作，對于敏感個人數據(如位置和健康數據)采取禁止出售或傳輸的管理規定，對于易被利用的數據采取建立黑白清單的方式來保護國家安全。制定黑白清單的考慮因素包括該國的數據保護水平、強迫公民提供數據的情況以及與美國是否開展過敵對的情報行動等。

4 我國可借鑒的數據安全監管措施

美國政府在數據安全監管層面對華動作不斷，應該如何應對？其中有哪些值得借鑒？今后，我國在數據安全監管中可以考慮采用以下措施：

一是從國家安全層面進一步深化對重要數據和個人信息的認識，完善數據分類分級管理制度。我國《數據安全法》提出建立數據分類分級制度，目前已經確定為一般、重要和核心三級。此外，我國《個人信息保護法》確立了個人信息保護制度。在此基礎上，我國《網絡數據安全管理條例(征求意見稿)》提出，國家對個人信息、重要數據和核心數據均進行重點保護。為此，我國先后開展了《重要數據識別指南》《網絡數據分類分級指南》等國家標準的制定工作。在制定過程中，有很多聲音認為我國標準規定過嚴，甚至質疑標準編制組將“國家安全”概念擴大解釋。但從美國“受保護數據”概念的提出來看，其對國家安全與數據安全作了更為緊密的關聯，甚至如用戶出生年月、電話號碼等都被賦予了國家安全內涵。從俄烏沖突中西方社交媒體精準定位俄羅斯士兵身份等一系列事件看，個人信息以及商業領域信息越來越具有了國家安全屬性。下一步有必要借鑒“他山之石”，對重要數據的范圍作出更科學和更符合國家安全需求的界定，并從防范國外情報威脅角度完善我國個人信息保護的相關規定。

二是細化網絡安全審查制度，明確建立外資機構在華運營的數據安全審查機制。我國《網絡安全法》最初提出網絡安全審查制度時，主要規范的是關鍵信息基礎設施運營者采購網絡產品和服務的行為。《數據安全法》設立了數據安全審查制度，為此國家互聯網信息辦對《網絡安全審查辦法》作了相應修訂，將數據安全審查要求納入網絡安全審查之中，明確對可能影響國家安全的數據處理活動進行審查，其主要場景是中國企業赴國外上市前應主動申報，接受審查。其他情況下的網絡安全審查，則由國家網絡安全審查辦公室主動發起，無需申報。CFIUS的外國投資國家安全審查向來被視為中國網絡安全審查制度的重要借鑒。此次CFIUS對TikTok的審查，從側面說明了對外資企業處理中國數據進行常態化審查存在合理性和必要性。CFIUS的具體審查措施，如關注數據協議、合作方式、數據訪問模式等，均提供了借鑒。

三是健全數據本地化存儲制度，提出數據“管用分離”的監管要求。美國政府要求TikTok公司與美國云服務商合作，將“受保護數據”全部儲存在甲骨文控制的德克薩斯數據中心，體現了對數據安全的絕對追求。與之相較，我國《網絡安全法》雖然提出關鍵信息基礎設施運營者收集產生的重要數據、個人信息應在境內存儲，但在實踐中，監管部門的精力仍主要在數據出境安全管理上，尚未對數據本地化存儲政策作進一步研究。而且，《網絡安全法》并未涉及國外企業在我國境內收集處理數據的活動。與要求境內、境外一些企業實施本地化存儲的基本要求相比較，更為嚴格的措施是要確保數據只能存儲在我國政府信任且可控的境內數據中心，且數據訪問者應當嚴格限定為中方人員。僅僅將中國用戶數據存儲在中國境內，從國家安全角度來看，保護力度仍然不夠。為此，我國應在數據本地化存儲制度框架下，明確“管用”分離要求。即企業在我國境內開展業務時收集到的中國用戶數據必須托管給中國企業，且簽訂的數據安全合作協議應由政府部門審查通過。外資企業不得留存、備份數據。要注意的是，此舉針對的不是所有外資企業和所有數據，而應嚴格限定在國家安全領域。

四是對境外企業的數據處理活動開展算法、源代碼的透明審查。TikTok公司最近發布公告，宣布將建立一個數據透明中心，接受美國政府對其算法、源代碼的審查。當年，華為、中興等企業為了自證清白，也向美國國會提出了審查請求。華為公司為了在英國開展業務，還與英國政府合作建立了網絡安全中心，主要目的是開放源代碼供英國安全機構審查。美國微軟公司也曾在中國建立源代碼開放實驗室，在嚴格條件下向特定中國企事業機構開放源代碼瀏覽權限。但總體而言，類似的透明審查能否奏效？如何實施？如何保障各方合法權益？這些問題尚沒有定論。隨著人工智能的迅速發展，關于算法的審查也提上了議事日程，形勢發展顯示，一個國家應當建立對源代碼和算法的安全審查設施，并提出源代碼和算法開放制度要求。我國至少應形成這方面的對等反制能力。要注意的是，這項制度也不是針對所有的外國企業產品，而是聚焦于重要敏感數據的處理方面。

5 結論

本文深入研究了美國政府遏制TikTok事件，特別是分析了美國政府的數據安全舉措，目的是完善我國的數據安全政策措施。事實上，政策制定是一個復雜過程，不但要勇于創新，還要聚焦政策可行性及其對貿易的影響。TikTok審查事件為我國開展數據治理提供了可資借鑒的范例，側面證明確有必要從國家安全需求出發構建數據安全監管制度，特別是在數據分類分級、“管用分離”要求、網絡安全審查等方面。