執筆/花叨叨
互聯網平臺掌握的個人數據流向何方,一直是社會最敏感的神經。
盡管滴滴已經對“將數據打包交給美國換取上市資格”的謠言進行駁斥,稱這“絕無可能”,但有關數據出境的討論依然火熱。
中國社會的警惕不是沒有道理。
美國政府對這些海量數據的瘋狂索取,毫不掩飾。
它的目標很清晰:建立全球數據霸權。
得數據者得天下。
美國究竟做瞭多少準備?它的手究竟能伸多長?中國企業究竟面臨哪些風險甚至陷阱?
這是一個看不見的戰場,但硝煙已經彌漫。
01
在大數據時代,人們已經很難再用“商業資源”來簡單描述企業手握的海量數據,它成為國傢的一種基礎性戰略資源。
在這方面,意識最強烈的,非美國莫屬。
當地時間6月30日,在美國國會的一場聽證會上,微軟公司負責用戶安全的副總裁湯姆•伯特抱怨美國聯邦政府頻繁密查用戶數據時這樣說:
“最令人震驚的是,這樣的‘保密令’成瞭例行日常。”
他指的是美國司法部從技術公司調取個人信息的同時,禁止這些公司告知客戶本人,他們正在被政府調查。
伯特說,僅微軟一傢公司每天就接到多達10份保密令,每年接到3500份,這個數字占該公司收到的所有執法要求的三分之一。
“如果把這些數字與掌握或處理數據的科技公司數相乘,你就能大致瞭解政府過度使用秘密監控的規模瞭。”
微軟的披露隻不過是多年來美國政府慣常做法的一個最新例證,而它隻是冰山一角。
蘋果、推特、臉書、谷歌等企業反復在不同場合提及聯邦政府沒完沒瞭的數據索取。
盡管在新聞報道中,企業總是表現出某種“抗爭”,但實際情況可能並不完全如此。
斯諾登此前在TED演講中提到,在“國傢安全”的名義下,美國政府大面積地實施竊聽,其所掌握的數據裡,甚至包括“你在和誰說話, 你什麼時候和他們說話,你去瞭哪裡旅遊”。
那麼掌握數據的公司究竟扮演著什麼角色呢?
“雖然有些公司反抗過,在法庭上挑戰政府,但均以失敗告終。因為這些起訴從來不會在公開法庭審判,它們隻由一個秘密法庭審理……在33年裡,他們處理過3.4萬份搜查請求,隻拒絕瞭11份政府請求。”
但隨著互聯網產業的全球興起,數據本地化的趨勢削弱瞭美國對全球數據的控制力。
美國很快意識到,僅僅掌握自傢公司的數據,可能是不夠的。
02
“得數據者得天下”。
美國政府對數據的興趣已經遠遠超出瞭本土范疇。
它對數據近乎瘋狂的索求,背後是對建立全球數據霸權的焦慮。
比如特朗普2018年簽署的《合法使用境外數據明確法》,從名字就能知道它是做什麼用的。
這部簡稱為“CLOUD 法”的法律,其最大作用就是,把美國的執法長臂從美國的跨國公司伸向瞭全球的跨國公司,試圖重新建立美國對全球數據的控制力。
它規定一旦發生某些特定情形,美國執法機構可以要求在美國運營的公司提交相關數據,不管是美國還是外國公司,不管這些數據是在美國境內還是境外。
這已經夠霸王條款瞭吧,還有更絕的。
它同時還規定,隻有美國認可的“適格政府”,才能與美國簽訂協議,從美國境內獲取數據。
而“CLOUD 法”設置的一系列條件,基本把中國排除在“適格政府”之外瞭。
也就是說,它允許美國把手伸到中國傢裡拿東西,卻對中國門窗緊閉。
這不僅是一種主權不對等,更體現出美國極度的自私自利。
這對中國企業來說顯然是件很糟糕的事情。
它們一方面可能需要根據“CLOUD 法”向美方提交數據,另一方面又面臨著中國的監管。
上市公司也是如此,哪怕它在美國沒有業務。
美國的手臂究竟能伸多長,最近韓國芯片企業Magnachip的遭遇值得說一說。
這傢企業算不上一個大公司,它的生產和研發都在韓國,它的員工、IT系統和知識產權也都在韓國,包括銷售,也大部分在美國之外。
與美國唯一的聯系大概就是它選擇在美國上市。
然而就是這樣一傢原本並不起眼芯片公司,當今年傳出要被中國一傢私募基金收購時,美國的“國安觸角”瞬間動瞭起來。
美國外資投資委員會(CFIUS)立即命令這傢公司停止交易,直到完成調查。
是不是很怪誕?
對此,美國《外交政策》雜志認為,“唯一合理的解釋是……所有芯片公司——即使是小型的,看似無害的,幾乎與美國無關的——都禁止中國買傢購買”。
對於大型互聯網企業手裡掌握的海量數據,也是如此。
隻要跟美國發生任何關聯,就將存在“安全審查”隨時隨地從天而降的風險。
這不是滴滴一傢的困境,它是許多中國企業“往外走”時面臨的挑戰。
03
在2020年之前,中國公司去美國上市,是不需要提供審計底稿的。
特朗普去年簽署《外國公司問責法案》之後,中國企業赴美上市的風險陡然增加。
從美國的角度而言,它認為你既然要到我這裡上市,提供相關數據是正常的;而在中國看來,這是在把我傢的東西拿給你看,自然不能想拿就拿。
中國的《網絡安全法》第37條說得很明白:“因業務需要,確需向境外提供的,應當按照國傢網信部門會同國務院有關部門制定的辦法進行安全評估。”
復旦大學教授沈逸對補壹刀說,從美國的習慣和偏好來說,當然是提供的數據越詳細越好;而從保障中國國傢安全的角度來說,在符合美國上市要求的前提下,當然是提供的數據以滿足合規要求最基本標準粗細程度為宜,且中國政府必須保持對相關數據出境的有效控制。
企業面臨這樣的兩難狀況,必須考慮兩個大背景。
一方面,是中美關系持續緊張,雙方的博弈在各個領域展開,數據安全更是重點領域,甚至有美媒宣稱,這可能將成為“美中地緣政治引爆點”。
而數據審查是有高度彈性的。
“在中美關系比較好的時候,即使存在分歧,兩國之間大致有個比較好的商量,就會形成務實的解決方案。但是現在兩國關系緊張,而且是美國主動破壞中美關系,不尊重中國國傢利益,在此背景下,中國政府關註網絡安全,依法實施網絡安全審查,就是非常順理成章的。”沈逸說。
另外一方面,隨著互聯網的不斷進步,數據安全性和敏感性越來越凸顯,美國政府對企業提出的要求也越來越極端,越來越不合理,在這種情況下,放棄美國市場恐怕將成為擺在企業面前的選擇之一。
對此,浙江大學光華法學院互聯網法律研究中心主任高艷東對補壹刀說,在能夠合規操作的情況下,可以采取將中國消費者數據本地化儲存,美國消費者相關數據在美國設分公司另行儲存的兩套管理模式,“但當沒有辦法進行這些操作,美國又提出不合理要求時,作為中國企業,肯定要優先遵循中國法律”。
“如果真是這樣的話,建議企業可以選擇其他上市的地方,比如香港。”
圖片來自網絡