美国正在全世界疯狂搜集,中国企业数据出境必须格外当心
互联网平台掌握的个人数据流向何方,一直是社会最敏感的神经。
尽管滴滴已经对“将数据打包交给美国换取上市资格”的谣言进行驳斥,称这“绝无可能”,但有关数据出境的讨论依然火热。
中国社会的警惕不是没有道理。
美国政府对这些海量数据的疯狂索取,毫不掩饰。
它的目标很清晰:建立全球数据霸权。
得数据者得天下。
美国究竟做了多少准备?它的手究竟能伸多长?中国企业究竟面临哪些风险甚至陷阱?
这是一个看不见的战场,但硝烟已经弥漫。
01
在大数据时代,人们已经很难再用“商业资源”来简单描述企业手握的海量数据,它成为国家的一种基础性战略资源。
在这方面,意识最强烈的,非美国莫属。
当地时间6月30日,在美国国会的一场听证会上,微软公司负责用户安全的副总裁汤姆•伯特抱怨美国联邦政府频繁密查用户数据时这样说:
“最令人震惊的是,这样的‘保密令’成了例行日常。”
他指的是美国司法部从技术公司调取个人信息的同时,禁止这些公司告知客户本人,他们正在被政府调查。
伯特说,仅微软一家公司每天就接到多达10份保密令,每年接到3500份,这个数字占该公司收到的所有执法要求的三分之一。
“如果把这些数字与掌握或处理数据的科技公司数相乘,你就能大致了解政府过度使用秘密监控的规模了。”
微软的披露只不过是多年来美国政府惯常做法的一个最新例证,而它只是冰山一角。
苹果、推特、脸书、谷歌等企业反复在不同场合提及联邦政府没完没了的数据索取。
尽管在新闻报道中,企业总是表现出某种“抗争”,但实际情况可能并不完全如此。
斯诺登此前在TED演讲中提到,在“国家安全”的名义下,美国政府大面积地实施窃听,其所掌握的数据里,甚至包括“你在和谁说话, 你什么时候和他们说话,你去了哪里旅游”。
那么掌握数据的公司究竟扮演着什么角色呢?
“虽然有些公司反抗过,在法庭上挑战政府,但均以失败告终。因为这些起诉从来不会在公开法庭审判,它们只由一个秘密法庭审理……在33年里,他们处理过3.4万份搜查请求,只拒绝了11份政府请求。”
但随着互联网产业的全球兴起,数据本地化的趋势削弱了美国对全球数据的控制力。
美国很快意识到,仅仅掌握自家公司的数据,可能是不够的。
02
“得数据者得天下”。
美国政府对数据的兴趣已经远远超出了本土范畴。
它对数据近乎疯狂的索求,背后是对建立全球数据霸权的焦虑。
比如特朗普2018年签署的《合法使用境外数据明确法》,从名字就能知道它是做什么用的。
这部简称为“CLOUD 法”的法律,其最大作用就是,把美国的执法长臂从美国的跨国公司伸向了全球的跨国公司,试图重新建立美国对全球数据的控制力。
它规定一旦发生某些特定情形,美国执法机构可以要求在美国运营的公司提交相关数据,不管是美国还是外国公司,不管这些数据是在美国境内还是境外。
这已经够霸王条款了吧,还有更绝的。
它同时还规定,只有美国认可的“适格政府”,才能与美国签订协议,从美国境内获取数据。
而“CLOUD 法”设置的一系列条件,基本把中国排除在“适格政府”之外了。
也就是说,它允许美国把手伸到中国家里拿东西,却对中国门窗紧闭。
这不仅是一种主权不对等,更体现出美国极度的自私自利。
这对中国企业来说显然是件很糟糕的事情。
它们一方面可能需要根据“CLOUD 法”向美方提交数据,另一方面又面临着中国的监管。
上市公司也是如此,哪怕它在美国没有业务。
美国的手臂究竟能伸多长,最近韩国芯片企业Magnachip的遭遇值得说一说。
这家企业算不上一个大公司,它的生产和研发都在韩国,它的员工、IT系统和知识产权也都在韩国,包括销售,也大部分在美国之外。
与美国唯一的联系大概就是它选择在美国上市。
然而就是这样一家原本并不起眼芯片公司,当今年传出要被中国一家私募基金收购时,美国的“国安触角”瞬间动了起来。
美国外资投资委员会(CFIUS)立即命令这家公司停止交易,直到完成调查。
是不是很怪诞?
对此,美国《外交政策》杂志认为,“唯一合理的解释是……所有芯片公司——即使是小型的,看似无害的,几乎与美国无关的——都禁止中国买家购买”。
对于大型互联网企业手里掌握的海量数据,也是如此。
只要跟美国发生任何关联,就将存在“安全审查”随时随地从天而降的风险。
这不是滴滴一家的困境,它是许多中国企业“往外走”时面临的挑战。
03
在2020年之前,中国公司去美国上市,是不需要提供审计底稿的。
特朗普去年签署《外国公司问责法案》之后,中国企业赴美上市的风险陡然增加。
从美国的角度而言,它认为你既然要到我这里上市,提供相关数据是正常的;而在中国看来,这是在把我家的东西拿给你看,自然不能想拿就拿。
中国的《网络安全法》第37条说得很明白:“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”
复旦大学教授沈逸对补壹刀说,从美国的习惯和偏好来说,当然是提供的数据越详细越好;而从保障中国国家安全的角度来说,在符合美国上市要求的前提下,当然是提供的数据以满足合规要求最基本标准粗细程度为宜,且中国政府必须保持对相关数据出境的有效控制。
企业面临这样的两难状况,必须考虑两个大背景。
一方面,是中美关系持续紧张,双方的博弈在各个领域展开,数据安全更是重点领域,甚至有美媒宣称,这可能将成为“美中地缘政治引爆点”。
而数据审查是有高度弹性的。
“在中美关系比较好的时候,即使存在分歧,两国之间大致有个比较好的商量,就会形成务实的解决方案。但是现在两国关系紧张,而且是美国主动破坏中美关系,不尊重中国国家利益,在此背景下,中国政府关注网络安全,依法实施网络安全审查,就是非常顺理成章的。”沈逸说。
另外一方面,随着互联网的不断进步,数据安全性和敏感性越来越凸显,美国政府对企业提出的要求也越来越极端,越来越不合理,在这种情况下,放弃美国市场恐怕将成为摆在企业面前的选择之一。
对此,浙江大学光华法学院互联网法律研究中心主任高艳东对补壹刀说,在能够合规操作的情况下,可以采取将中国消费者数据本地化储存,美国消费者相关数据在美国设分公司另行储存的两套管理模式,“但当没有办法进行这些操作,美国又提出不合理要求时,作为中国企业,肯定要优先遵循中国法律”。
“如果真是这样的话,建议企业可以选择其他上市的地方,比如香港。”
图片来自网络