繼本月 13 日微軟承認字節跳動公司拒絕向其出售旗下 TikTok 美國業務後,14 日甲骨文公司證實,作爲字節跳動公司向美國財政部所提交提案的一部分,其將成爲字節跳動公司“可信賴的技術供應商(trustedtechnology provider)”。
美國全國廣播公司財經頻道(CNBC)報道稱,字節跳動公司也證實,“(公司)已在上週末向美國財政部提交提案,相信該提案將解決美國政府的安全擔憂”,“並使字節跳動公司得以繼續向美國用戶提供服務”。
目前提案的具體內容尚不得而知,但現有的公開信息似乎表明,提案並未提出字節跳動公司將向甲骨文公司出售全部 TikTok 美國業務,也未涉及 TikTok 核心技術——算法的轉讓,甲骨文公司將更有可能作爲字節跳動公司在美的數據合規夥伴,負責存儲和管理 TikTok 美國用戶的數據,這意味着甲骨文公司將成爲 TikTok 美國用戶數據的“數據受託人”。
字節跳動與甲骨文的合作模式並非首例
2015 年,爲了解決“棱鏡門”事件後歐洲對美國企業掌控歐洲數據的擔憂,適應歐盟有關個人信息保護和數據安全的合規要求,微軟主動與德國電信合作,在德國馬格德爾堡和法蘭克福建立了兩個數據中心。
微軟 CEO 薩提亞·納德拉表示,在德國的數據中心“將在數據處理和存儲方面爲消費者提供選擇,並建立信任。”
根據微軟的公開聲明,微軟旗下產品 Azure、Office 365 以及 Dynamics CRM Online 的數據服務將由設在德國的兩個數據中心提供;用戶數據將以靜態方式存儲在德國的數據中心;德國電信旗下子公司 T-Systems 將負責控制和監督所有對數據中心用戶數據的訪問,德國電信即成爲上述數據中心所儲數據的“數據受託人”。
這一模式使得包括微軟在內,任何第三方除取得消費者或“數據受託人”的同意外,不得訪問這些數據。
2018 年底,微軟曾停止了上述數據中心的業務。由於調查顯示微軟將 Office 365 的數據傳回美國,以及原有數據授權模式不符合歐盟《通用數據保護條例》(GDPR)有關兒童數據同意規則的規定,加之對於美國政府數據監控權力擴張的擔憂,德國一些州的政府於是禁止學校使用 Office 365 軟件。爲了適應合規的新要求,最終,微軟再次選擇在德國設立數據中心。
中國消費者對於“數據受託人”模式也並不陌生。
2017 年 7 月,蘋果公司即與貴州省簽訂戰略合作框架協議,授權雲上貴州公司作爲蘋果公司在中國大陸運營 iCloud 服務的唯一合作伙伴,在中國大陸境內運營 iCloud 服務。
2017 年 9 月,蘋果公司在貴州貴安新區註冊了實體公司“蘋果技術服務(貴州)有限公司”,與雲上艾珀(貴州)技術有限公司合作建設 iCloud 貴安新區主數據中心。該數據中心由雲上貴州公司負責運營,蘋果公司提供技術協助。
2018 年 2 月 28 日起,雲上貴州開始全權負責 iCloud 在中國內地的運營,同時其還持有與 iCloud 中國內地用戶的法律和財務關係。同日,iCloud 服務在中國境內使用蘋果和雲上貴州公司雙品牌向用戶提供服務。
除此之外,微軟 Azure、Office 365、Dynamics 365、Power BI 在中國大陸的在線服務也均由北京世紀互聯寬帶數據中心有限公司的全資子公司上海藍雲網絡科技有限公司負責運營和銷售。
資料顯示,由世紀互聯運營的所有服務器位於中國電信在北京和上海的數據中心;上述產品在物理和邏輯上維持與全球微軟雲隔離的 Azure、Office 365 和 Power BI 服務,確保所有用戶數據,以及任何可能用於訪問用戶數據的支撐系統全部位於中國境內的數據中心。
在用戶數據訪問權限方面,世紀互聯通過實施專門的基於角色的訪問控制(RBAC)工具控制對客戶數據的邏輯訪問,這些限制是在技術設計層面上實施的,意味着微軟員工不能獲得數據訪問權,也不具備任何可用於讓微軟訪問客戶數據的頂級管理權。
原則上,世紀互聯的供應商也不具有客戶數據的邏輯或物理訪問權限。世紀互聯掌握所有 Azure、Office 365 和 Power BI 服務相關的密鑰和數據,以及系統與數據中心出入控制,微軟僅在世紀互聯無法獨立解決相關疑難問題的情況下,在世紀互聯相關人員陪同並監督的場合,幫助世紀互聯解決相關技術問題。
“數據受託人”模式的由來
跨境數據服務企業主動或被動選擇“數據受託人”模式,與業務所在國家或地區數據服務企業建立合作的現象出現,至少是兩方面因素作用的結果。一方面,國際上有關個人信息與隱私保護、數據安全、網絡安全、數據主權的觀念與相應立法不斷加強;另一方面,國家或地區間對彼此監視或控制對方公民個人信息,損害數據安全利益的擔憂和不信任始終存在。
“歐美隱私盾”協議的命運爲就是一個典型的例證。
2015 年,歐盟法院以美國的數據監控政策不滿足歐洲信息隱私保護標準爲由判決歐美間有關跨境數據傳輸的“隱私安全港原則”(Safe Harbour Privacy Principle)失效,歐美遂着手商定新的“歐美隱私盾”協議(EU-US Privacy Shield),並於 2016 年在歐洲獲得通過。
然而,2020 年 7 月 16 日,歐盟法院再次以美國未能向歐洲公民提供充分的數據保護爲由判決“歐美隱私盾”協議失效。
隨着“歐美隱私盾”協議失效,如今在歐盟域內開展業務的美國數據服務企業面對歐盟數據只有兩個選擇,要麼滿足“示範合同條款”或“企業約束規則”的要求才能將數據跨境傳回美國加以存儲和利用;要麼在歐盟境內建立數據中心,將所獲得的數據留在歐盟境內存儲、處理。前述微軟德國數據中心的案例就是微軟選擇了後一種方式。
我國《網絡安全法》也對跨境數據傳播與利用進行了限制,該法第三十七條規定:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲;因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
有研究顯示,目前全球有超過 60 個國家和地區都不同程度上對數據本地化存儲做出了限制和規定。
與立法和相關司法實踐相比,川普政府針對 TikTok、微信的行政命令,則體現了在數據安全方面的無端猜忌和缺乏互信對數據服務企業正常經營與運行的阻礙。
意識到數據資源在促進創新和經濟發展中的重要意義,以及法律門檻和互信缺乏對數據合理流通和數據市場形成的客觀阻礙,一向被認爲對個人數據保護最爲嚴格的歐盟也開始轉變政策,從着重對個人數據的保護,轉向推動數據共享作爲一種公民義務。
其關鍵的政策措施即推動建立可信且安全的數據交易空間,即數據“信任”(TRUSTS)平臺的建設。
根據計劃,歐盟將於 2020 年先期投入 700 萬歐元建立一個彙集個人與非個人數據的數據池,並使商業或政府可以從這一數據池中“一站式”獲取所需要的數據信息,公民則可以從對其個人數據的使用中分得數據紅利。國際企業也可以從這一“信任平臺”中訪問歐洲公民的數據,但不得將數據儲存或轉移至歐盟以外的地方。
按照這一計劃,歐盟期望把五億人口的數據資源整合起來,形成一個規模巨大的數據市場。
結合既有的“數據受託人”合作實踐及其形成的法律、政策和國際環境背景,觀察歐盟有關數據保護與數據市場的政策調整,反觀字節跳動公司與甲骨文公司達成的合作,考慮到當前 TikTok 所遭遇的困境,可以說這樣的合作對企業來說既是無奈之舉,也是形勢所趨,亦有先例可循,可能也不失爲一次機遇。至於合作能否最終實現,還有待美國政府與我國政府對提案具體內容的審覈,我們拭目以待。