继本月 13 日微软承认字节跳动公司拒绝向其出售旗下 TikTok 美国业务后,14 日甲骨文公司证实,作为字节跳动公司向美国财政部所提交提案的一部分,其将成为字节跳动公司“可信赖的技术供应商(trustedtechnology provider)”。
美国全国广播公司财经频道(CNBC)报道称,字节跳动公司也证实,“(公司)已在上周末向美国财政部提交提案,相信该提案将解决美国政府的安全担忧”,“并使字节跳动公司得以继续向美国用户提供服务”。
目前提案的具体内容尚不得而知,但现有的公开信息似乎表明,提案并未提出字节跳动公司将向甲骨文公司出售全部 TikTok 美国业务,也未涉及 TikTok 核心技术——算法的转让,甲骨文公司将更有可能作为字节跳动公司在美的数据合规伙伴,负责存储和管理 TikTok 美国用户的数据,这意味着甲骨文公司将成为 TikTok 美国用户数据的“数据受托人”。
1
字节跳动与甲骨文的合作模式并非首例
2015 年,为了解决“棱镜门”事件后欧洲对美国企业掌控欧洲数据的担忧,适应欧盟有关个人信息保护和数据安全的合规要求,微软主动与德国电信合作,在德国马格德尔堡和法兰克福建立了两个数据中心。
微软 CEO 萨提亚·纳德拉表示,在德国的数据中心“将在数据处理和存储方面为消费者提供选择,并建立信任。”
根据微软的公开声明,微软旗下产品 Azure、Office 365 以及 Dynamics CRM Online 的数据服务将由设在德国的两个数据中心提供;用户数据将以静态方式存储在德国的数据中心;德国电信旗下子公司 T-Systems 将负责控制和监督所有对数据中心用户数据的访问,德国电信即成为上述数据中心所储数据的“数据受托人”。
这一模式使得包括微软在内,任何第三方除取得消费者或“数据受托人”的同意外,不得访问这些数据。
2018 年底,微软曾停止了上述数据中心的业务。由于调查显示微软将 Office 365 的数据传回美国,以及原有数据授权模式不符合欧盟《通用数据保护条例》(GDPR)有关儿童数据同意规则的规定,加之对于美国政府数据监控权力扩张的担忧,德国一些州的政府于是禁止学校使用 Office 365 软件。为了适应合规的新要求,最终,微软再次选择在德国设立数据中心。
中国消费者对于“数据受托人”模式也并不陌生。
2017 年 7 月,苹果公司即与贵州省签订战略合作框架协议,授权云上贵州公司作为苹果公司在中国大陆运营 iCloud 服务的唯一合作伙伴,在中国大陆境内运营 iCloud 服务。
2017 年 9 月,苹果公司在贵州贵安新区注册了实体公司“苹果技术服务(贵州)有限公司”,与云上艾珀(贵州)技术有限公司合作建设 iCloud 贵安新区主数据中心。该数据中心由云上贵州公司负责运营,苹果公司提供技术协助。
2018 年 2 月 28 日起,云上贵州开始全权负责 iCloud 在中国内地的运营,同时其还持有与 iCloud 中国内地用户的法律和财务关系。同日,iCloud 服务在中国境内使用苹果和云上贵州公司双品牌向用户提供服务。
除此之外,微软 Azure、Office 365、Dynamics 365、Power BI 在中国大陆的在线服务也均由北京世纪互联宽带数据中心有限公司的全资子公司上海蓝云网络科技有限公司负责运营和销售。
资料显示,由世纪互联运营的所有服务器位于中国电信在北京和上海的数据中心;上述产品在物理和逻辑上维持与全球微软云隔离的 Azure、Office 365 和 Power BI 服务,确保所有用户数据,以及任何可能用于访问用户数据的支撑系统全部位于中国境内的数据中心。
在用户数据访问权限方面,世纪互联通过实施专门的基于角色的访问控制(RBAC)工具控制对客户数据的逻辑访问,这些限制是在技术设计层面上实施的,意味着微软员工不能获得数据访问权,也不具备任何可用于让微软访问客户数据的顶级管理权。
原则上,世纪互联的供应商也不具有客户数据的逻辑或物理访问权限。世纪互联掌握所有 Azure、Office 365 和 Power BI 服务相关的密钥和数据,以及系统与数据中心出入控制,微软仅在世纪互联无法独立解决相关疑难问题的情况下,在世纪互联相关人员陪同并监督的场合,帮助世纪互联解决相关技术问题。
2
“数据受托人”模式的由来
跨境数据服务企业主动或被动选择“数据受托人”模式,与业务所在国家或地区数据服务企业建立合作的现象出现,至少是两方面因素作用的结果。一方面,国际上有关个人信息与隐私保护、数据安全、网络安全、数据主权的观念与相应立法不断加强;另一方面,国家或地区间对彼此监视或控制对方公民个人信息,损害数据安全利益的担忧和不信任始终存在。
“欧美隐私盾”协议的命运为就是一个典型的例证。
2015 年,欧盟法院以美国的数据监控政策不满足欧洲信息隐私保护标准为由判决欧美间有关跨境数据传输的“隐私安全港原则”(Safe Harbour Privacy Principle)失效,欧美遂着手商定新的“欧美隐私盾”协议(EU-US Privacy Shield),并于 2016 年在欧洲获得通过。
然而,2020 年 7 月 16 日,欧盟法院再次以美国未能向欧洲公民提供充分的数据保护为由判决“欧美隐私盾”协议失效。
随着“欧美隐私盾”协议失效,如今在欧盟域内开展业务的美国数据服务企业面对欧盟数据只有两个选择,要么满足“示范合同条款”或“企业约束规则”的要求才能将数据跨境传回美国加以存储和利用;要么在欧盟境内建立数据中心,将所获得的数据留在欧盟境内存储、处理。前述微软德国数据中心的案例就是微软选择了后一种方式。
我国《网络安全法》也对跨境数据传播与利用进行了限制,该法第三十七条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储;因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
有研究显示,目前全球有超过 60 个国家和地区都不同程度上对数据本地化存储做出了限制和规定。
意识到数据资源在促进创新和经济发展中的重要意义,以及法律门槛和互信缺乏对数据合理流通和数据市场形成的客观阻碍,一向被认为对个人数据保护最为严格的欧盟也开始转变政策,从着重对个人数据的保护,转向推动数据共享作为一种公民义务。
其关键的政策措施即推动建立可信且安全的数据交易空间,即数据“信任”(TRUSTS)平台的建设。
根据计划,欧盟将于 2020 年先期投入 700 万欧元建立一个汇集个人与非个人数据的数据池,并使商业或政府可以从这一数据池中“一站式”获取所需要的数据信息,公民则可以从对其个人数据的使用中分得数据红利。国际企业也可以从这一“信任平台”中访问欧洲公民的数据,但不得将数据储存或转移至欧盟以外的地方。
按照这一计划,欧盟期望把五亿人口的数据资源整合起来,形成一个规模巨大的数据市场。
结合既有的“数据受托人”合作实践及其形成的法律、政策和国际环境背景,观察欧盟有关数据保护与数据市场的政策调整,反观字节跳动公司与甲骨文公司达成的合作,考虑到当前 TikTok 所遭遇的困境,可以说这样的合作对企业来说既是无奈之举,也是形势所趋,亦有先例可循,可能也不失为一次机遇。至于合作能否最终实现,还有待美国政府与我国政府对提案具体内容的审核,我们拭目以待。