TikTok携手甲骨文“云上加州”,独家解读数据受托人模式
大数据文摘出品
作者:武延军,中国科学院软件研究所研究员、博导
编者按:北京时间9月15日,据甲骨文证实,它已经与TikTok母公司字节跳动达成协议,成为其“可信技术提供商(trusted tech partner)”,TikTok案也终于有了初步结果。这里提到的合作方案,是指甲骨文作为数据合作方,由甲骨文为TikTok提供云服务,类似苹果在中国由云上贵州进行数据合规的方案。
TikTok“云上加州”(甲骨文总部在美国加州)的方案立刻引发了热议,这种模式听起来陌生,但实际上也是不少技术跨国公司在进行技术出口时候常采取的“数据受托人模式”。对于TikTok和字节跳动来说,如何应对这一历史转折?这样的合作方式有何创新之处?
我们邀请到了中国科学院软件研究所研究员、博导武延军老师,就这个问题,为我们聊聊TikTok“云上加州”背后的“数据受托人模式”。
在新冠疫情基本得到控制的后半年开始,国内IT行业的新闻热度排行榜几乎被两个焦点牢牢占据。一个是早已家喻户晓的美帝眼中钉肉中刺大菊花厂,一方面是美国商务部不断收紧的管制禁令,一方面是菊厂上下同仇敌忾拼命突围。
而另外一个焦点,TikTok,字节跳动公司旗下一款风靡全球的视频社交平台,仿佛在一夜之间被推上了风口浪尖,与大菊厂一样被扣上了“威胁美国国家安全”的帽子,遭到了蓬佩奥、纳瓦罗等人的口诛笔伐,并让特朗普10天之内连发两道总统行政令进行极限施压,强行要求字节跳动在45天之内签署把TikTok出售给美国公司的协议,否则就关停所有业务。为此,字节跳动采取了一系列措施,甚至通过起诉美国政府来争取合理权益,然而都无济于事。
正当众人屏息凝神等到9月15日最后期限到来之时,却看到了意想不到的结局:TikTok携手甲骨文公司,通过“云上加州”的方案,躲开了美国政府挥起的大棒。
让我们回顾一下这一事件的过程,由此看清TikTok命运大转折背后的历程。
主角TikTok是谁?
TikTok与国内民众熟悉的抖音一样,都是字节跳动公司旗下的产品。按照字节跳动的说法,抖音服务中国市场,TikTok则覆盖全球200多个国家和地区、75个语种。两个产品的数据存储、内容运营、内容审核都是相互独立的,因此TikTok不是抖音的海外或国际版本,而是一款独立的产品。
为什么字节跳动要强调TikTok是一款独立的产品?这就涉及到2017年被字节跳动收购的musical.ly Inc.。这是一家注册于2014年的美国公司,是上海闻学网络科技有限公司的子公司。收购完成后,字节跳动把musical.ly和自研的TikTok合并,统一使用TikTok的名称。
收购和整合完成后,TikTok经历了快速的发展:2018年10月TikTok成为美国当月下载量最大的应用程序;2020年第一季度TikTok成为全球单季度下载量最大的应用,美国市场累计下载量超过1.65亿次,全球累计下载量超过20亿次;6月,TikTok在美国总月活跃用户量激增到了9100万,7月在全球的月活跃用户已有6.89亿人;截至2020年8月,TikTok在全球的总下载量突破了20亿次。
然而,在收购musical.ly交易发生时,字节跳动认为musical.ly控股股东在中国,总部和主要运营团队都在上海,因此交易案没有主动向美国CFIUS申报审查,这为后来特朗普政府鸡蛋里挑骨头提供了突破口。
CFIUS是谁?
CFIUS成立于1975年,全称是美国外国投资委员会(Committee on Foreign Investment in the United States,简称“CFIUS”),由美财政部牵头多个部门组成,是美国政府中一个专门负责审查外国企业和个人在美国的投资是否有可能威胁美国国家安全的机构。CFIUS对“可能导致外国政府获取美国公民的敏感个人信息的交易”有明确管辖权,而一旦某个商业活动涉及到美国国家利益、国家安全,往往就会以个人隐私信息泄露为借口行使否决权。近年来,随着中国经济的增长,CFIUS成为中国公司在美国投资交易的关键障碍。
据统计,从2013年到2015年,CFIUS审查的交易中约有20%来自中国投资者。2018年美国政府更新了相关法案,规定相关方有责任向CFIUS报备某些特定交易,特别是涉及开发特定技术或基础设施的公司,或持有100万以上美国公民敏感信息的公司。2019年9月,特朗普政府提出了新规则,给CFIUS扩大了更多权力,允许以国家安全为由阻止交易,被认为是美国政府为挫败中国的技术和经济野心并遏制中国在美国投资的新举措。
早在2019年11月1日,特朗普政府以国家安全为由,要求CFIUS对字节跳动对“美国短视频应用”(用户和市场在美国)musical.ly的收购案展开调查。2020年3月,CFIUS在经过5个月的司法管辖权评估后,告知字节跳动计划进行正式调查,又3个月后,于6月15日启动了调查。7月30日,CFIUS拿出的调查结果表述为:字节跳动收购musical.ly的“交易存在国家安全风险,TikTok没有任何可以解决这些风险的缓解措施”。其中的理由是TikTok有大量美国用户使用,涉及到用户数据的收集,由中国人作为控股股东“存在可能”将用户数据交给中国政府,从而危害美国国家安全的风险。
“数据受托人模式”
看起来经不住推敲的依据和不严谨的结论,背后是一个困扰各国政府多年的难题:就是在互联网时代“软件即服务,数据即资产”的模式下,如何对数据,特别是涉及到个人敏感信息的隐私数据,进行严格而又合理的管辖和治理。其中,跨境数据转移成为个人数据保护的重点。
为此,全球各地都有各式各样的政策对此给出了严格的规定,包括不限于2018年5月欧盟《通用数据保护条例》(GDPR)、2017年6月起实施的中华人民共和国的网络安全法,以及印度2019个人数据保护法案等。其中,《中华人民共和国网络安全法》第三十七条明确规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。印度2019个人数据保护法案明确要求,关键的个人数据只能在印度处理。
对于跨国公司来说,数据保护的要求在商业中在实践中如何满足呢?这里最为典型的是“数据受托人模式”,即相关公司为了解决公司在当地国家的数据安全担忧问题,选择当地国家的独立公司作为“数据受托人”达成技术合作,由“数据受托人”提供数据中心存储相关公司数据,并由“数据受托人”控制并监督相关公司对客户数据的所有访问。“数据受托人”通常是一家独立的公司,其总部位于数据产生国,在该国注册成立,由该国企业拥有和控制,并受当地法律管辖。
关于“数据受托人模式”,这里有两个经典案例供大家体会。
案例一:2015年,微软主动在欧洲采取数据受托人模式,来解决棱镜门事件后欧洲对美国公司掌控欧洲数据的担忧。欧洲的微软用户可以选择将其云数据储存在德国,而不是传输到美国进行保存和处理。用户输入联网微软Office软件及其他商用数据将被存储在由德国电信管理的两个数据中心里。这里的数据受托人就是德国电信(Deutsche Telekom),它是德国第一大电信集团,控制并监督相关数据中心对客户数据的所有访问。微软只有在得到用户或者是控制数据使用权限的德国电信子公司T-Systems的许可后才能接触这些数据。即便得到T-Systems的许可,微软还必须在有监督的情况下才能获取数据。
案例二:同样是微软公司,与德国类似,为了满足中国政府的相关法律和合规要求,微软也采取了类似的模式与中国公司合作,提供Microsoft Azure、Office 365和Power BI服务的公有云平台,由北京世纪互联宽带数据中心有限公司的全资子公司上海蓝云网络科技有限公司(简称为“世纪互联”)独立运营和销售。所有服务器位于中国电信在北京和上海的数据中心,世纪互联掌握所有Azure、Office 365和 Power BI服务相关的密钥和数据,以及系统与数据中心出入控制。在物理和逻辑上维持与全球微软云隔离。微软无法直接访问客户数据,在未经世纪互联数据保管方进行批准的情况下,也无从获得客户数据,甚至紧急时刻或服务中断等场景也会受到这些限制。
走出困境的创新
在TikTok事件刚刚在网上发酵之际,有不少网友质疑字节跳动没有向大菊花厂一样拼死反抗,甚至嘲笑“投降太早”、“下跪太快”。作为菊厂的资深拥护者,我本人理智思考之后,认为这是两件性质不同的事情。菊厂是以ICT基础设施的硬实力席卷世界,对美帝来说是眼睛、耳朵和触角的截断,如鲠在喉,因此必然会开足火力阻击。而TikTok则是视频社交平台,激发人的创作和分享,促进彼此交流。对菊厂,美帝已经撕下伪装毫不掩饰,直接扣押、管制和禁售。但是对于TikTok如何处理,是对西方所标榜的开放、多元、契约精神等商业文明的一次拷问;同样,如何应对美国政府的挑衅,也是对东方商业智慧的一次考验。
对于一家刚刚处在全球化潮头、正在快速成长的商业公司,突然被大国竞争和总统大选推到风口浪尖上,其中的滋味和艰难只有管理者和成千上万身处其中的员工才能体会。是合理利用规则,积极走出困境,还是逞一时之勇玉石俱焚?答案不言自明。
而且,从前面的“数据受托人模式”可以看出,与甲骨文合作,按目前所披露的方式,并非接受“不平等条约”,而很可能是双赢的开始。为了说明这一点,这里再举一个苹果公司“云上贵州”的例子。
2017年7月,苹果宣布在贵州省建立中国第一个数据中心,与云上贵州签订战略合作框架协议,授权“云上贵州”作为苹果在中国大陆iCloud业务的“唯一合作伙伴”。2018年2月28日起,云上贵州开始全权负责iCloud在中国内地的运营,同时其还持有与iCloud中国内地用户的法律和财务关系。苹果公司认为“与云上贵州的合作将使我们得以继续提高iCloud服务的速度以及可靠性,同时也符合中国的云服务须由本地企业运营的新规。”中国信息通信研究院产业与规划研究所副主任胡海波也认为,云上贵州公司和苹果的合作堪称是国家对外开放的创新案例。据胡海波估算,仅iCloud运营这一项业务,每年将给云上贵州公司带来10亿美元以上的稳定收入。
可以预计,TikTok与甲骨文的合作,是苹果公司“云上贵州”的翻转版,可以称之为“云上加州”。参考苹果公司在中国的业务发展,这样的做法无疑是明智的,甚至对于中国背景的公司来说,是极具创新性的。
更进一步讲,如果TikTok此次闯关成功,既为后来者提供了很好的样板,即如何去满足一些国家严苛的数据管制要求,同时不中断自身业务;也意味着全球化之路并没有被堵死,人类命运共同体未来可期。
这里还需要提到一件事,就在整个8月份TikTok身陷孤立无援境地的时候,8月28日商务部和科技部2020年第38号关于调整发布《中国禁止出口限制出口技术目录》的公告悄然发布,其中计算机服务业的信息处理技术中明确增加“21. 基于数据分析的个性化信息推送服务技术”为出口限制项。很多人不明白这意味着什么,但对于字节跳动掌舵者来说无异于一剂定心丸,而对于垂涎TikTok的国外买家则是当头一棒,一场政府极限施压与买家乘虚而入的双簧闹剧就此打住。
结束语
《不放弃探索任何可能,做值得信任的全球公司》,8月3日在TikTok的危急时刻,张一鸣曾以此作为全员公开信的题目。从目前的结局看,这位80后的创业者已经带领公司在变数中找到了最优解,并坚定走上了全球公司之路。后续还会有什么样的大风大浪尚不可知,但是只有经历了大风大浪,才能真正成长为一家伟大的全球化公司。