为在美国生存而战，TikTok公布“得克萨斯计划”细节

作者：  来源：上海美国研究

编者按：

去年6月，美国媒体Buzzfeed报道称，字节跳动的中国员工可以访问美国的TikTok用户数据，顿时刺激了美国家安全鹰派的敏感神经。一周后，9名共和党参议员联名致信TikTok首席执行官周受资，质疑其数据访问政策。为回应上述担忧，周受资于三天后回信参议员，信中称TikTok正在开展一项加强美国用户数据安全的“得克萨斯计划”(Project Texas)。不过，这并未打消美国的疑虑，此后发生的事情众所周知：十几个州政府宣布应用禁令，几所公立大学则禁止TikTok进入其Wifi网络;国会则于去年12月底投票决定禁止联邦政府设备使用TikTok应用，新法律将于今年2月27日起实施，但执行机制尚不明确;近日，共和党参议员乔什·霍利(Josh Hawley)和共和党众议员肯·巴克(Ken Buck)又分别在两院提出“美国设备禁用TikTok法案”(No TikTok on the United States Devices Act)，众议院外交事务委员会计划于本月就该法案进行投票。可以说，TikTok的美国业务正面临比2020年时任总统特朗普试图禁止该应用更严重的威胁。

对此，TikTok正在华盛顿发起新一轮公关游说攻势。除了备受瞩目的TikTok首席执行官周受资将于3月23日出席众议院能源和商务委员会的听证会之外，其于近日为部分记者和学者举行了一场关于“得克萨斯计划”的简报会。受TikTok资助的北卡罗来纳大学教堂山分校技术政策中心主任马特·佩罗特(Matt Perault)和“小院高墙”策略的提出者、“新美国”智库网络安全政策研究员萨姆·萨克斯(Samm Sacks)参加了这场简报会，并在法律事务(Lawfare)网站撰文，分享了简报会透露的关于“得克萨斯计划”的细节，文章摘要如下：

“得克萨斯计划”的目的是什么?

根据《国防生产法》(Defense Production Act)第721条，美国外国投资委员会负责审查和监控在美国的外国投资，以防止美国国家安全受到威胁。当CFIUS确定某项交易可能会对美国家安全构成风险后，它可以和该实体签订缓和协议，并继续监控以确保该实体遵守美国法律规定。拜登政府在2022年9月颁布第14083号行政令，列举了CFIUS在审查时必须考虑的因素，例如，对美国企业的外国投资是否会访问或存储美国人的敏感数据，包括健康数据。同年10月，CFIUS发布首份执法和处罚指南，具体说明了对企业不合规行为的处罚程序。

TikTok和CFIUS之间的谈判，主要集中在以下三个具体风险上。第一，中国政府未经授权访问TikTok持有的数据，尤其是美国公民的数据。第二，中国政府对TikTok的内容产生影响。第三，TikTok没有合适的安全系统，软件存在漏洞且不值得信任。

TikTok将如何执行“得克萨斯计划”?

执行“得克萨斯计划”的基础是TikTok于2022年7月成立的美国数据安全管理部门(USDS)。该部门负责TikTok业务中容易引起国家安全问题的部分，如访问美国公民数据和内容审核。USDS将由前美国特勤局特工安迪·波尼洛(Andy Bonillo)和威尔·法瑞尔(Will Farrell)领导。该部门将由一个独立的董事会管理，董事会成员由TikTok提名，并由CFIUS审查。而且，该董事会将直接向CFIUS而不是字节跳动汇报工作。甲骨文公司也将监督USDS的数据安全，确保不会构成国家安全风险。同时，CFIUS也将规定USDS的招聘要求，雇员必须为美国公民或持有美国绿卡。美国政府也有资格对任何潜在雇员进行额外的背景调查，并且有权否决USDS的招聘决定。

除了访问TikTok的代码和后端系统之外，USDS还建立了独立的人力资源团队，负责招聘和管理美国员工。与TikTok全球业务的核心功能一样，USDS的团队也将包括软件工程、用户和产品运营、隐私保护、法律咨询、威胁检测，以及安全风险与合规等领域的人员。不涉及美国用户数据的职能，如公共政策和营销，将不会被引入USDS。目前，TikTok约一半的美国员工已经转入USDS。

甲骨文公司在监管USDS方面将扮演什么角色?

甲骨文公司将负责监督流入和流出USDS的数据，确保所有美国用户的数据都将转移至甲骨文公司的云服务器。由于TikTok在全球运营，为使美国TikTok用户可以和其他国家的用户进行互动，部分美国数据势必会离开美国。TikTok已经向CFIUS反映了这一问题，TikTok表示公共数据、互操作性数据和数据安全工具都经过了CFIUS的审查。因此，美国用户依然可以与国外用户互动。

甲骨文公司将使用自动化流程和人工审核来保证数据安全，主导安全审查流程，与获得CFIUS批准的第三方检查人员一起对所有TikTok代码进行评估。一旦代码通过检查，甲骨文公司就会进行数字签名，允许软件运行。审查过程将在“透明中心”(transparency centers)内部进行，甲骨文公司可以直接审查TikTok的源代码。自2022年8月起，甲骨文公司已经启动了对TikTok源代码的初步审查。如果发现恶意代码、安全漏洞等问题，将在一天内通知USDS、CFIUS和第三方监管机构。

甲骨文公司还将监督审核系统、视频推荐机制以及推广的内容。如果发现潜在风险，它将向美国政府标记该问题，方便政府之后进行详细的检查。

USDS将在内容审核中扮演着什么角色?

USDS将负责TikTok在美国的内容审核。目前，TikTok有三种审核内容的方式，分别是执行社区准则，根据用户行为推荐视频，以及根据编辑政策推广视频。对于美国用户来说，以上方式将由USDS负责审核监督。

谁将负责监督“得克萨斯计划”?

如果TikTok和CFIUS就降低安全风险达成协议，那么CFIUS将继续督促TikTok遵守协议。目前，CFIUS监督着数十项缓和协议，并定期向国会报告。

根据TikTok披露，除CFIUS以外，另有六个实体共同监督“得克萨斯计划”，分别是：甲骨文公司、由甲骨文公司提名并由CFIUS批准的源代码检查员、数据删除审计员(负责核实在USDS成立之前存储在TikTok位于新加坡和弗吉尼亚州服务器上的所有美国个人数据成功删除)、网络安全审计员、确保合规的第三方监督员、第三方审计员(负责每年进行合规评估)。

USDS会让TikTok付出怎样的代价?

TikTok预计建立的USDS将耗资15亿美元，每年的运营成本将在7亿至10亿美元之间。目前，TikTok并未说明“得克萨斯计划”将对应用程序有何影响，也不清楚该计划是否可以缓解美国的担忧。但至少USDS的建立将对TikTok向美国境外传输数据的能力产生法律和政策影响。

首先，TikTok需要修改其隐私政策。新政策将明确指出，在哪些特定、限制的情况下，将允许数据流出USDS。其次，由于TikTok的隐私政策将限制USDS和字节跳动共享数据，如果TikTok违反政策，美国联邦贸易委员会(FTC)将根据《联邦贸易委员会法》(Federal Trade Commission Act)第五条对其采取行动。最后，美国《存储通信法案》(Stored Communications Act)禁止科技公司向外国政府披露账户内容，如果中国政府要求USDS提供数据，美国将依法起诉TikTok。

文章摘译自Lawfare网站文章Project Texas: The Details of TikTok’s Plan to Remain Operational in the United States。

来源时间：2023/2/2   发布时间：2023/2/2

旧文章ID：29269