TikToK與甲骨文達成合作，模式有經驗可循

繼本月 13 日微軟承認字節跳動公司拒絕向其出售旗下 TikTok 美國業務后，14 日甲骨文公司證實，作為字節跳動公司向美國財政部所提交提案的一部分，其將成為字節跳動公司“可信賴的技術供應商（trustedtechnology provider）”。

美國全國廣播公司財經頻道（CNBC）報道稱，字節跳動公司也證實，“（公司）已在上周末向美國財政部提交提案，相信該提案將解決美國政府的安全擔憂”，“并使字節跳動公司得以繼續向美國用戶提供服務”。

目前提案的具體內容尚不得而知，但現有的公開信息似乎表明，提案并未提出字節跳動公司將向甲骨文公司出售全部 TikTok 美國業務，也未涉及 TikTok 核心技術——算法的轉讓，甲骨文公司將更有可能作為字節跳動公司在美的數據合規伙伴，負責存儲和管理 TikTok 美國用戶的數據，這意味著甲骨文公司將成為 TikTok 美國用戶數據的“數據受托人”。

1

字節跳動與甲骨文的合作模式并非首例

2015 年，為了解決“棱鏡門”事件后歐洲對美國企業掌控歐洲數據的擔憂，適應歐盟有關個人信息保護和數據安全的合規要求，微軟主動與德國電信合作，在德國馬格德爾堡和法蘭克福建立了兩個數據中心。

微軟 CEO 薩提亞·納德拉表示，在德國的數據中心“將在數據處理和存儲方面為消費者提供選擇，并建立信任?！?/p>

根據微軟的公開聲明，微軟旗下產品 Azure、Office 365 以及 Dynamics CRM Online 的數據服務將由設在德國的兩個數據中心提供；用戶數據將以靜態方式存儲在德國的數據中心；德國電信旗下子公司 T-Systems 將負責控制和監督所有對數據中心用戶數據的訪問，德國電信即成為上述數據中心所儲數據的“數據受托人”。

這一模式使得包括微軟在內，任何第三方除取得消費者或“數據受托人”的同意外，不得訪問這些數據。

2018 年底，微軟曾停止了上述數據中心的業務。由于調查顯示微軟將 Office 365 的數據傳回美國，以及原有數據授權模式不符合歐盟《通用數據保護條例》（GDPR）有關兒童數據同意規則的規定，加之對于美國政府數據監控權力擴張的擔憂，德國一些州的政府于是禁止學校使用 Office 365 軟件。為了適應合規的新要求，最終，微軟再次選擇在德國設立數據中心。

中國消費者對于“數據受托人”模式也并不陌生。

2017 年 7 月，蘋果公司即與貴州省簽訂戰略合作框架協議，授權云上貴州公司作為蘋果公司在中國大陸運營 iCloud 服務的唯一合作伙伴，在中國大陸境內運營 iCloud 服務。

2017 年 9 月，蘋果公司在貴州貴安新區注冊了實體公司“蘋果技術服務（貴州）有限公司”，與云上艾珀（貴州）技術有限公司合作建設 iCloud 貴安新區主數據中心。該數據中心由云上貴州公司負責運營，蘋果公司提供技術協助。

2018 年 2 月 28 日起，云上貴州開始全權負責 iCloud 在中國內地的運營，同時其還持有與 iCloud 中國內地用戶的法律和財務關系。同日，iCloud 服務在中國境內使用蘋果和云上貴州公司雙品牌向用戶提供服務。

除此之外，微軟 Azure、Office 365、Dynamics 365、Power BI 在中國大陸的在線服務也均由北京世紀互聯寬帶數據中心有限公司的全資子公司上海藍云網絡科技有限公司負責運營和銷售。

資料顯示，由世紀互聯運營的所有服務器位于中國電信在北京和上海的數據中心；上述產品在物理和邏輯上維持與全球微軟云隔離的 Azure、Office 365 和 Power BI 服務，確保所有用戶數據，以及任何可能用于訪問用戶數據的支撐系統全部位于中國境內的數據中心。

在用戶數據訪問權限方面，世紀互聯通過實施專門的基于角色的訪問控制（RBAC）工具控制對客戶數據的邏輯訪問，這些限制是在技術設計層面上實施的，意味著微軟員工不能獲得數據訪問權，也不具備任何可用于讓微軟訪問客戶數據的頂級管理權。

原則上，世紀互聯的供應商也不具有客戶數據的邏輯或物理訪問權限。世紀互聯掌握所有 Azure、Office 365 和 Power BI 服務相關的密鑰和數據，以及系統與數據中心出入控制，微軟僅在世紀互聯無法獨立解決相關疑難問題的情況下，在世紀互聯相關人員陪同并監督的場合，幫助世紀互聯解決相關技術問題。

2

“數據受托人”模式的由來

跨境數據服務企業主動或被動選擇“數據受托人”模式，與業務所在國家或地區數據服務企業建立合作的現象出現，至少是兩方面因素作用的結果。一方面，國際上有關個人信息與隱私保護、數據安全、網絡安全、數據主權的觀念與相應立法不斷加強；另一方面，國家或地區間對彼此監視或控制對方公民個人信息，損害數據安全利益的擔憂和不信任始終存在。

“歐美隱私盾”協議的命運為就是一個典型的例證。

2015 年，歐盟法院以美國的數據監控政策不滿足歐洲信息隱私保護標準為由判決歐美間有關跨境數據傳輸的“隱私安全港原則”（Safe Harbour Privacy Principle）失效，歐美遂著手商定新的“歐美隱私盾”協議（EU-US Privacy Shield），并于 2016 年在歐洲獲得通過。

然而，2020 年 7 月 16 日，歐盟法院再次以美國未能向歐洲公民提供充分的數據保護為由判決“歐美隱私盾”協議失效。

隨著“歐美隱私盾”協議失效，如今在歐盟域內開展業務的美國數據服務企業面對歐盟數據只有兩個選擇，要么滿足“示范合同條款”或“企業約束規則”的要求才能將數據跨境傳回美國加以存儲和利用；要么在歐盟境內建立數據中心，將所獲得的數據留在歐盟境內存儲、處理。前述微軟德國數據中心的案例就是微軟選擇了后一種方式。

我國《網絡安全法》也對跨境數據傳播與利用進行了限制，該法第三十七條規定：關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲；因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

有研究顯示，目前全球有超過 60 個國家和地區都不同程度上對數據本地化存儲做出了限制和規定。

意識到數據資源在促進創新和經濟發展中的重要意義，以及法律門檻和互信缺乏對數據合理流通和數據市場形成的客觀阻礙，一向被認為對個人數據保護最為嚴格的歐盟也開始轉變政策，從著重對個人數據的保護，轉向推動數據共享作為一種公民義務。

其關鍵的政策措施即推動建立可信且安全的數據交易空間，即數據“信任”（TRUSTS）平臺的建設。

根據計劃，歐盟將于 2020 年先期投入 700 萬歐元建立一個匯集個人與非個人數據的數據池，并使商業或政府可以從這一數據池中“一站式”獲取所需要的數據信息，公民則可以從對其個人數據的使用中分得數據紅利。國際企業也可以從這一“信任平臺”中訪問歐洲公民的數據，但不得將數據儲存或轉移至歐盟以外的地方。

按照這一計劃，歐盟期望把五億人口的數據資源整合起來，形成一個規模巨大的數據市場。

結合既有的“數據受托人”合作實踐及其形成的法律、政策和國際環境背景，觀察歐盟有關數據保護與數據市場的政策調整，反觀字節跳動公司與甲骨文公司達成的合作，考慮到當前 TikTok 所遭遇的困境，可以說這樣的合作對企業來說既是無奈之舉，也是形勢所趨，亦有先例可循，可能也不失為一次機遇。至于合作能否最終實現，還有待美國政府與我國政府對提案具體內容的審核，我們拭目以待。