字節跳動不當訪問美國用戶隱私：一次將被放大的ESG風險

文章轉載自微信公眾號虎嗅APP

《福布斯》12月23日報道，字節跳動的員工動用特殊權限查看了多名美國媒體記者在TikTok上留下的隱私數據。此舉違背了TikTok此前關于用戶隱私保護的公開承諾，即不會出于商業以外的目的，對特定美國用戶的信息進行監控。

據報道，字節跳動之所以訪問子公司TikTok的數據，是為了堵住內部資料外泄給媒體的漏洞。為此，字節的內審人員不當查看了多名記者的TikTok賬戶數據，包括他們的IP地址、APP內通信等，以審查他們是否曾與涉嫌泄密的員工聯絡見面。

也就是說，為了彌補一個問題，字節觸發了更大的問題。

該事件的后果可能極為嚴重。自從2020年特朗普政府對TikTok發難以來，字節跳動及TikTok一直在努力向美國政府和社會各界展示該APP的數據安全性。但是，本次事件將令情況變得復雜。

12月27日，據《華爾街日報》引述知情人士的消息，拜登政府內部的一些官員已經在美國外國投資委員會（CFIUS）的討論中提出，應迫使字節跳動出售美國業務。

·為什么事件的后果可能空前嚴重？

TikTok曾多次遭到美國政府的監管乃至封殺威脅。

在形勢最為嚴峻的2020年，時任美國總統特朗普曾對TikTok采取強制措施，威脅要么禁止TikTok在美運營，要么字節跳動剝離TikTok美國業務并出售給美國本土企業。特朗普認為，TikTok對美國民眾輸出價值觀并采集用戶信息，對美國國家安全構成了威脅。

之后，2021年就任的拜登政府撤銷了特朗普對TikTok的禁令，暫時緩解了TikTok在美國的生存危機。

但是，公司并未從此高枕無憂。美國政府和監管部門對TikTok的調查始終在推進。并且在美國國家和各個州政府中，存在大量反對TikTok在美運營的官員，持續推動對TikTok采取更嚴厲措施。他們反對TikTok的理由，還是集中在美國國家安全和用戶數據隱私問題上。這些爭議中，有用戶隱私等ESG議題，當然也包含大量的地緣政治因素。

但一直以來，TikTok的所謂安全威脅基本停留在理論層面或制度層面。各方給出的調查結果，未能充分證明TikTok對美國國家和公民的數據安全產生了實質性的侵害。

較近一輪公關的攻防戰發生在2022年6月。一篇來自BuzzFeed的報道對TikTok造成了較大的不利影響。BuzzFeed的記者Emily Baker-White通過分析80份TikTok內部會議的錄音、以及9位TikTok員工的陳述得出結論，母公司字節跳動位于中國的技術人員仍在持續訪問TikTok的美國用戶數據。

針對這一波媒體調查引發的質疑，TikTok及母公司字節跳動做了相應的風險管理和回應，重申了在數據存儲本地化方面的努力，即美國用戶的數據都存儲在甲骨文公司的云端。同時TikTok一再保證，用戶數據的訪問權限是被嚴格限制的，公司不會使用用戶數據去對特定人進行定位追蹤。

然而，這次年底爆出的字節跳動員工不當訪問用戶隱私的事件，讓TikTok的各項合規努力付諸東流。

實際上，字節正是在與美國媒體的攻防戰中，暴露出了對方希望尋找的破綻。

從現有的信息回看，正是2022年6月的負面報道，使得字節跳動希望加強內控，防止內部資料再度流入媒體手中。為此，公司的內審部門展開的工作之一，就是調查員工與媒體之間的關系，并且在調查過程中使用了不合規手段。前面提到的BuzzFeed記者Emily Baker-White，是被重點調查的人之一。Emily Baker-White后來入職《福布斯》，也把與TikTok之間的戰斗帶到了《福布斯》。

10月，字節跳動查看用戶個人信息的行為，再度被Emily Baker-White本人探知，并通過《福布斯》進行報道。TikTok最終承認了內部員工的不當行為。這樣，TikTok的新一輪輿論與監管危機在所難免。

此次事件打破了TikTok在美國小心維持的平衡與信任。它可以說是正中批評者的下懷，印證了此前對TikTok的指控。事件可能導致政府中對TikTok的反對派占據上風，并采取極度嚴厲的監管措施和行政制裁。

· “被破壞的努力”

據《福布斯》，字節跳動CEO梁汝波在內部郵件中表達了深深的失望之情：“我們花費巨大努力建立起來的公眾信任，被少數人的不當行為嚴重破壞?！?/p>

用戶數據隱私的保護，是企業ESG治理和合規治理的一個重要議題。TikTok的案例中牽扯的地緣政治問題雖然不容ESG置喙，但公司觸發的用戶隱私風險則是一個標準的ESG問題。在出海企業中，像移動應用、電商、3C、智能汽車、電信服務等類型的業務，通常運營著成規模的海外用戶數據，需要嚴格遵守所在國的數據法規。

在數據合規上，TikTok以及母公司字節跳動付出的努力，不可謂不充分。

首先，TikTok進行了大量技術與制度方面的建設，包括但遠遠不限于通過了代表高水平數據安全的ISO27001認證。TikTok及其母公司擁有世界領先的技術團隊，數據安全的技術性問題自然不在話下。

不過，美國方面質疑的不是TikTok的技術水平，而是公司治理方面“人”的因素：TikTok是否將用戶數據用在商業目的之外的用途？內容推薦算法是否帶有偏見？是否對美國用戶推送帶有特定價值觀（尤其是中國主流價值觀）的內容？

2020年，彼時的TikTok已經在美國擁有約5000萬級別的用戶。來自華盛頓的主流態度認為，TikTok上的美國用戶信息被傳輸并存儲到了母公司位于中國的服務器上。這是華府不能夠接受的。

拋開地緣政治的因素不談，對數據跨境傳輸的管制，確實是從2020年前后開始受到各國監管者的重視。

根據2021年德勤與中興通訊聯合發布《數據跨境合規治理實踐》白皮書，各國的數據跨境法規可以分為三類：第一類是極端嚴苛的數據“本地化存儲+禁止出境”，第二類是極端寬松的“無本地化存儲要求+自由出境”，以及居間的第三類“有條件的存儲與出境”。大多數國家的數據法規屬于第三類。于是出海企業在數據治理方面的核心工作，就是弄清目的地國“有條件的存儲與出境”政策中的“條件”是怎么，以及如何遵守。

這些后來的經驗，正是TikTok等先驅蹚出來的“血路”。美國雖然是“數據跨境自由流動”的支持者，但當局對于TikTok所持美國用戶數據的要求，屬于最為嚴苛的“本地化存儲+禁止出境”類型。

在2020年下半年特朗普政府開始對TikTok發難的同時，字節跳動經過與甲骨文公司的密集協商，決定將TikTok在美國的服務及數據存儲，搬到甲骨文云上，實現本地的存儲與使用。同時，TikTok的在美運營，已經全權交給了基于加州洛杉磯的本土團隊。

TikTok的數據合規工作，是“本地化”與“透明化”的兩條腿走路。在2020年3月，公司公布了透明化建設的兩項重要舉措，向外展示公司的安全可信賴。其一是建立“透明度和問責中心”（Transparency and Accountability Center，簡稱透明度中心），并發布《透明度報告》；其二，是組建了一個內容顧問委員會。

TikTok的“透明度中心”是一個物理存在的地點。受邀的訪客可以在這里參觀TikTok的內容審核后臺系統，看到APP的一些代碼及其他數據管理操作。類似的信息也開放給了內容顧問委員會。這個委員會由獨立的學者、專業人士構成，他們為TikTok在美國的團隊提供內容治理、技術倫理、數據安全等方面的建議，并履行監督義務。值得補充的是，這些舉措是全球性的，不限于美國市場。這在整個科技行業也是領先的舉措。

我們很難窮舉TikTok和母公司字節跳動為了數據合規做出的努力?？傊?，他們在技術和制度的基礎上，加碼了“本地化”與“透明化”兩項舉措。用稍專業的數據安全話術來解釋，TikTok的相關舉措涉及在“數據收集、存儲、傳輸、使用”等流程上合規運營，外防黑客攻擊風險，內防員工違規風險，并且對外自證清白，極力獲取用戶和監管者的信任。

令人扼腕的是，公司的“巨大努力”，最近毀在“少數人的不當行為”上。

為何嚴防死守之下還是出現了漏洞呢？據《福布斯》的報道，實施此次“不當行為”的是字節跳動內部審計人員。這實質上意味著，風險是從公司治理的內核上爆發的。

企業的內審部門，本應是保障企業合規的終極防線；為了履行監察職能，內審團隊通常擁有企業內部信息系統的高級訪問權限。然而，字節的內審人員在調查公司內部的泄密漏洞時，卻突破了他們本應堅守的數據合規底線。可能字節與TikTok的高管都不曾想到，危機會以這種“禍起腋肘”的形式爆發。

出于后見之明，我們或許可以強調一下企業核心團隊合規文化建設的重要性。但對于字節來說，損失可能已經難以挽回了。

根據多家媒體的報道，事后字節跳動整肅了各級公司的內審部門，撤銷了其對敏感數據的訪問權限，并且辭退了相關責任人。

然而在很多美國財經媒體和立法者看來，字節及其子公司這次犯下的錯誤是不可饒恕的。

·注定悲??？

誠如一些評論者所言，運營一個內容平臺本來就是非常困難的事。像臉書、推特這些美國土生土長的內容平臺，都免不了沾染數據違規的爭議以及政治丑聞。比如，推特、臉書和Youtube都曾或多或少卷入2016年美國“通俄門”事件。類似地，像TikTok這樣有中國背景的企業，對于美國國內的政治暗流，抵抗力更弱，且被拿捏的把柄更多。

TikTok大概自2020年起，越發收緊平臺關于政治廣告內容的審查，在美國社會中采取“政治中立”策略，以防卷入不必要的風險。

但TikTok的謹小慎微不足以屏蔽所有的非常規風險。更何況，美國國內的一些反對力量帶著有色眼鏡看待TikTok，把TikTok及其母公司的一舉一動，都放在顯微鏡底下審查。

所以，認為TikTok注定悲劇的觀察者大有人在。

就TikTok這家公司本身來說，它在美國市場為“贏取信任”和“不犯錯誤”這兩項無形價值而支付的成本，正不斷地加高，或許終將高到公司難以負擔的程度。而全球化退潮和地緣沖突的大背景不改變，TikTok之類企業所支付的高昂信任成本，也就很難改變。

不過，不能因此認為TikTok是個ESG意義上的失敗企業。TikTok在美國執行了相當成功的本土化策略，維持著與本土社區、亞文化群體之間良好的關系，并且成了網絡文化風潮的積極引領者。TikTok為眾多音樂人、藝術家以及形形色色的消費品牌打造了知名度，為他們創造了生計來源。在美國之外的世界各地，TikTok擁有超10億用戶。

即使是在TikTok看起來最為“失敗”的在美數據合規領域，它也踐行著為其他出海企業探路的使命。只是，在本次事件之后，TikTok還能否繼續把路走下去，正在變得很不明朗。

封面圖源/圖蟲創意

（來源：雨果網的朋友們）