数据隐私保护是美国监管机构调查、处罚中国科技企业的法律依据之一。以此为由,美国监管机构可能会强迫字节跳动撤回其以十亿美元达成的对musical.ly的收购交易。
中美之间紧张的政治局势使中国企业愈发成为美国当局关注的焦点。过去的一年中,中国企业在美国各监管体系中面临着越来越严格的审查。TikTok(“抖音”国际版)即因涉及未成年隐私和国家安全的事由在美国遭到政府调查和司法审查。TikTok的境遇一方面展现了中国企业面临的来自美国监管机构的潜在挑战,另一方面也反映出美国监管机构是如何对跨境交易进行长臂管辖的。
案例背景
2017年11月,北京的传媒科技公司字节跳动(2018年底,字节跳动的估值为750亿美元,超过了当时市场估值第一的Uber)以10亿美元的价格收购了青少年音乐短视频应用Musical.ly。Musical.ly由中国企业家朱骏和阳陆育共同创立,最初隶属于知名社交媒体公司上海闻学网络科技有限公司。收购进行时,Musical.ly在美国和欧洲拥有6000万名用户。该次收购是字节跳动打入美国市场的策略之一。
字节跳动起初同意让Musical.ly独立运营,但随后还是将Musical.ly与字节跳动旗下的中文应用程序“抖音”合并,推出了“抖音”国际版——TikTok。2019年5月,注册于美国加州的原musical.ly实体公司正式更名为TikTok.Inc,负责运营TikTok美国业务。TikTok的增长壮大迅速推动了字节跳动的市场估值创下纪录,也使字节跳动成为少有的在中国市场之外拥有数亿用户的中国科技企业之一。
2019年,TikTok受到了美国多个监管部门的法律调查,其中最引人注目的是美国海外投资委员会(“CFIUS”)对其采取的国家安全审查。2019年10月起,字节跳动逐步将TikTok业务与中国“抖音”业务剥离。
那么,两家中国企业之间的交易为何会遭到美国监管机构的审查打击,甚至使得字节跳动可能要被迫出让TikTok的呢?中国科技企业进入美国市场时一般应注意哪些风险,又可以采取哪些合规措施来进行风险防控?
法律分析
美国海外投资委员会
CFIUS是一个跨机构委员会,负责审查境外人士收购美国经营实体(U.S. business)的交易对美国国家安全产生的影响。CFIUS根据1975年发布的第11858号总统行政命令成立,其主要适用法律包括《埃克森-弗洛里奥修正案》(1988年)《境外投资和国家安全法》(FINSA)(2007年)以及最近通过的《境外投资风险审查现代化法》(FIRRMA)( 2018年)和相关实施条例管辖。CFIUS由美国财政部长担任主席,并由来自16个政府机构和办公室的代表组成,其中包括了国家情报局局长和劳工部长。
CFIUS有权审查“受监管交易(Covered Transactions)”,包括由“境外人士(foreign person)”发起或交易对象为“境外人士”,并可能导致“境外人士”取得对 “美国经营实体(U.S. business)”的“控制(control)”的“交易(transaction)”。
CFIUS的审查流程从其“受理(Acceptance)”企业的自行申报(Discretionary Filing)之时开始,审核一个存在实质性问题的交易需要4到8个月的时间。CFIUS审查的可能结果包括:无条件通过交易、附条件批准交易、或者建议美国总统否决或撤销交易。CFIUS不会向当事企业提供其作出决定的理由,而且根据法规,法院不会对CFIUS在国家安全方面做出的决定进行司法审查。
以往,对大多数交易来说,申报CFIUS是自愿性的,CFIUS会保留在交易完成之前或之后对其进行强制审查的权利。但是,随着为全面实施FIRRMA法案而颁布的新法规于2020年2月13日生效,对于(1)境外向开发“关键技术”的美国经营实体进行的投资,和(2)外国政府控制的实体从与其无附属关系并涉及关键技术、关键基础设施或敏感个人数据的美国经营实体(即美国TID企业)[1]处获得“重大利益”的交易,都增设了强制企业向CFIUS申报的要求。这些新规定与CFIUS近年来的审查方向是一致的。此外,CFIUS在近年还重点关注半导体、“大数据”、电信和网络安全等领域的交易以及国防工业和政府供应链的完整性。
CFIUS对TikTok的国家安全审查
由于Musical.ly是一家中国企业在美国注册的业务,字节跳动对其的收购属于受CFIUS管辖的交易(“受管辖交易”)。虽然字节跳动在进行收购时没有被强制要求向CFIUS申报,但CFIUS保留事后审查任何“受管辖交易”的权利。而且,即使交易已经完成,CFIUS也有权建议撤销该交易。
TikTok正是由于用户个人数据这一敏感问题而受到了CFIUS的审查。2019年9月,《卫报》发表了一篇文章[2],指出TikTok根据中国在外交政策上的立场来审查其用户发布的内容。对此,一些参议员援引了国会有关个人数据保护的新规定,呼吁CFIUS对TikTok所造成的国家安全风险进行回溯性评估。而且,由于中国在2017年通过的《国家情报法》要求本国企业配合政府的情报收集工作,参议员还担心中国政府将据此获得访问TikTok美国用户的数据的权限。鉴于此,CFIUS随后对TikTok展开了调查。
CFIUS可能会要求字节跳动出售TikTok,就像它曾要求中国游戏公司昆仑万维在2020年6月之前出售其收购的广受欢迎的同性约会应用程序Grindr一样。昆仑万维当时也没有向CFIUS申报其对Grindr的收购交易,CFIUS同样以个人信息安全问题为由对昆仑万维进行了调查。媒体报道称,出售TikTok的股份可能会导致字节跳动即将进行的首次公开募股(IPO)计划被推迟。为此,TikTok与CFIUS进行了缓解谈判,讨论它可以采取哪些措施来避免对Musical.ly进行资产剥离。
核心启示
美国法律在数据隐私和国家安全等敏感领域对境外企业的管控愈发受到美国核心政策的影响。因此,境外企业应该积极而有策略性地思考要如何预见并提前解决可能引起监管审查的问题。针对TikTok的案例,可以总结出如下启示:
- 提前预见到CFIUS的审查:CFIUS对于会使境外人士控制美国经营实体和境外人士在涉及科技、基础建设和持有敏感个人信息的美国经营实体处获得非控制性权益的交易,都有强制申报的要求。希望投资美国业务的境外企业应当提前预见到CFIUS的审查,并在相关专家的帮助下将应对审查作为交易策略中的一部分来提前进行规划。
- 采取积极的风险防控措施:境外投资者应考虑与美国企业协商制定积极的风险防控措施。通常,这会涉及到对外方管理层结构进行变更,例如将美方人士引入董事会。虽然对外国国有或国有控股企业而言,进行这种操作可能不太现实,但此类境外实体也可以考虑其他替代方法,例如通过由美国人控制的中间层公司来设计其投资架构。企业也可以采取将美国和境外的业务分开的办法。例如,为应对CFIUS审查,TikTok在2019年年底将其产品、业务开发、营销和法律部门进行了分离。字节跳动还试图增进其在美国的业务,在美国建立额外的数据中心来隔离储存当地用户的信息。
- 聘请外部专家:在运营中引入外部专家——尤其是来自美国的顾问(如企业在美国开展经营或对美国提供产品和服务)或是在本国内有良好声誉的第三方专家——可能对企业应对监管审查有帮助。通过聘请外部专家,中国企业可以在美国当局面前增加其可信度,减轻美国当局认为其可能深受中国政府影响的担忧。同理,在交易初期就聘请在CFIUS事务方面有丰富经验的美国律师也是十分关键的。佳利律师事务所在此领域的经验可以参看:
- 实行透明的数据隐私及内容审查政策:作为对CFIUS调查的回应,TikTok针对其数据安全和内容审核政策发表了声明。TikTok打算将其所有美国用户的数据都存储在美国,并在新加坡备份。TikTok没有在中国建立数据中心,其数据均不受中国法律的约束。TikTok还有一个专门致力于处理网络安全、数据隐私和常规数据安全问题的团队,以及一个设在加利福尼亚州的内容审核小组,该小组专门负责审查产品内容是否符合美国的政策。此外,TikTok已经撤销了此前被《卫报》报道并引发美国监管机构关注的内容审查准则。
- 提前预见到审查可能造成的延迟:尽管CFIUS的审查有具体的期限——即最初的45天审阅期和(在初审发现潜在问题的情况下)随后45天的调查期——但实际的审查期往往会更长,因为CFIUS可以以多种原因“终止计时”,尤其常见的是要求企业进行重新申报,以此让审查过程从头开始。
【天同点评】
中国法下的个人信息保护
目前,中国尚未颁布统一的个人信息保护法。2019年12月20日,全国人大常委会法工委发言人岳仲明表示,中国将在2020年制定个人信息保护法、数据安全法等。
目前关于保护个人信息的法律规定散见于以《网络安全法》为中心的各项法律法规、部门规章和行业标准之中[3]。2017年6月1日生效的《网络安全法》明文规定了网络运营者[4]收集、使用个人信息的义务与责任。该法第七十六条将“个人信息”定义为:“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。根据该定义,网络平台所收集的用户数据,包括注册信息、账户信息、支付信息、通讯和通信信息等,均属于《网络安全法》下“个人信息”的范畴。
《网络安全法》第四十二条规定了网络运营者对其收集的个人信息的严格保密义务及该等保密义务的例外情形。例如,《网络安全法》第二十八条规定:“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”,这意味着受《网络安全法》规制的企业在特定情形下有义务向执法机关提供其收集、存储的用户个人信息,而无需经被收集者事先同意。
但执法机关对个人信息的调取也存在一定的限制:(1)执法机关须经法律法规的授权;(2)调取信息的范围和程序应当遵守相关法律规定。下表将中国法下,有权向网络运营者收集个人信息的主要机关及其授权依据、调取信息的情形和范围及调取程序或限制进行列举[5]:
机关 | 授权依据 | 调取信息的情形 | 调取信息的范围 | 调取程序或限制 |
人民检察院、公安机关 | 《刑事诉讼法》 《网络安全法》 《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》 《公安机关办理刑事案件电子数据取证规则》 | 为办理刑事案件,检察院、公安机关可向与案件有关的网络服务提供者收集、调取电子数据 | 网络平台发布的信息短信、电子邮件等通信信息注册信息、身份认证信息、电子交易记录等用户信息文档、图片、音视频等电子文件 | 侦查机关调取电子数据应制作调取证据通知书,注明需要调取电子数据的相关信息,通知网络服务提供者执行公安机关调取的电子数据必须与案件有关,与案件无关的材料应及时退还或销毁 |
国家安全机关 | 《国家安全法》 《网络安全法》 《国家情报法》 | 国家安全机关为了解危害国家安全的情况,有权向有关中国公民和组织收集证据 | 与危害国家安全的行为有关的信息 | 国家安全机关工作人员在执行工作任务时,应当出示证件国家安全机关及其工作人员超越职权、滥用职权,侵犯公民和组织合法权益的,公民和组织可以向上级国家安全机关检举、控告 |
网信部门 | 《网络安全法》 《关键信息基础设施安全保护条例(征求意见稿)》 《个人信息和重要数据出境安全评估办法(征求意见稿)》 | 网络运营者向境外提供在中国境内运营收集的个人信息达到一定数量,网信部门有权对跨境数据进行安全评估网信部门有权对涉及关键信息基础设施的安全风险的数据进行抽查检测 | 向境外提供的在中国境内运营收集的个人信息关键基础设施运营者在中国境内运营和产生的个人信息和重要数据 | 网信部门在关键信息基础设施安全检测评估中获取的信息,只能用于维护网络安全的需要,不得用于其他用途 |
工商行政管理机关 | 《行政处罚法》 《市场监督管理行政处罚程序暂行规定》 《国家工商行政管理总局关于工商行政管理机关电子数据证据取证工作的指导意见》 《网络交易管理办法》 | 工商行政管理机关查处网络交易及有关服务违法行为时,可向包括第三方交易平台在内的为网络商品交易提供网络接入、支付结算、物流、快递等服务的有关服务经营者调取电子证据 | 可以证明违法行为或与违法行为有关的电子数据材料涉嫌违法经营的网络商品经营者的登记信息、联系方式、交易数据、地址等相关数据资料 | 调取电子证据应当至少有二名执法人员参与,应当向当事人或有关人员出示执法证件。首次向当事人收集、调取证据的,应告知其享有陈述权、申辩权和请求回避的权利除与案件有关联的电子证据外,不得随意复制、泄漏案件当事人储存在计算机系统中的私人材料和商业秘密 |
TikTok案例点评
那么,中国政府能否调取像字节跳动这样的中国科技企业在境外开展业务时所收集到的,包括个人信息在内的电子数据呢?我们认为,执法机关向有关单位调取数据的权力不是无限的,仍然受到中国法律的规制。
首先,虽然《网络安全法》的管辖效力可能及于境外企业,但一般不适用于不在中国开展业务的境外企业。《网络安全法》第二条规定,该法适用于在中华人民共和国境内建设、运营、维护和使用网络的活动,但并未解释“境内运营”的具体含义。根据全国信息安全标准化技术委员会发布的《信息安全技术数据出境安全评估指南》的阐释,网络运营者在“境内运营”指的是:(1)在中国境内开展业务,或(2)向中国境内提供产品或服务,具体表现包括:使用中文;以人民币作为结算货币;向中国境内配送物流等。据此,即使是在境外注册的公司,只要其存在向中国用户开展业务或提供商品、服务的情形,也可能被视为在“境内运营”,属于《网络安全法》的管辖范围,应当履行该法规定的配合披露义务。但如果Tik Tok. Inc. 作为境外公司,根本不参与在中国境内开展的业务,也不向中国境内的个人或组织提供任何产品或服务,其业务范围面向除中国内地以外的国际市场的话,则Tik Tok. Inc. 受到《网络安全法》管制的风险较低。
其次,对于在境外注册,且仅向境外用户开展业务,提供商品、服务的公司而言,如果在中国母公司和境外子公司之间,制定了数据互不共享的公司政策,并在技术上保证彼此之间的服务器或数据储存系统无法连接,则境外子公司受中国执法机关调取个人信息的可能性较低。例如在本案中,字节跳动就将TikTok和其在国内的抖音业务进行了分离,并将TikTok在美国的用户数据单独储存在美国的数据中心,在新加坡备份。但如果集团公司内部存在境内外数据共享的情形,例如,TikTok在其隐私政策中声明了其收集的数据可能会与集团公司共享[6],则可能会增加披露境外公司用户个人信息的风险。
[1] CFIUS可能会认为FIRRMA法案中“美国经营实体”的定义可以延伸到企业在非美国地区的运营,这意味着CFIUS对非美国本土的运营活动也可能有管辖权。
[2] https://www.theguardian.com/technology/2019/sep/25/revealed-how-tiktok-censors-videos-that-do-not-please-beijing,访问时间:2020年3月16日
[3] 中国已颁布的与个人信息保护相关的法律法规主要有:《网络安全法》、《互联网信息服务管理办法》、《电信和互联网用户个人信息保护规定》、《个人信息安全规范》。
[4] 根据《网络安全法》第二条、第十条、第七十六条规定,“网络运营者”系网络的所有者、管理者和网络服务提供者。其中,“网络服务提供者”是指通过网络提供服务的主体。据此,《网络安全法》的适用对象不限于传统互联网企业,还包括所有通过网络提供产品和服务的商事活动主体。
[5] 因篇幅所限,本表格为非穷尽式列举。
[6] https://www.tiktok.com/legal/privacy-policy?lang=en#privacy-eea访问时间:2020年3月16日