网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

首先，TikTok进行了大量技术与制度方面的建设，包括但远远不限于通过了代表高水平数据安全的ISO27001认证。TikTok及其母公司拥有世界领先的技术团队，数据安全的技术性问题自然不在话下。

不过，美国方面质疑的不是TikTok的技术水平，而是公司治理方面“人”的因素：TikTok是否将用户数据用在商业目的之外的用途？内容推荐算法是否带有偏见？是否对美国用户推送带有特定价值观（尤其是中国主流价值观）的内容？

2020年，彼时的TikTok已经在美国拥有约5000万级别的用户。来自华盛顿的主流态度认为，TikTok上的美国用户信息被传输并存储到了母公司位于中国的服务器上。这是华府不能够接受的。

抛开地缘政治的因素不谈，对数据跨境传输的管制，确实是从2020年前后开始受到各国监管者的重视。

根据2021年德勤与中兴通讯联合发布《数据跨境合规治理实践》白皮书，各国的数据跨境法规可以分为三类：第一类是极端严苛的数据“本地化存储+禁止出境”，第二类是极端宽松的“无本地化存储要求+自由出境”，以及居间的第三类“有条件的存储与出境”。大多数国家的数据法规属于第三类。于是出海企业在数据治理方面的核心工作，就是弄清目的地国“有条件的存储与出境”政策中的“条件”是怎么，以及如何遵守。

这些后来的经验，正是TikTok等先驱蹚出来的“血路”。美国虽然是“数据跨境自由流动”的支持者，但当局对于TikTok所持美国用户数据的要求，属于最为严苛的“本地化存储+禁止出境”类型。

在2020年下半年特朗普政府开始对TikTok发难的同时，字节跳动经过与甲骨文公司的密集协商，决定将TikTok在美国的服务及数据存储，搬到甲骨文云上，实现本地的存储与使用。同时，TikTok的在美运营，已经全权交给了基于加州洛杉矶的本土团队。

TikTok的数据合规工作，是“本地化”与“透明化”的两条腿走路。在2020年3月，公司公布了透明化建设的两项重要举措，向外展示公司的安全可信赖。其一是建立“透明度和问责中心”（Transparency and Accountability Center，简称透明度中心），并发布《透明度报告》；其二，是组建了一个内容顾问委员会。

TikTok的“透明度中心”是一个物理存在的地点。受邀的访客可以在这里参观TikTok的内容审核后台系统，看到APP的一些代码及其他数据管理操作。类似的信息也开放给了内容顾问委员会。这个委员会由独立的学者、专业人士构成，他们为TikTok在美国的团队提供内容治理、技术伦理、数据安全等方面的建议，并履行监督义务。值得补充的是，这些举措是全球性的，不限于美国市场。这在整个科技行业也是领先的举措。

我们很难穷举TikTok和母公司字节跳动为了数据合规做出的努力。总之，他们在技术和制度的基础上，加码了“本地化”与“透明化”两项举措。用稍专业的数据安全话术来解释，TikTok的相关举措涉及在“数据收集、存储、传输、使用”等流程上合规运营，外防黑客攻击风险，内防员工违规风险，并且对外自证清白，极力获取用户和监管者的信任。

令人扼腕的是，公司的“巨大努力”，最近毁在“少数人的不当行为”上。

为何严防死守之下还是出现了漏洞呢？据《福布斯》的报道，实施此次“不当行为”的是字节跳动内部审计人员。这实质上意味着，风险是从公司治理的内核上爆发的。

企业的内审部门，本应是保障企业合规的终极防线；为了履行监察职能，内审团队通常拥有企业内部信息系统的高级访问权限。然而，字节的内审人员在调查公司内部的泄密漏洞时，却突破了他们本应坚守的数据合规底线。可能字节与TikTok的高管都不曾想到，危机会以这种“祸起腋肘”的形式爆发。

出于后见之明，我们或许可以强调一下企业核心团队合规文化建设的重要性。但对于字节来说，损失可能已经难以挽回了。

根据多家媒体的报道，事后字节跳动整肃了各级公司的内审部门，撤销了其对敏感数据的访问权限，并且辞退了相关责任人。

然而在很多美国财经媒体和立法者看来，字节及其子公司这次犯下的错误是不可饶恕的。

·注定悲剧？

诚如一些评论者所言，运营一个内容平台本来就是非常困难的事。像脸书、推特这些美国土生土长的内容平台，都免不了沾染数据违规的争议以及政治丑闻。比如，推特、脸书和Youtube都曾或多或少卷入2016年美国“通俄门”事件。类似地，像TikTok这样有中国背景的企业，对于美国国内的政治暗流，抵抗力更弱，且被拿捏的把柄更多。

TikTok大概自2020年起，越发收紧平台关于政治广告内容的审查，在美国社会中采取“政治中立”策略，以防卷入不必要的风险。