百度|字节跳动不当访问美国用户隐私：一次将被放大的ESG风险( 二 ) ai|云计算|芯片

TikTok于10月在推特上做出的一份澄清，图片来源：Twitter
10月，字节跳动查看用户个人信息的行为，再度被Emily Baker-White本人探知，并通过《福布斯》进行报道。 TikTok最终承认了内部员工的不当行为。这样， TikTok的新一轮舆论与监管危机在所难免。
此次事件打破了TikTok在美国小心维持的平衡与信任。它可以说是正中批评者的下怀，印证了此前对TikTok的指控。事件可能导致政府中对TikTok的反对派占据上风，并采取极度严厉的监管措施和行政制裁。
“被破坏的努力”
据《福布斯》，字节跳动CEO梁汝波在内部邮件中表达了深深的失望之情：“我们花费巨大努力建立起来的公众信任，被少数人的不当行为严重破坏。 ”
用户数据隐私的保护，是企业ESG治理和合规治理的一个重要议题。 TikTok的案例中牵扯的地缘政治问题虽然不容ESG置喙，但公司触发的用户隐私风险则是一个标准的ESG问题。在出海企业中，像移动应用、电商、3C、智能汽车、电信服务等类型的业务，通常运营着成规模的海外用户数据，需要严格遵守所在国的数据法规。
在数据合规上， TikTok以及母公司字节跳动付出的努力，不可谓不充分。
首先， TikTok进行了大量技术与制度方面的建设，包括但远远不限于通过了代表高水平数据安全的ISO27001认证。 TikTok及其母公司拥有世界领先的技术团队，数据安全的技术性问题自然不在话下。
不过，美国方面质疑的不是TikTok的技术水平，而是公司治理方面“人”的因素：TikTok是否将用户数据用在商业目的之外的用途？内容推荐算法是否带有偏见？是否对美国用户推送带有特定价值观（尤其是中国主流价值观）的内容？
【百度|字节跳动不当访问美国用户隐私：一次将被放大的ESG风险】2020年，彼时的TikTok已经在美国拥有约5000万级别的用户。来自华盛顿的主流态度认为， TikTok上的美国用户信息被传输并存储到了母公司位于中国的服务器上。这是华府不能够接受的。
抛开地缘政治的因素不谈，对数据跨境传输的管制，确实是从2020年前后开始受到各国监管者的重视。
根据2021年德勤与中兴通讯联合发布《数据跨境合规治理实践》白皮书，各国的数据跨境法规可以分为三类：第一类是极端严苛的数据“本地化存储+禁止出境” ，第二类是极端宽松的“无本地化存储要求+自由出境” ，以及居间的第三类“有条件的存储与出境” 。大多数国家的数据法规属于第三类。于是出海企业在数据治理方面的核心工作，就是弄清目的地国“有条件的存储与出境”政策中的“条件”是怎么，以及如何遵守。
这些后来的经验，正是TikTok等先驱蹚出来的“血路” 。美国虽然是“数据跨境自由流动”的支持者，但当局对于TikTok所持美国用户数据的要求，属于最为严苛的“本地化存储+禁止出境”类型。
在2020年下半年特朗普政府开始对TikTok发难的同时，字节跳动经过与甲骨文公司的密集协商，决定将TikTok在美国的服务及数据存储，搬到甲骨文云上，实现本地的存储与使用。同时， TikTok的在美运营，已经全权交给了基于加州洛杉矶的本土团队。
TikTok的数据合规工作，是“本地化”与“透明化”的两条腿走路。在2020年3月，公司公布了透明化建设的两项重要举措，向外展示公司的安全可信赖。其一是建立“透明度和问责中心”（Transparency and Accountability Center ，简称透明度中心），并发布《透明度报告》；其二，是组建了一个内容顾问委员会。