近日大热的TikTok事件不仅仅是一个纯粹的政治斗争话题，也从侧面反映了美国政府一系列打压举措背后的数据主权战略；我国企业在此次事件中表现出的被动状态亦是进一步揭露了现有的企业跨境数据合规问题。为充分维护我国的数据安全与企业利益，对内需要加快制定针对跨境数据流动的国内制度，对外要主动参与国际协议的制定，以引导我国企业开展境外业务时实现数据合规，减少跨境数据流动国际争端的发生；同时坚持建设“网络空间命运共同体”，促进各国的平等沟通与数据流动，维护国际数据隐私安全，实现数据经济共同繁荣。

　　一、从TikTok事件看美国跨境数据流动制度

　　延续了一个多月的TikTok事件在国内外引起了轩然大波。自七月初始，基于字节跳动收购Musical.ly而未经审查这一漏洞，美国国务卿迈克·蓬佩奥与美国总统唐纳德·特朗普接连表示，出于安全原因，美国政府正在考虑封禁TikTok；并随后使用特朗普脸书账号投放了数则政治广告以号召美国用户签署封禁TikTok的请愿书法案、通过“禁止联邦雇员在政府设备使用TikTok”等法案。

　　直至8月6日，特朗普正式签署行政令，表示将在45天后禁止任何美国公司或个人与TikTok母公司字节跳动以及微信母公司腾讯进行交易；而此后字节跳动发声明表示“如果美国政府不能给予我们公正的对待，我们将诉诸美国法院。”这也使得TikTok事件由此前的一系列简单“表态”上升到了政治层面。

　　而因TikTok事件激发的国内讨论大都关注于对美国外贸投资审查制度不公正、不合理之处的剖析与斥责，或是从政治斗争的高度探究美国此举背后的深意与目的，抑或是从经济学等角度探寻TikTok对于这一“欲加之罪”的应对策略。

　　但在“威胁国家安全”这一富有政治色彩因素的大前提之下，美国施加在TikTok身上的具体罪名则是“TikTok可能向中国政府泄露美国用户的个人隐私数据”，而这也恰恰是在美国法律规定的美国外国投资委员会（以下简称CFIUS）审查权范畴之内。因此TikTok事件背后不仅仅是一场政治斗争与利益博弈，也是对我国跨境数据治理提出的一次挑战。

　　美国政府对TikTok所实施的一系列措施所反映的不仅仅是美国内部的政治冲突与利益矛盾，还有美国跨境数据流动治理的单边主义与霸权主义倾向。

　　（一）以外商投资审查之名行单边主义之实

　　TikTok事件的缘起在于字节跳动公司对Musical.ly的收购行为。依照传统规则，由于Musical.ly原属上海闻学网络科技有限公司，因此字节跳动对Musical.ly的收购本不属于国家安全审查的范围；但却因为美国独有且霸道的外商投资安全审查制度，致使其落入CFIUS的管辖范围之内。

　　基于《1974年外国投资研究法案》，时任总统于1975年发布第11858号行政命令，建立CFIUS；第二年通过的《国际投资调查法案》则从法律上正式规定了CFIUS的职责，即“负责对外商投资信息（包括直接投资和兼并收购）的统计监控、趋势判断以及对政策的协调工作”，由此可见，成立之初的CFIUS并不具有审查外国投资的权力。

　　但随后相继发布的一系列法案与行政命令，使得CFIUS的权力逐步膨胀。1988年，基于《<1950年国防生产法>埃克森-佛罗里奥修正案》发布的12661号行政命令赋予CFIUS以审查外国投资的权力。2006年，美国政府与阿尔卡特达公司达成了特殊安全协议重新定位了CFIUS的审查性质，表明CFIUS的审查并非最终审查；2007年通过的《外国投资国家安全法》进一步强化了CFIUS对外国投资和并购活动的审查权力。

　　而2018年8月出台的《外国投资风险评估现代法案》更是进一步从管辖范围和审查对象上扩大了CFIUS对外国投资审查的权限。基于该法案，CFIUS的管辖范围扩大至包含四类其他交易，即敏感不动产交易，回避审查交易，涉及关键基础设施、关键技术或敏感个人数据的“任何其他投资”，引发权益增加的外国投资；同时，CFIUS审查的交易范围亦是从“收购美国注册设立的公司的交易”延伸至“未在美国注册设立、但在美国境内有实质性商业行为的他国公司进行的投资交易。”至此，美国的外商投资安全审查制度完全建立。而该制度中，CFIUS管辖权范围下的外国人在涉及“维护敏感的个人数据”的投资，亦使得该审查制度成为美国限制数据跨境流动相关立法的基础。

　　然而，根据此次TikTok事件以及近几年相关的在美外商投资纠纷，不难看出该审查制度存在审查标准不清晰、决策过程不透明、审查强调国别特征、审查泛政治化趋势明显等诸多特征。而其所强调的数据安全则呈现了数据霸权主义的倾向，将两所中国注册设立企业之间的收购行为纳入审查范围，则是依托“隐私保护”“国家安全”价值取向将审查门槛降低至“实质商业行为地”，将审查权力延伸凌驾在他国数据主权之上，颇具单边主义之嫌。

　　（二）数据战略：“非对等强主权”模式

　　特朗普政府签署发布的行政令中指出，中国政府可能从TikTok那里“获取了大量用户的位置信息、浏览记录和搜索记录等”；然而，据《纽约时报》8月7日报道，美国中央情报局（CIA）近期所得出并提交给白宫的评估结果认为，暂时没有证据证明中国政府从视频应用程序TikTok处获取用户数据。可即便如此，TikTok仍然难以通过向美国法院起诉来走出此次困境。

　　一方面是由于在美国的政治体制下，宪法对总统行政令的限制很弱，除极少数例外情况外，美国总统签署颁布的行政令之效力等同于法律，因此对总统的行政命令进行司法审查极其困难，通过法院判决来推翻总统行政命令的先例更是屈指可数。

　　而另一方面则是由于美国数据立法采用“非对等强主权”模式，TikTok数据的境外输出因此受到了极为严苛的控制与管辖。强主权，即“以维护美国利益为核心， 保障数据主权的域外控制能力”；非对等，即“以维护美国利益为核心， 保障数据主权的域外控制能力”。虽然这一战略模式表现出的数据霸权主义倾向为传统国际秩序所不容，但在美国国家实力与数据优势绝对领先的现状下，该模式也因此获得了政治上的正当性，而外商投资安全审查制度亦是该数据主权战略的一个制度映射。暂不考虑特朗普政府封杀TikTok的政治动机，TikTok事件反映了美国在新信息环境下建设的数据战略模式，并以此逐步构建的一个以美国利益为先的全球数据治理体系的意图。

　　二、中国出海企业数据合规治理之反思

　　在新信息时代，数据跨境流动的承担者多表现为跨国企业，而在我国“鼓励企业出海”的政策背景下，现有的国内制度与国际秩序却并不能很好地确保企业利益以及本国的数据安全。在TikTok事件中，美国政府称其对TikTok采取的一系列制裁均是基于数据安全与隐私保护，并坚持怀疑TikTok向中国政府泄露了美国用户数据，而我国企业在面对美国政府的指控时，却持续处于极为被动的状态。究其原因，一是缺乏统一的国际网络秩序，二是我国国内有关外贸企业数据合规的法律法规不完善，因而致使本国出海企业在身陷数据纠纷时走入进退维谷的境地。

　　然而，由于各国实力差距悬殊，以及网络空间虚拟、开放、无界的属性，构建国际通行的数据立法或国际司法机构的可能性渺茫；且由于各国数据立法上的差异与冲突也难以在短期内实现纠纷的平等协商与协调解决，因此仍需从我国自身的制度设计与治理战略出发，明确企业跨境数据规制，改善跨境数据流动的制度困境。

　　我国在数据跨境流通的治理上，与美国等国家的横向相比较，采取的是相对保守的策略，在数据治理上扩大了公权力的裁量空间，在数据出境的限制上则是针对重点行业中的重要数据、个人数据，采取“以本地化储存原则，出境安全评估为例外”的方式；且我国数据跨境治理的法律法规较为零散，缺少顶层设计系统，在机构设置上缺乏独立的数据跨境风险管理执法机构，因而容易加大出海企业数据合规的不确定性，增加企业数据合规成本，亦难以在国际纠纷中保护本国企业的合法权益。因此，为加强出海企业数据合规之制度保障，尽可能避免类似TikTok事件的国际争端之发生，提出如下建议：

　　第一，在制度层面，我国可以效仿欧盟为保护因美国国内法的域外制裁而受波及的欧洲企业而启动的“阻断法案”，注重针对类似美国外商投资安全审查等“长臂管辖”的阻断立法，以更好地维护我国企业利益，阻断不合理不正当的域外制裁。此外，我国还需完善数据立法，构建跨境数据流动顶层设计体系，“平衡数据产业发展与个人信息、数据权利保护之间的关系”，并通过限制数据本地化储存的范围来拓宽数据开放路径，以利于加强国际间贸易协作，降低出海企业数据纠纷的发生概率。与此同时，我国还应注重培养国内企业的自律规范意识，建立行业自律机制，在国内跨境数据流动制度的大框架下，构建企业内部的数据合规自我监督与审查，敦促企业构建保障个人隐私数据的内部机制，履行保障跨境数据合规义务。

　　第二，在机构设置层面，我国应设立数据监管机构，以便更好地落实相关制度设计。虽然，我国已在网络安全领域内形成了以中央网络安全和信息化委员会牵头的统一领导体制，但在企业数据合规与个人信息隐私保护方面仍然缺少统一的、与国际接轨的监管监督机构。因此，数据监管机构的设立能够更有针对性地实现企业数据的外部监管与数据隐私保护，也更符合国际趋势与大数据时代的现实需要。虽然数据监管机构在监管过程中秉持谦抑性规制理念能够更好地顺应“数据自由”国际趋势，减少国际贸易数据摩擦；但也需要重视数据安全问题，在跨国企业合并，涉及跨国数据流动的情况下，“如果涉及个人数据的集中、技术发展及数据的运用时，在合并审查的判断上需要适度扩大数据在合并中的价值评估。”

　　第三，在国际层面，我国应主动参与国际数据跨境流动制度的协商与议定，通过国际协议统一双边或多边的企业数据合规要求，保障本国数据利益，为本国企业全球化出海提供保护框架，通过严密的国际制度防御对抗域外的不当诉求。同时，从长远考虑，我国应当积极构建平等的多边国际交流平台，努力建设“网络空间命运共同体”，坚持习近平总书记于2015年第二届世界互联网大会上所指出的： “国际网络空间治理，应该坚持多边参与、多方参与，发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等各种主体作用。”

　　三、总结

　　数据跨境流动治理是我国网络主权之下的一个重要议题，而TikTok事件亦间接揭示了我国现有的数据跨境流动制度在面对域外干涉时的不足。面对现有的国力差距与国际通行数据制度缺失的现状，唯有通过改善我国自身的跨境数据流动治理、参与国际制度的协商与议定，充分保障企业跨境数据合规，才能在出海企业的数据国际纠纷中化被动为主动，更好地维护出海企业的权益与本国的数据利益。

　　与此同时，在遭遇类似TikTok事件时，要避免狭隘的民粹主义，利用国内大市场的内循环积极应对；在国际数据流动治理的大背景下，我们要坚持“网络空间命运共同体”，构建多边平等参与的数据交流平台。