许可｜《情报法》释法：破解海外中资企业数据困局

3月23日，当TikTok首席执行官周受资出现在美国国会众议院能源和商务委员会的听证会时，或许会想到Facebook首席执行官扎克伯格在2018年4月接受美国国会近百名议员拷问的情景。他们都面临着隐私保护和数据安全的质疑，不同的是，TikTok的危机更加深重，议员的提问更加尖锐且不友好。

听证会上，面对“字节跳动位于中国的雇员是否有途径获取 TikTok 美国用户数据？”“根据中国明文规定的法律，政府可以强制公司提供用户数据。你怎么说服美国国会，TikTok可以与字节跳动在数据上切割干净？”“基于此前 TikTok 对美国记者的监控，你还能 100% 肯定地说，无论是字节跳动或 TikTok 的员工都不能用类似的监视技术攻击其他美国人吗？”等轮番质问，周受资反复强调了“得州项目”对隐私保护和数据安全的意义。

得州项目是TikTok去年开始的数据本地化和数据托管计划。2022年7月，TikTok美国数据安全公司(USDS)成立，负责管理美国用户数据保护和平台内容审核。其董事会向美国外国投资委员会，而不是向字节跳动或TikTok公司报告。此外，甲骨文云将托管TikTok平台，确保所有美国用户数据都存储在Oracle Cloud中，监测流入USDS和流出USDS的数据，并采取自动程序和人工审查相结合的方式，监督数据流动是否存在安全漏洞或不当行为，以避免国家安全风险。

得州计划通过数据隔离、人员管控和技术审计，几乎完美地解决了隐私保护和数据安全问题，这笔花费不菲的计划展现出TikTok积极合规的努力与诚意。但是，TikTok所面临的远不是技术与法律问题，而是在逆全球化和“分裂互联网”（Splinternet）背景下的政治问题。正因如此，美国政府和国会议员与其说担忧TikTok的隐私保护和数据安全问题，毋宁是对中国政府能否调取TikTok数据的不信任。就在一个月前，民主党参议员班纳特致信苹果、谷歌CEO，强调中国《情报法》强迫字节跳动支持协助国家情报工作，向中国政府提供美国人的敏感数据，要求从苹果和谷歌应用商店下架TikTok。听证会结束后，美国众议院议长凯文·麦卡锡（Kevin McCarthy）针对TikTok问题公开发声，强调周受资否认中国可以访问TikTok用户数据令人非常担忧，众议院将推进立法以保护美国人“免受中国共产党技术触手的侵害”。

美国的不信任本质上是“推己及人”的结果。作为头号的数字经济强国，美国拥有全球市值最高的互联网公司，以及由此衍生的数据监管权。2018年，美国《澄清境外合法使用数据法》（“CLOUD 法案”）改变了《存储通信法》“数据存储地标准”，旗帜鲜明地采取了“数据控制者标准”，将数据主权从物理层边界延伸到技术上的“控制边界”，从而有权向受美国管辖的科技公司发出命令，取得该公司所拥有、保管或控制的数据，无论数据存储于美国境内还是境外。正如美国“棱镜计划”所暴露的，《爱国者法案》《精确法案》和《外国情报监控法案》早已在全球范围内织就一张巨大的情报监视网络。正是出于对美国的不信任，美欧之间数据跨境流动的《安全港协议》《隐私盾协议》相继废止。美国公司在欧洲也同样面临与TikTok类似的挑战。斯诺登事件后，德国怀疑美国企业帮助美国政府获取德国数据，微软公司在2015年主动与德国电信合作，将德国客户的数据托管给德国电信一家子公司，并让该公司控制和监督所有对德国客户数据的访问。CLOUD 法案生效后，美国企业在欧盟再次面临数据安全质疑，微软又推出了“欧盟的数据边界”举措，将所有基于云的欧洲客户数据限定在欧盟境内存储和处理，杜绝跨境传输。而这恰恰是TikTok“得州项目”的原型。

正是由于TiKTok危机的背后是政治，这一事件才有了特殊的意义。听证会后，《华尔街日报》刊发《TikTok禁令可能只是一个开始》一文，援引美国国家安全局前首席法律顾问格伦·格斯特尔的话：“这可能会威胁到支付宝、微信、Temu、Shein……”这个名单还可以进一步延展到任何在美国运营的中资企业。无独有偶，在大西洋彼岸，欧盟委员会执行副主席兼竞争专员玛格丽特·维斯塔格（Margrethe Vestager）在接受《瑞典日报》（SVD）采访时指出：“中国政府似乎对中国公司的数据有广泛的访问权限。这就是为什么正在进行调查，以确保TikTok能够保证个人隐私得到维护。”欧盟委员会主席冯德莱恩近日在墨卡托研究所和欧洲政策中心就中欧关系发表主旨演讲再次提交中国《情报法》，强调所有中国的公司都有法律义务协助国家的情报搜集活动并且为国家保守秘密。就此而言，TikTok事件可谓是海外中资企业艰难处境的一次预演。

事实上，很多中资企业也在受这个问题的困扰。例如，早在2019年，北约就发布《华为、5G和中国：安全威胁》报告，强调中国法律要求中国信息通信技术公司配合情报活动，加重了各国国家安全担忧。2021年，英国议会多名议员也以《情报法》第7条为由，呼吁禁止滴滴进入英国市场，以免数据落入中国之手。滴滴被迫暂停拓展英国市场。阿里巴巴在比利时机场附近拓展业务也引发比利时政府相关部门的关切，认为《情报法》迫使所有中资企业与中国情报部门合作，阿里巴巴可能让中国政府获得比利时机场的敏感数据。

面对美国和欧洲“推己及人”式的“疑邻盗斧”，我国不妨遵循儒家的君子之风，从“反求诸己”开始。

美国和欧洲政府对中资企业的数据安全关切，根源于对中国《情报法》第7条等法的误解和歪曲，即认为中国政府会强制海外企业将境外数据交给中国。要想澄清这一误解，还是要回到中国《情报法》。首先，与美国频繁使用长臂管辖不同，中国基于尊重他国主权的原则，除非明确规定域外效力，包括《情报法》在内的法律普遍不具有域外效力，这意味着中国政府对于依据外国法设立、并在外国运营的企业一般不享有法律上管辖权。其次，根据平等互惠原则和中国既有惯例，即使中国政府在特定情形下依法拥有海外企业管辖权，其也不会单边地行使这一权力，而是通过司法协助和国际执法合作来实现。最后，被美国议员作为“铁证”的《情报法》第7条“任何组织和公民都应当依法支持、协助和配合国家情报工作，保守所知悉的国家情报工作秘密”，其援引也完全是望文生义。事实上，该条未要求组织和公民对“国家情报工作”无条件地“支持、协助和配合”，相反，所谓“支持、协助和配合”必须“依法”开展。需要指出：这里的“依法”并非是依照《情报法》，而是依据《情报法》以外的法律法规，否则，这里的表述应当是“依据本法”。这意味着，只有在其他法律法规明确规定的情形下，组织和公民才负有上述义务。换言之，在依法行政的“法律保留”原则下，中国政府不能在法律法规未授权时，强制任何组织和公民提供协助，因而《情报法》并未另外创造新的数据提供义务。更重要的是，《情报法》第7条属于总则中的原则性规定，并没有可执行的效力，《情报法》第四章“法律责任”中，没有规定组织和公民不履行“支持、协助和配合”的任何责任，便是明证。

面对美国和欧洲政府的误读和歪曲，中国在2021年就发布《全球数据安全倡议》，明确主张“各国应尊重他国主权、司法管辖权和对数据的安全管理权，未经他国法律允许不得直接向企业或个人调取位于他国的数据”。2022年，世界互联网大会发布的《网络主权：理论与实践（3.0版）》再次重申尊重网络主权原则，禁止一国未经许可侵犯他国基于国家主权对其境内的网络设施、网络主体、网络行为及相关网络数据和信息等享有的对内最高权和对外独立权。

遗憾的是，中国的上述主张被美欧普遍认为是政策表态，不具有法律上的确定性和约束力。面对根深蒂固的偏见，我国亟待“以彼之矛，攻彼之盾”，通过人大常委会释法，充分阐明《情报法》第7条的真意，以法律方式明示中国尊重他国网络主权、并未授权中国政府调取海外企业数据的立场。此外，在正在起草的《网络数据安全管理条例》中，有必要摒弃宜出不宜细的立法传统，增加政府调取企业数据的程序性和权利性规定，明确数据调取的主体、范围、类型、合法性基础和法定程序以及企业的救济渠道，通过法治的实施，釜底抽薪地抵制美国政客对我国企业和政府机关的污名化。