美国外国投资委员会 (CFIUS) 与中国科技巨头字节跳动旗下的社交媒体平台 TikTok 进行了对话，该委员会负责审查在美国的外国投资是否存在国家安全风险。

公众虽然对这些对话知之甚少，但媒体报道表明，CFIUS 和 TikTok 正在讨论一项协议，该协议将解决美国政府的安全问题，同时允许 TikTok 在其母公司字节跳动不出售股份的情况下继续在美国运营。

随着闭门协议谈判的进行，一些国会议员正在寻求一种不同的方法参与对字节跳动及TikTok的监管。12 月 13 日，美国佛罗里达州共和党参议员马尔科·卢比奥（Marco Rubio）、威斯康星州共和党众议员迈克·加拉格（Mike Gallagher）和伊利诺伊州民主党众议员拉加·克里什纳莫迪（Raja Krishnamoorthi）共同提出“反中国社交媒体法案”（Anti-Social CCP Act），禁止 TikTok 和字节跳动在美国运营。两党就 TikTok 相关问题达成了一些共识，但共和党人总体上更强烈地呼吁全面禁止TikTok。

该法案在多个方面有助于围绕外国科技公司进行风险评估。它定义了诸如“关注实体”之类的术语，并建立了一份标准清单，表明外国社交媒体平台过度受到外国敌对政府的控制。它还列出了中国以外的令人担忧的国家，包括俄罗斯、委内瑞拉、古巴和朝鲜。

该法案针对根据标准被认定为存在安全风险的外国社交媒体公司，提出了一种通用的模板方法——完全禁止。

总而言之，这是一项值得注意的立法，它比当时特朗普总统对 TikTok 的行政命令更好地界定了数据访问的风险和内容操纵的风险。但这引发了许多问题，涉及美国政府应如何处理对外国社交媒体平台和国家安全的担忧，以及美国政府应如何应对潜在风险。除了明确定义问题和区分不同的安全风险之外，立法者和政策制定者的另一个当务之急是开发精确、细致且与一套量身定制的政策相兼容的风险管理框架。

这项新法案有很多条款，但其核心是指示美国总统有效禁止某些外国社交媒体公司在美国运营——此处明确指定为字节跳动和 TikTok。根据更广泛的立法内容，未来理论上可以扩大禁令的目标，以涵盖其他被认为对美国国家安全构成风险的外国社交媒体平台（该法案对此地位的确定过程将在下文讨论）。呼吁采取这一行动意味着再次重复特朗普政府最臭名昭著且失败的技术政策行动之一：试图在美国禁止 TikTok。

该法案规定，法案颁布 30 天后，总统将根据《国际紧急经济权力法》 (IEEPA) 行使权力，“在必要的范围内阻止和禁止社交媒体所有财产和财产权益的所有交易公司”，如法案中所述。正如法学教授 Bobby Chesney所解释的那样，IEEPA基本上允许总统在认为存在危及美国利益的“国家紧急状态”时对外国实体实施制裁和禁止。特朗普在 2020 年 8 月发布行政命令在美国禁止 TikTok 和微信时援引了这一权力。（多个美国法院随后推翻了这些行动 ，拜登政府于 2021 年 7 月撤回了这些命令。）

在这种情况下，该法案将使总统免于遵守《国际紧急经济权力法》（《美国法典》第50章§1701和§1702(b)）的约束，这意味着总统在援引 IEEPA（根据§1701 的要求）之前不必宣布国家紧急状态，并且不会受到进出口管制禁令（根据§1702(b)）的限制。前者的豁免并不奇怪，因为该法案的前提是某些社交媒体平台通过其美国业务对国家安全构成风险。后者的豁免更为引人注目，IEEPA 明确规定了限制。该法案不通过《美国法典》第50章§ 1702(b) 对总统进行限制，从而规避了 IEEPA 对总统直接或间接的限制，“无论是商业的还是其他的，无论传输的格式或媒介，任何信息或信息材料。” 社交媒体平台可以说属于这个定义，这使得规避限制变得更加重要和令人担忧。如果国会确实通过了这项法案，那将表明立法者认为 TikTok 的安全风险使其有必要绕过 IEEPA 限制。

根据该法案，要使社交媒体公司有资格获得这项阻止和禁止资格，它必须至少满足以下（释义）标准之一：

该法案明确指出，字节跳动和 TikTok 是满足这些标准的“认定公司”。

除了将字节跳动和 TikTok 指定为“认定公司”之外，该法案还定义了“关注国家”和“关注实体”，以使IEEPA 社交媒体平台禁令能够在未来得到进一步应用。值得注意的是，该法案不仅仅是为了强制对字节跳动和 TikTok 采取行政行动，它还将建立一套定义和标准，将来可以与其他外国社交媒体公司进行比较。随着美国围绕外国科技公司、产品和服务的政策不断演变，这些对风险评估前景的贡献阐明了政策制定者对识别和减轻风险的思考。该法案还将有效地开创一个先例，即总统以国家安全为由使用 IEEPA禁止外国社交媒体平台，但不受IEEPA的某些限制。

为了定义“关注国家”，该法案指出了2019 年《安全与可信通信网络法》中的“外国对手”一词。根据 2019 年的立法，外国对手被定义为“长期或严重地从事严重危害美国国家安全或美国安全行为的任何外国政府或外国非政府人员”。

反过来，“关注实体”的定义涵盖了广泛的场景。该定义包括武装部队、主要政党或“相关国家”任何级别的政府机构。它还包括：

从国家安全风险的角度来看，其中一些似乎是合理的。当然，如果有关实体实际上是美国国家安全关注国家的武装部队的一部分，它会产生或增加该实体将利用其对技术平台的访问权或控制权来协助其本国国家安全目标的风险。

提到受到“来自有关国家的直接或间接的重大影响”的个人，从表面上看也是合理的。众所周知，在国外，执法机构或情报部门会对科技公司的个人施加强制性压力，迫使他们交出信息、与国家持续合作，甚至向公司领导传达信息。例如，在 2021 年秋季，俄罗斯政府要求苹果和谷歌在俄罗斯全国大选之前，从其应用商店中删除反对党领袖阿列克谢纳瓦尔尼的投票应用程序。

包含“重大影响”的定义指的是俄罗斯和中国等国家的真实、高风险情报和执法活动。尽管如此，该法案回避了该定义适用范围的问题。在许多不同的情况下，可以说外国政府可能会对外国科技公司的某人施加重大影响，但可能不等于确定出现有害结果的情景。例如，有数百万人在中国科技行业工作，这意味着决策者在评估中国政府对个人或公司施加重大影响的风险时，必须仔细考虑如何区分高风险和低风险情景。在该法案中不清楚立法者是否考虑到这样一个框架。不过，从字面上看，该法案的定义表明，外国政府对外国人或社交媒体公司产生重大影响的可能性——当公司在美国以一定规模经营时——就足以迫使美国采取国家安全行动。

此外，该定义的最后一部分涉及受关注国家的私营企业，它涉及更广泛的政策问题，美国决策者必须尝试回答这个问题。国有企业属于风险类别之一，它们由外国政府控制，政府明确并积极参与管理企业。然而，将私营企业列入这份名单引发了一个问题，即美国的某些政策制定者（例如卢比奥和加拉格）是否认为中国的私营科技公司完全可以在全球市场上存在，而不会造成不当的国家安全风险，我没有这个问题的答案，而且许多政策制定者似乎也没有。经济安全和国家安全政策之间的关系是一个经常争论的话题，技术保护和经济安全之间的关系也是如此。然而，新法案将政策制定者在这个问题上阐明某种立场的重要性放在首位和中心位置：一家私营科技公司在中国的存在是否足以造成不应有的国家安全风险？

该法案中的其他定义对其范围施加了一些限制。例如，法案中定义的“社交媒体公司”的范围是“在过去 12 个月的大部分时间里”每月活跃用户超过 100 万的公司。但事实仍然是，根据该法案的定义，任何“在相关国家/地区注册”（或由另一私营企业所有）的私营企业都将被视为“相关实体”。微信是特朗普政府对外国平台的第二个行政命令的对象，它没有与 TikTok 和字节跳动一起被明确列入法案。虽然根据一些报道，该公司在美国拥有数百万活跃用户，但尚不完全清楚微信是否属于该法案对社交媒体公司的定义。

正如我之前在Lawfare网站所写的那样，特朗普政府的 TikTok 行政命令和其他有关外国应用程序的后续提案的一个长期存在的问题是，将不同的安全风险混为一谈。以TikTok为例，人们可以想象几种不同的风险影响安全格局的风险，包括美国政府雇员数据收集的风险、美国非政府雇员数据收集的风险、TikTok 在北京的要求下在中国审查信息的风险、TikTok 在中国境外审查信息的风险，以及虚假信息在TikTok上传播的风险。在该法案中，最重要的声明描述了与外国社交媒体公司相关的几种风险：影响这些公司的政府监视美国人，了解有关美国人的敏感数据，以及传播影响活动、宣传和审查制度。

在该法案的顶层声明中，它列出了风险，但它们聚集在一起并且没有明确定义。例如，社交平台“监视美国人”和社交平台“了解美国人的敏感数据”之间的假定区别是不确定的。也许这种区别是由“学习”一词驱动的——在一种解释中，这表明前者正在收集原始数据，而后者正在使用算法来获取关于人的敏感信息——但这并不清楚。最重要的声明也将“传播影响活动、宣传和审查制度”集中在一起，这些内容同样应该分解。

该法案稍后在描述上述四项关注标准时对此进行了改进。该法案明确指出 (a) 公司与政府或相关实体共享或被迫共享数据的风险，以及 (b) 公司的内容审核做法受到政府或相关实体的重大影响的风险。

这很重要，因为由于多种原因，无法清楚地区分所谓的安全风险是一个问题：

首先，风险不同。外国政府要求公司交出特定外国用户的数据与使用该平台通过算法推送支持政权的内容，这也不同于政府要求该平台删除批评政权的言论等。阐明安全推理需要区分这些不同的风险。美国政府对外国投资、技术、数据等问题的审查越多，阐明安全推理就越重要，可以让公众对决策进行审查，向公司传达加强问责制的信念，并帮助最大限度地降低在没有实质性国家安全理由的情况下做出政治决策的风险。

其次，未能正确区分风险表明未能进行严格的风险评估。例如，这并不一定是说TikTok在美国的广泛使用没有风险，而是说风险是可能性问题（一种情况发生的可能性有多大，取决于参与者的机会、能力和意图等因素）和严重性（如果发生上述情况会有多糟糕）。外国政府要求外国平台交出大量数据集的可能性可能与该政府要求该平台持续审查内容的可能性不同。分解风险可以进行更精细的分析，它还使分析师能够创建（如果适用）风险优先顺序。也许一种风险比其他风险更有可能发生，因此应对措施应围绕解决这一巨大风险而设计。通过这种方式，该法案比特朗普的TikTok命令做得更好，在其四项禁止标准清单中明确区分了政府强制数据访问的风险和政府强制内容操纵的风险。

也许最重要的是，在政策中区分风险措施的一部分是将具体的缓解措施与当前的具体风险联系起来，这是该法案可以大大改进的地方。如果所提议的政策解决方案没有针对风险进行校准，它们可能无法达到预期的结果。以美国全面禁止TikTok为例（暂时抛开言论等担忧），该行动不会以同样的方式影响所有可能的安全风险。在美国，没有其他主要的中国社交媒体平台具有 TikTok 的影响力。如果实施禁令，肯定会改变内容审查方面的风险格局，因为美国公民将无法在美国使用TikTok。

然而，同样的行动（禁令）不会显著改变数据风险格局。TikTok确实收集了大量关于其用户的数据（就像其他所有社交媒体平台一样），但美国极其薄弱的数据隐私和安全法规意味着有关美国人的大量信息——从政治偏好、人口统计信息到实时 GPS和军事人员的数据，都可以在公开市场上广泛购买。简而言之，禁止TikTok并不能保护美国人的敏感数据。仅仅因为一项政策行动可能对一种风险或一组风险有效，并不意味着它对所有风险都有效。

法案中没有任何地方允许针对特定风险采取特定行动。该法案提出了一个有效的静态响应模板——完全禁止在美国境内的外国社交平台，即使该平台及其使用符合列出的安全标准。这就提出了一个问题，即针对不同的内容审核、数据隐私和其他风险采取一种放之四海而皆准的方法是否最合适，并且在长期内最可持续。例如，可以想象一个不同的政策框架，它对外国平台安全风险有一系列可能的应对，例如在某些情况下缓解措施被认为是完全不够的，而在其他情况下，则采取某种中间措施对公司施加一组独特的内容或安全要求。

值得赞扬的是，拜登政府已经开始摆脱特朗普政府对 TikTok 采取的功能失调和颠覆法律的做法。2021 年 6 月 9 日，拜登签署了第 14034 号行政命令，题为“保护美国人的敏感数据免受外国对手的侵害”。该命令撤销了行政命令 13942（所谓的 TikTok 禁令）和 13943（所谓的微信禁令），它还撤销了特朗普于 2021 年 1 月 5 日离任前签署的第 13971 号行政命令，禁止美国人与中国公司支付宝、QQ 钱包、SHAREit、腾讯 QQ、VMate、微信支付和 WPS Office 进行交易，理由是担心他们可以通过收集北京可以访问的数据“允许中国追踪联邦雇员和承包商的位置”和“建立个人信息档案”。重要的是，拜登 2021 年 6 月的行政命令明确指出，“联邦政府应通过严格的、基于证据的分析来评估这些威胁，并应解决与总体国家安全、外交政策和经济目标相一致的任何不可接受或不适当的风险，包括保护并展示美国的核心价值观和基本自由。”

同时，CFIUS 和其他安全审查机构似乎正在进行越来越多的审查，但人们对跨境投资审查中的国家安全蔓延表示担忧。CFIUS与 TikTok 的对话是如何考虑缓解协议的另一个例子，该协议允许特定公司描述其如何解决安全风险，而不是直接强迫公司撤销交易。对国家安全蔓延的担忧是合理的，在民主国家中提出这一问题尤为重要。同时，参与这些审查的个人应该对透明度、问责制和有针对性的风险评估有很大的兴趣。毕竟，一个风险框架表明美国面临的风险对于特定国家（例如中国）的每家公司都是相同的，这就是该法案如此重要的原因。它不仅提议重新尝试特朗普政府对 TikTok 的禁令，同时令人担忧地跳过了对 IEEPA 的限制，而且还提出了一套定义和标准，将来可以应用于其他外国社交媒体平台。对外国科技公司的安全担忧显然不会消失，这意味着立法者及其工作人员更有必要设计实质性的、细致入微的风险评估框架，以帮助区分真正的安全风险和风险混淆而应对措施不适当的情况。

原文链接：www.lawfareblog.com/new-bill-proposes-banning-tiktok-us