TikTok US的数据安全合规方案

从特朗普年代，作为最受欢迎的社交软件，TikTok就一直因为数据安全问题在美国被打压。在美国政府的极限施压下，Tiktok在今年初推出了预计投资额达到15亿美金的得克萨斯计划。我们一起看下，为了数据安全合规，一个出海企业有哪些可用选项。

一、组织层面

TikTok于 2022 年 7 月成立了USDS（TikTok US Data Security Inc）。新公司包含 TikTok 业务中最有可能引起国家安全担忧的功能，例如访问美国公民数据和决定内容审核。现有的美国公司核心团队包括工程、用户和产品运营、隐私运营、信任和安全、法律、威胁检测和响应，以及合规部门都将加入USDS。新公司董事会由TikTok 提名，但需经过由CFIUS审查(美国外国投资委员会)，且董事会将向 CFIUS 报告，而不是向字节跳动报告。除此之外，新公司USDS 的招聘要求由CFIUS决定, 所有工作人员都必须是美国公民或持有绿卡。政府将有能力对任何潜在雇员进行额外的背景调查，并拒绝 USDS 雇用该个人的能力。换句话说，USDS虽然是属于TikTok的分支机构，却在人员和业务上由美国政府进行深度监管。

二、数据层面

所有的美国的数据都由Oracle负责存储和管理。美国数据将只能由USDS访问，Oracle将结合使用自动化流程和人工审查来监控数据流是否存在安全漏洞或不当行为。同时它将进行抽查以审查数据的传输，发现任何的数据流不合规，都将进行更详细的审查。

三、应用层面

Oracle将领导一个安全审查流程，该流程将检查所有 TikTok 软件。Oracle将与CFIUS 批准的第三方检查员一起对所有 TikTok 代码进行自己的评估。一旦代码通过了这个检查，它就会由 Oracle 进行数字签名。之后才被允许软件运行。向谷歌和苹果应用商店提供更新也将由Oracle负责。即软件发布流程中，Oracle和CFIUS不仅要获得对代码的直接访问，还扮演了变更控制委员会的角色，所有的代码更新都需向其申请才能发布。

四、基础设施层面

去年TikTok就已经宣布，所有美国的数据和服务都已经迁往了Oracle Cloud。在获得了系统源代码的访问权限后，Oracle会负责对系统安全风险的监测。TikTok也计划请外部网络安全审计员对美国 TikTok 平台进行一次性网络安全审计。

为了解决美国政府的疑虑，TikTok基本上愿意将公司人员，代码，数据以及底层基础架构都开放给监管机构或是Oracle，只保留业务层面的运营权。从数据安全角度来说，基本上是做到了全方位的开放透明。但即使这样，最新的消息还是不彻底出售给美国本土公司就被封禁。所以，所谓的数据安全只是台面上的原因，更多的是对该应用在舆论和商业影响力上的担忧。

文章参考：

lawfareblog -- Project Texas: The Details of TikTok’s Plan to Remain Operational in the United States