随着数字经济与人工智能的加速发展，数据成为数字时代的“石油”。数据治理的重要性日益凸显，其不仅涉及数据安全、隐私保护，也涉及科技竞争、经济发展与地缘政治博弈。

2024年4月，美国拜登政府以所谓“保护国家安全”为由签署一项法律，正式要求字节跳动在2025年1月19日前剥离TikTok的美国业务，否则其将面临全国禁令。此举引发了数据治理相关领域技术专家与政策人士的批评讨论。

随着这一“不卖就禁”法律最后期限将至，不少美国网友涌入“小红书”等中国社交平台，并自称“TikTok难民”(TikTok Refugee)。2025年1月13日以来，“小红书”APP下载量飙升至美区苹果应用商店免费榜首位。近日，多家美媒报道表示，拜登政府将不会执行TikTok禁令，而是将执行权交给特朗普政府，TikTok的最终命运仍是未定之数。

有观点认为，拜登政府对TikTok的“围剿”指向了美国趋于失衡且与其他国家相背离的数据治理态势，反映了其当前选择的数据治理道路过于狭窄，还需建立更全面、更积极的数据治理愿景。本文基于国际智库、专家学者相关观点，对美国数据治理的现存挑战、潜在影响及未来发展路径展开分析。

* 原文《美国数据治理趋势及其潜在影响，从TikTok剥离法案说起》在2024年4月16日首发于“CF40研究”小程序。本文观点仅供了解海外研究动态，不代表中国金融四十人论坛和中国金融四十人研究院意见和立场。

”

美国数据治理的政策考量与现存挑战

1. “零敲碎打”式法案反映美国全面数据立法的缺位

美国白宫国家安全顾问杰克·沙利文(Jake Sullivan)在谈及TikTok剥离法案时表示，法案的最终目标涉及所有权的确定。“TikTok作为一个平台，我们是希望其由美国公司拥有还是由中国拥有?我们是想让TikTok的数据，包括儿童数据和成人数据，去美国还是去中国?”。

有分析对此提出，即使强制TikTok为美国公司所有，也不会在实质上增强对美国互联网用户的隐私和安全保护：

一方面，多伦多大学全球事务与公共政策学院跨学科实验室CitizenLab的一项调查显示，没有证据表明TikTok在未经用户许可的情况下收集额外信息，该应用程序的数据收集行为符合一般行业规范;

另一方面，许多其他美国移动应用程序比如Meta也会大量收集来自用户的地理位置、面部特征、声纹特征等信息，其将这些数据信息传输到美国境外的过程几乎不受法律限制。

美国大西洋理事会(Atlantic Council)数字取证研究室的报告提出，美国政府对TikTok潜在威胁的关注忽视了美国信息生态系统中更广泛存在的漏洞，包括不受监管的数据经纪人市场和隐私保护、数据访问、平台透明度等方面技术法规的缺失，仅仅针对TikTok并不能解决真正的安全威胁。

上述报告提出，当前美国的数据经纪市场已是一个利润丰厚的中介市场，存在着数千家数据经纪公司，包括安客诚(Acxiom)、益博睿(Experian)、核心逻辑(CoreLogic)等，这些公司从社交媒体和信用卡公司、消费者忠诚度计划、移动服务提供商、健康技术服务以及选民名册、竞选财务文件、财产记录等公共来源购买、清洗、汇总、重新包装和标记用户数据，然后将综合数据打包出售。以安客诚为例，其声称拥有25亿人的信息，每个消费者都对应着11000个数据点。

《纽约时报》等媒体的调查也发现，通过数据经纪人市场，美国国内外买方可购买大量位置信息数据集，其中包括一个由1200万美国人手机的5000万个位置数据包组成的数据集。因此，仅针对单一平台出台法案并不能阻止恶意行为体从其他来源——比如数据经纪人——合法购买个人数据。

整体而言，虽然拜登政府在2024年上半年相继发布“防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据”行政令及TikTok剥离法案，但是这些措施只针对美国指定的外国对手，且留下了通过第三国转售的空间，美国公民仍然无法控制自身数据在美国国内的收集和使用方式。此外，这些措施也没有解决科技公司对个人数据的控制问题。

许多专家提出，目前美国的数据监管方式仍旧“零敲碎打”甚至互相冲突，不利于构建全面的数据监管框架。仅从目前的监管政策来看，技术专家担心这些举措不足以对整个数据经纪行业进行更广泛的监管，甚至可能妨碍更全面的数据隐私立法。美国国会内部则有许多立法人士对“防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据”行政令和TikTok剥离法案持矛盾态度。

美国大西洋理事会报告提出，从更广泛意义上看，美国是发达国家中唯一一个没有联邦层级隐私和数据保护标准的国家，尽管伊利诺伊州、加利福尼亚州等州政府试图通过建立自己的隐私法来填补空白，但这些缺乏一致性的法律在一定程度上反而给联邦层级的立法构成更多挑战。

2. 对数据资源加大控制的同时，美国与其盟友的监管道路发生背离

除了保护数据安全与个人隐私的考量，美国对数据访问和跨境流出的收紧趋势也反映出其对掌握先进科技竞争优势的重视，尤其是在当前地缘政治紧张局势不断加剧的背景下。

“防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据”行政令和TikTok剥离法案都将“外国对手”作为限制对象，行政令更是明确表示了这种竞争意图：“受关注国家可以依靠包括人工智能(AI)在内的先进技术来分析和操纵批量敏感的个人数据……确定其他相对于美国的潜在战略优势。受关注的国家还可以利用对大量数据集的访问来推动人工智能和其他先进技术的创建和改进，从而提高其利用基础数据的能力，加剧对美国国家安全和外交政策的威胁。”

首先，日益激烈的全球AI竞争格局助推美国加大了对数据资源的控制。在全球对AI技术寄予厚望的时代，数据、算法、芯片技术标准等都成为技术发展关键环节，由于数据是训练AI的重要无形资产，企业和国家不可避免地要对数据的访问权展开争夺。

与此同时，美国政策正在朝向阻碍中国取得技术优势的方向演变。战略层面上，2020年美国国会“中国特别工作组”正式提出“小院高墙”概念，确定了美国在核心科技领域对华竞争策略的基本方向;2022年美国国家安全战略将中国视为“唯一既有重塑国际秩序意图又越来越多拥有实现这一目标的经济、外交、军事和技术实力的竞争对手”。操作层面上，从美国不断扩大的对华芯片出口管制和敏感技术投资限制、对国际标准制定机构主导权的争夺、到现在对数据跨境流出的限制可以看出其对华竞争心态的步步升级。

其次，数据也是美国在生物科技竞争中至关重要且未被完全开发的资源，行政令对个人基因组数据交易的明令禁止在一定程度上体现了美国在该领域的竞争意识。基因组、基因表达、蛋白质、代谢物、图像以及关于这些片段如何组合在一起的结构信息对于发现和简化生物制造至关重要，如何收集、保存、组织和分析生物数据成为释放生物经济潜力的关键。

对美国而言，挑战在于相关数据都分布在不同数据库和组织中，其数据组织方式各异且缺乏统一的行业标准。新美国安全中心(CNAS)技术与国家安全项目兼职高级研究员米歇尔·霍尔科(Michelle Holko)认为，在广泛开放数据可能性较小的前提下，为确保美国在建立可持续的生物数据基础设施方面取得竞争优势，美国应考虑制定政策保护美国及其伙伴国的开放数据，同时限制美国数据对外共享，除非伙伴国也共享数据。

但有分析指出，美国的数据监管举措在对其竞争对手保持优势的同时，也正在进一步远离与其盟友在数据安全问题上的共识，这是美国在数字监管领域面临的重大挑战。在监管数字生态系统方面，美国的大多数盟友都优先考虑赋予用户对其自身数据的权利，这种方法在新兴技术开始大规模运行之前就预见到了新兴技术可能出现的新风险;然而美国现在的做法正相反，仅针对个别公司而非保护整体的数字生态系统，这将阻碍美国与其盟友开展数据监管方面的合作。

美国数据治理路径 的潜在影响与未来展望

综合各方观点来看，当前美国数据治理主要面临两方面问题：一是如何将短期、具体的国家安全问题与美国信息生态系统中更广泛存在的问题区分开来，二是如何在大国竞争中增强关键信息基础设施保护的战略明确性，以及如何平衡隐私保护与数据开放。整体而言，美国目前将目标对准个别企业或国家的数据治理道路太过狭窄，缺乏更全面和健康的数据治理愿景。

有分析提出，如果美国继续沿着当前方向进行数据治理，可能会产生诸多消极影响。

对于美国自身，当前其数据监管举措不仅在保护数据安全方面效果有限，而且会产生巨大的经济与政治代价。

就TikTok剥离法案而言，如果TikTok拒绝出售而在美遭到关停，这将对TikTok平台上已有的大量内容创作者和中小企业造成直接经济损害，并且削弱各政党对35岁以下美国年轻选民的动员能力。

事实上，随着TikTok关停日的临近，近日不少试图寻找新的网络社区的美国网民涌入“小红书”等中国社交平台，以此表达对美国政府试图封禁TikTok行为的不认同。这一现象级的迁移行动在美国和中国都引起了广泛关注。

就“防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据”行政令而言，目前的规则试图基于金融制裁和出口许可证来建立新的许可制度，并且涉及美国外国投资委员会(CFIUS)的逐案审查，这将极大增加合规和执法成本。

对于国际关系，美国对数据监管的泛政治化不利于国家之间的科技合作，甚至可能阻碍全球数字治理发展。其拟议法案充满了对个别企业和外国对手的针对，可能助长对科技人才的国籍歧视;其治理方式将进一步阻碍全球范围内数据的自由流动，可能导致数据治理的巴尔干化(Balkanization)。

比如，行政令呼吁CFIUS在对于海底电缆系统这一全球数据传输支柱的审查中考虑大量敏感个人数据的风险，如果美国及其盟友采取类似政策，而受限国家也做出回应，那么全球数字基础设施可能会进一步脱钩。

针对美国当前数据治理路径的上述潜在影响，多位专家学者提出，要真正解决数据隐私与安全问题，首先，必须建立全面的数据安全法规，包括隐私法和统一的透明度标准，而非仅仅针对个别企业或国家。有专家建议恢复并完善2022年7月众议院能源和商业委员会通过的一项更全面的法案——《美国数据隐私和保护法案》(ADPPA)，目前它在美国国会的投票进程停滞不前，部分原因是科技行业的游说。

事实上，2024年以来，美国国会也开始积极对待全面隐私保护法的建立。2024年4月上旬，在2022年法案的基础上，参议院商务委员会主席和众议院能源和商务委员会主席宣布了一项新的联邦隐私法案——《2024年美国隐私权法案》(APRA)，该法案明确了国家层面的数据隐私保护措施，建立了强有力的执行机制以追究违法者的责任;支持数据最小化，相关条款将对于个人数据的收集和使用限制在提供产品或服务所必需和相称的范围内。法案还将进一步限制敏感数据的传输和使用，并对生物识别和遗传信息制定更严格的规则。

综合媒体评价来看，美国各界对APRA的通过抱有较高期待。美国两党、两院共同发布的一份新闻稿表示，这项草案赋予人们控制个人信息的权利，是几十年来建立国家数据隐私和安全标准的最佳机会。其中，APRA对于定向广告、数据经纪等行业的影响值得关注。

其次，要更好地平衡数据保护与数据开放，尤其是更好地平衡对关键敏感数据的保护与数据的跨境自由流动，后者有助于充分释放数字经济的潜力，对于提高线上线下商品和服务贸易的效率和弹性也非常宝贵。此外，数据的跨境自由流动还有助于支持部分政府职能，如跟踪跨境碳排放和提供全球医疗援助等。

总的来看，美国若想在全球数据治理中发挥更加积极的作用，应停止背道而驰的做法，奉行更为平衡的数据治理战略，在加强数据安全保护的同时，积极参与数字贸易协定的制定与全球数据治理合作。