TikTok禁令应该让每个公司都担心

今年夏天早些时候，美国政府宣布正在考虑禁止中国社交媒体应用程序，包括广受欢迎的应用程序TikTok。今年8月，特朗普总统签署了两项行政命令，阻止与TikTok的母公司ByteDance和拥有广受欢迎的即时通讯服务和商业平台微信的腾讯进行交易，并签署了另一项行政命令，要求ByteDance在90天内出售或剥离其美国TikTok业务，并销毁其所有附加于美国用户的TikTok数据副本。随着微软、沃尔玛和甲骨文等公司表达了购买这款应用的兴趣，TikTok正在起诉美国政府，指控特朗普政府剥夺了正当程序。

特朗普政府表示，拟议中的禁令旨在保护美国公民的隐私，并保护他们-以及政府官员-的数据不受中国政府的影响。特朗普8月6日发布的行政命令称，TikTok可能“允许中国追踪联邦雇员和承包商的位置，建立勒索用的个人信息档案，并进行商业间谍活动。”但是，TikTok真的是一个威胁吗？如果是这样的话，美国的这些行动可能会产生什么后果？

作为研究过类似技术禁令的研究人员，我们认为，这一连串事件可能会对商界产生全面影响，这可能不仅限于科技行业。

如果一家与海外有联系的公司收集的数据构成了威胁，那么到处都是威胁。TikTok收集的数据与大多数美国科技公司(以及银行、信贷机构和酒店)收集的数据相比相形见绌。许多收集敏感数据的机构已经遭到黑客攻击-据估计，每39秒就有一次网络攻击-其中大部分信息在Dark Web上出售。如果中国政府想要TikTok可以收集的那种信息，可以通过许多其他方式获得。

事实可能证明，美国客户面临的更紧迫的威胁是低得多的技术：开创禁止日常技术的先例，可能会迅速失控，严重扰乱几乎所有的国际贸易。

虽然针对TikTok的案件可能看起来很新奇，但实际上这只是一系列国家出于所谓的网络安全考虑而禁止产品或服务的一系列案件中最新的一起备受瞩目的事件。在我们的研究中，我们研究了近20年来涉及31个国家的75多起此类事件，尽管大多数发生在过去5年。例如，2017年，德国禁止我的朋友卡莉-一个你可以和你说话的美国娃娃-因为对话是由美国的服务器处理的。2016年，俄罗斯屏蔽了对LinkedIn的访问，声明LinkedIn拒绝在俄罗斯存储俄罗斯用户的个人数据。2017年，美国因俄罗斯安全公司卡巴斯基(Kaspersky)涉嫌与俄罗斯政府有联系而屏蔽了该公司。

这些案件建立在高调禁令趋势的基础上，例如中国屏蔽Facebook、Twitter和Google(2009年)，以及印度、巴基斯坦、沙特阿拉伯和阿拉伯联合酋长国(2010年)禁止或威胁要禁止黑莓(BlackBerry)。

因为任何包含计算机或使用计算机的服务的产品-现在几乎所有东西-都会带来网络安全风险，因此这些事件的频率和影响正在增加。(我的电子牙刷里有一台电脑，可以上网。)。检查这些产品和服务中数以百万计的软件或固件目前并不可行，因此要根据感知的风险做出决定，这些风险可能会受到信任和管理网络安全风险的能力等因素的影响。对各种产品和服务都施加了限制，如：医疗设备、视频会议服务、软件产品、安全软件、社交媒体、安全摄像头、银行IT系统、无人机、智能手机、智能玩具、在线内容服务、卫星通信、人工智能软件，以及国际转账和支付系统等金融服务。

根据经济合作与发展组织(OECD)的数字贸易服务限制指数，在46个占多数的经济体中，有13个在2014年至2019年期间增加了数字贸易限制，而只有4个国家减少了限制。

一般说来，管理风险有四种策略：接受、避免、缓解和转移。在管理来自跨境数字产品/服务的网络安全风险方面，国家和公司可以采取许多切实可行的选择。不幸的是，禁止产品正变得越来越普遍-而且似乎不是一个特别可持续的战略。

拟议中的禁令强化了一种日益增长的信念，即美国不再是全球商业的主要担保人，而是对它的潜在威胁-这一概念正在深刻重塑世界经济，并威胁到美国企业。TikTok和微信都拥有庞大的用户基础(分别为8亿和近12亿)。根据一位知名分析师的说法，将微信从苹果商店除名可能会导致苹果手机销量下降约30%。在8月份与白宫官员的电话会议中，十多家美国大型跨国公司提出了担忧，认为禁止微信可能会削弱它们在中国市场的竞争力。

用这些政策破坏国际商业环境的二阶成本可能要高得多：美中贸易全国委员会(U.S.-China Business Council)中约86%的公司报告称，它们与中国的业务受到了负面影响。最大的影响是销售损失，因为由于持续供应的不确定性，客户转移了供应商或采购。担心美国禁令的公司可能只是启动了一项新的“去美国化”计划，以移除或更换其产品和供应链中的美国零部件。例如，2019年2月，亚马逊许多大卖家依赖的总部位于英国的国际转账服务WorldFirst关闭了其美国业务，作为其被中国蚂蚁金服收购的前兆。这被认为是避免美国监管机构出于国家安全考虑阻止这笔交易的唯一途径。另一方面，中国公司海视(Hikvision)找到了其大部分美国零部件的替代品，因此被列入美国贸易黑名单对其业务的影响有限。

企业高管需要认识到，除了遵循最佳实践来降低其数字产品/服务所感知的网络安全风险外，为政治风险做好准备也是必要的。TikTok实施了几项措施来降低风险，包括：将美国用户数据存储在美国并将其备份到新加坡的服务器上，阻止母公司ByteDance访问其数据，聘请美国首席执行官和运营团队，加强游说团队，基于对中国新国家安全法的担忧撤出香港，在洛杉矶成立一个针对温和和数据做法的“透明中心”，禁止在其平台上发布政治和倡导广告，以及在中国境外设立全球总部。TikTok及其员工正准备在单独的诉讼中与禁令作斗争。

尽管这些做法还没有帮助TikTok撤销禁令，但它们可能会成为TikTok起诉美国的主要论据。此外，这些做法可能是所有公司在新常态下开展国际业务可能需要遵循的重要方向，以解决对网络安全风险的担忧。

在现实中，禁令更有可能增加-而不是降低-风险，因为它在国家和公司之间建立了不信任关系。其他国家可能会通过禁止美国公司进行报复，情况可能会迅速螺旋式上升。

近年来，各国政府一直在努力提高它们访问这些设备和服务上包含的数据的能力。例如，WhatsApp宣传它“使用端到端加密保护您的对话，这意味着您的消息和状态更新只在您和您选择的人之间进行。”但是，有几次，最近一次是在2019年10月，美国、英国和澳大利亚向Facebook施压，要求其创建后门，允许访问加密消息内容。到目前为止，Facebook和WhatsApp都拒绝了。如果这样的后门被允许并变得司空见惯，那么每一个连接互联网的设备本质上都将是一个间谍设备，很可能被其他所有国家禁止。

对“国家安全威胁”的滥用正在滚雪球般扩大，并导致贸易战不断升级，可能扰乱世界贸易。我们在20世纪30年代看到了斯穆特-霍利关税(Smoot-Hawley关税)造成的类似情况。其目标是通过提高关税和阻止从其他国家进口产品来保护美国农民和其他在大萧条期间遭受重创的行业。但是，并不令人惊讶的是，几乎所有的美国贸易伙伴都进行了报复，并提高了关税。这导致美国进口下降了66%，出口下降了61%，这使得“大萧条”变得更加严重。一般来说，贸易战很少有赢家，网络贸易战可能也不会。

承认：这项研究部分得到了麻省理工学院斯隆分校(CAMS)网络安全联盟和麻省理工学院互联网研究政策倡议成员的资金支持。两位作者的贡献相等。