TikTok禁令讓企業草木皆兵

The TikTok Ban Should Worry Every Company
可門.黃 Keman Huang,音譯 , 史都華.麥尼克 Stuart Madnick
瀏覽人數:1149
今夏,美國政府對TikTok的禁令引起軒然大波,也掀起商界許多討論。本文作者認為,這對美國的商業環境弊大於利,並進一步指出,全球都有不少類似的商業禁令,國家和企業可採用許多實際選項,管理跨境數位產品和服務帶來的網路安全風險,而不是一味下禁止令。愈演愈烈的貿易戰,不僅不會帶來想要的利益,更會破壞全球貿易。

今年初夏,美國政府宣布考慮禁止中國社群媒體的應用程式,包括目前很流行的TikTok(「抖音」海外版)。8月時,川普總統簽署了兩項行政命令,阻止企業與兩家公司交易,這兩家公司是TikTok的母公司「字節跳動」(ByteDance),以及擁有當今盛行的簡訊服務與商業平台「微信」(WeChat)的騰訊公司(Tencent);他還簽署了另一項行政命令,要求字節跳動公司在九十天內出售或分拆美國TikTok的業務,並銷毀所有跟美國使用者相關的TikTok數據副本。包括微軟(Microsoft)、沃爾瑪(Walmart)和甲骨文(Oracle)在內的公司,都表示有興趣購買這項應用程式,TikTok則對美國政府提起訴訟,指控川普政府剝奪了它的正當法律程序。

川普政府表示,擬議中的禁令是為了維護美國公民的隱私權,保護他們及美國政府官員相關的數據資料,不會受到中國政府利用。川普8月6日的行政命令宣稱,TikTok可能會「讓中國得以追蹤聯邦僱員和約聘人員的位置,建立個人資訊檔案以進行勒索,並進行企業間諜活動。」可是,TikTok真的是威脅嗎?如果真是如此,美國採取的這些行動可能會帶來哪些後果?

我們身為研究過類似技術禁令的研究人員,認為這一連串事件可能會對企業界產生廣泛的影響,而且受影響的可能不僅限於科技產業。

威脅為何?

如果擁有海外連結的公司蒐集數據會構成威脅,那麼到處都會充滿威脅。相較於大多數美國科技公司(以及銀行、信用機構和旅館)蒐集的數據,不論是肉眼可見或較不可見的蒐集行動,TikTok蒐集的數據都顯得毫不起眼。許多蒐集敏感數據的機構已經遭到駭客攻擊(據估計,每39秒就發生一次網路攻擊),而且其中大部分的資訊都在黑暗網路(Dark Web)上出售。如果中國政府想要TikTok可能蒐集到的這類資訊,大可透過許多其他方式獲得。

另一項可能會對美國顧客更迫切的威脅,其實技術程度低得多:樹立禁止日常技術的先例,可能會迅速失控,進而嚴重破壞幾乎所有的國際貿易。

愈演愈烈的趨勢

儘管反對TikTok的理由可能看似新奇,但其實只是一連串因國家指控網路安全顧慮而禁止產品或服務等諸多案例中,最新的一個事件。我們的研究檢視了超過75件類似事件,包括近二十年來超過31個國家的事件,雖然大多數事件發生在過去五年之間。例如,2017年德國禁止了「我的朋友卡莉」(My Friend Carly,美國製造的洋娃娃,你可以跟它聊天),因為對話是由位在美國的伺服器處理。2016年,俄羅斯封鎖了LinkedIn的服務,指出LinkedIn拒絕將俄羅斯用戶的個人數據儲存在俄羅斯境內。2017年,美國指控俄羅斯安全公司卡巴斯基(Kaspersky)與俄羅斯政府有關聯,進而封鎖其服務。

這些案例建立在引人注目的禁令趨勢上,例如中國在2009年封鎖了臉書(Facebook)、推特(Twitter)和Google,以及2010年黑莓機(BlackBerry)在印度、巴基斯坦、沙烏地阿拉伯和阿拉伯聯合大公國受到禁令或威脅遭禁。

任何產品只要包含電腦或使用電腦的服務(目前幾乎所有東西都是如此)—幾乎當今所有的東西—,就可能帶來網路安全的風險,因此,這類事件的發生頻率和影響都日益增加。(我的電動牙刷裡有電腦,而且連結到網際網路。)要檢查這些產品和服務中數百萬行的軟體或韌體,目前並不可行,所以決策的依據是人們感知到的風險,而這會受到信任和管理網路安全風險的能力等因素所影響。目前各國對各式各樣的產品和服務設下限制,例如:醫療設備、視訊會議服務、軟體產品、安全軟體、社群媒體、安全監視器、銀行資訊科技系統、無人機、智慧型手機、智慧型玩具、線上內容服務、衛星通信、人工智慧軟體,以及金融服務(國際資金轉帳和付款系統等等)。

根據經濟合作暨發展組織(OECD, Organization for Economic Cooperation and Development)的「數位貿易服務限制指數」(Digital Trade Service Restrictiveness Index),46個主要經濟體當中,有13個國家在2014年至2019年之間增加了對數位貿易的限制,但只有四個國家減少限制。

一般來說,管理風險的策略有下列四種:接受、避免、減輕和轉移。國家和企業有許多實務做法可以選擇,用以管理跨境數位產品和服務所帶來的網路安全風險。遺憾的是,「禁止產品」變成愈來愈普遍的做法,而且似乎並不是特別能持續下去的策略。

為什麼這次不一樣

美國政府擬議的禁令,強化了人們日益增強的一個想法,認為美國不再是全球商業的主要保障者,反而成為商業的潛在威脅,這個想法目前正深刻重塑著世界經濟,並威脅到美國企業。TikTok和微信都擁有廣大的用戶群(分別為八億人和將近12億人)。某位知名分析師指出,如果從Apple Store刪除微信,可能會導致蘋果手機iPhone的銷售下跌約30%。在8月與白宮官員的電話會議中,美國十幾家主要的多國籍公司,都表示擔憂禁止微信可能損害他們在中國市場的競爭力。

藉由這些政策來破壞國際商業環境的第二階成本(second-order cost),可能會高出許多:美中貿易理事會(U.S.-China Business Council)中有86%的公司表示,自家公司與中國之間的業務受到負面影響。最大的影響是銷售損失,因為持續供應的不確定性,導致顧客轉移了供應商或採購來源。擔心美國禁令的公司,可能會乾脆啟動「去美國化」計畫,刪除或替換自家產品和供應鏈中的美國零組件。例如,2019年2月,總部位在英國、許多大型亞馬遜賣家都仰賴的國際匯款服務公司「世界第一」(WorldFirst)關閉了其美國業務,這是總部位在中國的螞蟻金服(Ant Financial)收購它的先決條件。他們認為,唯有這麼做,才能避免美國法規監管機構以國家安全顧慮為由,阻止這項收購案。另一方面,中國公司海康威視(Hikvision)找到替代零件,來取代它產品裡的大多數美國零組件,因此,公司被列入美國貿易黑名單對它的業務影響有限。

權衡政治風險

企業高階主管必須了解,除了遵循最佳實務,以降低本身的數位產品與服務所帶來的網路安全風險之外,他們還必須為政治風險預先做好準備。TikTok實施好幾項做法以減少風險,包括:在美國當地儲存美國用戶的數據;備份放在新加坡的伺服器,防止其母公司字節跳動取得這些數據;聘請一位美國籍的執行長和營運團隊;強化其遊說團隊;由於對中國新的國家安全法的擔憂而退出香港市場;在洛杉磯設立「行事透明中心」,以負責合理做法和數據處理;禁止其平台刊登政治和倡議宣傳的廣告;以及在中國境外設立全球總部。TikTok及其員工,正準備提出幾個不同的訴訟來對抗美國的禁令。

這些做法雖然還無法協助TikTok讓禁令無效,但可能會成為其抗衡美國政府的訴訟中的主要論點。此外,這些做法可能提供一些重要的指引,給所有要在這種新常態下推展國際業務的公司採用,以解決各國對網路安全風險的顧慮。

實際上,禁令比較有可能增加風險,而非降低風險,因為禁令在各個國家和企業之間建立不信任感。其他國家可能禁止美國公司以進行報復,而情況可能會迅速惡化。

近年來,各國政府試圖強化其取得這些裝置和服務內包含的數據的能力。例如,WhatsApp宣傳它「透過端到端的加密,確保你的對話安全無虞,這表示你的訊息和狀態更新,只有你和你選擇的人可以看到。」但有幾次(最近一次是在2019年10月),美國、英國和澳洲對臉書施壓,要求公司打開後門,讓各國政府取得加密訊息內容。到目前為止,臉書和WhatsApp都拒絕了。如果允許打開這樣的後門,而且變得很常如此,那麼每個與網際網路連接的裝置,基本上都會變成間諜設備,而且可能會被其他所有國家禁用。

對「國家安全威脅」的濫用,正如滾雪球般飛快地增加,導致貿易戰愈演愈烈,進而可能破壞全球貿易。我們看到1930年代的斯穆特霍利關稅制度(Smoot-Hawley Tariffs)造成了類似情況。當時的目標,是要透過提高關稅,阻礙從其他國家進口的產品,來保護在經濟大蕭條時期遭逢困境的美國農民和其他產業。但不令人意外的是,幾乎所有的美國貿易伙伴都實施報復,提高關稅。結果導致美國進口下滑66%,出口下滑61%,使經濟大蕭條變得更加蕭條。一般來說,貿易戰很少會有贏家,網路貿易戰可能也是如此。

(蘇偉信譯)

致謝:這項研究的部分經費來自「麻省理工史隆管理學院網路安全」聯盟(Cybersecurity at MIT Sloan)成員,以及「麻省理工學院網際網路研究政策計畫」(MIT Internet Research Policy Initiative)。本文兩位作者的貢獻相等。



可門.黃 Keman Huang,音譯

麻省理工史隆管理學院(MIT Sloan School of Management)研究科學家,他的專業領域為網路安全管理與政策、創新生態系統及大數據分析。


史都華.麥尼克 Stuart Madnick

麻省理工史隆管理學院資訊科技講座教授,麻省理工學院工程學院工程系統教授,麻省理工史隆管理學院網路安全聯盟(Cybersecurity at MIT Sloan)主任(這個跨領域聯盟的宗旨是要改善關鍵基礎設施的網路安全)。他自從1979年與人合著《電腦安全》(Computer Security)之後,便活躍於網路安全領域。


本篇文章主題國際業務