【编者按】美国当地时间3月7日,美国众议院通过了《保护美国人免受外国对手控制应用程序的侵害法案》。该法案在美国Tiktok用户群体中掀起轩然大波,多名国会工作人员对媒体透露称,众议院办公室接到了大量电话。一名工作人员称,他们的办公室接到了超过1000个专门涉及TikTok法案的电话。
《互联网法律评论》特约研究员顾登晨指出,该法案的全票通过意味着美国对TT的打压已经从美国财政部、商务部走向了司法部主导。不到10分钟过审,50:0的投票结果,并不能表明“各方意见高度一致”,反而是“这事和我关系不大”,是一种“不严肃”。
《互联网法律评论》今日刊发特约研究员顾登晨对该法案的逐条解读文章,供关注此事件的读者了解法条的具体内容和实际影响。
美国当地时间3月7日,美众议院能源与商务委员会以50:0的投票,通过了《保护美国人免受外国对手控制应用程序的侵害法案》(以下简称H.R.7521),要求对字节跳动系产品和其他被对手国家所控制的应用产品(Foreign Adversary Controlled Application)采取措施。法案要求,除非采取了适格的剥离措施(QUALIFIED DIVESTITURE),否则阻止相关应用程序在美国的传播和更新,生态也不得提供任何服务支持。笔者对H.R.7521进行了研读(重点内容加粗),同时,结合相关条款和整个事件,在一些地方予以简要评述(蓝色高亮)。结论可能不是一两句能够说清楚的,还是放在行文中。如果非要抽离出来,则是:
1)事件标志着TT从财政部、商务部主导走向了司法部主导,这可能是在借势2024年3月1日的行政令《防止相关国家访问美国人的大量敏感个人数据和美国政府相关数据》(14117号),但理由很不充分,美国政界将既有模式下的vulnerability演绎为实际的damage。
2)H.R.7521与2023年《限制信息通信技术安全威胁出现的法案》(以下简称《限制法案》)有很多相延续的地方,也有很多改良、超越和避坑的地方。最大的两个突破,一是聚焦舆属社动类产品,二是将字节系与其他系分开对待。
3)H.R.7521的出现和在委员会层面的通过,非常突然、非同寻常。TT在美国年轻人中的价值观影响崛起,与美国主流是否一致,值得观察。
4)针对某一家企业的立法,具有显著的制裁属性,偏离了初衷。法案后续在众院、参院投票中,针对字节系的部分(g)(3)(A),有可能被认为是需要改良的,(g)(3)(B)获得支持的可能性更大。假设H.R.7521文本冲出众议院,参议院也拿出一个版本,有可能是(g)(3)(B)的。这是笔者相信会出现的情况。
5)不到10分钟过审,50:0的投票结果,并不能表明“各方意见高度一致”,反而是“这事和我关系不大”,是一种“不严肃”。
如果逐条读法案觉得枯燥,可以直接跳读蓝字部分。
第一章:概述,略
第二章:主体内容
SEC. 2 PROHIBITION OF FOREIGN ADVERSARY CONTROLLED APPLICATIONS.
一
IN GENERAL(总则)
确立核心管控措施,即阻止潜在危害美国国家安全的外国对手所控制的应用程序在美国境内的传播和更新,并设定不同的生效时间点。根据法案,任何实体都不得在美国境内或海域内从事任何有助于“外国对手控制的应用程序”的分发、维护或更新的行为。
1.禁止行为
1.1 提供直接服务,通过市场渠道(包括在线移动应用商店)分发、维护或更新此类外国对手控制的应用程序及其源代码,使美国境内的用户能够访问、使用或更新这些应用。(后文称(a)小节)
1.2提供互联网托管服务,使得此类外国对手控制的应用程序能在美国内得以分发、维护或更新。(后文称(b)小节)
2.生效时间
2.1 字节系:对于符合(g)(3)(A)(指字节系产品)定义的应用程序,禁令将在法案颁布之日起180天后,开始执行。
2.2 普适系:对于符合(g)(3)(B)(指其他对手国家产品,称之为普适系)定义的应用程序,禁令将在总统据此条款做出相关决定后180天后,开始执行。
二
DATA AND INFORMATION PORTABILITY TO ALTERNATIVE APPLICATIONS(数据可携)
3.数据迁移义务
3.1 定义:针对外国对手控制的应用程序的禁令生效之前,拥有或控制这类应用程序的实体应当履行数据迁移义务,以保障用户在面对可能受到禁令影响的应用程序时,享有将个人数据迁移到其他可选应用的权利,以维护数据所有权和连续使用的便利性。
3.2 用户权利:在美陆地或海域边界内的用户,在得知他们正在使用的应用程序即将受到禁令限制时,有权要求该应用程序的所有者或控制者将与其账户相关联的所有可用数据提供给自己。
3.3 操作标准:这些数据需要以机器可读的格式提供,包含该应用程序为用户保存的所有相关信息,如账户设置、用户生成的内容、互动记录等数据。
3.4 限期条件:用户可在禁令生效前,把他们在即将被禁用的应用程序上的数据转移到替代应用程序上,确保用户在更换应用时能够完整保留并携带自己的数据。
三
EXEMPTIONS(豁免情形)
提供针对外国对手控制应用程序禁令的两种豁免情形,允许在特定条件下,原本受法案禁止的行为或实体,可以得到豁免,从而继续开展业务活动。
4.适格剥离豁免
4.1 如法案禁止外国对手控制应用程序生效日期前,相关实体已完成“适格剥离”(Qualified Divestiture),则该禁令不适用于这样的应用程序。
4.2 禁令已经生效之后,如果完成了“适格剥离”,原先受禁令约束的应用程序也将不再受该禁令的制约。
5.必要服务豁免
5.1 (a)小结 和 (b) 小节的规定,不适用于某些与外国对手控制应用程序相关的必要服务,前提是这些服务是为了帮助实体达到遵守这两个小节的要求。例如,如果某个服务对于实体合规至关重要,即便该服务与外国对手控制的应用程序有所关联,也可能不在禁令的限制范围之内。
四
ENFORCEMENT(执法)
建立一套执行机制,确保法案实施,针对违反法案中关于外国对手控制应用程序分发、维护和更新禁令的行为进行惩罚和监管。一方面,对违法实体施加经济处罚作为威慑,另一方面,赋予司法部长调查权限和起诉权利,以维护法案的权威性和执行力。
6.民事罚款
6.1 对违反(a)小节规定的实体,即未经许可分发、维护或更新外国对手控制的应用程序,将面临按美国境内因该违法行为而访问、维护或更新该应用的用户数计算的民事罚款,金额上限是每位用户5000美元。
6.2 对违反(b)小节规定的实体,即未能在禁令生效前向用户转移数据,该实体也将面临罚款,罚款金额上限则是每位受影响的美国用户500美元。
7.司法部长授权
7.1 有责任对可能违反(a)或(b)小节的行为展开调查,并在确认存在违规行为时采取强制执行措施,包括根据上述罚款规定进行追责。
7.2 适当情况下,在美国地区法院提起诉讼,寻求包括但不限于支付前述民事罚款在内的适当救济手段
五
SEVERABILITY(条款可分割/可分离性)
强调有效性和独立性原则,即使部分内容被否定,法案的其他部分依然有效,并可根据实际情况调整对特定对象的适用方式。
8.总体原则。如有某项规定,因某种原因在某一特定场合下被认为无效,那么这条规定本身的无效,并不会波及其他规定或者对该条规定在其他适用情境下的有效性产生影响。
9.特殊约定。即便对于满足(g)(3)(A)(字节系)条款定义的外国对手控制的应用程序,如果某项规定在其上的适用被判无效,这并不妨碍通过后续依据(g)(3)(B)(普适系)条款做出的新判定继续将相同的条款适用于该类外国对手控制的应用程序。
9.特殊约定是一个重要的信号。H.R.7521在众议院能源与商务委员会Markup环节,没有引起一丝讨论,没有受到一点质疑,没有增加一条修正案,整个“过审”环节不到10分钟,这是一件极不寻常的事件。回过头看,50:0的结果,看似是“高度共识”,但更像是“很不严肃”,这与去年《限制法案》所引起的广泛讨论,有很大的区别。
9.特殊约定可能意味着,即便法案后续在众院、参院投票中,针对字节系的部分(g)(3)(A),被认为不合理,(g)(3)(B)也可能继续生效。
笔者判断,如果H.R.7521文本冲出众议院,参议院也拿出一个版本,将大概率是(g)(3)(B)的。
H.R. 7521的重心,未来会从“字节”去到“所有被对手国家所控制APP”的认定,这实际是回到了去年“限制法案”的赛道。
六
RULE OF CONSTRUCTION(规则建构)
确保法案执行过程中遵循有限授权原则,防止对法案内容的误解和滥用,确保法案在法律执行层面的清晰度和一致性,并与其他现有法律法规相协调,避免了对普通用户不当追究法律责任,降低反弹力度。
10.法案授权有限:不授权司法部长在本法案框架下除了执行(a)或(b)小节规定之外的任何执法行为。即司法部长仅能在法案中明确规定的针对外国对手控制应用程序的分发、维护和更新禁令,以及数据和信息可移植至替代应用程序这两方面行使执法权力。
11.豁免个体用户:法案规定,司法部长无权针对使用外国对手控制应用程序的个人用户进行执法行动,也即普通用户不会因为下载或使用被禁止的应用程序而成为直接的法律责任承担者。
这一条,明显是针对2023年3月《限制法案》立法引起的反弹,而采取的避坑手段。当时,很多个体消费者认为,《限制法案》生效后,美国用户使用对手国家的ICTS产品,可能会被追责,并借此反对立法,尽管Warner等进行了解释,但无人听。
12.不优先:除非本法案中有明确文字规定,否则法案不应被视为改变或影响到联邦法律其他条款已设立或提供的任何权力和权限。
七
DEFINITIONS(术语定义)
界定关键术语和概念的角色,以便整部法案中统一理解和适用。具体定义如下:
13.Controlled by a Foreign Adversary
一个公司或实体受外国对手控制意味着:1)该实体本身是一个注册地、总部、主要业务场所位于或依据外国对手国家法律设立的外国主体;2)或者由符合以上条件的外国主体直接或间接持股至少20%的实体;3)或者受上述外国主体或实体直接或间接控制的个人或实体。
上述指标意味着,开展外国对手控制评估,以综合考虑公司所有权结构、管理权以及实际影响力等因素。
14.Covered Company
指任何实体,无论直接还是间接(通过母公司的途径),经营着一种能让用户创建帐户、发布和查看各种类型内容、每月活跃用户超百万并且能够生成内容供其他用户消费的应用程序。纯提供产品评价、商业评论或旅行信息的网站、桌面应用、移动应用或增强现实/虚拟现实技术应用不在此定义范围内。
这一界定意味着,矛头所向,是具有极强“舆论属性和社会动员能力”的产品,而一些仅在理论上可以具有舆属社动功能,但特征元素不明显的社区类、服务类产品,则不会轻易被认定为“涵盖公司”。
这是和2023年《限制法案》的另一个重大区别之处。《限制法案》不仅聚焦舆属社动,对于电商、支付等产品也包含在内,准确地说是“无所不包”,这一方面增加了其杀伤力,另一方面,也让其失焦。这是H.R.7521的一个创新之处,很准,很值得玩味。
这一限缩,还能对中方对等反制,形成一定的对冲效应,让一些既有的产品评价、商业评论、旅行信息类在华服务,可以正常进行。
这一舆属社动,似乎在暗示一些事情。H.R.7521以50:0通过前后,Tiktok在美发起了弹窗,这是一个常规操作,2020年加州AB5法案期间,Uber等也有过类似操作,2023年《限制法案》期间,Tiktok也有过类似操作,这不会有大的backfire。这不是关键。
H.R.7521的出现突兀。一直以来,笔者相信不能脱离时代、社会幕景,仅就文本、律令去讨论数字政策。如果仔细观察,H.R.7521的时代幕景,是拜登的咆哮式的国情咨文,两院几乎所有议员都在关注的,是美墨边境安全与移民问题,是老生常谈的枪支、堕胎议题,是巴以冲突中美国的道德赤字。Cotton、Rubio、Warner这些TT问题上的老面孔,3月都没有去关注过TT。这时候,唯一在密集讨论TikTok的,只有Rogers,甚至面对这么一个突兀的法案,参议院都没有太多时间去作出反馈。
10日晚上,朋友圈一位老师这么写道:
TikTok在传播有关加沙敏感问题的未过滤内容方面的作用,已经让美国的以色列支持者感到警觉,同时也伴随着美国年轻人对以色列立场的显著转变。这个平台绕过传统媒体和揭露真相的能力,不仅挑战了既定的叙述,还激发了那些以前控制对话的人的恐惧。提议禁止TikTok,凸显了政府对美国人民判断力的深刻不信任,怀疑他们分辨真伪的能力,并担心他们对赤裸裸的现实(特别是围绕加沙的叙述)的反应。这种做法不仅质疑公众的智慧,还暗示了对一个受过良好信息教育的公民群体的更深层次的恐惧,挑战了支持自由言论和知情辩论的民主原则的本质。
——这是至今我看到过的,有关H.R.7521最为深刻的认知。由于不在海外,也没有使用TT的经验,我无法判断巴以问题在TT上的“呈现视觉”,是否真如上述这位老师所言,“已经让美国的以色列支持者感到警觉,同时也伴随着美国年轻人对以色列立场的显著转变”?
如的确如此,国会民主党人、白宫,理当有足够的理由来施压。社交网络牵涉到的问题很多,其中最核心的,是选举。早在2019年,我们就提出来,所谓的联邦隐私立法风暴,本质上是民主党将2018年“剑桥分析”事件,与2016年败选关联,以立法施压拉拢硅谷。所谓2020年大选中桑德斯、沃伦等人的“科技反垄断”,本质上是民主党激进派对于社会左翼的激情回应,同样是以立法施压拉拢硅谷。
隐私立法与反垄断立法拉拢的最终归宿,在于平台到底传递什么价值?从2020年到2024年,除了经济与就业这些客观指标之外,选民不变的关注,是边境墙、堕胎、枪支、气候,而两党在上述问题上的立场大相径庭。笔者长期关注美《通过规范法》230条款的改革,认为其之所以“改不动”,本质原因就是涉及到选举利益。围绕230的争议,本质上就是社交网络应当更多传递哪种价值观的争议。过去5年,Meta、X已经找到了舒适的位置,去年甚至OpenAI也及时补上了了这一课。从这次H.R.7521的突然出现来看,TT可能没有找到舒适的位置。
任何一个社交网络,都可以自我宣称,主打娱乐、美食、生活,远离选举。但国会山上的任何一个政客,都不会这么想。
15.Foreign Adversary Controlled Application
15.1 字节系,原稿对应(g)(3)(A)。指由法案定义的“外国对手”直接或间接控制的操作的网站、桌面应用、移动应用或增强/沉浸式技术应用,直接或间接(包括通过母公司、子公司或关联公司)由以下实体运营:1)字节跳动有限公司(ByteDance Ltd.);2)TikTok;3)上述公司的一个子公司或其继承者,且该子公司的控制权掌握在被法案定义为“外国对手”的国家手中;4)由上述实体直接或间接拥有的其他实体
15.2 普适系,原稿对应(g)(3)(B)(Covered Company),需要两大成立要件:要件1:受外国对手的控制。要件2:美总统认定该应用程序,对美国的国家安全构成了重大威胁。总统公开提议;公开提议以前30天内,总统需要提交一份报告给国会,详述该应用程序对美国国家安全构成重大威胁的理由。这份报告需要详述具体的国家安全关切,并附带一份分类附件,以及为了达成有效的剥离(合格剥离)所需剥离的资产清单。
15.1和15.2意味着,在最为核心的“对手控制应用”认定上:首先,总统有最终裁决权;其次,举证义务、实施方案的提出,落在行政部门;最后,国会有审查权,但是否有否决权暂未明确。这一切,和2023年《限制法案》,几乎一脉相承的(限制法案明确国会有否决权)。
和《限制法案》的一个重大区别在于:字节系产品不用走行政部门认定了,H.R.7521通过单独定义的方式,将字节系产品直接认定为对手国家控制应用。这正是HR7251“独特”和“匪夷所思”之处,这更像是一种制裁,而不是一次立法。
16.Foreign Adversary Country
同10 U.S.C. § 4872(d)(2) 中列举的国家名单,包括中国(含港、澳)
17.Internet Hosting Service
“互联网托管服务”,指向个人或组织提供存储和计算资源的服务,以便管理和维护一个或多个网站及线上服务,这类服务可能涵盖了文件托管、域名服务器托管、云托管以及虚拟私有服务器托管等多种形式。具体而言,服务内容包括但不限于:1)存储用户数据的文件托管服务;2)解析网址指向正确IP地址的域名服务器托管服务;3)提供弹性计算能力的云托管服务,以及4)为客户单独分配虚拟服务器资源的虚拟私有服务器托管服务等。
18.QUALIFIED DIVESTITURE
适格剥离,需要满足两个条件:经过总统领导下的跨部门审议程序认定,剥离交易将导致相关被覆盖公司不再受外国对手控制。经过跨部门审议程序,总统还需确认这次剥离交易,能有效阻止美国境内的相关外国对手控制应用程序与其原附属的、仍受外国对手控制的实体之间的任何运营关系的建立或维持,这其中涵盖了与内容推荐算法的运营合作,以及关于数据共享的协议等内容。
通常来说,涉及国家安全、信息技术、贸易和外国投资审查等问题时,主要利益相关部门包括国家安全委员会(NSC)、商务部(DOC)、国土安全部(DHS)、司法部(DOJ)、国家情报总监办公室(ODNI)联邦贸易委员会(FTC)、美国外国投资委员会(CFIUS)和美国国务院(DOS)。
2023年《限制法案》确立的核心部门是商务部,H.R.7521仅提出要“经过总统领导下的跨部门审议”,但没有明确跨部门包含哪些部门,但从行文上看,司法部是个重要且核心的角色。
TikTok事件至今,已经走过了1)财政部主导(2019-2021,聚焦CFIUS项下的外国投资审查风险,以剥离为目标),2)商务部主导(2021-2023,聚焦ICTS数据风险,以剥离为上,以风险缓解为中)两个阶段。2024年的H.R.7521,标志着主导方来到了司法部。事实上,从2019年开始,司法部就一直在发声,所发出的指控也“最国家安全化”,因此最耸人。但有趣的是,司法部的声音一直像是背景,没有受到很大的重视,事情的发展,反而是按照财政部、商务部的规则在走。这背后的原因,不得而知。但笔者判断最大的可能还是“子虚乌有”。
囿于这个话题的特殊性,这里不做展开,仅引用2015年就开始担任众议院情报委员会主任Turner在去年《限制法案》期间接受CBS采访时候说过的一句话——It's more of a vulnerability than damage。是的,德克萨斯计划(Project Texa,TikTok 对美国国家安全的承诺)核心要去解决的,TikTok员工base海外要去解决的,实际上就是这个vulnerability。
至今,从几次公开听证会上所得到的信息是,没有人一口咬定,中国高阶员工、高管就无法去访问美国的数据,只是这一访问几乎是在甲骨文的全面监控下实现的,这并不必然导向,或者说几乎不可能导向所谓的“数据受控”。然而,将这一vulnerability演绎为实际的damage,是司法部过去几年一直在做——虽然始终没有做成的,以至于众院情报委员会主任,都不得不承认这只是一个vulnerability,但伴随着H.R.7521的到来,司法部的声音大了,笔者判断,这背后有借势H.R.7521和拜登14117号行政令的背景。但大家都知道,14117号行政令、H.R.7521所要解决的美国人敏感数据、政府要害岗位人员信息外流问题,和TikTok问题,本质上不是一个问题,这里头牵涉到很多很多的细节问题,比如一个经典的反问是:即便TikTok退出美国,特殊用意者就没法从Meta那里采买数据吗?就没法借到第三国,通过数商采买数据吗?这实际是传统出口管制所普遍面临的困境,恐怕不是一道行政令或一道10页纸的H.R.7521所能解决的。
话虽如此,这次H.R.7521的借势,目前是顺利的,这绝不是一个好的信号。如果H.R.7521最终真的原封不动地被签署为法律,这标志着我国外交部常说的,美国已经完全将经贸问题国家安全化,这也标志着美国营商环境的彻底变化。我们相信,事情不会就这么朝着这个方向滑去。不会。
19.Source Code
构建软件程序的基础文本形式,它是软件开发阶段程序员编写的原始指令和逻辑表达,不仅包括可见的界面设计和功能实现,还包括了底层的、用户通常看不见的各种编程语言、通信协议和功能模块的定义,以及随着技术发展可能出现的新一代编程语言和通信协议。
第三章:司法审查
SEC. 3. JUDICIAL REVIEW.
围绕HR7251及其衍生的行政行为、决定或裁决的司法申诉路径和时效限制:
20.RIGHT OF ACTION
任何对本法案或根据本法案作出的任何行动、发现或决定提出的复审请愿书,只能向美国哥伦比亚特区巡回上诉法院提交。
21.EXCLUSIVE JURISDICTION
美国哥伦比亚特区巡回上诉法院对所有针对本法案及其依据本法案所作的任何行动、发现或决定的挑战拥有排他的管辖权。这意味着,除该法院外,其他法院不具备审理此类案件的资格。
22.STATUTE OF LIMITATIONS
对于针对本法案本身的挑战,须在法案颁布日之后165天之内提出诉讼;
对于针对根据本法案所作出的任何具体行政行动、发现或决定的挑战,必须在相关行动、发现或决定作出日之后不超过90天内提起诉讼。
作者:
顾登晨 《互联网法律评论》特约研究员
【免责声明】此文仅代表作者个人观点,与本平台无关。本平台对文中陈述、观点判断保持中立,不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。
