“如果数据是新时代的“石油”，那么谁能拥有油田的主权？

最近一个月，美国总统特朗普正式签署行政命令，以140亿美元的估价，将字节跳动旗下TikTok的美国业务收入囊中，结束了一场旷日持久的谈判僵局。而仅五个月前，欧洲爱尔兰监管机构再发5.3亿欧元罚单，剑指TikTok数据跨境传输违规。欧美市场的双重“围剿”，或标志着中国科技出海“野蛮生长时代”的终结。

陷入困境的不止TikTok。奥地利数据隐私倡议组织NOYB对微信、AliExpress、Shein、Temu和小米等一众中国企业提起数据传输不合规的诉讼。这不再是单个巨头的危机，而是一场围绕“数据新石油”的全面博弈。

困局之下，中国企业该如何保存实力，突出重围？

欧洲板块：

在GDPR铁幕下的法律与技术鏖战

2018年生效的欧盟《通用数据保护条例》（GDPR）为全球数据保护树立了严苛标尺。在此背景下，TikTok收到的5.3亿欧元罚单，其意义远超金额本身——它质疑了中国出海企业对数据的远程把控模式。

值得注意的是，TikTok并非唯一受到重罚的平台。此前，Meta旗下WhatsApp因数据管理不透明被爱尔兰罚款2.25亿欧元，Facebook也因未经用户同意将数据用于广告推送而被处以3.9亿欧元。而TikTok的罚金规模超过两者，相比于之前对数据使用许可和知情的相关罚款，这凸显出数据传输规范正成为欧盟监管的新焦点。

爱尔兰数据保护委员会（DPC）提出两项核心指控：

☆将欧洲用户数据违规传输至中国；

☆未向用户充分披露其数据可能被中国、巴西、马来西亚等地的工程师远程访问。

其中，第二点尤为关键，因为实现远程访问的监管和透明化较有难度，尤其是访问数据的主体国家无法获得信任时。TikTok回应称从未收到任何中国政府索要数据的要求，但DPC的核心逻辑是：一旦数据在技术上能够被位于中国司法管辖区的人员访问，就意味着数据落入了中国《国家情报法》、《数据安全法》等法律的管辖范围，存在被政府调用的潜在风险。这并非否定技术可行性，而是对司法管辖权延伸的深度不信任。

破局之道与“范式”的缺失

那么其他科技巨头是怎样应对处罚的呢？Meta曾因跨大西洋数据传输不规范被罚12亿欧元，但六个月后，由美国的国际贸易部门ITA牵头搭建的《欧美数据隐私框架》（DPF）达成，为美国企业开辟了一条合规坦途。而Meta也顺理成章的按新框架修改升级，借力获得欧盟的认可。

简单来说，《欧美数据隐私框架》给参与协议的公司打造了一个数据传输的绿道。只要美国公司通过ITA的自我认证程序，并公开承诺遵守DPF原则，就可以在框架内自由地跨国传输数据。这个框架加强了欧盟和美国在数据保护方面的信任，并且从企业层面，减少了点对点之间的合规保障成本，并且也降低了因不合规而产生的成本，欧洲消费者会更加放心使用产品。

国家层面的数据协议如同为两国企业搭建了一条合规“高速公路”。以《欧美数据隐私框架》为例，它特别强调盯紧企业，并允许用户“用法律维权”。为此，它设置了两道安全锁：第一道，由美国内特勤局确保美国情报机构不越界；第二道，则是一个独立的跨境法庭，用户可以直接向它申诉，它能命令企业彻底删除问题数据。

那么中欧之间有没有达成的数据传输协定呢？

我们先看欧盟的数据传输机制包括三种路径：

☆充分性认定：若目标国家的数据保护水平被欧盟认定为足够高，数据传输可自由进行；比如《欧美数据隐私框架》。

☆适当的保障措施：包括有约束力的公司规则、经欧盟批准的标准数据保护条款等；

☆特定情形下的一些豁免。

可惜的是，中欧目前没有普遍适用的数据传输框架，因此中国企业目前无法获得这种顶层设计的“信任豁免”，只能依赖标准合同条款（SCCs）和约束性企业规则（BCRs）等工具在个案中艰难争取。

在这个过程中，企业往往会消耗掉更多时间和金钱，但也未必可以符合标准。

TikTok自2021年被质疑数据安全后就已经开始行动，并在2023年发起“三叶草计划”，目的就是要让欧洲地区的数据储存本地化，并且花大手笔在爱尔兰、芬兰等地建立数据中心。但其成败关键在于欧盟怎样认定“数据不出境，但工程师可远程访问”的混合模式。当前TikTok针对爱尔兰的处罚正在上诉，而上诉结果或是这一模式生死存亡的关键一役。

美国板块：

在“国家安全”叙事下的谈判僵局

与欧洲的法律战相比，TikTok在美国的遭遇堪称一场降维打击。2025年初，悬在TikTok头顶数年的“达摩克利斯之剑”终于落下：最高法院维持了《保护美国人免受外国对手控制应用程序侵害法》下对TikTok处置的决定，字节跳动面临TikTok”非禁即售“的局面。《保护美国人免受外国对手控制应用程序侵害法》几乎获国会一致通过，其两大要件——“外国对手控制”与“总统认定的国家安全威胁”——将问题进一步政治化。

该法案明确定义受影响的实体是：

☆“外国对手控制的公司”：指由外国竞争对手运营、允许用户生成、共享和查看内容，且月活跃用户超100万的应用程序，除非通过总统认定的“合法资产剥离”程序证明其不受外国对手控制；

☆总统有权认定公司业务是否对国家安全构成威胁。

简言之，只要美国总统认定某公司业务威胁国家安全，且该公司由竞争对手控制、用户规模超百万，即可被纳入“非售即禁”的漩涡。

TikTok为赢得国会信任都做了什么呢？早在2022年，其实TikTok就已经开始策划“德克萨斯计划”（Project Texas），其旨在将美国用户数据全面托管于甲骨文公司，试图从技术上满足数据隐私保护要求。TikTok还在美国和全球开设了五个数据本地储存中心，并成立数据透明中心，跟第三方机构合作，监控数据传输渠道。然而，《华尔街日报》评论称，其美国总裁周受资“始终没搞清楚华盛顿的想法”。华盛顿的担忧远不止于数据隐私，更深层次的是：

☆算法影响力：TikTok强大的推荐算法被视为塑造公众舆论、干预政治进程的战略武器；

☆战略竞争：在大数据和人工智能成为国家竞争核心的当下，一个拥有1.5亿美国用户、由中国公司控制的平台，本身就被视为国家安全威胁。

TikTok在美国的影响力究竟有多大？皮尤研究中心数据显示，超过三分之一的美国成年人和一半以上的青少年都是其用户。前总统拜登在此开设账号，副总统哈里斯更是凭借英国歌手Charli XCX 掀起的“Brat”狂热，靠近其塑造的新颖女性形象，开发新的宣传策略，狂揽1590万媒体影响力估值，精准俘获年轻女性选民。

来源：TikTok

来源：美国皮尤研究中心

当一个平台能轻易制造潮流、影响选情时，它在美国就具备了政治分量。而当这个平台流淌着“中国血液”，它在华盛顿眼中便从商业明星转变为战略威胁。正如智库New America高级研究员萨姆·萨克斯所言：“当TikTok成为众矢之的时，每个人都心知肚明，它只是第一个。”

拼多多旗下的跨境电商品牌Temu已感受到同等压力。该平台以超低价风靡美国市场，在2025年狂揽美国零售市场份额的17%。但近段时间来，被美国多州指控违反数据保护条例，将数据传输至中国政府，尽管Temu正效仿TikTok与甲骨文合作推进数据本土化，试图争取国会信任，但其未来依然不明朗。

因此，无论TikTok在数据管理上做出多少技术让步，其“中国血统”所带来的疑虑难以抹去。该法案为所有达到一定规模的中国应用布下陷阱：只要地缘政治博弈需要，“技术合规”就无法化解“政治不正确”的风险。

出海企业的自救：

实时评估风险等级，前瞻性构建信任

在艰难的大环境里，各中国出海企业都更加重视数据合规的提前部署。

☆小米自2018年GDPR生效起，就持续接受总部位于旧金山的隐私合规公司TrustArc的年度审计。早在2014年，小米就已成立隐私委员会，与这一第三方独立机构展开合作，系统性推进隐私保障体系建设。

☆阿里云自2016年进入欧洲市场以来，始终将合规作为核心战略。在GDPR于2018年正式实施时，阿里云积极响应政策要求，最终成功通过欧盟云行为准则（EU Cloud Code of Conduct）及独立监督机构SCOPE Europe的合规认证。

☆腾讯云也早在德国法兰克福、新加坡等地建设数据中心，支持欧盟用户数据本地化存储，并持续在全球范围扩展本地数据中心网络，以灵活适应不同地区的监管要求。

面对严苛的数据合规监管，小米前副总裁崔宝秋说：“企业只有三种选择，要么退出欧洲市场；要么努力合规；还有一种就是承担被罚款的风险。我想最后一个选项不是任何一家负责任的公司愿意选择的，所以真正的选择就只有前两个。“

数据合规是一场没有终点的动态博弈。中国企业若想持续留在牌桌，就必须让自身的数据管理体系保持持续进化——即便身份的复杂性可能带来无法预判的挑战。

从“合规”到“治理”的双重进化

《华盛顿邮报》曾经在2020年与一位研究员合作，深入研究了 TikTok 的内部机制，得出结论：该应用收集的数据并不比典型的主流社交网络平台更多。加拿大多伦多大学公民实验室的报告也曾为TikTok提供一定的“清白”认证：其数据管理并无重大过错，与主流社交媒体水平相当。

但这恰恰点破了TikTok困局的本质：它并非因为做得太差，而是因为身份特殊，且影响力太大。

但不是所有企业都会成为TikTok，也并非所有企业都有TikTok身后的复杂性和影响力。除了对当下境况保持警惕外，企业仍然可以提前部署和准备，来尽可能规避TikTok的困境。这需要两条战线并驾齐驱：

法律合规线——基本功。企业必须：

☆理清数据图谱：精确掌握跨境与内部不同实体之间的数据流；

☆灵活运用工具：善用SCCs、BCRs等法律机制；并针对各自行业，密切关注最新合作协议，例如近来智能汽车行业达成的《中德数据跨境合作备忘录》等新型合作框架；

☆动态持续改进：建立常态化的数据保护生态，而非一次性项目。

政治风险线——生存线。企业应：

☆重塑治理结构：通过设立独立董事会、建立完全隔离的海外实体等，实现深度“本土化”；

☆探索技术透明：在可能范围内增加算法等核心技术的透明度，削弱“黑箱”指控；

☆构建信任叙事：长期、主动地与监管机构和公众沟通，塑造“负责任的数据管家”形象。例如阿里云的长远部署。早在2015年7月，首家发起《数据保护倡议》，将“不碰客户数据”写入正式文本，并被同行认可跟进，比GDRP先行一步管理客户信任基础。

在人工智能加速数据价值释放的今天，数据主权已成为国家竞争的新疆域。对于想要出海的中国企业而言，下好这盘博弈的棋局不仅需要精通法律条文，更要深刻理解并主动管理业务所承载的地缘政治重量。竞争与合作并存，未来是否会出现更精细化的全球数据治理规则，我们拭目以待。但在此之前，“合规”与“治理”的双重进化，无疑是出海企业生存的基本准则。

来源：数据猿