- Z dokumentów uzyskanych przez Forbes wynika, że chiński zespół w firmie macierzystej TikTok, ByteDance, planował używać aplikacji TikTok do śledzenia lokalizacji wybranej grupy Amerykanów.
- Z dokumentów wynika jednak, że zespół audytu wewnętrznego planował również uzyskać od TikTok informacje o lokalizacji obywatela USA w co najmniej dwóch przypadkach, które nigdy nie pracowały dla firmy.
- Według książki „Brzydka prawda” z 2021 r. Facebook zastosował podobną taktykę, aby zidentyfikować źródła dziennikarzy.
- Nie jest jasne, jaką rolę zespół audytu wewnętrznego ByteDance odegra w wysiłkach TikTok mających na celu ograniczenie dostępu do danych użytkowników przez pracowników stacjonujących w Chinach, biorąc pod uwagę, że zespół zamierza używać aplikacji TikTok do śledzenia lokalizacji niektórych obywateli amerykańskich.
- Ponadto nagranie audio rozmowy ze stycznia 2022 r. pokazuje, że zespół z Pekinu już w tym czasie zbierał dalsze informacje dotyczące Projektu Texas.
Według dokumentów Forbes uzyskany, chiński zespół w firmie macierzystej TikTok, ByteDance, zamierzał wykorzystać aplikację TikTok do śledzenia lokalizacji niektórych konkretnych Amerykanów.
Dział Audytu Wewnętrznego i Kontroli Ryzyka ByteDance, który jest odpowiedzialny za inicjatywę monitorowania, jest prowadzony przez wykonawcę Song Ye z Pekinu i podlega współzałożycielowi i dyrektorowi generalnemu ByteDance, Rubo Liangowi. Wydaje się, że chińska firma nie ma obecnie dość skandalu. Niedawno omówiliśmy, w jaki sposób TikTok przyjmuje do 70% darowizn przekazywanych rodzinom syryjskim.
Czy ByteDance używał TikTok do śledzenia lokalizacji obywateli amerykańskich?
Głównym celem zespołu jest zbadanie domniemanych wykroczeń popełnionych przez obecnych i byłych pracowników ByteDance. Jednak akta ujawniają, że zespół audytu wewnętrznego zamierzał również uzyskać informacje TikTok dotyczące lokalizacji obywatela USA w co najmniej dwóch przypadkach, które nigdy nie pracowały dla firmy. Chociaż z dokumentów nie wiadomo, czy kiedykolwiek zebrano informacje o tych Amerykanach, pomysł polegał na tym, aby zespół ByteDance z Pekinu pozyskał informacje o lokalizacji z urządzeń amerykańskich użytkowników.
Według Maureen Shanahan, rzeczniczki TikTok, aplikacja wykorzystuje adresy IP użytkowników do zbierania przybliżonych danych o lokalizacji, aby między innymi „pomagać w wyświetlaniu użytkownikom odpowiednich treści i reklam, przestrzegać obowiązujących przepisów oraz wykrywać i zapobiegać oszustwom i nieautentyczne zachowanie”.
Jednak informacje, które zobaczył Forbes, wskazują, że zespół audytu wewnętrznego ByteDance zamierzał wykorzystać te dane lokalizacyjne do monitorowania konkretnych osób w Ameryce, a nie do kierowania reklam lub do jakichkolwiek innych celów. Aby zabezpieczyć źródła, Forbes nie określił rodzaju planowanego monitoringu ani powodów jego prowadzenia. Jeśli jacyś aktywiści, osobistości publiczne, dziennikarze lub członkowie rządu USA byli wyraźnie celem audytu wewnętrznego, nie zostali zidentyfikowani przez TikTok ani ByteDance.
Według doniesień, Komitet ds. Inwestycji Zagranicznych w Stanach Zjednoczonych (CFIUS) Departamentu Skarbu, który ocenia zagrożenia dla bezpieczeństwa narodowego, jakie stwarzają przedsiębiorstwa z zagraniczną własnością, jest bliski podpisania umowy z TikTok. NYT. CFIUS badał, czy chińska własność firmy może dać chińskiemu rządowi dostęp do danych osobowych amerykańskich użytkowników TikTok. (Pełne ujawnienie: wcześniej pracowałem dla Facebooka i Spotify na stanowiskach politycznych.)
jakiś rozkaz wykonawczy Nakreślenie szczególnych zagrożeń, które CFIUS powinien brać pod uwagę przy ocenie przedsiębiorstw z udziałem kapitału zagranicznego zostało podpisane przez prezydenta Bidena we wrześniu. Zamówienie koncentruje się w szczególności na potencjalnym wykorzystaniu danych przez firmy zagraniczne „do inwigilacji, śledzenia, śledzenia i namierzania osób lub grup osób, co może mieć potencjalnie negatywny wpływ na bezpieczeństwo narodowe”. Zarządzenie stwierdza, że zamierza „podkreślić ryzyko, jakie stwarza dostęp zagranicznych adwersarzy do danych osób ze Stanów Zjednoczonych”.
Regularne audyty i dochodzenia pracowników TikTok i ByteDance są przeprowadzane przez zespół audytu wewnętrznego i kontroli ryzyka w celu sprawdzenia naruszeń, takich jak konflikty interesów, niewłaściwe wykorzystanie zasobów korporacyjnych i ujawnienie danych wrażliwych. Według Forbesa, dyrektorzy wyższego szczebla, w tym dyrektor generalny TikTok Shou Zi Chew, poinstruowali zespół, aby przyjrzał się konkretnym pracownikom, a śledztwo kontynuowano nawet po tym, jak ci pracownicy odeszli z firmy.
Oprogramowanie do zarządzania wewnętrznym biurem ByteDance, zespół audytu wewnętrznego, wykorzystuje system żądania danych zwany „zielonym kanałem”, który jest znany pracownikom. Te dokumenty i zapisy pokazują, jak zapytania „zielonym kanałem” o dane dotyczące amerykańskiego personelu doprowadziły do odzyskania tych informacji z Chin kontynentalnych.
„Podobnie jak większość firm naszej wielkości, mamy funkcję audytu wewnętrznego odpowiedzialną za obiektywny audyt i ocenę firmy oraz przestrzegania przez naszych pracowników naszych kodeksów postępowania. Ten zespół przekazuje swoje zalecenia zespołowi kierowniczemu” – powiedziała rzeczniczka ByteDance Jennifer Banks.
ByteDance, lider branży oprogramowania, nie był pierwszym, który rozważał wdrożenie aplikacji do śledzenia niektórych amerykańskich konsumentów. Aplikacja Uber została dostarczona wielu lokalnym politykom i organom regulacyjnym w innej, zwodniczej formie, aby uniknąć kar regulacyjnych, zgodnie z 2017 r. New York Times artykuł. W tym czasie Uber przyznał się do korzystania z technologii „szara kula”, ale powiedział, że była ona używana między innymi do odrzucania wniosków o podróż od „przeciwników, którzy zmawiają się z urzędnikami w tajnych „użądleniach” mających na celu usidlenie kierowców.
Według doniesień zarówno Facebook, jak i Uber śledziły miejsce pobytu dziennikarzy korzystających z ich programów. Według 2015 dochodzenie przez Elektroniczne Centrum Informacji o Prywatności Uber prześledził miejsce pobytu dziennikarzy, którzy relacjonowali biznes. Uber nie odniósł się bezpośrednio do tego twierdzenia. Brzydka prawda, książka opublikowana w 2021 r., twierdzi, że Facebook stosował podobną praktykę w celu identyfikacji źródeł dziennikarzy. Chociaż rzecznik powiedział San Jose Mercury News w 2018 roku, z których Facebook „rutynowo używa”[s] dane biznesowe w dochodzeniach dotyczących zatrudnienia”, Facebook nie odniósł się konkretnie do twierdzeń zawartych w książce.
Jednak kluczowy aspekt odróżnia planowane przez ByteDance gromadzenie danych osobowych użytkowników od tych przypadków: W niedawnym liście do Kongresu TikTok stwierdził, że „ograniczony tylko do upoważnionego personelu, zgodnie z protokołami opracowywanymi z rządem USA” będzie miał dostęp do poufnych danych użytkowników z USA, w tym prawdopodobnie lokalizacji. Jeśli dyrektor ds. audytu wewnętrznego Song Ye lub inni członkowie oddziału są uważani za „upoważniony personel” dla celów tych protokołów, TikTok i ByteDance nie odpowiedziały na zapytania dotyczące tego.
Te zapewnienia są częścią ogromnego TikTok Projekt Teksas wysiłek, aby odbudować swoje systemy wewnętrzne, aby chińscy pracownicy nie mieli dostępu do różnych „chronionych” informacji identyfikujących użytkowników aplikacji TikTok w Stanach Zjednoczonych, takich jak ich numery telefonów, daty urodzin i wersje robocze filmów. To przedsięwzięcie ma kluczowe znaczenie dla rozmów firmy z CFIUS na temat bezpieczeństwa narodowego.
Vanessa Pappas, dyrektor operacyjny TikTok, stwierdzone na rozprawie w Senacie we wrześniu, że zbliżająca się umowa CFIUS „zaspokoi wszelkie obawy związane z bezpieczeństwem narodowym” w związku z aplikacją. Kilku senatorów wykazało jednak sceptycyzm. Po czerwcu Raport z wiadomości BuzzFeed ujawniając, że pracownicy ByteDance w Chinach wielokrotnie uzyskiwali dostęp do danych użytkowników z USA, senacka komisja ds. wywiadu wszczęła dochodzenie w sprawie tego, czy TikTok wprowadzał prawodawców w błąd, ukrywając informacje o dostępie do danych amerykańskich na początku tego roku pracownikom z Chin.
Firma stosuje metody, w tym szyfrowanie i „monitorowanie bezpieczeństwa”, aby zapewnić bezpieczeństwo danych, zatwierdzenie dostępu jest nadzorowane przez personel z USA, a pracownicy mają dostęp do danych z USA „w razie potrzeby”, zgodnie z oświadczeniem rzeczniczki TikTok, Shanahan.
Biorąc pod uwagę, że zespół zamierza wykorzystać aplikację TikTok do śledzenia lokalizacji niektórych mieszkańców Ameryki, nie jest jasne, jaką rolę zespół audytu wewnętrznego ByteDance odegra w wysiłkach TikTok mających na celu ograniczenie dostępu do danych użytkowników przez personel stacjonujący w Chinach. Jednak ocena ryzyka oszustwa przygotowana przez członka zespołu w drugiej połowie 2021 r. nasuwała pytania dotyczące przechowywania danych, stwierdzając, że w opinii pracowników odpowiedzialnych za dane firmy „nie można przechowywać danych, które nie powinny być przechowywane w CN przed zatrzymaniem na serwerach opartych na CN, nawet po tym, jak ByteDance stanie się głównym centrum przechowywania [sic] w Singapurze. [Lark data is saved in China.]”, donosi Forbes.
Co więcej, nagrana dyskusja audio ze stycznia 2022 r. ujawnia, że zespół z Pekinu już w tym czasie zbierał dalsze szczegóły dotyczące Projektu Texas. Członek amerykańskiego zespołu ds. zaufania i bezpieczeństwa TikTok opisał dziwną rozmowę ze swoim menedżerem podczas rozmowy: Chris Lepitak, główny audytor wewnętrzny TikTok, wezwał pracownika, aby po godzinach spotykał się w restauracji w okolicy LA.
Pracownik został następnie szczegółowo przesłuchany przez Lepitaka, który odpowiedział Song Ye w Pekinie, o lokalizację i specyfikę serwera Oracle, co ma zasadnicze znaczenie dla intencji TikTok, aby ograniczyć dostęp z zagranicy do poufnych danych użytkowników w Stanach Zjednoczonych. Pracownik przyznał swojemu przełożonemu, że interakcja go „przestraszyła”. Po skontaktowaniu się w sprawie tej wymiany ani TikTok, ani ByteDance nie udzielili odpowiedzi.
Podczas gdy TikTok korzysta obecnie z usług chmurowych Oracle, według Kena Gluecka, rzecznika Oracle, „nie mamy absolutnie żadnego wglądu w to, kto ma dostęp do danych użytkownika TikTok”. TikTok działa obecnie w chmurze Oracle, ale podobnie jak Bank of America, General Motors i milion innych klientów, mają pełną kontrolę nad wszystkim, co robią, powiedział.
Potwierdza to twierdzenie szefa ochrony danych TikTok w wycieku połączenia audio ze stycznia. „Nazywanie tego Oracle Cloud jest prawie nietrafne” – dodał dyrektor do kolegi podczas dyskusji. „Oni po prostu dają nam goły metal, a my budujemy nasze maszyny wirtualne [virtual machines] na górze tego.”
Glueck wyjaśnił, że jeśli i kiedy TikTok sfinalizuje umowę z rządem federalnym, ta sytuacja ulegnie zmianie. Dodał, że Oracle nie zapewnia TikTok niczego „innego niż nasze własne bezpieczeństwo”, chyba że i dopóki tak nie jest.
TikTok odmówił odpowiedzi na zapytania Forbesa dotyczące stanu rozmów biznesowych z CFIUS. Ale rzecznik TikTok, Brooke Oberwetter, powiedział Bloombergowi we wczesnym porannym oświadczeniu: „Jesteśmy przekonani, że jesteśmy na drodze do pełnego zaspokojenia wszystkich uzasadnionych obaw dotyczących bezpieczeństwa narodowego USA”.
Source: Rodzic TikTok, ByteDance, planował używać aplikacji do śledzenia osób w USA
