17 czerwca bieżącego roku BuzzFeed opublikował artykuł ujawniający dostęp pracowników chińskiej gałęzi TikToka do prywatnych danych obywateli Stanów Zjednoczonych. Informacja opiera się na wycieku danych z 80 wewnętrznych spotkań pracowniczych i oświadczeniach 9 osób pracujących dla TikToka.
TikTok is not just another video app.
That’s the sheep’s clothing.It harvests swaths of sensitive data that new reports show are being accessed in Beijing.
I’ve called on @Apple & @Google to remove TikTok from their app stores for its pattern of surreptitious data practices. pic.twitter.com/Le01fBpNjn
— Brendan Carr (@BrendanCarrFCC) June 28, 2022
W następstwie skandalu komisarz Federalnej Komisji ds. Komunikacji Stanów Zjednoczonych wystosował list, w którym nawołuje do usunięcia TikToka ze swoich app stores przez Apple i Google. O przyszłości TikToka, jego zaimplikowaniu w naruszenia prywatności swoich użytkowników i o tym, jakie informacje SentiOne pobiera z TikToka dowiesz się z niniejszego artykułu.
Chińscy pracownicy TikToka mają dostęp do danych obywateli USA
80 spotkań, 14 oświadczeń, 9 pracowników: screenshoty, nagrania i jeden prosty wniosek — chiński oddział TikToka ma dostęp do prywatnych danych użytkowników ze Stanów. Pomimo zapewnień przedstawicieli firmy w październiku 2021, że w TikToku funkcjonuje specjalny zespół ds. bezpieczeństwa danych, który dba o to, by dane, które powinny zostać na rynku lokalnym nie przekroczyły jego granic.
I w pewnym sensie TikTok nie kłamie — większość przecieków ze źródła dotyczy Projektu Texas. Celem projektu jest zapewnienie, aby dane dotyczące użytkowników ze Stanów były przechowywane na serwerach firmy Oracle, co jest przedmiotem dyskusji pomiędzy TikTokiem, Oracle i CFIUS (Committee on Foreign Investment in the United States, pl. Komisja ds. Zagranicznych Inwestycji w Stanach Zjednoczonych).
O jakie dokładnie dane chodzi — wszystko wskazuje na to, że to nadal kwestia, która jest dopracowywana. Z wewnętrznych nagrań wynika również, że Oracle będzie zapewniać jedynie serwery: danymi faktycznie zarządzać będzie TikTok.
Seria niefortunnych zdarzeń TikToka
To nie pierwszy raz, kiedy TikTok znalazł się w ogniu publicznej krytyki. Wątpliwości dotyczące bezpieczeństwa danych pozyskiwanych przez aplikację towarzyszą firmie od kiedy pojawiła się na rynku międzynarodowym jesienią 2017 roku.
Jeden ze skandali dotyczących zbierania danych od użytkowników przez TikToka opisywaliśmy dwa lata temu. W czerwcu 2020 użytkownicy Reddita używając reverse engineeringu odkryli, jakie dokładnie dane zbiera TikTok. Okazało się, że wszelkie możliwe: od kontaktów na naszych telefonach, przez listę pozostałych zainstalowanych aplikacji, model telefonu, którego używamy oraz dane sieci, przez które łączymy się z internetem.
Do. Not. Use. TikTok.
"@tiktok_us can circumvent security protections on @Apple and @Google app stores and uses device tracking that gives TikTok’s Beijing-based parent company ByteDance full access to user data." https://t.co/bQ4oHBGTk6
— Klon Kitchen (@klonkitchen) February 15, 2022
Politycy wypowiadający się o TikToku niejednokrotnie implikują również jego powiązania z rządem Chin — np. Carr w przytoczonym powyżej tweecie zdaje się intencjonalnie używać sformułowania “are being accessed in Beijing”.
O ile bezpośrednie powiązania firmy z rządem w Pekinie nie są jednak możliwe do udowodnienia, ryzyko wycieku danych jest realne. TikTok zbiera więcej informacji niż tylko te, których utajnienie ma na celu Projekt Teksas. Gdyby rząd Chin chciał wykupić te informacje, nie miałby z tym większego problemu — choć eksperci sugerują, że są inne źródła, z których wykupienie danych mogłoby okazać się bardziej opłacalne.
Ochrona danych osobowych: TikTok milczy
Today, a TikTok exec said it was “simply false” for me to say that they collect faceprints, browsing history, & keystroke patterns.
Except, I was quoting directly from TikTok’s own disclosures ⬇️
TikTok’s concerning pattern of misrepresentations about U.S. user data continues. https://t.co/mflMAC2yzZ pic.twitter.com/sJMqj4hwrg
— Brendan Carr (@BrendanCarrFCC) July 3, 2022
Tweet Carra mówi sam za siebie. Oficjalna polityka pozyskiwania danych osobowych TikToka jest… przejrzysta, ale niepokojąca.
TikTok w tym samym dniu, w którym BuzzFeed opublikował swój reportaż wypuścił oficjalne oświadczenie dotyczące zarządzania danymi osobowymi w Stanach Zjednoczonych. Nie dowiadujemy się z niego niczego nowego — TikTok do tej pory przechowywał dane osób ze Stanów na serwerach w Virginii i zapasowym serwerze w Singapurze.
Zgodnie z oświadczeniem cały ruch serwerowy w Stanach jest obecnie kierowany na serwery Oracle, zapasowe serwery w Singapurze nadal funkcjonują ale docelowo chmura Oracle ma być jedynym miejscem, gdzie dane użytkowników z US mają się znaleźć.
27 czerwca dziewięcioro republikańskich senatorów skierowało list do CEO TikToka, Shou Zi Chew, domagając się wyjaśnień odnośnie wielu kwestii, m.in. czy dane obywateli USA trafiają do pracowników ByteDance w Chinach, czy dane obywateli USA były przekazywane rządowi Chin oraz czy rząd ChRL ma udziały w ByteDance lub czy obsadza tam jakieś stanowiska.
W odpowiedzi, CEO TikToka zaprzecza, jakoby informacje z artykułu BuzzFeeda były prawdziwe, choć rzeczywiście niektórzy z pracowników TikToka w Chinach mają dostęp do danych obywateli USA. Ma to miejsce jedynie po przejściu zaostrzonej procedury bezpieczeństwa. Dane wykorzystywane do trenowania algorytmów TikToka mają pochodzić wyłącznie ze Stanów Zjednoczonych.
Tymczasem w Unii Europejskiej — nowe umowy z TikTokiem w związku z obawami o profilowanie osób małoletnich
#tech BIG report today by @ICCLtweet calling on the Irish Data Protection Commission —@Apple @fbnewsroom @Google @Microsoft @tiktok_us have European headquarters in Ireland– to stop failing its duty to enforce #GDPR. @johnnyryan lays it out nicely here🧵👇🏾 https://t.co/hekGnakNKy
— Karina Montoya (@pressgirlk) September 13, 2021
Po tym jak w zeszłym roku Holandia nałożyła na TikToka kary za naruszenia praw prywatności osób małoletnich, platforma wprowadziła nowe regulacje.
Porozumienie zostało osiągnięte po kilku niezależnych śledztwach, uruchomionych między innymi przez EU, Irlandię i Holandię. Efektem jest nowy pakiet regulacji dotyczący ochrony danych osobowych osób małoletnich. Reklamy mają być prostsze do zidentyfikowania przez użytkownika, zakupy dokonane przez aplikację możliwe do anulowania przez 14 dni, a opłacane usługi opisane i dostępne w walucie kraju użytkowania aplikacji.
BEUC, ciało, które wniosło skargę do UE, stoi na stanowisku, że nowe regulacje to krok w dobrą stronę — jednak uważają, że Unia powinna była podjąć bardziej stanowcze kroki.
Podmioty zainteresowane ochroną danych osób małoletnich pozostają sceptyczne wobec skuteczności przyjętych rozwiązań. Sprawie nie pomaga, że w sprawie wdrażania wytycznych UE TikTok współpracuje najbliżej z Irlandią — sam kraj jednak zdaje się blokować pełną implementację RODO.
Czy SentiOne ma dostęp do danych wrażliwych z TikToka?
Nie. Jesteśmy firmą z siedzibą w Unii Europejskiej. Stosujemy się do wytycznych RODO a dostęp do API platform, które monitorujemy jest poprzedzony weryfikacją zarówno zgodności z RODO, jak i wytycznymi poszczególnych platform.
Ponadto, zgodnie z umowami, w ramach których pozyskujemy dane, platformy społecznościowe nie mogą przekazywać nam wrażliwych danych osobowych swoich użytkowników. Informacje, które otrzymujemy są wysoce oczyszczone w celu dbania o prywatność użytkowników.
TikTok przekazuje nam następujące informacje:
- treści reklam należących do użytkowników SentiOne
- komentarze pod reklamami
- publiczne posty i komentarze
- profile dostępne publicznie
SentiOne nie uzyskuje i nie przetwarza żadnych wrażliwych danych użytkowników platform, które monitoruje.
Potencjalna blokada TikToka w Stanach — co by było gdyby?
To nie jest pierwszy raz kiedy pozycja TikToka w Stanach Zjednoczonych jest zagrożona.. Administracja Trumpa groziła platformie przejęciem przez lokalne podmioty, ostatecznie jednak rezolucja nigdy nie weszła w życie i ostatecznie została odrzucona przez rząd Bidena. Nie da się jednak zupełnie wykluczyć scenariusza, w którym TikTok zostaje zablokowany w na platformach Apple i Google w USA. Pozostaje więc pytanie: co wtedy?
TikTok to obecnie trzecia największa platforma społecznościowa na świecie. Odcięcie jej od jednego z jej największych rynków miałoby poważne konsekwencje. Firmy i influencerzy utrzymujący się z produkowania TikToków byliby zmuszeni do szukania innych dróg dotarcia do widowni. Migracja najprawdopodobniej nastąpiłaby w kierunku Instagram Reels oraz YouTube Shorts, które konkurują obecnie z formatem TikToka (choć niewykluczone, że powstałyby też alternatywne platformy).
Część dotychczasowych użytkowników najpewniej nadal korzystałaby z TikToka, pobierając go z innych źródeł niż oficjalne App Stores. Dla użytkowników Androida nie jest to żaden problem — w przypadku użytkowników iOS jest to jednak niemożliwe bez naruszenia gwarancji swojego urządzenia. W najbardziej ekstremalnym scenariuszu TikTok mógłby zostać zmuszony blokowania połączeń z adresów IP w Stanach Zjednoczonych, co prawdopodobnie zabiłoby platformę na tamtym rynku.
Z kolei dla firm, które reklamują swoje produkty na rynku USA za pomocą TikToka oznaczałoby opuszczenie tego rynku lub próbę wzbudzenia engagementu na inne sposoby. Bez TikToka z jednej strony powstałaby szansa na dywersyfikację rynku mediów społecznościowych z jednoczesnym zagrożeniem postępowania hegemonii Meta i Google.
Czas pokaże jakie decyzje podejmie administracja prezydenta Bidena i jak zakończą się śledztwa toczone w sprawie naruszenia prywatności osób małoletnich.
