Uit gelekte audio van 80 interne TikTok-bijeenkomsten blijkt dat Amerikaanse gebruikersgegevens herhaaldelijk zijn opgevraagd vanuit China
Indignatie redactie
11 min. lezen
“Ik heb het gevoel dat er met deze tools een achterdeur is om toegang te krijgen tot gebruikersgegevens in bijna allemaal”, zei een externe auditor die was ingehuurd om TikTok te helpen Chinese toegang tot gevoelige informatie, zoals verjaardagen en telefoonnummers van Amerikanen, af te sluiten.
TikTok reageert al jaren op zorgen over gegevensprivacy door te beloven dat informatie die over gebruikers in de Verenigde Staten wordt verzameld, wordt opgeslagen in de Verenigde Staten, in plaats van in China, waar ByteDance, het moederbedrijf van het videoplatform, is gevestigd. Maar volgens gelekte audio van meer dan 80 interne TikTok-bijeenkomsten, hebben in China gevestigde medewerkers van ByteDance herhaaldelijk toegang gehad tot niet-openbare gegevens over Amerikaanse TikTok-gebruikers – precies het soort gedrag dat voormalig president Donald Trump inspireerde om te dreigen de app in de Verenigde Staten te verbieden. .
De opnames, die zijn beoordeeld door BuzzFeed News, bevatten 14 verklaringen van negen verschillende TikTok-medewerkers die aangeven dat ingenieurs in China op zijn minst tussen september 2021 en januari 2022 toegang hadden tot Amerikaanse gegevens. Ondanks de beëdigde getuigenis van een TikTok-manager tijdens een hoorzitting van de Senaat in oktober 2021 dat een “wereldberoemd, in de VS gevestigd beveiligingsteam” beslist wie toegang krijgt tot deze gegevens, beschrijven negen verklaringen van acht verschillende werknemers situaties waarin Amerikaanse werknemers zich tot hun collega’s moesten wenden in China om te bepalen hoe Amerikaanse gebruikersgegevens stroomden. Volgens de banden hadden Amerikaanse medewerkers geen toestemming of kennis om zelf toegang te krijgen tot de gegevens.
“Alles wordt gezien in China”, zei een lid van de afdeling Vertrouwen en Veiligheid van TikTok tijdens een bijeenkomst in september 2021. Tijdens een andere vergadering in september verwees een directeur naar een in Peking gevestigde ingenieur als een “Master Admin” die “toegang heeft tot alles”. (Terwijl veel werknemers zichzelf in de opnames met naam en titel voorstelden, noemt BuzzFeed News niemand om hun privacy te beschermen.)
De opnames variëren van kleine groepsbijeenkomsten met bedrijfsleiders en consultants tot beleidspresentaties met alle handen en worden bevestigd door screenshots en andere documenten, die een enorme hoeveelheid bewijs leveren om eerdere rapporten te bevestigen van in China gevestigde werknemers die toegang hebben tot Amerikaanse gebruikersgegevens. Hun inhoud laat zien dat er veel vaker en recenter toegang tot gegevens is verkregen dan eerder werd gemeld, en schetst een rijk beeld van de uitdagingen waarmee ’s werelds populairste sociale-media-app te maken heeft gehad bij een poging om zijn Amerikaanse activiteiten los te koppelen van die van zijn moederbedrijf in Beijing. Uiteindelijk suggereren de tapes dat het bedrijf mogelijk wetgevers, gebruikers en het publiek heeft misleid door te bagatelliseren dat in de VS opgeslagen gegevens nog steeds toegankelijk zijn voor werknemers in China.
In reactie op een uitputtende lijst met voorbeelden en vragen over gegevenstoegang, reageerde TikTok-woordvoerder Maureen Shanahan met een korte verklaring: “We weten dat we een van de meest onderzochte platforms zijn vanuit beveiligingsoogpunt, en we streven ernaar om elke twijfel over de beveiliging weg te nemen. van Amerikaanse gebruikersgegevens. Daarom huren we experts in hun vakgebied in, werken we voortdurend aan het valideren van onze beveiligingsnormen en schakelen we gerenommeerde, onafhankelijke derde partijen in om onze verdediging te testen.’ ByteDance heeft geen aanvullend commentaar gegeven.
In 2019 begon de Commissie buitenlandse investeringen in de Verenigde Staten met het onderzoeken van de gevolgen voor de nationale veiligheid van TikTok’s verzameling Amerikaanse gegevens. En in 2020 dreigde de toenmalige president Donald Trump de app volledig te verbieden uit bezorgdheid dat de Chinese regering ByteDance zou kunnen gebruiken om dossiers met persoonlijke informatie over Amerikaanse TikTok-gebruikers te verzamelen. De “gegevensverzameling van TikTok dreigt de Chinese Communistische Partij toegang te geven tot de persoonlijke en bedrijfseigen informatie van Amerikanen”, schreef Trump in zijn uitvoerend bevel . TikTok heeft gezegd dat het nooit gebruikersgegevens heeft gedeeld met de Chinese overheid en dat ook niet zal doen als daarom wordt gevraagd.
De meeste opgenomen vergaderingen richten zich op de reactie van TikTok op deze zorgen. Het bedrijf probeert momenteel zijn leidingen om te leiden zodat bepaalde “beschermde” gegevens niet langer uit de Verenigde Staten naar China kunnen stromen, een inspanning die intern bekend staat als Project Texas . In de opnames stond de overgrote meerderheid van de situaties waarin in China gevestigd personeel toegang had tot Amerikaanse gebruikersgegevens in dienst van het doel van Project Texas om deze gegevenstoegang een halt toe te roepen.
Project Texas is de sleutel tot een contract waarover TikTok momenteel onderhandelt met cloudserviceprovider Oracle en CFIUS. Volgens de CFIUS-overeenkomst zou TikTok de beschermde privé-informatie van Amerikaanse gebruikers, zoals telefoonnummers en verjaardagen, exclusief bewaren in een datacenter dat wordt beheerd door Oracle in Texas (vandaar de projectnaam). Deze gegevens zouden alleen toegankelijk zijn voor specifieke in de VS gevestigde TikTok-medewerkers. Over welke gegevens als “beschermd” gelden, wordt nog onderhandeld, maar de opnames geven aan dat alle openbare gegevens, inclusief de openbare profielen van gebruikers en alles wat ze posten, niet zullen worden opgenomen. (Openbaarmaking: in een vorig leven bekleedde ik beleidsfuncties bij Facebook en Spotify.) Oracle reageerde niet op een verzoek om commentaar. CFIUS weigerde commentaar te geven.
Kort voor de publicatie van dit verhaal publiceerde TikTok een blogpost waarin werd aangekondigd dat het de “standaard opslaglocatie van Amerikaanse gebruikersgegevens” heeft gewijzigd en dat vandaag “100% van het Amerikaanse gebruikersverkeer wordt omgeleid naar Oracle Cloud Infrastructure. We gebruiken nog steeds onze datacenters in de VS en Singapore voor back-up, maar naarmate we ons werk voortzetten, verwachten we de privégegevens van Amerikaanse gebruikers uit onze eigen datacenters te verwijderen en volledig over te schakelen naar Oracle-cloudservers in de VS.”
De angst van wetgevers dat de Chinese regering via ByteDance Amerikaanse gegevens in handen zal krijgen, is geworteld in de realiteit dat Chinese bedrijven onderworpen zijn aan de grillen van de autoritaire Chinese Communistische Partij, die haar eigen technologiegiganten de afgelopen het laatste jaar. Het risico is dat de overheid ByteDance zou kunnen dwingen informatie te verzamelen en over te dragen als een vorm van ” gegevensspionage “.
Er is echter nog een andere zorg: dat de zachte kracht van de Chinese regering van invloed kan zijn op de manier waarop ByteDance-managers hun Amerikaanse tegenhangers instrueren om de hefbomen van TikTok’s krachtige “For You” -algoritme aan te passen , dat video’s aanbeveelt aan zijn meer dan 1 miljard gebruikers. Senator Ted Cruz noemde TikTok bijvoorbeeld “een Trojaans paard dat de Chinese Communistische Partij kan gebruiken om te beïnvloeden wat Amerikanen zien, horen en uiteindelijk denken.”
De enge focus van Project Texas op de beveiliging van een specifiek deel van de Amerikaanse gebruikersgegevens, waarvan de Chinese overheid een groot deel eenvoudig van datamakelaars zou kunnen kopen als ze dat wenst , gaat niet in op de vrees dat China via ByteDance TikTok zou kunnen gebruiken om de Amerikanen te beïnvloeden. commercieel, cultureel of politiek gedrag.
TikTok heeft in blogposts en openbare verklaringen gezegd dat het alle gegevens over zijn Amerikaanse gebruikers fysiek opslaat in de VS, met back-ups in Singapore. Dit vermindert weliswaar enkele risico’s – het bedrijf zegt dat deze gegevens niet onder de Chinese wet vallen – maar het lost niet op dat in China gevestigde werknemers toegang hebben tot de gegevens, zeggen experts.
“Fysieke locatie maakt niet uit als de gegevens nog steeds toegankelijk zijn vanuit China”, vertelde Adam Segal, directeur van het Digital and Cyberspace Policy Program bij de Council on Foreign Relations, aan BuzzFeed News in een e-mail. Hij zei dat de “zorg zou zijn dat gegevens nog steeds in de handen van de Chinese inlichtingendienst zouden belanden als mensen in China er nog steeds toegang toe zouden hebben.”
TikTok erkende zelf zijn toegangsprobleem in een blogpost uit 2020 . “Ons doel is om de toegang tot gegevens tussen regio’s te minimaliseren, zodat bijvoorbeeld werknemers in de APAC-regio, inclusief China, zeer minimale toegang hebben tot gebruikersgegevens uit de EU en de VS”, schreef Roland Cloutier, Chief Information Security Officer van TikTok.
Project Texas, eenmaal voltooid, zou deze maas in de wet voor een beperkte hoeveelheid gegevens moeten dichten. Maar veel van de audio-opnamen onthullen de uitdagingen waarmee werknemers te maken hebben gehad bij het vinden en sluiten van de kanalen waardoor gegevens van de VS naar China kunnen stromen.
Veertien van de gelekte opnames bevatten gesprekken met of over een team van consultants van Booz Allen Hamilton. Een van de consultants vertelde TikTok-medewerkers dat ze in februari 2021 waren aangenomen om de datamigratie van Project Texas te helpen beheren, en een TikTok-directeur vertelde andere TikTok-medewerkers dat de consultants rapporteerden aan TikTok’s hoofd van de Amerikaanse gegevensbescherming. In opnames onderzoeken de consultants hoe gegevens door de interne tools van TikTok en ByteDance stromen, waaronder tools die worden gebruikt voor datavisualisatie, contentmoderatie en het genereren van inkomsten.
In september 2021 zei een consultant tegen collega’s: “Ik heb het gevoel dat er bij deze tools een achterdeur is om toegang te krijgen tot gebruikersgegevens in bijna allemaal, wat vermoeiend is.”
Toen hem om commentaar werd gevraagd, zei de woordvoerder van Booz Allen Hamilton, Jessica Klenk, dat iets over de bovenstaande informatie onjuist was, maar weigerde te specificeren wat het was. “[A]t dit punt ben ik niet in een positie om onze relatie met een klant verder te bespreken of zelfs maar te bevestigen/ontkennen. Maar ik kan je vertellen dat wat je hier beweert onjuist is.”
Daarnaast bevatten vier van de opnames gesprekken waarin medewerkers die verantwoordelijk zijn voor bepaalde interne tools niet konden achterhalen wat delen van die tools deden. Tijdens een bijeenkomst in november 2021 legde een datawetenschapper uit dat voor veel tools “niemand echt een how-to heeft gedocumenteerd. En er zijn items in de tools waarvan niemand weet waar ze voor dienen.”
De complexiteit van de interne systemen van het bedrijf en hoe ze ervoor zorgen dat gegevens tussen de VS en China kunnen stromen, onderstreept de uitdagingen waarmee het technische serviceteam van de Verenigde Staten wordt geconfronteerd, een nieuw toegewijd technisch team TikTok is begonnen met het inhuren als onderdeel van Project Texas.
Om de onafhankelijkheid van het USTS-team van het Chinese bedrijf ByteDance te demonstreren, vertelde een teamlid in januari aan een collega dat “niet iedereen lid kan worden” van het team. “Chinese staatsburgers mogen eigenlijk niet meedoen”, zei hij. (Een voormalig medewerker die met BuzzFeed News sprak op voorwaarde van anonimiteit uit angst voor vergelding, bevestigde dit account.) Toen hem werd gevraagd om commentaar op deze praktijk, reageerde TikTok niet.
Maar hoewel het mandaat van dit team is om de toegang tot gevoelige Amerikaanse gegevens te controleren en te beheren, rapporteert het USTS-team aan de leiding van ByteDance in China, zoals BuzzFeed News in maart meldde . Tijdens een opgenomen vergadering in januari 2022 zei een datawetenschapper tegen een collega: “Ik krijg mijn instructies van het hoofdkantoor in Beijing.”
Het doel van TikTok voor Project Texas is dat alle gegevens die op de Oracle-server zijn opgeslagen, veilig zijn en niet toegankelijk zijn vanuit China of elders wereldwijd. Volgens zeven opnames tussen september 2021 en januari 2022 verduidelijkt de advocaat die de onderhandelingen van TikTok met CFIUS en anderen leidt, echter dat dit alleen gegevens omvat die niet openbaar beschikbaar zijn in de app, zoals inhoud in conceptvorm, ingesteld op privé of informatie zoals telefoonnummers en verjaardagen van gebruikers die worden verzameld maar niet zichtbaar zijn op hun profielen. Een consultant van Booz Allen Hamilton vertelde collega’s in september 2021 dat wat precies zal tellen als “beschermde gegevens” die op de Oracle-server zullen worden opgeslagen, “nog steeds wordt gladgestreken vanuit juridisch perspectief”.
Tijdens een opgenomen vergadering in januari 2022 kondigde het hoofd product- en gebruikersactiviteiten van het bedrijf lachend aan dat unieke ID’s (UID’s) niet als beschermde informatie zullen worden beschouwd onder de CFIUS-overeenkomst: “Het gesprek blijft evolueren”, zeiden ze. “We hebben onlangs ontdekt dat UID’s dingen zijn waartoe we toegang kunnen hebben, wat het spel een beetje verandert.”
Wat de product- en gebruikersbedieningskop in deze omstandigheid bedoelde met “UID” is niet duidelijk – het zou kunnen verwijzen naar een identificatie voor een specifiek TikTok-account of voor een apparaat. Apparaat-UID’s worden meestal gebruikt door advertentietechnologiebedrijven zoals Google en Facebook om uw gedrag tussen apps te koppelen, waardoor ze bijna net zo belangrijk zijn als een identificatiemiddel als uw naam.
Terwijl TikTok blijft onderhandelen over welke gegevens als beschermd worden beschouwd, maken de opnames duidelijk dat veel Amerikaanse gebruikersgegevens – inclusief openbare video’s, biografieën en opmerkingen – niet exclusief op de Oracle-server zullen worden opgeslagen. In plaats daarvan worden deze gegevens opgeslagen in het datacenter van het bedrijf in Virginia, dat mogelijk toegankelijk blijft vanuit de kantoren van ByteDance in Beijing, zelfs als Project Texas is voltooid. Dat betekent dat de in China gevestigde werknemers van ByteDance toegang kunnen blijven houden tot inzichten over waar Amerikaanse TikTok-gebruikers in geïnteresseerd zijn, van kattenvideo’s tot politieke overtuigingen.
Het lijkt er ook op dat Oracle TikTok aanzienlijke flexibiliteit geeft in de manier waarop zijn datacenter zal worden beheerd. In een opgenomen gesprek van eind januari maakte TikTok’s hoofd van wereldwijde cyber- en datadefensie duidelijk dat hoewel Oracle de fysieke gegevensopslagruimte voor Project Texas zou leveren, TikTok de softwarelaag zou beheersen: “Het is bijna onjuist om het Oracle Cloud te noemen, omdat ze ons gewoon bare metal geven, en dan bouwen we onze VM’s [virtuele machines] er bovenop.” Oracle reageerde niet op een verzoek om commentaar.
Ondertussen hoopt de nationale veiligheidsadvocaat van TikTok dat de onderhandelingen rimpeleffecten zullen hebben in de technische industrie en daarbuiten. “Er komt een nationale veiligheidswet die afkomstig is van het ministerie van Handel”, zeiden ze, verwijzend naar de ontwikkeling door de Biden-administratie van voorschriften voor apps die kunnen worden uitgebuit “door buitenlandse tegenstanders om gegevens te stelen of anderszins te verkrijgen.”
“De wet zal waarschijnlijk in de komende 18 maanden worden afgekondigd en gecodificeerd, zou ik zeggen – en zo zal elk Chinees bedrijf in de VS kunnen opereren”, zei de advocaat.
De inspanningen van TikTok met Project Texas kunnen uiteindelijk vruchten afwerpen voor het bedrijf. Volgens Graham Webster, een onderzoeker bij Stanford’s Cyber Policy Center, als TikTok zich ertoe verbindt “transparant en zeer integer te zijn, en in China gevestigde werknemers geen toegang hebben tot gebruikersgegevens”, dan “vanuit het oogpunt van gegevensbeveiliging, het zou mogelijk moeten zijn om te goeder trouw sceptici ervan te overtuigen dat ze genoeg hebben gedaan.
“De vraag is of het bedrijf ver genoeg zal gaan en of sceptische autoriteiten werkelijk bereid zijn zich te laten overtuigen”, zegt hij tegen BuzzFeed News.
De details van de overeenkomst tussen CFIUS, TikTok en Oracle waren nog in discussie vanaf januari 2022, wanneer de opnames eindigen. Maar hoewel het doel van Project Texas is om de toegang tot de meest gevoelige details over Amerikanen die op TikTok-servers staan, af te sluiten, had een beleidsmedewerker twijfels of dit de werknemers van ByteDance in China daadwerkelijk zou beletten toegang te krijgen tot deze gegevens.
“Het valt nog te bezien of product en engineering er op een gegeven moment nog steeds achter kunnen komen hoe ze toegang kunnen krijgen, want uiteindelijk zijn het hun tools”, zeiden ze tijdens een bijeenkomst in september 2021. “Ze hebben ze allemaal in China gebouwd.”
