2021 年 8 月,TikTok 收到了一位英國用戶的投訴,該用戶稱一名男子在她在該視頻應用程序上主持的直播中“暴露自己並玩弄自己”。 她還描述了她過去遭受的虐待。
《紐約時報》獲得的公司文件顯示,為了處理投訴,TikTok 員工在名為 Lark 的內部消息和協作工具上分享了這一事件。 該英國女性的個人數據——包括她的照片、居住國家/地區、互聯網協議地址、設備和用戶 ID——也被發佈在該平台上,該平台類似於 Slack 和 Microsoft Teams。
她的信息只是 Lark 上共享的一份 TikTok 用戶數據,該應用程序的中國所有者字節跳動的數千名員工每天都在使用這些數據,其中包括在中國的員工。 根據時報獲得的文件,該平台還可以訪問美國用戶的駕照,以及一些用戶的潛在非法內容,例如兒童性虐待材料。 在許多情況下,這些信息可以在擁有數千名成員的 Lark“群組”——本質上是員工的聊天室——中獲得。
據內部報告以及四名現任和前任員工稱,Lark 上大量的用戶數據令一些 TikTok 員工感到震驚,尤其是因為字節跳動在中國和其他地方的員工很容易看到這些材料。 根據文件以及現任和前任員工的說法,至少從 2021 年 7 月開始,幾名安全員工就與該平台相關的風險向字節跳動和 TikTok 高管發出警告。
一位 TikTok 員工去年 7 月在一份內部報告中問道,“北京員工是否應該擁有包含用戶秘密”數據的群組。
Lark 上的用戶資料對 TikTok 的數據和隱私做法提出了質疑,並表明它與字節跳動的關係是如何交織在一起的,就像視頻應用程序因其潛在的安全風險和與中國的關係而面臨越來越多的審查一樣。 上週,蒙大拿州州長簽署了一項法案,從 1 月 1 日起在該州禁止使用 TikTok。大學、政府機構和軍方也禁止使用該應用程序。
多年來,TikTok 一直承受著封鎖其美國業務的壓力,因為擔心它可能會向中國當局提供美國用戶的數據。 為了繼續在美國運營,TikTok 去年向拜登政府提交了一份名為“德克薩斯計劃”的計劃,闡述瞭如何將美國用戶信息存儲在國內,並隔離字節跳動和 TikTok 員工在美國境外的數據。
TikTok 淡化了其在中國的員工對美國用戶數據的訪問權限。 在 3 月份的國會聽證會上,TikTok 的首席執行官周壽表示,這些數據主要被中國的工程師用於“商業目的”,該公司有“嚴格的數據訪問協議”來保護用戶。 他說,工程師可用的大部分用戶信息已經公開。
Lark 的內部報告和通信似乎與 Chew 先生的陳述相矛盾。 四名現任和前任員工表示,截至去年底,來自 TikTok 的 Lark 數據也存儲在中國的服務器上。
《紐約時報》看到的文件包括 2019 年至 2022 年的數十份報告截圖、聊天消息和員工對 Lark 的評論,以及內部通訊的視頻和音頻。
TikTok 發言人亞歷克斯·豪雷克 (Alex Haurek) 稱時報看到的文件“過時”,並否認它們與周先生的聲明相矛盾。 他說,他們沒有準確描述“我們如何處理受保護的美國用戶數據,也沒有描述我們在德克薩斯項目下取得的進展。”
他補充說,TikTok 正在刪除它在 2022 年 6 月之前收集的美國用戶數據,當時它改變了處理美國用戶信息的方式,並開始將該數據發送到第三方擁有的美國服務器,而不是那些擁有的服務器通過 TikTok 或字節跳動。
該公司沒有回應有關 Lark 數據是否存儲在中國的問題。 它拒絕回答有關中國員工參與在 Lark 群組中創建和共享 TikTok 用戶數據的問題,但表示許多聊天室“在審查內部問題後於去年關閉”。
斯坦福大學互聯網觀察站主任、Facebook 前首席信息安全官亞歷克斯·斯塔莫斯 (Alex Stamos) 表示,保護整個組織的用戶數據是社交媒體公司安全團隊“最困難的技術項目”。 他補充說,TikTok 的問題因字節跳動的所有權而變得更加複雜。
“Lark 向你展示了所有後端流程都由 ByteDance 監督,”他說。 “TikTok 是字節跳動的一層薄薄的外表。”
字節跳動於 2017 年推出了 Lark。該工具有一個僅限中文的飛書工具,字節跳動的所有子公司都在使用該工具,包括 TikTok 及其 7,000 名美國員工。 Lark 具有聊天平台、視頻會議、任務管理和文檔協作功能。 當周先生在 3 月的聽證會上被問及 Lark 時,他說這就像企業的“任何其他即時通訊工具”,並將其與 Slack 進行了比較。
根據時報獲得的文件,Lark 至少從 2019 年開始就被用於處理個人 TikTok 賬戶問題和共享包含個人身份信息的文件。
2019 年 6 月,一名 TikTok 員工在 Lark 上分享了一張馬薩諸塞州女性駕照的圖片。 該女子已將照片發送到 TikTok 以驗證她的身份。 這張照片——包括她的地址、出生日期、照片和駕照號碼——被發佈到一個內部 Lark 小組,該小組有 1,100 多人處理賬戶的禁止和取消禁止。
根據泰晤士報看到的文件,截至去年,來自澳大利亞和沙特阿拉伯等國家的人的駕照以及護照和身份證都可以在 Lark 上訪問。
Lark 還曝光了用戶的兒童性侵材料。 在 2019 年 10 月的一次談話中,TikTok 員工討論了禁止一些分享 3 歲以上裸照女孩內容的賬戶。 工作人員還將圖片發佈在 Lark 上。
TikTok 發言人 Haurek 先生說,員工被指示永遠不要分享此類內容,並將其報告給專門的內部兒童安全團隊。
TikTok 員工對此類事件提出了質疑。 在去年 7 月的一份內部報告中,一位工作人員詢問 Lark 是否有處理用戶數據的規則。 TikTok 美國數據安全部門的臨時安全官 Will Farrell 表示,“目前沒有政策。”
TikTok 的一位高級安全工程師去年秋天也表示,可能有數千個 Lark 群組不當處理用戶數據。 在時報獲得的一段錄音中,這位工程師表示,TikTok 需要將數據“移出中國,並將 Lark 移出新加坡”。 TikTok 在新加坡和洛杉磯設有總部。
Haurek 先生稱該工程師的評論“不准確”,並表示 TikTok 審查了 Lark 集團可能不當處理用戶數據的情況,並採取措施解決這些問題。 他說,該公司有一個處理敏感內容的新流程,並對 Lark 群組的規模設置了新的限制。
TikTok 的隱私和安全部門在過去一年經歷了重組和離職,一些員工表示在關鍵時刻放慢或擱置了隱私和安全項目。
網絡安全專家、美國空軍退伍軍人 Roland Cloutier 去年辭去了 TikTok 全球安全組織負責人的職務,他的部分職位被安排在由陳玉軍領導的以隱私為中心的團隊中,陳玉軍被同事們稱為伍迪,三名現任和前任員工表示,一位在字節跳動工作多年的中國高管。 陳先生之前專注於軟件質量保證。
Haurek 先生說,陳先生擁有“深厚的技術、數據和產品工程專業知識”,他的團隊向加利福尼亞州的一位高管匯報。 他表示,TikTok 有多個團隊致力於隱私和安全,其中包括其美國數據安全團隊的 1500 多名員工,並且已花費超過 15 億美元來開展德克薩斯項目。
ByteDance 和 TikTok 沒有說德州項目何時完成。 TikTok 表示,屆時涉及美國用戶數據的通信將在單獨的“內部協作工具”上進行。
亞倫克羅力克 貢獻報告。 阿蘭·德拉奎里埃 貢獻的研究。
