2021年8月,TikTok接到一位英國用戶的投訴,稱在該視頻應用上,一名男子在她主持的直播中「裸露身體並自慰」。她還描述了她過去遇到的侵犯行為。
《紐約時報》獲得的公司文件顯示,為了處理投訴,TikTok員工在內部消息和協作工具Lark上分享了這一事件。這位英國女性的個人數據——包括她的照片、居住國、IP位址、設備和用戶ID——也被發布在Lark上,該平台類似於Slack和微軟Teams。
她的信息只是Lark上發布的TikTok用戶數據之一,該應用程式由中國的字節跳動所有,其數千名員工每天都在使用這些數據,包括在中國的員工。根據時報獲得的文件,該平台還可以看到美國用戶的駕照,以及一些用戶發布的可能非法的內容,例如兒童性侵內容。在許多情況下,這些信息可以在Lark「群組」中獲得,這些擁有數千名成員的群組基本上是員工的聊天室。
據內部報告以及四名現任和前任員工稱,Lark上大量的用戶數據令一些TikTok員工警覺,尤其是字節跳動在中國和其他地方的員工可以輕而易舉地看到這些資料。根據該文件以及現任和前任員工的說法,至少從2021年7月開始,多名安全員工已經向字節跳動和TikTok高管警告與該平台相關的風險。
一位TikTok員工去年7月在一份內部報告中問道,「北京員工是否應該成為包含用戶秘密數據的群組的群主」。
Lark上的用戶資料引發人們質疑TikTok的數據和隱私做法,並表明了它與字節跳動的關係是如何交織在一起的,而該視頻應用程式因其潛在的安全風險和與中國的關係正面臨越來越多的審視。上周,蒙大拿州州長簽署了一項法案,將從1月1日起在該州禁止使用TikTok。大學、政府機構和軍方也禁止使用該應用程式。
多年來,由於擔心可能會向中共當局提供美國用戶的數據,TikTok一直承受著將其美國業務剝離的壓力。為了繼續在美國營運,TikTok去年向拜登政府提交了一份計劃,稱作「德克薩斯計劃」,闡述了如何將美國用戶信息存儲在國內,並將在美國境外的字節跳動和TikTok員工數據與這些數據隔離開。
TikTok淡化了其中國員工對美國用戶數據的訪問權限。在3月的國會公聽會上,TikTok的執行長周受資表示,這些數據主要被中國的工程師用於「業務目的」,該公司有「嚴格的數據訪問協議」來保護用戶。他說,工程師能夠看到的大部分用戶信息本身就是公開信息。
Lark的內部報告和通訊似乎與周受資的陳述相矛盾。四名現任和前任員工表示,截至去年底,來自TikTok的Lark數據也存儲在中國的伺服器上。
時報看到的文件包括2019年至2022年的數十張截圖,顯示了報告、聊天消息和員工在Lark上的評論,以及內部通訊的視頻和音頻。
TikTok發言人亞歷克斯·豪雷克稱時報看到的文件已「過時」,並否認它們與周受資的聲明相矛盾。他說,這些文件不能準確描述「我們如何處理受保護的美國用戶數據,也沒有描述我們在德克薩斯項目下取得的進展」。
他還表示,TikTok正在刪除它在2022年6月之前收集的美國用戶數據,當時它改變了處理美國用戶信息的方式,並開始將該數據發送到第三方擁有的美國伺服器,而不是通過TikTok或字節跳動擁有的伺服器。
該公司沒有回應有關Lark數據是否存儲在中國的問題。它拒絕回答有關中國員工參與在Lark群組中創建和發布TikTok用戶數據的問題,但表示許多聊天室「在審查內部問題後已於去年關閉」。
史丹福大學網際網路觀察站主任、前Facebook首席資訊安全官亞歷克斯·斯塔莫斯表示,保護整個組織的用戶數據是社交媒體公司安全團隊「最難的技術項目」。他還說,TikTok的問題因字節跳動的所有權而變得更加複雜。
「Lark事件向你展示了所有後端流程都由字節跳動負責,」他說。「TikTok只是字節跳動的一層薄薄的外殼。」
字節跳動於2017年推出了Lark。該工具有一個中文版本「飛書」,字節跳動的所有子公司都在使用該工具,包括TikTok及其7000名美國員工。Lark具有聊天平台、視訊會議、任務管理和文檔協作功能。當周受資在3月的公聽會上被問及Lark時,他說這和各企業所用的「任何其他即時通訊工具」並無不同,並將其與Slack相提並論。
根據時報獲得的文件,至少從2019年開始,Lark就被用於處理個人TikTok帳戶問題,並共享包含個人身份信息的文件。
2019年6月,一名TikTok員工在Lark上分享了一張麻薩諸塞州一名女性的駕照圖片。這名女子將該照片發給TikTok是為了驗證她的身份。圖片中包含她的地址、出生日期、照片和駕照號碼,被發布在Lark上一個有1100多人的內部小組中,該小組負責處理帳戶的封禁和解禁。
時報看到的文件顯示,從去年開始,該駕照以及來自澳大利亞和沙特阿拉伯等國家的人的護照和身份證都可以在Lark上找到。
Lark還曝光了用戶的兒童性虐待材料。在2019年10月的一次對話中,TikTok員工討論了禁止一些分享三歲以上赤裸上身女孩內容的帳戶。工作人員也在Lark上發布了這些照片。
TikTok發言人豪雷克表示,公司指示員工永遠不要分享這類內容,並向專門的內部兒童安全團隊報告。
TikTok的員工對此類事件提出了質疑。在去年7月的一份內部報告中,一名員工詢問,在Lark中是否有處理用戶數據的規則。TikTok美國數據安全部門的臨時安全官威爾·法雷爾說,「目前沒有政策。」該部門作為「德克薩斯計劃」的一部分將負責監管美國用戶數據。
去年秋天,TikTok的一名高級安全工程師也表示,可能有數以千計的Lark群組在不當處理用戶數據。在時報獲得的一段錄音中,這名工程師表示,TikTok需要將數據「移出中國,讓Lark離開新加坡」。TikTok的總部設在新加坡和洛杉磯。
豪雷克稱這名工程師的評論「不準確」,並表示TikTok審查了Lark群組可能錯誤處理用戶數據的情況,並採取了措施來解決這些問題。他表示,該公司有一套處理敏感內容的新流程,並對Lark群組的規模設置了新的限制。
TikTok的隱私和安全部門在過去一年中經歷了重組和人員離職,一些員工表示,這在關鍵時刻拖慢了隱私和安全項目,甚至導致項目的擱淺。
三名現任和前任員工表示,網絡安全專家、曾在美國空軍服役的羅蘭·克勞蒂爾去年辭去了TikTok全球安全組織負責人的職務,他所在部門的一部分人加入了由陳玉軍(音)領導的一個專注於隱私的團隊。同事們管陳玉軍叫Woody,他是在字節跳動工作多年的中國高管,之前專注於軟體質量保證。
豪雷克說,陳擁有「深厚的技術、數據和產品工程專業知識」,他的團隊向加州的一位高管匯報工作。他說,TikTok有多個團隊負責隱私和安全,其中包括其美國數據安全團隊的1500多名員工,該公司已經花費了超過15億美元來開展德克薩斯項目。
字節跳動和TikTok都沒有說「德克薩斯計劃」何時完成。TikTok表示,一旦上線,涉及美國用戶數據的通信將在一個單獨的「內部協作工具」上進行。