logo
繁体
繁体

福布斯:字节跳动曾计划利用TikTok,监视特定美国公民的个人位置

据福布斯报道,TikTok母公司字节跳动在中国的一个团队,曾计划使用TikTok来监控某些特定美国公民的个人位置。

监控项目背后的团队为字节跳动的内部审计和风险控制部门,由在北京的高管宋烨(音译)领导,他向字节跳动的联合创始人兼首席执行官梁汝波报告。

Photo by Solen Feyissa on Unsplash 

此团队主要对字节跳动现任和前任员工可能存在的不当行为进行调查。但材料显示,在至少两起案件中,内部审计小组还计划收集一名与公司从未有过雇佣关系的美国公民的位置数据。

从材料上看,还不清楚这些美国人的数据是否真的被收集了。然而,这项计划是由位于北京的字节跳动团队,从美国用户的设备中获取位置数据。

TikTok发言人莫林·沙纳汉表示,TikTok根据用户的IP地址收集大约的位置信息,以“帮助向用户显示相关内容和广告,遵守适用的法律,检测和防止欺诈和不真实的行为”。

但福布斯查阅的材料表明,字节跳动的内部审计团队计划使用这些位置信息,来监视单个美国公民,而不是针对推送广告或其他任何目的。为了保护消息来源,福布斯不会披露材料中提及的监视计划的性质和目的。TikTok和字节跳动没有回答内部审计是否专门针对任何美国政府成员、活动人士、公众人物或记者的问题。

据报道,TikTok即将与美国财政部外国投资委员会(CFIUS)签署协议,此委员会负责评估外国控股公司带来的国家安全风险,并一直在调查TikTok的中国所有权,是否会使中国政府能够获取美国TikTok用户的个人信息。

今年9月,拜登总统签署了一项行政命令,列举了CFIUS在评估外资控股公司时应考虑的具体风险。命令称,其打算“强调……外国对手获取美国人数据所带来的风险,特别关注外国公司可能将数据用于监视、追踪、跟踪和锁定个人或个人群体,从而对国家安全产生潜在的不利影响”。

美国财政部没有回应记者的置评请求。

内部审计和风险控制团队对TikTok和字节跳动的员工进行定期审计和调查,检查他们是否存在利益冲突和滥用公司资源等违规行为,以及是否泄露机密信息。福布斯查阅的内部材料显示,包括TikTok首席执行官周受资在内的高管已命令此团队调查个别员工,甚至在员工离开公司后也对他们进行了调查。

字节跳动的内部办公管理软件Lark的文件和记录显示,内部审计团队使用了一种被员工称为“绿色通道”的数据请求系统。这些文件和记录显示,有关美国雇员信息的“绿色通道”,要求从中国大陆提取这些数据。

字节跳动发言人詹妮弗•班克斯在一份声明中表示:“与大多数与我们规模相当的公司一样,我们有一个内部审计部门,负责客观地审计和评估公司及其员工遵守公司行为准则的情况。这个团队向领导团队提供建议。”

Photo by Markus Spiske on Unsplash 

字节跳动并不是第一个考虑使用应用程序来监控特定美国用户的科技巨头。2017年,纽约时报报道称,优步找出了许多当地政客和监管者,为他们提供了一个单独的、具有误导性的优步应用版本,以避免监管处罚。当时,优步承认自己运行了这个名为“灰球”(greyball)的程序,但表示它被用于拒绝“与官员勾结,进行旨在钓鱼执法的对手公司”等群体的乘车请求。

对于TikTok应用中是否曾向政府官员、监管者、活动人士或记者提供与普通公众不同的内容或体验的问题,TikTok没有做出回应。

据报道,优步和脸书都追踪了报道其应用程序的记者的位置。电子隐私信息中心2015年的一项调查发现,优步监视了报道其公司的记者的位置。优步没有明确回应这一说法。2021年出版的《丑陋的真相》一书称,脸书为了查明记者的消息来源,也做了同样的事情。

脸书没有直接回应书中的断言,但一名发言人在2018年对《圣何塞水星报》表示,和其他公司一样,脸书“经常在工作调查中使用商业记录”。

但字节跳动计划收集私人用户信息的行为,与上述案件有一个重要的区别:TikTok最近告诉议员,根据与美国政府正在制定的协议,访问某些美国用户数据,将“仅限于授权人员”,其中可能包括位置数据。

TikTok和字节跳动没有回答内部审计主管宋烨或部门其他成员,是否为这些协议中的“授权人员”。

这些承诺是“德州计划”(Project Texas)的一部分,这是让TikTok重建内部系统的一项大规模行动,目的是让其驻中国的员工,无法访问有关美国TikTok用户的大量“受保护”的身份识别数据,包括他们的电话号码、生日和视频草稿。这一行动是TikTok与CFIUS进行国家安全谈判的核心。

在今年9月的参议院听证会上,TikTok首席运营官凡妮莎·帕帕斯表示,即将签署的CFIUS协议将“满足有关本应用程序的所有国家安全担忧”。

不过,一些参议员似乎持怀疑态度。今年7月,参议院情报委员会开始调查,TikTok是否因隐瞒中国员工访问美国数据的信息而误导了立法者。此前,BuzzFeed新闻 6月的一篇报道显示,字节跳动在中国的员工曾多次访问美国用户数据。

在一份关于TikTok数据访问控制的声明中,TikTok发言人沙纳汉表示,公司使用加密和“安全监控”等工具来保证数据的安全,访问批准由美国人员监督,员工“根据需要”获得访问美国数据的权限。

目前尚不清楚,字节跳动的内部审计团队将在TikTok限制驻中国员工访问美国用户数据的行动中扮演什么角色,特别是考虑到团队计划监控一些使用TikTok应用程序的美国公民的位置。

但团队的一名成员在2021年底撰写的一份欺诈风险评估强调了数据存储方面的问题,称根据负责公司数据的员工表示,“即使字节跳动在新加坡建立了一个主存储中心,也不可能将不应该存储在中国的数据,保存在中国的服务器中(飞书的数据保存在中国)。” 

注:原文加了括号里这句,飞书是字节跳动开发的企业协作与管理平台。

此外,一份来自2022年1月的泄露音频对话显示,当时北京团队正在收集有关“德州计划”的额外信息。在电话中,TikTok美国信任与安全团队的一名成员,向他的经理讲述了一段不同寻常的对话:TikTok首席内部审计师克里斯·利皮塔克,要求这名员工下班后在洛杉矶地区的一家餐厅见面。

利皮塔克向北京的宋烨汇报工作,他向这名员工详细询问了甲骨文服务器的位置和细节,这是限制TikTok从外国访问美国个人用户数据计划的核心。

Photo by Solen Feyissa on Unsplash 

这名员工告诉他的经理,他被这种交流“吓坏了”。TikTok和字节跳动没有回应有关这次对话的问题。

甲骨文发言人肯·格鲁埃克表示,尽管TikTok目前使用甲骨文的云服务,但对于谁可以访问TikTok的用户数据,“我们绝对无法了解”。

他说:“如今,TikTok在甲骨文云上运行,但就像美国银行、通用汽车和其他100万客户一样,他们完全控制自己所做的一切。”

这证实了TikTok数据防御主管1月份在另一个被泄露的音频通话中说的话。在那次电话会议中,这位高管对一位同事说:“把它叫做甲骨文云几乎是不对的,因为他们只是给我们提供纯金属,然后我们在此之上构建我们的VM(虚拟机)。”

格鲁埃克明确表示,如果TikTok最终与联邦政府签订协议,这种情况将会改变。他说:“但除非是这种情况发生,否则甲骨文不会为TikTok提供除了我们自己的安全措施之外的任何东西。”

TikTok没有回答福布斯关于其与CFIUS谈判进展的问题。但在今天凌晨发布给彭博社的一份声明中,TikTok发言人布鲁克·奥伯韦特表示:“我们相信,我们正走在一条完全满足美国所有合理的国家安全担忧的道路上。”