- Documenten verkregen door Forbes onthullen dat een in China gevestigd team van TikTok’s moederbedrijf, ByteDance, van plan was de TikTok-app te gebruiken om de locaties van een selecte groep Amerikanen te volgen.
- Uit de documenten blijkt echter dat het Internal Audit-team ook van plan was om in ten minste twee gevallen informatie van TikTok te verkrijgen over de locatie van een Amerikaans staatsburger die nog nooit voor het bedrijf had gewerkt.
- Volgens het boek An Ugly Truth uit 2021 gebruikte Facebook een vergelijkbare tactiek om de bronnen van de journalisten te identificeren.
- Het is onduidelijk welke rol het interne auditteam van ByteDance zal spelen in de inspanningen van TikTok om de toegang tot gebruikersgegevens te beperken voor werknemers die in China zijn gestationeerd, aangezien het team van plan is de TikTok-app te gebruiken om de locaties van sommige Amerikaanse burgers te volgen.
- Bovendien laat een audio-opname van een gesprek uit januari 2022 zien dat het in Peking gevestigde team op dat moment al meer informatie aan het verzamelen was over Project Texas.
Volgens documenten Forbes verkregen, was een in China gevestigd team van TikTok’s moederbedrijf, ByteDance, van plan de TikTok-app te gebruiken om de locaties van bepaalde Amerikaanse individuen te volgen.
De afdeling Interne Audit en Risicobeheersing van ByteDance, die verantwoordelijk is voor het monitoringinitiatief, wordt geleid door de in Peking gevestigde executive Song Ye en rapporteert aan ByteDance mede-oprichter en CEO Rubo Liang. Het in China gevestigde bedrijf lijkt tegenwoordig geen genoeg te krijgen van het schandaal. Onlangs hebben we besproken hoe TikTok tot 70% van de donaties aan Syrische families ontvangt.
Heeft ByteDance TikTok gebruikt om de locatie van Amerikaanse burgers te volgen?
De primaire focus van het team is het onderzoeken van vermeend wangedrag door huidige en voormalige ByteDance-medewerkers. Uit de bestanden blijkt echter dat het Internal Audit-team ook van plan was TikTok-informatie te krijgen over de locatie van een Amerikaanse burger in ten minste twee gevallen die nog nooit voor het bedrijf hadden gewerkt. Hoewel uit de documenten niet duidelijk is of er ooit informatie over deze Amerikanen is verzameld, was het de bedoeling dat een ByteDance-team uit Peking locatie-informatie zou verkrijgen van de apparaten van Amerikaanse gebruikers.
Volgens Maureen Shanahan, een woordvoerder van TikTok, gebruikt de app de IP-adressen van gebruikers om geschatte locatiegegevens te verzamelen om, onder andere, “te helpen bij het tonen van relevante inhoud en advertenties aan gebruikers, om te voldoen aan de toepasselijke wetgeving en om fraude op te sporen en te voorkomen en onecht gedrag.”
De informatie die Forbes heeft gezien, geeft echter aan dat het interne auditteam van ByteDance van plan was deze locatiegegevens te gebruiken om specifieke Amerikaanse individuen te volgen, niet om advertenties te targeten of voor een van deze andere doeleinden. Om bronnen te beschermen, heeft Forbes niet het type monitoring geïdentificeerd dat wordt gepland of waarom het wordt gedaan. Als activisten, publieke persoonlijkheden, journalisten of leden van de Amerikaanse regering expliciet het doelwit zijn van Internal Audit, zijn ze niet geïdentificeerd door TikTok of ByteDance.
Het Comité voor Buitenlandse Investeringen in de Verenigde Staten (CFIUS) van het ministerie van Financiën, dat de risico’s voor de nationale veiligheid beoordeelt van bedrijven met buitenlands eigendom, staat naar verluidt dicht bij de ondertekening van een contract met TikTok, aldus het rapport. NYT. CFIUS heeft onderzocht of het Chinese eigendom van het bedrijf de Chinese overheid toegang zou kunnen geven tot de persoonlijke informatie van Amerikaanse TikTok-gebruikers. (Volledige openbaarmaking: ik werkte voorheen voor Facebook en Spotify in beleidsfuncties.)
Een uitvoerend bevel president Biden ondertekende in september de bijzondere risico’s waarmee CFIUS rekening moet houden bij de evaluatie van ondernemingen met buitenlands eigendom. Het bevel richt zich specifiek op het potentiële gebruik van gegevens door buitenlandse bedrijven “voor de bewaking, opsporing, tracking en targeting van individuen of groepen individuen, met mogelijke nadelige gevolgen voor de nationale veiligheid.” Het bevel stelt dat het van plan is om “de risico’s te benadrukken die verbonden zijn aan de toegang van buitenlandse tegenstanders tot gegevens van Amerikaanse personen.”
Regelmatige audits en onderzoeken van TikTok- en ByteDance-medewerkers worden uitgevoerd door het interne audit- en risicocontroleteam om te controleren op schendingen zoals belangenverstrengeling, oneigenlijk gebruik van bedrijfsbronnen en openbaarmaking van gevoelige gegevens. Senior executives, waaronder TikTok-CEO Shou Zi Chew, hadden het team de opdracht gegeven om naar specifieke werknemers te kijken, en het onderzoek ging door, zelfs nadat die werknemers het bedrijf hadden verlaten, aldus Forbes.
De interne kantoorbeheersoftware van ByteDance, het interne auditteam, maakt gebruik van een systeem voor het aanvragen van gegevens dat het ‘groene kanaal’ wordt genoemd en dat bekend is bij het personeel. Deze documenten en documenten laten zien hoe verzoeken om gegevens over Amerikaans personeel via het ‘groene kanaal’ ertoe hebben geleid dat die informatie van het Chinese vasteland is opgehaald.
“Zoals de meeste bedrijven van onze omvang, hebben we een interne auditfunctie die verantwoordelijk is voor het objectief controleren en evalueren van het bedrijf en de naleving van onze gedragscodes door onze medewerkers. Dit team doet zijn aanbevelingen aan het leiderschapsteam”, aldus ByteDance-woordvoerder Jennifer Banks.
De software-industrieleider ByteDance is niet de eerste die heeft overwogen een app in te zetten om bepaalde Amerikaanse consumenten te volgen. De Uber-app is in een andere, misleidende vorm aan een aantal lokale politici en regelgevers geleverd om te ontsnappen aan wettelijke sancties, volgens een 2017 New York Times artikel. Destijds erkende Uber de ‘grijze bol’-technologie te hebben gebruikt, maar zei dat het onder andere werd gebruikt om reisverzoeken te weigeren van ‘tegenstanders die samenspannen met functionarissen over geheime ‘prikkels’ die bedoeld waren om chauffeurs in de val te lokken’.
Volgens rapporten hielden Facebook en Uber beide de verblijfplaats bij van journalisten die hun programma’s gebruikten. Volgens een 2015 onderzoek door het Electronic Privacy Information Center, had Uber de verblijfplaats gevolgd van journalisten die verslag deden van het bedrijf. Uber ging niet rechtstreeks in op deze bewering. Een lelijke waarheid, een boek dat in 2021 werd gepubliceerd, beweert dat Facebook een vergelijkbare praktijk uitvoerde om de bronnen van de journalisten te identificeren. Hoewel een woordvoerder vertelde het San Jose Mercury News in 2018 dat Facebook “routinematig gebruikt”[s] bedrijfsgegevens in arbeidsonderzoeken”, ging Facebook niet specifiek in op de beweringen in het boek.
Een cruciaal aspect onderscheidt echter ByteDance’s geplande verzameling van persoonlijke gebruikersgegevens van die gevallen: in een recente brief aan het Congres, TikTok verklaarde dat “alleen beperkt tot geautoriseerd personeel, in overeenstemming met protocollen die worden ontwikkeld met de Amerikaanse regering”, hebben toegang tot gevoelige Amerikaanse gebruikersgegevens, mogelijk inclusief locatie. Als Internal Audit executive Song Ye of andere leden van de divisie worden beschouwd als “geautoriseerd personeel” voor de doeleinden van deze protocollen, hebben TikTok en ByteDance niet gereageerd op vragen hierover.
Deze garanties maken deel uit van TikTok’s enorme Project Texas poging om zijn interne systemen opnieuw op te bouwen, zodat Chinese werknemers geen toegang hebben tot allerlei “beschermde” identificatiegegevens over gebruikers van de TikTok-app in de Verenigde Staten, zoals hun telefoonnummers, verjaardagen en conceptvideo’s. Dit streven is cruciaal voor de besprekingen van het bedrijf met CFIUS over nationale veiligheid.
Vanessa Pappas, de chief operating officer van TikTok, verklaarde tijdens een hoorzitting in de Senaat in september dat het komende CFIUS-contract “alle zorgen over de nationale veiligheid zal wegnemen” over de app. Een paar senatoren toonden echter scepsis. Na een juni BuzzFeed Nieuws-rapport waaruit bleek dat ByteDance-medewerkers in China herhaaldelijk toegang hadden gehad tot Amerikaanse gebruikersgegevens, startte de Senaatsinlichtingencommissie een onderzoek naar de vraag of TikTok wetgevers heeft misleid door eerder dit jaar informatie achter te houden over de toegang tot Amerikaanse gegevens door werknemers in China.
Volgens een verklaring van TikTok-woordvoerster Shanahan gebruikt het bedrijf methoden zoals versleuteling en “beveiligingsmonitoring” om gegevens veilig te houden, de goedkeuring van de toegang wordt gecontroleerd door Amerikaans personeel en werknemers krijgen toegang tot Amerikaanse gegevens “indien nodig”.
Aangezien het team van plan is de TikTok-app te gebruiken om de locaties van sommige Amerikaanse inwoners te volgen, is het onduidelijk welke rol het interne auditteam van ByteDance zal spelen in de inspanningen van TikTok om de toegang tot gebruikersgegevens door in China gestationeerd personeel te beperken. Een frauderisicobeoordeling, opgesteld door een teamlid in de tweede helft van 2021, riep echter vragen op over de opslag van gegevens en stelde dat, naar de mening van de medewerkers die verantwoordelijk zijn voor de gegevens van het bedrijf, “het onmogelijk is om gegevens te bewaren die niet worden opgeslagen in CN om niet te worden bewaard op CN-gebaseerde servers, zelfs nadat ByteDance een primair opslagcentrum heeft opgericht [sic] in Singapore. [Lark data is saved in China.]’, meldt Forbes.
Verder blijkt uit een opgenomen audiodiscussie van januari 2022 dat het in Peking gevestigde team op dat moment al meer details over Project Texas aan het verzamelen was. Een lid van TikTok’s US Trust & Safety-team beschreef een vreemd gesprek met zijn manager tijdens het gesprek: Chris Lepitak, TikTok’s Chief Internal Auditor, had de werknemer aangespoord om na sluitingstijd af te spreken in een restaurant in de omgeving van LA.
De medewerker werd vervolgens diepgaand ondervraagd door Lepitak, die Song Ye in Peking beantwoordde, over de locatie en bijzonderheden van de Oracle-server, die essentieel is voor TikTok’s bedoelingen om buitenlandse toegang tot gevoelige gebruikersgegevens in de Verenigde Staten te beperken. De werknemer gaf aan zijn manager toe dat de interactie hem “van de kaart had gebracht”. Toen er contact werd opgenomen over deze uitwisseling, gaven noch TikTok noch ByteDance een reactie.
Hoewel TikTok momenteel de cloudservices van Oracle gebruikt, hebben we volgens Ken Glueck, een woordvoerder van Oracle, “op de een of andere manier absoluut geen inzicht” in wie toegang heeft tot TikTok-gebruikersgegevens. TikTok is momenteel actief in de Oracle-cloud, maar net als Bank of America, General Motors en een miljoen andere klanten hebben ze volledige controle over alles wat ze doen, zei hij.
Dit ondersteunt een claim van TikTok’s hoofd gegevensverdediging in een gelekte audio-oproep van januari. “Het is bijna onnauwkeurig om het Oracle Cloud te noemen”, voegde de executive aan een collega toe tijdens de discussie. “Ze geven ons gewoon bare metal en we bouwen onze VM’s [virtual machines] daar bovenop.”
Glueck maakte duidelijk dat als en wanneer TikTok zijn deal met de federale overheid afrondt, deze situatie zou veranderen. Oracle, voegde hij eraan toe, biedt TikTok niets “anders dan onze eigen veiligheid” tenzij en totdat dat het geval is.
TikTok weigerde te reageren op vragen van Forbes over de stand van de besprekingen van het bedrijf met CFIUS. Maar een woordvoerder van TikTok, Brooke Oberwetter, vertelde Bloomberg in een verklaring van de vroege ochtend: “We zijn ervan overtuigd dat we op weg zijn om volledig tegemoet te komen aan alle redelijke zorgen over de nationale veiligheid van de VS.”
Source: TikTok-ouder ByteDance was van plan de app te gebruiken om individuen in de VS te volgen
