- I documenti ottenuti da Forbes rivelano che un team con sede in Cina presso la società madre di TikTok, ByteDance, ha pianificato di utilizzare l’app TikTok per seguire le posizioni di un gruppo selezionato di americani.
- I documenti, tuttavia, mostrano che il team di Internal Audit prevedeva anche di ottenere informazioni da TikTok sulla posizione di un cittadino statunitense in almeno due casi che non avevano mai lavorato per l’azienda.
- Secondo il libro del 2021 An Ugly Truth, Facebook ha utilizzato una tattica simile per identificare le fonti dei giornalisti.
- Non è chiaro quale ruolo svolgerà il team di audit interno di ByteDance negli sforzi di TikTok per limitare l’accesso ai dati degli utenti da parte dei lavoratori di stanza in Cina, dato che il team intende utilizzare l’app TikTok per tracciare le posizioni di alcuni cittadini americani.
- Inoltre, una registrazione audio di una conversazione del gennaio 2022 mostra che il team con sede a Pechino stava già raccogliendo ulteriori informazioni sul Progetto Texas in quel momento.
Secondo documenti Forbes ottenuto, un team con sede in Cina presso la società madre di TikTok, ByteDance, intendeva utilizzare l’app TikTok per tracciare le posizioni di alcuni particolari individui americani.
Il dipartimento di controllo interno e controllo dei rischi di ByteDance, che è responsabile dell’iniziativa di monitoraggio, è gestito dal dirigente di Pechino Song Ye e riporta al co-fondatore e CEO di ByteDance Rubo Liang. La società con sede in Cina non sembra averne abbastanza dello scandalo in questi giorni. Di recente, abbiamo spiegato come TikTok riceve fino al 70% delle donazioni fatte alle famiglie siriane.
ByteDance ha utilizzato TikTok per tracciare la posizione dei cittadini americani?
L’obiettivo principale del team è esaminare presunte illeciti da parte degli attuali ed ex dipendenti di ByteDance. Tuttavia, i file rivelano che il team di Internal Audit intendeva anche ottenere informazioni su TikTok sulla posizione di un cittadino statunitense in almeno due casi che non avevano mai lavorato per l’azienda. Sebbene dai documenti non sia chiaro se siano mai state raccolte informazioni su questi americani, l’idea era che un team ByteDance con sede a Pechino acquisisse informazioni sulla posizione dai dispositivi degli utenti americani.
Secondo Maureen Shanahan, portavoce di TikTok, l’app utilizza gli indirizzi IP degli utenti per raccogliere dati approssimativi sulla posizione al fine, tra le altre cose, di “aiutare a mostrare agli utenti contenuti e annunci pertinenti, rispettare le leggi applicabili e rilevare e prevenire le frodi e comportamento non autentico”.
Tuttavia, le informazioni che Forbes ha visto indicano che il team di revisione interna di ByteDance intendeva utilizzare questi dati sulla posizione per monitorare specifici individui americani, non per indirizzare annunci pubblicitari o per nessuno di questi altri scopi. Per salvaguardare le fonti, Forbes non ha identificato il tipo di monitoraggio che si sta pianificando o il motivo per cui viene fatto. Se attivisti, personalità pubbliche, giornalisti o membri del governo degli Stati Uniti sono stati esplicitamente presi di mira dall’Internal Audit, non sono stati identificati da TikTok o ByteDance.
Secondo quanto riferito, il Comitato per gli investimenti esteri negli Stati Uniti (CFIUS) del Dipartimento del Tesoro, che valuta i rischi per la sicurezza nazionale posti dalle imprese con proprietà straniera, è vicino alla firma di un contratto con TikTok, NYT. CFIUS ha esaminato se la proprietà cinese della società potesse consentire al governo cinese di accedere alle informazioni personali degli utenti americani di TikTok. (Divulgazione completa: in precedenza ho lavorato per Facebook e Spotify in posizioni politiche.)
Un ordine esecutivo il presidente Biden ha firmato a settembre la definizione dei rischi particolari di cui CFIUS dovrebbe tenere conto nella valutazione delle imprese con proprietà straniera. L’ordine si concentra specificamente sul potenziale utilizzo dei dati da parte di società straniere “per la sorveglianza, il tracciamento, il tracciamento e il targeting di individui o gruppi di individui, con potenziali impatti negativi sulla sicurezza nazionale”. L’ordinanza afferma che intende “sottolineare i rischi presentati dall’accesso di avversari stranieri ai dati di persone statunitensi”.
Controlli e indagini regolari sui dipendenti di TikTok e ByteDance sono condotti dal team di controllo interno e controllo dei rischi per verificare la presenza di violazioni come conflitti di interesse, uso improprio delle risorse aziendali e divulgazione di dati sensibili. Secondo Forbes, i dirigenti senior, incluso il CEO di TikTok Shou Zi Chew, avevano incaricato il team di esaminare lavoratori specifici e l’indagine è continuata anche dopo che quei dipendenti avevano lasciato l’attività.
Il software di gestione dell’ufficio interno di ByteDance, il team di audit interno, utilizza un sistema di richiesta dati chiamato “canale verde”, noto al personale. Questi documenti e registrazioni dimostrano come le richieste del “canale verde” di dati sul personale americano abbiano portato al recupero di tali informazioni dalla Cina continentale.
“Come la maggior parte delle aziende delle nostre dimensioni, disponiamo di una funzione di audit interno responsabile dell’audit e della valutazione oggettiva dell’adesione dell’azienda e dei nostri dipendenti ai nostri codici di condotta. Questo team fornisce le sue raccomandazioni al team di leadership”, ha dichiarato la portavoce di ByteDance Jennifer Banks.
Il leader dell’industria del software ByteDance non è il primo ad aver pensato di implementare un’app per tracciare determinati consumatori americani. L’app Uber è stata fornita a una serie di politici e autorità di regolamentazione locali in una forma diversa e ingannevole per sfuggire alle sanzioni normative, secondo un 2017 New York Times articolo. A quel tempo, Uber ha riconosciuto di aver utilizzato la tecnologia “palla grigia”, ma ha affermato che è stata utilizzata, tra le altre cose, per rifiutare le richieste di viaggio da “avversari che colludono con i funzionari su” punture “segrete intese a intrappolare i conducenti”.
Secondo i rapporti, Facebook e Uber hanno entrambi tenuto d’occhio la posizione dei giornalisti che utilizzavano i loro programmi. Secondo a Indagine 2015 dall’Electronic Privacy Information Center, Uber aveva rintracciato il luogo in cui si trovavano i giornalisti che si occupavano dell’attività. Uber non ha affrontato direttamente questa affermazione. Una brutta verità, un libro pubblicato nel 2021, afferma che Facebook si è impegnato in una pratica simile per identificare le fonti dei giornalisti. Sebbene a ha detto il portavoce il San Jose Mercury News nel 2018 che Facebook “usa regolarmente[s] documenti aziendali nelle indagini sul lavoro”, Facebook non ha affrontato specificamente le affermazioni fatte nel libro.
Tuttavia, un aspetto cruciale distingue la raccolta pianificata da parte di ByteDance di dati personali degli utenti da quelle istanze: in una recente lettera al Congresso, TikTok ha dichiarato che “limitato solo al personale autorizzato, in base ai protocolli in fase di sviluppo con il governo degli Stati Uniti”, avrà accesso ai dati sensibili degli utenti statunitensi, possibilmente inclusa la posizione. Se il dirigente dell’Internal Audit Song Ye o altri membri della divisione sono considerati “personale autorizzato” ai fini di questi protocolli, TikTok e ByteDance non hanno risposto alle domande in merito.
Queste assicurazioni fanno parte del massiccio di TikTok Progetto Texas sforzo per ricostruire i suoi sistemi interni in modo che i dipendenti cinesi non abbiano accesso a una varietà di informazioni identificative “protette” sugli utenti dell’app TikTok negli Stati Uniti, come numeri di telefono, compleanni e bozze di video. Questo sforzo è fondamentale per le discussioni dell’azienda con CFIUS sulla sicurezza nazionale.
Vanessa Pappas, direttore operativo di TikTok, dichiarato in udienza al Senato a settembre che il prossimo contratto CFIUS “soddisfarà qualsiasi problema di sicurezza nazionale” sull’app. Tuttavia, alcuni senatori hanno mostrato scetticismo. Dopo un giugno BuzzFeed notiziario rivelando che i dipendenti di ByteDance in Cina hanno avuto accesso ripetutamente ai dati degli utenti statunitensi, il Comitato di intelligence del Senato ha avviato un’indagine per verificare se TikTok abbia fuorviato i legislatori nascondendo le informazioni sull’accesso ai dati statunitensi all’inizio di quest’anno da parte dei dipendenti con sede in Cina.
L’azienda utilizza metodi tra cui la crittografia e il “monitoraggio della sicurezza” per mantenere i dati al sicuro, l’approvazione dell’accesso è supervisionata dal personale statunitense e i dipendenti hanno accesso ai dati statunitensi “se necessario”, secondo una dichiarazione della portavoce di TikTok Shanahan.
Dato che il team intende utilizzare l’app TikTok per tracciare le posizioni di alcuni residenti americani, non è chiaro quale parte svolgerà il team di audit interno di ByteDance negli sforzi di TikTok per limitare l’accesso ai dati degli utenti da parte del personale di stanza in Cina. Tuttavia, una valutazione del rischio di frode preparata da un membro del team nella seconda metà del 2021 ha sollevato interrogativi sulla conservazione dei dati, affermando che, secondo il personale preposto ai dati dell’azienda, “è impossibile conservare dati che non dovrebbero essere archiviato in CN dall’essere conservato in server basati su CN, anche dopo che ByteDance ha attivato un centro di archiviazione primario [sic] a Singapore. [Lark data is saved in China.]”, riporta Forbes.
Inoltre, una discussione audio registrata del gennaio 2022 rivela che il team con sede a Pechino stava già raccogliendo ulteriori dettagli sul Project Texas in quel momento. Un membro del team statunitense Trust & Safety di TikTok ha descritto una strana chiacchierata con il suo manager durante la chiamata: Chris Lepitak, Chief Internal Auditor di TikTok, aveva esortato il dipendente a incontrarsi in un ristorante nell’area di Los Angeles dopo l’orario di lavoro.
Il dipendente è stato quindi interrogato in modo approfondito da Lepitak, che ha risposto a Song Ye a Pechino, in merito alla posizione e alle specifiche del server Oracle, essenziale per le intenzioni di TikTok di limitare l’accesso straniero ai dati sensibili degli utenti negli Stati Uniti. Il lavoratore ha ammesso al suo manager che l’interazione lo aveva “spaventato fuori di testa”. Quando sono stati contattati per questo scambio, né TikTok né ByteDance hanno fornito una risposta.
Sebbene TikTok attualmente utilizzi i servizi cloud di Oracle, secondo Ken Glueck, un portavoce di Oracle, “non abbiamo assolutamente alcuna visione in un modo o nell’altro” su chi ha accesso ai dati degli utenti di TikTok. TikTok sta attualmente operando nel cloud Oracle, ma, come Bank of America, General Motors e un milione di altri clienti, hanno il controllo completo su tutto ciò che fanno, ha affermato.
Ciò supporta un’affermazione fatta dal capo della difesa dei dati di TikTok in una chiamata audio trapelata di gennaio. “È quasi impreciso chiamarlo Oracle Cloud”, ha aggiunto il dirigente a un collega durante la discussione. “Ci stanno semplicemente fornendo bare metal e stiamo costruendo le nostre VM [virtual machines] sopra.”
Glueck ha chiarito che se e quando TikTok concluderà il suo accordo con il governo federale, questa situazione cambierebbe. Oracle, ha aggiunto, non fornisce a TikTok nient’altro che “al di fuori della nostra sicurezza” a meno che e fino a quando non sarà così.
TikTok ha rifiutato di rispondere alle domande di Forbes sullo stato delle discussioni dell’attività con CFIUS. Ma un portavoce di TikTok, Brooke Oberwetter, ha dichiarato a Bloomberg in una dichiarazione mattutina: “Siamo fiduciosi di essere sulla buona strada per soddisfare pienamente tutte le ragionevoli preoccupazioni sulla sicurezza nazionale degli Stati Uniti”.