Слухання щодо заборони TikTok в США — чим небезпечний застосунок
Анастасія Романюк, Громадянська мережа ОПОРА
24 березня 2023 року виконавчий директор платформи «TikTok» давав свідчення представникам Комітету з енергетики та торгівлі США щодо безпеки соцмережі для американського суспільства та національної безпеки. Тепер Конгрес США має вирішити, чи заборонить він китайську соцмережу, якою користуються близько 150 мільйонів американців.
Свідомі та Опора розібралися, чи безпечний TikTok, чи дійсно його компанія-власник ByteDance працює на пекінський уряд та чи може вона використати дані американських користувачів в інтересах Комуністичної партії Китаю.
Чи працює ByteDance на китайський уряд?
Популярність TikTok давно непокоїть американський уряд, оскільки компанією володіє китайська ByteDance. Під час слухання виконавчий директор TikTok Шоу Цзи Чу наполягав, що ByteDance — це приватний бізнес, який не працює на жоден з урядів, зокрема китайський, а TikTok робить усе, щоб захищати дані своїх користувачів та свободу слова й самовираження на платформі.
Як повідомляють самі ByteDance, їм належить 20% акцій — власниками решти є міжнародні інвестори та працівники компанії по всьому світу. Шоу Цзи Чу заявив, що TikTok позиціонує себе як глобальна компанія, офіси якої розташовані в Сінгапурі та Лос-Анджелесі, і саме там зберігаються дані користувачів. Однак чверть акцій у руках ByteDance, розташованої в Пекіні, напружує американський уряд.
Першою намагалася заблокувати TikTok на території США адміністрація Дональда Трампа у 2020 році. Тоді платформа відреагувала судовим позовом, апелюючи до того, що вона є приватною компанією, і таке рішення щодо неї є протиправним. Судовий процес закінчився анулюванням рішення Трампа.
Питання безпеки TikTok і зв'язків ByteDance з Комуністичною партією Китаю вивчали і в Австралії. У березні 2023 року група дослідників подала звіт до спеціального комітету щодо зовнішнього втручання Сенату країни. У ньому дослідники схиляються до того, що ByteDance є радше гібридною приватно-державною компанією.
«Приватність» бізнесу в загальноприйнятому на Заході розумінні суперечить Конституції Китайської Народної Республіки. Члени Комуністичної партії Китаю (КПК) мають створити партійний осередок всередині всіх приватних компаній у Китаї, до якого мають входити троє-четверо членів партії. Також, відповідно до закону, працівники приватних компаній мусять ставити інтереси партії на перше місце та «захищати її секрети за будь-яку ціну».
ByteDance мають довгу історію конфліктів з правлячою партією. Так, з 2017 року КПК мала претензії щодо новинного додатку «Toutiao». Компанію послідовно звинувачували в тому, що цей додаток сприяє поширенню «аморального» та «вульгарного» контенту. У відповідь ByteDance заявляла, що під час найму модераторів контенту пріоритет надаватимуть членам КПК. У 2021 році цей конфлікт закінчився відставкою тогочасного CEO компанії Чжан Їмін.
Формально уряд Китаю володіє 1% компанії. Це так звана «золота частка», що належить Комітету з контролю і управління державним майном при Держраді Китаю, китайському національному мовнику та Китайській адміністрації кіберпростору. Ця «золота частка» є необхідною умовою для ліцензування медіа в Китаї.
Хоча в ByteDance називають цю частку суто формальною, вона надає представнику держави одне місце в раді директорів компанії, тобто дає державі доступ до внутрішньої інформації щодо справ компанії та важіль впливу на прийняття рішень.
Через закритість китайської політичної системи складно стверджувати, який реальний вплив має цей інструмент, але останнім часом держава все частіше купує частки різних приватних компаній. А в ByteDance делегованим від уряду членом Ради директорів став Wu Shugang, який у 2012 році казав: «У мене є лише одне бажання — що одного дня я зможу відрізати псячі голови зрадників [лібералів у Китаї — прим. ред.]. Хай китайські зрадники, що сповідують так звані “громадянські права та свободи”, йдуть до пекла!!!».
Відомо, що китайська адміністрація кіберпростору підштовхує техкомпанії, як ByteDance, до розбудови «груп дослідження та оцінки громадської думки» і «комітету безпеки онлайн-контенту». Через ці структури партія може контролювати аудит, редагування, технології, продукти, маркетинг всередині компанії.
Крім рекомендацій, заяв та побоювань, відомі і реальні факти обслуговування компанією потреб КПК. Водночас публічно у ByteDance спростовують, що надають будь-які послуги для спостереження за громадянами. Так, у 2017 році новинний додаток «Toutiao» підписав договір про співпрацю з Народною озброєною поліцією КНР. Через півтора року правоохоронці почали співпрацю з іншим продуктом ByteDance, китайським аналогом TikTok — Douyin — «для поширення позитивної енергії Народної озброєної поліції».
Пізніше ByteDance також співпрацювала з Міністерством громадської безпеки (МГБ) КНР, надаючи послуги з консультування та аналізу великих даних для створення та поширення пропаганди щодо МГБ.
У 2019 році компанія також підписала стратегічний меморандум про співпрацю з Бюро інформації та пропаганди МГБ. Крім цього, деякі топменеджери компанії також працюють і в державних інституціях. Сама компанія входить до кількох державних організацій, а близько 300 працівників TikTok і ByteDance раніше працювали в китайських державних медіа.
Чи залежить TikTok від рішень ByteDance у Пекіні?
Австралійським дослідникам вдалося реконструювати систему управління та підзвітності в ByteDance. Виконавчий директор TikTok Шоу Цзи Чу підзвітний членкині Ради Директорів ByteDance Келлі Чжан. Так само керівники департаментів TikTok звітують не перед (чи не лише перед) місцевими менеджерами у Лос-Анджелесі чи Сінгапурі, а й перед пекінським офісом.
У вересні 2022 року журналісти Forbes поспілкувалися з колишніми працівниками TikTok. Троє людей, які раніше обіймали керівні посади, заявили, що вони фактично не мали впливу на прийняття рішень — вказівки надходили з офісу ByteDance у Пекіні. Також Forbes мають свідчення, що принаймні один із керівників департаментів TikTok пішов з посади, оскільки мав звітувати напряму материнській компанії.
У середині 2022 року журналісти BuzzFeed отримали «плівки TikTok» — аудіозаписи 80 внутрішніх зустрічей компанії. Згідно з ними, американські працівники компанії «не знають, як саме отримати доступ до даних користувачів» та звертаються щодо цього до китайських колег. Також працівники компанії стверджують, що китайські співробітники неодноразово переглядали персональні дані американських користувачів, наприклад, номери телефонів.
Цей витік даних підтвердили в ByteDance. Вони визнали, що використовували конфіденційні дані американських журналістів (зокрема геолокації), щоб відстежити їхні джерела всередині компанії. Під час слухання Шоу Цзи Чу також підтвердив цей факт, однак зазначив, що працівники компанії керувалися власними міркуваннями, а не інструкціями «згори», коли використовували ці дані для внутрішнього розслідування витоку інформації, через що втратили роботу.
Хоча в публічних комунікаціях спікери від TikTok і ByteDance наголошують на глобальності соцмережі, яка не функціонує в Китаї, цьому суперечать дані про працівників нижчих ланок. Вивчивши дані з LinkedIn, австралійські дослідники виявили, що чимало людей працюють або працювали на ByteDance і TikTok одночасно.
Крім цього, журналісти Forbes свідчили, що в податкових документах та зарплатних чеках працівників TikTok джерелом фінансових надходжень вказана ByteDance.
TikTok і ByteDance часто презентують розміщення платформи за кордоном і найм іноземців на керівні посади, як козир у безпекових питаннях. Автори дослідження називають цей прийом «відмиванням Сінгапуром» (Singapore-washing).
Чи в безпеці дані користувачів TikTok?
Занепокоєння викликає непрозорість того, які дані де-факто збирає та зберігає про користувачів соціальна мережа і хто має до них доступ. У липні 2022 року австралійсько-американська компанія з кібербезпеки Internet 2.0 дослідила код TikTok, щоб оцінити ризики в сфері безпеки даних.
Дослідники зробили висновок, що мережа збирає значно більше даних, ніж потрібно для її функціонування. Наприклад, додаток щогодини перевіряє актуальну точну геолокацію користувача, мапування пристрою (додаток збирає дані про всі додатки, активні на пристрої), має постійний доступ до календаря. Крім цього, дослідники встановили, що принаймні частину цих даних відправляють на сервери в Китаї.
TikTok спростував ці висновки, назвавши їх безпідставними. Раніше компанія URL Genius теж встановила, що TikTok збирає значно більше даних про своїх користувачів, аніж інші соцмережі, і достеменно не відомо, куди ці дані потрапляють далі.
Щоб заспокоїти американських конгресменів, TikTok презентував «Проєкт Техас». TikTok створив американську дочірню компанію — TikTok U.S. Data Security Inc. (USDS) — якою керуватиме незалежна рада директорів, призначена TikTok та погоджена з Комітетом з іноземних інвестицій в США. Також Рада директорів буде підзвітна не ByteDance, а Комітету. Всі дані американських користувачів будуть зберігатися винятково в США, а незалежна сторона — американська компанія «Oracle» — відповідатиме за моніторинг даних, які заходять та виходять з компанії.
Також Oracle має провести аудит коду TikTok на приховані ризики та безпекові прогалини. Цей аудит має поставити крапку в дискусіях, чи здатен TikTok шпигувати за своїми користувачами в інтересах Китаю.
Аналогічний проєкт під назвою «Проєкт Клевер» соцмережа готує і для країн ЄС.
Австралійські дослідники узагальнили, які ризики може нести порушення конфіденційності користувачів TikTok:
- порушення конфіденційності: теоретично TikTok можуть використовувати для доступу до чутливих даних користувачів, як телефонна книжка, геолокація чи дані з листування;
- збір даних: величезні масиви даних про користувачів можуть використовуватися в інтересах уряду, розвідки та армії Китаю;
- шпигунство та розвідка: ці дані можуть бути використані для шпигування, маніпулювання, вербування, репресій;
- цензура з боку КПК;
- контроль над наративом: використовуючи методи пропаганди, цензури та дезінформації, через соцмережу можна керувати публічною дискусією на рівні суспільства;
- політичне втручання: організація масових кампаній впливу для поширення вигідних для конкретних політичних цілей ідей.
Втім, заборона окремої соцмережі не розв'яже проблеми безпеки даних та навіть національної безпеки. Як зазначив CEO TikTok, корінь проблеми не в тому, хто володіє компанією, адже американські техногіганти також неодноразово використовували персональні дані користувачів.
Американському законодавству не вистачає фундаментального рамкового регулювання безпеки персональних даних громадян для всіх компаній за аналогією з європейським GDPR (General Data Protection Regulation — Загальний регламент про захист даних).
Усі загрози, які непокоять американських урядовців, несуть ще більші ризики для України, що воює. Усі перераховані нами вразливості так само актуальні й щодо українських користувачів TikTok, яких наразі уже більше мільйона.
Відповідно до свого законодавства, китайський уряд має всі важелі впливу на ByteDance, щоб отримати докладні дані про українських користувачів, а компанія не має жодного шансу їм відмовити.