[ad_1]
为了解决投诉,TikTok 员工在名为 云雀,根据《纽约时报》获得的公司文件。 该英国女性的个人数据——包括她的照片、居住国家/地区、互联网协议地址、设备和用户 ID——也被发布在该平台上,该平台类似于 Slack 和 Microsoft Teams。
她的信息只是在 Lark 上共享的一份 TikTok 用户数据,该应用程序中国所有者的数千名员工每天都在使用这些数据, 字节跳动,包括那些在 中国. 根据时报获得的文件,该平台还可以访问美国用户的驾照,以及一些用户的潜在非法内容,例如儿童性虐待材料。 在许多情况下,这些信息可以在拥有数千名成员的 Lark“群组”(本质上是员工的聊天室)中获得。
据内部报告以及四名现任和前任员工称,Lark 上大量的用户数据令一些 TikTok 员工感到震惊,尤其是因为字节跳动在中国和其他地方的员工很容易看到这些资料。 根据文件以及现任和前任员工的说法,至少从 2021 年 7 月开始,几名安全员工就与该平台相关的风险向字节跳动和 TikTok 高管发出警告。
一位 TikTok 员工在去年 7 月的一份内部报告中问道,“北京的员工是否应该拥有包含用户秘密”数据的群组。
Lark 上的用户资料引发了对 TikTok 数据的质疑, 隐私 实践并展示它与 ByteDance 的交织程度,就像视频应用程序因其潜在的安全风险和与中国的关系而面临越来越多的审查一样。 上周,蒙大拿州州长签署了一项法案,从 1 月 1 日起在该州禁止使用 TikTok。大学、政府机构和军方也禁止使用该应用程序。
多年来,TikTok 一直承受着封锁其美国业务的压力,因为担心它可能会向中国当局提供美国用户的数据。 为了继续在美国运营,TikTok 去年向拜登政府提交了一份名为“德克萨斯计划”的计划,阐述了如何将美国用户信息存储在国内,并隔离字节跳动和 TikTok 员工在美国境外的数据。 TikTok 淡化了其在中国的员工对美国用户数据的访问权限。 在 3 月份的国会听证会上,TikTok 的首席执行官周寿表示,这些数据主要被中国的工程师用于“商业目的”,该公司有“严格的数据访问协议”来保护用户。 他说,工程师可用的大部分用户信息已经公开。
Lark 的内部报告和通讯似乎与 Chew 的陈述相矛盾。 四名现任和前任员工表示,截至去年底,来自 TikTok 的 Lark 数据也存储在中国的服务器上。
《纽约时报》看到的文件包括 2019 年至 2022 年的数十份报告截图、聊天消息和员工对 Lark 的评论,以及内部通讯的视频和音频。
TikTok 发言人亚历克斯·豪雷克 (Alex Haurek) 称时报看到的文件“过时”,并否认它们与 Chew 的声明相矛盾。 他说,他们没有准确描述“我们如何处理受保护的美国用户数据,也没有描述我们在德克萨斯项目下取得的进展。”
他补充说,TikTok 正在删除它在 2022 年 6 月之前收集的美国用户数据,当时它改变了处理美国用户信息的方式,并开始将该数据发送到第三方拥有的美国服务器,而不是那些拥有的服务器通过 TikTok 或字节跳动。
该公司没有回应有关 Lark 数据是否存储在中国的问题。 它拒绝回答有关中国员工参与在 Lark 群组中创建和共享 TikTok 用户数据的问题,但表示许多聊天室“在审查内部问题后于去年关闭”。
斯坦福大学互联网观察站主任、Facebook 前首席信息安全官亚历克斯·斯塔莫斯 (Alex Stamos) 表示,保护整个组织的用户数据是社交媒体公司安全团队“最难的技术项目”。 他补充说,TikTok 的问题因字节跳动的所有权而变得更加复杂。
“Lark 向你展示了所有后端流程都由 ByteDance 监督,”他说。 “TikTok 是 ByteDance 的一层薄薄的外表。”
字节跳动于 2017 年推出了 Lark。该工具有一个仅限中文的飞书工具,字节跳动的所有子公司都在使用该工具,包括 TikTok 及其 7,000 名美国员工。 Lark 具有聊天平台、视频会议、任务管理和文档协作功能。 当 Chew 在 3 月的听证会上被问及 Lark 时,他说这就像企业的“任何其他即时通讯工具”,并将其与 Slack 进行了比较。
根据泰晤士报获得的文件,Lark 至少从 2019 年开始就被用于处理个人 TikTok 账户问题和共享包含个人身份信息的文件。
2019 年 6 月,一名 TikTok 员工在 Lark 上分享了一张马萨诸塞州女性驾照的图片。 该女子已将照片发送到 TikTok 以验证她的身份。 这张照片——包括她的地址、出生日期、照片和驾照号码——被发布到一个内部 Lark 小组,该小组有 1100 多人处理账户的禁止和取消禁止。
根据时报看到的文件,截至去年,来自澳大利亚和沙特阿拉伯等国家的人的驾照、护照和身份证都可以在 Lark 上获取。
Lark 还曝光了用户的儿童性侵材料。 在 2019 年 10 月的一次谈话中,TikTok 员工讨论了禁止一些分享 3 岁以上裸照女孩内容的账户。 工作人员还将图片发布在 Lark 上。
TikTok 发言人 Haurek 表示,员工被告知永远不要分享此类内容,并将其报告给专门的内部儿童安全团队。
TikTok 员工对此类事件提出了质疑。 在去年 7 月的一份内部报告中,一位工作人员询问 Lark 是否有处理用户数据的规则。 TikTok 美国数据安全部门的临时安全官 Will Farrell 表示,“目前没有政策。”
TikTok 的一位高级安全工程师去年秋天也表示,可能有数千个 Lark 群组不当处理用户数据。 在时报获得的一段录音中,这位工程师表示,TikTok 需要将数据“移出中国,并将 Lark 移出新加坡”。 TikTok 在新加坡和洛杉矶设有总部。
Haurek 称该工程师的评论“不准确”,并表示 TikTok 审查了 Lark 集团可能不当处理用户数据的情况,并采取措施解决这些问题。 他说,该公司有一个处理敏感内容的新流程,并对 Lark 群组的规模设置了新的限制。
TikTok 的隐私和安全部门在过去一年经历了重组和离职,一些员工表示在关键时刻放慢或搁置了隐私和安全项目。
网络安全专家、美国空军退伍军人 Roland Cloutier 去年辞去了 TikTok 全球安全组织负责人的职务,他的部分职位被安排在由陈玉军领导的以隐私为中心的团队中,陈玉军被同事们称为伍迪,三名现任和前任员工表示,一位在字节跳动工作多年的中国高管。 Chen 之前专注于软件质量保证。
Haurek 表示,Chen 拥有“深厚的技术、数据和产品工程专业知识”,他的团队向加州的一位高管汇报。 他表示,TikTok 有多个团队致力于隐私和安全,其中包括其美国数据安全团队的 1500 多名员工,并且已花费超过 15 亿美元来开展德克萨斯项目。
ByteDance 和 TikTok 没有说德州项目何时完成。 TikTok 表示,届时涉及美国用户数据的通信将在单独的“内部协作工具”上进行。
这篇文章最初出现在 纽约时报.
[ad_2]
Source link
