在TikTok上，一切看似歡樂遊戲，直到中國索要你的信息——《華爾街日報》

Joel Thayer

2022-07-22

美國的新報道引發了對中國政府是否能夠獲取美國TikTok用户個人數據的嚴重質疑。然而，運營着兩大應用商店的蘋果和谷歌似乎對此並不擔憂。

BuzzFeed獲取的TikTok內部會議泄露音頻顯示，該公司去年秋天向國會宣誓作證時聲稱美國用户數據由"世界知名的美國本土安全團隊"管理的説法存在矛盾。BuzzFeed報道稱，美國員工無法獨立訪問這些數據，必須向中國同事詢問用户信息的去向。根據BuzzFeed的消息，至少從2021年9月至2022年1月，位於中國的工程師能夠訪問非公開的美國用户數據。

BuzzFeed報道指出"錄音顯示，中國員工訪問美國用户數據的絕大多數情況"是為了阻止美國數據流向中國。但中國工程師擁有這種訪問權限的事實構成了國家安全風險。如果一家科技公司在中國大陸運營，共產黨可以輕易獲取其數據。一種方式是通過中國的《數據安全法》，該法律允許政府對在中國境內收集"核心數據"（這個寬泛術語指北京認為涉及國家或安全關切的任何信息）的私營企業的信息存儲和管理實踐進行監管。

抖音表示，就在BuzzFeed報道發佈前不久，美國用户數據的"默認存儲位置"將被路由到甲骨文雲基礎設施。但如果中國工程師仍能訪問這些內容，他們很容易將其存儲在中國大陸的服務器上，甚至可能是無意的。BuzzFeed的報道詳細描述了抖音信任與安全部門的一名成員在2021年秋季的一次會議上説，“中國可以看到一切”。更糟糕的是，一位未透露姓名的董事提到了一位位於北京的"主管理員"，他可以訪問應用程序上的"一切"。

(抖音對BuzzFeed的報道作出回應：“我們知道從安全角度來看，我們是受到最嚴格審查的平台之一，我們的目標是消除對美國用户數據安全的任何疑慮。這就是為什麼我們聘請了各領域的專家，不斷努力驗證我們的安全標準，並引入信譽良好的獨立第三方來測試我們的防禦措施。“其母公司字節跳動沒有提供額外的評論。)

中國政府可能會從抖音收集的美國用户數據中發現很多有價值的信息。根據公司的隱私政策，它收集消費者的即時位置、搜索歷史和生物識別數據（如指紋或面部印記）。這些信息對於創建身份檔案非常寶貴，黑客可以將其出售給中國黑市上的最高出價者以實施身份欺詐，或者中國政府可以利用其強制科技公司提供的信息來訪問美國聯邦僱員的記錄。政府支持的黑客可以創建被盜指紋的準確掃描，以幫助破解雙因素安全系統。

更糟糕的是，TikTok要求使用設備麥克風收集聲紋。由於無法獲取僅該公司掌握的TikTok源代碼，我們難以知曉該應用如何利用所獲權限。但有證據表明，它甚至會在用户未使用時進行錄音。TikTok用户反映，當應用關閉時，蘋果的應用監控功能（會在應用訪問麥克風或攝像頭時提醒機主）發出警報，顯示TikTok正在訪問麥克風。若其權限真如暗示般廣泛，中國政府或將智能手機變為監聽設備。

BuzzFeed的報道促使聯邦通信委員會委員布倫丹·卡爾致函蘋果和谷歌，要求將這款應用作為"不可接受的國家安全風險"下架。

卡爾先生的判斷正確。TikTok在政策制定者和新聞工作者中的流行，可能使中國共產黨無限制獲取美國影響力人物的數據。這為我國安全打開了可怕缺口——中國或能竊聽政府官員私人談話進行勒索，或鑑於眾多官員使用私人設備處理公務，竊取其憑證獲取絕密信息。截至2020年，TikTok可訪問蘋果設備剪貼板內容，這可能危及使用密碼管理器保護賬户的所有人。若用户剪貼板曾短暫保存過政府憑證，便可能成為入侵聯邦機構的突破口。

抖音表示將停止訪問iOS設備用户的剪貼板內容，此前蘋果iOS 14的新隱私透明度功能顯示其仍在進行此操作。但尚不清楚是否已停止，且承諾未附帶具體日期。

美國科技公司長期掌握充分證據表明抖音構成嚴重威脅。特朗普總統2020年曾下令禁止抖音進入美國市場，該禁令於去年6月被拜登總統撤銷。

但即便現在，蘋果和谷歌似乎對抖音的行為無動於衷。兩家公司的應用商店均有開發者準則禁止此類行為。蘋果開發者準則第5.1.2(ii)條規定：“未經額外同意或法律明確允許，為某一目的收集的數據不得另作他用。“抖音用户可能同意應用收集其數據，但顯然未被明確詢問是否同意將數據提供給中國政府。蘋果聲稱因"侵犯隱私"已拒絕超過34.3萬個應用上架App Store，但抖音似乎獲得例外——甚至被列為蘋果應用商店首頁的"iPhone必備”。

抖音的商業價值可能過高而難以被下架。其在美國擁有1億月活躍用户，其中多數使用應用而非網頁端。每個賬户都意味着蘋果和谷歌應用商店的活躍度，這兩家美國公司也能獲取應用數據。同時，蘋果和谷歌與北京保持良好關係利益重大。為在中國銷售設備和服務，蘋果同意協議移除大部分加密技術並允許官員管理其大陸數據中心的計算機等。谷歌也在中國開展業務。

卡爾先生無法強制蘋果和谷歌改變其做法，但國會可以通過立法來保護美國消費者。立法者可以徹底禁止該應用，或者至少要求蘋果和谷歌允許比其自身應用商店更安全的替代方案。

TikTok對國家安全和美國人的隱私構成嚴重威脅。如果企業不願消除這一威脅，國會就需要採取行動。

塞耶先生是數字進步研究所所長，也是駐華盛頓的電信和科技律師。

照片：Avishek Das/Zuma Press刊登於2022年7月22日印刷版，標題為’TikTok是娛樂遊戲，直到中國想要你的信息’。