最近,一家网络安全公司发表报告指出,TikTok大量搜集用户个人数据,其操作系统的服务器也与中国有连接。报告再次引发人们关注抖音、微信等具中国背景的应用程式安全性。
作为风靡全球的短视频应用程序,TikTok在世界各地已有超过10亿的活跃用户, 也是全球第6大的最常用应用程序,2020年下载量超过20亿。不过,就在越来越多海外用户安装使用TikTok的同时,网络安全公司Internet2.0也在警告,TikTok可能已在不知不觉中搜集了大量的用户个人数据,而且可能已被北京掌控。
美国智库战略与国际研究中心(CSIS)研究员陈智美 (Caitlin Chin)告诉本台: “这是真的。这确认了我们很多人都在怀疑的事情,就是TikTok的确在收集大量信息,而且其中很多是非常私人的信息。”她还担忧,这些数据可能已被北京获取。
报告:TikTok大量搜集“非必要”的用户个资
Internet2.0是一家由美、澳前军方网络安全专家组成的资安公司。在最近发表的一份报告中,他们透过分析TikTok在安卓Android 25.1.3与苹果IOS 25.1.1.应用程式的源代码并测试发现,TikTok过度收集用户个人数据,包括检索手机上所有其他正在运行的应用程序,和已安装在手机上的所有应用程序。理论上,这些信息可以提供一份手机用户的使用习惯详解图。
另外,TikTok至少每小时检查一次用户的设备位置,还会持续访问其行事历。TikTok 还可获得用户的联系簿,如果用户拒绝访问,它会不断请求,直到用户授予访问权限。
陈智美说,“这些信息可以马上揭示或用以推断出大量信息。比如,这些数据可显示你日常和谁联系,你与哪些政治组织有关,还可以显示你平时都做些什么。”
TikTok还能在Android系统上收集很多设备详细信息代码,包括无线网络用户名,SIM卡序列号,设备语音信箱号码, GPS状态信息(位置更新), 活跃订阅信息,完全读取剪贴板的权限(由于密码管理器使用剪贴板,可从密码管理器读取密码)等等。
报告还发现,TikTok IOS 25.1.1的服务器与中国有连接,是由一家中国网络安全和数据“百强企业”贵州白山云科技有限公司运营。尽管TikTok声称用户数据存储在美国和新加坡,但该报告发现“IOS应用程序中许多子域分散在世界各地”的证据,其中,包括中国白山。
报告结论是,为了让TikTok应用程序正常运行,绝大部分的访问和设备数据收集都是不必要的。收集这些信息的唯一理由就是为了“数据获取(Data Harvesting)”。
陈智美说,这份报告加上最近其它的媒体报导, 意味着有潜在的后门,让中国政府可以获取这些个人信息。“这的确提出问题,TikTok在收集哪些类型数据,尤其是这些是非必要信息,中国政府又可潜在性获得,尽管存储在中国之外。这让人对于私人交流的隐私性产生担忧。”
TikTok发言人否认相关指控
不过,TikTok的一位发言人在回覆本台记者置评请求的邮件时,否认该报告中透过IP地址分析,就认定他们与中国有联络的结论,这名发言人表示 “IP地址在新加坡,网络通信也不离开该地区,暗示与中国有沟通连接,绝对是不真实的。”
但为什么要收集海外用户数据?这名发言人则称,他们收集的数据信息量并不象报告列出的那么多,而且比很多流行的移动应用程序要少,收集目的是为“改善用户体验”。该发言人重申,用户数据存储在美国和新加坡,并使用加密和安全监控等访问方式,来保护用户数据,访问批准流程,是由美国的安全团队监督。
美官员 要求谷歌和苹果 下架TikTok
去年6月,拜登政府撤销了前总统特朗普时代对TikTok和微信发布的禁令。事实上,特朗普时代发布禁止在美国司法管辖下的任何个人或公司、与TikTok或WeChat及其母公司发生任何交易,但这禁令在在美国法庭受阻,一直没生效。
而据美国媒体BuzzFeed今年6月17日的报道,至少在2021年9月至2022年1月期间, TikTok美国用户的数据资料曾被母公司字节跳动的中国员工多次访问。
同一天,Tiktok宣布与甲骨文公司达成协议,将美国用户的私人信息保存到甲骨文的云服务器, 但有专家认为,这并没有解决中国员工可以存取这些资料的事实。
6月24日,美国联邦通信委员会专员布伦丹·卡尔(Brendan Carr)致信谷歌和苹果两大公司,要求他们从其应用平台上撤下Tiktok。他在信中指出,Tiktok收集了大量美国用户的数据。但该公司受制于中国共产党,中国法律要求公司监视其用户。中国政府能够不受限制地使用这些用户数据,这给美国的国家安全带来风险。
前 微博 审查员:盼更多直接证据揭露TikTok
针对TikTok用户数据面临的风险,在美国的前微博审查员刘力朋告诉本台,“我还是希望有些更技术性的报告,或者吹哨人直接把文档泄露出来,告诉说他们是怎么操作的。就是这种直接证据,才能把局势直接逆转过来。”
刘力朋提到,显示TikTok与中国当局相互配合的证据有很多,包括TikTok不允许中国国内用户注册。“如果它不需要遵守中国所谓的网络主权,不需要和官方达成默契,那它为何采取如此显眼的动作?”
另一证据是,TikTok并没有真正被中国的防火墙屏蔽。刘力朋说,官方只是屏蔽掉了其登陆服务器,但它真正保存内容的服务器却没被屏蔽。
阻止中国窃取个资:立法还是全面禁用?
积极搜集用户个资的不止TikTok。资安公司Internet 2.0 今年6月的一份报告指出,澳洲微信海外版WeChat用户的手机系统、行动网路、全球定位系统(GPS)、身分识别(ID)、微信支付交易等相关数据,都会流向香港的伺服器,资安状况堪忧。尤其是港版《国安法》实施后,澳洲至少69万微信用户的数据恐怕已被北京掌握。
如何有效防范北京窃取这些个人信息?陈智美认为要靠立法,因为在美国目前还没有联邦的数据隐私法,“很大问题在于美国的法律制度允许几乎无限制的数据收集。这是我们首先要解决的。”
不过,在美国的时事评论员唐靖远分析,“中国当局是把TikTok等公司当作最为搜集情报,甚至是渗透扩张,输出意识形态的武器来使用的。”他认为立法只能治标,但对TikTok这种受中共控制、真正怀有恶意的一些公司,只有全面禁用才是治本之道。
记者: 凯迪 责编:郑崇生 网编:洪伟