El proyecto, asignado a un equipo dirigido por Beijing, habría implicado el acceso a los datos de ubicación desde algunos dispositivos de usuarios estadounidenses sin su conocimiento o consentimiento.
Un equipo con sede en China en la empresa matriz de TikTok, ByteDance, planeó usar la aplicación TikTok para monitorear la ubicación personal de algunos ciudadanos estadounidenses específicos, según los materiales revisados por Forbes.
El equipo detrás del proyecto de monitoreo, el departamento de Auditoría Interna y Control de Riesgos de ByteDance, está dirigido por el ejecutivo con sede en Beijing Song Ye, quien informa al cofundador y CEO de ByteDance, Rubo Liang.
El equipo lleva a cabo principalmente investigaciones sobre posibles faltas de conducta de los empleados actuales y anteriores de ByteDance. Pero en al menos dos casos, el equipo de Auditoría Interna también planeó recopilar datos de TikTok sobre la ubicación de un ciudadano estadounidense que nunca había tenido una relación laboral con la empresa, según muestran los materiales. No está claro por los materiales si los datos sobre estos estadounidenses se recopilaron realmente; sin embargo, el plan era que un equipo de ByteDance con sede en Beijing obtuviera datos de ubicación de los dispositivos de los usuarios de los Estados Unidos.
La portavoz de TikTok, Maureen Shanahan, dijo que TikTok recopila información aproximada de ubicación basada en las direcciones IP de los usuarios para «entre otras cosas, ayudar a mostrar contenido y anuncios relevantes a los usuarios, cumplir con las leyes aplicables y detectar y prevenir el fraude y el comportamiento no auténtico».
Pero el material revisado por Forbes indica que el equipo de Auditoría Interna de ByteDance estaba planeando usar esta información de ubicación para vigilar a ciudadanos estadounidenses individuales, no para dirigirse a anuncios o a cualquiera de estos otros fines. Forbes no está revelando la naturaleza y el propósito de la vigilancia planificada a la que se hace referencia en los materiales para proteger las fuentes. TikTok y ByteDance no respondieron preguntas sobre si la Auditoría Interna se ha dirigido específicamente a algún miembro del gobierno de los Estados Unidos, activistas, figuras públicas o periodistas.
Según se informa, TikTok está a punto de firmar un contrato con el Comité de Inversión Extranjera en los Estados Unidos (CFIUS) del Departamento del Tesoro, que evalúa los riesgos de seguridad nacional planteados por las empresas de propiedad extranjera, y ha estado investigando si la propiedad china de la compañía podría permitir al gobierno chino acceder a información personal sobre los Estados Unidos. Usuarios de TikTok.( Divulgación: En una vida pasada, octuuve puestos de política en Facebook y Spotify.)
En septiembre, el presidente Biden firmó una orden ejecutiva que enumera los riesgos específicos que CFIUS debería tener en cuenta al evaluar las empresas de propiedad extranjera. La orden, que establece que tiene la intención de «infatice… los riesgos que presentan los adversarios extranjeros al acceso a los datos de las personas de los Estados Unidos», se centra específicamente en el uso potencial de los datos por parte de las empresas extranjeras «para la vigilancia, el rastreo, el seguimiento y la orientación de individuos o grupos de individuos, con posibles impactos adversos en la seguridad
El Departamento del Tesoro no respondió a una solicitud de comentarios.
El equipo de Auditoría Interna y Control de Riesgos realiza auditorías e investigaciones periódicas de los empleados de TikTok y ByteDance, por infracciones como conflictos de intereses y mal uso de los recursos de la empresa, y también por filtraciones de información confidencial. Los materiales internos revisados por Forbes muestran que los altos ejecutivos, incluido el CEO de TikTok, Shou Zi Chew, han ordenado al equipo que investigue a los empleados individuales, y que ha investigado a los empleados incluso después de que abandonaran la empresa.
El equipo de auditoría interna utiliza un sistema de solicitud de datos conocido por los empleados como el «canal verde», según los documentos y registros de Lark, el software de gestión de oficinas internas de ByteDance. Estos documentos y registros muestran que las solicitudes de «canal verde» de información sobre los empleados de EE. UU. han extraído esos datos de China continental.
TikTok y ByteDance no respondieron preguntas sobre si la Auditoría Interna se ha dirigido específicamente a algún miembro del gobierno de los Estados Unidos, activistas, figuras públicas o periodistas.
«Al igual que la mayoría de las empresas de nuestro tamaño, tenemos una función de auditoría interna responsable de auditar y evaluar objetivamente la adhesión de la empresa y de nuestros empleados a nuestros códigos de conducta», dijo la portavoz de ByteDance, Jennifer Banks, en un comunicado. «Este equipo proporciona sus recomendaciones al equipo de liderazgo».
ByteDance no es el primer gigante tecnológico que ha considerado el uso de una aplicación para monitorear usuarios específicos de EE. UU. En 2017, el New York Times informó que Uber había identificado a varios políticos y reguladores locales y les había servido una versión separada y engañosa de la aplicación Uber para evitar sanciones regulatorias. En ese momento, Uber reconoció que había dirigido el programa, llamado «greyball», pero dijo que se usaba para negar las solicitudes de viaje a «oponentes que connía con los funcionarios sobre «manchas» secretas destinadas a atrapar a los conductores», entre otros grupos.
TikTok no respondió a las preguntas sobre si alguna vez ha servido contenido o experiencias diferentes a funcionarios gubernamentales, reguladores, activistas o periodistas que al público en general en la aplicación TikTok.
Según se informa, tanto Uber como Facebook también rastrearon la ubicación de los periodistas que informaban en sus aplicaciones. Una investigación de 2015 realizada por el Centro de Información de Privacidad Electrónica encontró que Uber había monitoreado la ubicación de los periodistas que cubrían la empresa. Uber no respondió específicamente a esta afirmación. El libro de 2021 An Ugly Truth alega que Facebook hizo lo mismo, en un esfuerzo por identificar las fuentes de los periodistas. Facebook no respondió directamente a las afirmaciones del libro, pero un portavoz dijo a San Jose Mercury News en 2018 que, al igual que otras empresas, Facebook «utiliza rutinariamente los registros comerciales en las investigaciones en el lugar de trabajo».
«Es imposible evitar que los datos que no deben almacenarse en CN se conserven en servidores basados en CN».
Pero un factor importante distingue la recopilación planificada de información de usuarios privados por parte de ByteDance de esos casos: TikTok dijo recientemente a los legisladores que el acceso a ciertos datos de usuarios de los Estados Unidos, probablemente incluida la ubicación, estará «limitado solo al personal autorizado, de acuerdo con los protocolos que se están desarrollando con los Estados Unidos. Gobierno». TikTok y ByteDance no respondieron preguntas sobre si el ejecutivo de Auditoría Interna Song Ye u otros miembros del departamento son «personal autorizado» a los efectos de estos protocolos.
Estas promesas son parte del Proyecto Texas, el enorme esfuerzo de TikTok para reconstruir sus sistemas internos para que los empleados con sede en China no puedan acceder a una franja de datos de identificación de usuarios «protegida» sobre EE. UU. Usuarios de TikTok, incluyendo sus números de teléfono, cumpleaños y borradores de vídeos. Este esfuerzo es fundamental para las negociaciones de seguridad nacional de la compañía con CFIUS.
En una audiencia del Senado en septiembre, la directora de operaciones de TikTok, Vanessa Pappas, dijo que el próximo contrato de CFIUS «satisfacción con todas las preocupaciones de seguridad nacional» sobre la aplicación. Aún así, algunos senadores parecían escépticos. En julio, el Comité de Inteligencia del Senado comenzó una investigación sobre si TikTok engañaba a los legisladores al retener información sobre el acceso de los empleados con sede en China a los datos de EE. UU. a principios de este año, después de un informe de junio en BuzzFeed News que mostraba que los datos de los usuarios de EE. UU. habían sido accedidos repetidamente por los empleados de Byte
En una declaración sobre los controles de acceso a los datos de TikTok, el portavoz de TikTok, Shanahan, dijo que la compañía utiliza herramientas como el cifrado y la «monitorización de seguridad» para mantener los datos seguros, la aprobación del acceso es supervisada por el personal de los Estados Unidos y que los empleados tienen acceso a los datos de los Estados Unidos «en una base necesaria».
No está claro qué papel desempeñará el equipo de Auditoría Interna de ByteDance en los esfuerzos de TikTok para limitar el acceso de los empleados con sede en China a los datos de los usuarios de los Estados Unidos, especialmente teniendo en cuenta los planes del equipo de monitorear las ubicaciones de algunos ciudadanos estadounidenses utilizando la aplicación TikTok. Pero una evaluación del riesgo de fraude escrita por un miembro del equipo a finales de 2021 destacó las preocupaciones de almacenamiento de datos, diciendo que, según los empleados responsables de los datos de la empresa, «es imposible evitar que los datos que no deben almacenarse en CN se conserven en servidores basados en CN, incluso después de que ByteDance establezca un cetner de almacenamiento primario [sic] en [Los datos de la lancreción se guardan en China.]» (entre brackets en original).
Además, una conversación de audio filtrada de enero de 2022 muestra que el equipo con sede en Beijing estaba, en ese momento, recopilando información adicional sobre el Proyecto Texas. En la llamada, un miembro de TikTok’s U.S. El equipo de Confianza y Seguridad contó una conversación inusual a su gerente: Chris Lepitak, Auditor Interno Jefe de TikTok, le había pedido al empleado que se reuniera en un restaurante en el área de Los Ángeles fuera de horario. Lepitak, que informa a Song Ye, con sede en Pekín, luego le hizo al empleado preguntas detalladas sobre la ubicación y los detalles del servidor Oracle, que es fundamental para los planes de TikTok de limitar el acceso extranjero a los datos personales de los usuarios de los Estados Unidos. El empleado le dijo a su gerente que estaba «atasado» por el intercambio. TikTok y ByteDance no respondieron a las preguntas sobre esta conversación.
El portavoz de Oracle, Ken Glueck, dijo que si bien TikTok utiliza actualmente los servicios en la nube de Oracle, «no tenemos absolutamente ninguna idea de una manera u otra» sobre quién puede acceder a los datos de los usuarios de TikTok. «Hoy en día, TikTok se está ejecutando en la nube de Oracle, pero al igual que Bank of America, General Motors y un millón de otros clientes, tienen el control total de todo lo que están haciendo», dijo.
Esto corrobora una declaración de enero hecha por el Jefe de Defensa de Datos de TikTok en otra llamada de audio filtrada. En esa llamada, el ejecutivo le dijo a un colega: «Es casi incorrecto llamarlo Oracle Cloud, porque solo nos están dando metal desnudo, y luego estamos construyendo nuestras máquinas virtuales [máquinas virtuales] encima».
Glueck dejó claro que esto cambiaría si y cuando TikTok finalice su contrato con el gobierno federal. «Pero a menos que y hasta que ese sea el caso», dijo, Oracle no está proporcionando nada «que no sea nuestra propia seguridad» para TikTok.
TikTok no respondió a las preguntas de Forbes sobre el estado de las negociaciones de la compañía con CFIUS. Pero en una declaración a Bloomberg publicada esta mañana, la portavoz de TikTok, Brooke Oberwetter, dijo: «Estamos seguros de que estamos en camino de satisfacer plenamente todas las preocupaciones razonables de seguridad nacional de los Estados Unidos».
QAnons España 