TikTok heeft de meest gevoelige financiële gegevens van zijn grootste sterren – inclusief die in zijn “Creator Fund” – opgeslagen op servers in China. Eerder dit jaar zei CEO Shou Chew tegen het Congres: “Amerikaanse gegevens zijn altijd opgeslagen in Virginia en Singapore.”
Ode afgelopen jaren, duizenden TikTok-makers en bedrijven over de hele wereld hebben het bedrijf gevoelige financiële informatie gegeven, waaronder hun burgerservicenummers en belastingnummers, zodat ze door het platform kunnen worden betaald.
Maar zonder dat velen van hen het wisten, heeft TikTok die persoonlijke financiële informatie opgeslagen op servers in China die toegankelijk zijn voor werknemers daar, heeft Forbes vernomen.
TikTok gebruikt verschillende interne tools en databases van het in Peking gevestigde moederbedrijf ByteDance om betalingen te beheren aan makers die via de app geld verdienen, waaronder veel van de grootste sterren in de Verenigde Staten en Europa. Dezelfde tools worden gebruikt om externe leveranciers en kleine bedrijven die met TikTok werken te betalen. Maar uit een schat aan gegevens die Forbes heeft verkregen uit meerdere bronnen in verschillende delen van het bedrijf, blijkt dat zeer gevoelige financiële en persoonlijke informatie over die gewaardeerde gebruikers en derden in China is opgeslagen. De ontdekking roept ook vragen op over de vraag of werknemers die niet geautoriseerd zijn om toegang te krijgen tot die gegevens, daar wel toe in staat zijn geweest. Het is gebaseerd op interne communicatie, audio-opnamen, video’s, schermafbeeldingen, documenten met de markering ‘Privileged and Confidential’ en verschillende mensen die bekend zijn met de zaak.
Als getuigenis voor het Congres eerder dit jaar beweerde TikTok-CEO Shou Zi Chew dat Amerikaanse gebruikersgegevens zijn opgeslagen op fysieke servers buiten China. “Amerikaanse gegevens zijn in het verleden altijd opgeslagen in Virginia en Singapore, en toegang hiertoe is naar behoefte door onze ingenieurs wereldwijd”, zei hij onder ede tijdens een hoorzitting in maart.
TikTok-woordvoerder Alex Haurek zei in een verklaring dat “we vertrouwen blijven hebben in de juistheid van Shou’s getuigenis.” ByteDance reageerde niet op een gedetailleerd verzoek om commentaar. Op het moment van publicatie had geen van beide bedrijven fundamentele vragen beantwoord over de vraag of gevoelige belastinginformatie van Amerikaanse burgers wordt opgeslagen en toegankelijk is in China.
Het afgelopen jaar heeft TikTok zijn plannen aangeprezen om de gegevens van Amerikanen uit China af te schermen in een onderneming van $ 1,5 miljard genaamd Project Texas. Dat initiatief stond centraal in de onderhandelingen met de regering-Biden over een deal waardoor de razend populaire app in de VS zou kunnen blijven werken, ondanks langdurige bezorgdheid over de nationale veiligheid over zijn Chinese eigendom en het potentieel voor het platform om toezicht te houden of te beïnvloeden de 150 miljoen Amerikanen die het gebruiken. Maar sinds die gesprekken eind vorig jaar vastliepen, waarbij zowel FBI-directeur Christopher Wray als minister van Financiën Janet Yellen zich uitspraken over nationale veiligheidskwesties met de app, heeft de regering-Biden (via de Commissie voor Buitenlandse Investeringen in de VS) geëist dat TikTok splitst zich af van het Chinese moederbedrijf of wordt geconfronteerd met een mogelijk verbod.
“Er zijn lopende rechtszaken over TikTok die nog niet zijn opgelost”, zei Yellen, wiens afdeling CFIUS leidt, tijdens een hoorzitting in maart. En velen in het Congres hebben Project Texas helemaal in twijfel getrokken: “Ik geloof niet dat het technisch mogelijk is om te bereiken wat TikTok zegt te zullen bereiken via Project Texas”, zei de Californische Republikein Jay Obernolte tegen de CEO van TikTok tijdens de hoorzitting in maart. “Er zijn te veel achterdeurtjes.”
“Zelfs als TikTok geen dochteronderneming van een Chinees bedrijf zou zijn, zou dit een behoorlijk alarmerende IT-beveiligingsfout zijn.”
Voormalig Witte Huis en CIA-advocaat nationale veiligheid Bryan Cunningham
Identiteitsdiefstal met behulp van gestolen burgerservicenummers is niet ongebruikelijk in de VS, en de Chinese regering is er eerder van beschuldigd persoonlijke financiële informatie van Amerikanen te hebben gestolen. Een expert vertelde Forbes dat dit precies de reden is waarom TikTok’s verkeerde behandeling van dergelijke informatie verontrustend is.
“Zelfs als TikTok geen dochteronderneming van een Chinees bedrijf zou zijn, zou dit behoorlijk alarmerende IT-beveiligingsmisbruik zijn”, vertelde Bryan Cunningham, een voormalig nationale veiligheidsadvocaat voor het Witte Huis en de CIA, aan Forbes. Hij beschreef belastinggegevens als een van de meest gevoelige gegevens die er zijn.
“Het kan gewoon een slechte IT-praktijk zijn, het kan zijn dat ze het gevoel hadden dat ze een legitieme zakelijke behoefte hadden”, zei Cunningham over TikTok. “Maar wat de nuance daarvan ook blijkt te zijn… ga ervan uit dat de inlichtingendiensten het kunnen hebben als ze het willen. Ze richten zich misschien niet op jou, maar jongen, op het eerste gezicht is het hoogst twijfelachtig.
TikTok en ByteDance reageerden niet op vragen over hoeveel mensen bij de bedrijven toegang hebben tot de financiële informatie van makers, waar die werknemers zich bevinden en of er ongeautoriseerde toegang tot deze gegevens is geweest. Ze reageerden ook niet op vragen over hoe lang de betalingsgegevens van TikTok-gebruikers en verkopers in China waren opgeslagen en of dat nog steeds het geval is.
Wettelijk alarm slaan aan beide zijden van de Atlantische Oceaan
TikTok of ByteDance werknemers in China die toegang hebben tot gevoelige financiële gegevens van Amerikaanse gebruikers en bedrijven, kan om geopolitieke redenen problematisch zijn, vooral tegen de achtergrond van intensief toezicht door de regelgeving in de VS
Hoewel er in de VS geen nationale privacywet bestaat om te beschermen tegen verkeerd gebruik of misbruik van persoonlijk identificeerbare informatie, zou een van de grootste mededingers die vorig congres werd geïntroduceerd, van bedrijven eisen dat ze in hun privacybeleid duidelijk vermelden of gegevens die ze verzamelen “worden overgedragen aan, verwerkt in, opgeslagen in, of anderszins toegankelijk voor de Volksrepubliek China” en andere tegenstanders. En hoewel een eerdere schikking van de Federal Trade Commission met TikTok (toen Musical.ly) een duidelijk afzonderlijke reeks problemen behandelde – schendingen van de privacy van kinderen – zou het bureau die order in overweging kunnen nemen bij het evalueren van het gedrag van het bedrijf vandaag.
Heb je een tip over TikTok of ByteDance? Neem veilig contact op met de auteur, Alexandra S. Levine, op Signal/WhatsApp op (310) 526–1242, of e-mail haar op alevine@forbes.com.
Jessica Rich, voormalig directeur van het Bureau of Consumer Protection van de FTC, zei dat het bureau in een geval als dit waarschijnlijk zou overwegen of het bedrijf valse of bedrieglijke verklaringen had afgelegd over hoe het omgaat met gebruikersinformatie, bijvoorbeeld in een privacybeleid. of als de behandeling van die informatie een reëel risico op schade had gecreëerd. Ze wilde niet specifiek reageren op TikTok en ByteDance.
Het beleid van TikTok suggereert dat het passende maatregelen neemt om de gegevens van zijn gebruikers te beschermen. Makers die lid worden van TikTok’s Creator Fund gaan akkoord met “alle” TikTok-beleidsregels, inclusief privacyvoorwaarden waarin staat dat “bepaalde entiteiten binnen onze bedrijfsgroep … beperkte toegang op afstand krijgen tot informatie die we verzamelen” als dit nodig is voor de werking van het platform. Ze benadrukken ook dat “we redelijke maatregelen nemen om informatie te helpen beschermen tegen… ongeoorloofde toegang.” (Er staat wel dat TikTok gebruikersgegevens mag verzenden naar servers buiten de VS voor opslag of verwerking, en dat geen enkele gegevensopslag of -overdracht gegarandeerd veilig is.)
Rich, de voormalige federale toezichthouder, zei dat als een bedrijf beweert de toegang tot informatie af te sluiten maar deze vervolgens beschikbaar stelt aan werknemers over de hele wereld die deze niet nodig hebben, de FTC dat zou kunnen zien als een misleidende verklaring en als reden voor een mogelijke klacht over gegevensbeveiliging. Ze zei ook dat het bureau financiële informatie en sofinummers over het algemeen als gevoeliger beschouwt dan e-mailadressen of telefoonnummers, en dat het die gevallen van gegevensuitwisseling agressiever kan onderzoeken.
“Ik zou graag willen dat alles in de VS blijft, ik zou niet weten waarom het ooit in een Chinese database zou moeten worden opgeslagen.”
TikToker en Creator Fund-lid Zack Fairhurst
TikTok’s opslag van bankgegevens van Europese makers in China kan ook problematisch zijn onder de Europese privacywetgeving, de Algemene Verordening Gegevensbescherming.
Zelfs toen TikTok Project Clover lanceerde – een tegenhanger van Project Texas aan de andere kant van de Atlantische Oceaan – om de gegevens van zijn Europese gebruikers te beschermen, voert de Irish Data Protection Commission (TikTok’s leidende toezichthouder in de Europese Unie) al twee onderzoeken uit naar de vraag of het bedrijf heeft voldaan aan AVG. Bij een van die onderzoeken wordt specifiek gekeken of TikTok op onwettige wijze persoonlijke gegevens van Europese gebruikers heeft overgedragen van de EU naar China, en of het voldoende transparant was met gebruikers over hoe het met hun informatie omging. Gabriela Zanfir-Fortuna, vice-president voor wereldwijde privacy op het Future of Privacy Forum, zei dat ByteDance-tools die de gegevens van Europese makers op servers in China opslaan, om die reden problematisch kunnen zijn.
“Dit is het soort ding dat zou bevestigen dat er transfers zijn [of personal data] naar China gebeurt, dus ik weet zeker dat ze geïnteresseerd zouden zijn om dit te weten”, zei ze over de Ierse privacywaakhond. (Vorige week nog heeft de instantie een recordboete van $ 1,3 miljard opgelegd aan Facebook-moeder Meta, een van TikTok’s grootste rivalen, vanwege zijn eigen problemen met gegevensoverdracht.) De AVG vereist ook dat bedrijven de toegang tot gevoelige gebruikersgegevens beperken op basis van een noodzaak om te weten basis, voegde Zanfir-Fortuna eraan toe, wat vragen opriep over hoe breed toegang tot deze betalingstools was en of het nodig was.
De Commissie wil geen commentaar geven op haar lopende onderzoek naar TikTok, behalve om te zeggen dat ze na deze zomer een openbare update verwacht. TikTok’s beleid voor Europa zegt dat “bepaalde entiteiten in onze bedrijfsgroep, die zich buiten uw land van verblijf bevinden (zie hier), beperkte toegang op afstand tot deze informatie krijgen” en dat deze toegang “veilig is en alleen wordt verleend waar nodig onder strikte beveiligingscontroles. ” De opgenomen link (“hier”) komt terecht op een 404-foutpagina.
Makers reageren
TikToker Zak Fairhurst, een lid van het Creator Fund die dit voorjaar deelnam aan de blitz van het bedrijf op Capitol Hill, vertelde Forbes dat hij geen idee had dat zijn belastinggegevens en burgerservicenummer in China zouden kunnen zijn opgeslagen. (TikTok bracht in maart enkele makers naar Washington om de voordelen van de app onder de aandacht te brengen.)
“Het zou niet echt logisch zijn als het daar zou zijn”, zei Fairhurst tegen Forbes. “Ik zou graag willen dat alles in de VS blijft, ik zou niet weten waarom het ooit in een Chinese database zou moeten worden opgeslagen. … Daar ben ik eigenlijk door verrast.”
Andere makers herinnerden zich dat ze socialezekerheids- en financiële informatie naar TikTok hadden geüpload, maar vertelden Forbes dat ze niet onder de indruk waren van de mogelijkheid dat het in China is opgeslagen, omdat zichzelf online plaatsen normaal is voor degenen die een publiek en carrière willen opbouwen via sociale media.
“Er zijn zoveel meer urgente problemen in de VS”, vertelde Kathryn Cross, een 24-jarige maker van het TikTok-programma, aan Forbes. “Mijn moeder is opgegroeid in China, dus ik weet gewoon dat de Chinese overheid zo streng is over het behouden van een echte publieke figuur, in wezen, dat ze nooit zouden toestaan dat zoiets als een Cambridge Analytica-schandaal hun wereldwijde positie in gevaar zou brengen.
“Het voordeel dat TikTok heeft gebracht voor de bedrijven en levens van mensen, en de innovatie achter de For You-pagina, lijkt mij zoveel waardevoller dan de kleine kans dat China onze gegevens opslaat… meer nog lijkt het op een conflict van het buitenlands beleid, ‘ voegde ze eraan toe.
Internetster en lid van het TikTok Creator Fund Vivian Tu, een voormalige Wall Street-handelaar die financieel advies geeft onder de naam ‘YourRichBFF’, zei dat deelname aan het programma voor het genereren van inkomsten van een app ‘een berekend risico’ is.
“Als je het goed vindt om op TikTok te zijn,” zei ze tegen Forbes, “kan het je waarschijnlijk niet zoveel schelen dat je bankgegevens overal zijn opgeslagen.”
Emily Baker-White droeg bij aan rapportage.
MEER VAN FORBES
