Deskundigen hebben zich afgevraagd of TikTok qua privacy of veiligheid slechter is dan andere, in de VS gevestigde apps. Shutterstock / Primakov
De sociale media-app TikTok is een focus geweest voor zorgen dat de Chinese overheid toegang zou kunnen krijgen tot gegevens van individuele gebruikers. Of de app een veiligheidsrisico vormt blijft onduidelijk, maar TikTok is nu in verschillende landen verboden op overheidsapparaten.
Rapporten suggereren echter dat computergebaseerde tools die zijn ontworpen om gegevens te verzamelen uit publiek beschikbare bronnen ook uitgebreide informatie kunnen verzamelen over TikTok-gebruikers – evenals die op andere netwerkapps. Deze Open Source Intelligence (OSINT) tools hebben geen speciale toegang tot apps nodig. Dit roept vragen op die gelden voor alle vormen van sociale media.
In 2015 zei president Xi Jinping van China tijdens een bezoek aan het VK: “De Chinese regering steunt Chinese bedrijven in het wereldwijd gaan. Maar we geloven dat dit proces marktgericht moet zijn, waarbij bedrijven de belangrijkste motor zijn.”
Het jaar daarop lanceerde het in Beijing gevestigde particuliere bedrijf ByteDance een app voor het delen van video’s, genaamd Douyin. Voor gebruikers buiten China creëerden ze in 2017 TikTok.
Om zijn plaats op de wereldmarkt te verzekeren, nam ByteDance niet gewoon de Douyin-app en herconfigureerde die voor de 40 talen die hij nu ondersteunt. In plaats daarvan betaalde het bedrijf bijna 1 miljard dollar (816 miljoen pond) voor een bedrijf genaamd Musical.ly, opgericht in 2014.
Hoewel gevestigd in Shanghai, had Musical.ly al een kantoor in Californië. Door de fusie eind 2018 uit te voeren en de naam TikTok te behouden, verhoogde ByteDance snel de snelheid waarmee hun app werd gedownload. Eind 2018 was TikTok een van de meest gedownloade apps ter wereld.
Het is je misschien vergeven als je denkt dat dit het zoveelste klassieke staaltje van corporate engineering was dat resulteerde in een internetsensatie. Sommige overheden in Europa en Noord-Amerika lijken echter te denken dat TikTok meer is dan een simpele commerciële onderneming.
Verschuivende geopolitiek
TikTok is een bliksemafleider geweest voor een verschuiving in het sentiment waardoor het VK, de EU, Canada en de VS de app om veiligheidsredenen hebben verboden op overheidsapparaten. TikTok werd in 2020 net niet volledig verboden in de VS door de toenmalige president Donald Trump. Onder de regering Biden is die dreiging nu nieuw leven ingeblazen.
Veel van de bezorgdheid over TikTok wordt gevoed door Chinese overheidswetgeving die bedrijven die in het land gevestigd zijn dwingt om indien nodig samen te werken met de staatsautoriteiten. Het is een open vraag of TikTok echt een veiligheidsrisico is; het zou ook een bedrijf kunnen zijn dat gevangen zit in het kruisvuur van spanningen tussen landen.
Kantoren van ByteDance in Shanghai, China.
Shutterstock / Robert Way
Beveiligingszorgen werden ondersteund door een rapport in 2022 van cyberbeveiligingsbedrijf Internet 2.0. Uit hun onderzoek bleek dat TikTok gegevens vastlegde die in potentie nuttig konden zijn, mocht iemand een profiel van de gebruiker willen opbouwen.
Dit zou een puur theoretische dreiging zijn gebleven als de gegevens niet aan China werden doorgegeven. Lange tijd stond TikTok erop dat alle gegevens die door hun servers werden verzameld door niemand in China konden worden ingezien.
In november 2022 veranderde het bedrijf zijn privacybeleid. Het zei nu dat personeel in China toegang kon krijgen tot gegevens. In feite ging het verder en verklaarde dat de gegevens van Europese gebruikers toegankelijk waren voor TikTok-medewerkers in Brazilië, Canada, Israël, de VS en Singapore. Dit hielp weinig om de bezorgdheid over de veiligheid weg te nemen.
ByteDance heeft op de recente verboden gereageerd door te zeggen dat het geen gebruikersgegevens aan de Chinese overheid heeft verstrekt. Het beweert ook dat zijn gegevensverzamelingspraktijken overeenkomen met die van andere sociale media bedrijven.
Code analyse
Twee andere rapporten van zeer gerespecteerde onderzoeksgroepen van Citizen labs en het Georgia Institute for Technology gingen na of TikTok een bedreiging was voor de nationale veiligheid, of voor gebruikers in het algemeen. Uit een gedetailleerde analyse van de code in de app bleek dat TikTok was gebaseerd op Douyin, de versie voor Chinese gebruikers, die functies heeft waardoor het voldoet aan de Chinese censuur regelgeving.
Deze gemeenschappelijke code blijkt te zijn aangepast aan verschillende wereldwijde vereisten. Citizen Labs rapporteerde: “… het eindresultaat van het aanpassen van de gemeenschappelijke codebasis lijkt een product te creëren dat grotendeels de internationale industrienormen volgt, aangezien we geen ongewenste functies hebben gevonden zoals die in Douyin, noch sterke afwijkingen van privacy-, beveiligings- en censuurpraktijken in vergelijking met de concurrenten van TikTok, zoals Facebook.”
Dit suggereert dat TikTok, zoals geleverd aan wereldwijde markten, niet slechter is in termen van het oogsten van gebruikersgegevens dan andere sociale mediaplatforms. De conclusies van het Georgia Tech rapport waren vergelijkbaar en merkten op dat de Chinese overheid geen speciale wettelijke bevoegdheden over ByteDance nodig had om toegang te krijgen tot gegevens, omdat er zoveel vrij wordt aangeboden.
Elke OSINT tool kan gebruikt worden om gebruikersgegevens te verzamelen, of de service provider nu meewerkt of niet. Deze tools kunnen bijvoorbeeld gebruikt worden om een lijst van volgers te verzamelen voor een individuele gebruiker. In bepaalde gevallen kunnen ze zelfs toegang krijgen tot meer persoonlijke informatie, zoals een e-mailadres voor een bepaald profiel.
Doel onduidelijk
Bedrijven als Facebook zijn duidelijk over waarom ze je gegevens verzamelen: ze gebruiken de informatie om advertenties te verkopen. De vraag is dan, wat is de echte bedoeling achter het verzamelen van gebruikersgegevens door TikTok?
Het Citizen Lab rapport merkte een sluimerende twijfel op dat sluimerende functies geschreven voor Douyin maar niet gebruikt in TikTok door de computerservers van TikTok kunnen worden ingeschakeld. De feiten suggereren dat TikTok je gegevens zou kunnen opscheppen, maar er is geen bewijs dat ze dat actief doen.
Een even relevant punt van zorg is hoe sociale media bedrijven informatie filteren die aan jou wordt gepresenteerd. Zogenaamd “schaduw-bannen” – gebruikers uitsluiten van de feeds van mensen omdat het bedrijf niet houdt van wat ze zeggen – komt steeds vaker voor.
Nu de spanningen tussen verschillende landen, waaronder China, de VS en Europa, toenemen, is het moeilijk om niet te concluderen dat de belangrijkste drijfveren achter sommige TikTok-verboden verband houden met bredere geopolitieke zorgen.
In veel opzichten is dit irrelevant als het gaat om de veiligheid van smartphones en andere technologie van de overheid. Als we de motivatie even buiten beschouwing laten, suggereert het feit dat alle platforms mogelijk toegang hebben tot informatie die privé zou moeten blijven, voor mij dat elke sociale media-app zou moeten worden verboden op officiële apparaten.
Alan Woodward werkt niet voor, geeft geen advies aan, bezit geen aandelen in en ontvangt geen financiering van bedrijven of organisaties die baat hebben bij dit artikel, en heeft geen relevante banden bekendgemaakt buiten zijn academische aanstelling.
