美媒称TikTok"太天真":花数年保护美国数据安全,却没逃过这一劫

(原标题:TikTok Spent Years Developing Data Security Plan: Washington Ignored It)

3月19日消息,在过去几年里,TikTok为应对美国联邦政府对其应用可能带来的国家安全风险的审查,已投入高达15亿美元,并对业务架构进行了大刀阔斧的调整。然而,这一切努力似乎并未取得预期效果。

此前,TikTok为确保美国业务的安全,设立了繁琐的内部审查机制,从应用更新到创作者邮件的每一环节都需经过专门的数据安全部门严格把关,这无疑给员工带来了沉重的负担,也引发了他们的不满情绪。

如今,这种策略的局限性已暴露无遗。上周,美国众议院以压倒性多数通过了一项针对TikTok的法案,要求其与母公司字节跳动彻底切割,否则将面临美国的全面禁令。这一结果凸显了TikTok管理层在解读美国政治形势时的严重失误。他们曾认为,通过专注于数据安全等技术层面的问题,将美国用户数据隔离在甲骨文管理的服务器上,便能化解危机。然而,现实却远非如此。

事实上,国会议员们更为关注的是该应用的所有权问题。在TikTok内部,员工们开始反思,为何没有更早地积极游说国会,以争取更多理解和支持。此前,公司的公共政策团队曾多次敦促高层采取更为积极的行动,但这些建议在很大程度上被忽视了,这让员工们倍感沮丧。

雪上加霜的是,负责起草禁令的关键人物之一是副检察长丽莎·莫纳科(Lisa Monaco),她曾作为美国外国投资委员会(CFIUS)的代表,亲自监督与TikTok的谈判。这意味着,莫纳科对TikTok为保护美国用户数据所做的努力有着深入的了解,但其却依然支持禁令。

如今,TikTok内部员工深感自己陷入了进退两难的境地。公司无法撤销数据安全部门,因为这样做只会引来立法者更多的攻击。尽管该部门的维护成本高昂,且并未能有效抵御外部攻击,但解散它显然不是明智之举。更令人担忧的是,一些TikTok员工对在美国数据安全部门工作持保留态度,认为这个部门前景黯淡,不太可能获得公司内部额外的资金支持。这个美国数据安全部门是“得克萨斯计划”(Project Texas)下设立的子公司,旨在确保美国用户数据的安全。

在过去的一年里,TikTok一直公开强调其通过“得克萨斯计划”来保护用户数据的决心。然而,一些政界人士指出,有关TikTok仍与字节跳动员工分享美国数据的报道,已经证明这种安排并不奏效。众议院禁令的共同提案人之一,众议员拉贾·克里希纳莫西(Raja Krishnamoorthi)上周表示,TikTok关于美国用户数据无法被中国员工获取的保证已被“证明是错误的”。去年夏天,另一位共同提案人众议员迈克·加拉格尔(Mike Gallagher)在给参议员马可·卢比奥(Marco Rubio)的信中,称“得克萨斯计划”不过是一种“烟幕安全措施”,实际效果堪忧。

TikTok发言人在一份声明中指出,:“公司主动发起了一项重要举措,旨在为美国用户数据打造一个安全无虞的环境,确保平台不受外部影响,并对我们的内容推荐和审核工具实施额外的保障措施。目前,美国用户的数据默认存储在Oracle云以及公司专设的美国数据安全基础设施中。”这位女发言人进一步补充说,TikTok在过去一年中已经采取了积极行动,允许甲骨文公司全面访问其源代码和算法。如今,美国的算法存储在甲骨文的云基础设施中,专门用于处理美国用户数据,并由美国数据安全公司的专业员工进行监督。

“得克萨斯计划”未能奏效

CFIUS对TikTok的审查起源于字节跳动对音乐应用Musical.ly的收购。这一收购动作将Musical.ly整合到了当时初出茅庐的TikTok应用中,虽然当时两者均为中国公司,但Musical.ly已在美国拥有大量用户,并在加州圣莫尼卡设有办事处。这一交易在2019年底引起了CFIUS的注意,当时TikTok正凭借吸引年轻用户的优势,迅速在美国市场扩张。

TikTok的迅速崛起及其所有权问题引发了美国对国家安全问题的担忧。2020年中期,时任总统唐纳德·特朗普(Donald Trump)发布行政命令,意图禁止TikTok,除非字节跳动将其出售给美国买家,这一举措导致该应用一度面临被拍卖的境地。随后,微软退出收购谈判,特朗普政府转而考虑让甲骨文成为TikTok在美国的“值得信赖的技术合作伙伴”。然而,随着TikTok成功起诉政府并阻止行政命令的执行,以及乔·拜登(Joe Biden)在2020年底赢得总统选举,这一禁令威胁逐渐消退。

在拜登政府时期,TikTok与CFIUS的谈判仍在继续。字节跳动和TikTok驻美国的总法律顾问埃里希·安德森(Erich Andersen)在谈判中发挥了关键作用,他于2020年初从微软加入该公司。为了缓解监管机构对第三方可能访问美国用户数据或影响应用内容的担忧,TikTok在2020年底左右开始制定“得克萨斯计划”这一数据安全举措。该计划的核心在于,甲骨文将负责存储美国TikTok用户的受保护数据,并审查该应用的软件算法,以确保数据安全和内容合规。

2021年5月,当年3月加入字节跳动的前银行家周受资成为TikTok的新任首席执行官。他与字节跳动的渊源可以追溯到十年前,当时他在DST Global为亿万富翁、投资者尤里·米尔纳(Yuri Milner)工作,而米尔纳的投资公司正是字节跳动2013年某轮融资的领投方。

随着时间的推移,TikTok的业务不断发展,但也面临着越来越多的监管挑战。2021年底,一些深知“得克萨斯计划”内幕的经理们建议公司高层公开宣布这一举措,因为当时大多数TikTok员工对此一无所知。这些经理认为,公开宣布将是一个向外界展示公司决心采取措施认真解决国家安全问题的好机会。然而,鉴于TikTok与CFIUS的谈判仍在持续中,公司领导层决定保持一切信息的保密性。

然而,保密并没有持续太久。2022年3月,新闻聚合网站BuzzFeed爆出了“得克萨斯计划”的存在。这篇报道还关注了字节跳动在中国的高管如何继续控制TikTok,这使得一些TikTok经理感到遗憾,他们认为公司错过了主动公布和解释“得克萨斯计划”的机会,以便在华盛顿获得更多支持和认可。

在2021年和2022年,TikTok美国公共政策团队的部分成员多次建议总法律顾问安德森,希望周受资及其他高管能更积极地参与公司在华盛顿的游说活动。然而,TikTok的领导层主要聚焦于与CFIUS的直接沟通进展,对其他形式的公关活动持保守态度。

在内部管理层会议上,安德森和周受资均表达了对TikTok与CFIUS谈判的乐观态度。特别是在2022年上半年的一次会议上,周受资向其他高管透露,他认为CFIUS方面的情况已经得到了有效控制,TikTok离达成最终政府协议的目标已经越来越近。

基于这种乐观的预期,TikTok于2022年8月向CFIUS提交了最终的数据安全提案。这份提案详细阐述了与甲骨文合作单独管理美国用户数据的计划,旨在消除监管机构对数据安全的担忧。当时,TikTok的高管们普遍预计,该提案将顺利通过包括CFIUS在内的不同政府部门的审查,并期待收到积极的反馈。

然而,事情并未按照TikTok的预期发展。提交提案后,CFIUS方面突然停止了与TikTok的接触,并且从未正式批准其提议。尽管如此,TikTok仍决定继续推进“得克萨斯计划”,将其视为一种自愿的、展现善意的举措,以维护其在美国市场的运营和用户信任。

美国数据安全部门处于两难境地

2022年底,周受资正式从安德森手中接过了TikTok公共政策团队的管理权。这一变化在团队内部得到了积极的响应,成员们普遍对安德森过去的领导风格表示了不同看法,认为他过于谨慎,缺乏让团队代表TikTok积极游说的决心。

进入2023年,随着众议院一个委员会邀请周受资参加计划于3月举行的国会听证会,TikTok的领导层终于加大了在华盛顿的游说力度。周受资本人在听证会前的一个月内,投入大量时间,与数十名众议院委员会的议员进行了面对面的深入交流。与此同时,TikTok还在华盛顿展开了广泛的广告宣传,旨在强化该公司对信任和安全承诺的形象。

在内部评估中,周受资的听证会被普遍认为是成功的。这次听证会不仅提升了TikTok在国会的知名度,还有助于激起对《限制法案》的反对声音。在此之前,参议院已通过了一项两党共同支持的法案,该法案拟授权商务部长对来自被视为外国对手的国家的技术产品,包括TikTok,进行禁止或限制。

然而,在周受资的听证会之后,情况发生了转变。一些参众两院的议员开始表达对该法案的疑虑,认为它可能赋予政府过多的权力。他们主张,美国需要一项更加全面、适用于所有社交媒体平台的联邦隐私法案,而非仅仅针对个别应用进行限制。

与此同时,TikTok持续推动“得克萨斯计划”的实施,并着手将涉及美国数据工作的员工调配至该部门。但截至2023年3月,该计划的员工规模仅达到约1400人。公司的长远规划是将这一数字扩充至2500人,以应对日益增长的数据处理需求。

然而,没有CFIUS对数据安全项目的授权,“得克萨斯计划”仍然是不完整的。TikTok最初设想的核心要素之一,是该计划的领导层应独立于公司本身,直接向一个包含国家安全专家的外部董事会报告。然而,由于“得克萨斯计划”需要获得CFIUS的正式批准后才能进行关键的人事任命,这一外部董事会至今尚未组建。因此,该部门的负责人安迪·博尼洛(Andy Bonillo)目前仍直接向周受资汇报工作,。

与此同时,TikTok内部员工对“得克萨斯计划”的运作方式表达了一些不满。他们抱怨称,该部门设立的一系列繁琐流程成为了他们日常工作的障碍,严重影响了工作效率。例如,那些希望在美国针对特定用户群体开展促销活动的团队,必须等待“得克萨斯计划”团队先行创建这些用户群体。同样,任何需要接触美国用户的工作人员,也必须通过“得克萨斯计划”的审核和协调。这种中介式的运作模式,如将调查发送给创作者的流程也需经过“得克萨斯计划”,通常会导致工作进度的延误。

在某些情况下,部分员工会寻求变通方案以绕过这些限制。例如,非“得克萨斯计划”的员工发现,他们可以通过将顶级创作者归类为企业而非普通用户的方式,在不经过“得克萨斯计划”审查的情况下与其进行联系。

TikTok的产品经理也对处理“得克萨斯计划”的相关设置感到沮丧。例如,任何可能影响美国用户的新产品功能或对现有功能的更改,都必须经过“得克萨斯计划”的严格审查。然而,由于子公司的员工数量有限,往往无法及时处理大量的审查请求,导致许多新功能或更改的实施被推迟。

根据TikTok发言人的说法,目前“得克萨斯计划”的员工人数已经增加至2000人。尽管如此,该计划的高管们仍试图在内容审核和其他关键岗位上雇用更多的人手。然而,他们发现很难说服TikTok批准增加更多的工作岗位。(小小)