- Forbes tarafından elde edilen belgeler, TikTok’un ana firması ByteDance’ın Çin merkezli bir ekibinin, TikTok uygulamasını belirli bir grup Amerikalı’nın konumlarını takip etmek için kullanmayı planladığını ortaya koyuyor.
- Bununla birlikte belgeler, İç Denetim ekibinin TikTok’tan, şirket için hiç çalışmamış olan bir ABD vatandaşının konumu hakkında en az iki örnekte bilgi almayı planladığını da gösteriyor.
- 2021 yılında yayınlanan An Ugly Truth adlı kitaba göre, Facebook da gazetecilerin kaynaklarını tespit etmek için benzer bir taktik kullanmıştı.
- ByteDance’ın İç Denetim ekibinin, TikTok uygulamasını bazı Amerikan vatandaşlarının konumlarını izlemek için kullanmayı planladığı göz önüne alındığında, TikTok’un Çin’de bulunan çalışanlarının kullanıcı verilerine erişimini kısıtlama çabalarında nasıl bir rol oynayacağı belli değil.
- Buna ek olarak, Ocak 2022’de yapılan bir görüşmenin ses kaydı, Pekin merkezli ekibin o sırada Teksas Projesi ile ilgili daha fazla bilgi derlemekte olduğunu gösteriyor.
Forbes‘un elde ettiği belgelere göre, TikTok’un ana şirketi ByteDance’ın Çin merkezli bir ekibi, TikTok uygulamasını bazı belirli Amerikalı kullanıcıların konumlarını izlemek için kullanmayı planladı.
İzleme girişiminden sorumlu olan ByteDance’ın iç denetim ve risk kontrol departmanı, Pekin merkezli yönetici Song Ye tarafından yönetiliyor ve ByteDance kurucu ortağı ve CEO’su Rubo Liang’a rapor veriyor. Çin merkezli şirket bugünlerde skandala doymuyor gibi görünüyor. Geçtiğimiz günlerde TikTok’un Suriyeli ailelere yapılan bağışların yüze 70’ine kadarını nasıl aldığını haberleştirmiştik.
ByteDance, Amerikan vatandaşlarının konumunu izlemek için TikTok’u kullandı mı?
Ekibin öncelikli odak noktası, mevcut ve eski ByteDance çalışanları tarafından yapıldığı iddia edilen suiistimalleri araştırmak. Ancak belgeler, İç Denetim ekibinin, şirket için hiç çalışmamış olsalar bile, en az iki durumda bir ABD vatandaşının konumuyla ilgili TikTok bilgilerini almayı amaçladığını da ortaya koyuyor. Belgelerden bu Amerikalılar hakkında bilgi toplanıp toplanmadığı henüz belli olmasa da, Pekin merkezli bir ByteDance ekibinin Amerikalı kullanıcıların cihazlarından konum bilgisi edinmesi fikri bulunuyordu.
TikTok sözcüsü Maureen Shanahan’a göre, uygulama, diğer şeylerin yanı sıra “kullanıcılara alakalı içerik ve reklamların gösterilmesine yardımcı olmak, geçerli yasalara uymak, dolandırıcılık ve gerçek olmayan davranışları tespit etmek ve önlemek” amacıyla yaklaşık konum verilerini toplamak için kullanıcıların IP adreslerini kullanıyor.
Ancak Forbes’un gördüğü bilgiler, ByteDance’ın İç Denetim ekibinin bu konum verilerini reklamları hedeflemek veya bu diğer amaçlardan herhangi biri için değil, belirli Amerikalı bireyleri izlemek için kullanmayı amaçladığını gösteriyor. Forbes, kaynaklarını korumak amacıyla, planlanan izleme türünü veya neden yapıldığını paylaşmadı. Herhangi bir aktivist, kamu görevlisi, gazeteci veya ABD hükümeti üyesi İç Denetim tarafından açıkça hedef alınmışsa, bunların TikTok veya ByteDance tarafından tanımlanmadığı söyleniyor.
NYT‘ye göre, yabancı kullanıcılara sahip işletmelerin ulusal güvenlik açısından yarattığı riskleri değerlendiren Hazine Bakanlığı’nın Amerika Birleşik Devletleri’ndeki Yabancı Yatırım Komitesi’nin (CFIUS) TikTok ile bir sözleşme imzalamaya yakın olduğu bildiriliyor. CFIUS, şirketin Çin hükümetine Amerikalı TikTok kullanıcılarının kişisel bilgilerine erişim sağlayıp sağlayamayacağını araştırıyor.
CFIUS’un yabancı mülkiyete sahip şirketleri değerlendirirken dikkate alması gereken belirli riskleri özetleyen bir idari emir Eylül ayında Başkan Biden tarafından imzalandı. Emir, özellikle yabancı şirketlerin “ulusal güvenlik üzerinde potansiyel olumsuz etkileri olan bireylerin veya birey gruplarının izlenmesi, takip edilmesi ve hedeflenmesi için” potansiyel veri kullanımına odaklanıyor. Emirde, “yabancı düşmanların ABD’li kişilerin verilerine erişiminin yarattığı risklerin vurgulanmasının” amaçlandığı belirtiliyor.
TikTok ve ByteDance çalışanlarının düzenli denetimleri ve soruşturmaları, çıkar çatışmaları, kurumsal kaynakların uygunsuz kullanımı ve hassas verilerin ifşası gibi ihlalleri kontrol etmek için iç denetim ve risk kontrol ekibi tarafından yürütülüyor. Forbes’a göre, TikTok CEO’su Shou Zi Chew de dahil olmak üzere üst düzey yöneticiler, ekibe belirli çalışanları incelemeleri talimatını verdi ve soruşturma, bu çalışanlar işten ayrıldıktan sonra bile devam etti.
ByteDance’ın iç denetim ekibi, personel tarafından bilinen ve “yeşil kanal” adı verilen bir veri talep sistemi kullanıyor. Bu belge ve kayıtlar, Amerikan personeline ilişkin veri taleplerinin nasıl Çin merkezinden bu bilgilerin alınmasıyla sonuçlandığını gösteriyor.
“Bizim büyüklüğümüzdeki çoğu şirket gibi, şirketin ve çalışanlarımızın davranış kurallarımıza bağlılığını objektif bir şekilde denetlemek ve değerlendirmekten sorumlu bir iç denetim birimimiz bulunuyor. ByteDance sözcüsü Jennifer Banks, bu ekibin tavsiyelerini liderlik ekibine sunduğunu belirtti.”
ByteDance, belirli Amerikalı kullanıcıları izlemek için bir uygulama kullanmayı düşünen ilk şirket değil. New York Times’ın 2017 tarihli bir makalesine göre, Uber uygulaması, düzenleyici cezalardan kaçmak amacıyla bir dizi yerel politikacı ve düzenleyiciye farklı ve aldatıcı bir biçimde sunulmuştu. O dönemde Uber “greyball” teknolojisini kullandığını kabul etmiş, ancak diğer şeylerin yanı sıra bu teknolojinin “sürücüleri tuzağa düşürmek için gizli “sting”lerde yetkililerle işbirliği yapan muhaliflerin” yolculuk taleplerini reddetmek için kullanıldığını söylemişti.
TikTok yetişkinlere özel canlı yayın özelliğini duyurdu
Raporlara göre, Facebook ve Uber, programlarını kullanan gazetecilerin nerede olduklarını takip ediyordu. Elektronik Gizlilik Bilgi Merkezi tarafından 2015 yılında yapılan bir araştırmaya göre Uber, kendisiyle ilgili haber yapan gazetecilerin nerede olduklarını takip etmişti. Uber bu iddiaya doğrudan yanıt vermedi. 2021’de yayınlanan An Ugly Truth adlı kitapta Facebook’un da gazetecilerin konumlarını tespit etmek için benzer bir uygulama yaptığı iddia ediliyor. Bir sözcü 2018 yılında San Jose Mercury News’e Facebook’un “iş kayıtlarını istihdam soruşturmalarında rutin olarak kullandığını” söylese de, Facebook kitapta yer alan iddialara özel olarak değinmedi.
Ancak ByteDance’in kişisel kullanıcı verilerini toplamayı planlamasını bu örneklerden ayıran çok önemli bir husus var: Kongre’ye yakın zamanda gönderilen bir mektupta TikTok, “ABD hükümeti ile geliştirilmekte olan protokoller uyarınca yalnızca yetkili personelle sınırlı olmak üzere” muhtemelen konum da dahil olmak üzere hassas ABD kullanıcı verilerine erişebileceğini belirtti.
Bu güvenceler, TikTok’un iç sistemlerini yeniden inşa etmeye yönelik devasa Project Texas çabasının bir parçasıdır, böylece Çinli çalışanlar, Amerika Birleşik Devletleri’ndeki TikTok uygulamasının kullanıcıları hakkında telefon numaraları, doğum günleri ve hazırlanan videolar gibi çeşitli “korumalı” tanımlayıcı bilgilere erişemeyecekler. Bu çaba, şirketin ulusal güvenlik konusunda CFIUS ile yaptığı görüşmeler için çok önemli.
TikTok’un işletme müdürü Vanessa Pappas, Eylül ayındaki bir Senato oturumunda, yaklaşan CFIUS sözleşmesinin uygulama üzerindeki “ulusal güvenlik endişelerini gidereceğini” belirtti. Bununla birlikte, birkaç senatör şüphecilik gösterdi. Haziran ayında BuzzFeed News tarafından yayınlanan ve Çin’deki ByteDance çalışanlarının ABD’deki kullanıcı verilerine defalarca eriştiğini ortaya koyan haberin ardından Senato İstihbarat Komitesi, TikTok’un bu yılın başlarında Çin’deki çalışanlarının ABD verilerine erişimiyle ilgili bilgileri saklayarak milletvekillerini yanıltıp yanıltmadığına dair bir soruşturma başlatmıştı.
Şirket, verileri güvende tutmak için şifreleme ve “güvenlik izleme” gibi yöntemler kullanıyor. TikTok sözcüsü Shanahan’ın yaptığı açıklamaya göre, erişim onayı ABD personeli tarafından denetleniyor ve çalışanlara ABD verilerine “gerektiğinde” erişim izni veriliyor.
Ekibin bazı Amerikan kullanıcılarının konumlarını izlemek için TikTok uygulamasını kullanmayı planladığı göz önüne alındığında, ByteDance’ın İç Denetim ekibinin TikTok’un Çin’de bulunan personel tarafından kullanıcı verilerine erişimi kısıtlama çabalarında nasıl bir rol oynayacağı henüz belirsiz. Bununla birlikte, 2021’in ikinci yarısında bir ekip üyesi tarafından hazırlanan bir dolandırıcılık riski değerlendirmesi, şirketin verilerinden sorumlu personelin görüşüne göre, “ByteDance Singapur’da bir birincil depolama merkezi [sic] kurduktan sonra bile, CN’de saklanmaması gereken verilerin CN tabanlı sunucularda tutulmasının imkansız olduğunu” belirterek, veri depolama ile ilgili soruları gündeme getirdi. Forbes’un haberine göre Lark verileri Çin’de kaydediliyor.
Ayrıca, Ocak 2022’de kaydedilen bir ses görüşmesi, Pekin merkezli ekibin o sırada Project Texas hakkında daha fazla ayrıntı topladığını ortaya koyuyor. TikTok’un ABD Güven ve Güvenlik ekibinin bir üyesi, görüşme sırasında yöneticisiyle yaptığı tuhaf bir sohbeti anlattı: TikTok’un Baş İç Denetçisi Chris Lepitak, çalışanı saatler sonra LA bölgesinde bir restoranda buluşmaya çağırmıştı.
Çalışan daha sonra Pekin’de Song Ye’ye cevap veren Lepitak tarafından, TikTok’un Amerika Birleşik Devletleri’ndeki hassas kullanıcı verilerine yabancı erişimi kısıtlama niyetleri için çok önemli olan Oracle sunucusunun konumu ve özellikleri hakkında derinlemesine sorgulandı. Çalışan, yöneticisine bu etkileşimin kendisini “korkuttuğunu” itiraf etti. Bu alışveriş hakkında iletişime geçildiğinde, ne TikTok ne de ByteDance bir açıklama yapmadı.
TikTok şu anda Oracle’ın bulut hizmetlerini kullanıyor olsa da, Oracle sözcüsü Ken Glueck’e göre, TikTok kullanıcı verilerine kimin erişimi olduğu konusunda “şu ya da bu şekilde kesinlikle hiçbir bilgimiz yok”. TikTok şu anda Oracle bulutunda faaliyet gösteriyor, ancak Bank of America, General Motors ve diğer milyonlarca müşteri gibi, yaptıkları her şey üzerinde tam kontrole sahip olduklarını söyledi.
Bu, TikTok’un veri savunma başkanı tarafından Ocak ayında sızdırılan bir sesli görüşmede ortaya atılan bir iddiayı destekliyor. Yönetici, tartışma sırasında bir meslektaşına “Buna Oracle Cloud demek yanlış,” diye ekledi. “Bize sadece çıplak metal veriyorlar ve biz de VM’lerimizi (sanal makineler) bunun üzerine inşa ediyoruz.”
Glueck, TikTok’un federal hükümetle anlaşmasını tamamlaması halinde bu durumun değişeceğini açıkça belirtti. Glueck, Oracle’ın TikTok’a bu durum gerçekleşene kadar “kendi güvenliğimiz dışında” hiçbir şey sağlamayacağını da sözlerine ekledi.
TikTok, Forbes’un şirketin CFIUS ile görüşmelerinin durumuna ilişkin sorularına yanıt vermeyi reddetti. Ancak TikTok sözcüsü Brooke Oberwetter, Bloomberg’e sabah erken saatlerde yaptığı açıklamada şunları söyledi “ABD’nin tüm makul ulusal güvenlik kaygılarını tam olarak karşılayacak bir yolda olduğumuzdan eminiz.”
