מידע על משתמשי טיקטוק אמריקאים זרם לסין, וזה צריך להדאיג גם את הישראלים

תחקיר שפרסם אתר 'באזפיד חדשות' גילה כי בניגוד להצהרות רבות של בכירי טיקטוק, המהנדסים בבייג'ינג נחשפו למידע על משתמשים אמריקאים • החברה מיהרה להודיע שתעביר את המידע האמריקאי לשרתים אחרים בטקסס, אך זה לא יהיה תקף למדינות אחרות, כולל ישראל

טיקטוק / צילום: Shutterstock
טיקטוק / צילום: Shutterstock

במשך שנים מנהלי אפליקציית הווידיאו טיקטוק חזרו על ההבטחות כי המידע על משתמשים אמריקאים שמור בארה"ב ולא מגיע לסין, שם ממוקמת החברה-האם והמפתחת של האפליקציה - בייטדאנס. באמצעות הבטחות אלו, שניתקו בין החברה-האם בבייג’ינג לבין השלוחה האמריקאית, טיקטוק ניסתה להתמודד עם משתמשים אמריקאים שחששו שהנתונים המקומיים של האפליקציה יוכלו להתגלגל לידי ממשלת סין ולשמש לצורכי איסוף מידע או ריגול.

אלא שתחקיר מקיף שפרסם אתר באזפיד חדשות (Buzzfeed News) בסוף השבוע האחרון רומז כי הצהרות אלו של מנהלי טיקטוק היו לא לגמרי מדויקות, בלשון המעטה. התחקיר התבסס על מידע רב-ערך שקיבלו לידיהם העיתונאים - הקלטות אודיו של עשרות ישיבות פנימיות בתוך טיקטוק בארה"ב, מספטמבר של השנה שעברה עד ינואר השנה. בישיבות אלו נשמעים עובדים בחברה מצהירים בהזדמנויות שונות כי המהנדסים הסינים נכנסו למידע של משתמשים אמריקאים. כאמור, בניגוד להבטחות שניתנו לאורך השנים.

"הטעו את המחוקקים, המשתמשים והציבור"

טיקטוק היא הגרסה הבינלאומית של אפליקציה סינית בשם דואו-אין (Douyin). ממשק המשתמש של שתי האפליקציות כמעט זהה - שתיהן מונעות על ידי אותו אלגוריתם רב עוצמה שחוזה אלו סרטונים משתמשים ירצו לראות, וממשיך להזרים להם אותם.
ההבדל היחיד בין שתי האפליקציות הוא שאחת פעילה בסין והשנייה בשאר העולם, כאשר למשתמשים בראשונה אין גישה למידע מהשנייה וכן להפך. ההפרדה הזאת של בייטדאנס נוצרה, ככל הנראה, כדי לאכוף את דרישות הצנזורה של הממשל הסיני ולחסום את המשתמשים המקומיים למידע הקיים מחוץ למדינה.

ככל שטיקטוק צברה פופולריות במערב וטיפסה לראש דירוג האפליקציות בארה"ב, כך גבר החשש בעולם מהאפליקציה. כך לדוגמה, בהודו היא נחסמה לחלוטין. בארה"ב הנשיא לשעבר דונאלד טראמפ הוביל מהלך, שלא יצא בסופו של דבר לפועל, שמטרתו הייתה לחייב את בייטדאנס למכור את השלוחה של טיקטוק בארה"ב לחברה אמריקאית, מטעמי ביטחון לאומי.

 
  

כדי להתגונן ממהלך כזה של טראמפ, או בכלל, בטיקטוק ניסו להדגיש את ההפרדה שלהם מבייטדאנס הסינית. בחברה הצהירו שוב ושוב כי הם מעסיקים צוות אבטחה אמריקאי רב-ניסיון עם בקרות קפדניות נוקשות שקובעות למי יהיה גישה למידע של המשתמשים בארה"ב ומי לא יהיה חשוף אליו.

רק שכאמור, ההקלטות מוכיחות שהמציאות כנראה קצת שונה. "בסין רואים הכל", אמר עובד במחלקת האמון והבטיחות בטיקטוק, בישיבה בספטמבר 2021. דירקטור בטיקטוק כינה בישיבה אחרת מהנדס בבייג’ינג בשם "מאסטר אדמיניסטרטור" וציין כי לאותו מהנדס "יש גישה להכל".

"ההקלטות רומזות שהחברה (טיקטוק) הטעתה את המחוקקים, את המשתמשים ואת הציבור, בכך שהעלימה את העובדה שעובדים בסין יכולים לגשת למידע השמור בארה"ב", נכתב בתחקיר של באזפיד חדשות. למעשה, באופן אירוני, במקרים מסוימים לצוות האמריקאי עצמו לא היו הרשאות שאיפשרו לו להיכנס למידע של משתמשים בארה"ב והם נדרשו לבקש זאת מהקולגות הסיניות.

המידע יעבור לטקסס אבל לא בטוח שזה יעזור

ההקלטות שחשפו את הפרשה עסקו בדיונים על מה שכונה בטיקטוק "פרויקט טקסס". עד היום הנתונים של משתמשים אמריקאים היו שמורים בשרתים של טיקטוק במדינת וירג’יניה עם גיבוי בשרתים של החברה בסינגפור. פרויקט טקסס נועד להעביר את כל המידע לשרתים של אורקל בטקסס. נושא זה היה בדיונים בין אורקל, טיקטוק והוועדה להשקעות זרות בארה"ב (CFIUS).

בעקבות התחקיר של באזפיד חדשות, טיקטוק מיהרה להודיע בבלוג שלה כי היא התחילה כבר להעביר את המידע לשרתים של אורקל. לפי הצהרת טיקטוק, "100% מהמידע של משתמשים יועבר לתשתית אורקל", כאשר מטרתה היא למחוק את המידע הפרטי על משתמשים אמריקאים מהשרתים של החברה בוורג’יניה ובסינגפור.

צעד זה אמור למנוע את העברת המידע לסין ולשמור אותו בארה"ב. וכך, המידע לא יהיה כפוף לחוק הסיני שנותן לממשלה הסינית גישה אליו. אלא שבתחקיר עולות מספר תהיות כבדות האם מדובר בצעד מספק.

לפי ההקלטות, עורכי הדין של טיקטוק דרשו שלמידע שאינו נחשב פרטי תמשיך להיות גישה מסין. אך התשובה לשאלה מהו מידע פרטי כזה לא לגמרי ברורה. בנוסף, ההקלטות מראות כי החיבורים בין החברה האמריקאית טיקטוק והחברה-האם הסינית בייטדאנס חזקים ממה שאלו מוכנות להודות. כך למשל, הכלים השונים שבהם משתמשים עובדי טיקטוק בארה"ב מפותחים בסין.

באחת ההקלטות מספטמבר 2021 נשמע יועץ שמעסיקה טיקטוק, בהקשר לפרויקט טקסס, אומר לקולגות כי "אני מרגיש שלכלים האלה יש דלתות אחוריות לחדור למידע של משתמשים". בחלק מהמקרים, עובדי טיקטוק עצמם לא ידעו לגמרי מה הכלים השונים של החברה אמורים לעשות.

אם זה לא מספיק, באחת ההקלטות עולה כי אורקל מגלה גמישות רבה בהסכם עם טיקטוק על אחסון המידע, כאשר החברה האמריקאית מספקת רק את השרתים הפיזיים וטיקטוק היא זו שבונה את שכבת התוכנה, "המכונות הווירטואליות" (VM) שירוצו עליה. גם זה יכול להשאיר בידי המהנדסים בסין גישה מסוימת למאגר הנתונים. "בסופו של דבר זה הכלים שלהם", אמר עובד טיקטוק בפגישה בשנה שעברה, "הם בונים אותם בסין".

גם המשתמשים הישראלים חשופים

מעבר לחששות הנוגעים להעברת מידע של משתמשים אמריקאים, קיימת גם אפשרות כי הממשלה הסינית תדרוש מבייטדאנס לשנות את האלגוריתם הסודי שלה, כדי לנסות להשפיע על דעת הקהל העולמית.

זוהי ממש לא השערה בדיונית - הממשל הסיני כבר ביקש בעבר לשנות אלגוריתמים לאפליקציות סיניות הפונות לקהל המקומי, אף שאין אינדיקציה כי זה נעשה עבור כאלו שפונות לקהל זר. הסנטור האמריקאי טד קרוז התייחס בעבר לטיקטוק בתור "סוס טרויאני שהמפלגה הקומוניסטית הסינית יכולה להשתמש בו כדי להשפיע על מה שהאמריקאים רואים, שומעים ובסופו של דבר חושבים".

גם אם טיקטוק אכן תיישם מנגנונים נוקשים יותר שלא יאפשרו גישה מסין למידע של המשתמשים האמריקאים, כל זה לא בהכרח יהיה תקף גם למידע של משתמשים במדינות אחרות כמו ישראל. טיקטוק צברה בשנים האחרונות פופולריות גבוהה בקרב צעירים ובני נוער בישראל ובנתה בארץ אופרציה גדולה של מכירות ושירות למפרסמים ישראלים.

על פי הצהרת עבר של מנכ"ל טיקטוק ישראל אסף שגיא, המידע של משתמשים ישראלים גם הוא שמור בשרתים של טיקטוק עצמה בארה"ב ובסינגפור. בהצהרות הנוכחיות של טיקטוק היא לא הצביעה על כוונה להעביר גם מידע ישראלי או מידע ממדינות אחרות לשרתי אורקל בטקסס. בניגוד לארה"ב, לרשויות בישראל אין כוח השפעה ממשי על טיקטוק ויכולת, או אפילו רצון, לכפות עליה לבצע העברה כזו. בינתיים, הנחת המוצא הסבירה היא שהמידע של המשתמשים הישראלים בטיקטוק זמין גם בסין.