美媒稱TikTok"太天真":花數年保護美國數據安全,卻沒逃過這一劫

(原標題:TikTok Spent Years Developing Data Security Plan: Washington Ignored It)

3月19日消息,在過去幾年裡,TikTok爲應對美國聯邦政府對其應用可能帶來的國家安全風險的審查,已投入高達15億美元,並對業務架構進行了大刀闊斧的調整。然而,這一切努力似乎並未取得預期效果。

此前,TikTok爲確保美國業務的安全,設立了繁瑣的內部審查機制,從應用更新到創作者郵件的每一環節都需經過專門的數據安全部門嚴格把關,這無疑給員工帶來了沉重的負擔,也引發了他們的不滿情緒。

如今,這種策略的侷限性已暴露無遺。上週,美國衆議院以壓倒性多數通過了一項針對TikTok的法案,要求其與母公司字節跳動徹底切割,否則將面臨美國的全面禁令。這一結果凸顯了TikTok管理層在解讀美國政治形勢時的嚴重失誤。他們曾認爲,通過專注於數據安全等技術層面的問題,將美國用戶數據隔離在甲骨文管理的服務器上,便能化解危機。然而,現實卻遠非如此。

事實上,國會議員們更爲關注的是該應用的所有權問題。在TikTok內部,員工們開始反思,爲何沒有更早地積極遊說國會,以爭取更多理解和支持。此前,公司的公共政策團隊曾多次敦促高層採取更爲積極的行動,但這些建議在很大程度上被忽視了,這讓員工們倍感沮喪。

雪上加霜的是,負責起草禁令的關鍵人物之一是副檢察長麗莎·莫納科(Lisa Monaco),她曾作爲美國外國投資委員會(CFIUS)的代表,親自監督與TikTok的談判。這意味着,莫納科對TikTok爲保護美國用戶數據所做的努力有着深入的瞭解,但其卻依然支持禁令。

如今,TikTok內部員工深感自己陷入了進退兩難的境地。公司無法撤銷數據安全部門,因爲這樣做只會引來立法者更多的攻擊。儘管該部門的維護成本高昂,且並未能有效抵禦外部攻擊,但解散它顯然不是明智之舉。更令人擔憂的是,一些TikTok員工對在美國數據安全部門工作持保留態度,認爲這個部門前景黯淡,不太可能獲得公司內部額外的資金支持。這個美國數據安全部門是“得克薩斯計劃”(Project Texas)下設立的子公司,旨在確保美國用戶數據的安全。

在過去的一年裡,TikTok一直公開強調其通過“得克薩斯計劃”來保護用戶數據的決心。然而,一些政界人士指出,有關TikTok仍與字節跳動員工分享美國數據的報道,已經證明這種安排並不奏效。衆議院禁令的共同提案人之一,衆議員拉賈·克里希納莫西(Raja Krishnamoorthi)上週表示,TikTok關於美國用戶數據無法被中國員工獲取的保證已被“證明是錯誤的”。去年夏天,另一位共同提案人衆議員邁克·加拉格爾(Mike Gallagher)在給參議員馬可·盧比奧(Marco Rubio)的信中,稱“得克薩斯計劃”不過是一種“煙幕安全措施”,實際效果堪憂。

TikTok發言人在一份聲明中指出,:“公司主動發起了一項重要舉措,旨在爲美國用戶數據打造一個安全無虞的環境,確保平臺不受外部影響,並對我們的內容推薦和審覈工具實施額外的保障措施。目前,美國用戶的數據默認存儲在Oracle雲以及公司專設的美國數據安全基礎設施中。”這位女發言人進一步補充說,TikTok在過去一年中已經採取了積極行動,允許甲骨文公司全面訪問其源代碼和算法。如今,美國的算法存儲在甲骨文的雲基礎設施中,專門用於處理美國用戶數據,並由美國數據安全公司的專業員工進行監督。

“得克薩斯計劃”未能奏效

CFIUS對TikTok的審查起源於字節跳動對音樂應用Musical.ly的收購。這一收購動作將Musical.ly整合到了當時初出茅廬的TikTok應用中,雖然當時兩者均爲中國公司,但Musical.ly已在美國擁有大量用戶,並在加州聖莫尼卡設有辦事處。這一交易在2019年底引起了CFIUS的注意,當時TikTok正憑藉吸引年輕用戶的優勢,迅速在美國市場擴張。

TikTok的迅速崛起及其所有權問題引發了美國對國家安全問題的擔憂。2020年中期,時任總統唐納德·特朗普(Donald Trump)發佈行政命令,意圖禁止TikTok,除非字節跳動將其出售給美國買家,這一舉措導致該應用一度面臨被拍賣的境地。隨後,微軟退出收購談判,特朗普政府轉而考慮讓甲骨文成爲TikTok在美國的“值得信賴的技術合作夥伴”。然而,隨着TikTok成功起訴政府並阻止行政命令的執行,以及喬·拜登(Joe Biden)在2020年底贏得總統選舉,這一禁令威脅逐漸消退。

在拜登政府時期,TikTok與CFIUS的談判仍在繼續。字節跳動和TikTok駐美國的總法律顧問埃裡希·安德森(Erich Andersen)在談判中發揮了關鍵作用,他於2020年初從微軟加入該公司。爲了緩解監管機構對第三方可能訪問美國用戶數據或影響應用內容的擔憂,TikTok在2020年底左右開始制定“得克薩斯計劃”這一數據安全舉措。該計劃的核心在於,甲骨文將負責存儲美國TikTok用戶的受保護數據,並審查該應用的軟件算法,以確保數據安全和內容合規。

2021年5月,當年3月加入字節跳動的前銀行家周受資成爲TikTok的新任首席執行官。他與字節跳動的淵源可以追溯到十年前,當時他在DST Global爲億萬富翁、投資者尤里·米爾納(Yuri Milner)工作,而米爾納的投資公司正是字節跳動2013年某輪融資的領投方。

隨着時間的推移,TikTok的業務不斷髮展,但也面臨着越來越多的監管挑戰。2021年底,一些深知“得克薩斯計劃”內幕的經理們建議公司高層公開宣佈這一舉措,因爲當時大多數TikTok員工對此一無所知。這些經理認爲,公開宣佈將是一個向外界展示公司決心採取措施認真解決國家安全問題的好機會。然而,鑑於TikTok與CFIUS的談判仍在持續中,公司領導層決定保持一切信息的保密性。

然而,保密並沒有持續太久。2022年3月,新聞聚合網站BuzzFeed爆出了“得克薩斯計劃”的存在。這篇報道還關注了字節跳動在中國的高管如何繼續控制TikTok,這使得一些TikTok經理感到遺憾,他們認爲公司錯過了主動公佈和解釋“得克薩斯計劃”的機會,以便在華盛頓獲得更多支持和認可。

在2021年和2022年,TikTok美國公共政策團隊的部分成員多次建議總法律顧問安德森,希望周受資及其他高管能更積極地參與公司在華盛頓的遊說活動。然而,TikTok的領導層主要聚焦於與CFIUS的直接溝通進展,對其他形式的公關活動持保守態度。

在內部管理層會議上,安德森和周受資均表達了對TikTok與CFIUS談判的樂觀態度。特別是在2022年上半年的一次會議上,周受資向其他高管透露,他認爲CFIUS方面的情況已經得到了有效控制,TikTok離達成最終政府協議的目標已經越來越近。

基於這種樂觀的預期,TikTok於2022年8月向CFIUS提交了最終的數據安全提案。這份提案詳細闡述了與甲骨文合作單獨管理美國用戶數據的計劃,旨在消除監管機構對數據安全的擔憂。當時,TikTok的高管們普遍預計,該提案將順利通過包括CFIUS在內的不同政府部門的審查,並期待收到積極的反饋。

然而,事情並未按照TikTok的預期發展。提交提案後,CFIUS方面突然停止了與TikTok的接觸,並且從未正式批准其提議。儘管如此,TikTok仍決定繼續推進“得克薩斯計劃”,將其視爲一種自願的、展現善意的舉措,以維護其在美國市場的運營和用戶信任。

美國數據安全部門處於兩難境地

2022年底,周受資正式從安德森手中接過了TikTok公共政策團隊的管理權。這一變化在團隊內部得到了積極的響應,成員們普遍對安德森過去的領導風格表示了不同看法,認爲他過於謹慎,缺乏讓團隊代表TikTok積極遊說的決心。

進入2023年,隨着衆議院一個委員會邀請周受資參加計劃於3月舉行的國會聽證會,TikTok的領導層終於加大了在華盛頓的遊說力度。周受資本人在聽證會前的一個月內,投入大量時間,與數十名衆議院委員會的議員進行了面對面的深入交流。與此同時,TikTok還在華盛頓展開了廣泛的廣告宣傳,旨在強化該公司對信任和安全承諾的形象。

在內部評估中,周受資的聽證會被普遍認爲是成功的。這次聽證會不僅提升了TikTok在國會的知名度,還有助於激起對《限制法案》的反對聲音。在此之前,參議院已通過了一項兩黨共同支持的法案,該法案擬授權商務部長對來自被視爲外國對手的國家的技術產品,包括TikTok,進行禁止或限制。

然而,在周受資的聽證會之後,情況發生了轉變。一些參衆兩院的議員開始表達對該法案的疑慮,認爲它可能賦予政府過多的權力。他們主張,美國需要一項更加全面、適用於所有社交媒體平臺的聯邦隱私法案,而非僅僅針對個別應用進行限制。

與此同時,TikTok持續推動“得克薩斯計劃”的實施,並着手將涉及美國數據工作的員工調配至該部門。但截至2023年3月,該計劃的員工規模僅達到約1400人。公司的長遠規劃是將這一數字擴充至2500人,以應對日益增長的數據處理需求。

然而,沒有CFIUS對數據安全項目的授權,“得克薩斯計劃”仍然是不完整的。TikTok最初設想的核心要素之一,是該計劃的領導層應獨立於公司本身,直接向一個包含國家安全專家的外部董事會報告。然而,由於“得克薩斯計劃”需要獲得CFIUS的正式批准後才能進行關鍵的人事任命,這一外部董事會至今尚未組建。因此,該部門的負責人安迪·博尼洛(Andy Bonillo)目前仍直接向周受資彙報工作,。

與此同時,TikTok內部員工對“得克薩斯計劃”的運作方式表達了一些不滿。他們抱怨稱,該部門設立的一系列繁瑣流程成爲了他們日常工作的障礙,嚴重影響了工作效率。例如,那些希望在美國針對特定用戶羣體開展促銷活動的團隊,必須等待“得克薩斯計劃”團隊先行創建這些用戶羣體。同樣,任何需要接觸美國用戶的工作人員,也必須通過“得克薩斯計劃”的審覈和協調。這種中介式的運作模式,如將調查發送給創作者的流程也需經過“得克薩斯計劃”,通常會導致工作進度的延誤。

在某些情況下,部分員工會尋求變通方案以繞過這些限制。例如,非“得克薩斯計劃”的員工發現,他們可以通過將頂級創作者歸類爲企業而非普通用戶的方式,在不經過“得克薩斯計劃”審查的情況下與其進行聯繫。

TikTok的產品經理也對處理“得克薩斯計劃”的相關設置感到沮喪。例如,任何可能影響美國用戶的新產品功能或對現有功能的更改,都必須經過“得克薩斯計劃”的嚴格審查。然而,由於子公司的員工數量有限,往往無法及時處理大量的審查請求,導致許多新功能或更改的實施被推遲。

根據TikTok發言人的說法,目前“得克薩斯計劃”的員工人數已經增加至2000人。儘管如此,該計劃的高管們仍試圖在內容審覈和其他關鍵崗位上僱用更多的人手。然而,他們發現很難說服TikTok批准增加更多的工作崗位。(小小)