2021 年 3 月 22 日,公民實驗室發佈了一篇研究報告,比較 TikTok 與抖音的安全、隱私及言論審查。我們將於本文中與研究員 Pellaeon Lin 討論他的研究發現。FAQ available in English.
此研究的動機為何?
近幾年來,短片製作與分享應用程式 TikTok 已經成為全球最熱門的社交媒體平臺之一。對於其開發者字節跳動(為一中國公司)來說,這是極為傲人的成就。
TikTok 在北美的流行引發了日漸加深的疑慮。因為擁有並營運 TikTok 的公司來自中國,美國川普政府便指控其存在國家安全疑慮,並試圖禁用該應用程式,此舉更加深各界對 TikTok 的疑慮。包含印度、巴基斯坦、印尼、孟加拉在內的國家,也推動了限制或直接禁止使用 TikTok 的法令。
儘管世界各國推出了這樣的政策,目前針對 TikTok 的技術研究仍相當有限。TikTok 的中國版本「抖音」則比 TikTok 更加不受重視。
過去的研究指出,中國公司針對國內和國際市場所開發的產品可能包含不同的功能,這些差異影響了產品的隱私保護、安全性和(特別是)內容管制。中國法令限制了廣泛主題的線上言論,並規定公司需為其平臺上的內容負責。透過研究這些差異,我們可以更加瞭解開發者如何針對國內外市場客製化他們的應用程式,並發掘潛在的用戶安全及隱私問題。
我們的計劃將針對 TikTok 與抖音應用程式的隱私、安全、言論審查進行比較研究,以評估各國政府和媒體提出的顧慮是否有其技術事實基礎。
TikTok 與抖音有何異同?
TikTok 和抖音都是短片製作和分享的手機應用程式。
字節跳動公司先在中國市場推出了抖音,再針對國際市場推出了類似的應用程式 TikTok。儘管此二應用程式的功能和設計雷同,兩個平臺的營運是完全分離的。我們分析 TikTok 和抖音的 Android 版本發現,此二應用程式當中含有許多相同的程式碼。我們推測這些相似性很可能是因為字節跳動是先開發一套通用的程式碼後,再針對不同市場需求進行客製化。
TikTok 和抖音是否有隱私問題?
在我們的測試中,TikTok 和抖音並未明顯表現出類似於惡意程式的行為。我們並未觀察到此二應用程式在沒有使用者同意的狀況下收集通訊錄、記錄或傳送相片、音訊、影片或地理座標。雖然如此,應用程式有眾多可能侵犯使用者隱私的管道,我們的發現僅能就這些應用程式的資料收集提供概覽,而無法窮盡舉出所有被收集的資料項目。
TikTok 會收集與其他熱門的社交媒體平臺類似的資料,並藉此投放客製化廣告。TikTok 也會收集關於使用者裝置的資料(如型號、製造編號等等),以及使用者的使用行為習慣。上述收集到的資料有些會直接被傳送到 TikTok 的伺服器,也有些會被傳送到第三方,例如 Facebook 和 Google 的伺服器。TikTok 也會讓 Facebook 得知使用者在 TikTok 上所閱覽的每一則影片,還有每次的點讚和追蹤其他使用者。所有這些資訊讓 TikTok 及其夥伴得以瞭解使用者的興趣和行為,與其他平臺或管道收集到的數據結合之後,TikTok 及其夥伴可能可以追蹤同一位使用者在不同平臺的行為。
雖然 TikTok 收集個資的程度與其他主流社交媒體平臺相似,但這樣的隱私保護程度其實並不是很高的標準。社交媒體平臺通常不會遵循個資收集最小化的原則,若要達到它們的核心功能,其實並不需要收集裝置資訊和使用行為習慣紀錄。此種不必要的資料收集應該是因為,社交媒體產業大部分都是利用精準的廣告投放來營利,而要達到如此的精準廣告投放,就需要仰賴社交媒體平臺所收集的大量個資。
與 TikTok 相比,抖音會收集更多使用者的行為紀錄和裝置資訊,這些資料有些會直接被傳送到抖音的伺服器,有些會傳送到其他中國公司,如:阿里雲、友盟、小米和淘寶。抖音也會使用特製的加密法來隱藏它收集裝置 MAC 位址的事實。MAC 位址是一種不會重複且無法修改的硬體識別碼。此種資料收集已經超越其他國際熱門社交媒體平臺常見的做法。除了抖音之外,一些其他中國應用程式,像是熱門的瀏覽器,同樣也曾被發現收集 MAC 位址的行為。
TikTok 的資料收集與其他熱門社交媒體平臺(例如 Facebook)相比,有何不同?
TikTok 與 Facebook 收集相近數量的使用者資料,包含裝置資訊和使用者的使用行為習慣。裝置資訊包含裝置識別碼、技術規格(例如螢幕解析度)、網路位址和硬體型號。使用者未登入時,平臺可以使用裝置資訊來識別並追蹤個別使用者。若以同一組裝置資訊在不同資料庫(例如其他平臺所收集的資料)中交叉比對,便可以拼湊出個別使用者在不同平臺的使用行為。使用者行為習慣收集則通常包含記錄使用者在平臺上的行為,例如使用者所按讚的貼文。除此之外,並沒有證據顯示 TikTok 或 Facebook 未經使用者同意就錄音、錄影、存取使用者檔案或是通訊錄。
TikTok 與抖音是否會封鎖特定平臺內容?
抖音是針對中國市場所推出的,而中國法令規範公司需為其營運的平臺上的言論負責,因此我們預期,該應用程式為了配合法令,會對平臺言論進行管控。為了達到合法的目標,公司必須投入科技和人力資源來過濾法規所不允許的內容。
TikTok 曾有封鎖內容的案例,但這些封鎖的運作方式和他們涵蓋的範圍並不為人所知。我們在研究中針對此二平臺進行了一系列的測試以瞭解這些細節。
我們發現,TikTok 和抖音都含有原始碼可以處理被屏蔽的搜尋結果,原始碼中含有三種屏蔽標籤:「仇恨言論 (hate speech)」、「自殺防治 (suicide prevention)」和「敏感 (sensitive)」,我們懷疑「敏感」標籤是指「政治敏感」但無法確認。我們也嘗試在抖音和 TikTok 中搜尋政治詞彙,結果顯示抖音屏蔽了一部分的搜尋結果,而 TikTok 並未限制任何搜尋結果。
至於下架用戶貼文,我們的確在 TikTok 上偵測到一部分貼文從一開始可讀取轉變為無法讀取,但我們無法辨別出這樣的轉變是由使用者自行操作或是由平臺。我們也並未發現一套明確的標準可以解釋為何有些貼文持續可讀取,但其他類似的貼文卻變得無法讀取。總結來說,我們所收集到的證據不足以判斷 TikTok 是否針對用戶貼文進行政治審查。
我們沒有測試抖音是否會下架特定的使用者貼文。抖音的平臺政策已明文禁止使用者張貼任何政治敏感的內容。由於抖音是中國國內的平臺,它也必須配合中國法令來移除政治敏感的內容。
TikTok 是否與中國政府分享資料?
我們的研究顯示,TikTok 並沒有直接傳送任何資料給中國政府,因為在測試中它並未與任何中國境內的伺服器通訊。此項發現可能表示 TikTok 的使用者資料不存在中國境內,但也有可能 TikTok 先由中國境外的伺服器接收資料後再傳送給境內的伺服器。若有任何使用者資料儲存在中國境內,中國政府要取得它便更加容易。
TikTok 的《執法機關資料請求指南》(Law Enforcement Data Request Guidelines) 當中針對亞洲特定的國家和地區存在不同的規定,其中值得注意的是處理執法機關請求的負責公司不同。在一些亞洲國家(柬埔寨、香港、印尼、寮國、菲律賓、新加坡、泰國、日本、韓國、台灣、越南、馬來西亞、澳門),負責的公司是 TikTok Pte. Ltd。在所有其他國家,負責的公司是 TikTok Inc.。我們認為中國不在上述清單內是因為 TikTok 並不對中國提供服務。
TikTok 的政策當中並沒有說明他們將如何處理來自中國政府的資料請求,TikTok 的三份透明度報告當中也都沒有顯示任何來自中國政府的資料請求紀錄。有可能 TikTok 未曾收到過任何來自中國政府的資料請求,也有可能他們並不記錄中國政府的請求數量。
中國政府可能使用非常規的方法取得 TikTok 使用者的資料,例如根據中國國內的《國家安全法》要求總部位於北京的字節跳動公司提供使用者資料。儘管這是一個可能的狀況,但純屬猜測,目前並沒有任何證據指出中國政府曾使用這個方法向字節跳動公司施壓。
TikTok 是否對美國國家安全造成威脅?
TikTok 的功能和程式碼本身並未對國家安全造成威脅,TikTok 看似也不會以拒絕配合政府資料請求的方式來危害國家安全,亦不會刻意推廣對中國政府有利的資訊。然而,TikTok 會與國際市場中現存的社交媒體平臺競爭,現存平臺的商業優勢,以及對價值連城的個人資料的控制,都可能拱手讓給 TikTok,一間外國公司,這個現象可能對國家安全有負面影響。這些議題對美國和所有其他正在評估 TikTok 的國家來說,均切身相關。
技術層面上,我們並未發現 TikTok 表現出類似於惡意軟體的行為,亦沒有發現其程式碼中含有類似於惡意程式的片段。透過 TikTok 的透明度報告也可以發現,TikTok 看起來也大致遵循各地法規來配合政府的資料請求。(TikTok 的第一份透明度報告發佈於 2019 年 12 月,涵蓋 2019 上半年。)
商業層面上,TikTok 對於現今被美國企業獨佔的社交媒體產業來說,是一來勢洶洶的外國競爭者。面對 TikTok 的競爭,美國社交媒體公司可能會喪失他們的商業優勢,以及它們對網際網路內容傳播的控制與影響力,此一狀況有可能被視為「危害美國國家安全」。
也有人擔心 TikTok 可能被利用來傳播有利於中國政府的觀點。TikTok 上有關中國政府的內容並不在我們的研究範圍內,然而,根據我們的使用經驗,TikTok 的內容推薦演算法似乎傾向在 “For You” 頁面(一般使用者所看到的主頁)中顯示本地的內容,因此我們並不認為 TikTok 目前正在散播明顯有利於中國政府的內容。TikTok 若主動散播此種內容給國際使用者並不能為它帶來商業利益,如果偏頗得太明顯的話甚至可能帶來反效果。除此之外,TikTok 亦有可能執行極為細微的內容操作,但這將難以證實或是反證。
我們使用抖音的經驗則非常不同,從加拿大的網路位址測試時,抖音仍會顯示中國本地的內容。大多數內容均展示了中國的正面形象,例如政府官員勘察災區。這個現象在我們的預料之中,因為抖音是僅設計給中國市場的產品。抖音的服務條款裡面也寫明了所有用戶上傳內容應遵循的原則:「法律法规、社会主义制度、国家利益、公民合法权益、社会公共秩序、道德风尚和信息真实性」。
我該不該使用 TikTok?
TikTok 的資料收集行為與 Facebook 等其他熱門社交媒體平臺相近,因此也有著類似的隱私問題。TikTok 為了客製化廣告、內容客製化而追蹤使用者的行為,此資訊也會分享予第三方。若您不希望被收集這些資料,應避免使用 TikTok。我們也建議使用者先閱讀平臺的服務條款和隱私政策,瞭解風險後,再決定是否使用。
任何應用程式的隱私和安全特性可能隨時改變,因此我們永遠需要獨立的研究來評估他們的隱私和安全特性。
我該不該使用抖音?
抖音含有一系列引發隱私和安全疑慮的功能,您應該先瞭解這些問題後再決定是否使用。
如同大多數中國市場的應用程式,抖音內含內容封鎖的功能,它可能也會調整內容以推廣對中國政府有利的觀點。抖音收集比 TikTok 更多的個人資料,包含裝置的 MAC 位址。抖音的程式碼含有一些不尋常的功能,例如不需使用者互動的背景程式碼更新,這項功能讓抖音的伺服器得以推送任意程式碼給客戶端執行。我們過去的研究也在其他熱門的中國應用程式當中發現類似於上述的內容管控和隱私問題。