TikTok zbiera dane o lokalizacji, urządzeniu, kontaktach, historii przeglądania, aktywności w aplikacji i sieci Wi-Fi. Zbieranie danych trwa nawet wtedy, gdy aplikacja nie jest używana. To nie jest domysł – takie informacje wynikają z analizy kodu aplikacji oraz dokumentacji polityki prywatności.

TikTok gromadzi więcej niż potrzebuje

W 2022 roku firma Internet 2.0 przeanalizowała wersję aplikacji TikTok na Androida. Raport wykazał, że aplikacja wymaga dostępu do 30 różnych typów danych użytkownika – w tym dokładnej lokalizacji GPS, identyfikatorów urządzenia (IMEI, IMSI), stanu baterii, sieci komórkowej, punktów dostępowych Wi-Fi oraz danych z czujników urządzenia, takich jak akcelerometr czy żyroskop. Pozyskiwanie tych informacji nie ma uzasadnienia w funkcjonalności typowej aplikacji społecznościowej. Dla porównania – Twitter i Reddit działają bez konieczności pozyskiwania danych o schowku, karcie SIM czy pełnej liście zainstalowanych aplikacji.

Aplikacja przesyła dane do zewnętrznych serwerów nawet przy braku aktywności użytkownika. Według badań Privacy Matters, w ciągu 5 minut od uruchomienia TikToka bez interakcji, aplikacja nawiązała ponad 60 połączeń sieciowych z domenami trzecimi, w tym z serwerami poza Europą. Kod źródłowy zawiera wiele funkcji telemetrycznych, które umożliwiają dokładne śledzenie zachowań, w tym: rytm pisania na klawiaturze, czas spędzany na konkretnych typach treści oraz sposób przewijania. Tego typu dane są bardzo cenne przy tworzeniu tzw. profili psychograficznych, używanych m.in. do personalizacji treści politycznych lub sprzedażowych w sposób trudny do wykrycia przez użytkownika.

Serwery w Chinach – ryzyko polityczne

TikTok deklaruje, że dane użytkowników z UE są przechowywane na europejskich serwerach w ramach „Project Clover”. Jednak w 2022 roku przedstawiciele ByteDance przyznali przed amerykańską Komisją ds. Bezpieczeństwa, że pracownicy z Chin mieli dostęp do danych obywateli USA i UE. Zgodnie z chińskim prawem wywiadowczym (art. 7 ustawy z 2017 r.), wszystkie firmy zarejestrowane w Chinach są zobowiązane do współpracy z rządem, w tym do przekazywania danych osobowych bez zgody użytkownika czy powiadomienia podmiotów zagranicznych.

Amerykańska Federalna Komisja Łączności (FCC) uznała TikToka za zagrożenie dla bezpieczeństwa narodowego. Z kolei Australia, Norwegia i Holandia wszczęły własne śledztwa dotyczące naruszeń ochrony danych osobowych przez tę aplikację. W Indiach aplikację zablokowano całkowicie w 2020 roku dla 200 milionów użytkowników, wskazując, że „naraża ona suwerenność cyfrową kraju”. W USA TikTok został zakazany na ponad 50 poziomach stanowych dla urządzeń publicznych, a rząd federalny zakazał jego instalowania na telefonach służbowych urzędników.

Aplikacja monitoruje wszystko, nawet treści robocze

TikTok korzysta z tzw. JavaScript injection we wbudowanej przeglądarce, co umożliwia śledzenie wszystkiego, co użytkownik wpisuje w formularzach – nawet jeśli nie zatwierdzi treści przyciskiem „opublikuj”. To oznacza, że aplikacja może rejestrować wiadomości skasowane przed wysłaniem, teksty kopiowane do schowka, a nawet hasła wpisywane podczas logowania się do innych serwisów przez wbudowane okno przeglądarki (tzw. in-app browser).

Według badań wykonanych przez badacza bezpieczeństwa Felixa Krause’a, TikTok jest jedną z nielicznych aplikacji społecznościowych, która wstrzykuje własny kod do każdej strony internetowej otwieranej z poziomu aplikacji. To pozwala na pełny wgląd w to, co użytkownik widzi, klika i wpisuje. Z kolei dane z czujników urządzenia pozwalają ocenić, jak długo użytkownik ogląda daną treść i w jakiej pozycji trzyma telefon – co ma znaczenie przy mapowaniu reakcji emocjonalnych. Ten poziom inwigilacji nie występuje nawet w aplikacjach bankowych.

Drugi obszar to analiza tzw. danych nietreściowych – TikTok śledzi, jak często użytkownik zmienia filtry, kiedy korzysta z trybu nocnego, jak długo przygotowuje film przed jego publikacją i ile razy modyfikuje jego treść. To wszystko buduje precyzyjny profil osobowościowy, który może być użyty do targetowania reklam, ale też do kształtowania przekazów politycznych i światopoglądowych bez wiedzy odbiorcy.

Zakazy i ograniczenia – nie bez powodu

TikTok został zakazany na urządzeniach rządowych w USA, Kanadzie, Wielkiej Brytanii, Indiach, Francji i kilku innych krajach. Indie całkowicie zablokowały dostęp do aplikacji w 2020 r., wskazując na zagrożenie dla suwerenności cyfrowej. UE prowadzi postępowania przeciwko TikTok za łamanie przepisów RODO, w tym grzywnę 345 mln euro za naruszanie prywatności dzieci.

Algorytm TikToka nie działa przypadkowo. W 2023 r. badacze z Brookings Institution opisali zjawisko tzw. shadow promoting – czyli promowania treści zgodnych z interesem Chin bez jawnego oznaczenia. To subtelna, ale efektywna forma wpływu na postawy społeczne.

Używałem, testowałem, usunąłem

Zainstalowałem TikToka w celach testowych. Przez 3 dni testowałem działanie, konfigurację i uprawnienia. Po godzinie aplikacja znała moją lokalizację, preferencje treści, numer telefonu, urządzenia w sieci lokalnej i sugerowała filmy powiązane z historią przeglądania z innych aplikacji. Odinstalowałem. I nie wrócę.

Co to znaczy dla użytkownika?

• Twoje dane nie są bezpieczne, nawet jeśli aplikacja jest zminimalizowana
• Twoje zachowania są analizowane, profilowane i potencjalnie przekazywane do Chin
• Algorytm może manipulować przekazem, a Ty tego nie zauważysz
• TikTok to koń trojański – elegancki, szybki, wciągający. I skuteczny. Nie łamie przepisów przez przypadek. Działa na granicy prawa i bardzo świadomie ją przesuwa. Nie tylko zbiera dane. Przetwarza je tak, by użytkownik nie wiedział, kto naprawdę zyskuje na jego uwadze.

Wpis powstał we współpracy z serwisem simplysassymedia.com.