TikTok是国家安全风险，而非隐私风险

Marcus Hutchins

昨日立法者提出了一项禁止TikTok的法案。但全面禁止是正确的做法吗？TikTok构成的威胁究竟是什么？

隐私困境

对TikTok的关注大多集中在用户隐私、数据收集及其使用方式上。我调查了TikTok数据收集的范围，并得出了与他人相同的结论：TikTok的操作并未超出标准社交媒体应用的规范，也未收集其他应用不收集的数据。

我惊讶地发现，TikTok不仅不收集位置数据，甚至未请求获取此类数据所需的权限（这意味着即使它想跟踪用户的GPS位置，也无法做到）。我原本假设它会收集这些数据，因为精细的位置数据对广告商来说是金矿。如果我能看到您本周去了三次电子产品商店，向您展示电子产品相关广告可能有益。但TikTok不这样做。它最多只能通过IP地址推断您的大致位置，但这非常不准确，通常最多显示用户连接的城市（假设他们未使用VPN隐藏IP）。

剪贴板争议

一篇揭示TikTok“间谍功能”的文章引起了我的注意。但进一步分析后，我发现它大多是点击诱饵。TikTok被揭露进行剪贴板监控，但其他社交媒体应用如Reddit和LinkedIn也使用此功能。

简而言之，当您在移动设备上复制粘贴任何内容时，复制的数据会临时存储到称为剪贴板的内存位置。复制数据时，它会覆盖先前存储的数据，因此剪贴板一次只能保存一条信息。研究人员发现，每当用户使用TikTok应用时，它会定期获取剪贴板数据并提交到TikTok服务器。

TikTok对此功能的解释是反垃圾邮件，这确实合理。通常，用户在应用中发布消息时会键入内容。如果用户频繁从其他地方复制粘贴消息，很可能他们正在进行恶意行为（垃圾邮件、抄袭或冒充）。通过关联用户发布的内容与发布时剪贴板上的内容，可以判断用户是编写了消息还是复制粘贴的。系统可以使用此技术标记行为不真实的用户，然后由信任与安全团队审核其账户。

剪贴板监控的问题在于，剪贴板可用于各种目的：传输照片、粘贴密码、复制短信。因此，剪贴板监控可能无意中收集任意数据。这就是“间谍”指控的由来。但未解释的是此功能的局限性。TikTok不能简单地查看复制到剪贴板的所有内容。应用必须运行并在屏幕上活跃（不仅仅是后台打开）。由于剪贴板数据每次复制时都会被覆盖，TikTok只有在用户切换到TikTok应用且数据仍在剪贴板上时才能看到数据。大多数密码管理器会自动清除剪贴板，因此用户凭据被上传的风险相当低。

更重要的是剪贴板缺乏上下文。假设用户将密码复制到剪贴板，然后切换到TikTok应用，TikTok上传了它。现在他们有一串随机字符。这些字符是什么？它们意味着什么？这是密码吗？如果是密码，它是用于什么的？与之配套的用户名是什么？这些都不知道。我认为此功能极不可能如某些人建议的那样设计用于间谍活动。它只会导致一堆无意义的数据，TikTok既不知道它来自哪个应用，也不知道它去向何处或用途是什么。如果他们想监视用户，有更好得多的方法。

更广阔的图景

TikTok收集的数据与其他社交媒体平台收集的数据相同。因此，这里唯一的真正争论点不是收集什么数据，而是谁收集它。如果社交媒体数据难以获取，我会说这是一个很好的论点，但事实并非如此。几乎所有社交媒体平台都通过向广告商出售用户数据赚钱。他们声称匿名化这些数据，但事实是，没有匿名数据这种东西。上周去了第四街星巴克两次的John Doe与上周去了第四街星巴克两次的AnonymousUser2342342354之间的唯一区别是我是否有数据看到谁去了那家星巴克以及何时去的。有了社交媒体数据，有如此多的数据点，去匿名化用户变得微不足道。

但事情不止于“匿名化”的广告商数据。2017年，国会通过了一项法律，允许美国ISP跟踪用户并出售这些数据（包括浏览历史）。这又是中国可以轻松购买的数据。中国国家支持的黑客是2014年OPM（处理美国政府安全许可申请的机构）黑客攻击的幕后黑手。他们是2017年Equifax（美国消费者信用数据最大持有者）泄露事件的幕后黑手。2021年，他们还入侵了数万台Microsoft Exchange电子邮件服务器并下载了电子邮件。

我意识到这些都是单独的问题，我们可以同时处理多个问题，但问题是我们没有这样做。多年来，TikTok主导了新闻周期，因为它可能滥用用户数据，尽管可以在其他地方获得 vastly superior 的数据。这已成为一种 fixation，严重损害了更广泛的讨论。

与此同时，国会已撤销隐私法，未采取任何措施限制用户数据的销售，当前的网络安全立法也有待改进。总体而言，我认为TikTok构成的“隐私威胁”无关紧要，尤其是在近乎 constant 的数据泄露以及公司 trafficking 个人信息的背景下。但这实际上不是关于这个，真的不是。

TikTok作为国家安全威胁

TikTok对国家安全构成合法且非常真实的威胁。我怀疑大多数隐私担忧是稻草人论点，旨在为基于国家安全的禁令建立支持。这有道理。毕竟，为什么只在一个方面打击TikTok，而可以在两个方面打击。但问题是，隐私辩论掩盖了真正的辩论，现在每个人都在围绕数据收集争论不休。

TikTok在社交媒体领域是独一无二的。其算法在内容推荐方面遥遥领先。许多平台试图使用机器学习找出用户的兴趣并推荐他们会喜欢的内容，但TikTok似乎已经掌握了这一点。虽然YouTube、Instagram、Facebook和Twitter等平台仍然 heavily reliant 于用户“关注”他们喜欢的账户，但TikTok的算法已经优秀到用户只需让它选择显示什么。这使TikTok有望成为最常用的社交媒体平台。用户无需筛选 vast ocean of garbage 来找到他们喜欢的视频，平台会为他们完成所有繁重工作。

但当然，算法可以被操纵。无论是从社交媒体平台的角度，还是从其用户的角度。这些算法运行在机器学习模型上，使用计算机代码确定视频的主题、用户的兴趣，然后将两者匹配。但如果平台调整算法以优先显示某些视频呢？或者有人注册虚假账户并向算法提供偏见数据呢？在这两种情况下，算法都可能被操纵以控制用户看到的内容。此类漏洞可用于 sway 公众对任何事物的看法，从去哪家商店购物到选举哪位总统。结果可能是灾难性的。

那么，我们应该禁止TikTok吗？

禁令可能比看起来更复杂。TikTok不仅是信息战中的潜在核武器，还是一家成功的社交媒体公司，代表中国的经济和技术成就。中共可能不愿将平台武器化以进行广泛的外国影响，因为这会导致 widespread 禁令，不仅在美国。鉴于技术在争夺全球主导地位中的重要作用，中国牺牲TikTok可能没有意义，至少现在还没有。使用TikTok进行宣传不仅会破坏平台，还会破坏西方 already limited 接受中国技术的意愿。

与此同时，中国与所有其他敌对国一样，可以自由地在西方社交媒体平台上进行 rampant and overt 操纵。我们必须问一个问题：现在，用户在TikTok上是否比在其他地方更危险？我们不知道TikTok的用户可能会去哪里，或者最终谁控制他们看到的内容。截至目前，没有明确的TikTok替代品，其 elimination 将在社交媒体领域留下巨大的权力真空。迄今为止，TikTok算法的不透明性似乎实际上使用户免受多种恶意影响。恶意行为者不能依赖纯参与度传播其内容。由于算法基于兴趣推荐，内容必须针对 individual groups 量身定制。

另一方面，Twitter和Facebook一直是极右翼宣传、阴谋论和外国影响行动的 never ending barrage。Meta已做出“善意”努力 counter 错误信息和虚假信息，但没有法律义务这样做。Twitter另一方面，最近削减了85%的员工，废除了信任与安全团队，CEO似乎与平台应该试图阻止的人结盟。

无法知道中国可能利用TikTok的影响力做什么。但如果他们这样做，禁令将迅速出台（事实上，如果Apple和Google觉得它越界，可能会自行撤销该应用）。截至目前，西方平台在破坏我们自己的民主方面所做的远比其他任何人梦想的还要多。在考虑禁令之前，评估TikTok用户将去哪里以及是否比现在更好可能是明智的。我们最不需要做的就是接管超过十亿TikTok用户，并将他们扔进国内恐怖主义、阴谋论、选举否认和外国宣传的温床，因为担心TikTok later 可能做同样的事情。只有在所有其他监管选项都用尽后，才应考虑禁令，这包括对我们自己平台的监管，而不仅仅是TikTok。