TikTok – (nie)bezpieczeństwo danych użytkowników w erze AI [wywiad]

XYZ: Media społecznościowe, w tym TikTok, zawładnęły ogromną częścią społecznego życia. To narzędzie posiadające dużą moc, ale czy bezpieczne dla użytkowników? 

Jakub Olek: Zanim odpowiem na kwestie związane z bezpieczeństwem, chcę zaznaczyć, że TikTok to nie medium społecznościowe, ale platforma rozrywkowa. Na TikToku nie oglądamy strumienia powiadomień od znajomych, lecz treści dostosowane do naszych preferencji i zainteresowań.

Dlatego pytanie o bezpieczeństwo powinno uwzględniać szerszy kontekst, porównując TikTok do mediów społecznościowych. Chcę jednak skupić się na naszej odpowiedzialności jako organizacji. TikTok ma obecnie 1,5 miliarda użytkowników na całym świecie. Naszym zadaniem jest zapewnienie im bezpieczeństwa.

Nasze podejście do bezpieczeństwa opiera się na czterech filarach. Pierwszy to zbiór zasad obowiązujących użytkowników platformy, które pozwalają nam chronić naszych użytkowników poprzez usuwanie treści i kont łamiących te zasady. Tworzymy je w oparciu o przepisy prawa i normy społeczne – zabroniona jest m.in. mowa nienawiści, przemoc, nękanie, wykorzystywanie nieletnich. Drugi filar stanowi moderacja treści, w której kluczową rolę odgrywają algorytmy AI oraz zespoły moderacyjne, które usuwają nieodpowiednie materiały. Trzecim elementem są wszystkie narzędzia dostępne dla użytkowników, takie jak możliwość zgłaszania treści, kontrola rodzicielska czy zarządzanie czasem ekranowym. Ostatni filar stanowi współpraca z partnerami zewnętrznymi, którzy wspierają nas w zakresie cyberbezpieczeństwa. W Polsce współpracujemy m.in. z fundacją Sexed.pl, Demagogiem oraz NASK.

Pamiętajmy, że TikTok jest platformą o charakterze rozrywkowym, lifestylowym, takich też treści w ogromnej większości szukają u nas użytkownicy. Z badań, które przeprowadziliśmy dwa lata temu z Kantarem wynika, że kontakt z treściami na TikToku poprawia samopoczucie 61 proc. użytkowników, w porównaniu do 38 proc. na innych platformach społecznościowych.

Poza analizą treści i wychwytywaniem tych niebezpiecznych, jakie jeszcze dane o użytkownikach gromadzi TikTok?

Pod względem zbierania danych nie różnimy się znacząco od innych platform cyfrowych czy sieci społecznościowych. W niektórych przypadkach mamy nawet ograniczony dostęp do danych w porównaniu do konkurencji, która często wymaga np. dokładnej lokalizacji. Zbieramy tylko te informacje, które są niezbędne do funkcjonowania platformy, takie jak zainteresowania użytkowników, preferowane treści, interakcje z innymi użytkownikami. Nie zbieramy natomiast , wbrew niektórym głosnym raportom, danych takich jak numer karty SIM, IMEI urządzenia, ślady głosowe czy wpisywane na klawiaturze treści.

W kontekście zarządzania danymi TikTok wyznacza nowe standardy. Dowodem na to jest projekt Clover, skoncentrowany na bezpieczeństwie danych europejskich użytkowników, którego realizacja kosztuje firmę 1,2 miliarda euro rocznie.

Czym jest projekt Clover?

Od 2023 roku, w ramach projektu Clover, dane europejskich użytkowników TikToka są przechowywane i przetwarzane wyłącznie w Europie. Działają już trzy centra danych: dwa w Irlandii oraz jedno w Norwegii. Clover to swoista forteca, której celem jest ochrona danych przed nieuprawnionym dostępem, w tym ze strony rządów państw trzecich, w tym Chin. Pieczę nad bezpieczeństwem i przepływem danych sprawuje firma NCC Group, specjalizująca się w cyberbezpieczeństwie.

W Stanach Zjednoczonych realizujemy podobny projekt – Texas. Na tamtejszym rynku dane są przechowywane w centrach należących do firmy Oracle.

Przed uruchomieniem projektu Clover furtka do transferu danych z Europy do Chin była otwarta?

Nie. Rząd chiński nigdy nie miał dostępu do danych użytkowników TikToka. Obawy w tej kwestii wynikają z faktu, że właściciel TikToka – firma ByteDance – pochodzi z Chin. Obecnie jednak ByteDance jest firmą bardziej singapurską niż chińską.

Czy potwierdzają to raporty NCC Group?

Pierwszy duży raport niebawem będzie wydany i prywatnie – nie mogę się tego doczekać. W żadnych natomiast dotychczas publikowanych przez NCC opracowaniach nie znajdzie pani informacji o istnieniu kontaktów i przekazywaniu danych między TikTokiem a rządem Chin. Jeszcze raz to podkreślam – one nie istnieją.

Nie zmienia to faktu, że poziom zaufania rządów wielu państw, organów Unii Europejskiej, publicznych instytucji do TikToka jest niski. Komisja Europejska zabroniła swoim urzędnikom korzystania z tej aplikacji na służbowych smartfonach. Podobne zakazy zaczęły obowiązywać w Kanadzie, we Francji, Wielkiej Brytanii, Belgii… Lista jest długa.

Wspomniane zakazy instalowania i korzystania na służbowych smartfonach w wielu przypadkach dotyczą także innych aplikacji o charakterze rozrywkowym czy gier. Niemniej jednak, byliśmy mocno zaskoczeni rekomendacjami Komisji Europejskiej, które, nawiasem mówiąc, wprowadzono już dwa lata temu. Odbieramy je jako działanie prewencyjne, ponieważ nie przedstawiono żadnych konkretnych dowodów na to, że TikTok stanowi zagrożenie dla bezpieczeństwa danych. Rodzi się natomiast pytanie, czy organy unijne powinny wydawać tak daleko idące zalecenia „na wszelki wypadek”, czy też robić to na podstawie konkretnych dowodów.

Niezależnie od tego myślę, że obecnie poziom zaufania do TikToka jest wyższy niż kilka lat temu.

A jednak wiosną tego roku Joe Biden podpisał ustawę, która zobowiązuje ByteDance do sprzedaży swoich amerykańskich aktywów podmiotowi spoza Chin. W przypadku braku dostosowania się do tych wymogów, platforma może zostać zablokowana w USA. Jak taki zakaz wpłynąłby na globalny biznes TikToka?

Uważamy, że ustawa jest niekonstytucyjna i narusza poprawkę dotyczącą wolności słowa. Wierzymy, że będziemy w stanie obronić się przed Sądem Najwyższym Stanów Zjednoczonych. Naszym celem jest opieranie się na faktach i dowodach, a nie przypuszczeniach.

Choć nie ujawniamy szczegółowych danych biznesowych, w tym przypadku geografia mówi sama za siebie – w USA mamy więcej użytkowników niż w całej Europie. Platforma ma tam 170 milionów użytkowników, a 1,7 miliona małych firm korzysta z TikToka. TikTok stał się integralną częścią amerykańskiego społeczeństwa i trudno mi sobie wyobrazić, aby został usunięty z tego rynku.

TikTok może mieć wpływ na wyniki zbliżających się wyborów prezydenckich w USA?

Nie chcemy eksponować polityki na TikToku. Nasza platforma oferuje znacznie węższe możliwości działania dla polityków niż konkurencja – zakazujemy reklamy politycznej oraz zbierania funduszy. Jednak według raportów PEW Research Center, TikTok wspiera procesy demokratyczne, tworząc otwarte i inkluzywne forum, gdzie użytkownicy mogą swobodnie wyrażać swoje poglądy. To nas cieszy.

W przypadku TikToka istnieje jeszcze jeden istotny wymiar ochrony – platforma udostępniana jest także osobom nieletnim. Do jakich grup wiekowych najczęściej należą korzystający z aplikacji i jaki odsetek użytkowników stanowią dzieci?

Z TikToka najczęściej korzystają milenialsi i zetki – osoby w wieku 18-35 stanowią około 60 proc. naszej społeczności. Obserwujemy także stały i wyraźny wzrost w grupie 45-55 lat. Natomiast nieletni, czyli osoby w wieku 13-18 lat, to zaledwie kilkanaście procent naszych użytkowników. W związku z różnym poziomem dojrzałości, odmiennymi zainteresowaniami i oczekiwaniami wobec treści, dzielimy tę grupę na trzy podkategorie: 13-15, 15-17 i 17+. Każda z nich ma różne poziomy dostępu do funkcji platformy – np. najmłodsi nie mogą wysyłać wiadomości prywatnych ani komentować treści, natomiast starsi mogą już wysyłać wiadomości, ale tylko do osób ze swojej listy kontaktów. TikTok udostępnia także narzędzia kontroli rodzicielskiej, takie jak możliwość powiązania kont członków rodziny. Podobnych mechanizmów ochrony mamy więcej, a jednocześnie staramy się szanować prywatność młodzieży.

Jako rodzice doskonale rozumiemy, jak ważne jest bezpieczeństwo dzieci w internecie. Robimy wszystko, co w naszej mocy, by chronić młodych użytkowników w ich pierwszych kontaktach z cyfrowym światem.

Czy system ochrony jest w pełni szczelny? TikTok np. w marcu 2024 r. został ukarany przez AGCM, czyli włoski organ ds. konkurencji i konsumentów, grzywną w wysokości 10 mln EUR za uchybienia w monitorowaniu treści, w tym mogących stanowić zagrożenie dla nieletnich. Rok wcześniej, we wrześniu 2023 r., irlandzka Komisja Ochrony Danych nałożyła na firmę karę 368 mln USD w związku z naruszeniem prywatności dzieci.

Dla jasności, krótko wyjaśnię te dwie kwestie. AGCM ukarało nas za zjawisko, które istniało na długo przed powstaniem TikToka i szeroko funkcjonuje poza naszą platformą. W TikToku to zjawisko jest de facto zablokowane, dlatego od początku nie zgadzaliśmy się z tą decyzją. Jeśli chodzi o sprawę z 2023 roku, dotyczyła ona wczesnych etapów rozwoju platformy. TikTok to stosunkowo młoda aplikacja, która rozwijała się bardzo dynamicznie, a wraz z tym wzrostem musieliśmy jednocześnie tworzyć i wdrażać nowe rozwiązania zapewniające bezpieczeństwo użytkowników. Dziś TikTok to zupełnie inna platforma niż jeszcze kilka lat temu.

Nasze systemy bezpieczeństwa, w tym te chroniące nieletnich, stają się coraz bardziej zaawansowane. Usuwamy ponad 98 proc. treści naruszających nasze zasady proaktywnie, a blisko 86 proc. z nich znika natychmiast po opublikowaniu, zanim ktokolwiek zdąży je zobaczyć. W przypadku treści związanych z wykorzystywaniem nieletnich, statystyki są jeszcze lepsze: 99,4 proc. usuwanych jest proaktywnie, a 92,8 proc. nie ma żadnych wyświetleń.

Rynek cyfrowy ewoluuje w zawrotnym tempie, co oznacza, że praca nad eliminacją zagrożeń w sieci to nieustanna walka. Wkrótce zmierzymy się z nowymi, obecnie jeszcze nieznanymi wyzwaniami.

Czy przedstawione liczby wiążą się ze zwiększeniem poziomu bezpieczeństwa TikToka, czy z ogólnym wzrostem dezinformacji i innych szkodliwych treści w internecie?

Wydaje mi się, że wyniki te są głównie efektem naszych działań. Nasze wewnętrzne statystyki pokazują, że treści naruszające nasze zasady, w tym te związane z rosnącymi zagrożeniami, takimi jak dezinformacja i misinformacja, stanowią mniej niż 1 proc. wszystkich publikacji na TikToku. Wszystkie te treści przechodzą przez szczegółowy proces weryfikacji, w którym uczestniczą zarówno systemy AI, jak i zespoły moderacyjne, liczące łącznie ponad 60 tysięcy pracowników.

Jako społeczeństwo weszliśmy w erę deepfake’ów, w której wkrótce może być trudno odróżnić autentyczne treści od sztucznie wygenerowanych, co może stać się narzędziem oszustw. Czy z waszej perspektywy AI to bardziej szansa czy zagrożenie?

AI, jak każda technologia, ma dwie strony. Z jednej strony, pomaga w moderowaniu treści: natychmiast usuwa drastyczne materiały, identyfikuje sygnały sugerujące, że konto jest prowadzone przez osobę poniżej 13 roku życia, co jest na TikToku zabronione. Analizuje także cechy świadczące o nieletniości, sposób komunikacji oraz elementy w tle, np. zeszyt w trzy linie, a następnie przesyła „flagę” do zespołów moderacyjnych.

Jednak deepfake’i stanowią poważne wyzwanie dla branży. Reagujemy na nie proaktywnie, m.in. rozszerzając zasady społeczności, wprowadzając moderację treści generowanych przez AI (AIGC) oraz automatyczne oznaczanie takich treści. Angażujemy się także w szersze inicjatywy, np. podczas Munich Security Conference, gdzie wraz z innymi globalnymi firmami technologicznymi podpisaliśmy zobowiązanie do pracy nad bezpiecznym udostępnianiem treści generowanych przez AI i walką z deepfake’ami. Jako pierwsza platforma z treściami generowanymi przez użytkowników wprowadziliśmy standard C2PA – swoisty „znak wodny”, który automatycznie przypisuje się do każdej treści stworzonej lub zmodyfikowanej przez AI, dzięki czemu te treści zawsze są oznaczane jako cyfrowo zmanipulowane.

Jak często osoby poniżej 13 roku życia zakładają konta na TikToku?

Kwartalnie, na całym świecie, usuwamy od 20 do 25 milionów takich kont. Dodatkowo usuwamy także od 110 do 120 milionów wpisów i filmów zawierających niebezpieczne treści.

Jak edukować dzieci o bezpieczeństwie w internecie?

Sam jestem rodzicem i wiem, że najskuteczniejsza jest rozmowa. Nie chodzi o jednorazowy wykład, ale o stały dialog i wyjaśnianie nawet pozornie drobnych kwestii. Dzieci dorastają szybko i jako rodzice mamy ograniczony czas na kształtowanie ich nawyków – około 15. roku życia większy wpływ mają na nie rówieśnicy niż rodzice. Dlatego nie lekceważmy sygnałów, jakie otrzymujemy od naszych dzieci.

Pana dzieci mają konta na TikToku?

Nie, są na to jeszcze za młode.

Główne wnioski

1. TikTok, intensywnie rozwijając się na rynku europejskim i amerykańskim, musi stosować się do lokalnych regulacji prawnych. Dostosowaniem do wymogów w zakresie ochrony danych są projekty Clover i Texas. Firma zapewnia, że stanowią blokadę przed dostępem do danych podmiotom trzecim, w tym rządowi Chin.
2. Wątpliwości dotyczące bezpieczeństwa danych na TikToku wyrażają Stany Zjednoczone czy Unia Europejska. Firma odpiera zarzuty, argumentując, że m.in. wraz z intensywnym rozwojem na rynku, wprowadza coraz to nowe zabezpieczenia. Ustawę podpisaną przez Joe Bidena, która nakazuje spółce ByteDance sprzedaż amerykańskich aktywów niechińskiemu podmiotowi, uznaje za niezgodną z poprawką do konstytucji. Racji będzie bronić przed sądem w USA.
3. TikTok jest platformą, która, podobniej jak inne tego rodzaju, przyciąga uwagę dzieci. Konta, wbrew regulaminowi, zakładają także osoby poniżej 13 roku życia. Firma w skali globalnej kwartalnie usuwa 20-25 mln takich kont. Korzysta przy tym m.in. z AI.