O TikTok envia informação privada dos utilizadores para a China?
A pergunta voltou a ser tema de debate esta semana, com a publicação de um relatório sobre o tipo de dados que a rede social TikTok recolhe — e as ligações que tem à China.
O relatório e os títulos
"No nosso último relatório revelamos a recolha excessiva de dados do TikTok e o facto de a aplicação se ligar a infra-estruturas na China continental” — É a palavra deles contra o código fonte (publicado a 18 de Julho de 2022 pela Internet 2-0)
“O relatório chocante, publicado hoje, descreve até onde vai o TikTok na recolha de dados pessoais dos seus utilizadores, que alguns receiam que sejam utilizados pela China para ciber-espionagem” — reportagem The Project (programa de televisão da Network 10, na Austrália)
O contexto
Um relatório publicado esta semana pela Internet 2-0, uma empresa de cibersegurança com operações na Austrália e nos EUA, alerta que o código fonte do TikTok mostra que a app de vídeos virais recolhe uma enorme quantidade de dados dos seus utilizadores, automaticamente, e que a rede social está ligada a servidores na China continental. As conclusões têm motivado preocupações sobre o facto de dados de utilizadores de todo o mundo poderem ser acedidos na China, que tem regras diferentes quanto à privacidade da Internet. Alguns investigadores, como o colectivo alemão Zerforshung, alertam, no entanto, que o relatório acaba por propagar o pânico sem provas concretas.
Os factos
De onde vem o relatório?
A pedido de políticos e legisladores nos EUA e na Austrália, a equipa da Internet 2-0 analisou o código fonte da aplicação de microvídeos TikTok para iOS (sistema operativo da Apple) e para Android (sistema operativo da Google). O objectivo era perceber o tipo de dados que a app recolhe e o que acontece com eles. O motivo do interesse deve-se à popularidade da rede social: segundo a equipa da Internet 2-0, em 2022 o TikTok é a rede social dominante e a sexta aplicação mais usada no mundo. As receitas de publicidade da 2022 devem chegar aos 12 mil milhões de dólares (11,7 mil milhões de euros à taxa de câmbio actual).
O relatório não investiga a possibilidade de os dados dos utilizadores serem usados para espionagem. No entanto, ao abrigo das leis de segurança nacional da China, as empresas chinesas podem, a pedido do governo, ser obrigadas a partilhar o acesso aos dados que recolhem.
O que é que os investigadores descobriram?
O relatório nota que o TikTok acede regularmente a dados de geolocalização, informação no calendário, dados da câmara e listas de contactos. A app confirma a localização do utilizador de hora em hora. Embora este tenha o direito de recusar o acesso aos seus contactos, a app está programada para pedir autorização, repetidamente, até que seja aceite. Em dispositivos Android (sistema operativo da Google), também tem a capacidade de recolher informação sobre o IMEI (número de identificação global e único para cada telefone) e o SSID (na base, o nome de uma rede de WiFi) — os investigadores não sabem se o TikTok recolhe mesmo estes dados.
A equipa da Internet 2-0 salienta que nada disto é novidade. “Há muito que as pessoas sabem que empresas, como o TikTok, recolhem muita informação. Queríamos mostrar que isto pode ser visto directamente no código fonte da aplicação”, explica ao PÚBLICO David Robinson, co-fundador da Internet 2-0 e antigo oficial dos Serviços Secretos Australianos.
O que mais surpreendeu os investigadores foi o facto de o código fonte da versão 25.1.1 do TikTok, para iOS, mostrar que a app estabelece ligações à China continental através de um servidor gerido pela Guizhou Baishan Cloud Technology, uma empresa de cibersegurança sediada na China. Os investigadores não conseguiram apurar o motivo desta ligação: “Durante a análise não pudemos determinar com grande confiança o objectivo da ligação, nem onde os dados do utilizador são armazenados,” lê-se no relatório. Os investigadores partilharam as conclusões com a equipa do TikTok, mas a empresa recusou-se a partilhar detalhes sobre as infra-estruturas que tem na China.
“Não sabemos se existiram dados a ser transferidos através desta conexão, mas há uma conexão”, insiste David Robinson. “E há muito que as pessoas sabem que empresas como o TikTok recolhem muita informação.”
O que é que o TikTok diz?
Contactada pelo PÚBLICO a equipa do TikTok mantém que usa servidores em Singapura. “O endereço IP está em Singapura, o tráfego da rede não sai da região, e é categoricamente falso sugerir que existe comunicação com a China”, escreve um porta-voz do TikTok numa resposta enviada por e-mail.
“Recolhemos informação que os utilizadores aceitam em fornecer e informação que ajuda a aplicação a funcionar”, nota um porta-voz da empresa.
A equipa do TikTok acrescenta que não recolhe dados do IMEI, nem a localização exacta dos utilizadores. A empresa diz que usa o IP dos utilizadores para estimar a sua localização (algo que a Internet 2-0 é criticada por fazer): “Usamos informação como o endereço IP para inferir [dados] que nos ajudam, entre outras coisas, a cumprir as leis nos mercados em que operamos.”
Mas o TikTok tem ligações à China?
A rede social TikTok nasceu em Agosto de 2017 pelas mãos da ByteDance, uma empresa chinesa dona de várias redes sociais, e da plataforma de notícias Toutiao (Manchetes, em português). Um dos seus focos é desenvolver ferramentas de inteligência artificial para “criar plataformas de conteúdo para ajudar pessoas a descobrir o mundo”. O objectivo do TikTok era ser a versão internacional da popular rede social chinesa de partilha de microvídeos Douyin. Em 2020, existiam várias empresas norte-americanas interessadas em comprar a rede social TikTok, mas o processo não chegou a avançar.
“Não podemos provar que a app envia dados para a China, mas não temos de o fazer. A própria app já admitiu fazer isso”, sublinha David Robinson.
Apesar de a equipa do TikTok dizer ao PÚBLICO que “é falso sugerir que existe comunicação com a China”, no começo de Julho o New York Times obteve acesso a uma carta enviada ao Senado norte-americano pelo presidente executivo do TikTok, Shou Zi Chew, em que o líder da app admite haver trabalhadores do TikTok, na China, com autorização para aceder aos dados dos utilizadores nos EUA. A informação inclui comentários e vídeos publicados pelos utilizadores.
"Os funcionários [do TikTok] fora dos EUA, incluindo os funcionários na China, podem ter acesso aos dados de utilizadores da TikTok US, mediante uma série de controlos de cibersegurança robustos e protocolos supervisionados pela nossa equipa de segurança nos EUA”, lê-se no documento.
Críticas ao relatório:
A ZerforSchung, uma equipa de analistas de tecnologia na Alemanha, argumenta que o relatório motiva a preocupação excessiva. “É inútil tentar determinar a localização dos servidores com base apenas num endereço IP”, lê-se numa análise partilhada pelo grupo. “Quando só se tem informação sobre um IP, não se pode concluir onde é que os servidores estão localizados, para o que é que são utilizados e quem é que utiliza os dados.”
Os membros do ZerforSchung acrescentam que o funcionamento da app de microvídeos depende de muitas das autorizações listadas pela Internet 2-0. “A maioria das permissões que a app tem de ser explicitamente autorizadas pelos utilizadores”, acrescenta a equipa.
Em suma
O relatório da Internet 2.0 mostra que o TikTok recolhe uma grande quantidade de dados dos seus utilizadores. A app está programada para exigir, persistentemente, acesso a dados como a localização e a lista de contactos (isto é algo que outras apps não fazem). Não há provas de que a rede social TikTok envie dados privados dos utilizadores para a China. A app confirmou recentemente que alguns dos seus engenheiros na China podem ter acesso a informação sobre os vídeos e comentários publicados por utilizadores do TikTok nos EUA, depois de receberem uma autorização da equipa norte-americana.