TikTok应对美国国家安全关注的内幕

今天和大家分享的是关于TikTok的德克萨斯项目的一篇后续外媒报道。

Inside TikTok’s proposal to address US national security concerns【https://cyberscoop.com/tiktok-national-security-cfius/】

TikTok已经向一个秘密的联邦小组提交了一份详细的提案，该小组将决定其在美国的未来，该小组广泛依赖美国科技巨头甲骨文公司，以减轻“病毒性”视频应用被认为的安全风险。

一位不愿透露姓名的TikTok职员向CyberScoop描述了该公司提交给美国外国投资委员会的提案。该提案被称为"德克萨斯项目"（可能是指甲骨文的奥斯汀总部），其各方面内容此前已被报道，并向公民社会成员作了介绍【见本公号文章：德克萨斯项目：TikTok计划在美国继续运营的细节（外专观点）】，但由于与美国外国投资委员会的谈判陷入僵局，该委员会将决定该公司是否能继续在美国运营，该公司已开始在技术上更详细地描述该提案。

根据该提案的条款，TikTok将向甲骨文公司和一组第三方审计师透露其技术的核心部分，这些审计师将核实该应用程序是否推广符合中国政府意愿的内容或与中国分享美国用户数据。

耶鲁大学法学院中国中心高级研究员萨姆·萨克斯(Samm Sacks)说："德克萨斯项目的努力显然反映了为解决美国政府的关切而做出的认真努力，并且经过了多年的谈判"，她已经听取了关于该计划的汇报，"我的主要收获是，你不必相信TikTok或中国政府，因为至少从我所了解的这个计划的轮廓来看，美国政府将对他们同意的任何事情进行最终监督和监测。"

由中国公司字节跳动所拥有的TikTok作出的提议，代表着试图结束TikTok与美国政府之间的争斗，这场争斗可以追溯到特朗普政府时期，因为它是否代表国家安全威胁。2020年，特朗普总统试图禁止该应用程序并迫使其出售给一家美国公司。这一努力失败了，当拜登总统上任后，他撤销了禁令，该禁令已被美国法院裁定为非法。然而，在过去的一年里，取缔TikTok的呼声再次出现，将近一半的州已经采取行动，在政府所有的设备上禁止该应用程序。

关于是否允许TikTok继续在美国运营的持续辩论，提出了关于该应用程序在美国信息生态系统和流行文化中的巨大影响力的复杂问题。在华盛顿和北京就谁将控制未来的技术进行广泛冲突的时候，谁将控制TikTok也许代表了其最重要的战场。

公司结构、网关和审计

为了消除人们对ByteDance拥有TikTok将允许北京影响该应用程序的担忧，向CyberScoop所描述的提案将把TikTok与国家安全有关的美国业务放在一个单独的公司实体——TikTok美国数据安全公司。

这个新组织将有一个独立的董事会，由美国外国投资委员会（CFIUS）批准，该委员会由财政部领导，负责审查外国投资。TikTok美国数据安全公司员工总数预计为2500人，负责运行美国版本的应用程序并审查美国的内容控制政策。凭借其公司结构和设在美国的技术基础设施，该提案设想美国版TikTok不受其中国所有者的影响。

正如TikTok职员所描述的那样，该公司的提案依靠甲骨文公司运营所谓的"网关"，将美国的应用程序和美国的用户数据与世界其他地方隔绝。这样一来，这些网关将只允许外国投资委员会允许的数据从被隔离的美国版本转到世界其他地方的基础设施。第三方将验证美国用户的数据在转移到美国系统后是否已经被删除。这位官员说："除非通过这些网关，否则任何比特或字节都不能进出甲骨文云，而且只有美国外国投资委员会允许的数据才被允许"。

TikTok的提议依赖于甲骨文和一个尚未确定的第三方来审核该应用程序的源代码和推荐算法。为确保甲骨文审查的代码基础与进入用户手机的代码相同，甲骨文将编译该应用并将其交付给应用商店。

综上所述，该提案旨在将TikTok与北京分开。萨克斯说："这个独立的董事会向美国外国投资委员会报告，它不向全球TikTok或ByteDance报告。我们谈论的是在美国政府监督的多层次系统内，将数据访问、推荐系统、源代码、人员完全本地化。"

TikTok的一位发言人说，随着与美国外国投资委员会的谈判继续进行，该公司正在开始实施协议的规定"，Brooke Oberwetter说："这是一套全面的措施，有多层政府和独立监督，以确保TikTok没有后门，可以用来操纵平台。这些措施超出了今天任何同行公司在安全方面的做法。"

对于华盛顿的政策制定者来说，TikTok所带来的威胁是双重的：通过积累1亿美国用户，中国拥有一个强大的个人数据库，以满足其对数据的渴望的监控系统，以及该应用程序的强大算法给中国政府提供了强大的宣传工具。

为了消除这些担忧，TikTok采取了更加透明的方式来描述它正在实施的数据保护措施，以防止公司被强制出售或被禁止在美国使用。该公司也加强了其公关运作，去年第四季度，TikTok和ByteDance共花费120万美元进行游说，并聘请了华盛顿掮客，如曾经的参议院少数党领袖特伦特-洛特，这位典型的南方老好人政治家变成了影响力贩子。

到目前为止，它的建议和公关推动几乎没有起到安抚其最激烈的批评者的作用。佛罗里达州共和党人马可-鲁比奥(Marco Rubio)告诉CyberScoop："只要TikTok仍然由ByteDance拥有，这家公司在法律上受制于中国共产党，任何交易都不会解决该应用程序的主要安全问题。"TikTok应该从中国的所有权中完全剥离，或者应该在美国完全被禁止。"

猫和老鼠的游戏

TikTok拥有1亿用户，正在重塑美国的社交媒体格局，并且在全球拥有10亿用户，它代表着对美达公司拥有的主导性社交媒体平台的少数真正威胁之一。TikTok如日中天的人气取决于该公司的人工智能技术，该技术为该应用的推荐引擎提供动力。TikTok不是依靠用户的社交图谱来决定显示什么内容，而是挖掘应用程序的整个内容库来决定显示什么。该推荐引擎可以找出用户将参与的内容，并让他们继续回来看。

推荐引擎是人们担心北京可能颠覆该应用程序的核心所在。推荐系统做出的决定可能很难从外部理解——这种现象被人工智能专家称为 "黑匣子"问题——它们的不透明性意味着中国政府在理论上可以秘密地选择推广和压制哪些内容。

TikTok提议通过依靠甲骨文审计其推荐算法来解决这些问题，并确保该算法不会压制中国不喜欢的内容。"他们将确保取下过度暴露的视频的模型，不会同时取下反中国的内容，"TikTok官员说。"甲骨文可以审查算法、软件、数据模型，到底所有的东西是如何运作的。"

TikTok的提议让甲骨文，以及尚未确定的第三方审计机构，承担了巨大的责任，以解决有关代码库、算法和数据安全的问题。

虽然TikTok代码库的确切规模尚不清楚，但计算机安全专家估计，它可能超过100万行代码，也许更大。检查如此庞大的代码库是否存在缺陷或后门是一项艰巨的任务。第三方审计师将进行单独审查，但在美国外国投资委员会签署该提案之前，不能确定该审计师。

审核TikTok的算法也是一项同样具有挑战性的任务。了解推荐算法为何做出某些决定是一个困难的计算机科学问题，虽然近年来在建立可审计的算法方面取得了进展，但目前仍不清楚TikTok的提案是否能满足关于该应用程序的算法是否--或可能--被北京颠覆的问题。

美国企业研究所的技术专家Klon Kitchen说："这些推荐算法并不是一成不变的东西，它们本身就是一个敏捷的软件，你怎么能有意义地评估定义上总是在变化的东西的可靠性？"

甲骨文公司将负责运营位于美国版TikTok边界的网关，监督从美国实体内部流向世界其他地方的数据，并确保只有经CFIUS批准的数据才能通过网关。曾研究过TikTok隐私和安全功能的公民实验室高级研究员Pellaeon Lin说，维持这样一个系统的完整性相当于一个 "猫捉老鼠的游戏"，甲骨文需要不断防范破坏网关制度的方法。"从技术上讲，绕过网关仍然是可能的，就像绕过中国的长城一样。"

甲骨文公司没有对本文的采访请求作出回应。

政治战场

对TikTok在美国的存在的担忧既是政治问题，也是技术问题。TikTok对美国构成威胁的论点的核心是中国法律的规定，要求其国内公司根据政府的要求交出数据。

TikTok的整体提案——在其公司治理改革、使用网关管理数据传输以及源代码和算法审计之间——试图创建一个结构来解决这一问题，但对于那些认为中国法律的这些方面与在美国运营根本不相容的计算机安全专家来说，TikTok提案的条款还不够。Kitchen说："它们都没有决定性地解决中国法律的基本挑战，这一点非常明确：中国公司及其衍生公司无论在哪里运营，都必须向中国政府提供它们收集或存储的每一点数据。

TikTok的批评者有很多理由感到担心。去年，BuzzFeed报道称，"字节跳动的中国员工多次获取美国TikTok用户的非公开数据，"即使该公司已承诺将美国用户数据转移到美国的服务器上。2022年晚些时候，福布斯发现TikTok员工利用内部数据追踪报道该公司的记者，以根除泄密者。在香港广泛的抗议活动中，该应用程序似乎对抗议运动的内容进行了审查。而在中国的人权“压迫”中，TikTok压制了有关内容。

由于没有全面的方法来解决TikTok带来的风险，各州和国会已经对该应用程序采取了零星的行动。越来越多的州禁止在政府设备上使用TikTok，而国会在去年年底通过了一项措施，禁止在联邦设备上使用TikTok。据报道，面对美国外国投资委员会为减轻TikTok的安全风险而提出的复杂建议，司法部的第二号官员丽莎-摩纳哥(Lisa Monaco)对该建议是否足够 "严厉对待中国 "表示怀疑，正如《纽约时报》所说。同时，完全禁止该应用程序将引起大规模的政治反弹，特别是在美国年轻人中，因为该应用程序是日常生活的一个重要方面。

虽然拜登政府已经采取了一系列积极的措施来限制中国对美国技术的访问，但禁止一个以病毒式舞蹈挑战而闻名的应用程序将代表白宫对中国影响力的战争的重大升级--在华盛顿正寻求冷却与北京的紧张关系时。一位直到最近还在美国外国投资委员会任职的前政府官员说："整个事情是一团糟，"他以匿名的方式描述了签署协议的难度。

由于其对解决美国问题的狭隘关注，一些专家认为美国外国投资委员会的提案是美国放弃其开放互联网愿景的第一步。萨克斯说，如果获得批准，该提案将从根本上改变 "互联网的管理方式"，为其他国家如何迫使公司将其业务本地化创造一个 "蓝图"，并使美国公司没有什么可信度来进行反击。

"我们在中国看到了这种模式，我们在欧盟看到了这种模式，"她补充说。"现在我们只是助长了对数字主权讨论的竞争。"

随着美国外国投资委员会的程序似乎被冻结，国会内部的一些声音越来越不耐烦，参议员乔什-霍利(Josh Hawley)表示，他计划提出一项在全国范围内禁止TikTok的法案。弗吉尼亚州参议员马克-华纳(Mark Warner)主张采取更全面的方法来管理外国应用程序。他的办公室拒绝对此发表评论，但在本周早些时候接受《华盛顿邮报》采访时，参议院情报委员会主席想知道现在是否是采取新方法的时候。"是否有一种方法，我们可以广泛地审视引起严重国家安全问题的基于外国的技术应用？... "我甚至认为，对于其中的一些，甚至美国外国投资委员会也可能不是正确的场所。"