Kinesiske TikTok var indtil for nylig fremtidens app, men nu ser den ud til hastigt at være på vej til at blive fortid i dele af Vesten. På begge sider af Atlanten har regeringer på stribe meldt ud om tiltag, der skal begrænse brugen af videodelingstjenesten.
Danmark er også med. Herhjemme har både Stats- og Forsvarsministeriet i ugens løb beordret ansatte til at slette appen fra tjenestetelefoner, iPads og andre enheder. Det sker på anbefaling af Center for Cybersikkerhed under Forsvarets Efterretningstjeneste.
Det er nok ikke nogen overraskelse, at regeringsledere og spionchefer og deres medarbejdere bør undgå enhver tænkelig kompromittering af sikkerheden. Men hvad med den almindelige bruger? Løber han eller hun også en risiko ved at installere TikTok på sin iPhone?
Svaret er et klart ja, ifølge danske John Strand, leder af konsulentfirmaet Strand Consult, der fokuserer på telekommunikation ikke mindst i en kinesisk sammenhæng.
»Lige så snart du lukker TikTok ind på din telefon, giver du dem adgang til hele dit digitale liv. Jeg plejer at sige til folk, at TikTok ved nok mere om dig, end din partner gør,« siger han til Weekendavisen.
Det amerikansk-australske cybersikkerhedsfirma Internet 2.0 offentliggjorde for nylig en liste over de vigtigste brands på de sociale medier rangeret efter, hvor ivrigt de indhøstede data fra deres brugere. TikTok lå helt i top. Eksperter peger blandt andet på, at TikTok har adgang til brugernes fotos og videoer, og at det via geolokation løbende kan holde øje med, hvor de opholder sig. Det kan lyde orwellsk, men for eksempel muligheden for at følge brugeres bevægelser er i realiteten mere eller mindre standard.
Lisbeth Klastrup, der forsker i sociale medier ved IT-Universitet i København, peger på, at det i TikToks slutbrugerkontrakt fremgår, præcis hvor meget data der bliver indhentet. Der er ikke den helt store forskel i forhold til andre platforme.
»Spørgsmålet er nok mere, hvad de vil bruge disse data til,« siger hun.
Optimeret propaganda
De potentielle konsekvenser blev demonstreret i december, hvor rapporter kom frem om, at TikTok havde mistænkt sine egne ansatte for at lække fortrolige oplysninger til amerikanske journalister og havde brugt sin viden om deres bevægelser for at se, om de på noget tidspunkt havde været i nærheden af hinanden.
For Daan Keuper, en researcher ved det hollandske it-sikkerhedsfirma Computest, er der også en anden og mindst lige så vigtig årsag til bekymring. TikTok har, fortæller han, ekstremt effektive algoritmer, der kan sammensætte en personlighedsprofil for de enkelte brugere, baseret på en nøje måling af, hvordan de anvender appen, hvilke videoer de scroller forbi, hvilke de standser op ved, hvor lang tid de bruger på hver enkelt video og så videre.
»Selvom du ikke eksplicit fortæller TikTok, om du er venstre- eller højreorienteret, eller om du er religiøs, eller hvilke værdier du har, kan de deducere sig frem til det meget hurtigt og meget, meget præcist,« siger han.
»Der er selvfølgelig den information, som du stiller til rådighed for TikTok, for eksempel data om, hvor du opholder dig, men jeg tror, at de vigtigste data, som TikTok besidder, er den komplette profil over, hvem du er som menneske, hvad du kan lide, og hvad du ikke kan lide.«
Teoretisk set kunne en databank om sym- og antipatier hos millioner af brugere blive et kraftfuldt våben i en eventuel fremtidig kinesisk kampagne beregnet på at påvirke den vestlige opinion i et givet spørgsmål, hvor budskaberne er nøje afstemt de enkelte modtageres præferencer.
»Alle sociale medier overvåger naturligvis brugernes vaner og opbygger profiler. Forskellen er, at TikToks ejer, ByteDance, befinder sig i Kina og er tvunget til at adlyde kinesisk lov, og at kinesiske virksomheder står meget tættere på regeringen i Kina end i Vesten,« siger Keuper.
Måske vigtigst i denne sammenhæng er den kinesiske cybersikkerhedslov fra 2017, som forpligter kinesiske virksomheder til at dele data med regeringen, hvis de får besked på det.
»Loven er meget klar og fastslår i bund og grund, at hvis det kinesiske styre siger: 'Hop,' så spørger TikTok: 'Hvor højt?'« siger John Strand.
Spionage som standardindstilling
Ifølge Parisa Khosravi, nordisk kommunikationschef for TikTok, adskiller virksomheden sig ikke fra andre mobile apps, hvad angår mængden af data, der bliver indsamlet.
»Vi er aldrig blevet bedt om at udlevere data til den kinesiske regering, har aldrig udleveret data til den og ville ikke gøre det, hvis vi blev spurgt,« siger Khosravi i et skriftligt svar til Weekendavisen.
»For at styrke vores tilgang til datasikkerhed vil vi åbne et nyt datacenter i Norge, og vi vil gå sammen med et europæisk firma, der som tredje part skal validere vores datakontroller og -beskyttelser, overvåge datastrømme, udføre uafhængig verifikation og rapportere alle hændelser.«
Allan Frank, it-sikkerhedsspecialist ved Datatilsynet, ser debatten om TikTok som en del af en større diskussion om, hvor meget data man som bruger bør dele. Det er efter hans mening vigtigt, at man på forhånd gør op med sig selv, hvor meget man vil have sit privatliv invaderet.
»Både med TikTok og Facebook er det sådan, at man i relativt stort omfang selv kan gå ind og sætte tilladelserne manuelt og dermed begrænse overvågningen af sig som person. For eksempel kan man slå ’sladrehanken’ om sin position på landkortet fra,« siger han.
Problemet er, at standardindstillingerne i mange apps i udgangspunktet er dem, der er mest ugunstige for brugeren, mens det egentlig ifølge databeskyttelsesretten burde være lige omvendt. Desuden er der de alenlange dokumenter om betingelser for brug af applikationer, man som bruger skal klikke sig igennem.
»Hvis man gider læse hele den lange liste over, hvad en applikation som TikTok kræver, når den skal installeres, så tror jeg faktisk, at den er rimeligt dækkende. Problemet er, at de færreste mennesker læser den. Som forbrugere vil vi gerne have den fede funktionalitet, men vi er ikke så gode til at være kritiske i forhold til det,« siger Allan Frank.
