Naroči
se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Tiktok je zadnje leto na tnalu kot aplikacija, prek katere naj bi kitajski akterji spremljali uporabnike po vsem svetu in udejanjali svoje interese. V ZDA je nadzor nad njim prevzel domač konzorcij, v Evropi imajo Kitajci svojo podružnico, a to ni vplivalo na zbiranje podatkov. Podobno kot pri drugih platformah je njegov glavni poslovni model monetizacija pozornosti uporabnikov in njihovih podatkov, zato si prizadeva o nas izvedeti vse, kar je mogoče. Četudi Tiktoka nikoli nismo uporabljali …
Naslov ne skriva, da zgodbo o Tiktoku in zaščiti naših podatkov nadaljujemo, kjer smo pred dobrim letom končali (Aplikacija, ki je nihče ne razume, Monitor 03/25). Ko je januarja 2025 Trump podpisal izvršni ukaz o še enem podaljšanju prehodnega obdobja, do kdaj mora Tiktok zares in dokončno preiti iz kitajskih rok, sta Google in Apple potrebovala le nekaj tednov, da sta aplikacijo vnovič dodala na svoji tržnici. Sledilo je skoraj celo leto pregovarjanja in iskanja rešitev, kako bi kitajski ByteDance prodal ameriški del Tiktoka.
Šele decembra je ByteDance podpisal zavezujoč dogovor o prodaji 80 odstotkov podjetja, s čimer so zagotovili nadaljnje poslovanje na ameriškem trgu. Ustanovili so podjetje Tiktok USDS Joint Venture, na katero so prenesli ameriški del podjetja. Oracle, Silver Lake in sklad MGX iz Združenih arabskih emiratov so odkupili vsak 15 odstotkov podjetja, 19,9 odstotka pa je ostalo v kitajskih rokah. Preostanek so si razdelili manjši delničarji, denimo Michael Dell. Ključno vlogo igra Oracle, ki bo na ameriških podatkih ponovno uril, testiral in posodabljal priporočilni algoritem.
Volk sit in koza cela
S tem je ByteDance izpolnil vse ključne zahteve. Tiktok je v ameriški lasti, podatki ostajajo v ZDA, nadzor nad podjetjem imajo ameriški državljani. Izvršni direktor novega podjetja je postal Adam Presser, ki je bil že pred tem vodja operacij in varnosti v podjetju. In tako je z zamahom paličice – ter s plačilom dveh milijard dolarjev vsakega izmed trojice – Tiktok postal ameriški, neškodljiv in popolnoma legalen.
Zakon PAFACA (Protecting Americans from Foreign Adversary Controlled Applications Act), ki je bil po dolgotrajni proceduri in lobiranju sprejet aprila 2024, je Tiktok problematiziral, ker da ga obvladuje tuji sovražnik. Prvi poskusi prepovedi segajo v leto 2020, ko je Donald Trump podpisal izvršni ukaz za prepoved delovanja Tiktoka v ZDA, kar je kasneje ustavilo sodišče, razveljavil Joe Biden in – paradoksalno – čez nekaj let spet uvedel prav Biden, Trump pa nato na vse pretege poskušal preprečiti.
Lažni preplah
Pri branju pogojev uporabe se včasih kar zdrznemo, ko v njih zasledimo nenavadne določbe. Januarja je v ZDA precej preplaha povzročila dikcija, da Tiktok zbira občutljive podatke o uporabnikih, med drugim o »rasnem ali etničnem poreklu, veroizpovedi, medicinskih diagnozah, spolnem življenju ali usmerjenosti, transspolnosti ali nebinarnem spolu, državljanstvu in imigrantskem statusu ali finančnem stanju«.
Izkazalo se je, da ne gre za nič novega. Enaka določba je veljala že pred prodajo, gre pa za zakonsko obveznost. Številne države zahtevajo jasno opredelitev, kaj so občutljivi osebni podatki, ki se lahko skozi uporabo družbenega omrežja razkrijejo, in soglasje za njihovo obdelavo. Platforme morajo poskrbeti, da imajo dovoljenje za zbiranje teh podatkov, če bi jih uporabniki vpisali na platformo.
Tiktokova politika je potrebna, ker se drobci teh informacij lahko razkrijejo na videoposnetkih. Pri tem ni edini, saj imajo zelo podobno dikcijo tudi druge platforme.
Za Tiktok so se začeli mirnejši časi, uporabniki so zaščiteni, zakonodajalci pa pomirjeni. V Evropski uniji smo ga sicer opredelili kot zelo veliko spletno platformo (VLOP) po aktu o digitalnih storitvah (DSA) in ByteDance kot vratarja po aktu o digitalnih trgih (DMA), kar prinaša strožjo regulacijo in več poročanja, a hujših pretresov ni bilo. Več se je dogajalo pod pokrovom.
Kdo to bere
Kot je v vsaki šali vsaj zrno resnice, je tudi največja laž klik na gumb, da smo prebrali pogoje uporabe posameznega programa ali storitve ter da se z njimi strinjamo. Prav to so storili tudi uporabniki Tiktoka, ko jih je 23. januarja letos pričakalo obvestilo o novi politiki zasebnosti. To se redno dogaja pri različnih storitvah, zato temu običajni smrtniki ne posvečajo pozornosti. Če bo kaj zares narobe, se bo že kdo oglasil – to so ponavadi aktivisti za pravice uporabnikov in zaščito zasebnosti.
Ko je Tiktok v ZDA začel obvladovati Tiktok USDS Joint Venture, so pogoje uporabe spremenili tako, da podjetje o uporabnikih zbira še več podatkov. Pred tem je Tiktok zbiral približno informacijo o lokaciji uporabnika, ki jo je dobil iz naslova IP ali kartice SIM, po novem pa beleži tudi lokacijo, ki jo nudi naprava. To je običajno natančen GPS.
V stari politiki niso omenjali interakcije z umetno inteligenco, po novem pa zbirajo vse pozive (prompt) in druge informacije, ki jih posredujemo vgrajenemu modelu umetne inteligence. Shranjujejo se skupaj z uporabniškim imenom, torej niso anonimizirani. Spremenili so tudi pravila o pridobivanju in posredovanju podatkov oglaševalcem ter založnikom. Tiktok ve več o uporabnikih kot kadarkoli prej, kar ne bi smelo presenetiti nikogar. Podjetja, ki brezplačno nudijo platforme, niso dobrodelne ustanove, temveč korporacije, ki želijo čim večje dobičke. Monetizacija uporabniških podatkov in oglaševanje sta njihov glavni poslovni model, ki ga lahko povzamemo z znano krilatico: Če za izdelek ne plačujemo, smo izdelek sami.
Nihče ni imun
Marsikoga pa preseneča – druge pa jezi –, da ve Tiktok precej tudi o neuporabnikih. Gre za znano problematiko pikslov. Upravljavci drugih spletnih strani nanje pogosto vgradijo mikroskopske piksle, ki komunicirajo s Tiktokovimi (pa tudi z Metinimi, Googlovimi in drugimi) strežniki. Ti jim posredujejo dogajanje na strani. BBC-jev novinar Thomas Germain in tehnološki direktor podjetja Disconnect Patrick Jackson sta analizirala Tiktokov piksel in ugotovila, da je še bolj invaziven od konkurence. Ko je na neki spletni strani v formular vnesel podatke, da ima raka oziroma da ga je preživel, je Tiktokov piksel podjetju posredoval njegov elektronski naslov in vse podatke s formularja.
Sledilni piksli so uveljavljeni način sledenja, proti katerim se (neuspešno) borimo že leta. Delujejo sorazmerno preprosto, podjetja pa jih uporabljajo, ker lahko s svojo velikostjo to dobesedno izsilijo. Tiktok nekako prepriča podjetja, da na svoje strani postavijo Tiktokov piksel. Če to stori spletna trgovina, ki prodaja pnevmatike, bo Tiktok zbral ogromno podatkov o njenih obiskovalcih in strankah. Vedel bo, kdo stran obiskuje, in bo lahko stregel ciljane oglase za pnevmatike, kar se je večini bralcev v takšni ali drugačni obliki na eni izmed platform že gotovo zgodilo. Hkrati bo Tiktok vedel, ali ljudje po ogledu oglasov dejansko kupijo pnevmatike na tej strani. Oglaševalec pa bo zelo natančno poznal konverzijo svojih oglasov.
Tiktok že kaznovan
Irski informacijski pooblaščenec je maja lani Tiktoku naložil 530 milijonov evrov globe, ker je podatke evropskih uporabnikov prenašal na Kitajsko. Ugotovil je, da Tiktok krši GDPR, ki ni preveril in zagotovil, da se podatki tam varujejo primerljivo z evropskimi standardi. To je nujni pogoj za iznos podatkov iz EU, če z državo ni sklenjen sporazum o samodejnem priznavanju standardov, kot to velja za ZDA.
Tiktok je moral plačati 485 milijonov evrov kazni za kršitev 46. člena GDPR (iznos podatkov brez zagotovitve njihovega varnega upravljanja) in 45 milijonov evrov kazni za kršitev 13. člena GDPR (obveščanje uporabnikov o iznosu podatkov).
Po dostopnih poročilih Tiktok še naprej pošilja podatke evropskih uporabnikov v tujino, gradijo pa infrastrukturo za njihovo ohranjanje v EU v prihodnosti. Imenuje se projekt Clover, v okviru katerega so na Norveškem gradili drugi evropski center.
Že podatki o nakupovalnih navadah, četudi gre za pnevmatike, so lahko neprijetni. Še precej bolj problematični pa so zelo osebni podatki, denimo obisk strani ali forumov o zdravstvenih težavah, spletni nakupi zdravil, iskanje pomoči in podobno. Tiktok trdi, da je varovanje osebnih podatkov problem spletnih strani, ki morajo dobro vedeti, kaj smejo posredovati tretjim stranem, tudi Tiktoku, prek vstavljenega piksla. A problem niso posamezne strani, temveč celoten ekosistem.
Google ima svoje komponente na več kot 70 odstotkih največjih spletnih strani, Meta se je ugnezdila na 21 odstotkov, Tiktok pa na pet odstotkov, a se njegov delež povečuje. Taktiko, ki sta jo razvila Google in Meta, Tiktok več kot uspešno posnema, pojasnjujejo v DuckDuckGo, kjer so izmerili omenjene deleže. Čim več podjetja vedo o nas, tem več nam lahko prodajo ali kako drugače vplivajo na nas. Predstavljajte si, da bi v samopostrežni živilski prodajalni natanko vedeli, da imamo zelo radi marelični jogurt, medtem ko so naši otroci alergični na gluten. Precej zanesljivo lahko to s karticami zvestobe sklepajo že danes, a vsaj na ceno to ne vpliva – v digitalnem svetu pa je tehnično mogoče, da vsaka stranka vidi svojo ceno, še najvišjo, ki jo je pripravljena plačati. Letalski prevozniki se v to smer trudijo že desetletja, večinoma s primitivnimi razredi vozovnic glede na čas nakupa. A prav lahko bi vsakomur pokazali svojo ceno.
Kaj zbira Tiktok
V naših krajih je relevantna evropska zakonodaja in Tiktokovi pogoji uporabe v Evropi. V njih se podatki, ki jih zbirajo, delijo na tri skupine: podatki, ki jih uporabniki posredujejo, samodejno zbrani podatki in podatki iz drugih virov.
V prvo skupino sodi vse, kar platformi prostovoljno povemo: podatki o računu (datum rojstva, uporabniško ime, e-naslov ali telefonska številka, geslo); vsa uporabniška vsebina (ustvarjena, naložena, uvožena, objavljena), kamor sodijo videoposnetki, slike in besedila, lahko pa tudi lokacijski podatki; vsa sporočila; stiki in druge povezave; podatki o nakupih na Tiktoku; ankete, raziskave in promocije; podatki obrazcev in funkcij. Načelno tu večjih težav ni, saj enostavno predpostavimo, da Tiktok zbere vse, kar mu kakorkoli posredujemo.
Samodejno zbrani podatki so tehnični (model naprave, operacijski sistem, naslov IP, sistemski jezik, nastavitve in celo vzorec tipkanja), lokacijski (iz kartice SIM ali naslova IP, ob vključitvi pa tudi natančna lokacija naprave), podatki o uporabi (interakcija z oglasi, ogledane vsebine, trajanje ogledov, iskalna zgodovina, sodelovanje z drugimi uporabniki), lastnosti in značilnosti v lastni uporabniški vsebini (zaznavanje predmetov in pokrajine, lokacije), piškotki ter predpostavljeni podatki (kar Tiktok o nas sklepa, denimo spol, starost, zanimanja).
Posebej zanimivi so podatki iz drugih virov, kamor sodijo oglaševanje, merjenje in interakcije z drugimi partnerji (Tiktok Pixel), podatki ponudnikov plačil in izvajanja transakcij, platforme tretjih oseb in dodatni viri. Skratka, Tiktok ve o nas vse, kar lahko.
Tiktokov imperij
Tiktok Pixel ni nova iznajdba, so ga pa junija posodobili. Dotlej je Tiktok z njim le zbiral podatke o tem, kako se oglasi realizirajo v nakupih. Po novem lahko z njim uporabnikom sledijo, tudi ko se s Tiktoka odpravijo na druge spletne strani in tam nakupujejo. S tem imajo podjetja večji interes, da kupijo oglase pri Tiktoku, zato se bo njegov Pixel širil, platforma pa rasla.
Uporabniki Tiktoka seveda lahko kadarkoli zahtevajo izbris zbranih podatkov, a v praksi to počne malokdo. Precej težje to storijo ljudje, ki ga sploh ne uporabljajo, a jim platforma vseeno sledi na drugih straneh. Povsem brez možnosti vseeno nismo.
Evropa in ZDA
Zaradi strožje zakonodaje v EU je politika zasebnosti za uporabnike v EU, Evropskem gospodarskem prostoru, Združenem kraljestvu in Švici drugačna kot v ZDA.
Že z menjavo brskalnika lahko dosežemo veliko, saj je Chrome znan kot velik sesalec osebnih podatkov, ki jih nato nekritično trosi naokoli. Bistveno varnejša sta DuckDuckGo in Brave, že bolj konvencionalna Safari in Firefox pa sta prvi korak k večjemu nadzoru nad osebnimi podatki. V veliko pomoč je tudi namestitev razširitev oziroma vtičnikov, ki blokirajo nepotrebne piškotke in druge vsiljive elemente spletnih strani. Privacy Badger in Ghostery počneta prav to, blokiranje oglasov z AdBlock Plus ali uBlock Originom pa tudi ne škoduje.
Druga težava pa so nakupi in izmenjave podatkov. Številna podjetja na najrazličnejše načine zbirajo podatke in jih delijo s Tiktokom in z drugimi oglaševalskimi velikani, denimo Googlom in Meto. Ti zbirajo podatke na netransparentne načine. Proti tej vrsti zbiranja podatkov se je težko boriti, še najboljša je skrajna previdnost pri prijavljanju in vpisovanju osebnih podatkov na različna spletna mesta ter uporaba brskalnikov s poudarkom na zasebnosti. V Evropi imamo k sreči na voljo precej obsežno zakonodajo, ki nam daje precej pravic. Med drugim se lahko seznanimo z osebnimi podatki, ki so jih platforme – tudi Tiktok – zbrale o nas ter zahtevamo njihov izbris. Aplikacijam na telefonu pa odstranimo vse pravice, ki jih ne potrebujejo, denimo dostop do lokacijskih podatkov ali imenika.
Nismo odvisni od sebe
Sledenju na internetu se težko izognemo že zaradi preprostega dejstva, da smo sorazmerno edinstveni. Na spletni strani Am I Unique? (www.amiunique.org) si lahko ogledamo prstni odtis v brskalniku na računalniku ali telefonu glede na vse tehnične podatke, ki jih o nas vidi obiskana spletna stran. Sem sodijo operacijski sistem, brskalnik, jezik, časovni pas, nastavitve piškotkov, ločljivost zaslona, vtičniki in še marsikaj drugega. Iz več kot 50 parametrov je stran izračunala, da je pisec teh vrstic edinstven med petimi milijoni uporabnikov.
Spletna stran Am I Unique prikaže, katere drobtinice puščamo za seboj na spletu.
Ti podatki omogočajo sledenje, ne pa identifikacije. Za to moramo še kam kaj vnesti, kar počnemo ves čas. Glavne nevarnosti, paradoksalno, ne predstavljajo objektivni podatki, ki jih lahko zberejo strani o nas (ime, naslov, starost), temveč profil naših interesov in ravnanj. Vsako iskanje v Tiktoku, vsaka interakcija z drugo vsebino, vsaka objava pomagajo graditi profil, v katerem se razkrijemo bolj, kot bi si želeli.
Tiktok je uvedel funkcije umetne inteligence, ki jih je velikodušno ponudil uporabnikom. Med njimi je funkcionalnost AI Self, ki iz uporabnikove slike ustvari avatar. Če jo uporabimo, Tiktok pridobi našo fotografijo, ki jo – po lastnih navedbah – kasneje izbriše. Tudi vsi pozivi in druge interakcije z umetno inteligenco razkrivajo ogromno podatkov o nas.
A na koncu nismo odvisni le od sebe. Problem ni nov, prvikrat smo ga resno zaznali že pred dvema desetletjema na Facebooku. Nanj so ljudje nalagali fotografije, na katerih so bili tudi njihovi prijatelji, znanci, sodelavci in drugi, nato pa so jih še označili. Tako je Facebook pridobil ogromno količino podatkov tudi o ljudeh, ki sploh niso bili njegovi uporabniki. Tiktok ima enak problem, rešitev pa je podobno slaba: sicer lahko zahtevamo odstranitev svojih osebnih podatkov, a najprej moramo sploh opaziti, da so se znašli na internetu. Ozaveščanje uporabnikov pa je tek na dolge proge.
K sreči nam v EU pomaga zakonodaja, ki je Tiktok prisilila v nekaj varovalk. V EU (in soseščini, denimo Švici in Združenem kraljestvu) lahko v aplikaciji izklopimo prikazovanje personaliziranih oglasov. V tem primeru bo platforma prikazovala generične oglase na podlagi široke demografske skupine, ki ji pripadamo. Na napravah z iOS lahko izklopimo sledenje prek drugih aplikacij in spletnih strani, v Androidu pa lahko izbrišemo svojo identifikacijsko oznako (ID), s katero nam Tiktok sledi prek aplikacij.
Čarobne paličice ni, največ pa lahko storimo s samozaščitnim vedenjem. Če že moramo uporabljati Tiktok, si lahko naredimo anonimni račun, po spletu brskajmo iz varnih brskalnikov z ustreznimi razširitvami, pri nalaganju česarkoli na splet pa upoštevajmo, da anonimnosti tam ni. Tiktok namreč živi od vaših podatkov.
TikTok ima sedež za EU na Irskem.