TikTok上的悲剧
2021年1月20日晚,意大利西西里岛上的一户五口之家突然陷入混乱。10岁的大女儿Antonella,在浴室中失去意识,无法动弹。她脖子上拴着腰带,跟毛巾支架钩一块,手机就在旁边,里面TikTok软件开着,正录制这次“窒息挑战”的视频。家人惊慌失措,急忙尝试心脏按摩和人工呼吸,无济于事。第二天,医院宣布小女孩脑死亡,救治失败。
时钟拨回事故前一个月,意大利数据隐私监管机构GPDP点名TikTok,指责用户注册年龄容易作弊,认为系统默认用户内容公开欠妥。2020年12月22日,监管机构正式开启调查,限TikTok30天内给予回应。
30天的限期快到,监管者未收到企业回复,却等来这场命案。“10岁儿童沉迷社交网络导致意外死亡”,新闻本身悲怆,令人警醒,意大利乃至整个欧洲舆论一片哗然。TikTok成为众矢之的。
中国互联网巨头字节跳动的社交APP——抖音国际版本TikTok,在美国受挫后深耕欧洲,爆火同时,深陷儿童保护和数据隐私争议。欧盟、丹麦、英国和法国分别于2020年6月12日、6月30日、7月3日、9月2日,先后启动TikTok涉嫌违反欧盟《通用资料保护规范》(简称 GDPR)的调查。
2021年1月22日,意大利数据隐私监管机构发布紧急公告,要求TikTok整改:若无法确定用户年龄,平台无权处理相关数据,禁令直至2月15日结束。GDPR规定,16岁以上的用户可自主授权信息收集,不同国家,法律设置各异,“数码自主”年龄最低可降至13岁。
2020年12月,一位12岁的英国女孩向TikTok提起诉讼,随后得到英国前儿童事务专员朗菲尔德(Anne Longfield)的支持提起集体诉讼,指控TikTok处理青少年用户的数据,但无法保证足够的安全措施、透明度、监护人同意或合法权益等条件,违反英国和欧盟的数据保护法。诉讼案要求TikTok删除所有儿童用户的个人信息,若诉讼成功,损害赔偿可高达数十亿英镑。
虽然TikTok面临的道德谴责和法律敲打加码升级,但未妨碍业绩在欧洲蒸蒸日上。
2020年9月,TikTok欧洲用户突破1亿大关,紧追美国用户人数,其中英国用户1700万、法国1100万、德国1100万、意大利共计980万、西班牙820万……据彭博社报导,法国、意大利和西班牙TikTok未成年用户占比最高,皆为33%。欧洲消费者组织(BEUC)整理各国媒体报导称:2020年,法国45%低于13岁儿童自称使用TikTok;2020年,英国8岁到15岁儿童半数使用TikTok;2019年,捷克11到12岁年龄段的儿童最热衷使用TikTok;2019年,挪威32%10到11岁儿童使用TikTok。
10岁的Antonella便曾是TikTok华丽数据背后,默默无闻但又渴望关注的一员。她长黑发,大眼睛,两颊肉乎乎的,两年前使用父母手机,在不同的社交平台,注册十来个账户。她爱跳爱唱,热衷化粧和发型视频,梦想有天成为美容师。用她爸爸的话说,“TikTok和Youtube就是她的整个世界”。她十岁生日那天,收到父母赠送的礼物——人生中第一部智能手机。2020年新冠疫情席卷欧洲,隔离在家,TikTok担任陪伴和联系外界的双重角色。
一年前,她发布慢回弹玩具制作教程,在Youtube上仍能被看到。视频里,她手持道具,举到镜头前正面定住,方便观众看清,一举一动,同视频化粧博主,别无二致。视频模仿痕迹重,动作标准划一,透露着老练,配上她稚嫩的面颊,有着说不出的怪异。
死前几分钟,Antonella曾在TikTok软件,浏览多条“窒息挑战”的视频。二三十年来,类似“窒息挑战”的危险游戏,在西方青少年中风靡。玩家借助外力憋气,大脑缺氧暂时昏迷,在挑战极限中寻找快感。专家和家长频出警告,仍无法阻止游戏从线下转线上,尤其在以挑战赛成名的TikTok平台上“开枝散叶”。
没人想到,小孩子下意识的模仿,会带来致命危险。
2021年2月9日至4月21日,TikTok要求1250万意大利用户确认年龄,后删除50万个违规账户,其中40万人宣称低于13岁,另通过检测工具,确认另14万人隐瞒真实年龄。TikTok保证,如发现13岁以下儿童开设账户,会在48小时内删除,不排除采用人工智能等技术,排查审核。
GDPR推行“一站式”管理,涉事企业总部所在国的监管机构,拥有监管权限。TikTok欧洲总部位于爱尔兰,意大利监管机构本无权施令,此次行动的法理支撑,或源于GDPR第66条,即紧急状况之下,国家监管机构有权采取“紧急程序”,进行干预,但持续时间不得超过3个月。
Antonella葬礼在家乡巴勒莫 (Palerme)的教堂举行,那天下着小雨,市长和数名议员都来到现场。她幼小的躯体,静静地躺在白棺里,棺外众人“为小姑娘鼓掌告别”。有人为她放飞气球,也有人在网上为她设立纪念页面。虚拟世界里,哀悼活动未曾停歇。
“她想成为女王,成为TikTok的明星,她成功了。”Antonella的父亲接受媒体采访时若有所思,缓缓说道。
算法下,儿童的安全未来
中国独创商业模式——直播“打赏”,乘TikTok全球化“东风”,一路“西进”。2017年起,中国境内讨论甚广的“青少年打赏”乱象,几年后在西方国家原貌上演。2020年9月,法国消费者保护协会——“6000万消费者”发布调查报导,揭露TikTok网红诱青少年打赏和转账骗局。
报导中提到,一个13岁的法国小男孩,除了打赏,还使用Paypal给TikTok网红波诺瓦·舍瓦里尔(Benoît Chevalier)转账数百欧,希望对方在直播中给他的账号打广告,以增加粉丝。有次被父母发现,转账冻结,后遭舍瓦里尔威胁。这名坐拥400多万粉丝的法国网红甚至携朋友,跑到小男孩家里要钱。
抖音和TikTok为姊妹公司,功能相似但有所不同。两个平台需一定粉丝, 才可开通直播,收获粉丝打赏礼物实现变现,抖音粉丝直播门槛为5万人,TikTok开直播只需1000粉丝。双方共享同一套结算模式,即流通货币购买抖音币,通过抖音币购买虚拟礼物:在抖音,一抖音币为0.1元;TikTok平台上,一抖音币约为0.015欧(约为0.12元)。此外,抖音平台对主播抽取45%到70%抽成,TikTok平台抽成也在50%左右。
打赏乱象频发,坐收渔利的TikTok平台,应担负怎样的责任?“6000万消费者”追问下,TikTok语焉不详,仅回复已采取相应措施,未做具体解释。
TikTok规定,使用者年龄长于18岁,才有权打赏,可用户自报年龄,平台本身不会核实,导致13岁以下低龄儿童,在TikTok平台甚是活跃。“欧洲青少年宠儿”的标签之于TikTok,如同一把双刃剑,保护儿童和追逐暴利位于天平两端,在找寻平衡的路上,摇摆不定、凶险颇多。
2021年2月16日,欧洲消费者组织(BEUC)代表瑞典、德国和法国等15个成员协会,向欧盟委员会(European Commission)提出投诉,称“TikTok违反了多项欧盟消费者权利,未能使儿童免受隐藏广告和不适当内容的侵害” 。该组织发布两份报告,分别从消费者保护法和数据隐私法两方面,详细解读TikTok的“违规”操作;同时向三个欧洲组织——欧盟的“消费者保护合作组织(CPC)及欧盟委员会、欧洲视听服务监管组织(European Regulators Group for Audiovisual )和欧洲数据保护委员会,邮寄公开信。
欧洲消费者组织投诉第二条便针对TikTok的打赏政策,即“TikTok用户可购买硬币来买虚拟礼物,平台规定里涉及不公平且误导性条款”。欧洲消费者组织根据消费法,分门别类列举TikTok平台使用合同漏洞。例如TikTok称自己“无论在任何情况下,拥有全权修改,管理和控制硬币和礼物之间汇率的绝对权利,且无需对使用者负责”。但《欧盟不平等合同条令》明确规定,任何合同若授予交易方单方面、且无需正当理由便进行修改的绝对权力,都是不公平的。
“TikTok提供服务,但也得遵循所在地法律。在欧洲,不是任何行为都被允许”,法国数据保护律师吉拉尔·阿斯(Gérard Haas)阿斯告诉端传媒。
“TikTok若非法收集儿童信息,会有法律制裁。但现在小孩子上网不设防,主动公开大量个人信息。有时还真难全都怪到TikTok头上。”发出这一感慨的是法国企业家丹尼尔·贾斯曼(Daniel Jasmin)。贾斯曼曾多次创业,如今专注低龄儿童网络素养项目,创立“社交网络学校”,通过益智趣味游戏,提高低龄儿童网络保护能力。
法国初中开设受网络素养课程,但幼儿园和小学在这块的教育,则是空白。贾斯曼向端传媒表示:“小孩在社交网络诞生,本身就是其中的一部分。父母每天沉迷社交网络,小孩‘鹦鹉学舌’,也想进去看看。说得夸张一点,他们在娘胎时,已成为社交网络的互动因子。”
这也意味着,社交原住民从小便受到网络暴力困扰。
欧盟资助的“欧洲儿童上网研究网络”,曾在19个国家做调研,2020年发布最新报告发现:11%到45%的9到11岁儿童每天登陆社交网络;7%到45%的9到16岁儿童在网上遭遇过导致自己不开心、不舒服或担惊受怕的经历。
法国Youtube视频博主“鼠王”(Le Roi des Rats)是名社交网络观察者和批评家,拥有139万粉丝,因高质量视频和批判性思维,在法国青少年和主流媒体中,拥有极高声誉。2018年底至今,他共计发布3个揭露TikTok阴暗面的调查性视频,尤其指出TikTok平台上存在的“诱骗打赏”、“多恋童癖”和“儿童软色情”等乱象,向TikTok问责,共计收获近800万次观看量。
2021年1月,法国女权协会“放肆者”(Les effronté-e-s)依托调查视频,发起集体请愿,要求TikTok修改算法、提高家长监控功能效率,并增加内容审核人力物力。协会在公告中表示:“一方面,TikTok平台发布青少年甚至幼儿的性感视频,引恋童犯罪分子出动;另一方面,青少年容易在平台上过早接触色情内容。”
字节跳动2012年诞生之初,便依托推荐算法原理,在中国科技丛林迅速突围。2020年,迫于美国压力,TikTok首次公布“推荐”板块的基本运行机制——基于机器学习的人工智能,通过分析用户互动、视频声影信息以及账户语言国家设置,向用户推荐视频。
2020年2月,英国在线视频编辑工具Veed.io团队依托自身内容创作和人工智能视频工具开发双重优势,深度解读TikTok算法推荐。Veed.io指出TikTok视频启动后,用户同内容的互动将作为样本被追踪评估,互动指标不同,评分等级不尽相同,用户内容获得的内容推荐奖励同样不同。粗略估算,重复观看率、完成率、分享、评论和点赞五个指标,代表的推荐分值分别是10分、8分、6分、4分和2分。
随着人工智能发展,在东西社会,算法的伦理性皆成讨论焦点。算法不只是一种技术,仅反应人类人性的镜子,算法也会变成精心设计的“陷阱”,最终同普世价值为敌。
2019年德国之声报导,德国媒体NetzPolitik.org曾取得一份TikTok审查员培训手册,其中显示面部畸形者、自闭症、唐氏综合症,甚至同性恋和超重人群,均被列入“特殊人士”名单,审核员会加以标注,根据算法进行限制。2021年,法国电视2台播放的TikTok调查报导中,采访到一名TikTok欧洲区前内容审核员。他提到TikTok有意限制政治性内容,“起初连国家领导人出现的视频都被限流”。
法国电台知名记者索尼娅·德维利埃(Sonia Devillers)2018年浏览TikTok视频时,便曾注意到里面的年轻女孩各个长发、大胸、短身T恤、漫画腰和翘臀,跳起舞来扭臀甩胸,并感慨说,这是“一代被克隆的年轻人”。
整齐划一的外貌审美背后,算法起了怎样的作用?之后又会带来怎样的危害?目前GPDP条款不涉及算法内容推荐,不过第22条“自动化的个人决策,包括用户画像”规定:“完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策时,数据主体有权反对此类决策。”
欧盟2020年推出《人工智能白皮书》,于2021年4月份欧盟于提交人工智能监管法案,强调使用人工智能技术时,确保算法透明度和审计检测,欲为算法的野蛮生长画上句号。
“洪水猛兽”还是“酷超年轻”?TikTok在欧洲引发的争议仍将继续。贾斯曼作为创业者,对新风潮兴致勃勃,“现在年轻人,一分钟内就能把事情讲清楚,这很厉害的”。作为父亲,他则让自己的孩子们尽可能晚地接触智能手机,不然“他们早早便对屏幕上瘾”。
当TikTok遇上GDPR
在数据保护层面,儿童的年龄为何事关重要?GDPR第6条详细列明在六种情况之下,机构及企业应当有权处理用户的个人数据,当中包括得到当事人的同意;履行与当事人的合约或为这合约作准备;依从法律责任;保护当事人或另一人的重要利益,而当事人无能力给予同意;执行为公众利益而进行的工作或行使赋予数据控制者的正式权力;及为合法利益为目的。
不过,在最后一种情况中,条例又特别申明,儿童的权利会得到特别的保护,当其权利被侵害,机构不能用合法利益为申辩理由。在GDPR第8条,又进一步限制关于儿童数据的处理,任何16岁以下的儿童(或部分欧盟成员国定为13岁,这也是最低门槛),其同意必须由负有父母责任的人士给予或授权。
换言之,在欧盟内,儿童在下载并使用TikTok时,其同意应是由其父母给予的,而13岁以下的儿童,更加是不可能使用TikTok的服务。这也是为什么TikTok要保证,如发现13以下儿童开设账户,会在48小时内删除。
涉及儿童的不幸案例,在舆论容易得到共识,对监管机构而言,也因为年龄限制是硬性而明确的,在执法时它们就更容易,不需要卷入企业是否有权处理数据的争议中。TikTok这个用户年龄层偏低的平台,就成为众矢之的。在2021年7月22日,荷兰的执法机构,又再因为TikTok涉嫌违法儿童数据保护被罚725,000欧元。
在这数据就是资产的年代,TikTok当然不会放弃处理儿童数据。“开始进军国际市场时,我们许多母公司的员工也被发往不同市场帮助开荒。”曾在字节跳动母公司任职的安利(化名)从事市场推广工作,当时不只是她的领域,无论是数据分析师、系统工程师等,也有人被遣往不同的市场,帮助当地分公司启动新市场。
“但来到2020年末,分公司也极速执行本土化政策。不单是内容、市场推广上的分别,在市场推广部门,如德国等的分部,只会聘用熟知本地市场的人。在演算法上,不同市场也已经堆叠出不同的演算法去分配内容。母公司会提供发展的大方向,但如何在地区应用,就是地区办公室的工作了。”
如果因为要符合GDPR而不再处理儿童的数据,对这有效的演算法自然有巨大影响。不过,也因为TikTok不单真正打进国际市场,在不同市场也保留经营上的独立性。这也意味著TikTok走出了一条其他社媒平台Facebook、Instagram等公司都未摸索出来的路径。
安利说:“公司内部的方向,是让地区分公司建立出一定的独立性,以应付日后突如其来的规管。”她认为,这是字节跳动与其他国际及中国科技企业不同的地方,没有其他中国社交媒体公司,像TikTok般在欧美成功建构在地的生态圈,同时,与以美国为主的国际企业相比,字节跳动面对的是更复杂的国际局势 。
“像在美国已建立的TAC,现在也搬到欧洲来,虽然形式上相同,但其实际操作上,也是根据地区的要求变化吧。”她指的TAC,即透明度及问责中心(Transparency and Accountability Centre),字节跳动于2020年先于美国建立类似的中心,用途是让外来的专家观查TikTok团队的日常运作,包括员工如何根据内容指南,审查以自动化技术标记出来的内容。
“当初美国中心建立时,主要是要回应美国对TikTok内容审查的关注。而在欧洲的中心,无论政府使用什么理由去规管,它也尽量以公开透明的姿态去回应。那不单符合合规的要求,是更进一步,尝试得到其他国家的信任。”她说。由于COVID-19疫情关系,TikTok在欧洲的透明度及问责中心暂时仍只在网上运作,计划在2022年,于爱尔兰总部加设欧洲的实体中心。
根据多伦多大学Citizen Lab的研究,TikTok与抖音两个程序在收集数据时,都合理地得到用户的同意,这点在GDPR合规上非常重要。在关键词审查中,TikTok也没有限制研究机构测试的所有字眼。即使抖音有使用动态代码加载(Dynamic code loading, DCL)、服务器端搜寻审查(Server-side search censorship)等技术构成一定程度的数据安全隐患,不过,这不影响TikTok在欧洲的合规程序。
那到底在数据保护层面,相比美国科技巨擎GAFAM(谷歌、苹果、脸书、亚马逊和微软),TikTok有何不同?数据保护律师阿斯听到这个问题有些茫然:“GAFAM有的问题,TikTok都有,在处理个人数据上没什么不同。TikTok若不遵守欧洲法律,同样得受罚。”
同GAFAM一样,TikTok在中国“被墙”,数据储存首选美国,欧洲总部选在“避税天堂”,在欧洲本土设立数据储存中心,甚至招兵买马发展业务,都倾向GAFAM出身的高管。
无论东西,互联网巨头疯狂开采“数据石油”,迫于压力,半推半就推出用户隐私政策。就像是举办了一场“选丑”比赛,结果往往是,没有最“丑”,只有更“丑”。阿斯强调:“只不过TikTok是个中国公司,仅此而已。”
跨国社交媒体数据的“跨国属性”
宏观来说,数据保护法在欧盟不只是用作保护用户的数据,更与反竞争法相互补足,令执法机构有更大权力去规管企业。由于Google、Facebook、TikTok这类以流量、数据为主要资产的企业手握不对称份量的数据,只有通过结合数据保护法、反竞争法等法则,监管机构才有能力去监管企业,以保护一般的消费者。
GDPR已执行逾两年,非欧盟国家企业在欧盟境内的业务面对极大挑战。一般企业面对的难题,主要是如何取得用户共识、用户相关数据保安等。但跨国的社交媒体公司更大的难度在于如何传送数据,以及保持演算法继续有效。尤其当数据需要传送到欧盟境外,GDPR带来的限制就更大。
因为GDPR的推行,以及人权律师施雷姆斯(Maximilian Schrems)发起的两起针对facebook欧洲分公司的诉讼,欧盟走向更为保护用户数据的方向。Schrems II案的判决,裁定欧美当时用作交换数据的“Privacy Shield”框架不通用,但判决仍提供另一可能性:企业在合约中加入“标准合约条款”(Standard Contractual Clauses, SCC),有机会提供一个表面有效的合约机制,去符合欧盟标准的合规程序。但是,SCC始终只是企业之间的合约机制,而不是国家之间的机制,换言之,国家层面的决定仍有机会影响SCC的应用。
Schrems I与Schrems II案的争议点在于facebook有否在欧盟国家收集的用户数据运回美国,如有的话,这又是否违反GDPR?对Facebook而言,答案是明显的,它过去有把数据运回美国,而且只要美国政府认为涉及国家安全事宜,就有权力取得美国企业在海外收集的数据,这点也是欧盟与美国在数据保护上的角力。
在这个背景下,来自中国的字节跳动在美国、欧洲已有一定规模,也有大量本土的用户,也就不得不面对这问题:到底它在欧洲的用户数据,是否有被运回中国的服务器?
Schrems II案发生在2020年,到了2021年的6月4日,欧盟终于采用实质的SCC执行方案。欧洲执行委员会的公义专员(Commissioner for Justice)雷恩代尔(Didier Reynders)表示,他们尝试在完全符合GDPR的情况下,添加透明度和问责的要素,“公司的任务,是看看他们会否只使用SCC,或采取额外的保护措施,如加密和匿名化个人数据。”
解读雷恩代尔的话,即是指在欧洲执行委员会层面,SCC将会被接纳。在SCC的框架下,用户数据可以传送到美国及其他国家。而加密及保持透明度的责任,就落在企业身上。雷恩代尔表示,这行动的最终目的,是避免Schrems III的出现。
2021年6月1日,刚好在SCC方案公布前,德国多个联邦的执法机构,包括巴伐利亚、柏林、布兰登堡、汉堡、下萨克森等,共同公布将会推行“全国审核”,以执行Schrems II的判决。这些执法机构将会选择性向企业发放问卷,问题会关于应征系统、内部数据处理、追踪、电邮及网站寄存等。
曾在字节跳动母公司任职的安利就认为,新推出的SCC方案是可以预期的。“SCC是欧盟与美国之间的一个折衷方案,否则抖音就阴差阳错地成为先行者了。”安利说,“如果没有SCC,其他平台也可能要与抖音一样,把不同的市场分隔开,尽量满足不同市场的法规要求。内容是媒体的核心,而不同市场的内容,也是分隔开。这其实就是过往所谓的中国模式吧。”
正如雷恩代尔所言,新的SCC的方案,是为了避免Schrems III的出现。但真的能避免吗?GDPR要企业先向用户索取收集数据的同意,因此,如今不同网站会设计出复杂难明的Cookie Banner,尝试令用户同意交出数据。在2021年5月31日,Schrems所属组织Noyb发动超过五百宗投诉,指不同网站上Cookie Banner索取同意的方法不符合GDPR。
新的SCC标准,在维权上其实又走了回头路,因为它让美国政府有空间操作,不用在法律层面上加强对个体数据的保护,这个做法,理论上也可以伸引到欧盟与中国等其他国家的数据交换上。
中国的社交媒体能否继续在欧美世界立足?如今的国际市场门槛变得更高。无论是服务器设立、不同地区合规部门的设立,也加大了进入不同市场的成本。即使有足够资源,也需要面对政治上的风险,而这也是TikTok要让不同地区的分公司显得独立的主因之一。
中国科技企业全球化大潮中,TikTok因GDPR触雷并非个案。中国涉外律师曾磊针对“数据本地化”曾撰写文章举例,2018年5月25日,小米旗下智能灯具品牌Yeelight宣布因未能满足GDPR要求,一度暂停在欧服务;2018年12月10日,共享单车摩拜涉嫌违反GDPR,遭德国监管机构调查。
TikTok数据隐私保护条款明确写到,TikTok所收集信息,可与字节跳动集团子公司共享。大国博弈时代,TikTok是否与中国政府共享数据,字节跳动对此无法回避。这一推断目前缺少确凿证据,未被证实。此外,从被俄罗斯情报部门利用干预美国大选、剑桥分析数据丑闻,Facebook多起政治丑闻在先,TikTok初出茅庐,引发的数据争议,小巫见大巫,在欧洲舆论场,尚未掀起多大波澜。
法国数据保护律师阿斯向端传媒坦言:“年轻人太爱TikTok,归根结底,孩子的安全问题,才是TikTok面临的最大挑战”。
同意楼上所说,儿童安全、隐私保护和数据领域的国家安全和贸易流动属于不同的问题。但在端上看到这样认真讨论专业技术和政策细节的文章还是很不错的,希望能有更多这类优质作品。
这篇文章其实有点南辕北辙的意思,因为儿童信息安全属于互联网公司运营管理问题,和数据是否和中国交流以及数据主权之类的没什么关系。建议下次能分开论述,这两个议题都可以细分讨论。
「劍橋分析」雖然已倒閉,還有其他公司繼續干預國家選舉嗎?