最初发布于 TikTok 新闻中心。

我们欢迎各方对我们的平台进行合法审查，并且充分意识到要提前抵御下一代网络威胁需要不断增强平台的安全性，并与行业领先的专家合作以测试自己的防御能力。这就是我们与 HackerOne 等行业领导者合作的原因，也是我们向用户开放全球透明度中心和问责中心供其了解源代码以及我们的应用程序算法如何运作的原因。

2 月 13 日，Internet 2.0（自称是美国和澳大利亚合资组建的网络安全公司）的 Malcore 团队发布了一份行业分析，往好里说该分析存在误导性，往坏里说则存在严重缺陷和偏见。根据该报告，Malcore 是一款自动化分析工具，旨在扫描文件和程序，检测恶意软件以及评估风险。然而，他们自己承认，Malcore 团队使用该工具执行了一次非决定性的分析，其中不包括详细的源代码审查。他们的结果有许多不准确之处，人们应该会对其结果的有效性产生怀疑。

作为回应，我们让自己的研究人员对 Malcore 的分析结果进行了技术分析，以下是我们的分析结果。

我们的数据收集做法

• TikTok 不会收集用户设备 IMEI、SIM 序列号或集成电路卡识别号。当前版本的 TikTok 应用不会使用 MAC 地址。我们鼓励用户下载最新版本的应用，该应用包含重要的安全更新。
• TikTok 不会收集设备上的所有账号信息。
• 在某些地区（如美国、澳大利亚和韩国），当前版本的 TikTok 应用无法从用户处收集精确或大概的 GPS 信息。在其它用户能够且确实授权 TikTok 收集 GPS 位置信息的地区，TikTok 会根据用户设备的 GPS 数据来收集位置信息。
• 在某些情况下，如果美国用户使用允许收集精确或大概 GPS 信息的旧版本 TikTok 应用（上次发布时间为 2020 年 8 月）并已授权 TikTok 这样做，我们可能会收集此类信息。用户可以随时阻止自己的设备与 TikTok 分享此类信息，也可以通过自己的设备设置撤销之前授予的权限。
• 我们会出于《隐私政策》中规定的原因使用位置信息来帮助改善应用体验，例如向用户显示所在地区的热门视频和内容以及更多相关广告（如果适用）。
• 此外，用户可以选择允许平台访问照片、联系人列表以及设备麦克风和相机。我们在各项隐私政策和帮助中心中详细说明了所收集的信息。

软件开发工具包 (SDK)

SDK 是一套帮助软件开发人员为特定平台开发应用的工具。我们制定了流程来评估与 TikTok 集成的任何 SDK 的整体安全风险。在三种情况下，Malcore 团队无法正确识别 SDK 集成。TikTok 不会使用 Pangle、Google CrashLytics 或 Facebook Analytics SDK。我们会以下列方式使用 Malcore 分析中引用的其余 SDK：

• 使用 Facebook 登录 SDK 和 VKontakte SDK（仅在 8 个国家或地区提供）可以让用户使用自己的 Facebook 或 VK 凭据登录。Facebook 分享功能允许用户将内容从 TikTok 分享到 Facebook。
• Facebook Bolts 是一款开源 SDK，可帮助工程师开发移动应用。Appsflyer 和 Google Firebase Analytics 是测量和数据分析工具。

评分与权重

Malcore 团队的评分系统对 TikTok 的评分最高（即结果最差，63.1 分），但未作出任何解释；相比之下，所有其它主流社交媒体应用的行业标准为 34 分，所有 21 个应用的平均分为 28.8 分。

该报告随意列出了为五个因素分配的分数权重：追踪器/SDK、危险权限、代码分析结果的高严重性警告、可疑权限以及代码分析结果的严重性警告，却没有解释选择这五个因素的原因或具体方式。

此外，对于每个因素的分数，也没有解释或提供外部正当理由。其中，追踪器/SDK 得分最高，为 2.5，相比之下，第二个因素为 0.25（少 10 倍），第五个因素为 0.05（少 50 倍）。更改任何一个类别的评分方式都会彻底改变 TikTok 及其他应用的风险分数。

值得注意的是，该报告自身也承认“追踪器通常是一种合法的软件开发工具包 (SDK)，旨在帮助开发人员了解自己的应用是如何被使用的，解决潜在的问题以及改进软件。”例如，SDK 的倾斜权重未考虑到某些公司使用主 SDK 这一情况，这使得在评估风险时 SDK 的数量成为更加没有意义的因素。简而言之，Malcore 的评分系统根本就没有意义。

在 TikTok，我们的首要任务是保护使用我们平台的用户的隐私与安全。我们会认真承担保护用户隐私与安全的责任，并投入大量资源来实现这一目标。我们计划继续在新闻中心、帮助中心和隐私政策中更新我们的做法。