Todos,
Hace varias semanas, hubo un informe de noticias que alegaba que los empleados del equipo de auditoría interna de la empresa podrían haber intentado acceder de manera inapropiada a los datos de ubicación de los usuarios. Aunque muchas de las afirmaciones del artículo eran especulativas, nuestro equipo de Cumplimiento Legal Global inició una investigación inmediata sobre los hechos alegados en la historia y contrató a un bufete de abogados de gran reputación para ayudar con la investigación.
Desde entonces, nos enteramos de que algunas personas dentro del departamento de Auditoría Interna desarrollaron y llevaron a cabo un plan equivocado el verano pasado en el contexto de la investigación de filtraciones significativas de información confidencial de la empresa por parte de los empleados a los medios, incluidos documentos, capturas de pantalla y audio supuestamente filtrados. grabaciones de reuniones internas.
Es una práctica habitual que las empresas tengan un grupo de auditoría interna autorizado para investigar las infracciones del código de conducta. Sin embargo, como parte de la iniciativa para investigar las filtraciones relacionadas con este caso, las personas involucradas abusaron de su autoridad para obtener acceso a los datos de los usuarios de TikTok. Estas personas tenían como objetivo identificar posibles conexiones entre dos periodistas que informaron sobre el contenido de documentos y grabaciones filtrados (un ex reportero de BuzzFeed y un reportero del Financial Times) y empleados de la empresa. A su vez, esperaban que la información sobre estas conexiones ayudara a identificar a los empleados responsables de las fugas. Por ejemplo, los individuos miraron las direcciones IP de los periodistas para tratar de determinar si estaban en el mismo lugar que los empleados sospechosos de filtrar información confidencial, a pesar de que las direcciones IP solo proporcionarían información de ubicación aproximada. No es sorprendente que sus esfuerzos irreflexivos no dieran como resultado la identificación de las fuentes de las filtraciones. No obstante, su acceso a los datos de los usuarios en relación con estos esfuerzos fue una violación significativa del Código de conducta de la empresa, por lo que estamos siguiendo los siguientes pasos de inmediato:
Ninguna de las personas que se descubrió que participó directamente o supervisó el plan equivocado sigue trabajando en ByteDance. Continuamos la investigación dirigida por el equipo Legal.
Estamos reestructurando el departamento de Auditoría Interna y Control de Riesgos (IARC):
Julie Gao, CFO, se hará cargo del departamento de IARC y comenzará una búsqueda inmediata del nuevo líder, quien le reportará.
La función de Investigaciones Globales que había sido parte de IARC se dividirá y reestructurará. En el futuro, el equipo de Cumplimiento Legal Global supervisará todas las investigaciones que antes estaban dentro del alcance de la IARC.
Rediseñaremos el proceso de investigaciones para incluir un consejo de supervisión que, entre otras responsabilidades, supervisará el desarrollo y perfeccionamiento de las políticas y procedimientos que rigen las funciones de investigación de la empresa y supervisará el cumplimiento de las funciones con las leyes aplicables y las políticas de la empresa.
Hemos eliminado todos los accesos y permisos de datos de usuario para el departamento de IARC.
En el futuro, cuando sea necesario y apropiado que IARC tenga acceso a datos de usuario con el alcance adecuado (por ejemplo, para investigar fraudes que involucren a empleados de la empresa), ese acceso estará sujeto a, y solo se otorgará de acuerdo con, la Empresa. políticas y protocolos. Este paso se combinará con la capacitación del equipo de IARC con respecto a la nueva política y protocolos.
Además, continuaremos evaluando y mejorando nuestros controles de acceso. De hecho, en este caso, el acceso a cierta información de usuarios de EE. UU. en el contexto de la investigación equivocada ya estaba limitado por la transferencia previa del control al equipo de seguridad de datos de EE. UU., y esos controles se han mejorado y fortalecido significativamente desde que se llevó a cabo esta iniciativa.
También quiero enfatizar que tenemos una cultura abierta y sincera dentro de ByteDance. Es una parte central de nuestros ByteStyles. Si se enfrenta a un dilema ético o a un desafío que debe informarse, notifique a su gerente, a Recursos Humanos o a la línea directa Speak Up para hacerlo de forma anónima. Hay muchas vías para que usted pueda compartir sus preocupaciones.
Espero que todos podamos aprender de esta situación y avanzar con una clara comprensión y apreciación de nuestras responsabilidades, como empleados y líderes, para construir y operar un negocio ético.
Erich