圖片來源@視覺中國
傅明麗怎么也沒有想到,五年前發(fā)生在自己身上的事,由于知乎和深信服的一樁“監(jiān)控門”再次重現(xiàn)��。
雖然事情過去了五年,但是她仍然清楚記得�,離職那天下午公司老板表現(xiàn)出的得意眼神:“你以為你們每天在電腦上做些什么我不知道嗎?”
從老板得意又猥瑣的話語中��,傅明麗頓悟:自己這一年����,竟然是在不知情的監(jiān)控中度過的。老板能看到她發(fā)出去的所有微信消息�,詳細到說了老板什么壞話,也能看到她瀏覽了什么網(wǎng)頁�����,是不是逛了淘寶���、登錄了招聘網(wǎng)站……
如果不是在離職的最后一刻因為積壓了很久的不愉快撕破臉讓老板攤牌��,她或許現(xiàn)在也不會知道,這樣的遭遇竟然發(fā)生在自己身上���。
這是傅明麗大學畢業(yè)后找的第一份工作�����,被監(jiān)測留下的后遺癥��,直接影響了她現(xiàn)在的工作行為——不用公司電腦或在公司環(huán)境下查看那些可能讓公司“誤會”的網(wǎng)站或信息�,異常謹慎。
時間拉回到2022年的今天���,曾經(jīng)發(fā)生在傅明麗身上的事情���,又發(fā)生在了另一位陌生的鞠姓員工身上。在流傳出的一張名為“離職傾向員工詳情”的截圖中��,這位鞠姓骨干員工訪問了23次求職網(wǎng)站��、有254條聊天觸發(fā)告警關(guān)鍵詞�、投遞了9次簡歷,并且在51job�����、拉勾網(wǎng)��、脈脈等招聘投遞的簡歷后面都出現(xiàn)了“下載”按鈕���。
很明顯�����,這位鞠姓員工的上網(wǎng)行為得到了任職公司相當精準的監(jiān)測�����。
該事件引發(fā)了大眾的廣泛討論——雖然疑似卷入其中的知乎發(fā)布了辟謠聲明�,但這件事件無論發(fā)生在哪兒,最終受害者一定是像傅明麗這樣的員工���。已經(jīng)2022年了�,打工人為什么還要像工具人一樣在無形的監(jiān)測中討生計�?企業(yè)的這種行為是合理的嗎,幫助企業(yè)監(jiān)測員工上網(wǎng)行為的軟件是否合法���?我們是否可以避免被監(jiān)控�����?
什么工具助長了企業(yè)的監(jiān)控欲��?
在知乎涉嫌對員工離職傾向監(jiān)測事件爆出后����,深信服這家A股網(wǎng)絡(luò)安全上市公司也卷入其中�,有截圖表明,知乎疑似使用的員工離職行為監(jiān)測軟件正是由深信服開發(fā)����。雖然深信服第一時間下架了員工離職傾向監(jiān)測系統(tǒng),但在深信服官網(wǎng)“全網(wǎng)行為管理AC”產(chǎn)品依然存在����,深信服提供員工行為監(jiān)測產(chǎn)品已是事實。
圖片來源@深信服官網(wǎng)截圖
鈦媒體App從深信服官方社區(qū)看到����,在深信服社區(qū)的首頁“上網(wǎng)行為管理AC”的相關(guān)帖子仍然被推薦,且關(guān)注度最高��。
圖片來源@深信服官方社區(qū)截圖
點擊進入“上網(wǎng)行為管理AC”主題�����,選擇“案例”-“行為審計”可以看到����,深信服的產(chǎn)品其實可以詳細到能夠?qū)徲嬦斸?���、微信等的聊天記錄�����,并且在進行一些必要操作后���,能夠?qū)徲嫷轿⑿帕奶熘邪l(fā)送的任何文件�。當然該社區(qū)也提供了假如審計上網(wǎng)行為日志失敗的對應解決方案�����。
圖片來源@深信服官方社區(qū)截圖
點擊進入“微信文件漏審”的帖子可以看到一張示例圖片���,即在微信PC版中羅姓員工與胡姓員工在2020年8月31日15點的一次對話����,截圖中兩位員工的詳細微信號被打碼����。
圖片來源@深信服社區(qū)
不過,當前看上員工上網(wǎng)行為監(jiān)測生意的并不止深信服一家。在百度中搜索“上網(wǎng)行為管理系統(tǒng)”���,據(jù)鈦媒體App不完全統(tǒng)計��,當前業(yè)務仍在正常運行的企業(yè)有15家,包括深信服科技股份有限公司(深信服)���、廈門天銳科技股份有限公司(天銳綠盾)����、石家莊安企神網(wǎng)絡(luò)科技有限公司(網(wǎng)管家)�、揚州第三只眼軟件科技有限公司(第三只眼)、深圳市德爾軟件技術(shù)有限公司(網(wǎng)路崗)����、深圳市超時代軟件有限公司(超級眼)、北京雙鑫匯在線科技有限公司(代理商)����、北京星網(wǎng)云信息技術(shù)有限公司(星網(wǎng)云)、河北中視新研軟件開發(fā)有限公司(域之盾)�����、北京瑞星網(wǎng)安技術(shù)股份有限公司(瑞星)�、北京網(wǎng)康科技有限公司(奇安信100%持股)(網(wǎng)康)�、南京笨驢信息技術(shù)有限公司(WFilter)�、南京網(wǎng)亞計算機有限公司(WorkWin)、山東固信軟件有限公司(固信軟件)����、山東安在信息技術(shù)股份有限公司(安在軟件)等。
圖片來源@鈦媒體App根據(jù)公開資料整理
上述軟件的宣傳中均有可監(jiān)測員工電腦屏幕�����、瀏覽器行為���、聊天記錄等字樣���。
不過,在一則知乎“上網(wǎng)行為監(jiān)測”軟件推薦貼中����,有網(wǎng)友推薦了“網(wǎng)康科技”的相關(guān)服務,但據(jù)查�����,網(wǎng)康科技官網(wǎng)已經(jīng)無法訪問,從股權(quán)關(guān)系看��,該公司為科創(chuàng)板上市公司奇安信全資子公司����,目前營業(yè)狀態(tài)為存續(xù)。
在已查到的諸多提供上網(wǎng)行為監(jiān)測的公司中���,域之盾和安在軟件(Ping32)的官網(wǎng)上仍有“離職風險評估”、“離職風險分析”�����、“工作效率分析”等宣傳字樣����,這些軟件明確表示也可以查看指定時間內(nèi),所有用戶的工作效率排行榜�����,甚至還可以查看部門之間的整體工作效率評估結(jié)果�����。
圖片來源@安在軟件網(wǎng)站截圖
圖片來源@域之盾網(wǎng)站截圖
上網(wǎng)行為監(jiān)控是否合規(guī)?
雖然能夠?qū)徲嫷絾T工的詳細聊天記錄���、在PC端的各類行為數(shù)據(jù)�,但深信服官網(wǎng)表示�,這些產(chǎn)品都是在合規(guī)的范圍內(nèi)進行的。
圖片來源@深信服官網(wǎng)截圖
那么研發(fā)和生產(chǎn)這類涉嫌侵犯員工隱私的“合規(guī)”產(chǎn)品���,技術(shù)提供方是否違法��,企業(yè)是否違法呢���?鈦媒體App咨詢了相關(guān)律師。
北京天馳君泰律師事務所朱朝鋒律師告訴鈦媒體App���,相關(guān)企業(yè)是否違法�����,要看公司的“行為監(jiān)測”措施是否明確告知到員工��。他分析�����,根據(jù)《民法典》�����、《個人信息保護法》等法律規(guī)定���,對個人信息的處理必須遵循“合法��、正當�、必要“原則�����。相關(guān)企業(yè)如未經(jīng)員工個人允許�����,私自監(jiān)測員工的行為記錄��,超出人力資源管理所必需��,將會涉嫌侵犯員工隱私����。
“是否超出也需要結(jié)合正當性合理性和必要性來判斷,不可濫用或擴大范圍���。如果用人單位事前告知監(jiān)控但監(jiān)控目的不特定���、不正當或監(jiān)控超出告知范圍,就涉嫌違法��。比如對員工私人電腦���、手機等用品進行監(jiān)控����?����!敝斐h說��。
也就是說��,公司有權(quán)對員工進行行為管理或者監(jiān)控���,但公司對員工行為監(jiān)測產(chǎn)品的使用需要以管理制度等方式向員工充分告知�,而如果不告知且未經(jīng)員工同意,就有可能侵犯員工的個人隱私或個人信息權(quán)益����,涉事企業(yè)就可能存在違法行為。
企業(yè)可以通過“告知”員工的形式規(guī)避違法����,那么生產(chǎn)或研發(fā)這些軟硬件的企業(yè)是否存在濫用技術(shù)的違法行為呢?
對此��,上海申倫律師事務所律師夏海龍表示����,法律并未禁止網(wǎng)絡(luò)行為監(jiān)控相關(guān)的技術(shù)和產(chǎn)品,但如果企業(yè)對這些技術(shù)的使用超出了合理限度而侵犯了員工隱私或個人信息權(quán)益�����,則屬于濫用����,需要承擔法律責任�����。
不過需要注意的是,只要是員工私人通信設(shè)備�����,原則上都是不允許監(jiān)控的����,除非得到員工本人的明確同意;但在工作場合�、工作設(shè)備上,原則上公司是可以監(jiān)控的�,但需要明確告知員工禁止使用辦公設(shè)備、網(wǎng)絡(luò)進行私人通信�����?!叭绻颈M到了告知、提醒義務�,原則上公司對員工網(wǎng)絡(luò)行為進行監(jiān)控就是沒問題的?����!毕暮}堈f�����。
未履行的告知義務
“如果員工在明知自己使用公司設(shè)備進行個人通信有可能被監(jiān)控到的情況下依然這么做,那可以視為他對自己相關(guān)通信內(nèi)容隱私的放棄��。雙方都有各自合理的利益��,關(guān)鍵就看如何平衡�����?���!毕暮}堈f。
根據(jù)兩位律師的說法�����,利用技術(shù)手段研發(fā)相應的行為監(jiān)測系統(tǒng)以及企業(yè)使用這類系統(tǒng)是否違法�,要看對應主體是否盡到了告知義務。但是話說回來����,這些企業(yè)真的有盡到告知義務嗎�����?
從我們文章開頭提到的傅明麗的遭遇來看,雖然其使用的是公司電腦��,但她顯然是事后才得知被監(jiān)控�����,如證據(jù)確鑿�����,其公司的違法行為會是既定事實�����。但初出茅廬的傅明麗在能否意識到這點�����、能否真正哪些法律武器保護自己并勝訴又是另一番說法了���。
小公司如此行事����,大廠也并沒有好太多。一位某A大廠離職員工告訴鈦媒體App��,由于公司體量較大也具備技術(shù)實力��,所以應該并沒有采用上述公司提供的軟件�����,但是公司的商業(yè)安全意識非常強��,一來公司不允許在公司電腦上下載微信��,二來公司所配備的電腦��、手機等設(shè)備都裝有公司自主研發(fā)的軟件����。“我打開微信��,公司就知道我在摸魚�����;打開脈脈,公司就知道我可能會做什么�。但是公司并不會告訴你正在對你做行為監(jiān)測����。這些我是自己了解的,沒有人會告訴你���?�!彼f��。
另一位某K互聯(lián)網(wǎng)公司離職員工告訴鈦媒體App��,其公司的員工入職會有數(shù)據(jù)隱私入職培訓���,也有相應的數(shù)據(jù)安全月,對于安全違規(guī)也劃定等級�����。據(jù)他介紹�,像離座不熄屏這樣的行為算是P3級的事故(P0為最嚴重),而如果在公司電腦上插U盤也會被監(jiān)測����,會彈窗提醒員工自行確認電腦狀態(tài)�?�!拔覀冸娔X上的一些行為能夠被追蹤是肯定的��,比如數(shù)據(jù)泄露�;但是公司是否會用來作為‘離職傾向’監(jiān)測,這些我還不太清楚���?�!彼f���。
網(wǎng)絡(luò)安全從業(yè)者向凡也告訴鈦媒體App,據(jù)他近二十年的網(wǎng)絡(luò)安全從業(yè)經(jīng)驗����,創(chuàng)業(yè)型公司和國央企利用軟硬件手段對員工進行如此細致的網(wǎng)絡(luò)聊天監(jiān)測并不多見,“大家的目的還是為了公司的數(shù)據(jù)安全�,特別是一些關(guān)鍵數(shù)據(jù)的泄漏預警和事后追溯,每天盯著員工聊天記錄看的老板一般中小企業(yè)主居多�,這樣的企業(yè)也并不能長久。還有就是成熟的中大型互聯(lián)網(wǎng)公司�����,他們投入專門的人去審核信息、在入職時就配發(fā)專用電腦�����,甚至公司安全部門都會成為幫兇�����,不過目的往往是抓內(nèi)鬼和商業(yè)間諜���。”
但他認為雖然如上述律師所說�,研發(fā)出“員工離職傾向分析”、“各類上網(wǎng)行為監(jiān)測”和使用這類系統(tǒng)的人并不違法����,但是如果把員工監(jiān)測做到這種程度,其實是說明產(chǎn)品經(jīng)理或者研發(fā)這類產(chǎn)品的公司價值觀有問題��。
哪類行為監(jiān)測可以達到正向作用呢�����?向凡舉了一個例子:“假如在高校中,學校通過學生的上網(wǎng)監(jiān)測發(fā)現(xiàn)有學生正在瀏覽賭博�、貸款網(wǎng)站,那么這個時候輔導員如果能夠及時制止����,可能會避免悲劇的發(fā)生?��!?/p>
“一把鋒利的刀�����,是用它來切菜����,還是用它來做壞事��,是人做決策的�。”另一位信息安全從業(yè)者如風這樣總結(jié)���。
如何“反”監(jiān)控���?
處于弱勢的打工人����,很難左右公司在“行為監(jiān)測”上面的價值觀�,這終究是各方利益的平衡問題。不過����,向凡和如風表示,無論公司如何做��,作為公司員工的個人如果想要避免被監(jiān)測��,其實還需要知道一些網(wǎng)絡(luò)安全常識�����。
據(jù)如風介紹��,日常所使用的微信���、釘釘?shù)韧ㄓ嵐ぞ咧詴灰恍┘夹g(shù)軟件監(jiān)聽,是因為使用的是基于網(wǎng)絡(luò)開放性明文傳輸��,但是普通人由于沒有專用監(jiān)聽軟件���,無法去監(jiān)聽諸如微信�����、釘釘通信中他人的聊天或通話信息�����?��!斑@點大家可以放心�?��!比顼L說�����。
但是在這種情況下�����,一些第三方公司提供的“上網(wǎng)行為監(jiān)測”或者“內(nèi)容審計”軟件系統(tǒng)中��,一些員工詳細聊天記錄仍然會被看到呢�,是不是只是因為連接了公司W(wǎng)i-Fi?據(jù)如風介紹���,這一問題的很大原因在于��,員工使用的終端設(shè)備被“做了手腳”���。“僅僅連接Wi-Fi達不到如此詳細的監(jiān)控效果��,特別是像支付寶這類本身做了加密的�,連上Wi-Fi也拿不到什么數(shù)據(jù)?����!比顼L說�����。
向凡對如風的分析表示認同����,他透露�����,特別是在一些公司要求員工必須使用公司電腦進行辦公的情況下,這些公司電腦可能是安裝了某些軟件或內(nèi)置了安全證書被納入了公司的統(tǒng)一終端管理系統(tǒng)���。這些軟件的行為及安裝的證書在設(shè)備系統(tǒng)中被認為是可信的�����,所以能夠拿到詳細的聊天或通信數(shù)據(jù)��。
他也為辨別瀏覽器是否被監(jiān)測支了妙招:在日常的瀏覽器的使用中�����,有些網(wǎng)址是http開頭�����,有些網(wǎng)址是https開頭(一般會有鎖形標志)����,后者比前者更安全���。原因在于http屬于明文傳輸�����,而https協(xié)議則是加密傳輸��,支付寶等更是會自定義自己的加密通信方式�����,導入普通證書也無法解密���。
“大家在瀏覽http開頭的網(wǎng)頁時�,任意一款普通監(jiān)測軟件都可以還原全部訪問信息�,比如在招聘網(wǎng)站上傳的簡歷等。但是現(xiàn)在已經(jīng)2022年了�����,這類網(wǎng)站已經(jīng)不多了���,現(xiàn)在大部分都使用https?!毕蚍舱f。
那為什么在https協(xié)議下有些網(wǎng)頁行為仍然被收集呢?向凡表示��,如果只是想知道員工訪問了什么網(wǎng)站而不需要獲知具體內(nèi)容�����,監(jiān)控系統(tǒng)會先建立網(wǎng)站和域名的關(guān)系��,比如www.zhipin.com是boss直聘的網(wǎng)址���,在內(nèi)網(wǎng)DNS服務器上看誰解析了這個域名就可以定位到某位員工訪問了這個網(wǎng)站��,不過監(jiān)控方此時無法獲知具體請求內(nèi)容���。
要想知道具體內(nèi)容,監(jiān)測方有兩種方法可以達到目的�,一種辦法是在流量上替換掉https協(xié)議中原有SSL證書,“但是因為每次替換證書用戶都會收到提示����,容易被發(fā)現(xiàn),這種方法不太優(yōu)雅”�����,所以公司如果想要監(jiān)測員工行為,一般會采取第二種方法�����,也就是上面說的����,在公司電腦中將自己的證書預置到系統(tǒng)可信區(qū)域,此時就可以還原h(huán)ttps內(nèi)容����。而要想還原微信聊天記錄,則需要安裝軟件對微信本地保存的聊天記錄數(shù)據(jù)庫進行還原���。對于實在無法還原的��,軟件還可以定時截屏���,完全就是一個木馬行為,這類軟件權(quán)限很高����,它控制了終端之后,想要拿什么數(shù)據(jù)是遠超想象的�。
也就是說如果想要“反監(jiān)測”其實普通員工可以不在公司電腦或設(shè)備上進行私人通信或處理私人事務。而對于公共場合的Wi-Fi大家只要辨別所瀏覽網(wǎng)站是否為遵守了https協(xié)議(網(wǎng)址開頭為https有鎖型安全標志)一般情況下本身做了加密的軟件比如支付寶都可以使用���。(應受訪者要求傅明麗����、向凡��、如風均為化名本文首發(fā)鈦媒體App作者 | 秦聰慧)
關(guān)鍵詞:
營業(yè)執(zhí)照公示信息