圖片來(lái)源@視覺(jué)中國(guó)
傅明麗怎么也沒(méi)有想到���,五年前發(fā)生在自己身上的事��,由于知乎和深信服的一樁“監(jiān)控門(mén)”再次重現(xiàn)��。
雖然事情過(guò)去了五年����,但是她仍然清楚記得,離職那天下午公司老板表現(xiàn)出的得意眼神:“你以為你們每天在電腦上做些什么我不知道嗎����?”
從老板得意又猥瑣的話語(yǔ)中,傅明麗頓悟:自己這一年��,竟然是在不知情的監(jiān)控中度過(guò)的��。老板能看到她發(fā)出去的所有微信消息�����,詳細(xì)到說(shuō)了老板什么壞話��,也能看到她瀏覽了什么網(wǎng)頁(yè)���,是不是逛了淘寶����、登錄了招聘網(wǎng)站……
如果不是在離職的最后一刻因?yàn)榉e壓了很久的不愉快撕破臉讓老板攤牌�,她或許現(xiàn)在也不會(huì)知道�,這樣的遭遇竟然發(fā)生在自己身上���。
這是傅明麗大學(xué)畢業(yè)后找的第一份工作����,被監(jiān)測(cè)留下的后遺癥�����,直接影響了她現(xiàn)在的工作行為——不用公司電腦或在公司環(huán)境下查看那些可能讓公司“誤會(huì)”的網(wǎng)站或信息�,異常謹(jǐn)慎。
時(shí)間拉回到2022年的今天�����,曾經(jīng)發(fā)生在傅明麗身上的事情����,又發(fā)生在了另一位陌生的鞠姓員工身上�。在流傳出的一張名為“離職傾向員工詳情”的截圖中,這位鞠姓骨干員工訪問(wèn)了23次求職網(wǎng)站��、有254條聊天觸發(fā)告警關(guān)鍵詞�、投遞了9次簡(jiǎn)歷���,并且在51job、拉勾網(wǎng)����、脈脈等招聘投遞的簡(jiǎn)歷后面都出現(xiàn)了“下載”按鈕。
很明顯���,這位鞠姓員工的上網(wǎng)行為得到了任職公司相當(dāng)精準(zhǔn)的監(jiān)測(cè)���。
該事件引發(fā)了大眾的廣泛討論——雖然疑似卷入其中的知乎發(fā)布了辟謠聲明,但這件事件無(wú)論發(fā)生在哪兒�,最終受害者一定是像傅明麗這樣的員工。已經(jīng)2022年了�,打工人為什么還要像工具人一樣在無(wú)形的監(jiān)測(cè)中討生計(jì)?企業(yè)的這種行為是合理的嗎���,幫助企業(yè)監(jiān)測(cè)員工上網(wǎng)行為的軟件是否合法�?我們是否可以避免被監(jiān)控�����?
什么工具助長(zhǎng)了企業(yè)的監(jiān)控欲��?
在知乎涉嫌對(duì)員工離職傾向監(jiān)測(cè)事件爆出后,深信服這家A股網(wǎng)絡(luò)安全上市公司也卷入其中��,有截圖表明��,知乎疑似使用的員工離職行為監(jiān)測(cè)軟件正是由深信服開(kāi)發(fā)���。雖然深信服第一時(shí)間下架了員工離職傾向監(jiān)測(cè)系統(tǒng)���,但在深信服官網(wǎng)“全網(wǎng)行為管理AC”產(chǎn)品依然存在,深信服提供員工行為監(jiān)測(cè)產(chǎn)品已是事實(shí)�。
圖片來(lái)源@深信服官網(wǎng)截圖
鈦媒體App從深信服官方社區(qū)看到,在深信服社區(qū)的首頁(yè)“上網(wǎng)行為管理AC”的相關(guān)帖子仍然被推薦�����,且關(guān)注度最高���。
圖片來(lái)源@深信服官方社區(qū)截圖
點(diǎn)擊進(jìn)入“上網(wǎng)行為管理AC”主題����,選擇“案例”-“行為審計(jì)”可以看到�,深信服的產(chǎn)品其實(shí)可以詳細(xì)到能夠?qū)徲?jì)釘釘����、微信等的聊天記錄����,并且在進(jìn)行一些必要操作后�,能夠?qū)徲?jì)到微信聊天中發(fā)送的任何文件。當(dāng)然該社區(qū)也提供了假如審計(jì)上網(wǎng)行為日志失敗的對(duì)應(yīng)解決方案����。
圖片來(lái)源@深信服官方社區(qū)截圖
點(diǎn)擊進(jìn)入“微信文件漏審”的帖子可以看到一張示例圖片,即在微信PC版中羅姓員工與胡姓員工在2020年8月31日15點(diǎn)的一次對(duì)話����,截圖中兩位員工的詳細(xì)微信號(hào)被打碼。
圖片來(lái)源@深信服社區(qū)
不過(guò)�����,當(dāng)前看上員工上網(wǎng)行為監(jiān)測(cè)生意的并不止深信服一家��。在百度中搜索“上網(wǎng)行為管理系統(tǒng)”���,據(jù)鈦媒體App不完全統(tǒng)計(jì)��,當(dāng)前業(yè)務(wù)仍在正常運(yùn)行的企業(yè)有15家���,包括深信服科技股份有限公司(深信服)�、廈門(mén)天銳科技股份有限公司(天銳綠盾)��、石家莊安企神網(wǎng)絡(luò)科技有限公司(網(wǎng)管家)���、揚(yáng)州第三只眼軟件科技有限公司(第三只眼)�����、深圳市德?tīng)栜浖夹g(shù)有限公司(網(wǎng)路崗)����、深圳市超時(shí)代軟件有限公司(超級(jí)眼)�����、北京雙鑫匯在線科技有限公司(代理商)����、北京星網(wǎng)云信息技術(shù)有限公司(星網(wǎng)云)、河北中視新研軟件開(kāi)發(fā)有限公司(域之盾)�、北京瑞星網(wǎng)安技術(shù)股份有限公司(瑞星)、北京網(wǎng)康科技有限公司(奇安信100%持股)(網(wǎng)康)、南京笨驢信息技術(shù)有限公司(WFilter)��、南京網(wǎng)亞計(jì)算機(jī)有限公司(WorkWin)�����、山東固信軟件有限公司(固信軟件)����、山東安在信息技術(shù)股份有限公司(安在軟件)等�。
圖片來(lái)源@鈦媒體App根據(jù)公開(kāi)資料整理
上述軟件的宣傳中均有可監(jiān)測(cè)員工電腦屏幕、瀏覽器行為��、聊天記錄等字樣��。
不過(guò)��,在一則知乎“上網(wǎng)行為監(jiān)測(cè)”軟件推薦貼中����,有網(wǎng)友推薦了“網(wǎng)康科技”的相關(guān)服務(wù),但據(jù)查����,網(wǎng)康科技官網(wǎng)已經(jīng)無(wú)法訪問(wèn),從股權(quán)關(guān)系看,該公司為科創(chuàng)板上市公司奇安信全資子公司��,目前營(yíng)業(yè)狀態(tài)為存續(xù)���。
在已查到的諸多提供上網(wǎng)行為監(jiān)測(cè)的公司中�����,域之盾和安在軟件(Ping32)的官網(wǎng)上仍有“離職風(fēng)險(xiǎn)評(píng)估”���、“離職風(fēng)險(xiǎn)分析”、“工作效率分析”等宣傳字樣���,這些軟件明確表示也可以查看指定時(shí)間內(nèi)�,所有用戶(hù)的工作效率排行榜�����,甚至還可以查看部門(mén)之間的整體工作效率評(píng)估結(jié)果�。
圖片來(lái)源@安在軟件網(wǎng)站截圖
圖片來(lái)源@域之盾網(wǎng)站截圖
上網(wǎng)行為監(jiān)控是否合規(guī)?
雖然能夠?qū)徲?jì)到員工的詳細(xì)聊天記錄��、在PC端的各類(lèi)行為數(shù)據(jù)����,但深信服官網(wǎng)表示��,這些產(chǎn)品都是在合規(guī)的范圍內(nèi)進(jìn)行的����。
圖片來(lái)源@深信服官網(wǎng)截圖
那么研發(fā)和生產(chǎn)這類(lèi)涉嫌侵犯員工隱私的“合規(guī)”產(chǎn)品����,技術(shù)提供方是否違法�����,企業(yè)是否違法呢�?鈦媒體App咨詢(xún)了相關(guān)律師。
北京天馳君泰律師事務(wù)所朱朝鋒律師告訴鈦媒體App�����,相關(guān)企業(yè)是否違法����,要看公司的“行為監(jiān)測(cè)”措施是否明確告知到員工。他分析����,根據(jù)《民法典》��、《個(gè)人信息保護(hù)法》等法律規(guī)定�,對(duì)個(gè)人信息的處理必須遵循“合法����、正當(dāng)、必要“原則��。相關(guān)企業(yè)如未經(jīng)員工個(gè)人允許����,私自監(jiān)測(cè)員工的行為記錄,超出人力資源管理所必需����,將會(huì)涉嫌侵犯員工隱私。
“是否超出也需要結(jié)合正當(dāng)性合理性和必要性來(lái)判斷���,不可濫用或擴(kuò)大范圍��。如果用人單位事前告知監(jiān)控但監(jiān)控目的不特定����、不正當(dāng)或監(jiān)控超出告知范圍,就涉嫌違法�。比如對(duì)員工私人電腦、手機(jī)等用品進(jìn)行監(jiān)控��?!敝斐h說(shuō)。
也就是說(shuō)����,公司有權(quán)對(duì)員工進(jìn)行行為管理或者監(jiān)控�����,但公司對(duì)員工行為監(jiān)測(cè)產(chǎn)品的使用需要以管理制度等方式向員工充分告知����,而如果不告知且未經(jīng)員工同意,就有可能侵犯員工的個(gè)人隱私或個(gè)人信息權(quán)益�,涉事企業(yè)就可能存在違法行為。
企業(yè)可以通過(guò)“告知”員工的形式規(guī)避違法�,那么生產(chǎn)或研發(fā)這些軟硬件的企業(yè)是否存在濫用技術(shù)的違法行為呢?
對(duì)此�����,上海申倫律師事務(wù)所律師夏海龍表示,法律并未禁止網(wǎng)絡(luò)行為監(jiān)控相關(guān)的技術(shù)和產(chǎn)品�����,但如果企業(yè)對(duì)這些技術(shù)的使用超出了合理限度而侵犯了員工隱私或個(gè)人信息權(quán)益�����,則屬于濫用���,需要承擔(dān)法律責(zé)任�。
不過(guò)需要注意的是�,只要是員工私人通信設(shè)備,原則上都是不允許監(jiān)控的�����,除非得到員工本人的明確同意���;但在工作場(chǎng)合�����、工作設(shè)備上����,原則上公司是可以監(jiān)控的,但需要明確告知員工禁止使用辦公設(shè)備�����、網(wǎng)絡(luò)進(jìn)行私人通信����。“如果公司盡到了告知���、提醒義務(wù)����,原則上公司對(duì)員工網(wǎng)絡(luò)行為進(jìn)行監(jiān)控就是沒(méi)問(wèn)題的�?!毕暮}堈f(shuō)。
未履行的告知義務(wù)
“如果員工在明知自己使用公司設(shè)備進(jìn)行個(gè)人通信有可能被監(jiān)控到的情況下依然這么做�����,那可以視為他對(duì)自己相關(guān)通信內(nèi)容隱私的放棄�����。雙方都有各自合理的利益,關(guān)鍵就看如何平衡�����?����!毕暮}堈f(shuō)���。
根據(jù)兩位律師的說(shuō)法�����,利用技術(shù)手段研發(fā)相應(yīng)的行為監(jiān)測(cè)系統(tǒng)以及企業(yè)使用這類(lèi)系統(tǒng)是否違法����,要看對(duì)應(yīng)主體是否盡到了告知義務(wù)���。但是話說(shuō)回來(lái)�����,這些企業(yè)真的有盡到告知義務(wù)嗎����?
從我們文章開(kāi)頭提到的傅明麗的遭遇來(lái)看,雖然其使用的是公司電腦��,但她顯然是事后才得知被監(jiān)控����,如證據(jù)確鑿,其公司的違法行為會(huì)是既定事實(shí)�。但初出茅廬的傅明麗在能否意識(shí)到這點(diǎn)、能否真正哪些法律武器保護(hù)自己并勝訴又是另一番說(shuō)法了��。
小公司如此行事��,大廠也并沒(méi)有好太多����。一位某A大廠離職員工告訴鈦媒體App�,由于公司體量較大也具備技術(shù)實(shí)力,所以應(yīng)該并沒(méi)有采用上述公司提供的軟件�,但是公司的商業(yè)安全意識(shí)非常強(qiáng),一來(lái)公司不允許在公司電腦上下載微信����,二來(lái)公司所配備的電腦�����、手機(jī)等設(shè)備都裝有公司自主研發(fā)的軟件����?���!拔掖蜷_(kāi)微信,公司就知道我在摸魚(yú)��;打開(kāi)脈脈�����,公司就知道我可能會(huì)做什么��。但是公司并不會(huì)告訴你正在對(duì)你做行為監(jiān)測(cè)����。這些我是自己了解的,沒(méi)有人會(huì)告訴你?��!彼f(shuō)��。
另一位某K互聯(lián)網(wǎng)公司離職員工告訴鈦媒體App�,其公司的員工入職會(huì)有數(shù)據(jù)隱私入職培訓(xùn)��,也有相應(yīng)的數(shù)據(jù)安全月��,對(duì)于安全違規(guī)也劃定等級(jí)�。據(jù)他介紹,像離座不熄屏這樣的行為算是P3級(jí)的事故(P0為最嚴(yán)重)���,而如果在公司電腦上插U盤(pán)也會(huì)被監(jiān)測(cè)�����,會(huì)彈窗提醒員工自行確認(rèn)電腦狀態(tài)��?��!拔覀冸娔X上的一些行為能夠被追蹤是肯定的,比如數(shù)據(jù)泄露���;但是公司是否會(huì)用來(lái)作為‘離職傾向’監(jiān)測(cè)�����,這些我還不太清楚����?�!彼f(shuō)��。
網(wǎng)絡(luò)安全從業(yè)者向凡也告訴鈦媒體App�����,據(jù)他近二十年的網(wǎng)絡(luò)安全從業(yè)經(jīng)驗(yàn)��,創(chuàng)業(yè)型公司和國(guó)央企利用軟硬件手段對(duì)員工進(jìn)行如此細(xì)致的網(wǎng)絡(luò)聊天監(jiān)測(cè)并不多見(jiàn)�,“大家的目的還是為了公司的數(shù)據(jù)安全,特別是一些關(guān)鍵數(shù)據(jù)的泄漏預(yù)警和事后追溯����,每天盯著員工聊天記錄看的老板一般中小企業(yè)主居多,這樣的企業(yè)也并不能長(zhǎng)久�����。還有就是成熟的中大型互聯(lián)網(wǎng)公司,他們投入專(zhuān)門(mén)的人去審核信息���、在入職時(shí)就配發(fā)專(zhuān)用電腦���,甚至公司安全部門(mén)都會(huì)成為幫兇,不過(guò)目的往往是抓內(nèi)鬼和商業(yè)間諜����。”
但他認(rèn)為雖然如上述律師所說(shuō)��,研發(fā)出“員工離職傾向分析”����、“各類(lèi)上網(wǎng)行為監(jiān)測(cè)”和使用這類(lèi)系統(tǒng)的人并不違法,但是如果把員工監(jiān)測(cè)做到這種程度�����,其實(shí)是說(shuō)明產(chǎn)品經(jīng)理或者研發(fā)這類(lèi)產(chǎn)品的公司價(jià)值觀有問(wèn)題�。
哪類(lèi)行為監(jiān)測(cè)可以達(dá)到正向作用呢?向凡舉了一個(gè)例子:“假如在高校中�,學(xué)校通過(guò)學(xué)生的上網(wǎng)監(jiān)測(cè)發(fā)現(xiàn)有學(xué)生正在瀏覽賭博����、貸款網(wǎng)站���,那么這個(gè)時(shí)候輔導(dǎo)員如果能夠及時(shí)制止,可能會(huì)避免悲劇的發(fā)生����。”
“一把鋒利的刀����,是用它來(lái)切菜,還是用它來(lái)做壞事���,是人做決策的����?����!绷硪晃恍畔踩珡臉I(yè)者如風(fēng)這樣總結(jié)���。
如何“反”監(jiān)控��?
處于弱勢(shì)的打工人���,很難左右公司在“行為監(jiān)測(cè)”上面的價(jià)值觀�����,這終究是各方利益的平衡問(wèn)題����。不過(guò)����,向凡和如風(fēng)表示,無(wú)論公司如何做�����,作為公司員工的個(gè)人如果想要避免被監(jiān)測(cè)�����,其實(shí)還需要知道一些網(wǎng)絡(luò)安全常識(shí)����。
據(jù)如風(fēng)介紹��,日常所使用的微信���、釘釘?shù)韧ㄓ嵐ぞ咧詴?huì)被一些技術(shù)軟件監(jiān)聽(tīng),是因?yàn)槭褂玫氖腔诰W(wǎng)絡(luò)開(kāi)放性明文傳輸���,但是普通人由于沒(méi)有專(zhuān)用監(jiān)聽(tīng)軟件,無(wú)法去監(jiān)聽(tīng)諸如微信���、釘釘通信中他人的聊天或通話信息����?�!斑@點(diǎn)大家可以放心�����?����!比顼L(fēng)說(shuō)。
但是在這種情況下�����,一些第三方公司提供的“上網(wǎng)行為監(jiān)測(cè)”或者“內(nèi)容審計(jì)”軟件系統(tǒng)中��,一些員工詳細(xì)聊天記錄仍然會(huì)被看到呢����,是不是只是因?yàn)檫B接了公司W(wǎng)i-Fi?據(jù)如風(fēng)介紹��,這一問(wèn)題的很大原因在于�����,員工使用的終端設(shè)備被“做了手腳”���?���!皟H僅連接Wi-Fi達(dá)不到如此詳細(xì)的監(jiān)控效果����,特別是像支付寶這類(lèi)本身做了加密的�,連上Wi-Fi也拿不到什么數(shù)據(jù)�。”如風(fēng)說(shuō)�����。
向凡對(duì)如風(fēng)的分析表示認(rèn)同�,他透露,特別是在一些公司要求員工必須使用公司電腦進(jìn)行辦公的情況下��,這些公司電腦可能是安裝了某些軟件或內(nèi)置了安全證書(shū)被納入了公司的統(tǒng)一終端管理系統(tǒng)�。這些軟件的行為及安裝的證書(shū)在設(shè)備系統(tǒng)中被認(rèn)為是可信的��,所以能夠拿到詳細(xì)的聊天或通信數(shù)據(jù)���。
他也為辨別瀏覽器是否被監(jiān)測(cè)支了妙招:在日常的瀏覽器的使用中�,有些網(wǎng)址是http開(kāi)頭����,有些網(wǎng)址是https開(kāi)頭(一般會(huì)有鎖形標(biāo)志),后者比前者更安全�。原因在于http屬于明文傳輸,而https協(xié)議則是加密傳輸�����,支付寶等更是會(huì)自定義自己的加密通信方式,導(dǎo)入普通證書(shū)也無(wú)法解密��。
“大家在瀏覽http開(kāi)頭的網(wǎng)頁(yè)時(shí)�,任意一款普通監(jiān)測(cè)軟件都可以還原全部訪問(wèn)信息,比如在招聘網(wǎng)站上傳的簡(jiǎn)歷等�。但是現(xiàn)在已經(jīng)2022年了,這類(lèi)網(wǎng)站已經(jīng)不多了����,現(xiàn)在大部分都使用https?���!毕蚍舱f(shuō)。
那為什么在https協(xié)議下有些網(wǎng)頁(yè)行為仍然被收集呢���?向凡表示����,如果只是想知道員工訪問(wèn)了什么網(wǎng)站而不需要獲知具體內(nèi)容�,監(jiān)控系統(tǒng)會(huì)先建立網(wǎng)站和域名的關(guān)系,比如www.zhipin.com是boss直聘的網(wǎng)址,在內(nèi)網(wǎng)DNS服務(wù)器上看誰(shuí)解析了這個(gè)域名就可以定位到某位員工訪問(wèn)了這個(gè)網(wǎng)站����,不過(guò)監(jiān)控方此時(shí)無(wú)法獲知具體請(qǐng)求內(nèi)容。
要想知道具體內(nèi)容�,監(jiān)測(cè)方有兩種方法可以達(dá)到目的,一種辦法是在流量上替換掉https協(xié)議中原有SSL證書(shū)�����,“但是因?yàn)槊看翁鎿Q證書(shū)用戶(hù)都會(huì)收到提示���,容易被發(fā)現(xiàn)�,這種方法不太優(yōu)雅”�����,所以公司如果想要監(jiān)測(cè)員工行為��,一般會(huì)采取第二種方法�����,也就是上面說(shuō)的���,在公司電腦中將自己的證書(shū)預(yù)置到系統(tǒng)可信區(qū)域�����,此時(shí)就可以還原h(huán)ttps內(nèi)容�����。而要想還原微信聊天記錄�,則需要安裝軟件對(duì)微信本地保存的聊天記錄數(shù)據(jù)庫(kù)進(jìn)行還原���。對(duì)于實(shí)在無(wú)法還原的�����,軟件還可以定時(shí)截屏�����,完全就是一個(gè)木馬行為�����,這類(lèi)軟件權(quán)限很高�,它控制了終端之后,想要拿什么數(shù)據(jù)是遠(yuǎn)超想象的��。
也就是說(shuō)如果想要“反監(jiān)測(cè)”其實(shí)普通員工可以不在公司電腦或設(shè)備上進(jìn)行私人通信或處理私人事務(wù)�����。而對(duì)于公共場(chǎng)合的Wi-Fi大家只要辨別所瀏覽網(wǎng)站是否為遵守了https協(xié)議(網(wǎng)址開(kāi)頭為https有鎖型安全標(biāo)志)一般情況下本身做了加密的軟件比如支付寶都可以使用���。(應(yīng)受訪者要求傅明麗����、向凡��、如風(fēng)均為化名本文首發(fā)鈦媒體App作者 | 秦聰慧)
關(guān)鍵詞:
營(yíng)業(yè)執(zhí)照公示信息