傅明麗怎麼也沒有想到,五年前發生在自己身上的事,由於知乎和深信服的一樁“監控門”再次重現。雖然事情過去了五年,但是她仍然清楚記得,離職那天下午公司老闆表現出的得意眼神:“你以為你們每天在電腦上做些什麼我不知道嗎?”
從老闆得意又猥瑣的話語中,傅明麗頓悟:自己這一年,竟然是在不知情的監控中度過的。老闆能看到她發出去的所有微信消息,詳細到說了老闆什麼壞話,也能看到她瀏覽了什麼網頁,是不是逛了淘寶、登錄了招聘網站……
如果不是在離職的最後一刻因為積壓了很久的不愉快撕破臉讓老闆攤牌,她或許現在也不會知道,這樣的遭遇竟然發生在自己身上。
這是傅明麗大學畢業后找的第一份工作,被監測留下的後遺症,直接影響了她現在的工作行為——不用公司電腦或在公司環境下查看那些可能讓公司“誤會”的網站或信息,異常謹慎。
時間拉回到2022年的今天,曾經發生在傅明麗身上的事情,又發生在了另一位陌生的鞠姓員工身上。在流傳出的一張名為“離職傾向員工詳情”的截圖中,這位鞠姓骨幹員工訪問了23次求職網站、有254條聊天觸發告警關鍵詞、投遞了9次簡歷,並且在51job、拉勾網、脈脈等招聘投遞的簡歷後面都出現了“下載”按鈕。
很明顯,這位鞠姓員工的上網行為得到了任職公司相當精準的監測。
該事件引發了大眾的廣泛討論——雖然疑似捲入其中的知乎發布了闢謠聲明,但這件事件無論發生在哪兒,最終受害者一定是像傅明麗這樣的員工。已經2022年了,打工人為什麼還要像工具人一樣在無形的監測中討生計?企業的這種行為是合理的嗎,幫助企業監測員工上網行為的軟件是否合法?我們是否可以避免被監控?
什麼工具助長了企業的監控欲?
在知乎涉嫌對員工離職傾向監測事件爆出后,深信服這家A股網絡安全上市公司也捲入其中,有截圖表明,知乎疑似使用的員工離職行為監測軟件正是由深信服開發。雖然深信服第一時間下架了員工離職傾向監測系統,但在深信服官網“全網行為管理AC”產品依然存在,深信服提供員工行為監測產品已是事實。
圖片來源@深信服官網截圖
鈦媒體App從深信服官方社區看到,在深信服社區的首頁“上網行為管理AC”的相關帖子仍然被推薦,且關注度最高。
圖片來源@深信服官方社區截圖
點擊進入“上網行為管理AC”主題,選擇“案例”-“行為審計”可以看到,深信服的產品其實可以詳細到能夠審計釘釘、微信等的聊天記錄,並且在進行一些必要操作后,能夠審計到微信聊天中發送的任何文件。當然該社區也提供了假如審計上網行為日誌失敗的對應解決方案。
圖片來源@深信服官方社區截圖
點擊進入“微信文件漏審”的帖子可以看到一張示例圖片,即在微信PC版中羅姓員工與胡姓員工在2020年8月31日15點的一次對話,截圖中兩位員工的詳細微信號被打碼。
圖片來源@深信服社區
不過,當前看上員工上網行為監測生意的並不止深信服一家。在百度中搜索“上網行為管理系統”,據鈦媒體App不完全統計,當前業務仍在正常運行的企業有15家,包括深信服科技股份有限公司(深信服)、廈門天銳科技股份有限公司(天銳綠盾)、石家莊安企神網絡科技有限公司(網管家)、揚州第三隻眼軟件科技有限公司(第三隻眼)、深圳市德爾軟件技術有限公司(網路崗)、深圳市超時代軟件有限公司(超級眼)、北京雙鑫匯在線科技有限公司(代理商)、北京星網雲信息技術有限公司(星網雲)、河北中視新研軟件開發有限公司(域之盾)、北京瑞星網安技術股份有限公司(瑞星)、北京網康科技有限公司(奇安信100%持股)(網康)、南京笨驢信息技術有限公司(WFilter)、南京網亞計算機有限公司(WorkWin)、山東固信軟件有限公司(固信軟件)、山東安在信息技術股份有限公司(安在軟件)等。
圖片來源@鈦媒體App根據公開資料整理
上述軟件的宣傳中均有可監測員工電腦屏幕、瀏覽器行為、聊天記錄等字樣。
不過,在一則知乎“上網行為監測”軟件推薦貼中,有網友推薦了“網康科技”的相關服務,但據查,網康科技官網已經無法訪問,從股權關係看,該公司為科創板上市公司奇安信全資子公司,目前營業狀態為存續。
在已查到的諸多提供上網行為監測的公司中,域之盾和安在軟件(Ping32)的官網上仍有“離職風險評估”、“離職風險分析”、“工作效率分析”等宣傳字樣,這些軟件明確表示也可以查看指定時間內,所有用戶的工作效率排行榜,甚至還可以查看部門之間的整體工作效率評估結果。
圖片來源@安在軟件網站截圖
圖片來源@域之盾網站截圖
上網行為監控是否合規?
雖然能夠審計到員工的詳細聊天記錄、在PC端的各類行為數據,但深信服官網表示,這些產品都是在合規的範圍內進行的。
圖片來源@深信服官網截圖
那麼研發和生產這類涉嫌侵犯員工隱私的“合規”產品,技術提供方是否違法,企業是否違法呢?鈦媒體App諮詢了相關律師。
北京天馳君泰律師事務所朱朝鋒律師告訴鈦媒體App,相關企業是否違法,要看公司的“行為監測”措施是否明確告知到員工。他分析,根據《民法典》、《個人信息保護法》等法律規定,對個人信息的處理必須遵循“合法、正當、必要“原則。相關企業如未經員工個人允許,私自監測員工的行為記錄,超出人力資源管理所必需,將會涉嫌侵犯員工隱私。
“是否超出也需要結合正當性合理性和必要性來判斷,不可濫用或擴大範圍。如果用人單位事前告知監控但監控目的不特定、不正當或監控超出告知範圍,就涉嫌違法。比如對員工私人電腦、手機等用品進行監控。”朱朝鋒說。
也就是說,公司有權對員工進行行為管理或者監控,但公司對員工行為監測產品的使用需要以管理制度等方式向員工充分告知,而如果不告知且未經員工同意,就有可能侵犯員工的個人隱私或個人信息權益,涉事企業就可能存在違法行為。
企業可以通過“告知”員工的形式規避違法,那麼生產或研發這些軟硬件的企業是否存在濫用技術的違法行為呢?
對此,上海申倫律師事務所律師夏海龍表示,法律並未禁止網絡行為監控相關的技術和產品,但如果企業對這些技術的使用超出了合理限度而侵犯了員工隱私或個人信息權益,則屬於濫用,需要承擔法律責任。
不過需要注意的是,只要是員工私人通信設備,原則上都是不允許監控的,除非得到員工本人的明確同意;但在工作場合、工作設備上,原則上公司是可以監控的,但需要明確告知員工禁止使用辦公設備、網絡進行私人通信。“如果公司盡到了告知、提醒義務,原則上公司對員工網絡行為進行監控就是沒問題的。”夏海龍說。
未履行的告知義務
“如果員工在明知自己使用公司設備進行個人通信有可能被監控到的情況下依然這麼做,那可以視為他對自己相關通信內容隱私的放棄。雙方都有各自合理的利益,關鍵就看如何平衡。”夏海龍說。
根據兩位律師的說法,利用技術手段研發相應的行為監測系統以及企業使用這類系統是否違法,要看對應主體是否盡到了告知義務。但是話說回來,這些企業真的有盡到告知義務嗎?
從我們文章開頭提到的傅明麗的遭遇來看,雖然其使用的是公司電腦,但她顯然是事後才得知被監控,如證據確鑿,其公司的違法行為會是既定事實。但初出茅廬的傅明麗在能否意識到這點、能否真正哪些法律武器保護自己並勝訴又是另一番說法了。
小公司如此行事,大廠也並沒有好太多。一位某A大廠離職員工告訴鈦媒體App,由於公司體量較大也具備技術實力,所以應該並沒有採用上述公司提供的軟件,但是公司的商業安全意識非常強,一來公司不允許在公司電腦上下載微信,二來公司所配備的電腦、手機等設備都裝有公司自主研發的軟件。“我打開微信,公司就知道我在摸魚;打開脈脈,公司就知道我可能會做什麼。但是公司並不會告訴你正在對你做行為監測。這些我是自己了解的,沒有人會告訴你。”她說。
另一位某K互聯網公司離職員工告訴鈦媒體App,其公司的員工入職會有數據隱私入職培訓,也有相應的數據安全月,對於安全違規也劃定等級。據他介紹,像離座不熄屏這樣的行為算是P0級的事故,而如果在公司電腦上插U盤也會被監測,會彈窗提醒員工自行確認電腦狀態。“我們電腦上的一些行為能夠被追蹤是肯定的,比如數據泄露;但是公司是否會用來作為‘離職傾向’監測,這些我還不太清楚。”他說。
網絡安全從業者向凡也告訴鈦媒體App,據他近二十年的網絡安全從業經驗,創業型公司和國央企利用軟硬件手段對員工進行如此細緻的網絡聊天監測並不多見,“大家的目的還是為了公司的數據安全,特別是一些關鍵數據的泄漏預警和事後追溯,每天盯着員工聊天記錄看的老闆一般中小企業主居多,這樣的企業也並不能長久。還有就是成熟的中大型互聯網公司,他們投入專門的人去審核信息、在入職時就配發專用電腦,甚至公司安全部門都會成為幫凶,不過目的往往是抓內鬼和商業間諜。”
但他認為雖然如上述律師所說,研發出“員工離職傾向分析”、“各類上網行為監測”和使用這類系統的人並不違法,但是如果把員工監測做到這種程度,其實是說明產品經理或者研發這類產品的公司價值觀有問題。
哪類行為監測可以達到正向作用呢?向凡舉了一個例子:“假如在高校中,學校通過學生的上網監測發現有學生正在瀏覽賭博、貸款網站,那麼這個時候輔導員如果能夠及時制止,可能會避免悲劇的發生。”
“一把鋒利的刀,是用它來切菜,還是用它來做壞事,是人做決策的。”另一位信息安全從業者如風這樣總結。
如何“反”監控?
處於弱勢的打工人,很難左右公司在“行為監測”上面的價值觀,這終究是各方利益的平衡問題。不過,向凡和如風表示,無論公司如何做,作為公司員工的個人如果想要避免被監測,其實還需要知道一些網絡安全常識。
據如風介紹,日常所使用的微信、釘釘等通訊工具之所以會被一些技術軟件監聽,是因為使用的是基於網絡開放性明文傳輸,但是普通人由於沒有專用監聽軟件,無法去監聽諸如微信、釘釘通信中他人的聊天或通話信息。“這點大家可以放心。”如風說。
但是在這種情況下,一些第三方公司提供的“上網行為監測”或者“內容審計”軟件系統中,一些員工詳細聊天記錄仍然會被看到呢,是不是只是因為連接了公司Wi-Fi?據如風介紹,這一問題的很大原因在於,員工使用的終端設備被“做了手腳”。“僅僅連接Wi-Fi達不到如此詳細的監控效果,特別是像支付寶這類本身做了加密的,連上Wi-Fi也拿不到什麼數據。”如風說。
向凡對如風的分析表示認同,他透露,特別是在一些公司要求員工必須使用公司電腦進行辦公的情況下,這些公司電腦可能是安裝了某些軟件或內置了安全證書被納入了公司的統一終端管理系統。這些軟件的行為及安裝的證書在設備系統中被認為是可信的,所以能夠拿到詳細的聊天或通信數據。
他也為辨別瀏覽器是否被監測支了妙招:在日常的瀏覽器的使用中,有些網址是http開頭,有些網址是https開頭(一般會有鎖形標誌),後者比前者更安全。原因在於http屬於明文傳輸,而https協議則是加密傳輸,支付寶等更是會自定義自己的加密通信方式,導入普通證書也無法解密。
“大家在瀏覽http開頭的網頁時,任意一款普通監測軟件都可以還原全部訪問信息,比如在招聘網站上傳的簡歷等。但是現在已經2022年了,這類網站已經不多了,現在大部分都使用https。”向凡說。
那為什麼在https協議下有些網頁行為仍然被收集呢?向凡表示,如果只是想知道員工訪問了什麼網站而不需要獲知具體內容,監控系統會先建立網站和域名的關係,比如www.zhipin.com是boss直聘的網址,在內網DNS服務器上看誰解析了這個域名就可以定位到某位員工訪問了這個網站,不過監控方此時無法獲知具體請求內容。
要想知道具體內容,監測方有兩種方法可以達到目的,一種辦法是在流量上替換掉https協議中原有SSL證書,“但是因為每次替換證書用戶都會收到提示,容易被發現,這種方法不太優雅”,所以公司如果想要監測員工行為,一般會採取第二種方法,也就是上面說的,在公司電腦中將自己的證書預置到系統可信區域,此時就可以還原https內容。而要想還原微信聊天記錄,則需要安裝軟件對微信本地保存的聊天記錄數據庫進行還原。對於實在無法還原的,軟件還可以定時截屏,完全就是一個木馬行為,這類軟件權限很高,它控制了終端之後,想要拿什麼數據是遠超想象的。
也就是說,如果想要“反監測”,其實,普通員工可以不在公司電腦或設備上進行私人通信或處理私人事務。而對於公共場合的Wi-Fi,大家只要辨別所瀏覽網站是否為遵守了https協議(網址開頭為https,有鎖型安全標誌),一般情況下本身做了加密的軟件,比如支付寶都可以使用。