图片来源@视觉中国
傅明丽怎么也没有想到,五年前发生在自己身上的事,由于知乎和深信服的一桩“监控门”再次重现。
虽然事情过去了五年,但是她仍然清楚记得,离职那天下午公司老板表现出的得意眼神:“你以为你们每天在电脑上做些什么我不知道吗?”
从老板得意又猥琐的话语中,傅明丽顿悟:自己这一年,竟然是在不知情的监控中度过的。老板能看到她发出去的所有微信消息,详细到说了老板什么坏话,也能看到她浏览了什么网页,是不是逛了淘宝、登录了招聘网站……
如果不是在离职的最后一刻因为积压了很久的不愉快撕破脸让老板摊牌,她或许现在也不会知道,这样的遭遇竟然发生在自己身上。
这是傅明丽大学毕业后找的第一份工作,被监测留下的后遗症,直接影响了她现在的工作行为——不用公司电脑或在公司环境下查看那些可能让公司“误会”的网站或信息,异常谨慎。
时间拉回到2022年的今天,曾经发生在傅明丽身上的事情,又发生在了另一位陌生的鞠姓员工身上。在流传出的一张名为“离职倾向员工详情”的截图中,这位鞠姓骨干员工访问了23次求职网站、有254条聊天触发告警关键词、投递了9次简历,并且在51job、拉勾网、脉脉等招聘投递的简历后面都出现了“下载”按钮。
很明显,这位鞠姓员工的上网行为得到了任职公司相当精准的监测。
该事件引发了大众的广泛讨论——虽然疑似卷入其中的知乎发布了辟谣声明,但这件事件无论发生在哪儿,最终受害者一定是像傅明丽这样的员工。已经2022年了,打工人为什么还要像工具人一样在无形的监测中讨生计?企业的这种行为是合理的吗,帮助企业监测员工上网行为的软件是否合法?我们是否可以避免被监控?
什么工具助长了企业的监控欲?
在知乎涉嫌对员工离职倾向监测事件爆出后,深信服这家A股网络安全上市公司也卷入其中,有截图表明,知乎疑似使用的员工离职行为监测软件正是由深信服开发。虽然深信服第一时间下架了员工离职倾向监测系统,但在深信服官网“全网行为管理AC”产品依然存在(https://www。sangfor。com。cn/product-and-solution/sangfor-security/NGAC),深信服提供员工行为监测产品已是事实。
图片来源@深信服官网截图
钛媒体App从深信服官方社区(https://bbs。sangfor。com。cn/)看到,在深信服社区的首页“上网行为管理AC”的相关帖子仍然被推荐,且关注度最高。
图片来源@深信服官方社区截图
点击进入“上网行为管理AC”主题,选择“案例”-“行为审计”可以看到,深信服的产品其实可以详细到能够审计钉钉、微信等的聊天记录,并且在进行一些必要操作后,能够审计到微信聊天中发送的任何文件。当然该社区也提供了假如审计上网行为日志失败的对应解决方案。
图片来源@深信服官方社区截图
点击进入“微信文件漏审”的帖子可以看到一张示例图片,即在微信PC版中罗姓员工与胡姓员工在2020年8月31日15点的一次对话,截图中两位员工的详细微信号被打码。
图片来源@深信服社区
不过,当前看上员工上网行为监测生意的并不止深信服一家。在百度中搜索“上网行为管理系统”,据钛媒体App不完全统计,当前业务仍在正常运行的企业有15家,包括深信服科技股份有限公司(深信服)、厦门天锐科技股份有限公司(天锐绿盾)、石家庄安企神网络科技有限公司(网管家)、扬州第三只眼软件科技有限公司(第三只眼)、深圳市德尔软件技术有限公司(网路岗)、深圳市超时代软件有限公司(超级眼)、北京双鑫汇在线科技有限公司(代理商)、北京星网云信息技术有限公司(星网云)、河北中视新研软件开发有限公司(域之盾)、北京瑞星网安技术股份有限公司(瑞星)、北京网康科技有限公司(奇安信100%持股)(网康)、南京笨驴信息技术有限公司(WFilter)、南京网亚计算机有限公司(WorkWin)、山东固信软件有限公司(固信软件)、山东安在信息技术股份有限公司(安在软件)等。
图片来源@钛媒体App根据公开资料整理
上述软件的宣传中均有可监测员工电脑屏幕、浏览器行为、聊天记录等字样。
不过,在一则知乎“上网行为监测”软件推荐贴中,有网友推荐了“网康科技”的相关服务,但据查,网康科技官网已经无法访问,从股权关系看,该公司为科创板上市公司奇安信全资子公司,目前营业状态为存续。
在已查到的诸多提供上网行为监测的公司中,域之盾和安在软件(Ping32)的官网上仍有“离职风险评估”、“离职风险分析”、“工作效率分析”等宣传字样,这些软件明确表示也可以查看指定时间内,所有用户的工作效率排行榜,甚至还可以查看部门之间的整体工作效率评估结果。
图片来源@安在软件网站截图
图片来源@域之盾网站截图
上网行为监控是否合规?
虽然能够审计到员工的详细聊天记录、在PC端的各类行为数据,但深信服官网表示,这些产品都是在合规的范围内进行的。
图片来源@深信服官网截图
那么研发和生产这类涉嫌侵犯员工隐私的“合规”产品,技术提供方是否违法,企业是否违法呢?钛媒体App咨询了相关律师。
北京天驰君泰律师事务所朱朝锋律师告诉钛媒体App,相关企业是否违法,要看公司的“行为监测”措施是否明确告知到员工。他分析,根据《民法典》、《个人信息保护法》等法律规定,对个人信息的处理必须遵循“合法、正当、必要“原则。相关企业如未经员工个人允许,私自监测员工的行为记录,超出人力资源管理所必需,将会涉嫌侵犯员工隐私。
“是否超出也需要结合正当性合理性和必要性来判断,不可滥用或扩大范围。如果用人单位事前告知监控但监控目的不特定、不正当或监控超出告知范围,就涉嫌违法。比如对员工私人电脑、手机等用品进行监控。”朱朝锋说。
也就是说,公司有权对员工进行行为管理或者监控,但公司对员工行为监测产品的使用需要以管理制度等方式向员工充分告知,而如果不告知且未经员工同意,就有可能侵犯员工的个人隐私或个人信息权益,涉事企业就可能存在违法行为。
企业可以通过“告知”员工的形式规避违法,那么生产或研发这些软硬件的企业是否存在滥用技术的违法行为呢?
对此,上海申伦律师事务所律师夏海龙表示,法律并未禁止网络行为监控相关的技术和产品,但如果企业对这些技术的使用超出了合理限度而侵犯了员工隐私或个人信息权益,则属于滥用,需要承担法律责任。
不过需要注意的是,只要是员工私人通信设备,原则上都是不允许监控的,除非得到员工本人的明确同意;但在工作场合、工作设备上,原则上公司是可以监控的,但需要明确告知员工禁止使用办公设备、网络进行私人通信。“如果公司尽到了告知、提醒义务,原则上公司对员工网络行为进行监控就是没问题的。”夏海龙说。
未履行的告知义务
“如果员工在明知自己使用公司设备进行个人通信有可能被监控到的情况下依然这么做,那可以视为他对自己相关通信内容隐私的放弃。双方都有各自合理的利益,关键就看如何平衡。”夏海龙说。
根据两位律师的说法,利用技术手段研发相应的行为监测系统以及企业使用这类系统是否违法,要看对应主体是否尽到了告知义务。但是话说回来,这些企业真的有尽到告知义务吗?
从我们文章开头提到的傅明丽的遭遇来看,虽然其使用的是公司电脑,但她显然是事后才得知被监控,如证据确凿,其公司的违法行为会是既定事实。但初出茅庐的傅明丽在能否意识到这点、能否真正哪些法律武器保护自己并胜诉又是另一番说法了。
小公司如此行事,大厂也并没有好太多。一位某A大厂离职员工告诉钛媒体App,由于公司体量较大也具备技术实力,所以应该并没有采用上述公司提供的软件,但是公司的商业安全意识非常强,一来公司不允许在公司电脑上下载微信,二来公司所配备的电脑、手机等设备都装有公司自主研发的软件。“我打开微信,公司就知道我在摸鱼;打开脉脉,公司就知道我可能会做什么。但是公司并不会告诉你正在对你做行为监测。这些我是自己了解的,没有人会告诉你。”他说。
另一位某K互联网公司离职员工告诉钛媒体App,其公司的员工入职会有数据隐私入职培训,也有相应的数据安全月,对于安全违规也划定等级。据他介绍,像离座不熄屏这样的行为算是P3级的事故(P0为最严重),而如果在公司电脑上插U盘也会被监测,会弹窗提醒员工自行确认电脑状态。“我们电脑上的一些行为能够被追踪是肯定的,比如数据泄露;但是公司是否会用来作为‘离职倾向’监测,这些我还不太清楚。”他说。
网络安全从业者向凡也告诉钛媒体App,据他近二十年的网络安全从业经验,创业型公司和国央企利用软硬件手段对员工进行如此细致的网络聊天监测并不多见,“大家的目的还是为了公司的数据安全,特别是一些关键数据的泄漏预警和事后追溯,每天盯着员工聊天记录看的老板一般中小企业主居多,这样的企业也并不能长久。还有就是成熟的中大型互联网公司,他们投入专门的人去审核信息、在入职时就配发专用电脑,甚至公司安全部门都会成为帮凶,不过目的往往是抓内鬼和商业间谍。”
但他认为虽然如上述律师所说,研发出“员工离职倾向分析”、“各类上网行为监测”和使用这类系统的人并不违法,但是如果把员工监测做到这种程度,其实是说明产品经理或者研发这类产品的公司价值观有问题。
哪类行为监测可以达到正向作用呢?向凡举了一个例子:“假如在高校中,学校通过学生的上网监测发现有学生正在浏览赌博、贷款网站,那么这个时候辅导员如果能够及时制止,可能会避免悲剧的发生。”
“一把锋利的刀,是用它来切菜,还是用它来做坏事,是人做决策的。”另一位信息安全从业者如风这样总结。
如何“反”监控?
处于弱势的打工人,很难左右公司在“行为监测”上面的价值观,这终究是各方利益的平衡问题。不过,向凡和如风表示,无论公司如何做,作为公司员工的个人如果想要避免被监测,其实还需要知道一些网络安全常识。
据如风介绍,日常所使用的微信、钉钉等通讯工具之所以会被一些技术软件监听,是因为使用的是基于网络开放性明文传输,但是普通人由于没有专用监听软件,无法去监听诸如微信、钉钉通信中他人的聊天或通话信息。“这点大家可以放心。”如风说。
但是在这种情况下,一些第三方公司提供的“上网行为监测”或者“内容审计”软件系统中,一些员工详细聊天记录仍然会被看到呢,是不是只是因为连接了公司Wi-Fi?据如风介绍,这一问题的很大原因在于,员工使用的终端设备被“做了手脚”。“仅仅连接Wi-Fi达不到如此详细的监控效果,特别是像支付宝这类本身做了加密的,连上Wi-Fi也拿不到什么数据。”如风说。
向凡对如风的分析表示认同,他透露,特别是在一些公司要求员工必须使用公司电脑进行办公的情况下,这些公司电脑可能是安装了某些软件或内置了安全证书被纳入了公司的统一终端管理系统。这些软件的行为及安装的证书在设备系统中被认为是可信的,所以能够拿到详细的聊天或通信数据。
他也为辨别浏览器是否被监测支了妙招:在日常的浏览器的使用中,有些网址是http开头,有些网址是https开头(一般会有锁形标志),后者比前者更安全。原因在于http属于明文传输,而https协议则是加密传输,支付宝等更是会自定义自己的加密通信方式,导入普通证书也无法解密。
“大家在浏览http开头的网页时,任意一款普通监测软件都可以还原全部访问信息,比如在招聘网站上传的简历等。但是现在已经2022年了,这类网站已经不多了,现在大部分都使用https。”向凡说。
那为什么在https协议下有些网页行为仍然被收集呢?向凡表示,如果只是想知道员工访问了什么网站而不需要获知具体内容,监控系统会先建立网站和域名的关系,比如www。zhipin。com是boss直聘的网址,在内网DNS服务器上看谁解析了这个域名就可以定位到某位员工访问了这个网站,不过监控方此时无法获知具体请求内容。
要想知道具体内容,监测方有两种方法可以达到目的,一种办法是在流量上替换掉https协议中原有SSL证书,“但是因为每次替换证书用户都会收到提示,容易被发现,这种方法不太优雅”,所以公司如果想要监测员工行为,一般会采取第二种方法,也就是上面说的,在公司电脑中将自己的证书预置到系统可信区域,此时就可以还原https内容。而要想还原微信聊天记录,则需要安装软件对微信本地保存的聊天记录数据库进行还原。对于实在无法还原的,软件还可以定时截屏,完全就是一个木马行为,这类软件权限很高,它控制了终端之后,想要拿什么数据是远超想象的。
也就是说,如果想要“反监测”,其实,普通员工可以不在公司电脑或设备上进行私人通信或处理私人事务。而对于公共场合的Wi-Fi,大家只要辨别所浏览网站是否为遵守了https协议(网址开头为https,有锁型安全标志),一般情况下本身做了加密的软件,比如支付宝都可以使用。(应受访者要求傅明丽、向凡、如风均为化名,本文首发钛媒体App,作者 | 秦聪慧)
“张承辉博客” 木马能看到微信聊天记录(木马能看到微信聊天记录电话) https://www.zhangchenghui.com/88401