反窃听服务

疑似卷入离职倾向员工详情,知乎和深信服的一桩“监控门”重现

2024年 3月 15日

图片来源@视觉中国

付明丽万万没有想到,五年前发生在她身上的事情,会因为知乎和桑苏说服的一桩“监控丑闻”而再次发生。

虽然五年过去了,但她依然清楚地记得辞职那天下午,老板眼中那自豪的眼神:“你以为我不知道你每天在电脑上做什么吗?”

从老板得意又粗俗的话语中,付明丽突然意识到,这一年她是在不知情的监视下度过的。 老板可以看到她发的所有微信信息,包括她说过老板的坏话。 他还可以看到她浏览过哪些网页,是否访问过淘宝,是否登录过招聘网站……

如果不是她因为积攒了很长时间的不开心,在最后一刻跟老板摊牌,她可能都不知道这样的经历发生在自己身上。

这是付明丽大学毕业后的第一份工作。 被监控的后遗症,直接影响了她目前的工作行为——她不使用公司电脑,也不查看公司环境中可能导致公司“误解”的网站或信息,极其谨慎。

时间回到2022年的今天,发生在付明丽身上的事情,再次发生在了另一个名叫鞠的陌生员工身上。 在流传的一张名为“有离职倾向的员工详情”的截图中,这名姓鞠的骨干员工访问求职网站23次,有254个触发报警的聊天关键词,提交了9份简历,曾在51job工作过,并出现“下载”按钮拉勾网、脉脉等招聘网站提交的简历背后。

显然,这位鞠姓员工的网上行为已经被他所在的公司监控得非常精准。

该事件引发公众广泛讨论——尽管疑似涉案的知乎发布声明辟谣,但无论事件发生在哪里,最终的受害者一定是付明丽这样的员工。 都2022年了,为什么农民工还像工具人一样在隐形监视下谋生? 公司的这种行为是否合理? 帮助公司监控员工上网行为的软件合法吗? 我们能避免被监控吗?

哪些工具激发了公司的监控欲望?

继知乎涉嫌监控员工离职倾向后,A股网络安全上市公司深信服也卷入其中。 截图显示,知乎疑似使用的员工离职行为监控软件是深信服公司开发的。 尽管深信服立即下架了员工离职倾向监测系统,但深信服官网()上仍然存在“全网行为管理AC”产品,深信服提供员工行为监测产品是事实。

图片来源@桑心福官网截图

钛媒体App从深信服官方社区()看到,在深信服社区首页,有关“上网行为管理AC”的相关帖子依然被推荐且关注度最高。

图片来源@官方社区截图

点击进入“上网行为管理AC”主题,选择“案例”-“行为审计”。 可以看到,深信服的产品其实可以审核钉钉、微信等聊天记录,并且在进行一些必要的操作后,可以审核任何发送到微信聊天的文件。 当然,如果上网行为日志审核失败,社区也提供了相应的解决方案。

图片来源@官方社区截图

点击进入“微信文件漏审”帖子查看示例图,该图为2020年8月31日15:00,罗姓员工与胡姓员工在PC版微信上的对话。截图中,两名员工的详细微信ID被编码。

图片来源@深圳富社区

然而,深信服并不是唯一一家对监控员工在线行为业务感兴趣的公司。 百度搜索“上网行为管理系统”。 据钛媒体App不完全统计,尚有15家企业仍在正常运营,其中包括深信服科技有限公司()、厦门天瑞科技有限公司( Co., Ltd.)锐绿等。石家庄安其神网络技术有限公司(网络管理员)、扬州第三眼软件技术有限公司(第三眼)、深圳德尔软件技术有限公司(网邮)、深圳超级时代软件有限公司(超级眼)、北京双心汇在线科技有限公司(代理)、北京星网云信息技术有限公司(星网云)、河北中视信研软件开发有限公司(域名)北京瑞星网络安全技术有限公司(瑞星)、北京网通科技有限公司(奇安信100%控股)(网通)、南京本路信息技术有限公司()、南京王亚计算机有限公司()、山东谷信软件有限公司(谷信软件)、山东安在信息技术有限公司(安在软件)等。

图片来源@ 根据公开信息整理

上述软件宣传称可以监控员工电脑屏幕、浏览器行为、聊天记录等。

不过,在知乎的一篇“上网行为监控”软件推荐帖子中,有网友推荐了“网通科技”的相关服务。 但经调查,网通科技官方网站已无法访问。 从股权关系来看,该公司为奇安信,为科创板上市公司的全资子公司,目前处于营业状态。

在众多被发现提供上网行为监控的公司中,域盾、安西软件()的官网仍然有“离职风险评估”、“离职风险分析”、“工作效率分析”等宣传词软件明确指出,还可以查看指定时间段内所有用户的工作效率排名,甚至可以查看部门之间的整体工作效率评估结果。

图片来源@安在软件网站截图

疑似卷入离职倾向员工详情,知乎和深信服的一桩“监控门”重现

图片来源@域盾网站截图

网络行为监控是否合规?

虽然员工的详细聊天记录和PC上的各种行为数据可以被审计,但深信服官网表示,这些产品都是在合规范围内进行的。

图片来源@桑心福官网截图

那么技术提供商研发生产这种涉嫌侵犯员工隐私的“合规”产品是否违法呢? 公司这样做是否违法? 钛媒体APP咨询了相关律师。

北京天池君泰律师事务所朱超峰律师告诉钛媒体,相关公司是否违法,取决于公司的“行为监控”措施是否明确告知员工。 他分析说,根据《民法通则》、《个人信息保护法》等法律规定,个人信息的处理必须遵循“合法、正当、必要”的原则。 如果相关企业未经员工许可私自监控员工行为记录,超出人力资源管理必要范围,将涉嫌侵犯员工隐私。

“是否超限,也需要根据合法性、合理性、必要性来判断,不能滥用、扩大。如果用人单位提前通知监测,但监测目的不具体、不当或者监测超标, “如果超出通知范围,就涉嫌违法。比如,如果员工的私人电脑、手机等用品被监控。”朱超峰说。

也就是说,公司有权对员工的行为进行管理或监控,但公司使用员工行为监控产品的情况需要通过管理制度等方式充分告知员工。 如果不告知且未经员工同意,可能会侵害员工的利益。 个人隐私或个人信息权,涉案公司可能触犯法律。

企业可以通过“告知”员工来避免违法,那么生产或开发这些软硬件的企业是否犯有滥用技术罪呢?

对此,上海申伦律师事务所律师夏海龙表示,法律并没有禁止与网络行为监控相关的技术和产品,但如果企业超出合理限度使用这些技术,侵犯员工隐私或个人信息权,那就属于滥用行为,需要承担法律责任。

但需要注意的是,原则上只要是员工的私人通讯设备,除非得到员工的明确同意,否则不允许监听。 不过,原则上,公司可以对工作场所和工作设备进行监控,但需要明确告知员工,禁止使用办公设备和互联网进行私人通讯。 “如果公司履行了通知和提醒义务,原则上公司监控员工的上网行为是没有问题的。” 夏海龙说道。

未履行通知义务

“如果员工明知使用公司设备进行个人通讯可能被监听,则可以视为对其通讯隐私的放弃。双方都有自己的合法利益,关键是如何平衡。” 夏海龙说道。

两位律师表示,利用技术手段开发相应的行为监控系统是否违法以及企业是否使用此类系统,取决于相应主体是否履行了告知义务。 但话说回来,这些企业真的履行了告知义务吗?

从文章开头提到的付明丽的经历来看,虽然她使用的是公司电脑,但她显然是事后得知自己被监控的。 如果证据确凿,她公司的违法行为将成为既定事实。 但初出茅庐的付明丽能否认识到这一点,能否真正使用法律武器保护自己并打赢官司,则是另一回事了。

小公司就是这样,大公司也好不到哪儿去。 某大公司A的前员工告诉钛媒体App,由于该公司规模较大,技术实力雄厚,很可能没有使用上述公司提供的软件。 但公司的业务安全意识非常强,一来公司不允许在公司电脑上下载微信,二来公司配备的电脑、手机等设备都安装了公司自主研发的软件。 “当我打开微信时,公司就会知道我在钓鱼;如果我打开脉脉,公司就会知道我可能会做什么。但公司不会告诉你它正在监视你的行为。这些事情我自己都知道,而且“没有人会这么做。我会告诉你,”他说。

另一位K互联网公司前员工告诉钛媒体App,他公司的员工入职时都会进行数据隐私入职培训,也会有相应的数据安全月,对于安全违规行为也会有等级划分。 据他介绍,未关闭屏幕就离开座位等行为被视为P3级事故(P0最严重),而如果在公司电脑中插入U盘,也会受到监控,并进行处罚。弹出窗口提醒员工确认电脑状态。 “可以肯定的是,我们电脑上的一些行为可以被追踪,比如数据泄露;但公司是否会用它来监控‘离职意向’,我还不知道,”他说。

网络安全从业者项帆也告诉钛媒体,根据他近二十年的网络安全经验,创业公司和国企利用软件和硬件手段对员工的网络聊天进行如此细致的监控是很少见的。 “大家的目的还是为了公司的数据安全,特别是一些关键数据的泄露预警和后续追溯。 每天盯着员工聊天记录的老板一般都是中小企业主,这样的企业是不可能长久的。 也有成熟的中国企业。 大型互联网公司会投入专门人员审查信息,在加入公司时分配专门的计算机,甚至公司的安全部门也成为帮凶,但目的往往是为了抓内奸和商业间谍活动。”

但他认为,虽然如上述律师所说,开发“员工离职倾向分析”、“各种上网行为监控”以及使用此类系统的人并不违法,但如果员工监控做到这种程度,那就是违法了。实际上是非法的。 说明产品经理或者开发这类产品的公司的价值观有问题。

什么样的行为监测可以取得积极的效果? 向帆举了个例子:“如果在一所大学里,学校通过学生上网监控发现学生在浏览赌博、贷款网站,那么如果辅导员能够及时制止,悲剧或许就可以避免。”

“一把锋利的刀,是一个人的决策决定是用它来切菜还是用来做坏事。” 另一位信息安全从业者如峰这样总结。

如何“反”监控?

弱势农民工很难影响公司对“行为监控”的价值观。 这归根结底是一个平衡各方利益的问题。 不过,向帆和如风表示,无论公司做什么,作为公司员工的个人如果想避免被监控,其实需要了解一些网络安全常识。

据如风介绍,微信、钉钉等日常通讯工具之所以被一些技术软件监控,是因为它们采用基于网络的开放式文本传输。 但普通人没有专门的监控软件,无法监控微信、钉钉等其他人的聊天或通话信息等工具。 “这一点大家可以放心。” 如风说道。

但在这种情况下,在一些第三方公司提供的“网络行为监控”或“内容审核”软件系统中,仍然会看到部分员工的详细聊天记录。 仅仅是因为他们连接到了公司 Wi-Fi 吗? 据如风介绍,造成这一问题的很大原因是员工使用的终端设备被“篡改”。 “单纯连接Wi-Fi并不能达到如此细致的监控效果,尤其是像支付宝这样加密的,即使连接Wi-Fi也无法获取太多数据。”如风说。

向凡同意如风的分析。 他透露,特别是当一些公司要求员工使用公司电脑工作时,这些公司电脑可能安装了某些软件或内置了安全证书,这些软件已经纳入公司统一终端管理系统。 这些软件的行为和安装的证书被认为在设备系统中是可信的,因此可以获得详细的聊天或通信数据。

他还想出了一个识别浏览器是否被监控的技巧:在日常浏览器使用中,有些URL以http开头,有些URL以https开头(通常带有锁符号)。 后者比前者更安全。 原因是http是明文传输,而https协议是加密传输。 支付宝等会定制自己的加密通讯方式,即使导入普通证书也无法解密。

“当你浏览http开头的网页时,任何普通的监控软件都可以恢复所有的访问信息,比如招聘网站上传的简历。但现在已经是2022年了,这样的网站已经不多了,现在大部分都用https。”向凡说道。

那么为什么在https协议下仍然会采集一些网页行为呢? 项凡表示,如果只是想知道员工访问过哪些网站而不知道具体内容,监控系统会先建立网站与域名的关系,比如老板直接聘用的网址,看看是谁已经在内网DNS服务器上解决了这个问题。 通过域名可以定位员工访问过该​​网站,但此时监控方无法得知具体的请求内容。

要了解具体内容,监控方有两种方法可以达到目的。 一种方法是替换流量上 https 协议中的原始 SSL 证书。 “但由于用户每次更换证书都会收到提示,很容易被发现。这种方法不太优雅。”因此,如果企业想要监控员工行为,一般会采用第二种方法,就是上面提到的,在公司电脑预设自己的证书到系统信任区域,这时候就可以恢复https内容了,如果要恢复微信聊天记录,需要安装软件来恢复保存的聊天记录数据库微信本地,对于无法恢复的,该软件还可以定时截图,这完全是木马行为,这类软件的权限非常高,它控制了终端后,想取什么数据远远超出想象。

也就是说,想要“反监控”,普通员工其实无法在公司电脑或设备上私下交流或处理私人事务。 对于公共场所的Wi-Fi,您只需识别您所浏览的网站是否符合https协议(网址以https开头,并有锁型安全标志)。 一般可以使用本身加密的软件,例如支付宝。 (应受访者要求,付明丽、向凡、如风均为化名。本文首发于钛媒体客户端。作者 | 秦从辉)