深信服可監測員工跳槽傾向系統引爭議律師:若員工不知情則涉嫌違法
有網友在社交平台爆料稱,因為在上班時間向招聘網站投遞簡歷,在領導約談後被裁員,而該公司採用了深信服系統來分析員工離職傾向。深信服官網顯示,該系統名叫“行為感知系統BA”,可以了幫助企業監控員工怠工情況、離職風險等。
網友爆料截圖
具體可提供離職傾向員工詳情,包含員工姓名、所屬崗位、IP等詳細內容;員工訪問求職網站次數、聊天關鍵詞、以及簡歷投遞次數,通過該系統都可一目了然。
###圖據深信服官網
公司官網還有該監控系統與光大銀行深圳分行、新浪以及華東師範大學合作的成功案例展示。
目前,在事件發酵後,該產品介紹的頁面已被刪除。
深信服已申請相關專利
根據《科創板日報》記者拿到的深信服“行為感知系統”介紹資料,該系統的實現原理是通過分析員工訪問求職網站的頻率、頻度,分析員工在求職網上投簡歷的動作,來判別員工離職風險。
深信服一位銷售人員證實,該公司這項服務能幫助企業“判斷出具有離職傾向的員工”,可以做到對“員工的網絡行為都有記錄。”
但該銷售特別強調,“這個是非常合法的,很多公司都在用。”
《科創板日報》記者註意到,給予深信服“正當售賣”該系統的底氣,是該公司於2018年3月就該“行為感知系統”申請了專利,並且同年9月專利通過審查生效。
另外,據紅星新聞報導,深信服該系統實現這一功能是通過公司內網進行監控和記錄,並不包括個人網絡。目前該系統市場報價十幾萬元起,最終由公司企業的帶寬和需要管控的終端數量決定。
在公司官網公開的“成功案例”中,該系統通過對光大銀行網安全網關SG對銀行員工接入內網做完整身份認證體系,對QQ等聊天、員工發帖關鍵字過濾,員工訪問的URL地址、網頁標題、網頁內容等,都可完全監控和記錄;在與新浪的合作中,該系統則實現了分支員工身份統一認證、出帶寬流量管控、業務無關行為封堵、上網行為合規記錄;在教育部門,該系統能發揮沉迷網絡分析和校園網貸分析功能。
“這類系統早就有了”
一位IT業內人士表示,這類系統在10多年前已經存在,最開始是用於流量保護,防止員工在辦公時間追劇或者下載視頻,影響正常辦公。後來演變為用於保護公司機密文件不被外發,現在則增加了員工離職傾向審計這類內容。簡而言之,如果不使用公司的電腦和網絡,是不會被監測到的。
“這類系統早就有了,就一個審核網關加一套日誌管理罷了。”一家快消企業企業網管也告訴《科創板日報》記者。
記者調查中了解到,除了深信服之外,不少國內安全軟件公司均有開發類似的行為感知系統。《科創板日報》記者查詢國內另一家安全廠商奇安信的官網,發現其同樣推出了上網行為風險感知方案。
據奇安信官網介紹,員工上網通常存在一些違規行為,例如違反公司管理規定、上班時間使用與工作無關應用、頻繁訪問求職網站(非招聘人員)、使用違規應用等行為,管理者需要合規方面數據,才能有針對性的採取必要的措施,提高員工工作效率,規範網絡使用行為。
奇安信指出,該方案可以實現完整的上網行為感知,包括工作效率、離職分析、防洩密風險分析等,為管理者提供完整的行為合規評估報告。
多名企業員工告訴《科創板日報》,很多大型企業均會在公司配備的電腦上安裝類似的流量分析和監控工具,可以了解到員工的上網流量情況以及軟件使用情況。比如發現員工使用盜版軟件時,會要求刪除。而有些企業甚至還會對員工訪問非工作網站的行為,進行全公司通報。
此前,國美一份《關於違反員工行為規範的處罰通報》內部文件曾登上社交平台熱搜。通報文件稱,根據相關規定,國美員工在辦公區域禁止從事與工作無關之事,比如,玩電腦遊戲、上網聊天、聽音樂等。這份處罰書包含了員工的所在部門,姓名,甚至後台的非工作流量情況。
律師:若員工不知情則涉嫌違法
該事件在爆料與發酵,引發了社交平台上的強烈爭議。
有網友直指銷售該系統的公司是“窺探別人的隱私加以販賣,毫無商業道德!” 但深信服銷售人員辯解稱,深信服的產品只是提供分析能力給企業用戶,由用戶自行決定掌握數據,“深信服並不擁有這些數據。”
不少網友則質問購買和採用此類系統的企業,”誰給的權力監控別人的隱私??不違法嗎?”更有一位網名“用戶5ohx9b3” 發出靈魂拷問:“是坐牢還是上班?時時處處受到監控?!”
也有網友認為,企業對員工上班行為的監控一定程度上也是合理的。“別說什麼侵犯不侵犯個人隱私,員工工作時間做與工作無關的事情就該按曠工處理了。工作時間不工作,用公司網絡做自己的私事,就等於侵犯了公司的利益。”
但多位網友則表示,企業監測員工流量網站及次數等可以理解,但是涉及聊天內容、關鍵詞、簡歷投遞等私人的內容,屬於侵犯個人隱私。
那麼,這類企業對員工上網行為進行監測的行為,是否涉嫌違反《個人信息保護法》等法律法規呢?
北京清律律師事務所首席合夥人熊定中律師認為,這取決於員工使用的是什麼網絡,是否明確告知工作網絡不能夠用於私人用途,對員工的告知情況是否足夠清晰。
匯業律師事務所史宇航律師表示,根據《個人信息保護法》,企業處理員工個人信息,需要向員工告知處理目的、方式、種類、期限等(第17條),並獲取員工個人同意或是基於人力資源管理所必需(第13條)。但判斷離職很難被認定為人力資源管理必需。
史宇航強調,企業對流量的監控,首先應當告知員工,其次要獲得員工同意。如果企業做不到,那麼將構成違法處理個人信息,涉嫌侵犯員工的個人隱私權。