记者/姜菁玲
编辑/文姝琪
陷入隐私争议的网络安全公司,股价已经集体回升。
数日前,一名网友匿名在论坛上指出,自己在公司的上网记录疑似被公司监控。刚投完简历,自己就收到了公司的精准裁员通知。而这套“监控”系统的提供商为深信服公司。
或受此消息影响,深信服(SZ:300454)股价持续下跌。2月14日,深信服盘中创下上市以来最低价每股142.66元,收盘价报每股144.50元,总市值跌至600亿元。2月17日,深信服股价延续下跌趋势,股价收盘报145.79元,相较于历史高点223.68,缩水近35%。
此外,类似的“员工监控”系统,其他网络安全公司如启明星辰(002439.SZ)、安恒信息(688023.SH)、奇安信(688561.SH)等公司亦有涉及,这些公司股价也随之下跌,2月17日当日,奇安信公司股价同样创下历史新低。
不过数日过去,影响似乎已经有所消退。截至2月21日午盘,网络安全公司股价开始略有回升。深信服股价小幅上涨1.17%,报147.26元;奇安信上涨3.54%,报69.38元;安恒信息上涨3.5%,报185.8元。
离职分析掀起隐私争议
在该匿名网友指控中,一张离职倾向分析平台的系统截图被广泛流传。
具体页面中,系统列出了不同员工的离职风险,有“高危”、“疑似”、“可疑”等不同等级,员工访问招聘网站次数、站内申请职位、搜索关键词以及简历投递次数等内容均可被查看,甚至连员工在招聘网站投递的简历都可以预览和下载。
一时间,网友对该系统对员工隐私的侵犯反应激烈,该事件因此迅速引爆社交网络。有大V发表观点称,监控员工违反商业道德,深信服及其客户应当停止使用这款产品。
舆论发酵后,2月15日,深信服官网将该产品介绍页面紧急下架。同时,相关客户宣传案例也被删除。
深信服一名销售人员对界面新闻记者介绍,离职倾向分析功能属于深信服上网行为感知系统当中的一部分,可以将系统所采集到的员工上网行为信息,进行简单建模分析。而上网行为感知系统通常是企业在布置企业专网时,就会同步设置,可以对员工的上网行为进行记录和备份。
深信服《全网行为管理系统用户手册》显示,离职倾向分析系统主要是根据用户简历投递、访问招聘网站次数、站内搜索关键字和站内职位申请的次数来判断用户离职风险倾向。
该系统的应用场景在于:为避免公司核心骨干员工突然离职对公司造成损失或者影响,离职倾向分析通过户的上网行为,提前识别出有离职倾向的员工,帮助企业管理员做好员工离职倾向的事前发现,并有效接入、减少公司损失。
人力资源专家谢秉航对界面新闻记者表示,出于保证团队稳定性的原因,离职预测分析在人力资源领域是一个常规工作,这是HRBP(人力资源业务合作伙伴)的职责之一。
谢秉航称,运用工具进行离职预测分析如今已经非常普遍,主要目前有两种具体操作方式:一是通过HR利用HR SaaS厂商所开发好的工具,抓取招聘平台的数据,“员工登录了、更新了简历、投递了简历、都被视为要找工作,就是想离职了。同时,HR也会自己在网上搜索,如果员工投简历没有屏蔽公司,会被搜到。如果屏蔽公司了,HR也可能换个其他公司账号来看”。
“另外一种,就是借助安装在工作电脑中的监控软件。”谢秉航表示,这类软件核心会监控关键词和文件两类信息,员工的上网浏览记录甚至聊天记录可能都在监控范围内。因此,员工一旦登陆招聘网站,通常都会预警给老板,员工在聊天中提及“介绍工作”等关键词也可能会被触发预警。
“员工监控”系统浮出水面
事实上,深信服此次事件并非被曝出“监控员工”的首例,提供“监控”系统的厂商也非深信服一家。
2021年11月,国美公司曾因监控并通报员工“摸鱼”行为而被推上热搜。彼时,国美内部发布的《关于违反员工行为规范的处罚通报》文件中清楚列明11位员工(包括一名外包员工)的姓名、办公楼层,并且明确统计了8月30日-9月3日期间,员工在不同App上的流量消耗情况,包括抖音、腾讯视频、网易云音乐、淘宝等等。
事后,国美集团在微信公众号上对外作出正式回应称,相关员工在工作时间从事的与工作无关事宜,已经远远超过劳逸结合的适当合理范畴,违反员工行为规范。
有安全行业业内人士向界面新闻记者透露称,国美内部用于监控员工的系统来自于另一家第三方安全厂奇安信。界面新闻记者向奇安信方求证,截至发稿并未收到回应。
根据上述深信服销售所介绍的情况,离职倾向分析只是其上网行为感知系统的一个很小的功能。其分析的数据主要基于系统对于员工上网行为的记录和备份。
一份面向政府单位的深信服官方产品介绍显示,在上网行为感知系统中,主要包括泄密追溯分析、带宽分析、办公网上网态势分析及工作效率等功能,可针对员工工作效率低、网络带宽拥堵、上网出现违规行为等问题可以进行管控和追溯。
国美用于获取员工是否摸鱼的证据,应当是使用了系统中“工作效率”的功能。该功能中,管理者透过系统平台,可以在后台查看员工的上网记录,直观从数据上了解不同员工在什么时间段做了什么,如聊天、看视频、购物、炒股等。
除此之外,这套系统还可以在办公环境下直接限制员工可访问的网站和应用,对流量进行管控。比如,针对影响工作效率的应用:新闻网站、 IM聊天软件、视频网站等进行封堵与控制。
并且,针对用户访问网站、外发邮件、微博和论坛发帖、IM(QQ,MSN)聊天内容等行为进行监管和行为记录。一旦出现违规行为,能够快速定位身份,根据上网痕迹提取有用信息进行溯源举证。
公开资料显示,除深信服以外,多家安全厂商也提供类似服务,如奇安信-U(688561.SH)、启明星辰(002439.SZ)、安恒信息(688023.SH)等。
深信服销售人士对界面新闻透露,上网行为感知系统的售价取决于客户需要的带宽和终端数量,总体价格在几万到几十万不等。深信服财报当中并未涉及该产品的具体销售明细,不过这一产品所归进的企业级网络安全业务是深信服业务占比最高的业务。财报显示,2020年,深信服网络安全业务带来的营收约为33.49亿元,占比达61.35%。
2021年半年报中,深信服曾表示,其全网行为管理产品自2009年至2020年,连续12年在安全内容管理类别中持续保持国内市场占有率第一,2021年第一季度国内市场占有率排名继续第一。
合规与隐私如何平衡?
此次舆论事件发酵过程中,深信服董秘蒋文光曾对外回应称,行为感知系统并不是最近上市,工作效率分析、离职倾向分析都是产品的一个功能,系统的重点是泄密追踪分析,帮助政企用户管理内部威胁。
深信服销售告诉界面新闻记者,行为感知系统用户范围广泛,很多客户购买的驱动因素主要出于合规需求。“很多公司都会搭建企业专网,根据监管的要求,企业需要对员工在企业专网下的上网行为负责,进行一定程度的审计,承担合规责任。”
公安部82号令《互联网安全保护技术措施规定》,提供互联网上网服务的单位,需要安装并运行互联网公共上网服务场所安全管理系统,联网使用单位要落实安全保护措施,其中包括在公共信息服务中发现、停止传输违法信息,并保留相关记录。企业作为网络提供者,需要遵守上述规定,落实相关义务。
例如,在酒店网络环境中,根据公安部82号令,要求酒店中每一个房间都必须划分VLAN,而且报文必须携带VLAN号以进行上网监控。管理员需要对每间客房、办公区都单独划分VLAN,来保证信息安全与可控。
“所以行为感知系统不可能永久下架,最多可能离职分析这个功能会被取消”,该销售称,出于监管要求,通常企业在布置专网的时候,就会考虑安全设施,比如行为管理系统。
一方面是出于监管要求的必要设施,一方面是公众对于隐私敏感程度的日渐上升以及信息保护的法律法规不断完善,问题在于,企业在收集和留存工作环境的需求中,员工隐私的边界在哪里?
世辉律师事务所合伙人王新锐对界面新闻记者表示,由于员工的网络行为数据并非全部与其工作职责有关,其中与公共职责无关的事项属于其享有隐私权的范围。其认为,未经员工授权,收集员工网络行为数据进行分析,可能侵害员工的隐私权。
而工作环境下员工行为的隐私应当如何界定,王新锐认为,员工在公司环境下上网行为是否构成个人隐私,首先取决于这类行为数据是否与员工的职责有关,若有关,则属于与他人权益或公共利益有关的数据,不构成个人隐私的范围;若判断是否与公共职责有关存在难度,更为明确的标准是,对这类数据的收集和使用是否告知员工,对员工的告知将建立员工对于其网络行为数据被监控的预期。
“我们理解,是否构成隐私与自然人对于所处环境(包括网络空间)的私密性期待有关,因此,若提前告知员工公司将基于管理需要,对员工上网行为进行统计,则此时员工的网络行为数据被认定为隐私的可能性会降低。”
从合法与否的角度看,处理员工个人信息可以基于以下两种合法性基础,一是基于取得个人同意的合法性事由,二基于“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”这一《个人信息保护法》下另一条常用的个人信息处理合法性事由。也就是说,如果企业处理员工个人信息符合人力资源管理所必需的情形,则处理员工个人信息无需征得其同意。
因此,王新锐认为,收集员工信息是否合规的边界在于公司是否将出于管理目的处理数据这一行为提前明确地告知员工、将这类数据处理行为在劳动规章制度或集体合同中进行约定,若没有进行以上合规操作,则可能构成违法行为。
王新锐表示,如果公司违规处理员工个人信息,则员工可以向网信部门进行投诉、举报,或依法申请劳动仲裁,来保护自身权益。