上一篇關於遠端工作交換來的遠端監視一文引起了一些讀者的興趣,也收到許多讀者來訊提問。
顯然大家都痛恨被監視──不管合不合法,不管是否理所當然、不管知不知情,這種事不會有人覺得舒坦。這不只是工作產能問題,也不只是法律問題,而是心理問題。即使有人告訴你並沒有這回事,你可能還是疑神疑鬼。這就是監視文化的後座力,也是公司不一定會開誠佈公的原因。
本文將根據個人經驗、觀察以及相關媒體報導(文中均會附上出處供讀者查閱),盡力回應讀者提問。而在進入問答之前,我們都應該了解:不管監視的目的是監控員工的工作狀況、是改善產能、是防止駭客入侵還是防止内賊,其共通點都是對於數據盡可能「鉅細靡遺地全數收錄」。大數據的精神就是記錄一切,以作為未來決策的情資。有了數據,可以支持前述任何一項目的,至於實際要如何使用這份資訊,就要看公司的格局與文化。如果你使用的是公司電腦,你必須假設公司針對你的使用行為全數收錄──這是我所參考過所有媒體報導的共識。
此外當然要聲明一點,文中回覆部分為個人的合理推測,並非法律建議。畢竟各國各州的個資法都不同,因此若需要法律建議,請諮詢專家。
以下問答開始:
一、公司內部什麼層級以下會被監視?什麼層級以上是監視者?
疫情之前我很熟悉的一家公司因為開除一位資深總監而被告歧視。公司把他過去幾年所有的紀錄全部攤出來──包括 MSN 對外的不當言論,以及公、私所有 Email。這印證著資料都是「永續收錄」,需要用的時候就會拿出來。另外我也可以猜測,管理「人」的主管以下,都是被監視的層級,管理「公司」的則是監視者,應該是 VP 層級。當然監視者的一言一行也被記錄著,不同的是他們知道被全錄,所以謹言慎行。那位資深總監顯然不知道自己被全錄,才會提出這種必輸的告訴。這也印證著資料未必用做日常監視,但該用的時候就會拿出來。而且這不是這幾年才發生的新鮮事,只是疫情大大助長了監視文化。
二、被遠端監控的員工應如何自保?
針對這個主題,讀者們提出了 3 個相關問題,以下依照順序分享我個人的合理猜測:
1. 怎麼知道公司有沒有安裝監控軟體?
我一直是 Mac 使用者,對於 Windows 系統並不熟悉。如果是 Mac,《紐約時報》的建議是把所有執行中的軟體全部列出來用 Google 一一檢視──當然這個工作很艱辛,我的筆電即使是怠機都有 500 多個 process,不可能一一查證。不過你也可以過濾掉一些不相干的程式。
想要列舉出來,可以關閉所有其他軟體,然後循以下路徑:Finder → Application → Activity Monitor。
走到這一步,你應該可以看到所有「正在執行中的軟體」。問題是一下跳出 500 個 process,要怎樣才能知道哪些才是「頭號戰犯」?你可以選擇列出 “ Network ” 交通最繁忙的軟體,再查看 “ Sent Bytes ”,把數量最大的列在最上面,當然你也可以選擇 CPU%,後面的使用者帳號我會選擇 “ root ”。因為在 Unix 作業系統裡,root 有最高權限。如果監視軟體使用個人帳號當間諜,礙於權限,檔案只能存在個人檔案夾裡,那是不打自招,因為你也看得到。只有使用 root 才能放在你看不到的地方。
合理的推測是,如果有間諜正在收集資料,最可能的模式是不停把資料寫入一個臨時檔案,定時自動上傳到雲端。你要捕捉的就是外送到雲端的那一刻,也許是每 10 分鐘⋯⋯純粹是猜測,因為不清楚頻率所以不容易捕捉。用 CPU 因為瞬間變化很大,會更不容易捕捉。另外你也可以從 “ Disk ” 下手,把 Bytes Written 數量最高的抓出來──背後的合理猜測是收集軟體一直不停地抓資料寫進檔案中,到達一定的數量就會自動上傳雲端。「不停地寫進檔案」應該會在 Bytes Written 上留下痕跡。
如果嫌 process太多,又熟悉作業系統指令的話,可以開一個 terminal session(iTerm),輸入:ps -ef | grep /Application 的指令,這樣可以過濾大部分雜訊。當然前提是假設間諜軟體是安裝在 /Application 下,或至少跟 /System 無關。後者是作業系統的一部分,通常不會用來安裝第三方軟體。如果只鎖定追蹤前者,可疑程式就少了一大半。當然剩下的還是要一一查證。上百個 process 每一個都要到 Google 搜尋,一樣可以把你搞得精疲力竭。我用此方式找到一大堆可疑的 process,上 Google 查發現都跟「安全」有關,也許這就是監視的痕跡。
另外一個簡單的方法「或許」可以幫助判斷筆電是否被監視,那就是外接一個 USB drive,在個人 Documents 中挑一個檔案,用滑鼠拉過去過去看看會不會遭拒。如果遭拒,我的猜測是筆電可能已經安裝了監視軟體,不讓你把公司的資產拷貝出去。也就是資料只能進不能出──你可以删除、修改、在原地複製,但不能拷貝出去。通常這種限制不及於照片檔,所以不要拿照片來測試然後空歡喜一場。早期我試過用一般的滑鼠介面被拒,但潛入作業系統後台用指令拷貝,就可以騙過監視軟體。不過自從疫情之後,道高一尺魔高一仗,現在限制越來越多,也越來越困難,也許這都是一路學來的。這些軟體一直在進步,讓想揪出軟體的人們也得「和科技賽跑」。
2. 公司會偷偷把監控軟體裝到我的私人電腦嗎?
在美國很少有公司准許使用個人筆電,不是他們大方才發電腦給你,而是透過公司電腦,才方便管理與掌控軟體安全。矽谷主流科技公司甚至自行開發線上會議及私訊系统,一切都是為了管理與安全掌控。如果用的是自己的設備,雇主仍然「可以」安裝監控軟體──只要有明確的内規說明,公司就可以在與工作有關的私人設備上安裝監視軟體。這裡所謂的「設備」包括筆電、平板電腦與手機。
當然這又回到當初你簽署的那一大疊文件中,是不是有這樣的內規,如果有的話就談不上是「偷偷地」。
3. 若要防止公司的「合法監控」侵犯個人隱私,員工可以怎麼做?
我讀過的所有報導都提到:如果用的是公司電腦,就沒有侵犯個人隱私的問題,所以針對這個問題,最簡潔的答案是「沒有辦法」。《紐約時報》的報導中,有一句切中肯綮的話 :
When you use employer-owned equipment, it’s good to remember you don’t have a right to privacy.(當你使用雇主所有的裝置時,最好記得你沒有隱私權。)
不過疫情卻也帶來一些變數,那就是在家中使用公司的設備,公司是否有權監視?答案也是肯定的。到目前為止,美國聯邦法對於這一項完全沒有任何保護條款。公司可以「不限地點」監視你。
下一個變數是,如果在私人時間(比方週末)在家使用公司電腦是不是也可以監視?我個人相信週末使用公司電腦,公司仍舊可以收集資料,理由是電腦和資料都屬於公司資產,資產的擁有權不分時段。只是我也相信公司不會、也不能拿週末的行為作為證據,對員工做出不利的裁決(除非你洩漏機密,或破壞公司資料)。重點是,這一切不只是為了要了解工作表現,也是為了防「内鬼」。要抓內鬼當然不能分時段,只有朝九晚五才能抓──這純粹是普通常識判斷,我沒有找到法源依據。
在家工作受到監視的另一個後遺症是,萬一公司錄影、錄音而侵犯到家人隱私,這樣還合法嗎?目前我在相關報導中,還沒有看到明確的回答。我相信這是遊走在法律邊緣。法律准許雇主在工作場所全時錄影或錄音監視員工。但是疫情之後工作場所搬入家中,定義已經改寫──這是法律追不上現實的結果。民主和科技中心(Center for Democracy & Technology)的總裁便呼籲,這是勞資間嚴重的權力不對等,同時又沒有明確的法律可以保護,員工應該尋求修法保護自己。言下之意也就是現階段員工無法保護隱私。但我也相信除非已經有特定的可疑對象,公司不會啟動攝影和錄影,因為爭議性實在太大,一不小心就會觸法。雖然媒體上有打開攝影機與麥克風的報導,但我相信這是極端的案例。
至於保護個人隱私,我認為最廉價有效的方法,就是在攝影機上安裝一個拉門(擋板)。
三、文中提到「很多監視軟體都鼓勵公司告知員工他們被監視,並把監視的項目明列出來。但法律並沒有要求雇主必須告知。」不知矽谷企業在其他國家的辦公室也是如此嗎?
歐盟個資保護法(GDPR)「准許」雇主收集員工資料,先決條件是一切必須公開透明,員工也必須同意且知情。同意與知情兩者之間有很大的差距。美式的做法是只要簽了字就表示知情,但我們常常簽了字卻仍不知情,因為這裡往往暗藏著太多文字遊戲,簽字的時候根本來不及看、看不懂,或來不及吸收。GDPR 的規定是必須用淺顯易懂的白話「告知」。這裡的關鍵字在於 “ inform ”(告知)。美國通常不來這一套,簽了字就等於開了一張空白支票授權任他收集。GDPR 則規定收集內容必須全部條列出來,一旦滿足最基本需要就必須停止,不能過度收集。此外,已經收集的資料必須要設定消除日期。
相形之下,過去矽谷所有大型網站使用者資料的「消除鍵」全是一場騙局。那些都叫做「軟消除」,只不過是告訴你消除了,做個記號讓你看不見而已。資料永遠在那兒,在 AI 和數據價值眼裡你永遠存在,對駭客也是一樣。當然 GDPR 不吃這一套,要就玩真的,必須是「硬消除」而且是「瀑布式消除」,所有相關資料必須一掃而空,並溯及過去所有的拷貝版。但很不幸這只限於歐盟成員,同一個資料庫裡的非歐盟成員,仍然可以繼續被網站玩騙人的假消除遊戲。以上指的是「甪戶資料」,員工資料雖然尺寸小,複雜性低,但仍受到一樣的規範限制。
每一國的法律都不盡相同,而矽谷企業在其他國家的辦公室當然應該配合當地法律。但 GDPR 規定歐盟公民不受地點限制,無論在哪一國都受到歐盟法保護。這項保護跟人走。如果一個法國公民在美國公司的新加坡辦公室工作,到底個資法是沿用歐盟、美國還是新加坡?答案是無論在哪裡他都「應該」受到 GDPR 的保護。只不過這勢必會造成資料收集一國多制下無法想像的紊亂。我不相信間諜軟體收集前還先上員工資料庫查證國籍,再客製定出一套不同的收集規範,碰上歐盟公民還事先通知一聲⋯⋯我身邊有很多歐洲同事,從來沒聽他們被告知收集資料的事。所以法規法,執行歸執行。也許將來規範會更成熟,現階段我猜測在他國監控歐盟公民仍屬灰色地帶。
四、有讀者提到:公司擔心員工跨州上班會牽涉稅法問題,所以才需確認員工位置。
我不認為監視軟體會降級拿來記錄員工位置,更不可能「記錄員工位置」是使用監控的唯一理由。畢竟若要確認員工位置,公司的 VPN 就可以追蹤,根本不需要勞駕間諜軟體。當然公司也可以透過間諜軟體從 Wi-Fi 追蹤確切地點,不過不會是為了追蹤跨州上班,那個優先順序遠比不上其他的重要性。跨州上班在很多公司根本是員工自行申報。
五、多數員工都知道自己用公司電腦會一定程度被監控,但應該不清楚監控的範圍與程度?
同意,我也不清楚自己被監視了哪些,但很早就知道一直被監視著。媒體建議如果一定想知道可以直接問公司。不過還是那句老話,所有能收集的他們可能都會收集,數據就是資產。至於有多少會拿出來用在監視員工就不得而知了,一般只是為了產能分析──這個目的我絕對同意也支持。但資料一直在那兒,有特殊用處的時候一定拿得出來。所以我個人的哲學是:擔心不如隨性,大大方方我行我素。偶爾在上班時間上 YouTube 看看台灣新聞,若真有人那麼無聊監控我,說不定還可以趁機讓他學學中文。
當然如果正在閱讀這篇文章的你,實在不能忍受隱私受到侵犯,那就自備一台私人筆電吧。
【延伸閱讀】
●「撿到公安部門的辦案手冊」?中國大規模監控新疆穆斯林,APP 首度曝光
●遠端工作好自由?當心公司一直在監視你!身為上班族那些你(不能)不知道的事
※本文由換日線授權報導,未經同意禁止轉載
