侵入性的、秘密的“博斯瓦”跟踪工作人员

2020-07-02 12:26:14

新冠肺炎推动了数以百万计的人在家工作,一大批提供跟踪工人的软件的公司已经涌入,向全国各地的雇主推销他们的产品。

这些服务听起来往往相对无害。一些供应商将他们的工具标榜为“自动时间跟踪”或“工作场所分析”软件。其他公司则向担心数据泄露或知识产权盗窃的公司进行营销。我们将这些工具统称为“BOSS WARE”。虽然Bossware旨在帮助雇主,但它通过记录每一次点击和击键,秘密收集诉讼信息,以及使用远远超出管理员工所需和比例的其他间谍功能,将员工的隐私和安全置于危险之中。

这是不对的。当家变成办公室时,它仍然是家。工人不应该受到非双方同意的监视,也不应该感到有压力在自己家里接受审查,以保住自己的工作。

博世通常生活在一台电脑或智能手机上,并有权访问该设备上发生的一切数据。大多数BOSS软件或多或少都会收集用户所做的一切。我们查看了营销材料、演示和客户评论,以了解这些工具是如何工作的。这里要列出的单个监控类型太多了,但我们将尝试将这些产品可以监控的方式细分为一般类别。

最广泛和最常见的监测类型是“活动监测”。这通常包括员工使用哪些应用程序和网站的日志。它可能包括他们发送电子邮件或消息的人-包括主题行和其他元数据-以及他们在社交媒体上发布的任何帖子。大多数BOSS软件还记录来自键盘和鼠标的输入级别-例如,许多工具提供用户输入和点击量的每分钟细目,将其作为生产力的替代。生产力监测软件将试图将所有这些数据组合成简单的图表或图形,让经理们对员工的工作有一个更高层次的了解。

我们看到的每一种产品都可以频繁地截取每个员工设备的屏幕截图,有些产品还提供直接的、实时的屏幕视频源。这些原始图像数据通常排列在时间线上,这样老板们就可以回顾工作日,看看他们在任何给定的时间点都在做什么。有几种产品还可以充当键盘记录器,记录员工的每一次按键操作,包括未发送的电子邮件和私人密码。有几个甚至让管理员参与进来,接管用户桌面的远程控制。这些产品通常不区分与工作相关的活动和个人账户凭证、银行数据或医疗信息。

一些老板软件甚至走得更远,深入员工设备周围的物理世界。为移动设备提供软件的公司几乎总是使用GPS数据进行位置跟踪。至少有两项服务-StaffCop Enterprise和CleverControl-允许雇主秘密激活员工设备上的网络摄像头和麦克风。

大体上,有两种方式可以部署BOSS软件:作为对员工可见(甚至可能由员工控制)的应用程序,或者作为员工看不到的秘密后台进程。我们调查的大多数公司都允许雇主选择以任何一种方式安装他们的软件。

有时,员工可以看到监控他们的软件。他们可以选择打开或关闭监控,通常被框定为“打卡”和“打卡离开”。当然,工人关闭监控的事实会让他们的雇主看到。例如,使用Time Doctor,员工可以选择从他们的工作会话中删除特定的屏幕截图。但是,删除屏幕截图也会删除关联的工作时间,因此员工只能在被监控的时间内获得积分。

员工可能会被授予访问收集到的有关他们的部分或全部信息的权限。WorkSmart背后的Crossver公司将其产品比作电脑工作的健身跟踪器。它的界面允许工作人员看到系统对他们自己的活动的结论,并以一系列图形和图表的形式呈现出来。

不同的老板用具公司向员工提供不同程度的透明度。有些公司允许员工访问其经理拥有的所有或大部分信息。其他人,如Teramind,表示他们正在打开并收集数据,但不会透露他们正在收集的所有信息。在任何一种情况下,用户通常都不清楚正在收集的确切数据是什么,而没有向其雇主提出具体要求,也没有对软件本身进行仔细的检查。

大多数开发可见监控软件的公司也生产试图对他们监控的人隐藏自己的产品。Teramind、Time Doctor、StaffCop和其他公司制造的BOSS软件被设计成尽可能难以检测和移除。在技术层面上,这些产品与跟踪器没有什么区别。事实上,一些公司要求雇主在安装产品之前专门配置杀毒软件,这样工人的杀毒软件就不会检测到并阻止监控软件的活动。

这类软件是为一个特定的目的而销售的:监控工人。然而,这些产品中的大多数实际上只是通用的监控工具。StaffCop提供了他们产品的一个版本,专门为监控孩子在家中使用互联网而设计,ActivTrak表示,他们的软件也可以被家长或学校官员用来监控孩子的活动。客户对其中一些软件的评论表明,许多客户确实在办公室之外使用这些工具。

大多数提供隐形监控的公司建议只将其用于雇主拥有的设备。然而,许多公司也提供远程和“静默”安装等功能,可以在员工不知情的情况下将监控软件加载到员工计算机上,而他们的设备不在办公室。这之所以有效,是因为许多雇主对他们分发的计算机拥有管理权限。但对于一些员工来说,他们使用的公司笔记本电脑是他们唯一的电脑,因此公司监控无时无刻不存在。雇主、校方和亲密伙伴滥用该软件的可能性很大。而受害者可能永远不会知道他们受到了这样的监控。

下表显示了一小部分BOSS软件供应商提供的监视和控制功能。这不是一个全面的名单,可能不能代表整个行业;我们查看了行业指南和搜索结果中提到的公司,这些公司拥有面向公众的信息营销材料。

根据这些公司的营销材料,介绍了几种工人监控产品的特点。我们调查的10家公司中有9家提供“静默”或“隐形”监控软件,这种软件可以在员工不知情的情况下收集数据。

工人监测业务并不新鲜,在全球大流行爆发之前就已经相当大了。虽然很难评估老板用具有多常见,但毫无疑问,由于新冠肺炎的原因,工人们被迫在家工作,这种情况无疑变得更加常见。拥有InterGuard的意识技术公司声称,在疫情爆发后的最初几周内,其客户群就增长了300%以上。我们看到的许多供应商在向公司推销产品时都利用了新冠肺炎。

世界上一些最大的公司使用的是老板用的餐具。HubStaff的客户包括Insta、Groupon和Ring。时代医生声称有83,000名用户;它的客户包括好事达、爱立信、威瑞森和Re/Max。ActivTrak被6500多个组织使用,包括亚利桑那州立大学、埃默里大学以及丹佛和马里布两个城市。像StaffCop和Teramind这样的公司没有披露他们客户的信息,但声称为医疗保健、银行、时尚、制造业和呼叫中心等行业的客户提供服务。客户对监控软件的评论提供了有关如何使用这些工具的更多示例。

我们不知道有多少这样的组织选择使用隐形监控,因为雇主自己并不倾向于做广告。此外,没有可靠的方式让员工自己知道,因为有这么多看不见的软件是明确设计来逃避检测的。一些工人签订了合同,授权进行某些类型的监控或阻止其他类型的监控。但对于许多工人来说,可能无法判断他们是否被监视。对于担心监控可能性的员工来说,假设雇主提供的任何设备都在跟踪他们,这可能是最安全的。

博士威尔供应商将他们的产品推向各种用途。其中一些最常见的是时间跟踪、工作效率跟踪、遵守数据保护法和防止知识产权盗窃。一些用例可能是正确的:例如,处理敏感数据的公司通常有法律义务确保数据不会从公司计算机中泄露或被盗。对于非现场员工,这可能需要一定级别的设备监控。但是雇主不应该为了这样的安全目的而进行任何监控,除非他们能证明这是必要的,相称的,并且是针对它试图解决的问题的。

不幸的是,许多用例涉及雇主对工人行使过大的权力。也许我们观察到的最大类别的产品是为“生产力监控”或增强的时间跟踪而设计的,也就是说,记录员工所做的一切,以确保他们足够努力。一些公司将他们的工具框定为对经理和工人都有潜在的好处。他们声称,收集员工一天中每一秒的信息不仅对老板有好处,据说对员工也有帮助。其他供应商,如Work Examer和StaffCop,直接向不信任员工的经理推销自己。这些公司经常建议将裁员或奖金与源自其产品的业绩指标捆绑在一起。

一些公司还将他们的产品作为惩罚性工具进行营销,或者作为为潜在的工人诉讼收集证据的方式。InterGuard广告称,它的软件“可以静默地远程安装,这样你就可以(对你的员工)进行秘密调查,并收集防弹证据,而不会惊动嫌疑的不法分子。”它继续说,这些证据可以用来对抗“不当解雇诉讼”。换句话说,InterGuard可以向雇主提供天文数字的私人、秘密收集的信息,试图消除工人对不公平待遇的法律追索权。

所有这些用例,即使是上面讨论的那些不太烦人的用例,都不能保证Bossware通常收集的信息量。而且没有任何理由隐瞒监视正在发生的事实。

大多数产品都会定期截屏,但很少有产品允许员工选择要分享的截图。这意味着敏感的医疗、银行或其他个人信息与工作电子邮件和社交媒体的屏幕截图一起被捕获。包括键盘记录程序在内的产品甚至更具侵入性,最终往往会窃取工人个人账户的密码。

不幸的是,过度收集信息通常不是偶然的,而是一种特征。Work Examer特别宣传其产品能够捕获私人密码。另一家公司Teramind会报告输入电子邮件客户端的每一条信息-即使这些信息随后被删除。几款产品还可以从社交媒体上的私人消息中解析出一串串文本,这样雇主就可以知道员工私人对话的最私密细节。

让我们明确一下:这个软件是专门为帮助雇主在员工不知情或未经他们同意的情况下阅读他们的私人信息而设计的。无论以什么标准衡量,这都是不必要的,也是不道德的。

根据美国现行法律,雇主在自己的设备上安装监控软件的回旋余地太大。此外,他们几乎不能阻止他们强迫员工在自己的设备上安装软件(只要在工作时间以外可以禁用监控)。不同的州对雇主可以做什么和不可以做什么有不同的规定。但针对侵入性监控软件,工人的法律追索权往往有限。

这种情况可以而且必须改变。随着州和国家立法机构继续通过消费者数据隐私法,它们还必须建立关于雇主的对工人的保护。要开始,请执行以下操作:

工具应该最大限度地减少它们收集的信息,并避免清理私人消息和密码等个人数据。

工人需要一项私人诉讼权利,这样他们就可以起诉违反这些法定隐私保护的雇主。

与此同时,知道自己受到监控的员工-并对这样做感到放心-应该与雇主进行对话。采用了BOSS软件的公司必须考虑他们的目标是什么,并且应该尝试以较少干扰的方式实现这些目标。博世软件经常激励错误的生产力-例如,强迫人们每隔几分钟就摇晃鼠标和打字,而不是阅读或停下来思考。持续的监督可能会扼杀创造力,减少信任,并导致倦怠。如果雇主担心数据安全,他们应该考虑专门针对真实威胁量身定做的工具,并将过程中捕获的个人数据降至最低。

许多员工会觉得说话不舒服,或者可能怀疑雇主在秘密监视他们。如果他们不知道监控范围,他们应该考虑到工作设备可能收集所有信息-从Web历史记录到私人消息再到密码。如果可能,他们应该避免使用工作设备做任何私人事情。如果员工被要求在他们的个人设备上安装监控软件,他们或许可以要求雇主提供一个单独的、专门针对工作的设备,这样私人信息就可以更容易地被隔离开来。

最后,在失业率创历史新高的时期,出于对继续受雇的担忧,工人们可能会感到不舒服,因为他们会直言不讳地说出自己被监视的情况。在侵入性的、过度的监测和失业之间做出选择根本不是一个选择。

新冠肺炎给我们大家带来了新的压力,很可能也会从根本上改变我们的工作方式。但是,我们不能让它开启一个更加无处不在的监测的新时代。我们比以往任何时候都更多地通过我们的设备生活。这使得我们有权对我们的数字生活保密--不受政府、科技公司和我们的雇主的影响,这一点比以往任何时候都更加重要。