一位网友近日曝光自己“前脚投简历,后脚被裁员”的故事后,引发网友热议:“原来你想走,领导都知道”“更新完简历,Hr看我的眼神就不对,原因找到了”……由此,一套神奇的“离职倾向分析”系统浮出水面。一石激起千层浪,“深信服”三个字也出现在公众视野中,这是一家拥有20多年发展历史的老牌IT公司,其官网显示售卖“行为感知系统”,可进行离职倾向分析,目前已被下架。
被质疑使用该系统的公司则公开否认,并称这种行为背离其价值观。
2021年11月1日,《中华人民共和国个人信息保护法》正式施行。在法律层面,互联网用户的信息愈加受到保障,公众的个人信息保护意识日益增强,但是在实践中,数据处理者与用户关系中找到平衡之道,可能是下一个待解难题。
“离职倾向”“摸鱼”逃不过监测。春节刚过,开工第一天,有网友就被裁。领导劈头盖脸一通骂后,他发现自己在上班时投简历被监测到,由此引发出了深信服的“离职倾向分析”系统。网上流传的一张后台图片显示,该系统可查看有离职倾向员工的详细情况,比如某员工访问求职网站23次,投递简历9次,含关键词的聊天记录254条。
根据公开报道显示,深信服官网一款名为“行为感知系统BA”的产品中曾披露的界面与网传页面高度相似,这套系统被官方形容为“上网行为管理的又一大颠覆式创新”,主要基于上网行为管理的海量上网日志,对用户行为特征进行深度建模分析,持续挖掘数据价值。该系统还可将离职倾向员工名单罗列而出,以“高危、疑似和可疑”等级别标注,因此每个想在上班时间“骑驴找马”的员工可能都被这套系统看得清清楚楚。
“离职倾向分析”又有何作用呢?官方的介绍是:“解决员工离职带来的泄密风险及岗位空缺风险”。深信服董秘蒋文光在给媒体的回应中确认“离职倾向分析”是系统中的一个功能。他还表示这是客户自己的行为,这个系统只是监测办公电脑和公司的内部网络,不会在互联网上监控员工的行为。此外,这套系统不止能分析离职倾向,也能分析员工怠工情况,员工在工作时间购物、聊天和打游戏等“摸鱼”行为,尽在公司的掌控之中。
通过流量分析,可监测出怠工情况最严重的部门名单和员工名单。在具体合作案例中,深信服展示了与光大银行深圳分行、新浪和华东师范大学使用该系统的情况。目前上述内容均被下架。
在中国政府购买服务信息平台上,近一年内可查到有两起相关采购公告,一则是《国家税务总局南通市税务局内网流量及行为分析设备电子卖场采购项目成交公告》,显示深信服行为感知系统成交金额为318000元,该项目为提升网络安全管理能力,加强内网行为和流量管控。另一则是《宁夏建设职业技术学院重要信息系统安全等级保护加固项目中标公告》,深信服该系统也中标,成交金额为102000元。
一位接近深信服人士告诉中国新闻周刊,这套产品主要面向对象是政府、学校和企业等单位,但据他所了解,这款产品价格不能算便宜,对一般单位和企业来说,负担不小,因此常出现在规模大一点的组织中。背后研发公司深信服陷争议。2018年5月,深信服在深交所挂牌上市,目前市值超过600亿,员工规模超过7000名,提供网络安全、云计算、IT基础设施与物联网的产品和服务。
财报显示,深信服全网行为管理产品自2009年至2020年连续12年在安全内容管理类别中持续保持国内市场占有率第一,2021年第一季度国内市场占有率排名继续第一。业内人士透露,深信服在国内网络安全市场位于第一梯队,上网行为管理产品并不新鲜,可以说是“老掉牙”的产品。
上述接近深信服人士梳理其产品脉络时谈到,为了数据不外传和网络权限分离,上网行为管理系统应运而生,该系统通过底层硬件采集数据,进行流量监测。而行为感知系统,是在采集数据后进一步加工分析形成报告,某种程度上属于升级产品。
行为感知系统中监测员工“摸鱼行为”和“离职倾向”算是一个“特色功能”。
根据公开信息显示,2018年,深信服申请了“一种员工工作状态监测方法、装置、设备及存储介质”,而这个专利和员工工作效率分析密不可分。赛迪网络安全研究所所长刘权指出,上网行为管理产品的前身是流量管理和泄密溯源产品,其初始主要功能是针对风险预防和应急反应,均属于网络安全业务范围。上网行为管理产品一方面一脉相承自上述网络安全产品,另一方面可以被企业应用于监控内部违规行为,因此网络安全公司也开展此类业务。
目前很多大型组织会在电脑及内部网络中配置此类工具,市场需求比较大。
但近两年深信服的财务情况不能称为理想,2021年中报显示,公司主营收入25.86亿元,同比上升48.26%;归母净利润为-13295.44万元,同比下降5.81%。
1月25日,深信服发布2021年度业绩预告称,其预计营收约为67.07亿元到68.16亿元,同比增长22.87%到24.87%;其归属于上市公司股东的净利润同比下降61.82%到70.22%,约为2.41亿元到3.09亿元。
对于大幅下滑的净利润,深信服解释称,一是营业收入增速较慢,网络安全产品和解决方案离真正满足行业客户群的真实需求存在差距;二是投入进一步加大,研发和营销等费用在快速增长;三是整体毛利率下降。此外,全球芯片供应紧张导致硬件采购成本上涨。
资深通信工程师袁博告诉中国新闻周刊,这种上网行为管理系统非常普遍,拿到销售许可证后方可进入市场。奇安信、天融信和360等公司都有类似产品,行业有发展空间,政府、企业更加注重网络安全,越来越多的玩家进入这个领域,竞争越发激烈。不可避免的,深信服会受到冲击。
个人隐私边界在哪里?根据中国信通院《中国网络安全产业白皮书》显示,2020年中国网络安全产业规模达到1729亿元,预计2021年会达到2002亿元。业内人士指出,现在网络安全市场增速很快,但也越来越“卷”,这种“离职倾向分析”就是一种体现。深信服在财报中讲到“网络安全业务并未构筑明显领先于同行的整体优势”。为了竞争,在没有技术优势的情况下,企业只能将系统做得越来越细。
针对近期所发生的“离职倾向分析”事件,接近深信服人士认为深信服只是做了采集数据和数据分析的事,至于怎么使用这个资源和结果,是使用系统的公司自己决定的。深信服无权过问。浙江晓德律师事务所主任陈文明告诉中国新闻周刊,网传监测员工的系统系深信服支持建设没有直接证据。如果深信服提供技术支持,也不一定就直接侵权,若企业在明确告知员工情况下进行监控并不违法违规。
但如果深信服明知企业偷偷监控员工隐私仍提供技术支持,那深信服可能存在共同侵权。
此前国美总部针对非工作流量信息进行统计排查后,发现部分员工工作时占用公司公共网络资源从事与工作无关事宜,玩电脑游戏、上网聊天等。国美根据规定,对11位“摸鱼”的员工进行了通报和相应处罚。当时,该事件也引发了网友的围观,曾有人质疑国美是否侵犯员工个人隐私。
刘权表示,《劳动合同法》第八条规定,用人单位对劳动者与劳动合同的相关信息具有知情权,用人单位在法定范围内获取劳动者的个人信息,具有法律上的正当性。但用人单位在获取上述信息的同时,也应遵守《民法典》《个人信息保护法》《数据安全法》关于个人信息和数据的相关规定。但由于边界尚未界定,因此可能在实际执行中出现一定的冲突。
他表示企业将数据安全技术用于员工离职分析及开除行为,有可能侵犯员工利益,这无疑是对《数据安全法》的曲解,也是对法律边界认识不清晰的表现。企业应当为正当权限设立合理的技术手段,不能借此侵犯其他法益。此次事件中,公司与员工在个人信息保护方面的协议目前并不清晰。段和段律师事务所合伙人刘春泉表示该事件很复杂,企业要根据劳动法,通过合法程序制定规章制度并告知员工。
在其同意情况下,可对员工在工作时间的工作电脑行为进行合理限度的监控,像深信服这样的企业要开发相关产品必须依照《网络安全法》和《个人信息保护法》等法律规定进行合规设计,否则一旦侵权,购买使用单位和开发单位可能都逃不掉法律责任。
近两年各软件、平台、企业利用大数据侵犯用户利益的行为屡见不鲜,人们对个人隐私事件十分敏感。公民隐私保护意识也在觉醒。
刘权指出,从利益、意识、技术能力等角度来看,数据处理者在认识上仍需进步。解决这一问题的根本途径在于平衡数据处理者和用户之间的关系,对不平等方予以进一步规范,在《网络安全法》《数据安全法》《个人信息保护法》的规划下注意平等关系,通过需求合理、先前授权等方式加强管理;并将数据处理的规范纳入技术框架,督促数据处理者担负起与其权利对等的责任,逐渐将数据治理行为前移。