监控还是侵权 上网行为管理产品该如何使用（转帖）

2022-07-15 26

阅读提示：上网行为管理产品从技术的角度来看，可以帮助企业实现对内部网络中的违规行为进行管理和监控，是否侵犯员工隐私，产品或解决方案本身并不能判断，而取决于企业如何使用上网行为管理产品。...

李萍是一家IT公司的行销经理，每天都会和客户在MSN上联系。渐渐的，她已经习惯了用MSN交流代替电话和见面沟通，有时候连中午叫同事一起吃饭也是通过MSN联系。一天，李萍的msn上收到了这样一个提示：您的联系人已经开启加密聊天功能，您是否也开启此功能，防止来自网络的偷窥行为? 原来，李萍的朋友安装了一种叫做MSNShell的软件。如果聊天的双方都安装了MSNShell并开启加密功能，则双方自动交换公匙，就会对聊天内容进行加密，即使数据被别人拦截到看到的也不过是一堆乱码而已。

出于对自身安全和提高员工工作效率的角度考虑，有些企业的管理者在企业内部电脑上安装了“员工上网行为管理”类产品，监控员工的一举一动。从即时通讯的聊天记录到电脑的每一次操作，甚至连电脑的鼠标什么时候动了一下都可以监控，监控软件可自动生成文件日志发送给企业负责人或者网络管理人员。

监控还是侵权

自己在即时通讯工具上的聊天记录有可能被监控，李萍并不是很在乎。她说，我从不用办公电脑聊私人的事情，没什么可怕的。在一家生物芯片公司工作的张小姐也持这种态度，她所在的公司没有对员工实行上网行为监控。张小姐认为，用公共资源干私人的事情，本身就是对你自己隐私权的不尊重，因此企业的这种行为没有侵犯员工权利。她说，员工在上班时是没有私人时间的，公司提供的资源是为了让员工更好的工作，而不是用来做私人事情。上网行为监控，支持者众多，反对者也不少。

反对者认为，“监控”意味着公司对员工的不信任，公司此举不可能博得员工的好感，员工对公司的信赖程度自然也会下降。即使员工顶住了监控的压力，员工灵感也会受到限制。限制上网并不能提高工作效率，治水之道在于疏不在于阻。有时间上网做私事，是工作分配不当，人力资源利用不当，要担心的是改变公司制度而不是在这种表象上作动作。罗俊曾经在一家公司做过网管，提起对这件事的态度，他说，“当时我们公司还是比较人性化的，没有使用这类的产品，毕竟人不是机器。”

谁来约束CIO

莉莎是上海一家银行的员工， MSN是莉莎常用的一种聊天工具，某天工作间隙，她和男友在MSN上聊了一会。谁知道第二天，她和男友聊天的私房话竟然成了同事之间的流行语！当莉莎闯入技术部，看到技术部6名员工办公桌上的电脑里是其他员工用MSN聊天的完全显示。与银行交涉时，银行值班主任解释说，没有任何证据表明，是技术部的同事泄漏了她与男友的对话。面对银行的“理直气壮”，莉莎愤怒不已，愤然辞去了月薪3万元的工作。一些企业通过企业内部安全控制，可以带来工作效率的提高。但监控员工上网行为的同时，谁来对网络管理员和CIO进行约束？

盛邦（中国）法律顾问有限公司首席律师于国富告诉记者，如果网管人员或者技术部门主管在非履行职务的情况下监控了他人的电脑或传播了他人的通信秘密，应当自行承担侵权责任。独立信息安全咨询顾问车建君博士认为，从企业的管理层来讲，应该做到聪明的管理，较早就是做到事前通知，并且纳入到企业的规章制度里去，形成相应的协议。第二是在具体操作的时候，企业要规范自己的IT控制部门，在实施的时候按照一定的规范去操作，而不是滥用自己对网络管理的权利去做一些超出网络管理员职责范围的事情，这样实际上变成了一种黑客行为和损害他人利益的行为。

没有隐私权只有名誉权

一方面，企业为维护自己的利益对员工的上网行为进行监控。一方面，我国对隐私权的保护正处于一个灰色地带，没有明确的法律条文对隐私权进行法律保护。法律专家指出，在劳动领域内，对雇主的秘密信息，国家制定了很多保护手段，如商业秘密法、知识产权法，另一方面，劳动法只规定了劳动者损害雇主秘密信息权利的法律后果，而对劳动者隐私权的保护，法律却规定甚少，由于雇主处于强势地位，可凭借其雄厚的经济基础和优势地位侵犯劳动者的隐私权。同时，由于我国现行有关立法对隐私权的独立地位未予确认，实践中通常把侵害隐私的行为作为侵害名誉权处理。在我国的法律法规中，个人隐私权是与名誉权挂钩，需造成一定影响后，才能追究其责任。于国富律师表示，公民的通信自由和通信秘密受法律保护，这是宪法中赋予公民的权利。如果通信自由、通信秘密经常受到他人监控或传播的话，公民将无任何隐私和秘密可言，这是非常危险的。

如果由于岗位或工种的特殊性质，为了公共利益或安全考虑，必须要进行监管的电脑，单位已经告知电脑使用人这一监管的存在，而使用人还用该电脑进行私人通讯的，单位不应当对私人通讯监管行为承担违法责任。但是，即使在这种情况下所监控到的个人通信信息，单位也不能够对外泄露或传播，否则，就侵犯了个人的通信秘密。

产品本身也需要安全

从员工行为管理系统部署形式来看，目前市场上的同类产品主要采用串接（Pass through）或旁路（Pass by）两种方式。Pass through本身又包括网关和网桥两种具体部署方法，以网关模式部署，能够实现网关设备的基本功能，如NAT、路由甚至防火墙等，但是缺点也很明显：产品部署会影响用户网络，而且安装配置复杂，同时增加了用户网络上的单点故障风险；以网桥模式部署的优缺点与网关模式基本相同，但实现的功能要少于网关模式。

Pass by是目前大部分同类产品采用的部署方式，由于其部署实施很简单，不会影响用户网络，维护与管理都相当轻松，因此可以在保障足够的系统性能前提下提供给用户更深入的功能体验，如高速、完善的报表系统、精准、细粒度的上网行为管理等。相比其串接方式而言，旁路的系统本身即使出现问题，也丝毫不影响用户网络的使用。8e6科技公司大中国区行销经理蔡嘉翎说，在美国对于内容审计的部分，在事先取得员工的同意下，大部分公司都采取措施对员工的邮件、IM聊天等在线行为进行监控。一般来讲美国公司对员工上网行为的监控偏重于实时的行为管理和行为审计，对于内容审计则涉及不多，这也是出于对员工隐私保护这一敏感话题的考虑。蔡嘉翎表示，上网行为管理产品本身也需要安全，通常采用系统用户管理等类似的机制来实现。

无论如何，上网行为管理产品从技术的角度来看，可以帮助企业实现对内部网络中的违规行为进行管理和监控，是否侵犯员工隐私，产品或解决方案本身并不能判断，而取决于企业如何使用上网行为管理产品。