匿名发帖仍被找出,公司内网监控的边界在哪?专家这样说

南方都市报APP • 隐私护卫队
原创2021-01-12 20:50

近日,拼多多因一名员工在职场社交平台脉脉上匿名发帖被辞退登上舆论的风口浪尖。

拼多多回应称,因其他同事反馈,后询问本人,才了解到上述员工的真实身份。而根据脉脉的外显ID,拼多多找出该员工的既往言论,称这些言论属于“不良极端言论”且严重违反员工手册,遂决定与其解除劳动合同。

不过,对于此事的讨论并没有停息:拼多多如何根据外显ID找出员工的既往言论?公司内网的监测边界在哪里?以发表“不良极端言论”为由辞退员工是否合理?对此,隐私护卫队请教了多位专家,试图厘清事件背后的问题。

一问:

拼多多如何根据外显ID找出员工既往言论?

1月10日,当事员工、花名为“太虚”的拼多多前技术开发工程师在微博发布视频称,他7日因看到同事被抬上救护车,在脉脉上匿名发帖:第二位拼多多勇士倒下了,并配了一张救护车的照片而引起关注。

随后事件进一步发酵。太虚在视频中提到,8日下午,他被直系主管和两名HR谈话,并以“抹黑公司形象言论”“违反员工纪律制度”为由,要求主动离职。仅仅30分钟后,他就被迫收拾完个人物品,并被“赶出”了公司,员工账号也被封禁。

为什么匿名发帖仍被公司找出来?这一焦点引发网友关注。

对此,脉脉回应称,其严格遵循国家相关法律法规,不以任何形式向任何第三方提供职言区发帖用户信息,且对个人信息进行极为严密和完备的安全保障。为了保障发帖安全,职言通过非对称加密技术对用户的发布身份进行了严格的加密处理,即使是脉脉内部工作人员,也无法获取任何个人相关信息。

而拼多多在公开回应中表示,在问询于事发拍摄地路过的同事时收到反馈,高度怀疑太虚“在事实不清的情况下随意拍摄及匿名发布了有可能会对公司造成伤害的信息”。后来被公司HR和行政问询时,太虚承认自己进行了拍摄和发布。

拼多多还根据太虚在脉脉上匿名账号的外显ID,查出了他的既往言论作为辞退的理由。值得注意的是,拼多多是如何根据外显ID找到太虚曾发布的其他帖子?

高级安全顾问宋威对隐私护卫队解释说,如果发布者使用了公司的网络环境和终端设备,首先需要用键盘输入内容,点击发送后,该软件才会对内容采取加密等处理措施,然后通过网络传输到达目的地。

也就是说,如果终端设备装有监控软件,一旦在键盘输入了信息,系统应用通过接口传递给应用进程阶段,公司就能借助监控技术对内容进行捕获和分析。

而如果发布者使用的是自己的终端设备,但使用了公司的Wi-Fi,也可能在公司内网传输过程中被抓取。不过,宋威强调,在这种情形下,利用外显ID找出既往言论的前提是,该ID和言论没有采用数据级加密或采用容易破解的加密方式。

常规情况下,如果不想被公司“监控”,宋威提醒,发帖时要使用自己的终端设备(如手机)和自己的网络环境(如移动、联通提供的数据网络)。

网络安全专家、北京汉华飞天信安科技有限公司总工程师彭根对隐私护卫队表示,从命名方法及其他信息来看,外显ID对脉脉用户而言是唯一的。只要拼多多有网络数据采集类的设备且长期收集数据,且员工使用公司网络上网发帖,就能通过外显ID找到发帖员工的IP地址,进而找到该员工。

二问:

拼多多的行为是否侵犯员工隐私?

拼多多在回应中表示,锁定太虚的真实身份是依据其他同事反馈,后经询问本人确定其身份。在确定发帖者身份的情况下,根据外显ID找到他的既往言论。

有网友质疑,这种做法侵害员工的隐私:匿名信息是属于公开信息,还是个人信息?公司内网监测员工的边界在哪里?

北京清律律师事务所首席合伙人熊定中表示,询问同事得出的信息是太虚在场,“这个信息不是隐私”。而通过外显ID确定哪些言论是同一ID发布,这个推理获得的信息只是“这个ID下发布的言论都有哪些”,这不属于隐私范畴。

熊定中认为,匿名发帖功能本身也可能存在设计问题,即同一个匿名账号的外显ID是固定的。也就是说,只要有人从一个帖子里得知这个人是谁,就能顺藤摸瓜查到所有发言。

如果发匿名消息,是否真的能够“隐身”?这类消息是否属于个人信息?

北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括告诉隐私护卫队,目前网络平台采取的是实名制方式,即前台自愿、后台实名。即便是匿名消息,平台方也可以知道发帖人的真实身份。

他认为,对于平台而言,由于后台实名能对应到真实身份,这些内容属于发帖者的个人信息。而在匿名社区发表的公开言论,对于不知道该言论真正发布者身份的人来讲,这些内容一般不属于发布者的个人信息或隐私。

吴沈括表示,保护个人信息要求最大范围内的披露控制,而内容治理又要求能够有效归责到个人。这两者之间会产生一些潜在的规则冲突。

熊定中认为,单纯就技术而言,公司的内网监测有安全合理性,这是企业在明确告知员工的情况下,为了保障自己网络安全或者商业秘密而可以采取的技术措施。但通过这个措施去监控与前述目的不符的言论监控行为的话,它就超出了合理范围,将涉嫌侵权。

谈及公司利用内网监测员工的界限,吴沈括认为,在没有公共利益和安全必要、没有事先建章立制、没有和员工协议约定的情况下,公司不得以任何理由对员工在使用公司网络和设备的过程中进行秘密监控,否则涉嫌侵犯公民的隐私权和个人信息权益。

三问:

以发表“不良极端言论”为由辞退员工是否合理?

根据拼多多的公开回应,太虚并非因匿名发帖被辞退,而是因为其发布的既往言论——“把XXX骨灰都扬了”、“我现在就想XXX死”等被拼多多认为属于“不良极端言论”。公司人力资源部研判这些言论严重违反员工手册,太虚的极端情绪有可能对其他同事造成不可知威胁,所以决定与其解除劳动合同。

对此,熊定中对隐私护卫队说,目前并没有针对“不良极端言论”的判断标准,通常按照基本的公序良俗来判断。但客观讲,“我觉得这些发言离有违公序良俗,用以解除劳动合同相差甚远,可以劳动仲裁或司法机关评价为主”。

吴沈括则表示,《劳动合同法》中规定,严重违反用人单位的规章制度的,用人单位可以解除劳动合同。但用人单位做出的规章制度,也需要在劳动法和宪法范围内去做规定。

“极端言论也涉及言论自由的问题。”他强调,一般公司不会做出类似的规定。拼多多需要进一步说明,为何以发表极端言论为由,可以辞退员工。

采写:南都个人信息保护研究中心研究员 尤一炜 见习记者 孙朝

编辑:蒋琳

3
对这篇文章有想法?跟我聊聊吧
南都新闻,未经授权不得转载。授权联系方式:
banquan@nandu.cc,020-87006626。
文中提及