来源:theinformation
编辑:LRS
【新智元导读】/strong>谷歌一直以「不作恶」自居,但最近的一个案子把谷歌监控员工的事推向了风口浪尖。谷歌通过电脑监控发现员工访问了不该访问的内容,还发起请愿书,就开除了其中的两人。这件事引起谷歌相关员工的极大不满,并和谷歌对簿公堂:你说不作恶,完全被你骗了!
当谷歌想知道谁访问或泄露了敏感的公司信息时,公司通常会把目光集中在那些想要离职的员工身上。据一位直接了解该公司策略的人士透露,该公司的安全团队曾经对搜索「COBRA 健康保险开销」内网的员工进行了标记。COBRA (Consolidated Omnibus Budget Reconciliation Act)健康保险即「综合预算和解法」,它的作用就是在员工离职后仍然能够在限定的时间为自己或家人继续购买保险,所以说搜索COBRA 保险的员工极有可能在之后离职。这位知情人士说,起草过辞职信或协助其他人离职的员工也会面临类似的审查。据了解这些做法的现任和前任员工称,该公司甚至还调查了谁在运行加密消息服务的同时在工作设备上截图。大量将数据传输到USB存储设备和使用第三方在线存储服务也会引起谷歌安全部门的关注。诚然,谷歌通过互联网搜索入口和手机系统已经对公众的习惯进行了全方位的监视,但该公司也通过广泛的数字监控技术工具密切监视员工,谷歌甚至将其中一些工具卖到公司外部,以便其他人可以使用。但谷歌发言人曾公开表示,谷歌遵守严格保护用户和客户数据以及敏感IP和商业秘密的安全政策,并且不监控,也不想监控员工的个人设备上的数据或活动。但美国法律赋予了他们监控员工的权利,从记录击键到抓屏,再到查看电子邮件都是合法的,并且一些公司还被强制要求监控员工,例如,许多金融服务监管机构要求证券公司记录员工与交易活动有关的电话交谈、电子邮件和聊天记录,以避免潜在的市场操纵。硅谷公司通常不受这种严格监管的约束,但这些科技公司的老板显然也很关注于使用数字监控工具,以避免员工手中的知识产权、客户数据和其他机密信息的丢失或滥用。违反这些规定的员工可能会被雇主解雇、纪律处分和起诉。苹果公司CEO库克最近就在一封电子邮件中警告全体员工,公司正在尽全部力量找出泄露信息的人。今年早些时候,亚马逊也在送货车上安装了摄像机,防止驾驶员分心驾驶、尾随和其他不安全行为。ZL科技就是一家帮助老板监测泄漏问题的数据管理公司,ZL的CEO 表示,你做的每件事都会留下痕迹,若要人不知,除非己莫为。多年来,谷歌也一直在监视员工,但最近谷歌突然成为了公众关注的焦点。上个月,美国国家劳动关系委员会(National Labor Relations Board)针对谷歌提起的一项诉讼开始了一场审判。在该诉讼中,联邦机构指控谷歌非法监视并解雇了其中几名激进分子(activism)员工。谷歌解雇了其中两人Sophie Waldman和 Paul Duke ,原因是他们在2019年访问了与美国海关和边境保护局(U.S.Customs and Border Protection)工作相关的文件,并在一份旨在阻止谷歌与该机构签订即将到来的合同的请愿书中与其他谷歌员工分享了这些文件。其他参与NLRB诉讼的员工表示,获取这些文件很容易,如果谷歌不想让别人看,直接设置为所有员工不可见就好了。谷歌对Waldman和Duke的调查似乎并不涉及复杂的技术,公司通过其数字记录发现,这两人曾参与创建和分发一份请愿书,该请愿书与他们通过Moma访问的包含客户信息的文件相关联。谷歌前雇员和NLRB的律师在法律文件中表示,他们的行为是出于互助目的的受保护活动,谷歌有选择地惩罚了他们。并且这些员工遵守了谷歌行为准则中的一项指令,即如果他们看到自己认为不对的事情,就大声说出来。据Duke称,谷歌在2019年改变了员工信息政策,扩大了员工可能因访问而被解雇的内部信息的范围,此举似乎是为了防止员工抗议未来的项目。但谷歌表示,「强烈」不同意他们的说法,公司认为根据调查结果显示,他们参与「系统地搜索其他员工的资料和工作,包括分发机密业务和客户信息」。但这句话恰恰印证了谷歌使用工具来监控员工,NLRB 相关的前员工表示,他们之所以来谷歌,正是因为谷歌的口号「don't be evil」,并且能够在公司内网看到其他人在做什么。华盛顿大学的历史教授认为,谷歌不仅仅是一家公司,而且是一个家庭,这个身份让谷歌成为一个比其他人都好、一个更适合工作的地方。当你拿到一定量的信息后,所有的秘密都不能共享,否则就是「背叛」。谷歌的员工行为准则也时刻在提醒员工,如果有业务需要或为了保护其资源和财产,谷歌可能会监控、访问或共享员工的通信和其他信息,以调查涉嫌的不当行为。用来捕捉内部威胁的许多工具也有能够用于检测网络攻击、知识产权盗窃和国家相关的攻击行为。因此,当员工违反谷歌的规则时,他们有时会求助于一些技术手段以避免被发现。并且有谷歌相关的离职员工拒绝在安卓手机上与记者交谈,而是坚持让记者更换iPhone后再谈。谷歌已经开始与其他公司分享更多的内部安全和监控工具。2010年,谷歌宣布检测到一次源自中国的复杂攻击,导致谷歌知识产权被盗。此后,谷歌的工程师开始开发一个事件响应系统,该系统后来以开源软件的形式发布。该软件被称为Grr快速响应(Grr Rapid Response),让公司能够同时访问并定期扫描数万台工作机器上的数据。据了解该项目实施情况的人士称,从那时起,Grr已从最初的重点关注检测恶意软件和其他网络攻击发展到不同形式的员工监控。谷歌自己也使用这个工具来抓捕未经许可共享机密信息的人。例如,当2015年谷歌即将推出的一款新产品截图被泄露时,该公司的安全工作人员能够使用Grr识别出哪个员工的电脑曾进行截图。据相关员工说,该工具帮助谷歌安全团队获取图像的元数据,以确定图像显示的大小、屏幕分辨率以及设备上使用的颜色配置文件。谷歌确认了一名涉嫌泄露信息的员工,并解雇了该员工。如今,科技行业的其他公司也在使用该系统。Spotify的一位发言人说,Spotify以前在安全调查中使用Grr,但现在不再使用。与此同时,谷歌最近在其广受欢迎的商业在线应用套件Workspace 中增加了一些功能,旨在阻止员工试图在雇主系统之外泄露公司信息。谷歌今年早些时候改变了Workspace ,允许雇主阻止用户将聊天日志、文档和其他数据从工作账户复制到个人谷歌账户。「泄露」一词是一个两极分化的词,在一些圈子里被视为一种表达方式,它使在公司外部共享机密数据的行为失去了合法性。在某些情况下,发布这些信息的人更喜欢「告密者」这个词,这表明他们在揭露雇主的不法行为。据《纽约时报》报道,今年早些时候,有人匿名向美国证券交易委员会(SEC)提交了一份针对谷歌的正式举报投诉,指控谷歌可能欠临时员工1亿美元的欠薪,但目前还不清楚此人是否是谷歌员工。但谷歌和其他科技公司使用的员工监控策略的捍卫者表示,这些工具对于防止商业秘密的破坏性损失至关重要。2016年,Anthony Levandowski离开了谷歌的自动驾驶汽车部门Waymo,在Uber 开始了一项新的工作。后来谷歌起诉Uber和Levandowski窃取商业机密,并出示记录,显示他在离开公司前已将数千份谷歌机密文件下载到个人笔记本电脑上。Levandowski后来在一个相关的刑事案件中认罪,被判入狱18个月。尽管如此,监控员工仍然是一种平衡行为,一把双刃剑,虽然可能会影响员工的信任,但也可以阻止公司的秘密泄露。
参考资料:
https://www.theinformation.com/articles/how-google-spies-on-its-employees?rc=epv9gi
![]()
