有些公司装监控软件,是为了看工时、网页、位置、排班。研究人员一抓网络流量,发现另一件事:数据不只给老板看,也在往第三方平台走。
哥伦比亚法学院 Center for Law and the Economy 高级研究员 Stephanie Nguyen 领衔的审查,看了9款 bossware:Apploye、Desklog、Hubstaff、Monitask、Buddy Punch、VeriClock、When I Work、Deputy、Time Doctor。样本里的9款,都向第三方平台共享了某些员工信息。接收方包括 Meta、Google、Microsoft,以及数据相关服务商。
边界要先说清:这不是说 Meta 或 Google 主动“偷”了员工数据。材料显示的是,职场监控软件把数据传给了外部平台。这个差别很重要。但麻烦也正在这里。
9款软件,全部出现第三方传输
这项研究的做法并不神秘。研究人员查看公开条款和隐私政策,又创建经理和员工试用账号,用开源工具拦截网络流量,看应用实际传了什么、传给谁。
信息压缩一下:
| 关键信息 | 研究看到的情况 |
|---|---|
| 样本 | 9款职场监控、排班、工时工具 |
| 结果 | 9款都向第三方平台共享部分数据 |
| 数据类型 | 姓名、邮箱、公司、IP、访问网页、在线活动等 |
| 接收方 | Meta、Google、Microsoft及数据相关服务商等 |
| 位置追踪 | 其中3款可追踪精确位置,甚至后台运行时也可追踪 |
| 覆盖规模 | 这些平台自称服务数十万工作场所 |
| 披露客户 | 包括 Amazon Ring、Ben & Jerry’s、Ticketmaster、Verizon、Tesla |
Deputy 对研究提出反驳。它认为研究混淆了官网上的 B2B 营销 cookie 和安全的员工应用,并称第三方关系限于支持平台交付、安全和可靠性的运营与基础设施提供商。
Nguyen 的回应也很具体:研究看的不是随便浏览官网,而是从访问 deputy.com 并点击登录开始的完整员工体验。研究者称,在使用应用时,姓名、邮箱、公司名等个人信息会发给第三方,不管使用者是员工还是老板。
争议就卡在这里:官网营销追踪和员工应用数据传输,边界到底怎么划。Deputy 认为研究归类有问题;研究者认为,员工实际登录和使用路径已经触发个人信息外传。
目前证据能支持的判断是:这9款样本显示,职场监控软件与第三方数据系统之间的连接比很多员工想象中更深。不能把它外推成所有 bossware 都如此。但也不能把它轻描淡写成“正常技术组件”。
受影响的人,不只是被老板盯着
员工最弱的地方,不是看不懂隐私政策,而是很难拒绝。
普通消费者不喜欢 cookie,可以关网页。员工面对雇主指定的软件,选择少得多。你可以知道自己在被记录工时,却未必知道邮箱、IP、网页访问、位置轨迹还会不会进入外部系统。
这对两类人影响最直接。
| 对象 | 现实影响 | 现在能做什么 |
|---|---|---|
| 被公司监控软件覆盖的员工 | 很难拒绝安装,也很难知道数据流向 | 问清公司用了哪款工具、收集哪些数据、是否共享给第三方、位置追踪是否限于工作时间 |
| 采购或管理团队 | 采购的不只是效率工具,也是在承担数据外传和员工信任成本 | 延后盲目采购;要求供应商列明第三方清单、数据保留期限、位置权限、员工端数据路径 |
对关注隐私、平台广告和劳动技术治理的人,这件事的信号也很清楚:职场数据正在成为一类更难被看见的数据源。它不像社交媒体数据那样公开,也不像消费者数据那样还有一点退出空间。它来自工作关系,带着工资、考核和岗位安全的压力。
“天下熙熙,皆为利来。”这句老话放在这里并不突兀。雇主要效率,软件商要增长,广告平台和数据服务商要更多可识别信号。缺少硬边界时,这几股力量不会自动克制。
我更在意的,不是某一款产品有没有坏心,而是激励太顺了。
研究者并没有证明这些数据已经被用于招聘、解雇、信用评估或广告定向。这里不能乱扣帽子。更准确的风险是:一旦员工身份、公司、行为、位置和网页活动被接入更大的数据链条,后续用途就可能超出员工当初理解的工作管理场景。
过去的监工站在车间门口。今天的监工可能藏在 SDK、cookie、API 和数据追加服务后面。不完全一样,但权力结构很像:被观察的人缺少议价权,掌握工具的人决定边界。
接下来要看三条边界
这件事不能只停在“软件有没有传数据”。企业软件确实会用第三方。登录、云服务、风控、崩溃分析,都可能需要外部组件。
真正该追问的是三条边界。
| 边界 | 该看什么 | 为什么重要 |
|---|---|---|
| 数据用途 | 第三方拿到数据后,只能做服务交付,还是可用于广告、分析、数据追加 | 决定数据是否离开工作管理场景 |
| 数据范围 | 是否收集精确位置、网页访问、在线活动;是否包含非工作时间数据 | 决定监控是否越过岗位需求 |
| 保留期限 | 数据保存多久,员工离职后是否删除 | 决定风险是否长期挂在个人身上 |
研究建议也围绕这几条线:明确禁止出售或共享员工数据给第三方;限制敏感数据收集,包括非工作时间的位置监控;限制 bossware 公司保留数据的期限。
这个建议不激进。它只是把劳动场景里最基本的隐私底线说出来。尤其在美国缺少全国性综合消费者数据隐私法的背景下,不能指望几页隐私政策自动解决问题。
管理者也该少一点“效率万能”的采购冲动。一个软件能不能提高排班和考勤效率,是一回事。它会不会把员工数据带出公司控制范围,是另一回事。后者一旦出事,成本会落回企业:员工不信任、合规审查、供应商切换、内部解释,都要付账。
员工能做的不多,但不是完全没有动作。最现实的做法,是把问题问具体:有没有位置追踪,后台是否运行,是否传给Meta、Google、Microsoft或数据服务商,是否有保留期限,是否能关闭非必要收集。
接下来最该观察的,不是又有多少公司采购 bossware,而是供应商会不会把第三方清单、数据用途和保留期限写清楚。写不清,就说明风险还在暗处。
问题不在监控软件能不能存在。远程办公、排班、工时记录确实有管理需求。问题是工作管理产生的数据,不能默认变成广告和数据经纪体系的入口。
老板看屏幕,平台看轨迹。职场监控真正危险的时刻,不是它开始记录你,而是记录离开工作场景之后,没人再说得清它归谁管。