Εκατοντάδες χιλιάδες χώροι εργασίας χρησιμοποιούν λογισμικό για την παρακολούθηση των εργαζομένων. τώρα, Νέα μελέτη Διαπίστωσα ότι πολλά από αυτά τα εργαλεία μοιράζονται δεδομένα όχι μόνο με εργοδότες, αλλά και με πλατφόρμες ψηφιακής διαφήμισης και μεσιτές δεδομένων.
Επικεφαλής της αναθεώρησης ήταν η Stephanie Nguyen, ανώτερη συνεργάτης στο Κέντρο Δικαίου και Οικονομίας στη Νομική Σχολή της Κολούμπια και πρώην επικεφαλής τεχνολογίας στην Ομοσπονδιακή Επιτροπή Εμπορίου υπό τη Lina Khan. Εξέτασα εννέα υπηρεσίες παρακολούθησης στο χώρο εργασίας (ή «λογισμικό») και διαπίστωσα ότι όλες μοιράζονταν ορισμένες πληροφορίες με πλατφόρμες τρίτων. Τα δεδομένα κυμαίνονταν από ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και ιστορικό ιστού και οι παραλήπτες ήταν το Facebook, η Google και η Microsoft.
“Το εντυπωσιακό μέρος αυτής της μελέτης είναι ότι κάθε πλατφόρμα, εννέα από τις εννέα εταιρείες λογισμικού, μοιράζονταν δεδομένα εργαζομένων με τρίτες εταιρείες. Κάθε μία από αυτές”, είπε ο Nguyen. Ακρη Σε μια συνέντευξη. «Αυτό με ξάφνιασε».
Επτά από τις εννέα πλατφόρμες — Apploye, Desklog, Hubstaff, Monitask, Buddy Punch, VeriClock και When I Work — δεν απάντησαν αμέσως με απάντηση. ΑκρηΑιτήματα για σχολιασμό. «Οι σχέσεις της εταιρείας με τρίτους περιορίζονται σε αξιόπιστες λειτουργίες και παρόχους υποδομής που υποστηρίζουν την παράδοση, την ασφάλεια και την αξιοπιστία της πλατφόρμας μας», δήλωσε ο Kieran Hill, επικεφαλής τεχνολογίας σε μια άλλη πλατφόρμα, το Vice, σε δήλωση. Ο Hill πρόσθεσε ότι το Vice έχει αυστηρούς ελέγχους απορρήτου και ότι οι ερευνητές «φαίνεται ότι έχουν συνδυάσει τυπικά cookies μάρκετινγκ B2B που βρίσκονται στον δημόσιο ιστότοπο της εταιρείας (όπως τα αναλυτικά στοιχεία διαφημίσεων) με την ασφαλή εφαρμογή υπαλλήλων μας». «Εξετάσαμε την πλήρη εμπειρία που θα είχε ένας εργαζόμενος από τη στιγμή που επισκέφτηκε», απάντησε ο Nguyen σε μια δήλωση vice.com Και κάντε κλικ στο «Σύνδεση». Αυτό που διαπιστώσαμε είναι ότι τα προσωπικά στοιχεία, συμπεριλαμβανομένων των ονομάτων, των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των ονομάτων εταιρειών, αποστέλλονται σε τρίτους όταν οποιοσδήποτε χρησιμοποιεί την εφαρμογή, είτε εργαζόμενος είτε προϊστάμενος.
Ο ένατος, ο Time Doctor, παρείχε πληροφορίες σχετικά με την κοινή χρήση δεδομένων μέσω του βοηθού AI, αλλά δεν έδωσε απάντηση από έναν άνθρωπο εκπρόσωπο. Οι πελάτες των εννέα πλατφορμών περιλαμβάνουν συλλογικά τις Amazon Ring, Ben & Jerry’s, Ticketmaster, Verizon και Tesla, σύμφωνα με τις δικές τους αποκαλύψεις. Μαζί, εξυπηρετούν «εκατοντάδες χιλιάδες θέσεις εργασίας σε δεκάδες τομείς», αναφέρει η έκθεση.
«Κάθε πλατφόρμα, εννέα από τις εννέα εταιρείες λογισμικού, μοιράζονταν δεδομένα εργαζομένων με τρίτες εταιρείες».
Για να μάθουν πού πηγαίνουν τα δεδομένα των εργαζομένων, οι ερευνητές εξέτασαν τις διαθέσιμες στο κοινό πληροφορίες, όπως τους όρους παροχής υπηρεσιών και τις πολιτικές απορρήτου, και δημιούργησαν λογαριασμούς δοκιμής στις εννέα πλατφόρμες τόσο για διευθυντές όσο και για εργαζόμενους. Παρακολούθησαν την κυκλοφορία του δικτύου χρησιμοποιώντας ένα εργαλείο ανοιχτού κώδικα που χρησιμοποιείται για να δει τι έστελναν και σε ποιες άλλες υπηρεσίες. Διαπίστωσαν ότι τα εργαλεία μοιράζονταν δεδομένα, όπως ονόματα εργαζομένων, διευθύνσεις email και εταιρείες, καθώς και πληροφορίες σχετικά με τις διαδικτυακές δραστηριότητες των εργαζομένων, συμπεριλαμβανομένων των διευθύνσεων IP τους και των ιστοσελίδων που επισκέφτηκαν. Η ανασκόπηση διαπίστωσε ότι τρεις από τις εννέα πλατφόρμες που αναλύθηκαν είχαν τη δυνατότητα να παρακολουθούν την ακριβή τοποθεσία των εργαζομένων, ακόμη και όταν η εφαρμογή εκτελούνταν στο παρασκήνιο.
Το Bossware εγκυμονεί κινδύνους ακόμη και χωρίς τη συμμετοχή τρίτων. Τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν για τη λήψη δυνητικά διακριτικών αποφάσεων ή για εσφαλμένες υποθέσεις — για παράδειγμα, λένε οι ερευνητές, συνάγοντας ανακριβείς λεπτομέρειες σχετικά με την υγεία και τη φυσική κατάσταση ενός εργαζομένου παρακολουθώντας την κίνησή του.
Η αποστολή αυτών των πληροφοριών σε τρίτους αυξάνει την πιθανότητα κατάχρησης. Οι ερευνητές επισημαίνουν τις υπηρεσίες «προσάρτησης δεδομένων», για παράδειγμα, οι οποίες μπορούν να συλλέγουν ανόμοιες πληροφορίες για ένα άτομο σε ένα κεντρικό προφίλ — συμπεριλαμβανομένου θεωρητικά ανωνυμοποιημένου υλικού. Προειδοποιούν ότι η προσθήκη λεπτομερειών του χώρου εργασίας στο μείγμα θα μπορούσε να βοηθήσει στη δημιουργία μιας «σκιώδους οικονομίας της φήμης των εργαζομένων» που ακολουθεί τους ανθρώπους πολύ μετά την εγκατάλειψη της δουλειάς τους. Μπορεί επίσης να βοηθήσει τρίτα μέρη, όπως οι διαφημιστές, να καταλήξουν σε συμπεράσματα σχετικά με το πόσο αποσπασμένοι είναι ή αν θέλουν να εγκαταλείψουν τον τρέχοντα εργοδότη τους.
«Οι εργαζόμενοι συνήθως δεν έχουν την ικανότητα να αρνούνται ουσιαστικά την παρακολούθηση».
Οι Ηνωμένες Πολιτείες εξακολουθούν να μην έχουν μια ολοκληρωμένη εθνική νομοθεσία περί απορρήτου δεδομένων για τους καταναλωτές, αλλά οι εργαζόμενοι θα μπορούσαν να είναι ιδιαίτερα ευάλωτοι. Ακόμα κι αν γνωρίζουν ευρέως ότι τα συστήματα τους παρακολουθούν, μπορεί να μην κατανοούν την έκταση της επιτήρησης, ούτε πού πηγαίνουν οι πληροφορίες. Μπορεί επίσης να μην μπορούν να το αποφύγουν. «Οι εργαζόμενοι συνήθως δεν έχουν την ικανότητα να αρνούνται ουσιαστικά την παρακολούθηση, να αλλάζουν εργοδότες ή να σταματήσουν να χρησιμοποιούν μια πλατφόρμα παρακολούθησης που εκδίδεται από τον εργοδότη χωρίς να διακινδυνεύουν τις δουλειές και τα προς το ζην», αναφέρει η έκθεση.
Προτείνουν μια λύση «φωτεινής γραμμής» σε αυτό το πρόβλημα: απαγόρευση κοινοποίησης ή πώλησης δεδομένων εργαζομένων σε τρίτους. Απαγόρευση της συλλογής ευαίσθητων δεδομένων σχετικά με τους εργαζόμενους, συμπεριλαμβανομένης της παρακολούθησης του ιστότοπου εκτός των ωρών εργασίας. Περιορισμός του χρόνου που οι εταιρείες κακόβουλου λογισμικού μπορούν να διατηρούν πληροφορίες. Προτρέπουν τις πολιτειακές και ομοσπονδιακές αρχές επιβολής του νόμου να εξετάσουν εάν η συλλογή και η αποκάλυψη ορισμένων δεδομένων εργαζομένων μπορεί να παραβιάζει τους υφιστάμενους νόμους περί απορρήτου της πολιτείας ή τους νόμους περί αθέμιτης πρακτικής όταν χρησιμοποιούνται με τρόπους που εύλογα δεν θα περίμεναν οι εργαζόμενοι. Επισημαίνουν ότι θα μπορούσε επίσης να παραβιάζει τον νόμο περί δίκαιης αναφοράς πιστώσεων, εάν χρησιμοποιηθεί για τη λήψη αποφάσεων πρόσληψης.
«Υπάρχουν κίνητρα για τους χώρους εργασίας να προσπαθήσουν να συλλέξουν αυτά τα δεδομένα και να τα πουλήσουν και να τα μεταπωλήσουν», είπε ο Nguyen. «Αυτό που συμβαίνει στην πραγματικότητα και ακολουθώντας αυτό το μονοπάτι, είναι μέρος αυτού που θέλουμε να συνεχίσουμε να εξερευνούμε».
