Phần mềm giám sát nhân viên đang bí mật chia sẻ dữ liệu với Meta và Google

Hàng trăm nghìn nơi làm việc trên toàn cầu hiện nay đang sử dụng các phần mềm để giám sát nhân viên. Tuy nhiên, một nghiên cứu mới vừa được công bố đã hé lộ một thực tế đáng báo động: nhiều công cụ này không chỉ gửi dữ liệu về cho người sử dụng lao động mà còn chia sẻ chúng rộng rãi với các nền tảng quảng cáo số và các môi giới dữ liệu (data brokers).

Giám sát dữ liệu

Nghiên cứu do Stephanie Nguyen, nghiên cứu sinh cao cấp tại Trung tâm Luật và Kinh tế của Trường Luật Columbia và là cựu giám đốc công nghệ của Ủy ban Thương mại Liên bang Mỹ (FTC), dẫn đầu. Báo cáo đã kiểm tra chín dịch vụ giám sát nơi làm việc (thường được gọi là "bossware") và phát hiện rằng tất cả chín dịch vụ này đều chia sẻ một phần thông tin với các nền tảng bên thứ ba.

Dữ liệu bị chia sẻ rất đa dạng, từ tên và địa chỉ email cho đến lịch sử web của người dùng. Các bên nhận dữ liệu này bao gồm những tên tuổi lớn như Facebook (Meta), Google và Microsoft.

"Điểm đáng kinh ngạc trong nghiên cứu này là mọi nền tảng, cả chín công ty bossware, đều chia sẻ dữ liệu nhân viên cho các công ty bên ngoài. Mọi cái một," Nguyen chia sẻ trong một cuộc phỏng vấn. "Điều đó thực sự khiến tôi bất ngờ."

Dữ liệu chảy về đâu?

Để xác định dữ liệu của nhân viên được gửi đến đâu, các nhà nghiên cứu đã xem xét các thông tin công khai như điều khoản dịch vụ và chính sách quyền riêng tư, đồng thời tạo tài khoản dùng thử trên cả chín nền tảng cho cả quản lý viên và nhân viên. Họ sử dụng một công cụ mã nguồn mở để chặn và phân tích lưu lượng mạng, xem dữ liệu đang được truyền đi và đến dịch vụ nào.

Kết quả cho thấy các công cụ này chia sẻ dữ liệu bao gồm tên nhân viên, email, tên công ty, cũng như thông tin về hoạt động trực tuyến của họ, bao gồm địa chỉ IP và các trang web họ đã truy cập. Ba trong số chín nền tảng được phân tích thậm chí có khả năng theo dõi vị trí chính xác của nhân viên, ngay cả khi ứng dụng đang chạy ở chế độ nền.

Trong số các khách hàng sử dụng chín nền tảng này có những cái tên lớn như Amazon Ring, Ben & Jerry’s, Ticketmaster, Verizon và Tesla. Theo báo cáo, các công ty này phục vụ "hàng trăm nghìn nơi làm việc trong hàng chục lĩnh vực".

Phản hồi từ các công ty

Bảy trong số chín nền tảng — bao gồm Apploye, Desklog, Hubstaff, Monitask, Buddy Punch, VeriClock và When I Work — đã không phản hồi ngay lập tức yêu cầu bình luận từ The Verge.

Tuy nhiên, Ciaran Hale, giám đốc công nghệ của nền tảng Deputy, cho biết trong một tuyên bố rằng các mối quan hệ bên thứ ba của công ty "chỉ giới hạn ở các nhà cung cấp vận hành và cơ sở hạ tầng đáng tin cậy hỗ trợ việc cung cấp, bảo mật và độ tin cậy của nền tảng". Hale khẳng định Deputy có các kiểm soát quyền riêng tư nghiêm ngặt và cho rằng các nhà nghiên cứu "dường như đã nhầm lẫn các cookie tiếp thị B2B tiêu chuẩn trên trang web công ty của chúng tôi (như phân tích quảng cáo) với ứng dụng nhân viên bảo mật của chúng tôi".

Trước phản hồi này, Nguyen đã phản bác: "Chúng tôi đã xem xét toàn bộ trải nghiệm mà một nhân viên sẽ có từ lúc truy cập deputy.com và nhấn 'Đăng nhập'. Những gì chúng tôi tìm thấy là thông tin cá nhân, bao gồm tên, email và tên công ty, đang được gửi đến các bên thứ ba bất cứ khi nào ai đó sử dụng ứng dụng, dù họ là nhân viên hay sếp."

Nền tảng thứ chín, Time Doctor, chỉ cung cấp thông tin về việc chia sẻ dữ liệu thông qua một trợ lý AI chứ không phải người phát ngôn.

Rủi ro của "Nền kinh tế danh tiếng nhân viên"

Bản thân phần mềm giám sát (bossware) đã tiềm ẩn nhiều rủi ro ngay cả khi không có sự chia sẻ bên thứ ba. Dữ liệu có thể được sử dụng để đưa ra các quyết định mang tính phân biệt đối xử hoặc đưa ra các giả định sai lầm — ví dụ, các nhà nghiên cứu chỉ ra rằng việc theo dõi chuyển động có thể dẫn đến việc suy đoán sai lệch về sức khỏe và thể lực của nhân viên.

Việc gửi thông tin đó cho các bên thứ ba tạo ra nhiều tiềm năng bị lạm dụng hơn. Các nhà nghiên cứu chỉ ra các dịch vụ "nối dữ liệu" (data append), có thể thu thập các thông tin rời rạc về một người vào một hồ sơ tập trung — bao gồm cả vật liệu được cho là ẩn danh. Họ cảnh báo rằng việc thêm chi tiết nơi làm việc vào hỗn hợp này có thể giúp tạo ra một "nền kinh tế danh tiếng nhân viên trong bóng tối" (shadow ‘worker reputation economy’) sẽ bám đuổi người dân lâu sau khi họ rời bỏ công việc.

Nó thậm chí có thể giúp các bên thứ ba như các nhà quảng cáo suy luận xem một người bị phân tâm đến mức nào hoặc liệu họ có đang tìm cách rời khỏi người sử dụng lao động hiện tại hay không.

"Nhân viên thường thiếu khả năng từ chối giám sát một cách có ý nghĩa, chuyển đổi người sử dụng lao động, hoặc ngừng sử dụng nền tảng giám sát do cấp trên cung cấp mà không gặp rủi ro đối với công việc và sinh kế của họ," báo cáo nhận định.

Các nhà nghiên cứu đề xuất giải pháp "ranh giới rõ ràng" cho vấn đề này: cấm chia sẻ hoặc bán dữ liệu nhân viên cho bên thứ ba; cấm thu thập dữ liệu nhạy cảm về nhân viên, bao gồm cả giám sát vị trí ngoài giờ làm việc; và giới hạn thời gian các công ty bossware được phép lưu trữ thông tin.

Họ kêu gọi các cơ quan thực thi pháp luật tiểu bang và liên bang xem xét liệu việc thu thập và tiết lộ dữ liệu nhân viên nhất định có thể vi phạm các luật quyền riêng tư hiện có hay luật về các hành vi thương mại không công bằng khi được sử dụng theo những cách mà nhân viên không mong đợi một cách hợp lý.