
老闆監控 app 可能唔止老闆睇:Google、Meta 同資料 broker 收到咩?
9 款 bossware 研究揭示員工私隱風險,香港公司採購 SaaS 要問多幾題

圖:The Verge.原文連結
公司想知道員工有冇準時返工、遙距工作有冇開工、外勤路線有冇到位,呢件事本身唔新。真正要問嘅係:當公司用一套「工時/生產力/位置」監控 SaaS,資料係咪只留喺老闆同 HR 手上?The Verge 報道一項新研究,指部分工作場所監控工具喺測試期間,唔單止將資料交畀僱主,亦有資料流向 Meta 旗下 Facebook、Google、Microsoft、廣告技術公司同資料 broker 相關服務。對香港公司嚟講,呢個唔係外國奇聞,而係每次採購 HR SaaS、遙距工作工具、外勤 GPS app 都要問清楚嘅資料供應鏈問題。
今次研究由 Columbia Law School Center for Law and the Economy 嘅 Stephanie T. Nguyen 等人負責,測試 9 款工作場所監控平台:Apploye、Deputy、Desklog、Hubstaff、Monitask、Buddy Punch、Time Doctor、VeriClock 同 When I Work。研究團隊建立「老闆」同「員工」試用帳戶,用網頁、桌面同 Android app 操作,再以 HTTP Toolkit 截取網絡流量,睇資料實際傳去邊。報告講明樣本只得 9 款,測試集中喺美國、Android 同短時間試用,唔應該推論成所有 bossware 都一樣;但佢揭示嘅問題夠清楚:監控工具已經唔再只係「公司內部系統」。
唔止係監控,而係資料供應鏈
報告最刺眼嘅發現係,9 款受測平台全部喺至少一次 session 入面,將可識別員工資料傳畀第三方,包括姓名、電郵、公司名等。研究記錄到 121 次相關傳送,接收方包括 Facebook、Google、Microsoft、AppLovin、Intercom、Segment、HubSpot、ZoomInfo 等。另一層係網上活動資料:9 款平台都有把 IP、裝置資料、瀏覽頁面、unique identifier 等資料傳去第三方 domain,總數達 145 個 unique domain,包括 facebook.com、linkedin.com、bing.com、google.com、Stripe 同 Yandex 等。換句話講,就算老闆只係想睇工時,員工登入同使用監控工具本身都可能變成另一批外部服務嘅訊號。
呢啲資料未必每次都等於「賣資料」,亦唔等於每個第三方都係廣告公司。有啲可能係客服、付款、錯誤監察、分析、雲端基建或者登入功能。不過,私隱風險正正係出喺「目的混雜」:一個電郵地址可以用嚟登入 HR 工具,同時亦可以被 data append 服務配對其他個人資料;IP、裝置資料同時間模式可以推斷工作時段、地點、使用習慣;如果再同其他網上 tracker 訊號合併,員工就唔再只係僱主系統入面一個帳戶,而係外部資料市場入面一個可被豐富化嘅 profile。
位置資料係另一個高風險位。報告指 9 款受測工具入面,有 3 款可喺 app 放喺背景時收集精準位置,涉及 Buddy Punch、Hubstaff 同 VeriClock;同時亦有 3 款可要求 Android 手機開放 motion sensor 權限,例如 accelerometer 同 gyroscope,先可以 clock in。外勤、維修、物流、地盤管理有時確實需要 GPS 或 geofence,但「返工中」同「私人生活」嘅界線可以好薄。午飯、返屋企路線、客戶地址、學校接送、診所位置,如果 retention 同存取權限冇收窄,就會變成遠多於考勤需要嘅行蹤紀錄。
The Verge 報道亦有交代供應商回應。Deputy CTO Ciaran Hale 反駁指,Deputy 嘅第三方關係限於支援平台交付、安全同可靠性嘅受信任營運及基建供應商,並指研究似乎將公開企業網站嘅 B2B marketing cookies,同安全嘅員工 app 混為一談。Nguyen 回應指,團隊睇嘅係員工由 deputy.com 點擊登入開始嘅完整體驗,並發現姓名、電郵、公司名等資料喺使用過程中傳畀第三方。呢段爭議好重要,因為它提醒採購 team 唔可以只睇 privacy policy 一句「trusted partners」,要分清公開官網、登入頁、員工 portal、admin portal 同 mobile app 各自放咗咩 tracker。
Bossware 點解會變成廣告科技問題
老闆監控軟件過去最常被批評嘅位,係截圖、鍵盤滑鼠活動、瀏覽紀錄、app 使用時間、GPS 打卡會令工作變成持續量化。但今次研究將問題推多一步:監控工具背後使用嘅 SDK、tag manager、analytics、客服聊天插件、廣告 pixel,同普通消費者網站用嘅 ad tech 其實好相似。分別在於,打工仔好多時冇得「唔用」。網上購物 app 唔鍾意可以刪,返工系統唔用可能影響出糧、排更、績效或工作分配,所謂同意就變得好薄弱。
行業脈絡亦唔止呢 9 款產品。Coworker.org 嘅 Bossware and Employment Tech Database 已收錄超過 550 種同工作管理、監控、評分、招聘、排更或生產力有關嘅技術產品。遙距工作普及之後,公司更容易用 SaaS 補管理盲點;供應商亦更容易將產品包裝成「透明度」、「效率」、「合規」、「安全」。問題係,當一套工具同時有 HR 功能、marketing website、客服插件、產品分析、第三方 subprocessor,資料路徑就會比傳統內部 HR 系統複雜好多。公司 IT team 唔可以再當佢只係一個打卡 app。
呢度亦要講公平:並非所有監察都不合理。公司保護商業機密、防止帳戶被盜、確認外勤安全、處理工時紀錄,都可以有正當需要。真正分水嶺係比例、透明度、目的限制同保留期。只為確認有冇到客戶地點,就未必需要全日背景位置;只為計算工時,就未必需要截圖、鍵盤活動、瀏覽歷史;只為系統穩定,就更加要解釋點解員工姓名同公司名要去到廣告或銷售資料服務。功能愈多,採購文件就愈要細。
香港公司採購唔可以只問功能同價錢
香港 PCPD《Monitoring and Personal Data Privacy at Work》指引講得幾直接:如果員工監察會收集個人資料,僱主要按 PDPO 嘅保障資料原則處理。指引建議做「3As」:Assessment、Alternatives、Accountability,即係先評估監察目的同風險,睇有冇侵入性較低嘅替代方案,再確保僱主對資料管理負責。指引亦要求監察政策清楚寫明目的、何時監察、資料會點用,並通知員工;監察紀錄只應用於原本或直接相關目的,保留期一般以不多於 6 個月為較佳做法,除非有充分理由保留更耐。
第三方同跨境 SaaS 係香港公司特別易忽略嘅位。PCPD 人力資源管理守則提到,僱主一般唔應該未得員工同意就向第三方披露僱傭相關資料,除非用途同僱傭直接相關或法律要求;即使交畀第三方處理 HR 功能,僱主都要有合適措施防止未授權或意外存取、披露。PCPD 跨境資料轉移指引亦提醒,雖然 PDPO 第 33 條仍未生效,但雲端儲存如可喺香港以外存取,仍可能構成跨境資料轉移風險,實務上應做 due diligence、合約保障同 model clauses。呢啲唔係法律意見,但足夠變成採購 checklist。
香港 HR、IT 同 procurement team 買同類工具前,至少要逐項問清楚:
- 員工資料欄位包括咩:姓名、電郵、電話、裝置 ID、IP、位置、截圖、瀏覽紀錄、鍵盤滑鼠活動、motion sensor?
- 登入後嘅員工 portal 同 admin portal 有冇廣告 pixel、retargeting tag、第三方 marketing tracker?可唔可以完全關閉?
- subprocessor 名單係咪公開、會唔會變更通知、資料會唔會流向 data broker、銷售情報或廣告平台?
- 資料儲存地、支援 team 存取地、備份地、跨境轉移條款同刪除流程係咩?
- 位置同背景追蹤係咪預設關閉,有冇自動停止,員工 off duty 或離開工地後會唔會繼續收集?
- 保留期係幾耐,離職後幾時刪除,員工資料查閱/改正要求由邊個負責?
- 管理層、HR、IT、直屬上司各自可睇到咩,有冇 audit log 同最小權限設定?
打工仔可以點查
打工仔未必可以拒絕公司指定工具,但可以要求基本透明度。最實際係問 HR 或 IT 拎員工監察政策、收集個人資料聲明(PICS)、app 或 endpoint agent 清單、第三方披露類別、資料保留期同資料查閱方法。公司電腦上可以留意 MDM、VPN、proxy certificate、browser extension、endpoint security agent 同時間追蹤工具;手機 app 則要睇權限係咪要求「Always」位置、背景活動、motion / fitness、相機或咪高峰。唔建議自行移除或繞過公司保安工具,因為可能違反僱傭或 IT policy;更合理做法係要求公司用書面講清楚監察邊啲、點解需要、邊個會睇、會保存幾耐、會唔會交畀第三方。
今次事件最值得記住嘅唔係「Google、Meta 又偷睇晒」,而係現代工作軟件已經同廣告科技、產品分析、客服 SaaS、資料 broker 生態交疊。僱主可能只係買一套排更或打卡工具,但員工資料一旦經第三方 tracker 擴散,之後就好難用公司內部政策收返。香港公司要用監控工具,最低要求唔係叫員工「信公司」,而係用文件、設定、合約同技術證明:收集係必要,分享係受限,保留係有限,離開工作目的就要停。
參考來源
- The Verge — Meta and Google get data from the app your boss uses to track you — original report
- Columbia Law School — Workplace Monitoring Platforms Are Sharing Your Data — 研究報告頁面,確認作者、摘要、發布時間、9 款平台、主要發現同方法概覽。
- Columbia Law School PDF — An Investigation & Roadmap to Address Data Abuses — 研究全文,核對 121 次識別資料分享、145 個第三方 domain、位置追蹤、motion sensor 同政策建議。
- PCPD — Privacy Guidelines: Monitoring and Personal Data Privacy at Work — 香港工作場所監察私隱指引,提供 3As、透明度、目的限制、保留期同員工通知要求。
- PCPD — Code of Practice on Human Resource Management Compliance Guide — 香港 HR 個人資料處理守則,核對僱傭資料第三方披露、PICS 同第三方處理資料責任。
- PCPD — Guidance on Personal Data Protection in Cross-border Data Transfer — 核對跨境 SaaS、雲端存取、due diligence 同 model clauses 相關香港私隱風險。
- Coworker.org — Bossware and Employment Tech Database — 行業背景資料,顯示 bossware/工作科技產品範圍遠大於今次 9 款樣本。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







