員工對於公司網路監控與管制政策之態度

訪談的第二部分則是以員工或者主管對於公司網路監控與管制政策的態度為 中心，請訪談對象就此事發表看法。當然，針對此政策所表達的意見沒有絕對贊 成或反對，只是在訪談一般基層工程師時，多數沒有什麼意見，似乎也不在乎公 司監控其電子郵件及網路使用的情形，抱著「反正這也不是什麼機密」、「給他看 也無所謂」等的態度的員工不在少數，因此，這部分的訪談意見，僅列出部分被 訪談者所提供的意見。

第一項 同意理由

訪談對象A4-2 說：「…當然，公司應盡保密的義務呀，營業秘密法裡面不是 有規定…不過工作這麼累，我通常是針對私事執行上較為彈性，但是針對公事就 會比較嚴格…而且公司政策一向透明化，什麼都可以查詢…」

訪談對象 A3-2 則認為：「…規範雖然嚴格，但是執行面有漏洞、過鬆…」

訪談對象 A3-1 告訴筆者設備都是公司財產權的一部分，這樣的管理應該算是 合理的方式。

第二項 反對理由

訪談對象 A5-1 認為：

「…其實真的不是很有道理。例如說『禁止上不適當的網頁』這一條，就很

有問題。當然公司可以說『萬一怎樣怎樣公司的利益會遭到很大的危害』，但是這

樣有時候真的是很麻煩。舉例來說，因為我們工時真的都很長，然後也沒有加班 費，因為是責任制，所以很晚下班的時候用公司的電腦想要處理一些私人的事情，

總不能說私人的事情請回家處理吧！我也算是把私人的時間拿來在公司做公司的 事啊！結果，想說要訂火車票，跳一個『互動式網頁違反公司資安規定』的訊息，

想上 yahoo 去私人信箱收個信，也一樣，更扯的是第二天副理就來跟我說要注意 公司的資安規定，這樣不是很可怕嗎？…相當於我在電腦上做什麼，有人一清二 楚，用程式擋網頁，好吧！小心為上我接受，但是這樣就會被記錄下來通知老闆，

那是不是我上銀行網頁用信用卡繳電話費，公司也有可能紀錄到我的密碼？也沒

看公司有公布說他們是用什麼方式來管網路的，這樣真的很危險…公司不信任員 工，同樣的員工也沒有理由必須百分之百信任公司，不會把蒐集到的資料做什麼 用途。更何況，不只是外部網頁，連內部寄mail 副理那裡也會收到副本…」

訪談對象A5-2 資訊部門的員工則說：

「...資訊安全部門只對員工揭露資訊安全管理規則的目的，例如『不可將資

訊攜出公司』，而不揭露如何執行這條規則的手段，例如『在公司門口進行臨檢或

是實際上到底是用什麼方法對員工在網路上傳遞的資訊進行監控』，但是公司會盡

一切手段防止『資訊被帶出公司』這件事情發生...基本上公司不只不揭露手段，

甚至連明確的界線往往也沒有宣告，使得界線對於員工來說往往十分糢糊。舉個

例子來說，就拿速限當作一個比喻，公司就好像在路邊立個牌子說『禁止超速』，

但並不明確的說速限到底是多少，也不說公司是怎麼會知道員工有沒有超速。而 當員工超速的時候，公司的基本態度就是暗示你『大家都知道禁止超速，你本來 就應該要儘量避免超速，而不是去看犯規的界線在那裡』。所以員工只好律己從 嚴，以免違反公司的規定。至於公司到底是用什麼手段逮到你違規，或是這樣的 規定到底合不合理，其實大家也都不是很了解，公司也不認為有必要讓員工知道。

但是以一個資訊security 管理者的觀點來說，應該是要這樣做才能好好管理，以免 說知道是怎麼管的，就會有人想辦法鑽漏洞。」

第三項 其他訪談內容

有訪談對象針對公司的資訊部門提供了另一個看法：「…既然網路的監控是資

安部門，管理網路的也是人，他就有可能取得他所監看的任何資訊，不是嗎？這 樣資安部門本身不就是資訊安全管制上最危險的地方？一個什麼機密都看得到的 地方，反而最有可能成為洩密的地方吧！就算被監看到的不是什麼很重要的資 訊，也是有一種被強制看光光的感覺…」

「…管這麼多，也不知道合不合理，像我們跟另一個部門也不知道是怎麼分 的，他們能用的網路資源硬是比我們多，明明他們能接觸到的資料比較機密吧…

還有，我常常花時間在等待網路資訊的核可，工作進度趕得要命，要過的關卡卻 一大堆，搞得這麼複雜，拖累大家的時間到底為什麼…」

第四節 小結

根據上述訪談紀錄，可以從第一部分及第二部分的內容進行整理歸納。首先 就第一部分的內容，整理如下：

一、公司進行網路監控及管制的目的，不外乎確保公司競爭力(員工的工作績 效)、維護公司工作資料的安全(防止公司被病毒入侵)以及避免公司機密外洩。

二、保密規則的重點就是不可將資料攜出公司，不論是硬體上或網路上的動 作，因此禁止員工攜帶任何可傳輸、儲存的可移除式設備，不可進行可使用網路 將公司資訊洩漏的行為，譬如說：禁止連上有功能性的網頁，不可上傳及下載檔 案，以及電子郵件傳送附件大小的限制。

三、身為基層工程師的訪談對象A 1、A 2、A3-1、A4-1、A5-1 都有提到電子 郵件的關鍵字掃描、備份及網頁黑名單。身為主管的A3-2、A4-2 則提供公司的系 統只要一開機登入就會開始進行監控，而且也會進行電腦備份，針對電子郵件則 是只要超過附件大小限制及搜尋出關鍵字的內容，都會給老闆一份副本，甚至瀏 覽的網域也會副本給老闆。

四、身為資訊部門的員工A5-2 則對公司內部網路的管理方式及手段有更詳細 的說明：

(一)公司內部網路的架構，係與外部網路隔離，每一個傳送的電子訊息，包括 電子郵件、網頁瀏覽等，都會經過公司資訊部門的主機，才會向外或向內傳送至 其他員工電腦，與一般個人電腦直接連向外面網路伺服器不同，亦即所有電子訊 息的進出或傳遞，皆由公司內部資訊部門的主機所控制與紀錄，請參見下圖4-1：

圖4-1 公司內、外部網路架構

而公司內部網路則將是資訊部門分成兩個組別來管理不同的階段，保密規則 即由這兩個組別就自己負責的部分提出規定員工應遵守的內容。

(二)關於電子郵件的處理方式，訪談對象 A5-2 的公司則是遵循三點原則：1.

內部郵件往外寄：幾乎絕對禁止，除了被特別許可的一些部門外，抑或是經由檔 案大小限制，關鍵字搜尋掃描後，才有機會寄到外部信箱；2.外部郵件寄進公司：

會先經過公司資訊部門的伺服器，通過執行檔、病毒掃描、關鍵字、檔案大小限 制、和人工篩選的過程後，才能寄進公司；3.以上兩種情形如違反保密規則的規 定，例如內容有關鍵字、檔案大小超出限制，以及內部寄內部的郵件，都會給老 闆一份副本。以上三種情形，系統都會自動備份。

(三)網頁的瀏覽情形都會被紀錄，老闆也有機會知道，有的公司的員工甚至在 被警告後抑或是不小心看到時，才知道公司進行了這樣的監控手段，例如隨時遠 端遙控員工的電腦。

第二部分的訪談意見，歸納成三段：

一、同意公司這樣的政策，不外乎是公司為了保障自己的財產權及盡營業秘 密法規範之合理保護義務。

二、持反對意見的訪談對象，則認為公司例行性的宣示十分模糊，手段、方 法不明，甚至有可能紀錄一些員工的個人資訊，員工不明白有哪些手段，也不知 道合不合理。以下圖4-2 來表示目前管理手段與保密規則的宣示範圍：

圖4-2 公司內部管理手段與保密規則宣示的範圍示意圖

三、資安部門的權限與設定標準沒有人清楚，有員工認為這樣的過度管制，

反而拖累工作效率。