为了应对新冠肺炎大流行，许多雇主将劳动力转移到远程工作。麦肯锡全球研究所（McKinsey Global Institute）的一份报告指出，这一趋势可能会继续下去，指出发达经济体多达25%的工人可能会继续每周在家工作三到五天，远远高于大流行前的水平1。随着这种混合工作模式变得越来越永久，雇主可能会寻求利用远程监控技术来提高远程员工的生产率，并确保远程员工能够访问组织的信息系统。

在这篇文章中，P.C.Epstein Becker&Green的Brian G.Cesaratto和Christopher Taylor讨论了击键记录作为雇主可能决定实施的技术之一，作为更广泛的远程员工监控/数据保护战略的一部分，以及雇主在使用该技术时应考虑的问题。

击键记录技术概述

顾名思义，键盘记录器监控并存储用户键盘上的每一次按键。虽然恶意行为者可以部署此类技术来过滤敏感数据，但雇主也可以出于合法的商业目的（例如网络安全或生产力），在雇员知情或不知情的情况下，有目的地将键盘记录器安装在雇主的计算机上。虽然该技术可以以多种方式部署，但两种常见的基于主机的键盘记录器包括基于API的键盘记录器和硬件键盘记录器。

键盘记录技术是内容中立的，因为它收集用户击键产生的数据，而不管该数据是与工作相关的还是与工作无关的，包括潜在的敏感个人数据（如员工的个人医疗、财务信息或个人登录信息）。因此，与任何雇主监控其系统（如电子邮件）一样，捕获的内容可能与工作相关，也可能与工作无关。然而，键盘记录通常被认为比某些其他类型的系统监控更具侵入性，因为员工键入的每个字符都会被捕获。

基于API的键盘记录器

一种常见的键盘记录解决方案是基于API的键盘记录程序，其中软件使用键盘应用程序编程接口（“API”）记录员工的击键。每次按键时，键盘都会向应用程序（即Microsoft Word或Slack）发送通知，以便键入的字符显示在用户屏幕上。基于API的键盘记录器记录这些通知，然后存储日志。

硬件键盘记录器

硬件键盘记录器也可以内置到键盘中，或使用连接到键盘或计算机的USB或物理设备进行部署。不是依靠软件来存储捕获的密钥日志，而是由物理密钥记录设备捕获数据以存储在设备上。

可能涉及击键记录的联邦和州法规

联邦视角

在联邦一级，虽然没有明确涵盖键盘记录，但对雇主监控其员工通信能力的主要限制源于1986年《电子通信隐私法》（“ECPA”）。2.作为1968年《联邦窃听法》的修正案颁布的《电子通信私隐法》是对雇主监控员工通信的主要限制，是唯一直接涉及工作场所电子通信监控的联邦法规。然而，虽然ECPA可能似乎限制雇主拦截其雇员的电子通信（包括可能通过使用键盘记录技术），但该法规包含了这一禁令的一些明显例外。正常业务过程目的例外可允许雇主监控某些电子通信，只要雇主能够为此确立合法的业务目的。同意例外允许雇主监控雇员的电子通信，前提是雇主已获得雇员的同意。

虽然联邦法规或法规未明确涵盖键盘记录，但法院通常会考虑ECPA是否适用于禁止键盘记录（例如，鉴于所使用的特定技术，是否在法规含义内发生了“拦截”）3。违反ECPA或《联邦窃听法》的索赔要求在州际商务过程中进行截获通信，但某些键盘记录截获可能完全发生在本地计算机内，因此对在未经通知和同意的情况下提出此类索赔的员工提出质疑。然而，如下文所述，州法律禁令可能有所不同，甚至在雇主的系统不影响州际商业4的情况下，也会出现键盘记录拦截。

州视角

此外，ECPA在监控员工通信时，对雇主的义务规定了最低限度的限制。它并没有先发制人地阻止个别州为促进员工隐私利益而施加更大限制。例如，康涅狄格州和特拉华州禁止雇主在未向受影响工人发出通知的情况下监控或拦截电子通信，如果雇主未发出通知，可能会受到民事处罚。然而，这两个州都对通知要求规定了明显的例外，包括根据康涅狄格州法律，当雇主为了保护雇主或其他雇员免受工人不当行为5的影响而对雇员进行监控时。

根据其他法律，可能需要向员工发出收集个人信息的通知。2018年《加州消费者隐私法》（“CCPA”）和2020年《加州隐私权法》（“CPRA”）要求受该法约束的雇主在收集个人信息时或之前向其员工提供“收集时通知”，并将“浏览历史记录、搜索历史记录和有关[员工]与互联网网站、应用程序的互动信息”放置在，或在要求向雇员披露的范围内的“广告”6。

纽约州的电子监控法是最新的州一级事态发展之一，可能涉及雇主对击键记录的依赖。2021 11月8日，纽约州州长凯西·霍彻尔（Kathy Hochul）签署了一项法案（“法案”），该法案修订了民权法，并要求纽约州的雇主在雇佣时向雇员发出通知，如果雇主使用“任何电子设备或系统”监视或以其他方式拦截电话、电子邮件或互联网使用或访问7。通知必须以书面形式或电子形式发送，员工必须以书面或电子形式确认收到通知。此外，雇主必须将该通知张贴在“显眼的地方”。8.该法于2022年5月7日生效。自该日起，应向新员工提供该通知，并将该通知显著张贴在物理位置或公司内部网。例如，9.违反该法的雇主，总检察长（“AG”）有权执行该法，第一次犯罪可处以最高500美元的民事处罚，第二次犯罪最高1000美元，第三次及以后每次犯罪最高3000美元10。

除了这些法律制定的措施外，一些州宪法明确保障其公民的隐私权，例如加利福尼亚州、佛罗里达州、路易斯安那州和南卡罗莱纳州11。当州宪法明确声明隐私时，员工可能对隐私抱有更高的期望，因此，这些州的雇主在向员工传达其对工作场所电子通信监控的隐私期望时应注意。

重要的是，法院对不同州窃听法律的解释不一致。一些州法院狭义地解释了这些法律，允许在未经工人通知和同意的情况下进行键盘记录活动12。其他州法院更广义地解释了禁止键盘记录的立法，因为该活动构成未经同意的电子通信拦截，而不管其在州际线路上传输13。

雇主最佳做法

应该清楚的是，这些法规，无论是联邦法规还是州法规，都是技术中立的。也就是说，它们都没有明确规定击键记录，将这些法规对击键记录的潜在应用留给特定法院的解释。这给雇主实施键盘记录技术带来了风险，尤其是在雇主的劳动力位于多个州的情况下。

雇主可以利用的最重要的机制之一是在监控前向员工发出明确的书面通知，以确保其使用键盘记录不会违反法律。法院普遍认为，雇员在工作场所没有隐私权，尤其是在通知雇主的监控政策时。然而，除了法律考虑之外，员工可能会将此类监控视为过度侵扰和不信任的证据。因此，希望使用键盘记录的雇主只有在仔细考虑了该技术对工作文化的影响后才能这样做。雇主应审慎考虑是否有其他侵入性较小的监控解决方案可以实现相同的生产率和/或安全目标。

如果雇主确定键盘记录解决方案确实适合该组织，则雇主需要根据法定限制和例外情况考虑使用该技术。假设该分析允许合法使用，管理层应起草一项政策，解决在雇主系统上使用键盘记录的问题。然后，雇主应发布该政策，在所有现有员工和新员工入职时提供该政策，并确保所有员工以书面或电子方式确认其将使用键盘记录。最后，雇主应在使用键盘记录器进行监控之前寻求书面同意。

最后，使用键盘记录解决方案的雇主应注意，这样做可能会访问与工作无关的员工个人信息（如无关的财务或医疗数据），并有适当的程序来处理此类数据，并将其收集风险降至最低。

本文：