大数据公司爬取简历等侵权现象频发

谁来制止求职者信息被“裸奔”?

来源:法制日报
[2019-07-10]

又到了高校毕业季,许多毕业生都在忙着投简历找工作。面对日益激烈的求职竞争,就业问题早已成为社会各界关心的热门话题。然而,简历大数据公司爬虫(从互联网获取信息)“偷”简历、“打小报告”、推送垃圾广告等被曝光后,让包括应聘者在内的所有人不得不担心个人信息安全问题。

据调查,一些简历大数据公司拼命发掘求职者简历上所有秘密,让HR(人力资源顾问)看到简历上所有修改历史。此外,还出现了监测员工离职动向的工具软件,它可以监测到员工更新、投递简历等行为,以及员工简历被HR、猎头查看次数等信息。换言之,无论你是准备跳槽还是被猎头相中,都会被实时监测并推送给现单位相关负责人。

A

网站贩卖信息监测员工离职动向

去年初,因为工作需要,老黑代管过公司招聘账号3个月。一天早上,老黑照例打开HR邮箱,想要寻找合适的候选人,突然一封邮件吸引了他的注意,标题是“你公司有3人可能会跳槽,请及时查看”。

邮件内容很简单,只说“×先生等3人有跳槽可能,点击这里查看详情”。按捺不住好奇心的老黑跟随指示,在微信上关注了一个名为“助××猎”的公众号,然后绑定了公司。

第二天一早,老黑就收到一条消息推送,“监测结果提醒:新发现1名员工要跳槽”。老黑经过查询发现,如果想查看所有预警的详细信息,并实时收到平台的监测提醒,则需付费,限时折扣价为1350元/年。

其实这早已不是秘密。今年3月,号称拥有全国最大简历库的某招聘类数据公司被曝公司所有人员被警方带走。

多名业内人士和律师认为,该公司出事原因可能与其未经授权获取简历、“贩卖”简历信息等涉嫌侵犯用户隐私权的行为有关。“我们的商业模式概括起来也就8个字——获取简历、数据变现。”该公司产品合伙人曾公开说道。

燃财经曾拿到一份该公司给客户的商务合作BP(商业计划书)。这份文件称,公司旗下共有38个B端招聘产品,拥有超过170万招聘者用户,数据库有2.2亿自然人的简历,简历累计总数达37亿份。令人唏嘘的是,该公司获取数据的手段是“爬虫”。在其产品中,比如名为“简历时光机”的产品,它能够发掘简历上所有秘密,让HR看到简历上所有修改历史,无论你是新增、修改,亦或删除,统统逃不掉。另一款产品“爱伙伴”则是可以监测员工离职动向的工具软件,它可以监测到员工更新、投递简历等动作,以及员工简历被HR、猎头查看次数等信息。无论你是准备跳槽还是被猎头相中,都会被实时监测并推送给现单位相关负责人。

B

非法爬取数据侵犯个人隐私

这样的灰色利益到底有多大?一名业内人士曾介绍,正常渠道获取简历需要招聘方与招聘网站签订合同,报价通常为每份50元,优惠后的价格也会在10元以上,但用“爬虫”手段获取简历省去了这一成本。

“用户在招聘平台上进行的更新、投放简历等行为属于用户隐私范畴,也是用户的个人信息。”中国政法大学知识产权研究中心研究员赵占领认为,招聘软件或平台有其产品本身的特点,必然会收集到用户信息,本身并不违法,这是其业务特点决定的。“但在收集完这些信息之后,未经用户同意,把这些信息提供给第三方,比如说给其所在公司老板,让老板知道他的雇员有什么样的动态,这就侵犯了用户的隐私权。”

在肯定上述行为涉嫌违法的同时,中国传媒大学政法学院法律系副主任郑宁还提出了依据:刑法第285条规定,非法获取计算机信息系统数据、非法控制计算机信息系统罪是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。刑法第285条第2款明确规定,犯本罪的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。

“上述公司非法爬取用户数据,可能构成此罪。”郑宁说,同时还涉嫌违反网络安全法,“员工在求职网站上登记信息时,同意公开的应该只是最终显示的信息,而新增、修改、删除的信息,以及简历被其他HR、猎头查看次数等信息并不在其列。未经用户明示同意收集、使用这些信息,并向第三方提供,违反了网络安全法的规定。”

2017年6月1日,《中华人民共和国网络安全法》开始施行。其中明确规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

针对上述法律法规,德勤风险咨询部门信息技术风险团队就曾对企业建议,应尽快盘点已搜集、使用、存储的信息类型,个人信息对应的容器和载体,内部访问、处理、分析、使用个人信息对应的人员岗位,存储这些信息的系统情况,以及这些个人信息是否会被内部人员或者系统后台接口的方式披露、传输给外部第三方等信息,并就此评估当时业务操作与系统操作的现状能否满足网络安全法中的法规要求。

C

信息未经被收集者同意不得公开

查阅相关资料,“爱伙伴”相关负责人曾对媒体说,简历中不存在法理规定的个人隐私信息,并且相关软件只解析简历信息中个人教育经历和个人求职经历两部分,是属于个人可向公众开放并被知悉的信息。简历中的照片、联系方式、身份证等不在获取范围,解析前已经做了脱敏处理。

面对这样的解释,不少求职者认为根本站不住脚,“简历中的种种信息已经涉及到公民个人信息事项”。

“这种解释是与实际不符的。”在赵占领看来,如果按照这种说法,完全做脱敏处理,就不会出现把求职者的信息发给其公司相关负责人的情况,所以这种说法肯定是与实际情况不符的。此外,简历里的一些信息是有其可被知悉的范围的。如用户的教育信息会在一定范围内被特定的某些人所知悉,但并不意味着这类信息就不是用户隐私。

“关于这种行为是否涉及网络安全法中的公民个人信息事项,首先要明晰隐私和信息的概念。”赵占领分析说,隐私和信息的概念是有重合的,一般来讲,个人信息的概念范围更大一些,用户不想让他人知悉的这部分个人信息是隐私,用户求职时向某些公司发送简历的行为属于隐私范围,但同时也是个人信息。

“未经用户同意将用户的个人信息,甚至是隐私提供给他人,是违反网络安全法和全国人大常委会关于加强网络信息保护的决定的。这两份法律里都涉及对个人信息的收集使用需要遵循基本规则和程序正确,也就是说你要经过用户的同意。”赵占领说。

对此,郑宁同样认为,“如果用户同意公开,或者经过处理无法识别到用户个人的才可以公开”,因为网络安全法第42条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;经过处理无法识别特定个人且不能复原的除外。

值得注意的是,越来越多的用户数据处于“裸奔”状态,隐私信息泄露已经成为让人担忧却又束手无策的顽疾。一般存在两种情况,包括从招聘平台内部泄露和第三方数据抓取。

今年1月,界面新闻曾经报道超过2亿求职者简历被泄露,曝光时间接近一周。人力资源服务企业前程无忧和58同城可能是简历数据来源,58同城的新闻发言人当时回应称,简历数据不是从58同城的平台上泄露的,而是用户将简历设置为公开可见时,被第三方数据抓取。

求职者维权支招

那么,针对这样的简历大数据公司,求职者能否报警,还是只能忍气吞声?

赵占领认为可以通过两个方法解决:第一,可以向网信部门下的个人信息保护的主管部门举报,如各地的网信办,尤其是大数据公司注册地的网信办。第二,如果涉嫌犯罪的可以向公安机关报案。如果发现很多人都存在信息可能被泄露的情况,可以一起向公安机关报案。这可能涉嫌刑事犯罪,侵犯公民个人信息罪。

“根据法律规定,求职者可以拨打热线电话12377向当地网信主管部门投诉,请求对网站进行行政处罚,涉嫌犯罪的可以报警。”郑宁说。


【责任编辑:李健】

百姓关注

更多>>