● 一些簡曆大數據公司拼命發掘求職者簡曆上所有的秘密,并出現了監測員工離職動向的工具軟件,它可以監測到員工更新、投遞簡曆等行為,以及員工簡曆被HR、獵頭查看次數等信息

● 根據法律規定,求職者簡曆信息遭洩露後,可以向當地網信主管部門投訴,請求對網站進行行政處罰,涉嫌犯罪的可以報警

又到了高校畢業季,許多畢業生都在忙着投簡曆找工作——面對日益激烈的求職競争,就業問題早已成為社會各界關心的熱門話題。然而,關于簡曆大數據公司爬蟲“偷”簡曆、“打小報告”、推送垃圾廣告等被曝光後,也讓包括應聘者在内的所有人都不得不擔心個人信息安全問題。

《法制日報》記者在調查中發現,一些簡曆大數據公司拼命發掘求職者簡曆上所有的秘密,讓HR看到簡曆上所有修改曆史。此外,還出現了監測員工離職動向的工具軟件,它可以監測到員工更新、投遞簡曆等行為,以及員工簡曆被HR、獵頭查看次數等信息。換言之,無論你是準備跳槽還是被獵頭相中,都會被實時監測并推送給現單位相關負責人。

網站販賣個人信息

監測員工離職動向

前一陣子,老胡被裁員了。但他被裁的原因卻令人大跌眼鏡:因為其在某招聘平台更新了簡曆。雖然已經屏蔽了現公司,卻不知為何還是被公司HR知道了。

遞交解除勞動合同通知書時,面對老胡的追問,HR告訴他,“既然你已經打算要走了,繼續在這裡工作很可能會影響團隊合作,所以很抱歉”。當老胡正要解釋的時候,HR已經端着水杯離開了。

這個故事來自于由互聯網安全從業者所設立的“一本黑”,其旨在将互聯網中的黑色産業等從幕後帶到台前。

在講述中,被裁員後的老胡發出了三連問:“上個項目剛剛完結,我把它增加到簡曆中,這有什麼不對嗎?求職意向一欄,明明還是不考慮新機會,怎麼就說明我打算要走了?再說,我已經屏蔽了公司,為什麼HR還能看到我的簡曆更新情況?”

對此,一本黑用另一個真實案例作了回答:

去年年初,因為工作需要,老黑代管過公司招聘賬号3個月。有一天早上,老黑照例打開HR郵箱,想要尋找合适的候選人,突然一封郵件吸引了他的注意,标題是“你公司有3人可能會跳槽,請及時查看”。

郵件内容很簡單,隻說“X先生等3人有跳槽可能,點擊這裡查看詳情”。按捺不住好奇心的老黑跟随指示,在微信上關注了一個名為“助××獵”的公衆号,然後綁定了公司。

第二天一早,老黑就收到一條消息推送,“監測結果提醒:新發現1名員工要跳槽”。老黑經過查詢發現,如果想查看所有預警的詳細信息,并實時收到平台的監測提醒,則需付費,限時折扣價為1350元/年。

其實這早已不是秘密。今年3月,号稱擁有全國最大簡曆庫的某招聘類數據公司被曝公司所有人員被警方帶走。

多位業内人士和律師認為,這家公司出事可能與其未經授權獲取簡曆、“販賣”簡曆信息等涉嫌侵犯用戶隐私權的行為有關。“我們的商業模式概括起來也就8個字——獲取簡曆、數據變現。”産品合夥人劉博曾公開說道。

燃财經曾拿到一份這家公司給客戶的商務合作BP(商業計劃書)。這份文件稱,公司旗下共有38個B端招聘産品,擁有超過170萬招聘者用戶,數據庫有2.2億自然人的簡曆,簡曆累計總數達37億份。

令人唏噓的是,這家公司獲取數據的手段是爬蟲。在其産品中,比如名為“簡曆時光機”的産品,根據一本黑的介紹,它能夠拼命發掘簡曆上所有的秘密,讓HR看到簡曆上所有修改曆史,無論你是新增、修改,亦或删除,統統都逃不掉。

另一款産品“愛夥伴”則是一款可以監測員工離職動向的工具軟件,它可以監測到員工更新、投遞簡曆等動作,以及員工簡曆被HR、獵頭查看次數等信息。

用一本黑的話來說,無論你是準備跳槽還是被獵頭相中,都會被實時監測并推送給現單位相關負責人。

非法爬取用戶數據

涉嫌侵犯個人隐私

這樣的灰色利益到底有多大?一位業内人士曾介紹,正常渠道獲取簡曆需要招聘方與招聘網站簽訂合同,報價通常為每份50元,優惠後的價格也會在10元以上,但用爬蟲手段獲取簡曆省去了這一成本。

“用戶在招聘平台上進行的更新、投放簡曆等行為屬于用戶隐私範疇,也是用戶的個人信息。”中國政法大學知識産權研究中心研究員趙占領認為,招聘軟件或平台有其産品本身的特點,必然會收集到用戶信息,本身并不違法,這是其業務特點決定的。“但在收集完這些信息之後,未經用戶同意,把這些信息提供給第三方,比如說給其所在公司老闆,讓老闆知道他的雇員有什麼樣的動态,這就侵犯了用戶的隐私權。”

在肯定上述行為涉嫌違法的同時,中國傳媒大學政法學院法律系副主任鄭甯還提出了依據:刑法第285條規定,非法獲取計算機信息系統數據、非法控制計算機信息系統罪是指違反國家規定,侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或者采用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,情節嚴重的行為。刑法第285條第2款明确規定,犯本罪的,處三年以下有期徒刑或者拘役,并處或者單處罰金；情節特别嚴重的,處三年以上七年以下有期徒刑,并處罰金。

“上述公司非法爬取用戶數據,可能構成此罪。”鄭甯說,同時還涉嫌違反網絡安全法,“員工在求職網站上登記信息時,同意公開的應該隻是最終顯示的信息,而新增、修改、删除的信息,以及簡曆被其他HR、獵頭查看次數等信息并不在其列。未經用戶明示同意收集、使用這些信息,并向第三方提供,違反了網絡安全法的規定”。

2017年6月1日,《中華人民共和國網絡安全法》開始施行。其中明确規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。

針對上述法律法規,德勤風險咨詢部門信息技術風險團隊就曾對企業建議,應盡快盤點已搜集、使用、存儲的信息類型,個人信息對應的容器和載體,内部訪問、處理、分析、使用個人信息對應的人員崗位,存儲這些信息的系統情況,以及這些個人信息是否會被内部人員或者系統後台接口的方式披露、傳輸給外部第三方等信息,并就此評估當時業務操作與系統操作的現狀是否能滿足網絡安全法中的法規要求。

未經被收集者同意

用戶信息不得公開

查閱相關資料,記者注意到“愛夥伴”相關負責人曾對媒體說,簡曆中不存在法理規定的個人隐私信息,并且相關軟件隻解析簡曆信息中個人教育經曆和個人求職經曆兩部分,是屬于個人可向公衆開放并知悉的信息。對于簡曆中的照片、聯系方式、身份證等不在獲取範圍,解析前已經做了脫敏處理。

面對這樣的解釋,不少求職者認為根本站不住腳,“簡曆中的種種信息已經涉及到公民個人信息事項”。

“這種解釋是與實際不符的。”在趙占領看來,如果按照這種說法,完全做脫敏處理,就不會出現把求職者的信息發給其公司相關負責人的情況,所以這種說法肯定是與實際情況不符的。此外,簡曆裡的一些信息是有其可被知悉的範圍的。如用戶的教育信息會在一定的範圍内被特定的某些人所知悉,但這并不意味着這類信息就不是用戶隐私。

“關于這種行為是否涉及網絡安全法中的公民個人信息事項,首先要明晰隐私和信息的概念。”趙占領分析說,隐私和信息的概念是有重合的,一般來講,個人信息的概念範圍更大一些,用戶不想讓他人知悉的這部分個人信息是隐私,用戶求職時向某些公司發送簡曆的行為屬于隐私範圍,但同時也是個人信息。

“未經用戶同意将用戶的個人信息,甚至是隐私提供給他人,是違反網絡安全法和全國人大常委會關于加強網絡信息保護的決定的。這兩份法律裡都涉及對個人信息的收集使用需要遵循基本規則和程序正确,也就是說你要經過用戶的同意。”趙占領說。

對此,鄭甯同樣認為,“如果用戶同意公開,或者經過處理無法識别到用戶個人的才可以公開”,因為網絡安全法第42條規定,網絡運營者不得洩露、篡改、毀損其收集的個人信息；未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識别特定個人且不能複原的除外。

值得注意的是,越來越多的用戶數據處于“裸奔”狀态,隐私信息洩露已經成為讓人擔憂卻又束手無策的頑疾。一般存在兩種情況,包括從招聘平台内部洩露和第三方數據抓取。

今年1月,界面新聞曾經報道超過2億求職者簡曆洩露,曝光時間接近一周。人力資源服務企業前程無憂和58同城可能是簡曆數據來源,58同城的新聞發言人當時回應稱,“簡曆數據不是從58同城的平台上洩露的”,而是用戶将簡曆設置為公開可見時,被第三方數據抓取。

那麼,針對這樣的簡曆大數據公司,求職者能否報警,還是隻能忍氣吞聲?

趙占領認為可以通過兩個方法解決:第一,可以向網信部門下的個人信息保護的主管部門舉報,如各地的網信辦,尤其是大數據公司注冊地的網信辦。第二,如果涉嫌犯罪的可以向公安機關報案。如果發現很多人都存在信息可能被洩露的情況,可以一起向公安機關報案。這可能涉嫌刑事犯罪,侵犯公民個人信息罪。

“根據法律規定,求職者可以撥打熱線電話12377向當地網信主管部門投訴,請求對網站進行行政處罰,涉嫌犯罪的可以報警。”鄭甯說。(記者 趙麗

實習生 謝惠續)

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!