泄露用户个人信息防不胜防
大数据公司爬取简历打小报告推送广告等侵权现象频发
一些简历大数据公司拼命发掘求职者简历上所有的秘密,并出现了监测员工离职动向的工具软件,它可以监测到员工更新、投递简历等行为,以及员工简历被HR、猎头查看次数等信息
越来越多的用户数据处于“裸奔”状态,隐私信息泄露已经成为让人担忧却又束手无策的顽疾。一般存在两种情况,包括从招聘平台内部泄露和第三方数据抓取
根据法律规定,求职者简历信息遭泄露后,可以向当地网信主管部门投诉,请求对网站进行行政处罚,涉嫌犯罪的可以报警
又到了高校毕业季,许多毕业生都在忙着投简历找工作——面对日益激烈的求职竞争,就业问题早已成为社会各界关心的热门话题。然而,关于简历大数据公司爬虫“偷”简历、“打小报告”、推送垃圾广告等被曝光后,也让包括应聘者在内的所有人都不得不担心个人信息安全问题。
《法制日报》记者在调查中发现,一些简历大数据公司拼命发掘求职者简历上所有的秘密,让HR看到简历上所有修改历史。此外,还出现了监测员工离职动向的工具软件,它可以监测到员工更新、投递简历等行为,以及员工简历被HR、猎头查看次数等信息。换言之,无论你是准备跳槽还是被猎头相中,都会被实时监测并推送给现单位相关负责人。
网站贩卖个人信息
监测员工离职动向
前一阵子,老胡被裁员了。但他被裁的原因却令人大跌眼镜:因为其在某招聘平台更新了简历。虽然已经屏蔽了现公司,却不知为何还是被公司HR知道了。
递交解除劳动合同通知书时,面对老胡的追问,HR告诉他,“既然你已经打算要走了,继续在这里工作很可能会影响团队合作,所以很抱歉”。当老胡正要解释的时候,HR已经端着水杯离开了。
这个故事来自于由互联网安全从业者所设立的“一本黑”,其旨在将互联网中的黑色产业等从幕后带到台前。
在讲述中,被裁员后的老胡发出了三连问:“上个项目刚刚完结,我把它增加到简历中,这有什么不对吗?求职意向一栏,明明还是不考虑新机会,怎么就说明我打算要走了?再说,我已经屏蔽了公司,为什么HR还能看到我的简历更新情况?”
对此,一本黑用另一个真实案例作了回答:
去年年初,因为工作需要,老黑代管过公司招聘账号3个月。有一天早上,老黑照例打开HR邮箱,想要寻找合适的候选人,突然一封邮件吸引了他的注意,标题是“你公司有3人可能会跳槽,请及时查看”。
邮件内容很简单,只说“X先生等3人有跳槽可能,点击这里查看详情”。按捺不住好奇心的老黑跟随指示,在微信上关注了一个名为“助××猎”的公众号,然后绑定了公司。
第二天一早,老黑就收到一条消息推送,“监测结果提醒:新发现1名员工要跳槽”。老黑经过查询发现,如果想查看所有预警的详细信息,并实时收到平台的监测提醒,则需付费,限时折扣价为1350元/年。
其实这早已不是秘密。今年3月,号称拥有全国最大简历库的某招聘类数据公司被曝公司所有人员被警方带走。
多位业内人士和律师认为,这家公司出事可能与其未经授权获取简历、“贩卖”简历信息等涉嫌侵犯用户隐私权的行为有关。“我们的商业模式概括起来也就8个字——获取简历、数据变现。”产品合伙人刘博曾公开说道。
燃财经曾拿到一份这家公司给客户的商务合作BP(商业计划书)。这份文件称,公司旗下共有38个B端招聘产品,拥有超过170万招聘者用户,数据库有2.2亿自然人的简历,简历累计总数达37亿份。
令人唏嘘的是,这家公司获取数据的手段是爬虫。在其产品中,比如名为“简历时光机”的产品,根据一本黑的介绍,它能够拼命发掘简历上所有的秘密,让HR看到简历上所有修改历史,无论你是新增、修改,亦或删除,统统都逃不掉。
另一款产品“爱伙伴”则是一款可以监测员工离职动向的工具软件,它可以监测到员工更新、投递简历等动作,以及员工简历被HR、猎头查看次数等信息。
用一本黑的话来说,无论你是准备跳槽还是被猎头相中,都会被实时监测并推送给现单位相关负责人。
非法爬取用户数据
涉嫌侵犯个人隐私
这样的灰色利益到底有多大?一位业内人士曾介绍,正常渠道获取简历需要招聘方与招聘网站签订合同,报价通常为每份50元,优惠后的价格也会在10元以上,但用爬虫手段获取简历省去了这一成本。
“用户在招聘平台上进行的更新、投放简历等行为属于用户隐私范畴,也是用户的个人信息。”中国政法大学知识产权研究中心研究员赵占领认为,招聘软件或平台有其产品本身的特点,必然会收集到用户信息,本身并不违法,这是其业务特点决定的。“但在收集完这些信息之后,未经用户同意,把这些信息提供给第三方,比如说给其所在公司老板,让老板知道他的雇员有什么样的动态,这就侵犯了用户的隐私权。”
在肯定上述行为涉嫌违法的同时,中国传媒大学政法学院法律系副主任郑宁还提出了依据:刑法第285条规定,非法获取计算机信息系统数据、非法控制计算机信息系统罪是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。刑法第285条第2款明确规定,犯本罪的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“上述公司非法爬取用户数据,可能构成此罪。”郑宁说,同时还涉嫌违反网络安全法,“员工在求职网站上登记信息时,同意公开的应该只是最终显示的信息,而新增、修改、删除的信息,以及简历被其他HR、猎头查看次数等信息并不在其列。未经用户明示同意收集、使用这些信息,并向第三方提供,违反了网络安全法的规定”。
2017年6月1日,《中华人民共和国网络安全法》开始施行。其中明确规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
针对上述法律法规,德勤风险咨询部门信息技术风险团队就曾对企业建议,应尽快盘点已搜集、使用、存储的信息类型,个人信息对应的容器和载体,内部访问、处理、分析、使用个人信息对应的人员岗位,存储这些信息的系统情况,以及这些个人信息是否会被内部人员或者系统后台接口的方式披露、传输给外部第三方等信息,并就此评估当时业务操作与系统操作的现状是否能满足网络安全法中的法规要求。
未经被收集者同意
用户信息不得公开
查阅相关资料,记者注意到“爱伙伴”相关负责人曾对媒体说,简历中不存在法理规定的个人隐私信息,并且相关软件只解析简历信息中个人教育经历和个人求职经历两部分,是属于个人可向公众开放并知悉的信息。对于简历中的照片、联系方式、身份证等不在获取范围,解析前已经做了脱敏处理。
面对这样的解释,不少求职者认为根本站不住脚,“简历中的种种信息已经涉及到公民个人信息事项”。
“这种解释是与实际不符的。”在赵占领看来,如果按照这种说法,完全做脱敏处理,就不会出现把求职者的信息发给其公司相关负责人的情况,所以这种说法肯定是与实际情况不符的。此外,简历里的一些信息是有其可被知悉的范围的。如用户的教育信息会在一定的范围内被特定的某些人所知悉,但这并不意味着这类信息就不是用户隐私。
“关于这种行为是否涉及网络安全法中的公民个人信息事项,首先要明晰隐私和信息的概念。”赵占领分析说,隐私和信息的概念是有重合的,一般来讲,个人信息的概念范围更大一些,用户不想让他人知悉的这部分个人信息是隐私,用户求职时向某些公司发送简历的行为属于隐私范围,但同时也是个人信息。
“未经用户同意将用户的个人信息,甚至是隐私提供给他人,是违反网络安全法和全国人大常委会关于加强网络信息保护的决定的。这两份法律里都涉及对个人信息的收集使用需要遵循基本规则和程序正确,也就是说你要经过用户的同意。”赵占领说。
对此,郑宁同样认为,“如果用户同意公开,或者经过处理无法识别到用户个人的才可以公开”,因为网络安全法第42条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
值得注意的是,越来越多的用户数据处于“裸奔”状态,隐私信息泄露已经成为让人担忧却又束手无策的顽疾。一般存在两种情况,包括从招聘平台内部泄露和第三方数据抓取。
今年1月,界面新闻曾经报道超过2亿求职者简历泄露,曝光时间接近一周。人力资源服务企业前程无忧和58同城可能是简历数据来源,58同城的新闻发言人当时回应称,“简历数据不是从58同城的平台上泄露的”,而是用户将简历设置为公开可见时,被第三方数据抓取。
那么,针对这样的简历大数据公司,求职者能否报警,还是只能忍气吞声?
赵占领认为可以通过两个方法解决:第一,可以向网信部门下的个人信息保护的主管部门举报,如各地的网信办,尤其是大数据公司注册地的网信办。第二,如果涉嫌犯罪的可以向公安机关报案。如果发现很多人都存在信息可能被泄露的情况,可以一起向公安机关报案。这可能涉嫌刑事犯罪,侵犯公民个人信息罪。
“根据法律规定,求职者可以拨打热线电话12377向当地网信主管部门投诉,请求对网站进行行政处罚,涉嫌犯罪的可以报警。”郑宁说。(赵丽 谢惠续)