首頁(yè)>要聞 要聞

個(gè)人信息泄露防不勝防 大數(shù)據(jù)公司爬取簡(jiǎn)歷現(xiàn)象頻發(fā)

2019年07月06日 09:08 | 來(lái)源:法制日?qǐng)?bào)
分享到: 

泄露用戶(hù)個(gè)人信息防不勝防

大數(shù)據(jù)公司爬取簡(jiǎn)歷打小報(bào)告推送廣告等侵權(quán)現(xiàn)象頻發(fā)

一些簡(jiǎn)歷大數(shù)據(jù)公司拼命發(fā)掘求職者簡(jiǎn)歷上所有的秘密,并出現(xiàn)了監(jiān)測(cè)員工離職動(dòng)向的工具軟件,它可以監(jiān)測(cè)到員工更新、投遞簡(jiǎn)歷等行為,以及員工簡(jiǎn)歷被HR、獵頭查看次數(shù)等信息

越來(lái)越多的用戶(hù)數(shù)據(jù)處于“裸奔”狀態(tài),隱私信息泄露已經(jīng)成為讓人擔(dān)憂(yōu)卻又束手無(wú)策的頑疾。一般存在兩種情況,包括從招聘平臺(tái)內(nèi)部泄露和第三方數(shù)據(jù)抓取

根據(jù)法律規(guī)定,求職者簡(jiǎn)歷信息遭泄露后,可以向當(dāng)?shù)鼐W(wǎng)信主管部門(mén)投訴,請(qǐng)求對(duì)網(wǎng)站進(jìn)行行政處罰,涉嫌犯罪的可以報(bào)警

□ 本報(bào)記者  趙 麗

□ 本報(bào)實(shí)習(xí)生 謝惠續(xù)

又到了高校畢業(yè)季,許多畢業(yè)生都在忙著投簡(jiǎn)歷找工作——面對(duì)日益激烈的求職競(jìng)爭(zhēng),就業(yè)問(wèn)題早已成為社會(huì)各界關(guān)心的熱門(mén)話(huà)題。然而,關(guān)于簡(jiǎn)歷大數(shù)據(jù)公司爬蟲(chóng)“偷”簡(jiǎn)歷、“打小報(bào)告”、推送垃圾廣告等被曝光后,也讓包括應(yīng)聘者在內(nèi)的所有人都不得不擔(dān)心個(gè)人信息安全問(wèn)題。

《法制日?qǐng)?bào)》記者在調(diào)查中發(fā)現(xiàn),一些簡(jiǎn)歷大數(shù)據(jù)公司拼命發(fā)掘求職者簡(jiǎn)歷上所有的秘密,讓HR看到簡(jiǎn)歷上所有修改歷史。此外,還出現(xiàn)了監(jiān)測(cè)員工離職動(dòng)向的工具軟件,它可以監(jiān)測(cè)到員工更新、投遞簡(jiǎn)歷等行為,以及員工簡(jiǎn)歷被HR、獵頭查看次數(shù)等信息。換言之,無(wú)論你是準(zhǔn)備跳槽還是被獵頭相中,都會(huì)被實(shí)時(shí)監(jiān)測(cè)并推送給現(xiàn)單位相關(guān)負(fù)責(zé)人。

網(wǎng)站販賣(mài)個(gè)人信息

監(jiān)測(cè)員工離職動(dòng)向

前一陣子,老胡被裁員了。但他被裁的原因卻令人大跌眼鏡:因?yàn)槠湓谀痴衅钙脚_(tái)更新了簡(jiǎn)歷。雖然已經(jīng)屏蔽了現(xiàn)公司,卻不知為何還是被公司HR知道了。

遞交解除勞動(dòng)合同通知書(shū)時(shí),面對(duì)老胡的追問(wèn),HR告訴他,“既然你已經(jīng)打算要走了,繼續(xù)在這里工作很可能會(huì)影響團(tuán)隊(duì)合作,所以很抱歉”。當(dāng)老胡正要解釋的時(shí)候,HR已經(jīng)端著水杯離開(kāi)了。

這個(gè)故事來(lái)自于由互聯(lián)網(wǎng)安全從業(yè)者所設(shè)立的“一本黑”,其旨在將互聯(lián)網(wǎng)中的黑色產(chǎn)業(yè)等從幕后帶到臺(tái)前。

在講述中,被裁員后的老胡發(fā)出了三連問(wèn):“上個(gè)項(xiàng)目剛剛完結(jié),我把它增加到簡(jiǎn)歷中,這有什么不對(duì)嗎?求職意向一欄,明明還是不考慮新機(jī)會(huì),怎么就說(shuō)明我打算要走了?再說(shuō),我已經(jīng)屏蔽了公司,為什么HR還能看到我的簡(jiǎn)歷更新情況?”

對(duì)此,一本黑用另一個(gè)真實(shí)案例作了回答:

去年年初,因?yàn)楣ぷ餍枰?,老黑代管過(guò)公司招聘賬號(hào)3個(gè)月。有一天早上,老黑照例打開(kāi)HR郵箱,想要尋找合適的候選人,突然一封郵件吸引了他的注意,標(biāo)題是“你公司有3人可能會(huì)跳槽,請(qǐng)及時(shí)查看”。

郵件內(nèi)容很簡(jiǎn)單,只說(shuō)“X先生等3人有跳槽可能,點(diǎn)擊這里查看詳情”。按捺不住好奇心的老黑跟隨指示,在微信上關(guān)注了一個(gè)名為“助××獵”的公眾號(hào),然后綁定了公司。

第二天一早,老黑就收到一條消息推送,“監(jiān)測(cè)結(jié)果提醒:新發(fā)現(xiàn)1名員工要跳槽”。老黑經(jīng)過(guò)查詢(xún)發(fā)現(xiàn),如果想查看所有預(yù)警的詳細(xì)信息,并實(shí)時(shí)收到平臺(tái)的監(jiān)測(cè)提醒,則需付費(fèi),限時(shí)折扣價(jià)為1350元/年。

其實(shí)這早已不是秘密。今年3月,號(hào)稱(chēng)擁有全國(guó)最大簡(jiǎn)歷庫(kù)的某招聘類(lèi)數(shù)據(jù)公司被曝公司所有人員被警方帶走。

多位業(yè)內(nèi)人士和律師認(rèn)為,這家公司出事可能與其未經(jīng)授權(quán)獲取簡(jiǎn)歷、“販賣(mài)”簡(jiǎn)歷信息等涉嫌侵犯用戶(hù)隱私權(quán)的行為有關(guān)。“我們的商業(yè)模式概括起來(lái)也就8個(gè)字——獲取簡(jiǎn)歷、數(shù)據(jù)變現(xiàn)?!碑a(chǎn)品合伙人劉博曾公開(kāi)說(shuō)道。

燃財(cái)經(jīng)曾拿到一份這家公司給客戶(hù)的商務(wù)合作BP(商業(yè)計(jì)劃書(shū))。這份文件稱(chēng),公司旗下共有38個(gè)B端招聘產(chǎn)品,擁有超過(guò)170萬(wàn)招聘者用戶(hù),數(shù)據(jù)庫(kù)有2.2億自然人的簡(jiǎn)歷,簡(jiǎn)歷累計(jì)總數(shù)達(dá)37億份。

令人唏噓的是,這家公司獲取數(shù)據(jù)的手段是爬蟲(chóng)。在其產(chǎn)品中,比如名為“簡(jiǎn)歷時(shí)光機(jī)”的產(chǎn)品,根據(jù)一本黑的介紹,它能夠拼命發(fā)掘簡(jiǎn)歷上所有的秘密,讓HR看到簡(jiǎn)歷上所有修改歷史,無(wú)論你是新增、修改,亦或刪除,統(tǒng)統(tǒng)都逃不掉。

另一款產(chǎn)品“愛(ài)伙伴”則是一款可以監(jiān)測(cè)員工離職動(dòng)向的工具軟件,它可以監(jiān)測(cè)到員工更新、投遞簡(jiǎn)歷等動(dòng)作,以及員工簡(jiǎn)歷被HR、獵頭查看次數(shù)等信息。

用一本黑的話(huà)來(lái)說(shuō),無(wú)論你是準(zhǔn)備跳槽還是被獵頭相中,都會(huì)被實(shí)時(shí)監(jiān)測(cè)并推送給現(xiàn)單位相關(guān)負(fù)責(zé)人。

非法爬取用戶(hù)數(shù)據(jù)

涉嫌侵犯?jìng)€(gè)人隱私

這樣的灰色利益到底有多大?一位業(yè)內(nèi)人士曾介紹,正常渠道獲取簡(jiǎn)歷需要招聘方與招聘網(wǎng)站簽訂合同,報(bào)價(jià)通常為每份50元,優(yōu)惠后的價(jià)格也會(huì)在10元以上,但用爬蟲(chóng)手段獲取簡(jiǎn)歷省去了這一成本。

“用戶(hù)在招聘平臺(tái)上進(jìn)行的更新、投放簡(jiǎn)歷等行為屬于用戶(hù)隱私范疇,也是用戶(hù)的個(gè)人信息?!敝袊?guó)政法大學(xué)知識(shí)產(chǎn)權(quán)研究中心研究員趙占領(lǐng)認(rèn)為,招聘軟件或平臺(tái)有其產(chǎn)品本身的特點(diǎn),必然會(huì)收集到用戶(hù)信息,本身并不違法,這是其業(yè)務(wù)特點(diǎn)決定的。“但在收集完這些信息之后,未經(jīng)用戶(hù)同意,把這些信息提供給第三方,比如說(shuō)給其所在公司老板,讓老板知道他的雇員有什么樣的動(dòng)態(tài),這就侵犯了用戶(hù)的隱私權(quán)?!?/p>

在肯定上述行為涉嫌違法的同時(shí),中國(guó)傳媒大學(xué)政法學(xué)院法律系副主任鄭寧還提出了依據(jù):刑法第285條規(guī)定,非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪是指違反國(guó)家規(guī)定,侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段,獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù),情節(jié)嚴(yán)重的行為。刑法第285條第2款明確規(guī)定,犯本罪的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。

“上述公司非法爬取用戶(hù)數(shù)據(jù),可能構(gòu)成此罪。”鄭寧說(shuō),同時(shí)還涉嫌違反網(wǎng)絡(luò)安全法,“員工在求職網(wǎng)站上登記信息時(shí),同意公開(kāi)的應(yīng)該只是最終顯示的信息,而新增、修改、刪除的信息,以及簡(jiǎn)歷被其他HR、獵頭查看次數(shù)等信息并不在其列。未經(jīng)用戶(hù)明示同意收集、使用這些信息,并向第三方提供,違反了網(wǎng)絡(luò)安全法的規(guī)定”。

2017年6月1日,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》開(kāi)始施行。其中明確規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開(kāi)收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶(hù)的約定,處理其保存的個(gè)人信息。任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息,不得非法出售或者非法向他人提供個(gè)人信息。

針對(duì)上述法律法規(guī),德勤風(fēng)險(xiǎn)咨詢(xún)部門(mén)信息技術(shù)風(fēng)險(xiǎn)團(tuán)隊(duì)就曾對(duì)企業(yè)建議,應(yīng)盡快盤(pán)點(diǎn)已搜集、使用、存儲(chǔ)的信息類(lèi)型,個(gè)人信息對(duì)應(yīng)的容器和載體,內(nèi)部訪(fǎng)問(wèn)、處理、分析、使用個(gè)人信息對(duì)應(yīng)的人員崗位,存儲(chǔ)這些信息的系統(tǒng)情況,以及這些個(gè)人信息是否會(huì)被內(nèi)部人員或者系統(tǒng)后臺(tái)接口的方式披露、傳輸給外部第三方等信息,并就此評(píng)估當(dāng)時(shí)業(yè)務(wù)操作與系統(tǒng)操作的現(xiàn)狀是否能滿(mǎn)足網(wǎng)絡(luò)安全法中的法規(guī)要求。

未經(jīng)被收集者同意

用戶(hù)信息不得公開(kāi)

查閱相關(guān)資料,記者注意到“愛(ài)伙伴”相關(guān)負(fù)責(zé)人曾對(duì)媒體說(shuō),簡(jiǎn)歷中不存在法理規(guī)定的個(gè)人隱私信息,并且相關(guān)軟件只解析簡(jiǎn)歷信息中個(gè)人教育經(jīng)歷和個(gè)人求職經(jīng)歷兩部分,是屬于個(gè)人可向公眾開(kāi)放并知悉的信息。對(duì)于簡(jiǎn)歷中的照片、聯(lián)系方式、身份證等不在獲取范圍,解析前已經(jīng)做了脫敏處理。

面對(duì)這樣的解釋?zhuān)簧偾舐氄哒J(rèn)為根本站不住腳,“簡(jiǎn)歷中的種種信息已經(jīng)涉及到公民個(gè)人信息事項(xiàng)”。

“這種解釋是與實(shí)際不符的?!痹谮w占領(lǐng)看來(lái),如果按照這種說(shuō)法,完全做脫敏處理,就不會(huì)出現(xiàn)把求職者的信息發(fā)給其公司相關(guān)負(fù)責(zé)人的情況,所以這種說(shuō)法肯定是與實(shí)際情況不符的。此外,簡(jiǎn)歷里的一些信息是有其可被知悉的范圍的。如用戶(hù)的教育信息會(huì)在一定的范圍內(nèi)被特定的某些人所知悉,但這并不意味著這類(lèi)信息就不是用戶(hù)隱私。

“關(guān)于這種行為是否涉及網(wǎng)絡(luò)安全法中的公民個(gè)人信息事項(xiàng),首先要明晰隱私和信息的概念。”趙占領(lǐng)分析說(shuō),隱私和信息的概念是有重合的,一般來(lái)講,個(gè)人信息的概念范圍更大一些,用戶(hù)不想讓他人知悉的這部分個(gè)人信息是隱私,用戶(hù)求職時(shí)向某些公司發(fā)送簡(jiǎn)歷的行為屬于隱私范圍,但同時(shí)也是個(gè)人信息。

“未經(jīng)用戶(hù)同意將用戶(hù)的個(gè)人信息,甚至是隱私提供給他人,是違反網(wǎng)絡(luò)安全法和全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定的。這兩份法律里都涉及對(duì)個(gè)人信息的收集使用需要遵循基本規(guī)則和程序正確,也就是說(shuō)你要經(jīng)過(guò)用戶(hù)的同意。”趙占領(lǐng)說(shuō)。

對(duì)此,鄭寧同樣認(rèn)為,“如果用戶(hù)同意公開(kāi),或者經(jīng)過(guò)處理無(wú)法識(shí)別到用戶(hù)個(gè)人的才可以公開(kāi)”,因?yàn)榫W(wǎng)絡(luò)安全法第42條規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。

值得注意的是,越來(lái)越多的用戶(hù)數(shù)據(jù)處于“裸奔”狀態(tài),隱私信息泄露已經(jīng)成為讓人擔(dān)憂(yōu)卻又束手無(wú)策的頑疾。一般存在兩種情況,包括從招聘平臺(tái)內(nèi)部泄露和第三方數(shù)據(jù)抓取。

今年1月,界面新聞曾經(jīng)報(bào)道超過(guò)2億求職者簡(jiǎn)歷泄露,曝光時(shí)間接近一周。人力資源服務(wù)企業(yè)前程無(wú)憂(yōu)和58同城可能是簡(jiǎn)歷數(shù)據(jù)來(lái)源,58同城的新聞發(fā)言人當(dāng)時(shí)回應(yīng)稱(chēng),“簡(jiǎn)歷數(shù)據(jù)不是從58同城的平臺(tái)上泄露的”,而是用戶(hù)將簡(jiǎn)歷設(shè)置為公開(kāi)可見(jiàn)時(shí),被第三方數(shù)據(jù)抓取。

那么,針對(duì)這樣的簡(jiǎn)歷大數(shù)據(jù)公司,求職者能否報(bào)警,還是只能忍氣吞聲?

趙占領(lǐng)認(rèn)為可以通過(guò)兩個(gè)方法解決:第一,可以向網(wǎng)信部門(mén)下的個(gè)人信息保護(hù)的主管部門(mén)舉報(bào),如各地的網(wǎng)信辦,尤其是大數(shù)據(jù)公司注冊(cè)地的網(wǎng)信辦。第二,如果涉嫌犯罪的可以向公安機(jī)關(guān)報(bào)案。如果發(fā)現(xiàn)很多人都存在信息可能被泄露的情況,可以一起向公安機(jī)關(guān)報(bào)案。這可能涉嫌刑事犯罪,侵犯公民個(gè)人信息罪。

“根據(jù)法律規(guī)定,求職者可以撥打熱線(xiàn)電話(huà)12377向當(dāng)?shù)鼐W(wǎng)信主管部門(mén)投訴,請(qǐng)求對(duì)網(wǎng)站進(jìn)行行政處罰,涉嫌犯罪的可以報(bào)警?!编崒幷f(shuō)。

編輯:曾珂

關(guān)鍵詞:個(gè)人信息泄露防不勝防 大數(shù)據(jù)公司爬取簡(jiǎn)歷現(xiàn)象頻發(fā)

更多

更多