又到了高校结业季,许多结业生都在忙着投简历找工作——面临日益剧烈的求职竞赛,就业问题早已成为社会各界关心的热门话题。可是,关于简历大数据公司爬虫“偷”简历、“打小报告”、推送垃圾广告等被曝光后,也让包含应聘者在内的一切人都不得不担心个人信息安全问题。
《法制日报》记者在查询中发现,一些简历大数据公司拼命开掘求职者简历上一切的隐秘,让HR看到简历上一切修正前史。此外,还呈现了监测职工离职意向的工具软件,它能够监测到职工更新、投递简历等行为,以及职工简历被HR、猎头检查次数等信息。换言之,无论你是预备跳槽仍是被猎头相中,都会被实时监测并推送给现单位相关负责人。
网站贩卖个人信息
监测职工离职意向
前一阵子,老胡被裁人了。但他被裁的原因却令人大跌眼镜:由于其在某招聘途径更新了简历。虽然现已屏蔽了现公司,却不知为何仍是被公司HR知道了。
递送免除劳动合同通知书时,面临老胡的追问,HR告诉他,“既然你现已计划要走了,持续在这儿工作很或许会影响团队协作,所以很抱愧”。当老胡正要解说的时分,HR现已端着水杯离开了。
这个故事来自于由互联网安全从业者所设立的“一本黑”,其旨在将互联网中的黑色工业等从幕后带到台前。
在讲述中,被裁人后的老胡发出了三连问:“上个项目刚刚完结,我把它增加到简历中,这有什么不对吗?求职意向一栏,明明仍是不考虑新时机,怎样就说明我计划要走了?再说,我现已屏蔽了公司,为什么HR还能看到我的简历更新状况?”
对此,一本黑用另一个实在事例作了回答:
去年年初,由于工作需求,老黑代管过公司招聘账号3个月。有一天早上,老黑按例翻开HR邮箱,想要寻找合适的提名人,忽然一封邮件吸引了他的留意,标题是“你公司有3人或许会跳槽,请及时检查”。
邮件内容很简单,只说“X先生等3人有跳槽或许,点击这儿检查详情”。按捺不住好奇心的老黑跟随指示,在微信上重视了一个名为“助××猎”的大众号,然后绑定了公司。
第二天一早,老黑就收到一条音讯推送,“监测结果提醒:新发现1名职工要跳槽”。老黑经过查询发现,假如想检查一切预警的详细信息,并实时收到途径的监测提醒,则需付费,限时折扣价为1350元/年。
其实这早已不是隐秘。今年3月,号称具有全国最大简历库的某招聘类数据公司被曝公司一切人员被警方带走。
多位业内人士和律师以为,这家公司出事或许与其未经授权获取简历、“贩卖”简历信息等涉嫌侵犯用户隐私权的行为有关。“我们的商业模式归纳起来也就8个字——获取简历、数据变现。”产品合伙人刘博曾揭露说道。
燃财经曾拿到一份这家公司给客户的商务协作BP(商业计划书)。这份文件称,公司旗下共有38个B端招聘产品,具有超越170万招聘者用户,数据库有2.2亿自然人的简历,简历累计总数达37亿份。
令人唏嘘的是,这家公司获取数据的手法是爬虫。在其产品中,比方名为“简历时光机”的产品,依据一本黑的介绍,它能够拼命开掘简历上一切的隐秘,让HR看到简历上一切修正前史,无论你是新增、修正,亦或删去,通通都逃不掉。
另一款产品“爱同伴”则是一款能够监测职工离职意向的工具软件,它能够监测到职工更新、投递简历等动作,以及职工简历被HR、猎头检查次数等信息。
用一本黑的话来说,无论你是预备跳槽仍是被猎头相中,都会被实时监测并推送给现单位相关负责人。
不合法爬取用户数据
涉嫌侵犯个人隐私
这样的灰色利益到底有多大?一位业内人士曾介绍,正常途径获取简历需求招聘方与招聘网站签订合同,报价通常为每份50元,优惠后的价格也会在10元以上,但用爬虫手法获取简历省去了这一本钱。
“用户在招聘途径上进行的更新、投进简历等行为归于用户隐私范畴,也是用户的个人信息。”我国政法大学知识产权研究中心研究员赵占据以为,招聘软件或途径有其产品本身的特色,必然会搜集到用户信息,本身并不违法,这是其事务特色决议的。“但在搜集完这些信息之后,未经用户赞同,把这些信息供给给第三方,比方说给其所在公司老板,让老板知道他的雇员有什么样的动态,这就侵犯了用户的隐私权。”
在必定上述行为涉嫌违法的一同,我国传媒大学政法学院法令系副主任郑宁还提出了依据:刑法第285条规矩,不合法获取计算机信息体系数据、不合法控制计算机信息体系罪是指违背国家规矩,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息体系或许采用其他技术手法,获取该计算机信息体系中存储、处理或许传输的数据,情节严重的行为。刑法第285条第2款明确规矩,犯本罪的,处三年以下有期徒刑或许拘役,并处或许单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“上述公司不合法爬取用户数据,或许构成此罪。”郑宁说,一同还涉嫌违背网络安全法,“职工在求职网站上登记信息时,赞同揭露的应该仅仅终究显现的信息,而新增、修正、删去的信息,以及简历被其他HR、猎头检查次数等信息并不在其列。未经用户明示赞同搜集、运用这些信息,并向第三方供给,违背了网络安全法的规矩”。
2017年6月1日,《中华人民共和国网络安全法》开始施行。其间明确规矩,网络运营者搜集、运用个人信息,应当遵循合法、正当、必要的准则,揭露搜集、运用规矩,明示搜集、运用信息的意图、办法和规模,并经被搜集者赞同。网络运营者不得搜集与其供给的服务无关的个人信息,不得违背法令、行政法规的规矩和双方的约好搜集、运用个人信息,并应当按照法令、行政法规的规矩和与用户的约好,处理其保存的个人信息。任何个人和安排不得窃取或许以其他不合法办法获取个人信息,不得不合法出售或许不合法向别人供给个人信息。
针对上述法令法规,德勤危险咨询部门信息技术危险团队就曾对企业建议,应尽快盘点已搜集、运用、存储的信息类型,个人信息对应的容器和载体,内部访问、处理、剖析、运用个人信息对应的人员岗位,存储这些信息的体系状况,以及这些个人信息是否会被内部人员或许体系后台接口的办法发表、传输给外部第三方等信息,并就此评价其时事务操作与体系操作的现状是否能满足网络安全法中的法规要求。
未经被搜集者赞同
用户信息不得揭露
查阅相关材料,记者留意到“爱同伴”相关负责人曾对媒体说,简历中不存在法理规矩的个人隐私信息,并且相关软件只解析简历信息中个人教育经历和个人求职经历两部分,是归于个人可向大众开放并知悉的信息。对于简历中的相片、联系办法、身份证等不在获取规模,解析前现已做了脱敏处理。
面临这样的解说,不少求职者以为根本站不住脚,“简历中的种种信息现已涉及到公民个人信息事项”。
“这种解说是与实践不符的。”在赵占据看来,假如按照这种说法,完全做脱敏处理,就不会呈现把求职者的信息发给其公司相关负责人的状况,所以这种说法必定是与实践状况不符的。此外,简历里的一些信息是有其可被知悉的规模的。如用户的教育信息会在一定的规模内被特定的某些人所知悉,但这并不意味着这类信息就不是用户隐私。
“关于这种行为是否涉及网络安全法中的公民个人信息事项,首先要清楚隐私和信息的概念。”赵占据剖析说,隐私和信息的概念是有重合的,一般来讲,个人信息的概念规模更大一些,用户不想让别人知悉的这部分个人信息是隐私,用户求职时向某些公司发送简历的行为归于隐私规模,但一同也是个人信息。
“未经用户赞同将用户的个人信息,乃至是隐私供给给别人,是违背网络安全法和全国人大常委会关于加强网络信息维护的决议的。这两份法令里都涉及对个人信息的搜集运用需求遵循根本规矩和程序正确,也就是说你要经过用户的赞同。”赵占据说。
对此,郑宁相同以为,“假如用户赞同揭露,或许经过处理无法识别到用户个人的才能够揭露”,由于网络安全法第42条规矩,网络运营者不得走漏、篡改、毁损其搜集的个人信息;未经被搜集者赞同,不得向别人供给个人信息。可是,经过处理无法识别特定个人且不能复原的在外。
值得留意的是,越来越多的用户数据处于“裸奔”状况,隐私信息走漏现已成为让人忧虑却又束手无策的顽疾。一般存在两种状况,包含从招聘途径内部走漏和第三方数据抓取。
今年1月,界面新闻从前报道超越2亿求职者简历走漏,曝光时间接近一周。人力资源服务企业出息无忧和58同城或许是简历数据来源,58同城的新闻发言人其时回应称,“简历数据不是从58同城的途径上走漏的”,而是用户将简历设置为揭露可见时,被第三方数据抓取。
那么,针对这样的简历大数据公司,求职者能否报警,仍是只能忍气吞声?
赵占据以为能够经过两个办法处理:第一,能够向网信部门下的个人信息维护的主管部门告发,如各地的网信办,尤其是大数据公司注册地的网信办。第二,假如涉嫌犯罪的能够向公安机关报案。假如发现很多人都存在信息或许被走漏的状况,能够一同向公安机关报案。这或许涉嫌刑事犯罪,侵犯公民个人信息罪。
“依据法令规矩,求职者能够拨打热线电话12377向当地网信主管部门投诉,恳求对网站进行行政处罚,涉嫌犯罪的能够报警。”郑宁说。