最近58同城遭遇了一次比較嚴重的簡歷泄露,當時新聞上說:據(jù)21世紀經(jīng)濟報記者調(diào)查發(fā)現(xiàn)��,有多個淘寶賣家�����,廉價批發(fā)58同城的簡歷數(shù)據(jù)�,一次購買2萬份以上,3毛一條��;10萬份以上�,2毛一條,要多少有多少��,全部同時實時更新����。更有甚者�,當時淘寶還有賣家直接向企業(yè)出售700元一套的爬蟲軟件���,可以采集全國430多個城市����,464個職業(yè)簡歷數(shù)據(jù)�。
不知道當大家看到此消息時是什么反應,但像58同城�,或者其他招聘類網(wǎng)站,看到這個消息肯定是嚇出一身冷汗����,這真的是非���?膳碌囊患聝�。
談到跟簡歷這類與個人信息有關的法律問題���,北森請到了知名律師錢樹鋒先生和北森大數(shù)據(jù)專家劉生權�、市場副總裁高燕�����,為大家解答一些法律和大數(shù)據(jù)知識:
1.在該事件中緊張的不只是招聘網(wǎng)站,有哪些主體有可能觸碰了法律紅線�,甚至已經(jīng)違法了呢?
錢律師:像這里面牽扯到的58同城是一個信息載體�����,黑客攻破這個載體防線��,從它那里獲取大量的個人信息���,這個黑客的行為是違法加犯罪�����,不僅是違法而且是犯罪了���。
違反了刑法當中侵犯個人信息罪這個罪名。如果有某家公司通過這家黑客向他們購買�,用黑客手段獲取這些個人信息或者簡歷,如果數(shù)量多也是一種犯罪���。數(shù)量少���,起碼也違法��。如果這些鏈條(從黑客環(huán)節(jié)開始�,在接觸��、倒賣�、購買,包括淘寶賣家)不斷延伸���,此鏈條下每個環(huán)節(jié)都處在違法甚至犯罪的情況下��。
2.企業(yè)招聘中����,需要大量接觸重要基礎信息�,我們用一個實際場景���,跟大家分享到底在日常招聘中����,有哪些環(huán)節(jié)容易讓我們觸碰到法律�?
第一個環(huán)節(jié):求職者在各類招聘網(wǎng)站上��,如智聯(lián)招聘�����、前程無憂���、中華英才網(wǎng)、獵聘網(wǎng)等投遞簡歷����。
第二個環(huán)節(jié):HR代表企業(yè)在這些招聘網(wǎng)站中購買簡歷。
第三個環(huán)節(jié):如果有一些企業(yè)購買的簡歷量�、或者招聘數(shù)量特別大,他們往往會借助第三方軟件�����,如招聘管理軟件��,北森就提供這樣的軟件���,把這些簡歷集中處理�,集中篩選進入到面試環(huán)節(jié)當中���。此時簡歷就會進入到軟件廠商的軟件系統(tǒng)里���。
第四個環(huán)節(jié):HR往往會說缺人����、簡歷量不夠�,永遠處于這樣的“饑渴”狀態(tài)中,他們不斷拓寬簡歷購買渠道����。有時會有一些軟件廠商會把這些簡歷做二次出售,HR會從他們手里購買簡歷��。
3.以上哪個環(huán)節(jié)有可能涉及到違法�?
錢律師:一般情況下求職者通過招聘網(wǎng)站投遞自己的簡歷,是希望自己的簡歷通過這個平臺被很多用人企業(yè)發(fā)現(xiàn)�、使用。招聘網(wǎng)站往往會設計一個登錄步驟���,求職者通過登錄步驟���,成為招聘網(wǎng)站的會員�,在這個步驟過中�����,招聘網(wǎng)站會跟求職者有一個協(xié)議��。
即求職者允許招聘網(wǎng)站將其簡歷進行推廣��、出售等�����。若這些網(wǎng)站都有這些措施�,等于再去出售���、使用這個簡歷�,已經(jīng)得到求職者的授權�。所以一些用人單位的HR從招聘網(wǎng)站直接下載、購買這種簡歷多數(shù)情況下不違法�,或者說,只要招聘網(wǎng)站跟求職者之間有這樣的協(xié)議�����,那就是不違法的。
4.第二個環(huán)節(jié)���,軟件廠商幫HR保存了簡歷����,然后把簡歷做二次出售����,HR購買這個環(huán)節(jié)呢?
錢律師:若軟件廠商身份只是信息保管者���,提供保管平臺����,再次出售就是違法����,他沒有得到任何許可,就不具備任何合法的條件或資質(zhì)����,沒有合法的前提。
5.從法律上講���,您覺得軟件廠商如果申請可以具備出售簡歷的資質(zhì)����,這個在法律范圍之內(nèi)可行嗎����?
錢律師:法律范圍之內(nèi)就看一個詞即“是否合法”。目前民法體系的法律�,不會就這樣的行為做直接規(guī)定,多數(shù)看你是否得到權利人的授權和許可�����。
如果求職者��,在招聘網(wǎng)站上�,登錄上傳簡歷后,招聘網(wǎng)站的合同其中有一條��,我保存到哪一個平臺之后�,保存平臺也有權出售。求職者如果同意����,他如果恨不得全天下所有用人單位都可以看到我的簡歷,他希望擴大。那此時軟件廠商等于也得到合理�、合法授權。
現(xiàn)實中�,招聘網(wǎng)站不會這樣做,因為這相當于讓下游的軟件廠商搶自己的生意�����。從招聘網(wǎng)站和軟件廠商的合作關系講�,前者很怕軟件廠商那樣做,如果那樣做�����,就不愿意跟后者打通接口了���。
6.有時軟件廠商跟HR做交易�,說“您放心購買��,關于這個數(shù)據(jù)合法性��,我來保障�,您只要放心購買就行”,原則上還會把這個條款寫到協(xié)議中�,向HR保證信息安全權利���。但實際上他并沒有私下獲得求職者的授權,該情況下�����,一旦發(fā)生買賣行為����,HR要承擔責任嗎���?
錢律師:如果你是成年人�����,你有完全的判斷能力和行為能力�,你能否在普通人的判斷能力之下�����,判斷該事項�。如果軟件平臺商告訴你我這個絕對合法你放心吧。但你能通過普通人的判斷他說的是大話����、假話�����,你還故意買�����,反正他保證了��,我就買��。你還是有責任的�。
回到58同城的簡歷泄露�,即使在淘寶購買簡歷,對方說我不是黑客����,我就是可以賣給你這些數(shù)據(jù),你也要思考下����,他怎么可能有這個資質(zhì)。
7.一旦在過程中出現(xiàn)法律責任��,不同的人和主體分別在這個鏈條上承擔什么責任?若HR知道渠道是非法的�,但為了獲取更多簡歷還是購買了,在此過程中��,誰承擔主要責任�����,量刑有多重�?
錢律師:若這里面構成了刑法說的侵犯公民個人信息罪的罪名����,刑法上對這塊判斷分兩檔。一檔是情節(jié)嚴重��,是三年以下有期徒刑拘役罰金���。情節(jié)特別嚴重是三年以上�����,七年以下有期徒刑��。
現(xiàn)在關于什么是情節(jié)嚴重����,什么是特別嚴重還比較模糊,最高院聯(lián)合最高檢正在出臺司法解釋�,這個出臺就特別清晰。綜合全國案例����,有的是根據(jù)出售份數(shù),我碰到一個最少的份數(shù)是2800份�����,最少金額是3200元����。要提醒大家,正因為現(xiàn)在沒有這么細的規(guī)定��,可能一個不經(jīng)意的舉動反而會造成更大的麻煩�。
8.關于執(zhí)行細則,是否有明確的時間表�����,大概在何時頒布���?另315公布了民法總則����,今年10月1日正式生效��,該總則規(guī)定了哪方面的責任��?
錢律師:最高院�、最高檢已將草案送審��,送審通過后,最快幾個月就可以出細則�����。
關于個人信息保護這塊��,在民法總則頒布前�,從民法系統(tǒng)上講沒有公民個人信息權這個名稱����。關于公民個人信息權利受到侵害后如何維護�,嚴重可以向公安機關報案��,公安機關按侵犯公民個人信息罪定位�,按刑法;不夠嚴重�����,但對社會造成相應的擾亂�,公安機關可用治安處罰法來處理,即行政拘留���。
有一些法律按照侵犯名譽權��、隱私權來處理�。企業(yè)之間���,如新浪���、微信起訴某網(wǎng)站,按照不正當競爭來判。目前全世界已有50多個國家有完整的個人信息保護法�。所以我國應該在不久的將來,也會有這樣的完整法律體系����。
9.HR購買簡歷時,是代表企業(yè)行使權利和責任的�����,是幫企業(yè)拓寬簡歷渠道���。若不小心觸碰法律�,責任人�、責任主體如何確定?
錢律師:從刑法上講���,修正案九���,所有法律條款里�,涉及單位犯罪有兩個主體,一個主體是直接負責主管人員�����,如果招聘HR的直接領導,告訴HR這么做�,那第一責任人就是主管領導,是主犯���。從事該行為的HR是從犯�����,從犯的責任比主犯要小一點��,定罪量刑也會減輕��。
而企業(yè)的法人即法定代表人��,如果不是直接負責的主管人員�����,則不一定會承擔責任�,因為刑法上強調(diào)直接負責的主管人員���,一定要有直接關系��。
10.不僅是招聘獲得簡歷的領域���,我們在招聘過程中����,用人單位�,包括招聘的HR為了確保招聘的人是真才實料會做背景調(diào)查。該過程中是否有可能讓HR們陷入到法律麻煩當中���?
錢律師:做背景調(diào)查像民法上講到的使用錄音作為證據(jù)����,這個可以做參考��。什么錄音證據(jù)是無效的����?若用違法手段進行錄音的錄音證據(jù)無效。如潛入他人的居住房間裝竊聽設備�����,最后錄的音無效�����。像HR����,如果不是用違法手段做背調(diào)是沒問題的。
11.背調(diào)中�����,如果我向求職者以前工作的單位打電話����、調(diào)查,需要獲得求職者授權嗎����?
錢律師:這個不需要,用人單位有權利了解求職者簡歷上所寫信息的真實性�����,其對求職者的人品�����、能力、技能��、學歷等信息都有權利了解���,這是用工方的權利���。
但有時也有可能觸碰到法律紅線:比如,有單位特別怕招聘的女員工剛入職就懷孕�����,就要求女員工提供是否已結婚��、懷孕等證明��。而求職者不想提供���,該單位就用熟人關系到醫(yī)院調(diào)查女員工�����,因為入職時女員工交過一份體驗報告�,他到醫(yī)院調(diào)查�����。結果醫(yī)院告訴他����,該職工剛來辦理孕檢的事項,用人單位就拒絕錄用該女員工�。后來該情況被對方知曉,就跟這個單位干上了�����,這個背景調(diào)查的方式就不一定合法��。因為該信息跟過去的工作表現(xiàn)���、工作能力沒有關系���,甚至某種程度上是一個隱私信息。
12.以前軟件是安裝版��,企業(yè)傾向于自己開發(fā)���,本地部署�����,所有簡歷數(shù)據(jù)都放在企業(yè)的服務器上進行本地保護�����,是否這樣更安全�?但如今軟件放在云計算平臺,在安全性上�,泄露風險是否更高?
劉生權:我認為云計算軟件和本地部署的軟件�����,除了物理隔絕的能力上面�����,本地部署具有不可替代的優(yōu)勢�。
排除這個優(yōu)勢,別的方面我只能說本地部署的軟件安全性不優(yōu)于云計算的軟件����。因為在某種程度上軟件安全與否,關鍵在于守護這部分數(shù)據(jù)資產(chǎn)的團隊,以及使用技術設備這樣的抵抗風險的能力��,而與部署形式?jīng)]有直接關聯(lián)��。
像招聘管理軟件互聯(lián)網(wǎng)時代�����,系統(tǒng)不可能不和外界發(fā)生關聯(lián)�,我們沒有看到一個企業(yè)的招聘管理軟件是跟外界隔離的�����。
從這個角度看本地部署的軟件只要跟外界產(chǎn)生互聯(lián)互通�����,就喪失了物理隔離的安全優(yōu)勢�����。這樣的情況看����,所面臨的安全風險和云計算方式其實是差不多的。
13.像北森��,我們都采取哪些方式確保數(shù)據(jù)安全?一方面我們采取一些物理手段�,確保數(shù)據(jù)不被泄露;另外,當簡歷到了北森的軟件平臺��,數(shù)據(jù)所有權到底屬于誰�����?
劉生權:在云計算安全上����,如北森這些廠商�����,作為客戶的安全提供方�,簡單來說就是客戶數(shù)據(jù)的“看家狗”,幫助客戶保護數(shù)據(jù)安全����。對于數(shù)據(jù),客戶擁有所有簡歷數(shù)據(jù)的所有權��。數(shù)據(jù)雖然放在我們的平臺上管理,但數(shù)據(jù)屬于客戶����。我們不會拿客戶的簡歷做一些其他商業(yè)行為。
另外安全和安全風險是一個矛和盾的斗爭過程��,網(wǎng)絡世界每天都會出現(xiàn)新的風險�,不斷出現(xiàn)新的工具。相對而言����,我們會不斷根據(jù)新的工具狀態(tài)出現(xiàn)完善防護,更好地保護數(shù)據(jù)體系���。
北森有一個鷹眼,我們每天通過鷹眼去看整個系統(tǒng)運營情況����,確保系統(tǒng)順暢,更重要的��,我們會及時發(fā)現(xiàn)安全漏洞或者安全問題及時做相應處理����,不斷完善安全運營體系。
14.我們不免有一個擔心,像北森會研究大數(shù)據(jù)�。那么廠商研究大數(shù)據(jù)的同時,不就是在用大家的簡歷數(shù)據(jù)嗎���,那你怎么說尊重客戶的數(shù)據(jù)擁有權呢���?
劉生權:北森作為軟件的提供商,很重要的產(chǎn)品就是招聘管理軟件�����。我們每天都戰(zhàn)戰(zhàn)兢兢���,要向招聘網(wǎng)站等渠道不斷地說:我們是合作關系�,北森上不碰簡歷�����,下不做招聘服務���。我們要非常嚴格地遵守招聘網(wǎng)站對于求職者簡歷的擁有權�����,也會尊重企業(yè)對簡歷購買后的擁有權����。
我們會定期做一些招聘渠道分析,這個數(shù)據(jù)來自于我們大數(shù)據(jù)的數(shù)據(jù)體系�����,我們會將大數(shù)據(jù)跟敏感數(shù)據(jù)進行脫敏����。做數(shù)據(jù)分析之前,首先不會針對個人��,而是做整體數(shù)據(jù)分析�。在分析過程中,會排除識別性的數(shù)據(jù)��,這個在分析中不起作用�,我們會將這些相關數(shù)據(jù)從分析的數(shù)據(jù)中脫敏掉�����。然后去分析一些宏觀性的東西��,比如學歷、年齡�、地域情況,包括測評相關的趨勢性���。這個數(shù)據(jù)不涉及到個人隱私���,并且個人隱私性數(shù)據(jù)在我們大數(shù)據(jù)分析下也沒有用。
正在使用北森招聘管理軟件的客戶朋友�,如果有一天,某家公司跟我們提要求說�����,我想做一個數(shù)據(jù)對比分析�����,你能不能把我的競爭對手�,恰好也在用你們的招聘管理軟件,能否把他們家的數(shù)據(jù)對比做分析給我們看����。對不起這事兒我們真不能做,因為這是唯一識別某一家企業(yè)的具體數(shù)據(jù)����。
15.一家獵頭公司因為公司屬性的原因�,在前程或智聯(lián)上直接購買簡歷����,費用很高,然后就委托第三方公司在前程或智聯(lián)下載再轉(zhuǎn)發(fā)���,這樣費用低一些���,請問這違法嗎?
錢律師:第三方公司從前程和智聯(lián)上下載的簡歷���,無論是合法還是違法渠道���,都無權擅自再次出售。法律規(guī)定你獲取的任何和個人信息有關的信息都應該是合法取得�,合法取得的延伸就是你不能再去傳播。你要合法收集���,它沒有合法的轉(zhuǎn)讓權、出售權����、傳播權�����,通過違法的前提下�,重新獲得���。費用低一點���,那就是一種違法購買,肯定是違法的�。
16.粉絲:北森既做ATS又做招聘,如果HR綁定其他渠道的簡歷�����,北森的招聘模塊會不會觸碰到這部分簡歷����?
高燕:首先需要澄清一下,北森只做招聘軟件�,我們自己不做招聘業(yè)務,不存在從渠道過來的簡歷���,我們把它再次使用���、傳播和出售�����,這是絕對不做的�����。
但北森為了方便所有HR招聘人員�,我們開放和所有上游的招聘網(wǎng)站���,愿意跟他們打開接口�����。因為任何一個企業(yè)招聘不只依賴一個渠道���,我們希望通過多個渠道獲取簡歷,但我們不會碰這部分簡歷�����。
17.現(xiàn)在不同的企業(yè)中的HR會交換簡歷�,這個行為合法性是怎么樣的?
錢律師:我們獲得他人的信息���,前提是合法獲得��。合法獲得之后有一個義務就是你不能違法傳輸�����。如果HR之間交換了���,等于已經(jīng)構成違法傳輸,這個肯定不合法����。
18.粉絲:我是公司的IT人員,使用本公司招聘網(wǎng)站的用戶和密碼����,用爬蟲技術,把投遞我司的職位簡歷獲取到本地�,這個行為是否違法?
劉生權:我需要解釋一下爬蟲技術,我們?nèi)斯さ卿浀秸衅妇W(wǎng)站���,是用用戶名和密碼登錄進去�����,把簡歷下載下來���,整個過程是合法的。因為應聘者投遞簡歷時�,把簡歷授權給你了。而這個所謂爬蟲技術���,只是讓這個過程變得自動化��,如果這個下載量比較大��,簡歷比較多的話��,逐個下載工作量非常龐大����,爬蟲技術讓這些工作變得智能化而已�。
錢律師:如果沒有使用黑客技術攻破招聘的防護系統(tǒng),非法獲取簡歷,而是用更便捷�,那這個沒問題。
但是有另外一個情形�����,像58簡歷泄露��,人家也賣爬蟲�,這個爬蟲我給你這套軟件�����,你就可以把他們的軟件下載下來��,這是違法的����。兩者中一個是合法登入,一個是違法侵入�,性質(zhì)不同。
最后���,提醒所有HR朋友����,秉持著這些法律紅線之內(nèi)的東西我們不做,其實你就沒什么風險�。
我們在梳理整個招聘過程當中,每一個鏈條����、每一個環(huán)節(jié)都可能有法律風險,每一個HR都特別不容易���,我們每天都心系公司��,但萬一我們不知道這些法律規(guī)定�,就可能好心辦了壞事兒��,反倒讓自己承擔這些法律風險�����,這是非常不值得的�。
聲明:CSDN刊登此文出于傳遞更多信息之目的,并不意味著贊同其觀點或論證其描述�����。
新聞資訊 
2017-04-20 16:19:21 
