个人信息泄露防不胜防 大数据公司爬取简历现象频发(2)

　　令人唏嘘的是，这家公司获取数据的手段是爬虫。在其产品中，比如名为“简历时光机”的产品，根据一本黑的介绍，它能够拼命发掘简历上所有的秘密，让HR看到简历上所有修改历史，无论你是新增、修改，亦或删除，统统都逃不掉。
　　另一款产品“爱伙伴”则是一款可以监测员工离职动向的工具软件，它可以监测到员工更新、投递简历等动作，以及员工简历被HR、猎头查看次数等信息。
　　用一本黑的话来说，无论你是准备跳槽还是被猎头相中，都会被实时监测并推送给现单位相关负责人。
　　非法爬取用户数据
　　涉嫌侵犯个人隐私
　　这样的灰色利益到底有多大？一位业内人士曾介绍，正常渠道获取简历需要招聘方与招聘网站签订合同，报价通常为每份50元，优惠后的价格也会在10元以上，但用爬虫手段获取简历省去了这一成本。
　　“用户在招聘平台上进行的更新、投放简历等行为属于用户隐私范畴，也是用户的个人信息。”中国政法大学知识产权研究中心研究员赵占领认为，招聘软件或平台有其产品本身的特点，必然会收集到用户信息，本身并不违法，这是其业务特点决定的。“但在收集完这些信息之后，未经用户同意，把这些信息提供给第三方，比如说给其所在公司老板，让老板知道他的雇员有什么样的动态，这就侵犯了用户的隐私权。”
　　在肯定上述行为涉嫌违法的同时，中国传媒大学政法学院法律系副主任郑宁还提出了依据：刑法第285条规定，非法获取计算机信息系统数据、非法控制计算机信息系统罪是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的行为。刑法第285条第2款明确规定，犯本罪的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
　　“上述公司非法爬取用户数据，可能构成此罪。”郑宁说，同时还涉嫌违反网络安全法，“员工在求职网站上登记信息时，同意公开的应该只是最终显示的信息，而新增、修改、删除的信息，以及简历被其他HR、猎头查看次数等信息并不在其列。未经用户明示同意收集、使用这些信息，并向第三方提供，违反了网络安全法的规定”。
　　2017年6月1日，《中华人民共和国网络安全法》开始施行。其中明确规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。
　　针对上述法律法规，德勤风险咨询部门信息技术风险团队就曾对企业建议，应尽快盘点已搜集、使用、存储的信息类型，个人信息对应的容器和载体，内部访问、处理、分析、使用个人信息对应的人员岗位，存储这些信息的系统情况，以及这些个人信息是否会被内部人员或者系统后台接口的方式披露、传输给外部第三方等信息，并就此评估当时业务操作与系统操作的现状是否能满足网络安全法中的法规要求。
　　未经被收集者同意
　　用户信息不得公开
　　查阅相关资料，记者注意到“爱伙伴”相关负责人曾对媒体说，简历中不存在法理规定的个人隐私信息，并且相关软件只解析简历信息中个人教育经历和个人求职经历两部分，是属于个人可向公众开放并知悉的信息。对于简历中的照片、联系方式、身份证等不在获取范围，解析前已经做了脱敏处理。