日前,北京市朝阳区人民法院审理了一起“智联招聘”员工参与倒卖个人信息案。由于涉及范围大、人数广,这起案件备受社会关注。

智联招聘这样一家大型互联网公司,为何会出现如此的漏洞?

员工倒卖用户简历 智联招聘致歉

惊...每条1元(惊...每条1元)(1)

智联招聘曾发表声明宣称,2018年6月智联招聘在日常巡查中,发现淘宝网络上有售卖简历的行为,并在第一时间报案。根据公诉机关指控,2018年,郑某结识了在“智联招聘”上海分公司的销售人员卢某和王某,开始从二人处购买简历,通过伪造营业执照非法获取100多个账号,一个账号2800份简历,每份简历售卖4.5元,郑某总计支付金额超过120万元。对于这样的犯罪事实,在7月5日第二次开庭审理中,被告人卢某表示,他自己并未从中获益,而另一被告人王某,对公诉人提出的郑某能提供多家公司营业执照是否符合常理的疑问,王某称其并未考虑太多。据悉,此案未当庭宣判。对此,智联招聘负责人对这起案件的发生向广大消费者表示歉意,同时表示,今后公司将推出一系列举措,杜绝此类事件的再次发生。

惊...每条1元(惊...每条1元)(2)

智联招聘执行副总裁 李强: 我们对于本次涉及到少量用户信息泄露的事表示诚挚道歉。因为我们内部比如说对于部分员工法规教育的不足、宣导不足以及他的价值观不坚定,导致他和外部的人串联起来,使部分求职者用户的利益受到一定损害,我们表示真诚的道歉。那我们内部也展开了各种各样的整改。

法律人士认为,目前由于我们国家的《个人信息保护法》尚在起草当中,相关现行法律在保护个人信息方面尚存在不完善之处,这给一些不法分子提供了可乘之机。招聘网站对个人信息管理也存在漏洞,第三方售卖平台也有一定连带责任,应受到相关法律的惩罚。

“超4000条每条仅卖1元”

多名求职者曾反映,自己在招聘网站发布兼职求职信息后,频繁收到骚扰短信、邮件,怀疑自己的简历信息被泄露。记者调查后发现,求职者频繁收到骚扰信息背后,存在一条完整的简历资源倒卖产业链。更有人利用这些信息,通过卡发系统向求职者群发短信,以达到吸粉、营销等目的。

在QQ群查找中以“简历出售”为关键词进行搜索,出现了“赶集58全国简历出售”“简历出售交流群”“全国简历出售回收”等多个疑似简历倒卖群。

惊...每条1元(惊...每条1元)(3)

QQ群查找中以“简历出售”为关键词的检索结果

卖家王强称,他手里有58同城和智联招聘的求职简历信息可以出售,但两个平台提供的均是兼职岗位简历信息。

王强说,58同城简历是以文本的形式出售,每一条包含一位求职者的姓名、年龄、电话等信息,如果购买量大的话,每条1.2-1.5元。如果要购买智联招聘上用户的简历,则需要进入一个特殊的邮箱下载,每份需要2.5元。

简历是如何被泄露的?

当被问及如何获取的这些简历信息时,一位卖家彭军表示,获取这些信息用的是“提取器”,即“用自己的邮箱登入,就可以提了”,而招聘网站根本无法干预。至于更多细节,彭军表示不方便透露,但可以保证这些信息的真实性。

此外,据某公司人力资源专员介绍,目前,各大招聘网站均有付费下载简历的服务,即招聘企业可以通过向招聘平台付费(如购买套餐)的方式,获取求职者的简历信息。

还有知情人士表示,简历信息泄露也可能是招聘网站出现了“内鬼”。记者在采访过程中,就遇到一位自称是某招聘平台内部员工郭江,他表示可以通过内部方式开通后台账号,下载全国任意城市的求职人员简历。

被倒卖的简历去哪了?

到底是什么人在购买简历信息?购买这些简历信息有什么用呢?

郭江透露,他的客户并不是真正有招聘需求的企业,而是一些经营网赚或者刷信誉的公司,还有卖A货的(商家),而这些客户需要的几乎都是兼职简历资源。

彭军则称,他手中的简历资源大部分被拿去做卡发短信。他也做卡发业务,给这些求职者发送短信,可以加名字发送,效率很高。

卡发短信指的是虚拟网关短信,这种短信显示的是服务器上的虚拟手机号码,而且每次都不一样。卡发短信适合大量群发,适用于广告宣传、促销等营销方式。

拿什么保护个人信息

数据安全特别是个人信息安全,已成为一个全球性挑战。作为一种资源,数据体量越庞大越具有更高的市场价值,而市场价值越高的数据就越容易成为侵犯的目标,与此相伴的是,体量越庞大的数据其保护难度就越大,泄露的风险就越大。可以看到,“体量大—价值大—风险大”的属性关系已经成为保护个人数据信息安全必须面对的一个事实。

在数据可以变现的利益驱动下,个人信息侵权案屡屡发生,一方面,由于作案者具备更加先进的网络技术手段,作案具有隐蔽性;另一方面,违法者即使被发现,对其处罚的力度也难以弥补对被侵权人造成的危害和对社会信任产生解构带来的影响,致使违法成本过低。

除了技术漏洞和法律问题外,类似案件多发也有企业制度漏洞的因素。如同智联招聘接连发生“内鬼”事件,数据的泄露往往因为“监守自盗”和里应外合而防不胜防。而类似问题的处理结果,大多是只处理涉事人员,而涉事企业却安然无恙、免受责罚,这也是类似案件始终得不到企业重视的根源。

然而,围绕个人信息的获取、出售等问题已经形成了上、中、下游一套完整的非法产业链,产业链滋生出的诈骗、勒索、绑架甚至故意杀人等犯罪给我们敲醒了一个又一个警钟,而有效解决这一问题还要回归法治的轨道。

实际上,我国有一系列的法律、法规、规章和政策性文件来保护公民信息,但立法的明确性有待进一步提升。如个人信息和隐私权二者之间并没有明确的区分,这就模糊了个人法律救济的边界。对于因“内鬼”问题而发生的侵权事件对企业应该担负的责任也应该有明确的法律规定,以推动企业提升保护技术和完善运行制度。

对于个人让渡隐私后无法监管企业的情况,法律同样要规范授权方式、授权条款、授权范围等各方面内容,特别是不能出现用户一次授权、企业永久使用所有信息的情况。

,