最近58同城遭遇了一次比較嚴重的簡歷泄露，當時新聞上說：據21世紀經濟報記者調查發現，有多個淘寶賣家，廉價批發58同城的簡歷數據，一次購買2萬份以上，3毛一條；10萬份以上，2毛一條，要多少有多少，全部同時實時更新。更有甚者，當時淘寶還有賣家直接向企業出售700元一套的爬蟲軟件，可以采集全國430多個城市，464個職業簡歷數據。

不知道當大家看到此消息時是什么反應，但像58同城，或者其他招聘類網站，看到這個消息肯定是嚇出一身冷汗，這真的是非常可怕的一件事兒。

談到跟簡歷這類與個人信息有關的法律問題，北森請到了知名律師錢樹鋒先生和北森大數據專家劉生權、市場副總裁高燕，為大家解答一些法律和大數據知識：

1.在該事件中緊張的不只是招聘網站，有哪些主體有可能觸碰了法律紅線，甚至已經違法了呢？

錢律師：像這里面牽扯到的58同城是一個信息載體，黑客攻破這個載體防線，從它那里獲取大量的個人信息，這個黑客的行為是違法加犯罪，不僅是違法而且是犯罪了。

違反了刑法當中侵犯個人信息罪這個罪名。如果有某家公司通過這家黑客向他們購買，用黑客手段獲取這些個人信息或者簡歷，如果數量多也是一種犯罪。數量少，起碼也違法。如果這些鏈條（從黑客環節開始，在接觸、倒賣、購買，包括淘寶賣家）不斷延伸，此鏈條下每個環節都處在違法甚至犯罪的情況下。

2.企業招聘中，需要大量接觸重要基礎信息，我們用一個實際場景，跟大家分享到底在日常招聘中，有哪些環節容易讓我們觸碰到法律？

 

第一個環節：求職者在各類招聘網站上，如智聯招聘、前程無憂、中華英才網、獵聘網等投遞簡歷。

第二個環節：HR代表企業在這些招聘網站中購買簡歷。

第三個環節：如果有一些企業購買的簡歷量、或者招聘數量特別大，他們往往會借助第三方軟件，如招聘管理軟件，北森就提供這樣的軟件，把這些簡歷集中處理，集中篩選進入到面試環節當中。此時簡歷就會進入到軟件廠商的軟件系統里。

第四個環節：HR往往會說缺人、簡歷量不夠，永遠處于這樣的“饑渴”狀態中，他們不斷拓寬簡歷購買渠道。有時會有一些軟件廠商會把這些簡歷做二次出售，HR會從他們手里購買簡歷。

3.以上哪個環節有可能涉及到違法？

錢律師：一般情況下求職者通過招聘網站投遞自己的簡歷，是希望自己的簡歷通過這個平臺被很多用人企業發現、使用。招聘網站往往會設計一個登錄步驟，求職者通過登錄步驟，成為招聘網站的會員，在這個步驟過中，招聘網站會跟求職者有一個協議。

即求職者允許招聘網站將其簡歷進行推廣、出售等。若這些網站都有這些措施，等于再去出售、使用這個簡歷，已經得到求職者的授權。所以一些用人單位的HR從招聘網站直接下載、購買這種簡歷多數情況下不違法，或者說，只要招聘網站跟求職者之間有這樣的協議，那就是不違法的。

4.第二個環節，軟件廠商幫HR保存了簡歷，然后把簡歷做二次出售，HR購買這個環節呢？

錢律師：若軟件廠商身份只是信息保管者，提供保管平臺，再次出售就是違法，他沒有得到任何許可，就不具備任何合法的條件或資質，沒有合法的前提。

5.從法律上講，您覺得軟件廠商如果申請可以具備出售簡歷的資質，這個在法律范圍之內可行嗎？

錢律師：法律范圍之內就看一個詞即“是否合法”。目前民法體系的法律，不會就這樣的行為做直接規定，多數看你是否得到權利人的授權和許可。

如果求職者，在招聘網站上，登錄上傳簡歷后，招聘網站的合同其中有一條，我保存到哪一個平臺之后，保存平臺也有權出售。求職者如果同意，他如果恨不得全天下所有用人單位都可以看到我的簡歷，他希望擴大。那此時軟件廠商等于也得到合理、合法授權。

現實中，招聘網站不會這樣做，因為這相當于讓下游的軟件廠商搶自己的生意。從招聘網站和軟件廠商的合作關系講，前者很怕軟件廠商那樣做，如果那樣做，就不愿意跟后者打通接口了。

6.有時軟件廠商跟HR做交易，說“您放心購買，關于這個數據合法性，我來保障，您只要放心購買就行”，原則上還會把這個條款寫到協議中，向HR保證信息安全權利。但實際上他并沒有私下獲得求職者的授權，該情況下，一旦發生買賣行為，HR要承擔責任嗎？

錢律師：如果你是成年人，你有完全的判斷能力和行為能力，你能否在普通人的判斷能力之下，判斷該事項。如果軟件平臺商告訴你我這個絕對合法你放心吧。但你能通過普通人的判斷他說的是大話、假話，你還故意買，反正他保證了，我就買。你還是有責任的。

回到58同城的簡歷泄露，即使在淘寶購買簡歷，對方說我不是黑客，我就是可以賣給你這些數據，你也要思考下，他怎么可能有這個資質。

7.一旦在過程中出現法律責任，不同的人和主體分別在這個鏈條上承擔什么責任？若HR知道渠道是非法的，但為了獲取更多簡歷還是購買了，在此過程中，誰承擔主要責任，量刑有多重？

錢律師：若這里面構成了刑法說的侵犯公民個人信息罪的罪名，刑法上對這塊判斷分兩檔。一檔是情節嚴重，是三年以下有期徒刑拘役罰金。情節特別嚴重是三年以上，七年以下有期徒刑。

現在關于什么是情節嚴重，什么是特別嚴重還比較模糊，最高院聯合最高檢正在出臺司法解釋，這個出臺就特別清晰。綜合全國案例，有的是根據出售份數，我碰到一個最少的份數是2800份，最少金額是3200元。要提醒大家，正因為現在沒有這么細的規定，可能一個不經意的舉動反而會造成更大的麻煩。

8.關于執行細則，是否有明確的時間表，大概在何時頒布？另315公布了民法總則，今年10月1日正式生效，該總則規定了哪方面的責任？

錢律師：最高院、最高檢已將草案送審，送審通過后，最快幾個月就可以出細則。

關于個人信息保護這塊，在民法總則頒布前，從民法系統上講沒有公民個人信息權這個名稱。關于公民個人信息權利受到侵害后如何維護，嚴重可以向公安機關報案，公安機關按侵犯公民個人信息罪定位，按刑法；不夠嚴重，但對社會造成相應的擾亂，公安機關可用治安處罰法來處理，即行政拘留。

有一些法律按照侵犯名譽權、隱私權來處理。企業之間，如新浪、微信起訴某網站，按照不正當競爭來判。目前全世界已有50多個國家有完整的個人信息保護法。所以我國應該在不久的將來，也會有這樣的完整法律體系。

9.HR購買簡歷時，是代表企業行使權利和責任的，是幫企業拓寬簡歷渠道。若不小心觸碰法律，責任人、責任主體如何確定？

錢律師：從刑法上講，修正案九，所有法律條款里，涉及單位犯罪有兩個主體，一個主體是直接負責主管人員，如果招聘HR的直接領導，告訴HR這么做，那第一責任人就是主管領導，是主犯。從事該行為的HR是從犯，從犯的責任比主犯要小一點，定罪量刑也會減輕。

而企業的法人即法定代表人，如果不是直接負責的主管人員，則不一定會承擔責任，因為刑法上強調直接負責的主管人員，一定要有直接關系。

10.不僅是招聘獲得簡歷的領域，我們在招聘過程中，用人單位，包括招聘的HR為了確保招聘的人是真才實料會做背景調查。該過程中是否有可能讓HR們陷入到法律麻煩當中？

錢律師：做背景調查像民法上講到的使用錄音作為證據，這個可以做參考。什么錄音證據是無效的？若用違法手段進行錄音的錄音證據無效。如潛入他人的居住房間裝竊聽設備，最后錄的音無效。像HR，如果不是用違法手段做背調是沒問題的。

11.背調中，如果我向求職者以前工作的單位打電話、調查，需要獲得求職者授權嗎？

錢律師：這個不需要，用人單位有權利了解求職者簡歷上所寫信息的真實性，其對求職者的人品、能力、技能、學歷等信息都有權利了解，這是用工方的權利。

但有時也有可能觸碰到法律紅線：比如，有單位特別怕招聘的女員工剛入職就懷孕，就要求女員工提供是否已結婚、懷孕等證明。而求職者不想提供，該單位就用熟人關系到醫院調查女員工，因為入職時女員工交過一份體驗報告，他到醫院調查。結果醫院告訴他，該職工剛來辦理孕檢的事項，用人單位就拒絕錄用該女員工。后來該情況被對方知曉，就跟這個單位干上了，這個背景調查的方式就不一定合法。因為該信息跟過去的工作表現、工作能力沒有關系，甚至某種程度上是一個隱私信息。

12.以前軟件是安裝版，企業傾向于自己開發，本地部署，所有簡歷數據都放在企業的服務器上進行本地保護，是否這樣更安全？但如今軟件放在云計算平臺，在安全性上，泄露風險是否更高？

劉生權：我認為云計算軟件和本地部署的軟件，除了物理隔絕的能力上面，本地部署具有不可替代的優勢。

排除這個優勢，別的方面我只能說本地部署的軟件安全性不優于云計算的軟件。因為在某種程度上軟件安全與否，關鍵在于守護這部分數據資產的團隊，以及使用技術設備這樣的抵抗風險的能力，而與部署形式沒有直接關聯。

像招聘管理軟件互聯網時代，系統不可能不和外界發生關聯，我們沒有看到一個企業的招聘管理軟件是跟外界隔離的。

從這個角度看本地部署的軟件只要跟外界產生互聯互通，就喪失了物理隔離的安全優勢。這樣的情況看，所面臨的安全風險和云計算方式其實是差不多的。

13.像北森，我們都采取哪些方式確保數據安全？一方面我們采取一些物理手段，確保數據不被泄露；另外，當簡歷到了北森的軟件平臺，數據所有權到底屬于誰？

劉生權：在云計算安全上，如北森這些廠商，作為客戶的安全提供方，簡單來說就是客戶數據的“看家狗”，幫助客戶保護數據安全。對于數據，客戶擁有所有簡歷數據的所有權。數據雖然放在我們的平臺上管理，但數據屬于客戶。我們不會拿客戶的簡歷做一些其他商業行為。

另外安全和安全風險是一個矛和盾的斗爭過程，網絡世界每天都會出現新的風險，不斷出現新的工具。相對而言，我們會不斷根據新的工具狀態出現完善防護，更好地保護數據體系。

北森有一個鷹眼，我們每天通過鷹眼去看整個系統運營情況，確保系統順暢，更重要的，我們會及時發現安全漏洞或者安全問題及時做相應處理，不斷完善安全運營體系。

14.我們不免有一個擔心，像北森會研究大數據。那么廠商研究大數據的同時，不就是在用大家的簡歷數據嗎，那你怎么說尊重客戶的數據擁有權呢？

劉生權：北森作為軟件的提供商，很重要的產品就是招聘管理軟件。我們每天都戰戰兢兢，要向招聘網站等渠道不斷地說：我們是合作關系，北森上不碰簡歷，下不做招聘服務。我們要非常嚴格地遵守招聘網站對于求職者簡歷的擁有權，也會尊重企業對簡歷購買后的擁有權。

我們會定期做一些招聘渠道分析，這個數據來自于我們大數據的數據體系，我們會將大數據跟敏感數據進行脫敏。做數據分析之前，首先不會針對個人，而是做整體數據分析。在分析過程中，會排除識別性的數據，這個在分析中不起作用，我們會將這些相關數據從分析的數據中脫敏掉。然后去分析一些宏觀性的東西，比如學歷、年齡、地域情況，包括測評相關的趨勢性。這個數據不涉及到個人隱私，并且個人隱私性數據在我們大數據分析下也沒有用。

正在使用北森招聘管理軟件的客戶朋友，如果有一天，某家公司跟我們提要求說，我想做一個數據對比分析，你能不能把我的競爭對手，恰好也在用你們的招聘管理軟件，能否把他們家的數據對比做分析給我們看。對不起這事兒我們真不能做，因為這是唯一識別某一家企業的具體數據。

15.一家獵頭公司因為公司屬性的原因，在前程或智聯上直接購買簡歷，費用很高，然后就委托第三方公司在前程或智聯下載再轉發，這樣費用低一些，請問這違法嗎？

錢律師：第三方公司從前程和智聯上下載的簡歷，無論是合法還是違法渠道，都無權擅自再次出售。法律規定你獲取的任何和個人信息有關的信息都應該是合法取得，合法取得的延伸就是你不能再去傳播。你要合法收集，它沒有合法的轉讓權、出售權、傳播權，通過違法的前提下，重新獲得。費用低一點，那就是一種違法購買，肯定是違法的。

16.粉絲：北森既做ATS又做招聘，如果HR綁定其他渠道的簡歷，北森的招聘模塊會不會觸碰到這部分簡歷？

高燕：首先需要澄清一下，北森只做招聘軟件，我們自己不做招聘業務，不存在從渠道過來的簡歷，我們把它再次使用、傳播和出售，這是絕對不做的。

但北森為了方便所有HR招聘人員，我們開放和所有上游的招聘網站，愿意跟他們打開接口。因為任何一個企業招聘不只依賴一個渠道，我們希望通過多個渠道獲取簡歷，但我們不會碰這部分簡歷。

17.現在不同的企業中的HR會交換簡歷，這個行為合法性是怎么樣的？

錢律師：我們獲得他人的信息，前提是合法獲得。合法獲得之后有一個義務就是你不能違法傳輸。如果HR之間交換了，等于已經構成違法傳輸，這個肯定不合法。

18.粉絲：我是公司的IT人員，使用本公司招聘網站的用戶和密碼，用爬蟲技術，把投遞我司的職位簡歷獲取到本地，這個行為是否違法？

劉生權：我需要解釋一下爬蟲技術，我們人工登錄到招聘網站，是用用戶名和密碼登錄進去，把簡歷下載下來，整個過程是合法的。因為應聘者投遞簡歷時，把簡歷授權給你了。而這個所謂爬蟲技術，只是讓這個過程變得自動化，如果這個下載量比較大，簡歷比較多的話，逐個下載工作量非常龐大，爬蟲技術讓這些工作變得智能化而已。

錢律師：如果沒有使用黑客技術攻破招聘的防護系統，非法獲取簡歷，而是用更便捷，那這個沒問題。

但是有另外一個情形，像58簡歷泄露，人家也賣爬蟲，這個爬蟲我給你這套軟件，你就可以把他們的軟件下載下來，這是違法的。兩者中一個是合法登入，一個是違法侵入，性質不同。

最后，提醒所有HR朋友，秉持著這些法律紅線之內的東西我們不做，其實你就沒什么風險。

我們在梳理整個招聘過程當中，每一個鏈條、每一個環節都可能有法律風險，每一個HR都特別不容易，我們每天都心系公司，但萬一我們不知道這些法律規定，就可能好心辦了壞事兒，反倒讓自己承擔這些法律風險，這是非常不值得的。

       聲明：CSDN刊登此文出于傳遞更多信息之目的，并不意味著贊同其觀點或論證其描述。