近日,一家名为“巧达科技”的招聘类数据公司被警方查处。
然而很少有人会想到,这家看似平平无奇的数据公司,背后竟可能隐藏着一个巨大的黑色产业链。
一、起底“巧达科技”
公开资料显示,巧达科技公司成立于2014年7月,旗下拥有“爱伙伴”“简历时光机”等多款招聘产品,号称拥有中国最大的简历数据库。
据媒体报道,巧达公司数据库累计拥有37亿份简历和10亿份通讯录信息。结合简历、通讯录,以及外部获取的超千亿条其他用户数据,巧达公司自称拥有超过8亿自然人的认知数据。也就是说,超过57%的中国人的信息都在巧达公司的数据库里面。正在阅读文章的您,可能也是其中之一。
表面上看,这是一家财源滚滚、前景光明的创业公司。成立仅4个月,巧达公司就获得李开复旗下创新工场数百万美元的A轮融资。两年后,又获得中信产业基金数千万人民币B轮融资。2016年,这家公司营业收入为1.2亿元,其中净利润4800万元。在短短的一年后,巧达公司的年营业收入和净利润分别达到了4.11亿元和1.86亿元,翻了好几番。
这样一家“优质公司”,为何却突然被警方“一锅端”?这很可能与其未经授权获取和使用简历等涉嫌侵犯用户隐私权、侵犯公民个人信息的行为有关。
二、海量简历从何而来?去向何处?
在一份媒体披露的《商业计划书》中,巧达公司称其数据来源于以下3个途径:
自有招聘网站。即求职者用户直接授权巧达公司使用简历中敏感数据和非敏感数据。
招聘工具产品。即其他HR/猎头用户授权巧达公司使用其掌握的简历数据。
第三方数据源。即合作方授权授权巧达公司使用包括用户ID组合、通讯录、行为标签和偏好画像在内的相关大数据。
换言之,有相当大一部分数据并非来自于用户的直接授权。对于这些从第三方获取用户数据,第三方获取时有没有获得用户许可?用户有没有授权其对简历信息进行转授权?这些问题的答案,直接关系到巧达公司数据来源的合法性。而巧达公司此番被查,也很可能意味着其部分数据在来源上存在问题。
那么,巧达公司用这些数据又做了什么呢?
手握全中国最大的简历库,为企业提供招聘信息当然是巧达公司的主要业务之一。但与智联招聘、猎聘等传统意义上的互联网招聘公司不同,巧达公司还会向企业提供人才流失预警、简历交换共享、简历修改查询等服务。
例如,巧达公司曾推出过一款可以预报员工离职动态的服务。这项服务主要面向企业端用户,可以用来监控公司员工可能的离职动态。换言之,你的简历只要在该招聘网站上更新或者修改资料,招聘网站就会立即通知到你的老板或者公司HR。想想是不是细思恐极?
除了招聘信息,巧达公司还可以从海量的个人简历中挖掘更多。巧达数据集团CEO王成予曾公开表示:
简历是最有价值的自然人数据。巧达数据通过大数据及人工智能技术研发的认知引擎,能够快速还原网上自然人的清晰画像,为商家提供实用的营销方案。
所谓用户画像,是根据用户的静态数据(属性数据)和动态数据(行为数据)来构建一个可标签化的用户模型。其中静态数据一般是用户的注册信息,比如生日、性别、住址、爱好等;动态数据记录于用户的访问日志,比如常用的一些后端日志数据、前端埋点数据等等。而上述信息数据的获取与分析,可以帮助企业实现精准营销、个性推荐及用户流失预测。
举例来说,若巧达公司掌握了你的简历数据,并由此建立了你的用户画像,在此基础上,巧达公司通过和某些调用过通讯录的工具类APP合作,可以获取你的通讯录数据,并且默认你通讯录内好友的用户画像也和你相当,以此找到和你消费能力相匹配的商家进行“精准营销”。
这种使用方式,与传统意义上的用户画像存在明显不同。传统意义上的用户画像靠的是上网特征、媒体及购物偏好等相对模糊的信息,无法定向识别者的真实身份,不属于受法律保护的“个人信息”范畴,一般不构成隐私权侵权。
例如,在以朱烨诉百度公司隐私权纠纷案中,二审法院认为:“搜索记录虽具有隐私性质,但不属于个人信息……而网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。”由此可见,“可识别性”是司法实践中判断相关数据是否构成个人信息的关键。只有当数据能够与具体的个人相关联时,才有可能构成受到法律保护的个人信息。
但巧达公司进行用户画像的依据的是个人简历,通过自然人数据还原,这种用户画像精准度和可靠性,不言而喻。
三、法律如何保护个人信息?
面对愈演愈烈的个人信息泄露事件,我国已经逐步形成了较为全面的个人信息保护法律框架:
首先,在《民法总则》中,明确了个人信息的法律地位,并要求任何组织和个人应当依法取得他人个人信息并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
同时,提供数据的用户,既是相关服务的消费者,也是网络服务的提供对象,因此,《消费者权益保护法》和《网络安全法》中对个人信息保护做了更为细致的规定:
经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。
——《消费者权益保护法》第二十九条
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
——《网络安全法》第二十二条
最后,在2015年11月1日实施的《刑法修正案(九)》中,也加强了对个人信息保护的力度。
刑法修订前,个人信息案件的犯罪主体限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。随着云计算、大数据技术的广泛应用,泄露个人信息的事件可能发生于社会生活的很多领域。为此,刑法修正案(九)将规范对象扩展到所有人,并增加了量刑级别,将法定最高刑期从三年提高至七年。这一修订强化了对侵犯信息安全犯罪的打击力度,对于保护我国公民信息及维护网络安全起到了积极的促进作用。
周公有话
作为一项极具商业前景的新兴技术,大数据应用已经在各行各业生根发芽。然而,与此相关的有关数据权利的法律定性与个人信息安全问题,也正不断地被提及。
一方面,围绕个人信息保护,我国已经建立起了包括民法总则、消费者权益保护法、刑法等在内的强大法律保护体系;另一方面,用户个人权利如何得到保护、企业收集、使用数据的行为是否合规,也应当是所有企业在挥动“大数据”之剑披荆斩棘之前应该思考的问题。
任何商业创新都必须遵守合法合规的正道,那些貌似可以“巧达”的旁门捷径,通向的可能只是万丈深渊。
(本文来源:微信公众号“周公观娱”)