HR369人力资源网 > 新闻 > 行业动态 > HR的名义:简历下载过程中的所有法律雷点,北森都为你圈出来了

HR的名义:简历下载过程中的所有法律雷点,北森都为你圈出来了

2017-04-18 10:51:24来源:热度:评论

最近58同城遭遇了一次比较严重的简历泄露,当时新闻上说:据21世纪经济报记者调查发现,有多个淘宝卖家,廉价批发58同城的简历数据,一次购买2万份以上,3毛一条;10万份以上,2毛一条,要多少有多少,全部同时实...

最近58同城遭遇了一次比较严重的简历泄露,当时新闻上说:据21世纪经济报记者调查发现,有多个淘宝卖家,廉价批发58同城的简历数据,一次购买2万份以上,3毛一条;10万份以上,2毛一条,要多少有多少,全部同时实时更新。更有甚者,当时淘宝还有卖家直接向企业出售700元一套的爬虫软件,可以采集全国430多个城市,464个职业简历数据。

不知道当大家看到此消息时是什么反应,但像58同城,或者其他招聘类网站,看到这个消息肯定是吓出一身冷汗,这真的是非常可怕的一件事儿。

 

谈到跟简历这类与个人信息有关的法律问题,北森请到了知名律师钱树锋先生和北森大数据专家刘生权、市场副总裁高燕,为大家解答一些法律和大数据知识:

 

1.在该事件中紧张的不只是招聘网站,有哪些主体有可能触碰了法律红线,甚至已经违法了呢?

钱律师:像这里面牵扯到的58同城是一个信息载体,黑客攻破这个载体防线,从它那里获取大量的个人信息,这个黑客的行为是违法加犯罪,不仅是违法而且是犯罪了。

违反了刑法当中侵犯个人信息罪这个罪名。如果有某家公司通过这家黑客向他们购买,用黑客手段获取这些个人信息或者简历,如果数量多也是一种犯罪。数量少,起码也违法。如果这些链条(从黑客环节开始,在接触、倒卖、购买,包括淘宝卖家)不断延伸,此链条下每个环节都处在违法甚至犯罪的情况下。

 

2.企业招聘中,需要大量接触重要基础信息,我们用一个实际场景,跟大家分享到底在日常招聘中,有哪些环节容易让我们触碰到法律?

 

 

(图片来自网络)

第一个环节:求职者在各类招聘网站上,如智联招聘、前程无忧、中华英才网、猎聘网等投递简历。

第二个环节:HR代表企业在这些招聘网站中购买简历。

第三个环节:如果有一些企业购买的简历量、或者招聘数量特别大,他们往往会借助第三方软件,如招聘管理软件,北森就提供这样的软件,把这些简历集中处理,集中筛选进入到面试环节当中。此时简历就会进入到软件厂商的软件系统里。

第四个环节:HR往往会说缺人、简历量不够,永远处于这样的“饥渴”状态中,他们不断拓宽简历购买渠道。有时会有一些软件厂商会把这些简历做二次出售,HR会从他们手里购买简历。

 

3.以上哪个环节有可能涉及到违法?

钱律师:一般情况下求职者通过招聘网站投递自己的简历,是希望自己的简历通过这个平台被很多用人企业发现、使用。招聘网站往往会设计一个登录步骤,求职者通过登录步骤,成为招聘网站的会员,在这个步骤过中,招聘网站会跟求职者有一个协议。

即求职者允许招聘网站将其简历进行推广、出售等。若这些网站都有这些措施,等于再去出售、使用这个简历,已经得到求职者的授权。所以一些用人单位的HR从招聘网站直接下载、购买这种简历多数情况下不违法,或者说,只要招聘网站跟求职者之间有这样的协议,那就是不违法的。

4.第二个环节,软件厂商帮HR保存了简历,然后把简历做二次出售,HR购买这个环节呢?

钱律师:若软件厂商身份只是信息保管者,提供保管平台,再次出售就是违法,他没有得到任何许可,就不具备任何合法的条件或资质,没有合法的前提。

 

5.从法律上讲,您觉得软件厂商如果申请可以具备出售简历的资质,这个在法律范围之内可行吗?

钱律师:法律范围之内就看一个词即“是否合法”。目前民法体系的法律,不会就这样的行为做直接规定,多数看你是否得到权利人的授权和许可。

如果求职者,在招聘网站上,登录上传简历后,招聘网站的合同其中有一条,我保存到哪一个平台之后,保存平台也有权出售。求职者如果同意,他如果恨不得全天下所有用人单位都可以看到我的简历,他希望扩大。那此时软件厂商等于也得到合理、合法授权。

现实中,招聘网站不会这样做,因为这相当于让下游的软件厂商抢自己的生意。从招聘网站和软件厂商的合作关系讲,前者很怕软件厂商那样做,如果那样做,就不愿意跟后者打通接口了。

6.有时软件厂商跟HR做交易,说“您放心购买,关于这个数据合法性,我来保障,您只要放心购买就行”,原则上还会把这个条款写到协议中,向HR保证信息安全权利。但实际上他并没有私下获得求职者的授权,该情况下,一旦发生买卖行为,HR要承担责任吗?

钱律师:如果你是成年人,你有完全的判断能力和行为能力,你能否在普通人的判断能力之下,判断该事项。如果软件平台商告诉你我这个绝对合法你放心吧。但你能通过普通人的判断他说的是大话、假话,你还故意买,反正他保证了,我就买。你还是有责任的。

回到58同城的简历泄露,即使在淘宝购买简历,对方说我不是黑客,我就是可以卖给你这些数据,你也要思考下,他怎么可能有这个资质。

 

7.一旦在过程中出现法律责任,不同的人和主体分别在这个链条上承担什么责任?若HR知道渠道是非法的,但为了获取更多简历还是购买了,在此过程中,谁承担主要责任,量刑有多重?

钱律师:若这里面构成了刑法说的侵犯公民个人信息罪的罪名,刑法上对这块判断分两档。一档是情节严重,是三年以下有期徒刑拘役罚金。情节特别严重是三年以上,七年以下有期徒刑。

 

现在关于什么是情节严重,什么是特别严重还比较模糊,最高院联合最高检正在出台司法解释,这个出台就特别清晰。综合全国案例,有的是根据出售份数,我碰到一个最少的份数是2800份,最少金额是3200元。要提醒大家,正因为现在没有这么细的规定,可能一个不经意的举动反而会造成更大的麻烦。

 

8.关于执行细则,是否有明确的时间表,大概在何时颁布?另315公布了民法总则,今年10月1日正式生效,该总则规定了哪方面的责任?

钱律师:最高院、最高检已将草案送审,送审通过后,最快几个月就可以出细则。

 

关于个人信息保护这块,在民法总则颁布前,从民法系统上讲没有公民个人信息权这个名称。关于公民个人信息权利受到侵害后如何维护,严重可以向公安机关报案,公安机关按侵犯公民个人信息罪定位,按刑法;不够严重,但对社会造成相应的扰乱,公安机关可用治安处罚法来处理,即行政拘留。

 

有一些法律按照侵犯名誉权、隐私权来处理。企业之间,如新浪、微信起诉某网站,按照不正当竞争来判。目前全世界已有50多个国家有完整的个人信息保护法。所以我国应该在不久的将来,也会有这样的完整法律体系。

 

9.HR购买简历时,是代表企业行使权利和责任的,是帮企业拓宽简历渠道。若不小心触碰法律,责任人、责任主体如何确定?

钱律师:从刑法上讲,修正案九,所有法律条款里,涉及单位犯罪有两个主体,一个主体是直接负责主管人员,如果招聘HR的直接领导,告诉HR这么做,那第一责任人就是主管领导,是主犯。从事该行为的HR是从犯,从犯的责任比主犯要小一点,定罪量刑也会减轻。

而企业的法人即法定代表人,如果不是直接负责的主管人员,则不一定会承担责任,因为刑法上强调直接负责的主管人员,一定要有直接关系。

 

10.不仅是招聘获得简历的领域,我们在招聘过程中,用人单位,包括招聘的HR为了确保招聘的人是真才实料会做背景调查。该过程中是否有可能让HR们陷入到法律麻烦当中?

钱律师:做背景调查像民法上讲到的使用录音作为证据,这个可以做参考。什么录音证据是无效的?若用违法手段进行录音的录音证据无效。如潜入他人的居住房间装窃听设备,最后录的音无效。像HR,如果不是用违法手段做背调是没问题的。

 

11.背调中,如果我向求职者以前工作的单位打电话、调查,需要获得求职者授权吗?

钱律师:这个不需要,用人单位有权利了解求职者简历上所写信息的真实性,其对求职者的人品、能力、技能、学历等信息都有权利了解,这是用工方的权利。

但有时也有可能触碰到法律红线:比如,有单位特别怕招聘的女员工刚入职就怀孕,就要求女员工提供是否已结婚、怀孕等证明。而求职者不想提供,该单位就用熟人关系到医院调查女员工,因为入职时女员工交过一份体验报告,他到医院调查。结果医院告诉他,该职工刚来办理孕检的事项,用人单位就拒绝录用该女员工。后来该情况被对方知晓,就跟这个单位干上了,这个背景调查的方式就不一定合法。因为该信息跟过去的工作表现、工作能力没有关系,甚至某种程度上是一个隐私信息。

 

12.以前软件是安装版,企业倾向于自己开发,本地部署,所有简历数据都放在企业的服务器上进行本地保护,是否这样更安全?但如今软件放在云计算平台,在安全性上,泄露风险是否更高?

刘生权:我认为云计算软件和本地部署的软件,除了物理隔绝的能力上面,本地部署具有不可替代的优势。

排除这个优势,别的方面我只能说本地部署的软件安全性不优于云计算的软件。因为在某种程度上软件安全与否,关键在于守护这部分数据资产的团队,以及使用技术设备这样的抵抗风险的能力,而与部署形式没有直接关联。

像招聘管理软件互联网时代,系统不可能不和外界发生关联,我们没有看到一个企业的招聘管理软件是跟外界隔离的。

从这个角度看本地部署的软件只要跟外界产生互联互通,就丧失了物理隔离的安全优势。这样的情况看,所面临的安全风险和云计算方式其实是差不多的。

 

13.像北森,我们都采取哪些方式确保数据安全?一方面我们采取一些物理手段,确保数据不被泄露;另外,当简历到了北森的软件平台,数据所有权到底属于谁?

刘生权:在云计算安全上,如北森这些厂商,作为客户的安全提供方,简单来说就是客户数据的“看家狗”,帮助客户保护数据安全。对于数据,客户拥有所有简历数据的所有权。数据虽然放在我们的平台上管理,但数据属于客户。我们不会拿客户的简历做一些其他商业行为。

 

另外安全和安全风险是一个矛和盾的斗争过程,网络世界每天都会出现新的风险,不断出现新的工具。相对而言,我们会不断根据新的工具状态出现完善防护,更好地保护数据体系。

 

北森有一个鹰眼,我们每天通过鹰眼去看整个系统运营情况,确保系统顺畅,更重要的,我们会及时发现安全漏洞或者安全问题及时做相应处理,不断完善安全运营体系。

 

14.我们不免有一个担心,像北森会研究大数据。那么厂商研究大数据的同时,不就是在用大家的简历数据吗,那你怎么说尊重客户的数据拥有权呢?

 

刘生权:北森作为软件的提供商,很重要的产品就是招聘管理软件。我们每天都战战兢兢,要向招聘网站等渠道不断地说:我们是合作关系,北森上不碰简历,下不做招聘服务。我们要非常严格地遵守招聘网站对于求职者简历的拥有权,也会尊重企业对简历购买后的拥有权。

我们会定期做一些招聘渠道分析,这个数据来自于我们大数据的数据体系,我们会将大数据跟敏感数据进行脱敏。做数据分析之前,首先不会针对个人,而是做整体数据分析。在分析过程中,会排除识别性的数据,这个在分析中不起作用,我们会将这些相关数据从分析的数据中脱敏掉。然后去分析一些宏观性的东西,比如学历、年龄、地域情况,包括测评相关的趋势性。这个数据不涉及到个人隐私,并且个人隐私性数据在我们大数据分析下也没有用。

正在使用北森招聘管理软件的客户朋友,如果有一天,某家公司跟我们提要求说,我想做一个数据对比分析,你能不能把我的竞争对手,恰好也在用你们的招聘管理软件,能否把他们家的数据对比做分析给我们看。对不起这事儿我们真不能做,因为这是唯一识别某一家企业的具体数据。

 

15.一家猎头公司因为公司属性的原因,在前程或智联上直接购买简历,费用很高,然后就委托第三方公司在前程或智联下载再转发,这样费用低一些,请问这违法吗?

钱律师:第三方公司从前程和智联上下载的简历,无论是合法还是违法渠道,都无权擅自再次出售。法律规定你获取的任何和个人信息有关的信息都应该是合法取得,合法取得的延伸就是你不能再去传播。你要合法收集,它没有合法的转让权、出售权、传播权,通过违法的前提下,重新获得。费用低一点,那就是一种违法购买,肯定是违法的。

16.粉丝:北森既做ATS又做招聘,如果HR绑定其他渠道的简历,北森的招聘模块会不会触碰到这部分简历?

高燕:首先需要澄清一下,北森只做招聘软件,我们自己不做招聘业务,不存在从渠道过来的简历,我们把它再次使用、传播和出售,这是绝对不做的。

但北森为了方便所有HR招聘人员,我们开放和所有上游的招聘网站,愿意跟他们打开接口。因为任何一个企业招聘不只依赖一个渠道,我们希望通过多个渠道获取简历,但我们不会碰这部分简历。

 

17.现在不同的企业中的HR会交换简历,这个行为合法性是怎么样的?

钱律师:我们获得他人的信息,前提是合法获得。合法获得之后有一个义务就是你不能违法传输。如果HR之间交换了,等于已经构成违法传输,这个肯定不合法。

 

18.粉丝:我是公司的IT人员,使用本公司招聘网站的用户和密码,用爬虫技术,把投递我司的职位简历获取到本地,这个行为是否违法?

刘生权:我需要解释一下爬虫技术,我们人工登录到招聘网站,是用用户名和密码登录进去,把简历下载下来,整个过程是合法的。因为应聘者投递简历时,把简历授权给你了。而这个所谓爬虫技术,只是让这个过程变得自动化,如果这个下载量比较大,简历比较多的话,逐个下载工作量非常庞大,爬虫技术让这些工作变得智能化而已。

钱律师:如果没有使用黑客技术攻破招聘的防护系统,非法获取简历,而是用更便捷,那这个没问题。

但是有另外一个情形,像58简历泄露,人家也卖爬虫,这个爬虫我给你这套软件,你就可以把他们的软件下载下来,这是违法的。两者中一个是合法登入,一个是违法侵入,性质不同。

最后,提醒所有HR朋友,秉持着这些法律红线之内的东西我们不做,其实你就没什么风险。

我们在梳理整个招聘过程当中,每一个链条、每一个环节都可能有法律风险,每一个HR都特别不容易,我们每天都心系公司,但万一我们不知道这些法律规定,就可能好心办了坏事儿,反倒让自己承担这些法律风险,这是非常不值得的。


您的支持是分享的动力

上一篇:18家电企员工人均年薪18.5万 新能泰山36万居首
下一篇:最后一页

分享到: 收藏

用微信扫描二维码

转发文章给朋友和朋友圈

分享知识与资讯

分享到