编辑导语:3.15晚会曝光了智联招聘、前程无忧、猎聘等招聘平台泄露用户简历数据等问题,求职平台竟然成为了隐私和安全信息泄露最严重的地方之一。技术在带来便利的同时也带来了信息安全的隐忧,目前针对这方面的规范并不全面,甚至没有参考案例。面对来势汹汹的信息安全危机,招聘平台该怎么做?本文作者对此展开分析讨论,与大家分享。3.15晚会曝光了智联招聘、前程无忧、猎聘等招聘平台泄露用户简历数据等问题,引发业内热议。如何堵住招聘平台倒卖简历与隐私信息的漏洞,成为求职人群关注的问题。3.15晚会曝光招聘平台泄露用户隐私之后,三大平台也在紧急公关,猎聘表示要成立专项小组,彻查简历被非法售卖的行为。智联招聘表示要24小时上线虚拟中间号码功能。前程无忧回应称,成立信息安全管理委员会,升级一系列求职者知悉、选择和授权的程序。
根据Analysys易观发布的《中国互联网招聘市场季度监测报告2019年第3季度》,报告显示,截至2019年3季度的网络招聘市场份额,58同城占比37.70%,前程无忧占比21.70%,智联招聘占比19.2%,其他平台共计占比21.40%。几大头部平台占据了国内招聘简历市场的主流。
一、利益悖论:招聘平台需要依赖简历信息盈利
由于贩卖简历信息是招聘网站的核心盈利模式,悖论在于,它需要依赖这些数据用户个人的隐私达成盈利的目的,如果用户信息无法被企业查看,平台的商业模式就无法成立,解决这个问题的办法是成立一套隐私保护追责系统,确保一旦发生隐私泄露,平台能追踪到线索相关人,用户有一套完整机制去维护自身的权益。
让用户明确自己的信息是被谁查了,平台需要有能力向用户信息泄露的企业用户行为追责。
招聘网站经营的就是贩卖个人信息的生意,只要是正常使用招聘网站,必然会有将求职者的个人信息提供给第三方的过程。
对于多数招聘网站来说,一般在用户协议中都有让用户同意将个人信息提供给第三方的条款,而用户如果不同意这项协议,基本上也是无法正常使用招聘网站去投放自己的简历。
争议的产生,在于第三方到底是正规的用人单位还是其他的没有资质的用人单位或者个人,而第三方的“用人单位”转卖个人信息从中牟利,招聘网站是否有足够的措施去管控。
从报道来看,企业账号在没有支付费用的情况下是无法看到用户简历的完整信息,而记者向平台支付费用之后,无需征得求职者同意,简历信息可以完整下载,原来隐藏的姓名、联系电话及邮箱地址等关键信息全部显示了出来。从智联招聘,前程无忧和猎聘网同样存在类似的问题,只需支付费用,便可以下载到带有求职者姓名、电话、邮箱地址等关键信息在内的完整简历。
也就是说,企业从招聘网站付费下载简历是平台本身的盈利模式,而这些资料最终流向了哪里,进入了哪些人手里,用户隐私是否被重重倒卖,平台也就不管了,也管不了。正是因为平台缺乏管理和监测,令求职者简历流入网络黑市,造成个人信息泄露。
其实对于招聘网站而言,面向企业用户收费卖用户隐私虽然是一种商业模式,这种商业模式本身是未经用户同意的单方面行为,是需要不断完善与优化的,用户隐私流入何处,平台本身是否参与贩卖用户隐私,无从知道。
此外是简历泄露背后牵涉到平台对企业资质把关不严的问题,有业内人士表示,许多不法分子在招聘网站上注册了空壳公司,以此套取求职者的简历。
也存在团伙注册假公司发布岗位用来“钓鱼”,这些公司利用那些具备诱惑性“躺赚”的岗位来吸引应聘者投递简历,从而大量套取简历信息。
把关不严的背后,其实又牵涉到利益相悖的问题。对于平台而言,用户简历被下载的越多,收益越多,如果严审企业资质,清除平台上不合规的企业,从营收上来说,是断其自身财路,这也是为何空壳公司可以在招聘平台上大行其道。
业内知道的是,大规模的个人简历数据泄露背后存在一个非常强、运作效率非常高的利益驱动机制,在利益驱动下,分工成熟的数据黑产市场得以层层覆盖,它们有完整的社工库,有数据盗窃团伙,有技术黑客,可以用程序爬虫抓取数据,也可以通过“提取器”和“采集系统”这种外挂软件,24小时不间断地从招聘平台及接收简历的邮箱批量下载。
曾有公司大规模招聘爬虫工程师,可以看到岗位要求包括设计爬虫攻略和防屏蔽规则,并解决封账号、封IP、验证码等问题。抓取简历信息且解决封号等问题明显是爬虫技术的应用场景之一。
它们通过在招聘平台用极低的代价获得的用户简历数据,在市场上却可以以极低的价格反复售卖,层层获利。
这也是为何不少用户在招聘平台上投递简历后,却屡遭陌生来电和短信骚扰,甚至求职被骗、预付押金等各种侵权事件更是多发。
网络招聘平台经营者通过提供招聘便利,从中收获了收益,如今其平台出现招聘简历被非法收集买卖的问题,当然难辞其咎,因为没有经过用户同意甚至违反用户意愿的隐私交易,都属于擅自利用用户信息并可能侵犯隐私的行为。
二、平台该如何破局?
在3.15曝光之后,不少平台表示要整改。
据智联招聘介绍,今年1月份以来,智联已经开始在部分个人用户的电话号码上实行虚拟中间号码,即企业主动联系求职者时将通过中间号的方式沟通,无法获悉到求职者的真实号码,此功能将于24小时内实现全量上线。
但事实上,这种技术方式更多流于表面,治标不治本,因为企业主动联系求职者,完全可以在沟通过程中,互相交换其他联系方式,脱离平台的沟通渠道。
事实上,从本质上来看,用户简历被贩卖还是源于想从根本上堵住个人简历随意下载及倒卖的漏洞,关键还是需要招聘平台改变单一“卖简历”的传统盈利模式。但从当前来看,招聘平台还很难走出目前的单一盈利路径依赖。
笔者的建议是,企业对用户信息的下载,对用户要有告知义务,用户需要清楚的知道是哪些企业用户查看并下载了其信息,最好是下载简历的流程点对点保密,当事人授权才能点对点发送简历。
其次是,平台能追踪企业相关责任人的线索,而招聘平台需要履行其相应的管理义务,应该规定企业用户下载用户信息,需要与平台签订保密协议,企业不得利用用户隐私信息牟利与买卖,若有违反,需承担相应的违约责任与赔偿。
当前,相关法律法规也已经跟进招聘市场隐私泄露乱象。2020年12月,人力资源和社会保障部出台《网络招聘服务管理规定》,自2021年3月1日起施行。《规定》明确从事网络招聘服务的人力资源服务机构应当建立完备的网络招聘信息管理制度,依法对用人单位提供材料的真实性、合法性进行审查,不得泄露、篡改、毁损或者非法出售、非法向他人提供其收集的个人信息和用人单位经营状况等信息。
对于招聘平台来说,当前已经处于信任价值遭遇破坏的边缘,平台需要有相应的措施去修复用户信任价值。在技术层面补齐漏洞是其一、平台严把企业资质审核,避免存在假冒、借用其他企业的证照注册会员,是其二,其三是需要从用户利益的角度考虑,设置完善的追责制度体系与线索追查体系,一旦用户隐私被泄露,确保这些用户也有权有能力向相关泄露者追求法律责任。
用户隐私流入何处,平台需要有一套相对系统化、透明化的机制去执行追责、顺藤摸瓜追踪走向,也就是说,平台本身也有条件做到与下载简历的企业建立信息追踪体系。
也就是说,下载了用户简历的企业,具体到哪些人什么时间查看了,进行记录与存档。对简历使用过程建立个人查看、交接记录,建档体系,招聘平台要有与企业进行双向反馈与备案的机制与通道,在此基础上,如果能建立一套简历流向的追踪体系与问责体系,疑难自解,但就看招聘平台是否真有决心整改。
如何将用户隐私管控纳入平台的KPI机制,确保让真正有招聘需求的单位下载简历以及下载之后能有效追踪到非法售卖与利用的路径,这是招聘平台未来要做的,也考验招聘网站平台的战略与智慧。