李俊慧：简历信息买卖屡禁不止，智联招聘等平台该当何罪？

　　文/新浪财经意见领袖专栏作家 李俊慧

　　引言

　　屡禁不止，问题何在？

　　约谈并立案调查。

　　2021年3月17日，针对央视“3·15”晚会曝光智联招聘、猎聘网和前程无忧招聘平台包含求职者个人信息的简历数据被售卖问题，北京市人力资源和社会保障局对智联招聘和猎聘网进行约谈，并对两家企业开展立案调查。

　　可以说，央视“3·15”晚会的曝光，让网络招聘行业一直存在且被诟病众多的个人信息泄露或违法买卖问题再也无从回避。

　　而伴随监管部门的约谈及立案调查介入，势必会将网络招聘行业在个人信息保护方面可能存在的制度短板、机制不足和管理缺失等诸多问题查的水落石出。

　　2021年3月1日，由人力资源和社会保障部制定的《网络招聘服务管理规定》正式施行。至此，网络招聘行业可能存在的监管“真空”正式宣告结束。

　　事实上，以智联招聘等为代表的网络招聘平台，到底存在哪些风险、管理中存在哪些问题以及对个人信息外泄和非法买卖等应当承担什么责任，是值得深入分析和研究的。

　　1

　　问题重重：智联招聘曾发生多起内部人员参与的简历信息非法买卖案件

　　应该说，2021年央视“3·15”晚会曝光的智联招聘等平台个人信息泄露或非法买卖问题，只是网络招聘行业的“冰山一角”。

　　中国裁判文书网已公开的裁判文书显示，2017年至2020年，涉及“简历买卖”被判侵犯公民个人信息罪一审案件共计48件。

　　其中，涉“58同城”简历信息买卖的案件共计35件，占比为72.92%，涉“赶集网”简历信息买卖的案件共计11件，占比为22.92%，涉“智联招聘”简历信息买卖的案件共计5件，占比为10.42%，涉“前程无忧”简历信息买卖的案件共计3件，占比为6.25%。

　　可以看到，在简历信息买卖犯罪案件中，涉“58同城”类的简历信息占比最高。

　　说明“58同城”平台的个人简历信息安全机制、内部管理或经营模式中可能存在一些漏洞或短板，成为简历信息违法买卖市场中涉及案件最多的平台之一。

　　需要说明的是，在一些案件中被告人可能存在买卖多个招聘平台简历信息的情形。

　　而对于被央视“3·15”晚会曝光的智联招聘、猎聘网和前程无忧招聘等来说，表面上似乎在过往案件中涉及率并不高，但是，它们存在的问题可能更为突出，尤其是智联招聘。

　　中国裁判文书网已公开的裁判文书显示，2017年至2020年，涉及“简历买卖”被判侵犯公民个人信息罪一审案件中，有智联招聘工作人员直接参与的案件共计4件，占到了涉“智联招聘”简历信息买卖案件的80%。

　　其中，智联招聘工作人员直接参与的案件中，共计涉及6人，其中，5人为销售岗位，占比83.3%，1人为客服岗位，占比为16.67%，累计涉及个人简历信息共近60万份。

　　主要的作案手段是采用虚假的企业信息注册账号或利用内部系统漏洞，不当获取到大量简历信息，再以低价进行转卖，属于典型的“监守自盗”。

　　简单说，虽然智联招聘整体涉案量不高，但是，涉案情节或情形更为恶劣。

　　尤其是内部人员团伙作案（不同层级销售岗人员配合）或联合作案（不同部门岗位人员间配合）问题较为突出，这足以说明智联招聘内部在个人信息保护方面的安全管理机制存在较为明显的短板。

　　由此可见，包括智联招聘等在内的网络招聘平台，被监管部门约谈，甚至是立案调查，也算是“咎由自取”。

　　2

　　平台义务：合法处理、安全保障是智联招聘等网络招聘平台的基础义务

　　简历信息是否构成个人信息，或者说简历信息包含的内容是否涉及依法受保护的个人信息，是确定网络招聘平台责任和义务的前置条件。

　　按照《民法典》第一千零三十四条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

　　一般来说，简历信息中均包含姓名、出生日期、住址、电话、电子邮箱等，有的甚至包含身份证号码。

　　由此可见，简历信息属于典型的包含大量个人信息的信息集，相关企业或平台对其进行收集、使用、加工、传输、提供或公开等处理行为，均应受到法律的约束。

　　因此，以智联招聘等为代表的网络招聘平台，在业务开展过程中收集到的包含个人信息的简历信息，所需承担的法律责任和义务，主要集中在个人信息保护方面，相关规定主要在《民法典》、《刑法》、《网络安全法》、《互联网信息服务管理办法》和《网络招聘服务管理规定》等法律、法规和部门规章中予以体现或明确。

　　具体来说，网络招聘平台在个人信息保护方卖弄的主要义务包括：

　　1）合法处理义务。也就是平台对个人信息的收集、使用、加工、传输、提供或公开等都需要符合法律的规定，部分处理环节还需要获得自然人的同意或授权。

　　相关规定主要体现在《民法典》第一百一十一条和《网络安全法》第四十一条。

　　比如，《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　2）安全保障义务（信息安全义务）。也就是平台需采用有效措施确保所收集、存储的个人信息需不被泄露、窃取或不当使用等。

　　相关规定主要体现在《民法典》第一百一十一条、《互联网信息服务管理办法（修订草案征求意见稿）》第二十二条、《网络安全法》第四十二条和《网络招聘服务管理规定》第二十条、二十一条和二十二条。

　　比如，《民法典》第一百一十一条规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　在合法处理义务和安全保障义务等两大义务基础上，对于出现个人信息泄露等问题时，相关平台还负有向相关部门做及时报告的义务。

　　而类似智联招聘、猎聘网、BOSS直聘等网络招聘平台，如果因管理不善导致个人信息被非法泄露、买卖、公开等，不仅需要承担相应的民事责任、行政责任，甚至还可能会被追究刑事责任。

　　而相应规定主要体现在《刑法》第二百五十三条、《网络安全法》六十四条和《网络招聘服务管理规定》三十六条。

　　比如，《刑法》第二百五十三条之一规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

　　3

　　痛定思痛：网络招聘平台简历信息不当泄露或非法买卖的根源何在？

　　2021年的央视“3·15”晚会的报道显示，只要交钱办理企业会员，就可以在招聘平台随意下载求职者简历，包含姓名、电话、邮箱地址等关键信息。招聘平台缺乏管理和监测，令求职者简历流入网络黑市，造成个人信息泄露。

　　随后，猎聘网、智联招聘等网络招聘平台对于简历数据泄露一事火速发布声明予以回应。

　　核心包括两点：

　　其一是全力配合相关部门的调查，坚决落实主体责任。

　　其二是快速推出整改措施。

　　包括“虚拟号码”功能（避免求职者未投简历而被“企业”获取到手机号码）、简历水印功能（采用防伪溯源手段，可及时追踪简历泄露源头）以及加强企业资质审核、站外监管等。

　　如果说，“全力配合”属于一种表态，那么，整改措施算是针对平台自身在个人信息保护管理中可能存在的漏洞或短板，给出的专门解决方案。

　　不过，需要注意到是，此前发生在智联招聘平台上简历信息非法买卖案件，作案人员很多都是内部人作案，还有少量内外勾结作案。

　　因此，从加强包含个人信息的简历信息保护来看，包括智联招聘等在内的网络招聘平台，采取类似“虚拟号码”等技术手段减少个人信息外泄的概率，固然非常有必要。

　　但更重要的是，要进一步完善内部管理机制，综合采取技术、管理等多重手段，大幅降低内部人员利用职务之便或系统漏洞，不当获取简历信息并对外非法买卖。

　　简单说，从简历信息的收集、使用、加工、传输、提供、公开等各个环节都需要建立起有效的管控机制，才能避免简历信息被非法买卖。

　　值得一提的是，个人信息违法买卖屡禁不止，说到底个人信息的获取环节存在众多漏洞或隐患，其中，“监守自盗”问题更为突出。

　　因此，如何通过技术措施、管理手段以及惩罚机制等，促进网络招聘平台及其从业人员形成或建立“不敢泄露”、“不想泄露”意识显得尤为重要。

　　此外，需要关注的是，类似智联招聘等网络招聘平台，连续多年屡有发生内部人员作案问题，相关平台履行安全保障义务和及时上报义务等不到位问题，是否被追究过行政责任甚至刑事责任，都是后续加强监管的关键所在。

　　简单说，只有监管“有牙齿”，被监管对象才能形成“红线”和“底线”意识，并会主动采取多种手段设法防止触犯“红线”或“底线”的违法行为发生。

　　说到底，监管不动真格，被监管对象难免会有“敷衍应付”的心态。

　　参考资料：

　　1．智联招聘、猎聘网被立案调查，专家建议从重处罚

　　2．简历被卖、信息泄露 网上求职坑如何破？

　　相关法条：

　　《民法典》

　　第一百一十一条规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　《网络安全法》

　　六十四条规定，网络运营者违反第四十二规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

　　《网络招聘服务管理规定》

　　第二十条规定，从事网络招聘服务的人力资源服务机构应当按照国家网络安全法律、行政法规和网络安全等级保护制度要求，加强网络安全管理，履行网络安全保护义务，采取技术措施或者其他必要措施，确保招聘服务网络、信息系统和用户信息安全。

　　第二十一条规定，人力资源服务机构从事网络招聘服务时收集、使用其用户个人信息，应当遵守法律、行政法规有关个人信息保护的规定。

　　人力资源服务机构应当建立健全网络招聘服务用户信息保护制度，不得泄露、篡改、毁损或者非法出售、非法向他人提供其收集的个人公民身份号码、年龄、性别、住址、联系方式和用人单位经营状况等信息。

　　人力资源服务机构应当对网络招聘服务用户信息保护情况每年至少进行一次自查，记录自查情况，及时消除自查中发现的安全隐患。

　　第二十二条规定，从事网络招聘服务的人力资源服务机构因业务需要，确需向境外提供在中华人民共和国境内运营中收集和产生的个人信息和重要数据的，应当遵守国家有关法律、行政法规规定。

　　第三十六条规定，违反本规定第二十一条、第二十二条规定，未依法进行信息收集、使用、存储、发布的，由有关主管部门依照《中华人民共和国网络安全法》等法律、行政法规的规定予以处罚。

　　(本文作者介绍：中国政法大学知识产权研究中心特约研究员，长期关注互联网、知识产权及电子商务等相关政策、法律及监管问题。)