当前位置: 首页 » 综合资讯 » 3·15在行动 » 正文

警方突袭抓捕软件公司200人背后:巧达科技操盘窃取出售2亿人简历

放大字体  缩小字体 发布日期:2019-03-29  来源:燃财经  作者:燃财经  
核心提示:按照公安部“净网2019”专项行动部署,北京警方近期破获备受关注的巧达科技非法获取计算机信息系统数据案,这家企业非法爬取用户数据,数量之大、牟利之巨,令人咋舌,公司法人王某某等36人被检察机关依法批准逮捕。2018年10月,北京市公安局海淀分局警务支援大队接到辖区某互联网公司报案称,发现有人在互联网上兜售疑似为该公司的用户信息。根据这条线索,警方迅速开展调查,巧达科技(北京)有限公司非法窃取信息的犯罪事实逐渐浮出水面。2019年3月,巧达科技被查封,涉案员工被警方依法刑事拘留。
 

  欢迎关注“创事记”的微信订阅号:sinachuangshiji

  文/刘素宏

  来源:燃财经(ID:rancaijing)

  近日,号称拥有全国最大简历库的招聘类数据公司巧达科技被曝公司所有人员被警方带走。

  “3月14日团队被警方带走,陆续有HR等非核心成员回家,但核心高管依然失联中。”3月25日,一位巧达科技前员工告诉燃财经。多位业内人士和律师认为,巧达科技出事可能与其未经授权获取简历、“贩卖”简历信息等涉嫌侵犯用户的隐私权,侵犯公民个人信息的行为有关。

  根据公开信息,巧达科技成立于2014年7月,号称拥有中国最大的简历数据库,其主要数据来源为大数据产品矩阵“乔大招”。乔大招旗下拥有“爱伙伴”、“简历时光机”等在内10多款招聘产品。2014年11月获得创新工场数百万美元A轮融资,2017年1月获得中信产业基金数千万人民币B轮融资。

  巧达科技曾对外披露,截至2015年6月30日,乔大招的数据库中,以人为计算,收入自然人的简历超过1.6亿人,以版本来计算,简历超过18亿个版本,超过25亿行为轨迹。一位接近巧达科技的人士称,2017年底巧达科技就号称拥有2亿人的自有简历数据。

  “我们的商业模式概括起来也就8个字:获取简历、数据变现”。产品合伙人刘博曾公开表示。

  如果说智联、猎聘等网站是互联网招聘公司的1.0版本,那么巧达科技则创造了2.0版本——通过共享、爬虫等技术抓取简历数据,建立简历数据库之后,再向B端企业提供人才流失预警、简历交换共享、修改查询、精准营销等服务获利。

  一位投资人指出,很早就看过此类简历类数据公司,后来pass了,因为无外乎就是用爬虫技术建一个简单数据库,处理后提供给B端使用。这类项目已经牵涉到个人隐私的问题,涉嫌触碰法律红线。

  也有熟悉巧达科技的人士透露,其业务还包括分析简历后画像,通过简历中电话匹配买来的通讯录,然后再向商家提供精准营销数据。

  燃财经采访巧达科技前员工,多位招聘、数据领域从业者,以及投资人、律师发现,巧达科技和类似公司长期游走在灰色地带,涉嫌侵犯用户隐私。此次出事,或因触犯监管红线。

  简历生意

  “我一年前离开了巧达数据,觉得确实有一些擦边球、灰色地带业务,对自己未来职业发展也没有好处,”一位不愿意透露姓名的巧达科技离职员工告诉燃财经。

  巧达科技到底是做什么的?

  “获取简历、数据变现”,巧达科技的产品合伙人刘博曾这样概括其商业模式。

  2015年10月,巧达科技旗下的产品爱伙伴推出了可以预报员工离职前动态的功能,就此引发关注。刘博曾把巧达科技的产品分为了三类:第一种,企业的HR或者猎头把多个招聘网站的账号绑定在该工具上,由该工具统一的发布职位、收取简历、解析排重;第二种产品能发现简历中的修改行为;第三种,简历分享。HR或者猎头把自己用不到的简历上传换取积分,再用积分下载平台上有用的简历。

  除了上面的简历产品,巧达科技还有一些未曾公开的业务。

  一位接近巧达科技的匿名人士告诉燃财经,巧达数据最初通过爬虫等方式迅速积攒了数额庞大的简历数据,并给广告商开放接口做精准营销投放。

  上述知情人称,巧达科技CEO曾经在创业者内部交流时提出过巧达的“通讯录映射”理论:巧达科技与各种工具类的APP合作,获取用户通讯录数据,然后通过手机号匹配简历数据,利用社交关系给没有爬到简历的人打上标签,然后找保险公司或者广告公司合作,开接口,输出精准营销。

  举例来说,巧达科技掌握了你的简历数据,并且建立了一定的用户画像,在此基础上,通过和某些调用过通讯录的工具类APP合作,掌握你的社交网,并且默认你通讯录内好友的用户画像也和你相当,以此找到和你消费能力相匹配的商家“精准营销”。

  也就是说,巧达科技利用简历中的收入、阶层等核心信息给用户打标签,并且通过匹配通讯录的方式获取更多人的隐私信息和画像。

  另据一位业内人士透露,此类通过通讯录匹配、标记画像后的数据,提供给商家用于精准营销的收费在0.5元-2元/每条。

  巧达科技曾表示,其产品用户协议中会明确标出简历与平台共享的原则,但这依然不能打消外界对其交易个人隐私数据的质疑。

  共享简历+爬虫,一场事先张扬的隐私侵权

  “这种公司被连窝端的情况并不多见,并且已经被控制了十几天,大概率触犯了个人隐私以及数据安全的底线。”大数据领域的专业人士尊真(化名)告诉燃财经。

  尊真称,乔大招旗下的招聘工具理论上都是2B(企业级)的应用,而不是面向C端用户的,这就决定了当它把数据用于精准营销牟利时,不太可能获得用户授权。他分析了巧达科技触犯法律底线的三种可能。

  第一种情况:精准营销牟利,未获得用户授权。

  根据创业邦2015年的报道,巧达科技提供的互联网招聘工具系列产品累计获得超过15万个企业HR和猎头顾问的用户。当用户在免费试用这些产品的同时,数以亿计的简历资源将与巧达共享。巧达通过对海量建立资源的分析处理,从而提供包括征信补充、行业预测、精准营销等企业级服务获得盈利。

  问题在于“用户与巧达共享简历”,作为B端产品,这里的用户实际上指的是HR和猎头,而并非求职者,从产品逻辑上,当巧达科技将这些数据转化为B端所需要的离职预警、简历更改查询等等服务时,无法获得求职者的授权。

  第二种情况:HR上传简历换取积分,明显侵权。

  巧达科技的服务之一为,HR或者猎头把自己用不到的简历上传换取积分,再用积分下载平台上有用的简历。尊真认为,这样的行为明显是在打擦边球。HR并不是这些简历的所有者,简历数据归属于求职者,如果用简历到平台上换取积分,则与买卖简历本质上并无差别。

  第三种情况:可能涉嫌买卖简历。

  尊真表示,不排除一种最糟糕的情况,就是通过简历工具产品截留了简历,并且涉嫌去贩卖简历,而不仅是通过利用数据做精准营销变现。

  巧达科技获取数据的方式除了共享,还有爬虫。3月26日,燃财经在多个互联网招聘平台发现,巧达科技至今仍在招聘爬虫工程师,其岗位职责包括设计爬虫策略和防屏蔽规则,解决封账号、封IP、验证码等难点攻克;负责网页信息抽取、清洗、消重和结构化处理等工作,提升平台的抓取效率;爬虫核心算法和策略优化,熟悉采集系统的调度策略等。

  这样的灰色利益到底有多大?一位业内人士告诉燃财经,正常渠道获取简历需要招聘方与招聘网站签订合同,报价通常为50元每份,优惠后的价格也会在10元以上。用爬虫手段获取简历省去了这一成本。

  中国政法大学知识产权中心特约研究员、IT与知识产权律师赵占领认为,用户在其他招聘网站上发布简历,简历中包含了求职意向、工作经历以及联系电话、住址等个人隐私,巧达科技未经用户同意抓取其简历并放置于自己平台上用于牟利,该行为涉嫌侵犯用户的隐私权,情节严重的还涉嫌构成侵犯公民个人信息罪。

  数据隐私与商业创新的边界何在?

  2017年6月1日,《中华人民共和国网络安全法》开始施行,其特别加强和明确了个人信息保护方面的要求。《网络安全法》中明确规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。未经被收集者同意,不得向他人提供个人信息。 

  针对上述法律法规,德勤风险咨询部门信息技术风险团队就曾对企业建议,先应尽快盘点已搜集、使用、存储的信息类型,个人信息对应的容器和载体,内部访问、处理、分析、使用个人信息对应的人员岗位,存储这些信息的系统情况,以及这些个人信息是否会被内部人员或者系统后台接口的方式披露、传输给外部第三方等信息。并就此评估当时业务操作与系统操作的现状是否能满足网络安全法中的法规要求。

  “对于创业公司而言,要清楚正在面临越来越严格的数据安全、个人隐私监管环境,”一位大数据领域的创业者对燃财经表示,数据滥用情况对用户而言很糟糕,要严格监管,目前无论是中美还是欧洲都采用追责制,属于事后监管,这更需要创业公司不断自我反思,在易用性和隐私规范性找到价值平衡点。

  简历数据的保护是招聘平台的一场防御战,相关的技术手段不可或缺。猎聘北美总经理俞国梁告诉燃财经,类似猎聘这样的大型招聘网站会把简历数据当成最重要的核心资产去保护,反爬虫技术和防御意识都比较强,数据安全部门会不断通过内部通告来强调安全问题。

  俞国梁还介绍到,在美国,对个人信息的保护在法律上也有清晰的界定,未经求职者允许使用简历,就可能触犯个人隐私法、数据安全法。所以也几乎找不出一家公司的商业模式与巧达科技类似,巧达科技作为一家提供2B服务的公司,大概率是无法获得用户授权来使用求职者简历的,更不能衍生出利用简历信息去牟利的商业模式。

  快评:大数据时代不等于人人皆透明

  大数据似乎是一块遮羞布,以大数据之名,再加上模式创新的华丽外衣,人人正在变得透明。

  巧达科技的高管刘博曾表示不会侵犯用户隐私,他的理由是,通常个人隐私是指个人的私生活情况、财产状况、婚姻家庭信息、身体隐秘部位等,一般人误认为简历中存在大量个人隐私,其实不然,简历中并不存在这些信息。

  在不断完善的法律法规下,巧达科技和数据创业者们必须修正的一个概念是:什么是个人隐私信息。

  2017年6月施行的《网络安全法》规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

  “以前网络安全法没有实施之前,巧达科技等相关的公司更加猖獗,法律出台后稍有收敛,”一位业内人士说。

  法不溯及既往,《网络安全法》的实施应该成为一道分水岭,如果企业此前的行为一旦有违现行法律,就应该立即停止相关业务,及时调整“越线”的业务模式,资本也应重新评估风险。

  从目前巧达科技的招聘信息来看,其公司依然在招募爬虫工程师等岗位,爬虫技术本身没有问题,但如果爬虫而来的数据用于提供给第三方公司去做精准营销牟利,就一定要获得简历所有者授权,但作为B端企业级应用,直接用户是HR和猎头,显然不能代表用户做出授权,巧达必须要回答自己业务模式的合规性问题。

  大数据时代,数据成为能量巨大的宝藏,一旦用于精准营销等商业活动就可以创造出巨大价值,但利益的另一面,是亟待保护的个人隐私信息。以往可能打擦边球,但如今,如果游走在灰色地带的业务模式依然任性,创业者和资本不但不会获得商业上的成功,甚至还要接受法律的制裁。

 
 
[ 综合资讯搜索 ]  [ 加入收藏 ]  [ 告诉好友 ]  [ 打印本文 ]  [ 违规举报 ]  [ 关闭窗口 ]

 


京ICP备2024049591号

京公网安备 11010802022542号