简历泄露不设防：招聘平台该点样破局？

文/王新喜

3.15晚会曝光‌智联招聘、前程无忧、猎聘等招聘平台泄露用户简历数据等问题，引发业内热议。点样堵住招聘平台倒卖简历同隐私信息嘅漏洞，成为求职人群关注嘅问题。

3.15晚会曝光招聘平台泄露用户隐私之后，三大平台都在紧急公关，猎聘表示要成立专项小组，彻查简历被非法售卖嘅行为。智联招聘表示要24个钟头上线虚拟中间号码功能。前程无忧回应话，成立信息安全管理委员会，升级一系列求职者知悉、选择同授权嘅程序。

根据Analysys易观发布嘅《中国互联网招聘市场季度监测报告2019年第3季度》，报告显示，截至2019年3季度嘅网络招聘市场份额，58同城占比37.70%，前程无忧占比21.70%，智联招聘占比19.2%，第啲平台共计占比21.40%。几大头部平台占据‌国内招聘简历市场嘅主流。

利益悖论：招聘平台需要依赖简历信息盈利

由于贩卖简历信息是招聘网站嘅核心盈利模式，悖论在于，佢需要依赖呢啲数据用户个人嘅隐私达成盈利嘅目嘅，如果用户信息无办法被企业查睇，平台嘅商业模式就无办法成立，解决呢个问题嘅办法是成立一套隐私保护追责系统，确保一旦发生隐私泄露，平台能追踪到线索相关人，用户有一套完整机制去维护自身嘅权益。

等用户明确自己嘅信息是被谁查嘎啦，平台需要有能力向用户信息泄露嘅企业用户行为追责。

招聘网站经营嘅就是贩卖个人信息嘅生意，只要是正常使用招聘网站，必然会有将求职者嘅个人信息提供畀第三方嘅过程。

对于多数招聘网站嚟讲，一般在用户协议中都有等用户同意将个人信息提供畀第三方嘅条款，而用户如果不同意这项协议，基本上都是无办法正常使用招聘网站去投放自己嘅简历。

争议嘅产生，喺于第三方到底是正规嘅用人单位定系第啲嘅没有资质嘅用人单位或者个人，而第三方嘅“用人单位”转卖个人信息从中牟利，招聘网站系咪有足够嘅措施去管控。

从报道嚟睇，企业账号在没有支付费用嘅情况下是无办法睇到用户简历嘅完整信息，而记者向平台支付费用之后，无需征得求职者同意，简历信息可以完整下载，原嚟隐藏嘅姓名、联系电话及邮箱地址等关键信息全部显示‌出嚟。从智联招聘，前程无忧同猎聘网同样存在类似嘅问题，剩系要支付费用，便可以下载到带有求职者姓名、电话、邮箱地址等关键信息在内嘅完整简历。

都就是说，企业从招聘网站付费下载简历是平台本身嘅盈利模式，而呢啲资料最终流向‌边入面，进入‌边啲人手上，用户隐私系咪被重重倒卖，平台都就不管嘎啦，都管不嘎啦。正是因为平台缺乏管理同监测，令求职者简历流入网络黑市，造成个人信息泄露。

其实对于招聘网站而言，面向企业用户收费卖用户隐私虽然是一种商业模式，呢种商业模式本身是未经用户同意嘅单方面行为，是需要不断完善同优化嘅，用户隐私流入何处，平台本身系咪参同贩卖用户隐私，无从知道。

此外是简历泄露背后牵涉到平台对企业资质将关不严嘅问题，有业内人士表示，好多不法分子在招聘网站上注册‌空壳公司，以此套取求职者嘅简历。

都存在团伙注册假公司发布岗位用嚟“钓鱼”，呢啲公司利用嗰啲具备诱惑性“躺赚”嘅岗位嚟吸引应聘者投递简历，从而大量套取简历信息。

将关不严嘅背后，其实又牵涉到利益相悖嘅问题。对于平台而言，用户简历被下载嘅越多，收益越多，如果严审企业资质，清除平台上不合规嘅企业，从营收上嚟讲，是断其自身财路，这都是为何空壳公司可以在招聘平台上大行其道。

业内知道嘅系，大规模嘅个人简历数据泄露背后存在一个非常强、运作效率非常高嘅利益驱动机制，喺利益驱动下，分工成熟嘅数据黑产市场得以层层覆盖，佢哋有完整嘅社工库，有数据盗窃团伙，有技术黑客，但系以用程序爬虫抓取数据，都可以通过“提取器”同“采集系统”呢种外挂软件，24个钟头不间断地从招聘平台及接收简历嘅邮箱批量下载。

曾有公司大规模招聘爬虫工程师，但系以睇到岗位要求包括设计爬虫攻略同防屏蔽规则，并解决封账号、封IP、验证码等问题。抓取简历信息且解决封号等问题明显是爬虫技术嘅应用场景之一。

佢哋通过在招聘平台用极低嘅代价获得嘅用户简历数据，喺市场上却可以以极低嘅价格反复售卖，层层获利。

这都是为何不少用户在招聘平台上投递简历后，却屡遭陌生嚟电同短信骚扰，甚至求职被呃、预付押金等各种侵权事件更是多发。

网络招聘平台经营者通过提供招聘便利，从中收获‌收益，而家其平台出现招聘简历被非法收集买卖嘅问题，当然难辞其咎，因为没有经过用户同意甚至违反用户意愿嘅隐私交易，都属于擅自利用用户信息并可能侵犯隐私嘅行为。

平台该点样破局？

在3.15曝光之后，不少平台表示要整改。

据智联招聘介绍，今年1月份以嚟，智联已经开始在部分个人用户嘅电话号码上实行虚拟中间号码，即企业主动联系求职者时将通过中间号嘅方式沟通，无办法获悉到求职者嘅真实号码，此功能将于24个钟头内实现全量上线。

但事实上，呢种技术方式更多流于表面，治标不治本，因为企业主动联系求职者，完全可以在沟通过程度，互相交换第啲联系方式，脱离平台嘅沟通渠道。

事实上，从本质上嚟睇，用户简历被贩卖定系源于想从根本上堵住个人简历随意下载及倒卖嘅漏洞，关键定系需要招聘平台改变单一“卖简历”嘅传统盈利模式。但从家阵时嚟睇，招聘平台仲好难走出目前嘅单一盈利路径依赖。

笔者嘅建议是，企业对用户信息嘅下载，对用户要有告知义务，用户需要清楚嘅知道是边啲企业用户查睇并下载‌其信息，最好是下载简历嘅流程点对点保密，当事人授权才能点对点发送简历。

其次是，平台能追踪企业相关责任人嘅线索，而招聘平台需要履行其相应嘅管理义务，应该规定企业用户下载用户信息，需要同平台签订保密协议，企业不得利用用户隐私信息牟利同买卖，若有违反，需承担相应嘅违约责任同赔偿。

家阵时，相关法律法规都已经跟进招聘市场隐私泄露乱象。2020年12月，人力资源同社会保障部出台《网络招聘服务管理规定》，自2021年3月1日起施行。《规定》明确从事网络招聘服务嘅人力资源服务机构应当建立完备嘅网络招聘信息管理制度，依法对用人单位提供材料嘅真实性、合法性进行审查，不得泄露、篡改、毁损或者非法出售、非法向其他人提供其收集嘅个人信息同用人单位经营状况等信息。

对于招聘平台嚟讲，家阵时已经处于信任价值遭遇破坏嘅边缘，平台需要有相应嘅措施去修复用户信任价值。喺技术层面补齐漏洞是其一、平台严将企业资质审核，避免存在假冒、借用第啲企业嘅证照注册会员，是其二，其三是需要从用户利益嘅角度考虑，设置完善嘅追责制度体系同线索追查体系，一旦用户隐私被泄露，确保呢啲用户都有权有能力向相关泄露者追求法律责任。

用户隐私流入何处，平台需要有一套相对系统化、透明化嘅机制去执行追责、顺藤摸瓜追踪走向，都就是说，平台本身都有条件做到同下载简历嘅企业建立信息追踪体系。

都就是说，下载‌用户简历嘅企业，具体到边啲人乜嘢时间查睇嘎啦，进行记录同存档。对简历使用过程建立个人查睇、交接记录，建档体系，招聘平台要有同企业进行双向反馈同备案嘅机制同通道，喺此基础上，如果能建立一套简历流向嘅追踪体系同问责体系，疑难自解，但就睇招聘平台系咪真有决心整改。

点样将用户隐私管控纳入平台嘅KPI机制，确保等真正有招聘需求嘅单位下载简历以及下载之后能有效追踪到非法售卖同利用嘅路径，这是招聘平台未嚟要做嘅，都考验招聘网站平台嘅战略同智慧。

作者：王新喜TMT资深评论人本文未经许可谢绝转载我嘅微信公众号：热点微评（redianweiping）