新闻：据21世纪经济报记者调查发现，有多个淘宝卖家，廉价批发58同城的简历数据，一次购买2万份以上，3毛一条；10万份以上，2毛一条，要多少有多少，全部同时实时新。有甚者，当时淘宝还有卖家直接向企业出售700元一套的爬虫软件，可以采集全430多个城市，464个职业简历数据。

HR几乎每天都会和简历打交道，那么在下载简历时，究竟会遇到哪些法律上的盲区呢？

北森特别邀请了知名律师钱树锋先生和北森大数据专家刘生权、市场副总裁高燕，为大家解答一些法律和大数据知识：

1、在该事件中紧张的不只是招聘网站，有哪些主体有可能触碰了法律红线，甚至已经违法了呢？

钱律师：像这里面牵扯到的58同城是一个信息载体，黑客攻破这个载体防线，从它那里获取大量的个人信息，这个黑客的行为是违法加犯罪，不仅是违法而且是犯罪了。违反了刑法当中侵犯个人信息罪这个罪名。

如果有某家公司通过这家黑客向他们购买，用黑客手段获取这些个人信息或者简历，如果数量多也是一种犯罪。数量少，起码也违法。如果这些链条（从黑客环节开始，在接触、倒卖、购买，包括淘宝卖家）不断延伸，此链条下每个环节都处在违法甚至犯罪的情况下。

2、企业招聘中，需要大量接触重要基础信息，我们用一个实际场景，跟大家分享到底在日常招聘中，有哪些环节容易让我们触碰到法律？

个环节：

求职者在各类招聘网站上，如智联招聘、前程无忧、中华英才网、猎聘网等投递简历。

第二个环节：

HR代表企业在这些招聘网站中购买简历。

第三个环节：

如果有一些企业购买的简历量、或者招聘数量特别大，他们往往会借助第三方软件，如招聘管理软件，北森就提供这样的软件，把这些简历集中处理，集中筛选进入到面试环节当中。此时简历就会进入到软件厂商的软件系统里。

第四个环节：

HR往往会说缺人、简历量不够，永远处于这样的“饥渴”状态中，他们不断拓宽简历购买渠道。有时会有一些软件厂商会把这些简历做二次出售，HR会从他们手里购买简历。

3、以上哪个环节有可能涉及到违法？

钱律师：一般情况下求职者通过招聘网站投递自己的简历，是希望自己的简历通过这个平台被很多用人企业发现、使用。招聘网站往往会设计一个登录步骤，求职者通过登录步骤，成为招聘网站的会员，在这个步骤过中，招聘网站会跟求职者有一个协议。即求职者允许招聘网站将其简历进行推广、出售等。

若这些网站都有这些措施，等于再去出售、使用这个简历，已经得到求职者的授权。所以一些用人单位的HR从招聘网站直接下载、购买这种简历多数情况下不违法，或者说，只要招聘网站跟求职者之间有这样的协议，那就是不违法的。

4、第二个环节，软件厂商帮HR保存了简历，然后把简历做二次出售，HR购买这个环节呢？

钱律师：若软件厂商身份只是信息保管者，提供保管平台，再次出售就是违法，他没有得到任何许可，就不具备任何合法的条件或资质，没有合法的前提。

5、从法律上讲，您觉得软件厂商如果申请可以具备出售简历的资质，这个在法律范围之内可行吗？

钱律师：法律范围之内就看一个词即“是否合法”。目前民法体系的法律，不会就这样的行为做直接规定，多数看你是否得到权利人的授权和许可。

如果求职者在招聘网站上，登录上传简历后，招聘网站的合同其中有一条，我保存到哪一个平台之后，保存平台也有权出售。求职者如果同意，他如果恨不得全天下所有用人单位都可以看到我的简历，他希望扩大。那此时软件厂商等于也得到合理、合法授权。

现实中，招聘网站不会这样做，因为这相当于让下游的软件厂商抢自己的生意。从招聘网站和软件厂商的合作关系讲，前者很怕软件厂商那样做，如果那样做，就不愿意跟后者打通接口了。

6、有时软件厂商跟HR做交易，说“您放心购买，关于这个数据合法性，我来保障，您只要放心购买就行”，原则上还会把这个条款写到协议中，向HR保证信息安全权利。但实际上他并没有私下获得求职者的授权，该情况下，一旦发生买卖行为，HR要承担责任吗？

钱律师：如果你是成年人，你有完全的判断能力和行为能力，你能否在普通人的判断能力之下，判断该事项。如果软件平台商告诉你我这个合法你放心吧。但你能通过普通人的判断他说的是大话、假话，你还故意买，反正他保证了，我就买。你还是有责任的。

回到58同城的简历泄露，即使在淘宝购买简历，对方说我不是黑客，我就是可以卖给你这些数据，你也要思考下，他怎么可能有这个资质。

7、一旦在过程中出现法律责任，不同的人和主体分别在这个链条上承担什么责任？若HR知道渠道是非法的，但为了获取多简历还是购买了，在此过程中，谁承担主要责任，量刑有多重？

钱律师：若这里面构成了刑法说的侵犯公民个人信息罪的罪名，刑法上对这块判断分两档。一档是情节严重，是三年以下有期徒刑拘役罚金。情节特别严重是三年以上，七年以下有期徒刑。

现在关于什么是情节严重，什么是特别严重还比较模糊，高院联合高检正在出台司法解释，这个出台就特别清晰。综合全案例，有的是根据出售份数，我碰到一个少的份数是2800份，少金额是3200元。要提醒大家，正因为现在没有这么细的规定，可能一个不经意的举动反而会造成大的麻烦。

8、关于执行细则，是否有明确的时间表，大概在何时颁布？另315公布了民法总则，今年10月1日正式生效，该总则规定了哪方面的责任？

钱律师：高院、高检已将草案送审，送审通过后，快几个月就可以出细则。

关于个人信息保护这块，在民法总则颁布前，从民法系统上讲没有公民个人信息权这个名称。关于公民个人信息权利受到侵害后如何维护，严重可以向公安机关报案，公安机关按侵犯公民个人信息罪定位，按刑法；不够严重，但对社会造成相应的扰乱，公安机关可用治安处罚法来处理，即行政拘留。

有一些法律按照侵犯名誉权、隐私权来处理。企业之间，如新浪、微信起诉某网站，按照不正当竞争来判。目前全世界已有50多个家有完整的个人信息保护法。所以我应该在不久的将来，也会有这样的完整法律体系。

9、HR购买简历时，是代表企业行使权利和责任的，是帮企业拓宽简历渠道。若不小心触碰法律，责任人、责任主体如何确定？

钱律师：从刑法上讲，修正案九，所有法律条款里，涉及单位犯罪有两个主体，一个主体是直接负责主管人员，如果招聘HR的直接领导，告诉HR这么做，那责任人就是主管领导，是主犯。从事该行为的HR是从犯，从犯的责任比主犯要小一点，定罪量刑也会减轻。

而企业的法人即法定代表人，如果不是直接负责的主管人员，则不一定会承担责任，因为刑法上强调直接负责的主管人员，一定要有直接关系。

10、不仅是招聘获得简历的领域，我们在招聘过程中，用人单位，包括招聘的HR为了确保招聘的人是真才实料会做背景调查。该过程中是否有可能让HR们陷入到法律麻烦当中？

钱律师：做背景调查像民法上讲到的使用录音作为证据，这个可以做参考。什么录音证据是无效的？若用违法手段进行录音的录音证据无效。如潜入他人的居住房间装窃听设备，后录的音无效。像HR，如果不是用违法手段做背调是没问题的。

11、背调中，如果我向求职者以前工作的单位打电话、调查，需要获得求职者授权吗？

钱律师：这个不需要，用人单位有权利了解求职者简历上所写信息的真实性，其对求职者的人品、能力、技能、学历等信息都有权利了解，这是用工方的权利。

但有时也有可能触碰到法律红线：比如，有单位特别怕招聘的女员工刚入职就怀孕，就要求女员工提供是否已结婚、怀孕等证明。而求职者不想提供，该单位就用熟人关系到医院调查女员工，因为入职时女员工交过一份体验报告，他到医院调查。结果医院告诉他，该职工刚来办理孕检的事项，用人单位就拒绝录用该女员工。后来该情况被对方知晓，就跟这个单位干上了，这个背景调查的方式就不一定合法。因为该信息跟过去的工作表现、工作能力没有关系，甚至某种程度上是一个隐私信息。

12、以前软件是安装版，企业倾向于自己开发，本地部署，所有简历数据都放在企业的服务器上进行本地保护，是否这样安全？但如今软件放在云计算平台，在安全性上，泄露风险是否高？

刘生权：我认为云计算软件和本地部署的软件，除了物理隔绝的能力上面，本地部署具有不可替代的优势。

排除这个优势，别的方面我只能说本地部署的软件安全性不优于云计算的软件。因为在某种程度上软件安全与否，关键在于守护这部分数据资产的团队，以及使用技术设备这样的抵抗风险的能力，而与部署形式没有直接关联。

像招聘管理软件互联网时代，系统不可能不和外界发生关联，我们没有看到一个企业的招聘管理软件是跟外界隔离的。

从这个角度看本地部署的软件只要跟外界产生互联互通，就丧失了物理隔离的安全优势。这样的情况看，所面临的安全风险和云计算方式其实是差不多的。

13、像北森，我们都采取哪些方式确保数据安全？一方面我们采取一些物理手段，确保数据不被泄露；另外，当简历到了北森的软件平台，数据所有权到底属于谁？

刘生权：在云计算安全上，如北森这些厂商，作为客户的安全提供方，简单来说就是客户数据的“看家狗”，帮助客户保护数据安全。对于数据，客户拥有所有简历数据的所有权。数据虽然放在我们的平台上管理，但数据属于客户。我们不会拿客户的简历做一些其他商业行为。

另外安全和安全风险是一个矛和盾的斗争过程，网络世界每天都会出现新的风险，不断出现新的工具。相对而言，我们会不断根据新的工具状态出现完善防护，好地保护数据体系。

北森有一个鹰眼，我们每天通过鹰眼去看整个系统运营情况，确保系统顺畅，重要的，我们会及时发现安全漏洞或者安全问题及时做相应处理，不断完善安全运营体系。

14、我们不免有一个担心，北森会研究大数据，那么厂商研究大数据的同时，不就是在用大家的简历数据吗，那你怎么说尊重客户的数据拥有权呢？

刘生权：北森作为软件的提供商，很重要的产品就是招聘管理系统。我们每天都战战兢兢，要向招聘网站等渠道不断地说：我们是合作关系，北森上不碰简历，下不做招聘服务。我们要非常严格地遵守招聘网站对于求职者简历的拥有权，也会尊重企业对简历购买后的拥有权。

我们会定期做一些招聘渠道分析，这个数据来自于我们大数据的数据体系，我们会将大数据跟敏感数据进行脱敏。做数据分析之前，不会针对个人，而是做整体数据分析。

在分析过程中，会排除识别性的数据，这个在分析中不起作用，我们会将这些相关数据从分析的数据中脱敏掉。然后去分析一些宏观性的东西，比如学历、年龄、地域情况，包括测评相关的趋势性。这个数据不涉及到个人隐私，并且个人隐私性数据在我们大数据分析下也没有用。

正在使用北森招聘管理软件的客户朋友，如果有，某家公司跟我们提要求说，我想做一个数据对比分析，你能不能把我的竞争对手，恰好也在用你们的招聘管理软件，能否把他们家的数据对比做分析给我们看。对不起这事儿我们真不能做，因为这是识别某一家企业的具体数据。

15、一家猎头公司因为公司属性的原因，在前程或智联上直接购买简历，费用很高，然后就委托第三方公司在前程或智联下载再转发，这样费用低一些，请问这违法吗？

钱律师：第三方公司从前程和智联上下载的简历，无论是合法还是违法渠道，都无权擅自再次出售。法律规定你获取的任何和个人信息有关的信息都应该是合法取得，合法取得的延伸就是你不能再去传播。你要合法收集，它没有合法的转让权、出售权、传播权，通过违法的前提下，重新获得。费用低一点，那就是一种违法购买，肯定是违法的。

16、粉丝：北森既做ATS又做招聘，如果HR绑定其他渠道的简历，北森的招聘模块会不会触碰到这部分简历？

高燕：需要澄清一下，北森只做招聘软件，我们自己不做招聘业务，不存在从渠道过来的简历，我们把它再次使用、传播和出售，这是不做的。

但北森为了方便所有HR招聘人员，我们开放和所有上游的招聘网站，愿意跟他们打开接口。因为任何一个企业招聘不只依赖一个渠道，我们希望通过多个渠道获取简历，但我们不会碰这部分简历。

17、现在不同的企业中的HR会交换简历，这个行为合法性是怎么样的？

钱律师：我们获得他人的信息，前提是合法获得。合法获得之后有一个义务就是你不能违法传输。如果HR之间交换了，等于已经构成违法传输，这个肯定不合法。

18、粉丝：我是公司的IT人员，使用本公司招聘网站的用户和密码，用爬虫技术，把投递我司的职位简历获取到本地，这个行为是否违法？

刘生权：我需要解释一下爬虫技术，我们人工登录到招聘网站，是用用户名和密码登录进去，把简历下载下来，整个过程是合法的。因为应聘者投递简历时，把简历授权给你了。而这个所谓爬虫技术，只是让这个过程变得自动化，如果这个下载量比较大，简历比较多的话，逐个下载工作量非常庞大，爬虫技术让这些工作变得智能化而已。

钱律师：如果没有使用黑客技术攻破招聘的防护系统，非法获取简历，而是用便捷，那这个没问题。

但是有另外一个情形，像58简历泄露，人家也卖爬虫，这个爬虫我给你这套软件，你就可以把他们的软件下载下来，这是违法的。两者中一个是合法登入，一个是违法侵入，性质不同。

后，提醒所有HR朋友，秉持着这些法律红线之内的东西我们不做的原则，其实你就没什么风险。我们在梳理整个招聘过程当中，每一个链条、每一个环节都可能有法律风险，每一个HR都特别不容易，我们每天都心系公司，但万一我们不知道这些法律规定，就可能好心办了坏事儿，反倒让自己承担这些法律风险，这是非常不值得的。