你在网络招聘平台上投的个人简历,可能被当成牟利的工具转手出售。日前,北京市朝阳区人民法院开庭审理了一起智联招聘个人简历信息遭泄露案,2名公司内部员工参与倒卖简历,据了解,该案涉及的个人简历超过16万份。虽然公司此后发声明称要坚决打击此类行为,但不免引起公众质疑,掌握大量用户信息数据的网络招聘平台,究竟能在多大程度上保护我们的信息安全?
日前,南都记者下载智联招聘App进行实测,结果发现,当首次登录App时,竟收到系统发来的网络彩票招聘信息。此外,在使用过程中,App过度索取用户权限、求职者个人账户无删除项、在没有填写任何个人简历信息的情况下系统却为你自动关注“好友”等问题,成为了网络招聘平台的安全隐患。
记者实测:App提示要索取用户位置、照片权限
网络招聘平台掌握大量用户信息数据,尤其在行业乱象频被曝光、网络黑产猖獗盛行的现实情况下,个人信息安全问题值得引起各方重视。与其他网站不同,招聘网站提取的用户个人信息类别更加宽泛。
智联招聘在其“隐私政策”明确收集使用者的个人信息包括个人基本信息(包括但不限于姓名、性别、出生年月日、手机号码、个人邮箱、工作经验、工作年限、期望职业、期望工作地区等)、使用者的使用偏好信息、使用者的使用记录信息等。
根据全国信息安全标准化技术委员会在今年6月发布的《移动互联网应用基本业务功能必要信息规范》,其中规定求职招聘类移动互联网应用提供者可以收集的必要信息包括手机号码、账号信息、求职者基本信息、求职者教育信息、求职者工作经历信息以及招聘者身份证号码这几项。除此之外,其他越权索取用户信息的都属于非基本业务功能。
7月10日,记者下载安装“智联招聘”App后,第一次打开应用程序时,收到系统发来的是否允许“在您使用该应用时访问您的位置”的提示,选择拒绝后,在浏览其他栏目时,仍会收到“设置家的位置”的提示。
迪拜警方周一发布的一份新闻声明称,作为反乞讨活动的一部分,迪拜警方在 3 月 18 日至斋月第一天期间逮捕了 178 名乞丐,其中包括 134 名男性和 44 名女性。
智联招聘在其“隐私政策”中对这一问题的解释是,“记录使用者的地理位置信息,用于匹配企业招聘职位的地理位置信息以为使用者推荐附近的职位信息,或方便使用者查看意向企业所在位置。”
不过,记者还发现,当使用“智联招聘”App的“职Q社区”功能时,会收到系统提示“想访问您的照片”。而在此前,有媒体实测发现“智联招聘”App在安装后第一次运行时还会向用户提示索取通讯录权限。
根据上述《信息规范》,求职招聘类移动互联网应用提供者的基本业务功能收集必要信息中,并不包括获取用户的地理位置、照片、通讯录权限这三项。7月10日,记者在应用商店中发现,“智联招聘”在2周前的最新一次版本更新中,去掉了启动询问用户获取通讯录权限这一项。
求职者个人账户无删除项,首次登录App收到网络彩票招聘信息
除越权提示索取非基本业务功能外,记者还发现,一旦使用手机号登录“智联招聘”App,则被自动注册账户。
那么,如果求职者找到工作,在招聘平台上注册的账户是否可以删除?记者实测发现,“智联招聘”并不支持删除账户功能,在其官网对“如何删除账户”这一问题的解答则是,“本网系统目前并不支持此项功能”。
智联招聘不支持用户删除账户。
记者还发现,其App和官网都没有设置账户注销选项,要想进行账号注销,必须联系官方客服。而在其隐私政策中,智联称“即使使用者注销帐号,我们仍可能保留使用者的部分个人数据。”
不仅如此,记者还发现,当首次登录App时,在没有填写任何个人简历信息的情况下,系统却已经为你自动关注“好友”。在“智联招聘”App“职Q”功能中,系统提示称“发现了和您同职位、同学校或同领域的好友”,并自动勾选了关注。
除被自动关注“好友”外,记者首次登录App时,还收到了一条陌生用户发来的“系统通知”,点开内容却一条兼职招聘信息:“招兵买马,不限时间,不限地点,一天3500不等,有兴趣的在评论找我”。
根据对方留下的联络方式,记者添加一个名叫“XX娱乐”的微信公众号,当询问工作内容时,一位自称是工作人员回复称主要是代玩网络彩票“幸运快三”,他们负责提供网址和账号,只需要按照要求在App上选择彩票类别和投注金额进行下注,且特别说明“不需要你出一分钱,老板派单时会提供账号和资金”,“每单可以领到30-1000元的工资”。
网络彩票工作人员向记者介绍“幸运快三”玩法。
记者进一步询问得知,“代玩”网络彩票主要是在一个名叫“大福利”的网络彩票App上操作。根据对方发来的网址链接,记者下载App打开后发现“幸运快三”、“北京赛车”、“分分彩”、“重庆时时彩”等各类网络彩票游戏琳琅满目。
“大福利”网络彩票App页面。
此前,记者对此类网络彩票进行过卧底调查,这类网络彩票都是骗局,中奖几率由后台控制,以诱惑受害者投更多的钱为目的,骗到钱后便跑路。
记者获悉,2018年8月,财政部、市场监管总局、国家网信办、银保监会等12部门曾联合发布公告,坚决禁止擅自利用互联网销售彩票行为,严肃查处企业或个人违法违规网络售彩等行为。公告称,财政部尚未批准任何彩票机构开通利用互联网销售彩票业务,未经财政部批准,福利彩票和体育彩票机构及其代销者不得以任何形式擅自利用互联网销售彩票,任何企业或个人不得开展任何形式的互联网销售彩票相关业务,将“严厉打击以彩票名义开展的网络私彩、网络赌博等任何形式的违法违规经营活动。”
信息泄露源头:“内鬼”作祟、倒卖16万简历
记者从北京市朝阳区人民法院获悉,7月5日,智联招聘员工参与倒卖个人信息一案迎来二审开庭。某知名电商平台店主郑某主要以转卖个人信息为业,2018年,其经朋友介绍认识了在智联招聘工作的销售人员卢某和王某,开始从二人处批量购买个人简历信息,再以每份简历加价1元至1.5元的基础上在该电商平台上进行销售,从中谋取利益。
记者了解到,按照智联招聘公司规定,企业与公司签约成为注册企业用户后,可以获得“招聘网简历库”浏览权限,即可以搜索到平台的个人简历。
据郑某交代,卢某和王某称公司有便宜的套餐,一份简历4.5元,注册一个企业账号可以获得2800份简历。据媒体报道,卢某通过公司内部获取了超过60个企业名称,还协助郑某用PS伪造虚假的企业营业执照蒙混过关。从2018年3月至6月,卢某和王某将公司企业客户账号非法出售给郑某,分别涉及个人简历信息12万余条和4万余条。此外,王某还在2018年6月至7月,非法出售个人简历信息给郑某,违法所得3万余元。
记者从北京市朝阳区人民法院获悉,目前该案已经过5月6日和7月5日两次庭审,后续将不再安排庭审,案件将择日宣判。
智联招聘发声明称将坚决打击
16万份个人简历被招聘网站“内鬼”倒卖给不法分子,案情披露后引起极大关注。记者搜索裁判文书网发现,此案并非孤例。同样是智联招聘,2017年6月,公司就曾被爆出有两名内部员工私自将公司15余万条个人简历信息非法低价出售给他人,从中谋取利益。
法院审理查明,智联招聘销售人员申某与客服李某串通勾结,利用公司程序漏洞套取求职者信息。一审法院认定,申某、李某二人私自将公司155673条个人简历信息非法出售或提供给他人,此二人行为已构成侵犯公民个人信息罪。2017年6月14日,北京市朝阳区人民法院对此案一审宣判,被告人申某、李某犯侵犯公民个人信息罪,法院分别判处有期徒刑3年6个月、有期徒刑1年6个月,并分别处罚金人民币30万元、人民币5万元。此后二人提出上诉,二审仍维持原判。
针对最近发生的公司内部员工参与倒卖个人简历一事,7月9日,智联招聘发声明称,此案最初是公司在日常巡查中发现网络上有售卖简历的行为,随后报警处理。
智联招聘表示棋牌游戏网站,公司绝不容忍信息欺诈、侵犯个人信息的违法行为,公司销售人员卢某和王某违反公司制度,骗取企业会员账号获取建立,在网络上非法销售牟利,公司将对此类行为实行严厉查处和坚决打击,后续将持续通过定期巡查、不断升级网络安全技术、开展员工合规教育等方式,保护用户信息安全。