没有买卖，就没有泄露

　　近日，一则“58同城被曝简历数据泄露，700元即可查看全国简历数据”的报道，让不少求职者在招聘网站上提交自己的个人简历信息时，多了一份担忧。

　　原来，已经有不法分子利用恶意爬虫软件，在招聘网站上随意抓取求职者个人简历信息，并堂而皇之地进行贩卖。

　　这则新闻，也引发了众多关于简历数据泄露的讨论——“简历上包含了我的大量个人信息，谁知道会被人怎样利用，太不安全了！”“这种能够随意抓取简历数据的爬虫软件，能否进行规制？”“58同城是怎么做网站安全防护的，这些简历泄露出去，不也损害了自己的商业利益吗？”

　　在信息安全问题日益受到重视的今天，每一次的信息泄露事件，都会成为社会关注的焦点。然而，在不少专家看来，类似事件之所以不断发生，关键在于源头——个人信息滥用行为，缺少强力打击和有效维权手段。

　　简历信息黑市价格远低于正常购买

　　求职者在招聘网站上发布简历，有兴趣的招聘者通过向招聘网站支付一定费用，来获取求职者的联系方式，已经成为目前不少招聘网站的商业模式。

　　以58同城为例，求职者所发布的简历信息，包括姓氏、性别、年龄、头像、学历、毕业院校、求职意向等，都可以免费搜索查询到。根据购买简历数量的不同，单条简历的价格从20元(6份简历套餐)至14.5元(138份简历套餐)不等。

　　而在另一个市场上，58同城简历数据的价格，完全被颠覆。

　　“一次购买两万份以上，3毛一条；10万份以上，2毛一条。要多少有多少，全国同步实时更新。”这是某电商平台上一位卖家，对其所掌握的58同城简历数据叫卖的价格。

　　在贴吧、论坛、社交软件中，也有不少声称可以出售58同城、智联招聘、百姓网等各大招聘网站简历数据的卖家，价格从1.2元/条至2.4元/条不等，且多以5000条以上的数量打包出售。

　　而除了直接售卖简历数据的卖家，更有一些卖家出售爬虫软件，购买者可以直接用这套软件，从58同城上抓取自己想要的求职者简历数据。

　　据了解，利用卖家出售的账号登录爬虫软件后，可以在检索选项中选择不同的城市、职业、简历更新时间等关键词，包括全国430多个城市以及464个职业可供选择。

　　在选择完希望抓取简历数据的相关城市、职业等信息后，该爬虫软件便可以按照“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间”等内容来采集求职者的简历信息，并将这些简历数据自动录入到excel表格中。

　　而这套爬虫软件的价格，按照不同的售卖方式，有着不同的计算标准：一些卖家按照使用账号时间来收费，每月700元，在有效时间内可以无限次抓取简历数据；而另一些卖家，则会按照客户所需求的简历数据数量，来开放爬虫软件可以抓取的简历数据条数，并根据抓取条数计算价格，数量越多，单条简历数据的价格也就越低。可见信息的“廉价”。

　　为何招聘网站上的简历信息，会屡屡成为信息泄露的高危区？北京市炜衡律师事务所上海分所高级合伙人邹晓晨表示，招聘网站半开放式的信息呈现方式，容易被不法分子所利用；而爬虫软件的工具性特征，也让网站的安全防范措施往往缺乏针对性。

　　“求职者将简历上网，是为了能让更多人方便查看简历，了解自己。招聘网站的商业模式，决定了它要将求职者的部分信息予以公开，方便招聘者搜索、查询，以此提高招聘环节的效率和便利性。”邹晓晨表示。

　　而在这种半开放的环境下，爬虫软件就有了非常大的生存空间，邹晓晨介绍，：“爬虫软件本身只是一个采集网站数据的工具，并不天然非法。关键在于爬虫软件的使用，是否遵循了合理的数据采集规则；如果突破了网站的限制规则，非法搜集网站禁止抓取的内容，就属于恶意爬虫软件，涉嫌非法获取计算机信息系统数据。”

　　某互联网公司技术人员告诉法治周末记者，爬虫软件是当下十分常用的数据采集工具，被广泛运用于各个领域内的科研项目、中小企业业务数据挖掘和处理中，如生活中常见的搜索引擎、电商平台比价工具、舆情分析软件等，都属于爬虫软件，“只要是在网上开放的信息，通过爬虫软件的程序设置，都可以抓取到”。

　　而对于58同城等招聘网站上的简历被爬虫软件抓取的情形，邹晓晨指出，这些简历原本被招聘网站限定只允许特定用户访问完整的信息，而爬虫软件通过模拟用户访问而获取数据的行为，突破了招聘网站对简历信息查阅、下载的限制，显然是违法的。

　　不过，邹晓晨坦言，像招聘网站这样半开放式的数据环境，很难做到对爬虫软件进行完全的防范，不能苛求它能阻止每一次恶意爬虫软件的数据抓取行为，“这种恶意抓取数据的行为，对招聘网站本身而言，也是不小的损失，不会有哪一家招聘网站会故意放任这种情况的发生，从这个角度看，招聘网站本身也是受害者。但不得不说，这种风险的存在，也是网络时代下追求效率和便利所必须付出的代价”。

　　治理根源在于打击信息滥用

　　在邹晓晨看来，抓取简历数据的恶意爬虫软件，并非整个事件中最值得关注和规范之处——就如同菜刀一样，爬虫软件也仅仅是一种工具，有人拿来合理使用，也有人拿来犯罪，但这并不是工具的错。

　　“打击这种现象，应当找到源头——猖獗的个人信息滥用行为，形成了广阔的个人信息买卖市场，才会有不法分子利用恶意爬虫软件来抓取简历数据，进而批量贩卖。”邹晓晨表示，简历数据包含了求职者的大量个人信息，如个人联系方式、身份信息、过往经历等，利用这些往往能够精确地分析出一个人的个人状态、消费习惯等，“一旦被用于精准营销，甚至被拿来进行诈骗犯罪，成功率都会非常高。”

　　北京师范大学法学院教授、亚太网络法律研究中心主任刘德良对此也持有同样的观点。他认为，类似于简历信息这样的个人信息公开，本身并不会造成任何损害，甚至一些个人信息，本就是在社会交往活动中公开产生并发挥价值的，“求职者简历信息更广泛的传播，对于求职者本人而言，未必就是坏事”。

　　刘德良曾多次呼吁，一味地强调个人信息不能公开、不能共享、不能利用，就无法发挥这些信息所能带来的价值；个人信息滥用现象的重视程度不高、治理不到位，才是当前信息安全领域应当着重关心的问题，“真正值得法律去监管的，应当是对这些信息的滥用，比如利用这些信息发布垃圾短信、拨打骚扰电话，甚至是诈骗”。

　　刘德良表示，现实中，公众多关注信息泄露的一环，但是对信息泄露的根源——个人信息滥用的规范，却关注甚少：“目前现行法律法规并没有对个人信息的滥用，形成有效的打击和治理，这就使得滥用个人信息者很难得到相应的惩罚。”

　　刘德良介绍，在传统民法理论看来，很多人将个人信息看成是公民的隐私权，属于人格权的范畴，过于注重保密性，而忽视其滥用的危害；但这样的理解，对于受害人是不利的。

　　刘德良指出，一方面，侵犯人格权的救济方法有限，侵权损害难以证明，寻求经济赔偿困难，对受害人来说，其维权的成本很高；而另一方面，在民事维权受阻的情况下，我国目前对个人信息违法犯罪行为的行政处罚、刑事打击屈指可数，与日常生活中买卖、滥用个人信息行为多发的现状形成巨大反差，意味着违法成本低，缺乏震慑力。

　　“畅通公民对个人信息滥用行为的民事维权途径，通过公权力大力打击个人信息滥用行为，才能有效遏制个人信息滥用。没有个人信息滥用，就没有买卖；没有买卖，就没有泄露。”刘德良说。