作者：夏海波律师，毕业于复旦大学法学院，获硕士学位，上海市律师协会互联网业务研究委员会委员，专利代理人，互联网、人工智能、大数据领域专业律师、法律研究者。律师助理汪成杰整理。

近日，有多家媒体报道，招聘数据公司“巧达科技”被查封，大量员工被警方带走。而在此次事件引起热议之前，可能并没有太多人了解“巧达”，但据一份网传由巧达提供给客户的商业计划书显示，其已经掌握了 2 亿多有简历的自然人信息、10 亿多通讯录信息、100 多亿用户识别 ID 组合和 1000 多亿用户综合数据，并且，通过这些数据，其可以计算出 8 亿多的自然人认知数据，这相当于全国总人口的 57.5%。

笔者通过搜索“看准网”发现，共有 5 人在该网站发表了对前雇主“巧达科技”的点评，均不同程度提及了对巧达所做产品的法律风险的担忧。但至于巧达公司及其主要负责人是否因此触犯刑律，在官方没有作出正式通告之前不宜妄下定论，但我们在此仍可以对该案涉及到的其他法律问题试作分析。

一、简历信息是否属于受保护的个人信息范畴

巧达旗下有一款产品叫做“爱伙伴”，全名“爱伙伴员工离职预报”，其产品简介有这样的描述：“依托于专有简历全网追踪系统和大数据分析引擎，可以发现 90% 以上员工离职前的动态信息，最快 30 分钟内向企业管理者发出预报通知。”该产品负责人刘某还介绍称：“如果员工有修改、投递、刷新简历的情况，或者员工的简历被猎头、HR 查看，那么这个动态有可能会被购买爱伙伴服务的上司知道。”而当被问及是否会有法律方面的风险时，该负责人说：“一般人误认为简历中存在大量个人隐私，其实不然。通常个人隐私是指个人的私生活情况、财产状况、婚姻家庭信息、身体隐秘部位等，而简历中并不存在这些信息。我们只分析简历中的工作经历和教育经历变化情况，这属于可被知悉的个人社会信息，简历中的其它信息我们均作了脱敏处理。巧达所有的产品设计理念都充分考虑尊重个人信息，保护个人隐私。并且我们获取的这一系列信息都是通过 HR 或者猎头间接获得，巧达并不直接接触个人的简历。另外，巧达科技团队 COO 曾是中国最大的在线法律服务平台的创始人，在法律方面的把关我们格外严谨。”

在此，我们不禁产生一个疑问，简历上的信息是否属于个人信息，是否受法律法规的保护？

早在巧达科技成立之前的 2013 年 4 月 23 日，最高人民法院、最高人民检察院、公安部就共同发布了《关于依法惩处侵害公民个人信息犯罪活动的通知》，其中就明确规定，公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。根据这一规定，简历中的教育和工作经历显然属于个人信息的范畴。

另外，也有多部文件规定了关于个人信息保护的内容。例如，2017 年 6 月 1 日起施行的《网络安全法》就规定了“未经被收集者同意，（网络运营者）不得向他人提供个人信息”；2018 年 5 月 1 日起实施的《信息安全技术·个人信息安全规范》也规定“个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时，应充分重视风险。共享、转让个人信息应向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型，并事先征得个人信息主体的授权同意”。可见，认为简历中工作和教育经历属于可被知悉的个人社会信息而能随意利用的说法显然站不住脚，该些信息也应受到足够的保护。

二、有授权是否就代表可以开发利用个人信息数据

继续翻阅这份网传由巧达提供给客户的商业计划书，可以发现一页题为“业务模式合规性说明”的内容，详细记载了巧达获取简历信息的三大途径——自有招聘网站、招聘工具产品和第三方数据源。

据巧达介绍，这其中的“招聘工具产品”和“第三方数据源”两种数据获取途径分别是由“HR/ 猎头用户授权取得”以及“合作方授权取得”。

为分析这一行为的合法性和合规性，我们需要先明确一个概念——个人信息主体。根据《信息安全技术·个人信息安全规范》第 3.3 条的定义，个人信息主体是指个人信息所标识的自然人。即在此处，个人信息主体应为与 HR/ 猎头和合作方所共享简历相对应的自然人。而根据上文提到的《信息安全技术·个人信息安全规范》第 8.2 条的规定，共享、转让个人信息应向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型，并事先征得个人信息主体的授权同意。巧达所称的“经合法授权”的授权主体并不适格。况且，即使没有此条规定，根据一般法理，HR/ 猎头和合作方也无权在未经个人信息主体同意的情况下代其授权巧达对简历信息进行开发利用。

再看另一大获取途径“自有招聘网站”，根据巧达的描述，该途径由“求职者用户直接授权”。

这里我们需要提出另一个概念——授权范围。正如巧达自己的表述，那些自行上传简历的用户为“求职者”，而根据一般理解，在没有明确说明的情况下，求职者上传简历及其他个人信息至招聘网站的行为只能视为对平台利用其所上传的信息提供、优化、改善招聘服务的授权，不能理解为对平台一切开发利用行为的特殊授权。巧达超出用户普通授权范围而利用用户数据的行为，很难排除其侵犯用户个人信息之嫌。

三、“算”出来的数据也可能是隐私数据？

如今，随着技术的日臻成熟，各种大数据应用纷纷落地，而“用户画像”作为大数据的根基，在其中扮演了至关重要的角色。

传统的“用户画像”由上网特征、购物偏好、自定义标签等相对模糊的信息组成，可以形象地理解为通过分析用户大量的互联网行为来“猜”，而能否猜准则是对算法设计者的巨大考验。与此不同的是，巧达称其运营的是“以人为核心的大数据”，其通过自然人数据的还原，便能精准地进行用户画像。

通过对简历及其他数据的解析，巧达能产生对某一自然人的四项定位，包括角色画像（如：生活角色、家庭角色、职务角色）、轨迹变化（如：收入范围、消费趋势、社会地位）、社会关系（如：同学、同事、同乡）以及区域位置（如：生活区域、工作地点），而这些信息几乎涵盖了一个自然人所有的数据维度。

更夸张的是，巧达在拿到自然人的资料后，可以通过通讯录找到他的社会、组织和家庭关系，并进一步通过聚类分析，给有通讯录数据但没有简历数据的自然人进行画像。也就是说，巧达即使没有掌握某个人的简历，它依然可以“算”出他的信息。

那么，对于企业原本并不掌握，但其通过大数据手段“算”出来的新的个人数据是否仍有可能属于隐私数据的范畴，而受到法律法规的保护，进而对其开发利用的行为做出一定程度的限定呢？

企业需要认识到，一方面，大数据在处理大量碎片化、弱相关的数据时，会产生镶嵌理论效应，即“信息拼版的价值高于其组成部分各自价值的总和”；另一方面，《信息安全技术·个人信息安全规范》第 7.3 条也特别注明“加工处理而产生的个人信息属于个人敏感信息的，对其处理应符合本标准对个人敏感信息的要求”。因此，笔者认为，原本并非个人隐私范畴的信息，通过大数据的分析，最终是可能获得隐私数据的，并且该隐私数据需要和通过其他渠道获取的隐私数据作同等级别的保护。

就该案而言，巧达把数据用在了何处、获利几何，与其进行数据交易的平台又有哪些，这些都需要有关部门对巧达甚至整个产业链的彻底调查。但不论调查结果如何，这次事件都给从事大数据服务、易接触到用户个人信息的企业敲响了警钟。合法、合规，是任何企业生存的前提，随着全社会法律意识的不断提高、相关法律法规的不断完善、各部门监管的不断趋严，个人信息保护一定是接下来很长一段时间内企业合规整改的重点，如何在发展大数据服务的同时，避免触及个人信息保护的雷区，是各类企业在今后的运营与发展中都需要考量的关键一环。

参考文献：

[1] 贺树龙 , 刘素宏 , 唐亚华 . 搜狐 . 玩转 8 亿人数据的灰色生意 . https://dwz.cn/AysgRXGx.

[2] 熊志 . 钱江晚报 . 巧达科技用 8 亿人数据牟利·监管何在 . https://dwz.cn/kudT7zqy.

来源链接：mp.weixin.qq.com